Microsoft PowerPoint - ã•’å¤ªçﬂ°å–‹çﬂ�ã•‚æıŠå‘·æ−•è¡ﬁè©Łä¾¡å§ﬂåﬁ¡ä¼ıæ´»å‰Łå€±å‚− _å“°å‹·çﬂ¨_å·®ã†Šæł¿ã†‹_æœ•çµ‡æ‘’å⁄ºç›‹.pptx

Size: px

Start display at page:

Download "Microsoft PowerPoint - ã•’å¤ªçﬂ°å–‹çﬂ�ã•‚æıŠå‘·æ−•è¡ﬁè©Łä¾¡å§ﬂåﬁ¡ä¼ıæ´»å‰Łå€±å‚− _å“°å‹·çﬂ¨_å·®ã†Šæł¿ã†‹_æœ•çµ‡æ‘’å⁄ºç›‹.pptx"

きゅういちかんけ
5 years ago
Views:

1 暗号技術評価委員会活動報告暗号技術評価委員会委員長 ( 電気通信大学教授 ) 太田和夫 1

2 2016 年度 CRYPTREC 体制暗号技術検討会 Advisory Board for Cryptographic Technology 事務局 : 総務省経済産業省暗号技術評価委員会 Cryptographic Technology Evaluation Committee 事務局 :NICT, IPA 暗号技術の安全性及び実装に係る監視及び評価暗号技術の安全な利用方法に関する調査暗号技術活用委員会 Cryptographic Technology Promotion Committee 事務局 :IPA, NICT 暗号解析評価 WG Cryptanalysis Evaluation Working Group 軽量暗号 WG Lightweight Cryptography Working Group 軽量暗号 WG : 本間主査 2016 年度完了完成したガイドラインについてシンポジウム後半で講演 2

3 2017 年度 CRYPTREC 体制暗号技術検討会 Advisory Board for Cryptographic Technology 事務局 : 総務省経済産業省暗号技術評価委員会 Cryptographic Technology Evaluation Committee 事務局 :NICT, IPA 暗号技術の安全性及び実装に係る監視及び評価暗号技術の安全な利用方法に関する調査暗号解析評価 WG Cryptanalysis Evaluation Working Group 暗号技術活用委員会 Cryptographic Technology Promotion Committee 事務局 :IPA, NICT 暗号解析評価 WG : 高木主査 2017 年度継続この後講演 3

4 2016~2017 年度暗号技術評価委員会委員委員長太田和夫国立大学法人電気通信大学大学院情報理工学研究科教授委員岩田哲国立大学法人名古屋大学大学院工学研究科准教授委員上原哲太郎立命館大学情報理工学部教授委員金子敏信東京理科大学理工学部教授委員佐々木良一東京電機大学未来科学部教授委員高木剛国立大学法人東京大学大学院情報理工学系研究科数理情報学専攻教授委員手塚悟慶應義塾大学大学院政策メディア研究科特任教授委員本間尚文国立大学法人東北大学電気通信研究所教授委員松本勉国立大学法人横浜国立大学大学院環境情報研究院教授委員委員松本泰盛合志帆セコム株式会社 IS 研究所コミュニケーションプラットフォームディビジョンディビジョン国立研究開発法人情報通信研究機構サイバーセキュリティ研究所セキュリティ基盤研究室長マネージャー委員山村明弘国立大学法人秋田大学大学院理工学研究科数理電気電子情報学専攻教授委員渡邊創国立研究開発法人産業技術総合研究所情報人間工学領域研究戦略部研究企画室長 4

5 暗号技術評価委員会活動目的 CRYPTREC 暗号リストに掲載されている暗号技術や電子政府システム等で利用される暗号技術の安全性維持及び信頼性確保のために安全性及び実装に係る監視及び評価を行う 5

6 暗号技術評価委員会活動概要暗号技術の安全性及び実装に係る監視及び評価 CRYPTREC 暗号等の監視電子政府推奨暗号リスト及び推奨候補暗号リストからの運用監視リストへの降格および運用監視暗号リストからの危殆化が進んだ暗号の削除 CRYPTREC 注意喚起レポートの発行推奨候補暗号リストへの新規暗号 ( 事務局選出 ) の追加新技術などに関する調査及び評価暗号技術の安全な利用方法に関する調査 ( 技術ガイドラインの整備学術的な安全性の調査公表など ) 暗号アルゴリズムの危殆化に向けた対応 6

7 主な活動内容 SHAKE128 の CRYPTREC 暗号リストへの追加評価結果の確認条件が満たされているか判断共通鍵暗号の安全性評価 ChaCha20-Poly1305 の安全性実装性能評価 SHA-1 の安全性低下への対応外部調査開始 ChaCha20 安全性評価開始外部調査まとめ ChaCha20 安全性評価まとめ速報公開速報公開対応方針検討開始 Poly1305 安全性評価開始 ChaCha20-Poly1305 安全性評価開始 ChaCha20-Poly1305 実装性能調査開始ガイドライン更新作業開始第 1 回 2016 年度第 2 回第 1 回 7 月 2017 年度第 2 回 2 月 ( 予定 ) 暗号技術評価委員会開催 7

8 SHAKE128 の CRYPTREC 暗号リストへの追加 2016 年度 2015 年度までに実施した安全性及び実装性能評価をもとに CRYPTREC 暗号リストへの追加条件を満たしていると判断検討会審議により CRYPTREC 推奨候補暗号リストへ追加 8

