none
電子署名のハッシュアルゴリズムの廃止について RRS feed

  • Question

  • 下記のURLの情報によりますと、2016年以降1月1日以降の電子署名はWEBからのダウンロード時に信頼されていないファイルとみなされると記載されています。

    https://technet.microsoft.com/ja-jp/library/security/3123479.aspx

    実際に、1月1日以降のタイムスタンプの電子署名をしたexeファイルをダウンロードしたところ問題は発生しませんでした。この電子署名に使用した証明書の有効期限は2015年~2016年の間でした。

    一方、有効期限が2016年~2017年の間の証明書で電子署名したものはWEBからのダウンロードで下記URLに記載されているような警告表示がされてしまいました。

    https://www.fujixerox.co.jp/download/info/20160217_dl_info.html

    どちらも署名はSHA-1アルゴリズムを単一でしているだけなのに、このように差が生じるのは証明書の有効期限(発行年月日)が影響してくると

    考えてもよいのでしょうか?

    mardi 23 août 2016 10:32

Réponses

  • ファイナルダイジェストアルゴリズム(ファイルのデジタル署名プロパティに表示されるアルゴリズム)はSHA-1なのですが、これは証明書のハッシュアルゴリズムがSHA-1だった考えてよろしいのでしょうか?

    ファイルダイジェストアルゴリズムと証明書のハッシュアルゴリズムは別物です。なのでファイルダイジェストアルゴリズムがSHA-1であったとしても、証明書のハッシュアルゴリズムがSHA-2であることもあり得ます。(←この例の場合は警告は表示されないはず)

    今回の場合は、2016年1月1日以降につけた証明書で警告が表示されたということですので、証明書のハッシュアルゴリズムもSHA-1である可能性が高いです。

    証明書のハッシュアルゴリズムの確認は、ファイルのプロパティを開き「デジタル署名」タブのリストボックスで署名を選択し、「詳細」ボタン→「証明書の表示」ボタン→「詳細」タブ→「署名ハッシュ アルゴリズム」の欄で確認できます。

    • Modifié kenjinoteMVP mercredi 7 septembre 2016 02:50
    • Proposé comme réponse 星 睦美 vendredi 30 septembre 2016 07:29
    • Marqué comme réponse 星 睦美 vendredi 7 octobre 2016 02:26
    mercredi 7 septembre 2016 00:54

Toutes les réponses

  • 認識が違っていたら申し訳ないのですが、私の認識は、ご質問内の1つ目のURL
    https://technet.microsoft.com/ja-jp/library/security/3123479
    に書かれている通り、署名を付けた日付(タイムスタンプ)が2016年1月1日以降か以前かで警告が表示されるかどうかが変わってくるという認識です。

    手元に、同じ証明書(SHA-1アルゴリズム)で署名した2つのEXEがあり、去年のタイムスタンプ(2015年)のものは警告なくダウンローダができ、今年のタイムスタンプ(2016年1月1日以降)のものは警告が表示されました。

    mardi 23 août 2016 11:20
  • ご返信ありがとうございます。タイムスタンプの日付が関係してくるということは明らかなようですね。

    ただ、証明書の発行日時も影響があるのではないかと思うのですが、どうなのでしょうか?

    2016年以前に作成された証明書で署名をした場合は、タイムスタンプに関係なく警告は表示されず、2016年以降に作成された証明書を使用した場合はタイムスタンプの日付に応じて警告が表示されるとか。。。?

    mardi 30 août 2016 00:25
  • 手元に、同じ証明書(SHA-1アルゴリズム)で署名した2つのEXEがあり、去年のタイムスタンプ(2015年)のものは警告なくダウンローダができ、今年のタイムスタンプ(2016年1月1日以降)のものは警告が表示されました。
    上記の確認を行ったときの証明書は、2014年に発行された証明書です。また、2016年1月1日以降にCAによって発行された証明書でハッシュアルゴリズムがSHA-1のものは出回っていないと思うのですがいかがでしょうか? ハッシュアルゴリズムがSHA-2であれば、ファイルダイジェストアルゴリズムがSHA-1であっても、警告は表示されないようです。
    mardi 30 août 2016 01:15
  • ご返信ありがとうございます。

    2014年に発行された証明書でそのような結果になったということは証明書の発行日時は関係なさそうですね。

    >また、2016年1月1日以降にCAによって発行された証明書でハッシュアルゴリズムがSHA-1のものは出回っていないと思うのですがいかがでしょうか?

    有効期限が2016年1月1日以降の証明書を使っており、その証明書をもとにした署名をした場合に警告が表示されてしまいました。ファイナルダイジェストアルゴリズム(ファイルのデジタル署名プロパティに表示されるアルゴリズム)はSHA-1なのですが、これは証明書のハッシュアルゴリズムがSHA-1だった考えてよろしいのでしょうか?

    mardi 6 septembre 2016 23:23
  • ファイナルダイジェストアルゴリズム(ファイルのデジタル署名プロパティに表示されるアルゴリズム)はSHA-1なのですが、これは証明書のハッシュアルゴリズムがSHA-1だった考えてよろしいのでしょうか?

    ファイルダイジェストアルゴリズムと証明書のハッシュアルゴリズムは別物です。なのでファイルダイジェストアルゴリズムがSHA-1であったとしても、証明書のハッシュアルゴリズムがSHA-2であることもあり得ます。(←この例の場合は警告は表示されないはず)

    今回の場合は、2016年1月1日以降につけた証明書で警告が表示されたということですので、証明書のハッシュアルゴリズムもSHA-1である可能性が高いです。

    証明書のハッシュアルゴリズムの確認は、ファイルのプロパティを開き「デジタル署名」タブのリストボックスで署名を選択し、「詳細」ボタン→「証明書の表示」ボタン→「詳細」タブ→「署名ハッシュ アルゴリズム」の欄で確認できます。

    • Modifié kenjinoteMVP mercredi 7 septembre 2016 02:50
    • Proposé comme réponse 星 睦美 vendredi 30 septembre 2016 07:29
    • Marqué comme réponse 星 睦美 vendredi 7 octobre 2016 02:26
    mercredi 7 septembre 2016 00:54