灰鸽子远程控制软件

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 10356|回复: 0

停止使用SHA1:现在完全不安全.SHA1签名可碰撞出两个相同签名文件!远程控制软件

[复制链接]
发表于 2017-2-25 17:55:31 | 显示全部楼层 |阅读模式

停止使用SHA1:现在完全不安全.SHA1签名可碰撞出两个相同签名文件!远程控制软件
研究人员已经实现了第一个实际的SHA-1碰撞,生成两个具有相同签名的PDF文件

安全研究人员已经实现了针对SHA-1哈希函数的第一次真实世界冲突攻击,产生具有相同SHA-1签名的两个不同的PDF文件。这表明该算法对安全敏感功能的使用应尽快停止。

SHA-1(安全哈希算法1)可以追溯到1995年,并且已知自2005年以来容易受到理论攻击。美国国家标准和技术研究所自2010年起禁止美国联邦机构使用SHA-1,数字证书颁发机构从2016年1月1日起不允许颁发SHA-1签署的证书,但已经做出了一些豁免。

然而,尽管这些努力在一些领域逐步停止使用SHA-1,但该算法仍然被广泛用于验证信用卡交易,电子文档,电子邮件PGP / GPG签名,开源软件存储库,备份和软件更新。

使用诸如SHA-1的散列函数来计算用作文件或数据片的加密表示的字母数字字符串。这被称为摘要,并且可以用作数字签名。它应该是独特的和不可逆的 远程控制软件, 灰鸽子, 远程控制。

如果在允许两个文件具有相同摘要的散列函数中发现弱点,则该函数被认为是加密破坏的,因为用它生成的数字指纹可能是伪造的,并且不能被信任。攻击者可以例如创建将由更新机制接受和执行的流氓软件更新,该更新机制通过检查数字签名来验证更新。

2012年,密码学家估计,到2015年,使用商业云计算服务的实际攻击将花费70万美元,到2018年将达到173,000美元。然而,2015年,来自荷兰Centrum Wiskunde和Informatica(CWI)的一组研究人员新加坡的技术大学(NTU)和法国的Inria设计了一种打破SHA-1的新方法,他们认为这将显着降低攻击成本。

从那时起,CWI研究人员与Google合作,利用公司的大规模计算基础设施,将攻击付诸实践并实现了实际碰撞。它花了九个五个SHA-1计算,但他们成功了。

根据谷歌,它是已经完成的最大的计算之一:6500年的单CPU计算和110年的单GPU计算的等效处理能力。它在与Alpha的人工智能程序和服务(如Google Photo和Google Cloud)相同的基础设施上执行。

评帖赚银币(0) 收起
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|灰鸽子远程控制软件|灰鸽子远程控制软件 ( 鲁ICP备14000061号-4 )

GMT+8, 2024-11-23 06:24 , Processed in 0.099841 second(s), 22 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表