美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）建议SHA-1哈希算法的用户尽快迁移到更安全的SHA-2和SHA-3算法．最迟不晚于2030年12月31号．

不得不说这个迁移日期有点过于宽容，事实上大多数科技公司已经完成了迁移．SHA-1算法是联邦信息处理标准（Federal Information Processing Standard，FIPS）184-4中允许使用的７种算法之一．NIST预计于2030年底发布的FIPS 180-5标准中将剔除该算法．

NIST希望更新SP 800-131A等建议文档以表明不推荐SHA-1算法的态度．与此同时该机构也在推进更新密码学模块和算法的认证标准．

哈希算法是一种将任意长的数据映射到一个定长的摘要的计算过程．SHA-1的映射结果为20字节．比如computer这个单词的SHA-1运算结果是：　c60266a8adad2f8ee67d793b4fd3fd0ffd73cc61．

哈希算法的特点是不可逆，也就是说运算是单向的，不能通过结果反向推断输入．但是因为攻击者可以很容易就预先计算好常见词语的哈希结果词典－所谓的彩虹表．所以一般的应用场景中要达到足够安全防护等级，哈希必须加盐（在输入端另外添加一些数据）或者做哈希伸展（重复多次哈希）．

中科院院士王小云率先攻破MD5和SHA1

我国密码学家，中科院院士王小云早在2005年就提出了针对MD5和SHA-1的碰撞攻击理论方法．在2017年时又有可实操的攻击方法出现．NIST从2011开始着手淘汰SHA-1算法的使用，2013年明确表示，除了极少数特殊情况，不允许在签名和验签的场景使用该算法．

哈希碰撞攻击是指，找出能得出同样的哈希计算结果的两个不同输入．而使用哈希的原因就是想利用不同输入的运算结果不同且不可逆的特性．所以如果针对某哈希算法的碰撞攻击很容易，该算法是不安全的．

大的科技公司，如Meta，谷歌，微软，Mozilla等在2015年时就差不多完成了对SHA-1算法的升级改造．2017时所有的主流浏览器不再将基于SHA-1的数字证书视为安全证书．

但是对于整个软件行业而言，改造进度参差不齐，微软的软件更新流程在2020年8月才彻底停止使用SHA-1算法．还有一些密码学软件模块和算法库虽然不推荐下游软件使用不安全的哈希算法，但是提供了使用这些算法的能力．NIST在过去的５年中对所有的密码学模块和算法库进行扫描的结果显示，支持SHA-1算法的底层软件库数目高达两千多个．

NIST将在2030年底推出新的密码学模块和算法库的认证标准，届时支持该算法的底层软件库一律不会得到FIPS认证．虽然还有8年时间可以慢慢改造，NIST官员预计临近截止日期时会有申请重新认证的高峰，所以需要改造的软件开发商还是要抓紧．