NISTの反応 MD4やMD5、SHA-0については実際に衝突が起きるメッセージ組の例が示されているのに対し、SHA-1については、最良の攻撃法と期待される誕生日攻撃よりも効率的に衝突を見つける攻撃法が見つかったという段階であり、Wang氏らの攻撃によっても具体的に衝突が起きる例が求まったわけではない。しかしながら、SHA-1の安全性が明らかに従来よりも大幅に低下したという意味において、現在のSHA-1の状態は、DESに対する初めての理論的な攻撃法である差分解読法が提案された1990年当時の状況と似ている。 そこで、NISTは、SHA-1に大きな問題が生じる前に、少なくとも新規の米国政府の情報システムからはSHA-1の利用を縮小させ、2010年までにはSHA-2(具体的にはSHA-256)に移行するよう誘導している。実際、「Recommendation for Key Management
![すべてはここから始まった~SHA-1の脆弱化](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)