[[120276]]

哈希算法的希爾伯特曲線圖(由Ian Boyd提供)

Google官方博客宣布，將在Chrome瀏覽器中逐漸降低SHA-1證書(shū)的安全指示。但有意思的是Google.com目前使用的也是SHA-1簽名的證書(shū)，但證書(shū)將在3個(gè)月內(nèi)過(guò)期，Google將從2015年起使用SHA-2簽名的證書(shū)。SHA-1算法目前尚未發(fā)現(xiàn)嚴(yán)重的弱點(diǎn)，但偽造證書(shū)所需費(fèi)用正越來(lái)越低。

概述

大部分安全的網(wǎng)站正在使用一個(gè)不安全的算法，Google剛剛宣稱這將是一個(gè)長(zhǎng)周期的緊急情況。

大約90%采用SSL加密的網(wǎng)站使用SHA-1算法來(lái)防止自己的身份被冒充。當(dāng)你去訪問(wèn)網(wǎng)址時(shí)，保證了你正在訪問(wèn)的確實(shí)是正品Facebook，而不是把自己的密碼發(fā)送給攻擊者。然而不幸的是，SHA-1算法是非常脆弱的，長(zhǎng)期以來(lái)都是如此。該算法的安全性逐年降低，卻仍然被廣泛的應(yīng)用在互聯(lián)網(wǎng)上。它的替代者SHA-2足夠堅(jiān)固，理應(yīng)被廣泛支持。

最近谷歌聲明如果你在使用Chrome瀏覽器，你將會(huì)注意到瀏覽器對(duì)大量安全的網(wǎng)站的警告會(huì)不斷發(fā)生變化。

證書(shū)有效期至2017年的站點(diǎn)在Chrome中發(fā)生的變化

首批警告會(huì)在圣誕節(jié)之前出現(xiàn)，并且在接下來(lái)6個(gè)月內(nèi)變得越來(lái)越嚴(yán)格。最終，甚至SHA-1證書(shū)有效期至2016的站點(diǎn)也會(huì)被給予黃色警告。

通過(guò)推出一系列警告，谷歌這正在宣布一個(gè)長(zhǎng)周期的緊急情況，并督促人們?cè)谇闆r惡化之前更新他們的網(wǎng)站。這是件好事情，因?yàn)镾HA-1是時(shí)候該退出歷史舞臺(tái)了，而且人們沒(méi)有足夠重視SHA-1的潛在風(fēng)險(xiǎn)。

如果你擁有一個(gè)使用SSL的網(wǎng)站，你可以使用我創(chuàng)建的SHA-1測(cè)試小工具來(lái)測(cè)試你的網(wǎng)站，它會(huì)告訴你應(yīng)該怎么做。即使你沒(méi)有網(wǎng)站，我仍然推薦你去讀一讀。在接下來(lái)的博文，我會(huì)介紹網(wǎng)站上SSL和SHA-1是如何一起工作的，為什么如谷歌說(shuō)的那么緊急，和瀏覽器正在采取的措施。

同樣重要的是，安全社區(qū)需要讓證書(shū)更換過(guò)程少些痛苦和麻煩，因?yàn)榫W(wǎng)站的安全升級(jí)不必那么緊急和匆忙。#p#

科普：安全散列算法與SHA-1

安全散列算法(英語(yǔ)：Secure Hash Algorithm)是一種能計(jì)算出一個(gè)數(shù)字消息所對(duì)應(yīng)到的，長(zhǎng)度固定的字符串(又稱消息摘要)的算法。且若輸入的消息不同，它們對(duì)應(yīng)到不同字符串的機(jī)率很高;而SHA是FIPS所認(rèn)證的五種安全散列算法。這些算法之所以稱作“安全”是基于以下兩點(diǎn)(根據(jù)官方標(biāo)準(zhǔn)的描述)：

1、由消息摘要反推原輸入消息，從計(jì)算理論上來(lái)說(shuō)是很困難的。

2、想要找到兩組不同的消息對(duì)應(yīng)到相同的消息摘要，從計(jì)算理論上來(lái)說(shuō)也是很困難的。任何對(duì)輸入消息的變動(dòng)，都有很高的機(jī)率導(dǎo)致其產(chǎn)生的消息摘要迥異。

SHA (Secure Hash Algorithm，譯作安全散列算法) 是美國(guó)國(guó)家安全局 (NSA) 設(shè)計(jì)，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST) 發(fā)布的一系列密碼散列函數(shù)。

