Google宣布,它已經破解了安全的哈希算法1(SHA-1)加密功能,這標誌著一個里程碑,這是計算界既危險又有機會的里程碑。
前所未有的壯舉是通過對加密算法的現實世界碰撞攻擊實現的,該算法導致了兩個包含類似SHA-1簽名的PDF文件的生產。
什麼是SHA-1?
作為一種數學算法,SHA-1能夠轉型數字對象成哈希或其表示形式。例如,如果該算法用於轉換或驗證電子郵件簽名,則SHA-1將其轉換為40個字符的字符串。
數字的精緻組合以及SHA-1將這些字符串附加到數字對像中的方式使其成為對數字文件進行身份驗證的有效機制。在這裡,相同的文件可以具有相同的sha-1哈希,但是用相同的字符字符串無法識別兩個不同的文件。
但是,這就是Google的研究人員能夠實現的目標。在阿姆斯特丹CWI研究所的同行的幫助下,他們成功地創建了兩個不同的文件,具有相同的SHA-1足跡。
對安全性的影響
Google的成功違反是一個關鍵的安全問題,因為SHA-1功能目前用於財務流程中。具體而言,據說該算法仍被廣泛用於驗證信用卡交易。它還用於驗證電子文檔和軟件更新。
“現在實際上可以製作兩個碰撞的PDF文件,並在第一個PDF文件上獲得SHA-1數字簽名,該文件也可以濫用為第二個PDF文件上的有效簽名,”該網頁專用於該計劃。解釋了。
Google引用了一個特定示例,以證明違規的影響。當人們建立涉及數字簽名的租賃協議時,當事方之一現在有可能與不同條款或規定建立另一個租賃協議,但具有相同的有效簽名。
SHA-1禁令
公平地說,SHA-1於1995年開發,已經被標記為不安全。這是在2011年強調的,當時美國國家標準和技術研究所正式貶低了該算法,尤其是在聯邦機構進行的交易中。一些公司也有緊隨其後尤其是在涉及SHA-1脆弱性的事件之後的西裝做作的甚至蘋果。該算法也被部分指責Dropbox Hack暴露了6800萬用戶帳戶。
同樣,即使在此類禁令之後,許多公司仍然使用它。例如,Mozilla有允許去年,賽門鐵克(Symantec)向WorldPay頒發SHA-1證書,只是為了容納尚未升級的10,000多個付款終端。這些終端被賦予綠光,以與處理消費者交易的服務器進行通信。
根據Google的說法,許多應用程序仍然使用該算法,它希望其實踐攻擊將為您提供採用更安全的替代方案的機會。同時,您可以通過使用Chrome進行交易來保護自己免受風險,因為瀏覽器會自動將SHA-1證書視為不安全的人。
