The Man Who Fell From The Wrong Side Of The Sky:2019年5月14日分

2019/5/14(Tue)

[Security] SHA-1 collision attacks

前回の SHAtteredは実用性は無いからへーきへーきで逃避してるひとがようけおったけど、また SHA-1が不幸にも黒塗りの高級車に衝突してしまう。後輩をかばいすべての責任を負ったMURに対し、車の主、暴力団員TNOKが言い渡した示談の条件とは…。

攻撃にかかる費用が10万ドルまで下がったというくだり、独裁者アリアスが元コマンドー部隊のベネットを雇った金額が「10万ドル、PONっとくれたぜ」なので、いよいよもって現実世界の問題やね。 ある種の組織(お察しください)にとってはポケットマネーだし「(SHA-1をぶち頃せと言われたら)タダでも喜んでやるぜ」という人もいる。 まあでも実用性は無いといってた連中が「セキュリティ2010年問題ってくらいでとっくの昔にSHA-256に移行してるからへーきへーき」でテノヒラクルーするだけなので以下略。

つか次のWindows 10大型アップデートでいきなりSHA-1なドライバ署名を遮断とか起きたら阿鼻叫喚なのではやまってみて欲しい、Vista時代のドライバが利用できなくなってWindows 7 EOL直前に移行計画白紙に戻ってやりなおしになる人の顔がみたい。

ちなみにMD5だと2007年にchosen-prefix collision attackが可能になり、その翌年にはなりすまし証明書が作成可能と発表されてるのだけど、Microsoftはなんだかんだ2012年まではソフトウェア署名にMD5有効にしてたっぽい。 このタイムスパン感覚でいくとWindows 8.1 EOLの2023年あたりに持ってきそうではある *1

ということで我が家はもう大型アップデートのたびにちゃぶ台返し必至なWindows 10に疲れたので、Windows 8.1で2023年まで耐え忍んで、それまでに自分自身がEOLになる事を祈ろうという案に傾きつつある。 幸運なことに過去に仮想マシン用に買って使わないまま放置してた部品紐付きなしDSPライセンス未開封品が1本だけあったので家族用マシンだけはなんとかそれでいけそう。

まさかタダでも要らないといわれた8の優待アップグレード4980円を買い漁っておけばよかったという気分なので、いま倍以上の値段で負けプレやオク出てるのをみると、転売ヤーは商才あったな(ぉ そもそも一度クソが出てきた穴から次カレーが出てくるなんて期待するナイーヴさは捨てろってことですな。

ちなみに大型アプデ嫌ならLTSC(旧LTSB)買えばなんてドヤ顔する輩をたまにみかけるけど、あれ個人でも3ライセンスから買えるけど金額はとうぜん個人向けではない。 そしてなによりそもそもの位置づけとしてEmbeddedやPOSReadyの後継なのでMS Officeなんかをインストールして普段使いする端末に入れるのはライセンス上アウトなのよね、 実際Office 365はブロックされるとかいう噂。 つーかいまどきレジ端末なんてiPadか泥タブだしATMとか自動販売機なんかからもWindowsって消えていくんじゃねぇかな…そっちの業界よう知らんけど。

*1:そういえばVisual Studio 2013もあわせてEOLになるのでついにVC++ Runtimeが Universal CRTのみになるのもこの年か。 一方でVisual Basic 6.0 Runtimeはおそらく32bit OSと同じ命日になると思われる。