谷歌宣布成功攻破SHA-1算法 将在90天后公布细节
谷歌今天与研究机构CIW联合宣布成功攻破SHA-1算法,创造了两个哈希值值完全相同但内容不同的文件。
SHA-1算法是当前在全球被广泛使用的安全加密方法之一,但该算法已经被研究机构和专家们证明并不安全。
本次谷歌与CIW的研究人员Marc Stevens合作找出了破解方法,且这个破解方法会在90天后公布源代码。
谷歌利用其拥有的强大的云计算能力实现了9,223,372,036,854,775,808次碰撞,成功找到了相同的哈希值。
如下图:两个内容不同的PDF文档实现了相同的SHA-1值,但SHA-256值却是不同的
而需要实现如此高的碰撞则需要拥有强大的计算能力才可以完成,谷歌就动用110块GPU并耗费1年时间。
要说MD5码应该是最轻易被攻破的算法了,谷歌称只需要1台智能手机30秒就可以成功破解MD5加密。
而对于SHA-1 BF算法也只需要动用规模更大的计算集群也可以轻易的将其给破解掉,时间上也只需要1年。
谷歌和CIW的这项研究表明了什么:
这项研究再次提醒了人们不要再使用SHA-1算法了,不论是文件的校验还是使用基于该算法的SSL证书。
正如你经常下载文件时会被提醒下载后需要校验哈希值,而现在完全可以伪造出两个相同哈希值的文件。
那么对于你来说即使你校验并发现下载的文件哈希值与作者提供的一致,也不能保证文件就未被修改过。
同理基于SHA-1算法的SSL证书也可以被伪造,这样进行中间人攻击时你不会被提醒可能存在安全性问题。