2015.06.04

페이스북, 앱 개발자에 좀더 강력한 디지털 검증 의무화

Jeremy Kirk | IDG News Service
페이스북이 SHA-1 해시 알고리즘 사용을 중단하려는 업계의 움직임을 따르고 있다.

 
이미지 출처 : IDGNS

페이스북이 애플리케이션 개발자들에게 올해 말까지 프로그램의 정당성을 확인하는 데 사용되는 애플리케이션용 디지털 서명보다 안전한 유형으로 바꿀 것을 요구할 예정이다.

10월 1일부로 애플리케이션은 SHA-1가 아닌 SHA-2 인증을 사용해야 한다. SHA-1과 SHA-2는 모두 수학적으로 검증할 수 있는 디지털 인증서의 해시 값을 생성하는 데 사용되는 암호화 알고리즘이다.

10월 이후 SHA-1을 사용하는 애플리케이션은 이제 페이스북에서 작동하지 않을 것이라고 이 회사의 프로덕션 엔지니어인 아담 그로스는 블로그에서 밝혔다. 

"우리는 개발자들에게 페이스북에 연결된 기기, 애플리케이션, SDK가 SHA-2 표준을 지원하는지 확인해 볼 것을 권장하고 있다”라고 그로스는 전했다. 

SHA-1은 약 10년 동안 약한 것으로 간주됐다. 연구원들은 SHA-1가 동일한 위조 인증서를 만들 가능성이 있음을 밝혀냈다. 

해시 충돌이라고 하는 일종의 공격 유형은 실제로 그것이 같은 SHA-1 해시로 위장된 것일 때에 정당한 디지털 인증서와 상호작용하고 있다고 생각하게 만들어 컴퓨터를 속일 수 있었다. 이러한 인증서를 사용하면 공격자는 사용자와 애플리케이션이나 웹 사이트 간의 연결을 감시할 수 있다.

마이크로소프트, 구글, 모질라 및 기타 단체도 SHA-1에서 벗어나 자신들이 신뢰받지 않는 사이트에 연결하는 사용자에게 경고하겠다고 발표한 바 있다. 

웹 보안에 대한 개발자 베스트 프랙티스인 인증서 및 브라우저 포럼(Certificate and Browser Forum)은 디지털 인증서 발급자가 1월 1일부로 SHA-1 사용을 중단할 것을 권장한 바 있다. ciokr@idg.co.kr



2015.06.04

페이스북, 앱 개발자에 좀더 강력한 디지털 검증 의무화

Jeremy Kirk | IDG News Service
페이스북이 SHA-1 해시 알고리즘 사용을 중단하려는 업계의 움직임을 따르고 있다.

 
이미지 출처 : IDGNS

페이스북이 애플리케이션 개발자들에게 올해 말까지 프로그램의 정당성을 확인하는 데 사용되는 애플리케이션용 디지털 서명보다 안전한 유형으로 바꿀 것을 요구할 예정이다.

10월 1일부로 애플리케이션은 SHA-1가 아닌 SHA-2 인증을 사용해야 한다. SHA-1과 SHA-2는 모두 수학적으로 검증할 수 있는 디지털 인증서의 해시 값을 생성하는 데 사용되는 암호화 알고리즘이다.

10월 이후 SHA-1을 사용하는 애플리케이션은 이제 페이스북에서 작동하지 않을 것이라고 이 회사의 프로덕션 엔지니어인 아담 그로스는 블로그에서 밝혔다. 

"우리는 개발자들에게 페이스북에 연결된 기기, 애플리케이션, SDK가 SHA-2 표준을 지원하는지 확인해 볼 것을 권장하고 있다”라고 그로스는 전했다. 

SHA-1은 약 10년 동안 약한 것으로 간주됐다. 연구원들은 SHA-1가 동일한 위조 인증서를 만들 가능성이 있음을 밝혀냈다. 

해시 충돌이라고 하는 일종의 공격 유형은 실제로 그것이 같은 SHA-1 해시로 위장된 것일 때에 정당한 디지털 인증서와 상호작용하고 있다고 생각하게 만들어 컴퓨터를 속일 수 있었다. 이러한 인증서를 사용하면 공격자는 사용자와 애플리케이션이나 웹 사이트 간의 연결을 감시할 수 있다.

마이크로소프트, 구글, 모질라 및 기타 단체도 SHA-1에서 벗어나 자신들이 신뢰받지 않는 사이트에 연결하는 사용자에게 경고하겠다고 발표한 바 있다. 

웹 보안에 대한 개발자 베스트 프랙티스인 인증서 및 브라우저 포럼(Certificate and Browser Forum)은 디지털 인증서 발급자가 1월 1일부로 SHA-1 사용을 중단할 것을 권장한 바 있다. ciokr@idg.co.kr

X