【IT】“日本の標準暗号”が10年ぶり大改定、国産暗号削減よりもRC4とSHA-1の管理ポスト入りが影響大 [05/07]
1 :ライトスタッフ◎φ ★:
電子政府で用いる暗号方式を評価・調査するプロジェクトであるCRYPTRECが
公開している「電子政府推奨暗号リスト」が10年ぶりに改定された。同リストは、
日本政府が電子システムを調達する際に使用を推奨する暗号方式を示すもの。
技術的に安全性が確認された暗号方式を政府が示す役割も担っている。いわば
“日本の標準暗号”を示すリストだ。
今回の改定では、2012年春に予告された通り、リストから多くの国産暗号が消えた。
128ビット・ブロック暗号を例に取ると、改定前には米国標準のAESに加え、NTTと
三菱電機が共同開発した「Camellia」、NECの「CIPHERUNICORN-A」、東芝の
「Hierocrypt-3」、富士通研究所の「SC2000」と四つの国産暗号がリストに名を
連ねていた。また、改定に向けてソニーが「CLEFIA」で新たに応募していた。
これに対し、改定後はAESとCamelliaの二つだけになった。リストから三つの国産
暗号が消え、新たに応募した国産暗号も採用されなかったことになる。
このような改定が行われたのは、従来のリストには「多くの選択肢が掲載されて
いたため、ユーザーがどの暗号方式を選べばよいのか分かりにくい」との批判が
あったためだ。CRYPTRECの暗号運用委員会では、2012年夏から同年末にかけて
各方式の利用実績を検討した。同委員会が実施した評価の結果は、意見募集のため、
2012年12月に公開されている(リンク)。この評価結果に基づき、利用実績が低い
暗号方式がリストから外された。
■問題なのは「運用監視暗号リスト」
64ビット・ブロック暗号では、従来のリストには米国の「3-key Triple DES」に加え、
NECの「CIPHERUNICORN-E」、東芝の「Hierocrypt-L1」、三菱電機の「MYSTY1」
が載っていた。これに対し、新リストでは3-key Triple DESだけになり、国産暗号は
すべて消えた。ただし、可能であれば、64ビット・ブロック暗号ではなく、鍵長が
より長い128ビット・ブロック暗号を使うよう推奨されている。
ストリーム暗号では、従来のリストには米RSA Security社(現在は米EMC社の一部門)
が開発した「128-bit RC4」、日立製作所の「MUGI」と「MULTI-S01」が載っていた。
これらに加え、日立製作所が「Enocoro-128v2」、KDDI研究所が「KCipher-2」で
新たに応募していた。これに対し、新リストに掲載されたのは、KCipher-2だけ。
旧リストに載っていた方式は改定ですべて外れたことになる。(※続く)
●改定で特に変化が大きかった箇所 共通鍵暗号(64ビット・ブロック暗号、
128ビット・ブロック暗号、ストリーム暗号)のカテゴリは、改定前には
多くの国産暗号がリストに掲載されていたが、それらの多くが改定で落とされた。
ハッシュ関数は、安全性に問題がある二つの方式が削られている。
http://itpro.nikkeibp.co.jp/article/Watcher/20130426/474102/ango_zu.jpg
◎http://itpro.nikkeibp.co.jp/article/Watcher/20130426/474102/
公開している「電子政府推奨暗号リスト」が10年ぶりに改定された。同リストは、
日本政府が電子システムを調達する際に使用を推奨する暗号方式を示すもの。
技術的に安全性が確認された暗号方式を政府が示す役割も担っている。いわば
“日本の標準暗号”を示すリストだ。
今回の改定では、2012年春に予告された通り、リストから多くの国産暗号が消えた。
128ビット・ブロック暗号を例に取ると、改定前には米国標準のAESに加え、NTTと
三菱電機が共同開発した「Camellia」、NECの「CIPHERUNICORN-A」、東芝の
「Hierocrypt-3」、富士通研究所の「SC2000」と四つの国産暗号がリストに名を
連ねていた。また、改定に向けてソニーが「CLEFIA」で新たに応募していた。
これに対し、改定後はAESとCamelliaの二つだけになった。リストから三つの国産
暗号が消え、新たに応募した国産暗号も採用されなかったことになる。
このような改定が行われたのは、従来のリストには「多くの選択肢が掲載されて
いたため、ユーザーがどの暗号方式を選べばよいのか分かりにくい」との批判が
あったためだ。CRYPTRECの暗号運用委員会では、2012年夏から同年末にかけて
各方式の利用実績を検討した。同委員会が実施した評価の結果は、意見募集のため、
2012年12月に公開されている(リンク)。この評価結果に基づき、利用実績が低い
暗号方式がリストから外された。
■問題なのは「運用監視暗号リスト」
64ビット・ブロック暗号では、従来のリストには米国の「3-key Triple DES」に加え、
NECの「CIPHERUNICORN-E」、東芝の「Hierocrypt-L1」、三菱電機の「MYSTY1」
が載っていた。これに対し、新リストでは3-key Triple DESだけになり、国産暗号は
すべて消えた。ただし、可能であれば、64ビット・ブロック暗号ではなく、鍵長が
より長い128ビット・ブロック暗号を使うよう推奨されている。
ストリーム暗号では、従来のリストには米RSA Security社(現在は米EMC社の一部門)
が開発した「128-bit RC4」、日立製作所の「MUGI」と「MULTI-S01」が載っていた。
これらに加え、日立製作所が「Enocoro-128v2」、KDDI研究所が「KCipher-2」で
新たに応募していた。これに対し、新リストに掲載されたのは、KCipher-2だけ。
旧リストに載っていた方式は改定ですべて外れたことになる。(※続く)
●改定で特に変化が大きかった箇所 共通鍵暗号(64ビット・ブロック暗号、
128ビット・ブロック暗号、ストリーム暗号)のカテゴリは、改定前には
多くの国産暗号がリストに掲載されていたが、それらの多くが改定で落とされた。
ハッシュ関数は、安全性に問題がある二つの方式が削られている。
http://itpro.nikkeibp.co.jp/article/Watcher/20130426/474102/ango_zu.jpg
◎http://itpro.nikkeibp.co.jp/article/Watcher/20130426/474102/
|
|
|
2 :ライトスタッフ◎φ ★:2013/05/07(火) 08:12:40.50 ID:???
>>1の続き
電子政府推奨暗号リストに載らなかったこうした国産暗号は、利用実績は低いものの、
安全性に問題があるわけではない。実際には、これらの国産暗号は「推奨候補暗号リスト」
というリストに回された。「今後、電子政府推奨暗号リストに掲載される可能性のある
暗号技術のリスト」である。いわばエントリー・リストにはかろうじて残っている状況だ。
一方、より問題が大きい暗号方式もある。「運用監視暗号リスト」に回された暗号方式だ。
このリストは「推奨すべき状態ではなくなった暗号技術のうち、互換性維持のために継続
利用を容認するもののリスト」。いわば管理ポストという位置付けだ。ストリーム暗号の
128-bit RC4とハッシュ関数の「SHA-1」などが、このリストに回されている。
RC4やSHA-1は従来のシステムでよく使われてきたが、数年前から安全性に問題がある
ことが指摘されている。今回の改定で「推奨すべき状態ではない」と正式に認定された
ことで、一定の猶予期間の後に非推奨になると予想される。こうした方式を利用している
システムは、今後、対応を迫られることになるだろう。
電子政府推奨暗号リストに載らなかったこうした国産暗号は、利用実績は低いものの、
安全性に問題があるわけではない。実際には、これらの国産暗号は「推奨候補暗号リスト」
というリストに回された。「今後、電子政府推奨暗号リストに掲載される可能性のある
暗号技術のリスト」である。いわばエントリー・リストにはかろうじて残っている状況だ。
一方、より問題が大きい暗号方式もある。「運用監視暗号リスト」に回された暗号方式だ。
このリストは「推奨すべき状態ではなくなった暗号技術のうち、互換性維持のために継続
利用を容認するもののリスト」。いわば管理ポストという位置付けだ。ストリーム暗号の
128-bit RC4とハッシュ関数の「SHA-1」などが、このリストに回されている。
RC4やSHA-1は従来のシステムでよく使われてきたが、数年前から安全性に問題がある
ことが指摘されている。今回の改定で「推奨すべき状態ではない」と正式に認定された
ことで、一定の猶予期間の後に非推奨になると予想される。こうした方式を利用している
システムは、今後、対応を迫られることになるだろう。
3 :名刺は切らしておりまして:2013/05/07(火) 08:27:47.06 ID:MIcYYNT7
>>1
>このような改定が行われたのは、従来のリストには「多くの選択肢が掲載されて
>いたため、ユーザーがどの暗号方式を選べばよいのか分かりにくい」との批判が
>あったためだ。
え!? アマチュアですか?
その程度の判断も出来ない人が利用するリストじゃないだろjk
>このような改定が行われたのは、従来のリストには「多くの選択肢が掲載されて
>いたため、ユーザーがどの暗号方式を選べばよいのか分かりにくい」との批判が
>あったためだ。
え!? アマチュアですか?
