2月23日，谷歌在密碼學領域搗騰出一個大事：破解了網頁加密中的一個主要算法SHA-1，并實現了世界上第一次SHA-1對撞攻擊。這就意味著，曾經被廣泛應用的SHA-1算法，在經歷過質疑后終于到了搖搖欲墜的地步了。

　　圖：Google公布兩個PDF文件經過SHA-1處理后產生了相同的哈希值

所謂SHA-1，就是一個散列函數，又叫哈希函數。簡單來說，它的作用就是給指定的文件生成一個數字指紋，讓文件擁有一個唯一的“身份”。 SHA-1被應用在很多的安全加密協議中，包括在網頁上下載一些重要文件。

但是現在，谷歌的這個破解就表示SHA-1本身已經有漏洞出現，根據這個漏洞，可以生成兩個相同的哈希函數值，并實現碰撞。這會讓攻擊者有利可圖，因為使用的惡意文件，可以有一個完全一樣的合法身份在包庇。

事實上，普通用戶完全沒必要過于擔心。密碼學家已經預測到這種碰撞很多年了，對怎么做以及需要多少計算力，都了解的很清楚。

記者了解到，目前，多數網站都已經棄用了SHA-1。雖然也就是在2014年的時候，網絡上九成的加密都是用的它，但隨后的幾年它迅速被拋棄。截至今年的1月1日，當你訪問一個經由SHA-1加密的網站時，每一個主流的瀏覽器都會向你發出警告（一般情況是全屏紅色）。雖然很難說還有多少網站在用它，但正常的網絡活動都是安全的。

而早在幾年前，密碼專家就預言SHA-1被破解的可能性，在谷歌宣布破解SHA-1之前，微軟Edge和IE已于月初放棄SHA-1簽署的TLS證書，Mozilla也表示將于今年7月1日停止，Chrome更是早在2014年就開始對SHA-1加密的網頁進行警告。

在安全軟件方面，360安全衛士官方微博評論說：“體會一下攻破SHA-1加密的難度：900億億次SHA-1計算量，110個GPU運算一年時間，6500個CPU運算一年時間。盡管成本不低，SHA-1確實已不再安全了，網絡服務商需要加以重視。360云安全系統采用比SHA-1增強的加密算法，完全不受SHA-1被攻破的影響，用戶可以放心”。

根據Google的披露政策，其將在90天后說明是如何破解SHA-1。雖然這個破解對于大多數互聯網用戶而言沒有明顯影響，甚至不用專門去打個補丁，但谷歌公布的結果對于密碼學和網絡安全的基礎理論研究上都有著重大意義。