{"id":14,"date":"2026-06-10T09:14:33","date_gmt":"2026-06-10T09:14:33","guid":{"rendered":"https:\/\/shattered.io\/pt\/2026\/06\/10\/colisao-sha1\/"},"modified":"2026-06-10T13:35:45","modified_gmt":"2026-06-10T13:35:45","slug":"colisao-sha1","status":"publish","type":"post","link":"https:\/\/shattered.io\/pt\/2026\/06\/10\/colisao-sha1\/","title":{"rendered":"A Colis\u00e3o SHAttered do SHA-1, Explicada"},"content":{"rendered":"

A 23 de fevereiro de 2017, investigadores do Cryptology Group do CWI Amesterd\u00e3o e da Google publicaram dois ficheiros PDF diferentes que partilham o mesmo hash SHA-1. Para ambos, o resumo \u00e9 38762cf7f55934b34d179ae6a4c80cadccbb7f0a<\/code>. O projeto chamou-se SHAttered e foi a primeira vez que algu\u00e9m produziu uma colis\u00e3o pr\u00e1tica e p\u00fablica para a fun\u00e7\u00e3o de hash SHA-1 completa. Pode descarregar os dois ficheiros e confirmar por si: shattered-1.pdf<\/a> e shattered-2.pdf<\/a>. S\u00e3o documentos visivelmente distintos e, ainda assim, o SHA-1 n\u00e3o consegue distingui-los.<\/p>\n

Aquele facto \u00fanico p\u00f4s fim a uma longa discuss\u00e3o sobre se ainda era seguro confiar no SHA-1. Este artigo percorre o que \u00e9 uma colis\u00e3o, por que motivo o SHA-1 caiu, o que a equipa construiu de facto e o que mudou a seguir.<\/p>\n

O que \u00e9 uma colis\u00e3o de hash e por que importa<\/h2>\n

Uma fun\u00e7\u00e3o de hash<\/a> criptogr\u00e1fica recebe uma entrada de qualquer tamanho e devolve uma impress\u00e3o digital de comprimento fixo. O SHA-1 produz 160 bits, habitualmente escritos como 40 caracteres hexadecimais. Esperam-se tr\u00eas propriedades: n\u00e3o se consegue inverter a sa\u00edda de volta \u00e0 entrada, n\u00e3o se consegue encontrar uma segunda entrada que produza um dado resumo, e n\u00e3o se conseguem encontrar duas entradas quaisquer com o mesmo valor. Esta \u00faltima propriedade \u00e9 a resist\u00eancia a colis\u00f5es.<\/p>\n

As colis\u00f5es existem sempre, num sentido matem\u00e1tico. H\u00e1 uma infinidade de entradas poss\u00edveis e apenas um n\u00famero finito de sa\u00eddas de 160 bits, por isso algumas entradas t\u00eam for\u00e7osamente de partilhar resumo. A promessa de seguran\u00e7a n\u00e3o \u00e9 que as colis\u00f5es n\u00e3o existam. \u00c9 que encontrar uma deve ser t\u00e3o caro que nenhum atacante realista o consiga fazer. O SHAttered quebrou essa promessa para o SHA-1.<\/p>\n

Por que importa isto fora de um laborat\u00f3rio? As assinaturas digitais, os certificados e as verifica\u00e7\u00f5es de integridade raramente assinam o documento em si. Assinam o seu hash. Uma assinatura, um identificador de commit no Git, a impress\u00e3o digital de um certificado, a garantia de que um ficheiro n\u00e3o mudou: tudo reduz o ficheiro a um hash e confia que esse hash \u00e9 \u00fanico daquele ficheiro. Se dois ficheiros partilharem um hash, uma assinatura sobre um \u00e9 igualmente v\u00e1lida sobre o outro. A liga\u00e7\u00e3o entre o que foi aprovado e o que foi recebido quebra-se em sil\u00eancio.<\/p>\n

Por que o SHA-1 era vulner\u00e1vel<\/h2>\n

O SHA-1 foi publicado pela NSA e normalizado pelo NIST em 1995. Assenta na constru\u00e7\u00e3o de Merkle-Damgard, processando a mensagem em blocos e misturando cada bloco num estado interno atrav\u00e9s de uma sequ\u00eancia de adi\u00e7\u00f5es, rota\u00e7\u00f5es e opera\u00e7\u00f5es ao n\u00edvel dos bits.<\/p>\n

Os problemas come\u00e7aram cedo. Em 2005, um grupo de investigadores liderado por Wang mostrou que era poss\u00edvel encontrar colis\u00f5es com um esfor\u00e7o bastante abaixo do que um ataque gen\u00e9rico do anivers\u00e1rio exigiria sobre um hash de 160 bits. Era um resultado te\u00f3rico, muito al\u00e9m do equipamento da \u00e9poca, mas marcou o SHA-1 como enfraquecido. Ao longo da d\u00e9cada seguinte, criptanalistas, entre eles Marc Stevens, refinaram ataques diferenciais que exploram a forma como pequenas diferen\u00e7as, cuidadosamente escolhidas, se propagam pela fun\u00e7\u00e3o de ronda, estreitando a dist\u00e2ncia entre a teoria e um ataque constru\u00edvel.<\/p>\n

