The Gentlemen -kiristysohjelma nousi yhdeksi vuoden 2026 vaarallisimmista kyberuhkista alle kymmenessä kuukaudessa. Ryhmä tavoitti 442 julkisesti vahvistettua uhria 73 maassa elokuun 2025 ja kesäkuun 2026 välisenä aikana. Microsoftin uhkatiedusteluyksikkö seuraa operaatiota nimellä Storm-2697, ja Check Point…
ENISAn (EU:n kyberturvallisuusvirasto) kahdeksas Cyber Europe -harjoitus testasi 10.–11. kesäkuuta 2026 Euroopan kriittisen liikenneinfrastruktuurin kykyä selviytyä koordinoiduista kyberhyökkäyksistä.…
pfSense ja OPNsense ovat kaksi suosituinta avoimen lähdekoodin palomuuri- ja reititinohjelmistoa, joita käytetään kotiverkoista yritysympäristöihin. Vuonna 2026 asetelma…
Virustorjuntaohjelmiston valinta kuluttajille ja pienyrityksille tiivistyy usein kahteen nimeen: Malwarebytes ja Bitdefender. Kumpikin on ansainnut paikkansa tietoturvamarkkinoiden kärkipäässä, mutta ne lähestyvät suojausta…
Pohjoismaiset energiaverkot ovat joutuneet kyberuhkien tähtäimeen ennennäkemättömällä voimakkuudella. Nordic Energy Research julkaisi 8. kesäkuuta 2026 raportin, joka paljastaa karua todellisuutta: Pohjoismailta puuttuu…
Keväällä 2025 kolme Britannian suurimmista vähittäiskauppiaista kaatui järjestelmällisesti yhden kyberrikollisryhmän iskuihin. Marks & Spencer menetti noin £300 miljoonaa liikevoittoa, Co-opin 2 300…
Post-quantum salaus ei ole enää tulevaisuuden projekti. NIST viimeisteli elokuussa 2024 kolme kvanttiresistenttiä standardia (FIPS 203, 204 ja 205), ja EU:n Cyber…
EU:n kyberturvallisuusasetus (Cyber Resilience Act, CRA) saavutti ensimmäisen toiminnallisen virstanpylvänsä 11. kesäkuuta 2026, kun vaatimustenmukaisuuden arviointilaitosten ilmoittamisvelvoitteet astuivat voimaan. Seuraava ja merkittävämpi…
Kaksivaiheinen tunnistautuminen on siirtynyt valinnaisesta ominaisuudesta käytännön pakoksi. Suomalaiset verkkopankit, työnantajat ja verkkopalvelut edellyttävät sitä jo laajasti, ja Kyberturvallisuuskeskus suosittelee sitä kaikille…
This domain has been home to the SHAttered SHA-1 collision project since 2017, and is now a hub for cryptography, security and privacy reporting. The full origin story of the project, the two proof PDFs and the research credits live below.
Shattered.io on riippumaton opetussivusto, joka käsittelee kryptografiaa, tietoturvaa, yksityisyyttä ja todistettavasti reilujen (provably fair) järjestelmien taustalla olevaa tekniikkaa. Selitämme monimutkaisia aiheita selkeästi ja täsmällisesti, jotta lukija ymmärtää sekä perusperiaatteet että käytännön merkityksen. Tavoitteenamme on tarjota luotettavaa taustatietoa kenelle tahansa, jota kiinnostaa, miten salaus, tiivistefunktiot ja digitaaliset allekirjoitukset todella toimivat.
Tämä verkkotunnus on kryptografian historiassa erityinen. Se on SHAttered-tutkimuksen alkuperäinen koti: vuonna 2017 julkaistun työn, joka osoitti ensimmäisen käytännössä toteutetun törmäyksen SHA-1-tiivistefunktiolle. Pidämme kunnia-asianamme jatkaa tämän perinnön hengessä ja tarjota lukijoille tarkkaa, lähteisiin nojaavaa tietoa.
Tiivistefunktio, kuten SHA-1, ottaa minkä tahansa kokoisen tiedoston ja tuottaa siitä kiinteämittaisen sormenjäljen. Ideaalitapauksessa jokaisella eri tiedostolla pitäisi olla oma, ainutkertainen sormenjälkensä, eikä kahta eri tiedostoa saisi pystyä rakentamaan niin, että ne tuottaisivat saman tuloksen. Kun tällainen tilanne kuitenkin onnistutaan luomaan, puhutaan törmäyksestä.
38762cf7f55934b34d179ae6a4c80cadccbb7f0a
Vaikka näiden kahden tiedoston SHA-1-tiiviste on identtinen, ne eroavat toisistaan selvästi, kun ne ajetaan vahvemman SHA-256-funktion läpi. Toisin sanoen SHA-256 erottaa tiedostot toisistaan, mutta SHA-1 ei. Juuri tämä havainnollistaa, miksi vanhentunut tiivistefunktio on vaarallinen: se ei enää pidä lupaustaan tiedostojen ainutkertaisuudesta.
