---

這篇新聞的記者似乎講的有些不清不楚. 剛好資安方面本人稍有涉略
一點, 發表一下我的看法.

這新聞的重點就是: 各大網站(Facebook, Twitter... etc)將在
2016年1月1日起, 停用所有SHA-1的HTTPS簽章, 也就是說, 不支援


那麼, 大家最關心的重點來了, 那我的手機/電腦有沒有受到影響呢?

要回答這問題, 我編了以下懶人包:

手機:
- Android 2.3(含)以上: 完全不影響
- iOS 3(含)以上: 完全不影響
- Android 2.0(含)-2.2.3: 內建瀏覽器受影響. 加裝Firefox的話
                         Firefox不受影響.
- Windows Phone 7(含)以上: 完全不影響

桌機筆電:
- WinXP SP3(含)以上: 完全不影響
- WinXP SP1/SP2, 2000, NT, ME, 98: 內建IE受影響. 需安裝Firefox 2.0
- Win 95: 內建IE受影響. 需安裝Firefox 1.x
- OS X 10.6(含)以上: 完全不影響

---

也就是說, 實際受影響, 需要刷機裝置, 只有Android 1.5/1.6的機種:
- HTC G1 Dream
- HTC Tattoo

桌機方面受影響的, 大概就是Windows 3.1了.
---

至於說為什麼要換, 大致上來說就是SHA-1快要被破解了,
一旦SHA-1被破解, 駭客就可以竊偽造簽章, 竊聽/盜取
你跟網站之間的資料.

兩個月前, 才有學者發表論文找到SHA-1的碰撞[1], 雖說這
不是完全破解, 但距離被破解, 已經不是遙遙無期了.

[1] Marc Stevens, Pierre Karpman, and Thomas Peyrin.
    “Freestart collision for full SHA-1.”,
    https://marc-stevens.nl/research/papers/KPS_freestart80.pdf

---

新聞誤導的部份稍微評論一下:

: 更新安全認證方式，換句話說舊手機的舊晶片並不支援，很有可能連登入都不行
跟晶片無關, 跟作業系統還有軟體有關.
: 用IPhone3GS連上臉書實在卡卡跑不順，但這個狀況還算好，因為再過不到10天
: 機齡5年以上的中古手機使用者，都要跟臉書朋友斷了聯絡！
3GS本來就可以上iOS3, 不受影響.
有不少5年以上的機種, 其實也不受影響.
: 支援新認證方式，預估全球有4千萬人受影響，只是市面上超過3年的中古機通常也
不到四千萬人, 受影響的人不到0.1%.

---

話說編寫懶人包的時候, 我真的懷疑我在考古.

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 218.161.1.24
※ 文章代碼(AID): #1MWFd1i_ (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1451293121.A.B3F.html