Opera 9.5 (beta) でインポート可能なクライアント証明書ファイル(pkcs12形式) を作成する

InternetExplorer の証明書でエクスポートした秘密鍵付き証明書(pfx) のインポートが Opera 9.5 beta では弱い暗号化というメッセージによってできなくなっていた。

pfx ファイル内での秘密鍵の暗号化は RC2(40bit) によって行われており、openssl pkcs12 コマンドのデフォルト設定でもそうなっている。インポートを可能にするためには pkcs12ファイル作成において -descert オプションを利用して 3DES による暗号化に変換をする必要がある。確かに現在のコンピュータ環境においては40bit暗号化は弱すぎであり使えなくしていくというのは妥当であろう。少なくとも今回はbetaのブラウザであることだし。

具体的には openssl コマンドを用いて以下のように行う。3種類のパスワードが登場するが、この作業においては全部同じでもかまわない。(パスワードの管理そのものについてはここでは述べない)

% openssl pkcs12 -in IEで秘密鍵付でエクスポートした証明書.pfx| openssl pkcs12 -export -descert -out Opera用証明書.p12
Enter Import Password: (エクスポートした時のパスワードを入力)
MAC verified OK
Enter PEM pass phrase: (一時的なランダムパスワードX)
Verifying - Enter PEM pass phrase: (一時的なランダムパスワードX)
Enter pass phrase: (一時的なランダムパスワードX)
Enter Export Password: (Opera用証明書で使うパスワード)
Verifying - Enter Export Password: (Opera用証明書で使うパスワード)

ちなみに、IE7のエクスポートにおける「強力な保護を有効にする」オプション は、上記の暗号化とは関係がなく MAC Iteration を2000にするという設定項目である。(チェックを外した場合 MAC Iteration が 1 になる)MAC Iteration とは openssl pkcs12 の -nomaciter 説明によると以下のようになっている。

-nomaciter, -noiter

これらのオプションはMACと鍵アルゴリズムにおける繰り返し回数 (iteration counts) に影響を与える。 MSIE 4.0 との互換性を保ちたい場合以外は、これらのオプションをそのままにすべきである。

一般的なパスワードの辞書を利用した攻撃を避けるために、パスワードから鍵を引き出すアルゴリズムは繰り返し (iteration counts) を設定できる。 : これは、アルゴリズムのある一部を繰り返すことであり、速度の低下を招く。MAC はファイルの完全性を確認するために利用されるが、鍵と証明書が同じパスワードをもっている場合、攻撃の原因となる。*** デフォルトでは MAC と暗号化の繰り返し回数 (iteration counts) は 2048 に設定されているが、このオプションを利用する事で、 MAC と暗号化の繰り返し回数 (iteration counts) は 1 に設定できる。しかし、こうすることでファイルのセキュリティは減少するため、本当にそうする必要がある場合を除いてこのオプションを使うべきではない。 ほとんどのソフトウェアは MAC 及び鍵の繰り返し (iteration counts) をサポートする。 MSIE 4.0 は MAC の繰り返し (iteration counts) をサポートしていないため、-nomaciter オプションが必要である。

IE6の時代は百歩ゆずるとしてもIE7においてはもはやこのチェックボックスは全く不要だと思う。IE4のサポート切れたのは一体何年前なのかと。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。