Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「SHA-1」危殆化で主要ブラウザは警告表示 - MSは2017年中盤へ延期

ハッシュアルゴリズム「SHA-1」が危殆化し、同アルゴリズムをもとに作成されたパブリックサーバ証明書は、安全ではないとし、主要ブラウザにおいて注意を促すアラートを表示するなど対応が進んでいる。

ハッシュ値は、データを元に特定アルゴリズムによって生成する固定長の文字列。ユニークなハッシュ値を生成し、それらを比較することでデータの同一性を確認できるとし、暗号通信やファイル署名など広く利用されている。

一方、コンピュータの計算能力や解読技術の向上により、ハッシュアルゴリズムが危殆化すると、本来ユニークであるべき「ハッシュ値」を持つデータを意図的に複数作製する「コリジョン攻撃」が可能となり、「SHA-1」について危殆化が指摘されている。

業界団体「CA/Browser Forum」では、同アルゴリズムを用いたSSL/TLSサーバ証明書を安全と見なさず、利用を廃止する方針を打ち出しており、すでに公的な認証局も「SHA-1証明書」の発行を中止。ブラウザ側も閲覧時に警告やエラーが表示するなど対応が進められている。

(Security NEXT - 2017/03/14 ) このエントリーをはてなブックマークに追加

PR

関連記事

広く利用される暗号化ライブラリに脆弱性「ROCA」 - 鍵長1024ビットなら解析コストは1万円以下
「IE」や「Edge」でも「SHA-1」利用サイトの読み込みをブロック - 警告を表示
GoogleとCWI、同一「SHA-1ハッシュ」持つ2種類のPDFを公開 - 衝突攻撃「SHAttered」を実証
Apple、「iOS 8.2」を公開 - 「FREAK」に対応
一部サイトで「FREAK」対策はじまるものの出足鈍く
Windowsに「FREAK」の脆弱性 - 定例外パッチ含めMSが対応検討
Wi-Fi暗号化「実施していない」2割、年々増加 - IPA調査
IPAとNISC、包括的な協力協定を締結 - サイバーセキュリティ基本法の施行を受けて
NICT、暗号化状態で演算できる「準同型暗号」に鍵長伸ばす技術 - 100年以上の保護が可能に
MS、「MD5ハッシュ」のルート証明書を無効化へ - 自動更新でプログラム配信