連載
» 2006年04月07日 00時00分 公開

デファクトスタンダード暗号技術の大移行(2):暗号も国際標準化の時代へ〜政府・ISO/IEC・インターネット標準 (1/3)

[神田雅透,NTT情報流通プラットフォーム研究所]

 第1回「すべてはここから始まった〜SHA-1の脆弱化」では、米国商務省国立標準技術研究所(NIST)が2010年までに、ほぼすべての米国政府標準の暗号技術をより安全な暗号技術へ交代させていく方針を明確に打ち出したことを紹介した。その中にはハッシュ関数SHA-1も含まれている。

 現在のデファクトスタンダード暗号のほとんどが米国政府標準暗号に準じていることに照らし合わせれば、SHA-1だけでなく、1024ビットRSA暗号やRSA署名、Triple DESなども、「現在のデファクトスタンダードだから今後も使い続けてもよい」とは単純にいえなくなってきていることを意味する。

 その一方で、近年、米国政府標準の暗号技術以外にも、世界中の暗号研究者が安全であると高く評価した暗号技術が選定されており、これらの成果を受ける形で国際標準化が進んでいる。とりわけ暗号に関しては、いままでISO/IEC国際標準規格がなく、米国政府標準暗号が事実上の国際標準と見なされてきたが、2005年になって初めてISO/IEC国際標準暗号が決まるなど、以前とは違った流れも出てきている。

 今回は、次期デファクトスタンダード暗号を考えるうえで必要となる、最近の暗号に関する国際標準化動向を紹介する。

AESプロジェクトから始まる暗号標準化の流れ

 DESの開発以来、米国政府システムで標準的に利用するさまざまな暗号技術はNISTが制定しており、これらが現在のデファクトスタンダード暗号のベースになっている。例えば、デジタル署名や認証方式、ハッシュ関数などの標準化は1990年代から進められており、米国政府標準方式を中心にISO/IEC国際標準規格などがすでに作られている。

 しかし、暗号に関しては、わずか10年足らず前まで武器の一種として厳しい輸出規制の対象になっていた。このため、当時のデファクトスタンダード暗号であったDESでさえ、米国政府自身の反対でISO国際標準の対象外になるなど、最近になるまで暗号の国際標準化は進まなかった。

 暗号の標準化が議論される契機となったのは、DESやTriple DESの後継暗号を決めるために行われたAESプロジェクト(1997〜2000年)[参考文献1]である。

 このプロジェクトでは、128ビットブロック暗号を対象に、アルゴリズムの安全性・性能評価が支障なく実施でき、かつ設計の透明性・信頼性を確保するためにアルゴリズムおよび設計方針の完全公開を公募条件に掲げた。そして、実際に世界中の暗号研究者が多数関与して行われた客観的な第三者評価結果などを基に、NISTは安全性・処理性能とも非常に優れたRijndaelを米国政府標準暗号AESとして選定した[参考文献2]

 その後、日本でのCRYPTREC(Cryptography Research & Evaluation Committees)プロジェクト(2000年〜)[参考文献3、4]や、欧州のNESSIE(New European Schemes for Signatures, Integrity, and Encryption)プロジェクト(2000〜2003年)[参考文献5]が相次いで実施され、AESプロジェクトと同様に、客観的な安全性評価や処理性能評価を基にした安全な推奨暗号の選定が行われた。両プロジェクトでは、AESと同じカテゴリの128ビットブロック暗号だけでなく、公開鍵暗号共通鍵暗号(64ビットブロック暗号とストリーム暗号)、デジタル署名、ハッシュ関数などの暗号技術も対象とされた。

 こうしたプロジェクトの成果を受ける形で、世界中の多数の暗号研究者による多様な攻撃を受けても脆弱性が発見されなかった暗号技術を、“十分に評価された安全な暗号技術”として広く利用していこうという機運が世界的に強まり、標準化に向けた動きが活発化した。

 とりわけ国際標準が決められていなかった暗号アルゴリズムに関して、ISO/IECでは、従来の暗号方式登録制度を廃止し、初めてISO/IEC国際標準暗号を策定した。この規格はほかのISO/IEC規格で利用する暗号方式として指定されることになっている。また、IETFでも、セキュリティプロトコルが作られたときに採用された標準暗号よりも安全な次世代の標準暗号をインターネット標準暗号に追加している。

主要な標準化規格・推奨規格

 従来、デファクトスタンダード暗号の選択肢には、事実上、米国政府標準暗号しかなかった。しかし現在では、いくつかの標準化規格・推奨規格が選定されている。表1〜3は、暗号技術に関する主要な標準化規格・推奨規格をまとめたものであり、これらの中から今後のデファクトスタンダード暗号が選ばれてくると思われる。

表1 共通鍵暗号の標準化状況(クリックすると別ウインドウで拡大します) 表1 共通鍵暗号の標準化状況(クリックすると別ウインドウで拡大します)

備考:

(1)電子政府推奨暗号リストにおいては以下の注釈が付記されている

(*3)新たな電子政府用システムを構築する場合、より長いブロック長の暗号が使用できるのであれば、128ビットブロック暗号を選択することが望ましい

(*4)3-key Triple DESは、以下の条件を考慮し、当面の使用を認める

   (1)SP800-67として規定されていること

   (2)デファクトスタンダードとしての位置を保っていること

(*5)128-bit RC4は、SSL3.0/TLS1.0以上に限定して利用することを想定している。なお、リストに掲載されている別の暗号が利用できるのであれば、そちらを使用することが望ましい

表2 公開鍵暗号の標準化状況(クリックすると別ウインドウで拡大します) 表2 公開鍵暗号の標準化状況(クリックすると別ウインドウで拡大します)

備考:

(1)電子政府推奨暗号リストにおいては以下の注釈が付記されている

(*1)SSL3.0/TLS1.0で使用実績があることから当面の使用を認める

(*2)KEM(Key Encapsulation Mechanism)-DEM(Data Encapsulation Mechanism)構成における利用を前提とする

(2)守秘・鍵配送における“DH”はDiffie-Hellman方式を、“MQV”はMenezes-Qu-Vanstone方式を意味する

表3 ハッシュ関数の標準化状況(クリックすると別ウインドウで拡大します) 表3 ハッシュ関数の標準化状況(クリックすると別ウインドウで拡大します)

備考:

(1)電子政府推奨暗号リストにおいては以下の注釈が付記されている

(*6)新たな電子政府用システムを構築する場合、より長いハッシュ値のものが使用できるのであれば、256ビット以上のハッシュ関数を選択することが望ましい。ただし、公開鍵暗号での仕様上、利用すべきハッシュ関数が指定されている場合には、この限りではない

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。