〜 卓越した品質へ 〜

ここのところ,セキュリティに関する脆弱性のニュースが多い気がします。今回は,SSL接続時に利用するTLSというプロトコルに関する脆弱性のニュースです。ブラウザを最新版に更新して対策しましょう。

このサイトで,Logjam Attackの脆弱性を確認することができます。
https://weakdh.org

私のMacBook Pro & Safari 8.0.6 (10600.6.3)で試してみたところ,見事にWarningが出てしまいました。一方,Windows 8.1 Update & IE11(11.0.9600.17801)で試してみたところ問題なしでした。
2015-05-23 6.52.46
この手のセキュリティに対する対策のスピードはMicrosoftが早いですね。

Logjamはどのような脆弱性なのか,簡単にまとめてみました。

  • SSL通信で,TLSプロトコルでは鍵交換にDiffie-Hellman(DH)鍵交換を利用します。
  • この脆弱性があると,攻撃者がこの鍵交換の途中に割り込み,TLS接続の鍵長を512bitにダウングレードすることができます。
  • 512bitの鍵長は簡単に解読できるくらいの強度しかありません。これにより,攻撃者は通信内容を傍受することが可能になります。

 Logjamはサーバ/クライアント双方で対策することができます。
○サーバ側:
512bitのDH鍵交換をサポートしている「DHE_EXPORT」を無効にする。
○クライアント側:
ブラウザの最新パッチを適用する。

 Logjamの研究チームが公表した資料のリンク(英語)です。

コメントを残す

メールアドレスが公開されることはありません。

This site uses Akismet to reduce spam. Learn how your comment data is processed.