SHA-1簡(jiǎn)介

要理解替換SHA-1為什么這么重要，首先把自己站在一個(gè)瀏覽器的角度上。

當(dāng)你訪問(wèn)一個(gè)使用的網(wǎng)站，該網(wǎng)站向?yàn)g覽器出示一個(gè)文件(類似于我們的身份證)即一個(gè)SSL證書(shū)。這個(gè)證書(shū)用來(lái)做兩件事：加密訪問(wèn)網(wǎng)站的連接，并驗(yàn)證網(wǎng)站真實(shí)身份。

任何證書(shū)都可以用來(lái)加密連接。但是為了驗(yàn)證你訪問(wèn)的是真實(shí)的Facebook(不是山寨的)，你的瀏覽器必須通過(guò)某種方式?jīng)Q證書(shū)是否可信的，然后再向你顯示一個(gè)綠色的小鎖。

為了完成驗(yàn)證工作，你的瀏覽器查明網(wǎng)站的證書(shū)是否由權(quán)威機(jī)構(gòu)(證書(shū)簽發(fā)機(jī)構(gòu)，簡(jiǎn)稱“CA”)頒發(fā)的。CA向網(wǎng)站頒發(fā)證書(shū)文件通常是收費(fèi)的。你的瀏覽器信任來(lái)自超過(guò)56個(gè)CA(根CA)創(chuàng)建和擔(dān)保的證書(shū)，如Verisign、GoDaddy、美國(guó)國(guó)防部等，還有經(jīng)由56個(gè)根CA的授權(quán)的成千上萬(wàn)的中間CA。如你所料，這是一個(gè)有很大缺陷的系統(tǒng)，但確實(shí)是實(shí)際情況。

在Chrome中點(diǎn)擊網(wǎng)址前面的綠色小鎖時(shí)所顯示的內(nèi)容

此網(wǎng)站的CA在當(dāng)時(shí)是Comodo，通過(guò)Namecheap購(gòu)買的。當(dāng)網(wǎng)站的SSL證書(shū)宣稱是自己由某個(gè)CA頒發(fā)給該網(wǎng)站時(shí)，你的瀏覽器需要進(jìn)行另一項(xiàng)關(guān)鍵的測(cè)試：此證書(shū)本身能夠證明這個(gè)事實(shí)嗎?

普遍情況下，互聯(lián)網(wǎng)通過(guò)數(shù)學(xué)來(lái)證明事實(shí)。當(dāng)一個(gè)證書(shū)被頒發(fā)時(shí)，CA通過(guò)使用一個(gè)私鑰簽名該證書(shū)提供了身份證明。從某種程度上說(shuō)，只有真正的CA能夠完成這個(gè)簽名(除非私鑰丟了，哈哈，我經(jīng)常丟鑰匙)，而瀏覽器能夠驗(yàn)證該簽名。

但是CA實(shí)際上不簽名原始的證書(shū)：它首先運(yùn)行“單向散列”算法(如MD5、SHA-1、SHA-256)把證書(shū)壓縮成一個(gè)唯一的字段。

Chrome瀏覽器中的證書(shū)片段

單向哈希算法能夠壓縮信息：例如，把《戰(zhàn)爭(zhēng)與和平》3.2MB版本通過(guò)SHA-1運(yùn)算，你將得到：

baeb2c3a70c85d44947c1b92b448655273ce22bb

MD5file.com(一個(gè)有趣的在線哈希計(jì)算器)的運(yùn)算結(jié)果

類似SHA-1，單向哈希算法被用來(lái)產(chǎn)生唯一的不可逆的數(shù)據(jù)塊(原文為slug，彈頭的意思)。你不能夠再?gòu)腶eb2c3a70c85d44947c1b92b448655273ce22bb反推出《戰(zhàn)爭(zhēng)與和平》的內(nèi)容(即哈希運(yùn)算不可逆)。同樣重要的是，沒(méi)有其他文件能夠產(chǎn)生相同的數(shù)據(jù)塊(即指紋具有唯一性)。甚至內(nèi)容修改一小部分也會(huì)導(dǎo)致SHA-1運(yùn)算的結(jié)果發(fā)生很大的變化，難以尋找前后的關(guān)聯(lián)性。

如果兩個(gè)文件經(jīng)過(guò)同一個(gè)哈希運(yùn)算生成相同的值，這種現(xiàn)象被稱作是一個(gè)“碰撞”。碰撞具有理論上的可能性，但概率過(guò)低而被認(rèn)為是在現(xiàn)實(shí)中是不可能存在的。

