SHA-1ハッシュ突破のインパクト分かり易く説明と【Shatterd】

2017年3月29日

このSHA-1ハッシュを持った異なる2件のドキュメントが生成可能であることを実証した。(Googleの研究やと学者)

Pickup!専門家の間では信頼性に問題があるのではと懸念されていた。

このSHA-1ハッシュアルゴリズムが現代社会の銀行その他のWEBサイト保護に利用されていた。近年HTTPS署名書を求める動きが高まったが、その為に同アルゴリズムが用意られているからだ(2016年1月1日以降発行を禁じている)。もちろん貴方のPCやスマホに限らず、ソフトウェア、Eメール、PDF、WEBサイト認証など多岐にわたり、安全のために利用されてきたのだ。この突破を実証した事により、悪意ある第三者が改ざん、変更を可能ということになる。

しかも、アムステルダムの情報工学・数学研究所(CWI)の研究者とGoogle社員らは、SHA-1ハッシュを保ったままPDFファイルの変更をしたのだ。つまり、安全という証明を保ったまま実は情報を変更したPDFの作成をしたのだ。オリジナルの証明が出来なくなった事件である。

現在、SHA-1のHTTPSの証明書に関して、

  • CA/Browser Gorumが2016年1月1日以降発行を禁じた。
  • Googleは2014年リリースのChrome39からSHA-1証明書の廃止を進め、Chrome56でSHA-1のサポートを終了。
  • Firefox51も2016年11月リリース以降SHA-1証明書を無効化するユーザーが増加し、24日で以降終了した見通し。
  • Firefox52ではデフォルトで無効化。
  • MicrosoftのInternet Explorer 11/Microsoft Edgeでは、SHA-1証明書を用いたWEBサイトをブロックする計画を2017年中旬までにする予定。

オランダ・CWI AmsterdamとGoogleの研究チームは23日、SHA-1ハッシュ値の衝突を現実的な時間で生成する攻撃手法「Shattered (SHAtterd)」を発表した。

サイト CWI

サイト Google Security Blg

サイト Phoronix

サイト Art Technica

サイバーの最先端は、攻殻機動隊 STAND ALONE COMPLEXの模様を呈してきた。

Ghost in the Shell: Stand Alone Complex Season 1 [Blu-ray] [Import]
by カエレバ