Microsoft прекращает использование алгоритма SHA-1 в обновлениях Windows

Обновления Windows – критически важный компонент операционной системы, который требует особого уровня защиты для предотвращения внедрения вредоносного кода через Windows Update. На данный момент Microsoft использует два разных алгоритма хэширования для обнаружения подмены апдейтов сторонними лицами. Речь идет о SHA-1 и SHA-2. Windows 7 / Windows Server 2008 используют SHA-1 для проверки патчей, а Windows 8 / 8.1 / 10 используют SHA-2. В следующем месяце Microsoft выпустит свежий патч для Windows 7 / Windows Server 2008 R2, который активирует поддержку хэша SHA-2 на старых версиях операционной системы. В дальнейшем от SHA-1 откажутся вовсе.

Об алгоритме хэширования SHA-1 стало известно еще в далеком-далеком 1995 году. Он генерирует уникальное значение длиной в 20 бит, которое при малейшем изменении вводных данных радикально меняется, что позволяет использовать так называемую «хэш-сумму» для проверки целостности и надежности файла. Лучшие времена SHA-1 уже в прошлом и сейчас использование этого алгоритма считается дурной практикой, поскольку специалистам уже удалось сгенерировать «коллизии хэша». Это феномен, когда два различных файла имеют одинаковые значения SHA-1, а значит возможна подмена объекта без изменения хэш-суммы. Если подобное проделать с обновлениями для Windows Update, злоумышленникам получится подменить файл обновления и внедрить в систему вредоносный код. Не удивительно, что Microsoft хочет избавиться от этого алгоритма в своих операционных системах. Другие разработчики тоже отказались от использования SHA-1. К примеру, современные браузеры уже не доверяют SSL-сертификатам, использующим SHA-1.

В июле этого года все обновления для Windows7 / Windows Server 2008 будут рассылаться исключительно с применением SHA-2. Это значит, что компаниям, желающим далее получать обновления для своих компьютеров, надо будет установить патч, который Microsoft представит в следующем месяце для поддержки SHA-2 на старых, но еще поддерживаемых версиях Windows. В июне Microsoft также откажется от использования двойного алгоритма SHA-1 / SHA-2 в Windows 10 1709, 1803 и 1809, но в этом случае пользователям не надо будет предпринимать никаких действий со своими компьютерами.