“谷歌攻破SHA-1”关我们什么事儿？

2月23日，谷歌在密码学领域捣腾出一个大事：破解了网页加密中的一个主要算法SHA-1，并实现了世界上第一次SHA-1对撞攻击。这就意味着，曾经被广泛应用的SHA-1算法，在经历过质疑后终于到了摇摇欲坠的地步了。

图：Google公布两个PDF文件经过SHA-1处理后产生了相同的哈希值

所谓SHA-1，就是一个散列函数，又叫哈希函数。简单来说，它的作用就是给指定的文件生成一个数字指纹，让文件拥有一个唯一的“身份”。 SHA-1被应用在很多的安全加密协议中，包括在网页上下载一些重要文件。

但是现在，谷歌的这个破解就表示SHA-1本身已经有漏洞出现，根据这个漏洞，可以生成两个相同的哈希函数值，并实现碰撞。这会让攻击者有利可图，因为使用的恶意文件，可以有一个完全一样的合法身份在包庇。

事实上，普通用户完全没必要过于担心。密码学家已经预测到这种碰撞很多年了，对怎么做以及需要多少计算力，都了解的很清楚。

记者了解到，目前，多数网站都已经弃用了SHA-1。虽然也就是在2014年的时候，网络上九成的加密都是用的它，但随后的几年它迅速被抛弃。截至今年的1月1日，当你访问一个经由SHA-1加密的网站时，每一个主流的浏览器都会向你发出警告（一般情况是全屏红色）。虽然很难说还有多少网站在用它，但正常的网络活动都是安全的。

而早在几年前，密码专家就预言SHA-1被破解的可能性，在谷歌宣布破解SHA-1之前，微软Edge和IE已于月初放弃SHA-1签署的TLS证书，Mozilla也表示将于今年7月1日停止，Chrome更是早在2014年就开始对SHA-1加密的网页进行警告。

在安全软件方面，360安全卫士官方微博评论说：“体会一下攻破SHA-1加密的难度：900亿亿次SHA-1计算量，110个GPU运算一年时间，6500个CPU运算一年时间。尽管成本不低，SHA-1确实已不再安全了，网络服务商需要加以重视。360云安全系统采用比SHA-1增强的加密算法，完全不受SHA-1被攻破的影响，用户可以放心”。

根据Google的披露政策，其将在90天后说明是如何破解SHA-1。虽然这个破解对于大多数互联网用户而言没有明显影响，甚至不用专门去打个补丁，但谷歌公布的结果对于密码学和网络安全的基础理论研究上都有着重大意义。