精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

首次SHA-1碰撞攻擊實現 只需5個聰明的大腦和6610年的處理器時間

責任編輯:editor005

作者:王小瑞

2017-02-24 14:59:39

摘自:安全牛

阿姆斯特丹CWI研究所與谷歌研究人員,于今日在博客上宣布,他們已經破解了SHA-1哈希算法。通過SHAttered技術,可以實現對文檔簽名、HTTPS證書、版本控制、備份系統、軟件更新,ISO校驗和等使用SHA-1加密算法的攻擊。

阿姆斯特丹CWI研究所與谷歌研究人員,于今日在博客上宣布,他們已經破解了SHA-1哈希算法。他們稱:”這是生成SHA-1碰撞的首次實例”。

 

“碰撞”在這里是指能夠生成同樣的哈希值,因而能夠使得攻擊者欺騙系統,接收惡意文件并替代無害文件。SHA-1目前普遍在許多數字證書系統中使用,盡管其安全性多年前就出現了問題。

研究人員將這種攻擊稱之為“SHAttered”,技術細節可訪問—— https://shattered.io/ ,這個網站同時還放出了兩個具有相同哈希但內容不同的PDF文件,以做證明。

通過SHAttered技術,可以實現對文檔簽名、HTTPS證書、版本控制、備份系統、軟件更新,ISO校驗和等使用SHA-1加密算法的攻擊。例如,可以構造兩個哈希一樣但內容不同的PDF文件合同,實現對不知情者的欺騙。

 

SHA-1已經實施了20多年,早在2005年中國山東大學的教授王小云就實現了快于暴力破解的攻擊技術。2005年的攻擊能夠在2的69次方計算中找到碰撞,或者說是暴力破解的2000倍,如密碼學大師施耐爾所言“遠超當前技術的能力”。此次CWI和谷歌的方法,則“超過暴力破解的10萬倍。”因次被稱為入侵SHA-1加密算法數字簽名的“首次可行性技術”。

“暴力破解需要1200萬年的GPU計算時間,因此是不實際的。而SHAttered攻擊要快上10萬倍。攻擊需要超過90億億次(沒打錯,是兩個“億” 9,223,372,036,854,775,808 )計算,等同于6500年的單個CPU時間和110年的單個GPU時間。”

 

很早以前,業界就在嘗試加速廢除SHA-1的進程。但將其廢除會導致用戶發生一些兼容性的問題,因此盡管SHA-1不夠安全,這么多年還一直在用。但研究人員寄望于這次破解,能夠極大的推動廢除SHA-1。

我們希望這次針對SHA-1的攻擊實例,將最終令業界確信要盡快使用更安全的替代算法,如SHA-256。對于安全從業者來說,遷移到SHA-256和SHA-3的加密哈希算法,是前所未有的緊迫。SHA-1無疑已經不再安全。

該研究小組表示,他們將等待90天,然后再發布攻擊代碼,這與谷歌的漏洞披露政策相符合。同時,他們還將向公眾提供一個免費檢測系統。研究小組還表示,已經給Gmail和GSuite產品添加了檢測PDF碰撞技術的保護。

谷歌于今年1月份,就將SHA-1證書從它的Chrome瀏覽器中剔除。Mozilla也早就表示,將在今年遲早從它的火狐瀏覽器中將其移出。遵循 CA/Browser Forum 規范的證書機構(CA)也不再被允許發放SHA-1證書。

五位研究人員分別是 Marc Stevens (CWI), Elie Bursztein (谷歌), Pierre Karpman (CWI), Ange Albertini (谷歌), and Yarik Markov (谷歌)。

鏈接已復制,快去分享吧

企業網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 墨脱县| 柯坪县| 长宁区| 永和县| 随州市| 兰州市| 防城港市| 苏尼特右旗| 元氏县| 盐池县| 安义县| 台北县| 蓬莱市| 桑日县| 宁晋县| 定州市| 扬中市| 宝丰县| 静乐县| 曲阳县| 丹阳市| 泗洪县| 保山市| 罗山县| 江源县| 平乡县| 孟津县| 江城| 卫辉市| 砚山县| 绥中县| 新郑市| 和顺县| 高要市| 张家川| 汽车| 稻城县| 上蔡县| 扎兰屯市| 隆化县| 锦屏县|