セキュリティに関わる技術や製品の有効性を、客観的定量的に評価できたら最高以外の何ものでもないが、そこには「どんな事業で」「何を守るために」「どのように運用するか」といった変数が多数存在し、各社千差万別である。
製品評価に一律の基準を設けることは容易ではないが、ここにセキュリティ技術の優劣を定量的に明確に白黒つけることができる夢の領域が存在した。暗号である。
暗号はどれだけ時間をかければ破ることができるのか等を、それこそ定量的に計算し算出することができる。だから採用の可否をゼロイチで決めることが可能だ。
「 CRYPTREC(クリプトレック)」とは、日本政府の暗号の採用可否を助言する複数の会議体の総称である。暗号における評価手法を、そのままセキュリティ製品一般に適用することなどもちろんありえない。しかし、評価がどのような手順で行われ、どのような役割を担った組織分掌が行われているかを知ることは、日々嘘くさいセールストークにうんざりしているセキュリティ製品選定者にとって、もはや一服の清涼剤にすらなるのではあるまいか。そんな目論見のもと ScanNetSecurity 編集人 上野を聞き手に本取材は敢行された。
【国立研究開発法人情報通信研究機構】PQC(耐量子計算機暗号)とは、大規模量子コンピュータを使っても解読が困難な暗号方式です。
安全性の根拠として使う問題が素因数分解と離散対数問題である暗号方式で、この二つは量子計算機と Shor のアルゴリズムで効率よく解くことができます。
効率よく解ける方法が見つかっていない問題を安全性の根拠にしている暗号もあります。格子問題とか、符合ベース、多変多項式、同種写像問題などです。ここに書いていないですが、ハッシュベースの署名などもあります。この研究開発が世界的に進んでいます。
これ(このスライドは)は、標準化をめぐって世界がどう動いているかという話です。国内では CRYPTREC が準備を進めています。米国では NIST が標準化を積極的に進めています。
