微软下周删除与 SHA-1 签名的所有 Windows 下载

微软本周宣布，将在2020年8月3日删除使用SHA-1证书进行加密签名的微软下载中心的所有Windows下载。SHA-1 算法通常用于对 Web 域中使用的可执行文件以及 TLS 和 SSL 证书进行代码签名，以验证发布者的合法性。

安全分析师在 2015 年发布了一份报告，描述了 SHA-1 如何遭受碰撞攻击，攻击者可能会创建数字证书的副本来模仿公司或其他网站。然后，这些副本可用于网络钓鱼攻击、欺骗公司或中间人攻击，以侦听加密的网络会话。由于 SHA-1 证书的故障，Microsoft 和其他创建者已经远离 SHA-1 证书，并要求使用 SHA-2 来安装 Windows 更新。

微软在昨天发布的一份新的支持公告中表示，他们将停用微软下载中心使用安全哈希算法1（SHA-1）签名的所有Windows内容，以启动安全性。

“为了支持制定行业安全标准，并继续保护您并提高工作效率，Microsoft 将在 2020 年 8 月 3 日将 Windows 签名的安全哈希算法 1 （SHA-1） 的内容留在 Microsoft 下载中心。这是我们不断努力批准安全哈希算法 2 （SHA-2） 的下一步，该算法更好地满足现代安全要求，并提供了来自常见攻击媒介的附加保护。

“SHA-1 是一种遗留的加密哈希，安全社区中的许多人认为它不再安全。在数字证书中使用 SHA-1 哈希算法可能允许罪犯欺骗内容、执行网络钓鱼攻击或执行中间人攻击”。”由于与算法相关的安全问题，Microsoft 不再使用 SHA-1 来验证 Windows 操作系统更新，并且提供了适当的更新，以将客户移动到 SHA-2，如前面所宣布的。因此，从 2019 年 8 月开始，没有 SHA-2 支持的设备尚未收到 Windows 更新。

尽管 Microsoft 仅支持用于官方内容的 SHA-2 签名内容，但使用 SHA-1 签名的 Windows 可执行文件仍然可以在操作系统中运行。如果在 Microsoft 下载中心中仍有旧版本的 SHA-1 签名文件，您仍经常使用这些文件，在 Microsoft 在 8 月 3 日删除这些文件之前，您应该下载这些文件。