雷鋒網(wǎng)消息，在美國(guó)的2月23日，Google在密碼學(xué)領(lǐng)域干了一件大事，它宣布了一個(gè)公開的SHA-1算法碰撞方法，將這種算法攻破了。這也是對(duì)曾經(jīng)在密碼學(xué)中最流行的算法宣判死亡。不過好消息是，幾乎沒有人仍在使用SHA-1了，所以看到這篇文章的你，也不需要安裝什么安全補(bǔ)丁。但Google公布的結(jié)果對(duì)網(wǎng)絡(luò)安全仍有十分重大的意義。

在了解整個(gè)事件前，應(yīng)該先知道，Google到底做了什么？

一句話：Google公開破解了web加密中的一個(gè)主要算法SHA-1。公司研究人員在博文中稱，有足夠的計(jì)算力（其中一個(gè)階段就花1個(gè)GPU大約110年的計(jì)算）就能實(shí)現(xiàn)碰撞，有效地破解算法。其實(shí)在之前，大家就知道這是可能的，但沒人這么做過。

根據(jù)Google的披露政策，它將在90天后說明自己是怎么做的，雷鋒網(wǎng)屆時(shí)會(huì)第一時(shí)間跟進(jìn)。不過一旦這種概念驗(yàn)證方法公布出來，任何有足夠計(jì)算力的人都能實(shí)現(xiàn)SHA-1碰撞，這樣這一算法也就不安全，該過時(shí)了。

也許Google都不是第一個(gè)這么做的（比如一些國(guó)家情報(bào)機(jī)關(guān)），但是第一個(gè)公開的。

那么問題來了，SHA-1是什么呢？

SHA-1是一個(gè)散列函數(shù)（或哈希函數(shù)），它會(huì)從給定的文件中產(chǎn)生數(shù)字指紋（就像人的 指紋一樣），從而讓你驗(yàn)證文件的完整性，又不會(huì)暴露整個(gè)文件內(nèi)容，只需要檢查哈希值即可。如果散列函數(shù)一切正常，每個(gè)文件會(huì)產(chǎn)生唯一的哈希值，所以如果哈希值能匹配上，文件本身也能匹配上。這對(duì)于登陸系統(tǒng)尤其重要，因?yàn)樗枰诓槐┞睹艽a本身的情況下，驗(yàn)證密碼是否正確。

知道了SHA-1，那什么叫碰撞呢？剛才說的“實(shí)現(xiàn)碰撞”是什么意思？

當(dāng)散列函數(shù)有漏洞，兩個(gè)文件產(chǎn)生相同的哈希值時(shí)，就產(chǎn)生了碰撞。它會(huì)讓攻擊者濫用惡意文件，因?yàn)樗c合法文件有一樣的哈希值。

作為證明，Google在公布的結(jié)果中，顯示了兩個(gè)PDF文件，經(jīng)過SHA-1處理后，產(chǎn)生了相同的哈希值。

實(shí)際上，被攻破的散列函數(shù)能用來攻擊另一個(gè)加密系統(tǒng)HTTPS，后者保護(hù)了全球超過一半網(wǎng)頁的安全。

作為普通用戶，我能怎么辦？

其實(shí)完全不用擔(dān)心。密碼學(xué)家已經(jīng)預(yù)測(cè)到這種碰撞很多年了，對(duì)怎么做以及需要多少計(jì)算力，都了解的很清楚。Google這么做，是因?yàn)樗绣X，服務(wù)器多……所以就動(dòng)手了，業(yè)界對(duì)這種可能性一直都是很清楚的。

另外就是，多數(shù)網(wǎng)站都已經(jīng)棄用了SHA-1。雖然也就是在2014年的時(shí)候，網(wǎng)絡(luò)上九成的加密都是用的它，但隨后的幾年它迅速被拋棄。截至今年的1月1日，當(dāng)你訪問一個(gè)經(jīng)由SHA-1加密的網(wǎng)站時(shí)，每一個(gè)主流的瀏覽器都會(huì)向你發(fā)出警告（一般情況是全屏紅色）。雖然很難說還有多少網(wǎng)站在用它，但正常的網(wǎng)絡(luò)活動(dòng)都是安全的。

SHA-1也仍被用在除網(wǎng)絡(luò)加密外的其它地方，比如Git存儲(chǔ)庫(kù)，但考慮到它已經(jīng)被棄用一段時(shí)間了，所以影響不會(huì)很大。

還有一個(gè)問題是，如果Google做的并不那么激動(dòng)人心，那為什么要這樣做呢？

很可能是因?yàn)樗虢Y(jié)束爭(zhēng)論，因?yàn)榉艞塖HA-1也是花了行業(yè)人士不少時(shí)間和精力的，而且不是每個(gè)人都想這么做。如果直接破解了它，就能給反對(duì)的人致使一擊，快速結(jié)束戰(zhàn)斗。

雷鋒網(wǎng)了解到，Chrome早在2014年就開始對(duì)SHA-1加密的網(wǎng)頁進(jìn)行警告，F(xiàn)irefox和微軟的Edge和IE也迅速跟進(jìn)了。

雖然現(xiàn)在來看，整個(gè)事件的影響不會(huì)很大，但我們應(yīng)該慶幸的是，行業(yè)的進(jìn)步很快，迅速棄用了原來的加密方式，否則現(xiàn)在來看就危險(xiǎn)了。

關(guān)于整個(gè)事件 ，還可以看看Google的博文，里面也有不少技術(shù)細(xì)節(jié)的展示。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。