• hdk の自作ソフトの紹介 | PuTTYjp

PuTTY 0.62 の環境に上書きコピーしてみたが問題なく使えているようだ。 そうそう， PuTTYjp の実行ファイルは puttyjp.exe だが， putty.exe にリネームしても問題ない。

日本語環境が使えるのはありがたい。 作者の方には感謝です。

• PuTTY version 0.62 is released

いくつか修正があるが， “SECURITY FIX” として

“PuTTY 0.62 fixes a security issue present in 0.59, 0.60 and 0.61. If you log in using SSH-2 keyboard-interactive authentication (which is the usual method used by modern servers to request a password), the password you type was accidentally kept in PuTTY's memory for the rest of its run, where it could be retrieved by other processes reading PuTTY's memory, or written out to swap files or crash dumps.” （via “PuTTY version 0.62 is released”）

とある（0.61 より前のバージョンにも同様の問題があるので注意）。 日本語版はまだ見当たらない。

本家で0.61が出たようですが、対応の予定はありますでしょうか？

投稿者 ごった煮ユーザー : 2011年07月14日 22:38

すいません。本業が忙しくてなかなか手を出せそうにありません。

投稿者 ゑ : 2011年07月15日 00:35

（「ゑBLOG: PuTTY 0.60 ごった煮版 2007年8月6日版」コメントより）

で，代わりと言ってはナニだが，「ICE IV + putty」なるものがあるそうで，こいつの最新版は PuTTY 0.61 のコードをベースに「ごった煮版」の機能を追加したものらしい。

「PuTTY 0.61 よりも新しいソースコードをベースとして、 PuTTY 0.60 ごった煮版 2007年8月6日版 に諸々の機能を追加しました。」 （「ICE IV + putty」より）

というわけで，早速試してみた。 インストーラはなく，圧縮ファイルから必要なファイルを取り出してコピーするもののようだ（「ICE IV + putty」インストールの節を参照のこと）。 （一応バックアップをとった上で）オリジナルの PuTTY 環境に上書きコピーしたが問題なく動作しているようだ。 （pagent を起動させている場合はいったん終了させてから上書きコピーする）

やぁこれで自宅にある古い EUC-JP の環境にアクセスできるよ（今までは 0.60 でアクセスしていた。自宅サーバだし）。 めでたしめでたし。

• Enigmail 1.2.1 リリース (クリアテキスト形式のメッセージの復号で文字化けする件は解消)
• Download Enigmail
• Enigmail :: Add-ons for Thunderbird （こちらはまだ 1.2 のまま）

1.2.1 で幾つかの不具合に対応しているようだが，個人的に重要なのは，クリアテキスト形式のメッセージの復号・署名検証の際に文字化けしてしまう不具合に対応したこと。 JPCERT/CC からのメールが文字化けして困ってたのよ。 Thunderbird 5 に Enigmail 1.2.1 を入れて JPCERT/CC からのメールを表示してみたらうまくいったので大丈夫だろう，多分。

ダウンロードファイルにはアドオン本体のファイルの他に署名ファイルもある。 ダウンロード後に署名を検証して確認しよう。 Enigmail の公開鍵はここにある。

たしかにクリアテキスト形式は古臭いし（主に互換性の）問題もあるのだが，日本語に対するこの仕打ちはないと思うのよ。 「送信は厳格に，受信は寛容に」というのはメールソフト，というかインターネットのプロトコル全般に通じる原則だろう（まぁ最近はセキュリティとの絡みであまり寛容とはいかなくなってるかもしれないけど）。 お願いしますよ， Enigmail さん。

• PuTTY version 0.61 is released
• 4年ぶりにPuTTYがバージョンアップ

機能面では Windows 7 のジャンプリストに対応した点が嬉しい。 これでデスクトップにアイコンを置かずに済む。 あとは GSS-API （Generic Security Standard Application Programming Interface）に対応したことかな。 個人的には GSS-API を使う局面はないけど。 リリースノートを見る限りセキュリティ上の大きな問題はなさそうだけど， PuTTY はセキュリティツールだし，うちの環境でもアップデートすることにした。

ところで日本語圏のユーザは PuTTY のごった煮版を利用している人も多いだろう。

• PuTTY ごった煮版

ごった煮版では UI が日本語化されている他，日本語用の文字コード（EUC-JP, ISO-2022-JP など）への対応が行われているのが特徴である。 今のところ 0.61 用の日本語パッチはどこにも公開されてないようだ。

