在現代的IT安全領域,很大程度上依賴SSL來保障通訊安全。但SSL是安全的嗎?
在2005年,王小云證明SHA-1能在較短的時間內找到碰撞。王小云發現SHA-1的安全弱點是偶然還是必然?
就我所知,各種不可逆加密算法實際上沒有什麼理論說明它們是不可猜測的(unguessable)。信息湮沒了嗎?既然是unique的對應的,怎麼能說信息湮沒了?既然沒湮沒,憑什麼說不可猜測?
有很大概率,現有SSL中的其他某個或者某些加密算法,已經被某些情報部門掌握了碰撞或者破解方法。只是沒有像王小云那樣公佈出來而已。
所以:個人或者中小公司可以依靠SSL來加密通信,但是非常有價值的(政府軍隊以及特大公司)核心部門不能信任SSL。必須有其他更基礎的安全措施。