微軟下載中心將于 8 月 3 日撤下所有基于 SHA-1 簽名的內(nèi)容
7月30日消息 微軟本周二宣布將在 8 月 3 日將微軟下載中心所有不安全的 Windows 文件撤下,這些下載內(nèi)容均采用了安全散列算法 1(SHA-1) 進行加密簽名。
了解到,SHA-1(Secure Hash Algorithm 1)是美國國家安全局在 1995 年設(shè)計的一種密碼散列函數(shù)。2017 年 2 月 23 日,谷歌宣稱他們與 CWI Amsterdam 共同創(chuàng)建了兩個有著相同的 SHA-1 值但內(nèi)容不同的 PDF 文件。于此,SHA-1 正式被破解。
自 2016 年以來,各大軟件制造商已經(jīng)逐步開始放棄 SHA-1 并轉(zhuǎn)向 SHA-2,包括谷歌、微軟、蘋果和 OpenSSH 等。
微軟向用戶表示:自 2019 年 8 月起,不支持 SHA-2 的設(shè)備已無法接收到 Windows 更新。如果用戶仍依賴于 SHA-1,建議使用當(dāng)前受支持的 Windows 版本,并用更強大的哈希算法來保護加密連接,比如 SHA-2 。
目前微軟并沒有說明在將下載中心中基于 SHA-1 的內(nèi)容刪除之后會不會同步替換為采用 SHA-2 簽名的新鏈接,因此部分用戶開始懷疑他們以后能否獲取微軟的一些舊軟件和工具。