MD5: パスワード用ネット暗号 高速の解読法発見 - 杜撰な研究者の日記
日経新聞の2009年4月27日12面(12版)の記事より。ネット記事や関連プレスリリースを見つけられなかったので、備忘録のかわりにメモしておきます。 パスワード用ネット暗号 高速の解読法 発見 NTT 個人認証、盗聴の恐れ NTT はインターネットのパスワード認証に広く使われる MD5 という暗号方式が外部から解読される可能性があることを突き止めた。 現在市販のパソコンなら暗号が破られる恐れは少ないが、将来、計算能力の高いコンピューターで攻撃されると、パスワードが漏れる可能性がある。 MD5 はネットで送信するデータを特殊な関数で短い暗号データに変換する方法。 最近、特定の条件下でデータ偽造などの危険が指摘され、より高度な暗号も使われ始めたが、現在も旧式のホームページ閲覧ソフトなどで利用される。 NTT は、MD5 で暗号化したデータから短時間でファイルの中身やパスワードを読み取る方法を発
yet2come: SSLのMD5問題に対する現実解はあるのか?
MD5には深刻な問題があり、極力その利用を避けるべきであることは間違いありません。ただし、今回発表された攻撃法がMD5を使用しているルートCAを直接の対象にしているものではないことには注意する必要があるかと思います。今回示された攻撃手法は、MD5で署名された証明書を基に中間証明書(あるいは別のエンドエンティティ証明書)を偽造するものであり、ルートCAの署名アルゴリズムになにが使われているかは関係がありません。 では、過去に同様な攻撃が既に成功している可能性、もしくは、今回発表された攻撃手法の拡張により発行済の証明書が偽造に利用される可能性まで考慮した場合、やはり該当ルートのルートストアからの削除だけが唯一の対処法なのでしょうか? ここ数日いろいろと考えてみたのですが、ブラウザ側で「中間証明書、もしくはエンドエンティティにMD5が使用されていた場合には警告を表示させる」というのが現実解である
yebo blog: MD5衝突攻撃による偽SSL証明書の作成
2008/12/31 MD5衝突攻撃による偽SSL証明書の作成 異なるメッセージで同じMD5ハッシュ値を生成する、いわゆるMD5衝突攻撃によって、偽造されたSSL証明書を使ったフィッシング攻撃が可能で、ブラウザからはその証明書が偽物かどうかを検知できないことが Chaos Communication Congress で発表された (MD5 considered harmful today)。MD5衝突を生成するのに、200台のPlaystation 3が使われるそうで(写真)、会議では2004年に期限切れとなったCA証明書の期限を延長するデモが披露された。これがSANS Diaryで話題になっていた25C3での発表のようだ。 現在、署名アルゴリズムにMD5を利用しているSSL証明書は、RapidSSL (VeriSign)、FreeSSL、TC TrusteCenter AG、RSA D
Microsoft Corporation
Microsoft Learn. Spark possibility. Build skills that open doors. See all you can do with documentation, hands-on training, and certifications to help you get the most from Microsoft products. Learn by doing Gain the skills you can apply to everyday situations through hands-on training personalized to your needs, at your own pace or with our global network of learning partners. Take training Find
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
日本ベリサイン - Enterprise & Internet Security Solutions
Bugtraq
MD5破りにGoogleを活用 - www.textfile.org
