題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。
投稿者 FP親衛隊國家保安本部 日時 2000 年 8 月 28 日 16:19:35:
人気の高い電子メール暗号化ソフト「PGP(Pretty Good Privacy)」の最新版にセキュリティ上の問題点が発見された。
これはドイツの暗号技術研究家Ralf Senderek氏が8月24日に報告したもの。暗号化した電子メールを無関係の第三者に読まれてしまう危険があるという問題点だ。
もっとも,この問題点は差し迫った脅威というより理論上の指摘であり,実際にこの問題点を悪用した例は報告されていない。
商用版と無料版の両方が存在するPGPは,電子メールのセキュア化を図る暗号化プログラムとして最も人気の高い製品の1つ。企業とコンシューマーの両方が使っている。
伝えられるところによると,今回発見された問題点は,Network Associates(NAI)がPGPに「鍵供託」機能を付加した結果として浮上したものだという。
鍵供託とは,本来のメール受信者以外の第三者(企業の雇用主や政府機関など)がメッセージやファイルの暗号を解読できるように,付加的な復号鍵を作成/保管するプロセスを指している。
パッチはすぐに
NAIでは8月24日,同社のサイトでこの問題点を認め,翌25日に修正を約束した。
NAI関係者は25日,「この問題については最優先の課題として対処にあたっている。PGP Securityからの正式な助言,ならびに緊急対処のためのファイルをできるだけ早く用意する」と語った。
カーネギー・メロン大学のCERT Coordination Centerも,この問題点についての助言を発行している。
問題は,PGPのバージョン5.5から6.5.3までに影響する。
PGPのユーザーは公開鍵と秘密鍵を持つ。公開鍵は電子メールメッセージをセキュアに暗号化するのに使われ,ユーザーの電子メール内あるいは公開サーバやWebページ上の公開鍵証明書に含まれて配布される。暗号化された電子メールを復号するには,そのユーザーだけが知る秘密鍵が必要だ。
ADKにセキュリティ上の問題
今回の問題は,政府機関などの第三者にPGP電子メールの復号を許すために追加された「Additional Decryption Keys(ADK)」に,セキュリティ上の問題があったもののようだ。
Senderek氏は,一部PGPソフトが,悪意をもって公開PGP鍵に付加された第三者暗号鍵と,ユーザーの了解が得られているものとの見分けがつけられないことを発見した。一部の企業は,犯罪捜査などに備えて社員のメールを復号できるように,この種の第三者暗号を追加している。
PGPの作者Phil Zimmermann氏によると,このバグの修正は最優先事項として進められている。
同氏は25日の段階でこのように語っている。「われわれNAI/PGPは,この問題の存在を当日早朝に確認,可能な限り迅速な対応をとっている。25日中にはフリーウェアと商用版向けのパッチをリリースできると思う」
フリーのPGP 6.5.xは,MITのWebサイトからリリースされる。またバージョン5.5.x以上のバージョン用の商用版フィックスは,www.nai.comまたはwww.pgp.comに掲載される。
政府の圧力で付加された機能
ADKは,政府機関からの圧力によって作成が促されている。ADKは公開鍵証明書に付加され,公開鍵で暗号化された電子メールを解読できる。もしユーザーがADKを公開鍵に追加することに同意すれば,証明書のセキュアなエリア内にそれが置かれる。
公開鍵証明書は広く利用されているため,オーソライズされていないADKを追加し,安全性を損なうのは簡単なことだ。Senderek氏は,PGPのバージョン5.5.xから6.5.3では,証明書のセキャなエリア内にADKが置かれているかどうかをチェックすることができないことを発見した。これはつまり,オーソライズされていない人物がもし自分のADKをPGP証明書に追加できれば,この修正された公開鍵を使って,どんな暗号電子メールでも読めてしまうだろうことを意味している。
[Graeme Wearden, ZDNet/UK]
題名には必ず「阿修羅さんへ」と記述してください。