Google がSHA-1衝突攻撃に成功

GoogleとCWI研究所の研究において、全く異なるコンテンツのドキュメントから、同一のSHA-1のハッシュ値を生成することに成功したと、Googleのセキュリティブログで発表されました。

SHA-1は、多くの暗号プロトコル等で依然使用されているハッシュ関数ですが、その攻撃手法がいくつか考案されているため、以降のハッシュ関数への以降が推奨されていました。
実際に、Google Chromeのブラウザでは、SHA-1証明書の対応を終了しており、Internet Explorer/Microsoft Edge、FireFoxでも対応終了が告知されています。
以前からその攻撃の可能性を指摘されていることに加えて、今回の成果において、実用的な攻撃成功例が報告されたと言えます。

攻撃への脆弱性に加えて、各ベンダのサポート終了に伴う信頼性の低下も考慮すると、以降のより安全なハッシュ関数への移行がますます推奨されるでしょう。

参照:
https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
https://japan.zdnet.com/article/35097102/
http://www.security-next.com/078897