自堕落な技術者の日記

基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通

Windowsルート証明書プログラム

Windows信頼するルート認証機関コンプへの道(第一回)

先日のブログ「Windowsルート証明書の更新プログラム(2014.09)と戯言など」で、

オフラインでルート証明書をアップデートする公式アップデーター http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe からルート証明書が「抜ける」んじゃね?と某木村大先生からご指摘いただきました。
実際に試してみたので、ちょっと書いてみたいと思います。

ルート証明書アップデーターからSSTの取り出し

Windows 7以降のオフライン環境で、信頼するルート認証機関のリストをアップデートするのにアップデーター http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exeがあるというので、早速ダウンロードしてみます。wgetでヘッダ見てみると最終更新は"Wed, 12 Nov 2014 17:33:07 GMT"になっているので、最新のアップデートには対応してそうかな?とも思ったんですが、後に最新のルート更新には対応してなかったことがわかりますorz

これはCAB形式自己解凍アーカイブみたいになっているので、exe2cab(Vectorのは64bitでは動作せず)を使って中身のcabファイルを取り出します。

cabファイルの中はこんな感じ。

ADVPACK.DLL
authroots.sst - ルートのスモールセット?
delroots.sst - 削除するルート
roots.sst - 最小限の2つのルート
rootsupd.inf -
updroots.exe - ルートを更新するプログラム
updroots.sst - 追加される多くのルート
cabファイルのタイムスタンプ見てみたら、2013年4月になっているので、どうも直近の2014年9月の更新に対応したアップデートファイルでは無さそうな雰囲気です。

SSTファイルからのルート証明書の取り出し

*.sstファイルはMicrosoft Serialized Certificate Filesというフォーマットらしく、前にも力技で証明書取り出すスクリプトを書いた記憶があるんですがorz、ちょっと調べてみたらPowerShellのExport-CertificateImport-Certificateで操作できそうな雰囲気。サンプルにはSSTに証明書を追加する例なんかも紹介されていました。ところが、どうもSSTから証明書を取り出す方法がよくわからずに結局断念。

もうちょっと調べてみるとSSTの中の個々の証明書エントリはSerializedCertificateEntryという構造になっているらしく、SSTのヘッダ情報のあとはこの並びになっているので、Perlでちゃちゃっと抜き出すスクリプトを書きました。

id - 4byte 0x00000020
encodingType - 4byte 0x00000001 (= ASN.1 encoding)
length - 4byte 続く証明書データの長さ
certificate - 可変長 証明書生データ

取り出せた証明書の数はこんな感じ、2014年9月のルートの更新では411だそうですから、かなり少なめ。古い情報っぽくてちょっと萎え気味。

SSTファイルルート証明書数
authroots.sst77
roots.sst6
updroots.sst275
358

で、ぽちぽちルート証明書を開いてみる

とまぁ、ルート証明書の取り出しはできたので、これをそれぞれ開いてみると 「インターネットオプション>コンテンツ>証明書>信頼されたルート認証機関」に 未表示のものだったら、表示されるようになります。

Windows 8.1 Proの最新パッチ済の環境で、358のうち、有効期限切れになっているものや、すでにMicrosoftが登録削除しているものもあるようで、最終的には271個のルート認証機関がちゃんと表示されるようになりました。これの作業前は確か27だったので、大躍進という感じではあります。
winroot
(TURKTRUSTが表示されていることに他意はありません(^^;

おわりに

いや〜〜、隠し球っぽくて気持ち悪かったのが、表示されて随分すっきりしますね〜〜。ただ、

やっと271は表示されたが411まではまだ遠い

私はビックリマンチョコ世代ではないですが、仮面ライダースナックとか集めましたね〜〜。ソシャゲーのコンプガチャみたいんなもんなんですかね〜〜。最後までちゃんと表示させたくなりますよね〜〜〜。 411まではまだ道のりは遠い感じですねぇ。やっぱり、Certificate Transparencyのデータに手をつけないといかんかなぁ、、、と思っているところです。

