• 项目
首页>>文章列表 >>科技教育
科技教育

谷歌把网页时代最重要的加密技术SHA-1给攻破了,SHA-1 是什么? 2017-02-25 12:45:09

 SHA-1(全称 Secure Hash Algorithm-1)是一种安全加密算法,最主要的用途是数字签名。

举个例子:你肯定在电脑上下载过软件吧?是否记得,文件的上传者曾提醒过你,在下载后要校验文件?有没有见过类似于下图中这样的文字?

这是因为,使用类似于 SHA-1、MD5 这样的哈希算法,对任何文件,无论文本文档、表格、音乐mp3、PDF、可执行文件等进行计算后,都会得出像上图中这样的字段(哈希值)。在过去只要文件不同,对应的哈希值都绝对不一样,就像是给每个文件都加上了数字的签名。

就 SHA-1 来说,每个文件出来的哈希值应该是 40 个英/数字:比如上面这张图片的 SHA-1 值是:

1E2FF30C5FD327C438F76C3ACBE97AAFB9AEDF7E

对于下载者来说,原文件的哈希值很重要:当你下载了一个软件,用文件校验工具查看它的 SHA-1/MD5 值,如果和原文件的不一样,你就得小心了,因为文件显然被修改过了,而里面可能包含了病毒或其他恶意代码。


文件哈希值校验实例

SHA-1 和 MD5 是目前世界上最为常用的文件校验加密算法。其中,SHA-1 已经诞生 10 年之久,在过去一直被认为是比较安全和可靠的算法——直到今天。

但是!Google 和 CWI 一起研究出了一种方法,能够让两个不同的文件,采用 SHA-1 演算之后,呈现出完全一致的哈希值。

怎样攻破的?

这次攻破被命名为 SHAttered attack。研究者提供了两张内容截然不同,在颜色上存在明显差异,但 SHA-1 哈希值却完全相同的 PDF 文件作为证明:

上方为两张截然不同的 PDF,下方是它们各自的 SHA-1 和 SHA-256 哈希值

在博客中,研究者写道:

哈希碰撞(hash collision,即两个不同文件哈希值一致,也有译作哈希冲突)本来不应该发生。但实际上,当哈希算法存在漏洞时,一个有足够实力的攻击者能够制造出碰撞。进而,攻击者可以用去攻击那些依靠哈希值来校验文件的系统,植入错误的文件造成恶果。举个例子,两份条款完全不同的保单。

本次 Google 对其进行攻破花费了巨量的算力:总计 9,223,372,036,854,775,808——超过 9 兆(亿亿)次演算。

研究者们介绍,破解分为两个阶段,分别需要一个 CPU 进行 6500 年,和一个 GPU 进行 110 年的计算才可以完成。这是因为他们采用了自行研发的 Shattered 破解方法,其效率远胜于使用暴力破解。而且 Google 云平台提供的大规模计算技术,显著减轻了负担。

着急杀死 SHA-1,也是 Google 未雨绸缪的决定。2012 年安全技术专家布鲁斯·施奈尔曾经估计,完成一次 SHA-1 碰撞在 2012 年需要耗费 277 万美元,到 2015 年则降到 70 万美元,2021 年只需要 4.3 万美元。他还暗示,到 2018 年就会有犯罪集团具备伪造 SHA-1 签名证书的能力。

但至少目前,人们并不需要恐慌。首先就事件本身而言,普通网友不需要担心有人会用它做坏事,因为 Google 漏洞披露政策规定,本次 SHAttered attack 的研究者需要等待 90 天才能发布原始代码。就算掌握了代码,至少也得有 Google 这种水平的大规模计算能力……

另外,研究者上线了一个网站 shattered.io,网友可以上去了解更多技术细节,还可以上传自己的文件,测试自己的文件是否安全。

作为一种老旧的哈希算法,SHA-1 正在被其后来者,比如 SHA-2 和 SHA-3 新算法以及它们的各种变体所取代。三大浏览器 Chrome、微软 Edge/IE 和火狐浏览器都决定弃用 SHA-1。

