Anvendelse af en digital signatur via. den udfasede SHA1-algoritme

SHA1 algoritme advarselsmeddelelse

Under digital underskrivelse af et PDF-dokument i Acrobat eller Acrobat Reader ser du måske den følgende advarselsbesked:

Advarselsbesked om SHA1-algoritmen under digital underskrivning af et PDF-dokument i Acrobat eller Acrobat Reader

Baggrund: SHA256 har været standard hashing-algoritme i Acrobat siden version 9.1. Acrobat eller Reader har dog lydløst skiftet tilbage til SHA1-hashing i baggrunden, mens signaturen blev oprettet, for at forhindre fejl, hvis signaturenheden (f.eks. Smart Card eller USB-token) eller dens driver ikke understøttede SHA256 hashing.

For nyligt er det lykkedes forskere at genere kollisioner med SHA1 hash-algoritme ved anvendelse af digitale signaturer. Dette betyder, at under særlige forhold kan det være muligt at generere en digital signatur baseret på SHA1 hash, som ikke ville være unik for et dokument, men som måske også kunne være gyldig ved anvendelse på andre dokumenter.

Hvad har ændret sig i Acrobat og Acrobat Reader (2017.009.20044): Med Acrobat og Acrobat Reader version 2017.009.20044 advarer Adobe brugere imod at bruge den udfasede SHA1 hash-algoritme til digitale signaturer. Brugeren kan fortsætte med at underskrive vha. SHA1, selvom det ikke anbefales, da SHA1 betragtes som udfaset i hele industrien.

Løsninger

Der er forskellige løsninger til at forhindre dette advarselsdialogvindue ud fra den specifikke situation:

  • Adobe anbefaler på det kraftigste at tjekke med din signaturenhed eller driver-producent for at få en nyere enhed eller driver, som understøtter SHA256 eller stærkere hash-algoritmer.
  • Hvis den anmodede hash-algoritme ikke understøttes af signaturenheden, kan brugeren vælge afkrydsningsfeltet “Vis ikke igen“ og trykke på Fortsæt for at skrive under med SHA1. Den næste gang vil dette dialogvindue ikke dukke op.
  • Acrobat har måske tidligere været indstillet til at bruge SHA1 istedet for standard SHA256 hashing. Brugeren kan slette indstillingen aSignHash eller indstille den til SHA256 som beskrevet på denne side.
  • I tilfælde af at brugen af SHA1 algoritme afhænger af tilstedeværelsen af en “Seed Value” anvendt i et eksisterende signaturfelt i et PDF dokument (se denne side), så kan brugeren anmode forfatteren af dokumentet om at opdatere den for at understøtte SHA256 eller andre stærkere hash-algoritmer, med mindre SHA1 er strengt nødvendig.

Få hjælp hurtigere og nemmere

Ny bruger?