今日は、この辺で、、、

関連記事

Windowsルート証明書の更新プログラム(2014.09)と戯言など

随分昔の話になりますが、 2014年9月に現時点で最新のWindowsルート証明書プログラムのリストが公開されており、今日は久々にこれを見ていこうと思います。

数年前、Windowsルート証明書の更新プログラムで登録されているルート認証機関にどんな変更があったのか、調査をしてブログで公開していた時期がありました。その時はWindows XPの時代で、登録されているルート認証機関はすべて表示されるようになっていたので、ルート証明書を全部取り出すプログラムを書いて、前回との差分を比較していただけだったので、比較的簡単に調査ができたわけです。

ところが、Windows 7以降、Windowsのルート証明書は、最初からすべて登録されるわけではなくなってしまいました。ちゃんと調べたわけではないので、わからないのですが、確かOSインストール直後は15〜25ぐらいの主要なルート認証機関しか登録、ならびに表示されておらず、表示されていないルート認証局のサイトにアクセスした場合に、動的に登録されたルート証明書が追加されるような仕組みに変更になりました。

Windows 7以降のルート認証局リストの仕組みの問題点

Windows 7より導入されたルート認証局リストの配布方式は、個人的に「スッキリしない」というか「嫌だなぁ」と思っています。理由はこんなところです。

  • ルート認証局のリストはPDFの文書として公開されているが、維持組織、国、認証局名、鍵アルゴリズム、鍵長、ルート証明書ハッシュ値(拇印)しか公開されておらず、識別名や証明書の内容はわからないままである。中には、初期状態で表示されない RSA 1000bitのルート証明書が残っていたりする。
  • 初期状態では20程度の認証局しか表示されておらず、利用者がどの認証局を信頼していることになっているのか、これを知る方法が上のリストのみで十分でない。
  • 例えば、ある小国の認証局を全世界の人が信頼する必要があるとは思えない。不正発行などの事故を起こした場合に、信頼していないほうが良かったという事もあるだろう。そのような時に、自分が信頼している認証局がどこであるのかを把握できないのは問題だ。
  • Windows 7以降のシステムが認めたルート認証局は削除したとしても、再度アクセスする際に復活してしまう。ユーザは余計な認証局を利用停止や無効化することができない。
  • つまる所、最初からルート認証局リストが明示されず、後出しジャンケンのようにルート認証局が接続時に追加されるのは如何なものだろうか。
もちろんモバイル向けに初期配布のルート認証局は小さくしたいというのも、わかる気はしますが、どうせ400程度ですから、大したデータ量でもないので、最初から登録してあったほうが潔いと思います。

2014年9月版 Windowsルート証明書の更新

2014年9月のWindowsルート証明書の更新では、411のルート証明書が登録されています。

国別で見てみると、52ヶ国のルート証明書が登録されており、内訳は多い順に以下のようになっています。やっぱり、米国、スペインは多いですね。意外に少ないなぁと思うのが英国、オーストラリアです。
country

次にルート証明書の公開鍵アルゴリズムと鍵長についても見てみましょう。
keylen
RSA 2048bitがやはり多いですが、 RSA 4096bit、楕円曲線暗号のECC NIST P-384曲線もかなり増えています。 Comodo、 DigiCert、 Entrust、 GlobalSign、 Symantec、 Trend Microが楕円のルート証明書を持っています。そういえば、 Microsoftから発行されているリストには SHA1かSHA2かの情報って無いんですよね。残念だなぁ。やっぱり、ルート証明書そのものをダウンロードできるようにしてほしいなぁ。 Appleも、最初はルート証明書の詳しい情報を出していたんですが、最近はMicrosoftに習って、詳しい情報出すの止めちゃったんですよね〜〜。寂しい話です。

