暗号技術の最新動向...3 5 20060822...
Transcript of 暗号技術の最新動向...3 5 20060822...
![Page 1: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/1.jpg)
1
1
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
暗号技術の 新動向~ 暗号をめぐる2010年問題 ~
2006年8月22日
日本電信電話株式会社
情報流通プラットフォーム研究所
神田 雅透
2
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
本日の話題
暗号技術の基礎
「暗号が安全」とはどういうことを指すのか
暗号をめぐる2010年問題
「暗号技術の2010年問題」の本質は何か
暗号標準化の国際的動向
2010年以降のデファクト暗号は
暗号製品に関する国際的認証制度
CC認証とCMVP認証
![Page 2: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/2.jpg)
2
3
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
暗号技術の基礎
4
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
セキュリティ技術とは
あらゆる脅威から「C. I. A.」を確保する技術
Confidentiality(機密性):
権限のない第三者から情報を秘匿
Integrity(完全性):
情報が改竄されていないこと(原本性)を保証
Availability(可用性):
権限を有するものはいつでも情報にアクセス可能
災害リスク
システム障害リスク
人為的ミスによる障害リスク
人為的不正行為リスク
物理的セキュリティ対策
情報セキュリティ対策
基盤技術としての「暗号技術」機密性と完全性の確保
![Page 3: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/3.jpg)
3
5
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
暗号技術の分類
送信者と受信者が同じ鍵を利用する方式
(秘匿性) 共通鍵暗号
(完全性) メッセージ認証子
送信者と受信者が異なる鍵を利用する方式
(秘匿性) 公開鍵暗号
(完全性) デジタル署名
暗号技術を使うための補助的役割を果たすために
ハッシュ関数
擬似乱数生成器・(真性)乱数生成器
6
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
共通鍵暗号 #1
同じ鍵を利用して暗号文の生成・復号を行う
平文
暗号文
暗号化
復号暗号化鍵(秘密)
復号鍵(秘密)
平文(メッセージ)空間
暗号文空間
1
A
秘密鍵ごとに異なる第三者には未知の乱数表
共通鍵暗号アルゴリズムは効率的に乱数表を作るための演算手法
こだまうみかわ
暗号文
0201やま
03
鍵平文
![Page 4: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/4.jpg)
4
7
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
共通鍵暗号 #2
ブロック暗号(AES, Camellia, Triple DES, MISTY1)
一定長のブロックに分割、各ブロックを暗号化
ストリーム暗号(RC4, Panama, MUGI)
擬似乱数系列によってビット単位で暗号化
擬似乱数生成器
平文 暗号文
秘密鍵(鍵長128ビット以上) ここに安全性の根拠を置く
データ撹拌部
暗号文
ここに安全性の根拠を置く
秘密鍵(鍵長128ビット以上)
平文
段関数
段関数
段関数
段関数
段関数
段関数
ブロック長64-bit: 64ビットブロック暗号
128-bit: 128ビットブロック暗号
副鍵生成部 副鍵
8
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
通信路
ブロック暗号
ブロック暗号
ブロック暗号
ブロック暗号
ブロック暗号
秘密鍵
メッセージ認証子
一定ルールに基づくパディング
秘密鍵秘密鍵秘密鍵秘密鍵
メッセージ
メッセージ
MAC生成
秘密鍵
MAC生成
秘密鍵
一致?
