微软:今年7月起,不再为使用 SHA-1 的老旧操作系统提供更新
编译:360代码卫士团队
微软正在逐步停止对安全哈希算法1 (SHA-1) 代码签名加密的使用,为 Windows 操作系统提供更新。该公司宣布称,运行老旧操作系统版本的客户需要在2019年7月前将 SHA-2 代码签名支持安装在设备上。
不支持 SHA-2,就收不到更新:该决定适用于 Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2008 SP2 和一些更老的 Windows Server Update Serivce。
Windows 目前同时使用 SHA-1 和 SHA-2 哈希算法来验证其更新并阻止中间人篡改,且新系统仅支持 SHA-2,而旧系统仅支持 SHA-1。然而,SHA-2 更新将从3月12日开始连续多个月推向受影响的产品。
微软在一份2月15发布的通知中表示,“由于 SHA-1 算法中存在弱点,以及为了符合行业标准,微软将在今年7月19日后仅使用更安全的 SHA-2 算法签名 Windows 更新。所有不支持 SHA-2 的设备在2019年7月后将无法收到更新。”
由 NIST 开发的 SHA-1 算法仍然是代码签名中广泛使用的内容,但其功效随着时间的流逝以及更多针对性攻击的出现而逐渐衰退。例如,微软表示,弃用 SHA-1 算法的主要原因是存在针对 SHA-1 的已知的碰撞攻击。当攻击者能够生成和原始证书一样签名的证书时,就会发生碰撞攻击。
而这也只是微软淘汰 SHA-1 的最新举措。该公司至少从2013年开始就在积极地启用像 SHA-1 和更老旧的哈希算法如 RC4。2014年,微软为 Windows 7 和 Windows Server 2008 R2 推出 SHA-2,使这些老旧版本和 Windows 8 以及 Windows Server 2012 和 2012 R2 保持一致。从2016年开始,微软引导开发人员原理 SHA-1,当时表示 SHA-1 将不再用于代码签名和证书。2017年,微软停止在 IE 和 Edge 浏览器中的 SHA-1 支持。
其它科技巨头如 Facebook、谷歌和 Mozilla的做法如出一辙。Facebook 公司的生产工程师 Adam Gross 在2015年表示,“这些变化是浏览器和网站加密流量保护在线通信内容安全的更广泛变化的一部分”。当时 Facebook 通知开发人员称不再连接不支持 SHA-2 的应用程序。
推荐阅读
原文链接
https://threatpost.com/microsoft-updates-os-sha-1/142000/
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。