E安全3月23日讯 今年2月,谷歌宣布攻破SHA-1哈希算法,这一消息震惊加密界,也就意味着SHA-1哈希从此不再安全。加密学哈希算法 SHA-1 被誉为密码学的瑞士军刀。哈希算法在我们日常的网络安全、代码仓库安全、甚至是确认文件的完整性方面扮演着重要的角色。
虽然大多数人已经不再使用SHA-1,但GitHub这个开源“神经中枢”却将其作为核心加密算法。众所周知,GitHub上覆盖各种开源项目,包括比特币、政府拥有的选举软件等等。
所幸的是,GitHub本周一采用了一个系统,能自动检测SHA-1破解入侵,并加以阻止。
GitHub将用户数据存储为具有唯一SHA-1哈希的“对象”。 该网站将唯一SHA-1哈希作为ID追踪“对象”。由于SHA-1的设计,产生两个相同哈希值的可能性很小。然而,谷歌二月通过高度专业的方法以及强大的云计算能力发现了SHA-1碰撞(指两个内容不同的对象产生了相同的 SHA-1 哈希值)实例,所以对GitHub进行SHA-1 碰撞攻击的方法被认为是首先创造出一对 SHA-1 哈希值相同的对象,然后让其中一个看似合法的对象获得合法签名,然后对外散播包含另一个恶意对象的版本,这个恶意版本的签名仍然与原始版本相同。
GitHub发表博文指出,谷歌发现SHA-1碰撞的方法会在字节上留下模式,而GitHub能检测到。如果触发碰撞规则,GitHub将自动中止操作。GitHub正在寻求更持久的解决方案。Git项目还制定计划将SHA-1过渡到另一种更安全的哈希算法,同时最大限度减少对现有存储库数据的破坏。待这项工作成熟时,我们计划在GitHub支持新算法。
检测 SHA-1 碰撞的攻击 sha1collisiondetection 已经开源。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day
文章评论