美国政府官方机构NIST(国家标准与技术研究院)已经停止使用SHA-1哈希算法,并建议仍在使用该算法的用户升级到更新、更强的密码,如SHA-2和SHA-3。
SHA-1密码于1995年由NIST首次发布,并成为最广泛使用的在线敏感数据加密工具之一,包括用户密码、文档、信息等。
加密是对数据进行 "结构性扰乱",以防止未经授权的个人读取数据,只允许持有有效解密密钥的人访问数据。
比如说、虛擬專用網絡计划和安全即时通讯应用程序采用端到端的非对称加密技术,分别使用公钥和私钥对网络流量数据和信息进行加密,以应对中间人攻击的风险。
维基百科
即使威胁分子设法窥探这些应用程序的数据通道,他们也无法破译捕获的数据,因此漏洞不会造成任何不利影响。
加密算法的问题在于可以被破解,破解的方法之一是利用原始计算机能力猜测解密密钥。
对于足够强的密码,试图使用现代处理器破解它们是不切实际的,但较老的算法可以很容易地被暴力破解。
在2005年之前,SHA-1通常被认为是安全的,"可以抵御资金雄厚的对手",但截至2010年,各组织已经开始转向更新、更强大的算法。
2017年,所有主要的网络浏览器都停止接受SHA-1 SSL证书,而微软则在2020年停止签发基于SHA-1的代码签名证书。
v2ray 被封端口
自1995年以来,NIST一直将SHA-1作为FIPS 180-1标准的一部分,但在2011年开始不再使用SHA-1,两年后,NIST决定不允许在数字签名中使用SHA-1。
今天,该机构宣布到2015年,SHA-1将从所有关键系统中完全淘汰。2030年12月31日所有联邦机构有八年的时间来适应新的要求。
"由于当今日益强大的计算机能够攻击该算法,NIST宣布,SHA-1应在2030年12月31日前逐步淘汰,转而采用更安全的SHA-2和SHA-3算法组"。
"如今,功能更强大的计算机可以创建与原始信息散列值相同的虚假信息,从而有可能破坏真实信息。 近年来,这些 "碰撞 "攻击已被用于破坏SHA-1。
– 美国国家情报研究院
2030年后,联邦政府机构将被禁止购买仍在使用SHA-1的软件产品或代码模块。
一些人甚至批评该机构给予州政府过多的时间来实施新的安全要求,从而使敏感数据面临风险。
人们应该记住,今天被认为是安全的算法也会发生同样的情况,因此被加密的泄露数据,如数据转储中的散列密码,在不久的将来可能会被轻易破译。
量子计算机的崛起进一步加剧了这种担忧。量子计算机的功能预计将比我们今天使用的传统处理器强大数倍,并且能够在数秒内破解 "牢不可破 "的密码。
嗨,RP、
这篇文章在一定程度上回答了我今天早些时候在您上一篇文章中提出的问题。
谢谢你。
从监管的角度来看,法律是否会规定:首先,企业不应存储不必要的PII;其次,在必须存储PII的情况下,必须对其进行加密,这是否会大大有助于解决频繁发生的数据泄露事件? 我假设所有或大多数数据泄露事件都发生在以纯文本存储数据的情况下)。
我个人认为这将有所帮助,但最大的问题是所有数据被收集并与第三方共享,而第三方本身也可能被黑客攻击。 这就会造成混乱。 我喜欢澳大利亚关于罚款和不向勒索软件集团支付赎金的新法律,希望这将对情况有所帮助,但也许不会。 黑客可以将数据卖给其他黑客,而不是勒索公司。 对不起,没有简单的解决方案。