ルート証明書数の推移

Windows系、Android、Mac OS X、iOSでデフォルトのルート証明書の数がどう増えていったのかグラフにしてみました。Apple製品は公式サイトの情報から取得しています。Androidについては拙作のRoot CA Viewer Liteか過去の他作業を元に調べています。
osroot
iOSはiOS3以降、メジャーバージョン毎にルート証明書リストが公開されているのですが、Mac OS Xについては新しいMavericksとYosemiteしか情報がありませんでした。 Apple iOSについては、ルートの数が乱高下していて、なんか掲載ポリシーが定まってない感じなんですかね? 本当はMozillaやJavaについても調べてみたかったんですが、これは今後の課題ということで、、、(^^;

Windowsルート証明書のリストを調べる地道な作業 (泣)

以前は、自前のツールを使えば簡単にルート証明書を抽出できたので、今回のような情報を比較的簡単に調査することができたんですが、 Windows 7以降、そうした事もできなくなってしまいました。で、今回はというと、こんな地味な手順を踏んで調査したんです(泣)。Microsoftの中の人ならリストのエクセルファイルとか、ルート証明書そのものを持っていて簡単に調査できるんでしょうけどねぇ、、、トホホ。

  1. 公開されているPDFファイル「 Windows Root Certificate Program Members - September 2014」からCERTIFICATES IN DISTRIBUTION FROM ALL MEMBER CAsの表を各ページ、テキストでコピペする。
  2. Emacsのテキスト編集で何とか、TSV(タブ区切り)ファイルにする。
  3. Macのテキストエディタで開きUTF-16で保存する。
  4. MacのExcelでインポートする。
  5. インポートした時点で、カラム位置のズレや文字化けがあるので手作業で修正。
  6. ルート証明書リストのExcelが完成!!! (泣)
  7. ちゃんとしたエクセル表なので、フィルタ使って調べたり、簡単なスクリプト書いて集計 したりできる。

さらなる野望

家族から「リビングにファンが煩いマシンを置くな!」と非難され、泣く泣くファンレスの超小型マシンDiginnos LIVAをサーバー代わりに使っているんですが、ブラウザで変なサイトに行くこともあまりないので、ルート認証局のリストは27で、初期出荷時からあまり増えていないはずで、今回、試しに開いて、イタリアのActalis Authentication CA G1が増えてしまいました。
windialog
なんかこう、 あれです、411もあるわけですから、フルコンプしたいですよねぇ? 先生、大事なことだからもう一回言います。

フルコンプしたいですよねぇ?!!!
これをフルコンプするには、 411の全ての認証局それぞれに、そこから発行されたどれか一つのSSLサーバー証明書を使っているサイト見つけて、Internet ExplorerでHTTPSアクセスすればいいだけですが、マイナーな認証局から発行された証明書を使っているサイトを見つけるなんて、海水浴行った海岸のどこかで落とした10円玉見つけるようなもんで、ほとんど無理ですよね。 例えば、Symantecなんかは色んな認証局を買ったので、グループだけで70もの認証局が登録されているわけですが、Symantecにそれぞれの認証局から発行された証明書のすべてを見つけるなんて、もう無理です。

こういう時ですねぇ、Certificate Transparencyの公開監査ログを手元に持っているとですねぇ、740万枚ぐらいのサーバー証明書と、そのルート認証局までのチェーンがあるので、それぞれのルート証明書を取り出して、Windowsルート証明書情報のPDFに記載された証明書の拇印ハッシュ値とを比較すれば、そこから発行されたSSLサーバー証明書が一つみつかるので、そこへアクセスすれば前述の「証明書ダイアログ」に表示されるのではないかと!!!(パチパチ)

ゴールデンウィーク中に、ちょっとGo言語でこんなツールを作ろうかなぁ、、、と思ってます。

おわりに

いや〜、オレのゴールデンウィークは有意義だなぁ、、、 (遠い目 ) こんなことばかりしているとカミさんに怒られるので、今日はこのへんで。

追記(2015.05.03 13:28)

オフラインでルート証明書をアップデートする公式アップデーター http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe からルート証明書が「抜ける」んじゃね?と某木村大先生からご指摘いただきました。確かにそのとおりでした。(つ〜か、前にツール使ってそれができてたものが、参照情報しか取れなくなったと勘違いしてできなくなって、そのままにしてたんですが 、指摘を頂いてから見てみたらちゃんとありました。) その実行ファイルには、証明書のリストである .SST (Microsoft Serialized Certificate Files)が入っており、その中からルート証明書が取り出せそうです。前は作ったツール使ってたんですが、今は PowerShell から取り出せそう。試したらまた報告します。ルート証明書が抜けたとして、ただ開いただけで、「信頼するルート認証機関」のリストに表示されるんかいな???

