微软本周宣布计划从Microsoft下载中心删除所有使用安全哈希算法1(SHA-1)加密签名的Windows相关文件下载。
该公司周二表示,这些文件将在8月3日下周一删除。
操作系统制造商为此举了SHA-1算法的安全性。
SHA-1是一种传统的加密哈希,安全社区中的许多人认为它不再安全。在数字证书中使用SHA-1哈希算法可能使攻击者能够欺骗内容,进行网络钓鱼攻击或进行人为干预。
在一群学者于2016年2月在理论上打破了SHA-1哈希函数之后,大多数软件公司最近开始放弃SHA-1算法。
该算法在2017年2月的一次实际攻击中被打破,当时Google密码学家披露了SHAttered,该技术可以使两个不同的文件出现,因为它们具有相同的SHA-1文件签名。
当时,创建SHA-1冲突在计算上被认为是昂贵的,并且Google专家认为SHA-1仍可在实践中使用至少五年,直到成本降低为止。
然而,随后的研究于2019年5月和2020年1月发布,详细介绍了一种更新的方法,可将SHA-1碰撞攻击的成本降低。
自2016年以来,软件制造商已放弃SHA-1,主要用于SHA-2。Google于2017年1月底发布了Chrome 56,从Chrome中删除了对SHA-1的支持;Firefox在2017年1月底发布的Firefox 51中删除了SHA-1支持 ; 而微软下跌了SHA-1支持中旬2017年边和Internet Explorer。
苹果随后从iOS 13和macOS Catalina中删除了SHA-1,OpenSSH宣布计划在今年早些时候弃用SHA-1进行登录。
自2019年8月起,Microsoft 不再使用SHA-1对Windows OS更新进行签名和身份验证。当前,Microsoft正在整个产品中用SHA-2替换SHA-1。
但是,操作系统制造商没有指定周一将从其下载中心删除的与Windows相关的文件是否替换为使用SHA-2签名的新下载链接,这让许多人都怀疑它们是否能够下载Microsoft的一些旧工具。