Artifactory 如何使用 SHA-256 进行安全存储？

Artifactory 从一开始的设计就独特，以最佳的方式管理二进制文件，并有效支持任何格式的软件包。基于 Checksum 的存储是实现这种"灵活性"的关键特性之一。尽管所有工件、文件都是在 Artifactory 支持的二进制存储的几个选项中进行存储和管理的，但文件的元数据（包括其校验和）仍保存在Artifactory的数据库中。Artifactory 使用工件的 SHA1 值作为二进制存储中文件物理位置的映射。这使得文件（如复制，移动，删除等）的许多操作都可以作为数据库事务执行，从而使其具有更高的性能。同时这些校验也起到了另一个重要的作用。它们是验证工件下载后的完整性的一种方式。

但是最近，Google 宣布了第一次成功的 SHA1 冲突（也就是说，他们设法用相同的 SHA1 摘要创建两个不同的文件）。但是不用担心，Artifactory 存储库是安全的。新发布的 JFrog Artifactory 5.5 本身支持 SHA-256 校验和，使存储库更加安全。

对 SHA-256 的原生支持为二进制工件提供了一个更安全的环境，并支持需要更强大的 SHA-256 验证文件完整性的工具。随着密码技术的进步和计算能力的提高，我们认识到需要支持 SHA-256 为我们的客户工作如此难以生产的二进制文件提供更安全的环境。

SHA1 有什么缺点？

SHA-1 是通过获取文件的内容并计算160位散列值（基本上是一串数字和字母），作为该文件的加密指纹。

随着密码学研究和计算能力的不断提高，谷歌和阿姆斯特丹 CWI 研究所的研究人员设法用相同的 SHA1 哈希创建了2个文件 - 这就是我们所说的"碰撞攻击"。

冲突攻击意味着一个文件可以冒充另一个开放文件，不同的安全漏洞，如伪造数字签名文件或 HTTPS 证书。在 Artifactory 中，一个工件可以在理论上冒充另一个，但这仅仅是在下载一个工件的情况下。

键入 SHA-256

SHA-256 散列比 SHA1 强得多，消除了碰撞风险。

将工件隔离起来

为了降低 SHA1 碰撞攻击的风险，可以迁移到 SHA-256，Artifactory 5.5允许执行这样的操作。升级到5.5版本后，可以迁移数据库以使用 SHA-256 校验和，从而使存储库更安全，因为没有人能够模拟另外一个相同的工件。

如果你正在使用 Artifactory OSS 或 Artifactory Pro，则可以升级到最新版本。 

如果您正在使用 Artifactory Enterprise HA 群集，则此更复杂的安装程序会有特殊的升级说明。确保遵守这些说明仔细。

但是请注意，升级到5.5意味着 Artifactory 将能够计算 SHA-256 校验和，实际上，任何上传到存储库的新工件都将自动计算其 SHA-256 校验和。要计算所有现有工件的 SHA-256 校验和，必须要迁移数据库，但不用担心，Artifactory 官方提供了如何执行此操作的说明。

展望未来

Artifactory 增加对 SHA-256 的支持是一个很重要的步骤，因为即使在 Google 和公司破解了 SHA1 之后，Artifactory 仍然能够100％确保下载的工件确实是安全的，但这只是第一步。未来，Artifactory 的二进制存储将迁移到基于 SHA2 的环境中，将 Artifactory 的安全性提高到一个新的水平。

作者: 刘志伟