- 글쓴시간
- 분류 기술,IT
구글 보안팀에서 SHA-1 의 전체적인 해시 충돌을 발표했습니다. 여태까진 "가능성이 있다" 정도였는데, 아예 구체적인 방법까지 알아냈나 보네요.
아직 구체적으로 발표한건 아니지만, 조만간 발표할거라네요. SHA-1 은 보안 인증서에서 많이 사용하는 Digest 방법이라 제법 파급력은 있을 것으로 생각합니다.
작년초부터 크롬 브라우저에서는 SHA-1 을 사용한 보안 인증서에 대해 경고를 냈기 때문에, 웹 용 신규 보안 인증서에 SHA-2 를 쓰고 있습니다. 아직까지도 안 바꾼 업체가 있다면 즉시 변경해야겠네요.
구글에서 SHAttered 사이트를 통해 공개한 두개의 PDF 문서(shattered-1.pdf, shattered-2.pdf)가 있습니다. 열어보면 타이틀 색이 하나는 파란색이고 다른 하나는 빨강색입니다만, 둘의 SHA1 해시는 "38762cf7f55934b34d179ae6a4c80cadccbb7f0a" 으로 동일합니다.
SHA256으로 해보면 다른 파일임을 알 수 있습니다.
SHA1(shattered-1.pdf): 38762cf7f55934b34d179ae6a4c80cadccbb7f0a일단 이렇게 된 이상 SHA1은 더이상 못 쓰겠네요.
SHA1(shattered-2.pdf): 38762cf7f55934b34d179ae6a4c80cadccbb7f0a
SHA256(shattered-1.pdf): 2bb787a73e37352f92383abe7e2902936d1059ad9f1ba6daaa9c1e58ee6970d0
SHA256(shattered-2.pdf): d4488775d29bdef7993367d541064dbdda50d383f89f0aa13a6ff2e0894ba5ff
----
Announcing the first SHA1 collision
https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
SHAttered
https://shattered.io/