ニュース
SHA-1廃止を前倒し? MicrosoftやMozillaが検討
SHA-1を使った証明書の受け入れ廃止時期を早ければ2016年6月〜7月に前倒しすることを検討している。
Webサイトでの認証やデジタル署名に使われるハッシュ関数「SHA-1」を破る攻撃が近いうちに現実化するとの観測が強まったことを受け、米MicrosoftやFirefoxブラウザを提供するMozilla Foundationが、SHA-1受け入れ廃止の前倒しを検討している。
SHA-1は以前から脆弱性が指摘され、主要ブラウザメーカーや電子証明書の発行機関が段階的な廃止に向けたスケジュールを公表。Microsoftなどは2017年1月からSHA-1を使ったSSL/TLS証明書をブロックすると表明していた。
しかし暗号解読の国際専門家チームが10月に、SHA-1衝突攻撃を成功させたと発表し、年内にも悪用が現実化する恐れがあると指摘して、SHA-1廃止の時期を前倒しするよう勧告していた。
これを受けてMicrosoftは11月4日のブログで、「SHA-1で署名された証明書の廃止時期を早ければ2016年6月に前倒しすることを検討する」と表明した。
Mozillaも同様に、SHA-1を使った証明書の廃止を2016年7月1日に前倒しすることについて、現実性を検討中と説明している。MicrosoftはMozillaや他のブラウザメーカーと連携して、今回のスケジュールが及ぼす影響について検討を続ける意向だとしている。
関連記事
- 「SHA-1の廃止前倒しを」 専門家チームが提言
SHA-1がこれまで考えられていたよりも大幅に安いコストで破れることが分かり、犯罪集団に悪用される危険が迫ったと指摘している。 - Google、「SHA-1」サポート中止のスケジュールを発表
11月にリリース予定の「Chrome 39」からSHA-1のサポートを段階的に廃止する。 - Facebook、アプリのSHA-1対応終了へ 未更新は接続不可
2015年10月1日以降、SHA-2を使って署名された証明書をサポートしていないアプリはFacebookに接続できなくなる。 - SSLやPGPで使われているSHA-1アルゴリズムにセキュリティ欠陥――専門家が指摘
強力なデータ暗号化アルゴリズム「SHA-1」のクラック手法に関する論文が発表された。まだ実用的なものではないが、改良される危険性はある。(IDG)
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.