OpenSSL Heartbleed Bugへの対処状況から知る国内SSL/TLSサーバ設定の見直し・移行のお誘い

概要

2014年4月、Heartbeatメッセージの処理において境界チェックの問題がありOpenSSLが動作しているマシンのメモリ情報を取得可能な状態にあったことが公表されました。最初にエンバグしてから2年が経過していること、メモリ情報を窃取された際にログが残らないことから早急な対応が必要であると認識されました。大量にメモリアクセスすることで実際にメモリ上から秘密鍵が復元できることがコンペティションの開催により実験的に示されたことから、RSA鍵ペアの再作成が推奨され、多くのサーバ証明書が失効・再発行される事態になりました。

本発表では，この事例を起点にいくつかの考察を行ないます。利用しているアプリケーションやプロトコルにおける「枯れた技術は安全」神話について取り上げた後、暗号アルゴリズム危殆化と現在のSSL/TLSにおける利用状況、さらにNSAによる通信傍受に関する一連の報道から注目を集めたForward Secrecyに触れます。Wrap upとして移行工学の視点で現場の皆様からのフィードバックを頂戴できればと思います。

発表者: 須賀祐治 (株式会社インターネットイニシアティブ)

関連情報: Heartbleed bug による秘密鍵漏洩の現実性について

Heartbleed bug によるサーバ設定の状況変化

Internet Infrastructure Review（IIR）Vol.22 1.4.2 Forward Secrecy

ハッシュタグ: このプログラムのハッシュタグは #htbld です。Twitterなどでつぶやく際にお使い下さい。

→プログラムへ戻る