その程度の判断も出来ない人が利用するリストじゃないだろjk
4 :名刺は切らしておりまして:2013/05/07(火) 08:28:57.71 ID:wmbzE1mx
ソニーの暗号とか駄目にきまってるやん。
5 :名刺は切らしておりまして:2013/05/07(火) 08:37:41.22 ID:R9BqojAI
SHA-1が、もう駄目とか
この世界は攻防が激しいなぁ…
この世界は攻防が激しいなぁ…
6 :名刺は切らしておりまして:2013/05/07(火) 08:43:20.06 ID:tBW3hV7F
128bitの暗号なんて、いまどきのパソコンでも6時間で解読可能だろ
ゴミだわ。
最低でも8192bit必要だわ
ゴミだわ。
最低でも8192bit必要だわ
7 :名刺は切らしておりまして:2013/05/07(火) 08:46:30.78 ID:IUw5CbIb
ドングルでええわ
8 :名刺は切らしておりまして:2013/05/07(火) 08:51:35.77 ID:KpjcqRMO
OpenSSLに入ってれば使うかも
9 :名刺は切らしておりまして:2013/05/07(火) 08:54:12.32 ID:T3NuVulg
未だにMD5使う事すら良くあるというのに。。
10 :名刺は切らしておりまして:2013/05/07(火) 08:59:05.44 ID:UZHVepkU
パープル…いや、なんでもない
11 :名刺は切らしておりまして:2013/05/07(火) 09:12:40.72 ID:lY/+AWbC
そりゃ民主党が特亜だだ漏らししたんだもの
改訂する必要があるさ、理由は建前、本音はこんなところじゃないの
改訂する必要があるさ、理由は建前、本音はこんなところじゃないの
12 :名刺は切らしておりまして:2013/05/07(火) 09:19:55.68 ID:Z5wkH2Zq
>>11
符号化技術を知らないんだね…
符号化技術を知らないんだね…
13 :名刺は切らしておりまして:2013/05/07(火) 09:43:04.33 ID:hF5fe2uZ
今どき3DESなんかでいいのか?
14 :名刺は切らしておりまして:2013/05/07(火) 10:51:55.74 ID:+PQzB0I6
DESって2chトリップでと銀行で使われてるからトリップ解析アルゴリズムが発明されたら銀行が危ない
15 :名刺は切らしておりまして:2013/05/07(火) 10:55:24.62 ID:CInOZby1
銀行でDESなんて使ってねーよ
16 :名刺は切らしておりまして:2013/05/07(火) 11:11:47.54 ID:5oq9iAjv
量子暗号並の革新的技術が必要。発見しても、アメリカに妨害されないよう気をつけろ。
アメリカは自分が傍受できない暗号は殲滅しにかかる
アメリカは自分が傍受できない暗号は殲滅しにかかる
17 :名刺は切らしておりまして:2013/05/07(火) 11:26:00.94 ID:FDTc7pV6
>>10
おっ!お爺ちゃん?
おっ!お爺ちゃん?
18 :名刺は切らしておりまして:2013/05/07(火) 11:55:32.34 ID:8q4Ve6eq
>>4
国際標準規格になってんだけど
国際標準規格になってんだけど
19 :名刺は切らしておりまして:2013/05/07(火) 12:05:00.69 ID:pT3Szx6s
RC4の脆弱性は明らかなので良いとして、SHA-1は痛いなあ。
256bit以上にして時間稼ぎし、
OPENSSLがSHA3対応するのを待つしかないか。SHA3凄く遅いけど..
256bit以上にして時間稼ぎし、
OPENSSLがSHA3対応するのを待つしかないか。SHA3凄く遅いけど..
20 :名刺は切らしておりまして:2013/05/07(火) 12:09:08.44 ID:CInOZby1
それSHA-2でしょ
21 :名刺は切らしておりまして:2013/05/07(火) 12:28:00.78 ID:QmsmM9r1
22 :名刺は切らしておりまして:2013/05/07(火) 12:39:19.33 ID:QmsmM9r1
ごめん、MD5はハッシュだな
暗号化じゃなかったわ
暗号化じゃなかったわ
23 :名刺は切らしておりまして:2013/05/07(火) 13:39:50.22 ID:nMisX9bW
計算機の性能は充分上がっているんだから、今更Triple DESは…。
何でもかんでもAESに頼ると、万一現実的な攻撃手法が編み出された時
困るのかね?
Twofishとか優秀だけどスタンダードになってない暗号を採用すれば
攻撃される機会が少ない分安全なような気がしないでもない。
何でもかんでもAESに頼ると、万一現実的な攻撃手法が編み出された時
困るのかね?
