作者: Mark Nunnikhoven (趨勢科技雲端研究副總裁)
SHA-1(全稱Secure Hash Algorithm-1) 雜湊碼被破解了,這早已不是新聞,令人訝異的是,有人真的展示實際攻擊。不過請記住,這裡所謂的「實際」是對於加密學研究人員而言,但這對您的日常資訊生活並不一定會造成實際影響。
儘管新聞吵得沸沸揚揚,但 IT部門、新聞記者及一般使用者卻仍搞不懂這有什麼潛在影響。這確實是一個很難理解的事,加密是一門很複雜的學問,就算是最簡單的新手入門還是很難讓人理解。
加密學是一門結合了電腦和數學的高深學問,但也是資訊安全的根基,所以是最具挑戰性的一環。
SHA 到底是什麼?
SHA-1 演算法是眾多雜湊碼計算函式之一。雜湊函式是一種單向的數學運算函式,可以從任何一組資料計算出一串固定長度的數字,我們稱之為「摘要值」或「雜湊碼」。這就好比用一個串 DNA 序列來代表一個人一樣,差不多就是這樣 (我說過這很複雜的)。
最主要的重點是,每一串雜湊碼,理論上都是獨一無二的。因此,只要是原始資料有任何一點點的變動,其計算出來的雜湊碼應該會截然不同。在這方面,SHA-1 演算法已被證明有漏洞。
這是一項重大的壞消息,因為雜湊碼的應用範圍非常廣泛,例如:
· 用來檢查您所下載的檔案是否遭到竄改
· 用來檢驗數位憑證是否正確 (例如所謂安全網站所用的憑證)
· 用來當成數位簽章
· 用來驗證密碼
簡而言之,雜湊碼是數位世界很重要的一環。而任何一個環節只要有安全上的疑慮,都是一件大事,不是嗎?
壽命有限
其實,我們早就知道遲早會出問題,只是時間早晚而已。歹徒可用的其中一種攻擊方式就是所謂的暴力破解 (也就是嘗試所有的可能組合,直到找到為止)。但由於這花的時間太長 (若使用單一 GPU 來運算需要 1,200 萬年以上) 因此過去一直被視為顯不可能。
然而,Google 和 CWI 的團隊最近展示了一項快 10 萬倍的全新攻擊方式。這使得整體攻擊時間縮短至9,223,372,036,854,775,808-超過900 萬兆次, (若以單一 GPU 整天不停運算約需 110 年的時間)。 繼續閱讀