![GitHub Enterprise、SHA-1衝突を実行不能にするパッチを適用へ SHA-1ハッシュが同一のファイルの格納を検出してブロック](https://cdn-ak-scissors.b.st-hatena.com/image/square/3f1aed0eb02d4ba4b2563c027e8e7e7689cf78a0/height=288;version=1;width=512/http%3A%2F%2Finternet.watch.impress.co.jp%2Fimg%2Fiw%2Flist%2F1050%2F486%2Fgithub1.png)
暗号アルゴリズムのうちデジタル署名などの用途で利用されているハッシュ関数のひとつ、SHA-1 のコリジョン(衝突)が報告されました。 今回見つけられた攻撃手法は SHAtterd attack と名付けられました[1]SHAttered attack https://shattered.it/ https://shattered.io/[2]Google Security Blog, Announcing the first SHA1 collision https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html。(暗号学的)ハッシュ関数は、異なるデータを異なる固定長データに圧縮することが保証されています。SHA-1 は160ビットの出力長を持つことから、2^80程度という膨大な SHA-1 計算
https://shattered.it/ のリリースを受けて、Git において、違うファイルをコミットしたにも関わらず、それらのコミットを参照する SHA-1 ハッシュが同じである状態を実現できるかを試しました。 同じ SHA-1 ハッシュを持つ PDF ファイルで可能か https://shattered.it/ で公開されている、SHA-1 ハッシュが同じ PDF ファイルを、それぞれ空のレポジトリにコミットします。 $ wget https://shattered.it/static/shattered-1.pdf https://shattered.it/static/shattered-2.pdf $ diff shattered-1.pdf shattered-2.pdf Binary files shattered-1.pdf and shattered-2.pdf dif
はじめに はじめまして、サイバートラストの坂田です。SSL サーバー証明書のサポートデスクでテクニカルサポートを主に担当しています。 このたび、さくらのナレッジに寄稿させていただくこととなりました。どうぞ、よろしくお願いいたします。 さて、今回は私がお客様からよく聞かれる、SSL/TLS (以降は、SSL だけに省略して記載します)に関するお話を以下の 2 本立てでご紹介します。 SHA-1 証明書の規制・影響の振り返りと最新動向 SSL 接続時によくあるセキュリティ警告・エラーとその対策 なお、SSL に関する基本的なお話は当社の坂本が寄稿している「改めて知ろう、SSLサーバー証明書とは?」シリーズをご一読ください。 第 1 部: SHA-1 証明書の規制・影響の振り返りと最新動向 SHA-1 証明書の規制の振り返り まず、SHA-1 証明書(署名アルゴリズムが SHA-1 の SSL
Microsoft社が表明したコードサイニング証明書におけるSHA-1のアルゴリズムの利用期限が迫り、またWindows 10において証明書の要件が変更されるなど、証明書に関連するセキュリティ強化に変化が起こっている。本稿では、改めて証明書を取り巻く環境を整理するとともに、必須となりつつあるEVコードサイニング証明書を実際にグローバルサインから取得しながら証明書の利用方法をまとめていこう。 SHA-1からSHA-2への本格移行開始 SSL証明書やコードサイニング証明書におけるハッシュアルゴリズムとして、これまではSHA-1がデファクトスタンダードとして利用されてきた。しかし、SHA-1に対する攻撃法は10年ほど前に発見されており、コンピュータの演算処理能力も向上してきていることから、SHA-1の強度は十分ではない状況にある。より強力なSHA-2への移行はこれまでも推奨されてきたが、最近にな
シマンテックは2014年2月5日、Webサイト閲覧を安全に行うために使われる電子証明書で利用されるハッシュアルゴリズムを、現在の「SHA-1」から「SHA-2」へ移行を促すための解説を行った。 WebブラウザーでSSL通信を行うためには、(1)ブラウザーなどにルート証明書を入れること、(2)認証局がSSLサーバー証明書を発行すること、(3)Webサイト管理者が正しくSSLサーバー証明書をインストールすることの3つの条件がそろうことが必要だ。 暗号化通信を始める場合、利用者がブラウザーを使ってWebサーバーにアクセスすると、WebサーバーはSSLサーバー証明書、中間認証局証明書をブラウザーに向け送付する。送付されたSSLサーバー証明書が、シマンテックをはじめとする正しい証明書発行機関のものかどうかを判断するため、ハッシュアルゴリズムを適用し、ハッシュ値を算出する。このとき使われているのが、S
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く