0.61 は，もちろん日本語には対応してない。 文字コードも，欧州の文字コード以外では UTF-8 しか選択できない。 自宅サーバの Linux 機は今だに EUC-JP なのでちょっと困っている。 まぁ，ごった煮版の環境は残しているので，自宅サーバへの接続にはそっちを使えばいいのだが。

ところで，動作確認のために PuTTYgen （鍵ジェネレータ）を弄ってて気がついたんだけど， DSA 鍵の鍵長をいくらでも大きくできるんだね。 びっくりしたよ。 ちょっとググッてみたら，PuTTY では N を160ビット固定のままで L をいくらでも大きくできるようにしているらしい。

• DSA鍵の鍵長

DSA について簡単に説明すると「DSA は ElGamal 署名方式の改良版で， L ビットの素数 p を使って160ビットのメッセージに320ビットの署名を付けるもの」である。 この「160ビットのメッセージ（＝N）」を224および256ビットまで拡張したのが FIPS PUB 186-3 で定義される新しい DSA である。 DSA の仕様変更はもともと SHA-1 危殆化懸念に伴う SHA-2 への移行の要求から来ている。 だから L だけを大きくしても意味が無いのだ。 う～ん，どうなってるんだろう。 大丈夫なのか？ SSH。 ちゃんと勉強しておけば良かった。

ちなみに NIST の SP800-131A では SHA-1 は署名での利用に関して2010年まで Acceptable，2013年まで Deprecated だ（署名以外では Acceptable）。 ついでに RSA の1024ビット長の鍵についても2010年まで Acceptable，2013年まで Deprecated である。 古い鍵をそのままお使いの方は，この機会に鍵を強めのものに更新することをお薦めする。

（SP800-57 では2010年までと決められていたが（いわゆる暗号の2010年問題）， SP800-131A では少し緩和されている。 この辺の話について詳しくはまた後日紹介する）

参考：

• 暗号の話

• Spiegel の OpenPGP 公開鍵リスト

最近はめっきり GnuPG を使わなくなって，ルート鍵と運用鍵（年次鍵）を分けて運用する今の方法がちょっとうっとうしくなってきた。 SHA-3 が今年か来年には決まるはずなので，それにあわせて鍵運用も一新しようかなと考えている。

ところで，作成した公開鍵をチェックしようと pgpdump を起動しようと思ったが， Win7 環境には入れてなかった。 しかも昨年夏に 0.27 が出てるのにスルーしてるし（更に github で運用されてるじゃない）。 しょうがない，ソースを落としてビルドするか，と思ったらコンパイル環境もないじゃないか。 ちうわけで， MinGW をインストールするところから始めることになった（いや，今日は別のことする予定だったのに）。

MinGW のインストールについては以前紹介したが， MinGW はアレから更に進化し， mingw-get なるツールを使って更に簡単にインストールできるようになった。

• Getting Started

まず mingw-get インストーラのダウンロードページへ行き，最新版をダウンロードする。 今回は mingw-get-inst-20110316.exe をダウンロードした。 ダウンロードしたインストーラを起動するとウィザード画面が表示される。 ここでユーザが決めておくのはインストール先のフォルダのみ（デフォルトでは C:\MinGW にインストールされる）。 途中でインストールするモジュールを選択する画面になる。 インストール可能なモジュールは以下のとおりだ。

• MinGW Compiler Suite
  • C Compiler （必須）
  • C++ Compiler
  • Fortran Compiler
  • Objective C Compiler
  • Ada Compiler
• MSYS Basic System
• MinGW Developer Toolkit (Includes MSYS Basic System)

pgpdump をビルドするには C コンパイラが必要だが， C コンパイラは必須オプションになっているので気にしなくていい。 他の言語についてはお好みのままに。 なお，ビルド環境をフルに揃えるには MinGW Developer Toolkit （msysDTK を含むパッケージ）を選択する必要がある。 ここだけ注意。 あとはインストーラにおまかせでしばらく待っていればインストールが完了する。 超簡単。

インストールが完了したらスタートメニューの MinGW から MinGW Shell を起動してみる。 うまく起動したらインストール成功だ。 なお，インストールしたフォルダ内の bin フォルダを環境変数 PATH に追加しておけば Windows のコマンド・プロンプトからもツールを起動できる。 例えば C:\MinGW にインストールしたのであれば，以下のフォルダを PATH に加える。

• C:\MinGW\bin
• C:\MinGW\msys\1.0\bin （MSYS をインストールした場合）

ちなみにドライブレターは MinGW Shell ではそのままディレクトリ名になっている。 例えば C:\MinGW は /c/MinGW としてアクセスできる。

インストール時に入れなかった言語は mingw-get コマンドであとから追加することも出来る。

$ mingw-get install fortran

Linux 等に慣れている方はピンとくると思うが， mingw-get は apt-get や yum の代替えとして機能する。 MinGW プロジェクトで管理されているツールであれば， mingw-get で簡単にインストールやアップグレードができるのだ。 超便利！

さてようやくビルド環境が出来たので pgpdump をビルドしてしまおう。 おっとその前に， libz と libbz2 の2つのライブラリをインストールしておかなければならない（なんで標準で入ってないんだろう？）。

$ mingw-get install libz
$ mingw-get install libbz2

pgpdump のページからソース（pgpdump-0.27.tar.gz）をダウンロードするか github から環境を取得する。 そしてお馴染みの呪文でビルドを行う。

$ cd ~/pgpdump-0.27/
$ ./configure
$ make
$ strip pgpdump.exe

ただし，私の環境ではうまくいかなかった。 何故か gcc ではなく cc でコンパイルしようとするんだよね。 これは環境変数 CC に gcc をセットするか，Makefile.in の頭の方に

CC = @CC@

の行を追加してあげればうまくいく。 後者のほうがスマートな気がするが， Linux のお作法はいまいちよく分からないので，どうするかはお好みで。

MinGW でビルドしたものを「pgpdump (patched version)」に置いています。 ご利用の際は自己責任でお願いします。

って，今回はその話じゃなくて，以下の記事から。

• セキュリティポリシー改訂で露見したDropboxのウソ

この記事の中の Miguel de Icaza 氏の談として

「それは、Dropbox に預けられたファイルは、ファイル転送通信は SSL、サーバ上のファイルは256ビット AES で暗号化され、社員はそのメタデータにしかアクセスできないので、Dropbox の内部者にも見られないように暗号化されているという主張が、今回のポリシー改訂によりはじめからウソだったと露見したことだと言う。」

という部分が Quote されて Tumblr 上で流通しているのだが，ちょっと考えれば分かることだが，暗号化処理も秘密鍵も Dropbox 上にあるのに Dropbox 側がそれを見れないということは原理的にありえない。

今回の改訂は法令遵守に基づいたものだろう。 そんなのはどこのサービスプロバイダでもやってることだ。 Google だって当局からの（法に基づいた）要請があれば情報を差し出さざるをえない。 企業としてできないこと（＝当局からの防衛）を「できる」と言ってきたことを「ウソだ！」というのなら，まぁその通りなのだが，まともな方に改善してるのだから文句を言っても仕方がないような気がする。 あと，この件を先日の Evernote の XSS 脆弱性と結びつけて考える人もいるが，情報漏洩はまた別の問題である。

私は，現時点では Dropbox は比較的よくできたサービスだと思う。 「よくできた」というのは， Dropbox にとっての「攻撃者」からの防衛に対してだ。 Dropbox にとっての「攻撃者」にユーザや Dropbox 社員や当局は含まれていない。 でもユーザから見れば当局にも見られたくない情報もあるかも知れないし， Dropbox に対しても無制限に信頼しているわけではない。 そこを見越して上手に Dropbox の利便性を享受するのが賢いユーザというものである。

Dropbox への対応は，上で示した記事がリンクしてる以下の記事が参考になる。

• なにかあったらユーザーのデータを復号して当局に提出するのでよろしく！ (Dropbox 談)

ちなみに TrueCrypt はストレージをまるごと暗号化するには良い道具だが，ファイル単位であれば GnuPG を利用することをオススメする。 GnuPG では暗号化データからセッション鍵を抽出するオプションがある。 これを使えば秘密鍵を渡すことなく目的のファイルだけについて第三者による復号を許すことができる（このオプションはイギリスの法律に対抗する機能として付加された）。

この手の話は何十年も前から言われていることで，その典型例がメールシステムである。 私たちはメールシステムから多くのことを学んだはずなのに，今回の反応を眺めてみるに，それらの教訓はあまり活かされてないんじゃないだろうか。 「権威ある第三者」が信用できないというのなら，そういった存在を回避するやり方で情報を守るべきだ。 PGP/GnuPG はそういた背景から生まれたものだし，そこに込められたたくさんの知恵は将来に活かすべきである。

