Ifølge eWeek har Microsoft bestemt seg for ikke lenger å tillate sine utviklere å benytte seg av kryptoalgoritmene DES, MD4, MD5 og i visse tilfeller også SHA1.
De tre første betraktes som for lengst utrangerte. Når det gjelder SHA1 er Microsoft føre var. I februar i år viste kinesiske forskere at det er mulig å framstille to forskjellige dokumenter som får samme hash-verdi – signatur – med SHA1. Det tyder på at kriminelle vil kunne forfalske et digitalt dokument og samtidig forsyne det med en signatur som andre må tro er ekte.
Les også:
- [02.01.2009] Sertifiserte nettsteder kan forfalskes
- [25.11.2005] Advarer mot overdreven fokus på kyberterror
- [14.11.2005] Vil tjene penger på å knekke passord
- [15.03.2005] Krever helt ny type hash-algoritmer
- [18.02.2005] Utbredt krypteringsteknologi knekket
- [20.08.2004] Demonstrerte hull i kryptoalgoritmer
Microsoft anbefaler SHA-256 og AES som alternativer. All nyutviklet kode skannes sentralt i Microsoft, og det skal heretter slås alarm dersom noen bruker en av de forbudte kryptoalgoritmene.
Selskapet lover videre at man også vil fjerne de eldre algoritmene fra ferdig utviklet kode.
Den uavhengige kryptografen Bruce Schneier sier til eWeek at Microsoft skulle avviklet bruken av DES, MD4 og MD5 for flere år siden. Han synes beslutningen om å avvikle bruken av SHA1 er rosverdig.
Schneier peker samtidig på at angrep på sårbare kryptoalgoritmer hører til sjeldenhetene, siden det er så mye enklere å kapre informasjon gjennom sårbarheten i programvaren.