エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
SSHクライアント「PuTTY」に重大な脆弱性 秘密鍵を窃取できる可能性あり
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
SSHクライアント「PuTTY」に重大な脆弱性 秘密鍵を窃取できる可能性あり
セキュリティ研究者によると、この脆弱性はPuTTYの署名処理に存在している。米国国立標準技術研究所(NI... セキュリティ研究者によると、この脆弱性はPuTTYの署名処理に存在している。米国国立標準技術研究所(NIST)が定めた楕円曲線「P-521」を使用する楕円曲線デジタル署名アルゴリズム「ECDSA」の実装においてPuTTYの使用するナンス値に偏りがあり、これが脆弱性の原因になっている。 DSAのデジタル署名スキームにおいて使用されるナンス値は一定の範囲内に存在するランダム値でなければならない。この値に偏りがある場合には複数の署名から秘密鍵を算出できるため、ナンス値には安全なランダム値を使う必要がある。 ただし、PuTTYは古い「Windows」など安全な乱数を生成できないOSに対応するために秘密鍵とメッセージを入力に含む決定論的方法によりナンス値を生成していた。「SHA-512」を使用して入力からハッシュ値を生成し、これを必要なビット数に丸め込んでいる。楕円曲線P-256やP-384の場合、