CRYPTREC
CRYPTREC(くりぷとれっく、Cryptography Research and Evaluation Committees) とは、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトである[1]。
目次
活動内容編集
暗号の安全性に関する情報を提供することを目的として、共通鍵暗号、公開鍵暗号、ハッシュ関数、擬似乱数生成系の4種類の暗号技術に対し公募を行い、それぞれに対して国内外の暗号研究者による評価を行い、評価レポートや推奨可能な暗号のリストを作成した。リストは2013年に改訂され、既存の4種類に加え暗号利用モード、メッセージ認証コード、エンティティ認証に対しても評価を行った。
プロジェクトは2000年に活動開始し、当初は「暗号技術検討会」と「暗号技術評価委員会」で構成されていた。それぞれの事務局は総務省/経済産業省、情報処理振興事業協会(IPA、現 情報処理推進機構)/通信・放送機構(TAO、現 NICT=情報通信研究機構)。2003年、2009年、2013年と組織変更が行われ、2013年11月現在では「暗号技術検討会」をトップとし、その下に「暗号技術評価委員会」と「暗号技術活用委員会」を置く体制となった。それぞれ委員長は今井秀樹(中央大学教授)及び松本勉(横浜国立大学大学院教授)(2013年11月現在)。
電子政府における調達のために参照すべき暗号のリスト編集
電子政府における調達のために参照すべき暗号のリストは、CRYPTRECが選定し、総務省と経済産業省が共同で所管する、電子政府での利用が推奨される暗号方式のリスト。平成15年(2003年)2月20日に電子政府推奨暗号リストとして初版が発表され、行政情報システム関係課長連絡会議において、「各府省は情報システムの構築に当たり暗号を利用する場合は、可能な限り、電子政府推奨暗号リストに掲載された暗号の利用を推進する」旨が定められた。2012年度にリストの改定が行われ、2013年3月1日に電子政府における調達のために参照すべき暗号のリストとして3種類のリスト(改訂した電子政府推奨暗号リスト、推奨候補暗号リスト、運用監視暗号リスト)が公表された。
2013年の改訂編集
2003年に発表された初版[2]では、64ビットブロック暗号としてCIPHERUNICORN-E(NEC)・Hierocrypt-L1(東芝)・MISTY1(三菱電機)、128ビットブロック暗号としてCamellia(NTT、三菱電機)・CIPHERUNICORN-A(NEC)・Hierocrypt-3(東芝)・SC2000(富士通)、ストリーム暗号としてMUGI・MULTI-S01(いずれも日立製作所)と、日本の企業によって開発された暗号方式が多く採用されていた。
2013年の改訂[3]においてリストは「推奨暗号リスト」「推奨候補暗号リスト」「運用監視暗号リスト」の3つに分けられ、改訂前に採用されていた日本において開発された暗号方式は、Camelliaを除いてすべて「推奨暗号リスト」から「推奨候補暗号リスト」に移動された。また、128ビットブロック暗号としてCLEFIA(ソニー)、ストリーム暗号としてKCipher-2(KDDI)・Enocoro-128v2(日立製作所)が新規に応募されていたが、推奨暗号として採用されたのはKCipher-2のみであった。このように、日本発の暗号方式の多くが推奨暗号から外されたのは、従来のリストに対して「多くの選択肢が掲載されていたため、ユーザーがどの暗号方式を選べばよいのか分かりにくい」との批判があったためである[1]。このため、安全性の評価だけではなく市販製品・オープンソースプロジェクト・政府系システム・国際規格での採用実績の評価も行われ、採用実績に乏しい暗号方式は「推奨暗号リスト」ではなく「推奨候補暗号リスト」への採用にとどまった[1][4]。「推奨候補暗号リスト」に掲載された暗号方式については、採用実績が十分となった場合には「推奨暗号リスト」に掲載される可能性がある[1]。
また、128ビットRC4、SHA-1といった、これまで広く利用されてきたが脆弱性が指摘されている暗号方式は、「運用監視暗号リスト」に移動された。これは「推奨すべき状態ではなくなった暗号技術のうち、互換性維持のために継続利用を容認するもの」であり、これらの暗号方式を利用しているシステムは対応を迫られることとなった[1]。
電子政府推奨暗号リスト編集
CRYPTRECにより安全性及び実装性能が確認され、市場における利用実績が十分であるか、今後の普及が見込まれると判断された暗号技術である。CRYPTRECにより、これらの暗号技術の利用が推奨されている。
| 暗号の種類 | 暗号技術 | |
|---|---|---|
| 公開鍵暗号 | 署名 | DSA: NIST FIPS 186-2 |
| ECDSA: Certicom | ||
| RSA-PSS[注 1]: PKCS #1, RSAセキュリティ | ||
| RSASSA-PKCS1-v1_5[注 1]: PKCS #1, RSAセキュリティ | ||
| 守秘 | RSA-OAEP[注 1]: PKCS #1, RSAセキュリティ | |
| 鍵共有 | DH: NIST SP 800-56A Revision 1 | |
| ECDH: NIST SP 800-56A Revision 1 | ||
| 共通鍵暗号 | 64ビットブロック暗号[注 2] | 3-key Triple DES[注 3]: NIST SP 800-67 Revision 1 |
| 128ビットブロック暗号 | AES: NIST FIPS PUB 197 | |
| Camellia: NTT、三菱電機 | ||
| ストリーム暗号 | KCipher-2: KDDI | |
| ハッシュ関数 | SHA-256: NIST FIPS PUB 180-4 | |
| SHA-384: NIST FIPS PUB 180-4 | ||
