Google призывает компании и специалистов по безопасности использовать в своей работе криптографическое хэширование SHA-256 – алгоритм, на котором основан Proof-of-Work (PoW) в сети Биткоина.
Последние несколько лет криптографы предупреждали об опасности использования SHA-1 – алгоритма хэширования, который был чрезвычайно популярен до 2014 года. Недавно исследователи из Google и Центра математики и информатики в Амстердаме (CWI Amsterdam) успешно сгенерировали «хэш-коллизию» для двух разных документов с использованием алгоритма шифрования SHA1, что фактически означает его взлом в соответствии с криптографическими стандартами. Найденная уязвимость позволяет кибер-преступникам внедрять вредоносные программы на сайты и платформы, по-прежнему использующие SHA-1.
Большинство сайтов уже отказались от алгоритма SHA-1, еще до того, как криптографы начали предупреждать о возможных проблемах с его безопасностью. По сути, самой сложной задачей для злоумышленников сейчас станет поиск сайта или платформы, которая по-прежнему использует SHA-1 для защиты данных.
Для Google поиск коллизии SHA-1 стал очередным подтверждением того, что компания является активным приверженцем передовых решений в области безопасности. Так как создание коллизии требует значительного количества ресурсов и талантливых специалистов для работы с ними, не так много компаний были заинтересованы во взломе алгоритма, который уже практически нигде не используется.
Обнаружение коллизии, которое заняло у Google более 9 квинтиллионов (9 223 372 036 854 775 808) вычислительных операций, 6 500 "процессорных лет" вычислений для завершения атаки первой фазы и 110 лет вычислений для завершения второй фазы, стало предупреждением для индустрии и стимулом к применению эффективных, безопасных и современных методов шифрования в интересах своих клиентов.
Google заявляет: «Сейчас всем специалистам по безопасности стоит задуматься о переходе на более безопасные криптографические хэши, такие как SHA-256 и SHA-3. Следуя политике раскрытия уязвимостей, принятой в Google, мы подождем 90 дней перед тем, как раскрыть код, позволяющий любому человеку создать пару PDF-файлов, которые хэшируются одной и той же суммой данных в SHA-1 при разных исходных условиях».
За последние пару лет параметры безопасности и системы криптовалютных компаний значительно улучшились, во многом из-за страха предприятий перед атаками злоумышленников.
Когда биржи Биткоина компрометируются, они часто теряют суммы в криптовалюте, эквивалентные десяткам миллионов долларов, а учитывая текущие темпы роста индустрии Биткоина, мало какая биржа сможет вернуть своим пользователем украденные средства в короткие сроки, как показал взлом Bitfinex в прошлом году.
Такие компании, как Coinbase и Blockchain, задали определенные стандарты для индустрии, которым следуют большинство компаний, когда дело касается вопросов безопасности. Пока что Coinbase ни разу не был скомпрометирован внешними атаками и практически невозможно похитить средства из Blockchain, так как безопасность платформы биткоиновых кошельков не зависит от безопасности самой компании.