注意:
・マイクロソフトの SHA-1 廃止措置に関するポリシーの最新情報は http://aka.ms/sha1をご確認ください (随時更新されます)。
・本内容は、2015 年 11 月 2 日時点での情報を基に FAQ 形式で作成しています。
一般
Q. SHA-1 とは何ですか?
A. SHA-1 とは、米国の国立標準技術研究所 (National Institute of Standards and Technology, NIST) によって 1995 年に制定されたハッシュを生成するためのアルゴリズムのひとつです。ハッシュとは、全体のデータを一定の規則 (ハッシュ関数) に従って抽出した値 (ハッシュ値) のことです。ハッシュ値は主に、内容に改ざんがない (完全性) ことの確認を行うために利用され、以下の特性を持って、安全性を担保しています。
1. ハッシュ値からは、元データを算出する事はできない (不可逆性)
2. 異なる元データからは、異なるハッシュ値が算出される (衝突困難性)
たとえば、証明書では、ハッシュを暗号化したものであるデジタル署名を利用することで、証明書の改ざん、なりすましを防止する役割があります。
Q. なぜ SHA-1 を廃止するのですか?
A. ハッシュ アルゴリズムには、異なる元データであるにも関わらず、同じハッシュ値が算出されてしまう、という問題 (衝突の問題) が発生する可能性があります。この問題が発生してしまうと、元データが改ざんされていても、ハッシュ値が同じため、なりすましやデータの改ざんが可能となってしまいます。衝突の問題は、研究が進むにつれて発見される新たなアルゴリズムや、ハッシュが安全性の担保として利用している数学や計算がコンピューターの計算速度の進化により、短時間で実現可能になっていることが要因で発生します。先日も、あるクラウド サービスを利用すればわずか 7 万 5000 米ドル程度で実効性のある SHA-1 衝突攻撃が可能になるとの研究発表がありました。
Q. なぜ今 SHA-1 の対応が必要なのですか?
A. SHA-1 は、マイクロソフトだけではなく業界全体 (および政府の指針) での移行が推奨されているものです。研究発表によると犯罪集団による悪用が現実化する時期はこれまでの予想よりも 2 年早まることになり、主要ブラウザで SHA-1 が廃止される 1 年前に攻撃が発生する恐れもあると言われています。すでに、公的機関などでは、SHA-1 の利用を停止し、より安全なアルゴリズムへ移行することが呼びかけられています。
マイクロソフトでも SHA-1 を段階的に廃止する措置を実施し SHA-2 への移行を推進しています。
以下のアドバイザリやブログでご説明しています。
アドバイザリ: マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止
ブログ: [IT 管理者向け] SHA-1 からの移行を推奨しています
Q. Chrome、Safari、Firefox など他社製品の対応はどうですか?
A. 各社 SHA-1 廃止に関する自社のポリシーと措置を表明しています。(参考: Google、Mozilla)
Q. 対応しないとどのような不都合が起きますか?
A. 改ざんされた証明書が利用可能となる問題が近年中に発生し、それにより攻撃者はコンテンツのなりすまし、フィッシング攻撃や中間者攻撃を実行することができます。
Q. システム管理者です。SHA-1 廃止措置と SHA-2 への移行に関し、具体的に何をすればいいですか?
A. 運用しているシステムで利用している証明書を確認し、措置に該当する証明書であるか、該当する場合は、発行元の証明機関に移行方法について確認してください。また、証明書の切り替え後、業務アプリケーションなどの動作に問題がないかを確認してください。
Q. SHA-1 を利用しているかどうかを確認する方法はありますか?
A. お客様環境における具体的な確認方法や、移行に関する支援は、マイクロソフト カスタマー サービス & サポートにてご支援致します。
Q. この措置は中間見直しが予定されているようですが、今後の変更や最新情報はどこで確認できますか?
A. 今後、SHA-1 証明書の移行状況、SHA-1 アルゴリズムに対する攻撃や脅威の状況に応じて、措置の内容を改変する可能性があります。具体的な時期は決まっていません。最新の情報はこちらをご確認ください。
措置対象および影響
Q. 今回のマイクロソフトにおける措置の対象となる証明書は、マイクロソフト ルート証明書プログラムに参加している証明機関 (CA) から発行された証明書のみですか?
A. はい。マイクロソフト製品における今回の措置の対象は、ルート証明書プログラムに参加している CA から発行された証明書が対象です。ルート証明書プログラムに参加していないルート証明機関、例えば、社内で利用しているプライベート ルート証明機関 (Windows Server で証明書サービスをインストールして独自に構築しているルート証明機関など) は対象外です。また、多くの場合、ルート証明書プログラムに参加している証明機関は商用 CA ですので、それらの証明機関は、発行した証明書を利用している顧客に、今回のポリシー変更を受けて通知を行っていると想定されます。
