128bit SSL 最強伝説
高木浩光氏が銀行のフィッシング解説の出来の悪さについて書いていた(http://takagi-hiromitsu.jp/diary/20070331.html#p01)。それで銀行のサイトをつらつらと見ていたんですが、暗号化強度についての言及について、気付いた事があったので、書きます。(フィッシングとは関係ありません。)
りそな銀行のサイトより。強調は筆者。
セキュリティ安心講座/質問集1
http://net.resona-gr.co.jp/resonabank/red/inetbank/security/qa01.html
Q1 インターネットって情報が漏れないか心配なのですが…。
A1 りそなダイレクトでは強力な暗号化で対応しています。
(中略)
「りそなダイレクト」では、現在、一般に用いられている中で最強の128ビット暗号化システムによりお客さまの情報を保護しています。
最新のセキュリティ対策で、ネットでのお取引きも安心|はじめての方|りそな銀行
http://www.resona-gr.co.jp/resonabank/kojin/hajimete/security/index.html
りそなダイレクト(インターネットバンキング)では、通信に一般の用いられている中で最強の暗号化システム「128ビットSSL」によりお客さまの情報を保護しています。
…僕はSSLの知識があまりないのだけど「最強」のあたりに「うさんくさい文章」の臭いがプンプンする。というわけで少し調べてみたのだけど、多分以下のような実態なのではないかと思われる。
- 「128ビットSSL」とはRC4 128bitを採用しているという意味らしい。
- 過去に「40ビットSSL」の安全性が不十分であることが指摘された時期があり、128ビットに移行したらしい。
- SSLの規格ではAESもサポートしていて、少なくともAES 256bitの方が強そうな気がする。
- 現時点でInternet ExplorerはWindows Vista上でしかAESをサポートしていない。
- FireFoxはAESサポートしている。
- りそなダイレクトのログイン画面をFireFoxで開くとAES 256bitで暗号化されている。
- 本当に「128ビットSSL」が最強なのかは大変疑わしい。
「128ビットSSL」の採用がセキュリティ的に問題だというわけではないけれど、「最強」をうたうのは技術的にも社会責任的にも間違いだと思う。せめて「強力」ぐらいにしておけばいいのに。