<前の日記(2006年02月05日) 次の日記(2006年02月09日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 927   昨日: 3744

2006年02月06日

Mozillaで弱い暗号を使わない設定と銀行サイトで利用可能な暗号

以下は、昨年10月16日に書き始めたものの、頓挫していた日記ネタである。書き終わっていないが、ワケあって今日、取り急ぎ放出する。以下の表にある調査内容は、昨年10月16日時点のものであり、現在もこの状態であるとは限らない。


職場では隣の席にいる大岩さんの自宅の日記に、Mozillaで弱い暗号の使用を無効にする方法が書かれている。

私は9月8日の日記で、

サーバ側がSSL 2.0しかサポートしていないWebサイトにアクセスすると、弱いプロトコルで通信させられることになるので、ユーザの自衛策として、ブラウザの設定で「SSL 2.0を使用する」をオフにしておいた方がよいということになる。

と書いたが、本来は、SSLをオフにすることは必須ではない。なぜなら、アクセス先がSSL 3.0以降を稼動させているサイトだと信用済みであるなら、SSL 2.0のチェックボックスはオンでもかまわないからだ。

というのは、SSL 3.0以降を使用しているサーバへの接続において、通信路上における第三者の攻撃によって、SSL 2.0へバージョンロールバックする攻撃はできないように、SSL 3.0が設計されているからだ。

ところが、先日の(編集時註: 昨年10月11日のこと)JVN#23632449: OpenSSL におけるバージョン・ロールバックの脆弱性がサーバ側に存在すると、通信路上の攻撃によって、SSL 2.0の使用を強要されてしまうことになる。

そうした事態に備えた自衛策として、ブラウザの設定で「SSL 2.0を使用する」をオフにしておくことは有効である。

また、サーバ側で、SSL 2.0を使えなくしてしまうことも意義があるかもしれない。

さて、「128ビットSSL」の使用を謳っている銀行各社は、SSL 2.0の設定をどのようにしているだろうか。これを調査してみた。

調査方法は、ブラウザの設定でSSL 2.0だけを有効にして(SSL 3.0とTLSを無効にする)、当該SSLサイトにアクセスし、正常に接続されたなら、サイト側でSSL 2.0を利用可能にする設定がされていると判断した。

加えて、各暗号アルゴリズムが利用可能になっているかも調査してみた。「Mozilla Firefox における弱い暗号化を無効化する設定」と同様の方法で、逆に特定の暗号方式(弱いもの)だけを有効にして、正常に接続してしまうかを調査したものである。

(編集時註: 昨年10月16日の時点での調査結果)

AES*13DES*2128ビットRC4*3低程度暗号*4*5SSL2.0*6
郵便貯金 対応 利用可能 利用可能 利用可能 利用可能
東京三菱銀行 非対応 利用可能 利用可能 エラー表示(A)*7 拒否
みずほ銀行 非対応 利用可能 利用可能 利用可能 拒否
三井住友銀行 非対応 エラー表示(B)*8利用可能 エラー表示(B) 拒否
UFJ銀行 非対応 利用可能 利用可能 利用可能 拒否
りそな銀行 対応 利用可能 利用可能 動作不良(空白画面が現れる) 利用可能
新生銀行 非対応 利用可能 利用可能 エラー表示(C)*9 利用可能
イーバンク銀行 非対応 利用可能 利用可能 動作不良(応答しない) 動作不良「このページにはデータがありません。」
ジャパンネット銀行 非対応 利用可能 利用可能 拒否 利用可能
ソニー銀行 非対応 利用可能 利用可能 拒否 利用可能
アイワイバンク銀行 非対応 非対応 利用可能 拒否 利用可能
シティバンク 非対応 エラー表示(D)*10 利用可能 エラー表示(D) 拒否
横浜銀行*11 www2.ib-center.gr.jp*12 非対応 利用可能 利用可能 利用可能 利用可能
北海道銀行 www2.paweb.anser.or.jp 対応 エラー表示(E)*13 利用可能 エラー表示(E) または 動作不良(空白画面が現れる) 利用可能
八十二銀行 www8b.cyber-biz.ne.jp 非対応 エラー表示(F)*14 利用可能 利用可能 拒否
北陸銀行 非対応 利用可能 利用可能 利用可能 利用可能
百五銀行 非対応 利用可能 利用可能 エラー表示(G)*15 利用可能
十六銀行 www9a.cyber-biz.ne.jp 非対応 エラー表示(F) 利用可能 エラー表示(F) 拒否
百十四銀行 www9d.cyber-biz.ne.jp 非対応 エラー表示(F) 利用可能 エラー表示(F) 拒否
足利銀行 www11a.cyber-biz.ne.jp 非対応 エラー表示(F) 利用可能 エラー表示(F) 拒否

