SLOTH攻撃、wolfSSLではご心配なく

新年早々、TLSへの新たなアタックです。INRIAのKarthikeyan Bhargavan氏とGaetan Leurent氏が最近、新しいアタックについて開示しました。TLS1.2は署名のハッシュアルゴリズムのネゴシエーションを許可します。通常これはハッシュのセキュリティ・レベルを”アップグレード”するためのものです。TLS1.2より前には、MD5とSHA1が署名のために使用されていました。TLS1.2では署名の選択肢としてSHA1, SHA-256, SHA-384, SHA-512が許されています。組み込みSSLライブラリーwolfSSLユーザは幸い、TLS1.2ではMD5をサポートしたことはありません。つまり、wolfSSLは鍵の強度を損なうような脆弱性は無いということです。それは、サーバやクライアントいずれにもMD5ベースの署名を許していないからです。他のいくつかの処理系ではこのアタックに影響されます:http://www.mitls.org/pages/attacks/SLOTH
wolfSSLのTLSセキュリティに関しては、info@wolfssl.com にお問い合わせください。
wolfSSLホーム:www.wolfssl.jp (English:www.wolfssl.com)