ちうわけで，以下の本を読め！ と言っておく。

暗号化 プライバシーを救った反乱者たち

スティーブン・レビー 斉藤 隆央

紀伊國屋書店 2002-02-16

評価

by G-Tools , 2011/04/29

PGP―暗号メールと電子署名

シムソン ガーフィンケル Simson Garfinkel

オライリー・ジャパン 1996-04

評価

by G-Tools , 2011/04/29

• Factorization of a 768-bit RSA modulus （ePrint）
• 公開鍵暗号の安全性の根拠である「素因数分解問題」で世界記録を更新 ～768ビット合成数を一般数体篩法にて完全分解に成功～
• NTTなど、公開鍵暗号の素因数分解問題で768ビット整数の分解に成功
• 768bit合成数の素因数分解に成功、NTTらが世界記録更新

今回使われた計算手法は「一般数体篩法」と呼ばれるものらしい。 NTT のニュースリリースから一部引用しよう。

「今回の素因数分解は、 巨大な合成数に対して現段階で最も高速な解法として知られている一般数体篩法により実現しました。 一般数体篩法は、 多項式選択、 篩（ふるい）、 filtering、 線形代数、 平方根の5つのステップからなります。 このうち、 篩と線形代数が最も計算量を要するステップです。 各ステップにおいて、 選択すべきパラメータは多数あります。 このパラメータの選択によって計算量が大きく変化しますが、 その有効な選択方法については多くの場合についてはまだ解明されていません。 今回の共同研究ではこのパラメータを適切に選択することにより、 高速に計算することに成功しました。」

ちなみに篩では「Opteron 2.2GHz換算で1500年かけたのと同程度の計算量」， 線形代数では「Opteron 2.2GHz換算でおよそ155年の計算量」がかかったそうだ。

参考文献として昔書いた記事を挙げておく。

• 「安全な鍵長の下限」とは

なにせ昔に書いた記事なので， もしかしたらデータが古いかもしれない。 気になる方は NIST や ECRYPT あたりで最新情報を探したらいいだろう。

本当は昨年中に書こうと思ってたのだが， 年末バタバタしてしまってすっかり忘れていた。 年明けに帰省先から帰ってきてふいっと思い出したので， 忘れないうちに書いておく。

最近めっきり GnuPG を使わなくなってしまったが， GnuPG が個人のプライバシーを守る有用かつ重要なツールであることは現在でも変わらない。 以前， 「OpenPGP 関連リンク集」というのを作ったが， 内容が古くてリンクがぷちぷち切れたりして使えなくなっている。 そこで最近の GnuPG の状況をリンク集の形で紹介する。

まず， 最近の GnuPG のリリース状況から。 GnuPG は現在， 大きく分けて 1.x 系と 2.x 系がある。 それぞれの最新版は以下のとおりだ。

• GnuPG 1.4.10 released
  • Updated W32 build of GnuPG 1.4.10
• Gpg4win 2.0.1 released
• GnuPG 2.0.14 released

2.x 系は Project Ägypten の成果で， X509v3 の PKI を利用できることが特徴である。 つまり 2.x 系があれば S/MIME 暗号化メールが利用できるわけだ。 もっとも 2.x 系は Windows 版は（公式には）サポートされていない。 Windows 環境では X509 の PKI は Web ブラウザやメールソフトにデフォルトで組み込まれていることが多い。 Thunderbird にも SSL/TLS 接続や S/MIME サポートが標準で組み込まれている。 ただし Gpg4win では 2.x 系をサポートしている。 Gpg4win 2.0.1 には GnuPG 2.0.12 が同梱されている。 もし Thunderbird （もしくはそのアドオンである Enigmail）で GnuPG 2.x を全面サポートするってのなら考えるところなんだけど。

次に OpenPGP 関連の RFC を整理しておこう。

• RFC 1847: Security Multiparts for MIME: Multipart/Signed and Multipart/Encrypted
• RFC 3156: MIME Security with OpenPGP （update RFC 2015）
• RFC 4880: OpenPGP Message Format （obsolete RFC 1991, RFC 2440）
• RFC 5581: The Camellia Cipher in OpenPGP （update RFC 4880）

