連載
» 2015年01月20日 10時00分 公開

サーバ証明書は今が替えどき、「SHA-1」証明書は風前のともしびセキュリティ強化塾(3/5 ページ)

[キーマンズネット]

1024ビット鍵長の公開鍵とSHA-1ハッシュアルゴリズムの脆弱性

 公開鍵の鍵長が短いと解読、偽造の可能性が高くなる。その危険は10年以上前から懸念されており、世界の技術標準の主導的立場にあるNIST(米国立標準技術研究所)では、2005年の段階で、2010年をめどに次世代暗号技術へ移行するよう勧告している。

 公開鍵暗号方式では「RSA1024ビット鍵長からRSA2048ビット鍵長以上」への移行、ハッシュアルゴリズムはSHA-1からSHA-2への移行が求められた。SHA-1はハッシュ値の長さが160ビットだがSHA-2は224ビット・256ビット・384ビット・512ビットが選べる仕様であり、長いほど安全性が高い。

 NISTの勧告を受ける形で、証明書の世界的標準化機関である「CAブラウザフォーラム」は、2014年1月1日を越える有効期限を持つサーバ証明書については、鍵長2048ビットでなければならないと規定した。またFirefoxを提供するMozillaやChromeを提供するGoogle、Internet Explorerを提供するMicrosoftは、いずれも2014年以降に鍵長1024ビットのルート証明書を無効化していくことを発表している。これらWebブラウザについて1024ビット対応の証明書に残された寿命はわずかだ。

 既に証明書ベンダーでは2048ビット鍵長のサーバ証明書発行が主流になり、1024ビット証明書の発行は停止して、2048ビット証明書へ移行することを強く求めている。また、ほとんどの最新PCやスマートデバイスには2048ビットルート証明書が導入済み(未導入でも簡単にアップデートが可能)なのだが、一部には1024ビットルート証明書でなければ利用できない端末がある。特に日本で利用者がいまだ多い旧型のフィーチャーフォンやゲーム機がそれだ。また2048ビット対応が遅れたベンダーの証明書を継続して利用している端末も中にはある。

 これらの端末でSSL利用サービスを使うユーザーのために、今でも1024ビットルート証明書が利用され続けているのが問題だ。特にフィーチャーフォンが普及した日本では、いまだに1024ビットルート証明書から脱却できずにいる場合が多いようだ。

 それを可能にしているのが「クロスルート証明書」(図3)だ。これは2048ビットルート証明書非対応端末の救済策として、無理に延命を図る策であり、1024ビット鍵長の脆弱性の解決にはなっていない。

 そうした旧型の端末は最新の機種にリプレースすれば問題はなくなる。またルート証明書の更新が可能な場合には、端末機種に対応する2048ビットルート証明書が導入できる。国内の証明書ベンダーでは2013年10月時点で携帯電話対応率が約99.6%超というほど対応機種が幅広いので、証明書の切替えを検討してみるとよいだろう。

クロスルート証明書を使った1024ビット証明書の延命 図3 クロスルート証明書を使った1024ビット証明書の延命

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。