Googleはウェブサイトの暗号化に用いられるアルゴリズム「SHA-1」にセキュリティ上の懸念があるとして、同社ウェブブラウザ「Chrome」でのSHA-1のサポートを2016年から段階的に終了する計画を発表した。
このサポート終了は、大きく2段階に分けて実施される。まず、2016年初頭にリリース予定のChrome 48より、特定のSHA-1証明書(2016年1月1日以降に発行され、パブリック認証局にリンクされた証明書)を使用するウェブサイト上で、セキュリティに関するエラーメッセージが表示されるようになる。その後、遅くとも2017年1月1日までにChromeでのSHA-1のサポートが完全に終了し、以後は同証明書を使用するウェブサイトは、致命的なネットワークエラーを引き起こすことになる。Googleでは、現在進められている研究の結果次第で、SHA-1サポート終了の期限を2016年7月1日に前倒しすることを検討中だとしている。
- TechRepublic Japanオススメ記事
- アンチウイルスソフトは死んだのか--セキュリティベンダー座談会(1)
- 重要なのは侵入された後の対応--セキュリティベンダー座談会(2)
- CSIRT/SOCだけでは意味がない--セキュリティベンダー座談会(3)
今回の計画により、GoogleはMicrosoftやMozillaと歩調を合わせることになる。最近、セキュリティに関する研究を協同で進めているオランダの国立情報工学・数学研究所(CWI)、フランスの国立情報学自動制御研究所(INRIA)、およびシンガポールの南洋理工大学(NTU)より、「SHA-1の暗号解読コストは従来の想定よりもはるかに低い」という憂慮すべき報告が上げられた。GoogleはSHA-1サポート終了を前倒しした理由として、これを挙げている。
SHA-1は、ウェブサイトを暗号化するためのハッシュアルゴリズムだ。SHA-1のハッシュ長は160ビットだが、すでに多様なハッシュ長を実装したSHA-2や、さらに改良されたSHA-3などの新標準が登場している。現在、SHA-1はクレジットカードやネットバンキングなど多くの重要なトランザクションで利用されているが、前述の研究報告のとおりSHA-1の暗号解読コストが低いのであれば、SHA-1を標的としたサイバー攻撃が多発し、偽造証明書が大量に出回るのは時間の問題だということになる。
なお、GoogleはSHA-1のサポート終了以外にもセキュリティに関する幾つかの大規模な方針転換を計画中だ。たとえば、TLS接続用のRC4暗号スイートもセキュリティ強度が低いとして、Chrome 48でサポートが終了される予定となっている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。