まめーじぇんと@Tech

技術ネタに関して (Android, GAE, Angular). Twitter: @mame01122

AndroidでSSLを使う際のSecureRandomの問題点

AndroidSSLを使うときに、
SSLContextを使うことがあるかと思いますが、
このSSLContextのinitで使えるSecureRandomに脆弱性があるらしい、という話です。

出元は下記。
Some SecureRandom Thoughts | Android Developers Blog

ここによれば、SecureRandomはOpen SLL PRNG(暗号論的擬似乱数生成器)
には脆弱性があるから、このページにあるようなPatchを使ってねー、とのことでした。

そして、SecureRandom, KeyGenerator, KeyPairGenerator, KeyAgreement, Signature
あたりを使っているキーは、再生成をすることも考えてみてね、とのこと。

これに関する日本語の記事が少なかったので、書いてみました。