미국 상무부 산하 기관인 NIST(National Institute of Standards and Technology)는 목요일 SHA-1 암호화 알고리즘을 공식적으로 폐기한다고 발표했다.
더해커뉴스에 따르면, 보안 해쉬 알고리즘(Secure Hash Algorithm) 1의 줄임말인 SHA-1은 암호화에 사용된지 27년 된 해시 함수로 충돌 공격(collision attack)의 위험으로 인해 손상된 것으로 간주되었다고 보도했다.
해시는 되돌릴 수 없도록 설계되었지만(즉, 고정 길이의 암호화된 텍스트에서 원래 메시지를 재구성하는 것이 불가능해야 함) SHA-1의 충돌 저항이 부족하여 두 개의 다른 입력에 대해 동일한 해시 값을 생성할 수 있다.
2017년 2월 CWI 암스테르담과 구글의 연구원 그룹은 SHA-1에서 충돌을 생성하여 알고리즘의 보안을 효과적으로 약화시키는 최초의 실용적인 기술을 공개했다.
연구원은 "예를 들어, 두 개의 충돌하는 PDF 파일을 임대료가 다른 두 개의 임대 계약서로 조작함으로써 누군가가 낮은 임대료 계약에 서명하도록 하여 높은 임대료 계약에 대한 유효한 서명을 생성하도록 속일 수 있다."라고 말했다.
SHA-1에 대한 암호 분석 공격으로 인해 NIST는 2015년에 미국의 연방 기관에 충돌 저항이 필요한 디지털 서명, 타임스탬프 및 기타 응용 프로그램을 생성하는 알고리즘 사용을 중단하도록 명령했다.
승인된 암호화 알고리즘 목록을 관리하는 NIST의 CAVP(Cryptographic Algorithm Validation Program)에 따르면 2018년 1월 이후 승인된 라이브러리가 2,272개나 여전히 SHA-1을 지원하는 것으로 조사됐다.
NIST는 알고리즘에 의존하는 사용자에게 전자 정보보안을 위해 SHA-2 또는 SHA-3로 마이그레이션할 것을 촉구하는 것 외에도 SHA-1을 2030년 12월 31일까지 완전히 단계적으로 중단할 것을 권장한다.
우리나라는 국정원에서 최소한 SHA-256이상 사용할 것을 규정하고 있으며, 2020년 6월 미국 NSA에서 안전한 VPN 사용을 위한 제안서를 발표 했는데, 최소 권장사항 중에 Hash함수는 SHA-384 Hash를 사용하라고 권장하고 있다.
★정보보안 대표 미디어 데일리시큐!
출처 : 데일리시큐(https://www.dailysecu.com)
'▶ BaroSolution > 기술문서' 카테고리의 다른 글
‘전자금융감독규정’ 개정 등 법제도 이슈에 따른 클라우드 보안시장 전망 (0) | 2023.01.02 |
---|---|
2차 인증의 우회 기술을 방어할 수 있는 방안(2 Factor 인증 + 중간자 공격 방어) (0) | 2022.12.29 |
보안 강화를 위한 2차 인증 솔루션 도입 시 검토사항 (0) | 2022.12.25 |
BaroPAM이 추구하는 보안전략은 한마디로 제로트러스트 보안모델이다. (0) | 2022.10.30 |
2차 인증을 도입했다는 것이 아니라 어떤 2차 인증을 도입했느냐가 관건 (1) | 2022.10.09 |