IPA テクニカルウォッチ 『暗号をめぐる最近の話題』に関するレポート
こんにちは、丸山満彦です。IPAが「IPA テクニカルウォッチ 『暗号をめぐる最近の話題』に関するレポート ~SSL/TLSや暗号世代交代に関連する話題から~」を公表していました。。。
=====
オンラインショッピング、インターネットバンキング、ネットトレード等のサービスでは、送信する情報を暗号化するため、および接続先のWebサーバが正当なものであるか確認するため、SSL/TLSプロトコルが利用されています。そして、そのようなサイトの「セキュリティ」の項目をみると、ほぼ例外なく「お客様の情報を守るために“SSLという暗号化技術” を採用」といった記載がされています。しかし、そのSSL/TLSプロトコルに関する事故が最近複数発生しており、一般ユーザーが被害を受ける恐れがあったことが判明しました。
報道によれば個人情報が悪用されるなどの深刻な被害には至っていないようですが、IPAではこれらの事故について深刻な事案と捉え、特に「Comodo社による不正SSLサーバ証明書(*2)発行」と「大手百貨店のWebサーバ設定ミス」について、公開されている情報から事故内容を分析し、事故からくみ取るべき教訓や対処法について取りまとめました。
=====
とのこと。。。後、
=====
「改訂された暗号アルゴリズム移行方針SP800-131A」と「新たな米国政府標準ハッシュ関数策定(SHA-3コンペやDRAFT FIPS 180-4)」に関する最新情報についても取りまとめました。
=====
だそうで。。。
■IPA
・2011.05.11 IPA テクニカルウォッチ 『暗号をめぐる最近の話題』に関するレポート ~SSL/TLSや暗号世代交代に関連する話題から~
Comodo社による不正SSLサーバ証明書発行の経緯については、次のように説明しています。。。
=====
今回の事件は、WebTrust for CAを取得している Comodo 社の CA から不正 SSL サーバ証明書が“通常の手続き”を経て発行されたことである。Comodo 社の Incident report [1]によれば、その経緯は以下のとおりである。
1. 2011 年 3 月 15 日、SSL サーバ証明書の発行にあたって身元を確認する Comodo 社の登録機関RA (Registration Authority)の一つで、あるユーザアカウントがクラックされる(その攻撃では主にイランに割り当てられている IP アドレスが使われた)
2. クラックされたユーザアカウント上に新たなユーザ ID が作られる
3. 2.で作った新たなユーザ ID を使って、(見掛け上正当な)証明書署名要求 CSR (Certification Signing Request)が 9 つ ( ド メ イ ン と し て は 7 つ – mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, login.live.com, global trustee)不正に作られる
4. 3.で不正に作られた 9 つの CSR に対して、Comodo 社の CA に(不正な)SSL サーバ証明書の発行依頼が通常の手続きに従って行われる
5. 受け付けた CSR のいくつかについて(不正な)SSL サーバ証明書を通常の手続きに従って発行
=====
WebTrustの第三者認証を受けているからといって、完璧ではありません。。。あたりまえですけど。。。それなりという感じで。。。
Sha-3の最終選考に残ったのは。。。
・BLAKE(産学連携型 – スイス、英国)
・Grøstl(大学連携型 – デンマーク、オーストリア)
・JH(国立研究所型 – シンガポール)
・Keccak(半導体企業連携型 – スイス、オランダ)
・Skein(産学連携型 – 米国、英国、ドイツ)
■このブログ
・2011.03.24 SSL認証局が偽の証明書を発行 (WebTrustとってますが。。。)
Comments