われわれは、インターネットで活用されているある技術を過去の遺物として葬り去ろうとしている。しかしこの技術は、昔からある、そして今や脆弱なものになりつつある暗号化手法の一部として、いまだに多くの人々によって使われている。
SHA-1証明書の発行は2015年12月31日をもって終了となる。
提供:ZDNet/CBS Interactive
世界各地の数千万人に及ぶ人々は、2016年のどこかの時点でFacebookやGoogle、Gmail、Twitter、Microsoftなど、複数の暗号化された著名ウェブサイトにアクセスできなくなるはずだ。
なぜだろうか?そういった人々のブラウザやデバイスは、よりセキュアになった新たな証明書を認識できないためだ。
SHA-1という、過去10年にわたってウェブのセキュリティを支えてきた暗号学的ハッシュ化アルゴリズムは、あと1年と少しでその役目を終える。また、SHA-1は2015年の終わりまでに攻撃手順が確立されるという主張もある。その通りになるとSHA-1は役に立たないものとなり、膨大な数のユーザーを守るセキュリティに大きな風穴が開いてしてしまう。
- TechRepublic Japan関連記事
- 世界の情報セキュリティ支出--2015年は754億ドル、4.7%増
- 侵入前提で内部の脅威を検出--セキュリティの“東西南北”対策を進めるF5の狙い
これを受けて認証局(CA)は2016年1月1日午前0時をもってSHA-1証明書の発行を終了し、SHA-2証明書に切り替えると述べている。SHA-2は、この先何年にもわたって使用できる、はるかに強固なアルゴリズムだ。しかし、問題が1つある。一部のインターネットユーザーは、SHA-2に対応したブラウザやデバイスを使っていないのだ。
米ZDNetが10月にCloudFlareの最高経営責任者(CEO)Matthew Prince氏をニューヨーク報道室に招いて対談した際、同氏は「われわれは、インターネットのある一定領域を過去の遺物として置き去りにしようとしている」と語った。
安全性の低い暗号を使用する「100万ものサイト」
暗号が重要な役割を演じるのは、オンラインバンキングや電子メールのアカウント、そしてソーシャルネットワークを保護する場合だけではない。ブラウザ上に表示される緑色のバーや南京錠のアイコンによって、接続先サイトの正当性とともに、ページの内容が何らかのかたちで改ざんされていないことが高い確度で保証されるのだ。
暗号化を採用するサイトの数も、実装にほとんどコストがかからないせいもあり、最近増加の一途をたどっている。
データ漏えいやシステム侵入、大衆監視といった問題が毎日のように報道されている現在、強固なSHA-2アルゴリズムの採用気運はかつてないほど高まっている。しかし、ブラウザ開発企業やウェブサイトの管理者などはまだ時間が残されていると考えていた。
著名なセキュリティ研究者らはSHA-1が2018年まで使用できるだろうと予想していたが、現在では2015年の終わりまでに攻撃手順が確立されるかもしれないと考えている。
