SHA-1 (förkortning av Secure Hash Algorithm 1) är en av flera kryptografiska hashfunktioner.
Det används oftast för att verifiera att en fil har varit oförändrad. Detta görs genom att skapa en kontrollsumma innan filen har sänts, och sedan igen när den når sin destination.
Den överförda filen kan endast betraktas som äkta om båda kontrollsummorna är identiska.
Historia och sårbarheter för SHA-hashfunktionen
SHA-1 är bara en av de fyra algoritmerna i familjen Secure Hash Algorithm (SHA). De flesta har utvecklats av US National Security Agency (NSA) och publicerats av National Institute of Standards and Technology (NIST).
SHA-0 har en 160-bitars meddelandesammanfattning (hashvärde) storlek och var den första versionen av denna algoritm. Dess hashvärden är 40 siffror långa. Den publicerades under namnet "SHA" 1993 men användes inte i många applikationer eftersom den snabbt ersattes med SHA-1 1995 på grund av ett säkerhetsfel.
SHA-1 är den andra iterationen av denna kryptografiska hashfunktion. Den här har också ett meddelandesammandrag på 160 bitar och försökte öka säkerheten genom att fixa en svaghet som finns i SHA-0. Men 2005 visade sig SHA-1 också vara osäker.
När väl kryptografiska svagheter upptäcktes i SHA-1, gjorde NIST ett uttalande 2006 och uppmuntrade federala myndigheter att införa användningen av SHA-2 till år 2010. SHA-2 är starkare än SHA-1, och attacker gjordes mot SHA-2 är osannolikt att hända med nuvarande datorkraft.
Inte bara federala myndigheter, utan även företag som Google, Mozilla och Microsoft har alla antingen börjat planera för att sluta acceptera SHA-1 SSL-certifikat eller har redan blockerat den typen av sidor från att laddas.
Google har bevis på en SHA-1-kollision som gör den här metoden opålitlig för att generera unika kontrollsummor, oavsett om det gäller ett lösenord, en fil eller någon annan databit. Du kan ladda ner två unika PDF-filer från SHAttered för att se hur detta fungerar. Använd en SHA-1-kalkylator längst ner på den här sidan för att generera kontrollsumman för båda, och du kommer att upptäcka att värdet är exakt detsamma även om de innehåller olika data.
SHA-2 och SHA-3
SHA-2 publicerades 2001, flera år efter SHA-1. Den innehåller sex hashfunktioner med olika sammanfattningsstorlekar: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 och SHA-512/256.
Utvecklad av icke-NSA-designers och släpptes av NIST 2015, är en annan medlem av Secure Hash Algorithm-familjen, kallad SHA-3 (tidigare Keccak).
SHA-3 är inte avsedd att ersätta SHA-2 som de tidigare versionerna var tänkta att ersätta tidigare. Istället utvecklades det bara som ett annat alternativ till SHA-0, SHA-1 och MD5.
Hur används SHA-1?
Ett exempel i verkligheten där SHA-1 kan användas är när du anger ditt lösenord på en webbplatss inloggningssida. Även om det händer i bakgrunden utan din vetskap, kan det vara metoden som en webbplats använder för att säkert verifiera att ditt lösenord är äkta.
I det här exemplet, föreställ dig att du försöker logga in på en webbplats du ofta besöker. Varje gång du begär att få logga in måste du ange ditt användarnamn och lösenord.
Om webbplatsen använder den kryptografiska hashfunktionen SHA-1 betyder det att ditt lösenord förvandlas till en kontrollsumma efter att du har skrivit in den. Den kontrollsumman jämförs sedan med den kontrollsumma som lagras på webbplatsen som är relaterad till din nuvarande lösenord, oavsett om du inte har ändrat ditt lösenord sedan du registrerade dig eller om du bara ändrade det för några ögonblick sedan. Om de två matchar, beviljas du tillgång; om de inte gör det får du veta att lösenordet är felaktigt.
Ett annat exempel där denna hash-funktion kan användas är för filverifiering. Vissa webbplatser tillhandahåller SHA-1-kontrollsumman för filen på nedladdningssidan så att när du laddar ner filen kan du kontrollera kontrollsumman själv för att säkerställa att den nedladdade filen är densamma som den du tänkte ladda ner.
Du kanske undrar var en verklig användning finns i denna typ av verifiering. Överväg ett scenario där du känner till SHA-1-kontrollsumman för en fil från utvecklarens webbplats, men du vill ladda ner samma version från en annan webbplats. Du kan sedan generera SHA-1-kontrollsumman för din nedladdning och jämföra den med den äkta kontrollsumman från utvecklarens nedladdningssida.
Om de två är olika betyder det inte bara att filens innehåll inte är identiskt, utan det kan finnas dold skadlig programvara i filen, data kan skadas och orsaka skada på dina datorfiler, filen är inte det allt relaterat till den riktiga filen, etc.
Det kan dock också betyda att den ena filen representerar en äldre version av programmet än den andra, eftersom även den lilla ändringen kommer att generera ett unikt kontrollsummevärde.
Du kanske också vill kontrollera att de två filerna är identiska om du installerar ett service pack eller något annat program eller uppdatering eftersom problem uppstår om några av filerna saknas under installationen.
SHA-1 Checksum Calculators
En speciell sorts kalkylator kan användas för att bestämma kontrollsumman för en fil eller grupp av tecken.
SHA1 Online och SHA1 Hash Generator är till exempel gratis onlineverktyg som kan generera SHA-1-kontrollsumman för alla grupper av text, symboler och/eller siffror.
Dessa webbplatser kommer till exempel att generera detta par:
pAssw0rd!
bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba
