debiancdn

AWS, Content Delivery Network and Debian

debianのSHA-256に移行について考えてみる.

結論:用意はできている.しかしまだ広く守る段階にはない.そしてあと2年で対応しなければならない.

ふとこんな記事をみたのでした.

神田氏によれば、「2004年以降、ハッシュ関数が相次いで破られたため」に、米国政府は次世代暗号への移行を決意したという。まず、2004年8 月、中国の研究者グループにより「MD5」などが破られた。それを受けてNISTでは、SHA-1も破られることを予想してか、SHA-1の運用は 2010年までに中止し、SHA-2に移行する計画であることを同月に表明した。

 そして予想通り、2005年2月にSHA-1も事実上破られ、同月、NISTは移行計画の実行を宣言。ハッシュ関数だけではなく、共通鍵暗号や公開鍵暗号も含めた大規模な世代交代を予告した。これによって生じるのが「2010年問題」である。

まあus政府になんか使われなくたって構いやしないよ,という声もあるかもしれないが,いちおうdebのばあいはMD5, SHA1(160),SHA256のhash値と共に配布している.
他はどうだろう.gnupgはSHA256,384,512も使える(1.4以降でつかえる)のだが,DebianのMLに流れる署名が全てSHA256以降というわけではない.
というかSHA1は見るけどそれ以降がついたのは見たためしがない.(このあたりの規約はあったかわからない..)
GnuPG のデジタル署名で RSA と SHA-256, SHA-384, SHA-512 を使う方法というpageでDSA鍵の限界とかいろいろ説明してある.

もっと詳しく知っている人がいたらぜひ教えてほしい.

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google フォト

Google アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

%s と連携中