V.S.A. III
署名が正しく検証できない脆弱性 (RSA)
こんにちは,五十嵐です.RSA を使用した署名を正しく検証できない脆弱性が報告されています.
- JVNVU#845620 複数の RSA 実装において署名が正しく検証されない脆弱性 (2006/09/12 JVN)
- [ GLSA 200609-15 ] GnuTLS: RSA Signature Forgery (2006/09/26 SecurityForcus)
- OpenSSL PKCS Padding RSA Signature Forgery Vulnerability (2006/09/05 SecurityForcus)
- Vulnerability Note VU#845620 Multiple RSA implementations fail to properly handle signatures (2006/09/05 UC-CERT)
- CVE-2006-4339 (2006/09/- CVE)
この件は,9月5日に報告されてからアップデートされたものです.署名が検証できないということは,署名つきで受け取ったものが正しいものかどうかがわからないということになります.単に署名が確認できないだけではなく,第三者が署名を偽造できるというところも大きなポイントです.第三者が署名を偽造できるということは,その仕組みを用いたすべての署名が疑わしいものになってしまうからです.
騒いでも仕方がありませんが,今のところできることは,電子署名だけではなく,入手経路や本人からのものであることを物理的な手段で確認するなど,大切なものは別な方法での確認も併用しておく必要があります.
カテゴリ:情報セキュリティ
いかちょー (2006-09-28 12:19) | コメント(0)| トラックバック(92)
トラックバックURL:
月別アーカイブ
- 2009年5月 (4)
- 2009年4月 (3)
- 2009年3月 (1)
- 2009年2月 (2)
- 2009年1月 (6)
- 2008年12月 (7)
- 2008年11月 (3)
- 2008年10月 (1)
- 2008年9月 (6)
- 2008年8月 (3)
- 2008年7月 (7)
- 2008年6月 (19)
- 2008年5月 (25)
- 2008年4月 (23)
- 2008年3月 (4)
- 2008年1月 (1)
- 2007年8月 (4)
- 2007年7月 (22)
- 2007年6月 (21)
- 2007年5月 (18)
- 2007年4月 (14)
- 2007年3月 (24)
- 2007年2月 (18)
- 2007年1月 (28)
- 2006年12月 (20)
- 2006年11月 (22)
- 2006年10月 (14)
- 2006年9月 (20)
- 2006年8月 (9)
- 2006年7月 (14)
- 2006年6月 (25)
- 2006年5月 (20)
- 2006年4月 (26)
- 2006年3月 (3)
- 2006年2月 (2)
- 2005年12月 (7)
- 2005年11月 (5)
- 2005年10月 (4)
- 2005年5月 (1)
Copyright (C) 2004-2011 Nihon Unisys, Ltd. All Rights Reserved.
Powered by Movable Type Open Source