포스팅 내용

국내외 보안동향

마이크로소프트, 차주부터 모든 SHA-1 윈도우 다운로드 제거할 예정

Microsoft to remove all SHA-1 Windows downloads next week


마이크로소프트가 마이크로소프트 다운로드 센터 내 SHA-1로 서명된 윈도우 관련 파일 다운로드를 모두 제거할 예정인 것으로 나타났습니다.


회사는 지난 화요일 공지를 통해 위 파일을 차주 월요일인 8월 3일 제거할 것이라 밝혔습니다. MS는 이러한 결정에 대한 이유로 SHA-1 알고리즘에 대한 보안을 들었습니다.


“SHA-1은 많은 보안 커뮤니티에서 더 이상 안전하지 않은 것으로 간주하는 레거시 암호화 해시입니다. 디지털 인증서에서 SHA-1 해싱 알고리즘을 사용할 경우 공격자가 콘텐츠 스푸핑, 피싱 공격, 중간자 공격 등을 실행하도록 허용할 수 있습니다.”



SHA-1, 2016년 이후로 해독 가능해져


2016년 2월 한 학계의 연구 팀이 이론적으로 SHA-1 알고리즘을 깨트린 이후부터 많은 소프트웨어 기업에서는 최근 SHA-1 알고리즘 사용을 중단하기 시작했습니다.


2017년 2월, 구글의 암호학자들이 서로 다른 두 파일이 동일한 SHA-1 파일 서명을 가진 것처럼 보이도록 하는 기술인 SHAttered를 발견한 이후 실제 공격 사례에서 이 알고리즘이 깨진 것이 발견되기 시작했습니다.


당시 SHA-1 충돌을 만들어 내기 위해서는 상당한 계산 비용이 소요될 것으로 추측되었으며, 구글의 전문가들은 이 비용이 감소될 때까지 적어도 5년간은 SHA-1를 사용할 수 있을 것으로 추측했습니다.


그러나 2019년 5월 및 2020년 1월 발표된 후속 연구에서 SHA-1 충돌 공격 비용을 11만 달러, 그 후에는 5만 달러까지 하락시킬 수 있는 방법이 공개되었습니다.


2016년부터 소프트웨어 제작 업체들은 SHA-1을 포기하고 SHA-2를 사용하기 시작했습니다. 구글은 2017년 1월 크롬 56 버전부터 SHA-1 지원을 중단하였습니다. 


파이어폭스 역시 2017년 1월  버전 51부터 SHA-1 지원을 중단하였습니다. 또한 마이크로소프트는 2017년 중반부터 에지 및 인터넷 익스플로러에서 SHA-1 지원을 중단하였습니다.


애플은 iOS 13과 맥OS Catalina에서 SHA-1을 제거했으며, OpenSSH 또한 올해 초 로그인 프로세스에서 SHA-1을 제거할 계획이라 밝혔습니다.


마이크로소프트는 2019년 8월부터 윈도우 OS 업데이트 시 서명 및 인증을 위해 SHA-1을 더 이상 사용하지 않았습니다. 현재 마이크로소프트는 제품의 SHA-1을 SHA-2로 변경하는 작업을 진행하고 있습니다.


하지만 마이크로소프트는 월요일 다운로드 센터에서 제거될 윈도우 관련 파일이 SHA-2로 서명된 새로운 다운로드 링크로 대체될지 여부는 공지하지 않아 마이크로소프트의 오래된 툴들 중 일부를 앞으로도 다운로드 가능할지는 알 수 없는 상태입니다.





출처:

https://www.zdnet.com/article/microsoft-to-remove-all-sha-1-windows-downloads-next-week/

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/sha-1-windows-content-to-be-retired-august-3-2020/ba-p/1544373

티스토리 방명록 작성
name password homepage