『暗号をめぐる最近の話題』

no extension

ゴメン。 「最近の話題」ってのは少しウソ。 実は1年前の話なのだが,私が放ったらかしにしていたのだ。 でも個人的にはもうすぐ OpenPGP 運用鍵の更新タイミングだし,そろそろ覚え書きの形でもまとめておかないといけない気がするので,今更ながら書いておく。

2011年はじめ,米国 NIST から以下の文書が公開された。

特に重要なのは SP 800-131A のほう。 SP 800-131A には推奨される暗号アルゴリズムとその鍵長について記されている。 さらに IPA が2011年5月に公開した「『暗号をめぐる最近の話題』に関するレポート」では,この SP 800-131A について言及がある。

IPA のレポートのほうが簡潔で分かりやすいので,以降はこのレポートを元に書いていく。

もともと NIST では SP 800-57 で1024ビット RSA 鍵や SHA-1 署名等を2010年を目処にもっと強力なもの(2048ビット RSA 鍵,SHA-2)に切り替えるよう促していた。 いわゆる「2010年問題」である。 しかし SP 800-131A ではこの期限を実質的に2013年までに延長した。 具体的には以下のとおり。

2-key Triple DES2010年末まで Acceptable
2015年末まで Restricted
AES Acceptable
1024ビット RSA2010年末まで Acceptable
2013年末まで Deprecated
2048ビット RSAAcceptable
SHA-1 による署名2010年末まで Acceptable
2013年末まで Deprecated
SHA-1 (署名以外)Acceptable
SHA-256Acceptable

ちなみに “Acceptable” は「安全に使える(解読リスクが表面化していない)と考えられる暗号アルゴリズム」, “Deprecated” は「ある程度の解読リスクはあるものの、短期的には(データ暗号化や署名生成にも)使ってもよいと考えられる暗号アルゴリズム」, “Restricted” は「解読リスクを回避するために利用する際の制約条件を付けた上で、短期的には(データ暗号化にも)使ってもよいと考えられる暗号アルゴリズム」である。 なおこれらの期限以降は基本的に “Disallowed”(利用を禁止する暗号アルゴリズム)となっている。

現状はどうなっているかというと以下の記事が参考になる。

「日本ベリサインによれば、SSLサーバー証明書の公開鍵暗号については一部のモバイルサイトを除き、多くのWebサイトが2048ビットRSAに対応済みという。一方で、ハッシュ関数についてはWebブラウザーなどの対応が遅れており、ほとんどがSHA-1のままだという。「Windows XP SP2以前のWindowsや2008年以前に発売された携帯電話機など一部でSHA-2に対応できないものが存在しており、業界として対応を先送りにしてきた事情がある」」 (「「暗号の2010年問題ではハッシュ関数の対応が遅れている」、日本ベリサイン」より)

ということらしい。 WinXP のバージョンが古いままなのはユーザ側の問題だし(つか,いっそのこと XP のサポートは終了していいと思う。 IE6 根絶のためにもw),古いケータイが SHA-2 に対応していない(できない)のはどうしようもないと思う。 さて,来年末までにどうにかなるのかねぇ。

もうひとつ「『暗号をめぐる最近の話題』に関するレポート」で指摘されているのは,時期ハッシュ関数である SHA-3 の位置づけである。

もともと SHA-3 は SHA-1 の危殆化に伴い SHA-1/SHA-2 に代わる新しいアルゴリズムをコンペ形式で選定しようというものだった。 SHA-3 のコンペは現在も続いているが(だよね?),その位置づけが変わってきているようなのだ。

「これまで、SHA-2ファミリーはSHA-3ができるまでのワンポイントリリーフ的な扱いになるかもしれないという意見が少なからずあった。 しかし、現在のNISTの動きを見る限りは、AESがDES/Triple DESの代替方式という明確な位置づけを与えられていたのとは異なり、むしろSHA-2ファミリーのほうこそ今後の本命であり、SHA-3はSHA-2の代替どころか補完もしくはバックアップとして位置づけるように見直してきている節がある。」 (「『暗号をめぐる最近の話題』に関するレポート」(PDF)より)

たとえば FIPS PUB 180-4 のドラフトでは64ビット CPU 向けの実装(SHA-512/224, SHA-512/256, SHA-512)が示されている。 これは SHA-1 の危殆化が2005年当時に言われていたほどではないのではないか,という判断があるらしい(実際, SHA-1 のハッシュの衝突例も見つかっていない)。 上述の「2010年問題」の期限延長も,この辺の判断が働いたのではないかという気がする。

というわけで,個人的には SHA-3 の登場を(そして GnuPG に実装されるのを)待っていたのだが,少なくとも運用に関しては SHA-3 を気にしなくてもよさそうな感じである。

参考:

photo
新版暗号技術入門 秘密の国のアリス
結城 浩
ソフトバンククリエイティブ 2008-11-22
評価

図解入門 よくわかる最新情報セキュリティの基本と仕組み―基礎から学ぶセキュリティリテラシー (How‐nual Visual Guide Book) プログラマの数学 改訂新版 暗号の数理 (ブルーバックス) 数学ガール マスタリングTCP/IP SSL/TLS編

by G-Tools , 2012/02/12

photo
暗号化 プライバシーを救った反乱者たち
スティーブン・レビー 斉藤 隆央
紀伊國屋書店 2002-02-16
評価

ハッカーズ カッコウはコンピュータに卵を産む〈上〉 カッコウはコンピュータに卵を産む〈下〉 The Art of Deception: Controlling the Human Element of Security ARTIFICIAL LIFE

by G-Tools , 2012/02/12