日本ネットワークセキュリティ協会(JNSA)の電子署名WGは2017年3月2日、米グーグルが2017年2月23日に発表したハッシュ関数「SHA-1」の攻撃成功について、影響と対策を解説した文書を公表した。
グーグルの発表は、オランダのCWI Instituteとの共同研究で、同じハッシュ値を持つ複数のデータを作成する「SHA-1の衝突」を、初めて実現したというものである。グーグルは発表に合わせて、同一のハッシュ値を持つ異なる二つのPDF文書を提示。90日後に、同じハッシュ値を持つ異なる二つのPDFを生成するためのコードを公開するとアナウンスしていた。
この発表の影響に関してJNSAは、「異なる文書Aと文書Bのハッシュ値が同一の場合、文書Aに電子署名を施したつもりでも、同時に意図しない文書Bに電子署名を施したことになり、不都合が生じることになる」と説明している。
JNSAは対策として、SHA-1に対する信頼の低下は見過ごすわけにはいかないとして、新たに生成するデジタル署名にはSHA-1を使わないことを推奨している。
また将来の攻撃の高度化に備えて、「長期署名」を適用することを推奨。これは「デジタル署名を施した文書と、それに対してSHA-1を使って付けたデジタル署名データ」に対して、さらに強固なデジタル署名を施すイメージである。
例えば、PDF文書に対する長期署名では、事実上の国際標準であるPAdES(PDF Advanced Electronic Signatures)仕様に従ってLTV(Long-Term Validation)と呼ぶ検証情報を埋め込み、ハッシュ値の作成にSHA-2(SHA-1の次世代)を使った「ドキュメントタイムスタンプ」を追加する。
グーグルが公表した攻撃手法はPDFを対象としたものだが、JNSAでは「PDFに限らず、様々な文書やデータに対してXAdESやCAdESの長期署名の適用を進めていくことを推奨する」としている。
