「SHA-1の廃止前倒しを」 専門家チームが提言

SHA-1がこれまで考えられていたよりも大幅に安いコストで破れることが分かり、犯罪集団に悪用される危険が迫ったと指摘している。 Webサイトでの認証やデジタル署名に使われるハッシュ関数の「SHA-1」について、暗号解読の国際専門家チームが10月8日、廃止の時期を現在のスケジュールよりも前倒しする必要があると勧告した。SHA-1がこれまで考えられていたよりも大幅に安いコストで破れることが分かり、犯罪集団に悪用される危険が迫ったと指摘している。 SHA-1は以前から脆弱性が指摘され、MicrosoftやGoogleなど主要ブラウザメーカーや電子証明書の発行機関が段階的な廃止に向けたスケジュールを公表している。 しかし現在の計画では、SHA-1を使った証明書が主要ブラウザで安全と認識されなくなるのは2017年1月以降。これに対してオランダ、フランス、シンガポールの研究チームは、SHA-1に対する

[FunnyBunnyDizzy]

AmazoとかHA-1とか誤字まくってるww校正さん頑張れ

[y-kawaz]

この問題、httpsが当然よく言われる話なんだけど、gitのsha1オブジェクトで任意のコンフリクトを起こせるようになったらどうなるんだろうかというのが気になってる。

[zettaimuri]

なんでもかんでもクラウドやな最近は

[kamei_rio]

"あと数カ月もすれば、AmazonのクラウドサービスEC2を利用して7万5000～12万ドル程度のコストで" デフレ時代

[mattarin]

そもそも犯罪集団は色々盗んでそうだし70万ドルとかちょろいのでは。

[mizuka_123]

「SHA-1の廃止前倒しを」　専門家チームが提言 - ITmedia エンタープライズ

[woods]

えー、git使えなくなるのー?(なりません)

[zakinco]

あらら。これはまずい事態だ。

[zu2]

“そうなれば、犯罪集団による悪用が現実化する時期はこれまでの予想よりも2年早まることになり、主要ブラウザでSHA-1が廃止される1年前に攻撃が発生する恐れもある”

[iga_k]

SHA-1を破るコストがどんどん下がるようなサービスが出て来るの、技術的に胸熱だなぁ。（対応は大変なんだけど）

[y2_naranja]

前倒しできるのかな。SHA-2未対応の古いバージョンのデータベースも結構あるような…。それで困ったことがある

[deep_one]

Sが落ちてHA-1になってる箇所があった…H2Aではない（笑）

[Cujo]

つまり『7万5000～12万ドル程度』のベネフィットがある事案についてはすでに。。。。。

[htnmiki]

専門家がんばれー

[s025236]

INTELやAWSが頑張って安く高性能になればなるほどセキュリティリスクが高まった様に見えるのはなんとかならないんだろうか？「SHA1は10ダメポを超えると安全では無くなる2年後には10ダメポを超える予定だ」的な

[smbd]

"そうなれば、犯罪集団による悪用が現実化する時期はこれまでの予想よりも2年早まることになり" ほーん

[oooooo4150]

今月リニューアルオープンした海老名市中央図書館サイトでもSHA-1が使われています→https://ebina.city-library.jp/library/

[digitalglm]

「SHA-1の廃止前倒しを」　専門家チームが提言 - ITmedia エンタープライズ: SHA-1がこれまで考えられていたよりも大幅に安いコストで破れることが分かり、犯罪集団に悪用される危険が迫ったと指摘している。…

[nekoruri]

うあー

[deloreanmc12]

このSHA-1の問題、あまり認知されていないと思われる。自分の知ったの最近だし。。。もっと周知スべき。

[takehikom]

しゃあない

[koyancya]

参考になる -> "あと数カ月もすれば、AmazoのクラウドサービスEC2を利用して7万5000～12万ドル程度のコストで本格的なHA-1衝突攻撃を実行できるようになる"

[quick_past]

OAuthどうすんの？

[mikage014]

セキュリティの強度がいつの時点でどのくらいのコストで破れるか、で表される。分かりやすいかも。

[hatomugicha]

証明書の入れ替えはめんどう