Ha ancora senso usare SHA1?

4

Sto lavorando con Arduino e firme basate su hash che sono schemi di firma che utilizzano solo funzioni hash. A causa dei vincoli di un Arduino stavo pensando di usare SHA1 come funzione sottostante della mia firma basata su hash. Ma non sono sicuro che abbia ancora senso usare SHA1 a causa delle sue vulnerabilità. C'è uno scenario in cui sarebbe accettabile usare SHA1?

    
posta Jéssica Carneiro 26.06.2017 - 19:28
fonte

2 risposte

2

La mia risposta sarebbe sempre "in confronto a cos'altro?"

In questo momento, SHA-1 è più debole di SHA-2:

link

Ha noti punti deboli, un minor numero di bit di sicurezza, aumentato rischio di collisioni e SHA-2 è abbastanza prolifico, ha buone prestazioni ed è ampiamente accettato. Quindi ... perché non usare qualcosa di meglio?

C'è un motivo - compatibilità. Là fuori ci sarà sempre una tecnologia adeguatamente vecchia che semplicemente non può (o non è) stata aggiornata per usare le migliori pratiche attualmente raccomandate. Quindi la grande domanda è: il tuo modello di business trae maggior beneficio dall'interoperabilità o dalla forza crittografica?

La mia risposta di non-spesa-un sacco-di-tempo-ricerca-matematica su SHA-1 contro SHA-2 sarebbe che non è un gioco da ragazzi - SHA-2 è meglio. Ma se mi dicessi che il tuo più grande cliente ha un notevole investimento nella tecnologia SHA-1 e non può migliorare il sistema ... beh ... probabilmente ti consiglierei di trovare un modo per limitare la portata di dove e di chi fai SHA-1 con, e poi assicurati di far firmare a quel cliente una buona esonero dal suono che capiscono che non puoi essere interamente responsabile dei rischi derivanti dall'uso di un algoritmo di best practice.

    
risposta data 26.06.2017 - 21:50
fonte
0

Il rischio di utilizzare qualsiasi algoritmo dipende dalla tua propensione al rischio. Solo tu sai se il rischio di un attacco SHA1 è qualcosa che sei disposto ad accettare.

Lo userei se fosse l'unica opzione per nessuno dei dati mission critical o sensibili. Ma questa è solo un'opinione personale.

    
risposta data 26.06.2017 - 19:45
fonte

Leggi altre domande sui tag