早在 2014 年,Google 就宣布了逐渐放弃 SHA-1 的决定。去年开始,Google 的 Chrome 浏览器已经不再支持 SHA-1 证书,会将其标记为不安全。当证书过期之后,浏览器将无法访问这些网站。Google 方面也推荐 IT 人士采用 SHA-256 等更安全的算法。

微软 Edge 浏览器团队此前在其博客中表示,将于 2017 年中开始弃用 SHA-1。但据《福布斯》网络版报道,另一位安全专家凯文·贝尔蒙特则在 Twitter 上指出,弃用 SHA-1 的 Windows 安全更新本应该在 2 月早些时候推送,但仍处于延期发布的状态。

既要性价比还要盈利?360手机说可以这么走 2017-02-25 12:44:45

当年我还在华为,算是最早做手机的那批人。起初2005年刚做手机的时候,在Gartner的报告里面根本是看不到,从市场份额百分之零点几到百分之一;后来互联网手机火了,大家做线下的都觉得这个生意没有办法做,很紧张、很无奈。

这是360手机总裁李开新分享的一部分经历,如人饮水般的故事在过去手机行业不断重演,和今年春天,似乎一样。

360手机总裁李开新360手机总裁李开新
一、这个春天有点冷:来自资本市场和产业链的压力

在一片涨声中,手机行业的2017徐徐展开。在这个年初,上游制造业成本和汇率的增长,资本市场热情的消退,都让一切看起来不那么美好。于是——互联网手机下半场——这个隔断时间就会被人们想起的词,又回来了。

对厂商来说,“互联网手机下半场”不仅限于RGB显示屏上的0和1,也不是油墨打印上的黑与白。一个贯穿全年的策略,几款重点产品,才是他们需要的。具体到360手机,是刚刚发布的360手机N5,一款骁龙653+6GB RAM的性价比机型。

在这个时间段为什么还是以性价比主打;这样一款产品如何实现盈利;怎么看互联网手机下半场;李开新和360的解答是这样。

现场实拍图现场实拍图
二:性价比路线还是要坚持:虽然并不容易

简单描述下N5,这是一款搭载骁龙653,拥有6GB RAM,但最终售价只有1399元的性价比机型。为什么仍旧坚持性价比,这是外接抛出的最大疑惑。面对尖锐问题,李开新的回答,似乎是个擦边球:

“硬件不能亏钱和产品要做高价,这可能是两码事。一方面成本确确实实是在上涨,但是另外一方面,作为消费品,随着技术提升产业规模变化,为消费者提供更具有性价比的方向肯定不会变。”

“这事我觉得有两个方面,一个方面你的指导思路是什么,到底是怎么赚钱,以及赚多少。比如说同样的一个产品,你可以赚的高一点,也可以赚的少一点,这是大家经营思路的不同。另外一方面,要不要把硬件材料成本的上涨完全转化到消费端,其实这也是一个值得商榷的问题。”

三:如何在性价比战略下不亏钱:开源以及节流

根据Strategy Analytics数据,2016年第3季全球智能手机的总营业利润为94亿美元。其中,苹果营业利润为85亿美元,占了全球智能手机营业利润91%。这之后华为 、vivo、以及 OPPO分别排在第2到4名,利润占有率分别为2.4%、2.2%、2.2%。

这个数据是全年的一个缩影:2016年中国手机厂商出货量增加,但是利润率没有增长。当本就毛利率不高的行业遇到物料成本大涨,谈性价比和不亏钱,似乎有些理想化。所以再深挖一步,内容才清晰起来。

1、节流

“作为一个企业,更多应该通过自己的管理能力,自己的成本控制能力来提升这个产品的性价比。让消费者能够花同样的钱享受到更好的产品,提升品牌以及产品竞争力从,这个思路才是对的。”

截流是360手机给出第一个答案,类似的说法还出现在谈话的最后部分。当问及备货问题时,李开新认为“我们前期主要精力都扑在产品设计上;备货考虑不多,但是一定会按照市场需求来。精细化管理,是最重要的部分”。

2、开源

开源节流是老思路,这次360新机发布会上植入京东以及网易游戏的品牌背书,就是特征之一。一方面说明360和京东平台展开更深入的销售合作,互换资源;一方面游戏行业的分成模式也进一步被突出。在线上模式和软件盈利思路之后,360还讲了线下情况。

