Már jó ideje, hogy szóba került, de két-három éve egyre több fajsúlyos szakmai szervezet figyelmeztet arra, hogy az interneten széles körben elterjedt és használt titkosítási algoritmus, az SHA-1 a közelmúlt informatikai – főleg hardveres – fejlődése folytán nemhogy gyengévé vált, hanem hamarosan könnyen feltörhető lesz, így védett hozzáférések és dokumentumok százmilliói kerülnek veszélybe. A „törés” időpontját, vagyis azt, hogy mikortól veszíti el az SHA-1 teljes mértékben védelmi erejét, különféle szakértők különféle időpontokra jósolták, jósolják – de abban mindannyian egyetértenek, hogy ez még az évtized vége előtt megtörténik.

Magyarországon is gond lehet

Friss közleményében egy magyar biztonsági cég, a Hunguard Kft. ezzel kapcsolatban egy hazai aspektusra hívja fel a figyelmet, ugyanis ők úgy vélik, hogy „Magyarországon elektronikus iratok millió kerülhetnek veszélybe akár fél éven belül, mivel a szakmai előrejelzések szerint hamarosan feltörhetik a legnépszerűbbek közé tartozó, SHA-1 kriptográfiai algoritmust.”

Felmérésekre hivatkozva közlik, hogy hazánkban is számtalan szervezet és vállalat állt át a költségtakarékossági, kereshetőségi és dokumentumtárolási szempontból a papíralapú nyilvántartásoknál jobb megoldást kínáló elektronikus archiválásra: így becslések szerint az SHA-1 algoritmus elterjedése miatt jelenleg Magyarországon százmilliós nagyságrendű a veszélyeztetett dokumentumok száma. Amennyiben a szervezetek nem gondoskodnak időben a dokumentumok védelméről, akár több millió forintos károkat is kockáztatnak – vélik a biztonsági szakemberek.

El fog tűnni

Mint ismert, az SHA-1 sok éve ismert gyengesége miatt a Microsoft, a Google és a Mozilla nemrég bejelentette, hogy böngészőik 2017-től nem támogatják az algoritmust. De – írják a Hunguard közleményében – „a hazai archiválási rendszerek esetében viszont ennél gyorsabb reakcióra lesz szükség.” (Ez egyébként nemcsak Magyarországon merült fel, mivel a szakemberek egyre inkább úgy látják, hogy a 2012-ben megjósolt öt év a feltörésre túl optimista becslés volt, a technológiai fejlődés miatt ez sokkal hamarabb be fog következni.)

A magyar vállalkozás ugyanakkor igyekszik megnyugtatni is az érintetteket: „Jelenleg a 2007/114-es GKM-rendelet szabályozza és határozza meg Magyarországon a digitális archiválás szabályait. Nem kell azonban kétségbe esniük az elektronikus adatokat tároló szervezeteknek. »Azok az archiváló rendszerek, amelyek megfelelnek a jogszabálynak, és képesek az SHA-1 és a későbbi kriptográfiai algoritmusok meggyengülése esetén is folyamatosan fenntartani a hitelességet, a továbbiakban is megfelelő védelmet biztosítanak majd. Viszont ezekre minél előbb át kell térniük a vállalatoknak, hiszen akár már fél éven belül is probléma lehet a régi hitelesítésű dokumentumokkal« – emeli ki Lengyel Csaba szakmai igazgató.” Azt javasolják, hogy célszerű a saját tanúsítású szoftverek alkalmazása a vállalatok számára, mivel ezek könnyebben testre szabhatóak, így jobban megfelelnek az egyedi igényeknek és a jogszabályi elvárásoknak is.