Google震惊密码界 攻破了网络加密的基石SHA

本篇文章1341字，读完约3分钟

据雷锋说。2月23日，在美国，谷歌在密码学领域做了一件大事。它揭示了sha-1算法的一种开放碰撞方法，打破了这种算法。这也是对密码学中最流行的算法的死刑判决。但好消息是，几乎没有人还在使用sha-1，所以你不需要在阅读本文后安装任何安全补丁。然而，谷歌公布的结果对网络安全仍然具有重要意义。

在我们知道整个事件之前，我们应该知道谷歌做了什么。

一句话:谷歌已经公开破解了sha-1，一种网络加密的主要算法。该公司的研究人员在他们的博文中说，有足够的计算能力(一个阶段需要大约110年来计算gup)来实现碰撞并有效破解算法。事实上，以前，每个人都知道这是可能的，但没有人做过。

根据谷歌的披露政策，它将解释它在90天内做了什么。然而，一旦这个概念证明方法被公布，任何有足够计算能力的人都可以纠正sha-1冲突，所以这个算法是不安全的，应该是过时的。

也许谷歌不是第一个这样做的(比如一些国家情报机构)，但它是第一个公开的。

然后问题就来了。什么是sha-1？

雷锋。com了解到sha-1是一个哈希函数(或hash函数)，它可以从给定的文件中生成数字指纹，这样就可以验证文件的完整性而不暴露整个文件内容，只需检查哈希值。如果散列函数是正常的，每个文件将产生一个唯一的散列值，所以如果只有预期的值可以匹配，文件本身也可以匹配。这对登录系统尤其重要，因为它需要在不泄露密码本身的情况下验证密码是否正确。

了解sha-1，什么是碰撞？你说的“实现碰撞”是什么意思？

当哈希函数有缺陷并且两个文件产生相同的哈希值时，就会发生冲突。它允许攻击者滥用恶意文件，因为它们与合法文件具有相同的哈希值。

作为证明，谷歌在公布的结果中显示了两个pdf文件，它们在sha-1处理后产生了相同的散列值。

事实上，被破坏的散列函数可以用来攻击另一个加密系统https，https保护了世界上一半以上网页的安全。

作为一个普通用户，我能做什么？

实际上，一点也不担心。密码学家已经预测这种碰撞很多年了，他们非常清楚如何去做，需要多少计算能力。谷歌这样做是因为它有资金和许多服务器...就这样开始了，这个行业一直非常清楚这种可能性。

此外，大多数网站已经放弃了sha-1。尽管在2014年，网络上90%的加密都使用了它，但在接下来的几年里，它很快就被放弃了。从今年1月1日开始，当你访问一个用sha-1加密的网站时，每个主流浏览器都会给你一个警告(通常是全屏红色)。虽然很难说有多少网站仍在使用它，但正常的网络活动是安全的。

Sha-1除了网络加密还在其他地方使用，比如git存储库，但是考虑到它已经被废弃了一段时间，影响不会很大。

另一个问题是，如果谷歌做的事情不那么令人兴奋，那么为什么要这么做呢？

这可能是因为它想结束这场争论，因为放弃sha-1也需要行业投入大量时间和精力，而且不是每个人都想这么做。如果你直接破解它，你可以打击那些反对它的人，并迅速结束战斗。

雷锋。com得知chrome早在2014年就开始警告sha-1加密网页，火狐和微软的edge和ie也很快跟进。

虽然现在整个事件的影响不会很大，但我们应该庆幸的是，这个行业已经取得了快速的进步，很快就放弃了原来的加密方法，否则现在会很危险。

来源：搜狐微门户