구글 보안팀에서 SHA-1 의 전체적인 해시 충돌을 발표했습니다. 여태까진 "가능성이 있다" 정도였는데, 아예 구체적인 방법까지 알아냈나 보네요.
아직 구체적으로 발표한건 아니지만, 조만간 발표할거라네요. SHA-1 은 보안 인증서에서 많이 사용하는 Digest 방법이라 제법 파급력은 있을 것으로 생각합니다.
작년초부터 크롬 브라우저에서는 SHA-1 을 사용한 보안 인증서에 대해 경고를 냈기 때문에, 웹 용 신규 보안 인증서에 SHA-2 를 쓰고 있습니다. 아직까지도 안 바꾼 업체가 있다면 즉시 변경해야겠네요.
구글에서 SHAttered 사이트를 통해 공개한 두개의 PDF 문서(shattered-1.pdf, shattered-2.pdf)가 있습니다. 열어보면 타이틀 색이 하나는 파란색이고 다른 하나는 빨강색입니다만, 둘의 SHA1 해시는 "38762cf7f55934b34d179ae6a4c80cadccbb7f0a" 으로 동일합니다.