Apa itu SHA-1?
SHA-1 (Secure Hash Algorithm 1) menghasilkan digest 160-bit (40 karakter heksadesimal). Dirancang oleh NSA dan diterbitkan oleh NIST pada 1995 (FIPS 180-1), menjadi populer untuk tanda tangan digital, checksum file, dan sistem kontrol versi.
Catatan keamanan: SHA-1 sudah tidak aman — gunakan SHA-256, SHA-3, atau BLAKE3 untuk sistem baru.
Cara kerja SHA-1
- Isi pesan → panjang ≡ 448 (mod 512) bit
- Tambahkan panjang 64-bit dari pesan asli
- Inisialisasi lima kata 32-bit (A–E)
- Proses blok 512-bit melalui 80 operasi (empat putaran)
- Keluarkan digest akhir 160-bit
Status keamanan
- 2005 — serangan tabrakan teoretis pertama
- 2017 — Google & CWI Amsterdam menunjukkan tabrakan nyata (PDF “SHAttered”)
- Browser sekarang tidak mempercayai sertifikat TLS SHA-1
- NIST menghentikan penggunaan SHA-1 untuk tanda tangan digital pada 2011
Contoh hash
| Input | Hash SHA-1 |
|---|---|
Hello World | 0a4d55a8d778e5022fab701977c5d840bbc486d0 |
password | 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 |
test123 | 7288edd0fc3ffcbe93a0cf06e3568e28521687bc |
| (kosong) | da39a3ee5e6b4b0d3255bfef95601890afd80709 |
SHA-1 vs. fungsi hash lain
| Algorithm | Output | Security | Speed |
|---|---|---|---|
| MD5 | 128 bit | ❌ Rusak | ⚡ Sangat cepat |
| SHA-1 | 160 bit | ❌ Kompromi | ⚡ Cepat |
| SHA-256 | 256 bit | ✅ Aman | 🚀 Sedang |
| SHA-3 | Variable | ✅ Sangat aman | 🚀 Sedang |
| BLAKE3 | 256 bit | ✅ Aman | ⚡ Sangat cepat |
Pertanyaan yang Sering Diajukan
Apakah SHA-1 aman untuk kata sandi?
Tidak. Gunakan bcrypt, Argon2, atau PBKDF2 sebagai gantinya.
Apa itu tabrakan SHA-1?
Tabrakan terjadi ketika dua input berbeda menghasilkan hash yang sama. Serangan “SHAttered” 2017 membuktikan tabrakan di dunia nyata.
Mengapa Git masih menggunakan SHA-1?
Desain Git membatasi eksploitasi, tetapi proyek ini sedang bermigrasi ke SHA-256.