MD5対する衝突攻撃(collision attack)の実現可能性

2009.01.07

その他

マイクロソフト セキュリティ アドバイザリで通知されました。
マイクロソフトの公式見解としては、

  • マイクロソフトは、MD5に対する特定の攻撃を確認しておらず、以前に発行されたMD5を使った証明書については影響を受けないため、証明書の取り消し(Revoke)を行う必要はありません。 本件は、今回の攻撃手法が公表された以降にMD5を使って署名された証明書のみが影響をうけます。
  • 多くの認証局のルート証明書は、すでにMD5を証明書の署名に使用しておらず、より安全なSHA-1アルゴリズムに移行しています。 お客様は必要に応じて、保有する証明書の発行元認証局に確認してください。
  • 最近のブラウザでウェブサイトを訪れた場合に、アドレスバーが緑に成る事があります。これは、EV(Extended Validation)証明書を使用しているウェブサイトです。 これらのEV証明書については、すべてSHA-1により署名されており、調査機関の発表内容の影響を受けません。

とのことです。

MicrosoftTechNetのページ
MD5について(Wikipedia)