ar

حان الوقت للتوقف عن استخدام خوارزمية SHA-1 في نظام اسم النطاق DNS

24 يناير 2020

في وقت سابق من هذا الشهر، نشر مصمما التشفير غيتان لورينت وتوماس بيرين هجمة على أمن خوارزمية SHA-1 المستخدمة في سائر الإنترنت. وتم استبدال SHA-1 بخوارزميات هاش أفضل منذ ما يقرب من 20 عاماً، لكنها لا تزال مستخدمة على نطاق واسع معظمها من قبل أشخاص لا يعرفون أن لخوارزمية SHA-1 نقاط ضعف.

تستخدم خوارزميات التجزئة لإنشاء سلاسل قصيرة من البتّات تُعرف بقيم التجزئة والتي يمكن أن تمثل رسائل أطول. واحدة من خصائص خوارزميات التجزئة الجيدة هي أنه من الصعب بشكل استثنائي وكما يؤمل أن يتم إنشاء رسالتين مختلفتين لهما نفس قيمة التجزئة. وعلى مدار أكثر من عقد من الزمان، كان مصممو التشفير ينشرون وثائق تُظهر الهجمات التي تقلل من "قوة" SHA-1، أي قدرة خوارزمية SHA-1 على إنشاء قيم تجزئة فريدة تعطي مدخلات تحكمية. إن وثيقة هذا الشهر هو تحسين كبير بُني على ذلك العمل السابق. ومثل معظم بروتوكولات الأمان على الإنترنت، تستخدم الامتدادات الامنية لنظام اسم النطاق (DNSSEC) خوارزميات التجزئة لزيادة سرعة التوقيع وتصديق التوقيعات.

تجعل الهجمة الجديدة من السهل على المهاجمين خداع مسؤولي منطقة نظام اسم النطاق (DNS) من خلال إنشاء قيم تجزئة، فيما يخص DNSSEC أو التوقيعات الموثوق بها عبر سجلات DNS لا ينوون التوقيع عليها. ومن الناحية الفنية، يُسهل العمل الجديد على المهاجم الضار إنشاء تصادمات البادئة المختارة. ومن الناحية غير الفنية، يمكن للمهاجم أن يُنشئ سجلّين لنظام DNS وبشكل أكثر سهولةً والتي لها نفس قيمة التجزئة SHA-1. إن بدا أحد السجلين غير ضارين ويمكنهما إقناع المسؤول عن المنطقة بالتوقيع عليه، فسيتم تطبيق التوقيع أيضاً على السجل الأكثر - وبشكل محدود - ضرراً والذي لم يره المسؤول عن المنطقة مطلقاً.

لهذه الهجمة المحسّنة تداعيات على كافة أجزاء الإنترنت التي تستخدم خوارزمية SHA-1. وفي الامتدادات الأمنية لنظام اسم النطاق DNSSEC فإن SHA-1 هي جزء من  بعض خوارزميات التوقيع التي استخدمت منذ الأيام الأولى لأمن نظام DNS. وعلى الرغم من أن معظم المناطق التي توقع مع امتدادات DNSSEC تستخدم خوارزميات أقوى، فلا يزال هناك الكثير منها التي تستخدم الخوارزميات التي تستخدم SHA-1. في الواقع؛ إن أكثر من 250 نطاق من نطاقات المستوى الأعلى (TLD) لاتزال تستخدم خوارزميات مع SHA-1. كتب توني فينتش وهو مساهم مخضرم في مجال نظام اسم النطاق DNS ويعمل في جامعة كامبريدج لمحة معمقة جداً حول علاقة الهجمة الجديدة بامتدادات DNSSEC.

والآن حان الوقت للمسؤولين عن إدارة المناطق في كافة مستويات DNS أن يتوقفوا عن استخدام SHA-1 والتحوّل الى خوارزميات تستخدم تجزئة أقوى. وعلى الرغم من عدم وجود حاجة ملحة للتغيير على الفور، إلا أن الإعلان الذي تم نشره على نطاق واسع حول الهجوم المحسن قد يحفز الباحثين الآخرين على زيادة تحسين الهجمات. بالإضافة الى ذلك فأنه من المتوقع أن يكون هناك وقت يكون فيه الانتقال من SHA-1 أمراً ملحاً لايقبل التأخير. لا أحد يريد تغيير عمليات التوقيع الخاصة به تحت الضغط الشديد للوقت، لذا فإن التغيير الآن أو خلال الأشهر الثلاث المقبلة سيساعد على تفادي أن نكون في ظرف الحاجة الملحة للتغيير، في وقت لاحق.