Problemet blev opdaget, efter at Google offentliggjorde det første eksempel på en kollision under SHA-1 (Secure Hash Algorithm 1). Kollisionen betyder, at to forskellige PDF-dokumenter danner den samme værdi, når de køres gennem SHA-1-algoritmen. Det burde ikke være muligt.
Udviklerne af WebKit lagde de to dokumenter ind i WebKits kildekodelager, der er baseret på Apache Subversion. Det medførte, at data blev ødelagt.
SHA-1 (Secure Hash Algorithm 1) er en hashfunktion, der ud fra et input danner en hashværdi af fast længde. Det er et krav til hashfunktioner, at forskellige input ikke må føre til den samme hashværdi – hvis de gør det, kan man ikke bruge hashværdien til at dokumentere, at der er tale om et bestemt dokument.
Google har sammen med forskere fra CWI Institute i Amsterdam dannet to PDF-dokumenter, der er forskellige, men som har samme SHA-1-hashværdi.
35 procent af websteder anvender stadig den usikre SHA-1-teknologi til certifikater. Næste år holder de fleste browsere op med at understøtte SHA-1.
It-firmaet Venafi har analyseret data fra over 11 millioner websteder på internettet. 35 procent af webstederne brugte SHA-1-baserede certifikater.
SHA-1 (Secure Hash Algorithm 1) er en kryptografisk hash-funktion, der ikke længere regnes for sikker. De første sikkerhedsproblemer blev fundet i 2005.
