図●改定で特に変化が大きかった箇所 共通鍵暗号(64ビット・ブロック暗号、128ビット・ブロック暗号、ストリーム暗号)のカテゴリは、改定前には多くの国産暗号がリストに掲載されていたが、それらの多くが改定で落とされた。ハッシュ関数は、安全性に問題がある二つの方式が削られている。(日経エレクトロニクス2013年4月15日号p.11から抜粋)
図●改定で特に変化が大きかった箇所 共通鍵暗号(64ビット・ブロック暗号、128ビット・ブロック暗号、ストリーム暗号)のカテゴリは、改定前には多くの国産暗号がリストに掲載されていたが、それらの多くが改定で落とされた。ハッシュ関数は、安全性に問題がある二つの方式が削られている。(日経エレクトロニクス2013年4月15日号p.11から抜粋)
[画像のクリックで拡大表示]

 電子政府で用いる暗号方式を評価・調査するプロジェクトであるCRYPTRECが公開している「電子政府推奨暗号リスト」が10年ぶりに改定された(Tech-On!の関連記事)。同リストは、日本政府が電子システムを調達する際に使用を推奨する暗号方式を示すもの。技術的に安全性が確認された暗号方式を政府が示す役割も担っている。いわば“日本の標準暗号”を示すリストだ。

 今回の改定では、2012年春に予告された通り、リストから多くの国産暗号が消えた(Tech-On!の関連記事)。128ビット・ブロック暗号を例に取ると、改定前には米国標準のAESに加え、NTTと三菱電機が共同開発した「Camellia」、NECの「CIPHERUNICORN-A」、東芝の「Hierocrypt-3」、富士通研究所の「SC2000」と四つの国産暗号がリストに名を連ねていた。また、改定に向けてソニーが「CLEFIA」で新たに応募していた。これに対し、改定後はAESとCamelliaの二つだけになった(ITproの関連記事)。リストから三つの国産暗号が消え、新たに応募した国産暗号も採用されなかったことになる。

 このような改定が行われたのは、従来のリストには「多くの選択肢が掲載されていたため、ユーザーがどの暗号方式を選べばよいのか分かりにくい」との批判があったためだ。CRYPTRECの暗号運用委員会では、2012年夏から同年末にかけて各方式の利用実績を検討した。同委員会が実施した評価の結果は、意見募集のため、2012年12月に公開されている(リンク)。この評価結果に基づき、利用実績が低い暗号方式がリストから外された。

問題なのは「運用監視暗号リスト」

 64ビット・ブロック暗号では、従来のリストには米国の「3-key Triple DES」に加え、NECの「CIPHERUNICORN-E」、東芝の「Hierocrypt-L1」、三菱電機の「MYSTY1」が載っていた。これに対し、新リストでは3-key Triple DESだけになり、国産暗号はすべて消えた。ただし、可能であれば、64ビット・ブロック暗号ではなく、鍵長がより長い128ビット・ブロック暗号を使うよう推奨されている。

 ストリーム暗号では、従来のリストには米RSA Security社(現在は米EMC社の一部門)が開発した「128-bit RC4」、日立製作所の「MUGI」と「MULTI-S01」が載っていた。これらに加え、日立製作所が「Enocoro-128v2」、KDDI研究所が「KCipher-2」で新たに応募していた。これに対し、新リストに掲載されたのは、KCipher-2だけ。旧リストに載っていた方式は改定ですべて外れたことになる。

 電子政府推奨暗号リストに載らなかったこうした国産暗号は、利用実績は低いものの、安全性に問題があるわけではない。実際には、これらの国産暗号は「推奨候補暗号リスト」というリストに回された。「今後、電子政府推奨暗号リストに掲載される可能性のある暗号技術のリスト」である。いわばエントリー・リストにはかろうじて残っている状況だ。

 一方、より問題が大きい暗号方式もある。「運用監視暗号リスト」に回された暗号方式だ。このリストは「推奨すべき状態ではなくなった暗号技術のうち、互換性維持のために継続利用を容認するもののリスト」。いわば監理ポストという位置付けだ。ストリーム暗号の128-bit RC4とハッシュ関数の「SHA-1」などが、このリストに回されている。

 RC4やSHA-1は従来のシステムでよく使われてきたが、数年前から安全性に問題があることが指摘されている。今回の改定で「推奨すべき状態ではない」と正式に認定されたことで、一定の猶予期間の後に非推奨になると予想される。こうした方式を利用しているシステムは、今後、対応を迫られることになるだろう。

■変更履歴
タイトルと第7段落で「管理ポスト」としていましたが、「監理ポスト」です。お詫びして訂正します。タイトルと本文は修正済みです。 [2013/05/07 12:45]