SHA-1 (abreviação de Algoritmo Hash Seguro 1 ) é uma das várias funções hash criptográficas.
O SHA-1 é mais usado para verificar se um arquivo não foi alterado. Isso é feito produzindo uma soma de verificação antes que o arquivo seja transmitido e, novamente, quando chegar ao seu destino.
O arquivo transmitido pode ser considerado genuíno apenas se ambas as somas de verificação são idênticas.
Histórico e Vulnerabilidades da Função SHA Hash
O SHA-1 é apenas um dos quatro algoritmos da família Secure Hash Algorithm (SHA). A maioria foi desenvolvida pela Agência de Segurança Nacional dos EUA (NSA) e publicada pelo Instituto Nacional de Padrões e Tecnologia (NIST).
O SHA-0 tem um tamanho de digitação de mensagem de 160 bits (valor de hash) e foi a primeira versão deste algoritmo. Os valores de hash SHA-0 têm 40 dígitos. Foi publicado sob o nome "SHA" em 1993, mas não foi usado em muitas aplicações porque foi rapidamente substituído por SHA-1 em 1995 devido a uma falha de segurança.
SHA-1 é a segunda iteração dessa função hash criptográfica. O SHA-1 também possui um resumo de mensagem de 160 bits e procurou aumentar a segurança, corrigindo uma fraqueza encontrada no SHA-0. No entanto, em 2005, o SHA-1 também foi considerado inseguro.
Uma vez que fraquezas criptográficas foram encontradas no SHA-1, o NIST fez uma declaração em 2006 incentivando agências federais a adotarem o uso de SHA-2 até o ano de 2010. SHA-2 é mais forte que SHA-1 e ataques contra SHA-2 são improváveis para acontecer com o poder de computação atual.
Não apenas as agências federais, mas até mesmo empresas como Google, Mozilla e Microsoft, iniciaram planos de parar de aceitar certificados SSL SHA-1 ou bloquear o carregamento desses tipos de páginas.
O Google tem a prova de uma colisão SHA-1 que torna esse método pouco confiável para gerar somas de verificação exclusivas, seja em relação a uma senha, arquivo ou qualquer outro dado. Você pode baixar dois arquivos PDF exclusivos do SHAttered para ver como isso funciona. Use uma calculadora SHA-1 na parte inferior desta página para gerar a soma de verificação para ambos, e você descobrirá que o valor é exatamente o mesmo, mesmo que contenha dados diferentes.
SHA-2 e SHA-3
O SHA-2 foi publicado em 2001, vários anos após o SHA-1. O SHA-2 inclui seis funções hash com tamanhos de digestão variados: SHA-224 , SHA-256 , SHA-384 , SHA-512 , SHA-512/224 e SHA-512/256 .
Desenvolvido por designers não-NSA e lançado pelo NIST em 2015, é outro membro da família Secure Hash Algorithm, chamada SHA-3 (anteriormente Keccak ).
O SHA-3 não pretende substituir o SHA-2, como as versões anteriores foram destinadas a substituir as anteriores. Em vez disso, o SHA-3 foi desenvolvido apenas como outra alternativa ao SHA-0, SHA-1 e MD5.
Como o SHA-1 é usado?
Um exemplo do mundo real em que o SHA-1 pode ser usado é quando você insere sua senha na página de login de um site. Embora isso ocorra em segundo plano sem o seu conhecimento, pode ser o método usado por um site para verificar com segurança se sua senha é autêntica.
Neste exemplo, imagine que você está tentando fazer login em um site que você visita com frequência. Sempre que você solicitar o login, será necessário inserir seu nome de usuário e senha.
Se o site usar a função de hash criptográfico SHA-1, significa que sua senha é transformada em uma soma de verificação depois que você a insere. Essa soma de verificação é comparada com a soma de verificação armazenada no site relacionada à sua senha atual. não alterou a sua senha desde que você se inscreveu ou se você acabou de mudar isso momentos atrás. Se os dois combinarem, você terá acesso; se não, você é informado que a senha está incorreta.
Outro exemplo em que a função hash SHA-1 pode ser usada é para verificação de arquivos. Alguns sites fornecerão a soma de verificação SHA-1 do arquivo na página de download para que, ao baixar o arquivo, você possa verificar a soma de verificação para garantir que o arquivo baixado seja o mesmo que você pretendia fazer o download.
Você pode se perguntar onde um uso real está neste tipo de verificação. Considere um cenário em que você conhece a soma de verificação SHA-1 de um arquivo do site do desenvolvedor, mas deseja baixar a mesma versão de um site diferente. Você pode então gerar a soma de verificação SHA-1 para o seu download e compará-la com a soma de verificação genuína da página de download do desenvolvedor.
Se os dois são diferentes, isso não significa apenas que o conteúdo do arquivo não é idêntico, mas que poderia estar escondido malware no arquivo, os dados podem ser corrompidos e causar danos aos arquivos do seu computador, o arquivo não é nada relacionado ao arquivo real, etc.
No entanto, isso também pode significar que um arquivo representa uma versão mais antiga do programa do que o outro, já que até mesmo uma pequena alteração gerará um valor de soma de verificação exclusivo.
Você também pode querer verificar se os dois arquivos são idênticos se você estiver instalando um service pack ou algum outro programa ou atualização porque ocorrem problemas se alguns dos arquivos estiverem faltando durante a instalação.
Calculadoras de soma de verificação SHA-1
Um tipo especial de calculadora pode ser usado para determinar a soma de verificação de um arquivo ou grupo de caracteres.
Por exemplo, SHA1 Online e SHA1 Hash são ferramentas on-line gratuitas que podem gerar a soma de verificação SHA-1 de qualquer grupo de texto, símbolos e / ou números.
Esses sites, por exemplo, gerarão o checksum SHA-1 de bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba para o texto pAssw0rd! .
