据媒体报道,近日有科学家利用碰撞攻击的方式研究破解SHA-1算法,他们称之为“Freestart Collision”。利用这种新方法,他们只需要10天就能破解一个完整的SHA-1算法。
SHA-1是一种安全算法,举个例子来说:当你访问一个网站时,该网站向浏览器出示一个文件(类似于身份证),即一张SSL证书(服务器证书)。这个证书用来做两件事:加密访问网站的链接(HTTPS)和验证网站真实身份。这时你的浏览器会通过验证SSL证书信息中的SHA-1值来确认这张SSL证书是否由正规CA(数字证书签发机构,如symantec、CFCA等)签发。如果答案是肯定的,则说明该网站安全可信,反之则代表该网站存在安全风险。
现在的情况是,SHA-1值如果被破解,黑客就可以使用伪造的SHA-1 SSL证书骗取浏览器的信任。所以在去年,微软谷歌宣布将在2016年淘汰使用SHA-1 SSL证书,而各大CA机构也开始逐步停止签发SHA-1 SSL证书。例如我国最大的CA机构CFCA就在2015年新建了可签发SHA-2证书的全球信任体系证书系统。(作为SHA-1的继任者,SHA-2算法被证明是安全可靠的)
CFCA提醒仍在使用SHA-1 SSL证书的网站站长尽快将证书升级为SHA-2 SSL证书,而CFCA将提供免费的证书更换服务。针对部分用户反馈SHA-2证书出现报错的情况,CFCA提示:SHA-2算法需要WinXP SP3及以上版本操作系统的支持,如果低于WinXP SP3版本,将导致报错。CFCA还要提示站长,目前以Chrome为代表的部分主流浏览器已对安装了SHA-1证书的网站提出了安全警告(如下图),如不及时升级SSL证书,将有可能导致网站访客的大量流失。
463
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
