SHA-1 해독 및 TLS, IPSec에 대한 영향

중국 암호학자들이 SHA-1에 대한 새로운 암호 해독 결과를 발표했다고 합니다.
brute force 공격을 통해서 SHA-1을 해독하려면 2⁸⁰번 시도를 해야하고, 이전에 발표에서는 2⁶⁹번 시도를 하면 된다는 결과였는 데, 이번에 발표된 것은 2⁶³번 시도하면 된다고 하는군요...

잘 모르시겠다구요? 한 마디로 전자서명값이 같은 두 개의 문서를 찾기 위한 시간이 엄청나게 많이 단축되었다는 얘기입니다.

가령 이런 공격이 가능해집니다.

1. 전자서명된 계약서들을 긁어모은다
   
2. 암호학자들이 고안한 방법에 따라 긁어모은 계약서들과 동일한 전자서명값을 가지는 다른 문서들을 찾는다.
   
3. 위 결과 계약서의 중요부분(예: 계약금액)이 다르면서, 동일한 전자서명값을 가지는 문서를 찾는 경우 계약을 속일 수 있다.

위의 계약은 인터넷 뱅킹 계좌이체, 쇼핑몰 30만원 이상 거래, 전자입찰 등 공인인증서 거래가 해당됩니다.

위 암호 해독이 TLS, S/MIME 등에 미치는 영향에 대해 분석한 논문도 참고하세요...

technorati tags : 암호 , 보안 , SHA-1 , 해독