Google宣布,它已经破解了安全的哈希算法1(SHA-1)加密功能,这标志着一个里程碑,这是计算界既危险又有机会的里程碑。
前所未有的壮举是通过对加密算法的现实世界碰撞攻击实现的,该算法导致了两个包含类似SHA-1签名的PDF文件的生产。
什么是SHA-1?
作为一种数学算法,SHA-1能够转型数字对象成哈希或其表示形式。例如,如果该算法用于转换或验证电子邮件签名,则SHA-1将其转换为40个字符的字符串。
数字的精致组合以及SHA-1将这些字符串附加到数字对象中的方式使其成为对数字文件进行身份验证的有效机制。在这里,相同的文件可以具有相同的sha-1哈希,但是用相同的字符字符串无法识别两个不同的文件。
但是,这就是Google的研究人员能够实现的目标。在阿姆斯特丹CWI研究所的同行的帮助下,他们成功地创建了两个不同的文件,具有相同的SHA-1足迹。
对安全性的影响
Google的成功违反是一个关键的安全问题,因为SHA-1功能目前用于财务流程中。具体而言,据说该算法仍被广泛用于验证信用卡交易。它还用于验证电子文档和软件更新。
“现在实际上可以制作两个碰撞的PDF文件,并在第一个PDF文件上获得SHA-1数字签名,该文件也可以滥用为第二个PDF文件上的有效签名,”该网页专用于该计划。解释了。
Google引用了一个特定示例,以证明违规的影响。当人们建立涉及数字签名的租赁协议时,当事方之一现在有可能与不同条款或规定建立另一个租赁协议,但具有相同的有效签名。
SHA-1禁令
公平地说,SHA-1于1995年开发,已经被标记为不安全。这是在2011年强调的,当时美国国家标准和技术研究所正式贬低了该算法,尤其是在联邦机构进行的交易中。一些公司也有紧随其后尤其是在涉及SHA-1脆弱性的事件之后的西装做作的甚至苹果。该算法也被部分指责Dropbox Hack暴露了6800万用户帐户。
同样,即使在此类禁令之后,许多公司仍然使用它。例如,Mozilla有允许去年,赛门铁克(Symantec)向WorldPay颁发SHA-1证书,只是为了容纳尚未升级的10,000多个付款终端。这些终端被赋予绿光,以与处理消费者交易的服务器进行通信。
根据Google的说法,许多应用程序仍然使用该算法,它希望其实践攻击将为您提供采用更安全的替代方案的机会。同时,您可以通过使用Chrome进行交易来保护自己免受风险,因为浏览器会自动将SHA-1证书视为不安全的人。
