대부분의 전문가들은 SHA-1을 더 이상 사용하지 않는 것이 좋습니다. 운 좋게도 대부분의 웹 사이트는보다 업데이트되고 취약한 기술 버전 인 SHA-2를 사용합니다. SSL.com과 같은 평판이 좋은 모든 인증 기관은 SHA-1 인증서를 폐기했으며 SHA-2를 사용하고 있습니다.
구글 증명 : SHA-1이 고장났다
23 년 2017 월 XNUMX 일, 마침내 암호화 세계가 기다려온 발표가 나왔습니다. Google과 CWI (Centrum Wiskunde & Informatica) 암스테르담, 네덜란드 국가 수학 및 컴퓨터 과학 연구소,의 불안이 SHA-1 이론에서 입증 된 것으로 이동했습니다. 팀은 공동 성명 Google 보안 블로그에서 해시 충돌을 생성 한 방법을 자세히 설명합니다.
암호를 사용하는 두 개의 서로 다른 입력이 동일한 결과를 생성 할 때 해시 충돌이 발생하여 암호를 속이는 악성 파일이 도입 될 수 있기 때문에 암호를 효과적으로 취약하게 만듭니다. 지금까지는“브 루트 포스 (brute force)”충돌 만이 가능한 것으로 입증되었으며 전문가들은 SHA-1에 대한 무차별 대입 공격이 완료되기까지 12 만 그래픽 처리 장치 (GPU) 년이 필요할 것으로 추정합니다. 무차별 대입. 결합 된 Google / CWI 팀은 SHA-1의 약점을 악용하여이 프로세스의 속도를 1 만 배 높였습니다. 이것은 실제로 실제로 SHA-XNUMX이 충분히 정교한 컴퓨팅 능력을 가진 자금을 지원하는 엔터티의 공격에 취약한 것으로 입증되었습니다.
구글의 발표는 완전한 충격이 아니었다. 2005 년 초 중국 산동 대학의 연구팀은 SHA-1에서 충돌을 발생시키는 실용적인 기술. 2013 년에 SHA-1을 파기 한 Google 팀장 인 Marc Stevens는 주제에 관한 논문 따라서 XNUMX 월의 발표는 시간 문제 일뿐입니다.
그래서 어떻게해야합니까? 전문가들은 SHA-1을 더 이상 사용하지 않는 것이 좋습니다. 다행히 대부분의 웹 사이트는 현재 SHA-2, 덜 취약한 기술 버전입니다. 다음을 포함한 모든 평판이 좋은 인증 기관 SSL.comSHA-1 인증서를 폐기했으며 SHA-2를 독점적으로 사용합니다.
