情報通信研究機構(NICT)は10月22日、「SSL」(Secure Socket Layer)の脆弱性を検証するシステム「XPIA」(エクスピア)を構築したことを発表した。 「SSL」は、電子政府システム、インターネットバンキング、オンラインショッピングなど、広く普及しているセキュリティシステムで、インターネット上での安全な通信を支える技術となっている。一方で、2012年に、SSLに対する新しい脅威が報告された。 SSLでは、通信相手のサーバが本物であるかどうかの確認(認証)などに公開鍵暗号「RSA」が利用されているが、昨年、ヘニンガーとレンストラのチームによって、乱数の偏り等が原因で、同じ秘密鍵(素数)を含む公開鍵が多数生成され、SSLサーバ証明書に組み込まれて利用されていることが報告された。2つのRSA公開鍵に同じ秘密鍵が含まれていた場合、最大公約数を求めることで簡単にその秘密鍵が暴かれ、SSLサーバ証明書の偽造などが可能になるという。この結果、世界中のSSLサーバの0.4%に当たる2万台以上が危険な状態にあることが判明した。 「XPIA」は、SSLサーバの公開鍵証明書について、そのセキュリティ上の脆弱性を検証するシステムだ。XPIAにより、公開鍵証明書の脆弱性を速やかに検証できるとともに、脆弱なSSLサーバを特定し、分布状況を把握することが可能になる。 今回、XPIAを用いてSSLサーバから収集した公開鍵証明書から抽出したRSA公開鍵の脆弱性を検証したところ、少なくとも世界中で2,600台を超えるSSLサーバが脆弱な公開鍵を現時点でも利用していたとのこと。また調査範囲内では、インターネットバンキングやオンラインショッピングなどのサービスサイトは見つか羅なかった。 本成果は、日本の電子政府等において、暗号技術を安全に利用するための指針として活用される予定。
濡れや落下に強い「TOUGHPAD」に指紋認証搭載モデル