當(dāng)瀏覽器遇到一個(gè)證書(shū)時(shí)，它會(huì)計(jì)算證書(shū)信息的SHA-1值，然后與被證書(shū)用作身份證明的原始SHA-1值作比較。因?yàn)镾HA-1結(jié)果的唯一性，如果兩個(gè)值是相同的，瀏覽器就確信提供的證書(shū)和CA簽發(fā)的證書(shū)是同一個(gè)，沒(méi)有經(jīng)過(guò)篡改。

如果你設(shè)計(jì)了一個(gè)證書(shū)，能夠與目標(biāo)站點(diǎn)的證書(shū)發(fā)生碰撞，然后再誘騙CA給你頒發(fā)此證書(shū)。最終，你就可以使用此證書(shū)來(lái)冒充目標(biāo)站點(diǎn)，即使瀏覽器也無(wú)法區(qū)分真?zhèn)巍?/p>

具體詳情：如果你想要了解簽名算法和SSL證書(shū)的具體細(xì)節(jié)，喬舒亞·戴維斯有一個(gè)極其詳盡的解釋，具體鏈接如下：

http://commandlinefanatic.com/cgi-bin/showarticle.cgi?article=art012

#p#

SHA-1攻擊

在2005年，密碼學(xué)家證明SHA-1的破解速度比預(yù)期提高了2000倍。但是破解仍然是極其困難和昂貴的。但是隨著計(jì)算機(jī)變得越來(lái)越快和越來(lái)越廉價(jià)，在互聯(lián)網(wǎng)上停止使用SHA-1算法只是時(shí)間的問(wèn)題。

后來(lái)，互聯(lián)網(wǎng)繼續(xù)使用SHA-1。在2012年，Jesse Walker寫了一份評(píng)估報(bào)告，關(guān)于偽造一個(gè)SHA-1證書(shū)所花費(fèi)的成本。該評(píng)估參照亞馬遜Web服務(wù)的價(jià)格和摩爾定律。

當(dāng)時(shí)沃克預(yù)計(jì)一個(gè)SHA-1的碰撞在2012年需花費(fèi)2,000,000美元，在2015年需花費(fèi)700,000美元，在2018年需花費(fèi)173,000美元，在2021年需花費(fèi)43,000美元?；谶@些數(shù)字，施奈爾暗示到2018年就會(huì)有犯罪集團(tuán)能夠偽造證書(shū)，到2021年就會(huì)有科研院校具備這種能力。

在有關(guān)更替SHA-1的規(guī)劃和爭(zhēng)論中，沃克的評(píng)估和施奈爾的推斷被廣泛的引用。一個(gè)由主流CA組成的組織：CA安全理事會(huì)(CA Security Council)，近來(lái)使用沃克和施奈爾的結(jié)論來(lái)抱怨谷歌的時(shí)間表。CA把評(píng)估結(jié)果當(dāng)作反駁的利器，認(rèn)為 “等到2018年這種攻擊才會(huì)實(shí)際出現(xiàn)”。

我發(fā)現(xiàn)CA安全理事會(huì)所采取的立場(chǎng)簡(jiǎn)直像卡通片一樣幼稚。他們只像在掩飾問(wèn)題，因?yàn)樗麄兩钪涌斓母鼡Q過(guò)程給他們帶來(lái)很大的不便(直白點(diǎn)就是時(shí)間和金錢)。

沃克和施奈爾的評(píng)估是在斯諾登事件之前，在人們弄明白原來(lái)政府也是敵人之前?；谒麄兊脑u(píng)估，在2014年偽造一個(gè)證書(shū)的成本要少于2000.000美元，許多一線的明星大腕都能支付得起這個(gè)數(shù)目。

我們?cè)趺创_信他們會(huì)這樣做呢?因?yàn)樗麄円呀?jīng)做了。(反正給我這么多錢，我不是干這種傻事的)

卡巴斯基實(shí)驗(yàn)室監(jiān)控到已感染火焰病毒的計(jì)算機(jī)