メッセージ認証子(ブロック暗号ベース)
同じ秘密鍵を利用してメッセージの正当性を検証
![Page 5: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/5.jpg)
5
9
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
共通鍵暗号の安全性
仕様によって決まる安全性=安全性の上限
鍵全数探索攻撃への耐性秘密鍵を一つずつチェックする攻撃法
鍵長に依存
誕生日攻撃への耐性(ブロック暗号のみ)ランダムに集めた暗号文が一致する(=平文が同じ)ことを利用する攻撃法
ブロック長に依存
アルゴリズムの出来によって決まる安全性
ショートカット攻撃への耐性鍵全数探索攻撃よりも効率的に秘密鍵を求める攻撃法
攻撃者が多量の平文・暗号文の組を入手
将来予測への攻撃への耐性(ストリーム暗号のみ)過去(既知)の鍵系列から将来(未知)の鍵系列を求める攻撃法
一般に、いい(強い)/悪い(弱い)暗号という場合には、この意味で
の安全性を指す
10
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
攻撃に必要となる平文・暗号文の組数(log2)
解読
計算
量(lo
g2)
0 64 1280
40
56
64
80
100
128
112
168
64ビットブロック暗号が生成できる組数の 大値
鍵全数探索攻撃による鍵長128ビットのときの解読計算量(設計上期待される安全性)
鍵全数探索攻撃による鍵長64ビットのときの解読計算量
鍵全数探索攻撃による鍵長40ビットのときの解読計算量
鍵全数探索攻撃によるDESの解読計算量
(1999年時点で、22時間15分で解読に成功)
鍵長128ビットの128ビットブロック暗号が安全であるときの状態
(例:AESやCamellia)
鍵長128ビットの64ビットブロック暗号が安全であるときの状態
(例:MISTY1)
128ビットブロック暗号が生成できる組数の 大値
安全性が高い
DES
2-key Triple DES
3-key Triple DES
解読攻撃が成功した暗号は、平文・暗号文の組数によって解
読計算量が変わる(右肩下がりになる)
線形解読法による解読
差分解読法による解読
中間一致攻撃による解読
Oorschot&Wienerによる解読
ブロック暗号の安全性評価例
![Page 6: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/6.jpg)
6
11
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
公開鍵暗号
異なる鍵を利用して暗号文の生成・復号を行う
平文
暗号文
暗号化
復号
平文
暗号文
暗号化
復号暗号化鍵(公開)
復号鍵(秘密)
誰もが容易に計算可能
復号鍵を持っている場合に限り容易に
計算可能
暗号化鍵から復号鍵を求める
ことが困難
計算に必要な値がすべて公開
計算に必要な値が秘密になっている
12
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
デジタル署名
異なる鍵を利用してメッセージと署名者の正当性を保証
平文
署名
検証
署名
平文
署名
署名
検証署名鍵(秘密)
検証鍵(公開)
誰もが容易に検証可能
復号鍵を持っている場合に限り容易に計算可能
検証鍵から署名鍵を求めることが困難
平文と署名が正しい関係にあるかを確認するのに必要な値が
すべて公開
計算に必要な値が秘密になっている
ダイジェスト
ハッシュ関数
True/False
![Page 7: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/7.jpg)
7
13
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
公開鍵暗号とデジタル署名の安全性 #1
公開鍵から秘密鍵を算出することは困難
素因数分解問題困難性(RSA)
有限体上の離散対数問題困難性(ElGamal, DSA)
楕円曲線上の離散対数問題困難性(PSEC-KEM, ECDSA)
ナップザック問題困難性
pqn = ( )qp, : 素数
)(mod pgz x= x
[ ] )( EonPkQ = k
n
( )pgz ,,
( )EPQ ,,
数学的未解決問題に安全性の根拠
14
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
公開鍵暗号とデジタル署名の安全性 #2
定性的な安全性
「根拠となる数学的未解決問題の困難性との等価性」を指す公開鍵暗号/デジタル署名が破れる ⇔ 数学的未解決問題が解ける
「証明可能安全性」もこの延長線上
選択メッセージ攻撃
既知メッセージ攻撃
能動的攻撃
受動的攻撃
潜在的偽造不可
選択的偽造不可
一般的偽造不可
安全性レベル 高低
攻撃力
低
高CCA2
CCA1
NM-CCA2IND-CCA2OW-CCA2
NM-CCA1IND-CCA1OW-CCA1能動的
攻撃
(CCA)
NM-CPAIND-CPAOW-CPA受動的攻撃
(CPA)
頑強性
(NM)
強秘匿性
(IND)
一方向性
(OW)
安全性レベル 高低
攻撃力
低
高
適応的選択メッセージ攻撃
公開鍵暗号の安全性 デジタル署名の安全性
![Page 8: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/8.jpg)
8
15
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
公開鍵暗号とデジタル署名の安全性 #3
定量的な安全性
計算機能力だけに依存して数学的未解決問題が解けない
0
500
1000
1500
2000
2500
3000
3500
1990 1995 2000 2005 2010 2015 2020 2025 2030 2035 2040
素因数分解が可能とされる鍵長
RSAが安全と期待される鍵長
512
必要な鍵長
524 530
576
582
663753
809 822911
一般数体ふるい法により素因数分解されたビット数
特殊数体ふるい法により素因数分解されたビット数
参考文献:
A.K.Lenstra,E.Verhaul "Selecting cryptographic key sizes" Proc. PKC 2000