A fraqueza central \u00e9 estrutural. A fun\u00e7\u00e3o de ronda do SHA-1 n\u00e3o difunde as diferen\u00e7as com for\u00e7a suficiente para impedir que um atacante construa dois blocos de mensagem cujas perturba\u00e7\u00f5es internas se cancelem no final. Uma vez conseguido esse cancelamento, \u00e9 poss\u00edvel for\u00e7ar o estado interno a convergir, e a colis\u00e3o segue-se.<\/p>\n

O que a equipa do SHAttered fez de facto<\/h2>\n

O ataque foi uma colis\u00e3o de prefixo id\u00eantico. Os dois PDF come\u00e7am exatamente com os mesmos bytes. Os investigadores calcularam depois um par de sequ\u00eancias de blocos de quase-colis\u00e3o, cuidadosamente constru\u00eddas, que, anexadas a esse prefixo partilhado, conduzem o estado interno do SHA-1 ao mesmo valor. Como os estados internos coincidem no ponto em que terminam os blocos da colis\u00e3o, tudo o que se anexe a seguir mant\u00e9m os hashes iguais, consequ\u00eancia direta do desenho de Merkle-Damgard.<\/p>\n

O formato PDF foi uma escolha deliberada. \u00c9 flex\u00edvel o suficiente para esconder os blocos da colis\u00e3o dentro de um objeto que controla qual a imagem mostrada, de modo que o mesmo hash corresponde a dois documentos que apresentam conte\u00fado vis\u00edvel diferente. \u00c9 isto que transforma um par abstrato de cadeias de bytes num cen\u00e1rio de abuso cred\u00edvel.<\/p>\n

A equipa por detr\u00e1s do trabalho incluiu investigadores do CWI Amesterd\u00e3o e da Google, entre eles Marc Stevens, Pierre Karpman, Elie Bursztein, Ange Albertini e Yarik Markov. O documento completo, com a matem\u00e1tica e o detalhe de engenharia, est\u00e1 dispon\u00edvel aqui em shattered.pdf<\/a>.<\/p>\n

A escala do c\u00e1lculo<\/h2>\n

O SHAttered n\u00e3o foi um atalho esperto que corre num port\u00e1til. Foi um c\u00e1lculo genuinamente grande, e os n\u00fameros s\u00e3o o ponto central.<\/p>\n\n\n\n\n\n\n\n
Abordagem<\/th>\nAvalia\u00e7\u00f5es de SHA-1<\/th>\nNotas<\/th>\n<\/tr>\n<\/thead>\n
Ataque gen\u00e9rico do anivers\u00e1rio<\/td>\ncerca de 2^80<\/td>\nRefer\u00eancia de for\u00e7a bruta para um hash de 160 bits<\/td>\n<\/tr>\n
Ataque SHAttered de prefixo id\u00eantico<\/td>\ncerca de 2^63 (aproximadamente 9,2 quintili\u00f5es)<\/td>\nO trabalho realmente demonstrado<\/td>\n<\/tr>\n
Ganho face \u00e0 for\u00e7a bruta<\/td>\ncerca de 100 000 vezes<\/td>\nA raz\u00e3o pela qual o ataque foi sequer vi\u00e1vel<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

A Google descreveu o esfor\u00e7o como o equivalente a cerca de 6500 anos-CPU na primeira fase e 110 anos-GPU na segunda. Distribu\u00eddo por uma grande frota de m\u00e1quinas, isso s\u00e3o meses de trabalho, n\u00e3o s\u00e9culos. A estrutura em fases \u00e9 relevante: uma pesquisa dispendiosa produz primeiro uma configura\u00e7\u00e3o utiliz\u00e1vel de quase-colis\u00e3o, e depois uma segunda etapa, mais barata, fecha o par correspondente. As cerca de 9,2 quintili\u00f5es de avalia\u00e7\u00f5es de hash soam astron\u00f3micas, e s\u00e3o, mas ficam muito abaixo do muro da for\u00e7a bruta. Essa diferen\u00e7a \u00e9 exatamente o que a criptan\u00e1lise existe para encontrar.<\/p>\n

Por que dois PDF com o mesmo hash s\u00e3o perigosos<\/h2>\n

Imagine um fluxo de assinatura. Um revisor aprova um contrato e um sistema assina o hash SHA-1 desse PDF. Com um par de colis\u00e3o em m\u00e3os, um atacante pode preparar de antem\u00e3o dois contratos que partilham um hash: um inofensivo, para ser aprovado, e um malicioso, para ser substitu\u00eddo mais tarde. A assinatura feita sobre o ficheiro aprovado valida na perfei\u00e7\u00e3o contra o ficheiro trocado, porque a assinatura s\u00f3 cobriu o hash, e o hash \u00e9 id\u00eantico.<\/p>\n

A mesma l\u00f3gica amea\u00e7a qualquer sistema que use o SHA-1 como identidade:<\/p>\n