SSLで使われる証明書の偽造に成功、200台のPS3でMD5をクラック

Anonymous Coward曰く、

TechCrunch Japaneseで日本語の記事が出ているが、HTTPSで通信を行う際に使われる公開鍵証明書を偽造することに成功したそうだ。

HTTPSでは、接続しようとしているWebサイトが正当なものかどうかを判断するために公開鍵証明書を使用している。この公開鍵証明書は認証局の署名により「正当なものである」ことが担保されるが、今回は証明書のデジタル署名にMD5が使われていることに注目、PS3を200台使ったシステムでこの署名をクラックしてニセ証明書を作成することに成功したとのこと。

現在ではMD5は安全ではない、ということは広く知られているとは思うが、まだMD5を使用して認証を行っている認証局は少なくないようだ。対策としては認証局がMD5ではなくより強固なSHA-1などの暗号化方法を採用することくらいしか無い模様で、ユーザーサイドでは「不審なサイトには重要な情報は送信しない」ということを徹底するしかないようだ。

コメントを読む |コメントを書く | セキュリティ

関連ストーリー：
Comodo CAがサーバ証明書を関係のない第三者に発行、大問題に 2008年12月26日
Safari 3.2リリース、EV SSLに対応 2008年11月15日
政府・官公庁の証明書をMSがWindows Updateで配布 2006年09月30日