美文网首页
信息安全大事件!SHA-1 被谷歌攻破,关我们什么事?

信息安全大事件!SHA-1 被谷歌攻破,关我们什么事?

作者: 1号签 | 来源:发表于2017-03-01 09:41 被阅读0次

    美国时间2月23日,在谷歌安全博客上发布了世界上第一例公开的SHA-1哈希碰撞实例,引起了信息安全界一阵哗然。

    先来简单科普一下 SHA-1是什么?

    我们知道,每个人都有自己独特的指纹,所以我们验证一个人的身份时候,只要验证下指纹是不是一致,就能确定是不是冒名顶替。

    在计算机系统中,每个不同的文件内容也有自己的“指纹”——哈希值。用来计算哈希值的方法有很多,比如 SHA-1、SHA-2、MD5等等,它们统称“哈希算法”。

    有部很火的电影叫 爱乐之城.mp4

    用 SHA-1可以算出一个哈希值

    看到某网站有,你就去下载了 爱乐之城.mp4

    如果,两次文件哈希值不一样

    那么,你很可能被忽悠下载了 泰坦尼克号

    简单来说,哈希值就是数字世界的指纹。对应到文件,假设 SHA-1 是没有漏洞的算法,那就不存在两个不一样的文件会有一样的 SHA-1 值,所以只要 SHA-1 值一样,那么文件也应该是一样的。

    谷歌宣布攻破SHA-1

    然而,谷歌却干了这么一件事。他们成功构造了两个不同的PDF文件,而SHA-1 哈希值完全相同。

    ↑↑

    (左边的pdf上面是蓝色的,而右边的pdf上面是红色的,但是两个文件的 SHA-1 值却一样)

    下面是谷歌他们的官方说明:

    我们已经通过这个实例演示了如何攻破 SHA-1 加密。

    这项被业内广泛用于数字签名、文件完整性验证、以及保护广泛的数字资产(包括信用卡交易、电子文档、开源软件资源库与软件更新等)的加密标准,现已被实际证明可精心制作出两份冲突的 PDF 文件。

    它们包含了不同的内容,却拥有相同的 SHA-1 数字签名,意味着一个有效签名可被另一份 PDF 文件所滥用。

    举例来说,别有用心的人可以利用这种方法制作两份内容不一致的租赁协议,然后用低价‘副本’欺骗他人‘签下’价格更高的那份合约。

    那么,这意味着什么呢?说明SHA-1不安全了!SHA-1的安全漏洞会让攻击者有利可图,可以让恶意文件,有一个完全一样的合法身份。

    关我们什么事?

    如果攻击者掌握了这套攻击手段,任何依赖SHA-1进行数字签名,文件完整性或文件识别的应用程序都变得不再可靠了。 这些包括:数字证书签名、电子邮件PGP / GPG签名、软件供应商签名等等。

    那么,犯罪集团可能会去伪造SHA-1证书,或许你访问的网站就有可能是个假网站,比如假的淘宝、假的支付宝。

    如何避免SHA-1安全问题?

    着眼于未来,安全从业者需要使用更加安全的加密算法,谷歌建议,立即将加密算法换到更安全的SHA-256。

    尤其对于文件在线签署,应该采用更为安全的SHA-256。比如在1号签平台完成文件签署后,通过下载的文档就可在其证书中查看到,其使用的算法就是SHA-256。

    ↓↓

    相关文章

      网友评论

          本文标题:信息安全大事件!SHA-1 被谷歌攻破,关我们什么事?

          本文链接:https://www.haomeiwen.com/subject/fokqgttx.html