Googleは、SHA-1関数に対する初の実用的な衝突攻撃に成功したと発表しました。過去数年間、GoogleはSHA-1の廃止に向けて積極的に取り組んできましたが、その結果、現在ではほとんどのブラウザでSHA-1のサポートが廃止されています。しかし、GoogleはSHA-1の廃止を時期尚早に試みたとして、大きな批判を受けています。
SHA-1の廃止に対する批判
2014年秋、GoogleはSHA-1のサポートを中止すると発表しました。これは、SHA-1に対する衝突攻撃があまりにも安価になりすぎているためです。この関数は、米国政府で使用される暗号標準を策定する米国国立標準技術研究所(NIST)によって、実際には2011年に非推奨とされていました。
1年後、当時インテルに勤務していたジェシー・ウォークは、 SHA-1を解読するのにどれくらいの費用がかかるか計算しました。彼の計算によると、当時の費用は277万ドルでしたが、2018年にはわずか17万3000ドルにまで下がるとされていました。これは、複数の諜報機関だけでなく、犯罪組織にとっても十分に負担可能な金額と思われました。
当時、セキュリティ専門家のブルース・シュナイアー氏も、SHA-1からの移行を始める時期が来ているかもしれないと示唆していました。しかし、Googleが2016年1月以降、SHA-1証明書を安全ではないと見なすと発表したとき、証明機関はこれに不満を抱きました。当時、Windows XPはまだかなりの市場シェアを残しており、このOSは次世代のSHA-2機能をサポートしていませんでした。つまり、SHA-2証明書を使用した暗号化サイトはWindows XPでは全く機能しないということです。
一部の認証局は、2016年になってもウェブ開発者にSHA-1証明書を提供し続けるという手間をかけていました。これは、ほとんどのブラウザベンダーがもはや許可していないことです。最終的に、GoogleとMozillaの両社からペナルティが科されました。これは、それぞれの認証局がブラウザベンダーのポリシーを遵守しなかったためです。
Facebook、Twitter、Cloudflareからも反発があり、SHA-1廃止のタイムラインはあまりにも積極的であり、もっとゆっくりと進めるべきだと主張しました。しかし、Googleは本日、そのタイムラインはせいぜい予定通りだったものの、十分に積極的ではなかった可能性もあることを示しました。
SHA-1のサポートを完全に終了したのは、Chromeの最新バージョン(v56)とFirefox(v51)のみです。MicrosoftはEdgeとInternet Explorer 11におけるSHA-1の完全廃止を2017年半ばまで延期していましたが、SHA-1衝突攻撃が可能であることが示されたため、サポートを早期に終了する可能性があります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
SHA-1の破り
SHA-1ハッシュ関数の導入から10年後、Googleは実用的な衝突を生成する技術を発表しました。ハッシュ衝突は、2つの文書が全く同じ暗号数値またはダイジェストで表されるようになったときに発生します(上の画像を参照)。
衝突により、たとえ 2 つのファイルのハッシュが検証されたとしても (検証により暗号番号が同じであることが示されるため)、攻撃者は接続を傍受して正常なファイルを悪意のあるファイルに置き換えることができます。
Googleによると、通常、安全なハッシュ関数に対して衝突攻撃は不可能だが、SHA-1には十分な計算能力があれば攻撃者に悪用される可能性のある欠陥がいくつかあるという。数年前までは、1回の衝突に必要な計算能力は数百万ドルにも上ったが、最初の実用的な衝突を作成した研究者によると、現在では約11万ドルにまで落ち込んでいるという。
攻撃のコストはますます下がる一方です。だからこそ、現在、ほとんどの主要ブラウザがSHA-1のサポートを中止したのは良いことです。残りのブラウザもすぐに追随するでしょう。このプロセスを加速させるため、Googleは90日後に、誰でもPDFファイル2つに対して同様の衝突を作成できるコードも公開する予定です。
攻撃者は既にそのようなツールを保有しているか、あるいは近いうちに保有するだろうという見方が根底にあります。Googleは、ブラウザやソフトウェアベンダーがSHA-1のサポートを廃止する必要性を隠すことはもはや不可能であることを、より明確にしようとしているのです。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