360手机副总裁林岚表示“  我觉得360这个品牌给大家直观印象是一个线上品牌,所以大家可能在关注的时候,觉得360手机线上的份量更重一点。但是实际上我们在线下这一块也是一直在做的,去年我们在线下也有非常多的产品,跟中国移动、中国电信都有比较深的合作。在一些区域里面,其实我们取得的成绩还是不错的,比如说在广东、四川一些区域,我们做得还是不错的。并且,我们还希望进一步加深合作”

精细化管理来增加毛利、扩大在游戏商和运营商的分成、从线上和线下多销售渠道加深合作,这三点是2017年360手机的策略。

四:还是要说说下半场的话题

谈及“互联网手机下半场”李开新先讲了个故事。

“我原来做线下很长时间,所以印象很深刻。互联网模式从2013年开始火,线下不管是零售商还是渠道商,跟他们交流以后,大家都觉得这个生意没有办法做了。所以那个时候大家很紧张、很无奈。也是从2014年底开始,线下渠道开始调整,结合互联网品牌碰到的一些问题,线下开始了它的成长。到了去年,大家又讲回归,所有的品牌都想一夜之间建成OPPO和vivo的这种模式,我觉得这个东西实际上和前几年大家对互联网模式有点类似,我觉得这都是一个过程,大家看到别人做得好的地方都想学习。”

简短解说,这故事说的是变化:互联网手机和线下一直在变化融合,互联网手机下半场又何尝不是传统渠道下半场。大家遇到的问题似乎相同。这观点并不新鲜,有意思的是360对于资本市场的解读。


到这,我们似乎还要绕回来,说说什么是“下半场”。在外界看来所谓下半场,压力来自生产成本增加带来的盈利难题,这一问题在2016年之前一直存在,但隐而未发。不过这只是一方面,本质上是因为“资本市场趋冷”,才导致“烧钱”模式暂停。

这个症结,360看得相对乐观

李开新说:“手机已经变成了你的器官了,你的手或者是脚这样的东西,是离不开它的。在这种状况下,手机在中间起到的作用很大。它不仅仅是流量入口,更重要的它还是一个承载。从这个角度来看,说资本不看好,我倒不这么认为。只是说过去是有点高估了,对其中的风险看得不清楚。经过这样一折腾以后,大家回归到你这个硬件的运作结构和软件未来的方向角度去看这个事情,我想那应该说是更好的一种状态,更理想的一种状态。”

写在最后的:你以为的下半场就是你以为的下半场?

去年网传搜狐张朝阳穿“破口大衣”的照片,于是乎唱衰一片;那年八国联军进京,坊间盛传老佛爷吃不着半块糖饼;今年手机零配件成本涨了,所以一下就下半场了。真相和舆论之间,似乎差着一万个自媒体账号。也因此这个“下半场”的各种状态,也不见得就真如你我所想。

三星手机充满电半小时就关机 授权维修点检查不出原因 2017-02-25 12:42:55

“丢还是修”成了困扰江明(化名)数月的难题。“2015年初,我购买了一部三星note edge,使用一年左右就频繁出现卡顿、发热现象,但最大的bug是充满电后只能坚持用半小时就关机。”上周,江明向南都记者投诉时称,三星授权维修中心最终并未检查出原因,也没有给出解决方案。“大概三星手机的寿命就只有一年”,自认倒霉的江明感慨,曾经因喜欢三星noteedge的曲面外观而从果粉转入安卓阵营的他,不得不重新倒戈iPhone。

但苹果似乎也不是最优选择。李夏(化名)就在为一部碎了屏的iPhone6上千元的维修费而纠结。他向南都记者也抛出了同样的疑问———“换还是修”?

