谷歌宣布破解了安全哈希算法1 (SHA-1)加密功能,这标志着一个里程碑,对计算世界来说既是危险又是机遇。
这一前所未有的壮举是通过对加密算法的真实碰撞攻击实现的,这导致产生了两个包含类似SHA-1签名的PDF文件。
SHA-1是什么?
作为一种数学算法,SHA-1能够转换将数字对象转换为哈希或其表示形式。例如,如果使用该算法转换或验证电子邮件签名,SHA-1会将其转换为40个字符的字符串。
数字的精心组合和SHA-1将这些字符串附加到数字对象的方式使其成为验证数字文件的有效机制。在这里,相同的文件可以具有相同的SHA-1散列,但两个不同的文件不能使用相同的字符串进行标识。
然而,这正是谷歌的研究人员能够做到的。在阿姆斯特丹CWI研究所同事的帮助下,他们成功地创建了两个具有相同SHA-1足迹的不同文件。
安全影响
谷歌的成功入侵是一个关键的安全问题,因为SHA-1功能目前用于金融流程。具体来说,据说该算法仍被广泛用于验证信用卡交易。它也被用来核查电子文件和软件更新。
“现在实际上有可能制作两个相互碰撞的PDF文件,并在第一个PDF文件上获得SHA-1数字签名,这也可以被滥用为第二个PDF文件的有效签名,”该倡议的网页上写道解释.
谷歌引用了一个具体的例子来说明漏洞的影响。当一个人创建一个包含数字签名的租赁协议时,其中一方现在可以创建另一个具有不同条款或规定但具有相同有效签名的租赁协议。
禁止sha - 1
公平地说,1995年开发的SHA-1已经被贴上了不安全的标签。早在2011年,美国国家标准与技术研究所(U.S. National Institute of Standards and Technology)就正式弃用了该算法,尤万博体育登录首页其是在联邦机构进行的交易中。一些公司也之后尤其在涉及SHA-1漏洞的事件发生后影响即使是苹果。该算法也被部分归咎于Dropbox黑客这暴露了6800万用户账户。
同样,即使有这样的禁令,许多公司仍在使用它。例如,Mozilla就有允许赛门铁克去年向Worldpay颁发了SHA-1证书,只是为了容纳超过1万个尚未升级的支付终端。这些终端被允许与处理消费者事务的服务器通信。
据谷歌称,许多应用程序仍在使用该算法,并希望其实际攻击将成为业界采用更安全替代方案的机会。与此同时,你可以通过使用Chrome进行交易来保护自己免受风险,因为浏览器会自动将拥有SHA-1证书的人视为不安全的。