经过 2 年的研究,Google 表示其已成功破解了 SHA-1 加密。尽管暂未披露其首次达阵的任何细节,该公司还是放出了一个概念验证。根据既往的信息披露政策,我们将在 90 天后知晓详情。在此期间,你可以看看 Google 晒出的两份特制 PDF 文档,虽然它们拥有相同的 SHA-1 哈希值,但内容上却不尽相同(定义冲突)。
时至今日,距离SHA-1的最初发布已经过去了十年,我们正式公布第一套可实现碰撞的实用性技术方案。这套方案代表着阿姆斯特丹CWI研究所与谷歌公司过去两年中的合作研究成果。
对于技术业界而言,我们的发现强调了避免使用SHA-1的必要性。谷歌公司多年来一直主张弃用SHA-1方案,特别是在TLS证书签署等场景之下。早在2014年,Chrome小组就宣布将逐渐淘汰对SHA-1的使用。我们希望自己针对SHA-1完成的实际攻击能够进一步巩固这一结论,让更多人意识到其已经不再安全可靠。
我们亦希望这一针对SHA-1的实际攻击案例能够最终说服整个技术业界尽快转向更为安全的替代性方案,例如SHA-256。
实际上,被攻破的散列函数能用来攻击另一个加密系统HTTPS,后者保护了全球超过一半网页的安全。
作为普通用户,我能怎么办?
其实完全不用担心。密码学家已经预测到这种碰撞很多年了,对怎么做以及需要多少计算力,都了解的很清楚。Google这么做,是因为它有钱,服务器多……所以就动手了,业界对这种可能性一直都是很清楚的。
另外就是,多数网站都已经弃用了SHA-1。虽然也就是在2014年的时候,网络上九成的加密都是用的它,但随后的几年它迅速被抛弃。截至今年的1月1日,当你访问一个经由SHA-1加密的网站时,每一个主流的浏览器都会向你发出警告(一般情况是全屏红色)。虽然很难说还有多少网站在用它,但正常的网络活动都是安全的。
SHA-1也仍被用在除网络加密外的其它地方,比如Git存储库,但考虑到它已经被弃用一段时间了,所以影响不会很大。
还有一个问题是,如果Google做的并不那么激动人心,那为什么要这样做呢?
很可能是因为它想结束争论,因为放弃SHA-1也是花了行业人士不少时间和精力的,而且不是每个人都想这么做。如果直接破解了它,就能给反对的人致使一击,快速结束战斗。
雷锋网了解到,Chrome早在2014年就开始对SHA-1加密的网页进行警告,Firefox和微软的Edge和IE也迅速跟进了。
虽然现在来看,整个事件的影响不会很大,但我们应该庆幸的是,行业的进步很快,迅速弃用了原来的加密方式,否则现在来看就危险了。
然而,现在很多网站还在用http 特别是国内网站…
原创文章,作者:老D,如若转载,请注明出处:https://laod.cn/2931.html
评论列表(9条)
老D,这就是用xp或者安卓2.3不能访问你这个博客的原因吗
@hhx:应该没问题呀
最后一句,画龙点睛
htc官网是http的。国内网站很少了。台湾是中国网络最落后的地区。在陕西有些地方还住土窑,菜板还是石头,人家都用上智能手机聊微信了。偏远地区政府给设置村域wifi。正在弄。
在这个问题上,我还是信Linus。
http://www.solidot.org/story?sid=51483
送外卖的始终干不过搞创新的!不知为何他就是不能实际意义的进来?
呃…你知道王小云么?
@X:王小云是谁
@销烟:多年前,王小云就提出,散列值可以经过碰撞之后,的到散列值相同,内容却不一样的文件。