SHA-0破解

在CRYPTO 98上，兩位法國研究者提出一種對SHA-0的攻擊方式：在261的計算復雜度之內，就可以發現一次碰撞(即兩個不同的訊息對應到相同的訊息摘要);這個數字小于生日攻擊法所需的2的80次方，也就是說，存在一種算法，使其安全性不到一個理想的雜湊函數抵抗攻擊所應具備的計算復雜度。

2004年時，Biham和 Chen也發現了SHA-0的近似碰撞，也就是兩個訊息可以雜湊出幾乎相同的數值;其中162位元中有142位元相同。他們也發現了SHA-0的完整碰撞(相對于近似碰撞)，將本來需要80次方的復雜度降低到62次方。

2004年8月12日，Joux, Carribault, Lemuet和Jalby宣布找到SHA-0算法的完整碰撞的方法，這是歸納Chabaud和Joux的攻擊所完成的結果。發現一個完整碰撞只需要251的計算復雜度。他們使用的是一臺有256顆Itanium2處理器的超級電腦，約耗80,000 CPU工時。

2004年8月17日，在CRYPTO 2004的Rump會議上，王小云，馮登國、來學嘉，和于紅波宣布了攻擊MD5、SHA-0 和其他雜湊函數的初步結果。他們攻擊SHA-0的計算復雜度是2的40次方，這意味著他們的攻擊成果比Joux還有其他人所做的更好。請參見MD5 安全性。2005年二月，王小云和殷益群、于紅波再度發表了對SHA-0破密的算法，可在2的39次方的計算復雜度內就找到碰撞。

SHA-1破解破密成果

鑒于SHA-0的破密成果，專家們建議那些計劃利用SHA-1實作密碼系統的人們也應重新考慮。在2004年CRYPTO會議結果公布之后，NIST即宣布他們將逐漸減少使用SHA-1，改以SHA-2取而代之。

2005年，Rijmen和Oswald發表了對SHA-1較弱版本(53次的加密循環而非80次)的攻擊：在2的80次方的計算復雜度之內找到碰撞。

2005年二月，王小云、殷益群及于紅波發表了對完整版SHA-1的攻擊，只需少于2的69次方的計算復雜度，就能找到一組碰撞。(利用生日攻擊法找到碰撞需要2的80次方的計算復雜度。)

這篇論文的作者們寫道;“我們的破密分析是以對付SHA-0的差分攻擊、近似碰撞、多區塊碰撞技術、以及從MD5算法中尋找碰撞的訊息更改技術為基礎。沒有這些強力的分析工具，SHA-1就無法破解。”此外，作者還展示了一次對58次加密循環SHA-1的破密，在2的33次方個單位操作內就找到一組碰撞。完整攻擊方法的論文發表在2005年八月的CRYPTO會議中。

殷益群在一次面談中如此陳述：“大致上來說，我們找到了兩個弱點：其一是前置處理不夠復雜;其二是前20個循環中的某些數學運算會造成不可預期的安全性問題。”