Компанія Microsoft оголосила про намір видалити з «Центру завантаження» (Download Center) всі завантаження Windows, які були підписані за допомогою алгоритму SHA-1 (Secure Hash Algorithm 1). Це відбудеться 3 серпня, а причина цього рішення криється в тому, що алгоритм SHA-1 ненадійний і може наражати користувачів на небезпеку в разі атак з боку зловмисників.
"SHA-1 - це застарілий алгоритм хешування, який, на думку багатьох фахівців у сфері інформаційної безпеки, більше не здатний забезпечити належний рівень захисту. Використання алгоритму SHA-1 в цифрових сертифікатах може дозволити зловмисникам модифікувати контент для проведення фішингових кампаній або атак типу «людина посередині», - йдеться в повідомленні Microsoft.
Варто відзначити, що Microsoft рекомендувала відмовитися від використання SHA-1 для підпису цифрових сертифікатів ще в 2013 році. Незважаючи на те, що опис злому функцій алгоритму SHA-1 з'явився в 2005 році, першу успішну атаку на його основі вдалося провести тільки в 2017 році, коли дослідникам у сфері інформаційної безпеки вдалося створити два файли з однаковим хешем SHA-1.
Проблеми безпеки алгоритму SHA-1 змусила Microsoft і багатьох інших розробників відмовитися від використання алгоритму для створення сертифікатів. Зараз для підпису цифрових сертифікатів рекомендується використовувати алгоритм SHA-2, який вважається більш захищеним. Наприклад, пристрої без підтримки SHA-2 перестали отримувати оновлення Windows ще влітку минулого року.
