Google bloccherà HMAC-SHA1 insieme ai certificati firmati SHA1?

A causa della matematica di come funzionano gli HMAC, una debolezza nell'algoritmo hash non significa automaticamente che anche un HMAC basato su di esso sia debole. Questo potrebbe sembrare contro-intuitivo, ma si riduce al fatto che la debolezza nota in SHA1 si riferisce alle collisioni e non può essere applicata a un HMAC a causa del metodo di costruzione. In effetti, anche HMAC-MD5 è ancora abbastanza sicuro, anche se MD5 è considerato completamente rotto.

Tutto ciò significa che Google non ha dato alcuna indicazione su come voler ritirare HMAC-SHA1 al momento. Potrebbero volere in futuro, specialmente se vengono trovate diverse forme di attacco contro SHA1, ma attualmente l'unico modo conosciuto per rompere un HMAC-SHA1 è quello di forzare la chiave, che dovrebbe, dato un sensibile processo di selezione chiave, essere realmente difficile.

Per completare il punto @ Matthew (che è molto corretto): la sicurezza dell'HMAC è provata buona, purché la funzione di hash sottostante sia costruita su una "funzione di compressione" interna che soddisfi alcune specifiche proprietà. È noto che MD5 e SHA-1 non soddisfano tutte queste proprietà (perché quindi sarebbero anche idealmente resistenti alle collisioni, che non sono), ma ciò invalida la prova. Non si trasforma in un attacco reale. L'assenza di una prova di sicurezza non è una prova dell'assenza di sicurezza.

In SSL / TLS, HMAC viene utilizzato in due punti: per i controlli di integrità sui record e come parte del "PRF" interno che viene utilizzato per derivare le chiavi in altre chiavi. Fino a e incluso TLS 1.1, HMAC / SHA-1 è utilizzato in entrambi i ruoli e non è facoltativo. Bannare HMAC / SHA-1 significherebbe davvero far rispettare TLS-1.2. Al momento, troppi server HTTPS supportano ancora solo TLS-1.0, quindi Google non può permettersi di proibire versioni del protocollo precedente alla 1.2. I browser Web devono sfogliare.