Q. 公的な証明機関から発行された証明書が対象であり、プライベート CA は対象外であるという認識であっていますか?
A. 今回の措置の対象は、マイクロソフト ルート証明書プログラムに参加している証明機関から発行された証明書を利用している場合です。お客様が利用している CA がルート証明書プログラムに参加しているかどうかは、「Windows and Windows Phone 8 SSL Root Certificate Program (Member CAs)」から確認できます。
Q. 今回の措置の対象は、マイクロソフト ルート証明書プログラムに参加している CA が発行している証明書とのことですが、具体的に、PKI 階層のどのレベルの証明書が対象ですか?例えば、CA のルート証明書自身は対象ですか?
A. ルート証明書プログラムに参加している CA のルート証明書は、今回の措置の対象外です。ルート証明書プログラムに参加している CA から発行されているすべての証明書 (リーフ証明書、中間証明書) は「ルートから発行された証明書」ですので対象です。なお、そもそも、ルート証明書プログラムのルート証明書は、異なるタイムラインで SHA-1 の使用廃止が進められています。
Q. 今回の、Windows における SHA-1 の措置の対象は、SSL 証明書とコード署名証明書のみですか?
A. 現時点では、SSL/TLS 証明書およびコード署名証明書を中心に、OCSP 署名およびタイム スタンプ署名についても措置が予定されています。最新の情報はこちらをご確認ください。
Q. SSL 証明書やコード署名証明書はどういったところで利用されていますか?
A. SSL サーバー証明書は、インターネットに公開しているウェブ サーバーで HTTPS のために利用されることが多く、コード署名証明書は、アプリケーションやドライバー、コードなどの署名の用途で、広く配布しているアプリケーションや ActiveX などウェブサイト上で動作するモジュールに利用されている場合が多くあります。
Q. 今回のポリシーは主にどこに影響がありますか?
A. このポリシーで主に影響があるのはインターネット上でセキュアなサイトに接続している場合とインターネットから Mark-of-the-Web ファイルをダウンロードする場合です。企業は企業内で SHA-1 を使用し続けることはできますが、SHA-2 よりも大きなリスクが存在することになります。インターネットに接続する Web サーバーを所有する、もしくはインターネット経由でダウンロード用に署名されたファイルを提供している企業はそれらに対して SHA-1 から切り替える必要があります。
Q. 具体的なタイムラインと影響について教えてください。
A. 以下は、2015 年 11 月 2 日時点の情報です。
・マイクロソフト ルート証明書プログラムに参加している CAは 2016 年 1 月 1 日以降 SHA-1 を利用した証明書の新規発行、更新、再発行を停止します。
・SSL/TLS 証明書については、2017 年 1 月 1 日以降、SHA-1 利用の証明書は Windows で動作しません。ポリシーに従っていない場合、証明書は信頼できない証明書とみなされ、実行時に SSL 接続が失敗し、エラーになる可能性があります (エラー状況はアプリケーションにより異なります)。注: 現在、研究発表による攻撃や脅威の状況の変化を受け、マイクロソフトではお客様保護のため SSL/TLS 証明書廃止の日程の前倒しについて評価中です。これにより 2016 年 6 月頃に前倒しする可能性が検討されています。
・コード署名証明書は、2016 年 1 月 1 日以降、“2016 年 1 月 1 日より前に発行されたタイムスタンプ付きの SHA-1 証明書”、もしくは “SHA-2 (すべてのタイムスタンプ) の証明書” のみが利用可能です。ポリシーに従っていない場合、署名された証明書およびコードやアプリケーションは、信頼しない証明書・コードとみなされます。その結果、実行時にエラーになり、実行できない可能性があります (エラー状況はアプリケーションにより異なります)。
・その他証明書に関する変更、および最新の情報はこちらをご確認ください。
Q. コード署名証明書について教えてください。SHA-1 を利用したコード署名証明書の、2016 年 1 月 1 日以降の Windows 上の動作はどうなりますか?
A. 2016 年 1 月 1 日以降、Windows 上で利用できる SHA-1 コード署名証明書は、2016 年 1 月 1 日より前に発行されたタイムスタンプ付きの SHA-1 コード署名証明書のみです。詳細は下表を確認してください。
タイムライン 発行された時期 | ~2016 年 1 月 1 日 | 2016 年 1 月 1 日以降 |
2016 年 1 月 1 日より前に発行の SHA-1 コード署名証明書 | すべて利用可能 | ・タイムスタンプ付きの SHA-1 コード署名証明書については 2020 年 1 月 1 日まで Windows 上で利用可能 |
・タイムスタンプ付きではない SHA-1 コード署名証明書は Windows 上で利用不可※1 | ||
2016 年 1 月 1 日以降発行の SHA-1 コード署名証明書 | N/A | すべて利用不可 |
※1 Windows Vista/Windows Server 2008 で利用する場合に限り、ルート証明書プログラムに参加している証明機関は SHA-1 のコード署名証明書の発行を継続することができます。ただし、実際の方針については、ルート証明書更新プログラム メンバーの各証明機関に問い合わせてください。
Q. Chrome では Version 39 以降で SHA-1 SSL サーバー証明書が入ったウェブサイトとの通信で警告を表示する発表がありましたが、Internet Explorer でも同様に警告を出す機能を提供する予定はありますか?
