この問題に取り組んでいる2つの研究者チームが、同一のキー生成問題を特定している。とは言え、2チームはこの問題がどの程度の範囲に及ぶか、そしてどのシステムが決定的に影響を受けるかという評価においては意見が異なる。一つのグループは、この問題がWebサーバに影響を及ぼすと考えており、第二のグループはほぼ組込機器に限定されると考えている。
EFFグループ:サーバなりすまし攻撃に至る可能性
電子フロンティア財団(EFF)のSSL Observatoryプロジェクトからのデジタル証明書に基づいて行われた、HTTPS接続保護に使用される公開鍵の監査により、何万もの暗号キーが弱い乱数発生アルゴリズムが原因となって、「事実上何らのセキュリティも提供していない」ことが明らかにされた。
おそまつな乱数発生アルゴリズムは、キー生成で共通素因数に導く。その結果、RSA 1024ビット・モジュラスを使用して生成されたキーは、99.8パーセントパーセントしかセキュアではなかった。大抵の場合なら、このような数字は非常に良いと見なされるだろうが、このような状況ではそうは言えない。何故ならこれは、RSA公開鍵1000個に2つがセキュアではないということを意味しているからだ…
※本記事は有料版に全文を掲載します
© The Register.
(翻訳:中野恵美子)
略歴:翻訳者・ライター