新暗号方式への移行、遅れる家電やゲーム機の対応が課題－ベリサイン

SSL製品本部 SSLプロダクトマーケティング部の阿部貴氏

　日本ベリサイン株式会社（以下、ベリサイン）は2月9日、「暗号の2010年問題」に関する記者説明会を開催した。新暗号方式への移行が求められる中、最も課題となるのは「新暗号方式への対応の遅れる組み込み通信機器（家電やゲーム機）での移行だ」とSSL製品本部 SSLプロダクトマーケティング部の阿部貴氏は語った。

　暗号アルゴリズムの安全性は、コンピュータの性能向上や暗号解読技術の進展により、低下していく定めにある。実際、1月8日に、NTTなどの研究でRSA/768ビットが解読されたと報じられた。また、Collision Attack（衝突探索）により、SHA-1の安全性はすでに2^52乗まで低下しているともされる。

　セキュリティの観点からは、より安全な暗号アルゴリズムへ早急に移行するのが望ましい。が、SSL/TSLに支えられる情報システムの安全性・可用性を損なうことなく移行するには多くの課題が存在する。この「移行」に伴う問題を総称したのが「暗号の2010年問題」である。

　最初の移行方針は、米国国立標準技術研究所（NIST：National Institute of Standards and Technology）が定めた。2011年以降、ハッシュ関数は「SHA-2」へ、公開鍵暗号は「RSA/2048ビット」あるいは「ECC（楕円曲線暗号）/224ビット」へ、共通鍵暗号は「3TDEA」への移行を推奨したのだ。NISTの影響力は強く、波紋は全業界に及び、いち早く、この方針に沿った移行プロジェクトを組んだのが米国政府だった。

　Microsoftも同社製品にルート証明書を搭載するためのパートナープログラムにて、「参加する認証局は、2010年末までにRSA/1024ビットの証明書の新規発行を終了しなければならない」とするなど、具体的に移行しなければならない状況が生まれつつあるのだ。

何から何へと変わるのか？	NISTの方針

　では、具体的に移行に伴う課題とは何であろうか。ベリサインのヒアリング調査によればサーバー管理者は、「移行しなければいけないのは分かったが、そのためには検証が必要だ。とはいえ、何を検証すればよいのかが分からない。コストもかかるし、いつまでにという時期に関する指針がないので予算も確保しにくい。利便性が高まるわけでもないのに、どうやって経営陣に予算の必要性を理解させればいいのだ」と、多くの悩みを抱えているという。

　阿部氏は「問題はクライアント（Webブラウザなど）側、Webサーバー側、認証局側の誰がリーダーシップを取るのか、はっきりしていない点だ。それぞれ新暗号方式への対応を進めなければいけないが、中でも厄介なのは、クライアント側の対応をいかに進めていくかである」と指摘する。

　SSL証明書を発行する認証局側での対応は、各認証局の個別の判断に委ねられるとはいえ、新暗号方式へと間違いなく進んでいくだろう。実際にベリサインでも、2010年後半（7月～12月の間）に同社製証明書の仕様変更を行う予定だし、EV SSLなどRSA/2048ビット対応の証明書もすでにReadyの状況だ。またサーバー側での対応も、それだけを考えるならば、単に新暗号方式の証明書を導入すればいいだけなので難しくはない。

　問題は、Webブラウザやケータイ、あるいは組み込み通信機器などのクライアント側での対応状況である。クライアント側で未対応のまま、サーバー側の対応を進めると、当然、両者間で暗号化通信ができなくなってしまう。従って、Webサーバー側で新暗号方式の証明書を導入する際は、Webブラウザやケータイで正常にアクセスできるかどうか、徹底的に検証を行わなければならないのだ。

　ベリサインでは、「一般的なWebサイト」「組み込み通信機器」「サーバー間通信システム」に分け、それぞれどのような検証を行うべきかや、問題発生時に考えられる原因などを紹介している。

何を検証すればいい？	検証NGの場合に考えられる原因

クライアント側での対応状況

　その中で「重要なのは、SSL/TSL通信を行う構成要素を特定し、適切な検証計画を立てることだ」（阿部氏）とし、また「一般的なWebサイトでは、Webブラウザとケータイの対応率確認を優先させることが重要だ」（同氏）としている。とはいえ、Webブラウザとケータイに関しては、悲観するほどの状況ではない。すでにPCブラウザ、ケータイの99％でRSA/2048ビットに対応。SHA-2に関しても、Windows Vista以降、Internet Explorer 7から対応しているほか、NTTドコモから対応機種が発売されており、阿部氏も「そんなに問題にならないのではないか」としている。

　一方、五里霧中にあるのが、組み込み通信機器である。「家電やゲーム機はブラックボックス化されており、当社でも対応状況の把握が困難」（同氏）だという。そもそも仕様書にRSA暗号方式の記述はあっても、鍵長に関する記述がないなど、「検証するのも大変な状況なのだ」。

　このような状況下で、一体、いつまでに移行を進めればいいのだろう。NISTの方針通り、2011年以降、各認証局がRSA/1024ビットの証明書発行を停止したと想定すると、2011年以降、新規に証明書を導入する場合、RSA/2048ビットを選択せざるを得ない。ぎりぎり2010年末までに購入したRSA/1024ビットの証明書も、その最大有効期限・3年（ベリサインの場合）が使用できるタイムリミットだ。

　一方、SHA-1については時期があいまいで、証明書の発行および利用の停止について、現時点でコンセンサスが形成されていないという。実際、EV SSLガイドラインでもSHA-1に関しては2010年末を超えて使用が許容されている。前述したMicrosoftのリクワイアメントでも、SHA-1利用停止のタイムラインは示されていない。

　これは「RSA/2048ビットへの移行よりも、SHA-2移行の方が、クライアント対応状況などからハードルが高いためだ」（同氏）。SHA-2における国内での移行タイムラインを明確に示すことはできないが、「ただし解読技術の発展に伴い、急速に危急化が進むリスクがあるのは確かである」。

　検証にあたっては、「第1フェーズとしてRSA/1024ビット→2048ビットへの検証を優先し、第2フェーズとしてSHA-2の検証を行うよう推奨する」（同氏）とのこと。

一般的なWebサイトでの詳細な検証ポイント（証明書）	一般的なWebサイトでの詳細な検証ポイント（Webサーバー）	一般的なWebサイトでの詳細な検証ポイント（ブラウザなど）

　ベリサインとしては、PCブラウザ、ケータイの事前検証・情報をサーバー管理者やSIerなどのパートナーに公開するとともに、RSA/2048ビット対応のテスト用サーバー証明書を提供。併せて日本電子認証協議会などの業界団体と一般的な移行指針についての普及活動を協業するほか、各組み込み機器ベンダーに向けてデベロッパープログラムなどを展開する予定。