SHA-1可能在年份出来之前破坏
差不多百万个网站仍在使用SHA-1(Secure Hash算法1)证书来加密Web流量。
尽管被谷歌Chrome被视为谷歌Chrome弱或不安全,但在2015年期间发出了最常用的浏览器,超过120,000辆上行的SHA-1证书,其中有3,900人在开始之外的到期日期2017年,互联网服务公司网上公司已找到。
根据Netcraft,在49到78天内,可能发生SHA-1碰撞,这将使黑客能够使用Web浏览器将接受的假证书创建特洛伊木马网站。
黑客需要在512-GPU集群上运行攻击,但在亚马逊EC2上使用等效处理时间的成本将仅花费75k-$ 120k,Netcraft警告。
研究人员表示,这种即将到来的威胁表明,根据安全行业的建议,到2017年的SHA-1迁移过于缓慢。
通过SHA-1碰撞,Netcraft表示,一位资助的攻击者可能会冒充使用公开信赖的SHA-1证书的SSL网站。
2014年9月,谷歌表示,它将开始警告用户使用SHA-1的网站不再相信。谷歌写道:“我们需要确保在公开展示对SHA-1的攻击时,网络已经远离它。
“不幸的是,这可能是非常具有挑战性的。例如,当Chrome禁用MD5时,当他们的代理软件 - 来自领先供应商 - 继续使用不安全的算法时,许多企业,学校和小企业受到影响,并留下争抢进行更新。使用个人防火墙软件的用户也受到影响。“
但是,赛门铁克 - 由委托和趋势科技支持 - 询问CA / B论坛监督网络上的SSL安全性,允许SHA-1证书于2016年颁发 - 但这些新证书在此期间只会保持有效2016年。
鉴于浏览器仍然接受SHA-1证书,即使在迁移到SHA-2之后,NERCRAST也仍然存在风险,因为损害了与SHA-1签名的中间CA证书的攻击者可以为任意网站生成有效证书。
2014年4月发现的OpenSlheartbleed Bug导致大约有五百万个证书可能会受到损害,需要紧急重新发行和撤销,从而导致SHA-2卷取。