“谷歌攻破SHA-1”关我们什么事儿?
“谷歌攻破SHA-1”关我们什么事儿?
2017-02-27 14:43:04 来源:虎龙吟
抢沙发
2017-02-27 14:43:04 来源:虎龙吟
摘要:2月23日,谷歌在密码学领域捣腾出一个大事:破解了网页加密中的一个主要算法SHA-1,并实现了世界上第一次SHA-1对撞攻击。这就意味着,曾经被广泛应用的SHA-1算法,在经历过质疑后终于到了摇摇欲坠的地步了。
关键词:
谷歌
2月23日,谷歌在密码学领域捣腾出一个大事:破解了网页加密中的一个主要算法SHA-1,并实现了世界上第一次SHA-1对撞攻击。这就意味着,曾经被广泛应用的SHA-1算法,在经历过质疑后终于到了摇摇欲坠的地步了。
图:Google公布两个PDF文件经过SHA-1处理后产生了相同的哈希值
所谓SHA-1,就是一个散列函数,又叫哈希函数。简单来说,它的作用就是给指定的文件生成一个数字指纹,让文件拥有一个唯一的“身份”。 SHA-1被应用在很多的安全加密协议中,包括在网页上下载一些重要文件。
但是现在,谷歌的这个破解就表示SHA-1本身已经有漏洞出现,根据这个漏洞,可以生成两个相同的哈希函数值,并实现碰撞。这会让攻击者有利可图,因为使用的恶意文件,可以有一个完全一样的合法身份在包庇。
事实上,普通用户完全没必要过于担心。密码学家已经预测到这种碰撞很多年了,对怎么做以及需要多少计算力,都了解的很清楚。
记者了解到,目前,多数网站都已经弃用了SHA-1。虽然也就是在2014年的时候,网络上九成的加密都是用的它,但随后的几年它迅速被抛弃。截至今年的1月1日,当你访问一个经由SHA-1加密的网站时,每一个主流的浏览器都会向你发出警告(一般情况是全屏红色)。虽然很难说还有多少网站在用它,但正常的网络活动都是安全的。
而早在几年前,密码专家就预言SHA-1被破解的可能性,在谷歌宣布破解SHA-1之前,微软Edge和IE已于月初放弃SHA-1签署的TLS证书,Mozilla也表示将于今年7月1日停止,Chrome更是早在2014年就开始对SHA-1加密的网页进行警告。
第三十五届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
