公開日:2009/01/07 最終更新日:2009/06/26
JVNVU#836068
MD5 アルゴリズムへの攻撃を用いた X.509 証明書の偽造
MD5 アルゴリズムの衝突耐性の不備を利用した攻撃法により、X.509 証明書の偽造に成功したことが報告されました。
- MD5 アルゴリズムを使用している製品
一方向性ハッシュ関数である MD5 は入力値から固定長のメッセージダイジェストと呼ばれる値を出力します。安全なハッシュ関数は特定のメッセージダイジェストに対応する入力値を見つけることが極めて困難である必要があります。異なる入力から同一のメッセージダイジェストが出力される事を "衝突" と呼びます。
1996 年から MD5 アルゴリズムの衝突耐性の不備を利用した攻撃法が報告されています。その後、この攻撃手法が X.509証明書の偽造に使えることが示され、2008年に CA によって署名された証明書をもとに中間 CA 証明書の偽造に成功したことが報告されました。
MD5 の使用形態に応じて様々な影響が考えられます。一例として、偽造された SSL 証明書を用いた悪意あるウェブサイトを信頼することで、情報の漏えいなどが起こる可能性があります。
以下の対策方法が考えられます。
- ソフトウェア開発者、CA運用者、ウェブサイト管理者は MD5 アルゴリズムを使用しないようにする
- ユーザは MD5 で署名されている証明書については偽造されている可能性があることに注意する (MD5 で署名された証明書を持つ中間 CA から発行された証明書も含む)
| ベンダ | リンク | |
| VeriSign | MD5アルゴリズムへの衝突攻撃によるSSLサーバ証明書の偽造に関する報道について | |
| This morning's MD5 attack - resolved | ||
| マイクロソフト | マイクロソフト セキュリティ アドバイザリ (961509) | |
| Mozilla | MD5 Weaknesses Could Lead to Certificate Forgery | |
| TC Trust Center | TC TrustCenter response to SSL Vulnerability paper |
- US-CERT Vulnerability Note VU#836068
MD5 vulnerable to collision attacks - MD5 considered harmful today
Creating a rogue CA certificate - CRYPTREC Report 2007
CRYPTREC Report 2007 暗号技術監視委員会報告書
| JPCERT 緊急報告 | |
| JPCERT REPORT | JPCERT-WR-2009-0101 |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE | CVE-2004-2761 |
| JVN iPedia | JVNDB-2009-001001 |
- 2009/01/20
- 対策方法を更新しました。
- 2009/03/26
- ヤマハの JVNVU#836068への対応が更新されました。
- 2009/06/09
- 日本電気の JVNVU#836068への対応が更新されました。
- 2009/06/09
- 日本電気の JVNVU#836068への対応が更新されました。
- 2009/06/26
- 関連文書に JVN iPedia へのリンクを追加しました。
