エントラストはこの度、発見され報告されたDSAアルゴリズムによる
脆弱性の影響を受けない

米国カリフォルニア州サンタクララおよびテキサス州プレーノ発 – 2001年2月7日、エントラストテクノロジーズ社は、e-Businessにおける信頼性を提供するソリューションであるエントラストの先進的なPKI製品は先日、発見され報告されたDSA(ディジタル署名アルゴリズム； 署名用の公開鍵暗号)の脆弱性を回避する機能をすでに備えていることをアナウンスしました。

Entrust/PKIソフトウェアに実装されている回避策では、DSAが使用されている暗号化鍵とディジタル証明書を一新し、さらに使用するアルゴリズムをDSAから今回と同様のアタックに対して、影響を受けない他のアルゴリズムに変更することができます。この機能はエンド・ユーザーだけでなく認証機関(CA)の鍵と証明書も変更が可能です。エントラストのソリューションでは、このセキュリティ対策の実施は完全に透過的に実行することができ、各エンド・ユーザーが何ら操作をする必要がなく、管理者側の操作だけで完了できます。

DSAアルゴリズムの脆弱性は、直ちに脅威となるものではありません。この攻撃はまだ、理論上のもので、実際に攻撃をするためには、同一の署名鍵で行われた400万個以上の署名を集めて、それを莫大なコンピュータ・パワーを用いて処理しなければならないからです。この脆弱性はDSAを使用している鍵ペアを更新するか、またはDSA以外のアルゴリズムに変更することで回避できます。

先進的な管理機能をもつEntrust/PKIソリューションでは、このタイプのアタックからカスタマーを守るように設計されており、エンド・ユーザーの証明書およびCAの証明書を自動的に更新することができます。この操作を行うことで、生成の際にDSAによるディジタル署名が使用された鍵ペアを一新することができ、攻撃者がアタックに必要とする大量なディジタル署名を収集する可能性を最小限にします。それだけでなく、証明書の更新では使用するアルゴリズムをDSAから今回の攻撃に影響を受けない他のアルゴリズムに変更することも可能です。

Entrust/PKIソリューションでは、今回の対策はエンド・ユーザーに対しては透過的に証明書の更新が行われます。さらに重要なことは、この更新は認証機関(CA)の証明書の更新もエンド・ユーザーにとっては、透過的に行うことができるということです。

エントラストテクノロジーズ社、上級副社長のポール・ドシャーは、「今回の脆弱性の発見は、我々が提供しているソリューションの価値を証明するきっかけとなり、我々のソリューションは、拡張性やコスト削減を提供するだけでなく、確固としたセキュリティをカスタマーに提供しており、e-Businessの活動を支え、今回のような脅威に関連するリスクを削減しています。今回のような脆弱性を避けることが可能なマネージメント機能が、e-Businessにとって本質的な機能であり、我々のPKIソリューションでは、それが提供可能です。」とコメントしています。

エントラストテクノロジーズ社はNIST(米国商務省国立標準技術研究所)をサポートし、DSAが今回の問題を修正するために必要な最新情報を提供し、さらに、そのソリューションを実装した製品を早急にご提供していく方針です。

◇