WordPressサイトが書き換えられまくり、SHA-1が衝突した2月セキュリティクラスタ まとめのまとめ 2017年2月版(2/3 ページ)

» 2017年03月14日 05時00分 公開

SHA-1が衝突してSHAないことに

 2017年2月23日にはGoogleから大きな発表がありました。広く使われているハッシュ関数の「SHA-1」を使い、同じハッシュ値を持つファイルを作成することができた(衝突した)というのです。またGoogleは90日後に攻撃手法を公開するとしています

関連リンク:Announcing the first SHA1 collision(Google Security Blog)

 実は「SHA-1」については、2005年に既に同じハッシュを持つファイルを作成する攻撃手法が公開されていたようなのですが、Googleでは攻撃アルゴリズムを改良したのに加え、GPUをたくさん使うことでこれを攻略したというのです。

 これにより、SHA-1ハッシュが同じ値の偽ファイルや電子証明書を作り出すことが可能となったわけですが、Googleでしかできないようなやり方であるのと、以前からSHA-1の寿命は予測されていて「SHA-256(SHA-2)」への移行が進みつつあったこともあり、それほどのパニックは起きなかったようです。とはいえ、まだまだ現役で使用されていることも多い関数ですので、大きな話題となりました。

 なお、2017年に入りGoogle Chromeでは署名アルゴリズム「SHA-1」を利用する電子証明書には警告が出るようになっており、今後はサポートが廃止される予定です。また、この発表を受けてFirefoxでもSHA-1を利用する証明書を受け付けないようになりました。Googleの発表により、SHA-1からの移行が一層進む流れになったようです。

 ちなみに、この発表がからしばらくすると、SHA-1の衝突に関するツイートよりも、SHA-1の衝突に関する“大喜利ツイート”の方が多くなっていました。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。