リモートからサーバーの接続および管理を行うユーティリティーとして人気の高い「OpenSSH」が「OpenSSH 8.3」をリリースしている。SHA-1認証スキームを将来的に非推奨とする計画のようだ。
OpenSSHチームは、SHA-1のハッシュアルゴリズムのセキュリティー上の懸念を、その理由として挙げている。
このアルゴリズムは2017年2月に、実際的な現実の攻撃で破られた。Googleの専門家らが、「SHAttered」という手法を使い、同じSHA-1のハッシュ値を持つ2つのファイルを生成することに成功したのだ。
当時、SHA-1の衝突を生成するには、膨大な計算コストが必要だと考えられていた。このためGoogleの専門家らは、コストが下がるまで、少なくとも数年はSHA-1を実際に使用される可能性があるとみていたようだ。
しかしその後、2020年1月に発表された調査で、最新の手法を用いると、SHA-1に対する「chosen-prefix」衝突攻撃のコストを5万ドル以下に下げられることが判明した。
国家の支援を受けた攻撃者や、高度な攻撃を仕掛けるサイバー犯罪グループにとって、検出されることなく、重要なサーバーにリモートアクセスできるSSH認証鍵を生成できるのであれば、5万ドルは払っても惜しくない金額だ。
OpenSSHの開発者らは、「こうした理由から、将来のリリースでは『ssh-rsa』公開鍵の署名アルゴリズムをデフォルトで無効にする」と述べた。ほかに優れた代替手段があるにも関わらず、このアルゴリズムが今も広く使用されているという。
推奨されているのは、rsa-sha2-256/512(OpenSSH 7.2以降が対応)やssh-ed25519(OpenSSH 6.5以降が対応)、ecdsa-sha2-nistp256/384/521(OpenSSH 5.7以降が対応)だ。
OpenSSHプロジェクトが、ssh-rsaモードをデフォルトで無効にする時期は未定だ。しかし、その前にUpdateHostKeysをデフォルトで有効にし、サーバー所有者が旧来のssh-rsaモードから別の認証モードに、容易かつ自動的に移行できるように支援する計画だ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
