SHA-1 很容易受到冲突的影响，即使尚未公开披露。

近年来，一些密码学家一直在研究这个主题，他们估计发现冲突的成本正在大幅下降，以至于一些攻击很快就会出现在可能的范围内。

2015 年 10 月，一个重要的里程碑标志着SHA-1 的第一个 freestart 碰撞示例，这是其内部功能的碰撞。这不是一次完整的碰撞，但这仍然是寻找碰撞的一个重大改进，因此他们建议从 SHA-1 转移，因为他们预计很快就会发现第一个碰撞。

他们估计完全碰撞的新成本为 75K$ 和 120K$，比之前的估计提高了 3-4 年。

SHA-256 和 SHA-512 是不同的算法，不受这些理论攻击的影响。

更新（2017 年 2 月）：SHA-1 上的第一次公开碰撞已经公布！

此PDF和此PDF共享相同的 SHA-1 哈希。这种碰撞是使用Shattered发现的，这是一种对 SHA-1 的新攻击。

您还可以在他们的博客上阅读Google 安全团队的文章。

甚至不考虑 SHA-1 算法本身的设计细节，它很容易因为输出太短而受到碰撞攻击。

SHA-1 的输出为 160 位。通过使用生日攻击，只需 2⁸⁰ SHA-1 调用就可以找到冲突。比特币系统已经证明，用当前技术计算 2⁸⁰ 哈希值是可行的。事实上，比特币每两周计算这么多哈希值。

因此，任何输出为 160 位或更短的散列算法都可以排除在需要难以处理的冲突的使用中。