在2012年研究人員發(fā)現(xiàn)了大名鼎鼎的火焰病毒。華盛頓郵報(bào)報(bào)道這是美國(guó)和以色列的合作，用于從伊朗搜集情報(bào)，阻撓伊朗核武器計(jì)劃。一份泄露的NSA文件似乎證實(shí)了這一觀點(diǎn)。火焰病毒依賴于一個(gè)偽造的SSL證書(shū)，實(shí)現(xiàn)了一個(gè)MD5(SHA-1的前任)的碰撞。令人不安的是，它使用了一個(gè)在當(dāng)時(shí)鮮為人知的方法，盡管人們對(duì)MD5已經(jīng)做了多年的研究。此事件給我們的提示是，我們應(yīng)該假設(shè)最危險(xiǎn)的漏洞是未知的。

關(guān)于MD5，有一個(gè)有趣的故事。因?yàn)橄馭HA-1一樣，很早之前人們就發(fā)現(xiàn)MD5存在脆弱性， 而且和SHA-1一樣，從互聯(lián)網(wǎng)上移除MD5所花費(fèi)的時(shí)間令人吃驚。

在1995年，MD5首次被披露存在理論上的脆弱性，并隨著時(shí)間推移變得越來(lái)越脆弱，但直到2008年，MD5仍被一些CA所使用。

在Chrome中通過(guò)chrome://settings/certificates查看

雖然這是一個(gè)很危急的情況，可是一直到2011年Chrome仍然不能取消對(duì)MD5的支持-距離首次證明MD5不可信的時(shí)間已過(guò)去16年了。

在互聯(lián)網(wǎng)上更換簽名算法存在一個(gè)特有的挑戰(zhàn)：只要瀏覽器支持SHA-1，任何人的證書(shū)都可能被偽造。你可以使用一個(gè)SHA-1簽名的偽造證書(shū)來(lái)冒充一個(gè)SHA-2簽名的證書(shū)，因?yàn)闉g覽器只會(huì)查看SHA-1簽名的偽造證書(shū)，并不知道存在一個(gè)“真正的”證書(shū)或證書(shū)應(yīng)該使用SHA-2簽名。(簡(jiǎn)言之，為了冒充目標(biāo)站點(diǎn)的證書(shū)，偽造證書(shū)的信息和目標(biāo)站點(diǎn)的證書(shū)一模一樣，只是簽名算法改為SHA-1)換句話說(shuō)，防止利用SHA-1偽造證書(shū)的唯一方式就是瀏覽器取消對(duì)SHA-1的支持。#p#

各瀏覽器的響應(yīng)

微軟是第一個(gè)宣布了SHA-1棄用計(jì)劃，在2016年之后Windows和IE將不再信任SHA-1證書(shū)。Mozilla也做了同樣的決定。雖然微軟和Mozilla向用戶昭示了問(wèn)題的存在性，但都沒(méi)表明將要改變用戶接口。

另一方面，最近谷歌丟出一個(gè)爆炸性新聞，宣布因?yàn)镾HA-1太脆弱了，Chrome瀏覽器會(huì)向用戶顯示警告：

“我們計(jì)劃通過(guò)Chrome中Https安全指示器來(lái)強(qiáng)調(diào)SHA-1不能滿足當(dāng)初的設(shè)計(jì)要求的這一事實(shí)。我們正在采取一種可量化的方法，逐漸下調(diào)安全指標(biāo)器并逐漸推進(jìn)時(shí)間表”

在兩周前，谷歌的Ryan Sleevi首先公布了Chrome的預(yù)期策略。建議大家閱讀一下完整的討論過(guò)程，具體鏈接如下：

https://groups.google.com/a/chromium.org/d/msg/security-dev/2-R4XziFc7A/NDI8cOwMGRQJ

你會(huì)發(fā)現(xiàn)許多CA和大規(guī)模網(wǎng)站的運(yùn)維人員露面，并試圖和Ryan Sleevi進(jìn)行辯論，因?yàn)镽yan Sleevi告訴他們現(xiàn)在就應(yīng)該停止頒發(fā)脆弱的證書(shū)，而不是推遲到明年。

這是谷歌發(fā)起的一個(gè)大膽的舉動(dòng)，同時(shí)也伴隨著巨大的風(fēng)險(xiǎn)。瀏覽器移除簽名算法為什么如此艱難，其主要原因是：當(dāng)瀏覽器告訴用戶一個(gè)重要的站點(diǎn)存在風(fēng)險(xiǎn)時(shí)，用戶卻認(rèn)為瀏覽器出問(wèn)題了，然后去更換瀏覽器。谷歌似乎在打賭用戶對(duì)Chrome的安全性足夠信任和對(duì)Chrome足夠的喜歡，以致能夠接受該計(jì)劃帶來(lái)的不便。(畢竟是第一個(gè)吃螃蟹，向谷歌致敬!)