関連記事

ちょっと遠い関連記事

Windowsルート証明書の更新プログラム (2010.08)

マイクロソフトのルート証明書の更新プログラムが2010年8月23日にリリースされていました。最近、全く気にしてなかったんですが nahi さんのつぶやきを見ていたら更新されていたことを知りました。

前回から3ヶ月しか経っていないので、大した更新も無いんじゃないかと思っているんですが、今更ながら調べてみました。自分の持っているルートが338→341に増えたので、たった3つだけ増えたってことらしいです。 で、増えたのは以下の3つ。

認証局名
USMicrosoft Root Certificate Authority 2010
USAffirmTrust Premium ECC
LTRegistru Centro Sertifikavimo Centras, VI Registru Centras RCSC (RootCA)

Microsoft Root Certificate Authority 2010

MSのルートもSHA256withRSA 4096bitのルート証明書を出してきたみたいです。

AffirmTrust Premium ECC

米国 AffirmTrust の楕円のルート証明書です。曲線はOIDが1.3.132.0.34で 鍵長 384bit の曲線名がSEC 2ではsecp384r1、NISTではP-384と呼ばれているものです。 SEC 2は楕円暗号業界団体 Standards for Efficient Cryptography Group (SECG) が定めた楕円暗号に 関する規格です。署名アルゴリズムは SHA384withECDSA でした。

Registru Centro Sertifikavimo Centras

リトアニア(LT)のルート証明書は適格証明書(QC)のルート証明書になっていて SHA1withRSA 4096bit 鍵の証明書でした。QCステートメントを見てみると以下の値が設定されていました。

0.4.0.1862.1.1 QcCompliance
ETSI TS 101 862で規定されたQC準拠であることを示す。
0.4.0.1862.1.3 QcEuRetentPeriod: 値=10
この証明書は10年間CAで保存される。
0.4.0.1862.1.4 QcEuSSCD
証明書の公開鍵に対応した秘密鍵がセキュアな署名生成デバイス (SSCD:Secure Signature Creation Devidce)上にあることを示す。
OIDが 1.3.6.1.4.1.311.21.1のMicrosoft CertSrv CA Version (cAKeyCertIndexPair?)拡張 が入っているのでWindows Server 2003以降のCAから発行されたもののようです。

これからRSA鍵のルートCAは鍵長4096bitっていうのが多くなってくるんでしょうね。

関連記事

Windowsルート証明書の更新プログラム (2010.05)

マイクロソフトのルート証明書の更新プログラムが2010年5月24日にリリースされていました。最近、注目してなかたので全然気づかなかった。早速、どのようなルートが追加されたのか調査してみました。更新後、登録されているルートCAは337ぐらいになったんだと思います。更新の前後で追加になった26のCAは以下の通りです。

認証局名
USAffirmTrust Commercial CA
USAffirmTrust Premium CA
USAffirmTrust Networking CA
BEBelgacom E-Trust Root CA
BEBelgacom E-Trust QC Root CA
USGlobalSign Root CA R3
CZI.CA Qualified CA
CZI.CA Standard CA
USVeriSign Class1 Public Primary CA
USVeriSign Class3 Public Primary CA
DKKMD Qualifed Person CA
DKKMD Root CA
DKKMD CA-Server
USStarfield Root CA G2
USStarfield Services Root CA G2
ZAThawte Premium Server CA
CZPostSignum Root QCA
ZAThawte Server CA
FRKEYNECTIS ROOT CA
DETC TrustCenter Universal CA III
PLCC Signet RootCA
GBComodo Secure CA
USGo Daddy Root CA G2
FITeliaSonera Root CA v1
JPJapanese Government MPHPT CA
ESSpain Registrars Root CA
う〜む、今回の更新はまともな国のまともな認証サービスのものばかりで、あまり面白みにかけますね。欧州各国では適格証明書(QC)用のルートが随分増えたなぁというのも特徴的かもしれません。