RFC 4880 と RFC 5581 についてはうちでも取り上げている。

• RFC 4880 is now available
• The Camellia Cipher in OpenPGP

あと， OpenPGP で使われている各種アルゴリズムについては

• OpenPGP で利用可能なアルゴリズム一覧（RFC4880 対応版）

を参考にどうぞ。

OpenPGP の実装である PGP/GnuPG と関連するツールやサービスを挙げておく。

• The GNU Privacy Guard
• PGP Corporation
  • PGP Global Directory
• OpenPKSD
• Gpg4win
• GPGrelay （日本語 DLL 公開しています）
• GPGee （GNU Privacy Guard Explorer Extension）
• pgpdump （Windows 版バイナリ公開してます）

以下は， OpenPGP （PGP/GnuPG）関連のサイトを挙げる。

OpenPGP.org - The OpenPGP Alliance

OpenPGP に沿ったソフトウェア同士の互換性を図ることを目的に作られた組織， らしい。 OpenPGP の大元になるのかな。

PGP User's Manual for Windows

近年は更新がないけど， PGP/GnuPG に関するかつての情報を漁るにはちょうどいいサイトだと思う。

GNU Privacy Gard 講座

最近 URL が新しくなった。 GnuPG に関するポータルページといっていいだろう。 ソースコードを git 配信している。 facebook からも見ることができる

OpenPKSD

OpenPGP 鍵サーバ。 ただし近年は全く動きがない。 OpenPKSD-TKS はどうなったんだろう。 マジで待ってるんだけど。 OpenPGP および PKI に関するドキュメントが豊富。

gnupg/blog

PGP/GnuPG の最新情報をチェックするならこちら。 こういうところが最近少なくなったので非常に助かります。

そうそう， 私の公開鍵はこちら。 OpenPKSD-TKS を真に受けて， 最近の鍵は鍵サーバに入れないようにしてるんだけど， どうなってるんだろう。

以下， 参考文献を挙げておく。

PGP―暗号メールと電子署名

Simson Garfinkel

オライリー・ジャパン 1996-04

評価

by G-Tools , 2010/01/03

暗号化 プライバシーを救った反乱者たち

斉藤 隆央

紀伊國屋書店 2002-02-16

評価

by G-Tools , 2010/01/03

新版暗号技術入門 秘密の国のアリス

ソフトバンククリエイティブ 2008-11-22

評価

by G-Tools , 2010/01/03

• Hackers Show It's Easy to Snoop on a GSM Call
• GSM Encryption Cracked, Showing Its Age

日本は GSM 圏外なのでなじみが薄いかもしれないが， 世界全体の 80% で使われているサービスである（日本のケータイが「ガラパゴス」と呼ばれる所以もここにある）。 GSM については 『情報セキュリティ技術大全』 に解説がある。 少し引用しておこう。 （ただし， この本は原書が2001年， 邦訳版が2002年に出版されたもので， 現時点から見ると内容が少々古いのであしからず）

「第2世代の携帯電話では、 デジタル技術が使用されている。 2000年までに、 世界の大多数の電話機で GSM （Global System for Mobile Communications）が使われるようになった。 この規格は最初から、 海外旅行先での利用が容易になるように設計され、 1992年にサービスが開始された。 米国、日本、およびイスラエルでは、 別のデジタル規格が使われている（ただし、米国の一部にはこれに対抗する GSM サービスが存在する）。」 （p.347）

つまり， GSM ってのはかれこれ20年前の規格であり， そこで使われている暗号アルゴリズム A5/1 も同じだけ年をとっている。 ちなみに， 2002年に三菱電機の「KASUMI」（同社の MISTY をベースにしている）が GSM の標準 A5/3 として採用されている。

• 国産暗号「KASUMI」がGSM標準に

GSM 携帯電話の中で A5/1 と A5/3 の実装の割合がどのようになっているかは手元に資料がないので分からない（誰か教えて）。 でも GSM 側は今回のクラックについて影響は小さいようなことを言ってるみたいなので， 実際には A5/3 の実装はかなり進んでいるのかもしれない。 もうひとつオマケとして， 「KASUMI」は 3G ケータイの標準としても採用されている。 日本の暗号技術だって頑張ってるんだよ。

A5/2 ってないの？ と思っているあなた。 実はあるんです。 A5/2 は A5/1 の暗号強度（厳密には鍵の強度）を更に弱めたバージョンらしい。 A5/1 の 64bit 鍵長だって十分に弱いのに更に弱くしてあるだなんて。 でも例えば 「オーストラリアでは、 A5/2 が使われていることが判明して政治的な騒動になった」（p.351） んだそうで， 意外に A5/2 は使われているのかもしれない。 他にも GSM の実装には意図的に強度を弱くしていると思われる個所もあるらしい。 （あとは陰謀論者の皆さん，頑張ってください（笑））

