经过 2 年的研究,Google 表示其已成功攻破了 SHA-1。尽管暂未披露其任何细节,该公司还是放出了一个概念验证。根据既往的信息披露政策,我们将在 90 天后知晓详情。在此期间,你可以看看 Google 晒出的两份特制 PDF 文档,虽然它们拥有相同的 SHA-1 哈希值,但内容上却不尽相同(定义冲突)。

shattered-sha-1-collision.jpg

需要指出的是,SHA-1 曾一度非常流行,但现在已经不太常见。因为专家们很早前就预测过,这项技术将很快被破解。近年来,业内已经逐渐疏远这项加密方法,转而采用更安全的替代品,比如 SHA-256。

infographic-small.png

Google 在发表 SHA-1 冲突新闻的 Shattered.it 网站上表示:

我们已经通过这个实例演示了如何攻破 SHA-1 加密。

这项被业内广泛用于数字签名、文件完整性验证、以及保护广泛的数字资产(包括信用卡交易、电子文档、开源软件资源库与软件更新等)的加密标准,现已被实际证明可精心制作出两份冲突的 PDF 文件。

它们包含了不同的内容,却拥有相同的 SHA-1 数字签名,意味着一个有效签名可被另一份 PDF 文件所滥用。

举例来说,别有用心的人可以利用这种方法制作两份内容不一致的租赁协议,然后用低价‘副本’欺骗他人‘签下’价格更高的那份合约。

20170224 SHA-1.jpg

当然,想要达成 Google 这样的“成就”并非易事,因之实际上共执行了 9,223,372,036,854,775,808 次 SHA-1 计算(9×10^18);一阶段攻击需要耗费 6500 年的 CPU 计算时间;二阶段攻击也需要 110 年的 GPU 计算时间。

complexity compared.png

[编译自:BetaNews , 来源:Shattered.it(PDF)]

17 1 收藏


直接登录
最新评论

推荐关注