GFK数据显示,2016年中国手机零售市场规模达到4.71亿台,同比增长12.2%,已然成为全球最大的手机消费市场。但与之相比,手机售后维修市场却没有同步走向成熟。南都记者历时一个月,通过问卷调查消费者、手机渠道商、维修服务商等方式了解到,iPhone手机千元换屏价的背后,成本仅400元;而三星授权维修点资质参差不齐,导致查无病因的情况已然成为常态。

维修案例

“三星维修点差评多”

“三星的授权维修点差评最多。”在南都给出调查问卷后,不少手机经销商给出了这个答案。“目前,将近一半的消费者在手机出现故障后会通过手机店解决。”一名经营多个品牌的手机店主向南都记者表示,在他替机主协调维修的过程中,三星经常拒保或在保修期内找各种理由推脱人为损坏。

针对这一说法,本周一,南都记者陪同朋友前往广州中华广场三星服务中心维修店亲自体验。当时,店内有两名工作人员和4名顾客。其中,满头雾水的张女士向南都记者吐槽,“用了两个月不到的新机总是自动关机”,但维修人员却以接近下班时间为由告知她“明日再来检修”。

针对南都记者的朋友那部使用两年后自动关机、无法开启的三星note2,三星的维修人员在确认检修之前却先甩出了一连串的“可能”,“可能修得好也可能修不好,可能要花900多换主板,而之后里面的资料可能会全部丢失。”但在检测之前,该维修人员又不耐烦地表示,上述手机已超出保修期,需先支付30元检修费,同时签署“同意资料丢失”的确认报价单。“爱修不修,修就签字。”

终于,在等待了约20分钟后,三星维修人员给出了答复,电池没毛病,需要更换主板,费用为1048元。但至于手机的故障原因,上述维修人员的回答则相当推脱、模棱两可,“这是消费电子的通病,(有的)可能几个月就要换主板,(有的)也可能几年都不用换。”

“事实上,主板维修是最高级别的维修工程师才具备的技能。市场上大部分维修点不提供主板维修服务,所以遇到大小问题,干脆更换主板,其实主要是没有足够资质的维修工程师。”O 2O专业手机维修平台极客修创始人吴玮告诉南都记者。

《南方都市报》联合UC收集的问卷数据显示,三星手机中故障比例最多的为死机,比例占39%;其次,37.50%的用户有过电池和屏幕的故障。江明的三星noteedge就是在使用一年后便“时刻离不开充电器”。但三星维修中心也查不出任何病因,只建议其刷机,可刷机后“虽然稍微快了一些,但电池还是只能撑半个小时。”

对于上述说法,三星昨天未给予南都回复。

售后网点授权标准不一

根据中国信息通信研究院统计数据显示,2016年我国申请进网的手机产品共计1732款,厂商们马不停蹄地更新产品争夺换机市场,维修市场却依旧乱象丛生。

《南方都市报》联合U C收集的问卷数据显示,厂商授权维修点仍是是消费者最为信赖的手机维修渠道,但手机出现故障后会优先选择官方授权维修点的人数比例仅为48%,22%的人通过联系购买手机的线下销售网点/电商客服寻求解决,另有20%通过其他非授权的维修店,5%的人选择去路边小摊维修。

除“三星的授权维修点差评最多”外,根据南都调查显示 ,“小米返修率也奇高,OPPO售后速度则越来越慢。”“OPPO以前10天半个月,现在经常拖1个多月,酷派、乐视、联想等返修率也比较高,主要是售后(维修)点少”。一位参与调查的手机店主向南都记者吐槽道,“有些品牌我都懒得卖了,处理售后太头疼了。”

移动快修和广州某大型连锁卖场的负责人也都有同感,他们也接受了南都此次的调查。“刚才那段描述(跟我们的情况)基本符合,不过,联想有点被冤枉,其实网点还挺多。”移动快修是中国移动旗下手机维修服务平台,他们为中国移动销售的机器提供寄修服务。针对联想售后的意见分歧,南都记者在联想手机官网查询发现,其在广州有3个授权维修点,分别为联想移动客户服务中心广州市大沙头路店、广州市天河南二路店和白云齐富路店。

根据三星手机官网公开数据,其在广州共有16个授权维修点,分别由13家不同的公司提供维修服务,当中包括广州彦乐电子科技有限公司、广州家之能电器有限公司、广州市敖翔数码科技有限公司、深圳市天音科技发展有限公司、广州新壹号通电讯设备有限公司、广州市金佳信通信产品发展有限公司、广东丽的通讯设备有限公司、中国移动通信集团终端有限公司广东分公司等。

