关注网络安全
和行业未来

二月SSL行业新闻回顾

本月头条:SHA-1崩坏

该来的还是来了:来自CWI Amsterdam的Marc Stevens的研究团队与Google合作,使用相同的SHA-1哈希创建了两个文件。诸如SHA-1的哈希函数是几乎所有加密协议的重要组成部分。如果发生冲突,对所有加密用例来说就是一种崩坏。没人希望这会发生,尽管结果是如此重要: 早在2005年,SHA-1就已被王小云和她的团队破解。从那时起,我们就知道SHA-1的崩坏不过是个资源问题。 在TLS中,SHA-1被广泛应用于多个领域。证书签名使用了过去的哈希函数,但来自浏览器供应商的压力迫使证书颁发机构切换到更强的SHA256。然而为了支持旧的硬件设施,SHA-1仍被使用。对于这起崩溃事件,Firefox已完全禁用支持在证书签名使用SHA-1。

此外,SHA-1还常常被用在TLS握手中。TLS1.1便同时使用了SHA-1和MD5。而更新的TLS1.2则允许了更多不同的哈希函数,但仍然提供SHA-1支持。去年SLOTH research发表过一则论文,分析了TLS握手中使用SHA-1存在的一些缺点。

二月其他新闻

 

稿源: Feisty Duck

评论 抢沙发