でも， これらのことはほとんどはリバース・エンジニアリングによって判明したこと。 で， ほとんどの国では（著作権法を盾に）リバース・エンジニアリングは禁止されているんだよね。 もちろん今回公開されるであろうツールを使って通信を盗聴することも（例外はあるが）違法。 ここがポイント。 だからこれがドイツで発表されるというのは実は深い意味がある。 今回のプレゼンを行う暗号エキスパートの Karsten Nohl さんが， 今回の研究を合法に行ったと主張されているが， アメリカや（多分）日本では絶対にできないことなのよ。 （あと， 今回のプレゼンが比較的安価な構成でできているってのもポイント）

GSM の暗号の問題点は

「暗号のセキュリティは鍵の選択に依存するべきであり、仕組みの秘密性に依存してはならない」 （p.355）

という暗号の基本中の基本を守らなかったことにある。 もし GSM で使われているセキュリティ・システムを（暗号アルゴリズムを含めて）公開して事前に一般からのレビューを受けていれば， ここまでひどいことにはならなかったかもしれない。

更に 『情報セキュリティ技術大全』 によると， GSM の穴を利用したツールまであるらしい。 「IMSI キャッチャ」というそのツールは基地局になりすましてトラフィックの傍受を可能にするものだが， なんと警察向けに販売されているそうだ。

GSM が利用者から見てセキュリティ上の問題が多いのは明らかだが， それをちゃんと「見せる」ことは大事なことだと思う。 そういう意味で， 今回行われるというプレゼンは意義あるものになるだろう。 最後に 『情報セキュリティ技術大全』 に記されている GSM の評価を挙げておく。

「電話会社の観点からいえば、 GSM は成功だった。 Vodafone などの GSM 通信事業者の株主は莫大な利益を得た。 その（ほんの）一部は、 GSM のチャレンジレスポンスメカニズムによってクローニングに歯止めがかかったおかげである。 暗号の弱点など大した問題ではなかった。 それらが悪用されたことはまったく（少なくとも、通信料収入を大きく損なうような形では）なかったからである。
（中略）
犯罪者の観点からも、 GSM は申し分なかった。 GSM は、電話サービスの盗聴に対する歯止めにはならなかった。 単に犯罪の手口が変わっただけで、 そのつけはクレジットカード会社や、 アイデンティティ窃盗や路上での強盗に遭った被害者個人に回された。
（中略）
顧客の観点から見れば、 GSM は本来完全に安全なものとして販売されていた。 これは正しかったのだろうか。 確かに基地局までの通信の暗号化によって、 アナログ電話でよく悩まされていた日常生活の盗聴はなくなった （有名人が被害を受け、 世間の注目を集めた事件がいくつかあった。 たとえば， チャールズ英皇太子が離婚前に愛人との会話を盗聴された英国での事件や、 ニュート・ギングリッジ元米下院議長が絡んだ米国での事件などである）。 しかし、 世界中のほぼすべての電話盗聴は巨大な諜報機関によって行われており、 彼等にとって暗号はほとんど問題にならない。」 （p.355-356）

情報セキュリティ技術大全―信頼できる分散システム構築のために

Ross J. Anderson

日経BP社 2002-09

評価

by G-Tools , 2009/12/30

（追記 2010/1/9）

色々記事が上がっているので以下に紹介する。

• ストリーム暗号 A5/1 の解読 （ここがいちばん詳しい）
• 「GSMの暗号破り」に業界団体が反論、安全性を強調

若い人には分かりにくいかもしれないが， 2000年以前は 64bit より大きい鍵長の暗号は輸出禁止だったことは覚えておいたほうがいいだろう。 つまり， 暗号は軍事上の機密であって， 民生品で強い暗号を使うことは世界的にご法度だったわけだ。 もちろん携帯電話も同様 （この状況の中でどうやって PGP のような強い暗号が登場しえたのか。 それは「最近の GnuPG」で挙げた文献を読むと分かる）。 この方針が大きく転換したのは， ここ10年ほどの話である。

ITmedia の記事を見ると

「一方で、 「業界はGSMネットワークのプライバシー保護強化に努めている」 とGSMAは強調し、 暗号強度を高めたアルゴリズムの「A5/3」を開発し、 段階的にA5/1に入れ替えていくと表明した。」

などと寝ぼけたことを言っているあたり， どうも A5/3 への置き換えは進んでいないように見える （もちろん ITmedia 記者の大いなる勘違いの可能性もあるわけだが）。

