SHA1-algoritmia koskeva varoitusviesti
Kun PDF-dokumentteja allekirjoitetaan digitaalisesti Acrobatissa tai Acrobat Readerissa, saattaa näkyä seuraava varoitusviesti:
Tausta: SHA256 on ollut oletuksena käytetty hajautusalgoritmi Acrobatissa versiosta 9.1 alkaen. Joissakin tapauksissa Acrobat tai Reader on kuitenkin käyttänyt varamenettelynä SHA1-hajautusalgoritmia allekirjoituksen luonnin yhteydessä, jotta allekirjoitus ei epäonnistuisi; esimerkiksi silloin, jos allekirjoitukseen käytettävä laite (esimerkiksi älykortti tai USB-tunnus) tai sen ajuri ei tue SHA256-hajautusalgoritmia.
Viime aikoina tutkijat ovat onnistuneet luomaan ristiriitoja SHA1-hajautusalgoritmin kanssa, kun sitä on käytetty digitaalisissa allekirjoituksissa. Tämä tarkoittaa, että joissakin tilanteissa saattaa olla mahdollista luoda SHA1-hajautusalgoritmiin perustuva digitaalinen allekirjoitus, joka ei ole yksilöllinen vaan saattaa kelvata myös, kun sitä käytetään eri dokumentteihin.
Muutokset Acrobatissa ja Acrobat Readerissa (2017.009.20044): Acrobatin ja Acrobat Readerin julkaisun 2017.009.20044 myötä Adobe varoittaa käyttämästä digitaalisiin allekirjoituksiin käytöstä poistettua SHA1-hajautusalgoritmia. Käyttäjä voi jatkaa allekirjoittamista SHA1-algoritmilla, vaikka tätä ei suositella, sillä SHA1:tä pidetään yleisesti käytöstä poistettuna.
Ratkaisut
Tämän varoitusviestin estämiseksi on useita ratkaisuja riippuen tilanteesta:
- Adobe suosittelee tarkistamaan allekirjoitukseen tarkoitetun laitteen tai ajurin valmistajalta, onko uudempaa laitetta tai ajuria saatavilla, joka tukee oletusalgoritmia SHA256 tai vahvempia hajautusalgoritmeja.
- Jos allekirjoituslaite ei tue pyydettyä hajautusalgoritmia, käyttäjä voi valita Älä näytä uudelleen -valintaruudun ja napsauttaa kohtaa Jatka allekirjoittamista SHA1-algoritmilla. Seuraavalla kerralla varoitusikkuna ei tule näkyviin.
- Acrobat on saatettu aiemmin määrittää käyttämään SHA1-algoritmia SHA256:n sijasta, joka on oletuksena käytetty hajautusalgoritmi. Käyttäjä voi poistaa asetusavaimen aSignHash tai antaa sen arvoksi SHA256, kuten tällä sivulla on kuvattu.
- Jos SHA1-algoritmin käyttö riippuu siitä, onko ”Seed value” -arvoa käytetty olemassa olevassa PDF-dokumentin allekirjoituskentässä (katso tämä sivu), käyttäjä voi pyytää dokumentin omistajaa päivittämään sen niin, että se tukee SHA256- tai vahvempaa hajautusalgoritmia, jollei SHA1-algoritmia välttämättä tarvita.