Kas notiks no 2016. gada 1. janvāra?
Organizācija, kura ietilpst industriālajā grupā "CA/Browser Forum" pārtrauks izdot drošības sertifikātus ar jaucējkoda šifra algoritmu "Secure Hash Algorithm" (SHA-1), jo jaunās sistēmas prasības atbalstīs tikai SHA-256+ (SHA-2).
Ko tas nozīmē?
Tas nozīmē, ka interneta mājaslapas, kuras atbalsta šifrēšanu (galvenā pazīme ir "s" burts adrešu rindas protokola daļā, t.i., https://), pārtrauks pieeju ierīcēm un interneta pārlūkiem, kuri atbalsta tikai SHA-1.
Pašlaik zināms, ka tas attiecas uz:
- datoriem ar "Windows XP" (bez "Service Pack 3" atjauninājuma) un attiecīgi arī visām vecākām "Windows" operētājsistēmām;
- visiem "podziņu" mobilajiem telefoniem, kas ražoti aptuveni līdz 2010. gadam
- "Android" viedtālruņiem un planšetdatoriem, kuri darbojas ar versiju līdz "2.2". Tomēr galējas skaidrības par "Android" vēl pagaidām nav. Atsevišķi profesionāļi apgalvo, ka SHA-2 atbalsts "Android" operētājsistēmā ir jau no "1.6" versijas. Citi norāda, ka šāda atbalsta nav pat dažos mūsdienu lētajos ķīniešu viedtālruņos.
Labi, bet ko tas konkrēti nozīmē?
Ja Jums vai Jūsu radiniekiem ir pagalam vecs dators, "podziņu" mobilais tālrunis vai arhaisks vai "ķīniešu" "Android", sākot ar 2016. gada 1. janvāri, iespējams, pamanīsiet, ka atsevišķas ierastās mājaslapās neizdosies atvērt. Šo mājaslapu lokā būs tādas, kuras izmanto HTTPS protokolu (adrese tām sākas ar "https://") – interneta bankas, sociālie tīmekļi, e-pasta servisi un pat daži ziņu portāli.
Pēc "CloudFare" un "Facebook" aplēsēm, SHA-1 atbalsta pārtraukšana skars septiņus procentus interneta lietotāju pasaulē. Tādējādi ir runa par vairākiem desmitiem miljonu cilvēku. Cik tādu arhaisko tehnoloģiju lietotāju ir Latvijā, nav zināms.
Un ko man tādā gadījumā darīt?
Datora gadījumā vajag pārliecināties, ka uz tā ir vismaz "Windows XP Service Pack 3". Šī servisa pakotne "Windows XP" operētājsistēmai ir bez maksas un to var brīvi uzstādīt jebkuram datoram, kuram jau ir "Windows XP". Savukārt mobilo tālruņu un viedtālruņu gadījumā jāņem vērā, ka var būt problēmas, bet tās risināt būtībā var, tikai nopērkot jaunu ierīci.
Cik drīz mājaslapas vairs nebūs pieejamas veco ierīču lietotājiem?
Tas nav zināms. Daži lielie portāli un servisi izdomājuši mehānismu (t.s. "SHA fallback"), kas ļaus tiem apkalpot arī veco ierīču lietotājus. Šis mehānisms paredz, ka interneta mājaslapa pārslēgsies uz veco SHA versiju, ja detektēs, ka tajā ir ienācis lietotājs ar vecu ierīci. Bet visiem pārējiem lietotājiem tas nekādas izmaiņas neradīs.
Par tamlīdzīga mehānisma ieviešanu jau ir paziņojuši "Alibaba", "Facebook" un "CloudFlare". Turklāt "Facebook" šo mehānismu padarīs visiem pieejamu kā atvērto kodu (open-source), lai citu interneta mājaslapu uzturētāji varētu to realizēt arī pie sevis. Tomēr drošības speciālisti brīdina, ka šim risinājumam var būt nopietnas problēmas. Tieši tā iemesla dēļ, visticamāk, veco ierīču lietotājiem draudzīgo mehānismu, piemēram, interneta bankas neadaptēs.
Kam tas viss? Lai mēs pirktu jaunas ierīces?
Nē! Lieta tāda, ka HTTPS, kurā tiek izmantota SHA jaucējkoda šifrēšana, nav izgudrots vienkārši tāpat. Tas ir radīts:
- lai interneta mājaslapa zinātu, ka to apmeklējat tieši Jūs un nevis kāds cits;
- lai jūsu interneta pārlūks zinātu, ka tā ir tieši tā mājaslapa, kuru plānojāt apmeklēt (nevis kāds ļaundabīgs klons);
- un lai neviens nevarētu noklausīties vai pārtvert jūsu "sarunu" ar serveri – ne valdība, ne hakeri un arī ne konkurenti.
Jāatzīmē, ka SHA-1 tika izgudrots, kad datori vēl bija milzīgi un tajā pašā laikā lēnprātīgi – 1995. gadā. Šo 20 gadu laikā datoru veiktspēja tehnoloģiskā progresa rezultātā ir pieaugusi vairākkārtīgi.
Šodien "uzlauzt" SHA-1, pēc speciālistu aplēsēm, izmaksā tikai pāris simtus tūkstošus dolāru, bet tuvākajos gados šī "pakalpojuma" cena varētu sarukt līdz pāris desmitiem tūkstošu dolāru. Tā joprojām ir liela nauda, piemēram, ja vēlaties pārtvert sociālā tīmekļa lietotāju sarunas. Tomēr tas vairs nešķiet dārgi, ja vēlaties pārtvert interneta banku transakciju informāciju. Proti, kāpēc gan neinvestēt pāris simtus tūkstošus dolāru, lai "izceltu" vairākus miljonus? Bizness – nekā personīga!
Bet piemērs no reālās dzīves?
Vienkārši. Kādreiz banku kartes bija tikai ar magnētisko joslu. Šodien tām visām ir mikroshēma. Tas tika ieviests tādēļ, ka bankas karšu magnētisko karšu kopētāji bija kļuvuši ļoti lēti un viegli pieejami pat ne apķērīgākajiem noziedzniekiem, un bankām (precīzāk – "Visa" un "MasterCard") apnika zaudēt miljoniem dolāru. Rezultātā bankām bija jāpāriet uz kartēm ar mikroshēmu, attiecīgi arī ar to saistītajai infrastruktūrai. Gala patērētājiem neko neprasīja un izvēli nepiedāvāja.
Tieši tas pats šobrīd notiek ar SHA-1 – to industrija ir atzinusi kā ļoti vāju pret hakeru uzbrukumiem, un lietotāji tiek pārnesti uz SHA-2 standarta ierīcēm un programmatūru. Lai arī tādi servisi kā "Facebook" izdomājuši savu pārējas periodu, visdrīzāk, SHA-1 atbalsts nākamā gada laikā tiks pārtraukts pavisam.
Ja man ir moderns dators un viedierīce, vai ir pamats satraukumam?
Nē, vairums esošo ierīču lietotāju SHA-1 atbalsta pārtraukšanu nekādi nepamanīs. Pilnīgi pietiek, ja lietojat pēdējo gadu laikā ražotu viedierīci vai datoru ar vismaz "Windows 7".