Non molto tempo fa è stata trovata la prima collisione dello SHA-1 . Se ho capito bene, questo significa che qualcuno ha trovato due input diversi che danno lo stesso risultato. Due messaggi diversi danno lo stesso risultato. Che ciò sia persino possibile è banale in quanto l'output ha sempre una lunghezza fissa. Da quanto ho capito e sentito, trovare una collisione è un grosso problema per un algoritmo di hash e segnala che è più o meno morto .
Mentre penso che posso vedere che potrebbero esserci diversi tipi di collisioni, le mie domande generali sono: In che modo trovare una collisione è un problema? Come può essere sfruttato?
Non mi è chiaro come solo trovare due messaggi casuali con lo stesso hash consentirà a qualcuno "facilmente" di ad esempio firmare messaggi o interrompere file di password con hash (ok quindi forse memorizzare le password con hash non è comunque una buona idea ). Se io, ad esempio (forse semplificato eccessivamente?), Firmo un messaggio e vuoi firmare un altro messaggio con lo stesso hash, come ti aiuterebbe la conoscenza di una collisione specifica?
EDIT: Vedo la domanda / risposta qui: Quali sono le implicazioni di una collisione SHA-1 trovata? ma non penso che risponda alla mia domanda. Capisco che "Sarebbe possibile, in teoria, che un utente malintenzionato generi due file eseguibili che hanno lo stesso hash SHA-1, ma eseguono cose diverse quando vengono eseguiti." per esempio. Ma quanto è probabile? In che modo è possibile rendere noto un hash specifico? (Ho aggiornato il titolo della domanda).