■URL
http://www.cert.org/advisories/CA-2000-18.html
http://www.pgp.com/other/advisories/adk.asp
セキュリティ調査団体の米CERT/CCは24日、メールの暗号化や電子署名に使われるソフト「PGP(Pretty Good Privacy)」に関するセキュリティ問題を報告した。
報告されているのは、PGP 5.5以降で導入された「ADK(Additional Descryption Keys:付加鍵)」の機構について。PGPでは本人のみが知る「秘密鍵」と、公開された「公開鍵」の組み合わせで暗号化や電子署名を行なうようになっているが、本人用とは別に第三者が管理し本人が死亡したときなどの非常時に使う秘密鍵がADK。本来ADKは、本人が認証しなくては設定できないが、今回報告された問題は、悪意の者が公開鍵に対し本人の断りなしにADKを設定できてしまうというもの。ADKを勝手に設定することにより、暗号文を他人が復号できてしまう。
CERT/CCでは対応策として、知らない間にADKが設定されていないか確認することを推奨している。対象となるのは、PGP 5.5.xと6.5.3まで。Network Associates社傘下のPGP社では、自社の公開鍵サーバーにフィルタリングをかけ、パッチを作成中だとコメントしている。
(2000/8/26)
[Reported by masaka@impress.co.jp / shigeko@sugamo.linc.or.jp / ymasa@wizvax.net]