2月23日,谷歌在密码学领域捣腾出一个大事:破解了网页加密中的一个主要算法SHA-1,并实现了世界上第一次SHA-1对撞攻击。这就意味着,曾经被广泛应用的SHA-1算法,在经历过质疑后终于到了摇摇欲坠的地步了。
图:Google公布两个PDF文件经过SHA-1处理后产生了相同的哈希值
所谓SHA-1,就是一个散列函数,又叫哈希函数。简单来说,它的作用就是给指定的文件生成一个数字指纹,让文件拥有一个唯一的“身份”。 SHA-1被应用在很多的安全加密协议中,包括在网页上下载一些重要文件。
但是现在,谷歌的这个破解就表示SHA-1本身已经有漏洞出现,根据这个漏洞,可以生成两个相同的哈希函数值,并实现碰撞。这会让攻击者有利可图,因为使用的恶意文件,可以有一个完全一样的合法身份在包庇。
事实上,普通用户完全没必要过于担心。密码学家已经预测到这种碰撞很多年了,对怎么做以及需要多少计算力,都了解的很清楚。
记者了解到,目前,多数网站都已经弃用了SHA-1。虽然也就是在2014年的时候,网络上九成的加密都是用的它,但随后的几年它迅速被抛弃。截至今年的1月1日,当你访问一个经由SHA-1加密的网站时,每一个主流的浏览器都会向你发出警告(一般情况是全屏红色)。虽然很难说还有多少网站在用它,但正常的网络活动都是安全的。
而早在几年前,密码专家就预言SHA-1被破解的可能性,在谷歌宣布破解SHA-1之前,微软Edge和IE已于月初放弃SHA-1签署的TLS证书,Mozilla也表示将于今年7月1日停止,Chrome更是早在2014年就开始对SHA-1加密的网页进行警告。
