计算机加密学2017年第一个里程碑：攻破SHA-1安全加密算法

该实验的主要研究员是来自荷兰CWI研究所的马克·史蒂文斯（Marc）。 他发表了大量关于哈希算法的优秀研究成果。 自2013年起，它在学术界展现了攻克SHA-1算法的决心，此后发布了一系列新成果和改进方法。 通过与 和 的合作，他获得了实现这一突破的关键资源：强大的算力。

这是重要且令人兴奋的。 原因还得从SHA-1是什么说起。

什么是 SHA-1？

SHA-1（全称Hash -1）是一种安全加密算法，其主要用途是数字签名。

例如：您的计算机上一定已经下载了软件，对吧？ 您还记得文件的上传者曾经提醒您下载后验证文件吗？ 您是否见过类似以下文字的文字？

这是因为使用 SHA-1 和 MD5 等哈希算法来计算文本文档、表格、音乐 mp3、PDF、可执行文件或任何其他文件将产生类似上面的字段（哈哈希腊值）。 以前，只要文件不同，对应的哈希值就绝对不同，就像给每个文件加上数字签名一样。

SHA-1哈希值应为40个英文/数字字符：例如上图对应的SHA-1值为：

对于下载者来说，原始文件的哈希值非常重要：当您下载软件时，使用文件验证工具检查其SHA-1/MD5值。 如果它与原始文件不同，你就要小心了。 ，因为该文件显然已被修改，并且可能包含病毒或其他恶意代码。

文件哈希值验证示例

SHA-1 和 MD5 是世界上最常用的文件验证加密算法，并且在过去一直被认为是相对安全可靠的算法 - 直到今天。

我们与 CWI 一起开发了一种方法，可以让两个不同的文件在使用 SHA-1 计算后呈现出完全一致的哈希值。

怎么坏的？

该漏洞被命名。 研究人员提供了两个内容完全不同、颜色差异明显、但 SHA-1 哈希值相同的 PDF 文件作为证明：

研究人员在博客文章中写道：

哈希冲突（hash，即两个不同文件的哈希值一致，又译为哈希冲突）不应该发生。 但事实上，当哈希算法存在漏洞时，足够强大的攻击者就可以制造碰撞。 此外，攻击者还可以利用它来攻击依赖哈希值验证文件的系统，植入不正确的文件，造成严重后果。 以两份条款完全不同的保单为例。

这次破解它花费了巨大的算力：总共9,223,372,036,854,775,808——超过9×10^18次计算。

破解分为两个阶段，需要CPU 6500年和GPU 110年的计算才能完成。 这是因为研究人员采用了自主研发的破解方法md5校验工具下载，其效率远高于使用暴力破解。 而且，云平台提供的大规模计算技术大大减轻了负担。

这就是为什么它必须是“足够强大的攻击者”才能打破……

需要惊慌吗...

2012年，安全技术专家Bruce 曾估计，完成一次SHA-1碰撞在2012年将花费277万美元，到2015年将降至70万美元，2021年仅需4.3万美元。他还暗示，到2018年将有犯罪集团与伪造 SHA-1 签名证书的能力。

但至少目前来说，还没有必要惊慌。 首先，就事件本身而言，普通网民无需担心有人利用它来做坏事，因为漏洞披露政策规定，研究人员此次需要等待90天才能发布原件代码。 就算掌握了代码，至少也要具备这种级别的大规模计算能力……

此外，研究人员还推出了一个网站.io，网友可以在其中了解更多技术细节、上传自己的文件并测试自己的文件是否安全。

作为一种旧的哈希算法，SHA-1 正在被其后继者所取代，例如 SHA-2 和 SHA-3 及其各种变体。 三大浏览器 Edge/IE 和 均决定弃用 SHA-1。

早在2014年，我们就未雨绸缪，宣布了逐步放弃SHA-1的决定。 从去年开始，浏览器不再支持 SHA-1 证书并将其标记为不安全。 当证书过期后，浏览器将无法访问这些网站。 还建议 IT 专业人员使用更安全的算法，例如 SHA-256。 所以今天实验结果的公布，也算是对SHA-1迟来的打击……

Edge 浏览器团队此前在其博客中表示，SHA-1 将于 2017 年中期开始弃用。 不过，据《福布斯在线》报道，另一位安全专家 Kevin 在网上指出，弃用 SHA-1 的安全更新本应在 2 月初推出，但目前仍被推迟。

去年十月，火狐浏览器的开发者也宣布了同样的决定。

最后给大家看一下：一张图看懂（官方制作）