このSHA-1ハッシュを持った異なる2件のドキュメントが生成可能であることを実証した。(Googleの研究やと学者)
Pickup!専門家の間では信頼性に問題があるのではと懸念されていた。
このSHA-1ハッシュアルゴリズムが現代社会の銀行その他のWEBサイト保護に利用されていた。近年HTTPS署名書を求める動きが高まったが、その為に同アルゴリズムが用意られているからだ(2016年1月1日以降発行を禁じている)。もちろん貴方のPCやスマホに限らず、ソフトウェア、Eメール、PDF、WEBサイト認証など多岐にわたり、安全のために利用されてきたのだ。この突破を実証した事により、悪意ある第三者が改ざん、変更を可能ということになる。
しかも、アムステルダムの情報工学・数学研究所(CWI)の研究者とGoogle社員らは、SHA-1ハッシュを保ったままPDFファイルの変更をしたのだ。つまり、安全という証明を保ったまま実は情報を変更したPDFの作成をしたのだ。オリジナルの証明が出来なくなった事件である。
現在、SHA-1のHTTPSの証明書に関して、
- CA/Browser Gorumが2016年1月1日以降発行を禁じた。
- Googleは2014年リリースのChrome39からSHA-1証明書の廃止を進め、Chrome56でSHA-1のサポートを終了。
- Firefox51も2016年11月リリース以降SHA-1証明書を無効化するユーザーが増加し、24日で以降終了した見通し。
- Firefox52ではデフォルトで無効化。
- MicrosoftのInternet Explorer 11/Microsoft Edgeでは、SHA-1証明書を用いたWEBサイトをブロックする計画を2017年中旬までにする予定。
オランダ・CWI AmsterdamとGoogleの研究チームは23日、SHA-1ハッシュ値の衝突を現実的な時間で生成する攻撃手法「Shattered (SHAtterd)」を発表した。
サイト CWI
サイト Phoronix
サイト Art Technica
サイバーの最先端は、攻殻機動隊 STAND ALONE COMPLEXの模様を呈してきた。
コメント