Η ομάδα του Microsoft Edge εξετάζει το γεγονός να τερματίσει τα SHA-1 ψηφιακά πιστοποιητικά νωρίτερα από ότι είχε προβλέψει. Η εταιρεία με βάση στο Redmond, παραδειγματίζεται από τη Mozilla, η οποία πριν από δύο εβδομάδες ανακοίνωσε το ίδιο πράγμα.
Ακριβώς όπως και η Mozilla, έτσι και η Microsoft βασίζει την απόφασή της στην πρόσφατη παραβίαση του αλγορίθμου SHA-1 από μια ομάδα επιστημόνων από τα πανεπιστήμια της Γαλλίας, της Ολλανδίας και της Σιγκαπούρης.
Οι ερευνητές κατάφεραν να σπάσουν την εσωτερική στοιβάδα της κρυπτογράφησης του SHA-1 χρησιμοποιώντας ένα σύμπλεγμα από 64 κάρτες GPU σε μόλις δέκα ημέρες.
Το συνολικό κόστος της επιχείρησης αυτής ήταν μεταξύ των $75.000 και $120.000 (€ 67.000 και € 107.000). Αυτό ήταν ένα σημαντικά χαμηλότερο ποσό από ό, τι άλλοι επιστήμονες πίστευαν ότι θα ήταν απαραίτητο για να επιτευχθεί. Η έρευνα δόθηκε στη δημοσιότητα για να προειδοποιήσει τις οργανώσεις για τον επικείμενο κίνδυνο.
Η πρώτη που αντέδρασε ήταν η Mozilla, η οποία σε μια δήλωση στο blog της, είπε ότι επαναξιολογεί την επιλογή της για μεταφορά της ημερομηνίας τερματισμού από την 1η Ιανουαρίου 2017, στην 1η Ιουλίου 2016.
Το παράδειγμα της Mozilla ακολουθήθηκε και η Microsoft, όταν ο Kyle Pflug, Διευθυντής Προγράμματος, Microsoft Edge είπε: «Υπό το φως των τελευταίων εξελίξεων σχετικά με τις επιθέσεις στον αλγόριθμο SHA-1, εξετάζουμε τώρα την επιτάχυνση του χρονοδιαγράμματος για να τερματίσουμε τα SHA-1 υπογεγραμμένα TLS πιστοποιητικά έως και Ιούνιο του 2016.»
Τα προηγούμενο σχέδια της Microsoft είχαν προγραμματίσει τη φραγή των SHA-1 υπογεγραμμένων πιστοποιητικών από την 1η Ιανουαρίου του 2017.
Αυτή τη στιγμή, ο άλλος σημαντικός παίκτης στην αγορά των browser, η Google, δεν έχει ακόμη μετακινήσει την ημερομηνία αποκοπής για το SHA-1 από την αρχικά προγραμματισμένη της ημερομηνία (1ης Ιανουαρίου 2017).
Μια μελέτη από τη Netcraft έδειξε ότι, αυτή τη στιγμή, πάνω από 1 εκατομμύριο ιστοσελίδες ακόμα αναπτύσσουν SHA-1 υπογεγραμμένα πιστοποιητικά με τις υποδομές τους. Μια έρευνα που ακολούθησε από το ίδιο προσωπικό της Netcraft αποκάλυψε ότι πολλές από τις ιστοσελίδες της κυβέρνησης των ΗΠΑ και του στρατού εξακολουθούν να χρησιμοποιούν παρωχημένα SHA-1 πιστοποιητικών, βάζοντας τους χρήστες και τα δεδομένα τους σε κίνδυνο.