GSM は暗号以外にプロトコルレベルでもセキュリティ上の問題を色々抱えている （一部は上で紹介してるけど）。 ので， 本来は 3G への移行を進めるほうが more better なのかもしれない。 今回の暗号の解読は決して「新しい脆弱性の発見」ではないけれど， 色々変化を促すきっかけになればいいな， と個人的には思っている。

でも， まぁ， 日本人にはやっぱりピンと来ないよねぇ。

“NIST is proud to announce the publication of FIPS 186-3, The Digital Signature Standard. FIPS 186-3 is a revision of FIPS 186-2. The FIPS specifies three techniques for the generation and verification of digital signatures: DSA, ECDSA and RSA. This revision increases the length of the keys allowed for DSA, provides additional requirements for the use of ECDSA and RSA, and includes requirements for obtaining assurances necessary for valid digital signatures.”

ちうわけで， 以下が FIPS 186-3 だ。

• FIPS PUB 186-3, Digital Signature Standard (DSS) (PDF)

今回のメインはやっぱり DSA （Digital Signature Algorithm）の要件が改良されたことだろう。 詳しくは拙文「暗号の危殆化と新しいアルゴリズム」を参照のこと。 当時はドラフト案だったけど， これで大手を振って使えるわけやね。 （あれから3年かかったんじゃねぇ）

あとは新しいハッシュ関数（SHA-3）か。 現在 SHA-3 コンペは第2ラウンドらしい。 しばらく前に MD6 が手を引いたみたいなニュースが流れていた。

• MD6 Withdrawn from SHA-3 Competition
• Second Round Candidates
• SHA-3 Second Round Candidates Announced

さて， どうなるか楽しみである。

• GnuPG 1.4.10 released

色々変わっているが， 個人的には Camellia 暗号が Enable になったのが大きいかな。

ところが Windows 版の 1.4.10 のバイナリには問題があるようで， （日本時間で）その日のうちに修正版が再アップされていた。 速攻で 1.4.10 を入れちゃった方は 1.4.10a に差し替えてください。

ところで， しばらく前に Gpg4win の 2.0.0 がでてるんだよねぇ。

• Gpg4win 2.0.0 has been released

これに同梱されている GnuPG は 2.0.12 なんでちょっと魅力的なのだが， はっきり言って他のツールは要らないので， 導入しようかどうか考え中。

とりあえず 「CRYPTREC Report 2008 暗号技術監視委員会報告書」（PDF） くらいは目を通しておいたほうがいいだろう。 目につく内容としては， 電子政府推奨暗号リストの改訂とかある。 結構大掛かりな改訂になるらしい。 他には， NIST で行われている次世代ハッシュ関数 SHA-3 のコンテストについて， 状況などが報告されている。

面白いところでは 「IDベース暗号に関する調査報告書」（PDF） なるものがある。 ID ベース暗号（Identity-Based Encryption; IBE）というのは， 電子メールアドレスなどの ID に基く暗号（署名や認証も含む）を指したものだ。 公開鍵暗号と違って煩雑な鍵の取りまわしを行う PKI が不要であるというのが売りである。 何年か前に結構話題になったような。 既に製品もいくつかあるよね。 売れてるのかどうかは知らないけど。

当時はよく分かっていなかったのだが， 今回の報告書を斜め読みしてなんとなく分かった。 IBE では PKI の代わりに PKG （Private Key Generator）というものがあって， PKG によって（ID に基いて）復号が可能な仕組みになっているらしい （「PKG がマスター鍵と共通パラメータの作成を行い， このうち共通パラメータを周知させ， PKG 自身がマスター鍵と利用者固有のID を用いて各利用者の復号鍵の鍵生成を行う」とある）。 PKG では ID さえ分かれば任意の暗号文を復号できてしまうので， PKG は相当に信頼できる機関でなければならない。 どうやらここがポイントのようだ。

