google
vulnerability
compromised
SHA-1

メモ:Googleが世界初のSHA-1コリジョンを発生させる実践的な方法を発見したとアナウンス

More than 1 year has passed since last update.

・Google Online Security Blog: Announcing the first SHA1 collision

 https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html

 Googleが世界初のSHA-1コリジョンを発生させる実践的な方法を発見したとアナウンス。

 Googleは、90日後に、SHA-1 ShatteredのPoCのコードを公開予定。

 GmaiとGSuiteはPDFのSHA-1コリジョン攻撃を検知可能。

 MD5 → 必要機材:1台のスマートフォン、計算時間:30秒

 SHA-1 Shattered → 必要機材:110GPU、計算時間:1年間

 SHA-1 Bruteforce → 必要機材:12,000,000(1200万)GPU、計算時間:1年間

・The first collision for full SHA-1

 https://shattered.io/static/shattered.pdf

 Googleが発表した、SHA-1 Shattered攻撃のPoCに関する論文。

 Googleの設備を利用した2年間の研究の成果。

・GoogleのCWI研究所がSHA-1の実践的な初めてのSHA-1のコリジョン生成方法に関する情報を公開

 https://shattered.it/

 PoC:異なるPDFドキュメントなのにSHA-1ハッシュ値が同じになる

// SHA-1の値

$ shasum -a 1 shattered-1.pdf

38762cf7f55934b34d179ae6a4c80cadccbb7f0a

$ shasum -a 1 shattered-2.pdf

38762cf7f55934b34d179ae6a4c80cadccbb7f0a

// SHA-256の値

$ shasum -a 256 shattered-1.pdf

2bb787a73e37352f92383abe7e2902936d1059ad9f1ba6daaa9c1e58ee6970d0

$ shasum -a 256 shattered-2.pdf

d4488775d29bdef7993367d541064dbdda50d383f89f0aa13a6ff2e0894ba5ff