Microsoftは3月15日(米国時間)、「Deprecated features in the Windows client - What's new in Windows|Microsoft Learn」において、鍵の長さが2048ビットより短い公開鍵暗号「RSA(Rivest-Shamir-Adleman)」を使用する証明書を非推奨にすると発表した。今後WindowsのTLS(Transport Layer Security)サーバ認証に使用するRSA証明書には2048ビット以上の鍵長が必要となる。
公開鍵暗号「RSA」の安全な鍵の長さとは
一般的に公開鍵暗号「RSA」の鍵の長さは暗号強度に直結するとされる。米国国立標準技術研究所(NIST: National Institute of Standards and Technology)の公開している資料によると、1024ビットRSAの暗号強度は共通鍵暗号「2キートリプルDES」の鍵長80ビットに相当し、2048ビットRSAは「3キートリプルDES」の鍵長112ビットに相当するとされる。
米国国立標準技術研究所は3キートリプルDESの使用を2023年以降禁止としており、すでに安全ではないと評価している。そのため、2048ビットRSAの安全性にも懸念を抱くところではあるが、証明書への利用は許容されている(参考:「SP 800-131A Rev. 2, Transitioning the Use of Cryptographic Algorithms and Key Lengths | CSRC」)。
なお、デジタル庁、総務省、経済産業省などが中心となって運営しているCRYPTREC(Cryptography Research and Evaluation Committees)プロジェクトでは、112ビット相当の暗号(2048ビットRSA)を2030年までとする方針を発表しており、2031年以降は128ビット相当の暗号(3072ビットRSA)を証明書に使用することが求められる(参考:「(PDF) 暗号強度要件(アルゴリズムおよび鍵長選択)に関する設定基準」)。
古いネットワーク機器はWindowsサーバに接続できなくなる可能性も
2048ビット未満のRSA暗号鍵は古いソフトウェアやネットワーク接続機器で使用されている可能性があり、今後Windowsサーバと接続できなくなる可能性がある。今回、Microsoftは2048ビット未満のRSAを「非推奨(deprecation)」としたが「廃止(removal)」とはしていない。つまり、一定の猶予期間を設けたものとみられ、影響を受けるユーザーにはそれまでに機器のアップデートまたは交換が望まれている。
なお、Microsoftはエンタープライズおよびテスト証明機関が発行したTLS証明書はこの変更の影響を受けないとしている。しかしながら、セキュリティへの影響があるとして2048ビット以上のRSAへの移行を推奨している。