信息安全大事件!SHA-1 被谷歌攻破,关我们什么事?

美国时间2月23日,在谷歌安全博客上发布了世界上第一例公开的SHA-1哈希碰撞实例,引起了信息安全界一阵哗然。

先来简单科普一下 SHA-1是什么?

我们知道,每个人都有自己独特的指纹,所以我们验证一个人的身份时候,只要验证下指纹是不是一致,就能确定是不是冒名顶替。

信息安全大事件!SHA-1 被谷歌攻破,关我们什么事?_第1张图片

在计算机系统中,每个不同的文件内容也有自己的“指纹”——哈希值。用来计算哈希值的方法有很多,比如 SHA-1、SHA-2、MD5等等,它们统称“哈希算法”。

信息安全大事件!SHA-1 被谷歌攻破,关我们什么事?_第2张图片

有部很火的电影叫 爱乐之城.mp4

用 SHA-1可以算出一个哈希值

看到某网站有,你就去下载了 爱乐之城.mp4

如果,两次文件哈希值不一样

那么,你很可能被忽悠下载了 泰坦尼克号

信息安全大事件!SHA-1 被谷歌攻破,关我们什么事?_第3张图片

简单来说,哈希值就是数字世界的指纹。对应到文件,假设 SHA-1 是没有漏洞的算法,那就不存在两个不一样的文件会有一样的 SHA-1 值,所以只要 SHA-1 值一样,那么文件也应该是一样的。

谷歌宣布攻破SHA-1

然而,谷歌却干了这么一件事。他们成功构造了两个不同的PDF文件,而SHA-1 哈希值完全相同。

信息安全大事件!SHA-1 被谷歌攻破,关我们什么事?_第4张图片

↑↑

(左边的pdf上面是蓝色的,而右边的pdf上面是红色的,但是两个文件的 SHA-1 值却一样)

下面是谷歌他们的官方说明:

信息安全大事件!SHA-1 被谷歌攻破,关我们什么事?_第5张图片

我们已经通过这个实例演示了如何攻破 SHA-1 加密。

这项被业内广泛用于数字签名、文件完整性验证、以及保护广泛的数字资产(包括信用卡交易、电子文档、开源软件资源库与软件更新等)的加密标准,现已被实际证明可精心制作出两份冲突的 PDF 文件。

它们包含了不同的内容,却拥有相同的 SHA-1 数字签名,意味着一个有效签名可被另一份 PDF 文件所滥用。

举例来说,别有用心的人可以利用这种方法制作两份内容不一致的租赁协议,然后用低价‘副本’欺骗他人‘签下’价格更高的那份合约。

那么,这意味着什么呢?说明SHA-1不安全了!SHA-1的安全漏洞会让攻击者有利可图,可以让恶意文件,有一个完全一样的合法身份。

关我们什么事?

如果攻击者掌握了这套攻击手段,任何依赖SHA-1进行数字签名,文件完整性或文件识别的应用程序都变得不再可靠了。 这些包括:数字证书签名、电子邮件PGP / GPG签名、软件供应商签名等等。

那么,犯罪集团可能会去伪造SHA-1证书,或许你访问的网站就有可能是个假网站,比如假的淘宝、假的支付宝。

信息安全大事件!SHA-1 被谷歌攻破,关我们什么事?_第6张图片

如何避免SHA-1安全问题?

着眼于未来,安全从业者需要使用更加安全的加密算法,谷歌建议,立即将加密算法换到更安全的SHA-256。

尤其对于文件在线签署,应该采用更为安全的SHA-256。比如在1号签平台完成文件签署后,通过下载的文档就可在其证书中查看到,其使用的算法就是SHA-256。

↓↓

信息安全大事件!SHA-1 被谷歌攻破,关我们什么事?_第7张图片

你可能感兴趣的:(信息安全大事件!SHA-1 被谷歌攻破,关我们什么事?)