RSAセキュリティ株式会社は11月20日、「暗号の2010年問題」に関するラウンドテーブルを開催した。
2010年はやたら「問題」の多い年である。代表的なのが、企業の中核となってきた団塊の世代が2010年ごろに一気にリタイヤする「ナレッジの2010年問題」だ。ほかにも医療業界には、2010年前後に大型医薬品の特許が一斉に切れてしまう問題が存在し、通信業界にも、政府が2010年にブロードバンドゼロ地域の解消を目指していることから、やはり2010年問題が存在するようだ。
そうした中でも今回のテーマは、暗号の2010年問題。
■ 暗号の2010年問題とは?
|
技術統括本部長の前田司氏
|
そもそも暗号の2010年問題とは何か。
暗号化とは、アルゴリズムを用いて平文を意味のない文字列に変えることだ。この暗号アルゴリズムは、ある規則性に従ったり、数学的な不可逆性を利用したりして成り立っている。人間の手で規則性を見つけ出すのは困難だが、コンピュータを利用すれば、総当たり的に解析を行うことができてしまう。それでも天文学的な時間を要することが、暗号技術の安全性の根拠であるのだが、日進月歩で性能が上がっていくコンピュータをもってすれば、その時間もやがて短くなっていく。つまり、暗号は時間が経過するほどにその強度が弱まっていく宿命なのだ。
現在主流のいくつかの暗号も、近い将来、安全性を担保するだけの強度が足りなくなってしまうといわれている。そうした状況を受け、2010年に米国連邦政府が次世代暗号方式への移行を決定。その波紋が各業界へ伝わったことで生じた問題が、暗号の2010年問題である。
米国連邦政府は、2010年以降、80ビット強度の暗号の利用を禁止する。その方針は、米国政府の標準を規定する米国国立標準技術研究所(NIST:National Institute of Standards and Technology)が定めており、その詳細は「SP800-57」という文書に具体的に記述されている。
NISTは、「古くから暗号技術を研究してきた機関で、その分野では事実上のリーダー。DES・AES・SHA-xなどの代表的な暗号アルゴリズムを選定する際にも先駆的役割を担ってきた」(技術統括本部長の前田司氏)。すなわち「暗号化に関しては、NISTのお墨付きが安全であることの証拠」(同氏)となり、NISTが危険だといえば、その暗号アルゴリズムの本質的な安全性は崩れ去ったことを意味するのだ。
そのため各業界は、自身に対する一切の強制力がないにもかかわらず、NISTの決定を推奨事項ととらえ、追従しようとしているのが現状。2007年には日本政府も、2013年に暗号の新旧交代を推奨するNISTと似た指針を打ち出している。しかし、米国連邦政府という限られた枠内ならいざ知らず、広大な各業界の話となると、新しい暗号方式に移行するためにやらなければならないことは膨大となる。それをどのように進めていけばよいのか―それが暗号の2010年問題の本質である。
■ 対象となる暗号方式
暗号アルゴリズムには大きく2種類が存在する。1つ目が、暗号化と復号に同じ鍵を使う「共通鍵暗号方式」で、DESやAESなどが代表例。2つ目が、暗号化と復号に異なる鍵を使う「公開鍵暗号方式」で、RSAやECDSA(楕円曲線暗号)などが代表例だ。また、厳密に暗号化方式ではないのだが、MD5やSHA-1に代表される「ハッシュ関数」というアルゴリズムも存在する。
そして暗号の強度は、「アルゴリズムの安全性+鍵の安全性で決まる」(同氏)。アルゴリズムの安全性は、文字列をバラバラにする法則が複雑であればあるほど、あるいは不可逆的であればあるほど高まる。一方、鍵の安全性は、鍵長そのもののことだ。
双方を加味して暗号の強度が決まるわけだが、NISTでは、2key Triple DES Algorithm(2TDEA)、RSA1024、DSA1024、DH1024、ECDSA160、SHA-1などを80ビット強度に位置付け、2010年以降の使用を非推奨としている。
