Przejdź do zawartości Przejdź do Menu głównego Go to English version Przejdź do Stopki strony
Logo NASK Logo NASK Logo NASK

Rejestr domeny .pl

A A A+
Wersja kontrastowa
Pomiń menu

Kolizja SHA-1

Kolizja SHA-1

W związku z opublikowanymi przez kryptografów Gaëtana Leurenta i Thomasa Peyrina informacjami o przeprowadzonej przez nich pierwszej udanej kolizji dla algorytmu SHA-1, przedstawiamy kilka ważnych informacji dla użytkowników domen .pl. Wykrycie tej kolizji oznacza utratę zaufania do funkcji skrótu SHA-1, a tym samym, możliwość wystąpienia ataków podobnych jak na algorytm MD5.

ICANN, ustosunkowując się do tego faktu, wydał rekomendacje dla operatorów ccTLD oraz operatorów DNS.
Zalecana jest rezygnacja z podpisywania stref przy pomocy algorytmu klucza z rodziny SHA-1 i zamiana na algorytm 8 (RSA/SHA-256) lub 13 (ECDSA Curve P-256 with SHA-256).
Jeżeli chodzi o używaną funkcję skrótu, ICANN zaleca stosowanie SHA-256 or SHA-384.

Strefa .PL

Domena .pl podpisana jest za pomocą rekomendowanych przez ICANN algorytmów.
Poniżej przedstawiamy zestaw rekordów DS dla domeny .pl i wartości funkcji skrótu oraz algorytmu klucza.

6064 8 2 2CD7D3D164D8239D4EA8991A62C9667A5AE19FBFBDEBEB35CB825D1F6688EEA6
39175 8 2 079335677A06A1F43549B81C440A1EA8CCA7538CA0CFF7B3F2C43EAE DBC50FCB
Funkcja skrótu: 2 - SHA-256
Algorytm klucza: 8 - RSA/SHA-256

Rekomendacje dla Partnerów NASK i administratorów DNS

Podobnie jak ICANN, rekomendujemy używanie poniższych wartości typu algorytmu i funkcji skrótu dla rekordów DS.

DIGEST TYPE/Funkcja skrótu:
2 SHA-256
3 GOST R 34.11-94
4 SHA-384

DNSSECKEY ALGORITHM/Algorytm klucza:
8 RSA/SHA-256
10 RSA/SHA-512
12 GOST R 34.10-2001
13 ECDSA Curve P-256 with SHA-256
14 ECDSA Curve P-384 with SHA-384

Wszystkie dostępne wartości opublikowane są na stronie https://dns.pl/DNSSEC/FAQ.

O wycofaniu algorytmu funkcji skrótu SHA-1 w Rejestrze domeny .pl poinformujemy z odpowiednim wyprzedzeniem.

Więcej informacji na temat kolizji SHA-1 można znaleźć na stronach:
https://sha-mbles.github.io/
https://www.dns.cam.ac.uk/news/2020-01-09-sha-mbles.html
https://www.icann.org/news/blog/it-s-time-to-move-away-from-using-sha-1-in-the-dns
https://www.gov.pl/web/cyfryzacja/algorytm-funkcji-skrotu-sha-1-nierekomendowany-co-nie-znaczy-wycofany