関連記事

Windowsルート証明書の更新プログラム(2009.11)

前回の9月のに引き続き11月もルート証明書の更新があったのをすっかり忘れていました。

何が追加されたのか(今回も現実逃避モードで)調べてみました。前の9月から2ヶ月しか経っていないので、たった7つしか増えていません。

認証局発行組織
ipsCA Main CA RootipsCAスペイン
ipsCA Global CA RootipsCAスペイン
Autoridad de Certificacion Firmaprofesionalスペイン
CCA India 2007India PKIインド
Autoridade Certificadora Raiz Brasileira v1ICP-Brasilブラジル
Security Communication RootCA2SECOM Trust Systems日本
Entrust.net Certification Authority (2048)Entrust米国

スペイン多いですね。インドっていうのがやる感じです。他はノーコメントで(^^;

Windows Updateから情報を辿ると2009年2月のアップデートと同じ情報が表示されるんですよね。ルートが更新される場合には何が追加になったのかきちんと公開して欲しいなぁ、、、と思います。

リンク

マイクロソフト:ルート証明書の更新プログラム[2009 年11月](KB931125)

Windowsルート証明書の更新プログラム(2009.09)の続き

随分前のブログにWindowsルート証明書更新プログラムの事を書いたわけですが、iPhoneのルートってどうなんだろうと思って調べているうちに、そもそも、このWindowsのプログラムで登録されているCAの数っていくつなんだろうと思ったわけです。

WindowsのCAのまともな資料はこれになります(PDF)。

一つ一つ数え上げるのも大変なので、一旦PDFをテキストに変換してハッシュアルゴリズムでカウントすることにしました。

署名のハッシュアルゴリズム
MD211
MD541
SHA1231
SHA21
SHA25615
SHA3844
総数303

というわけでWindowsルート認証機関として登録されている認証局の総数は303なようです。

では、iPhone (3.0 or 3.1)はというと328みたいです。30程度増えちゃってますね。どんなとこが増えているのか機会があったら紹介したいと思います。

ではでは

<追記>

  • ちらっと見たところ公的個人認証のブリッジとか、米国DoDのブリッジとかが入っているようですね。ブリッジを直接信頼するのはちょっと違和感ありますね。
  • iPhone OS 3.0のルート認証局数を331→328に訂正

Windowsルート証明書の更新プログラム(2009.09)

今日もやることがあるにもかかわらず、現実逃避モードで、、、

以前Twitterでつぶやいたように2009年9月21日にWindowsのルート証明書がWindows Updateにより更新されました。どのような変更があったのか調べてみました。

ルート証明書の更新プログラム [2009 年 9 月] (KB931125)

今回の更新で26のルート証明書が勝手に追加されました。

ルート認証局名国名
A-Trust A-Trust-Qual-03オーストリア
AC RAIZ FNMT-RCMスペイン
ACEDICOM Rootスペイン
Actalis Authentication CA G1イタリア
AddTrust External CA Rootスウェーデン
Correo Uruguayo Root CAウルグアイ
Certeurope Root CA 2フランス
Certum Trusted Network CAポーランド
Chambers of Commerce Root - 2008欧州連合
Entrust Root Certification Authority - G2米国
GeoTrust Primary Certification Authority - G2米国
GeoTrust Primary Certification Authority - G3米国
Global Chambersign Root - 2008欧州連合
Microsec e-Szigno Root CA 2009ハンガリー
Posta CA Rootセルビア
SCEE ECRaizEstadoポルトガル
Secretaria de Economia Autoridad Certificadoraメキシコ
SecureSign RootCA11日本
Sertifikacijas pakalpojumu dala E-ME SSI RCAラトビア
StartCom Certification Authorityイスラエル
TWCA Root Certification Authority台湾
TWCA Root Certification Authority台湾
Thawte Primary Root CA - G2米国
Thawte Primary Root CA - G3米国
VeriSign Class 3 Public Primary Certification Authority - G4米国
VeriSign Universal Root Certification Authority米国

