SHA-1 (abreviação de Secure Hash Algorithm 1) é uma das várias funções de hash criptográficas.
É mais frequentemente usado para verificar se um arquivo foi in alterado. Isso é feito produzindo uma soma de verificação antes que o arquivo seja transmitido e, novamente, quando ele chegar ao seu destino.
O arquivo transmitido pode ser considerado genuíno somente se ambas as somas de verificação forem idênticas.
Histórico e Vulnerabilidades da Função Hash SHA
SHA-1 é apenas um dos quatro algoritmos da família Secure Hash Algorithm (SHA). A maioria foi desenvolvida pela Agência de Segurança Nacional dos EUA (NSA) e publicada pelo Instituto Nacional de Padrões e Tecnologia (NIST).
SHA-0 tem um tamanho de resumo de mensagem de 160 bits (valor de hash) e foi a primeira versão desse algoritmo. Seus valores de hash têm 40 dígitos. Foi publicado sob o nome "SHA" em 1993, mas não foi usado em muitas aplicações porque foi rapidamente substituído por SHA-1 em 1995 devido a uma falha de segurança.
SHA-1 é a segunda iteração desta função hash criptográfica. Este também tem um resumo de mensagens de 160 bits e procurou aumentar a segurança corrigindo uma fraqueza encontrada no SHA-0. No entanto, em 2005, o SHA-1 também foi considerado inseguro.
Uma vez que as fraquezas criptográficas foram encontradas no SHA-1, o NIST fez uma declaração em 2006 encorajando as agências federais a adotarem o uso do SHA-2 até o ano de 2010. SHA-2 é mais forte que SHA-1, e ataques feitos contra SHA-2 são improváveis de acontecer com o poder de computação atual.
Não apenas agências federais, mas até mesmo empresas como Google, Mozilla e Microsoft iniciaram planos para parar de aceitar certificados SSL SHA-1 ou já bloquearam o carregamento desses tipos de páginas.
O Google tem prova de uma colisão SHA-1 que torna esse método não confiável para gerar somas de verificação exclusivas, seja em relação a uma senha, arquivo ou qualquer outro dado. Você pode baixar dois arquivos PDF exclusivos do SHAttered para ver como isso funciona. Use uma calculadora SHA-1 na parte inferior desta página para gerar a soma de verificação para ambos, e você descobrirá que o valor é exatamente o mesmo, embora contenham dados diferentes.
SHA-2 e SHA-3
SHA-2 foi publicado em 2001, vários anos após o SHA-1. Inclui seis funções de hash com tamanhos de compilação variados: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 e SHA-512/256.
Desenvolvido por designers não pertencentes à NSA e lançado pelo NIST em 2015, é outro membro da família Secure Hash Algorithm, chamado SHA-3 (anteriormente Keccak).
SHA-3 não pretende substituir o SHA-2 como as versões anteriores pretendiam substituir as anteriores. Em vez disso, foi desenvolvido apenas como outra alternativa ao SHA-0, SHA-1 e MD5.
Como o SHA-1 é usado?
Um exemplo do mundo real onde o SHA-1 pode ser usado é quando você digita sua senha na página de login de um site. Embora isso aconteça em segundo plano sem o seu conhecimento, pode ser o método que um site usa para verificar com segurança se sua senha é autêntica.
Neste exemplo, imagine que você está tentando fazer login em um site que visita com frequência. Cada vez que você solicita o login, é necessário inserir seu nome de usuário e senha.
Se o site usa a função de hash criptográfico SHA-1, significa que sua senha é transformada em uma soma de verificação depois que você a digita. Essa soma de verificação é então comparada com a soma de verificação armazenada no site relacionada ao seu senha, se você não mudou sua senha desde que você se inscreveu ou se você acabou de alterá-la momentos atrás. Se os dois corresponderem, você terá acesso; caso contrário, você será informado de que a senha está incorreta.
Outro exemplo onde esta função hash pode ser usada é para verificação de arquivos. Alguns sites fornecerão a soma de verificação SHA-1 do arquivo na página de download para que, ao fazer o download do arquivo, você mesmo possa verificar a soma de verificação para garantir que o arquivo baixado seja igual ao que você pretendia baixar.
Você pode se perguntar onde está um uso real neste tipo de verificação. Considere um cenário em que você conhece a soma de verificação SHA-1 de um arquivo do site do desenvolvedor, mas deseja baixar a mesma versão de um site diferente. Você pode gerar a soma de verificação SHA-1 para seu download e compará-la com a soma de verificação genuína da página de download do desenvolvedor.
Se os dois forem diferentes, isso não significa apenas que o conteúdo do arquivo não é idêntico, mas pode haver malware oculto no arquivo, os dados podem estar corrompidos e causar danos aos arquivos do seu computador, o arquivo não é qualquer coisa relacionada ao arquivo real, etc.
No entanto, também pode significar que um arquivo representa uma versão mais antiga do programa do que o outro, já que mesmo essa pequena alteração gerará um valor único de checksum.
Você também pode querer verificar se os dois arquivos são idênticos se estiver instalando um service pack ou algum outro programa ou atualização, pois ocorrem problemas se alguns dos arquivos estiverem f altando durante a instalação.
SHA-1 Calculadoras de soma de verificação
Um tipo especial de calculadora pode ser usado para determinar a soma de verificação de um arquivo ou grupo de caracteres.
Por exemplo, SHA1 Online e SHA1 Hash Generator são ferramentas online gratuitas que podem gerar a soma de verificação SHA-1 de qualquer grupo de texto, símbolos e/ou números.
Esses sites irão, por exemplo, gerar este par:
pAssw0rd!
bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba
