Netscape
Netscape

12月24日、移行期間が終了する1週間前というギリギリのタイミングで、なんとか通商協定を巡る交渉の合意が得られた英国とEUですが、その協定文書の暗号化技術に関するセクションに、推奨する環境としてNetscape CommunicatorやMozilla Mailといった、23年ほど前のソフトウェアが指定されていることが専門家によって発見・指摘されています。

これらソフトウェアの指定は、英国-EU間でDNAプロファイル情報などを含むメッセージをやりとりする際に使うべき一連の暗号化プロトコルのセットを指定する文書に記載されています。暗号化アルゴリズムの指定でも、ハッシュアルゴリズムに1024ビットRSAやSHA-1が記載されるなど、現在では脆弱とされ実用にそぐわない技術の指定が見受けられます。

BBCは、これらの記述が2008年のEU文書でも発見されていることから、今回1256ページにもなった大規模な協定文書を急いでとりまとめるにあたり、役人が古い書類を再利用した可能性があると指摘しました。そして、この件にいち早く気づいたコンピューター科学者ビル・ブキャナン教授の「これは古い基準を単純にコピペしただけのようで、技術的な詳細はほとんど理解されていないようだ」「SHA-1と1024ビットRSAは10年ほど前なら手堅い選択だったでしょうが、現在の標準的なセキュリティレベルには達しない」とのコメントを紹介しています。

実際のところは、この文書がEUやイギリスの主要な日常業務に与える影響はほとんどないはずです。というのも、Netscape CommunicatorやMozilla Mailといったソフトウェアは、必要な暗号化をサポートするソフトウェアの一例として言及されているに過ぎないから。つまりこの文書に記されるよりもセキュリティ的に安全なソフトウェアを使用していれば問題はありません。

ただ、暗号化アルゴリズムに関しては、時代に合った技術を明確に指定していなければ、現在のセキュリティレベル的に脆弱とされる状態の運用でもかまわないことになってしまうので、文書の修正も必要になりそうな気がします。

また、どこの世界にも規定を守ることに執着してしまう頭の固い人はいるものです。もしそのような人たちが文書に書かれたことを厳格に守ろうとすれば「必要なソフトウェア」を調達するため、1998年にNetscape Comunicationsを買収したAOL…を2015年に買収した米Verizonのサポートに、欧州方面から問い合わせの電話が何本か入るかもしれません。

source:Hackaday
via:BBC News