SHATERED

Velkommen til shattered.io

shattered.io er et uafhængigt undervisningssite om kryptografi, sikkerhed, privatliv og den teknologi, der ligger bag systemer, som kan bevise, at de spiller fair. Domænet er det historiske hjem for SHAttered-forskningen fra 2017, det første praktiske angreb, der knækkede hashfunktionen SHA-1. Vi forklarer svære emner i et tydeligt sprog, så både nysgerrige begyndere og erfarne udviklere kan få noget ud af det.

Tanken med sitet er enkel. Sikkerhed handler ikke kun om at vælge det rigtige værktøj, men om at forstå, hvorfor det virker, og hvornår det holder op med at virke. Hashfunktioner, digitale signaturer og certifikater er usynlige for de fleste, men de afgør, om en softwareopdatering kan stoles på, om en besked er ægte, og om en betaling går til den rigtige modtager. Vi pakker den slags ud, et emne ad gangen.

Historien om SHA-1-kollisionen

Den 23. februar 2017 offentliggjorde forskere fra CWI Amsterdam og Google et resultat, mange havde regnet med ville komme, men som ingen før havde gennemført i praksis. De fremstillede den første rigtige kollision for hashfunktionen SHA-1. Projektet fik navnet SHAttered.

For at forstå, hvorfor det var så stort, hjælper det at vide, hvad en hashfunktion gør. En hashfunktion tager en fil af vilkårlig størrelse og presser den ned til en kort, fast streng af tegn, et slags digitalt fingeraftryk. Idéen er, at to forskellige filer aldrig bør ende med det samme fingeraftryk. Hvis nogen kan lave to forskellige filer med identisk hash, kalder man det en kollision, og så er fingeraftrykket ikke længere til at stole på.

Holdet bag SHAttered byggede netop sådan et par. De fremstillede to forskellige PDF-filer, der deler præcis det samme SHA-1-fingeraftryk:

38762cf7f55934b34d179ae6a4c80cadccbb7f0a

De to filer ser forskellige ud og har forskelligt indhold, men SHA-1 kan ikke kende forskel på dem. Først når man kører dem gennem en stærkere funktion som SHA-256, træder forskellen tydeligt frem, og de får hver deres unikke værdi. Det viste i praksis, at SHA-1 ikke længere kunne bruges der, hvor sikkerheden afhænger af, at en kollision er umulig at fremstille.

Hvorfor en kollision betyder noget

En kollision lyder måske som en kuriositet, men konsekvenserne er konkrete. Digitale signaturer bygger på, at man signerer en hash af et dokument i stedet for hele dokumentet. Hvis en angriber kan lave to dokumenter med samme hash, kan en signatur, der blev givet på det ene, pludselig gælde for det andet. Det samme princip rammer certifikater, som beviser, at en hjemmeside er den, den udgiver sig for, og softwareopdateringer, hvor en hash skal garantere, at en pakke ikke er blevet pillet ved undervejs.

SHAttered var derfor ikke bare et akademisk trick. Det gav browserproducenter, certifikatudstedere og udviklere et håndfast bevis på, at det var tid til at forlade SHA-1 og gå over til nyere funktioner. Migrationen var allerede i gang, men forskningen satte fart på den.

Hent filerne og forskningen selv

Du behøver ikke tage vores ord for det. Selve materialet ligger frit tilgængeligt. De to kolliderende PDF-filer og den oprindelige forskningsartikel kan hentes her:

  • Første kolliderende PDF: https://shattered.io/static/shattered-1.pdf
  • Anden kolliderende PDF: https://shattered.io/static/shattered-2.pdf
  • Forskningsartiklen: https://shattered.io/static/shattered.pdf

Hvis du kører begge PDF-filer gennem et SHA-1-værktøj, vil du se den samme værdi komme ud. Prøv så det samme med SHA-256, og forskellen viser sig med det samme. Det er en lærerig øvelse, som gør det abstrakte konkret.

Kom videre på sitet

Herfra kan du udforske vores emner i dit eget tempo. Vi skriver om, hvordan hashfunktioner er bygget op, hvad der adskiller en sikker funktion fra en svækket, hvordan digitale signaturer og certifikater hænger sammen, og hvad begrebet provably fair betyder, når det dukker op i diskussioner om gennemsigtige systemer. Vi rører også ved privatliv, kryptering og de tekniske valg, der ligger bag den software, vi alle bruger til daglig.

Brug menuen til at finde et emne, der fanger dig, og læs løs. Målet er, at du går derfra med en lidt klarere fornemmelse af, hvordan tingene faktisk fungerer under overfladen.

CybersikkerhedKryptografi

Seneste nyt

CybersikkerhedPhishing og social engineering: kend forsøget, og undgå fældenJun 10, 2026CybersikkerhedKodeordssikkerhed: længde, hashing, kodeordsmanagere og 2FAJun 10, 2026CybersikkerhedOnlinesikkerhed: beskyt dine data, konti og forbindelserJun 10, 2026CybersikkerhedHTTPS og TLS: sådan beskyttes din forbindelseJun 10, 2026