回归最本质的信息安全

谷歌成功破解SHA-1散列算法,相同PDF文件暗藏玄机

2017年2月24日发布

4,140
2
0

导语:今天,谷歌和 CWI机构对外发布称,他们成功破解了SHA-1散列算法。

88.png

今天,谷歌和 CWI机构对外发布称,他们成功破解了SHA-1散列算法。虽然现在SHA-1散列算法已经日渐黄昏,但是在此之前并没有人成功破解过它,谷歌属于第一人。

SHA-1散列算法简介

SHA-1是一种流行的安全散列算法,是美国国家安全局于1995年设计,美国国家标准与技术研究院(NIST) 发布的密码散列函数。和其他密码散列函数相似,它会将用户输入的信息转换成一长串数字和字符,以对特定的信息进行加密。

其实早在数十年之前就有安全研究员指出,SHA-1散列算法存在安全问题,但并没有真正找出其中存在的漏洞,所以SHA-1在相当长的一段时间内还是非常流行的。近几年,随着一系列的安全散列算法的出现,SHA-1已经慢慢淡出了。

当两条不同的信息使用了同一个hash值,这个时候利用撞库可达到意想不到的攻击效果。攻击者甚至可以伪造数字签名,进而破解SHA-1加密的通信。

8.png

2015年10月,CWI机构的安全研究员发布了一篇报告,理论上可成功对SHA-1进行撞库攻击。随后谷歌联系到了该团队,并与之一起研究。今天,他们终于将理论变成了实践,成功破解了SHA-1,将这一技术命名为SHAttered。

POC

谷歌提供了这一消息的证据——两个PDF文件,非常相似,并且拥有相同的SHA1 hash,但是展示的内容却完全不一样。

1487909576856632.png

据研究员们解释,SHAttered攻击比普通的暴力破解攻击快100,000倍。

SHAttered攻击需要进行超过9,223,372,036,854,775,808次的SHA1计算,相同工作量的情况下,使用single-CPU计算需要6500年,使用single-GPU计算需要110年。

90天之后公布详细的细节

尽管谷歌已经公开声明他们成功破解了SHA-1散列算法,但并不打算近期公开详细的技术细节及POC,要等待90天的漏洞公开日期之后才会公开。

建议目前还在使用SHA-1散列算法的企业和公司尽快更换加密算法,可选择更为安全的SHA-256和SHA-3。

本文参考来源于THN,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/3493.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

晨曦

晨曦

嘶吼编辑

发私信

发表评论

    蔡宁宁
    蔡宁宁 2017-02-24 15:58

    厉害了,这个谷歌!

    高坂穗乃果
    高坂穗乃果 2017-02-24 13:48

    终于等到了!