多分EVのルートがRSA2048bit以上にしなきゃいけなくなったのが理由で、大手の認証サービスでルートが更新されているのと、ウルグアイ、セルビア、ラトビア、台湾なんかが追加されているのが特徴的ですかね。

FireFoxでは先にルート登録されていた格安のStartComもこの度Windowsに登録されるようになりました。

今、自分のマシンには317ものルート認証局が登録されちゃってるわけですが、本当にこれって、このまま信頼しちゃっていいんですかねぇ?

追記 2009.10.13

Microsoftから「Windows Root Certificate Program Members (PDF 936KB) 2009.09.22」という文書が公開されているようです。

Windowsルート証明書の更新プログラム(2009.02)

Microsoft ルート証明書プログラムのメンバ (2009 年 2 月)
ルート証明書の更新プログラム。この更新プログラムは、コンピュータにあるルート証明書の一覧を、Microsoft ルート証明書プログラムの一部としてマイクロソフトが承認した一覧に更新します。下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
rootsupd.exe パッケージ
リリース日 : 2009 年 2 月24 日


2009年2月24日にWindowsのルート証明書の更新パッケージが公開されたそうで、Windows Updateでも更新できるようになっているので、更新の前後でどんな感じか見てみました。

#そのために、現状の信頼するルート認証機関を全てごっそりファイルに落とすプログラムを作ったりもしました。

update02_



インストールはフツーにWindows Updateの「追加選択(ソフトウェア)」から選択してインストールすることができます。

テストしたマシンでは今まで一度もルートの更新はした事がないような気がします。余分なテスト用のプライベートCA、社内プライベートCAなど削って計算してみるに、




2009年2月のルート更新前118ルート認証局
2009年2月のルート更新後282ルート認証局


となりました。セットアップしてから途中Windows Updateとかでルートを更新したことが無いと思うにしても、この増え方は尋常ではありませんね(^^;特に怪しい国のCAが異常に増えちゃったような気がします。

ETSI ESI会議の中でもEUでEV証明書を発行するための標準(TS)を独Teletrustなんかが中心にやっているんですが、そもそも怪しい国のCAの審査ってどうするの?そもそも信じられるの?みたいな意見はやっぱり出てました。

調べたマシンはデモにしか使ってなかったマシンなので、ルート証明書の更新プログラムは一度もやっていなかったのかもしれません。(総務省ルートも無いし、、、、)

今回のアップデートで無くなってしまったルートCAはフランスとスイスの次のCA。

・CN=Certiposte Classe A Personne,O=Certiposte,C=FR
・CN=Certiposte Serveur,O=Certiposte,C=FR
・CN=Swisskey Root CA,L=Zuerich,OU=Public CA Services,OU=008510000000500000192,O=Swisskey AG,C=CH


ちなみに、スイスとノルウェーの下の2つはEVのCAなったんだそう、、、、

CN=SwissSign Platinum CA - G2, O=SwissSign AG, C=CH
CN=Buypass Class 3 CA 1, O=Buypass AS-983163327, C=NO


追加されたルートCAを国別に数を調べてみました。

2009.02のルートの更新で追加された国別認証局数



8割近くは入れる必要無いんじゃないっすかね?(^^;

総務省のアプリケーションCAは我々日本人も使うからいいんですが、他の怪しい国のルートなんか入れておくと、変なSSL対応のフィッシングサイトに誘導されたりしてロクなことにならないんじゃないですかね。