R.P.Brent "Recent progress and prospects for integer factorization algorithm" ,Proc. COCOON 2000
16
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
ハッシュ関数 #1
任意長のメッセージを一定長のダイジェストに写像
メッセージ空間よりもダイジェスト空間のほうが小さいので、理論上必ず衝突が起こる(この点が暗号と異なる)
SHA-1:メッセージ空間 2512 ⇒ ダイジェスト空間 2160
メッセージ空間
M2
M3
M4
M5
M7 M6
M8
M0M9
M1
ダイジェスト空間
Da
Db
Dc
Dd
De
![Page 9: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/9.jpg)
9
17
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
ハッシュ関数 #2
一方向性-1 (Preimage Resistance)
ダイジェストからもとのメッセージ(の候補)が導き出せない
一方向性-2 (Second Preimage Resistance)
特定のダイジェストに一致する別メッセージを作り出せない
衝突困難性・非衝突性 (Collision-free/resistance)
同じダイジェストになる異なるメッセージ組を作り出せない
Message Digest value
Message 1 Digest value Message 2
Message 1
Digest valueMessage 2
18
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
ハッシュ関数の安全性 #1
仕様によって決まる安全性=安全性の上限全数探索的攻撃への耐性(→一方向性)
メッセージを一つずつチェックする攻撃法
ハッシュ長に依存
誕生日攻撃への耐性(→衝突困難性)
ランダムに集めたメッセージのダイジェストが一致することを利用する攻撃法
「ハッシュ長/2」に依存
アルゴリズムの出来によって決まる安全性ショートカット攻撃への耐性
誕生日攻撃よりも効率的に衝突するメッセージ組を求める攻撃法
一般に、いい(強い)/悪い(弱い)ハッシュ関数という場合には、この意味での安全性を指す
![Page 10: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/10.jpg)
10
19
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
********************CONTRACT
At the price of $176,495 Alf Blowfish sells his house to Ann Bonidea. …
ハッシュ関数の安全性 #2
「衝突困難性」に脆弱性が見つかると
同じダイジェストになるような異なるメッセージ組を作り出せる改竄検知が不可能となるような情報を意図的に二つ生成できる状態となる(例:デジタル署名の偽造が可能)
印
偽造文書へのすり替え
********************CONTRACT
At the price of $176,495 Alf Blowfish sells his house to Ann Bonidea. …
********************CONTRACT
At the price of $276,495 Alf Blowfish sells his house to Ann Bonidea. …
********************CONTRACT
At the price of $276,495 Alf Blowfish sells his house to Ann Bonidea. …
印
********************CONTRACT
At the price of $276,495 Alf Blowfish sells his house to Ann Bonidea. …
印
同じダイジェストになる2つの文書を作成 参考文献:Dobbertin, “Cryptanalysis of MD4,”
Journal of Cryptology, Vol. 11 No. 4
20
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
ハッシュ関数の安全性 #3
衝突させるように作られた乱数を制御部の分岐条件にすることで別メッセージを出力
x
x
R1
R2
If R1
If R1
制御部 メッセージA メッセージB
ハッシュの衝突
条件分岐式
条件分岐用の乱数
メッセージAを
出力
メッセージBを出力
h(x|R1) = h(x|R2)
参考文献:Daum and Lucks, “Attacking Hash Functions by Poisoned Messages "The Story of Alice and her Boss",” Presented at the rump session of EUROCRYPT ’05, 2005Max Gebhardt, Georg Illies, and Werner Schindler, “A Note on the Practical Value of Single Hash Collisions for Special File Formats,” Proceedings of Cryptographic Hash Workshop
![Page 11: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/11.jpg)
11
21
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
「暗号が破れた」とは
共通鍵暗号
鍵全数探索攻撃よりも効率的に秘密鍵を求められる攻撃法が発見される
公開鍵暗号・デジタル署名
根拠となる数学的問題困難性と等価ではないことが示される
ハッシュ関数
誕生日攻撃よりも効率的にハッシュ値が一致する異なる2つのメッセージを作り出すことが出来る
個別のアルゴリズムが仕様上の安全性上限を満たさないこと
【2010年問題の本質】 そもそも安全の上限が十分/妥当なのか?