Twofishとか優秀だけどスタンダードになってない暗号を採用すれば
攻撃される機会が少ない分安全なような気がしないでもない。
24 :名刺は切らしておりまして:2013/05/07(火) 14:23:49.10 ID:a9akvNXo
よく分からないけどネトウヨ涙目ってこと?
25 :名刺は切らしておりまして:2013/05/07(火) 15:06:04.77 ID:2kCHH75D
いつのニュースだよ
先月には見たぞ
先月には見たぞ
26 :名刺は切らしておりまして:2013/05/07(火) 15:21:51.54 ID:35p+juco
国産のはなまじ電子政府システムの構築に関わる企業自身が開発してるもんで、
「これ使え!」って決め打ちしにくくて、結局消えていくんだよなぁ。
暗号に限らず規格モンは全部その流れっしょ。学習しろよと。
「これ使え!」って決め打ちしにくくて、結局消えていくんだよなぁ。
暗号に限らず規格モンは全部その流れっしょ。学習しろよと。
27 :名刺は切らしておりまして:2013/05/08(水) 13:41:56.00 ID:+HETrguY
>>23
発見された攻撃手法がAESの数学的脆弱性ベースの場合、早急にAESの使用を停止しないといかんし、別の暗号理論を使用しないといけない。
その時に、選択肢少ないとか最悪じゃねーか。
特にストリーム暗号が1種類しかないのが致命的。
KCipher-2 抜かれたら、代替無いんだぜ?
顧客に「国の標準暗号では無いですが、切り替えます」とか、通らんよw
顧客が政府だったら尚更アウト。
破られた暗号を毎週のキー変更で誤魔化して使い続けるとかしかねぇw
つーか、毎週クライアント側のキーも変更するとか、ネット公開してる動画とかだったら完全終了じゃね?
発見された攻撃手法がAESの数学的脆弱性ベースの場合、早急にAESの使用を停止しないといかんし、別の暗号理論を使用しないといけない。
その時に、選択肢少ないとか最悪じゃねーか。
特にストリーム暗号が1種類しかないのが致命的。
KCipher-2 抜かれたら、代替無いんだぜ?
顧客に「国の標準暗号では無いですが、切り替えます」とか、通らんよw
顧客が政府だったら尚更アウト。
破られた暗号を毎週のキー変更で誤魔化して使い続けるとかしかねぇw
つーか、毎週クライアント側のキーも変更するとか、ネット公開してる動画とかだったら完全終了じゃね?
28 :名刺は切らしておりまして:2013/05/08(水) 15:34:46.11 ID:f6fDk9Jv
ストリーム暗号なんて原理的に安全な暗号は作れないんじゃないかと思う
ブロック暗号もCBCモードにした途端に脆弱性が生まれるし
ブロック暗号もCBCモードにした途端に脆弱性が生まれるし
29 :名刺は切らしておりまして:2013/05/09(木) 10:57:14.78 ID:KeU8VATU
>>28
だから、1種類しか国のお墨付きがないとか、どうすりゃいいのかと。
ブロック暗号をCBCで使うとか、ブラウザ上のプラグインとか非力な条件じゃ無理だー。
つーか、RC4 リストから外して、TLSとかどーすんのかと。
まぁ、官庁街WarDrivingするだけでさくさく抜ける状況だから今更なんだが。
だから、1種類しか国のお墨付きがないとか、どうすりゃいいのかと。
ブロック暗号をCBCで使うとか、ブラウザ上のプラグインとか非力な条件じゃ無理だー。
つーか、RC4 リストから外して、TLSとかどーすんのかと。
まぁ、官庁街WarDrivingするだけでさくさく抜ける状況だから今更なんだが。
30 :名刺は切らしておりまして:2013/05/09(木) 12:27:34.62 ID:HOVIt1xC
TPPの圧力だろうね。
アメリカは自分達の暗号の解読方法を知っているんじゃないかな。
それを他国に押し付けるという事は第二次世界大戦の時の
日本の暗号が漏れていたのと似ている気がする。
アメリカは自分達の暗号の解読方法を知っているんじゃないかな。
それを他国に押し付けるという事は第二次世界大戦の時の
日本の暗号が漏れていたのと似ている気がする。
31 :名刺は切らしておりまして:2013/05/09(木) 12:36:54.16 ID:QIZQTW07
AFは真水不足
32 :名刺は切らしておりまして:2013/05/09(木) 14:29:54.33 ID:p4S8UDxB
33 :名刺は切らしておりまして:2013/05/09(木) 18:40:58.97 ID:Kq1KAHrP
そのうち暗号部分の方が長くなるのでは
34 :名刺は切らしておりまして:2013/05/09(木) 19:13:50.49 ID:fhKqtzGh
分野によっては確実な通信のために暗号やエラー訂正で長くなっても構わないと思う