< ホームへ戻る

[Ubuntu] OpenSSL(Heartbleed対応、JCMVP + IETF RFC 6460 Suite B対応)

「OpenSSL」暗号ライブラリに重大な脆弱性 - CNET Japan
という、春なのに(2014/04/08)凍りつく「Heartbleed(心臓出血)」のニュースがありました。
なので、対策します。
せっかくなので、楕円曲線暗号(ECDSA,ECC)を使ってRSAより軽量化&国家安全保障対応にします。

2014年4月15日 更新

OpenSSLについて

  • Heartbleed問題を対策していないとどうなるの
  • ユーザーの秘密が守られず、企業・団体の信用が落ちます。
    ユーザーはこのリスクを回避出来ません。
    企業・団体の秘密も守られない為、情報漏洩に繋がります。
    VPN・IPsecなどの専用回線の秘匿性も完全ではなくなります。

    Test your server for Heartbleed (CVE-2014-0160)
    ここで、サーバの対応具合をチェック出来ます。

    Heartbleed問題を個人で対応するには、
    「パスワードの変更を自発的に行うこと」が有効です。
    しかし「パスワードの変更要請」のメールがサービスからあった場合でも、
    すぐにアクションする必要はありません。
    「フィッシング詐欺」の可能性がありますので、メールの発信元をよく確認して下さい。
  • 記載内容
    1. (Heartbleed問題が修正された)OpenSSLで鍵ペアを作成する。
    2. 検証処理が遅いRSAでなく、楕円曲線暗号(EDCSA,ECC)を採用する。
    3. 日(JCMVP)米(IETF RFC 6460 Suite B)の安全保証レベルに対応する。
  • JCMVP・IETF RFC 6460 Suite Bの基準
  • [標準版] - JCMVP & Suite B Combination 1
    暗号化アルゴリズム : AES-128
    鍵交換アルゴリズム : ECDH-256
    デジタル署名アルゴリズム : ECDSA P-256
    ハッシュ・アルゴリズム : SHA-256
    [強化版] - Suite B Combination 2(パフォーマンス低下)
    暗号化アルゴリズム : AES-256
    鍵交換アルゴリズム : ECDH-384
    デジタル署名アルゴリズム : ECDSA P-384
    ハッシュ・アルゴリズム : SHA-384

    OpenSSL最新ソースのダウンロード&コンパイル&インストール

    鍵ペアの作成

    (専用線・暗号化商品CM)

    オレオレ認証局(CA)

    参考