注目される暗号の安全性問題(3) ―暗号危殆化の現状と危殆化への対応―
暗号シリーズの第1、2回のコラムでは、暗号方式の基礎と暗号の安全性について説明してきましたが、第3回では現在使用されている暗号方式の安全性(危殆化問題)と将来動向、及びシステムでの対応の考え方について解説します。
特集
特集
●暗号危殆化の経緯
(1)DES暗号の危殆化
今まで広く使われていました秘密鍵暗号方式であるDESについて、その危殆化状況をみてみましょう。DESは元々IBMが開発した暗号方式で、米国において政府調達標準暗号として認定されていました。1990年代に入ってDESを解読する攻撃法に関する論文発表が相次ぎ、1997年にはDES challengeI(暗号解読コンテスト)が開催され、distributed netプロジェクトが1万台のパソコンを使い140日間で解読に成功しました。このころ米国の暗号標準化プロジェクトであるAES (Advanced Encryption Standard)プロジェクトが開始されたのです。さらに1998年にはDES challengeIIが開催され、解読専用のハードを使いDESは56時間で解読されてしまいました。そのため、米国政府は1999年、今後は原則として、新規に調達するシステムにはトリプルDES(注1)、あるいはAESを採用する方針を決めました。
(注1) トリプルDES:共通鍵暗号方式の1つであるDESによって3回暗号化することで、より暗号強度を高めた暗号方式のことです。
(2)ハッシュ関数の危殆化
2004年中国の研究者Xiaoyun Wangがハッシュ関数の脆弱性(Collision)を発表し、2005年にはWangが米国標準ハッシュ関数であるSHA−1(シャーワン)の安全性が弱まっていることを発表しました。SHA−1は認証、署名等に世界中で広く利用されているため、影響は極めて大きく、NIST(米国で暗号の標準を規定している米国商務省国立標準技術研究所)は2011年に新標準ハッシュ関数を発表することを示唆しました。
ハッシュ関数の安全性が弱まっているとはどういうことかを簡単に解説しておきます。ハッシュ関数というのは、任意のデータを一定サイズのハッシュ値に圧縮するアルゴリズムで、 ハッシュ値から元のデータを推測できないことや、一つのハッシュ値に対し複数のデータが見つからないことが必要です。元のデータが推測されてしまうと電子署名が改ざんされてしまう危険が出てきます。ハッシュ値に対し複数のデータが見つかる確率は、概ねハッシュ値のサイズに依存します(ハッシュ値のサイズを n とすると 2 の n/2 乗分の 1 の確率)。従って圧縮後のハッシュ値は長い方がより安全だといえます。
●次世代暗号の動向
(1)2010年問題
1990年代から続く暗号解読技術の進展、計算機性能の向上等による攻撃能力の向上を背景に、米国政府標準暗号についても2010年には米国政府システムにおける現在のデファクト暗号の運用は終了するとしています。従って2010年を境に各国が認定した標準暗号方式についても総入れ替えすると予想されています。これを暗号の2010年問題と呼んでいます。
(2)次世代暗号
NISTでは、米国政府の情報システムが今後利用する暗号方式について報告しています。そこでは、共通鍵暗号についてDESは廃止し、トリプルDESを標準暗号ではなく推奨暗号とし、標準暗号としてはAESで一本化するとしています。
RSAはデジタル署名用公開鍵暗号について、鍵長1024ビットは認証用途は2010年末に、署名用途は2008年末(検証は2010年末)までには廃止の方針であるようですが、新しい方式の策定には時間がかかることから、鍵長をさらに長くしたり、楕円暗号方式が取り上げられそうです。またハッシュ関数については、SHA−1が2010年末で廃止の方向とし、SHA−2(SHA−224/256/384/512)は次期米国政府標準ハッシュ関数との位置づけだそうですが、新ハッシュ方式の策定も考えているようです。
●暗号危殆化への対応
(1)概要
学会等で暗号の研究者が暗号の攻撃方法についての発表をすると、その対象となった暗号方式が一般に普及していればいる程、大きな反響を呼びます。しかし、新しく発表される攻撃方法については…
<参考図書>
『NTT R&D 情報セキュリティシリーズ 最新暗号技術2006年』
(株式会社アスキー)
【執筆:東京大学 情報セキュリティコミュニティ 副代表 林 誠一郎】
NTTデータ・セキュリティ|セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/
【関連リンク】
注目される暗号の安全性問題(1)
https://www.netsecurity.ne.jp/7_10542.html
注目される暗号の安全性問題(2)
https://www.netsecurity.ne.jp/7_10789.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》