SSL証明書の偽造成功のニュース

ITmediaNEWS
「不正サイトでの悪用も：SSL証明書の偽造に成功、ハッシュ関数の脆弱性を応用」
http://www.itmedia.co.jp/news/articles/0901/06/news030.html

日経IT Pro
「「SSL証明書の偽造」に研究者らが成功、計算には200台のPS3を使用 」
http://itpro.nikkeibp.co.jp/article/NEWS/20090105/322218/

記事内容は同じなのだが、導き出してある結論は微妙に相反する。

ITmediaNEWS
＞　現時点でMD5の脆弱性の解決策は存在せず、US-CERTはソフト開発者や認証局、Webサイト管理者らに対し、MD5の利用を避けるよう勧告している。

日経IT Pro
＞　今回の発表で、SSL証明書の偽造が可能であることが示されたものの、研究者らは「パニックになる必要はない。インターネットが崩壊したわけではない （No need to panic, the Internet is not completely broken）」とコメント。セキュリティ組織やベンダーも同じ見方だ。

US-CERTとしては警告を出さざるを得ないだろう。
だが現実としてIT Proの記事にあるように「現実的な時間内で偽造が可能なのは、MD5で署名されたデジタル証明書のみ。SHAを使っている場合には、影響を受けないとされている。」であり、今回の計算自体もPS3を200台使ったグリッドシステムを利用して、の話。

だが忘れてはいけない。ＰＣのスペックは年々向上しており、最新のハイスペックも数年後には「話にならないほどの低レベル扱い」されてしまうほど陳腐化する、という事を。
MD5が標準的なPC環境で解読されるようになるタイムリミットは後２，３年後なのかもしれない、という事を。