今天，谷歌和 CWI机构对外发布称，他们成功破解了SHA-1散列算法。虽然现在SHA-1散列算法已经日渐黄昏，但是在此之前并没有人成功破解过它，谷歌属于第一人。

SHA-1散列算法简介

SHA-1是一种流行的安全散列算法，是美国国家安全局于1995年设计，美国国家标准与技术研究院(NIST) 发布的密码散列函数。和其他密码散列函数相似，它会将用户输入的信息转换成一长串数字和字符，以对特定的信息进行加密。

其实早在数十年之前就有安全研究员指出，SHA-1散列算法存在安全问题，但并没有真正找出其中存在的漏洞，所以SHA-1在相当长的一段时间内还是非常流行的。近几年，随着一系列的安全散列算法的出现，SHA-1已经慢慢淡出了。

当两条不同的信息使用了同一个hash值，这个时候利用撞库可达到意想不到的攻击效果。攻击者甚至可以伪造数字签名，进而破解SHA-1加密的通信。

2015年10月，CWI机构的安全研究员发布了一篇报告，理论上可成功对SHA-1进行撞库攻击。随后谷歌联系到了该团队，并与之一起研究。今天，他们终于将理论变成了实践，成功破解了SHA-1，将这一技术命名为SHAttered。

POC

谷歌提供了这一消息的证据——两个PDF文件，非常相似，并且拥有相同的SHA1 hash，但是展示的内容却完全不一样。

据研究员们解释，SHAttered攻击比普通的暴力破解攻击快100,000倍。

SHAttered攻击需要进行超过9,223,372,036,854,775,808次的SHA1计算，相同工作量的情况下，使用single-CPU计算需要6500年，使用single-GPU计算需要110年。

90天之后公布详细的细节

尽管谷歌已经公开声明他们成功破解了SHA-1散列算法，但并不打算近期公开详细的技术细节及POC，要等待90天的漏洞公开日期之后才会公开。

建议目前还在使用SHA-1散列算法的企业和公司尽快更换加密算法，可选择更为安全的SHA-256和SHA-3。