暗号技術の最新動向...3 5 20060822...

1

1

20060822 情報セキュリティ人材育成公開講座＠中央大（ｃ）日本電信電話株式会社

情報流通プラットフォーム研究所

暗号技術の新動向～暗号をめぐる2010年問題～

２００６年８月２２日

日本電信電話株式会社


神田雅透

2



本日の話題

暗号技術の基礎

「暗号が安全」とはどういうことを指すのか

暗号をめぐる2010年問題

「暗号技術の2010年問題」の本質は何か

暗号標準化の国際的動向

2010年以降のデファクト暗号は

暗号製品に関する国際的認証制度

CC認証とCMVP認証

2

3



暗号技術の基礎

4



セキュリティ技術とは

あらゆる脅威から「C. I. A.」を確保する技術

Confidentiality（機密性）：

権限のない第三者から情報を秘匿

Integrity（完全性）：

情報が改竄されていないこと（原本性）を保証

Availability（可用性）：

権限を有するものはいつでも情報にアクセス可能

災害リスク

システム障害リスク

人為的ミスによる障害リスク

人為的不正行為リスク

物理的セキュリティ対策

情報セキュリティ対策

基盤技術としての「暗号技術」機密性と完全性の確保

3

5



暗号技術の分類

送信者と受信者が同じ鍵を利用する方式

（秘匿性）共通鍵暗号

（完全性）メッセージ認証子

送信者と受信者が異なる鍵を利用する方式

（秘匿性）公開鍵暗号

（完全性）デジタル署名

暗号技術を使うための補助的役割を果たすために

ハッシュ関数

擬似乱数生成器・（真性）乱数生成器

6



共通鍵暗号 #1

同じ鍵を利用して暗号文の生成・復号を行う

平文

暗号文

暗号化

復号暗号化鍵（秘密）

復号鍵（秘密）

平文（メッセージ）空間

暗号文空間

1

A

秘密鍵ごとに異なる第三者には未知の乱数表

共通鍵暗号アルゴリズムは効率的に乱数表を作るための演算手法

こだまうみかわ

暗号文

0201やま

03

鍵平文

4

7



共通鍵暗号 #2

ブロック暗号（AES, Camellia, Triple DES, MISTY1）

一定長のブロックに分割、各ブロックを暗号化

ストリーム暗号（RC4, Panama, MUGI）

擬似乱数系列によってビット単位で暗号化

擬似乱数生成器

平文暗号文

秘密鍵（鍵長128ビット以上）ここに安全性の根拠を置く

データ撹拌部

暗号文

ここに安全性の根拠を置く

秘密鍵（鍵長128ビット以上）

平文

段関数

段関数

段関数

段関数

段関数

段関数

ブロック長64-bit: 64ビットブロック暗号

128-bit: 128ビットブロック暗号

副鍵生成部副鍵

8



通信路

ブロック暗号

ブロック暗号

ブロック暗号

ブロック暗号

ブロック暗号

秘密鍵

メッセージ認証子

一定ルールに基づくパディング

秘密鍵秘密鍵秘密鍵秘密鍵

メッセージ

メッセージ

MAC生成

秘密鍵

MAC生成

秘密鍵

一致?

