你以为SSL是安全的吗？

在现代的IT安全领域，很大程度上依赖SSL来保障通讯安全。但SSL是安全的吗？

在2005年，王小云证明SHA-1能在较短的时间内找到碰撞。王小云发现SHA-1的安全弱点是偶然还是必然？

就我所知，各种不可逆加密算法实际上没有什么理论说明它们是不可猜测的（unguessable）。信息湮没了吗？既然是unique的对应的，怎么能说信息湮没了？既然没湮没，凭什么说不可猜测？

有很大概率，现有SSL中的其他某个或者某些加密算法，已经被某些情报部门掌握了碰撞或者破解方法。只是没有像王小云那样公布出来而已。

所以：个人或者中小公司可以依靠SSL来加密通信，但是非常有价值的（政府军队以及特大公司）核心部门不能信任SSL。必须有其他更基础的安全措施。