廃止された SHA1 アルゴリズムを使用するデジタル署名の適用

Acrobat または Acrobat Readerで PDF 文書に電子署名する際、以下の警告メッセージが表示されることがあります。

背景： Acrobat では、バージョン 9.1 以降、SHA256 がデフォルトのハッシュアルゴリズムとなっています。ただし、例えば、署名デバイス（スマートカード、USB トークンなど）やそのドライバーが SHA256 ハッシュをサポートしていない場合は、署名を作成する際、失敗を防ぐために Acrobat または Reader はフォールバックして SHA1 ハッシュを使用します。

最近、リサーチャーたちは、デジタル署名に適用する際に SHA1 ハッシュアルゴリズムで競合を生成することに成功しています。つまり、特定の条件下において、ある文書に固有ではない SHA1 ハッシュに基づいてデジタル署名を生成することができるが、これは別々の文書に適用する場合にもあてはまるということです。

Acrobat と Acrobat Reader （2017.009.20044）における変更点： Acrobat および Acrobat Reader リリース 2017.009.20044 において、アドビでは、廃止された SHA1 ハッシュアルゴリズムをデジタル署名に使用しないようユーザーに警告しています。ユーザーは引き続き SHA1 を使用して署名できますが、業界全体において SHA1 は廃止済みと見なされているため、お勧めはできません。

解決策

特定の状況に基づいて、この警告ダイアログが表示されないようにする複数の解決策があります。

• アドビでは、デフォルト の SHA256、またはさらに強力なハッシュアルゴリズムをサポートする新しいデバイスまたはドライバーの入手について、署名デバイスまたはドライバーの製造元に確認することを強くお勧めします。
• 上記で推奨のハッシュアルゴリズムが署名デバイスにサポートされていない場合は、「次回から表示しない」チェックボックスを選択し、「続行」をクリックして SHA1 で署名することができます。次回、このダイアログは表示されません。
• Acrobat は SHA1 （デフォルトの SHA256 ハッシュではなく）を使用するように以前に設定されている可能性があります。設定キー aSignHash を削除するか、このキーを SHA256 に設定することができます（このページを参照）。
• PDF 文書にある既存の署名フィールドに適用されている「シード値」の有無によって SHA1 アルゴリズムの使用が異なる場合は（このページを参照）、SHA1 が絶対に必要でない限り、文書を更新して SHA256 またはさらに強力な別のハッシュアルゴリズムをサポートするよう、その著者に依頼できます。