証明書

1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を 8/14 に公開 – その 2

2012/8/14 (米国時間) に鍵長 1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を公開すると、先日こちらのブログでお伝えしました。 今回の更新によってブロックの対象となる 1024 ビット未満の暗号キーは、公開鍵暗号の代表的な方式である RSA 暗号方式のものが対象となります。 このブログでは、鍵長 1024 ビット未満の暗号キーが使用できなくなった場合に、どのような影響があるのかを説明していきます。   ▼ なぜ鍵長 1024 ビット未満の暗号キーをブロックするの? コンピューターの性能の向上に伴い、証明書に利用されている暗号が破られる可能性が高くなっているためです。この懸念を受けて、米国商務省国立標準研究所 (NIST) では米国政府で使用する暗号を、2010 年末までにより強度の高いものに移行するよう勧告がだされました (NIST SP 800-57: Recommendation for Key Management)。その強化の対象となったひとつに、RSA の鍵長を 1024 ビットから 2048 ビットにするというものがあります。また、日本政府でも 2013 年度までに政府機関の情報システムにおいて使用されている暗号アルゴリズムを 2048 ビットに移行するという移行指針を発表しています (政府機関の情報システムにおいて使用されている暗号アルゴリズムSHA-1及びRSA1024に係る移行指針)。   ▼ 暗号キーって何に使われるもの? 暗号キー (暗号鍵) は、実際の世界でいうところの部屋や宝箱をあける「鍵」と一緒で、電子世界では、データを処理する際に利用される一意なデータのことです。 この鍵と持ち主情報を組み合わせたものが「証明書」と呼ばれるもので、自身を証明するためなどに利用されます。 証明書の用途と利用例 用途 目的 種類 利用例 身分証明書 本人性の確認 …

1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を 8/14 に公開 – その 2 Read More »

1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を 8/14 に公開

公開キーをベースに暗号化アルゴリズムの強度を考えた場合に、ブルート フォース攻撃によって公開キーが奪われる時間は鍵長が長いほど強度が高いということができます。 2004 年の 8 月に米国商務省国立標準研究所が発表したガイドラインでは、暗号解読技術の進歩により、2011年以降は公開鍵暗号の代表的なアルゴリズムであるRSA の鍵長を 1024 ビットから 2048 ビットに強化する必要があると示しています。 マイクロソフトは、RSA アルゴリズムに対する強化策として、8/14 (米国時間) に、鍵長 1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を公開します。 対象 OS は、以下の通りです。 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 この更新プログラムの適用後に、以下のような問題が発生することが予想されます。 1024 ビット未満のキーを使用した SSL 証明書を使っているWeb サイトが見れなくなる 1024 ビット未満のキーを使用した証明書の登録に失敗する 1024 ビット未満のキーを署名や暗号化に使用した S/MIME のメールの作成や受信 1024 ビット未満で署名された Active X コントロールのインストールに失敗する …

1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を 8/14 に公開 Read More »

失効証明書の自動更新処理を有効にする KB2677070 の適用を推奨

2012 年 6 月 12 日 (米国時間)、マイクロソフトは Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7, Windows Sever 2008 R2 用に、失効した証明書を自動で処理する更新プログラム (KB2677070) を公開しました。 従来は、証明書を失効させるには、Windows Update を通じて、または手動で失効させる必要がありました。 例えば、先日公開したセキュリティ アドバイザリ 2718704 では、承認されていない証明書を失効させるには更新プログラム (KB2718704) を適用して失効させる必要がありました。 更新プログラム (KB2677070) を適用すると、今後、動的に証明書の失効リストをチェックするようになるため、失効証明書について、最長でも 1 日以内に Windows クライアントが自動で更新されるようになります。ユーザーの操作は必要とされません。 より早いタイミングで失効証明書を無効にできるよう、更新プログラム (KB2677070) を適用いただくことをお勧めします。 なお、この失効リストが自動で更新される機能は Windows 8 / Windows Server 2012 で導入される予定で、既に Windows …

失効証明書の自動更新処理を有効にする KB2677070 の適用を推奨 Read More »