Child pages
  • SPにおけるAES-GCM暗号対応状況
Skip to end of metadata
Go to start of metadata

Shibboleth IdP V4より、新規インストール時のデフォルトのXML暗号化アルゴリズムの設定が従来のAES-CBCからAES-GCMに変更されています。
IdPv3からのアップグレード時には従来通りのAES-CBCが維持されます。

非Shibbolethの大部分のSPや、一部の古いShibbolethや古いOS(RHEL/CentOS 5等)/ソフトウェアを用いているSPはGCMをサポートしておらず、GCMに変更した場合はこれらのSPと連携が取れなくなるとの情報がございますので、IdPv4を新規インストールされる際はご注意ください。

また、SP運用ご担当の方におかれましては、SPがGCMをサポートしているかをご確認いただき、サポートしていないことが判明しましたら、その旨を学認事務局までご一報いただけますと幸いです。

詳細はShibboleth Wikiの下記ページをご参照ください。
https://wiki.shibboleth.net/confluence/display/IDP4/GCMEncryption

2021年7月8日時点で問題ありとの情報のあるSP(情報は随時更新していきます):

2021年9月2日時点追加:

  • HighWire

IdPでの一時的対処方法:

本記述はIdP側での一時的な対処方法であり、本質的にはSP側で対処してもらう必要があるものであり、また将来的にこの設定をそのままにしますとSPがAES-GCMをサポートした後も弱い暗号を使い続けることになりますので、ご注意ください。定期的にリストの見直しを行うことを推奨します。

metadata-providers.xmlの当該SPを読み込んでいるMetadataProviderに、MetadataFilterの1つとして以下のようにSPのentityIDを列挙してください。

<MetadataFilter xsi:type="Algorithm">
    <!-- CBC-only SPs. -->
    <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc" />
    <Entity>https://broken.example.org/sp</Entity>
    <Entity>https://also-broken.example.org/sp</Entity>
</MetadataFilter>

詳細: https://wiki.shibboleth.net/confluence/display/IDP4/AlgorithmFilter

  • No labels