MS、更新プログラムでRSA 1024ビット未満の暗号鍵を無効化

Microsoftの15日（日本時間）にリリースする月例の更新プログラムでは、強度が脆弱なRSA 1024ビット未満の暗号鍵をブロックするプログラムも提供する。

[ITmedia]

　米Microsoftが日本時間の8月15日にリリースする月例セキュリティ情報では、同社製品の脆弱性修正プログラムに加え、強度が脆弱とされるRSA 1024ビット未満の暗号鍵をブロックするプログラム（KB2661254）の提供も予定している。

　今回の措置は、米国立標準技術研究所（NIST）が2004年に発表した、暗号強度が脆弱な鍵の運用停止に関する勧告に基づくもので、俗に「暗号の2010年問題」と呼ばれる問題に対処する形だ。なお、NISTの勧告ではRSA 1024ビット長などの鍵の運用を停止すべきとしているが、Microsoftの更新プログラムの適用でブロックされるのは1024ビット“未満”の暗号鍵となる。

　同社によると影響を受けるシステムは、Window XP/Vista/7/Server 2003/Server 2008/Server 2008 R2。更新プログラムの適用で、1024ビット未満の鍵を使用するWebサイトの閲覧や証明書の登録、S/MIMEのメールの作成・受信、Active X コントロールのインストール、アプリケーションのインストールなどができなくなるという。ユーザーは1024ビット未満の鍵が使われているかどうかを確認し、基本的には1024ビット以上の鍵を使用する設定に変更するなどの対応が求められる。

　対応が難しい場合に備えて同社は、「certutilコマンド」を使って更新プログラム適用後にブロックされる鍵長の設定を変更する方法も紹介している。更新プログラム適用前か適用時にローカル管理者権限で実行することや、OS上の全てのアプリケーションや証明書に反映されてしまう点に注意が必要だ。