在賽博空間中,你和一個金融機構,或是推特,再或是和你的醫生之間的信任基礎依賴於加密散列值。一種形式過時的加密散列算法將會在2016年的1月1日開始逐漸被拋棄,你將感受到這所帶來的影響。
如果你是一個網站的站長,你為了形成一個安全的會話,就需要更新數字證書。即使你只是一個在網上衝浪的人,你依然偶爾會遇到你經常訪問的網站的問題。像Facebook這樣的網站正在嘗試提供一種更穩妥的遷移,儘管這一天很晚才會到來。
問題是一旦新的標準到位,便很難再將它移走,因為在大多數國家沒有一個統一的權威和標準。
通過驗證
為了在瀏覽器和服務器之間建立一個加密的鏈接,聰明的工程師開發了一套使用公共密鑰(public-key)的系統。這個系統可以給出一個公共的線索,並提供一個私人的線索。
提供安全連接的每一個網絡服務器都需要一個數字證書,這個證書有很多域名格式化的文本。一個瀏覽器可以使用服務器的公鑰來交換一個獨一無二的加密密鑰。
但是,你怎麼能確保這一證書沒有被篡改或交通沒有被攔截或者被其他人使用?這些第三方的證書是被寫入操作系統和瀏覽器的。
為了證明證書是由認證中心頒發的,瀏覽器使用公共密鑰解析哈希值,如果它們匹配,認證中心的私有密鑰將被使用。
通常使用的算法唯一的問題是哈希算法在最近今年被廣泛的沒有限制的使用,最終導致惡意的組織或者研究人員使用不同的文本並計算出相同的hash值。
如果這是有效的,即使它很昂貴,政府和罪犯也將能夠偽造證書籤名,並使用它們插入到網絡連接進而無縫攔截數據。這是非常糟糕的。
辭舊迎新
多年來,瀏覽器和操作系統製造商一直在努力提高自己的產品,發佈補丁,並說服認證機構使用更快的新的標準。最早的哈希運算法則是MD5,但它在2008年就被破解了。接下來是SHA-1來代替。
一個名叫CloudFlare的互聯網服務公司幫助網站處理拒絕服務攻擊的問題,這個公司發佈了一個博客勾畫出了剩下的問題。主要的問題在於Windows XP Service Pack 2 and Android2.2版本,CloudFlare每個月要處理20億中的百分之二的訪問者。大多數發展中國家的瀏覽器使用者並不會處理SHA-1。
iOS和Mac的用戶處於一個很理想的狀態,硬件在失敗率和即將退休的設備低於百萬,如果真的是這樣,一些新的但不是最新的運行著SHA-256的瀏覽器將支持在OS上運行。
在自然環境下真正的過時了
你也許還會在你訪問的網站上發現這個網站正在使用SHA-1證書,然而,證書的更換在2014年中期才開始。
如果你不想訪問使用SHA-1證書的網站,你可以使用Safari瀏覽器,版本9可以幫助你這樣做。
SHA-1還沒有被打破,但是這個時間很快就會到來。當它被打破的時候這依然需要一步一步來。首先一個證書需要被打印,一個證書的頒發需要大量的計算能力。然後證書需要安裝到服務器。這被嵌入進網絡連接,因為域名的查找必須被顛覆來使替換工作不出錯誤。
以上所說的這些在以前就嘗試過,這就是為什麼SHA-1被如此的關注。保持你的瀏覽器及時更新,那麼當SHA-1真正被淘汰的時候,你早就已經準備好了。
閱讀更多 比特網 的文章
