SHA-1是如今很常见的一种加密哈希算法,HTTPS传输和软件签名认证都很喜欢它,但它毕竟是诞生于1995年的老技术了(出自美国国安局NSA),已经渐渐跟不上时代,被破解的速度也是越来越快。来自法国、荷兰、新加坡的三位科学家搞了个项目“The Shappening”,利用碰撞攻击的方式研究破解SHA-1算法,他们称之为“Freestart Collision”。
利用这种新方法,他们只需要10天的功夫,就能破解一个完整的SHA-1算法(全部80步)。 硬件方面的付出其实也很低,只是16个节点组成的一套计算阵列,总共包含16颗Core i5-4460处理器、64块GeForce GTX 970显卡、256GB内存。 如果换成更加顶级的设备,一两天就完成破解是很轻松的。 安全人员早在2012年就预测说,等到2018年的时候,破解SHA-1算法的硬件成本将会降低到17.3万美元,约合人民币110万元,看似很高但如果你要进行的是大规模网络攻击,或者国家层面的电子战,简直是毛毛雨。 而如果利用上述最新方法,这一成本将降低到只需7.5-12万美元,约合人民币48-76万元。 所以,有条件的组织机构应该尽快升级到SHA-2(还是出自NSA)甚至是SHA-3(独立研究人员搞的)。 微软在2013年的Windows 8系统里就改用了SHA-2,Google、Mozilla则宣布2017年1月1日起放弃SHA-1。 当然了,在普通民用场合,SHA-1还是可以继续用的,比如校验下载软件之类的,就像早已经被淘汰的MD5。 |
