|
|
|
== IPA:APOPの利用をやめ、SSLの利用を勧告(2007年4月) ==
APOPで暗号化された中身の解析については[[電気通信大学]]の[[太田和夫]][[教授]]の研究グループが解析を成功させた<ref>[http://www.ipa.go.jp/security/vuln/200704_APOP.html IPA:APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について]</ref><ref>[http://www.ipa.go.jp/security/vuln/documents/2007/JVN_19445002.html 情報処理推進機構:セキュリティセンター:脆弱性関連情報取扱い:脆弱性関連情報の調査結果 JVN#19445002 APOP におけるパスワード漏えいの脆弱性]</ref><ref>[http://jvn.jp/jp/JVN%2319445002/index.html JVN#19445002: APOP におけるパスワード漏えいの脆弱性]</ref>。この脆弱性は[[MD5]][[ハッシュ]]方式をAPOPにおいて不適切に用いていることによるプロトコル(通信手順)上の問題であり、現時点で根本的な対策方法は存在しない。そのため、内容を漏洩させないためには[[STARTTLS]]や[[POP over SSL]](ポート番号は995番)などを利用して[[Secure Sockets Layer|SSL]]で通信し、ネットワーク経路を暗号化する必要がある。
なおアメリカ政府([[アメリカ国立標準技術研究所|NIST(アメリカ国立標準技術研究所)]])及び日本の[[CRYPTREC|CRYPTREC(暗号技術評価プロジェクト)]]では、すでに[[MD5]]/APOPを推奨から外し、[[SHA]]の利用を求めている。
|
