sha-1是如今很常見的一種加密雜湊演算法,https傳輸和軟體簽名認證都很喜歡它,但它畢竟是誕生于1995年的老技術了(出自美國國安局nsa),已經漸漸跟不上時代,被破解的速度也是越來越快。來自法國、荷蘭、新加坡的三位科學家搞了個項目“the shappening”,利用碰撞攻擊的方式研究破解sha-1算法,他們稱之為“freestart collision”。
利用這種新方法,他們隻需要10天的功夫,就能破解一個完整的sha-1算法(全部80步)。
硬體方面的付出其實也很低,隻是16個節點組成的一套計算陣列,總共包含16顆core i5-4460處理器、64塊geforce gtx 970顯示卡、256gb記憶體。
如果換成更加頂級的裝置,一兩天就完成破解是很輕松的。
安全人員早在2012年就預測說,等到2018年的時候,破解sha-1算法的硬體成本将會降低到17.3萬美元,約合人民币110萬元,看似很高但如果你要進行的是大規模網絡攻擊,或者國家層面的電子戰,簡直是毛毛雨。
而如果利用上述最新方法,這一成本将降低到隻需7.5-12萬美元,約合人民币48-76萬元。
是以,有條件的組織機構應該盡快更新到sha-2(還是出自nsa)甚至是sha-3(獨立研究人員搞的)。
微軟在2013年的windows 8系統裡就改用了sha-2,google、mozilla則宣布2017年1月1日起放棄sha-1。
當然了,在普通民用場合,sha-1還是可以繼續用的,比如校驗下載下傳軟體之類的,就像早已經被淘汰的md5。