マイクロソフトが2016年末にSHA-1の利用停止を正式発表
インターネット上で情報を暗号化して送受信するためのプロトコルであるSSL(Secure Sockets Layer)。このSSLを支える技術には、公開鍵暗号方式、共通鍵暗号方式、ハッシュアルゴリズムなどがある。このうちのハッシュアルゴリズムは、現行はSHA-1(Secure Hash Algorithm 1)というハッシュ関数が一般的に使われている。このSHA-1は、より強固なセキュリティ要件に対応するSHA-2への移行が、現在進められつつある。
米国政府としてはNIST(米国標準技術研究所)から、SHA-1については2013年末までに使用停止するよう勧告が出ている。一方、日本政府はNISC(内閣官房情報セキュリティセンター)指針として、それよりかなり長い2019年までに使用停止する方針が示されている。2014年となったいま、米国で使用停止が勧告されているにも関わらず、SHA-2への移行はまだあまり進んでいない。
そんな中、マイクロソフト社がWindows OSにおけるSSLサーバー証明書の利用について、より安全性の高いSHA-2への移行を促すのと同時に、SHA-1の利用を2016年末までに停止することを発表した。世の中に普及しているWebブラウザとサーバーを提供するマイクロソフトがこのようなロードマップを示したことで、ハッシュアルゴリズムの移行を早急に考え対処すべき状況となったのだ。
「暗号強度は、次の世代のものが求められています。けれど、ブラウザやサーバーが、まだすべてSHA-2には対応していないという状況がありました。そのため、SHA-2への移行は遅れている状況です。ここに来て、やっとSHA-2に対応するものが増えてきました」
株式会社シマンテック SSL製品本部 SSLプロダクトマーケティング部 上席部長の安達徹也氏は、シマンテックにおいても、現在はすべての販売チャネルでSHA-2の発行を開始していると説明する。今後は、マイクロソフトのアナウンスに合わせる形で、SHA-1の発行を停止していく予定とのことだ。
こういった業界の動きに合わせ、Webサイト管理者などはSHA-2の導入を順次進めていく必要がある。またこのハッシュアルゴリズムはSSLだけでなくAPIを利用してシステム間連携をする際などにも利用される。当然ながら、ブラウザのベンダーやブラウザ機能などをもつ組み込み機器でも利用されているので、それらの管理者や開発者も順次SHA-2への移行を行う必要がある。
SSL証明書の利用は2016年末が期限だが、じつはそれほど長い時間が対応のためにあるわけではない。SSL証明書は有効期限が1年間、なのでSHA-1ベースのSSLの発行は期限の1年前となる2015年末までとなる。影響の大きいWebサーバーやロードバランサーなどについては、ベンダーが移行対応に関するロードマップを出す必要もあるだろう。
