安全なブラウザ
先にも引いた Opera の文書だが大事なことは何度でも繰り返し言っておく。
Why are RSA/Diffie-Hellman keys shorter than 900 bits not secure enough?
512 bit RSA 暗号を使っている金融機関が、日本には少数ながらも複数存在するのを確認している。IE や Firefox で警告が出ないからといって十分だと思わず、そうした金融機関は早急に方針を見直した方が良い。
金融機関にそうした知識がないのなら、システムを提案するサイト構築業者が方針を見直すべきだ。まさか IE と Mozilla で警告が出ないから十分な暗号強度があるでも思っているのだろうか。これは Opera で動作確認しろと言っている訳ではない。それはまた別の話だ*1。金融サイトの構築を引き受ける会社に、暗号化通信の専門家が居ないなんて空恐ろしくて考えたくもない。
- Mozilla は数年前から危険を認識しているはずなのに、放置されているようだ。
- Bug 360126 - Disallow RSA 512 and deprecate RSA 1024
- Bug 134735 - warn about 512-bit server keys
- 上記二つ目には
I agree it is good to warn about low key sizes.
とかI believe we have sufficient information about factoring to know that 512-bit RSA keys are too weak.
とかマトモな考えが示されているのに全く残念だ。 - Bug 134156 - lower limit for valid public key lengths in SSL et al. では
I think this is one more possibility of getting ahead Microsoft, with minimal trouble.
とまで言われているのに、現在に至るまでそうしてこなかったのですね。これまた全く残念だ。
- 上記二つ目には
Opera を使っていて以下のような警告文を見かけたら、決して「承認する」ボタンを押さず、そのサイトでは暗証番号や個人情報など重要な情報を入力しないで下さい。
cf. 「銀行とかセキュリティとか」、「銀行とかセキュリティとか 2」。緩められらた 9.50 でもなお暗号化レベル弱と出る金融機関が複数あるので、しつこく書いた。