Stevens’ werkgever, het Centrum Wiskunde & Informatica in Amsterdam, en Google, dat de onderzoeker hielp, hebben de geslaagde aanval donderdag bekendgemaakt. Stevens is voor zover bekend de eerste die door de ‘muur’ heen komt. Hij is jaren bezig geweest om de aanval voor te bereiden. De speciale computers van Google moesten vervolgens 9,2 triljoen (miljard keer miljard) berekeningen uitvoeren, wat een paar maanden kostte. „Dat het kon was in de theorie al aangetoond, maar wij hebben het nu in de praktijk laten zien”, aldus Stevens.

Een digitale vingerafdruk moet volgens Stevens „uniek en onvoorspelbaar zijn, het mag zelfs met inspanning niet lukken om twee berichten dezelfde vingerafdruk te geven”. Dat is hem echter wel gelukt met twee pdf-bestanden. „Je kunt iemand voor de gek houden, een bestand laten ondertekenen terwijl die dat niet zou willen doen. Je kunt bijvoorbeeld twee facturen maken, de goedkope sturen en laten ondertekenen en dan de dure gebruiken om geld te krijgen. Oplichting dus.”

Bij een moeilijkere aanval zou het ook mogelijk zijn om verschillende versies van dezelfde software te verspreiden. „Je geeft alle versies dezelfde handtekening. Dan zorg je doelbewust dat de een een schone versie krijgt en de ander een aangepaste variant, waarbij de achterdeur openstaat. Je kunt doen wat je wil, je hebt veel meer vrijheid en het is dus veel gevaarlijker.”

Voor cyberspionnen is het nu niet interessant om SHA1 te kraken. Stevens: „Een aanval duurt vrij lang en het kost best wat om te ontwikkelen. Zij hebben andere manieren om hun doelen te bereiken, bijvoorbeeld het besmetten van apparaten en het gebruiken van andere kwetsbaarheden. Dat is gemakkelijker, sneller en toegankelijker.”

SHA1 wordt nog veel gebruikt in computersystemen. Stevens roept de tech-wereld op om over te stappen op een systeem dat veel sterker is, SHA2. Dat is al beschikbaar.