ベリサインが分野ごとの対応状況を解説
暗号の2010年問題、課題は「組み込み機器での対応」
2010/02/10
日本ベリサインは2月9日、「暗号技術の2010年問題」についての説明会を開催した。同社SSL製品本部 SSLプロダクトマーケティング部の阿部貴氏は、特に家電製品やゲーム機、OA機器といった、暗号化機能を備えた組み込み通信機器での対応の遅れが課題になると指摘した。
SSL/TLSをはじめとする暗号通信を支えているのが暗号アルゴリズムだ。共通鍵暗号ならば「DES」「AES」、公開鍵暗号ならば「RSA」、ハッシュ関数ならば「SHA-1」といったアルゴリズムが使われている。しかし、計算機の能力の飛躍的な向上にともない、当初は「安全」とされてきたアルゴリズムも、時代を経るにしたがい安全とは言い切れなくなってきた。
米国標準技術研究所(NIST)ではこうした状況を踏まえて、2010年末までに、より鍵長が長く、より安全性の高いアルゴリズムへの移行を推奨している。具体的には、共通鍵暗号では3TDEA(3-key Triple DES)やAES 128ビット以上、公開鍵暗号はRSA 2048ビット以上もしくはECC 224ビット以上、ハッシュ関数ではSHA-256などだ。
日本ベリサイン SSL製品本部 SSLプロダクトマーケティング部 阿部貴氏しかしこうしたアルゴリズムは、暗号通信を行うさまざまな機器、例えばPCやサーバにはじまり、ブラウザを搭載した携帯電話から家電などの組み込み機器に至るまで、幅広い製品に搭載されているため、一朝一夕に移行できるものではない。この結果、NISTの勧告に従ってより安全なアルゴリズムを採用した機器と、移行をすませていない機器との間で、暗号化通信を行えなくなってしまう可能性がある。これが、いわゆる暗号技術の2010年問題だ。
阿部氏は、それでもPCや携帯電話などではRSA 2048ビットへの移行が進んでおり、比較的対応が進んでいると説明した。実際に日本ベリサインが行っている動作確認では、主なPCブラウザや携帯電話の99%以上がRSA 2048ビット対応を完了しているという。
また、サーバ証明書に関しても、同社をはじめとする認証局では、2010年末までにRSA 1024ビットのSSLサーバ証明書の発行を停止し、2048ビットに移行する見込みだ。一部、2Gの携帯電話との互換性維持のために、RSA 1024ビットの証明書が利用されているものの、移行のロードマップは明らかになっているといえる。この背景には、NISTの勧告のみならず、2010年末までにRSA 1024ビットの証明書の新規発行を終了するよう求める米マイクロソフトの「Microsoft Root Certificate Program」の存在がある。
阿部氏は、問題は組み込み機器の分野だと述べた。「組み込み通信機器の中には、ブラックボックス化されており内容を把握できないものもあり、どこまで対応できているか分からない」(同氏)。ひとまず本番系は、2010年末までに発行した証明書でRSA 1024ビットのまま運用しながら、その間にRSA 2048ビット環境できちんと動作するかどうかの検証を進め、必要に応じて改修するといった作業が必要になるだろうという。
「優先度が高いのは、現状の環境でRSA 2048ビットが使えるのか、それとも使えないのかを検証することだ。検証計画を立てるためにも、SSL通信を行っているパーツを洗い出し、現状を把握することが必要だ」(阿部氏)。
また、公開鍵暗号に利用されるRSAだけでなく、電子署名に用いられるハッシュ関数、SHA-1についても危殆化が懸念されている。しかし、NISTが推奨するSHA-2は実装面のハードルが高く、移行に際してインパクトが大きいことなどから、具体的な移行時期はいまの段階では見えていない。しかし「コリジョンアタックによって、急に危殆化する可能性もあるので、継続的に見ていく必要がある」と阿部氏は指摘している。
関連記事
情報をお寄せください:
- この脆弱性対策エンジンは“永遠に完成しない” (2010/3/9)
パターンファイルに頼らず防御する「要の技術」は、いまも完成にはいたっていない。その理由とは―― - Gumblarがあぶり出す 「空虚なセキュリティ対策」 (2010/3/1)
ガンブラーの脅威は、組織の構造や外部委託問題をあぶり出します。そのセキュリティ対策、建前論になっていませんか? - 決済アプリのセキュリティ基準、PA-DSSとは (2010/2/24)
“ペイメントアプリケーション”のセキュリティ基準を定めたPA-DSS。厳密に定められた14の要件を、PCI DSSと対比させつつ解説します - 「鍵は“J”の中にあるよ」CTF by ダークナイト解答編 (2010/2/22)
ダークナイトからの挑戦状、いかがだっただろうか。WiresharkにNetworkMiner、WinRARを駆使し、“J”に隠された秘密を解き明かせ!
|
|
スポンサーからのお知らせ
- - PR -
| 仮想環境の構築とデータ保護の特効薬?! 実績と信頼性の高いパッケージで安心運用 New! |
| 仮想環境のバックアップもこれまでどおり 「まるごと取ってまるごと戻す」簡単運用 |
| おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
| その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
| 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
| 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
- - PR -
お勧め求人情報

**先週の人気講座ランキング**
〜Java編〜
| ◆ | 上司や部下、部署内メンバーとの情報共有 を“ガラッ”と変えるコラボツールとは? New! |
| ◆ | おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| ◆ | 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |

| ◆ | Twitterのアカウントはなぜ突破された? メールによる新手の攻撃手法とその対策 |
| ◆ | もう仮想化のお試しフェイズは終わりだ! Hyper-V 2.0が基幹システムも仮想化 |
| ◆ | 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |

| ◆ | クライアント企業から求められる人材 ⇒IT技術と経営戦略を併せ持つ「戦略家」 |
| ◆ | .NET編集長が実践する「技術情報検索術」 サンプル・コードを簡単に探す“技”は? |
| ◆ | 業務効率と情報セキュリティ対策を両立! 手間なく確実に機密情報を守る方法とは? |

| ◆ | 直属上司が海外にいるのエンジニアに見る 【実例】場所に捉われないワークスタイル |
| ◆ | 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |

| ◆ | 【CTC事例】約30の基幹システムを統合! 膨大なバッジジョブを制御した方法は? |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |






