SHA1-algoritmewaarschuwingsbericht
Tijdens het digitaal ondertekenen van een PDF-document in Acrobat of Acrobat Reader, ziet u mogelijk het volgende waarschuwingsbericht:
Achtergrond: SHA256 is het standaard hash-algoritme in Acrobat sinds versie 9.1. In bepaalde gevallen, bijvoorbeeld als het handtekeningapparaat (zoals een smart card of USB-token) of haar stuurprogramma hashing door SHA256 niet ondersteunt, valt Acrobat of Reader echter terug op SHA1 om fouten tijdens het maken van de handtekening te voorkomen.
Onlangs zijn onderzoekers erin geslaagd om botsingen te genereren met het SHA1-hashalgoritme wanneer deze wordt toegepast op digitale handtekeningen. Dit betekent dat onder bepaalde omstandigheden het mogelijk kan zijn om een digitale handtekening te genereren op basis van SHA1-hash die niet uniek zou zijn voor een document, maar het zou ook geldig kunnen zijn bij toepassing op andere documenten.
Wat is er veranderd in Acrobat en Reader (2017.009.20044): vanaf release 2017.009.20044 van Acrobat en Acrobat Reader waarschuwt Adobe gebruikers tegen het gebruik van het verouderde SHA1-algoritme voor digitale handtekeningen. De gebruiker kan ondertekening met gebruik van SHA1 voortzetten, maar dit wordt niet aanbevolen omdat SHA1 als verouderd wordt beschouwd in de volledige sector.
Oplossingen
Er zijn meerdere oplossingen om deze waarschuwingsdialoog te voorkomen, op basis van specifieke situaties:
- Het wordt door Adobe sterk aanbevolen contact op te nemen met de fabrikant van uw handtekeningenapparaat of stuurprogramma voor een nieuwer apparaat of een stuurprogramma dat SHA256 of hogere hash-algoritmes ondersteunt.
- Als het gewenste hash-algoritme niet wordt ondersteund door het handtekeningenapparaat, kan de gebruiker het selectievakje 'Dit bericht niet meer tonen' selecteren en klikken op Doorgaan met ondertekenen met SHA1. De volgende keer wordt dit dialoogvenster niet weergegeven.
- Acrobat kan eerder zijn ingesteld om SHA1 te gebruiken in plaats van standaard SHA256-hashing. De gebruiker kan de instellingtoets aSignHash verwijderen of deze instellen op SHA256, zoals beschreven op deze pagina.
- Voor het geval dat het gebruik van het SHA1-algoritme afhangt van de aanwezigheid van een 'Seed-waarde' die is toegepast op een bestaand handtekeningveld in een PDF-document (zie deze pagina), dan kan de gebruiker de auteur van het document vragen om het bij te werken voor ondersteuning van SHA256 of andere sterkere hash-algoritmen, tenzij SHA1 strikt noodzakelijk is.