【SHA-1首度被Google破解了!】
SHA-1 (Secure Hash Algorithm-1, 安全雜湊演算法),是一種用來加密的演算法,最主要的用途是數位簽章、SSL憑證等。
如果我們下載一份文件,發現「原文件」和「下載文件」的數位簽章不同,就表示這份文件很有可能已遭到竄改或含有病毒!
😨 SHAttered attack 😨
Google在日前釋出了兩個含有不同內容、卻擁有相同數位簽章的PDF檔案,表示:安安我們成功破解SHA-1了!雖然耗費9,223,372,036,854,775,808次的碰撞... (碰撞見下述解釋)
SHA-1在很久以前就已被提出有漏洞,Google早在2015年就宣布逐步停止使用。只是Google費時近兩年、又花了一堆運算資源才在今年初成功破解SHA-1。
即便如此,需要的力氣也已遠低於當初的預期了;所以SHA-2, SHA-3以上的安全性更是遠遠高於SHA-1的,有運算資源大概也破不了。
那一般使用者該怎麼預防呢?Google官方做了個懶人包表示:
1. 使用SHA-3等加密能力更強的雜湊函數
2. 使用 shattered.io 網站上傳測試文件是否安全。
3. 使用Googe的產品 (絕對是安全的拉!)
🙃 雜湊函數 (Hash function) 防止訊息被竄改 🙃
原有的訊息經過雜湊函數,能簡化出一個「雜湊值」,也稱「訊息指紋」(message fingerprint),因此將資料量變得很小且具有固定大小。
SHA-1是基於下述目的,被開發出來的雜湊函數:
1. 「不可逆性 (One-Way Function)」:可以由訊息計算出雜湊值,但無法由雜湊值反向還原成原訊息。
2. 「碰撞抵抗力 (Collision Resistance)」:任兩組不同的訊息,雜湊值是不相同的。
🤡 傳送門 🤡
👉 Google發表破解SHA-1:https://goo.gl/BorJZl
👉 瀏覽器棄用SHA-1:https://goo.gl/cHN63f
👉 官方懶人包:https://goo.gl/sRDw7b
Search