メッセージ認証子（ブロック暗号ベース）

同じ秘密鍵を利用してメッセージの正当性を検証

5

9



共通鍵暗号の安全性

仕様によって決まる安全性＝安全性の上限

鍵全数探索攻撃への耐性秘密鍵を一つずつチェックする攻撃法

鍵長に依存

誕生日攻撃への耐性（ブロック暗号のみ）ランダムに集めた暗号文が一致する（＝平文が同じ）ことを利用する攻撃法

ブロック長に依存

アルゴリズムの出来によって決まる安全性

ショートカット攻撃への耐性鍵全数探索攻撃よりも効率的に秘密鍵を求める攻撃法

攻撃者が多量の平文・暗号文の組を入手

将来予測への攻撃への耐性（ストリーム暗号のみ）過去（既知）の鍵系列から将来（未知）の鍵系列を求める攻撃法

一般に、いい（強い）／悪い（弱い）暗号という場合には、この意味で

の安全性を指す

10



攻撃に必要となる平文・暗号文の組数（log2）

解読

計算

量（lo

g2）

0 64 1280

40

56

64

80

100

128

112

168

64ビットブロック暗号が生成できる組数の大値

鍵全数探索攻撃による鍵長128ビットのときの解読計算量（設計上期待される安全性）

鍵全数探索攻撃による鍵長64ビットのときの解読計算量

鍵全数探索攻撃による鍵長40ビットのときの解読計算量

鍵全数探索攻撃によるDESの解読計算量

（1999年時点で、22時間15分で解読に成功）

鍵長128ビットの128ビットブロック暗号が安全であるときの状態

（例：AESやCamellia）

鍵長128ビットの64ビットブロック暗号が安全であるときの状態

（例：MISTY1）

128ビットブロック暗号が生成できる組数の大値

安全性が高い

DES

2-key Triple DES

3-key Triple DES

解読攻撃が成功した暗号は、平文・暗号文の組数によって解

読計算量が変わる（右肩下がりになる）

線形解読法による解読

差分解読法による解読

中間一致攻撃による解読

Oorschot&Wienerによる解読

ブロック暗号の安全性評価例

6

11



公開鍵暗号

異なる鍵を利用して暗号文の生成・復号を行う

平文

暗号文

暗号化

復号

平文

暗号文

暗号化

復号暗号化鍵（公開）

復号鍵（秘密）

誰もが容易に計算可能

復号鍵を持っている場合に限り容易に

計算可能

暗号化鍵から復号鍵を求める

ことが困難

計算に必要な値がすべて公開

計算に必要な値が秘密になっている

12



デジタル署名

異なる鍵を利用してメッセージと署名者の正当性を保証

平文

署名

検証

署名

平文

署名

署名

検証署名鍵（秘密）

検証鍵（公開）

誰もが容易に検証可能

復号鍵を持っている場合に限り容易に計算可能

検証鍵から署名鍵を求めることが困難

平文と署名が正しい関係にあるかを確認するのに必要な値が

すべて公開

計算に必要な値が秘密になっている

ダイジェスト

ハッシュ関数

True/False

7

13



公開鍵暗号とデジタル署名の安全性 #1

公開鍵から秘密鍵を算出することは困難

素因数分解問題困難性（RSA）

有限体上の離散対数問題困難性（ElGamal, DSA）

楕円曲線上の離散対数問題困難性（PSEC-KEM, ECDSA）

ナップザック問題困難性

pqn = ( )qp, : 素数

)(mod pgz x= x

[ ] )( EonPkQ = k

n

( )pgz ,,

( )EPQ ,,

数学的未解決問題に安全性の根拠

14




定性的な安全性

「根拠となる数学的未解決問題の困難性との等価性」を指す公開鍵暗号／デジタル署名が破れる ⇔ 数学的未解決問題が解ける

「証明可能安全性」もこの延長線上

選択メッセージ攻撃

既知メッセージ攻撃

能動的攻撃

受動的攻撃

潜在的偽造不可

選択的偽造不可

一般的偽造不可

安全性レベル高低

攻撃力

低

高CCA2

CCA1

NM-CCA2IND-CCA2OW-CCA2

NM-CCA1IND-CCA1OW-CCA1能動的

攻撃

(CCA)

NM-CPAIND-CPAOW-CPA受動的攻撃

(CPA)

頑強性

(NM)

強秘匿性

(IND)

一方向性

(OW)

安全性レベル高低

攻撃力

低

高

適応的選択メッセージ攻撃

公開鍵暗号の安全性デジタル署名の安全性

8

15




定量的な安全性

計算機能力だけに依存して数学的未解決問題が解けない

0

500

1000

1500

2000

2500

3000

3500

1990 1995 2000 2005 2010 2015 2020 2025 2030 2035 2040

素因数分解が可能とされる鍵長

RSAが安全と期待される鍵長

512

必要な鍵長

524 530

576

582

663753

809 822911

一般数体ふるい法により素因数分解されたビット数

特殊数体ふるい法により素因数分解されたビット数

参考文献：

A.K.Lenstra,E.Verhaul "Selecting cryptographic key sizes" Proc. PKC 2000

R.P.Brent "Recent progress and prospects for integer factorization algorithm" ,Proc. COCOON 2000

