史上第一例！Google破解SHA1實現碰撞攻擊

Google與荷蘭數學暨電腦科學研究機構CWI Amsterdam共同宣佈，費時兩年時間研究終於破解SHA1，讓兩個不同的文件使用相同的訊息摘要，使實現碰撞攻擊的可能性提昇。

Google安全團隊與荷蘭的數學暨電腦科學研究機構CWI Amsterdam本周共同宣布已成功破解了SHA1加密雜湊函數，實際操作了碰撞攻擊，首度把這個原本只屬於理論的攻擊行動付諸實現，並打算在60天後釋出概念性驗證程式。

SHA1為美國國家安全局（National Security Agency，NSA）所設計，並於1995年發表的加密雜湊函數，隨後亦成為美國聯邦資料處理標準。它可產生160元位的雜湊值長度（訊息摘要），用以加密及驗證檔案身分，理論上人每個以SHA1加密的檔案都會有專屬的雜湊值。

然而，密碼學家們在2005年就發現SHA1含有理論上的漏洞，可造成碰撞攻擊（Collision attack），允許駭客打造擁有同樣訊息摘要的文件，以方便偽裝及取代合法文件。另有來自各大學的研究人員在2015年發表了相關的研究報告《The SHAppening》，指出只要利用AWS的EC2服務，大約花上7.5~12萬美元，就能攻陷SHA1。

Google解釋，所謂的碰撞是讓不同的文件產生同樣的摘要，這事通常不會發生，除非該雜湊演算法含有安全漏洞。

《全文請見iThome（http://www.ithome.com.tw/news/112347）》