2月23日,谷歌在密码学领域捣腾出一个大事:破解了网页加密中的一个主要算法SHA-1,并实现了世界上第一次SHA-1对撞攻击。这就意味着,曾经被广泛应用的SHA-1算法,在经历过质疑后终于到了摇摇欲坠的地步了。
图:Google公布两个PDF文件经过SHA-1处理后产生了相同的哈希值
所谓SHA-1,就是一个散列函数,又叫哈希函数。简单来说,它的作用就是给指定的文件生成一个数字指纹,让文件拥有一个唯一的“身份”。 SHA-1被应用在很多的安全加密协议中,包括在网页上下载一些重要文件。
但是现在,谷歌的这个破解就表示SHA-1本身已经有漏洞出现,根据这个漏洞,可以生成两个相同的哈希函数值,并实现碰撞。这会让攻击者有利可图,因为使用的恶意文件,可以有一个完全一样的合法身份在包庇。
事实上,普通用户完全没必要过于担心。密码学家已经预测到这种碰撞很多年了,对怎么做以及需要多少计算力,都了解的很清楚。
记者了解到,目前,多数网站都已经弃用了SHA-1。虽然也就是在2014年的时候,网络上九成的加密都是用的它,但随后的几年它迅速被抛弃。截至今年的1月1日,当你访问一个经由SHA-1加密的网站时,每一个主流的浏览器都会向你发出警告(一般情况是全屏红色)。虽然很难说还有多少网站在用它,但正常的网络活动都是安全的。
而早在几年前,密码专家就预言SHA-1被破解的可能性,在谷歌宣布破解SHA-1之前,微软Edge和IE已于月初放弃SHA-1签署的TLS证书,Mozilla也表示将于今年7月1日停止,Chrome更是早在2014年就开始对SHA-1加密的网页进行警告。
在安全软件方面,360安全卫士官方微博评论说:“体会一下攻破SHA-1加密的难度:900亿亿次SHA-1计算量,110个GPU运算一年时间,6500个CPU运算一年时间。尽管成本不低,SHA-1确实已不再安全了,网络服务商需要加以重视。360云安全系统采用比SHA-1增强的加密算法,完全不受SHA-1被攻破的影响,用户可以放心”。
根据Google的披露政策,其将在90天后说明是如何破解SHA-1。虽然这个破解对于大多数互联网用户而言没有明显影响,甚至不用专门去打个补丁,但谷歌公布的结果对于密码学和网络安全的基础理论研究上都有着重大意义。
文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。
近日,绝味鸭脖以 "19 岁,绝美青春 " 为周年庆主题,推出了全新 " 爆耐撕绝绝脂大刀肉片 ",并策划一系列精彩活动,旨在为消费者带来前所未有的味蕾惊喜和快乐体验。
近日,中国家电及消费电子博览会(AWE 2024)隆重开幕。全球领先的智能终端企业TCL实业携多款创新技术和新品亮相,以敢为精神勇闯技术无人区,斩获四项AWE 2024艾普兰大奖。
“以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。
由世界人工智能大会组委会、上海市经信委、徐汇区政府、临港新片区管委会共同指导,由上海市人工智能行业协会联合上海人工智能实验室、上海临港经济发展(集团)有限公司、开放原子开源基金会主办的“2024全球开发者先锋大会”,将于2024年3月23日至24日举办。