V.S.A.

MD5 というハッシュのコリジョンを発生できるばかりでなく、偽の認証局を作成できてしまうという研究成果が発表され、業界を騒がせています。

でも、それってどういうこと？という人の方が多いでしょう。

リンク: MD5コリジョンでインチキ認証局は作れる（ネットにとっては悪い報せ）.

研究者たちはMD5のアルゴリズムをPlayStation 3のシステム200台で攻撃し、傍目には既知の信頼のあるCAのように見えるニセ認証局（CA）を作ることに成功した。これは何を意味するのか？　連中の手にかかるとwww.amazon.comの証明書も作れちゃう、ということだ。そしてニセ証明書を提示されると、貴方のブラウザはこれを本物の証明書として受け入れてしまう。　しかもニセ証明書のデジタル署名は、定評のあるCAが発行した署名のようにリストに出るため、貴方のブラウザも嬉々としてこれを受け入れ、（SSLサイトの目印の）南京錠のアイコンを頼もしげに表示するのである。

上に書かれた事をもう少し噛み砕いてみます。

みなさんが使っているブラウザには、予め、信用できる「認証局(CA)」の「証明書」が登録されています。そして、https でアクセスするサイトは「サーバー証明書」と言われる物をブラウザに提示します。この「サーバー証明書」には、認証局の署名が付加されているのです。その署名を、ブラウザに予め登録されている「認証局」の公開鍵を用いて検証し、その「サーバー証明書」が確かに信頼できるところから発行された物であり、さらに、内容が正しい事を検証します。ここまでのことをブラウザは自動的に行います。

ここで、「内容が正しい」ということをどうやって確かめるかと言うと、ハッシュ関数と言う物を使って、内容が改変されていないことを確認します。このハッシュ関数は一方向の関数で、得られた答えからは元のデータを復元できないのが特徴です。ところが、今回の報告は、「認証局」の体裁を整えていてハッシュ関数 MD5 によって得られる答えが正規の認証局と同じものになる証明書を作ることが出来たと言っています。

これによって、偽物の認証局を用いて、好き勝手な内容のサーバー証明書を発行できることになります。今までも自分で勝手に認証局を作って、サーバー証明書を発行することは誰でもできました。通称「オレオレ証明書」と呼ばれる物で、ブラウザにはその証明書の発行元が登録されていないので、ブラウザはユーザに警告を発しました。

しかし、見かけ上、偽サーバー証明書は、ブラウザに予め登録された認証局が発行したように見えるので、その偽サーバー証明書を警告無しに受け入れてしまうと言うことになるのです。

リンク: 「SSL証明書の偽造」に研究者らが成功、計算には200台のPS3を使用：ニュース.

　なお現時点では、現実的な時間内で偽造が可能なのは、MD5で署名されたデジタル証明書のみ。SHAを使っている場合には、影響を受けないとされている。研究者らが3万サイトを対象に調査したところ、およそ9000サイトがMD5で署名された証明書を使用。調査時点では、「RapidSSL」「FreeSSL」「TrustCenter」「RSA Data Security」「Thawte」「verisign.co.jp」といった認証局が、署名にMD5を使っていたという。

現在のところ、MD5 というハッシュ関数のみが報告されているので、これをつかったサーバー証明書が悪用される可能性があるということになります。「verisign.co.jp」の名前が入っているのが気になりますが、日本ベリサイン社は、早速対応を行っています。

リンク: サーバID - MD5アルゴリズムへの衝突攻撃によるSSLサーバ証明書の偽造に関する報道について | ベリサイン - SSLサーバ証明書.

# MD5アルゴリズムを利用した全てのSSLサーバ証明書の発行を2009年1月6日(火)以降、停止いたします。
【対象製品】
「グローバル・サーバID」（日本ベリサイン「ストアフロント」システムから発行分）
　※上記以外のサーバID製品は影響がございません。

# 上記対象製品の署名アルゴリズムを以下の通り、2009年1月15日(木)以降、MD5か ら、よりセキュアなSHA-1へ切り替えます。
詳細はこちら
※尚、1月6日から1月15日までの間、対象製品の発行を一時的に保留させていただきます。お客様にはご不便をおかけし大変恐縮ですが、どうぞご理解・ご了承ください。
・1月5日以前に申請いただき、1月6日時点で未発行のサーバIDは、1月15日以降に発行させていただきます。
・また1月6日以降に申請されたサーバIDも同様に、1月15日以降に発行させていただきます。

MD5 を使用した証明書はもう発行しない、ということです。

以下はご参考まで。

リンク: 偽のSSL証明書作成を研究者グループが実証、200台のPS3を使用.

　MD5アルゴリズムの弱点については以前から指摘されていたが、現実的な攻撃方法は示されていなかった。今回、研究グループでは現実的な時間内に偽の証明書が作成できる方法を実証したことで、偽の証明書を利用したフィッシング詐欺攻撃などが可能となることを示した。

リンク: JVNVU#836068: MD5 アルゴリズムへの攻撃を用いた X.509 証明書の偽造.

詳細情報

一方向性ハッシュ関数である MD5 は入力値から固定長のメッセージダイジェストと呼ばれる値を出力します。安全なハッシュ関数は特定のメッセージダイジェストに対応する入力値を見つけることが極めて困難である必要があります。異なる入力から同一のメッセージダイジェストが出力される事を "衝突" と呼びます。

1996 年から MD5 アルゴリズムの衝突耐性の不備を利用した攻撃法が報告されています。その後、この攻撃手法が X.509証明書の偽造に使えることが示され、2008年に CA によって署名された証明書をもとに中間 CA 証明書の偽造に成功したことが報告されました。

想定される影響

MD5 の使用形態に応じて様々な影響が考えられます。一例として、偽造された SSL 証明書を用いた悪意あるウェブサイトを信頼することで、情報の漏えいなどが起こる可能性があります。