假设我们有两个或更多网站从其 SSL 证书返回相同的 SHA-1 和 SHA-256 指纹哈希。 我们可以 100% 肯定地说这两个网站实际上由一个人或实体拥有吗?
最佳答案
Could we say with a 100% assurance that the two websites are actually owned by a single individual or entity?
虽然不是 100% 确定,但您可以说 99.999...%
重复很长时间。
两种哈希算法发生第二次原像阻力碰撞的概率极低。
这是第二个原像阻力,因为我们知道第一个网站的指纹,因此我们正在寻找与该指纹发生冲突的第二个网站的可能引擎盖。
查找原像(第一个或第二个)预计需要大约 2^n
次尝试,其中 n
是散列函数的输出大小。
因此对于 SHA-256 *
,您的碰撞概率是 1/2^256
1/2^160
对于 SHA-1,表示 SHA-1 不是加密安全的,但出于说明目的,在这种情况下无关紧要。
所以这两个站点由两个不同的实体拥有的可能性大约是:
1/1692303280103036413316903188563893861960715988388559921368700915902478825564957045312484378725671129209833502784059 79725889536
或
0.000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000005%
这就像 125 个零。
在您阅读本文之前,我们更有可能被 Gamma 射线暴消灭。
关于ssl - 当两个网站的 SSL 证书返回相同的指纹时,它们如何关联起来?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58106041/