两则安全公告:SHA-1 碰撞攻击和 Cloudflare 事件

By February 24, 2017 未分类 No Comments

在安全领域,唯一的不变就是变化。随着技术的进步,我们努力致力于先人一步,确保您的信息安全。我们社区的许多人可能对最近发生的两件突发事情颇为关注,在此我们将回答您的相关问题,让您知道作为 LastPass 用户需要了解的情况。

Cloudflare

概要:LastPass 没有使用 Cloudflare,并且不会受近期安全事件的影响。

事件详情:Cloudflare 是一家 SaaS 公司,致力于帮助优化网站的安全性和性能。2 月 23 日星期四,该公司向客户通告了一个近期修复的漏洞(由 Google 研究人员 Tavis Ormandy 披露)。虽然该漏洞可能会漏泄一系列敏感信息,但我们可以确认的是,LastPass 没有使用 Cloudflare,并且不会受其影响。

但是,LastPass 用户也可能在使用 Cloudflare 的网站上创建了帐户。因此,如果您所使用的任何服务表示其已经受到此漏洞的影响,我们建议您更新密码。虽然对这些帐户的风险很小,但仍然建议您更新密码,以保安全。

SHA-1 碰撞攻击

概要:知道我们的哈希和网站万无一失,可以让 LastPass 用户感到很放心。对于创建密码哈希,LastPass 使用包含 SHA-256 或更佳的哈希组件的迭代哈希。HTTPS 证书为摘要使用 SHA-256 或更佳的哈希组件。正如 Google 安全团队所言,SHA-256 是一种更加安全的密码哈希函数。

事件详情:Google 安全团队近期披露了针对 SHA-1 的已知的首次实际攻击。SHA-1(安全哈希算法 1)是一种哈希函数,最早可追溯到 1995 年。哈希是一种单向函数(即无法进行逆向工程),用于隐藏和存储数据。它比单纯的加密更先进。SHA-1 广泛用于保护软件、防止篡改软件更新,以及确保网站和网站用户之间的安全连接。但是,据悉从 2005 年开始,SHA-1 便已经受到理论攻击,而过去几年,Google 也要求开发人员选择使用其他算法。

2 月 23 日星期四发布的最新报告中说明了安全研究人员如何成功对 SHA-1 哈希函数进行首次实际碰撞攻击。这意味着使用了两个完全不同的文件(在该案例中为 PDF)生成同一个 SHA-1 签名。这似乎是不可能发生的;因为每个文件应该生成属于自己的 SHA-1 签名,否则“假”文件可能通过认证,成为“真”的受信任文件。

正如我们上面所述,LastPass 使用通过 SHA-256 而非 SHA-1 实施的 PBKDF2 生成认证哈希。LastPass.com 的网站连接也十分安全,因为我们的 HTTPS 证书使用的是 SHA-256,而非 SHA-1。

我们正在彻底取消 SHA-1 在产品其他领域的使用,例如 SHA-1 在二进制文件签署中的使用。其中的风险很低,我们也正在根据该碰撞报告,按照计划移除加速路线图中的 SHA-1。

我们将一如既往确保我们的社区能够随时了解任何最新进展。

谢谢您。

LastPass 团队