每日安全资讯：SHA-1 碰撞攻击正变得切实可行 | Linux 中国

上周一组来自新加坡和法国的研究人员演示了首个构造前缀碰撞攻击，即攻击者可以自由选择两个碰撞信息的前缀。

-- 安华金和

作者：安华金和

Google 在 2017 年宣布了对 SHA-1 哈希算法的首个成功碰撞攻击。所谓碰撞攻击是指两个不同的信息产生了相同的哈希值。在 Google 的研究中，攻击所需的计算量十分惊人，用 Google 说法，它用了 6,500 年的 CPU 计算时间去完成了碰撞的第一阶段，然后用了 110 年的 GPU 计算时间完成第二阶段。

现在，SHA-1 碰撞攻击正变得切实可行。上周一组来自新加坡和法国的研究人员演示了首个构造前缀碰撞攻击，即攻击者可以自由选择两个碰撞信息的前缀。

构造前缀碰撞攻击所需的计算费用不到 10 万美元，意味着伪造 SHA-1 签名文件将变得可能，这些文档可能是商业文件也可能是 TLS 证书。现在是时候完全停止使用 SHA-1 了。

来源：solidot.org

更多资讯

旧金山可能成为禁止面部识别技术的第一个美国城市

旧金山市将于周二投票决定是否禁止警察局和其他城市机构对居民进行面部识别。如果获得批准，这将是美国首次禁用该技术的城市。该法令还为警察部门制定了一个流程，以披露他们使用的监控技术，例如车牌阅读器和可以跟踪居民随时间变动的手机基站模拟器。但它特别指出面部识别对居民的公民自由太有害处，甚至不考虑使用。

来源：cnBeta.COM

详情： http://t.cn/EKCwMtT 

“三只小猫”漏洞威胁全球数百万思科路由器

美国 Red Ballon 安全研究公司近日发布了一份报告，公布了思科产品的两个漏洞。第一个漏洞被称为Thrangrycat，允许攻击者通过现场可编程门阵列（FPGA）比特流操作完全绕过思科的信任锚模块（TAm）。

来源：开源中国

详情： http://t.cn/EKCwiEi 

银行客户信息核实工作开启：手机号重复过多停办业务

近日，多家银行集体发布公告称将开展客户个人信息核实工作，与以往不同的是，此次核实信息包括姓名、性别、国籍、职业、联系电话、联系地址（家庭地址或工作地址）、身份证件类型及号码、证件有效期限。核实信息之多，可谓史上最严。

来源：证券日报

详情： http://t.cn/EKCwagX 

不亚于 WannaCry：微软面向 Windows XP 发布紧急修复补丁

如果你依然在使用联网的 Windows XP 或者 Windows Server 2003 系统，同时也包括 Windows 7、Windows Server 2008 以及 2008 R2 系统，那么应该立即安装微软刚刚推出的紧急修复补丁。为了修复不亚于 Wannacry 的 RDP 服务漏洞，微软于今天面向包括 XP 在内的上述系统发布了紧急修复补丁，要求用户尽快完成安装。

来源：cnBeta.COM

详情： http://t.cn/EKCwKT5 

（信息来源于网络，安华金和搜集整理）