如您所知,去年SHA1被打破(https://shattered.io)。
但是,在Azure IoT Hub和DPS中,SHA1指纹用于检查设备公钥是否可靠。
理论上,攻击者可以找到一对私钥/公钥值,这些值与geniune不同,与存储在IoT Hub / DPS上的真实指纹相匹配。
这个过程会适合吗? 为什么不升级到SHA256?
提前致谢
答案 0 :(得分:0)
从理论上讲,攻击者可以找到一对私钥/公钥值,这些值与geniune不同,可以与IoT Hub / DPS上存储的真实指纹相匹配。
第一:它并不那么容易。生成一对碰撞消息是一回事;生成一对其公钥具有相同哈希的私钥是另一种。请记住,公钥是从私钥生成的;它无法直接控制。
第二:即使你生成了一对碰撞的公钥,那么呢?我无法立即想到这会破坏服务提供商的安全性。如果您尝试注册两个密钥对,可能会感到困惑,但这是关于它的。
答案 1 :(得分:0)
DPS和Azure IoT Hub都支持SHA256指纹。
答案 2 :(得分:0)
我找到了这个澄清资源:
它指出了签名算法和指纹算法之间的关键区别。 SHA-1漏洞仅影响签名算法,而不影响指纹!