では2010年以降、これらは何に代替されるのであろうか。共通鍵暗号方式においては、まだアルゴリズム自体に傷が見つかっていないAES。公開鍵暗号方式においては、鍵長を長くしたRSA2048、もしくは楕円曲線暗号のECDSA224。ハッシュ関数においては、SHA-2が推奨となる。
楕円曲線暗号は、RSAと並ぶ公開鍵暗号方式の1種だが、RSAと同等の強度をより短い鍵長で実現できるため、容量的にも優位なのが特長。このため米国政府では、重要機密情報に関しては楕円曲線暗号化するような動きもあるという。
また、SHA-2もいずれ解読されることが予想される。このため、SHA-3の開発コンテストが進められており、2007年からの公募の結果、30種ほどの新アルゴリズムが集まったという。2012年にはコンペの勝者が発表され、同年にはドラフト化、標準化される予定だ。
■ 山積する移行の課題
暗号の2010年問題の本質は、どのように移行するかであるという点を前述した。前田氏によれば「2010年にパッと変わるわけではなく、発信者と受信者の時間差を考慮しなければならない」という。ここに移行の難しさがある。例えばPKIで、電子署名が2009年に発行されたとしよう。その時点では、SHA-1が問題なく利用できる。しかし、その電子署名が実際に利用されるのが2011年だとすると、問題ありとなってしまう。
つまり、現在構築するシステムであっても、利用するのが2010年を超えるのであれば、2010年以降非推奨となる暗号方式からの移行を「もう今からでも検討しなければならないのだ」(同氏)。ところが、新しい暗号アルゴリズムに対応したプロトコルの整備も進まなければ、実際に移行するのは難しい。「SSLに関するTLSは、すでに2010年問題に対応したTLS 1.2が標準化されているが、PKIの一部で用いられるOCSPは、新しいドラフトさえ完成していない」。
また実際に移行するに際しても、すでに旧暗号方式を採用した多数のクライアントが出荷されてしまっている。これだけ広大な範囲で、「暗号の安全性を確かなものにするために、非下位互換で進めなければならない」(同氏)という移行を、どのように行っていけばよいというのだろうか。課題は多い。
このため日本政府は、NISTの方針よりも若干緩めに事を進めている。米国連邦政府では2010年としている移行期限を、日本では2013年と猶予を持たせているのだ。さらに2013年を過ぎても、検証用にはSHA-1などの利用を容認するほか、新旧の暗号を混在させてもよい方向で対応を進めている。
しかし、暗号はいずれ間違いなく強度が弱まっていく。猶予に甘えて変化に乗り遅れれば、企業としての競争力にも影響を与えかねない。
RSAセキュリティでは、このような状況への対策として、セキュリティ実装用SDK「RSA BSAFE」を提供している。C言語、Java言語で組み上げられるアプリケーションに暗号機能を実装するためのもので、企業内システム・家庭内の家電やゲーム機・モバイルなどを対象に、さまざまな業種へ提供されている。また、サポートする暗号方式も多岐にわたり、すでに2010年問題に対応しているという。
こうした製品レベルの対策以外にも、企業でやるべきことは多い。前田氏は「まず、移行の必要性を認識しなくてはならない。2010年問題で損なわれるセキュリティは確かに存在するのだ。その上で、自社にとって何がリスクなのかを把握し、いつまでに移行を進めていくのか、明確な計画を立てるべきであろう。その際は自社の状況だけを見るのではなく、アプリケーション側からの視点も必要。アプリケーションがあるということは、それを使う相手がいるということ。相手の移行状況も見て、非互換のないよう、相対的に進めて行かなくてはいけない」とした。
■ URL
RSAセキュリティ株式会社
http://japan.rsa.com/
( 川島 弘之 )
2008/11/20 17:40
|