HCL PSIRT と製品セキュリティー・ブログ

2020/2/7 - 読み終える時間: ~1 分

2020年3月4日 追記: サポート技術情報: HCL Software に関するセキュリティー情報 を公開しました。


HCL Software では、ソフトウェア・ベンダーの当然の責務として、セキュリティーに最大の注意を払っています。具体的には、HCL Software 製品のセキュリティーを横断的にみる PSIRT (Product Security Incident Response Team、ピーサート) が組織され活動しています。

情報を集約的に提供する場として HCL PSIRT blog が開設されています。サブスクライブもできます。

HCL PSIRT blog: https://support.hcltechsw.com/community?id=community_forum&sys_id=038a2b921b7bb34c77761fc58d4bcb0d


昔話: 24-bit分のキーが預託されていた話

2019/12/24 - 読み終える時間: ~1 分

2019年12月23日、GIGAZINEにこのような記事が(なぜか今頃)掲載されました。

諜報機関によるバックドアがIBMのグループウェアに仕込まれていた理由とは? https://gigazine.net/news/20191223-lotus-notes-nsa-backdoor/

ベンダー側として一言だけ触れておきたいと思います。

「バックドア」というのは広義であり、ネットワーク越しに秘密裏に直接侵入することを想起させます。しかし、本件に関して言えば、実際はキーの一部の預託 (Key Escrow) です。

RSA暗号を最初に搭載したのがNotesであったことは有名な話です。出荷されたのは冷戦終了の足音が聞こえ始めた1989年のことです (といっても、当時そうなるとは誰も予想できなかったですし、開発は1984、5年から始まっていることに注意。実質、冷戦の真っ只中でのお話です)。 安全保障上の理由により、北米以外の地域で使われるNotesの鍵のキー長は、北米より24-bit短い40-bitに制限されました。 このことは秘匿されたわけではなく、製品ドキュメントでも触れられていました。実際、管理者が目にする画面にもキー長の制限が分かるようになっていました。 今では消滅してしまいましたが、Lotus Development社が運営する Iris Today というNotesの専門技術を扱うサイトでNotesの暗号のしくみを解説する記事が掲載されていて、24-bitが当局に預託されていることが触れられていました。1990年代後半のことです。

当時のコンピューティング環境では 40-bit でもビジネス上必要十分な暗号強度を持っていました (組織的に膨大なコンピューティング・リソースと頭脳を投入して云々となると話は別ですが)。セキュリティーはつねに安全ではなく、「期限限定のセキュリティー」であるので、絶対に破られないかの議論はあまり意味をなさないでしょう。

ココム規制と同類の話で、輸出するにあたってとられた措置であり、特に機密事項でもない、この界隈の人なら知っていたことでした。 繰り返しになりますが、非常時に備えたキーの預託であり、クライアントに侵入して覗き見するような、あるいは情報が流れ出すようなバックドアではないです。

ちなみに、この制限は今はありません。北米もその他も同じ暗号化レベルです。キーの預託もありません。

当時、キーを預託する、しないで社内が紛糾したという話がありましたが、それは飲み屋話ということで。


About

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。