| SHA-512: NIST FIPS PUB 180-4 | ||
| 暗号利用モード | 秘匿モード | CBC: NIST SP 800-38A |
| CFB: NIST SP 800-38A | ||
| CTR: NIST SP 800-38A | ||
| OFB: NIST SP 800-38A | ||
| 認証付き秘匿モード | CCM: NIST SP 800-38C | |
| GCM[注 4]: NIST SP 800-38D | ||
| メッセージ認証コード | CMAC: NIST SP 800-38B | |
| HMAC: NIST FIPS PUB 198-1 | ||
| エンティティ認証 | ISO/IEC 9798-2: ISO/IEC 9798-2:2008 | |
| ISO/IEC 9798-3: ISO/IEC 9798-3:1998, ISO/IEC 9798-3:1998/Amd 1:2010 | ||
推奨候補暗号リスト編集
CRYPTRECにより安全性および実装性能は確認されているが、現時点では十分な採用実績がないと評価された暗号技術である。
| 暗号の種類 | 暗号技術 | |
|---|---|---|
| 公開鍵暗号 | 署名 | 該当なし |
| 守秘 | 該当なし | |
| 鍵共有 | PSEC-KEM[注 5]: NTT | |
| 共通鍵暗号 | 64ビットブロック暗号[注 2] | CIPHERUNICORN-E: NEC |
| Hierocrypt-L1: 東芝 | ||
| MISTY1: 三菱電機 | ||
| 128ビットブロック暗号 | CIPHERUNICORN-A: 日本電気 | |
| CLEFIA: ソニー | ||
| Hierocrypt-3: 東芝 | ||
| SC2000: 富士通 | ||
| ストリーム暗号 | MUGI: 日立製作所 | |
| Enocoro-128v2: 日立製作所 | ||
| MULTI-S01[注 6]: 日立製作所 | ||
| ハッシュ関数 | 該当なし | |
| 暗号利用モード | 秘匿モード | 該当なし |
| 認証付き秘匿モード | 該当なし | |
| メッセージ認証コード | PC-MAC-AES: NEC | |
| エンティティ認証 | ISO/IEC 9798-4: ISO/IEC 9798-4:1999 | |
運用監視暗号リスト編集
実際に解読されるリスクが高まるなど、推奨すべき状態ではなくなった暗号技術である。互換性維持の目的以外での利用は推奨されない。
| 暗号の種類 | 暗号技術 | |
|---|---|---|
| 公開鍵暗号 | 署名 | 該当なし |
| 守秘 | RSAES-PKCS1-v1_5[注 7][注 8]: PKCS #1, RSAセキュリティ | |
| 鍵共有 | 該当なし | |
| 共通鍵暗号 | 64ビットブロック暗号[注 2] | 該当なし |
| 128ビットブロック暗号 | 該当なし | |
| ストリーム暗号 | 128-bit RC4[注 9]: RSAセキュリティ | |
| ハッシュ関数 | RIPEMD-160: Hans Dobbertin, Antoon Bosselaers, Bart Preneel | |
| SHA-1[注 7]: NIST FIPS PUB 180-4 | ||
| 暗号利用モード | 秘匿モード | 該当なし |
| 認証付き秘匿モード | ||
| メッセージ認証コード | CBC-MAC[注 10]: ISO/IEC 9797-1:2011 | |
| エンティティ認証 | 該当なし | |
注編集
- ^ a b c 「政府機関の情報システムにおいて使用されている暗号アルゴリズム SHA-1 及び RSA1024 に係る移行指針」を踏まえて利用すること。
- ^ a b c より長いブロック長の暗号が利用できるのであれば、128 ビットブロック暗号を選択することが望ましい。
- ^ 3-key Triple DES は、次の条件を考慮し、当面の利用を認める: (1) NIST SP 800-67 として規定されていること。(2) デファクトスタンダードとしての位置を保っていること。
- ^ 初期化ベクトル長は 96 ビットを推奨する。
- ^ KEM (Key Encapsulating Mechanism)–DEM (Data Encapsulating Mechanism)構成における利用を前提とする。
- ^ 平文サイズは64 ビットの倍数に限る。
- ^ a b 「政府機関の情報システムにおいて使用されている暗号アルゴリズム SHA-1 及び RSA1024 に係る移行指針」を踏まえて利用すること。
- ^ SSL 3.0 / TLS 1.0, 1.1, 1.2で利用実績があることから当面の利用を認める。
- ^ 互換性維持のために継続利用をこれまで容認してきたが、今後は極力利用すべきでない。SSL/TLSでの利用を含め、電子政府推奨暗号リストに記載された暗号技術への移行を速やかに検討すること。
- ^ 安全性の観点から、メッセージ長を固定して利用すべきである。
脚注編集
- ^ a b c d e “CRYPTREC | CRYPTRECとは”. CRYPTREC. 2018年6月1日閲覧。
- ^ “電子政府推奨暗号リスト”. 総務省及び経済産業省. 2017年12月10日閲覧。
- ^ “電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)”. 総務省及び経済産業省. 2017年12月10日閲覧。
- ^ “電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」(案)に係る意見募集について”. 総務省、経済産業省、情報通信研究機構、情報処理推進機構. 2013年11月25日閲覧。