呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題：密碼演算法 SHA-1 不再牢不可破，Google團隊發現第一個碰撞實例名詞解釋： SHA-1（英語：Secure Hash Algorithm 1，中文名：安全雜湊演算法1）是一種密碼雜湊函式，美國國家安全局設計，並由美國國家標準技術研究所（NIST）發布為聯邦資料處理標準（FIPS）。 2005年，破密學人員發現了對SHA-1的有效攻擊方法，這表明該演算法可能不夠安全，不能繼續使用，自2010年以來，許多組織建議用SHA-2或SHA-3來取代SHA-1。Microsoft、Google以及Mozilla都宣布，它們旗下的瀏覽器將在2017年前停止接受使用SHA-1演算法簽名的SSL憑證。 2017年2月23日，CWI Amsterdam與Google宣布了一個落實的SHA-1碰撞攻擊，發布了兩份內容不同但SHA-1雜湊值相同的PDF檔案作為概念證明。引用來源： https://zh.wikipedia.org/wiki/SHA-1 摘要：在引進SHA-1的10年後，宣布第一次實際技術性的產生了一個碰撞。這經過了兩年的研究,包含了CWI Amsterdam和Google的合作。對如何產生下面的碰撞進行了總結。作為攻擊的證明，發布了兩個PDFs，它們有不同的內容，但是有相同的SHA-1哈希值。對於技術群體，研究結果強調了廢除SHA-1的必要性。Google已經提倡棄用SHA-1好多年了，特別是當用於簽發TLS證書時。早在2014年，Chrome團隊就已經宣布他們將逐步淘汰SHA-1。希望對SHA-1的攻擊實踐能讓“該協議不應再被認為是安全的”在每個人心裡更加牢固。希望對SHA-1的實際攻擊，能讓業界認識到將SHA-1替換成更安全的方案已經迫在眉睫。 shattered 網站： https://shattered.io/ 研究報告下載處： The first collision for full SHA-1 https://shattered.io/static/shattered.pdf 內文引用來源： http://bobao.360.cn/news/detail/4011.html 媒體報導： Google Achieves First-Ever Successful SHA-1 Collision Attack http://thehackernews.com/2017/02/sha1-collision-attack.html FIRST PRACTICAL SHA-1 COLLISION ATTACK ARRIVES https://threatpost.com/first-practical-sha-1-collision-attack-arrives/123868/ 原始資料： Announcing the first SHA1 collision https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html #58af9d378b4f27862ffd1fe8

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題：密碼演算法 SHA-1 不再牢不可破，Google團隊發現第一個碰撞實例名詞解釋： SHA-1（英語：Secure Hash Algorithm 1，中文名：安全雜湊演算法1）是一種密碼雜湊函式，美國國家安全局設計，並由美國國家標準技術研究所（NIST）發布為聯邦資料處理標準（FIPS）。 2005年，破密學人員發現了對SHA-1的有效攻擊方法，這表明該演算法可能不夠安全，不能繼續使用，自2010年以來，許多組織建議用SHA-2或SHA-3來取代SHA-1。Microsoft、Google以及Mozilla都宣布，它們旗下的瀏覽器將在2017年前停止接受使用SHA-1演算法簽名的SSL憑證。 2017年2月23日，CWI Amsterdam與Google宣布了一個落實的SHA-1碰撞攻擊，發布了兩份內容不同但SHA-1雜湊值相同的PDF檔案作為概念證明。引用來源： https://zh.wikipedia.org/wiki/SHA-1 摘要：在引進SHA-1的10年後，宣布第一次實際技術性的產生了一個碰撞。這經過了兩年的研究,包含了CWI Amsterdam和Google的合作。對如何產生下面的碰撞進行了總結。作為攻擊的證明，發布了兩個PDFs，它們有不同的內容，但是有相同的SHA-1哈希值。對於技術群體，研究結果強調了廢除SHA-1的必要性。Google已經提倡棄用SHA-1好多年了，特別是當用於簽發TLS證書時。早在2014年，Chrome團隊就已經宣布他們將逐步淘汰SHA-1。希望對SHA-1的攻擊實踐能讓“該協議不應再被認為是安全的”在每個人心裡更加牢固。希望對SHA-1的實際攻擊，能讓業界認識到將SHA-1替換成更安全的方案已經迫在眉睫。 shattered 網站： https://shattered.io/ 研究報告下載處： The first collision for full SHA-1 https://shattered.io/static/shattered.pdf 內文引用來源： http://bobao.360.cn/news/detail/4011.html 媒體報導： Google Achieves First-Ever Successful SHA-1 Collision Attack http://thehackernews.com/2017/02/sha1-collision-attack.html FIRST PRACTICAL SHA-1 COLLISION ATTACK ARRIVES https://threatpost.com/first-practical-sha-1-collision-attack-arrives/123868/ 原始資料： Announcing the first SHA1 collision https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html

at Fri, Feb 24, 2017 10:40 AM