基于安全考慮，Microsoft 表示：將刪除所有 SHA-1 Windows 下載

微軟表示，使用SHA-1算法簽名的文件下載不安全，并將于2020年8月3日刪除。

微軟本周宣布，計劃從微軟下載中心刪除所有使用安全哈希算法1 (SHA-1)加密簽名的windows相關文件下載。

該公司周二表示，這些文件將于下周一即8月3日被刪除。

操作系統制造商表示，此舉是基于SHA-1算法的安全性。

SHA-1是一種遺留的加密散列，安全社區中的許多人認為它不再安全。在數字證書中使用SHA-1哈希算法可能允許攻擊者進行內容欺騙、執行釣魚攻擊或執行中間人攻擊。

SHA-1, 2016年被打破

2016年2月，一組學者在理論層面上打破了SHA-1哈希函數，此后，大多數軟件公司最近開始放棄SHA-1算法。

該算法在2017年2月的一次實際攻擊中被破解，當時谷歌密碼專家透露，該技術可以使兩個不同的文件看起來具有相同的SHA-1文件簽名。

當時，從計算方面來講，制造SHA-1碰撞是昂貴的，谷歌專家認為，SHA-1至少還可以在實踐中使用5年，直到成本下降。

然而，在2019年5月和2020年1月發布的后續研究中，詳細介紹了一種更新的方法，將SHA-1碰撞攻擊的成本降低到11萬美元以下，然后降低到5萬美元以下。

自2016年以來，軟件制造商已經放棄了SHA-1，主要是為了SHA-2。2017年1月底，隨著Chrome 56的發布，谷歌刪除了對SHA-1的支持;Firefox在同樣于2017年1月底發布的Firefox 51中取消了對SHA-1的支持;微軟在2017年年中放棄了對Edge和ie瀏覽器的SHA-1支持。

蘋果隨后從iOS 13和macOS Catalina中刪除了SHA-1, OpenSSH宣布計劃在今年早些時候取消在登錄過程中使用SHA-1。

自2019年8月起，微軟不再使用SHA-1對Windows OS更新進行簽名和認證。目前，微軟正在將其產品的SHA-1替換為SHA-2。

然而，操作系統制造商并沒有具體說明從其下載中心刪除的與windows相關的文件是否會被簽有SHA-2的新下載鏈接所取代，這讓很多人懷疑他們是否還能夠下載一些微軟的舊工具。