微软下周将删除所有SHA-1 Windows下载

微软本周宣布，计划从微软下载中心删除所有使用安全散列算法1(SHA-1)进行加密签名的Windows相关文件下载。

该公司周二表示，这些文件将于下周一，即8月3日删除。

SHA-1是一种传统的加密散列，安全社区中的许多人认为它不再安全。它说，在数字证书中使用SHA-1散列算法可能会允许攻击者欺骗内容、执行网络钓鱼攻击或执行中间人攻击。

在2016年2月，一组学者在理论层面破解了SHA-1散列函数后，大多数软件公司最近都开始放弃SHA-1算法。

该算法在2017年2月的一次现实世界的实际攻击中被破解，当时谷歌密码学家披露了Shatted，这项技术可以让两个不同的文件看起来像是拥有相同的SHA-1文件签名。

当时，制造SHA-1碰撞被认为是计算昂贵的，谷歌专家认为SHA-1仍然可以在实践中使用至少五年，直到成本下降。

然而，随后在2019年5月和2020年1月发布的研究详细介绍了一种更新的方法，将SHA-1碰撞攻击的成本降低到11万美元以下，然后再降低到5万美元以下。

自2016年以来，软件制造商已经放弃了SHA-1，主要是为了SHA-2。2017年1月底，随着Chrome 56的发布，谷歌从Chrome中移除了对SHA-1的支持；Firefox在同样于2017年1月底发布的Firefox 51中移除了对SHA-1的支持；微软在2017年年中放弃了对Edge和Internet Explorer中的SHA-1的支持。

苹果随后从iOS13和MacOS Catalina中删除了SHA-1，OpenSSH在今年早些时候宣布计划在其登录过程中弃用SHA-1。

自2019年8月起，微软不再使用SHA-1对Windows操作系统更新进行签名和身份验证。目前，微软正在将其产品中的SHA-1替换为SHA-2。

然而，这家操作系统制造商没有具体说明周一从其下载中心移除的与Windows相关的文件是否会被与SHA-2签署的新下载链接所取代，这让许多人怀疑他们是否能够下载一些微软的旧工具。