社のブログサイトに記事を書くことになりました。業務ではセキュリティー基礎技術の応用が中心ですが、基礎技術そのものの成り立ちに興味がないわけではありません。しばらくの間は、比較的得意な分野(OpenSSL、デジタル証明書、SSL)を中心に書くつもりです。よろしくおねがいします。
以下は2009年1月7日に社内向けブログに書いた記事です。一年前になりますが、2008年末のMD5アルゴリズムへの攻撃に、電子証明書のフォーマット特性、認証局の証明書発行処理特性を組み合わせた証明書偽造は衝撃的でした。攻撃に使った、PS3 200台によるクラスタの写真も印象的でした。
その後一年、MD5アルゴリズムへの攻撃に関する新たなトピックはありませんが、今年2010年には、さらに派手な攻撃成功が報告されると期待しています。SHA-1への攻撃が先かもしれませんが。
……………………
昨年末(2008/12/30)、とある研究者が、これまでに見つかっているMD5アルゴリズムの攻撃方法を組み合わせて、任意のSSLサーバ証明書を作る方法について発表しました。発表概要と内容(PDF)。
MD5アルゴリズムの攻撃方法は、過去数年にわたって開発され続け、何度かニュースになりました。ニュースの中には、「Subject DNが異なる2つのX.509証明書の生成に成功」というのもありました(2006年)。結果的に現時点では、「新たに採用するシステムで、単体の署名用の署名アルゴリズムとしてMD5を使うことはできない」というのがこれまでの基本認識です。攻撃方法が明らかになった後に作られたMD5ダイジェスト値を、人に信じろと言うのはなかなか難しい。
このような中で、今回の発表のインパクトが大きいのは、とある条件を満たせば、稼動済みのCAですら攻撃できることが明らかになった点です。条件の詳細は要望があれば今後どこかに書くとして、上記PDFのp.26がその根っこです。うまいこと考えるものです。
研究者らが見つけた、「とある条件」に当てはまる既存CA群については、幸いにして早々にCA側で対策が取られたとのこと(MD5署名による証明書発行の停止、SHA-1への移行が行われた)。VeriSignと、発見した研究者らの間では、互いに無責任・間違いだとするやり とり もあったんだけど、無事収まったようです。
というわけで、年末からの騒ぎも一息ついたものの、MD5アルゴリズムの攻撃方法を活用(悪用)するうまい方法が、他にも存在し、かつ近々に見つかる可能性は十分高い。「いかなる理由でも、単体の署名用の署名アルゴリズムとしてMD5は使えない」に認識を改めないといけません。
※電子政府調達暗号アルゴリズム的には、もう「新たに採用するシステムではSHA-2」なんですけどね。
このような中で、今回の発表のインパクトが大きいのは、とある条件を満たせば、稼動済みのCAですら攻撃できることが明らかになった点です。条件の詳細は要望があれば今後どこかに書くとして、上記PDFのp.26がその根っこです。うまいこと考えるものです。
研究者らが見つけた、「とある条件」に当てはまる既存CA群については、幸いにして早々にCA側で対策が取られたとのこと(MD5署名による証明書発行の停止、SHA-1への移行が行われた)。VeriSignと、発見した研究者らの間では、互いに無責任・間違いだとするやり とり もあったんだけど、無事収まったようです。
というわけで、年末からの騒ぎも一息ついたものの、MD5アルゴリズムの攻撃方法を活用(悪用)するうまい方法が、他にも存在し、かつ近々に見つかる可能性は十分高い。「いかなる理由でも、単体の署名用の署名アルゴリズムとしてMD5は使えない」に認識を改めないといけません。
※電子政府調達暗号アルゴリズム的には、もう「新たに採用するシステムではSHA-2」なんですけどね。
[追記]
後日、k_urushimaさんの「MD5サブCA偽造問題の解決って本当?」という記事に、本件関連のコメントをさせていただいたのですが、そこで紹介したFirefox用のadd-on「SSL Blacklist 4.0」について、k_urushimaさんがインストール紹介記事を書かれています。紹介したはいいものの、Chrome使いの私はまだ試していなかったので参考になります。例示の証明書がjvn.jpのもの、というのも気が利いてます。:-)
コメント