SHA-1等加密散列函數可謂加密學家手中的瑞士軍刀。無論是瀏覽器安全保護、代碼庫管理乃至檢測存儲介質的重復文件，散列技術都在其中發揮著重要作用。散列函數能夠將大量數據壓縮為體積更小的消息摘要。作為一項被廣泛使用的加密方案，其最基本的要求就是在當前計算能力上無法找到摘要相同的兩條消息。然而隨著時間的推移，這一要求很可能在針對散列函數數學基礎的攻擊或者計算能力提升等因素的沖擊之下不再具有保障。

時至今日，距離SHA-1的最初發布已經過去了十年，我們正式公布第一套可實現碰撞的實用性技術方案。這套方案代表著阿姆斯特丹CWI研究所與谷歌公司過去兩年中的合作研究成果。我們總結了如何著手生成一個下文所介紹的碰撞。另外，作為本次攻擊活動的概念驗證證明，我們還發布了兩份具有相同 SHA-1哈希值但內容并不相同的PDF文件。

對于技術業界而言，我們的發現強調了避免使用SHA-1的必要性。谷歌公司多年來一直主張棄用SHA-1方案，特別是在TLS證書簽署等場景之下。早在2014年，Chrome小組就宣布將逐漸淘汰對SHA-1的使用。我們希望自己針對SHA-1完成的實際攻擊能夠進一步鞏固這一結論，讓更多人意識到其已經不再安全可靠。

我們亦希望這一針對SHA-1的實際攻擊案例能夠最終說服整個技術業界盡快轉向更為安全的替代性方案，例如SHA-256。

當兩組不同的數據——可以作為文件、二進制文件或者網站證書存在的哈希值如上圖所示具有相同的摘要內容時，即視為二者發生碰撞。實際上，安全的散列函數不應存在這種碰撞現象。然而，在使用SHA-1等存在一定缺陷的散列算法的情況下，擁有充裕資源的攻擊者確實能夠實現這種碰撞結果。攻擊者隨后可以利用碰撞欺騙依賴于散列機制的系統，引導后者將原本的良性文件替換為擁有同樣摘要的惡意文件——例如兩份內容完全不同的保險合同。

2013年，Marc Stevens曾發表一篇論文，專門介紹了創建SHA-1碰撞的理論性方法。我們首先創建了一份專門作的PDF前綴，用以生成兩份擁有任意不同內容的文檔，但二者同時具備相同的SHA-1摘要。不過要在實踐中重現這種理論性攻擊，我們必須克服一系列新的挑戰。此后，我們利用谷歌的技術專長與云基礎設施計算碰撞情況，這也是我們截至目前已完成的規模最大的計算任務之一。

下面這些數字應該能讓大家更為確切地感受此次計算任務的規模水平：

總計900萬兆（即百萬的五次冪，具體為9,223,372,036,854,775,808）次SHA1計算。

要完成攻擊的首個階段需要單一CPU計算6500年。

要完成攻擊的第二階段需要單一GPU計算110年。

雖然這些數字看似非常巨大，但SHA-1破壞性攻擊的速度仍然較暴力破解攻擊快10萬倍，這意味著前者確實具有可行性。

著眼于未來，安全從業者比以往更為迫切地需要轉而使用更加安全的加密散列算法，例如SHA-256與SHA-3。根據谷歌公司的漏洞披露政策，我們將在發布代碼之前等待90天，且允許任何創建兩份擁有相同SHA-1散列摘要但圖像內容彼此不同的PDF文檔，同時遵循一部分前提條件。為了防止此類攻擊手段被主動使用，我們為Gmail及G Suite用戶提供額外的保護措施，供其檢測我們的PDF碰撞技術。另外，我們也在為公眾提供一套免費的檢測系統。

感興趣的朋友可以點擊此處了解更多與SHA-1攻擊以及我們研究技術成果相關的細節信息。

原文鏈接：Announcing the first SHA1 collision