2009年06月29日

SSL 証明書は、そのサーバの運営者を認証する目的で発行されています

高木浩光さんの日記で EV SSL サーバ証明書のことがお題にされてました
高木浩光@自宅の日記 - EV SSLを緑色だというだけで信用してはいけない実例
タイトルに EV SSL を入れてらっしゃいますが議論の中心は SSL 証明書の共用に関してでした

HTTPS と SSL 証明書によって何が実現されるかというと
  • サーバのなりすまし防止 (証明書によるサーバ認証)
  • 通信経路における盗聴の防止 (暗号化で)
  • 通信経路における改竄の防止 (暗号化で)
なりすまし防止が分かりづらいんですよね

なりすまし防止の為に何がなされているかというと、
  • そのサーバのドメインの所有者がどこの誰なのか・何て会社なのか (実在認証)
  • 通信が確かに認証されてる FQDN のサーバとされている
ということ保証がされています

前者は SSL 証明書に記載されているわけですが今まで見るのが面倒だったので
アドレスバーやらロケーションバーに表示してしまった方が分かりやすいというのが
EV SSL サーバ証明書の売りの 1 つなはずなのに
「共用 SSL では結局誰に情報送ってるか分からないじゃないの!」ってのが高木さんの主張
もっともだ

EV SSL だと更に、バラバラだった実在認証の審査基準を業界で統一して
弁護士さんの意見書が必要だとか中々厳しいことを課してるってのがミソみたいです
EVC ガイドライン公開にあたっての注意文 - JCAF 日本電子認証協議会 で審査基準が見れます

で、なりすましの後者の方ですが、高木さんの仰っている
「格安のDV SSL(domain だけ validate する)」の部分です
domain/FQDN に関してだけ審査していて、それがどこの誰のものかまでは認証しません
確かに手間も減るのでお値段も「格安」となるのですが
なりすまし防止という点ではちょっと弱くなってしまっています
その domain が誰のものかって分かってれば全く問題ないんですが

で、普通の証明書は EV という基準ではないけど実在認証がされていて
ではどんな基準かというと各認証局が独自で定めた基準ってことになります
  • 普通の SSL 証明書 (各認証局独自の基準でドメイン・実在認証)
  • EV SSL 証明書 (統一基準 (厳しめ) でドメイン・実在認証)
  • DV SSL 証明書 (各認証局独自の基準でドメインだけ確認)
なんかややこしいですね
こんなややこしいの知らなくても EV さえ知ってれば十分だ!
という分かり易いことになればいいんですが

EV SSL 証明書を使ってアドレスバーに社名などの表示を
更にそれを日本語でしてくれるととても分かりやすいので
是非ともどのページもそんな感じになったらいいなぁ
ラベル:EV SSL ssl
posted by OJH at 12:11| Comment(0) | TrackBack(0) | ニュース | このブログの読者になる | 更新情報をチェックする

2009年06月28日

PKI DAY 2009 が開催されました

もぉ終わってしまったんですが
JNSA PKI相互運用技術WG主催セミナー PKI Day 2009−<様々な分野に展開されるPKIの最新動向>
が開催されてました

RFC 5280 と 3280 の比較がされていたりして
勉強中の身としては是非とも参加したかったんですがスケジュールが合わず
でも資料が公開されているので勉強させて頂きます
ラベル:PKI PKI DAY
posted by OJH at 23:32| Comment(0) | TrackBack(0) | ニュース | このブログの読者になる | 更新情報をチェックする

RFC 5280 の 4.2.1.15. Freshest CRL (a.k.a. Delta CRL Distribution Point)

「最新 CRL」って訳してありました。
デルタ CRL ってありますがデルタってのはΔですかね。
数式でΔっていうと差分を表わす記号ですが
CRL Distribution Points 定期配信されるCRL の間を埋めて
なるべく最新の情報を提供するものとして Delta CRL が用意される場合があるようです。
バックアップでいうところの差分バックアップのような感じで。
で、それが何処に置いてあるかを指し示す拡張です。

記述方法ですが、やはり CRL の配布の話なので
CRL Distribution Points に書かれている方法で記述します。
RFC 5280 に従うならばこの拡張はノンクリティカルでなくてはいけません (MUST)。

CRL に関する詳細は 5 節で、とのことなので 5 節待ちで。

id-ce-freshestCRL OBJECT IDENTIFIER ::=  { id-ce 46 }

FreshestCRL ::= CRLDistributionPoints
ラベル:CRL Delta CRL
posted by OJH at 19:00| Comment(0) | TrackBack(0) | 注疏 | このブログの読者になる | 更新情報をチェックする

2009年06月17日

SHA-1 の耐衝突性がまた下がったそうです

RSS リーダーで見たのに放置していたんですが
とのことで、
63 bit から 52 bit に耐性が落っこちてしまったそうです。

MD5 も 2005 年に耐性落ちたと思ったら翌年にはパソコンで衝突作れるようになったり
何かブレークスルーがあるとこういうのはあっという間に話が進むので
今後の動向が気になります。
まだ実際に衝突してるデータが作られたわけではないのだそうですが...。

SHA-1 で chosen prefix attack が成功なんてことになってしまうと、
今出回ってる SSL サーバ証明書は全滅になってしまいますし、
ほんと、SHA-1 で安心してないでさっさと SHA-2 に移行しろってことなんでしょうか。
2013 年にはどうなってるかなぁ。
posted by OJH at 23:39| Comment(0) | TrackBack(0) | ニュース | このブログの読者になる | 更新情報をチェックする

2009年05月03日

ハッシュ函数の困難性・耐性って?

