差评君突然想起当年闹得沸沸扬扬的 XCodeGhost 事件,如果当时的始作佣者掌握了这样的技术的话,XCode 被添加恶意代码这件事一定会更加难以被发现。。。 话说回来,也不用太过担心,因为对个人来说或者小团体来说,这样的事情实现起来还是很困难的。。。 因为 SHA-1 算法理论上本来就是会发生碰撞的,只是很难找出来而已(以至于目前为止只有谷歌公开的第一个例子)~ 而且实际上,就在 2005 年,我们国家的一位科学家王小云就已经提出过一种攻击 SHA-1 的算法,只不过这种算法成本还是比较高,只是提出了SHA-1 的攻击方式的理论,并没有给出实际的碰撞例子。 王小云教授照片 到了2013年,荷兰阿姆斯特丹 CWI 研究所的 Marc Stevens 又提出了构造SHA-1 碰撞的一种新的更快的攻击方法,而且不久之后还给出了这种算法在 GPU 上的实现。。。 不过这种算法依旧有非常巨大的计算量,最后借助了谷歌的强大计算资源才算是成功地找到了一个碰撞例子~ 至于计算量到底有多大,可以看下谷歌给出的描述: 谷歌在一份文件中对比了Shattered 算法和暴力破解的对比 即使是改进后的 Shattered 算法也需要 110 块 GPU 计算一整年,而暴力破解需要一千两百万张 GPU 才能在一年内算完。。。 这就是为什么即使 SHA-1 理论上可以被攻击,也一直没有出现实际被攻击的例子~ 但这次谷歌的成功找到碰撞的例子给整个互联网敲响了警钟:SHA-1 对于现在这个时代来说已经不再安全。。。 如果你用 Chrome 浏览器,你遇到不安全的网站证书是会被保护的。 而且年初就已经开始彻底不支持 SHA-1: 我的浏览器会经常我吗? 从2017年1月发布的版本开始,开奖,Chrome 会把任何用 SHA-1 的证书判定为不安全 。 同时微软的 Windows 和 Edge 浏览器也都宣布即将彻底弃用 SHA-1 ~ 一个新的时代即将到来。 至于差友们想问问谷歌前面提到的警告是长什么样的,这里有个你们很熟的网站。。。 “ 以后上网注意安全。。。 ” 想要身体被掏空吗?那就来 差评(chaping321)每天深夜12点才更文哦! (责任编辑:本港台直播) |