2017年2月23日,初春的腳步剛剛走近, CWI(荷蘭阿姆斯特研究所)和Google在密碼學領域就干了一件大事——發布了世界上第一例公開的SHA-1哈希碰撞實例,將這個密碼學中最流行,網絡加密最常用的算法攻破了。
這讓整個安全世界體驗了一回倒春寒,基本宣布SHA-1這個曾經在密碼學中最流行的算法死亡。這也許是件好事,SHA-1在實驗室中退出歷史舞臺,總好過在真正的安全戰場上被攻破。
在突然的震驚過后,讓我們先看看Google到底做了什么?
一句話:Google公開破解了密碼領域中的一個主要算法SHA-1。公司研究人員在博文中稱,有足夠的計算力(其中一個階段就花1個GPU大約110年的計算)就能實現碰撞,有效地破解算法。其實在之前,大家就知道這是可能的,但沒人這么做過。根據Google的披露政策,它將在90天后說明自己是怎么做的。一旦這種概念驗證方法公布出來,任何有足夠計算力的人都能實現SHA-1碰撞,也許仍然會花費數萬美元,但是如果收獲遠遠大于這個數字呢?也許Google都不是第一個這么做的(比如一些國家情報機關),但是第一個公開的。
攻擊使用的計算資源規模程度
那么問題來了,SHA-1是什么呢?
SHA是安全雜湊算法(Secure Hash Algorithm)的縮略語,它是一種能夠依據一段數字信息(可理解為計算機中的各種文件)計算出長度固定的雜湊值(數字信息摘要hash value,或稱哈希值)的算法。任何不同的數值信息,理論上都可以得出不同的雜湊值。
之所以說SHA安全,是基于以下兩點:
1、由雜湊值反推原信息,從算法理論上是非常困難的。
2、要找到兩組不同的原信息,對應到相同的雜湊值,從算法理論上也是非常困難的。
SHA-1可產生的雜湊值長度為160位,也就是說產生一段數字信息,使其SHA-1雜湊值同給定的SHA-1雜湊值相同的難度是2^160。在SHA-1剛剛發布的1995年,以當時的算法水平和計算能力,這個難度在理論上已經是不可破被解的。從誕生以來,SHA-1被業內廣泛用于數字簽名、文件完整性驗證、以及保護廣泛的數字資產(包括信用卡交易、電子文檔、開源軟件資源庫與軟件更新等)的加密標準。
知道了SHA-1,那什么叫碰撞呢?剛才說的“實現碰撞”是什么意思?
當算法函數有漏洞,兩個文件產生相同的哈希值時,就產生了碰撞。它會讓攻擊者濫用惡意文件,因為它與合法文件有一樣的哈希值。
作為證明,Google在公布的結果中,顯示了兩個PDF文件,經過SHA-1處理后,產生了相同的哈希值。實際上,被攻破的散列函數能用來攻擊另一個加密系統HTTPS,后者保護了全球超過一半網頁的安全。其實隨著算法理論的不段進化,計算性能的飛速發展,我們都知道SHA-1已經走到了懸崖邊上。Google就是那最后的一縷微風,輕輕的把SHA-1吹下了懸崖。
如果您是一位工業用戶,這個事情對您有什么影響呢?
前面說過,SHA-1被廣泛用于數字簽名、文件完整性驗證、以及保護電子文檔、開源軟件資源庫與軟件更新等,這些在幾乎所有工業系統中應用十分廣泛,SHA-1碰撞算法的公布表明我們所有的工業系統都將暴露于危險之中。執行一次碰撞攻擊的代價不菲,所以具有巨大經濟價值的工業企業就將是其重點對象,更別說很多行業(比如電力、石油石化、燃氣、軌道交通等)還具有巨大的政治、民生價值。
我們威努特人做了什么?
在震驚的同時,我們威努特人感到了一絲欣慰,因為我們早已預見了危機的存在,在我們保護工業主機的工控主機衛士中前瞻性的使用了更加安全的加密算法。
所以,這一次危機,對我們威努特無效!對我們威努特產品防護的客戶無效!
安全領域就要面對這么殘酷的現實——如果你現在站在原野上,只顧欣賞風景而止步不前,那敵人就會把懸崖挖到你腳下。久經沙場的威努特人,深諧安全領域的真髓,早在主機衛士產品立項階段就預見了核心加密算法的重要性和SHA-1的脆弱性,而選擇采用了國產商密算法SM3。SM3是國家密碼管理局于2010年12月發布的密碼雜湊算法,使用256位的雜湊值,大體相當于SHA-256的強度,比SHA-1多了96位。破解難度大了2^96倍,這是一個大到讓人絕望的數字。
那么什么是威努特工控主機衛士,它有什么作用呢?
威努特工控主機衛士安裝套件
威努特工控主機衛士是基于自有知識產權開發的工控主機系統安全防護軟件,是將應用程序白名單技術應用于可信計算機制之上,充分利用應用程序白名單系統的高安全、高性能、高功效等特性,實現了工控主機系統啟動、加載、運行的全生命周期的安全保證。
威努特工控主機衛士中的“白名單”,是指規則中設置的允許使用的名單列表,白名單技術采用了SM3安全雜湊算法,通過該算法計算出可執行程序的雜湊值。可執行程序只有通過了威努特工控主機衛士設置的多道安全閘門認證后,它的雜湊值才會加入到白名單中。
威努特工控主機衛士“白名單”技術即阻止了病毒自身的加載執行,也確保了安全的可執行程序不被攻擊和感染。兩把大鎖牢牢的把病毒鎖在安全大門之外。
“白名單”技術是威努特工控主機衛士的核心功能之一,對工控主機的安全防護起到了至關重要的作用,“白名單”算法出現漏洞,病毒就會利用它攻入主機系統。如果白名單算法采用SHA-1算法,病毒就有可能偽裝成擁有相同雜湊值的程序,混入主機系統。因此,安全可靠的白名單算法,是主機衛士正常工作的基礎。
威努特人在經過充分的討論和驗證后,選擇了國密SM3算法,SM3算法的2^256的理論破解難度,也在國家層面經過了充分的論證。使用SM3國密算法,既符合當下國家安全的宏觀大局,也滿足了現階段密碼安全的理論要求,充分展示了威努特作為工業安全行業領航者的果敢與睿智。