Products
96SEO 2026-02-19 10:31 0
。
TCG于2003年春成立#xff0c;并采纳了由可信计算平台联盟#xff08;the
Group,TCG是一个非盈利的工业标准组织它的宗旨是加强在相异计算机平台上的计算环境的安全性。
TCG于2003年春成立并采纳了由可信计算平台联盟the
Alliance,TCPA所开发的规范。
现在的规范都不是最终稿都还在不断的更新中比如TPM的规范就从原来的v1.0更新到v1.2现在还在不断的修订。
v1.2规范中SHA-1的使用情况并对2005年发现的碰撞袭击对其影响进行了评估。
总的来说TCG
采取了一些预防措施来防止碰撞攻击例如在做哈希前使用新的随机生成值或外部未知的随机生成值。
此外在数据中使用固定结构阻碍了攻击者操纵数据以有效地执行冲突攻击的发生。
我们确实发现了一种极端情况即RSA签名命令在签名之前可能会对输入进行散列在这种情况下TCG
之外的数值来连接到待签名数据如果外部选择新的随机生成的值在这里不会有问题否则
TPM_SHA1StartTPM_SHA1UpdateTPM_SHA1CompleteTPM_SHA1CompleteExtend这个能力有助于
会话过程中禁用了其他任何命令的处理。
如果在TPM_SHA1Start和TPM_SHA1Complete/TPM_SHA1CompleteExtend中收到TPM_SHA1CompleteExtend以外任何命令TPM
引擎只是一个服务所以碰撞攻击影响对其自身而言是不确定的。
SHA-1
TPM_Extend的输入参数是高度结构化的即只有20字节的输入那么攻击者只能操作者
命令执行可审计命令时默认情况下128个命令中有23个命令是可审计的会使用
来对命令的输入进行哈希然后扩展到审计摘要寄存器这个寄存器在TPM_Startup或者之前审计会话关闭后被设置为
扩展相同。
摘要同时合并一个标签和TPM_COUNTER_VALUE结构增加了更多的结构。
当
同时也会对输出参数做哈希并且扩展到摘要审计寄存器中。
所有的哈希和扩展操作都使用
命令和响应都是高度结构化的即使攻击者有能力改变输入参数他也无法操作
引用命令TPM_Quote和TPM_Quote2这个命令会用SHA-1来讲
字节的外部数据供攻击者使用实际上也很难形成实用的攻击。
所以攻击者无法通过操作该命令的输入来实时碰撞攻击。
SHA-1。
这个命令处理三种不同的场景。
前两种场景是提供的数据大小小于签名密钥长度因此
创建一个结构包含字符串“SIGN”、一个防重放攻击的nonce以及将要别签名的数据。
SHA-1
说实话增加防止重放攻击的nonce已经能够阻止潜在的攻击了不行的是
内部随机生成这给攻击者提供的操作空间。
这种情况下攻击者有可能操作函数输入创建能够影响签名的碰撞攻击。
然而TPM
TPM_SEALED_DATATPM_MIGRATE_ASYMKEYTPM_CERTIFY_INFOTPM_CERTIFY_INFO2TPM_DELEGATE_KEY_BLOB
这些密钥结构频繁嵌入加密区域里的公共区域的摘要还有整个密钥结构的摘要提供统计学意义上唯一的标识。
一些摘要用来保护固定共有结构攻击者几乎没有可操作空间。
另一些摘要被加密了也就是说操作这些数据等同于要破解
产生的随机数攻击者就无法操作这些输入来进行碰撞攻击也就无法控制
的参数是固定大小的非随机数值结构也是固定的。
攻击者没有太多机会操纵参数和结构实现碰撞攻击除非破解
传输会话具有记录日志功能选项。
即使没有日志选项也有很多传输会话命令会有一些生成
来计算整个上下文的完整性然后对敏感区域和随机生成的攻击者无法得知的随机数进行加密。
在加载资源时会验证摘要值。
允许需要管理员权限的个别命令代理给一些用户而不用授权其所有权限。
用户也可以通过密钥授权代理密钥。
代理表单的摘要是通过
因为密钥流是用来保护授权数值的这个不是必须的所以我们对其进行考虑。
IV
的创建使用新鲜的随机数生成的随机值能够抵抗碰撞攻击。
最后代理块是高度结构化的并且哈希中包含了攻击者无法得知的随机值所以这些摘要也能抵抗碰撞攻击。
允许特定密钥迁移到其他地方。
更复杂使用场景是密钥的认证迁移即从一个
既然迁移授权的摘要中包含随机生成的数值攻击者并不知道所以这个能够抵抗碰撞攻击。
密钥和密钥结构是高度结构化的私有区域也是加密的。
操纵加密区域等同于破解
算法这个在目前来说也是不可能的。
因此攻击者无法进行使用密钥摘要进行碰撞攻击。
对于那些复合密钥摘要也是同样的。
http://www.rsa.com/rsalabs/node.asp?id2927,
http://en.wikipedia.org/wiki/SHA_hash_functions,
皮格马利翁效应心理学指出赞美、赞同能够产生奇迹越具体效果越好~
“收藏夹吃灰”是学“器”练“术”非常聪明的方法帮助我们避免日常低效的勤奋~
作为专业的SEO优化服务提供商,我们致力于通过科学、系统的搜索引擎优化策略,帮助企业在百度、Google等搜索引擎中获得更高的排名和流量。我们的服务涵盖网站结构优化、内容优化、技术SEO和链接建设等多个维度。
| 服务项目 | 基础套餐 | 标准套餐 | 高级定制 |
|---|---|---|---|
| 关键词优化数量 | 10-20个核心词 | 30-50个核心词+长尾词 | 80-150个全方位覆盖 |
| 内容优化 | 基础页面优化 | 全站内容优化+每月5篇原创 | 个性化内容策略+每月15篇原创 |
| 技术SEO | 基本技术检查 | 全面技术优化+移动适配 | 深度技术重构+性能优化 |
| 外链建设 | 每月5-10条 | 每月20-30条高质量外链 | 每月50+条多渠道外链 |
| 数据报告 | 月度基础报告 | 双周详细报告+分析 | 每周深度报告+策略调整 |
| 效果保障 | 3-6个月见效 | 2-4个月见效 | 1-3个月快速见效 |
我们的SEO优化服务遵循科学严谨的流程,确保每一步都基于数据分析和行业最佳实践:
全面检测网站技术问题、内容质量、竞争对手情况,制定个性化优化方案。
基于用户搜索意图和商业目标,制定全面的关键词矩阵和布局策略。
解决网站技术问题,优化网站结构,提升页面速度和移动端体验。
创作高质量原创内容,优化现有页面,建立内容更新机制。
获取高质量外部链接,建立品牌在线影响力,提升网站权威度。
持续监控排名、流量和转化数据,根据效果调整优化策略。
基于我们服务的客户数据统计,平均优化效果如下:
我们坚信,真正的SEO优化不仅仅是追求排名,而是通过提供优质内容、优化用户体验、建立网站权威,最终实现可持续的业务增长。我们的目标是与客户建立长期合作关系,共同成长。
Demand feedback
