RIAトピックス
リッチクライアント/RIAを主テーマに取り扱います。Flex、Ajax、AIR、Silverlight、JavaFX、etc。
スポンサーサイト
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

【ITmedia】SSL証明書の偽造に成功、ハッシュ関数の脆弱性を応用
http://www.itmedia.co.jp/enterprise/articles/0901/06/news030.html

新年明けましておめでとうございます。
本年もRIAトピックスをどうぞ宜しくお願い申し上げます。


新年最初の記事としては、
非常に思わしくない話題なんですが、
米国のセキュリティ研究者が「MD5」の脆弱性を突いて
認証局(CA)が発行するSSL証明書の偽造に成功したそうです。

現時点でこのMD5の脆弱性の解決策は無いらしく、
これを受けて、US-CERT社やMicrosoft社では
利用中止を促しているとの事。

う~ん、これは弱りましたね。

私は証明書に関しては素人なので、
今ざっと調べた範囲でしか分かりませんが、
SSL証明書はMD5のほかにも「SHA-1」という
アルゴリズムを用いて作成できるようです。
(この点に関しては自信が無いので、
必ず自身でご確認をお願いします)
当面はこちらに切り替えて利用するほか無いようですね。


※1/7追記
「HA-1はMD4のアルゴリズムを元につくられた」
というコメントを頂きました。
下記の記事からも、SHAであれば問題ないようです。


【ITpro】「SSL証明書の偽造」に研究者らが成功、計算には200台のPS3を使用
【japan.internet.com】『MD5』の脆弱性が明らかに



ヨウイチ
スポンサーサイト

テーマ:システム開発 - ジャンル:コンピュータ

コメント
この記事へのコメント
あけおめです。今年もよろしくお願いします。

SHA-1はMD4のアルゴリズムを元につくられたそうです
(Wikipediaが珍しくまともでした)

以前いた品川の現場でもMD5でなくSHA-1を採用していましたよ。
2009/01/07 (水) 11:09:12 | URL | m.uchida #-[ 編集]
コメントを投稿する
URL:
Comment:
Pass:
秘密: 管理者にだけ表示を許可する
 
トラックバック
この記事のトラックバックURL
この記事へのトラックバック
copyright © 2005 RIAトピックス all rights reserved.
Powered by FC2ブログ.
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。