22
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
計算機を回せば現在どこまで解けるのか #1
必要な暗号解読時間を求めるときの攻撃方法(設計者にとっては 良、攻撃者にとっては 悪の攻撃方法)
共通鍵暗号
鍵全数探索法
公開鍵暗号・デジタル署名
[素因数分解] 数体ふるい法
[離散対数] 指数計算法
[ECC] ρ法
ハッシュ関数
誕生日攻撃
0 1 2 3 4 5 6 7 8 9
10 11 12 13 14 15 16 17 18 19
20 21 22 23 24 25 26 27 28 29
2k-1KS
KS
全数探索攻撃
0 1
2
3
4
5 6
7
8 9
10
11
12
13
14
15
16
17
19
20
21
22
23
2425 26 27
2829
2k-1KS
KS
全数探索以外の攻撃
0 1 2 3 4 5 6 7 8 9
10 11 12 13 14 15 16 17 18 19
20 21 22 23 24 25 26 27 28 29
2k-1
KS
正解KS
正解KS
不正解
18
鍵を一つずつ検査
不正解の鍵は検査しないランダムに選択したなかに
同じものが含まれるか
誕生日攻撃
1622
4
KS
これらの攻撃法で暗号が解けると実用的にも安全性に問題あり
![Page 12: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/12.jpg)
12
23
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
計算機を回せば現在どこまで解けるのか #2
共通鍵暗号
DES Challenge140日('97/6)⇒ 40日('98/2)⇒ 56時間('98/7)⇒ 22時間15分('99/1)
Symmetric key Challenge – RC5 challenge40-bit('97/1; 3.5時間) ⇒ 48-bit('97/2; 313時間)
⇒ 56-bit('97/10; 265日) ⇒ 64-bit('02/7; 1757日)
公開鍵暗号・デジタル署名
一般数体ふるい法による素因数分解512-bit('99/8) ⇒ 524-bit('02/1) ⇒ 530-bit('03/4)
⇒ 576-bit('03/12) ⇒ 582-bit('05/5) ⇒ 663-bit('05/5)
特殊数体ふるい法による素因数分解753-bit('00/11)⇒ 809-bit('03/1)⇒ 822-bit('04/4)⇒ 911-bit (’06/1)
24
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
等価安全性
異なる暗号技術の安全性を同一尺度で判断する手法安全性は、鍵長・ハッシュ長ではなく、等価安全性で決まる
仕様上の安全性の上限は「 良の攻撃法」によって決まる
良の攻撃法よりも効果的な攻撃法が発見された暗号技術は、期待された等価安全性が担保されない
(例)鍵長168ビット Triple DES ⇒ 112ビット安全性
15360 bit
7680 bit
3072 bit
2048 bit
1024 bit
指数計算法
(607 bit)
離散対数
良の攻撃法
(解読成功鍵長)
512 bit256 bit512 bit15360 bit256ビット安全性
384 bit192 bit384 bit7680 bit192ビット安全性
誕生日攻撃
(Unknown)
鍵全数探索法
(64 bit)
ρ法
(109 bit)
数体ふるい法
(663 bit)
256 bit128 bit256 bit3072 bit128ビット安全性
224 bit112 bit224 bit2048 bit112ビット安全性
160 bit80 bit160 bit1024 bit80ビット安全性
楕円曲線素因数分解
ハッシュ関数
[ハッシュ長]
共通鍵暗号
[鍵長]
公開鍵暗号・デジタル署名[鍵長]期待される安全性(等価安全性)の上限
![Page 13: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/13.jpg)
13
25
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
暗号をめぐる2010年問題
26
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
2010年問題とは
2010年を境にしたデファクト暗号技術の総入れ替え米国政府標準暗号の移行計画宣言が大きく影響
2010年末までに次期米国政府標準暗号へ移行
現在のデファクト暗号の多くは“米国政府標準暗号”というお墨付きを失う
次期米国政府標準ハッシュ関数との位置づけSHA-2(SHA-224/256/384/512)
鍵長160ビットについて認証用途は10年末、署名用途は08年末(検証は10年末)で廃止
ECDSA
新仕様の作成中DSA
05年5月米国政府標準暗号として一本化AES
05年5月推奨暗号に格下げ3-key Triple DES
05年5月推奨暗号に格下げ。10年末で廃止2-key Triple DES
SHA-1
RSA
DES
10年末で廃止ハッシュ関数
鍵長1024ビットについて認証用途は10年末、署名用途は08年末(検証は10年末)で廃止
デジタル署名
05年5月廃止共通鍵暗号
![Page 14: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/14.jpg)
14
27
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
なぜ移行しようと考えたのか
現在のデファクト暗号に対する安全性低下の深刻化
等価安全性からみた安全性バランスの不均衡是正
56ビット安全性
64ビット安全性
離散対数
256ビット安全性
192ビット安全性
128ビット安全性
112ビット安全性
80ビット安全性
楕円曲線素因数分解
ハッシュ関数
[ハッシュ長]
共通鍵暗号
[鍵長]
公開鍵暗号・デジタル署名[鍵長]等価安全性
SHA-1
SHA-1
SHA-224
SHA-256
SHA-384
SHA-512
DES
2key TDES
3key TDES
AES-128
AES-192
AES-256
RSA-1024
