SHA1不再被认为是安全的SSL证书--密码套件呢？

Question

许多浏览器和互联网公司最近声称，带有SHA1签名算法的SSL证书将不再被认为是安全的。最值得注意的是谷歌和谷歌Chrome。

然而，我已经读到，由于SSL/TLS协商和密码套件不使用普通的SHA1 (甚至是MD5)，而是在HMAC中使用SHA1；使用带有SHA1的密码套件仍然是一种可以接受的安全实践。

是这种情况吗？

当我们讨论这个问题时，它是否也是在密码套件中使用MD5的情况？

Answer 1

即使在使用MD5时，使HMAC在典型使用中也是安全的主要原因是它是与秘密密钥一起使用的。这意味着只有预图像攻击才是真正相关的，因为如果您不知道关键所在，则发现冲突始终是一种在线攻击。在已知攻击情况下，MD5和SHA-1的图像前电阻均大于100位.此外，即使使用一些不安全的散列函数，HMAC也可能是安全的。

然而，并不是所有的密码套件只使用HMAC进行消息身份验证。较早的SSL密码套件(在SSLv3之前)为此使用简单的散列函数。散列函数在许多套件中也用作公钥签名的消息摘要。安全吗？

嗯，是的。可能吧。同样，只有预图像攻击应该适用于SSL/TLS中使用它们的方式。碰撞攻击需要生成大量消息才能找到具有相同哈希值的对。只有当攻击者能够预测要签名的数据并影响其中一些数据时，这才是一个值得关注的问题。例如，签名用于密钥交换，用于对随机密钥进行签名，攻击者无法知道这些签名对密钥的影响小得多。

不过，攻击只会变得更好。在有可能使用更现代算法的地方，您应该这样做。