2008年のDebian OpenSSLインシデントにみるオープンソースソフトウェアのセキュリティ分析
書誌事項
- タイトル別名
-
- Security Analysis of Open Source Software from 2008 DebianOpenSSL Incident
抄録
近年オープンソースソフトウェアは様々な分野で使用されるようになってきた.しかし,オープンソースソフトウェアはその品質に対する保証がないという一面が軽視されがちである.今回,セキュリティ分野で有名なオープンソースソフトウェアである OpenSSL に対して Debian が行なった修正により引き起こされたセキュリティインシデントについて考察する.これは生成される鍵ペアが予測可能になるという脆弱性をもたらしたが,この影響範囲を明らかにするとともに,国立情報学研究所で行なっている大学内へサーバ証明書を発行するプロジェクトにおける実際の使用例をもとに,オープンソースソフトウェアを利用する側が考えておくべきリスクを分析する.
Open source software is proved to be very useful in saving time and cost in buildingsoftware of complex functions. Security is not an exception of this trend. A problem insecurityware is the guarantee of its quality on security. In this paper, we analyze 2008Debian incident on OpenSSL. The vulnerability on pseudo-random number generation isidentified apart from the announcement of Debian. Furthermore, we have made anexperiment on about 7,200,000,000 predictable key generations, and analyzed the usage ofvulnerable keys in a certification authority.
収録刊行物
-
- コンピュータセキュリティシンポジウム2009 (CSS2009) 論文集
-
コンピュータセキュリティシンポジウム2009 (CSS2009) 論文集 2009 1-6, 2011-10-12
- Tweet
キーワード
詳細情報 詳細情報について
-
- CRID
- 1050574047079655424
-
- NII論文ID
- 170000065988
-
- Web Site
- http://id.nii.ac.jp/1001/00074831/
-
- 本文言語コード
- ja
-
- 資料種別
- conference paper
-
- データソース種別
-
- IRDB
- CiNii Articles