RSA-2048
RSA-3072
RSA-7680
RSA-15360
ECDSA-160
ECDSA-224
ECDSA-256
ECDSA-384
ECDSA-512
DSA-1024
DSA-2048
DSA-3072
DSA-7680
DSA-15360
28
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
FIPS移行タイムスケジュール
2010年末までに112ビット安全性以上の暗号技術へ2005 2006 2007 2008 2009 2010 2011 2012 2013
2-key Triple DES (2DES):政府標準から政府推奨に格下げ
3-key Triple DES (3DES) :政府標準から政府推奨に格下げ
AES移行
2048-/3072-bit RSA署名/DSA移行
署名生成での運用終了
署名検証・認証での運用終了
256-/283-bit ECDSA
SHA-1
SHA-224/256/384/512 + 新ハッシュ関数?移行
運用終了
2048-/3072-bit RSA暗号/DH法
1024-bit RSA暗号/DH法
移行
256-/283-bit ECDH法/ECMQV法
160-bit ECDH法/ECC-MQV法運用終了
共通鍵暗号
ハッシュ関数
署名・認証
鍵配送・鍵共有
1024-bit RSA署名/DSA
160-bit ECDSA
運用終了
![Page 15: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/15.jpg)
15
29
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
次世代暗号とは -共通鍵暗号-
キーワードは「より安全で、より処理性能が高い“新しい”アルゴリズムへ」
64ビットブロック暗号から128ビットブロック暗号への移行米国:AESに政府標準暗号を一本化
Triple DESは政府標準暗号から政府推奨暗号へ格下げ
欧州:128ビットブロック暗号がNormal日本:より長いブロック長の暗号を選択することが望ましい
128/192/256 bit
56/64/112/128/168 bit
鍵長
AES, Camellia, SEED128 bit
128ビットブロック暗号
DES/Triple DES, MISTY1, FEAL64 bit
64ビットブロック暗号
代表例ブロック長
秘密鍵
暗号文
ブロック暗号
平文
鍵長ブロック長
64ビットブロック暗号より安全性が高い暗号文を利用する攻撃法に対する安全性向上
30
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
次世代暗号とは -公開鍵暗号-
キーワードは「より安全にするためにアルゴリズムで使う鍵長を“より長く”」
素因数分解系:鍵長1024ビット ⇒ 2048ビット以上
離散対数系 :鍵長1024ビット ⇒ 2048ビット以上
楕円曲線系 :鍵長160ビット ⇒ 224ビット以上
問題は「処理性能が低下する可能性が極めて高い」
RSAやDSAでは必要鍵長が長すぎて実用に耐えないかも
楕円曲線系の高速実装は、特許抵触リスクが高くので、使いにくいかも
![Page 16: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/16.jpg)
16
31
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
次世代暗号とは -ハッシュ関数-
キーワードは「安全性確保のために “緊急避難的に”とりあえずSHA-2へ」
SHA-1 ⇒ SHA-256 (SHA-224/384/512)
問題は「SHA-2の安全性の懸念が払拭できているわけではないが、SHA-1のままで新しい安全なハッシュ関数が出来るまでも待てない」
10年以内にはSHA-2の衝突例が見つかるかもしれないでも、それよりはるかに早くSHA-1の衝突例が実際に見つかるだろう
ということで、新しい安全なハッシュ関数を決めるコンテストをします(たぶん)
でも、コンテストで決めた新しいハッシュ関数が市場に出てくるのは早くても10年ぐらい先の話・・・
32
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
Advanced Hash Standard (AHS)
SHA-1/2に替わる高度標準ハッシュ関数
AESコンテストと同じような形式で選定する計画案
新ハッシュ関数は1個ないし数個が選定あらゆる条件を満たすもの1個を選定(汎用的なハッシュ関数)
特定の要求条件ごとに1個ずつ選定(目的別のハッシュ関数)
具体的要求条件が出てくるのは2008年になってから
特許に関してはおそらく無償実施許諾を要求
すべては 8/24-25 のHash Workshopの議論次第
20072006 2008 20102009 2011 2012 2013
NIST workshop 公募 第1次評価 第2次評価 新ハッシュ関数発行
![Page 17: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/17.jpg)
17
33
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
暗号標準化の国際的動向
34
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
暗号の国際標準といえば
今までは暗号の国際標準といえば“米国政府標準暗号”とほぼ同義
以前は「武器」 扱い&厳格な輸出管理(輸出規制)
⇒ 「標準化対象外(署名のみ標準化対象)」
公的機関が安全性のお墨付きを与えていたのは米国だけ
後は、実質的に輸出規制に対抗するための暗号
2000年以降、暗号技術の国際標準化が進展
1997年に始まったAESプロジェクトの成功が実質的な契機
インターネットの普及に伴う暗号技術の「社会的基盤化」 ⇒「標準化の対象」
日本・欧州でも安全な暗号技術の推奨規格を選定
![Page 18: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/18.jpg)
18
35
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
