SSLで使われる証明書の偽造に成功
200台のPS3でMD5をクラック
TechCrunch Japaneseで日本語の記事が出ているが、HTTPSで通信を行う際に使われる公開鍵証明書を偽造することに成功したそうだ。
HTTPSでは、接続しようとしているWebサイトが正当なものかどうかを判断するために公開鍵証明書を使用している。この公開鍵証明書は認証局の署名により「正当なものである」ことが担保されるが、今回は証明書のデジタル署名にMD5が使われていることに注目、PS3を200台使ったシステムでこの署名をクラックしてニセ証明書を作成することに成功したとのこと。
現在ではMD5は安全ではない、ということは広く知られているとは思うが、まだMD5を使用して認証を行っている認証局は少なくないようだ。対策としては認証局がMD5ではなくより強固なSHA-1などの暗号化方法を採用することくらいしか無い模様で、ユーザーサイドでは「不審なサイトには重要な情報は送信しない」ということを徹底するしかないようだ。
ニュースソースはこちら・・・
関連Link
MD5コリジョンでインチキ認証局は作れる(ネットにとっては悪い報せ)
0 件のコメント:
コメントを投稿