Google がSHA-1衝突攻撃に成功

GoogleとCWI研究所の研究において、全く異なるコンテンツのドキュメントから、同一のSHA-1のハッシュ値を生成することに成功したと、Googleのセキュリティブログで発表されました。

SHA-1は、多くの暗号プロトコル等で依然使用されているハッシュ関数ですが、その攻撃手法がいくつか考案されているため、以降のハッシュ関数への以降が推奨されていました。
実際に、Google Chromeのブラウザでは、SHA-1証明書の対応を終了しており、Internet Explorer/Microsoft Edge、FireFoxでも対応終了が告知されています。
以前からその攻撃の可能性を指摘されていることに加えて、今回の成果において、実用的な攻撃成功例が報告されたと言えます。

攻撃への脆弱性に加えて、各ベンダのサポート終了に伴う信頼性の低下も考慮すると、以降のより安全なハッシュ関数への移行がますます推奨されるでしょう。

参照:
https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
https://japan.zdnet.com/article/35097102/
http://www.security-next.com/078897

SSL/TLS暗号設定ガイドラインが発表

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む