MozillaのウェブブラウザFirefoxとメールクライアントThunderbirdには、セキュリティを向上するという目的で、「マスターパスワード」という機能があります。この機能は、あらかじめソフトウェアのアカウント毎に設定しておいた個別パスワード「マスターパスワード」を入力しないと、ソフトウェアの動作を制限するというものです。しかし、このマスターパスワードによるセキュリティの向上に疑問を持っている専門家がいるとBleepingComputer.comが伝えています。 Wladimir Palant's notes: Master password in Firefox or Thunderbird? Do not bother! https://palant.de/2018/03/10/master-password-in-firefox-or-thunderbird-do-not-b
トピックス SHA-1の安全性低下について 平成29年3月1日 CRYPTREC暗号技術評価委員会 2017年2月23日に、CWI AmsterdamとGoogle Researchの共同研究チームが、ハッシュ関数SHA-1の衝突発見に初めて成功したと発表しました[1]。ハッシュ関数とは、入力データに対して固定長のハッシュ値を出力するアルゴリズムで、電子署名等多くの用途で利用されています。ハッシュ関数の衝突を発見するということは、同じハッシュ値を出力する複数の異なる入力データを見つけるということで、安全なハッシュ関数に対しては現実的な計算量では衝突が見つけられないようになっています。今回の発表では、全数探索の計算量(280)よりも10万倍速い263.1回のSHA-1の計算量で衝突を発見したと報告されています。これはCPU 6500年分とGPU 100年分を合わせた計算量に相当するとのことで
TLS/SSLやOpenPGPなどで使われる暗号的ハッシュ関数「SHA-1」を破ることに、GoogleとオランダのCWI研究が成功しました。これまで「理論上は破られる可能性がある」と指摘されていたSHA-1が現実に破られることになったため、より安全なハッシュアルゴリズムへの移行が必須になったようです。 Google Online Security Blog: Announcing the first SHA1 collision https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html SHAttered http://shattered.io/ 「SHA-1」破りに成功したのはCWIとGoogle。2年の研究の末に成功したとのこと。 約20年前に実用化されたSHA-1の技術的なアイデアは、デジ
フィッシング対策の業界団体であるフィッシング対策協議会は2017年1月、TLS/SSLを使っているWebサイトにアクセスすると、正規のサイトであっても「信頼できないサイトです」といった警告が表示される場合があるとして注意を呼びかけた。「SHA-1」と呼ばれる暗号技術を使っているサーバー証明書が「安全ではないサイトの証明書」と見なされるようになったためだ。 安全でないサイトと見なされると、Webブラウザーによっては警告の表示どころか、アクセスの続行すらできない。国内にもそんなWebサイトが数%残っているのだ。 「SHA-1」は安全ではない SHA-1とは、任意のデータを固定長のデータに変換する暗号学的ハッシュ関数の一種。サーバー証明書の署名(デジタル署名)を作成する際などに使われている。米国家安全保障局(NSA)が設計し、米国立標準技術研究所(NIST)によって1995年に「FIPS PUB
The SHA-1 hash algorithm is no longer secure. Weaknesses in SHA-1 could allow an attacker to spoof content, execute phishing attacks, or perform man-in-the-middle attacks when browsing the web. Microsoft, in collaboration with other members of the industry, is working to phase out SHA-1. We have outlined our timeline for SHA-1 deprecation in earlier posts, most recently in April. This post is to c
