これは大きいセキュリティネタか?CA証明書偽造
あけましておめでとうございます。
っていうには遅すぎですね。一応、今年初のエントリということで書いてみました。
それはさておき、今日のネタはこれ。
米国と欧州のハッカーのグループが、200台からなるPlayStation 3のクラスターの計算能力と、約700ドル相当のテスト用の電子証明書を使い、既知のMD5アルゴリズムの脆弱性を標的にして偽の証明機関(CA)を作る方法を発見した。これは、すべての最新のウェブブラウザによって完全に信用されている証明書を偽造することを可能にするブレークスルーだ。
う〜ん。これすごくないですか??ただ、どんなCAの証明書でも偽造できるわけではないらしく
この研究が重要なのは、弱いMD5暗号アルゴリズムを現在も電子署名と証明書に使っているCAが、少なくとも6つは存在しているためだ。MicrosoftのInternet ExplorerやMozillaのFirefoxを含む、現在よく使われているウェブブラウザは、これらのCAをホワイトリストに載せており、偽の証明機関によってどんなサイトでも(SSLの錠の表示によって)安全であると表示される可能性がある。
とのこと。ただ、普段はどのルート証明書を使っているかなど気にしないので、脅威といえばかなりの脅威のような気がします。
ただ、CAが限定されるので応急対策としてはホワイトリストから問題のCAを削っちゃえばすむ気もします(問題のCAがどれかしらないけど)。
Sotirov氏によれば、偽のCAをDan Kaminsky氏のDNS攻撃と組み合わせることによって、深刻な問題を引き起こすことが可能だという。
上記なんか読むと、DNSポイズニング+偽ルート証明書なんて、最強の組み合わせにみえます。
ということで、新年早々おおもののネタがきたな〜って印象でした。