Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「SHA-1」危殆化で主要ブラウザは警告表示 - MSは2017年中盤へ延期

さらに2月後半には、同じ「SHA-1」ハッシュ値を持つファイルの生成に成功したとしてGoogleの研究者がファイルを公開。衝突攻撃「SHAttered」を実証した

これを受けて、暗号技術について評価を行っているCRYPTREC暗号技術評価委員会では、すでに「SHA-1」を「CRYPTREC暗号リスト」の「運用監視暗号リスト」に追加しており、互換性維持以外の目的での利用を推奨していないと説明。

情報セキュリティ政策会議からも2008年に移行指針が発表されており、安全性の低下が進んでいるとして「SHA-256」などより安全なハッシュ関数への移行を推奨するとのコメントを出した。

ブラウザに関しては、Googleでは1月にリリースされた「Chrome 56」、Mozillaも同じく1月にリリースした「Firefox 51」で、「SHA-1」を用いて生成されたパブリック証明書について安全とは見なさず、警告を表示するよう変更した。

Microsoftに関しては、「Microsoft Edge」および「Internet Explorer 11」において、2月の月例更新で警告表示を行うよう対応する予定だったが、月例更新を延期。当初の対応計画についても変更し、2017年中盤に対応する見込み。

(Security NEXT - 2017/03/14 ) このエントリーをはてなブックマークに追加

PR

関連記事

米NSA、脆弱なTLS構成の利用排除を要請
米連邦政府機関に「SolarWinds Orion」製品の遮断命令
サーバ証明書、最長でも約13カ月 - 毎年更新が必須に
SSL/TLSを取り巻く状況や鍵管理に関する文献調査を実施 - IPA
広く利用される暗号化ライブラリに脆弱性「ROCA」 - 鍵長1024ビットなら解析コストは1万円以下
「IE」や「Edge」でも「SHA-1」利用サイトの読み込みをブロック - 警告を表示
GoogleとCWI、同一「SHA-1ハッシュ」持つ2種類のPDFを公開 - 衝突攻撃「SHAttered」を実証
Apple、「iOS 8.2」を公開 - 「FREAK」に対応
一部サイトで「FREAK」対策はじまるものの出足鈍く
Windowsに「FREAK」の脆弱性 - 定例外パッチ含めMSが対応検討