暗号技術選定プロジェクト
AESプロジェクト(1997.1 – 2000.10)
新米国政府標準暗号選定プロジェクト
米国商務省技術標準局(NIST)が実施
NESSIEプロジェクト(2000.1 – 2003.3)
暗号に関する欧州の産業力向上などを目的とした強力な欧州連合推奨暗号選定プロジェクト
欧州連合の情報社会プログラム第5次R&D計画の一環
CRYPTRECプロジェクト(一期2000.5 – 2003.3)
電子政府用調達暗号推奨リスト作成プロジェクト
E-Japan重点計画の総務省・経済産業省施策の一環
総務省・経済産業省(事務局:IPA, TAO)が主体となり実施
36
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
暗号の位置付けが変化1985 1990 1995 2000 2005
社会的基盤技術(標準化対象)
暗号はISO国際標準対象外
暗号登録制度(ISO/IEC9979)
方針転換
ISO/IEC国際標準暗号(ISO/IEC18033)
AESプロジェクト(米)
NESSIEプロジェクト(欧)
CRYPTREC(日)
廃止
影響
IETFによるインターネット標準暗号
武器とみなされていた時代(規制対象)⇒⇒⇒(暗号乱立時代)
各種インターネット規格化次世代インターネット
標準暗号の追加
影響
米国政府標準暗号AES
欧州連合推奨暗号
電子政府推奨暗号
DES安全性低下
![Page 19: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/19.jpg)
19
37
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
暗号標準化の相関
米国政府標準以外にも国際標準・推奨暗号が出来た
ストリーム暗号ブロック暗号
対象対象対象対象対象電子政府推奨
対象対象対象対象
※選定なし対象欧州連合推奨
対象対象対象外対象外対象米国政府標準
ハッシュ関数デジタル署名公開鍵暗号共通鍵暗号
9979は廃止
検討WG発足変化なし変化なし変化なし次世代暗号
追加IETFインターネット標準
1011897961488815946
18033-218033-418033-3ISO/IEC国際
標準
AES(米国政府標準)、Camellia(NTT/三菱電機)、SEED(韓国政府標準)の追加
SHA-256の追加指令
38
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
共通鍵暗号の標準化状況
SEED
Camellia
AESAES
CIPHERUNICRON-AHierocrypt-3SC2000
SEED
CamelliaCamelliaCamellia
AESAESAES
ISO/IEC 18033-3FIPS 197
128ビットブロック暗号
MUGI
(推奨なし)
MUGI
SNOW 2.0
MULTI-S01(モード)
ISO/IEC 18033-4
CAST-128
MISTY1
Triple DES
ISO/IEC 18033-3
Triple DES3-key Triple DES(*3,*4)Triple DES
Skipjack
FIPS 185, SP 800-67
RC4RC4 (128ビット)(*5)
MULTI-S01(推奨なし)
ストリーム暗号
RC2RC5IDEA
CIPHERUNICORN-E(*3)
Hierocrypt-L1(*3)
CAST-128
MISTY1MISTY1(*3)64ビットブロック暗号
インターネット標準暗号ISO/IEC国際標準暗号欧州連合推奨暗号電子政府推奨暗号(1)米国政府標準・推奨暗号
備考: (1) 電子政府推奨暗号リストにおいては以下の注釈が付記されている.(*3) 新たな電子政府用システムを構築する場合,より長いブロック長の暗号が使用できるのであれば,128 ビットブロック暗号を選択することが望ましい.(*4) 3-key Triple DES は,以下の条件を考慮し,当面の使用を認める.1) SP800-67として規定されていること,2) デファクトスタンダードとしての位置を保っていること(*5) 128-bit RC4 は,SSL3.0/TLS1.0 以上に限定して利用することを想定している.なお,リストに掲載されている別の暗号が利用できるのであれば,そちらを使用することが望ましい.
![Page 20: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/20.jpg)
20
39
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
公開鍵暗号の標準化状況
HIME(R)ECIES-KEM
ECDH
DH
ACE–KEM
PSEC-KEM
RSA-KEMRSA-OAEP
MQVECMQV
ECDH
DH
ECDHECDH
DHDH
ACE-KEM (special)
PSEC-KEM (primary)PSEC–KEM(*2)
RSA-OAEPRSAES–PKCS1-v1_5
RSA–KEM (secondary)RSA-OAEPRSAES–PKCS1-v1_5(*1)
ISO/IEC 11770, 18033-2
SP 800-56, 800-57
守秘・鍵配送
ESIGN-PSSECAOSchnorr など
SFLASH (special)
ECDSAECDSAECDSA (secondary)ECDSAECDSA
DSADSADSADSA
RSA-PSSRSASA-PKCS1-v1_5
RSA-PSSRSA-PSS (primary)RSA-PSSRSASA-PKCS1-v1_5
RSA (ANS X9.31, RSASA-PKCS1-v1_5, RSA-PSS)
ISO/IEC 9796, 14888, 15946
FIPS 186-2 (FIPS 186-3 draft)
デジタル署名
インターネット標準暗号ISO/IEC国際標準暗号欧州連合推奨暗号電子政府推奨暗号(1)米国政府標準・推奨暗号
備考: (1) 電子政府推奨暗号リストにおいては以下の注釈が付記されている.(*1) SSL3.0/TLS1.0 で使用実績があることから当面の使用を認める.(*2) KEM(Key Encapsulation Mechanism)-DEM(Data Encapsulation Mechanism) 構成における利用を前提とする.