報告書では IBE の問題点を以下のように挙げている。 （長い引用でゴメン）

「上記の通り， IBE を利用することで， 公開鍵インフラにおける鍵証明書を排除できるものと大きく期待されているが， その直接的な適用では必ずしも問題は解決されない． つまり， 実利用においては， 鍵の更新や無効化の問題を考える必要があり， これらを考慮すると， 結局はなんらかの方法で無効化された利用者情報などを利用者たちに掲示板などを用いて通知せねばならず， また， そのような通信路の存在を認める場合， それを用いて従来の公開鍵暗号の公開鍵や鍵証明書もすべての利用者に配信可能であるため， 従来の公開鍵暗号に対する IBE の優位性はほとんど失われてしまう． これは， IBE を実利用する上での最大の検討事項と考えることができ， IBE の利点を損なうことなく鍵更新と無効化を行う手法が明らかとならない限り， 現行の PKI から直ちに IBE に移行することには慎重になるべきである． （中略）
また， IBE では PKG がすべての利用者の復号鍵を作成するため， PKG 自身も任意の受信者宛ての暗号文を復号することができてしまう． そのため， 問題となりうる． また， ひとつの PKG ですべての利用者の鍵生成を行う場合， PKG の負担が非常に大きいので， PKI 同様，複数の PKG を階層的に用いて鍵生成を行う必要が生じる． その際は， 通常の IBE ではなく， 階層的 IBE (HIBE) を利用しなくてはならないことにも注意したい．」

たしかに PKG 側の運用の問題はあるが， ユーザ側の利便性が上がるのは間違いないようだ。 IBE のベースとなっているペアリング技術についても悪い評価ではなさそう。 報告書によると， 色々と応用も考えられているし， IETF，ISO/IEC，IEEE でも標準化の動きがあるようだ。 標準化のあたりはもう少し注目していってもいいかもしれないなぁ。

なお， 表中に ID とありますが， これは各アルゴリズム毎に割り当てられた番号です。 例えば DSA は公開鍵暗号アルゴリズムの17番目なので「pub 17」と表記したりします。

公開鍵暗号アルゴリズム（Public-Key Algorithms）

RFC4880 では， FIPS PUB 186-3 draft に従って， DSA アルゴリズムが拡張（“13.6. DSA”）されます。 また RSA についてアルゴリズムの解説が追加（“13.1. PKCS#1 Encoding in OpenPGP”）されています。 なお pub 20 (Elgamal Encrypt or Sign) はアルゴリズム上の欠陥が発見され廃止になりました。

• [Announce] GnuPG's ElGamal signing keys compromised

共通鍵暗号アルゴリズム（Symmetric-Key Algorithms）

sym 5 (SAFER-SK128), sym 6 (DES/SK) は RFC4880 で廃止になりました。 sym 11-13 （Camellia）は RFC5581 で追加されました。 なお OpenPGP では CFB mode （の変型; “13.9. OpenPGP CFB Mode”）で暗号化を行います。

ハッシュ・アルゴリズム（Hash Algorithms）

RFC4880 において hash 4 (double-width SHA), hash 5 (MD2), hash 6 (TIGER/192), hash 7 (HAVAL-5-160) が廃止になり， hash 8-11 (SHA224/256/384/512) が追加されました。

圧縮アルゴリズム（Compression Algorithms）

comp 3 (BZip2) は RFC4880 で追加されました。

S2K (String-to-key)

S2K は共通鍵暗号用の鍵を生成する際に使われるアルゴリズムです。

参考文献

• RFC4880
• RFC5581
• 電子政府推奨暗号の仕様書 （CRYPTREC）
• 暗号の話
• デファクトスタンダード暗号技術の大移行 第3回 これだけは知っておきたいアルゴリズム～共通鍵暗号編
• デファクトスタンダード暗号技術の大移行 第4回 これだけは知っておきたいアルゴリズム～ハッシュ関数・公開鍵暗号・デジタル署名編
• 暗号の危殆化と新しいアルゴリズム
• OpenPGP 関連リンク集

新版暗号技術入門 秘密の国のアリス

結城 浩

ソフトバンククリエイティブ 2008-11-22

評価

by G-Tools , 2009/06/05

• RFC 5581: The Camellia Cipher in OpenPGP

Camellia は NTT と三菱電機が開発した 128bit ブロック暗号である。

• Camellia
• RFC 3713: A Description of the Camellia Encryption Algorithm （IPA による日本語訳）
• Wikipedia による解説

OpenPGP では， Camellia は鍵の長さごとに共通鍵暗号アルゴリズム（Symmetric Key Algorithms）の11番から13番が割り当てられる。 OpenPGP で利用可能なアルゴリズムについては以下の記事が参考になる。

• OpenPGP で利用可能なアルゴリズム一覧（RFC4880 対応版）

余談だが， OpenSSL 1.0.0 系では Camellia が標準で有効になっている。

いやぁ， めでたい！

GnuPG のリポジトリでは 6/5 から Camellia のサポートが有効になってるらしい。