本次 Google 對其進行攻破花費了巨量的算力：總計9,223,372,036,854,775,808——超過 9 兆（億億）次演算。

破解分為兩個階段，分別需要一個 CPU 進行 6500 年，和一個 GPU 進行 110 年的計算才可以完成。這是因為研究者采用了自行研發(fā)的 Shattered 破解方法，其效率遠勝于使用暴力破解。而且 Google 云平臺提供的大規(guī)模計算技術(shù)，顯著減輕了負擔。

這也是為什么必須“有足夠?qū)嵙Φ墓粽?rdquo;才能攻破……

需要恐慌嗎……

2012 年安全技術(shù)專家布魯斯·施奈爾曾經(jīng)估計，完成一次 SHA-1 碰撞在 2012 年需要耗費 277 萬美元，到 2015 年則降到 70 萬美元，2021 年只需要 4.3 萬美元。他還暗示，到 2018 年就會有犯罪集團具備偽造 SHA-1 簽名證書的能力。

但至少目前，人們并不需要恐慌。首先就事件本身而言，普通網(wǎng)友不需要擔心有人會用它做壞事，因為 Google 漏洞披露政策規(guī)定，本次 SHAttered attack 的研究者需要等待 90 天才能發(fā)布原始代碼。就算掌握了代碼，至少也得有 Google 這種水平的大規(guī)模計算能力……

另外，研究者上線了一個網(wǎng)站shattered.io，網(wǎng)友可以上去了解更多技術(shù)細節(jié)，還可以上傳自己的文件，測試自己的文件是否安全。

作為一種老舊的哈希算法，SHA-1 正在被其后來者，比如 SHA-2 和 SHA-3 新算法以及它們的各種變體所取代。三大瀏覽器 Chrome、微軟 Edge/IE 和火狐瀏覽器都決定棄用 SHA-1。

Google 早在 2014 年就未雨綢繆，宣布了逐漸放棄 SHA-1 的決定。去年開始，Google 的 Chrome 瀏覽器已經(jīng)不再支持 SHA-1 證書，會將其標記為不安全。當證書過期之后，瀏覽器將無法訪問這些網(wǎng)站。Google 方面也推薦 IT 人士采用 SHA-256 等更安全的算法。所以今天的實驗結(jié)果宣布，也算是給 SHA-1 補上遲來的一刀了……

微軟 Edge 瀏覽器團隊此前在其博客中表示，將于 2017 年中開始棄用 SHA-1。但據(jù)《福布斯》網(wǎng)絡版報道，另一位安全專家凱文·貝爾蒙特則在 Twitter 上指出，棄用 SHA-1 的 Windows 安全更新本應該在 2 月早些時候推送，但仍處于延期發(fā)布的狀態(tài)。

去年 10 月，火狐瀏覽器的開發(fā)商 Mozilla 也宣布了同樣的決定。

最后再送上：一張圖看懂 SHAttered attack（Google 官方制作）