För tre år sedan kunde Google demonstrera att det var fullt möjligt att genomföra så kallade kollisionsangrepp mot SHA-1 och sedan dess har krypteringsalgoritmen bytts ut i de flesta moderna webbläsare.
Nu har säkerhetsforskarna Gaëtan Leurent och Thomas Peyrin skrivit en uppsats kallad SHA-1 is a Shambles där de beskriver hur det är möjligt att relativt enkelt skapa falska digitala certifikat tack vare den föråldrade krypteringsalgoritmen.
För att skapa de falska certifikaten krävs ett kluster av grafikprocessorer. I dagsläget kostar det motsvarande 425 000 kronor att hyra ett sådant kluster, men inom fem år tros kostnaden ha sjunkit till 95 000 kronor. Med andra ord ökar risken ju längre man väntar med att byta ut SHA-1 mot SHA-2.
I dagsläget används SHA-1 fortfarande i många säkerhetsprotokoll och säkerhetsföretaget Sophos påpekar att det även används på det Microsoft-ägda kodhotellet Github. Att byta ut krypteringsalgoritmen liknas vid att vända på en oljetanker, med andra ord lär det ta en hel del tid innan övergången är slutförd.
Läs också:
Flipboard utsatt för attack – användaruppgifter stulna
Microsoft kräver SHA-2 för uppdateringar av Windows 7 och Server 2008
