时间:2020-07-30 08:19:54来源:Win10专业版官网点击量:N次
7月30日早间消息:微软正在删除微软下载中心的所有Windows下载,这些下载是在2020年8月3日使用SHA-1证书签署的。
SHA-1算法通常用于对可执行文件进行代码签名,并在网站上使用TLS和SSL证书来验证发行者的合法性。
2015年,安全研究人员发布了一份报告详细说明SHA-1是如何容易受到碰撞攻击的,这些攻击可能允许攻击者创建伪造的数字证书,以模拟公司或其他网站。
然后,这些伪造物可以用于网络钓鱼攻击、欺骗公司,或者用于中间人攻击,以便在加密的网络会话中监听。
由于sha-1证书的问题,microsoft和其他开发人员一直在远离sha-1证书和要求SHA-2用于安装Windows更新.
Microsoft删除所有sha-1签名的内容。
在昨天发布的一份新的支持公告中,微软表示,他们将从微软下载中心(Microsoft Download Center)取消与安全哈希算法1(SHA-1)签署的所有Windows内容,以提高安全性。
“为了支持不断发展的行业安全标准,并继续保持您的保护和生产效率,微软将于2020年8月3日从微软下载中心(Microsoft Download Center)退役Windows的内容,即安全哈希算法1(SHA-1)。这是我们继续努力采用安全哈希算法2(SHA-2)的下一步,该算法更好地满足现代安全要求,并提供更多的保护,免受常见攻击载体的攻击。”
Sha-1是一种遗留的密码散列,安全社区中的许多人认为它不再安全。在数字证书中使用sha-1散列算法可以使攻击者伪造内容、执行钓鱼攻击或执行中间人攻击。
“由于与算法相关的安全考虑,微软不再使用sha-1对windows操作系统更新进行身份验证,并提供了适当的更新,以将客户迁移到sha-2。因此,从2019年8月起,没有支持sha-2的设备没有收到windows更新。如果您仍然依赖sha-1,我们建议您移动到当前支持的windows版本,并使用更强的替代方案,如sha-2,”微软在报告中表示。
尽管微软只支持官方内容的SHA-2签名内容,但使用SHA-1签名的Windows可执行文件仍然可以在操作系统中运行。
如果微软下载中心上有旧的SHA-1签名文件,您仍然经常使用,那么您应该在微软在8月3日删除它们之前下载它们。