16



ハッシュ関数 #1

任意長のメッセージを一定長のダイジェストに写像

メッセージ空間よりもダイジェスト空間のほうが小さいので、理論上必ず衝突が起こる（この点が暗号と異なる）

SHA-1：メッセージ空間 2512 ⇒ ダイジェスト空間 2160

メッセージ空間

M2

M3

M4

M5

M7 M6

M8

M0M9

M1

ダイジェスト空間

Da

Db

Dc

Dd

De

9

17



ハッシュ関数 #2

一方向性-1 （Preimage Resistance）

ダイジェストからもとのメッセージ（の候補）が導き出せない

一方向性-2 （Second Preimage Resistance）

特定のダイジェストに一致する別メッセージを作り出せない

衝突困難性・非衝突性（Collision-free/resistance）

同じダイジェストになる異なるメッセージ組を作り出せない

Message Digest value

Message 1 Digest value Message 2

Message 1

Digest valueMessage 2

18



ハッシュ関数の安全性 #1

仕様によって決まる安全性＝安全性の上限全数探索的攻撃への耐性（→一方向性）

メッセージを一つずつチェックする攻撃法

ハッシュ長に依存

誕生日攻撃への耐性（→衝突困難性）

ランダムに集めたメッセージのダイジェストが一致することを利用する攻撃法

「ハッシュ長／2」に依存

アルゴリズムの出来によって決まる安全性ショートカット攻撃への耐性

誕生日攻撃よりも効率的に衝突するメッセージ組を求める攻撃法

一般に、いい（強い）／悪い（弱い）ハッシュ関数という場合には、この意味での安全性を指す

10

19



********************CONTRACT

At the price of $176,495 Alf Blowfish sells his house to Ann Bonidea. …


「衝突困難性」に脆弱性が見つかると

同じダイジェストになるような異なるメッセージ組を作り出せる改竄検知が不可能となるような情報を意図的に二つ生成できる状態となる（例：デジタル署名の偽造が可能）

印

偽造文書へのすり替え

********************CONTRACT


********************CONTRACT


********************CONTRACT


印

********************CONTRACT


印

同じダイジェストになる2つの文書を作成参考文献：Dobbertin, “Cryptanalysis of MD4,”

Journal of Cryptology, Vol. 11 No. 4

20




衝突させるように作られた乱数を制御部の分岐条件にすることで別メッセージを出力

x

x

R1

R2

If R1

If R1

制御部メッセージA メッセージB

ハッシュの衝突

条件分岐式

条件分岐用の乱数

メッセージAを

出力

メッセージBを出力

h(x|R1) = h(x|R2)

参考文献：Daum and Lucks, “Attacking Hash Functions by Poisoned Messages "The Story of Alice and her Boss",” Presented at the rump session of EUROCRYPT ’05, 2005Max Gebhardt, Georg Illies, and Werner Schindler, “A Note on the Practical Value of Single Hash Collisions for Special File Formats,” Proceedings of Cryptographic Hash Workshop

11

21



「暗号が破れた」とは

共通鍵暗号

鍵全数探索攻撃よりも効率的に秘密鍵を求められる攻撃法が発見される

公開鍵暗号・デジタル署名

根拠となる数学的問題困難性と等価ではないことが示される

ハッシュ関数

誕生日攻撃よりも効率的にハッシュ値が一致する異なる2つのメッセージを作り出すことが出来る

個別のアルゴリズムが仕様上の安全性上限を満たさないこと

【2010年問題の本質】そもそも安全の上限が十分／妥当なのか？

22



計算機を回せば現在どこまで解けるのか #1

必要な暗号解読時間を求めるときの攻撃方法（設計者にとっては良、攻撃者にとっては悪の攻撃方法）

共通鍵暗号

鍵全数探索法


[素因数分解] 数体ふるい法

[離散対数] 指数計算法

[ECC] ρ法

ハッシュ関数

誕生日攻撃

0 1 2 3 4 5 6 7 8 9

10 11 12 13 14 15 16 17 18 19

20 21 22 23 24 25 26 27 28 29

2k-1KS

KS

全数探索攻撃

0 1

2

3

4

5 6

7

8 9

10

11

12

13

14

15

16

17

19

20

21

22

23

2425 26 27

2829

2k-1KS

KS

全数探索以外の攻撃

0 1 2 3 4 5 6 7 8 9

10 11 12 13 14 15 16 17 18 19

20 21 22 23 24 25 26 27 28 29

2k-1

KS

正解KS

正解KS

不正解

18

鍵を一つずつ検査

不正解の鍵は検査しないランダムに選択したなかに

同じものが含まれるか

誕生日攻撃

1622

4

KS

これらの攻撃法で暗号が解けると実用的にも安全性に問題あり

12

23



計算機を回せば現在どこまで解けるのか #2

共通鍵暗号

DES Challenge140日('97/6)⇒ 40日('98/2)⇒ 56時間('98/7)⇒ 22時間15分('99/1)

