SSLで使われる証明書の偽造に成功、200台のPS3でMD5をクラック 31
ストーリー by hylom
影響は小さくない、 部門より
影響は小さくない、 部門より
Anonymous Coward曰く、
TechCrunch Japaneseで日本語の記事が出ているが、HTTPSで通信を行う際に使われる公開鍵証明書を偽造することに成功したそうだ。
HTTPSでは、接続しようとしているWebサイトが正当なものかどうかを判断するために公開鍵証明書を使用している。この公開鍵証明書は認証局の署名により「正当なものである」ことが担保されるが、今回は証明書のデジタル署名にMD5が使われていることに注目、PS3を200台使ったシステムでこの署名をクラックしてニセ証明書を作成することに成功したとのこと。
現在ではMD5は安全ではない、ということは広く知られているとは思うが、まだMD5を使用して認証を行っている認証局は少なくないようだ。対策としては認証局がMD5ではなくより強固なSHA-1などの暗号化方法を採用することくらいしか無い模様で、ユーザーサイドでは「不審なサイトには重要な情報は送信しない」ということを徹底するしかないようだ。
このコピペいい加減有害だと思う (スコア:5, すばらしい洞察)
その不審なサイトかどうか判別が不可能になるって話でしょ? それとも「未だに証明書のハッシュにMD5を使っているサイト」=「不審なサイト」と定義するんでしょうか。
Re:このコピペいい加減有害だと思う (スコア:5, すばらしい洞察)
偽のCAは任意のサイトに対して好きなように署名したサイト証明書を発行し放題。
で、たとえばexample.comの偽の証明書を偽のCAで署名して、犠牲者にMITM攻撃をしかけると、
犠牲者からは https://example.com/ [example.com] にアクセスしていてちゃんと認証されているようにしか見えない。
認証チェインを確認すれば怪しいCAが間に入っているのに気づくかもしれないけれど…
これ、ユーザ側で出来ることといったら「未だに証明書のハッシュにMD5を使っているようなCAのルート証明書をブラウザから外す」ことくらいじゃないかなと思うんですが、どうなんでしょ。
Re:このコピペいい加減有害だと思う (スコア:1)
たとえ、上位CAからMD5withRSAで発行してもらった中間CAでも、過去に (将来もですが) 発行した証明書やCRLの署名アルゴリズムがすべてMD5withRSA以外であれば、まったく問題はないです。
MD5withRSAの自己署名証明書をもったルートCAの場合でも、自己署名証明書以外に発行した証明書やCRLの署名アルゴリズムがすべてMD5withRSA以外であれば、事実上問題はないはずです (悪用可能なデータが1つはあるので、可能性は零ではないにしろ)。
iida
Re: (スコア:0)
「"未だに証明書にMD5でサインしてしまうCA"のルート証明書をブラウザから外す」
が正しいように思います。
「証明書ハッシュにMD5を使っている」ではなく(充分に問題ではあるが今回の件で
致命的に危殆化したわけではない)、「今後もMD5でサインし続ける」ことがポイントです。
Re: (スコア:0)
その場合、そのrogue CAが署名した偽証明書が不正であることを見抜けないのでは。
Re:このコピペいい加減有害だと思う (スコア:1, すばらしい洞察)
> 不審なサイトかどうか判別
不正かどうかは判別するものだが,不審かどうかは判断するものかと
Re: (スコア:0)
連絡先電話番号が書いてないサイト=不審なサイト [srad.jp]
# 「正規サイト」って表現もなんだかなぁ
Re:このコピペいい加減有害だと思う (スコア:2, すばらしい洞察)
> 不審なサイト http://dotslash.jp/ [dotslash.jp]
>
> ということですね!
むしろ逆で、
http://dotslash.jp/ [dotslash.jp]には電話番号が書いてあるから正規サイトで、
http://srad.jp/ [srad.jp]にはない(と思う)から不審なサイトなのでは?
つまり (スコア:0)
不審なサイト http://dotslash.jp/ [dotslash.jp]
ということですね!
Re:つまり (スコア:1, 興味深い)
既にあります (スコア:0)
Re: (スコア:0)
Mozillaの対応 (スコア:5, 参考になる)
No need to panick (スコア:3, 参考になる)
• We’ve talked to the affected CAs: they will switch to SHA-1 very, very soon
だそうです。また、Conclusion として、
• No need to panic, the Internet is not completely broken
• The affected CAs are switching to SHA-1
と、書いてあります。
#自分が持ってる証明書の CA が、MD5 (orz)なので、火消しモード
Re: (スコア:0)
で、日本ではガラパゴスケータイやDS何とかがいつまでもMD5な証明書のCAに依存し続けるので切り替え不可能になるのですね。わかります。
Microsoft Security Advisory (961509) [microsoft.com]より引用
Re:No need to panick (スコア:2, すばらしい洞察)
Re:No need to panick (スコア:1, すばらしい洞察)
真っ当に判断できない素人多数なので騙され放題
関連ストーリー (スコア:2, 参考になる)
SHA-2かSHA-3に? (スコア:2, 参考になる)
ソニーのAURORAはニュースになってましたね。シュナイアーさんもSkein [wikipedia.org]てのを提案しているそうで。
これらがSSL/TSLの仕様に入るのはいつになるのか
Re:SHA-2かSHA-3に? (スコア:1, すばらしい洞察)
○ TLS
PS3 (スコア:1, すばらしい洞察)
用途がずれてる感じもあるが。
200台x4万円=800万円
場所はとりそうだけど。
Re:PS3 (スコア:2, おもしろおかしい)
ちょっとしたマンモス団地にPS3を配布してクラウドコンピューティングさせたら、結構いい感じのマシンパワーが供給できる気がします。
fjの教祖様
Re:PS3 (スコア:3, おもしろおかしい)
Re:PS3 (スコア:1)
はっはっは。酔ってる~~
fjの教祖様
Re: (スコア:0)
ブレーカーが落ちないように専用電源を引く必要はあるだろうけど
ちなみに (スコア:0)
Re:IPv6 (スコア:2, すばらしい洞察)
Re: (スコア:0)
Re: (スコア:0)
ま、IPv4の欠点ちゃ欠点だけど、IPv6は永遠に来ないかもね・・・土壇場にIPv4.1とか誕生して永遠に忘れ去られるんじゃない?
一旦ケチが付いた規格はどんなに優れてても普及しない感があるし、何せ互換性がなさすぎる。それに何もかも詰め込んだことが禍して、今のSSLのように暗号に欠陥が見つかればIPv6の欠陥だと言われてしまいかねないし。