Použitelnost hashovacích funkcí SHA (secure hash algorithm) je v současné době předmětem diskusí nejen mezi odborníky na bezpečnost. Podstatou tohoto článku je přiblížit uživatelům související legislativní změny, které se postupně promítají do praxe. O co tedy jde? Běžně používaný hashovací algoritmus SHA-1 byl shledán jako prolomitelný, v důsledku toho bezpečnostní orgány vyspělých zemí ve spolupráci s předními kryptology začaly hledat jeho nástupce a výsledku hledání se musí přizpůsobit výrobci softwaru i veřejnost.


Algoritmy skupiny SHA-2 (SHA224, SHA256, SHA384 a SHA512) jsou považovány za logické, i když asi jen dočasné, nástupce algoritmu SHA-1. Délka výstupu funkce je oproti 160 bitům SHA-1 delší (224, 256, 384 nebo 512 bitů), takže se zvýší teoretická odolnost proti útokům na nalezení kolize nebo vzoru. Životnost algoritmů SHA-2 se i přesto odhaduje pouze asi do roku 2015. V současné době je vypsáno americkým NIST veřejné výběrové řízení na algoritmus SHA-3, který by měl nejen dostatečně odolávat pokusům o nalezení kolizí, ale také být co nejméně náročný na výpočetní výkon. Vyhlášení výsledků soutěže se očekává v průběhu roku 2012. Do té doby již může být SHA-1 zneužitelný. Výrobci aplikací i čipových karet či tokenů tedy čelí strategickému rozhodnutí, zda zavádět podporu algoritmů SHA-2, nebo počkat na SHA-3. Vzhledem k faktu, že se v současné době neobjevily hashovací funkce, které by byly lépe technicky i normativně připravené pro praktické použití, půjde se u nejpoužívanějších aplikací cestou SHA-2.

V USA, Německu a dalších zemích vládní agentury doporučují vývojářům aplikací co nejdříve přejít na SHA-2 a uživatelům omezit používání SHA-1 (zejména pro účely digitálního podpisu a časových razítek). Rok 2010 je svým způsobem přelomový. NIST ve svém doporučení SP 800-107 uvádí, že po roce 2010 nesmí být federálními orgány používán SHA-1 pro účely digitálního podpisu (v soukromém sektoru je přechod dobrovolný). Německá Bundesnetzagentur označila používání SHA-1 pro digitální podpis jako nevhodné už během roku 2008, přičemž přechodné období pro poskytovatele certifikačních služeb je do konce 2010. V České republice platí vyhláška ministerstva vnitra, která od 1. 1. 2010 ukládá všem certifikačním autoritám povinnost vydávat také certifikáty s podporou algoritmu SHA-2. O používání SHA-2 při autentizaci nebo podepisování se nemluví.

Jaké budou praktické důsledky zavedení SHA-2? Všechny tři v ČR akreditované certifikační autority přistoupily ke změně odpovědně a nabízejí (některé pouze) SHA-2 certifikáty. Pokud generujete žádost o nový certifikát nebo jej obnovujete do systémového úložiště, stačí vám pouze operační systém, který SHA-2 podporuje (Windows XP SP3 a výše, SUSE Linux Enterprise Desktop 10, RedHat EL 5 atd.). Jestliže používáte certifikát (jeho privátní klíč) k digitálnímu podpisu, zjistěte si podporu SHA-2 ve vaší aplikaci (Adobe Acrobat, Mozzila Thunderbird, MS Outlook, …). Pokud aplikace podepisování hashe SHA-2 nepodporuje, pravděpodobně vytvoří a podepíše automaticky hash SHA-1 (ano, toto je možné i s SHA-2 certifikátem).


Generujete-li žádost o SHA-2 certifikát do tokenu nebo čipové karty, je potřeba nejen podpora operačního systému a dalších aplikací, ale i samotného hardwarového zařízení, popřípadě jeho middlewaru. Nejde však jen o generování klíčů, ale i o jejich používání v aplikacích, například k podepisování. Zde závisí na konkrétním tokenu či kartě, jestli půjde využít s SHA-2 v dané aplikaci. Pokud toto z nějakých důvodů není možné, použije se nejspíše opět SHA-1. Když už se povede podepsat SHA-2 hash dokumentu či e-mailu, mohou zase nastat kuriózní situace, kdy si příjemce podepsanou zprávu nepřečte jednoduše proto, že jeho operační systém či aplikace nepodporují nový hashovací algoritmus.

Je určitě správné, že akreditované certifikační autority již vydávají SHA-2 certifikáty, které jsou odolnější proti zneužití a připravené pro bezpečnější komunikaci. Z výše uvedeného je však patrné, že vzhledem k problematické podpoře SHA-2 u starších aplikací, operačních systémů a hardwarových úložišť se bude skutečné nasazení algoritmů SHA-2 zejména při podepisování dokumentů oddalovat. Můžeme nyní fandit především vývojářům aplikací a návrhářům hardwarových úložišť, aby byl přechod na bezpečnější hashovací algoritmy co nejméně bolestivý.

Odkazy
NIST Special Publication 800-107: Recommendation for Applications Using Approved Hash Algorithms, February 2009 [http://csrc.nist.gov/publications/nistpubs/800-107/NIST-SP-800-107.pdf]
V. Kment: Soumrak SHA-1, ohrožení elektronických podpisů i rozpočtů IT, www.lupa.cz, 14. 9. 2009 [http://www.lupa.cz/clanky/soumrak-sha-1-ohrozeni-el-podpisu-i-rozpoctu-it]

Autor pracuje ve společnosti Askon International jako technický konzultant.