SHA-0 (o SHA come era originariamente chiamato), è una funzione hash crittografica , progettata dalla NSA sul modello della funzione MD4 di Ron Rivest e pubblicata nel 1993 dal NIST (standard FIPS-180). Fornisce un hash a 160 bit. È stato rapidamente messo da parte per motivi di sicurezza insufficienti (non spiegati all'epoca) e modificato per fornire la funzione SHA-1 , pubblicata dal NIST nel 1995 (standard FIPS-180-1).
La scoperta di punti deboli nella progettazione di SHA-0 è stata attribuita alla NSA. È stato confermato nel 1998 dalla scoperta da parte di Antoine Joux e Florent Chabaud di un attacco teorico che consente di ottenere una collisione (due dati con la stessa impronta) in una complessità minore rispetto all'attacco di compleanno (2 61 contro 2 80 operazioni).
Una collisione completa su SHA-0 è stata scoperta da Antoine Joux et al. il12 agosto 2004. Utilizza un miglioramento del metodo Joux e Chabaud, e beneficia anche di un altro attacco proposto lo stesso anno da Eli Biham e Rafi Chen, che ha permesso di ottenere pseudo-collisioni su quasi tutti i bit.
Nel 2006 è stato pubblicato un metodo per trovare una collisione in 2 40 operazioni.
Non sono invece noti attacchi per la ricerca di una pre-immagine (trova un messaggio con una data impronta digitale) o di una seconda pre-immagine (dato un messaggio e la sua impronta, trova un altro messaggio con la stessa impronta digitale), ma l'uso di SHA-0 è comunque completamente sconsigliato.