Google 的研究人员刚刚创造了电脑加密学在 2017 年的第一个里程碑：攻破了 SHA-1 安全加密演算法。

　　实验的关键研究者是来自荷兰 CWI 研究机构的马克·史蒂文斯（Marc Stevens），他在安全杂凑演算法发布过大量优秀的研究成果。他从 2013 年起展现出攻克 SHA-1 的决心，之后陆续发布了一系列新成果和改进方法。透过和 Google 合作，他获得了本次攻破的关键资源：强大的计算能力。

　　这件事相当重要，令人激动。原因还要从 SHA-1 到底是什么说起。

　　SHA-1 是什么？

　　SHA-1（全称 Secure Hash Algorithm-1，安全杂凑演算法 ）是一种安全加密演算法，最主要的用途是数码签名。

　　举个例子：你肯定在电脑上下载过软件吧？是否记得，档案的上传者会提醒你，下载后要校验档案？有没有见过类似下图的文字？

　　这是因为，使用 SHA-1、MD5 这样的安全杂凑演算法，对文字档案、表格、音乐 mp3、PDF、执行档或其他任何档案等进行计算，城市得出像上图这样的栏位（SHA-1 值）。过去只要档案不同，对应的 SHA-1 值都不一样，就像给每个档案都加上数码签名。

　　而 SHA-1 值应该是 40 个英／数字：比如上图对应的 SHA-1 值是：

　　1E2FF30C5FD327C438F76C3ACBE97AAFB9AEDF7E

　　对下载者来说，原档案的 SHA-1 值很重要：当你下载一个软件，用档案校验工具检视它的 SHA-1 / MD5 值，如果和原档案不一样，你就得小心了，因为档案显然修改过了，里面可能有病毒或其他恶意程序码。

　　▲ 档案 SHA-1 值校验实例。

　　SHA-1 和 MD5 是世界上最常用的档案校验加密演算法，过去一直认为是比较安全可靠的演算法──直到今天。

　　Google 和 CWI 一起研究出一种方法，能让两个不同的档案用 SHA-1 演算后，得出完全一致的 SHA-1 值。

　　怎样攻破的？

　　这次攻破被命名为 SHAttered attack。研究者提供两张内容截然不同、色彩明显差异，atv，但 SHA-1 值却完全相同的 PDF 档案为证明：

　　在博客中，研究者写道：

　　哈希碰撞（hash collision，即两个不同档案 SHA-1 值一致，也有译做哈希冲突）本来不应该发生。但实际上，当 SHA-1 演算法存在漏洞时，一个有足够实力的攻击者能制造出碰撞，进而攻击者可用来攻击那些依靠 SHA-1 值校验档案的系统，植入错误的档案造成恶果。举个例子，两份条款完全不同的保单。

　　本次 Google 对其进行攻破花费巨额的演算法：总计 9,223,372,036,854,775,808──超过9×10^18 次演算。

　　破解分为两阶段，分别需要一个 CPU 进行 6,500 年，j2直播，和一个 GPU 进行 110 年的计算才可完成。这是因为研究者采用自行研发的 Shattered 破解方法，其效率远胜于暴力破解。且 Google 云端平台提供的大规模计算技术，明显减轻了负担。

　　这也是为什么必须“有足够实力的攻击者”才能攻破……

　　需要恐慌吗？

　　2012 年安全技术专家布鲁斯·施奈尔曾经估计，完成一次 SHA-1 碰撞在 2012 年需要耗费 277 万美元，到 2015 年则降到 70 万美元，2021 年只需要 4.3 万美元。他还暗示，到 2018 年就会有犯罪集团具备虚拟 SHA-1 签名证书的能力。

　　但至少目前，人们并不需要恐慌。首先就事件本身而言，普通网友不需要担心有人会用它做坏事，因为 Google 漏洞披露政策规定，本次 SHAttered attack 的研究者需要等待 90 天才能发布原始程序码。就算掌握了程序码，至少也得有 Google 这种水准的大规模演算能力……

　　另外，研究者上线了一个网站 shattered.io，网友可以上去了解更多技术细节，还可以上传自己的档案，测试自己的档案是否安全。

　　做为一种老旧的加密演算法，SHA-1 渐渐被后来者如 SHA-2 和 SHA-3 新演算法，以及各种变体取代。三大浏览器 Chrome、微软 Edge / IE 和火狐浏览器都决定弃用 SHA-1。