SHA-1 ( Secure Hash Algorithm 1 ) 是一種由美國(guó)國(guó)家安全局于1995 年設(shè)計(jì)的密碼散列函數(shù)，并由美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）發(fā)布為聯(lián)邦數(shù)據(jù)處理標(biāo)準(zhǔn)（FIPS）。SHA-1 可以生成一個(gè)被稱(chēng)為消息摘要的 160 位（20 字節(jié)）散列值，散列值通常的呈現(xiàn)形式為 40 個(gè)十六進(jìn)制數(shù)。然而在 2005 年，密碼分析人員發(fā)現(xiàn)了對(duì) SHA-1 的有效攻擊方法，不再視為可抵御有充足資金、充足計(jì)算資源的攻擊者，由于安全性不足不能繼續(xù)使用，自 2010 年以來(lái)，許多組織建議用 SHA-2 或 SHA-3 來(lái)替換 SHA-1，SHA-2 則在 2001 年由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院正式發(fā)布SHA-2。

微軟指出，雖然Windows更新目前同時(shí)使用 SHA-1 及 SHA-2 進(jìn)行代碼簽名，以驗(yàn)證更新是否直接來(lái)自微軟，并且在交付期間未被篡改，但遷移到 SHA-2 是必要的，因?yàn)?SHA-1 存在許多弱點(diǎn)，讓安全性大大降低。自 2016 年 1 月起，微軟已禁止憑證授權(quán)單位發(fā)行新的 SHA-1 憑證，用戶(hù)應(yīng)確保其憑證授權(quán)是使用 SHA-2 雜湊演算法來(lái)從其憑證授權(quán)單位取得 SHA-2 憑證。

因此，微軟將在3月12 日向 Windows 7 設(shè)備推送從 SHA-1 轉(zhuǎn)到 SHA-2 的安全更新，運(yùn)行舊版操作系統(tǒng)版本 ( Windows 7 SP1、Windows Server 2008 R2 SP1 及 Windows Server 2008 SP2 ) 的用戶(hù)將需要在 2019 年 7 月之前在其設(shè)備上安裝 SHA-2 代碼簽名支持。

在 2019 年 7 月 16 日開(kāi)始，微軟會(huì)續(xù)步檢測(cè)用戶(hù)的 Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2008 SP2 系統(tǒng)有否轉(zhuǎn)到 SHA-2 安全更新，任何沒(méi)有 SHA-2 支持的設(shè)備在2019年7月之后將不會(huì)再獲得 Windows 安全更新。

更多 Microsoft 關(guān)于 SHA-2 安全更新的信息，請(qǐng)瀏覽：

https://support.microsoft.com/en-us/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus