2016年的第一天，Mozilla终止了对Firefox浏览器中名为SHA-1的安全技术的支持。他们几乎立刻改变了自己的决定，因为这将减少对一些旧网站的访问。但在2017年2月，他们的担忧终于成真：研究人员**了第一次真实世界的碰撞攻击，打破了SHA-1。这就是一切的含义。

什么是沙一段(sha-1)？

SHA-1中的SHA代表安全散列算法，简单地说，您可以把它看作是一种数学问题或方法，它对放入其中的数据进行置乱。它由美国****局开发，是许多用于加密互联网上重要传输的技术的核心组件。常见的加密方法SSL和TLS（您可能听说过）可以使用类似SHA-1的散列函数来创建您在浏览器工具栏中看到的签名证书。

我们不会深入研究任何SHA函数的数学和计算机科学，但这里是基本的想法。“散列”是基于任何数据输入的唯一代码。即使是输入像SHA-1这样的散列函数的小而随机的字母串，也会返回一个长而固定的字符数，这使得（可能）无法将字符串恢复为原始数据。密码存储通常就是这样工作的。当您创建密码时，您的密码输入将被散列并由服务器存储。当您返回时，当您输入密码时，它会再次散列。如果它与原始散列匹配，则可以假定输入是相同的，并且您将被授予访问数据的权限。

散列函数之所以有用，主要是因为它们可以很容易地判断输入（例如，文件或密码）是否已更改。当输入数据是机密的（如密码）时，哈希几乎不可能反转和恢复原始数据（也称为“密钥”）。这与“加密”有点不同，后者的目的是对数据进行加扰，以便稍后使用密码和密钥对其进行解扰。散列只是为了确保数据的完整性——确保所有内容都是相同的。Git是一种用于开源代码的版本控制和分发软件，它使用SHA-1散列就是出于这个原因。

这是大量的技术信息，但简单地说：散列和加密不是一回事，因为它用于识别文件是否已更改。

这项技术对我有什么影响？

假设你需要私下访问一个网站。你的银行，你的电子邮件，甚至你的Facebook账户——都使用加密来保护你发送给他们的数据的隐私。专业网站将通过从受信任的机构（第三方）获得证书来提供加密，该机构受信任以确保加密在同一级别，在网站和用户之间是私有的，并且不被任何其他方监视。与第三方（称为证书颁发机构（certificateauthorities）或CA）的这种关系至关重要，因为任何用户都可以创建“自签名”证书—您甚至可以在运行带有openssl的Linux的机器上自己创建。例如，Symantec和Digicert是两个广为人知的CA公司。

让我们来看一个理论场景：How To Geek希望通过加密使登录用户的会话保持私有，因此它向类似于Symantec的CA请求证书签名请求，即CSR。它们创建一个公钥和私钥，用于加密和解密通过internet发送的数据。CSR请求将公钥与网站信息一起发送给Symantec。赛门铁克对照其记录检查密钥，以验证数据是否被所有各方更改，因为数据中的任何微小更改都会使哈希完全不同。

这些公钥和数字证书由哈希函数签名，因为这些函数的输出很容易看到。一个来自Symantec（在我们的例子中是一个权威机构）的公钥和证书，带有一个经过验证的散列，它可以向用户保证该密钥是不变的，而不是由恶意的人发送的。

因为散列很容易监控，而且不可能（有些人会说“很难”）反转，正确的、经过验证的散列签名意味着证书和连接可以被信任，并且数据可以被同意从端到端加密发送。但如果散列不是唯一的呢？

什么是碰撞攻击，以及(a collision attack, and)？

你可能听说过数学中的“生日问题”，尽管你可能不知道它叫什么。最基本的想法是，如果你**了足够多的人，两个或更多的人会有相同的生日的可能性是相当高的。事实上，比你预期的要高——这似乎是个奇怪的巧合。在一个只有23人的小组里，有50%的几率两个人共用一个生日。

这是所有哈希中固有的弱点，包括SHA-1。理论上，SHA函数应该为放入其中的任何数据创建一个唯一的散列，但是随着散列数的增加，不同的数据对更有可能创建相同的散列。因此可以创建一个与可信证书具有相同哈希的不可信证书。如果他们让你安装不可信的证书，它可能伪装成可信的，并分发恶意数据。

在两个文件中找到匹配的哈希称为冲突攻击。已知MD5哈希至少发生过一次大规模的冲突攻击。但在2017年2月27日，谷歌宣布了SHA-1有史以来首次**的碰撞。尽管内容不同，Google还是能够创建一个与另一个PDF文件具有相同SHA-1哈希的PDF文件。

在PDF文件上执行。PDF是一种相对松散的文件格式；可以进行许多微小的位级更改，而不会阻止读卡器打开它或造成任何可见的差异。PDF也经常被用来传递恶意软件。虽然branched可以处理其他类型的文件，比如iso，但是证书是严格指定的，这使得这种攻击不太可能发生。

那么这种攻击有多容易执行呢？粉碎是基于马克·史蒂文斯（Marc Stevens）在2012年发现的一种方法，该方法需要超过260.3（9223.5百万）个SHA-1操作——这是一个惊人的数字。然而，这种方法仍然比用暴力达到同样结果所需的操作少100000倍。谷歌发现，110个高端显卡并行工作，大约需要一年时间才能产生冲突。从Amazon AWS租用这个计算时间大约需要11万美元。请记住，随着电脑部件价格的下降，你可以用更少的钱获得更多的能量，像“粉碎”这样的攻击变得更容易实施。

11万美元看起来可能很多，但对于一些组织来说，这是可以承受的范围，这意味着现实生活中的网络工作者可能伪造数字文档签名，干扰Git和SVN等备份和版本控制系统，或者使恶意的Linux ISO看起来合法。

幸运的是，有一些缓解因素可以防止此类攻击。SHA-1已经很少用于数字签名了。证书颁发机构不再提供用SHA-1签名的证书，Chrome和Firefox都不再支持它们。Linux发行版通常每年发布一次以上，这使得攻击者无法创建恶意版本，然后生成一个填充的具有相同SHA-1哈希的版本。

另一方面，一些基于碎片的攻击已经在现实世界中发生。SVN版本控制系统使用SHA-1来区分文件。将两个具有相同SHA-1哈希的pdf上载到SVN存储库将导致其损坏。

我如何保护自己免受sha-1攻击？

对于典型的用户来说，没有什么可以做的。如果您使用校验和来比较文件，那么应该使用SHA-2（SHA-256）或SHA-3，而不是SHA-1或MD5。同样，如果您是一名开发人员，请务必使用更现代的哈希算法，如SHA-2、SHA-3或bcrypt。如果你担心sharthed被用来给两个不同的文件提供相同的散列，谷歌已经在sharthed网站上发布了一个工具，可以为你检查。

图片来源：乐高火狐，大量的散列，请不要伤害网络作者未知，谷歌。