Oracle เตรียมบล็อกไฟล์ Jar ที่เซ็นชื่อด้วย MD5

Oracle ระบุ หลังจากวันที่ 18 เมษายน 2017 Java Runtime Environment (JRE) จะทำเสมือนว่าไฟล์ Jar ที่เซ็นชื่อด้วยอัลกอริธึม MD5 เป็นไฟล์ Jar ที่ไม่มีการเซ็นชื่อใดๆ นั่นหมายความว่า ไฟล์ Jar เหล่านั้นไม่มีความมั่นคงปลอดภัย และจะถูกบล็อกไม่ให้รันการทำงาน

เดิมที Oracle ตั้งใจจะเลิกใช้ MD5 ใน Critical Patch Update (CPU) ประจำไตรมาสแรกที่เพิ่งออกไปเมื่อสัปดาห์ที่ผ่านมา แต่ก็เปลี่ยนให้ให้โอกาสนักพัฒนาและบริษัทซอฟต์แวร์มีเวลาในการเตรียมปรับตัว และจะยกเลิกการใช้ MD5 ใน Oracle Java SE 8u131 และใน Java CPU ถัดไปแทน ซึ่งคาดว่าเป็นช่วงประมาณเดือนเมษายน

ในการพัฒนา Java นั้น โปรแกรมเมอร์จะทำการเซ็นชื่อไฟล์ JAR เพื่อเป็นการพิสูจน์ตัวตนว่าใครเป็นผู้เขียนโค้ด ซึ่งสมัยยุค 90 เรียกได้ว่าเป็นที่นิยมมาก เนื่องจาก MD5 ถือเป็นอัลกอริธึมที่มีความมั่นคงปลอดภัยสูง แต่หลังจากยุค 2000 พบว่า MD5 เกิดช่องโหว่ Collision Attack ได้ง่าย ส่งผลให้ผู้ไม่ประสงค์ดีสามารถปลอมตัวเซ็นชื่อเป็นบุคคลอื่นได้ Oracle จึงตัดสินใจเตรียมยกเลิกการใช้ MD5 และแนะนำให้โปรแกรมเมอร์หันไปใช้อัลกอริธึมอื่นที่มีความแข็งแรงกว่าแทน

ก่อนหน้านี้ Oracle ได้นำ MD5 ออกจาก Defualt List ของการเซ็นชื่อไฟล์ Jar บน Java SE6 ที่ปล่อยออกมาให้ใช้งานเมื่อปี 2006 มาแล้ว สำหรับแอพพลิเคชัน Java เก่าที่ไม่มีการเซ็นชื่อใหม่ Oracle อนุญาตให้ผู้ดูแลระบบตั้งค่า Deployment Rule Set และ Exception Site List เพื่อให้รัน Java Applet และ แอพพลิเคชัน Java Web Start ที่เซ็นชื่อด้วย MD5 ได้

นอกจากนี้ คาดว่าในช่วงครึ่งหลังของปี 2017 Oracle จะทำการเปลี่ยนความยาวขั้นต่ำของกุญแจที่ใช้เข้ารหัสข้อมูลสำหรับอัลกอริธึม Diffie Hellman ไปเป็น 1024 bits ซึ่งการอัปเดตนี้เป็นส่วนหนึ่งของแผนระยะยาวของ Oracle เพื่อเพิ่มความมั่นคงปลอดภัยของ JRE และ Jave SE Development Kit (JDK) ให้สูงยิ่งขึ้น

รายละเอียดเพิ่มเติม: https://www.bleepingcomputer.com/news/security/oracle-to-block-jar-files-signed-with-md5-starting-with-april-2017/