加密哈希算法SHA-1的丧钟敲响，目前所有的主流浏览器计划停止对其的支持，而这已经距离SHA-1漏洞被首次发现时的第12个年头了。

 

上周五，Mozilla和微软同时宣布将终止对SHA-1的支持，前者将于明年1月在火狐 Build 51版本，后者将于2月14日在IE11和Edge浏览器中停止对该加密算法的支持，而谷歌2015年就宣布了将在2017年1月1日起放弃SHA-1。

SHA-1中的漏洞允许攻击者伪造内容，实施钓鱼攻击或中间人攻击，但由于用户的使用习惯，即便所有的主流浏览器都已经弃之不用，它还将存在很长的时间。

该哈希算法于1993年公布，美国国家标准技术研究院(NIST)基于它的前身SHA-0，在压缩功能上做了改进，并在美国政府部门强制推行，成为了默认标准。

2005年，中国山东大学的王小云和于红博，以及普林斯顿大学的尹依群发表了一篇论文，对SHA-1算法实施碰撞攻击，复杂度为2的69次幂，最低可到2的33次幂。结果虽然令人担忧，但即便是2的33次幂也需要很大的运算量。不过随着技术的进步，计算能力的激增，尤其是虚拟化技术的出现，任何人都能破解SHA-1的时代已经临近。

2012年，NIST推荐政府用户升级到SHA-2算法，但遭到很多人的怠慢，即便在军队也是如此。2015年，来自法国、荷兰、新加坡的三位科学家发表了一篇被称为“The ShAppening”的论文，只需价值7.5万美元的计算能力就可以破解SHA-1。这篇论文，最终触动整个业界开始设置新的安全加密通信标准。

再见吧，SHA-1！

(责任编辑：安博涛)