ヤフー株式会社は、2016年12月までに、以下に記載した携帯電話(iモード、EZweb、Yahoo!ケータイ)版サービスの提供終了を予定しています。なお、記載した以外の携帯電話(iモード、EZweb、Yahoo!ケータイ)版サービスは、引き続き提供いたします。 【携帯電話(iモード、EZweb、Yahoo!ケータイ)版サービス】 ※1 テキストでの「Yahoo!検索」は、引き続きご利用いただけます。 ※2 ユーザーが保有しているTポイントやキャンペーンが一覧できるサービスです。 ※詳細は順次、サービスページでお知らせいたします。 ※上記の提供形態以外では、引き続きサービスを提供します。 ※終了日時は予告なく変更となる場合があります。
答え:暗号の組み合わせで変わります TLSでは3種類の暗号技術を機能別に4つに分け、それぞれを切り替えて使えるようになっている。4つの分類は「鍵交換(鍵情報の共有)に使用する公開鍵暗号アルゴリズム」「署名の作成に使用する公開鍵暗号アルゴリズム」「通信データを暗号化する共通鍵暗号アルゴリズム」「署名の作成に使用するハッシュ関数」──である(図5-1)。
Microsoft社が表明したコードサイニング証明書におけるSHA-1のアルゴリズムの利用期限が迫り、またWindows 10において証明書の要件が変更されるなど、証明書に関連するセキュリティ強化に変化が起こっている。本稿では、改めて証明書を取り巻く環境を整理するとともに、必須となりつつあるEVコードサイニング証明書を実際にグローバルサインから取得しながら証明書の利用方法をまとめていこう。 SHA-1からSHA-2への本格移行開始 SSL証明書やコードサイニング証明書におけるハッシュアルゴリズムとして、これまではSHA-1がデファクトスタンダードとして利用されてきた。しかし、SHA-1に対する攻撃法は10年ほど前に発見されており、コンピュータの演算処理能力も向上してきていることから、SHA-1の強度は十分ではない状況にある。より強力なSHA-2への移行はこれまでも推奨されてきたが、最近にな
現在SSL証明書の署名アルゴリズムがSHA–1からSHA–2へと変更になる過渡期となっています。今後はSSL証明書の新規取得や更新を行う際にはSHA–2の証明書を取得することになると思いますが、いつも通りの慣れた作業と思っていると、思わぬところでハマるかも知れません。 今回は実際に更新作業をした経験を踏まえて取得/更新作業の注意点について簡単にまとめてみました。 そもそもなぜSHA–2に移行する必要があるのか? 署名アルゴリズムがSHA–1の証明書は非推奨となり、ゆくゆくは廃止となる流れとなっています。基本的にSHA–1の証明書は2017年1月1日以降使えなくなると考えてよいでしょう。そして2016年12月31日までにSHA–2に移行する必要があります。 詳細はここで説明すると長くなりますので、次のようなSSL証明書の発行元のサイトの解説を参照してください。 SHA–1証明書の受付終了とS
サイバートラスト株式会社 SureServer EV[SHA-2] このページはSSL接続しています。
This page is for TEST SHA256 SSL Certificate. このサイトはSHA-2のSSLサーバ証明書のテストサイトです。 [SHA2のテストサイトに正しくアクセスできた場合] エラーやセキュリティ警告が表示されずに、[This page is for TEST SHA256 SSL Certificate.]と表示されます。 [接続エラーになる場合] SHA-2アルゴリズムに対応していないブラウザの場合、エラーやセキュリティ警告が表示されます。 (内容はお使いのブラウザによって異なります) Copyright(c) Symantec Website Security G.K. All rights reserved.
平素は、グローバルサインをご愛顧いただき誠にありがとうございます。 現在、弊社SSLサーバ証明書およびコードサイニング証明書をご利用のお客様にお知らせいたします。 2013年11月12日、Microsoft社より、SHA-1ハッシュ関数の危殆化を背景に、SHA-1廃止ポリシーの発表がありました。 これにより、SHA-1ハッシュ関数の弊社SSLサーバ証明書およびコードサイニング証明書が、2016年から発行が不可になります。またSSLサーバ証明書は2017年1月から、コードサイニング証明書は2016年1月からご利用不可となります。 お客様にはご迷惑をおかけしますが、このページにおいて今後随時SHA-2電子証明書への移行に関する情報を更新してまいります。 現在ご利用中のSHA-1証明書は継続利用が可能です。また、SHA-1証明書を新たに発行することも可能です。SHA-1証明書からSHA-2証明書
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
