【SHA1だよ！】セキュリティTips＠2015.12.22【赤でも3でもないよ！！】

suzuki

セキュリティTips

セキュリティに関する情報をお届けするセキュリティ情報Tipsです。

本日はGoogle Chromeの、SHA-1を利用した証明書への対応についての情報をお届けいたします。

SHA-1を利用した証明書をエラー表示

こちらの記事によるとGoogle Chromeの次期バージョンの48では、SHA-1を利用した証明書に対して段階的にエラー表示を行っていくとのことです。

SHA-1とは

SHA-1とは、ハッシュ関数の一種で暗号化などの際に用いられています。SHA-1が開発された当初は、SHA-1を用いて暗号化された通信は十分な強度を持っていました。しかし近年のコンピュータや技術の進歩から、SHA-1を用いた暗号の強度は安全性を考えると十分とは言えなくなってきました。

HASH関数とは

HASH関数とは、基にしたデータからあるアルゴリズムに従って値を計算する関数のことです。数メガ～数ギガバイトあるようなデータから、比較的短い文字列（数文字～数十文字程度のことが多い。基のデータやアルゴリズムによって異なる。）を計算します。計算後の値をHASH値といいます。データの塊を切り刻んで値を取り出しているように見える様から、細切れという意味のHASHという名がついています。「ハッシュドポテト」のハッシュと同じ意味ですね。

なお、HASH関数は暗号以外の分野でも利用されますが、暗号で利用されるHASH関数には以下のような要件などが求められます。

・異なるデータに対して、同一のHASH値が生成されにくい

ー＞異なるデータに対して同じHASH値が計算されてしまうと、暗号を破られる危険性が高まる。また、ファイルの改竄検知に利用している場合、改竄を検知できない可能性がある。

・HASH値に変換された後の値に規則性がない

ー＞規則性があると、推測によって破られる可能性がでる。

※規則性の例：ファイルサイズが1増えるとHASH値が1変わる、特定の文字を使うと決まった文字が出てくる、ファイル名とHASH値の長さが等しい、など。

SHA-1を利用した証明書へのエラー表示

今回の記事によると、Google Chromeは来年中にもこのSHA-1に対して随時エラー表示を行っていくようです。来年公開予定の次期バージョンである48ではSHA-1を利用した証明書に対してエラー表示を行うとのことです。具体的には

１．新規のSHA-1による証明書に対してエラー表示を行う

２．すべてのSHA-1による証明書に対してエラー表示を行う

という2段階の手順を踏むようです。

新規のSHA-1利用した認証をエラー表示

エラー表示の手順1として、まず以下にの要件に当てはまるSHA-1の証明書を利用している場合にエラーを表示するとのことです。

1．SHA-1を基にしているもの

2．2016年1月1日以降に発行されたもの

3．信頼されたルート認証局(ルートCA)の証明書と連鎖しているもの

※以下こちらより原文を引用：

Starting in early 2016 with Chrome version 48, Chrome will display a certificate error if it encounters a site with a leaf certificate that:

is signed with a SHA-1-based signature
is issued on or after January 1, 2016
chains to a public CA

※引用ここまで

さらに、2016年後半には、さらに厳しい基準でSHA-1のエラー表示を行うようです。

すべてのSHA-1を利用した認証をエラー表示

新しいSHA-1の証明書に対してエラー表示する時期を経て、すべてのSHA-1を利用した証明書に対してエラー表示を行います。具体的な日付は、遅くとも2017年1月1日までとしています。これはMicrosoft Edge や Mozilla Firefoxが目指している日付と同じですが、できればChromeでは、2016年7月1日にはすべてのSHA-1へのエラー表示を行いたいという思惑のようです。また、できれば期日までにすべてのSHA-1を利用した証明書の利用を中止してほしいということです。いずれにせよ、証明書にSHA-1を利用している場合は早急な対応が必要になってきます。