
Alles wat je direct moet weten over SHA-2
De klok tikt: certificaten met SHA-1-hash worden uitgefaseerd. Als je niets doet, levert dat incidenten op. Begin nu aan het migratietraject
Certificaten met SHA-1-hashes die na 1 januari 2017 nog geldig zijn, worden steeds minder uitgegeven en worden nu al niet meer als 'beveiligd' aangemerkt. Over minder dan een jaar volgen waarschuwingen of zelfs foutmeldingen. Begin je dus nu te verdiepen in SHA-2-migratie.

Alles wat je direct moet weten over SHA-2
Certificaten met SHA-1-hashes die na 1 januari 2017 nog geldig zijn, worden steeds minder uitgegeven en worden nu al niet meer als 'beveiligd' aangemerkt. Over minder dan een jaar volgen waarschuwingen of zelfs foutmeldingen. Begin je dus nu te verdiepen in SHA-2-migratie.
De afgelopen maanden heb ik klanten geholpen met de voorbereiding op de overstap naar SHA-2, de cryptografische hashfunctie die steeds vaker afgedwongen wordt. Een aantal bedrijven bereidt hier zich op voor en bijna elke organisatie gaat er dit jaar mee te maken krijgen. Mocht je het nog niet weten: het moment is bijna aangebroken om SHA-1 af te schaffen en hoe langer je hiermee wacht, hoe minder tijd je overhoudt om het te doen zonder paniek.
Dit en volgend jaar zullen veel apparaten en applicaties die digitale certificaten vereisen een waarschuwing geven of zelfs helemaal falen als een hash die met SHA-1 (of ouder) is gemaakt wordt aangeboden.
Waarom? Omdat de SHA-1-hash cryptografisch niet zo sterk is, waardoor veel beveiligingsdeskundigen vinden dat zijn dagen als een nuttig beschermingsmiddel zijn geteld. Maar migratie loopt niet zo soepel als je zou hopen. SHA-1 is vandaag de dag de meest voorkomende hashmethode en veel applicaties en apparaten kunnen helaas nog niet omgaan met SHA-2-hashes.
Wat is SHA?
SHA-1 is ontworpen door de NSA - een grote bijdrager aan crypto-ontwikkelingen - en in 1995 als Amerikaanse overheidsstandaard gepubliceerd. Digitale handtekeningen waarmee wordt gecontroleerd of een digitaal certificaat geldig is, maken gebruik van hashes. Zonder cryptografisch sterke hashalgoritmes, zou authenticatie erg lastig, zo niet onmogelijk worden.
In 2002 werd SHA-2 de aangeraden hashstandaard. Het wordt vaak de SHA-2-familie genoemd, omdat er verschillende hashgroottes binnen worden gebruikt, inclusief van 224, 256, 384 en 512 bits. Als iemand het heeft over een SHA-2-hash weet je nog niet welke lengte wordt gebruikt, hoewel het overgrote deel 256 bit is.
Het algoritme wordt vaak aangevallen en er zijn zwakheden gevonden, maar het wordt in crypto-kringen nog altijd gezien als sterk. Het is stukken beter dan SHA-1 waarvan wordt verwacht dat het in de nabije toekomst te kraken zal zijn.
Uitfasering van SHA-1
Het is dan ook niet verrassend dat veel softwareleveranciers, vooral browsermakers omdat browsers de meeste certificaten verwerken, nu actief naar SHA-2 overstappen. Het is dan ook te verwachten dat de meeste internetbrowsers binnenkort waarschuwingen of zelfs foutmeldingen geven. Microsoft, Mozilla en Google stellen dat vanaf 1 januari volgend jaar niets meer uitgegeven zou mogen worden met SHA-1 en een jaar later worden certificaten met SHA-1-hash door IE, Firefox en Chrome niet meer vertrouwd.
Elke leverancier gaat er anders mee om, maar je kunt ervan uitgaan dat hardware minder snel gaat dan software, simpelweg omdat het makkelijker is om software bij te werken. Maar in veel gevallen is de software die met het apparaat werkt leidend voor SHA-migratie van de hardware. Neem bijvoorbeeld de security-appliance LogRhythm. Die beheer je via Chrome - en deze browser stapt over op SHA-2.
Browsers stappen over
Dit jaar geeft de browser van Google simpelweg een waarschuwing als SHA-1-certificaten worden gebruikt die nog geldig zijn na 1 januari 2016. Voor certificaten die na 1 januari 2017 nog worden gebruikt komt er niet alleen een waarschuwing, maar wordt de data erachter ook behandeld als 'gemengde inhoud' in plaats van 'beveiligde inhoud', zodat de gebruiker op de hoogte is.
Lees door: Een lastig onderdeel is het achterhalen van welke clients compatibel zijn met SHA-2 en welke niet.
Niet alle clients, vaak mobiele platfoms, kunnen al met SHA-2 overweg.
Dus pakweg een jaar geleden was SHA-1 nog min of meer een must.
Sinds November jl. is het advies om met spoed het een en ander in beweging te gaan zetten. Feitelijk is dit al 3 maanden oud nieuws.
Grappig om te lezen dat commerciële bedrijven nog SHA-1 ondersteunen.
We geven vaak af op het IT beleid van Nederlandse overheidsinstellingen. Maar de Nederlandse overheidsinstellingen zijn al meer dan een jaar over op SHA-2.
Reageer
Preview