SHA-1: Secure Hash Algorithm

Googleは2月23日(米国時間)、「Google Online Security Blog: Announcing the first SHA1 collision」において、研究者らとの共同作業の結果、実用的なレベルで同一のSHA-1ダイジェストを生成するデータの作成に成功したと伝えた。SHA-1はすでに安全とは言えないとしてWebブラウザベンダーや認証局などが数年以上前から利用の停止へ向けた取り組みを続けている。今回の発表でさらにこうした取り組みを加速させる必要が出てきたと言える。

SHA-1はハッシュ関数の1つで、ハッシュ関数は任意の長さのデータから固定長のハッシュ値を生成するものとなる。ハッシュ値から元のデータを推測することは困難であるという点が暗号的な強さとなっている。このため、逆に特定のハッシュ値になる任意長のデータを故意に生成できるようになると、そのハッシュ関数は安全とは言い難いということになる。

SHA-1はすでに安全とは言えないことは10年以上前から指摘されており、さまざまな業界でSHA-1の利用廃止へ向けた取り組みが進められている。今回Googleは研究者らと協力し、Googleのクラウドプラットフォームを利用することで大規模計算を実施し、同一のダイジェストを生成するドキュメントデータの生成に成功した。SHA-1を実用的な攻撃対象として利用できることが示唆されたことになり、今後さらにSHA-1からより強度の強いハッシュ関数への移行要求が高まるものと見られる。