MD5アルゴリズムの脆弱性による SSLサーバ証明書の偽造に関する報道について
2009年1月7日 MD5アルゴリズムの脆弱性による SSLサーバ証明書の偽造に関する報道について 「第25回カオス コミュニケーション会議(CCC) (2008年12月30日 米国時間 in Berlin)」 において、MD5アルゴリズムで署名しているWebサーバ証明書に対して、 「偽造」に成功した旨の発表が行われました。
この攻撃手法により、md5で署名されたWebサーバ証明書に操作を加えることにより、 あたかも信頼された認証局から発行されたWebサーバ証明書であるような、 なりすましを行なうことが可能となります。
今回の証明書の偽造の手法は、md5の不備を用いたものとなりますが、 当プロジェクトから発行した証明書は、すべて署名をsha-1で行なっているため、 当プロジェクトが今回の攻撃手法により、悪用されることはございません。
・本件に関してJVNが以下のような公知を行っております。Japan Vulnerability Notes - JVNVU#836068
・今回の攻撃手法の発表内容につきましては、下記のとおりです。 25th Chaos Communication Congress MD5 considered harmful today