to site top page

クロスルート証明書が抱える可能性

前回の続き.

※下記,あくまで可能性の話です.実際に解読されたとか言う話ではありません.

およそ2年半前の記事なので古いし今更なんですけどね.上記のページにも書いてあるとおり古い携帯端末だと2048bit公開鍵を持ったルート証明書がインストールされてないものもあるわけです.聞いた所によると,所謂「ガラケー」と呼ばれる「3G回線対応の非スマートフォン」(認識あってる?)は内部のROMにこの手の情報を生産段階で「焼き付け」(と表現していた)ているらしくルートの追加が出来ないとかなんとか.あとはLAN内からWindows Update Serverへのアクセスを制限している場合なんかもルートの更新が出来ない場合があり,古いOSだと2048bit公開鍵のルート証明書が無かったりします.(UpdateServerへのアクセス制限してる所が自由にWebを閲覧できるとは思えないので2048bitじゃないと危険だ!とは断言できませんが.)

そのための対応としてVeriSignやCybertrustなんかはクロスルート方式なんてものを編み出し古いルートからも検証可能にした訳ですが…….

VeriSignの「Class 3 Public Primary Certification Authority」にしろ,Cybertrustの「GTE CyberTrust Global Root」にしろ以下の問題を抱えてます.

ルート証明書の公開鍵の鍵長が1024bit

どちらのルートもRSA鍵を使っていますが,NIST:アメリカ国立標準技術研究所が2010年末で廃止すると定めたのが80bit強度(汎用的な解読方法,例えば総当たりなど,を使用して解読を試みた場合の計算量が80bit相当ということ)の暗号で,1024bitのRSAがこれに該当します.近い将来解読される可能性が高いという訳です.今もう2013年ですよ.2年前ですよ期限は.まだ解読されたわけではないですから,今このタイミングでは使えるかもしれませんが,解読されるのは時間の問題になりつつあります.

加えて,「GTE CyberTrust Global Root」は以下の問題も抱えてます.

署名方式がMD5

MD5はすでに強衝突耐性(2つの異なるデータから同一のハッシュが生成できない事)が無いに等しい状況になっていますが,強衝突耐性がないということは,そう遠くない将来弱衝突耐性(あるデータから生成したハッシュと同一のハッシュを持つ別のデータを発見できない事)も破られる可能性が強いです.弱衝突耐性がなくなってしまうと署名を偽造することが可能になります.

まとめて

仮に,の話ですが,「GTE CyberTrust Global Root」の秘密鍵が解読されたりすると,不正な中間CA証明書が発行し放題です.不正な中間CA証明書が発行できると「サーバ証明書付きフィッシングサイト」が作れるようになります.怖いですね.何を信用していいのか分からなくなります.

実際に起きた話ですが,MD5の衝突を探し当て,某巨大OS会社のCA証明書をRootに持つような証明書を偽造し,デジタル署名を埋め込み安全なアプリケーションを装う裏で盗聴しまくった(かどうかは知らない)Flameってマルウェアが見つかりました.怖いですね.

以上,結局可能性の話しかしてないんですが,「あなたが壁に何度も体当たりしているといつか壁の向こう側へすり抜けることが出来る可能性」よりはRSA1024bitが解読されたりMD5の弱衝突耐性が破られる可能性の方が十分に高いです.まぁ,大体の可能性が壁すり抜ける可能性より高いですが(と思ってる.根拠は無い).証明書の購入先を変更するのが著しく大変(課内審査→部内審査→取締役審査→社長のハンコ,みたいな.知らんけど.)では無い限り,クロスルートとかいって1024bitルートを起点にして「99%以上対応!」などと言ってる所よりは2048bitルートを起点にして「99%以上対応!」と言ってる証明書ベンダーの方が信用できるんじゃないですかね?別にどこが信用できてどこが信用出来ないかなどと言うつもりはまったくありませんが

can't load my result

前後の記事

最近の記事(5件分)

する事

そのうち記事にするかもリスト

欲しい本