AndroidでSSLを使う際のSecureRandomの問題点
AndroidでSSLを使うときに、
SSLContextを使うことがあるかと思いますが、
このSSLContextのinitで使えるSecureRandomに脆弱性があるらしい、という話です。
出元は下記。
Some SecureRandom Thoughts | Android Developers Blog
ここによれば、SecureRandomはOpen SLL PRNG(暗号論的擬似乱数生成器)
には脆弱性があるから、このページにあるようなPatchを使ってねー、とのことでした。
そして、SecureRandom, KeyGenerator, KeyPairGenerator, KeyAgreement, Signature
あたりを使っているキーは、再生成をすることも考えてみてね、とのこと。
これに関する日本語の記事が少なかったので、書いてみました。