ニュース

NICT、58個の暗号プロトコルに関するセキュリティ評価リストを公表

 国立研究開発法人情報通信研究機構(NICT)は20日、暗号プロトコルについてのセキュリティ評価結果をリスト化し、ウェブサイトで一般公開した。

暗号プロトコル評価リスト

 今回公開した暗号プロトコル評価リストでは、標準化された51個の暗号プロトコルおよびその他の代表的な7個の暗号プロトコルについて、目的とする機能(通信相手の認証や暗号化通信のための鍵交換)や、ISO/IEC29128における評価レベル(PAL1~4、星の数で表現)、セキュリティ評価結果を提供している。

 セキュリティ評価結果については、4つに分類して色分けを実施。青色は「現状安心して利用できる(現時点において攻撃が発見されていない)」、黄色は「現状安心して利用できる(攻撃が発見されているが現時点では非現実的な脅威)」、橙色は「対策を施せば安心して利用できる(攻撃が発見されているが回避策がある)」、赤色は「もはや安心して利用できない(現実的な脅威のある攻撃が発見されている)」といった形で、一見して容易に結果を区別できるようにしている。

 さらに、個別の暗号プロトコルについてセキュリティ評価結果の詳細な情報を知りたい場合は、プロトコル名のリンクをクリックすることで、個別のページにアクセスできる。

 個別のページでは、「暗号プロトコルの基本情報」として、暗号プロトコルの名前、目的とする機能の概要、関連する標準へのリンクがあり、暗号プロトコルで利用されている暗号とその組合せ方である通信手順を解説した技術文書も提供する。また、「安全性の評価結果」として、セキュリティ上の問題(攻撃)の有無や、暗号の組合せ方をどのように工夫すればその攻撃を回避できるかの解説と、個別の評価結果について、評価手順と内容、評価結果の詳細を技術文書として提供。さらに、学術論文でもまれにしか公開されないオープンソースの自動検証ツールへの入力ソースも提供することで、誰もが評価を追試できるようにしている。

暗号プロトコルの個別ページ

 リストの整備に当たっては、自動検証ツールを用いてプロトコルを評価。評価対象のプロトコルすべてに関して評価結果を精査し、問題点を洗い出し、国際標準ISO/IEC29128における評価レベルのいずれに相当するかを明らかにした。

 NICTでは、これまでにも個々の暗号のセキュリティ評価結果をまとめたリストは公開されていたが、暗号プロトコルのセキュリティ評価結果をまとめたリストはなく、こうしたリストが切望されていたと説明。自動検証ツールによる評価結果の解釈は専門家以外では不可能であり、1つの暗号プロトコルの評価は学術論文として公表されるほど膨大な労力を必要とするため、単一の機関が58個ものプロトコルに対して、複数の自動検証ツールを用いて、リストを取りまとめたことは世界でも類がなく、初めての試みだとしている。

 今後は、標準化候補の暗号プロトコルの評価結果も充実させ、システム設計者が目的に適した暗号プロトコルを設計する際に役立つ情報を提供していく。

三柳 英樹