Symmetric key Challenge – RC5 challenge40-bit('97/1; 3.5時間) ⇒ 48-bit('97/2; 313時間)

⇒ 56-bit('97/10; 265日) ⇒ 64-bit('02/7; 1757日)


一般数体ふるい法による素因数分解512-bit('99/8） ⇒ 524-bit('02/1) ⇒ 530-bit('03/4)

⇒ 576-bit('03/12) ⇒ 582-bit('05/5) ⇒ 663-bit('05/5)

特殊数体ふるい法による素因数分解753-bit('00/11）⇒ 809-bit('03/1)⇒ 822-bit('04/4)⇒ 911-bit (’06/1)

24



等価安全性

異なる暗号技術の安全性を同一尺度で判断する手法安全性は、鍵長・ハッシュ長ではなく、等価安全性で決まる

仕様上の安全性の上限は「良の攻撃法」によって決まる

良の攻撃法よりも効果的な攻撃法が発見された暗号技術は、期待された等価安全性が担保されない

（例）鍵長168ビット Triple DES ⇒ 112ビット安全性

15360 bit

7680 bit

3072 bit

2048 bit

1024 bit

指数計算法

(607 bit)

離散対数

良の攻撃法

(解読成功鍵長)

512 bit256 bit512 bit15360 bit256ビット安全性


誕生日攻撃

(Unknown)

鍵全数探索法

(64 bit)

ρ法

(109 bit)

数体ふるい法

(663 bit)




楕円曲線素因数分解

ハッシュ関数

[ハッシュ長]

共通鍵暗号

[鍵長]

公開鍵暗号・デジタル署名[鍵長]期待される安全性（等価安全性）の上限

13

25



暗号をめぐる2010年問題

26



2010年問題とは

2010年を境にしたデファクト暗号技術の総入れ替え米国政府標準暗号の移行計画宣言が大きく影響

2010年末までに次期米国政府標準暗号へ移行

現在のデファクト暗号の多くは“米国政府標準暗号”というお墨付きを失う

次期米国政府標準ハッシュ関数との位置づけSHA-2(SHA-224/256/384/512)

鍵長160ビットについて認証用途は10年末、署名用途は08年末(検証は10年末)で廃止

ECDSA

新仕様の作成中DSA

05年5月米国政府標準暗号として一本化AES

05年5月推奨暗号に格下げ3-key Triple DES

05年5月推奨暗号に格下げ。10年末で廃止2-key Triple DES

SHA-1

RSA

DES

10年末で廃止ハッシュ関数

鍵長1024ビットについて認証用途は10年末、署名用途は08年末(検証は10年末)で廃止

デジタル署名

05年5月廃止共通鍵暗号

14

27



なぜ移行しようと考えたのか

現在のデファクト暗号に対する安全性低下の深刻化

等価安全性からみた安全性バランスの不均衡是正

56ビット安全性


離散対数






楕円曲線素因数分解

ハッシュ関数

[ハッシュ長]

共通鍵暗号

[鍵長]

