标签: sha1

在 Windows 7 中是否有计算 SHA-1 或 MD5 哈希的内置方法？

根据这篇文章和许多其他文章，SHA-1 并不安全。

就我而言，我不关心密码或数字证书。我担心文件完整性。

文件（例如 ISO 映像或可执行文件）是否有可能以以下方式被恶意更改：

• 维护原始文件的 SHA-1 哈希值，以及
• 维护文件的整体内容和操作（但当然现在包括最初不存在的恶意内容）

在我看来，以产生 SHA-1 冲突的方式更改文件会使文件完全无用。ISO 会完全损坏，或者可执行文件会被完全打乱，甚至不再是可执行文件。

但是，我的看法很可能是错误的。到目前为止，我在 Google 搜索中没有发现任何关于 SHA-1 持续适用于文件验证的信息。任何见解？

当使用 sha1sum、sha256sum 等散列时，零字节文本文件如何生成散列？程序对哪些数据进行散列以生成散列值？

塔

以 Verisign 的网站为例，它有一个带有 sha1 哈希签名的根 CA。我是否错误地理解为发现冲突，他们可以模拟 Verisign 根 CA，并使用它来生成浏览器或操作系统信任的中间证书和服务器证书。

https://www.entrust.com/need-sha-2-signed-root-certificates/ 指出：

简而言之，由于软件直接信任根证书公钥，因此不会验证根证书上的签名。根证书是自签名的，不是由另一个已被授予权限的实体签名的。根证书通过操作系统或浏览器开发者管理的根证书程序获得授权。

并引用 Google 链接：https : //security.googleblog.com/2014/09/gradually-sunsetting-sha-1.html

注意：可信根证书的基于 SHA-1 的签名不是问题，因为 TLS 客户端通过他们的身份而不是他们的哈希签名来信任它们

假设我是一个新浏览器 - SuperUserBrowser 的作者。除了哈希签名之外，我还能如何相信我的浏览器附带的根证书是真实的？

为什么具有 SHA1 签名的根 CA“不是问题”？

一般来说，我正在寻找一种方法来显示有关私人或公共 SSH 密钥的信息，而无需联系服务器，例如密钥长度、算法、ssh 版本等。特别是我想知道某个密钥是 sha1 还是 sha2。

所以最近有消息称 OpenSSH 放弃了对 SHA-1 登录的支持，我试图了解他们指的是哪种格式。多年来，我一直通过ssh-keygen -t rsa -b 2048. 这是不再推荐的类型，我应该切换到例如 ECDSA 吗？

在此手册页，https://www.man7.org/linux/man-pages/man1/ssh-keygen.1.html，默认选项rsa为-t参数解释说，所选择的选项是使用SHA1签名，所以一应该选择rsa-sha2-256例如。

我尝试检查密钥的类型，ssh-keygen -l -f key它告诉我它确实是 SHA256 类型。如果是这样，那么它解决了我的问题，但欢迎澄清一些问题。谢谢你！

消息来源：https : //www.zdnet.com/article/openssh-to-deprecate-sha-1-logins-due-to-security-risk/

我一直git-bash在 Windows 7 上使用很多。我认为它是 MinGW 的包装器。它有md5sum但没有sha1sum。我想安装sha1sum，但我不知道如何安装。

当我尝试时mingw-get，它说“找不到命令”

当我尝试mingw-get从SourceForge下载时，我只找到了整个 MinGW 程序的安装程序，但没有找到mingw-get.

我如何安装获取sha1sum或获取mingw-get？

我使用的是 Mac OS X 10.8.2，运行xxdv1.10 的编译副本（源代码）以及xxdOS X 上预安装的副本。

我正在尝试通过终端中的一系列管道命令生成 Base64 编码的 SHA1 签名。

通常我会做类似以下的事情：

$ echo "foo" | openssl sha1 | xxd -p -r | base64 - > foo_sha1_signature

该文件foo_sha1_signature通常包含字符串 的 Base64 编码的 SHA1 哈希值foo。

问题是xxd -p -r不返回任何数据，因此文件foo_sha1_signature是空的。

如果我将命令分开来查看 的输出xxd -r，我会得到一个结果（如下所示）：

$ echo "foo" | openssl sha1 | xxd -p | xxd -r
7b36c94bcdf32bee$

但是，如果我将标准输出通过管道传输到文件，则该文件为空：

$ echo "foo" | openssl sha1 | xxd -p …

我经常使用 SSH 通过 rclone 将磁盘映像和虚拟机映像（通常每个文件 800GB 到近 1 TB）传输到云服务器，我想知道 sha1sum 和 md5sum 在验证非常大文件的完整性时有多可靠。

我发现了这个： 如何验证 1TB 文件是否正确传输？

然而，它与性能有关，而不是与生成的散列的可靠性有关。

考虑到有这么多不同的文件，是否有可能另一个文件共享生成的相同哈希值？

那么对于非常大的文件，MD5 和 SHA-1 总和有多可靠？谢谢。

我还发现了有关碰撞的信息：https : //stackoverflow.com/questions/4032209/is-md5-still-good-enough-to-uniquely-identify-files

https://www.theregister.co.uk/2017/02/23/google_first_sha1_collision/