上周四Google與荷蘭研究機構(gòu)CWI宣布首例SHA-1碰撞攻擊實例。僅僅一天后的周五就出現(xiàn)了首個碰撞攻擊的攻擊受害者:WebKit 項目使用的開源版本控制系統(tǒng)Apache SVN,引發(fā)業(yè)界討論。SHA-1遭碰撞后,我們的網(wǎng)絡(luò)空間還安全嗎?
上周五,SHA1 碰撞攻擊出現(xiàn)了第一位受害者:WebKit項目使用的開源版本控制系統(tǒng) Apache SVN(或 SVN)。雖然這個問題是發(fā)生在WebKit SVN上的,但它能影響全世界的版本控制系統(tǒng)。
程序測試導(dǎo)致代碼倉庫崩潰
事情的起因是WebKit的工程師想要看看WebKit會如何處理SHA-1碰撞,于是他上傳了Google提供的兩份內(nèi)容不同,SHA-1校驗值相同的PDF文件。
WebKit SVN接收到上傳的兩份文件后立即出錯并且不再接受任何新的代碼推送。
無論是回滾還是刪除PDF文件都不起作用,SVN repo仍然無法使用,與鏡像repo的同步也中止了。雖然工程師最終修復(fù)了問題,但WebKit團隊不得不放棄在他們軟件中檢測SHA-1碰撞的想法。
SVN缺陷被確認
Google和Apache分別確認了SVN存在的問題。
Google在其SHA-1碰撞攻擊網(wǎng)站上寫道:“版本控制服務(wù)器會使用SHA-1進行重復(fù)數(shù)據(jù)刪除。當兩個[具有相同SHA-1而內(nèi)容不同的]文件被提交到repo時,代碼倉庫就會損壞。 [...]我們注意到,在某些情況下,由于代碼倉庫損壞,用戶無法再提交代碼?!盇pache則在確認缺陷后不久發(fā)布了臨時補丁,這個腳本可以在SVN checkout之前檢查提交的源代碼中有沒有能夠?qū)е耂HA1碰撞的文件。Apache表示會在將來提供更好的解決方案。
事實上SHA-1遭遇碰撞攻擊后,人們就擔心,使用SHA-1校驗的代碼倉庫Git會不會存在被攻擊的問題。版本控制系統(tǒng)Git的作者Linus Torvalds 在其Google+賬號上稱,Git不會受這類攻擊影響:使用加密哈希用作安全簽名和用在諸如git的內(nèi)容可尋址系統(tǒng)中生成“內(nèi)容標識符”存在很大的區(qū)別;這個SHA1攻擊的本質(zhì)決定它實際上很容易緩解,已經(jīng)有兩組針對這個攻擊的補??;實際上有個直接過渡到一些其他的哈希方法。他還表示,Git 確實需要替換 SHA1,這需要時間,并不需要現(xiàn)在就去做。
專家:天還沒有塌下來
Linus Torvalds針對谷歌完成SHA-1碰撞一事,在他的Google+帳號中說了一句話:天還沒有塌下來。實際上很多專家們對安全形勢也是持樂觀態(tài)度的。
棄用SHA-1并不難
SHA-1最普遍的應(yīng)用就是SSL/TLS連接的加密了,對于這個問題,各大瀏覽器廠商早已開始淘汰SHA-1算法了。早在2014年,Chrome瀏覽器就不再推薦SHA-1算法的瀏覽器證書,微軟Edge瀏覽器、Firefox瀏覽器都在計劃逐步淘汰SHA-1算法。而作為廠商,升級SHA-1證書是應(yīng)該做的事,而且也不那么難。
InfoSec Global公司CSO David Maxwell表示,SHA-1還可能潛伏在一些不那么普遍的地方。很多產(chǎn)品代碼中可能會含有SHA1相關(guān)代碼,比如CMS系統(tǒng)和代碼控制系統(tǒng)會用SHA-1校驗文件防止篡改,如果這些系統(tǒng)購買自第三方,那公司可以問問廠商是不是用了SHA-1、何時打算更換算法。
對于那些加密算法出現(xiàn)在代碼中的情況,Maxwell稱,如果代碼具有足夠的加密靈活性,那替換成更安全的算法也不會是難題。所謂加密靈活性通俗講其實就是在代碼中使用了別的模塊來調(diào)用哈希函數(shù),在這種情況下只需要簡單地替換調(diào)用的模塊就行了。
攻擊成本高昂
Google與CWI公布的新方法比傳統(tǒng)的暴力破解快了100,000倍。具體花費的時間與CPU和GPU有關(guān),即使是擁有強大計算資源的Google,從研究、規(guī)劃到計算也花了兩年。
碰撞攻擊的第一階段花費740萬美元,這還是假設(shè)CPU開足馬力每時每刻在亞馬遜上運行的情況,因此能夠利用這個漏洞的人只可能是資源豐富的罪犯或者國家資助的黑客。英特爾的Jesse Walker估計,到2021年,制造SHA-1碰撞的計算硬件成本為43000美元。
因此,即便Google證明SHA-1算法是可以被攻擊的,它離實際應(yīng)用還差很遠。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 從量子威脅到人工智能防御:2025年網(wǎng)絡(luò)安全將如何發(fā)展
- 后人工智能時代:2025年,在紛擾中重塑數(shù)據(jù)、洞察和行動
- 2025年展望:人工智能推動IT整合
- 量子計算:商業(yè)世界的新前沿與設(shè)計思維的融合
- IDC:三季度全球以太網(wǎng)交換機收入同比下降7.9%、環(huán)比增長6.6%
- Fortinet李宏凱:2025年在中國大陸啟動SASE PoP節(jié)點部署 助力企業(yè)出海
- Fortinet李宏凱:2024年Fortinet全球客戶已超80萬
- 央國企采購管理升級,合合信息旗下啟信慧眼以科技破局難點
- Apache Struts重大漏洞被黑客利用,遠程代碼執(zhí)行風險加劇
- Crunchbase:2024年AI網(wǎng)絡(luò)安全行業(yè)風險投資超過26億美元
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。