SHA-1衝突攻撃がついに現実に、Google発表 90日後にコード公開
Webブラウザのセキュリティ対策など幅広い用途に使われてきたハッシュアルゴリズムの「SHA-1」について、米Googleは2月23日、理論上の可能性が指摘されていたSHA-1衝突を初めて成功させたと発表した。
これでSHA-256やSHA-3のような、安全な暗号ハッシュへの移行を急ぐ必要性がこれまで以上に高まったと強調している。
SHA-1を巡っては、脆弱性を悪用される危険性が高まったことを受け、主要ブラウザメーカーや電子証明書の発行機関が段階的な廃止を進めている。
Googleはオランダ・アムステルダムのCWI Instituteと2年がかりで共同研究を実施。
Googleの技術とクラウドインフラを駆使して大規模な演算処理を行い、SHA-1衝突攻撃を初めて現実のものにしたとしている。
攻撃者がSHA-1衝突を利用すれば、正規のファイルを不正なファイルに入れ替えることが可能になり、
例えば、保険契約の内容を全く異なるものに差し替えるといったことができてしまうとGoogleは解説する。
以下ソース
http://www.itmedia.co.jp/enterprise/articles/1702/24/news067.html
はえ〜衝突したとしてもどうせグッチャグチャだろと思ったら