谷歌攻破網(wǎng)絡(luò)安全算法解讀

谷歌攻破網(wǎng)絡(luò)安全算法解讀

        給所有朋友（不管你懂不懂信息安全，只要你希望了解）普及一下谷歌攻破SHA-1到底發(fā)生了什么。

（馮立超@瀚博資訊  原創(chuàng)，轉(zhuǎn)載請注明)

      當(dāng)你發(fā)布一篇文章時，如何證明這篇文章沒有被篡改過？：

      計算機(jī)用一種算法（哈希算法，如SHA)，對整篇文章的內(nèi)容進(jìn)行運算，得到一個簡短的數(shù)字串（哈希值），再對該數(shù)字串加密，連同文章一起發(fā)給對方（這就叫數(shù)字簽名）。

      對方收到這篇文章以后，再對它進(jìn)行同樣的運算，并比對該數(shù)字串，若一致，則證明該文章沒被篡改過。（當(dāng)然這些都是由計算機(jī)自動完成，你不需要參與）。

      哈希算法確保同一篇文章每次計算都得到同樣的值，而不同文章得到同一個值的概率極低。（1/9,223,372,036,854,775,808）

      關(guān)鍵是，數(shù)學(xué)上保證了不能通過該哈希值反向推算出文章內(nèi)容。（這個函數(shù)沒有反函數(shù)。所以你可以把x帶入函數(shù)算出y，但你沒有辦法根據(jù)y的值算出x。還記得這個概念嗎？）

      所以，對方再次計算的哈希值如果和你隨文章發(fā)來的哈希值一致，就可以證明這篇文章沒有被篡改過。

      谷歌科學(xué)家這次干的事，就是設(shè)法找到一個方法，可以方便地生成和一篇文章哈希值一樣的另一篇文章。

      辦法有兩個，一個是從數(shù)學(xué)上找到哈希算法的問題，這個我們可以確認(rèn)行不通，數(shù)學(xué)上已證明沒問題。

      第二種方法叫暴力破解，就是我試 我試 我試啊試啊試，總會找到另一個文章有同樣的哈希值。這個從理論上是可行的，但從實踐中，要試算千萬年，只爭早夕遠(yuǎn)遠(yuǎn)不夠。

      谷歌這次干的事，就是找到了一些規(guī)律和算法，同時借助云計算的能力，使得原來以為千萬年才能破解的事，朝夕之間攻破。（比暴力破解快十萬倍）

      為確保信息安全，具體的細(xì)節(jié)算法谷歌要到90天以后才公布，以便信息安全領(lǐng)域可以做出應(yīng)對。

      谷歌公布此次技術(shù)的文檔中文譯稿請參見http://mp.weixin.qq.com/s/07pyiX6LAZxasKRYkBz6KA。

說明：

1. 哈希算法從數(shù)學(xué)上本身沒問題，所以谷歌給出的應(yīng)對方案也只是建議由SHA-1提升至更復(fù)雜的SHA-256等。

2.這是我（馮立超@瀚博資訊）在高鐵上打發(fā)時間寫給朋友圈的科普文，為保證所有會用微信的朋友都能讀懂，不確保技術(shù)及術(shù)語嚴(yán)謹(jǐn)性。

3.文中以“一篇文章”舉例，其實可以是任何信息，比如網(wǎng)頁、銀行往來信息、×××銀行卡芯片等等。

4.拇指打字辛苦，轉(zhuǎn)載請注明出處:)