首页 » InfoTech »

SHA-1和SHA-2

2018年8月30日 / 23次阅读
加密解密

打开支付宝首页,搜索“529018372”,即可领取红包!可重复领。

特色图片

SHA代表安全散列算法。SHA-1和SHA-2是该算法的两个不同版本。它们两者之间在构造上(散列结果是怎样被原始数据创建出来的)和签名的位数(生产的散列值的长度)上都不相同。你应该把SHA-2看作是SHA-1的继承者,因为这是一个整体上的改进。(MD5-->SHA1-->SHA2)

首先,人们关注的是散列位数,这被看作是重要的区别。SHA-1是一个160位的散列值。SHA-2实际上是一系列散列的“家族”,其长度各不相同,其中最受欢迎的是256位的。

SHA-2的多样性可能会导致一些混乱,因为网站和作者们用不同的方式表达它们。如果你看到“SHA-2”、“SHA-256”或者“SHA-256位”,这些名字都指向同一个东西。如果你看到“SHA-224”、“SHA-384”或者“SHA-512”,它们指的是不同散列位数的SHA-2版本。你可能还会看到一些站点的表述更加明确,将算法和位数都写出来,比如“SHA-2 384”。

SSL行业选择了SHA作为数字签名的散列算法。从2011年到2015年,SHA-1是主要的算法。越来越多的研究表明了SHA-1的弱点,这促使人们重新评价这一算法。从2016年开始,SHA-2成为新的标准。如果你今天收到证书,那么它必须至少使用了这种签名。

你偶尔会看到使用SHA-2 384位的证书。而你很少会看到24位的版本,它未得到批准用于公开的可信证书,你也很少会看到512位的版本,软件对它的支持范围比较狭窄。

SHA-2可能会继续使用至少5年。然而,可能会发现对该算法的一些出人意料的攻击,这可能将导致过渡更早发生。

 

较多位数的散列可以提供更多的安全性,因为有更多可能的组合。记住,加密散列算法的一个重要功能是生成唯一的散列结果。如果两个不同的值或文件可以产生相同的散列结果,那么就会出现所谓的“冲突”。

只有当不发生冲突的时候,数字签名的安全性才能得到保证。冲突是极其危险的,因为它允许两个文件生成相同的签名,因此,当计算机检查签名时,即使该文件实际上并未获得签名,它也可能看起来是有效的。

 

有多少种散列结果?

如果一个散列算法能够为每一个可能的输入产生唯一的散列值,那么会有多少个可能的散列结果呢?

一个比特位有两个可能的值:0和1。唯一散列值的可能数量可以表示为,可能的值的数量与位数的乘方。对于SHA-256算法,有\(2^{256}\)种可能的组合。

所以,\(2^{256}\)种组合。这是多少呢?这是一个巨大的数字。请认真对待。它使得像万亿和亿亿亿(一亿的三次方)这样的数字相形见绌。\(2^{256}\)远远超过了世界上沙粒的数量。

可能的散列值的数量越大,产生相同散列结果的可能性就越小。

从技术上讲,有无数个可能的输入,但是输出的数量是有限的。因此,最终每一个散列算法,包括安全的算法,都会产生冲突。但我们最关心的是这样的情况发生的可能性有多大。SHA-1算法被认为是不安全的,由于它的体量和结构的原因,产生冲突的结果是可以实现的。

 

SHA-1已被攻破,建议使用SHA-256

Google已经实现了对SHA-1的碰撞攻击,可以创造两个内容不同,但hash值相同的文件。此外,一些安全公司也认为SHA-1可能存在一些缺陷。

但目前来说SHA-1碰撞攻击的代价非常高,需要大量的计算能力,如果购买亚马孙云服务的计算力用于攻击,可能需要几十万美元的费用。

不管怎么说,是时候使用更为完全的SHA-256作为加密技术了。为了防止彩虹表攻击,可以使用salt技术,就是在原始密码的基础上,再加上一些其他字符一起加密。使用SHA-256(全局salt+独立salt+密码)进行加密是较为有效的方式。独立salt放在数据库的用户信息表里,每个用户的独立salt都各不相同,是随机数。全局salt放在程序中,这样可以保证即使数据库被黑客窃取,只要程序是安全的,那么密码依旧不能被破解。

本文链接:http://www.maixj.net/ict/sha-1-sha-2-18736
云上小悟 麦新杰(QQ:1093023102)

相关文章

评论是美德

《SHA-1和SHA-2》有1条评论

无力满足评论实名制,评论对非实名注册用户关闭,有事QQ:1093023102.

  • 麦新杰

    哈希函数的安全性是指在现有的计算资源(包括时间、空间、资金等)下,找到一个碰撞是不可行的。 [ ]


前一篇:
后一篇:

栏目精选

云上小悟,麦新杰的独立博客

Ctrl+D 收藏本页

栏目


©Copyright 麦新杰 Since 2014 云上小悟独立博客版权所有 备案号:苏ICP备14045477号-1。云上小悟网站部分内容来源于网络,转载目的是为了整合信息,收藏学习,服务大家,有些转载内容也难以判断是否有侵权问题,如果侵犯了您的权益,请及时联系站长,我会立即删除。

网站二维码
go to top