在赛博空间中,你和一个金融机构,或是推特,再或是和你的医生之间的信任基础依赖于加密散列值。一种形式过时的加密散列算法将会在2016年的1月1日开始逐渐被抛弃,你将感受到这所带来的影响。
如果你是一个网站的站长,你为了形成一个安全的会话,就需要更新数字证书。即使你只是一个在网上冲浪的人,你依然偶尔会遇到你经常访问的网站的问题。像Facebook这样的网站正在尝试提供一种更稳妥的迁移,尽管这一天很晚才会到来。
问题是一旦新的标准到位,便很难再将它移走,因为在大多数国家没有一个统一的权威和标准。
通过验证
为了在浏览器和服务器之间建立一个加密的链接,聪明的工程师开发了一套使用公共密钥(public-key)的系统。这个系统可以给出一个公共的线索,并提供一个私人的线索。
提供安全连接的每一个网络服务器都需要一个数字证书,这个证书有很多域名格式化的文本。一个浏览器可以使用服务器的公钥来交换一个独一无二的加密密钥。
但是,你怎么能确保这一证书没有被篡改或交通没有被拦截或者被其他人使用?这些第三方的证书是被写入操作系统和浏览器的。
为了证明证书是由认证中心颁发的,浏览器使用公共密钥解析哈希值,如果它们匹配,认证中心的私有密钥将被使用。
通常使用的算法唯一的问题是哈希算法在最近今年被广泛的没有限制的使用,最终导致恶意的组织或者研究人员使用不同的文本并计算出相同的hash值。
如果这是有效的,即使它很昂贵,政府和罪犯也将能够伪造证书签名,并使用它们插入到网络连接进而无缝拦截数据。这是非常糟糕的。
辞旧迎新
多年来,浏览器和操作系统制造商一直在努力提高自己的产品,发布补丁,并说服认证机构使用更快的新的标准。最早的哈希运算法则是MD5,但它在2008年就被破解了。接下来是SHA-1来代替。
一个名叫CloudFlare的互联网服务公司帮助网站处理拒绝服务攻击的问题,这个公司发布了一个博客勾画出了剩下的问题。主要的问题在于Windows XP Service Pack 2 and Android 2.2版本,CloudFlare每个月要处理20亿中的百分之二的访问者。大多数发展中国家的浏览器使用者并不会处理SHA-1。
iOS和Mac的用户处于一个很理想的状态,硬件在失败率和即将退休的设备低于百万,如果真的是这样,一些新的但不是最新的运行着SHA-256的浏览器将支持在OS上运行。
在自然环境下真正的过时了
你也许还会在你访问的网站上发现这个网站正在使用SHA-1证书,然而,证书的更换在2014年中期才开始。
如果你不想访问使用SHA-1证书的网站,你可以使用Safari浏览器,版本9可以帮助你这样做。
SHA-1还没有被打破,但是这个时间很快就会到来。当它被打破的时候这依然需要一步一步来。首先一个证书需要被打印,一个证书的颁发需要大量的计算能力。然后证书需要安装到服务器。这被嵌入进网络连接,因为域名的查找必须被颠覆来使替换工作不出错误。
以上所说的这些在以前就尝试过,这就是为什么SHA-1被如此的关注。保持你的浏览器及时更新,那么当SHA-1真正被淘汰的时候,你早就已经准备好了。
发表评论
您还未登录,请先登录。
登录