“三星选择其授权维修点的标准有两种”,一家三星授权维修服务商告诉南都记者,首先看该公司的资质包括从事电子维修行业的年限、口碑等,或者看是否开了三星的专卖店,凡开了三星专卖店的均可以获得维修授权。上述三星手机授权维修服务商同样是金立手机的授权维修点之一,“三星、金立的标准是类似的,OPPO、vivo的维修点一般是代理商自营,很少外包。”

降低授权标准可以扩张维修网点的数量,但也会带来维修服务质量参差不齐的隐患。“整个手机维修行业是没有统一的标准的,各个厂商都是按照自己的标准去选择授权的维修服务商”,吴玮称。

iPhone6换屏利润高达50%

春节期间摔碎了iPhone6的李夏在“换机、苹果授权维修点/路边小店换屏”之间纠结了数周。屏幕是最常见的故障,来自爱回收的数据显示,2016年其回收的iPhone中屏幕维修占比45%,其次为电池维修,占比25%,包括按键、摄像头、外壳、Wi-Fi、进水等在内的故障比例共30%。


由此衍生出的屏幕维修市场利润空间巨大。“路边维修店280元就可以换屏,20分钟搞定,但手感明显很差”,李夏称,“苹果授权维修中心换屏费用贵得肉疼。”“价格贵”是42%的消费者对手机维修市场的不满之处。以iPhone6为例,苹果授权维修中心的换屏费用在千元左右。

但南都记者从一名手机维修从业者处获悉,一块iPhone6原装屏幕的成本价格约为400元。“除去屏幕成本和劳务费,至少还有50%的利润。”吴玮指出。

南都记者对比了屏幕价格同为400-500元的华为P9,其授权维修点的价格为610元,与苹果售后维修中心的利润空间显然相差甚远。

“事实上手机若能正常显示就表明仅碎了外屏,但由于内外屏连为一体,一般维修点只能将其同时更换。只损坏外屏的话,成本更低,因为内屏是可以回收再利用的,”吴玮称,他们正是通过回收内屏的方式降低换屏的成本。“通过极客修预约上门维修的iPhone6更换外屏价格为320元,内屏损坏的维修价格为570元。”

Facebook开始在视频中插播广告 为内容制作者变现 2017-02-25 12:42:08

谷歌用AI技术识别恶意评论 助新闻机构大战嘴炮党 2017-02-25 12:35:56

传言说 苹果公司至少有五个不同团队在研发iPhone无线充电 2017-02-25 12:35:19

微信提现2000元被收1元“服务费” 他把腾讯告上了法庭 2017-02-25 12:34:42

“2016年3月1日,我在微信钱包中提现2000元,被被告深圳市腾讯计算机系统有限公司以提现服务费的名义扣划走1元。被告的行为侵犯了我的合法权益,我要求被告返还扣划的财产,并停止后续扣费行为。”

2017年2月23日上午,深圳市南山区人民法院公开开庭审理了湖南闻胜律师事务所律师余仁财起诉腾讯一案。庭审持续了一个小时,庭审焦点集中于腾讯于2016年3月1日起向微信零钱提现收取服务费,是否属于合法合理的合同变更。法庭未当庭宣判。庭审后,余仁财接受了雷锋网的采访,他把自己的行为称为“公义诉讼”,“收不收费、什么时候收费、收费标准是什么,完全由腾讯单方面决定,这显然是不合法也不合理的。”他表示,如果严格依照法律,法院应完全支持自己的诉讼请求。

被告腾讯:用户协议里有关于收费的内容,而且我们提前通知了

去年2月,微信宣布了将从2016年3月1日起,对微信支付提现功能收取手续费的决定。费用标准为用户提现金额的0.1%,每笔提现至少收取0.1 元。微信还为每位用户提供了1000元的免费提现额度,即提现超出1000元后,才会按照标准收取费用。

