SHA-1將延后停用
很長一段時間以來,SHA-1哈希函數一直被用于加密和保證數據完整性。令人遺憾的是,近年來,該算法已被證實有足夠攻擊者發起攻擊的漏洞,用戶應該使用一種更新的協議(SHA-256)取代它。幾年來,企業一直致力于采用一種替代方案,但有個問題是,需要處理數以百萬計的使用了這個停用的函數的設備。如果企業強制推行一種更為安全的協議,那么他們就要冒著拒絕那些沒有能力更新系統的設備訪問的風險。如果企業什么都不做,那么用戶就會繼續暴露,而且沒有動力更新系統或者尋找替代方案。
根據來自非死book的Alex Stamos 報道 ,他們已經確認,有3%~7%的用戶使用著不支持新協議的瀏覽器。他們已經實現了一種技術,可以的話就使用SHA-256,而只把SHA-1作為最后的選擇。推ter也 報道 了類似的用戶數量,這些用戶受他們使用的老設備所限,只能使用SHA-1。
通過同 CloudFlare 合作,這三家公司已經向CA/Browser論壇( 瀏覽器證書頒發機構論壇 )提交了一份修正案,針對那些受限于SHA-1的用戶,提供了一種解決用戶需求的過渡方案:
- 該提案會確保所有的主流設備繼續向SHA-256遷移。
- 在域同時支持SHA-256時,僅允許使用原有的合法SHA-1證書。
- 原有的合法SHA-1證書只有在特定的情況下才可以使用,而且到2019年3月仍然會廢止。
- 增加原有合法證書中序列號的隨機化,降低SHA-1證書遭碰撞攻擊的可能性。
- 如果在攻擊事件中發現SHA-1證書使用不當,那么證書所有者會終止這些原有合法證書的使用。
當然,盡管提案允許,但除了策略考量外,用戶還是會受SHA-1的弱點所影響,所以對于受影響的用戶而言,盡快升級瀏覽器和/或設備還是很重要的。
查看英文原文: Postponing the Retirement of SHA-1
</div>來自: http://www.infoq.com/cn/news/2016/01/retiring-SHA-1
本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!