今天,谷歌在密码学界掀起了一股大浪潮,宣布在SHA-1算法中公开冲突。这对曾经是密码学中最流行的算法之一是致命的打击,对任何仍在使用该函数的人来说都是一场危机。好消息是,几乎没有人还在使用SHA-1,所以您不需要急于安装任何补丁。但今天的声明仍然是谷歌的一个重大权力博弈,对整个网络安全有着真正的影响。
像大多数密码学一样,它可能会变得有点复杂,所以最好从头开始。。。
Google公开打破了web加密的主要算法之一SHA-1。该公司的研究人员表明,只要有足够的计算能力——从一个GPU计算大约110年,只需其中一个阶段——你就可以产生碰撞,有效地破坏算法。我们早就知道这是可能的,但没有人这么做,部分原因是可能的辐射。
根据其披露政策,谷歌正在等待90天来确切说明他们是如何做到的——但一旦概念证明出来,任何有足够计算能力的人都将能够产生SHA-1冲突,使得算法既不安全又过时。
很难说谷歌的研究人员是否是第一批这样做的人;咳嗽>;****局;咳嗽(>;),但他们是第一个谈论这个问题的人,这对任何仍在使用SHA-1的人都有重大影响。
SHA-1是一个哈希函数,它从给定的文件生成数字指纹。这使您可以验证文件的完整性,而不必暴露整个文件,只需检查哈希即可。如果hash函数正常工作,每个文件将产生一个唯一的hash,因此如果hash匹配,文件本身也将匹配。这对于登录系统尤其重要,它需要在不暴露密码本身的情况下验证密码是否正确。
当散列函数中断,两个文件产生相同的散列时,就会发生冲突。这可能使攻击者能够走私恶意文件,因为它与合法文件共享其哈希。作为今天声明的概念证明,Google发布了两个PDF文件,通过SHA-1生成相同的散列。
实际上,一个被破坏的散列函数可以用来破坏HTTPS,这种加密系统现在可以保护一半以上的网络。你可以从下面的播客中了解更多关于这个系统的信息(这里有一个完整的比喻;这很好),但要点是它保证了你在Wikipedia.com上看到的内容确实来自Wikipedia,并且没有被篡改。如果该系统崩溃,犯罪分子很容易将恶意软件**来自受损ISP或其他网络提供商的网络流量中。
除非你养成习惯点击那些可怕的红色屏幕,否则你会没事的。多年来,密码学家一直在预测这样的碰撞,对如何**这种碰撞以及需要多少计算能力做出更具体的预测。这是第一次有人烧掉服务器的时间来真正做到这一点,但我们知道这样的事情是有可能的一段时间。
因此,大多数网站已经投放了SHA-1。就在2014年,它被用于多达90%的网络加密,但在此后的几年里,它基本上被放弃了。从1月1日起,当您访问由SHA-1保护的站点时,每个主要浏览器都会向您显示一个大的红色警告。很难说还有多少这样的网站,但任何拥有一个相当不错的证书提供商的人都已经安全了。
SHA-1仍然在web加密之外的一些地方使用——特别是Git存储库——但是考虑到该算法被否决了多久,更广泛的影响应该不会那么广泛。
简而言之,他们想赢得辩论。投放沙一号需要整个行业的大量时间和精力,并不是每个人都急于这么做。其结果是围绕着如何快速切换而展开的一场争论——谷歌的Chrome安全团队为更快的过渡提供了最响亮的声音之一。早在2014年,Chrome就开始迫使网站远离SHA-1,而这远远早于其他浏览器开始受到攻击。Firefox也很快流行起来,微软的Edge和IE紧随其后。
Chrome的早期举动在证书提供商中引起了很大的悲痛——但现在有了概念验证的冲突,Chrome安全团队看起来相当聪明。如果我们听了慢台词,这次碰撞可能是个大问题!相反,这个行业发展得很快,每个人都很安全,我们必须写博客来解释为什么这很重要。
从更广泛的意义上讲,这是一场关于网络安全性的斗争。如果你在生产智能**或销售应用程序,你可能会认为强迫整个网络脱离一个不稳定的算法是不值得的。如果一些简陋的网站迟迟不能做出改变,又有什么关系呢?但谷歌仍然是一家网络广告公司,这意味着任何网络安全的崩溃都是一个存在的威胁。每当像SHA-1这样的算法崩溃时,广告网络都是第一批被攻击的目标,因此谷歌在确保这些加密系统正常工作方面投入了大量资金。由于谷歌的广告遍布整个网络,他们需要确保每个人都参与其中。有时这意味着要敲碎几个脑袋!
因此,虽然这看起来像是一个数学上的好奇心,但这对谷歌来说确实是一个胜利的一圈,而且它花费了相当多的服务器时间。多年来人们一直在说沙一号不稳定,现在我们都知道他们是对的。幸运的是,我们都听了加密人员的话,没有什么太严重的问题。不客气。
... 2020年4月,在许多国家进入大流行病封锁后不久,谷歌宣布每天屏蔽1800多万封以COVID-19为主题的恶意垃圾邮件和网络钓鱼邮件。这些邮件中有大量使用**或卫生组织的官方品牌来获取合法性,并让受害者措手不及。 ...
...硅谷巨头在漏洞被公开宣布的同一天发布了测试版补丁。谷歌表示,Android补丁将在未来几周内发布。 ...
... 如果你的智能**被盗,罪犯很难破解密码。如果您在线提交详细信息,网站的SSL/TSL证书将通过验证两个客户端之间的真实链接来阻止旁观者。如果您的数据是通过公共网络截获的,可能是通过中间人攻...
...题的复杂性。如果谜题更难解答,读者会花更多的时间来破解。在这本书的前几个版本中,谜题是相当困难的;然而,在看到读者如何破解前几个版本后,谜题设置者多年来使他们更加狡猾。 拼图的数量。随着拼...
...地方。除了需要使用不熟悉的浏览器,你也会很快发现像谷歌这样的搜索引擎不起作用。要了解更多信息,请查看我们的免费课程安全探索深层和黑暗的网络。但别担心,有其他方法可以找到你想要的内容。如果你想了解更多,...
... 为什么不好?破解者们发现了如何破解WEP加密,而且使用免费提供的工具也很容易做到。2005年,美国联邦调查局(FBI)举行了一次公开**,使用免费工具提高公众认识。几乎任何人都能...
...rayKey之前,我们先了解一下iPhone加密的背景知识,并尝试破解它。 ...
...一个唯一的salt值,攻击者将不得不花费大量的CPU能量来破解所有这些密码,这并不是很糟糕。 实际上,许多人使用明显的密码,因此很容易确定许多用户帐户的密码。例如,如果攻击者知道您的哈希值,并且知道您的salt,那么...