公開鍵インフラ(PKI)暗号システムの開発を進める組織GnuPG.orgは,暗号化プログラム「GnuPG」に不正な電子署名を見逃す問題があると警告を発した。GnuPG.orgのWerner Koch氏が中央欧州標準時間3月9日,GnuPG関連のメーリング・リストGnupg-announceへの投稿で明らかにしたもの。同氏は,修正版であるGnuPG 1.4.2.2にできるだけ早くアップデートするよう推奨している。
この問題は,GnuPGが非分離署名を検証する際に,署名対象外のデータまで署名済みと誤判断するというもの。これにより,攻撃者が任意のデータをメッセージに挿入し,あたかも署名されているかのように装うことが可能となる。
GnuPG 1.4.2.2より以前の全バージョンに問題が存在する。分離署名以外の署名検証処理が影響を受ける。さらに,電子メールでGnuPGを使う場合の標準的な方法である,暗号化メッセージ内に組み込まれた署名の検証時にも,同じ問題が発生する。
GnuPG 1.4.2.2は,GnuPG.orgのWebサイトから無償でダウンロードできる。GnuPG.orgは,旧版に対する修正パッチを提供しない。
◎関連記事
■「Windows Vistaにバックドアは作らない」,米Microsoft
■個人が暗号を使う時代は終わった
■「“PKI”とは呼ばないで」---米Voltage SecurityのCTO
■米Sun,電子メールのセキュリティ・サービス「Sun Secure Mail」を提供開始
■W3C,公開鍵管理仕様「XKMS 2.0」を勧告として公開
■米Yahoo!と米Cisco,偽装電子メールに対抗する認証技術で協調
■電子証明書を解説する
■手間をかけないPKI認証導入法(1)---第1回
[Koch氏の投稿]
