阿里移動(dòng)安全

從SHAttered事件談安全

大新聞？

在剛剛過(guò)去的2017年2月23日，Cryptology Group at Centrum Wiskunde & Informatica (CWI)和Google的研究人員公開(kāi)了2個(gè)PDF文件，我也第一時(shí)間下載并按提示檢查了SHA-1的校驗(yàn)值。文件內(nèi)容和SHA1的結(jié)果如圖1所示。

↑ 圖1 重現(xiàn)大新聞

圖1說(shuō)明了一個(gè)很簡(jiǎn)單的事實(shí)：這是2個(gè)不同的PDF文檔，但是它們的SHA-1校驗(yàn)值是一樣的。
這個(gè)簡(jiǎn)單的事實(shí)（We have broken SHA-1 in practice.）轟動(dòng)了安全界，因?yàn)檫@說(shuō)明世界上首次實(shí)際意義上公開(kāi)的SHA-1的碰撞試驗(yàn)取得了成功。

SHA-1是啥？

一句話(huà)：SHA-1是Hash算法的中廣泛使用的一種。

哈希（Hash）又稱(chēng)為散列，或者雜湊，是一種算法。這種算法接受任意長(zhǎng)度的數(shù)據(jù)輸入，然后給出一個(gè)固定長(zhǎng)度的輸出。