(2) 守秘・鍵配送における“DH”はDiffie-Hellman方式を,“MQV”はMenezes-Qu-Vanstone方式を意味する
40
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
ハッシュ関数の標準化状況
など
SHA-1
SHA-(224, 256, 384, 512)
SHA-256
SHA-(256, 384, 512)
SHA-(256, 384, 512)
SHA-(224, 256, 384, 512)
SHA-1
FIPS 180-2
MD5WhirlpoolRIPEMD-160(*6)
SHA-1SHA-1(*6)
ISO/IEC 10118
ハッシュ関数
インターネット標準暗号ISO/IEC国際標準暗号欧州連合推奨暗号電子政府推奨暗号(1)米国政府標準・推奨暗号
備考:(1) 電子政府推奨暗号リストにおいては以下の注釈が付記されている.
(*6) 新たな電子政府用システムを構築する場合,より長いハッシュ値のものが使用できるのであれば,256 ビット以上のハッシュ関数を選択することが望ましい.ただし,公開鍵暗号での仕様上,利用すべきハッシュ関数が指定されている場合には,この限りではない.
![Page 21: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/21.jpg)
21
41
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
日本の暗号が占める位置
日本の暗号アルゴリズムのなかには技術的に世界 先端と評価されているものもある
ブロック暗号:
Camellia: AES同等と評価されている国際標準暗号
MISTY1 : 64ビットブロック暗号としての 終形の暗号
KASUMI: 唯一の3GPP標準暗号
公開鍵暗号:
PSEC-KEM: NESSIEでは第1推奨を獲得
普及の面では他国の政府標準暗号に比べて苦戦
政府標準暗号がある国:米国・英国・韓国・中国・カナダ・・・・
42
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
次世代暗号の比較
128 ビット128/192/256 ビット128/192/256 ビット鍵長
(2.0以下)1.8 – 2.01.25 – 1.4セキュリティマージン
Feistel構造Feistel構造SPN構造構造
○ ソフトウェア、高機能ICカード× ハードウェア、低機能ICカード
◎ ICカード、小型ハードウェア○ ソフトウェア
◎ ソフトウェア○ ICカード、高速ハードウェア
適用領域
• 金融機関における標準仕様としても採用
• 事実上の次期デファクト暗号として様々な標準化や製品供給が進展
「連邦情報セキュリティ管理法(FISMA法)」および「大統領令」に基づく、 米国連邦政府システムに対する唯一の暗号強制規格
米連邦情報処理標準規格(FIPS)
1998 Rijnmen, Daemenが開発2001 米国政府標準暗号認定
NIST(米国立標準技術研究所)
AES
• 官公庁向けシステムをはじめとするSE/SI案件で導入
• 特許無償化/オープンソースも公開
• 国外では事実上日本を代表する暗号と認識
• 「e-Japan重点計画」による総務省・経済産業省主管の実施施策の一環
• 12個の推奨暗号のひとつ
電子政府推奨暗号
2000
NTT・三菱電機
Camellia
1998開発年
「情報通信網利用促進および情報保護等に関する法律」などに基づく、政府機関に対する唯一の暗号強制規格
韓国情報通信標準規格(KICS)政府規格
KISA(韓国情報保護振興院)開発元
• 韓国内の金融機関での標準仕様としても採用
• 690以上の韓国企業、大学、研究所で利用
• 韓国内におけるSEEDとAESの両立が促進
現状
SEED暗号名
![Page 22: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/22.jpg)
22
43
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
暗号製品に関する認証制度
44
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
セキュリティ技術の認証制度
運用時の情報管理・保護体制が適切であることを認証運用システムの利用環境や組織のセキュリティ要求事項などを考慮して必要な管理項目(管理分野・管理目的・セキュリティ対策)を選択・実施
必要なセキュリティ機能がもれなく正確に実装されていることを認証セキュリティ機能要件(必要な機能の洗い出し)とセキュリティ保証要件(実装の信頼性)に基づき、セキュリティプロダクトの品質保証を実施
期待されたセキュリティ機能を担保するように暗号技術が実装されていることを認証実装される暗号技術が正しく動作するとともに、不正な行為・攻撃を検知・適切な防御を実行することにより、モジュール内部の安全性を担保
セキュリティマネジメントBS7799, ISO/IEC17799/27000, ISMS
セキュリティプロダクトCommon Criteria, ISO/IEC15408