Tiivistefunktiot eivät ole pelkkä akateeminen yksityiskohta. Niihin nojaavat monet järjestelmät, joita käytämme päivittäin:
Kun asiakirja allekirjoitetaan sähköisesti, allekirjoitus lasketaan tiedoston tiivisteestä, ei koko tiedostosta. Jos hyökkääjä pystyy tuottamaan toisen tiedoston samalla tiivisteellä, hän voi periaatteessa siirtää pätevän allekirjoituksen väärennettyyn asiakirjaan.
TLS-varmenteet, jotka suojaavat verkkoliikennettä, ovat aiemmin nojanneet tiivistefunktioihin. Heikko funktio voi avata oven väärennetyille varmenteille ja sitä kautta liikenteen kaappaukselle.
Ohjelmiston aitous tarkistetaan usein tiivisteen avulla. Kun lataat sovelluksen tai sen päivityksen, järjestelmä voi verrata ladatun tiedoston tiivistettä julkaisijan ilmoittamaan arvoon. Jos arvot täsmäävät, tiedoston oletetaan olevan muuttumaton ja aito. Jos törmäys on mahdollinen, haitallinen päivitys voitaisiin periaatteessa naamioida luotettavaksi, koska se tuottaisi saman tiivisteen kuin alkuperäinen.
Myös versionhallintajärjestelmät, kuten lähdekoodin hallintaan käytettävät työkalut, tunnistavat tiedostoja ja muutoksia tiivisteiden avulla. Heikko tiivistefunktio voi teoriassa heikentää luottamusta siihen, että tallennettu historia on koskematon. Tämä on yksi syy siihen, miksi alan työkalut ovat siirtyneet tai siirtymässä vahvempiin funktioihin.
Näistä syistä SHA-1:stä on luovuttu turvallisuuskriittisissä sovelluksissa, ja sen tilalle ovat tulleet vahvemmat vaihtoehdot, kuten SHA-256 ja SHA-3.
Teoriassa tiedettiin jo pitkään, että SHA-1 oli heikkenemässä. Tutkijat olivat varoittaneet siitä vuosien ajan ja esittäneet laskelmia, joiden mukaan törmäys olisi mahdollinen riittävällä laskentateholla. SHAttered teki tästä konkreettista: se ei jäänyt teoriaksi, vaan tuotti kaksi oikeaa tiedostoa, jotka kuka tahansa voi ladata ja tarkistaa. Hyökkäys vaati valtavan määrän laskentaa, mutta se osoitti, että raja teorian ja käytännön välillä oli ylitetty. Tämän jälkeen oli vaikea puolustaa SHA-1:n käyttöä missään, missä turvallisuudella oli merkitystä.
Molemmat törmäävät PDF-tiedostot sekä tutkimusartikkelin voi ladata ja tarkastella itse. Näin lukija voi todeta ilmiön omakätisesti laskemalla tiedostojen tiivisteet:
Kun lasket näistä kahdesta PDF-tiedostosta SHA-1-tiivisteen, saat saman tuloksen molemmille. Kun käytät SHA-256-funktiota, tulokset eroavat. Tämä yksinkertainen koe kiteyttää koko SHAttered-tutkimuksen ytimen.
Suosittelemme kokeilemaan tätä itse, jos sinulla on käytössäsi komentorivi ja tavalliset salaustyökalut. Lataa molemmat tiedostot, laske niiden SHA-1- ja SHA-256-tiivisteet ja vertaa tuloksia. Käytännön havainto jää usein paremmin mieleen kuin pelkkä selitys, ja se tekee abstraktista ilmiöstä kouriintuntuvan.
Shattered.io kokoaa yhteen artikkeleita salauksesta, tietoturvasta, yksityisyydestä ja todistettavasti reilujen järjestelmien matematiikasta. Käymme läpi sekä klassisia kryptografian rakennuspalikoita että niiden käytännön sovelluksia nykyajan järjestelmissä. Selitämme, miten satunnaisuus, tiivisteet ja julkisen avaimen menetelmät toimivat yhdessä, ja miksi näiden ymmärtäminen auttaa arvioimaan digitaalisten palveluiden luotettavuutta.
Sisältömme on suunnattu sekä aloittelijoille että kokeneemmille lukijoille. Jos aihe on sinulle uusi, aloitamme aina perusteista emmekä oleta ennakkotietoja. Jos taas tunnet kentän jo entuudestaan, löydät artikkeleista tarkkoja yksityiskohtia ja viittauksia alkuperäislähteisiin. Pyrimme siihen, että jokainen teksti antaa lukijalle jotain konkreettista, oli hänen lähtötasonsa mikä tahansa.
Toivotamme sinut tervetulleeksi selaamaan sivustoa, lukemaan artikkelimme ja syventämään ymmärrystäsi siitä tekniikasta, joka pitää digitaalisen maailman koossa. Aloita mistä tahansa aiheesta, joka sinua kiinnostaa, ja anna uteliaisuuden viedä eteenpäin. Salaus ja tietoturva eivät ole vain asiantuntijoiden asia, vaan osa jokaisen digitaalista arkea, ja niiden ymmärtäminen tekee meistä kaikista hieman turvallisempia verkossa.
Beyond the original SHA-1 collision proof, the site now publishes ongoing coverage across cryptography, cybersecurity, privacy, cryptocurrency and provably-fair systems. Every article is editorial, lightly-opinionated and built on primary sources where possible.