那些遇到过的问题

使用 sha1 进行 AWS S3 签名真的安全吗?

Coo*_*kie 2 security sign amazon-s3 amazon-web-services

签名元素是请求中所选元素的 RFC 2104 HMAC-SHA1。

https://docs.aws.amazon.com/AmazonS3/latest/dev/RESTAuthentication.html#ConstructingTheAuthenticationHeader

但是维基百科说 sha1 不再安全了:

到 2020 年,针对 SHA-1 的选择前缀攻击现在已经实用[8],因此建议尽快从产品中删除 SHA-1,并使用 SHA-256 或 SHA-3。在用于签名的地方替换 SHA-1 是紧迫的。

https://en.wikipedia.org/wiki/SHA-1

还有一个基准测试,一个家伙以 68771.0 MH/s 的速度暴力破解 sha1! https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40

Den*_*aub 5

SHA-1 和 HMAC-SHA1 不是一回事,在某些用例中,HMAC-SHA1 仍然被认为是安全的。看看这个问题:https : //crypto.stackexchange.com/questions/26510/why-is-hmac-sha1-still-thinked-secure

  • 这是正确的,但由于完全不同的原因,仍然不应该使用该算法。正如 AWS 文档页面顶部所述,只有最古老的 AWS 区域才支持它...因此,例如,依赖于此算法的代码可以在 us-east-1 中运行,但不能在 us-east-2 中运行。 (3认同)

归档时间:

查看次数:

167 次

最近记录:

5 年,5 月 前
相关归档
在 AWS Cloudwatch Logs Insights 上按时间戳查询过滤 22
ElasticBeanstalk Java,spring active profile 12
在ASP.NET MVC中尝试使用Automapper时,如何摆脱SecurityException错误? 8
是否可以在没有iframe和任何JavaScript的情况下使用reCAPTCHA? 6
使用在 Google Domains 上注册的域指向 Amazon S3 静态网站 6
Spark 无法使用公共 IP 绑定端口 7077 5
如何防止公共计算机中的JS劫持 4
无法使用 return response()->download($file) 从 s3 下载文件; 3
我可以在s3中存储多少个文件? 1
使用默认 aws/S3 KMS 密钥进行解密对象的跨账户访问 1
难疑归档
如何在C#中枚举枚举? 3620
如何克隆特定的Git分支? 2804
舍入到最多2位小数(仅在必要时) 2492
忽略已提交到Git存储库的文件 2429
如何在Java中调用另一个构造函数? 2144
如何在TextView中水平和垂直居中文本? 1932
如何在Node.js中退出 1762
当键盘出现时 - 如何开始编辑时,如何让UITextField向上移动? 1674
如何强制使用favicon刷新? 1499
如何撤消"git commit --amend"而不是"git commit" 1198