3月1日,也就是微信开始对提现收费首日,余仁财从“零钱”中提现了2000元,最终被收取了1元的服务费。

庭审上,微信表示,收费并不是出于营利的考虑,而是因为每一次支付和转账行为,银行都会向微信支付收取手续费,微信向用户收费只是为了平衡这部分成本。

微信同时表示,作为用户的余仁财在使用微信和微信支付时,即已同意了《腾讯微信软件许可及服务协议》和《微信支付用户服务协议》,这两份协议中都有关于“条款变更后,如果你继续使用本软件,即视为你已接受修改后的协议”的规定;同时,《微信支付用户服务协议》第五条有关于“服务费用”的规定:

“您理解,本服务附带营运成本,为了持续营运,本公司有权向您收取服务费用,服务费用的收取方式以您在使用本服务时收到的各类通知、告知为准。本公司发出的有关收费的各类通知、告知均为本协议的组成部分,您若在收到有关收费的各类通知或告知后仍然使用本服务,则视为您已无条件同意按照相关通知、告知所约定的收费标准和收费条件向本公司支付服务费用。”

在开始收费前,微信也在零钱页面、常见问答解答等显要位置进行了通知。微信甚至质疑余仁财的动机,“3月1日前,原告账户余额仅29.1元,完全可以无成本地提现出来。但在3月1日,原告先是大额充值2000元,然后进行提现,因为超过免费限额最终才被收费。”

原告余仁财:微信支付用户协议违反合同法,是无效协议

对于这些事实,余仁财并不否认,但是在他看来,微信的收费通告、《微信支付用户服务协议》第五条都违反《合同法》,属于将微信提现收费之单方面意志强加给原告。

余仁财的具体辩护意见主要集中在三点:第一,微信提现之前免费后来收费,属于变更原合同或新增合同内容,同时因为涉及财产,所以要根据《合同法》采取要约、承诺方式订立合同。

但是,微信的收费公告令原告面临两难的选择,或无从选择:一是进行提现并被迫接受被被告扣费;二是不进行提现操作,虽然不会被被告扣费,但原告微信“零钱”名下货币财产则因为受到被告“提现收费”的胁迫而不能一如既往的自由支配。所以,被告的收费公告和提示,并非要约,而是被告以此形式将其单方面提现扣费意志强加于原告。

第二,微信的收费公告发出后,原告余仁财继续使用微信支付并不代表对提现收费的承诺。因为首先承诺要原告明确表示,而不是被告提出的“使用即表示同意”;其次,同一个使用微信和提现的行为,不应该既在免费期表示用户同意免费,又在收费时表示用户同意收费。

第三,《微信支付用户服务协议》第五条的规定,加重了原告的财产损失责任、剥夺了原告选择的权利、协商的权利等,根据《合同法》第四十条之规定,该条为无效条款。

“碰瓷”还是“公义诉讼”?

关于这个案件还有两个小插曲:第一,2016年3月,余仁财就提出了诉讼,不过是在湖南省长沙市天心区人民法院,但因为《腾讯微信软件许可及服务协议》已经将管辖法院约定在深圳市南山区人民法院,最终被移交;第二,2014年,余仁财就曾因在路边停车被收12元停车费将长沙市政府告上法庭,案件曾引起广泛的媒体关注。

回到这个案件,腾讯认为自己“委屈”的点在于,原告余仁财是故意大额充值,而他的诉讼请求无异于让腾讯免费为其提供提现服务,同时承担银行手续费的成本。


但是作为普通用户的我们,或许更应该认真思考下余仁财的做法的意义。网络服务协议其实是一种新型的合同关系,和传统的一般由双方订立的合同不同,网络服务协议主要由互联网公司单方面订立,以冗长的条文一次性展示在用户面前,同时只要用户点击确认或继续使用软件即表示同意。早在2001年,就发生过易趣网的用户因《用户协议》变更将其告上法庭的案件,用户的理由是“《服务协议》长达67页,过于冗长,致使用户不能阅读全文,故用户不应受该协议的约束。”

现在,已经很少因这个理由出现类似的诉讼,余仁财的诉讼算是新的质疑网络服务协议不合法的理由,在线上支付的普及度和形式越来越多的今天,认真对待网络服务协议,是用户和互联网公司共同的责任。