浪潮超碰精品手机在线_亚洲日韩精品成人无码AV海量_国产成人啪精品午夜免费动态图_无遮挡18禁精品高潮啪啪

  美國(guó)國(guó)防部仍在為軍事組織發(fā)行SHA-1簽名證書，雖然眾所周知SHA-1簽名算法并不安全（SHA-1雖沒(méi)有發(fā)現(xiàn)嚴(yán)峻縫隙，但其算法十分軟弱，安全性逐年下降，微軟及Google都在逐步棄用SHA-1）。

  Secure Hash Algorithm（SHA，安全散列算法)是由美國(guó)國(guó)家安全局（NSA）規(guī)劃，美國(guó)國(guó)家規(guī)范與技能研討院（NIST）發(fā)布的一系列暗碼散列函數(shù)。SHA是一種能核算出一個(gè)數(shù)字音訊所對(duì)應(yīng)到的，長(zhǎng)度固定的字符串（又稱音訊摘要）的算法。且若輸入的音訊不同，它們對(duì)應(yīng)到不同字符串的機(jī)率很高；而SHA是FIPS所認(rèn)證的五種安全散列算法。這些算法之所以稱作“安全”是依據(jù)以下兩點(diǎn)（依據(jù)官方規(guī)范的描繪）：1、由音訊摘要反推原輸入音訊，從核算理論上來(lái)說(shuō)是很困難的。2、想要找到兩組不同的音訊對(duì)應(yīng)到相同的音訊摘要，從核算理論上來(lái)說(shuō)也是很困難的。任何對(duì)輸入音訊的變化，都有很高的機(jī)率導(dǎo)致其發(fā)生的音訊摘要懸殊。

  “今日我宣告了一篇關(guān)于軍方縫隙呼應(yīng)方案（AVRP）的blog，主要是針對(duì)美國(guó)的軍事環(huán)境一系列的bug 的賞金項(xiàng)目。這樣做的意圖是為了鼓勵(lì)安全研討人員可以職責(zé)宣告軍方體系里的縫隙。

  這個(gè)行動(dòng)很重要，每一個(gè)體系，每一個(gè)軟件都或許會(huì)有必定的問(wèn)題，哪怕是在軍工職業(yè)，由此，這個(gè)bug賞金方案至關(guān)重要?！?

  今日的頭條是美國(guó)的軍事網(wǎng)站仍在運(yùn)用SHA-1算法，Netcraft的研討人員Paul Mutton發(fā)現(xiàn)美國(guó)國(guó)防部的許多組織仍在發(fā)行SHA-1證書。

  安全專家曾正告IT職業(yè)運(yùn)用軟弱的SHA-1散列算法存在很大危險(xiǎn)，幾周之前一組研討人員研討發(fā)現(xiàn)，打破SHA-1算法的本錢比曾經(jīng)估計(jì)的更為低價(jià)。

  據(jù)Netcraft公司的研討人員介紹，今日發(fā)行的SHA-1證書數(shù)量為120,000個(gè)，但令人擔(dān)憂的是據(jù)Netcraft10月查詢核算的數(shù)據(jù)：近100萬(wàn)個(gè)SSL證書仍依賴于SHA-1算法。

  ”在NetCraft10月份的問(wèn)卷查詢中發(fā)現(xiàn)，約有100萬(wàn)個(gè)SSL證書是由有潛在軟弱性的SHA-1散列算法簽名的，而且一些組織還在持續(xù)發(fā)行更多的SHA-1證書。Google Chrome 現(xiàn)已將這些證書標(biāo)記為不安全。假如網(wǎng)站放在一個(gè)徹底未加密的HTTP銜接中，將顯現(xiàn)更多的正告符號(hào)。“Netcraft說(shuō)道。

  不是，進(jìn)犯者可以租借亞馬遜的EC2云核算服務(wù)等效處理，而這項(xiàng)操作僅會(huì)花費(fèi)75,000-120,000美元。

  美國(guó)軍方的網(wǎng)站運(yùn)用的是軟弱的SHA-1數(shù)字證書，雖然美國(guó)的國(guó)家規(guī)范與技能研討院（NIST）早已要求美國(guó)政府組織應(yīng)當(dāng)選用更安全的算法。

  Netcraft宣告的另一篇風(fēng)趣的文章中稱，美國(guó)國(guó)防部仍然在持續(xù)向軍事組織簽發(fā)SHA-1證書。

  ”星球大戰(zhàn)’的終究繼承者，導(dǎo)彈防護(hù)局（Missile Defense Agency）中的Juniper Networks長(zhǎng)途接入設(shè)備便是運(yùn)用的其間的一個(gè)SHA-1證書。這個(gè)SHA-1證書是由國(guó)防部在2015年2月簽發(fā)的，早在這之前NIST就現(xiàn)已宣告了這樣的做法不被承受。“

  美國(guó)一些軍事網(wǎng)站服務(wù)仍在支撐過(guò)期的TLS1.0銜接，乃至美國(guó)國(guó)防后勤部?jī)H支撐TLS1.0協(xié)議。

  ”其他的一些美國(guó)軍事長(zhǎng)途接入服務(wù)只支撐過(guò)期的TLS1.0協(xié)議，其間兩個(gè)用于國(guó)防后勤部。另一些軍事網(wǎng)站，包括其間的一個(gè)水兵VPN服務(wù)支撐TLS2.0，但卻運(yùn)用了過(guò)期的加密組件。這些特定的網(wǎng)站都是運(yùn)用了SHA-1證書，而且這些證書直至2017年才會(huì)過(guò)期，所以也被Chrome認(rèn)定為“肯定是不安全的”。

  “舉一個(gè)比如，2015年3月19日國(guó)防部CA-27發(fā)給了cec.navfac.navy.mil的證書，這是由國(guó)防部Root CA 2 信賴的根簽。假如這些中心證書有一個(gè)被作為collision方針，關(guān)于進(jìn)犯者來(lái)說(shuō)他有或許生成任何域名的一個(gè)有用用戶證書。這就答應(yīng)進(jìn)犯者可以假充美國(guó)軍方網(wǎng)站并展開(kāi)針對(duì)信賴國(guó)防部根證書的瀏覽器實(shí)施中心人進(jìn)犯?！?

  令人獵奇的是，國(guó)防部的PKI基礎(chǔ)設(shè)施依賴于兩個(gè)根證書頒布組織（DoD Root CA 2與DoD Root CA 3）并不被默許包括于一切瀏覽器。

  運(yùn)用依據(jù)SHA-1的證書將政府網(wǎng)站露出于依據(jù)其他幾個(gè)國(guó)家支撐的進(jìn)犯之下，在特定情況下，當(dāng)考慮到安全要素的時(shí)分，轉(zhuǎn)移到其他算法的本錢可忽略不計(jì)的。

  “DoD的危險(xiǎn)是更有有幾率會(huì)成為仇視政府的進(jìn)犯方針。而進(jìn)犯SHA-1的估計(jì)本錢較低使得其易成為進(jìn)犯方針，有或許其他的一些政府現(xiàn)已處于尋覓hash collision的過(guò)程中，在這種情況下，他們比一些有組織違法或許可以更快進(jìn)行進(jìn)犯。”Netcraft稱。