認証局のデジタル証明書が偽造されるリスクについて
結論を最初に記しておく。認証局(認証機関:CA)のデジタル証明書(SSL証明書)を偽造するという今回の攻撃を調査した結果,リスクの大きさは大して変わらなかった。これは旧式のハッシュ・アルゴリズム(ハッシュ関数)を狙った非常に深刻な攻撃といえるが,広く知れわたってはおらず,攻撃者たちに悪用されないよう対策済みだ。 ドイツのベルリンで開催された第25回 カオス コミュニケーション会議(Chaos Communication Congress)で2008年12月30日(現地時間)に発表された技術的な脆弱性については,さまざまな説明がなされている。米ワシントン・ポスト紙の記者であるBrian Krebs氏は,平均的インターネット・ユーザーにも理解できるよう,いつもながらの見事な記事を書いてくれた。米プリンストン大学の教授であるEd Felten氏は,セキュリティの専門家でもあまり暗号やPKI(公開
今日時点での偽SSL証明書の話関連をピックアップ - naoeの日記
そろそろ各種ベンダーからもプレスリリースやらメールが回り始めたことだし ちょっとづつ集めてみよう.どうせ仕事でこの辺をやる羽目になるのだろうから・・・ MD5 considered harmful today: Creating a rogue CA certificate http://www.win.tue.nl/hashclash/rogue-ca/ http://d.hatena.ne.jp/naoe/20090105#p1でも書いたように 年末にWebAppSecのメーリングリストでこの件について僕は知りました. そのときはふーん.PS3を200台使うとかうらやましすぎる.とか位にしか思っていなかった. あとはここでもよくCFPを流していてChaos Communication Congressは前にも流したのでへぇーくらい. http://d.hatena.ne.jp/naoe
TechCrunch | Startup and Technology News
Unlike Light’s older phones, the Light III sports a larger OLED display and an NFC chip to make way for future payment tools, as well as a camera.
自堕落な技術者の日記 : MD5サブCA偽造問題の解決って本当? - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 カンファレンスでMD5ハッシュ衝突を用いたサブCAの偽造が発表されて、わずか数時間でRapidSSLサービスを提供している米VeriSign社はすぐにMD5withRSAのSSLサーバー証明書を発行することを止やめる対応をとりました。この米VeriSignの迅速な対応は私もすばらしいと思います。 日本ベリサインやグローバルサインでもMD5問題の報告をしています。 日本ベリサインのグローバル・サーバーIDでは現在、証明書発行を停止しており1月15日よりSHA1withRSAに切り替えて再開する。 既存のMD5withRSAのSSLサーバー証明書のオーナーには影響が無い。 と書いてあります、 米VeriSignのTom氏のブログは1月2日に読んだ
自堕落な技術者の日記 : 続々:MD5の商用ルートCAの終焉 - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 自堕落な技術者の日記 : 続:MD5の商用ルートCAの終焉 - livedoor Blog(ブログ) う〜〜む、続々荒野の七人みたいなタイトルになってきましたね、、、( ´∀`) 今回のMD5ニセサブCA問題について幾つか補足しておきます。 EV SSL証明書とMD5ニセサブCA問題 今回の問題のEV SSLサーバー証明書への影響についてCA Browser Forum議長 EntrustのTim MosesはIETFの関連MLに2009年1月1日以下のようにポストしています。 ・EV SSLサーバー証明書を発行するCAでMD5を使って証明書に署名するCAは無い ・EV証明書は自動的な手続きにより発行されることは無い EVのガイドラインではM
自堕落な技術者の日記 : 続:MD5の商用ルートCAの終焉 - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 自堕落な技術者の日記 : MD5の商用ルートCAの終焉 - livedoor Blog(ブログ)MD5 considered harmful today 前に書いたブログの続編です、、、、 今回はプレゼン資料やサイトの詳細情報などから、今回の問題を解説してみたいと思います。 2008年12月30日にドイツのベルリンで開催された25th Chaos Communication Congress(25C3)というカンファレンスでAlexander Sotirovらの研究グループが2007年に公表されたハッシュアルゴリズムMD5の脆弱性の攻撃方法を利用して商用のMD5withRSAのSSLサーバー証明書を発行しているサービス(RapidSSL、RS
自堕落な技術者の日記 : MD5の商用ルートCAの終焉 - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 MD5 considered harmful today 昨日、2008年12月30日、MD5の脆弱性をついてMD5ベースの商用ルートCAを使って信頼されてしまうニセCAを作れちゃったというものらしいです。NIST SHA3コンペのMLやIETFのS/MIME、PKIXのMLに以下のメールが流されました。 Russ Housleyのメール From: Russ Housley Subject:Further MD5 breaks: Creating a rogue CA certificate Date: 2008.12.31 01:05 http://www.win.tue.nl/hashclash/rogue-ca/ MD5 consid
DebianのOpenSSLに脆弱性、「弱い鍵」が破られる恐れ - @IT
2008/05/20 「Debian」とその派生ディストリビューションに含まれる「OpenSSL」パッケージに脆弱性が発見され、複数のセキュリティ機関が警告を発している。すでに、この脆弱性を狙って暗号鍵を破り、不正侵入を試みる攻撃コードの存在も報告されている。 OpenSSLは、SSL/TLSによる暗号化通信を行うためのツールキットだ。脆弱性は、Debian、およびUbuntuをはじめとするその派生ディストリビューションに含まれるOpenSSL 0.9.8c-1以降に存在する。 今回問題となっている脆弱性は、バッファオーバーフローのように直接の不正侵入を許す性質のものではない。OpenSSLでは、暗号化通信のための暗号鍵/証明書を生成できるが、問題があるのは、その基となる乱数の生成アルゴリズムだ。 DebianのOpenSSLパッケージのメンテナによる誤ったパッチ適用によって、SSL/SS
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
日本ベリサイン - Enterprise & Internet Security Solutions
偽のSSL証明書作成を研究者グループが実証、200台のPS3を使用
http://mainichi.jp/life/electronics/news/20080526mog00m100052000c.html
https://www.jpcert.or.jp/at/2008/at080008.txt
日本ベリサイン - Enterprise & Internet Security Solutions
Microsoft Corporation