Inilah Peningkatan Keamanan yang Akan Membuat 40 Juta Orang Tidak Ada di Web

Kunci hijau yang Anda lihat di bilah URL Anda menunjukkan koneksi yang otentik dan pribadi. Sertifikat ini memastikan bahwa informasi Anda tetap berada dalam batas-batas situs web tepercaya dan bahwa situs web yang Anda kunjungi sebenarnya adalah situs web yang seharusnya. Ketika Anda masuk ke Facebook, dengan kata lain, Anda dijanjikan bahwa a) informasi Anda - login, komunikasi, foto, dll. - tetap dalam batas aman situs dan b) Facebook sebenarnya adalah Facebook, bukan penyemu.

Jika seseorang membobol situs terenkripsi SHA-1, mereka akan memiliki informasi yang sangat berharga - membuat biaya pembobolan awal diabaikan. Seorang individu, organisasi, atau suatu bangsa dapat berpose seperti Facebook, katakan, sambil mencegat pertukaran apa pun atau informasi pribadi yang mereka inginkan untuk dicegat. Ancaman lain adalah serangan phishing, di mana seorang individu, organisasi, atau negara menyamar sebagai situs untuk mencuri informasi pengguna.

Mengingat rasa tidak aman dari SHA-1, sebagian besar situs utama setuju bahwa peralihan sudah terlambat. Tapi ada sisi negatifnya. Pengguna internet dengan ponsel atau desktop lama tidak akan dapat mengakses situs yang dienkripsi SHA-2. Ponsel atau komputer lama memiliki langit-langit virtual yang menghalangi pembaruan program atau aplikasinya. Dan SHA-2 akan memiliki semacam ukuran "You Must Be This Tall to Ride" pada browser. Pada dasarnya, jika ponsel atau komputer Anda tidak "cukup tinggi" - baca: cukup baru, cukup diperbarui - untuk "dinaiki," situs terenkripsi SHA-2 akan membuat Anda menjauh.

CloudFlare, yang meneliti masalah ini dan memberikan solusinya sendiri, mendaftarkan 25 negara dengan dukungan yang paling sedikit - dan menemukan bahwa daftar ini “tumpang tindih dengan daftar negara-negara termiskin, paling represif, dan paling banyak dilanda perang di dunia.” Banyak negara maju dunia akan terhindar: di Amerika Utara dan Eropa Barat, lebih dari 99 persen browser kompatibel dengan SHA-2. Namun, di Cina, angkanya turun menjadi sekitar 93 persen, dan di Kamerun, Yaman, Sudan, Mesir, Libya, Pantai Gading, Nepal, Ghana, dan Nigeria sekitar 95 persen. Persentase pengecualian tampaknya rendah, tetapi dalam konteksnya jumlah pengguna internet mengejutkan.

Hasil akhirnya adalah bahwa mayoritas pengguna yang akan ditolak dari perjalanan SHA-2 adalah mereka yang paling mungkin perlu mengakses situs. (Pikirkan dampak Facebook dan Twitter pada Musim Semi Arab). Selain itu, negara-negara yang mungkin masih merutekan infrastruktur melalui platform yang sudah ketinggalan zaman akan dibuat rentan terhadap serangan.

Pada tanggal 31 Desember 2015, beberapa situs internet terbesar akan terlarang bagi hampir 40 juta pengguna. Resolusi Tahun Baru yang masuk akal tetapi sulit untuk meningkatkan teknologi enkripsi akan menghalangi sekitar 5 persen populasi daring dunia berkembang dari situs yang aman dan bersertifikat seperti Google, Facebook, dan Twitter.

Jika ponsel Anda lebih dari lima tahun, Anda akan dikecualikan juga.

Itu semua karena pindah ke teknologi enkripsi SHA-2 dari pendahulunya, SHA-1. Agak membingungkan tetapi, ini dia: Sebelum SHA-1, ponsel menggunakan teknologi enkripsi MD5, yang, pada 2008, ditemukan tidak aman. Baru pada tahun 2013 MD5 dihapus sepenuhnya, dan SHA-1 menjadi aturannya.

Namun segera, para ahli keamanan memecahkan SHA-1. Dan dengan komputer yang lebih cepat dan lebih cepat, semakin murah dan semakin murah untuk memecahkan situs SHA-1: Sebuah studi tahun 2012 memperingatkan bahwa sementara tahun itu akan menelan biaya sekitar $ 2,77 juta untuk melakukannya, angka pada tahun 2015 akan turun menjadi $ 700.000. (Pada tahun 2018, perkiraan turun menjadi $ 173.000, dan pada tahun 2021, itu hanya $ 43.000.) Sekarang karena tahun 2015, sebagai - Ars Technica melaporkan - "para peneliti percaya bahwa serangan seperti itu dapat dilakukan tahun ini untuk $ 75.000 hingga $ 120.000."

Ini mengkhawatirkan, atau penting, karena dua alasan. Pertama, situs yang membutuhkan tingkat keamanan tertinggi adalah situs yang mendapatkan lalu lintas terbanyak, situs yang paling populer. Sekali lagi, ini termasuk (tetapi sama sekali tidak terbatas pada) Google, Facebook, dan Twitter, dan situs terkait mereka. Kedua, pengguna yang perangkatnya tidak akan lulus bilah terutama berlokasi di negara berkembang, sering negara dirusak oleh perang dan ketidakadilan.

Solusi CloudFlare, yang direproduksi Facebook, adalah untuk memungkinkan "SHA-1 fallback." Pengguna yang sebaliknya akan diblokir dari CloudFlare atau situs Facebook akan diberikan akses di bawah perlindungan SHA-1. Ini bukan solusi yang ideal - kelemahan keamanan masih akan ada - tetapi setidaknya itu akan menjadi kurang eksklusif.

(Kami sudah beralih ke SHA-2 di sini di Terbalik. Jika Anda membaca artikel ini, maka, Anda dapat yakin bahwa Anda akan dapat mengakses situs favorit Anda pada tahun 2016.)