(TCSEC, ITSEC, CTCPEC)
暗号モジュールFIPS140-2, ISO/IEC19790
日本版CMVP(JCMVP)
暗号技術ISO/IEC9796, 10118, 14888, 18033米国政府標準暗号, 欧州連合推奨暗号,
電子政府推奨暗号 など
安全な暗号技術の採用を促進暗号研究者らによる十分な安全性検証が行われた暗号技術の標準化・推奨を国際的に行うことにより、安全な暗号技術の採用を促進
![Page 23: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/23.jpg)
23
45
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
ISO/IEC15408(CC)
情報システムや部品に採用されているセキュリティ技術を統一的な基準によって評価・認定する制度
11クラスのセキュリティ技術要件(必要なセキュリティ機能はどれか)
10クラスのセキュリティ保証要件(どの程度の信頼度でセキュリティ機能が正確かつ適切に実装されているか)
実装の信頼度を7段階の評価保証レベルEALで表現
暗号技術は審査対象外
相互認証協定(CCRA)22カ国が加盟(2006.3現在)
2003年10月に日本も加盟
日本では EAL4+ までの認定取得が可能
46
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
ISO/IEC19790(CMVP)
セキュリティ機能を正しく安全に動作させるように暗号モジュールが実装されていることを検査・認証する制度
11カテゴリのセキュリティ要件認定を受けた暗号技術が正しくバイパスされずに動作するか
不正な行為・攻撃の検知が行えるか
重要セキュリティ情報の漏洩防止のための適切な防御対策が施されているか
検知・防御能力に応じて4段階のセキュリティレベルで表現
あらかじめ認証された暗号技術のみが検査対象
日本では2006年度からの認証体制の試行運用開始
2007年度から本格運用予定
相互認証協定はまだない
![Page 24: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/24.jpg)
24
47
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
ISO/IEC9797 ISO/IEC10116
ISO/IEC19772
ISO/IEC9796ISO/IEC14888
ISO/IEC10118
ISO/IEC18033
通信インタフェース
アプリケーションモジュールA
通信プロトコル
暗号通信プロトコル
暗号モジュール
制御入力状態出力 データ入力データ出力
乱数生成
鍵生成
秘密鍵
個別鍵
不正検知
鍵ゼロ化状態管理認証機能
電力供給
不正応答
公開鍵
暗号化
鍵共有
暗号化個別鍵
暗号化秘密鍵
外部電源
状態表示
オペレータ
1)暗号モジュール仕様の規定9)セルフテスト10)設計保証11)その他の攻撃(実装攻撃)への防御策
2)インタフェースの規定
3)認証方法の規定
4)状態モデルの規定
5)物理的セキュリティの規定8)電磁妨害/電磁干渉
6)操作環境の規定
7)鍵管理の規定
システムモジュールOS
機密情報保護認定済み暗号モジュール
例外)機密情報保護認定済モジュールは無検査で使用可能
アプリケーションモジュールB
アプリケーションモジュールC
CSP暗号化CSP
認定アルゴリズムA
認定アルゴリズムB
認定アルゴリズムC
認定動作モードA
認定動作モードB
非認定アルゴリズムa
非認定アルゴリズムb
非認定アルゴリズムc
FIPS/SP非認定暗号
FIPS/SP認定暗号利用モード
FIPS/SP認定カプセル化技術
FIPS/SP認定デジタル署名
FIPS/SP認定ハッシュ関数
FIPS/SP認定暗号
CMVPの認証範囲
FIPS140 ISO19790
48
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
本日の講義のまとめに
新規システムには次期の認証された暗号技術の採用を
2006 2008 2010 2012 2015 2020
Triple DES
AES, Camellia
1024-bit RSA/DSA
2048-bit RSA/DSA
256-bit ECDSA/PSEC-KEM
SHA-1
SHA-256
Advanced Hash
NIST移行期限
![Page 25: 暗号技術の最新動向...3 5 20060822 情報セキュリティ人材育成公開講座@中央大 (c)日本電信電話株式会社 情報流通プラットフォーム研究所](https://reader033.fdocuments.net/reader033/viewer/2022041802/5e5205005c69707b1a45561d/html5/thumbnails/25.jpg)
25
49
20060822 情報セキュリティ人材育成公開講座@中央大(c)日本電信電話株式会社
情報流通プラットフォーム研究所
ご清聴ありがとうございましたご質問をどうぞ
NTT情報流通プラットフォーム研究所
情報セキュリティプロジェクト
神田 雅透