2019年12月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        
無料ブログはココログ

« SHA-3: AURORA のウェブページ公開 | トップページ | デザイン再変更 »

CRYPTREC: 「CRYPTREC シンポジウム 2009」 に参加しました(後半)

CRYPTREC シンポジウム 2009 -電子政府向け推奨暗号リストの改訂に向けて-」の聴講メモの続きです。前半はこちらを参照下さい。

当日のプログラムはこちらをご覧下さい。なお、各講演で使用されたスライドはこちらで公開されるとのことです。

●パネル1「公募対象カテゴリを中心とした暗号技術の動向について」
モデレータ 高木 剛 (はこだて未来大学、IDベースWG主査)
パネリスト 大塚 玲 (産業技術総合研究所)
           下山 武司 (富士通研究所) ブロック暗号
           盛合 志帆 (ソニー)
           吉田 博隆 (日立製作所)

○「ブロック暗号技術最新動向」 (盛合さん)

・提案の動向
- HIGHT, CLEFIA, Present → キーワード:lightweight, rfid, 省リソース、省電力
- FOX, MESH, mCrypton, SEA

・攻撃法と安全性評価の動向
-代数的解析手法の進展:Cube Attack など、SAT/SMT solver など解析ツールの進化
-関連鍵攻撃:AES への攻撃など、鍵スケジュールを積極的に利用
-不能差分攻撃
-線形攻撃の一般化

・実装に関する傾向
-より広い範囲の製品・サービス
-より安いコスト:消費電力など)
-より安全に: 進化する実装攻撃への防衛が必要

・注目すべき暗号
-HIGHT (2006): ブロック長 64ビット・鍵長 128 ビット、RFID 向け、ハードウェア性能に優れ、約3Kgateで実装可能
-CLEFIA (2007): ブロック長128ビット・鍵長 128/192/256ビット、ソフト・ハードともにバランス良く優位な性能
-PRESENT (2007): ブロック長 64ビット・鍵長 80/128 ビット、速度は遅いが2Kgate以下(暗号化回路のみ)の実装も可能

・電子政府推奨暗号リストのブロック暗号カテゴリに求められる要件に関する意見
-ユーザの要望は用途によって多種多様
-各アルゴリズムの特徴がわかり、用途にあった者を選べると便利:AES との差別化ポイントも明記しては

・電子政府推奨暗号リストのブロック暗号カテゴリの評価方法に関する意見
- 安全性評価:攻撃論文の内容の正当性・現実性も吟味するように努めて欲しい
- 実装評価:サイドチャネル攻撃に対する耐性はどのように評価・比較するのか:想定される攻撃は実装方法・プラットフォームに強く依存。そもそもアルゴリズムごとの差より実装方法の差の法が大きいのでは
- 電子政府推奨暗号リストへ登録されるための製品化・利用実績をどのように評価するのか

○ 「暗号利用モードの動向」 (下山さん)

・暗号利用モード → ブロック暗号の欠点を補うパッチ

・最近の動向 → 単なるパッチから安全な暗号プリティブの手軽な構成法へ
- 多様化 さまざまなバリエーション
- 証明可能安全性
- (例) Tweakable Block Cipher: ブロック暗号からブロック暗号へ (ディスクセクタ暗号化利用モードとしての応用あり)

・評価方法に対する意見
-全般(公募カテゴリ):用途、鍵長、ブロック長等毎に分類?
-セキュリティ要件(証明可能安全性):証明の前提が崩れたときの耐性については?例えばHMACの鍵回復攻撃など
-パフォーマンス要件:内部で用いるプリティ部はできる限り共通化して評価すべき
-標準化・利用実績:各種標準化をどこまで扱うのか

○ 「MACの動向」 (下山さん)

・最近の動向
- CMAC (OMAC) の NIST SP800-38B 公開 → 日本の貢献
    偽造困難性を一個の鍵で実現した紹介可能安全なMAC
- Hash 関数ベースのMAC への攻撃
    脆弱なハッシュ関数を用いた場合に鍵回復攻撃が可能
- 段数を削減したブロック暗号を利用したMAC (MT-MAC, PELICAN 等)
   ただし証明可能安全性は精査の必要あり

○ 「エンティティ認証の動向」 (大塚さん)

