米Microsoftに続き米Googleも、SSL暗号化通信に必須のハッシュ関数「SHA-1」の廃止を決定した。推奨される「SHA-2」への移行が遅れると、自社サイトの安全性が疑われかねない。
WebサイトやWebアプリケーションを安全に利用できるように、通信経路上のデータのやりとりを暗号化したり、Webサーバのなりすましを防いだりするための技術として、「SSL(Secure Socket Layer)」が利用されている。SSLは幾つかの技術で構成されており、その1つである「ハッシュアルゴリズム(ハッシュ関数)」を巡る問題が浮上している。
ハッシュ関数は、何らかのメッセージ(データ)から一定長の「ハッシュ値」を算出する。ハッシュ値はメッセージに対して固有であり、ハッシュ値を調べることで、データが改ざんされていないかどうかを確認できる。Webアクセスにおいては、表示されているWebサイトが本物であり、なりすましされていないことを証明する「SSLサーバ証明書」の処理で利用される。
SSLサーバ証明書のハッシュアルゴリズムとしては、「SHA-1」が長年にわたって使われてきた。だがコンピュータの処理速度向上や解析技術の進化から、正規のメッセージと同じハッシュ値を算出できる危険性が高まりつつある。そのため、より安全性が高い「SHA-2」への移行が望まれているのだ。
既に米国政府やPCI のような業界団体は、SHA-1の使用停止を発表しており、日本政府も追随する計画だ。Webサーバにおいて高いシェアを誇る米MicrosoftやWebブラウザベンダー各社も、短期間でのSHA-2への移行を計画しており、ユーザーにも迅速な対応が求められている。
実際に周囲がSHA-2に移行した場合、現状のSHA-1を使い続けていると何が起きるのか。SHA-2への移行を図る上で、どのようなポイントを押さえるべきか。あらためてまとめてみよう。
提供:合同会社シマンテック・ウェブサイトセキュリティ(旧 日本ベリサイン株式会社)
アイティメディア営業企画/制作:TechTargetジャパン編集部
ITmediaはアイティメディア株式会社の登録商標です。
