基于安全考虑,Microsoft 表示:将删除所有 SHA-1 Windows 下载

一颗小胡椒 2020-07-30
专栏 - 资讯 发布于 2020-07-30 09:34:34 阅读 6 评论 0

微软表示,使用SHA-1算法签名的文件下载不安全,并将于2020年8月3日删除。

Microsoft表示:下周将删除所有SHA-1 Windows下载

微软本周宣布,计划从微软下载中心删除所有使用安全哈希算法1 (SHA-1)加密签名的windows相关文件下载。

该公司周二表示,这些文件将于下周一即8月3日被删除。

操作系统制造商表示,此举是基于SHA-1算法的安全性。

SHA-1是一种遗留的加密散列,安全社区中的许多人认为它不再安全。在数字证书中使用SHA-1哈希算法可能允许攻击者进行内容欺骗、执行钓鱼攻击或执行中间人攻击。

SHA-1, 2016年被打破

2016年2月,一组学者在理论层面上打破了SHA-1哈希函数,此后,大多数软件公司最近开始放弃SHA-1算法。

该算法在2017年2月的一次实际攻击中被破解,当时谷歌密码专家透露,该技术可以使两个不同的文件看起来具有相同的SHA-1文件签名。

当时,从计算方面来讲,制造SHA-1碰撞是昂贵的,谷歌专家认为,SHA-1至少还可以在实践中使用5年,直到成本下降。

然而,在2019年5月和2020年1月发布的后续研究中,详细介绍了一种更新的方法,将SHA-1碰撞攻击的成本降低到11万美元以下,然后降低到5万美元以下。

自2016年以来,软件制造商已经放弃了SHA-1,主要是为了SHA-2。2017年1月底,随着Chrome 56的发布,谷歌删除了对SHA-1的支持;Firefox在同样于2017年1月底发布的Firefox 51中取消了对SHA-1的支持;微软在2017年年中放弃了对Edge和ie浏览器的SHA-1支持。

苹果随后从iOS 13和macOS Catalina中删除了SHA-1, OpenSSH宣布计划在今年早些时候取消在登录过程中使用SHA-1。

自2019年8月起,微软不再使用SHA-1对Windows OS更新进行签名和认证。目前,微软正在将其产品的SHA-1替换为SHA-2。

然而,操作系统制造商并没有具体说明从其下载中心删除的与windows相关的文件是否会被签有SHA-2的新下载链接所取代,这让很多人怀疑他们是否还能够下载一些微软的旧工具。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!