停止使用SHA1：现在完全不安全.SHA1签名可碰撞出两个相同签名文件！远程控制软件

admin

停止使用SHA1：现在完全不安全.SHA1签名可碰撞出两个相同签名文件！远程控制软件
研究人员已经实现了第一个实际的SHA-1碰撞，生成两个具有相同签名的PDF文件

安全研究人员已经实现了针对SHA-1哈希函数的第一次真实世界冲突攻击，产生具有相同SHA-1签名的两个不同的PDF文件。这表明该算法对安全敏感功能的使用应尽快停止。

SHA-1（安全哈希算法1）可以追溯到1995年，并且已知自2005年以来容易受到理论攻击。美国国家标准和技术研究所自2010年起禁止美国联邦机构使用SHA-1，数字证书颁发机构从2016年1月1日起不允许颁发SHA-1签署的证书，但已经做出了一些豁免。

然而，尽管这些努力在一些领域逐步停止使用SHA-1，但该算法仍然被广泛用于验证信用卡交易，电子文档，电子邮件PGP / GPG签名，开源软件存储库，备份和软件更新。

使用诸如SHA-1的散列函数来计算用作文件或数据片的加密表示的字母数字字符串。这被称为摘要，并且可以用作数字签名。它应该是独特的和不可逆的 远程控制软件, 灰鸽子, 远程控制。

如果在允许两个文件具有相同摘要的散列函数中发现弱点，则该函数被认为是加密破坏的，因为用它生成的数字指纹可能是伪造的，并且不能被信任。攻击者可以例如创建将由更新机制接受和执行的流氓软件更新，该更新机制通过检查数字签名来验证更新。

2012年，密码学家估计，到2015年，使用商业云计算服务的实际攻击将花费70万美元，到2018年将达到173,000美元。然而，2015年，来自荷兰Centrum Wiskunde和Informatica（CWI）的一组研究人员新加坡的技术大学（NTU）和法国的Inria设计了一种打破SHA-1的新方法，他们认为这将显着降低攻击成本。

从那时起，CWI研究人员与Google合作，利用公司的大规模计算基础设施，将攻击付诸实践并实现了实际碰撞。它花了九个五个SHA-1计算，但他们成功了。

根据谷歌，它是已经完成的最大的计算之一：6500年的单CPU计算和110年的单GPU计算的等效处理能力。它在与Alpha的人工智能程序和服务（如Google Photo和Google Cloud）相同的基础设施上执行。