http://www.itmedia.co.jp/enterprise/articles/0901/06/news030.html
新年明けましておめでとうございます。
本年もRIAトピックスをどうぞ宜しくお願い申し上げます。
新年最初の記事としては、
非常に思わしくない話題なんですが、
米国のセキュリティ研究者が「MD5」の脆弱性を突いて
認証局(CA)が発行するSSL証明書の偽造に成功したそうです。
現時点でこのMD5の脆弱性の解決策は無いらしく、
これを受けて、US-CERT社やMicrosoft社では
利用中止を促しているとの事。
う〜ん、これは弱りましたね。
私は証明書に関しては素人なので、
今ざっと調べた範囲でしか分かりませんが、
SSL証明書はMD5のほかにも「SHA-1」という
アルゴリズムを用いて作成できるようです。
(この点に関しては自信が無いので、
必ず自身でご確認をお願いします)
当面はこちらに切り替えて利用するほか無いようですね。
※1/7追記
「HA-1はMD4のアルゴリズムを元につくられた」
というコメントを頂きました。
下記の記事からも、SHAであれば問題ないようです。
【ITpro】「SSL証明書の偽造」に研究者らが成功、計算には200台のPS3を使用
【japan.internet.com】『MD5』の脆弱性が明らかに
ヨウイチ
新年明けましておめでとうございます。
本年もRIAトピックスをどうぞ宜しくお願い申し上げます。
新年最初の記事としては、
非常に思わしくない話題なんですが、
米国のセキュリティ研究者が「MD5」の脆弱性を突いて
認証局(CA)が発行するSSL証明書の偽造に成功したそうです。
現時点でこのMD5の脆弱性の解決策は無いらしく、
これを受けて、US-CERT社やMicrosoft社では
利用中止を促しているとの事。
う〜ん、これは弱りましたね。
私は証明書に関しては素人なので、
今ざっと調べた範囲でしか分かりませんが、
SSL証明書はMD5のほかにも「SHA-1」という
アルゴリズムを用いて作成できるようです。
(この点に関しては自信が無いので、
必ず自身でご確認をお願いします)
当面はこちらに切り替えて利用するほか無いようですね。
※1/7追記
「HA-1はMD4のアルゴリズムを元につくられた」
というコメントを頂きました。
下記の記事からも、SHAであれば問題ないようです。
【ITpro】「SSL証明書の偽造」に研究者らが成功、計算には200台のPS3を使用
【japan.internet.com】『MD5』の脆弱性が明らかに
ヨウイチ
この記事へのコメント
あけおめです。今年もよろしくお願いします。
SHA-1はMD4のアルゴリズムを元につくられたそうです
(Wikipediaが珍しくまともでした)
以前いた品川の現場でもMD5でなくSHA-1を採用していましたよ。
SHA-1はMD4のアルゴリズムを元につくられたそうです
(Wikipediaが珍しくまともでした)
以前いた品川の現場でもMD5でなくSHA-1を採用していましたよ。
2009/01/07 (水) 11:09:12 | URL | m.uchida #-[ 編集]
| ホーム |
