Finalmente, una función hash quebrantada es aquella sobre la que se conoce métodos computacionales para producir colisiones.
[2] Aunque el SHA-2 se comporta de forma parecida al algoritmo SHA-1, estos ataques no han sido extendidos satisfactoriamente a SHA-2.
Con la publicación del FIPS PUB 180-2, NIST añadió tres nuevas funciones hash en la familia de SHA.
La actualización del estándar incluyó el algoritmo original SHA-1, con la notación técnica consistente con la que describía el funcionamiento interno de la familia SHA-2.
[9] En marzo de 2012, el estándar fue actualizado a FIPS PUB 180-4, añadiendo las funciones hash SHA-512/224 y SHA-512/256, y describiendo un método para la generación inicial de valores mediante versiones truncadas del SHA-512.
Usan diferentes desplazamientos y constantes, pero su estructura son por otra parte virtualmente idéntica, diferenciándose únicamente por el número de iteraciones.
Las funciones SHA-2 no son tan ampliamente usadas como SHA-1, a pesar de su mejora en seguridad.
Las razones pueden incluir una falta de soporte del SHA-2 en sistemas que ejecutan Windows XP SP2 o anteriores,[23] o por una falta de urgencia percibida mientras no se haya descubierto aún colisiones en el SHA-1.
A esto se le denomina ataque preimagen y puede ser práctico o no dependiendo del valor de L y del entorno de computación empleado.
El segundo criterio, encontrar dos mensajes diferentes que producen el mismo mensaje tratado, se le conoce como colisión, requiere únicamente una media de 2L/2 evaluaciones si se emplea un ataque de cumpleaños.
Aunque no se hayan visto casos de este tipo, existe una creciente creencia en emplear nuevos algoritmos hash más fuertes.
Algunas aplicaciones que emplean sistemas criptográficos hash, por ejemplo para almacenar contraseñas, son mínimamente afectados por un ataque de colisión.
(Sin embargo, incluso empleando un sistema hash seguro no puede impedir ataques de fuerza bruta en contraseñas débiles (p.e, 1234)).
Incluso un pequeño cambio en el mensaje (con una apabullante probabilidad) dará como resultado un hash completamente distinto, debido al efecto avalancha.
Por ejemplo, añadiendo un punto al final de la frase: A continuación un pseudocódigo para un algoritmo SHA-256.