SHA-1 to SHA-2 ?

1月17日(米国時間)、Threatpostに掲載された記事「SHA-1 End Times Have Arrived|Threatpost|The first stop for security news」が、さまざまな業界でSHA-1からSHA-2への移行が叫ばれているものの、それは想定されているよりも難しい問題をはらんでいることについて伝えた。SHA-1の利用はすでにセキュアではないと評価されているが、そう簡単に移行は進まないようだ。

「SHA-1はもはやセキュアとは言えない」という評価は何年も前から発表されており、SHA-1を使ってきた業界はSHA-2などよりセキュアな技術への移行に取り組んできた。特にブラウザベンダーやオペレーティングシステムベンダー、認証局などがこの問題に積極的に取り組んできたが、クライアントからの要望などに応えるためにいくつもの妥協案の提案なども実施する状況になっている。

SHA-1をハードウェアに組み込んでいる業界では、ハードウェアの刷新を必要とすることから問題はかなり困難な状況にある。ソフトウェアアップデートが可能な業界であったとしても、場合によってはSHA-2などへの移行が困難なケースも見られる。例えば、すでにサポートが終了したとはいえ、高いシェアを持つWindows XPのInternet ExplorerはSHA-2をサポートしていない。このため、継続してSHA-1をサポートする必要があるといった状況が生まれている。

このように今後も、SHA-1の利用を停止してSHA-2などよりセキュアな技術への移行作業が継続されると見られるが、当初のロードマップのように移行は進まない可能性が出てきている。