PlayStation實驗室
此次的破解嘗試共分為兩步�,第一步的運算量巨大�,需要運用分布式運算完成。而第二步運算量較小�����,僅需一臺頂級四核PC即可��。面對艱巨的第一步����,研究者們在瑞士洛桑聯(lián)邦理工大學搭建了一個“PlayStation實驗室”,使用200臺PS3游戲機��,平均分配30GB內存進行運算���,在一個周末的時間內��,研究者們共進行了三次嘗試�,制造MD5“沖突”的總運算量為2的51.x次方�����。最終他們成功偽造了一個證書授權中心��,可以隨意簽發(fā)SSL證書����,突破各種SSL加密網站。
采用新的算法
這次的成功破解贏得了業(yè)界的贊譽���,因為在黑客利用這個漏洞前我們發(fā)現(xiàn)了它����。VeriSign公司(該公司的RapidSSL認證使用MD5算法)也快速做出反應�����,并已開始解決證書產品中的這些問題���,并承諾任何受到問題證書影響的用戶都可以從公司免費獲得全新的未受影響的證書�。
然而就調查機構顯示,互聯(lián)網上所有認證中的14%是采用MD5算法加密�,這就說明一旦此攻擊技術被黑客們掌握,互聯(lián)網的安全構架將受到很嚴重的破壞�����,為此Verisign公司已經停止在SSL中使用MD5加密算法��,將會采用更為成熟的SHA-1算法�,這種算法在非MD5的證書中被廣泛使用。
但SHA-1算法就真的安全嗎?據(jù)研究顯示SHA-1可能同樣存在碰撞攻擊的漏洞�,所以在改進運算法則之前,如果使用速度更快的PlayStations游戲站來測試的話�����,SHA-1的崩潰也僅是時間問題���。因此����,我們需要更加安全的加密算法來取代SHA-1��。
目前看來�,有望取代SHA-1算法的是一種使用變量長度密匙的SHA-2加強版算法���,它能衍生出SHA-224,SHA-256,SHA-384和SHA-512等加密算法��,對安全性有一定的提高���。目前國際技術標準協(xié)會(NIST)正在就新的散列函數(shù)進行競爭���,希望通過SHA-3來制定新一代的標準。
另外�,不使用MD5函數(shù)的擴展驗證SSL(EV SSL)為我們帶來新的希望,EV SSL證書能夠確保網站和消費者瀏覽器間的安全加密通信���,同時能夠驗證網站的真實性���,使所有的訪問者知道他們訪問的確實是他們想要訪問的網站,而不是黑客網站����。目前包括IE7、Firefox3在內的瀏覽器均已支持EV SSL證書��。
總結:
對于終端用戶來說��,采用全新加密認證的瀏覽器要比老舊的版本安全的多,雖然舊的版本也在進行補丁更新��,但廠商是不會一直更新下去的;而新的瀏覽器也會帶來全新的功能��,比如顯示第三方認證等�,這些都能提升終端用戶的安全性,因此筆者建議大家及時更新瀏覽器����,以免不必要的麻煩。
對于安全領域來說����,上面介紹的SSL加密算法可以起到提升安全性的作用,然而我們必須看到����,沒有絕對安全的加密認證,這次SSL認證被攻破已經為我們敲響警鐘��,出現(xiàn)問題才做補救無異于坐以待斃���。在安全領域中我們必須要未雨綢繆��,加緊制定全新的安全標準���,改進安全構架���,因為在安全世界中,看似沒有問題��,實則隱患重重�����。