公開鍵暗号・デジタル署名[鍵長]等価安全性

SHA-1

SHA-1

SHA-224

SHA-256

SHA-384

SHA-512

DES

2key TDES

3key TDES

AES-128

AES-192

AES-256

RSA-1024

RSA-2048

RSA-3072

RSA-7680

RSA-15360

ECDSA-160

ECDSA-224

ECDSA-256

ECDSA-384

ECDSA-512

DSA-1024

DSA-2048

DSA-3072

DSA-7680

DSA-15360

28



FIPS移行タイムスケジュール

2010年末までに112ビット安全性以上の暗号技術へ2005 2006 2007 2008 2009 2010 2011 2012 2013

2-key Triple DES (2DES)：政府標準から政府推奨に格下げ

3-key Triple DES (3DES) ：政府標準から政府推奨に格下げ

AES移行

2048-/3072-bit RSA署名／DSA移行

署名生成での運用終了

署名検証・認証での運用終了

256-/283-bit ECDSA

SHA-1

SHA-224／256／384／512 + 新ハッシュ関数？移行

運用終了

2048-/3072-bit RSA暗号／DH法

1024-bit RSA暗号／DH法

移行

256-/283-bit ECDH法／ECMQV法

160-bit ECDH法／ECC-MQV法運用終了

共通鍵暗号

ハッシュ関数

署名・認証

鍵配送・鍵共有

1024-bit RSA署名／DSA

160-bit ECDSA

運用終了

15

29



次世代暗号とは－共通鍵暗号－

キーワードは「より安全で、より処理性能が高い“新しい”アルゴリズムへ」

64ビットブロック暗号から128ビットブロック暗号への移行米国：AESに政府標準暗号を一本化

Triple DESは政府標準暗号から政府推奨暗号へ格下げ

欧州：128ビットブロック暗号がNormal日本：より長いブロック長の暗号を選択することが望ましい

128/192/256 bit

56/64/112/128/168 bit

鍵長

AES, Camellia, SEED128 bit

128ビットブロック暗号

DES/Triple DES, MISTY1, FEAL64 bit

64ビットブロック暗号

代表例ブロック長

秘密鍵

暗号文

ブロック暗号

平文

鍵長ブロック長

６４ビットブロック暗号より安全性が高い暗号文を利用する攻撃法に対する安全性向上

30



次世代暗号とは－公開鍵暗号－

キーワードは「より安全にするためにアルゴリズムで使う鍵長を“より長く”」

素因数分解系：鍵長1024ビット ⇒ 2048ビット以上

離散対数系：鍵長1024ビット ⇒ 2048ビット以上

楕円曲線系：鍵長160ビット ⇒ 224ビット以上

問題は「処理性能が低下する可能性が極めて高い」

RSAやDSAでは必要鍵長が長すぎて実用に耐えないかも

楕円曲線系の高速実装は、特許抵触リスクが高くので、使いにくいかも

16

31



次世代暗号とは－ハッシュ関数－

キーワードは「安全性確保のために “緊急避難的に”とりあえずSHA-2へ」

SHA-1 ⇒ SHA-256 (SHA-224/384/512)

問題は「SHA-2の安全性の懸念が払拭できているわけではないが、SHA-1のままで新しい安全なハッシュ関数が出来るまでも待てない」

10年以内にはSHA-2の衝突例が見つかるかもしれないでも、それよりはるかに早くSHA-1の衝突例が実際に見つかるだろう

ということで、新しい安全なハッシュ関数を決めるコンテストをします（たぶん）

でも、コンテストで決めた新しいハッシュ関数が市場に出てくるのは早くても10年ぐらい先の話・・・

32



Advanced Hash Standard (AHS)

SHA-1/2に替わる高度標準ハッシュ関数

AESコンテストと同じような形式で選定する計画案

新ハッシュ関数は1個ないし数個が選定あらゆる条件を満たすもの1個を選定（汎用的なハッシュ関数）

特定の要求条件ごとに1個ずつ選定（目的別のハッシュ関数）

具体的要求条件が出てくるのは2008年になってから

特許に関してはおそらく無償実施許諾を要求

すべては 8/24-25 のHash Workshopの議論次第

20072006 2008 20102009 2011 2012 2013

NIST workshop 公募第1次評価第2次評価新ハッシュ関数発行

17

33



暗号標準化の国際的動向

34



暗号の国際標準といえば

今までは暗号の国際標準といえば“米国政府標準暗号”とほぼ同義

以前は「武器」扱い＆厳格な輸出管理（輸出規制）

⇒ 「標準化対象外（署名のみ標準化対象）」

公的機関が安全性のお墨付きを与えていたのは米国だけ

後は、実質的に輸出規制に対抗するための暗号

2000年以降、暗号技術の国際標準化が進展

1997年に始まったAESプロジェクトの成功が実質的な契機

インターネットの普及に伴う暗号技術の「社会的基盤化」 ⇒「標準化の対象」

日本・欧州でも安全な暗号技術の推奨規格を選定

18

35



暗号技術選定プロジェクト

AESプロジェクト(1997.1 – 2000.10)

新米国政府標準暗号選定プロジェクト

米国商務省技術標準局（NIST）が実施

NESSIEプロジェクト(2000.1 – 2003.3)

暗号に関する欧州の産業力向上などを目的とした強力な欧州連合推奨暗号選定プロジェクト

欧州連合の情報社会プログラム第5次R&D計画の一環

CRYPTRECプロジェクト(一期2000.5 – 2003.3)