A. 警告表示の予定は今のところありません。ただし今後の SHA-1 の利用状況から、措置を改定する予定がありますのでその際に変更があるかもしれません。
措置の展開方法および対象 OS
Q. この措置は、具体的にどのように展開されるのですか?2016 年 1 月 1 日に自動で有効になるのですか? Microsoft Update などで有効化のための更新プログラムが配信されるのですか?
A. この措置は、「セキュリティアドバイザリ2854544」で紹介している「Windows の弱い証明書暗号化アルゴリズムの管理を向上させる更新プログラム (サポート技術情報 2862966)」(2013 年 8 月 14 日公開、自動更新が行われています) をインストール済みの環境にのみ適用されます。更新プログラム 2862966 は Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、および Windows RT が対象です (Windows 8.1/Windows Server 2012 R2 以降の OS には既定で機能が追加されています)。今後、対象 OS に対して SHA-1 ハッシュ アルゴリズム廃止の設定を行う更新プログラムが Windows Update で提供される予定です。
Q.SHA-2 対応について教えてください。Windows 7 の初期インストール時点では、SHA-2 のルート証明書は含まれていないと思いますが、どの更新プログラムから提供されたのですか?
A. セキュリティ アドバイザリ 2949927もしくはセキュリティ アドバイザリ 3033929で、Windows 7/Windows Server 2008 R2 向けに、SHA-2 ハッシュ アルゴリズムの機能を追加する更新プログラムを提供しています (Windows 8/Windows Server 2012 以降の OS には既定で機能が追加されています)。なお、更新プログラム 3033929は更新プログラム 2949927を置き換えるものです。今後適用を検討される場合は 3033929 を適用ください (2949927 に適用後の問題が確認されたため、問題を修正した 3033929 を公開しています。2949927 適用後に問題が発生していないお客様は 3033929 をインストールする必要はありません)。
Q. SHA-2 署名および検証機能のサポートを追加するプログラム (2949927 もしくは 3033929) に関して、Windows Vista および Windows Server 2008 向けに別途更新プログラムが提供される予定はありますか?
A. 予定はありません。
Q. アドバイザリ 3033929 を適用した場合、SHA-1 が無効となり、認証が取れなくなるのでしょうか?
A. いいえ。以下の SHA-2 ハッシュ アルゴリズム署名および検証のサポートを追加しただけです。
・キャビネット ファイルでの複数署名のサポート
・Windows PE ファイルでの複数署名のサポート
・複数のデジタル署名の表示を可能にする UI の変更
・カーネルの署名を検証するコードの整合性コンポーネントへの RFC3161 タイムスタンプを検証する機能
・さまざまな API (CertIsStrongHashToSign、CryptCATAdminAcquireContext2、およびCryptCATAdminCalcHashFromFileHandle2 など) のサポート
参考リンク:
SHA-1 廃止に関するマイクロソフトのポリシーや施行を説明した公開情報 | |
常に最新情報が確認できるサイト | http://aka.ms/sha1 (英語情報。随時更新されます) |
セキュリティ アドバイザリ | マイクロソフト セキュリティ アドバイザリ 2880823 - マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止 |
日本のセキュリティ チームのブログ | |
SHA-1 廃止、SHA-2 移行をサポートするアドバイザリおよび更新プログラムの提供 | |
SHA-1 廃止に関するアドバイザリおよび更新プログラム | マイクロソフト セキュリティ アドバイザリ 2854544 - Windows の暗号化とデジタル証明書の処理を改善するための更新プログラム 対象の更新プログラム: 2862966 |
SHA-2 サポートに関するアドバイザリおよび更新プログラム | マイクロソフト セキュリティ アドバイザリ 2949927 - Windows 7 および Windows Server 2008 R2 で SHA-2 ハッシュ アルゴリズムを利用可能 対象の更新プログラム 2949927※ または マイクロソフト セキュリティ アドバイザリ 3033929 - Windows 7 および Windows Server 2008 R2 で SHA-2 コード署名サポートを利用可能 対象の更新プログラム 3033929 ※2949927 は既知の問題が報告されており、今後適用される場合は、修正された 3033929 の適用をお願いします (3033929 は 2949927 を置き換えます)。 |