2016年 3月 1日(米国時間)、インターネット上の通信暗号化プロトコル「SSL/TLS」を用いて暗号化する「HTTPS」や他のサービスに影響を与える深刻な脆弱性が新たに確認されました。この脆弱性は、この不具合を確認したリサーチャーにより「Decrypting RSA using Obsolete and Weakened eNcryption(DROWN)」と名付けられ、通信暗号化プロトコル「Secure Socket Layer(SSL)」のバージョン2.0(SSLv2)に存在します。攻撃者は、この脆弱性により、安全なはずの通信から情報を傍受したり収集することが可能となります。なお、現時点では、実際の攻撃は確認されていません。
続きを読む「Cryptography(暗号技術)」は、2014年に入ってから狙われ続けているように見受けられますが、実際のところ、暗号技術は常に攻撃にさらされており、そのために日々進化し続けていると言えるかもしれません。暗号技術に対して常に注意を払う必要があると認識を持つことは良いことです。なぜなら、暗号技術への脅威は、今年 4月に発覚した脆弱性「Heartbleed」のように非常に破壊力があり、RC4 や MD5、SHA1、Dual_EC_DRBG といったさまざまな暗号アルゴリズムは、以前から「問題」を抱えています。個人的には、このようなアルゴリズムはもはや利用すべきでないと考えています。
続きを読む