電子政府用調達暗号推奨リスト作成プロジェクト

E-Japan重点計画の総務省・経済産業省施策の一環

総務省・経済産業省(事務局:IPA, TAO)が主体となり実施

36



暗号の位置付けが変化1985 1990 1995 2000 2005

社会的基盤技術(標準化対象)

暗号はISO国際標準対象外

暗号登録制度(ISO/IEC9979)

方針転換

ISO/IEC国際標準暗号(ISO/IEC18033)

AESプロジェクト(米)

NESSIEプロジェクト(欧)

CRYPTREC(日)

廃止

影響

IETFによるインターネット標準暗号

武器とみなされていた時代(規制対象)⇒⇒⇒(暗号乱立時代)

各種インターネット規格化次世代インターネット

標準暗号の追加

影響

米国政府標準暗号AES

欧州連合推奨暗号

電子政府推奨暗号

DES安全性低下

19

37



暗号標準化の相関

米国政府標準以外にも国際標準・推奨暗号が出来た

ストリーム暗号ブロック暗号

対象対象対象対象対象電子政府推奨

対象対象対象対象

※選定なし対象欧州連合推奨

対象対象対象外対象外対象米国政府標準

ハッシュ関数デジタル署名公開鍵暗号共通鍵暗号

9979は廃止

検討WG発足変化なし変化なし変化なし次世代暗号

追加IETFインターネット標準

1011897961488815946

18033-218033-418033-3ISO/IEC国際

標準

AES（米国政府標準）、Camellia（NTT/三菱電機）、SEED（韓国政府標準）の追加

SHA-256の追加指令

38



共通鍵暗号の標準化状況

SEED

Camellia

AESAES

CIPHERUNICRON-AHierocrypt-3SC2000

SEED

CamelliaCamelliaCamellia

AESAESAES

ISO/IEC 18033-3FIPS 197

128ﾋﾞｯﾄﾌﾞﾛｯｸ暗号

MUGI

（推奨なし）

MUGI

SNOW 2.0

MULTI-S01（ﾓｰﾄﾞ）

ISO/IEC 18033-4

CAST-128

MISTY1

Triple DES

ISO/IEC 18033-3

Triple DES3-key Triple DES(*3,*4)Triple DES

Skipjack

FIPS 185, SP 800-67

RC4RC4 (128ﾋﾞｯﾄ)(*5)

MULTI-S01（推奨なし）

ｽﾄﾘｰﾑ暗号

RC2RC5IDEA

CIPHERUNICORN-E(*3)

Hierocrypt-L1(*3)

CAST-128

MISTY1MISTY1(*3)64ﾋﾞｯﾄﾌﾞﾛｯｸ暗号

インターネット標準暗号ISO/IEC国際標準暗号欧州連合推奨暗号電子政府推奨暗号(1)米国政府標準・推奨暗号

備考： (1) 電子政府推奨暗号リストにおいては以下の注釈が付記されている．(*3) 新たな電子政府用システムを構築する場合，より長いブロック長の暗号が使用できるのであれば，128 ビットブロック暗号を選択することが望ましい．(*4) 3-key Triple DES は，以下の条件を考慮し，当面の使用を認める．1) SP800-67として規定されていること，2) デファクトスタンダードとしての位置を保っていること(*5) 128-bit RC4 は，SSL3.0/TLS1.0 以上に限定して利用することを想定している．なお，リストに掲載されている別の暗号が利用できるのであれば，そちらを使用することが望ましい．

20

39



公開鍵暗号の標準化状況

HIME(R)ECIES-KEM

ECDH

DH

ACE–KEM

PSEC-KEM

RSA-KEMRSA-OAEP

MQVECMQV

ECDH

DH

ECDHECDH

DHDH

ACE-KEM (special)

PSEC-KEM (primary)PSEC–KEM(*2)

RSA-OAEPRSAES–PKCS1-v1_5

RSA–KEM (secondary)RSA-OAEPRSAES–PKCS1-v1_5(*1)

ISO/IEC 11770, 18033-2

SP 800-56, 800-57

守秘・鍵配送

ESIGN-PSSECAOSchnorr など

SFLASH (special)

ECDSAECDSAECDSA (secondary)ECDSAECDSA

DSADSADSADSA

RSA-PSSRSASA-PKCS1-v1_5

RSA-PSSRSA-PSS (primary)RSA-PSSRSASA-PKCS1-v1_5

RSA (ANS X9.31, RSASA-PKCS1-v1_5, RSA-PSS)