280認証局もあると、これまでの少なかった時以上にそれらの認証局が横並びで等しく信用できるか非常に怪しいですよね。

Microsoftが信頼するルート認証機関に入れたものは、例え個人が削除してしまったとしても、Windows Updateで再度インストールされ復活してしまうんだそうです。

もうそろそろ、個人の設定で自分に無関係そうなルート認証局や、審査が甘そうだったり、MD2やMD5で運用がちゃんとしてなさそうな認証局はチェックボタンなんかで使えなくしておけるような機能がWindowsにも必要な時期に来ているのでは、、、と思っています。

ちなみにルート更新後、使われているハッシュアルゴリズムの割合はこんな感じ、、、

グラフ-ハッシュ



SHA2の利用もちょっと始まっています。

SHA256: NetLock Platina (Class Platinum) Fotanusitvany/HU
SHA256: NetLock Arany (Class Gold) Fotanusitvany/HU
SHA256: Staat der Nederlanden Root CA - G2/NL
SHA384: COMODO ECC Certification Authority/GB


次に署名アルゴリズムと鍵長で見てみるとこんな感じ、、、、

count_sigalgグラフ



SHA1withRSA 2048bit が主流なんですが、RSA 4096bit が思いの他あったり、SHA256、SHA384 なんていうのも出てきています。唯一のSHA384withECDSA 384bit っていうのは、COMODO ECC Certification Authority なんですが、ECDSAにしてはかなり鍵長が長い方の384bitが使われているのと楕円曲線パラメータはANSIのぐらいしかよく知らなかったんですが"secp384r1"というSECG(Standards for Efficient Cryptography Group)SEC 2: Recommended Elliptic Curve Domain Parametersで定めた"Recommended Parameters secp384r1"を使っています。そもそも、この証明書フツーはXPで扱えないっすよね。

comodo_ecdsa



ルート証明書の有効期間の年数の分布はこんな感じ、、、

out



20年物、次いで10年物が主流ですが、長いのでは25年、30年なんていうのもそれなりにあるようです。

<追記2009.04.04>
・署名アルゴリズム、有効期間について追記

Windows95の信頼するルート認証機関

随分前にちょっと調べて放置プレイになっていたヤツを少し整理みようと思います。

・Microsoft Windows 95 OSR2 4.00.950 B
・Internet Explorer 4.0 4.72.2016.9

という古ぅ〜〜い、古典的な環境に含まれる信頼されるルート認証機関(30認証局)を調査し表にしてみました。いや〜〜、Windows 95の環境を手に入れるのが結構骨で、当時は信頼するルートもフォルダにKey blob形式のファイルがぽっとおいてあるだけだったので、Key blobから証明書をひっこぬくプログラムも合わせて作ったんだと思います、確か、、、

まとめた表は以下のようになります。

Windows95のルート証明書



気がついたのはこんなとこ、、、、

  • 未だに有効期限がある認証局がある

  • 未だ有効なものでWindwos XPに現在も含まれるものと、
    そうでないものがある

  • 署名アルゴリズムはmd2WithRSAもしくはmd5WithRSAである

  • 鍵長がRSA 1000bitの鍵を使っているものがある

  • X.509証明書のバージョンがV1のものと拡張領域を持つV3がある

  • 基本制約を持たないX.509 V3証明書がある

  • CN(commonName)を拡張領域に持つ証明書がある

  • 認証局の主体者DNにEmailAddressを持つ証明書がある

  • 当時30認証局だったものが今は130認証局近くになっている



1997年頃当時の面影を知ることができ、なかなか良かったです。ハイ。

こういう情報はちゃんと国会図書館とか公文書館とかデジタルアーカイビングして公開したらいいんじゃないかと思うんですけどね、、、、長期保存では過去のトラストアンカの情報が必要になるので、、、、、、
最新記事
Categories
Archives
Twitter
記事Google検索

本ブログ内をGoogle検索
Yahoo!アクセス解析
Travel Advisor
記事検索
QRコード
QRコード
  • ライブドアブログ