SHA-1: Hva det er og hvordan det brukes til dataverifisering

Hva du bør vite

• Secure Hash Algorithm 1 (SHA-1) er en slags algoritme som brukes til å bekrefte dataens autentisitet.
• Passordautentisering og filbekreftelse er eksempler på bruken.
• En spesiell kalkulator kan finne SHA-1-sjekksummen av tekst eller en fil.

Denne artikkelen undersøker hva SHA-1 betyr og hvordan og hvorfor den brukes, pluss hvordan du genererer SHA-1-sjekksummer.

hvordan du sender store videofiler fra iPhone

Hva er SHA-1?

SHA-1 (forkortelse for Secure Hash Algorithm 1) er en av flere kryptografiske hash-funksjoner.

Det brukes oftest for å bekrefte at en fil har vært uendret. Dette gjøres ved å produsere en sjekksum før filen har blitt overført, og så igjen når den når destinasjonen.

Den overførte filen kan kun anses som ekte hvis begge kontrollsummene er identiske.

David Silverman / Getty Images News / Getty Images

Historie og sårbarheter til SHA Hash-funksjonen

SHA-1 er bare en av de fire algoritmene i Secure Hash Algorithm (SHA)-familien. De fleste ble utviklet av US National Security Agency (NSA) og utgitt av National Institute of Standards and Technology (NIST).

SHA-0 har en 160-biters meldingssammendrag (hash-verdi) størrelse og var den første versjonen av denne algoritmen. Hash-verdiene er 40 sifre lange. Den ble utgitt under navnet 'SHA' i 1993, men ble ikke brukt i mange applikasjoner fordi den raskt ble erstattet med SHA-1 i 1995 på grunn av en sikkerhetsfeil.

SHA-1 er den andre iterasjonen av denne kryptografiske hash-funksjonen. Denne har også en meldingssammendrag på 160 biter og forsøkte å øke sikkerheten ved å fikse en svakhet funnet i SHA-0. Men i 2005 ble SHA-1 også funnet å være usikker.

Når kryptografiske svakheter ble funnet i SHA-1, ga NIST en uttalelse i 2006 som oppmuntret føderale byråer til å ta i bruk bruken av SHA-2 innen år 2010, og den ble offisielt avskrevet av NIST i 2011. SHA-2 er sterkere enn SHA- 1, og angrep mot SHA-2 vil neppe skje med gjeldende datakraft.

Ikke bare føderale byråer, men til og med selskaper som Google, Mozilla og Microsoft har alle enten startet planer om å slutte å akseptere SHA-1 SSL-sertifikater eller har allerede blokkert slike sider fra å lastes.

Google har bevis på en SHA-1-kollisjon som gjør denne metoden upålitelig for å generere unike kontrollsummer, enten det gjelder et passord, en fil eller andre data. Du kan laste ned to unike PDF filer fra Knust for å se hvordan dette fungerer. Bruk en SHA-1-kalkulator fra bunnen av denne siden for å generere kontrollsummen for begge, og du vil finne at verdien er nøyaktig den samme selv om de inneholder forskjellige data.

SHA-2 og SHA-3

SHA-2 ble publisert i 2001, flere år etter SHA-1. Den inkluderer seks hash-funksjoner med varierende sammendragsstørrelser: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 og SHA-512/256.

Utviklet av ikke-NSA designere og utgitt av NIST i 2015 , er et annet medlem av Secure Hash Algorithm-familien, kalt SHA-3 (tidligere Keccak).

SHA-3 er ikke ment å erstatte SHA-2 slik de tidligere versjonene var ment å erstatte tidligere. I stedet ble den utviklet som et annet alternativ til SHA-0, SHA-1 og MD5.

Hvordan brukes SHA-1?

Et eksempel fra den virkelige verden hvor SHA-1 kan brukes er når du skriver inn passordet ditt på et nettsteds påloggingsside. Selv om det skjer i bakgrunnen uten at du vet det, kan det være metoden et nettsted bruker for å sikre at passordet ditt er autentisk.

hva ip bruker jeg til minecraft server

I dette eksemplet, se for deg at du prøver å logge på et nettsted du ofte besøker. Hver gang du ber om å logge på, må du skrive inn brukernavn og passord.

Hvis nettstedet bruker den kryptografiske hash-funksjonen SHA-1, betyr det at passordet ditt blir omgjort til en sjekksum etter at du har skrevet det inn. Denne sjekksummen sammenlignes deretter med sjekksummen som er lagret på nettstedet som er relatert til ditt nåværende passord, uansett om du har har ikke endret passordet ditt siden du registrerte deg, eller hvis du nettopp endret det for øyeblikk siden. Hvis de to stemmer overens, får du tilgang; hvis de ikke gjør det, får du beskjed om at passordet er feil.

Et annet eksempel hvor denne hash-funksjonen kan brukes er for filverifisering. Noen nettsteder vil oppgi kontrollsummen for filen på nedlastingssiden slik at når du laster den ned, kan du sjekke kontrollsummen selv for å sikre at den nedlastede filen er den samme som den du hadde tenkt å laste ned.

Du lurer kanskje på hvor en reell bruk er i denne typen verifisering. Tenk på et scenario der du kjenner SHA-1-sjekksummen til en fil fra utviklerens nettsted, men du vil laste ned samme versjon fra et annet nettsted. Du kan deretter generere SHA-1-sjekksummen for nedlastingen din og sammenligne den med den ekte kontrollsummen fra utviklerens nedlastingsside.

Hvis de to er forskjellige, betyr det ikke bare at filens innhold ikke er identisk, men også derkunnevære skjult skadelig programvare i filen, dataene kan bli ødelagt og forårsake skade på datafilene dine, filen er ikke relatert til den virkelige filen, osv.

Imidlertid kan det også bare bety at den ene filen representerer en eldre versjon av programmet enn den andre, siden selv den lille endringen vil generere en unik kontrollsumverdi.

Det kan også være lurt å sjekke at de to filene er identiske hvis du installerer en oppdateringspakke eller et annet program eller oppdatering, fordi det oppstår problemer hvis noen av filene mangler under installasjonen.

SHA-1 kontrollsumkalkulatorer

En spesiell type kalkulator kan brukes til å bestemme kontrollsummen til en fil eller gruppe med tegn.

For eksempel, SHA1 Online er et gratis online verktøy som kan generere SHA-1-sjekksummen for en hvilken som helst gruppe med tekst, symboler og/eller tall. Det vil for eksempel generere dette paret:

Det samme nettstedet har SHA1 filsjekksum verktøy hvis du har en fil i stedet for tekst.