NIST 宣布 SHA-1 算法已经抵达寿命终点
美国国家标准与技术研究院(NIST)建议 2030 年 12 月 31 日之前淘汰 SHA-1,并尽快迁移到 SHA-2 或 SHA-3。SHA-1 是在 1995 年作为美国联邦资料处理标准发布的。谷歌在 2017 年宣布了对 SHA-1 首次成功碰撞攻击,即利用大量计算生成了相同的哈希值的两个不同的信息。2020 年研究人员已将碰撞攻击成本降至 4.5 万美元。
老王点评:前几年才刚刚淘汰了 MD5,这已经开始淘汰 SHA-1 了。
谷歌、苹果和 Mozilla 联手打造更好的浏览器基准
新的基准 Speedometer 3 项目仍处于起步阶段,将遵循 Speedometer 2,即目前由苹果的 WebKit 团队开发的事实上的基准。他们建议目前仍然使用 Speedometer 2.1,直到新基准开发完成,但新的基准尚没有确定的时间表。为了协调统一的标准,他们采用了共识系统,以平衡不同程度的变化的被纳入的方式,比如重大变化需要三家公司一致批准。
老王点评:浏览器能有一个共同认可的基准是好事。
GitHub 免费为开源开发者提供机密信息扫描服务
暴露的机密信息和凭证是数据泄露的最常见原因。2022 年,GitHub 在公共存储库中检测并通知了超过 170 万个暴露的机密信息。现在,GitHub 也将为开源开发者免费提供这些警报。启用后,GitHub 会直接通知开发者代码中泄露的机密信息。这使他们能够轻松地跟踪警报,确定泄漏的来源,并采取行动。该功能将在 2023 年 1 月底前向所有用户提供。
老王点评:很多重大的信息泄漏都始于开发者不慎将密钥、密码等信息提交到公开仓库当中。
老王你说有没有一种可能,就是一九九六年就发现了 MD5 的弱点,二〇〇四年就已经开始淘汰把 MD5 用于加密了?
非常可能。
TortoiseGit 还不支持 sha-2,还好 Git Bash 可以用