Opera 表示支持谷歌的計(jì)劃。Safari團(tuán)隊(duì)正在觀望(俗稱“圍觀群眾”)并未表態(tài)。#p#

指導(dǎo)建議

為了幫助遷移，我搭建了一個(gè)小型站點(diǎn)www.shaaaaaaaaaaaaa.com，用于檢查你的站點(diǎn)是否使用了SHA-1，以及是否需要更新。

字母A的數(shù)目是一個(gè)不可預(yù)測(cè)的大素?cái)?shù)(作者為啥選擇個(gè)數(shù)字讓我費(fèi)解，也許你能告訴我答案!嘿嘿)

你需要提交一個(gè)新證書(shū)請(qǐng)求，讓你的CA頒發(fā)一個(gè)使用SHA-2的新證書(shū)。使用你現(xiàn)有的私鑰：

openssl req -new -sha256 -key your-private.key -out your-domain.csr

其中-sha256標(biāo)志會(huì)使用SHA-2簽名CSR，但CA才能決定是否向你頒發(fā)一個(gè)使用SHA-2簽名的證書(shū)。我一直在關(guān)注有關(guān)從不同的CA獲得SHA-2證書(shū)的問(wèn)題和解決方案。如果你遇到的問(wèn)題在網(wǎng)站上沒(méi)有提到，請(qǐng)?jiān)谶@里反饋，我會(huì)及時(shí)更新網(wǎng)站。

你可能更新所有的SHA-1中間證書(shū)，因?yàn)樗鼈円残柰ㄟ^(guò)數(shù)字簽名來(lái)驗(yàn)證。這也就意味著你要追蹤你的CA是否頒發(fā)了SHA-2中間證書(shū)，并發(fā)向哪里了。我也一直在追蹤不同的CA頒發(fā)的SHA-2中間證書(shū)的位置。如果你發(fā)現(xiàn)了網(wǎng)站上未提到的，或者你的CA沒(méi)有中間證書(shū)的話，也請(qǐng)?jiān)谶@里反饋。

如果你有一個(gè)站點(diǎn)，但其他公司控制著證書(shū)，你可以向他們的客服發(fā)送郵件告知。發(fā)送谷歌聲明的連接，并詢問(wèn)他們的時(shí)間表。當(dāng)然我也需要一些幫助，你如果愿意的話，查看網(wǎng)站上的開(kāi)放問(wèn)題，助我一臂之力。

SHA-1根證書(shū)：你不必?fù)?dān)心瀏覽器自帶的SHA-1根證書(shū)，因?yàn)樗鼈兊耐暾圆皇峭ㄟ^(guò)數(shù)字簽名驗(yàn)證的。

結(jié)論

這種推動(dòng)SHA-1退役的計(jì)劃早就應(yīng)該啟動(dòng)了。隨著壓力不斷被放大而引發(fā)的所有麻煩應(yīng)該被導(dǎo)向到CA，而不是讓谷歌作替罪羊，因?yàn)殚L(zhǎng)久以來(lái)CA都不能采取有效的措施。

對(duì)于個(gè)人而言，獲得證書(shū)應(yīng)該像購(gòu)買域名一樣容易，安裝它應(yīng)該向打開(kāi)一個(gè)網(wǎng)站那樣簡(jiǎn)單，并更換它能夠?qū)崿F(xiàn)自動(dòng)化。這些思路提供了一些非常明確的商業(yè)機(jī)會(huì)和開(kāi)源工具的需求。

對(duì)于組織，在他們的基礎(chǔ)設(shè)施的設(shè)計(jì)和更新過(guò)程中，頻繁的證書(shū)輪換是需要優(yōu)先考慮的。出色完成這項(xiàng)工作的組織應(yīng)該廣開(kāi)言路，共享他們的工作成果。

與此同時(shí)，網(wǎng)站經(jīng)營(yíng)者應(yīng)該更新證書(shū)和利用暫無(wú)像Heartbleed級(jí)別的緊急情況為契機(jī)，重新審視自己的SSL配置，并開(kāi)啟“正向加密”(forward secrecy)之類的配置。

[參考信息來(lái)源 Why Google is Hurrying the Web to Kill SHA-1 ，內(nèi)容有所刪減，盡量保留了原文本意。譯自Rabbit_Run]