你以为SSL是安全的吗?
在现代的IT安全领域,很大程度上依赖SSL来保障通讯安全。但SSL是安全的吗?
在2005年,王小云证明SHA-1能在较短的时间内找到碰撞。王小云发现SHA-1的安全弱点是偶然还是必然?
就我所知,各种不可逆加密算法实际上没有什么理论说明它们是不可猜测的(unguessable)。信息湮没了吗?既然是unique的对应的,怎么能说信息湮没了?既然没湮没,凭什么说不可猜测?
有很大概率,现有SSL中的其他某个或者某些加密算法,已经被某些情报部门掌握了碰撞或者破解方法。只是没有像王小云那样公布出来而已。
所以:个人或者中小公司可以依靠SSL来加密通信,但是非常有价值的(政府军队以及特大公司)核心部门不能信任SSL。必须有其他更基础的安全措施。