圖片來源: 

有鑒於最近SHA-1演算法攻擊手法的進展,微軟考慮將提早棄用SHA-1,從原訂的2017年1月1日更改為2016年6月。

SHA-1是一種加密演算法,可用於產生160-bit的雜湊值。2012年哈佛大學Berkman中心院士Bruce Schneier研究指出,依電腦的演進速度以及雲端運算服務費用的低廉,預期在2018年時犯罪組織只要以17.3萬美元即可產生「碰撞攻擊」(collision attack)來破解SHA-1,約為之前的1/3。

微軟2013年時即已預告2016年1日1日起停用新的SHA-1憑證,並已宣佈到2017年1月1日將停止支援所有SHA-1 SSL/TLS憑證。微軟引述新加坡南陽科技大學、法國Inria大學的研究指出,SHA-1碰撞攻擊的手法大有進展,研究人員並指出,租用Amazon EC2雲端運算服務幾個月的時間來破解SHA-1,最新成本已經降到7.5到12萬美元之間,研究人員並建議應將SHA-1簽章標示為不安全。微軟表示,基於上述理由,決定加速時程到最早2016年6月。

Google已在去今年9月宣佈將逐步停止Chrome瀏覽器對SHA-1支援以及相關時程。Mozilla基金會也在上個月宣佈Firefox瀏覽器的類似計畫,時程和微軟之前一致。微軟表示,會持續與其他瀏覽器業者合作評估相關的時間表與影響。(編譯/林妍溱)


Advertisement

更多 iThome相關內容