为什么SHA-1被认为是不安全的？

Question

由于研究人员发现的缺陷，微软、谷歌和mozilla已决定在2017年不接受。我看到SHA-1几乎在任何地方贬值，仅仅是因为人们认为它不再安全了。但与MD5不同的是，目前还没有在SHA-1上发现已知的碰撞。即使是SHA-1碰撞的最快算法也需要2^60的评估，这仍然是一个非常大的数字。

我的问题是，SHA-1是一种没有发现任何碰撞的散列算法，它仍然需要很长的时间才能找到碰撞，为什么它会贬值呢？我知道SHA-2更安全，但它也比SHA-1慢，为什么大多数人建议用性能来换取所谓的“安全性”，而SHA-1的安全性在大多数情况下甚至不是一个问题？

Answer 1

沙-1由于碰撞攻击而虚弱：

https://en.wikipedia.org/wiki/SHA-1#Attacks

尹在接受采访时表示，“粗略地说，我们利用了以下两个弱点:一是文件预处理步骤不够复杂；二是前二十轮中的某些数学操作存在意想不到的安全问题。”

broken.html

在整个SHA-1中的碰撞2^69散列操作，远小于基于哈希长度的2^80操作的蛮力攻击。 SHA-0在2^39操作中的碰撞。 58轮SHA-1在2^33中的碰撞。

SHA-1的压缩函数受到碰撞攻击，只需要2^57 SHA-1评估。