・エンティティ認証 → 通信相手が意図した正しい通信相手であることを確認

・最新動向
- フォーマルメソッドによる安全性証明がだんだん使えるようになってきた
- でもプリミティブが理想化できない場合に暗号学的メソッドとの融合が必要

・電子政府推奨暗号リストのエンティティ認証カテゴリの評価
- 形式的な手法 (いわゆるフォーマルメソッド) を用いた評価 → 世界初かも
- 暗号プリミティブが既存の場合、これらを理想的安全として評価。新規の場合、理想化せずに安全性を検証
- ただし、フォーマルメソッドツール自体の信頼性評価が重要

○「ハッシュ関数の動向」 (吉田さん)

・動向と現状
-95 SHA-1 が FIPS 180-1
-02 SHA-256/384/512 が FIPS180-2
-04 SHA-224 が FIPS 280-2
-05 SHA-1 のコリジョン攻撃
-07 SHA-3 competition 開始、SHA-3 は 2012 年に選定予定

・SHA-3 competition
-SHA-3 は SHA-2 の replace ではなく、FIPS 180-2 への追加を想定
-最重要の評価基準は安全性
-ハード性能は必須ではない
-応募総数64,第1ラウンド通過51,現在42

・CRYPTRECへのコメント
-現在は汎用、特殊用途やハッシュ関数関連モードの検討の余地あり
-評価項目;SHA-3 と同じでよいが、ハードううケア性能も必要では

○「IBEの動向」 (高木先生)

・IBE → 自由なビット列を公開鍵暗号として設定可能な暗号で、いろいろな応用が知られている

・最近の動向
- 標準化が進んでいる: IEEE P1363.3, RFC 5091
- NIST も興味を持っている (NIST Workshop)
- 「世界で少なくとも600万人が使用」

・2008年度の暗号技術監視委員会の活動として、IDベース暗号WG が開設された
- 主査(高木先生)+委員7人(富士通研、筑波技術大、NTT、大阪電通大、三菱電機、NICT、産総研)
- 報告書をまとめている最中
-検討課題:運用(IDの信頼性、PKGの信頼性、ユーザ鍵管理、共通パラメータ管理)

○ディスカッション

・サイドチャネル攻撃耐性の評価はどうしたら良いか
- Call for Attack はどうか? (太田先生)
- 暗号アルゴリズムの安全性とサイドチャネル攻撃への安全性は独立なので、評価においては、ここまでのサイドチャネル攻撃耐性はチェックした、という事実を示したい (山岸さん)
- 個人的には、緩い耐性が示されてれば良いと考えている (松本先生)

●パネル2「日本の暗号研究と電子政府推奨暗号の今後について」
モデレータ 佐々木 良一 (東京電機大学、リストガイドWG主査)
パネリスト 伊藤 毅志 (内閣官房情報セキュリティセンター)
           岩下 直行 (日本銀行)
           辻井 重男 (情報セキュリティ大学院大学)
           苗村 憲司 (SC27 WG2 コンビーナ)
           松本 勉 (横浜国立大学)

○目的:日本の暗号研究や電子政府推奨暗号の今後のありかたなどに関する討議

○「セキュアな暗号アルゴリズムを確保し管理する立場から、活動成果と残された問題」 (松本先生)

結論:電子政府推奨暗号とは、制度的裏付けの下に選任の機関が管理し製品化された者をみんなが納得して使える「標準暗号」と考える

暗号のセキュリティ評価・監視には、電子政府向け以外にもニーズがあるが、ハイレベルな活動を中立的に維持するには、多大なコストがかかる

ここまではできている

しかし、ユーザから見ると、標準暗号をセキュアに実装した競争力のある暗号製品の安定供給が必要 → 「暗号は使われてなんぼ」

デファクトでない(国産)暗号は普及の点では壊滅状態

ユーザは製品がないので使えない 使われないから製品化のインセンティブが働かない デッドロック

評価し尽くされた、長持ちする汎用の実用暗号アルゴリズムは必須 → 各カテゴリで高々2個に厳選するのはどうか(少数であることが本質であり性能が本質ではない)

選任の機関が(提案者のものとしてではなく)自分のものとして責任をもって維持管理すべし

大口(政府)ユーザが使用することを前提とすべし

○「国際標準化の立場から見た電子政府推奨暗号リストの意義と課題」 (苗村先生)

