微软下周将删除所有SHA-1 Windows下载

2020-07-30 03:03:29

微软本周宣布,计划从微软下载中心删除所有使用安全散列算法1(SHA-1)进行加密签名的Windows相关文件下载。

该公司周二表示,这些文件将于下周一,即8月3日删除。

SHA-1是一种传统的加密散列,安全社区中的许多人认为它不再安全。它说,在数字证书中使用SHA-1散列算法可能会允许攻击者欺骗内容、执行网络钓鱼攻击或执行中间人攻击。

在2016年2月,一组学者在理论层面破解了SHA-1散列函数后,大多数软件公司最近都开始放弃SHA-1算法。

该算法在2017年2月的一次现实世界的实际攻击中被破解,当时谷歌密码学家披露了Shatted,这项技术可以让两个不同的文件看起来像是拥有相同的SHA-1文件签名。

当时,制造SHA-1碰撞被认为是计算昂贵的,谷歌专家认为SHA-1仍然可以在实践中使用至少五年,直到成本下降。

然而,随后在2019年5月和2020年1月发布的研究详细介绍了一种更新的方法,将SHA-1碰撞攻击的成本降低到11万美元以下,然后再降低到5万美元以下。

自2016年以来,软件制造商已经放弃了SHA-1,主要是为了SHA-2。2017年1月底,随着Chrome 56的发布,谷歌从Chrome中移除了对SHA-1的支持;Firefox在同样于2017年1月底发布的Firefox 51中移除了对SHA-1的支持;微软在2017年年中放弃了对Edge和Internet Explorer中的SHA-1的支持。

苹果随后从iOS13和MacOS Catalina中删除了SHA-1,OpenSSH在今年早些时候宣布计划在其登录过程中弃用SHA-1。

自2019年8月起,微软不再使用SHA-1对Windows操作系统更新进行签名和身份验证。目前,微软正在将其产品中的SHA-1替换为SHA-2。

然而,这家操作系统制造商没有具体说明周一从其下载中心移除的与Windows相关的文件是否会被与SHA-2签署的新下载链接所取代,这让许多人怀疑他们是否能够下载一些微软的旧工具。