Microsoft to remove all SHA-1 Windows downloads next week
마이크로소프트가 마이크로소프트 다운로드 센터 내 SHA-1로 서명된 윈도우 관련 파일 다운로드를 모두 제거할 예정인 것으로 나타났습니다.
회사는 지난 화요일 공지를 통해 위 파일을 차주 월요일인 8월 3일 제거할 것이라 밝혔습니다. MS는 이러한 결정에 대한 이유로 SHA-1 알고리즘에 대한 보안을 들었습니다.
“SHA-1은 많은 보안 커뮤니티에서 더 이상 안전하지 않은 것으로 간주하는 레거시 암호화 해시입니다. 디지털 인증서에서 SHA-1 해싱 알고리즘을 사용할 경우 공격자가 콘텐츠 스푸핑, 피싱 공격, 중간자 공격 등을 실행하도록 허용할 수 있습니다.”
SHA-1, 2016년 이후로 해독 가능해져
2016년 2월 한 학계의 연구 팀이 이론적으로 SHA-1 알고리즘을 깨트린 이후부터 많은 소프트웨어 기업에서는 최근 SHA-1 알고리즘 사용을 중단하기 시작했습니다.
2017년 2월, 구글의 암호학자들이 서로 다른 두 파일이 동일한 SHA-1 파일 서명을 가진 것처럼 보이도록 하는 기술인 SHAttered를 발견한 이후 실제 공격 사례에서 이 알고리즘이 깨진 것이 발견되기 시작했습니다.
당시 SHA-1 충돌을 만들어 내기 위해서는 상당한 계산 비용이 소요될 것으로 추측되었으며, 구글의 전문가들은 이 비용이 감소될 때까지 적어도 5년간은 SHA-1를 사용할 수 있을 것으로 추측했습니다.
그러나 2019년 5월 및 2020년 1월 발표된 후속 연구에서 SHA-1 충돌 공격 비용을 11만 달러, 그 후에는 5만 달러까지 하락시킬 수 있는 방법이 공개되었습니다.
2016년부터 소프트웨어 제작 업체들은 SHA-1을 포기하고 SHA-2를 사용하기 시작했습니다. 구글은 2017년 1월 크롬 56 버전부터 SHA-1 지원을 중단하였습니다.
파이어폭스 역시 2017년 1월 버전 51부터 SHA-1 지원을 중단하였습니다. 또한 마이크로소프트는 2017년 중반부터 에지 및 인터넷 익스플로러에서 SHA-1 지원을 중단하였습니다.
애플은 iOS 13과 맥OS Catalina에서 SHA-1을 제거했으며, OpenSSH 또한 올해 초 로그인 프로세스에서 SHA-1을 제거할 계획이라 밝혔습니다.
마이크로소프트는 2019년 8월부터 윈도우 OS 업데이트 시 서명 및 인증을 위해 SHA-1을 더 이상 사용하지 않았습니다. 현재 마이크로소프트는 제품의 SHA-1을 SHA-2로 변경하는 작업을 진행하고 있습니다.
하지만 마이크로소프트는 월요일 다운로드 센터에서 제거될 윈도우 관련 파일이 SHA-2로 서명된 새로운 다운로드 링크로 대체될지 여부는 공지하지 않아 마이크로소프트의 오래된 툴들 중 일부를 앞으로도 다운로드 가능할지는 알 수 없는 상태입니다.
출처:
https://www.zdnet.com/article/microsoft-to-remove-all-sha-1-windows-downloads-next-week/
TOR 제로데이 2개 공개돼, 추가로 더 공개될 예정 (0) | 2020.07.31 |
---|---|
TrickBot의 새로운 리눅스 악성코드, 윈도우 기기 은밀히 감염시켜 (0) | 2020.07.31 |
심각한 GRUB2 부트로더 취약점, 수십억 리눅스 및 윈도우 시스템에 영향 미쳐 (0) | 2020.07.30 |
Emotet 악성코드, 연락처 공격을 위해 사용자의 이메일 첨부파일 훔쳐 (0) | 2020.07.29 |
탐지가 불가능한 리눅스 악성코드, 노출된 API로 Docker 서버 노려 (0) | 2020.07.29 |
댓글 영역