・国際標準化の背景: WTO 技術的障壁 (TBT) 協定 (1995)、OECD 暗号政策ガイドライン (1997)

・国際標準化の経緯と現状
- NIST による暗号アルゴリズムの ISO 化に反対を受け、ISO では暗号アルゴリズムの登録制度が運用されていた
- この登録制度はJIS化されたため、ISO登録の半分以上が日本からの提案(2001年当時)となってしまった
- この後に ISO/IEC JTC1 が発足
- AES competition
- ISO における標準化の再開

・(国際標準化の立場から見た) CRYPTREC の意義
-日本の国内規格作成における官と民の役割分担モデル
-暗号アルゴリズム登録制度に関する経験からの教訓
-暗号評価に関するアジアのリーダ的貢献

・(国際標準化の立場から見た) CRYPTREC の課題
-ISO/IEC 規格との整合性確保
-危殆化対策及び導入実績評価に基づく見直し
-暗号評価に関する国際協調

○「ユーザから見たCRYPTRECの意義~ユーザと専門家のギャップをどのように埋めるか?」 (岩下さん)

・現状認識
暗号については、専門家とユーザの間の認識のギャップがまだ大きく、どうやってそれを埋めてくかが課題

・現リスト選定およびリストの現状に関する総括
-「CRYPTREC がなかったら」
種々雑多な暗号が提案・採用され、混沌とした状態になっていた
採用した暗号アルゴリズムがアタックされ、トラブル対応が問題になっていたかも
被害が深刻化すれば、単独の国際標準への統合化がなされたかも
- でも、候補暗号数が多すぎる、実際に利用できないアルゴリズムも含まれている
- 現リストは、問題のある暗号を排除した点で、目的を達した
- 現状は、よりユーザフレンドリーで維持管理コストの安い「限定された推奨暗号リスト」を指向しても良いのでは

・今後について
- ユーザとしてはカテゴリーを増やして複雑にして欲しくない

・ギャップを埋めるには
現状
-専門家:ユーザがどこでどのような暗号を利用しているか、の情報が少ない
-ユーザ:時に独自判断を下す傾向が強い
今後は
-専門家:実務上の影響を分析
-ユーザ:専門家の評価結果を実務に反映される体制

○「松本先生への大局的な見地からのコメント」 (辻井先生)

・大局的には賛成

・電子政府推奨暗号リストをさらに広く使ってもらうための現状考察
-官民技の鉄のトライアングルができていない
-ある暗号アルゴリズムが何年から使えない、というのではなく、何年あたりに危なくなるという幅が欲しい
-世代交代にも幅が欲しい
-電子政府推奨暗号リストの使用状況
  都銀 100% が参照しリストの中から採用 (ただしシステムのごく一部の場合もある)
  地銀    12.5%

○「政府機関における安全な暗号利用の推進について」 (伊藤さん)

・現状
-電子政府推奨暗号リスト → NISC の政府機関統一基準の基本遵守事項として使用を明記 (JCMVP も明記)
-安全性に関する注意喚起 → これを踏まえて NISC の暗号移行指針を決定

・政府機関における2010年問題への対応 → 民間に対するモデルとなるべく動いている
-2013年度:従来の暗号方式のみの使用 (2012年度末まで新暗号への対応を完了)
-X年度:複数の暗号方式が混在
-Y年度:新たな暗号方式のみの使用
-(X, Y は 2008年度中に決定)

・リストのありかたへの期待
- 3分割され、わかりやすくなった
- リストの評価・リスト間の移動が適切に行われることを期待
- リスト移動の理由・根拠を明確に公表して欲しい

・CRYPTREC のありかたへの期待
-監視活動・リストガイド作成に期待
-情報収集において、リアルタイムに情報共有して欲しい (特に海外の研究動向など)

« SHA-3: AURORA のウェブページ公開 | トップページ | デザイン再変更 »

CRYPTREC」カテゴリの記事

コメント

この記事へのコメントは終了しました。

トラックバック


この記事へのトラックバック一覧です: CRYPTREC: 「CRYPTREC シンポジウム 2009」 に参加しました(後半):

« SHA-3: AURORA のウェブページ公開 | トップページ | デザイン再変更 »

リンク