ISO/IEC 9796, 14888, 15946

FIPS 186-2 (FIPS 186-3 draft)

デジタル署名


備考： (1) 電子政府推奨暗号リストにおいては以下の注釈が付記されている．(*1) SSL3.0/TLS1.0 で使用実績があることから当面の使用を認める．(*2) KEM(Key Encapsulation Mechanism)-DEM(Data Encapsulation Mechanism) 構成における利用を前提とする．

(2) 守秘・鍵配送における“DH”はDiffie-Hellman方式を，“MQV”はMenezes-Qu-Vanstone方式を意味する

40



ハッシュ関数の標準化状況

など

SHA-1

SHA-(224, 256, 384, 512)

SHA-256

SHA-(256, 384, 512)

SHA-(256, 384, 512)

SHA-(224, 256, 384, 512)

SHA-1

FIPS 180-2

MD5WhirlpoolRIPEMD-160(*6)

SHA-1SHA-1(*6)

ISO/IEC 10118

ハッシュ関数


備考：(1) 電子政府推奨暗号リストにおいては以下の注釈が付記されている．

(*6) 新たな電子政府用システムを構築する場合，より長いハッシュ値のものが使用できるのであれば，256 ビット以上のハッシュ関数を選択することが望ましい．ただし，公開鍵暗号での仕様上，利用すべきハッシュ関数が指定されている場合には，この限りではない．

21

41



日本の暗号が占める位置

日本の暗号アルゴリズムのなかには技術的に世界先端と評価されているものもある

ブロック暗号：

Camellia: AES同等と評価されている国際標準暗号

MISTY1 : 64ビットブロック暗号としての終形の暗号

KASUMI: 唯一の3GPP標準暗号

公開鍵暗号：

PSEC-KEM: NESSIEでは第1推奨を獲得

普及の面では他国の政府標準暗号に比べて苦戦

政府標準暗号がある国：米国・英国・韓国・中国・カナダ・・・・

42



次世代暗号の比較

128 ビット128/192/256 ビット128/192/256 ビット鍵長

（2.0以下）1.8 – 2.01.25 – 1.4セキュリティマージン

Feistel構造Feistel構造SPN構造構造

○ ソフトウェア、高機能ICカード× ハードウェア、低機能ICカード

◎ ICカード、小型ハードウェア○ ソフトウェア

◎ ソフトウェア○ ICカード、高速ハードウェア

適用領域

• 金融機関における標準仕様としても採用

• 事実上の次期デファクト暗号として様々な標準化や製品供給が進展

「連邦情報セキュリティ管理法(FISMA法)」および「大統領令」に基づく、米国連邦政府システムに対する唯一の暗号強制規格

米連邦情報処理標準規格(FIPS)

1998 Rijnmen, Daemenが開発2001 米国政府標準暗号認定

NIST（米国立標準技術研究所）

AES

• 官公庁向けシステムをはじめとするSE/SI案件で導入

• 特許無償化／オープンソースも公開

• 国外では事実上日本を代表する暗号と認識

• 「e-Japan重点計画」による総務省・経済産業省主管の実施施策の一環

• 12個の推奨暗号のひとつ

電子政府推奨暗号

2000

ＮＴＴ・三菱電機

Camellia

1998開発年

「情報通信網利用促進および情報保護等に関する法律」などに基づく、政府機関に対する唯一の暗号強制規格

韓国情報通信標準規格(KICS)政府規格

KISA（韓国情報保護振興院）開発元

• 韓国内の金融機関での標準仕様としても採用

• 690以上の韓国企業、大学、研究所で利用

• 韓国内におけるSEEDとAESの両立が促進

現状

SEED暗号名

22

43



暗号製品に関する認証制度

44



セキュリティ技術の認証制度

運用時の情報管理・保護体制が適切であることを認証運用システムの利用環境や組織のセキュリティ要求事項などを考慮して必要な管理項目（管理分野・管理目的・セキュリティ対策）を選択・実施

必要なセキュリティ機能がもれなく正確に実装されていることを認証セキュリティ機能要件（必要な機能の洗い出し）とセキュリティ保証要件（実装の信頼性）に基づき、セキュリティプロダクトの品質保証を実施

