SHA-1 (Güvenli Karma Algoritma 1'in kıs altması) birkaç şifreleme karma işlevinden biridir.
Genellikle bir dosyanın değiştirilmediğini doğrulamak için kullanılır. Bu, dosya iletilmeden önce ve hedefine ulaştığında tekrar bir sağlama toplamı üretilerek yapılır.
İletilen dosya, yalnızca her iki sağlama toplamı da aynıysa orijinal olarak kabul edilebilir.
SHA Hash İşlevinin Geçmişi ve Güvenlik Açıkları
SHA-1, Güvenli Karma Algoritma (SHA) ailesindeki dört algoritmadan yalnızca biridir. Çoğu ABD Ulusal Güvenlik Ajansı (NSA) tarafından geliştirildi ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından yayınlandı.
SHA-0 160 bit mesaj özeti (karma değeri) boyutuna sahiptir ve bu algoritmanın ilk versiyonudur. Hash değerleri 40 hane uzunluğundadır. 1993 yılında "SHA" adı altında yayınlandı ancak bir güvenlik açığı nedeniyle 1995 yılında hızla SHA-1 ile değiştirildiğinden pek çok uygulamada kullanılmadı.
SHA-1, bu şifreleme karma işlevinin ikinci yinelemesidir. Bu ayrıca 160 bitlik bir mesaj özetine sahiptir ve SHA-0'da bulunan bir zayıflığı düzelterek güvenliği artırmaya çalışmıştır. Ancak 2005'te SHA-1'in de güvensiz olduğu bulundu.
SHA-1'de kriptografik zayıflıklar bulunduğunda, NIST 2006 yılında federal kurumları 2010 yılına kadar SHA-2 kullanımını benimsemeye teşvik eden bir açıklama yaptı. SHA-2, SHA-1'den daha güçlüdür ve yapılan saldırılar SHA-2'ye karşı, mevcut bilgi işlem gücüyle gerçekleşmesi pek olası değildir.
Yalnızca federal kurumlar değil, Google, Mozilla ve Microsoft gibi şirketler bile ya SHA-1 SSL sertifikalarını kabul etmeyi bırakma planlarına başladı ya da bu tür sayfaların yüklenmesini zaten engelledi.
Google, bir şifre, dosya veya başka bir veri parçasıyla ilgili olsun, bu yöntemi benzersiz sağlama toplamları oluşturmak için güvenilmez kılan bir SHA-1 çarpışmasının kanıtına sahiptir. Bunun nasıl çalıştığını görmek için SHAttered'den iki benzersiz PDF dosyası indirebilirsiniz. Her ikisi için de sağlama toplamını oluşturmak üzere bu sayfanın alt kısmındaki bir SHA-1 hesap makinesini kullanın ve farklı veriler içermelerine rağmen değerin tam olarak aynı olduğunu göreceksiniz.
SHA-2 ve SHA-3
SHA-2, SHA-1'den birkaç yıl sonra, 2001'de yayınlandı. Değişken özet boyutlarına sahip altı karma işlevi içerir: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 ve SHA-512/256.
NSA dışı tasarımcılar tarafından geliştirilen ve 2015 yılında NIST tarafından piyasaya sürülen, SHA-3 (eski adıyla Keccak) adlı Secure Hash Algorithm ailesinin bir başka üyesidir.
SHA-3, önceki sürümlerin önceki sürümlerin yerini alması gerektiği gibi SHA-2'nin yerini alması anlamına gelmez. Bunun yerine, SHA-0, SHA-1 ve MD5'e başka bir alternatif olarak geliştirildi.
SHA-1 Nasıl Kullanılır?
SHA-1'in kullanılabileceği gerçek hayattan bir örnek, bir web sitesinin giriş sayfasına şifrenizi girmenizdir. Bilginiz dışında arka planda gerçekleşse de, bir web sitesinin şifrenizin gerçek olduğunu güvenli bir şekilde doğrulamak için kullandığı yöntem olabilir.
Bu örnekte, sık ziyaret ettiğiniz bir web sitesine giriş yapmaya çalıştığınızı hayal edin. Her oturum açma talebinde bulunduğunuzda, kullanıcı adınızı ve şifrenizi girmeniz gerekir.
Web sitesi SHA-1 şifreleme karma işlevini kullanıyorsa, bu, parolanızı girdikten sonra bir sağlama toplamına dönüştürüldüğü anlamına gelir. Bu sağlama toplamı, daha sonra web sitesinde depolanan ve mevcut parolanızla ilgili sağlama toplamı ile karşılaştırılır. şifrenizi, kaydolduğunuzdan beri değiştirmemiş olsanız da veya az önce değiştirmiş olsanız da. İkisi eşleşirse, size erişim izni verilir; yapmazlarsa, şifrenin yanlış olduğu söylenir.
Bu karma işlevinin kullanılabileceği başka bir örnek dosya doğrulama içindir. Bazı web siteleri indirme sayfasında dosyanın SHA-1 sağlama toplamını sağlar, böylece dosyayı indirdiğinizde, indirilen dosyanın indirmeyi amaçladığınızla aynı olduğundan emin olmak için sağlama toplamını kendiniz kontrol edebilirsiniz.
Bu tür bir doğrulamada gerçek bir kullanımın nerede olduğunu merak edebilirsiniz. Geliştiricinin web sitesindeki bir dosyanın SHA-1 sağlama toplamını bildiğiniz ancak aynı sürümü farklı bir web sitesinden indirmek istediğiniz bir senaryo düşünün. Ardından, indirmeniz için SHA-1 sağlama toplamını oluşturabilir ve geliştiricinin indirme sayfasındaki orijinal sağlama toplamı ile karşılaştırabilirsiniz.
İkisi farklıysa, bu yalnızca dosyanın içeriğinin aynı olmadığı anlamına gelmez, aynı zamanda dosyada gizli kötü amaçlı yazılım olabilir, veriler bozulabilir ve bilgisayar dosyalarınıza zarar verebilir, dosya gerçek dosyayla ilgili herhangi bir şey, vb.
Ancak, bu sadece bir dosyanın programın diğerinden daha eski bir sürümünü temsil ettiği anlamına da gelebilir, çünkü bu kadar küçük bir değişiklik bile benzersiz bir sağlama toplamı değeri üretecektir.
Ayrıca, bir hizmet paketi veya başka bir program veya güncelleme yüklüyorsanız, iki dosyanın aynı olup olmadığını kontrol etmek isteyebilirsiniz, çünkü kurulum sırasında bazı dosyalar eksikse sorunlar oluşur.
SHA-1 Sağlama Toplamı Hesaplayıcıları
Bir dosyanın veya karakter grubunun sağlama toplamını belirlemek için özel bir tür hesap makinesi kullanılabilir.
Örneğin, SHA1 Online ve SHA1 Hash Generator, herhangi bir metin, sembol ve/veya sayı grubunun SHA-1 sağlama toplamını oluşturabilen ücretsiz çevrimiçi araçlardır.
Örneğin, bu web siteleri şu çifti oluşturacaktır:
pAssw0rd!
bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba
