关于 BC首页排名〖qq735894904〗 西安莲湖腾讯新闻ggh 的搜索结果,共676
c****1 2018-07-10
你的数字签会被撞破么?——全 hash 的攻与防
MD5 和 SHA1 在 1992 年和 1993 年被发明出来,在相当长 一段时间内,他们被认为是全的。2004 年和 2005 年,研究者发现了对他们的攻击 方法,减少了特定情况下发现碰撞的计算代价。在 2007 年次提出了利用 MD5 碰撞 伪造 CA 证书的理论方法,2008 年这种攻击方法得到了验证,攻击者成功伪造了合法 的 CA 证书。而针对 SHA1 的攻击方法则一直停留在理论中,直到 2017 年初,对 SHA1 的成功碰撞攻击才次公开出来。 这里简要描述 MD5 的计算过程,以便读者理解。SHA1 的计算过程十分相似: 先,加入补位,使之 bit 长度模 512 的余数为 448(512-64)。接下来将长度表示 为小端序,附在后面(大于 64bit 只取低 64bit)。此时 bit 长度是 512 的倍数。接下 来依次处理每个 512bit 的块。在处理过程中不断更 MD5 的内部状态(128bit)。 在处理完所有的块后,将其内部状态输出,作为最后的散列值。
1****2 2018-07-09
百度全:AI 是系统工程 需要真正开放的全护航
这一隔离不但影响了全信息的互 通,也造成了诸多限制,引发了全问题,比如Android App Store 不允许开发 者更换签证书,如果开发者私钥被偷窃,他只能继续使用这一私钥,眼睁睁看着偷得 私钥黑客发布冒顶替的恶意App。应用开发者其实早就意识到了签束缚之痛,只是目前应用较为广泛的签证书更换手段(提示用户证书签版本应用, 卓5.0 以上可以自动升级等),要么用户体验极差,要么存在降级攻击等风险。 为解决这个问题,百度全开源了OASP 应用签全方案——一种更全、灵 活的密钥证书管理方案。它创了应用状态在线查询机制,是一种生态联防、去中心化的全方案:开发者能及时提供应用状态;全厂商能大规模扫描监控签信息生成信 用信息,并在端上结合信用信息判断App 是否恶意;应用商店可以收纳开发者提交的 应用信息,并定期下架有问题的App;设备厂商则能通过OASP 的签机制进行额外的全校验。 传输层面的全 终端设备和云端服务通信的过程中,传输通道的全性至关重要,一旦被黑客恶意 劫持,设备和云端服务器的数据也就都处在风险中。
TOP