making for the future

〜食べたもの、気がついた事、時々ITネタの自分用メモ

ヤフーがSHA-2移行の本格的アナウンスを開始

YAHOO!JAPANがトップページに【重要なお知らせ】Windows XPをご利用の方へ と掲出し、SSL証明書のSHA-2への移行の最終アナウンスに入りました。これは結構大きなトピックで、SHA-2のSSL証明書に対応していないWindowsXP等のPCからは、10月以降ヤフーにアクセスできなくなります。

f:id:noanohakobune:20150929095729p:plain

f:id:noanohakobune:20150929101755p:plain

SSLサーバ証明書とは

公開鍵暗号方式と呼ばれる、インターネット上で機密情報をやり取りするための仕組み。概要はわかりやすく言うと以下の通り。

  1. サーバ側が、公開している鍵(わかりやすく言うと南京錠本体)をネット上に公開
  2. ユーザが南京錠でデータに鍵をかけて(暗号化)、サーバに送信
  3. サーバは秘密鍵(南京錠の鍵)で鍵を開けて情報を取り出す(復号化)

銀行口座や住所等、個人情報等をインターネット上でやりとりする場面(ログインが必要なコンテンツ等)において、それらを暗号化するために使用されています。昨今、「個人情報に限らずすべて暗号化しちゃえばいいじゃん」ということで、例えばyahooやgoogleの検索画面などの通信も暗号化されつつあります。

Secure Socket Layerの略で、インターネット上で情報を暗号化して送受信できる仕組み。個人情報・クレジットカード情報などの大切なデータを安全にやりとりできます。
https://www.sslcerts.jp/images/ill_ssl01.png
SSLサーバ証明書ってなんですか?|SSL-総合解説サイト

http://viral-community.com/wp-content/uploads/2014/01/Public-key-cryptosystem.png
3分で理解できる!共通鍵暗号方式と公開鍵暗号方式の仕組み

スポンサード リンク


SHA-2(SHA256)とは

データの送信中の経路上で暗号化したデータの中身が改ざんされていないか検知するための、チェックサム。これは暗号化の仕組みではなく、SSL(TSL)で暗号化したデータがインターネット上の経路上で第三者に複合化されて改ざんされていないかを検知する仕組み。

SHA-1・SHA-2とは、ハッシュ関数の種類で、改ざん検知に利用される署名アルゴリズムのことです。ハッシュ関数とは、テキストデータから別の固定長のテキストデータ(ハッシュ値)を生成する関数であり、生成されたハッシュ値を比較することでデータの改ざんを確認することができます。SHA-1とSHA-2でハッシュ値の長さが異なり、SHA-1は160ビット、SHA-2は224ビット・256ビット・384ビット・512ビットです。
SHA-1からSHA-2への移行について│SSL・電子証明書ならGMOグローバルサイン

SHA-1証明書を使い続ける危険性

厳密には違うけどわかりやすく言うと、ピッキングしやすい南京錠(SHA-1)だったので、構造が複雑な南京錠(SHA-2)に変えた。

ハッシュ関数による改ざん検知は、同じデータから生成されるハッシュ値が一様であることを前提に成り立っています。ハッシュ値が短いと同一のハッシュ値を持つデータが発見される可能性が高くなり、安全性が低下します。コンピュータの計算能力の向上により、SHA-1の安全性が危ぶまれるようになったため、よりハッシュ値の長いSHA-2の利用が推奨されます。
SHA-1からSHA-2への移行について│SSL・電子証明書ならGMOグローバルサイン

SHA-1証明書はアブナイので、SHA-1を利用したSSL通信は2017年から一切できませんとマイクロソフトなどがアナウンス。そのため、各企業はSHA-2対応の証明書に移行する準備を進めています。
https://www.cybertrust.ne.jp/images/sureserver/productinfo/00000696.jpg
SHA-1 証明書の受付終了と SHA-2 証明書への移行について|サイバートラスト

ヤフー以外の主要サイトの状況は?

8月末時点では下の記事の通り。まだまだ、SHA-1のサイトが多いですがヤフーが10月に移行したらSHA-2化の流れは加速しそうです。WindowsXP以外にも、一部古めのガラケーについてもSHA-2に対応していないため、アクセス不可というサイトが発生します。