Τα νέα για την αφαίρεση του Crypto provider από το Android N ανακοινώθηκε από την Google, όπου περιμένετε να συμβεί αυτόν το Φθινόπωρο.
Συγκεκριμένα το Android είναι ένα σύστημα φτιαγμένο σε Java και χρησιμοποιεί Java Cryptography Architecture (JCA) ώστε να δίνετε η δυνατότητα στους προγραμματιστές να γράφουν και να διαχειρίζονται τα λειτουργικά της κρυπτογράφησης στον κώδικα τους.
Το JCA είναι ένα σημαντικό κομμάτι της πλατφόρμας Java που μπορεί να λειτουργήσει με διάφορους τύπους αλγορίθμων, κάθε φορά διαφορετικά με βάση των αρχών και τον σκοπό του αλγόριθμου. Όταν λοιπόν ο προγραμματιστής θέλει να διευθύνει τις επιχειρήσεις που λειτουργούν με κρυπτογράφηση, επικαλείται σε ένα από αυτούς τους αλγόριθμους φορτώνοντας το provider τους, και στη συνέχεια επιλέγουν το επιθυμητό αλγόριθμο κρυπτογράφησης.
Η Android υποστηρίζει τους περισσότερους από τους πάροχους JCA, μερικοί από αυτούς είναι: OpenSSL, BC, HarmonyJSSE, DRLCertFactory.
Πριν από το Android Ν, ένας από αυτούς τους πάροχους ήταν και το Crypto, το οποίο περιλάμβανε υποστήριξη για αλγόριθμους όπως SHA1PRNG, SHA1withDSA, DSA, και SHA-1. Όπως μπορείτε να δείτε πλέον, οι περισσότεροι από αυτούς τους αλγόριθμους θεωρούνται αδύναμοι και ανασφαλείς.
Όπως δήλωσε ο Sergio Giro (Android software engineer)
«Στο Android Ν θα καταργήσουμε την εφαρμογή του αλγορίθμου SHA1PRNG και το Crypto ως provider συνολικά, Οι προγραμματιστές θα πρέπει να μετατρέψουν τον κώδικα τους για να χρησιμοποιήσουν άλλους πάροχους JCA»
Η εταιρεία συμβουλεύει πλέον τους προγραμματιστές να ξαναγράψουν τις εφαρμογές τους, σε περίπτωση που χρησιμοποίησαν Crypto, και ειδικότερα τον αλγόριθμο SHA1PRNG.
Πολλοί προγραμματιστές χρησιμοποιούν αυτόν τον αλγόριθμο για να δημιουργήσουν encryption key derivates. Η SHA1PRNG επέτρεψε στους προγραμματιστές να χρησιμοποιήσουν έναν κωδικό πρόσβασης χρήστη και να επεκτείνουν ένα μικρότερο κλειδί σε ένα μεγαλύτερο κλειδί κρυπτογράφησης.
“Το πρόβλημα είναι ότι ο αλγόριθμος SHA1PRNG δεν είναι κρυπτογραφικά ισχυρός»
δηλώνει ο Giro και ως εκ τούτου συμβουλεύει τους προγραμματιστές να χρησιμοποιούν ισχυρότερους αλγόριθμους όπως AES εάν χρειαστεί να δημιουργήσουν κάποιο κλειδί.
