微軟將在2019年3月12日起，發出一個支援SHA-2的獨立更新包，給Windows 7與Windows Server 2008的用戶更新，以便在7月16日的實施截止日前做好準備。簡單來說，如果您現在還在使用Windows 7或Windows 2008，您必須得在3/12至7/15這段期間內，去安裝一個叫做SHA-2的更新檔案，因為微軟在7/16之後發布的更新包，就會只採用SHA-2的加密演算法來做數位簽章。而Windows 7只有支援SHA-1，並不認得SHA-2，所以要安裝這個SHA-2更新包，才能繼續使用Windows Update的服務，直到Windows 7停止延伸支援日！

SHA-1加密演算法已屬老舊，很容易被破解

先簡單說明Secure Hash Algorithm 1 (SHA-1，安全雜湊演算法1)，可說是當今很流行且常用的一種加密演算法，由美國國家安全局(NSA)所設計，並由美國國家標準技術研究所(NIST)發布為聯邦資料處理標準(FIPS)，首次於1995年公開。SHA-1可生成一個被稱為訊息摘要的160位元(20 Bytes)的雜湊值，以用來檢驗某個檔案是否為原始狀態而沒被染指或竄改過。

然隨著電腦科技的進步，SHA-1的老舊演算法已不敷當今的資訊使用。其實NSA早在2001年就發布了新的SHA-2的新版演算法(採用224位元，稱為SHA-224)，還有額外SHA-256、SHA-384、SHA-512，以及SHA-512/224、SHA-512/256等演算法標準。只是SHA-1被用了好多年，用到現在還在使用。不管是您的銀行PKI金鑰、安全加密網站SSL憑證，或是微軟的Windows檔案數位簽章，都是以SHA1來加密的！

終於，在密碼分析人員於2005年發現對SHA-1的有效攻擊方法，便說明了SHA-1不夠安全。2010年更有許多組織建議別再用SHA-1了，改用SHA-2或2015年發表的更安全之SHA-3來取代。更甚者，CWI Amsterdam與Google在2017年2月23日正式公佈第一個成功破解SHA-1的案例(可以去他們網站仔細看他們網站的Logo，左邊還浮出紅色的SHA1字眼)，透過9兆次碰撞攻擊，製作出兩份內容不同文件檔，但SHA-1雜湊值卻相同的實例做為概念證明。

瀏覽器的SSL憑證，已於2017年前停止SHA-1加密

既然SHA-1不安全，那麼我們每天上網使用的瀏覽器，尤其是去https那種有加密過的網站去購物，是不是有安全疑慮？答案是的！因為早期的SSL憑證(使用在https)也是使用SHA-1來加密，不過微軟、Google與Mozilla早已宣佈，其瀏覽器(IE, Chrome, Firefox)在2017年以前，就已經不再支援以SHA-1演算法做數位簽章的SSL憑證了。

只是因為以前的SSL認證太多，因此目前您的瀏覽器還是有使用到採用SHA-1與SHA-2的各種數位簽證SSL憑證。

Windows 7不支援SHA-2，微軟還是給您更新包，以支援SHA-2

雖說Windows 7將於2020年1月14日停止延伸支援，而Windows 7本身只支援SHA-1，為了繼續提供更新服務，微軟還是很佛心的提供Windows 7的SHA-2更新包，讓Windows 7可以認得新的SHA-2加密演算法！

根據微軟的網頁說明，目前Windows Update裡面的更新檔案，都採用了雙數位簽章(SHA-1與SHA-2)的作法，讓新舊作業系統都可以安全的升級與更新。然由於微軟考量到SHA-1演算法有弱點，因此微軟將於2019年7月16日起，全面放棄使用雙數位簽章的作法，改使用SHA-2來做數位簽章。

這樣一來，由於Windows 7 SP1、Windows Server 2008 R2 SP1，以及Windows Server 2008 SP2這些作業系統都只支援到SHA-1，所以若接收到這些更新包的話，就會出現「更新失敗！無法認得這個數位簽章」等錯誤訊息！因此，微軟擬在2019年3月至4月間，提供SHA-2獨立安裝包，讓您的Windows 7/Windows Server 2008也能支援SHA-2，以便繼續在2019/7/16之後，能夠繼續收到Windows Update的通知與更新！而相信微軟也將在這段期間不厭其煩地提醒您記得安裝SHA-2的修補包！因為微軟預計將在2019/9/16正式放棄SHA-1，所有更新包都只使用SHA-2的加密！屆時您的老Windows若不支援SHA-2，就只能跟Windows Update說掰掰！



以下就是微軟導入SHA-2的行程表。

想要Windows 7再戰10年，記得安裝SHA-2更新包就對了！

這次的更新重點，在於不管您的老電腦、新電腦，有在用的，或很少使用的，反正您都要記得，就是3月12日至4月這段期間，記得跑一下Windows Update，或者到微軟官網下載那個「支援SHA-2的獨立更新包」(下載一次就可以在每個電腦上執行)，以便在7月16日以後，能夠繼續接收到Windows Update的各種安全性更新，直到2020年1月14日正式結束支援。

筆者建議，無論如何都要記得去下載那個「SHA-2獨立更新包」，並存放好。以免7/16以後若要重新安裝Windows 7之後，卻無法使用Windows Update。總之，想要Windows 7再戰10年，記得去下載並安裝SHA-2更新包就對了！