去年末の MD5 の隙をついた偽 CA 証明書の生成以降
ハッシュ函数に対する攻撃の記事に関してちょっと敏感になってるんですが
ちょっと混乱してるので攻撃方法に関して再確認しました
Wikipedia の「ハッシュ関数」を読んだりしただけなんですが

ハッシュ函数が満たすべき・持つべき性質として
  • 原像計算困難性
  • 第 2 原像計算困難性
  • 衝突困難性
ってのが挙げられています
去年末のやつは
  • 選択プレフィックス衝突? (chosen prefix collision)
ってのを起こすのが簡単だってことで可能となった攻撃なんですが
これは衝突困難性と第 2 原像計算困難性の間にいる感じかな?

攻撃方法は色々考えられるわけですが最終的には総当たりすることになります
総当たりするまでに下拵えして総当たりの計算量減らそうってのが研究されてます
なので、減った結果の総当たりの量のことを困難性の数字での表現として取ります

衝突困難性

これは
「ハッシュ函数に対してハッシュ値が等しくなる 2 つのデータをみつけなさい」
という問題を解くのが難しいということ

攻撃方法というか、「誕生日のパラドックス」って言われてるのがありまして
「1 つのクラスに同じ誕生日の人がいる確率が 1/2 以上になるのはクラスが何人から?」
っていう問題の答が 23 人ってのは意外と少なくない?
というものです

この問題の意味が取りづらいんですが
「誰か一人選んだときにその人と同じ誕生日の人がクラスにいる確率」ではなくて
「クラス全員の誕生日を並べたときに同じものが2つ以上ある確率」を考えています

ハッシュ函数の衝突を起こすっていうのも状況は全く同じでして
誕生日の場合は
「365 日のうちから何回日付を選んでくれば衝突するか?」
でしたが、ハッシュ函数の場合は
「函数の吐くハッシュ値をいくつ取ってくれば衝突するものが現れるでしょうか?」
とになります
で、計算すると、これがハッシュ値の取りうる個数の平方根に近くなることが知られてます

例えば MD5 だと 128bit のハッシュ値なので 264 コのハッシュ値を計算すれば
SHA-1 だと 160bit のハッシュ値なので 280 コのハッシュ値を計算すれば
計算したものの中で衝突してるものがある確率が 1/2 を越える、ということです
なので、それぞれ基本の衝突困難性は 64bit, 80bit と言われていまして
それが研究者の方々によってより良い攻撃方法が発見される度に
困難性がの数字が落ちていって「破られた」とか言われたりしています
まぁ「破られた」っていうのは基本の衝突困難性よりも数字が落ちたときでしょうか

これが、MD5 だと今や、パソコンでもものの数分で計算できるところまで
衝突困難性が落っこちてしまっています

第 2 原像困難性

これは
「ハッシュ函数とデータ x に対して x とハッシュ値が等しくなるデータ y をみつけなさい」
です

RSA による署名では、元データのハッシュ値が秘密鍵で暗号化されています
元データが公開された状態なので第 2 原像困難性が破られてしまうと
どんな偽物の署名が作られる可能性が高くなってしまいます

原像困難性

これは
「ハッシュ函数とハッシュ値 h が与えられたとき、ハッシュ値が h と等しくなるデータ y をみつけなさい」
です
 
第 2 原像困難性のときはハッシュ値 h の元となるデータ x が与えられていたので
それを元に他のデータを生成することができたかもしれませんでしたが
原像困難性の場合はより少ない情報で計算する必要が出てきます

HTTP の基本認証などログイン時の認証用パスワードは
ハッシュ値が保存されていてログイン時に入力されたパスワードのハッシュ値と照合されます
万が一パスワードのハッシュ値が漏れてしまうと
この原像困難性が無くてはパスワードと同じハッシュ値を返すデータが生成されてしまい
なりすましが発生してしまいます


原像困難性は総当たりが妥当な攻撃方法だろうということで
出力される bit 長が困難性として挙げられています
MD5 なら 128bit, SHA-1 なら 160 bit になります

先日の MD5 に対する攻撃というのは
この 128bit が 123.4bit まで落ちたということのようです
こういうのはブレークスルーがおきるとあっという間だったりするので
近々劇的に困難性が落ちるかもしれません
posted by OJH at 17:11| Comment(0) | TrackBack(0) | 日記 | このブログの読者になる | 更新情報をチェックする
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。