期待されたセキュリティ機能を担保するように暗号技術が実装されていることを認証実装される暗号技術が正しく動作するとともに、不正な行為・攻撃を検知・適切な防御を実行することにより、モジュール内部の安全性を担保

セキュリティマネジメントBS7799, ISO/IEC17799/27000, ISMS

セキュリティプロダクトCommon Criteria, ISO/IEC15408

（TCSEC, ITSEC, CTCPEC）

暗号モジュールFIPS140-2, ISO/IEC19790

日本版CMVP(JCMVP)

暗号技術ISO/IEC9796, 10118, 14888, 18033米国政府標準暗号, 欧州連合推奨暗号,

電子政府推奨暗号など

安全な暗号技術の採用を促進暗号研究者らによる十分な安全性検証が行われた暗号技術の標準化・推奨を国際的に行うことにより、安全な暗号技術の採用を促進

23

45



ISO/IEC15408（CC）

情報システムや部品に採用されているセキュリティ技術を統一的な基準によって評価・認定する制度

11クラスのセキュリティ技術要件（必要なセキュリティ機能はどれか）

10クラスのセキュリティ保証要件（どの程度の信頼度でセキュリティ機能が正確かつ適切に実装されているか）

実装の信頼度を７段階の評価保証レベルEALで表現

暗号技術は審査対象外

相互認証協定（CCRA）22カ国が加盟（2006.3現在）

2003年10月に日本も加盟

日本では EAL4+ までの認定取得が可能

46



ISO/IEC19790（CMVP）

セキュリティ機能を正しく安全に動作させるように暗号モジュールが実装されていることを検査･認証する制度

11カテゴリのセキュリティ要件認定を受けた暗号技術が正しくバイパスされずに動作するか

不正な行為・攻撃の検知が行えるか

重要セキュリティ情報の漏洩防止のための適切な防御対策が施されているか

検知・防御能力に応じて４段階のセキュリティレベルで表現

あらかじめ認証された暗号技術のみが検査対象

日本では2006年度からの認証体制の試行運用開始

2007年度から本格運用予定

相互認証協定はまだない

24

47



ISO/IEC9797 ISO/IEC10116

ISO/IEC19772

ISO/IEC9796ISO/IEC14888

ISO/IEC10118

ISO/IEC18033

通信インタフェース

アプリケーションモジュールA

通信プロトコル

暗号通信プロトコル

暗号モジュール

制御入力状態出力データ入力データ出力

乱数生成

鍵生成

秘密鍵

個別鍵

不正検知

鍵ゼロ化状態管理認証機能

電力供給

不正応答

公開鍵

暗号化

鍵共有

暗号化個別鍵

暗号化秘密鍵

外部電源

状態表示

オペレータ

1)暗号モジュール仕様の規定9)セルフテスト10)設計保証11)その他の攻撃（実装攻撃)への防御策

2)インタフェースの規定

3)認証方法の規定

4)状態モデルの規定

5)物理的セキュリティの規定8)電磁妨害／電磁干渉

6)操作環境の規定

7)鍵管理の規定

システムモジュールOS

機密情報保護認定済み暗号モジュール

例外）機密情報保護認定済モジュールは無検査で使用可能

アプリケーションモジュールB

アプリケーションモジュールC

CSP暗号化CSP

認定アルゴリズムA

認定アルゴリズムB

認定アルゴリズムC

認定動作モードA

認定動作モードB

非認定アルゴリズムa

非認定アルゴリズムb

非認定アルゴリズムc

FIPS/SP非認定暗号

FIPS/SP認定暗号利用モード

FIPS/SP認定カプセル化技術

FIPS/SP認定デジタル署名

FIPS/SP認定ハッシュ関数

FIPS/SP認定暗号

CMVPの認証範囲

FIPS140 ISO19790

48



本日の講義のまとめに

新規システムには次期の認証された暗号技術の採用を

2006 2008 2010 2012 2015 2020

Triple DES

AES, Camellia

1024-bit RSA/DSA

2048-bit RSA/DSA

256-bit ECDSA/PSEC-KEM

SHA-1

SHA-256

Advanced Hash

NIST移行期限

25

49



ご清聴ありがとうございましたご質問をどうぞ

NTT情報流通プラットフォーム研究所

情報セキュリティプロジェクト

神田雅透

[email protected]

暗号技術の最新動向...3 5 20060822...

Documents

Transcript of 暗号技術の最新動向...3 5 20060822...