来自谷歌和阿姆斯特丹CWI的一个团队刚刚宣布了第一个SHA-1(安全哈希算法1)哈希碰撞。沙- - - - - -1是一个加密哈希函数,由美国国家安全局(NSA)设计,是美国NIST出版的美国联邦信息处理标准。对160位(20字节)哈希消息摘要的攻击需要超过9,223,372,036,854,775,808次SHA-1计算,如果在单个CPU上执行,将需要6,500年,而在单个GPU上执行则需要110年。
这些纯粹的数字似乎太过牵强,但如果你是一个国家支持的攻击者,并且拥有足够大的僵尸网络,那么这些数字是实际的。SHA-1用于许多应用程序中的文件完整性验证和数字签名,如PGP/GPG签名、软件更新、数字证书、备份系统等。
SHA-1是作为比MD5更安全的替代方案而引入的,自1996年以来,MD5就被认为存在缺陷。2004年,MD5最终被宣布不适用于SSL证书或数字签名等应用。
自2005年以来,对SHA-1的理论攻击已经出现在地平线上,在2015年演示了一个实际的攻击。虽然它没有停止使用SHA-1哈希函数,但它仍然破坏了其安全声明。但最新的行动被称为破碎的,可能是压死你的最后一根稻草,因为它成功生成了两个具有相同校验和的不同PDF文件。
根据谷歌的漏洞披露策略,攻击的工作代码将在三个月内发布,该策略将允许任何人创建一对pdf,在没有任何指定的先决条件的情况下哈希并给出两张不同的图像。Chrome现在已经警告用户访问使用SHA-1证书的网站,并建议在软件上使用SHA-256或SHA-3。
与此同时,谷歌发布了一个免费的检测工具,可以对您的文件是否属于冲突攻击的一部分进行分类。您可以下载它并了解更多关于第一次碰撞攻击的信息shattered.io.
你对这件事有什么看法?在下面发表评论!
 hash collision. SHA–1 is a cryptographic hash function, which is designed by the United States National Security Agency (NSA) and is a U.S. Federal Information Processing Standard published by the NIST, USA. The attack on the 160-bit […]&media=//www.shenghongji.com/wp-content/uploads/2017/02/SHAttered-1.png){kind=link}