SSL証明書の偽造に成功、ハッシュ関数の脆弱性を応用
Webサイトの信用証明に使われるハッシュ関数アルゴリズム「MD5」の脆弱性を突いて、認証局(CA)が発行するSSL証明書を偽造することに、セキュリティ研究者が成功した。US-CERTや米Microsoftは、MD5はもはや安全ではないと指摘して利用中止を促している。 US-CERTなどによると、MD5の弱点を用いた衝突攻撃の理論は1996年から指摘されていたが、現実的な攻撃方法は示されていなかった。しかし、2008年末のセキュリティカンファレンスで、信頼されている認証局のSSL証明書を偽造できることが実証された。 大半のOSには信頼できる認証局の一覧が組み込まれており、この中には署名アルゴリズムにMD5を使っている認証局もある。攻撃者がその脆弱性を悪用すれば、主要ブラウザが認定している認証局の証明書を偽造し、悪質なWebサイト向けに有効なSSL証明書を発行できてしまう。ユーザーはSSL証明
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ジュピターテクノロジー(株) Syslog
[okyuu.com] ソーシャルITメディア
