De grote browsers doen SHA-1 in de ban, maar het hashing-algoritme beklijft. Nog jaren. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
De kraakbaarheid van SHA-1 is al sinds 2005 een onderwerp dat geleidelijk opschuift van theoretisch naar praktisch en van praktisch mogelijk naar betaalbaar uitvoerbaar. De grote browsermakers Google, Microsoft en Mozilla doen het bejaarde hashing-algoritme voor versleuteling vanaf begin 2017 in de ban. Websites die voor hun beveiligingscertificaten nog op SHA-1 vertrouwen worden dan geblokkeerd, met een duidelijke waarschuwing aan de eindgebruiker.
Daarmee wordt de rol van SHA-1 verder teruggedrongen. Maar echt uitgebannen wordt deze hashing-technologie uit 1995 daarmee niet. De browsermakers bieden namelijk nog een uitweg. Zo kunnen eindgebruikers onveilig verklaarde sites toch bezoeken door de waarschuwing te negeren. Verder vallen zelf geïnstalleerde en zelf ondertekende certificaten (maar ook cross-signed certificaten) niet onder de algemene verbanning. Dit om legacy-systemen, in het bedrijfsleven, niet onklaar te maken. Verder valt SHA-1 natuurlijk ook te gebruiken naast het web, voor bijvoorbeeld opgeslagen wachtwoorden. De kraakbare encryptie is dus nog lang niet weg. Wat vind jij?