この結果から、次のことが言えそうだ。

  • AESはまだあまり普及していない。これが普及するのが理想的。
  • 128ビットRC4は、すべてで利用可能になっている。
  • 3DESは、利用できないようにしているところもある。
  • 低程度暗号の利用を許している銀行がある。これ自体は脆弱性ではないが、許しておく必要性がないと思われる。
  • SSL 2.0の利用を許している銀行がある。これ自体は脆弱性ではないが、許しておく必要性がないと思われる。

ブラウザ側でのAES対応が普及していない現時点では、理想はこうだろうか。

AES3DES128ビットRC4低程度暗号SSL2.0
対応利用可能利用可能エラー表示拒否

もしくは、こう?

AES3DES128ビットRC4低程度暗号SSL2.0
対応利用可能エラー表示エラー表示拒否


以上、10月に書き始めた際には、ここまでしか書いていなかった。この後、書きたかったことは、次などであった。

  • 3DESと128ビットRC4ではどっちが強い?
  • 3DESを拒否して、128ビットRC4を許しているところがあるのはなぜ?
  • 低程度暗号を許していると何か問題があるか? (ブラウザ設定が通常であれば、AESか 3DESか 128ビットRC4が選択されるはず)
  • SSL2.0を許していると何か問題があるか? (ブラウザ設定が通常であれば、SSL 3.0か TLSが選択されるはず)
  • 低程度暗号で「エラー表示」が理想的とする理由
  • SSL 2.0で「拒否」が理想的とする理由
  • この表から、どの銀行が良いとか悪いとか言える?

*1 aes以外を全部オフにしてアクセスしたときSSL接続できるかどうか。

*2 rsa_rc2_40_md5 と rsa_rc4_40_md5 以外を全部オフにしてアクセスしたとき、非対応: SSL接続できない, エラー表示: SSL接続はできるがログイン画面が出ない, 利用可能: ログイン画面が正常に表示される

*3 rsa_rc4_128_md5 と rsa_rc4_128_sha 以外を全部オフにしてアクセスしたとき、以下同上。

*4 「低程度」はFirefoxが出す警告の表現から。

*5 rsa_rc2_40_md5 と rsa_rc4_40_md5 以外を全部オフにしてアクセスしたとき、拒否: SSL接続できない, 以下同上。

*6 SSL 2.0だけをオンにしてアクセスしたとき、以下同上。

*7 エラー表示(A): 「ご利用のブラウザではセキュリティ上、アクセスできません。」

*8 エラー表示(B): 「ご利用頂けないブラウザをお使いになっているか、ブラウザの設定が正しくない可能性があります。」

*9 エラー表示(C): 「The page must be viewed with a high-security Web browser」

*10 エラー表示(D): 「お使いのインターネットブラウザはシティバンク オンラインの標準セキュリティを使えませんのでシティバンク オンラインをご利用いただけません。」

*11 地銀はGoogle検索順。

*12 同一サーバで稼動しているものは以下では省略。

*13 エラー表示(E): 「ご使用のブラウザがSSL128ビットに対応していないため、サービスをご利用できません。」

*14 エラー表示(F): 「お使いのブラウザの暗号化方式では、お客様の情報を安全に保護することが出来ません。SSL128ビット対応のブラウザをご使用いただくか、ブラウザのセキュリティ設定をご確認ください。」

*15 エラー表示(G): 「Forbidden あなたのクライアントはオブジェクトに対するアクセスを許可されていません。」

検索

<前の日記(2006年02月05日) 次の日記(2006年02月09日)> 最新 編集

最近のタイトル

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
<前の日記(2006年02月05日) 次の日記(2006年02月09日)> 最新 編集