9 SHAKE128 のセキュリティ強度推奨候補暗号リスト掲載のハッシュ関数 SHA-3 アルゴリズムセキュリティ強度 (bits) 出力長アルゴリズム (bits) 衝突攻撃原像攻撃第 2 原像攻撃への耐性への耐性への耐性 SHA SHA SHA SHAKE128 ( 注 ) d min(d/2,128) min(d,128) min(d,128) SHAKE256 ( 注 ) d min(d/2,256) min(d,256) min(d,256) ( 注 ) ハッシュ長は 256 ビット以上とすること 9

10 64 ビットブロック暗号の動向 MISTY1 に対する解析の進展 CRYPTO2016 解読にほぼすべて 2 64 組の ( 平文, 暗号文 ) を集める必要があるが鍵の全数探索よりも少ない計算量 (2 70 ) で鍵が導出可能 64 ビットブロック暗号の安全性 ACM CCS 2016 TLS や OpenVPN 等の実プロトコルで 64 ビットブロック暗号により同じ鍵で 2 32 ブロック以上暗号化した場合 cookie や password 等の秘密情報が導出可能 ( CVE , -6329) Open VPN, Mozilla, OpenSSL, Microsoft 等も対応 NIST (2017.7) TripleDES による暗号化上限回数を 2 32 から 2 20 に引き下げたガイドライン (SP800-68_rev2) のドラフト公開パブリックコメント募集 ( まで ) 10

11 共通鍵暗号の安全性評価 2016 年度外部専門家による調査を実施攻撃法の発展 ( 暗号解読に必要な計算量データ量メモリ量等の低下 ) の調査解読手法の進展や計算機能力の向上を勘案した共通鍵暗号の今後の危殆化に関する考察 2017 年度 64 ビットブロック暗号利用時の安全な利用方法 ( 同一鍵での暗号化上限回数 ) についての指針を検討中 11

12 ChaCha20-Poly1305 の安全性実装性能評価 2016 年度 ChaCha20 に関する安全性評価実施 2017 年度現時点で重大な脅威は見つかっていない Poly1305 の安全性評価 ChaCha20-Poly1305 の安全性評価 ChaCha20-Poly1305 の実装性能に関する調査 12

13 SHA-1 の安全性低下への対応 SHA-256 等より安全なハッシュ関数への速やかな移行を 13

14 政府機関の情報システムにおいて使用されている暗号アルゴリズム SHA-1 及び RSA1024 に係る移行指針内閣官房情報セキュリティセンター (NISC) より 2008 年 4 月 22 日公開 2008 年情報セキュリティ政策会議 14

15 SHA-1 の安全性低下に伴う影響 CRYPTREC 暗号リストに掲載されている暗号技術に対する影響を調査中東京工業大学田中圭介氏に協力依頼現時点で見解が得られている暗号技術技術分類名称公開鍵暗号守秘 RSA-OAEP 署名 DSA ECDSA RSA-PSS 15

16 公開鍵暗号 _ 守秘 RSA-OAEP 用いられているハッシュ関数に衝突攻撃への耐性が保証されていなかったとしても IND-CCA2 安全性が保たれる [KNTX10] 第 2 原像攻撃や原像攻撃への耐性が保証されない場合についても IND-CCA2 安全性が保たれる [KNTX10] Security of Encryption Scheme in Weakened Random Oracle Models, Akinori Kawachi, Akira Numayama, Keisuke Tanaka, Keita Xagawa, Public Key Cryptography 2010:

17 公開鍵暗号 _ 署名 DSA, ECDSA, (RSA-FDH) 用いられているハッシュ関数に衝突攻撃への耐性が保証されていないと選択的文書攻撃に対して存在的偽造不可能性が保たれない RSA-PSS 十分に長い salt をとることにより安全性は保たれる [KNTX08][LN09] [KNTX08] Security of Digital Signature Schemes in Weakened Random Oracle Models. Akira Numayama, Toshiyuki Isshiki, Keisuke Tanaka:, Public Key Cryptography 2008: [LN09] How Risky Is the Random-Oracle Model? Gaëtan Leurent, Phong Q. Nguyen, CRYPTO 2009:

18 SHA-1 に対する CRYPTREC の見解と対応方針 SHA-1 は CRYPTREC 暗号リストの運用監視暗号リストに掲載している (2013 年 3 月策定 ) 互換性維持以外の目的での利用を推奨しない SHA-1 の安全性低下が進んでいることから SHA-256 等のより安全なハッシュ関数への移行を推奨する CRYPTREC 暗号技術ガイドライン (SHA-1) の更新作業中 18

19 CRYPTREC 暗号技術ガイドライン (SHA-1) 2014 年 3 月発行更新版を今年度末に公開予定有識者のご協力のもと更新版を作成セコム IS 研究所松本泰氏佐藤雅史氏島岡政基氏外部関連組織のレビューも予定暗号技術評価委員会による審議現在ここ 19

20 2017 年度暗号技術評価委員会活動予定共通鍵暗号の安全性評価 64 ビットブロック暗号の安全な利用方法に関する注釈の追加 ChaCha20-Poly1305 の安全性実装性能評価安全性実装性能ともに CRYPTREC 暗号リストへの追加に十分な条件を満たしているかの判断 CRYPTREC 暗号リストへの新規カテゴリ新設の検討 SHA-1 の安全性低下への対応 CRYPTREC 暗号技術ガイドライン (SHA-1) 更新版公開 20

21 主な活動内容 SHAKE128 の CRYPTREC 暗号リストへの追加評価結果の確認条件が満たされているか判断リストへ追加済共通鍵暗号の安全性評価 ChaCha20-Poly1305 の安全性実装性能評価 SHA-1 の安全性低下への対応外部調査開始 ChaCha20 安全性評価開始外部調査まとめ ChaCha20 安全性評価まとめ速報公開速報公開対応方針検討開始 Poly1305 安全性評価開始 ChaCha20-Poly1305 安全性評価開始 ChaCha20-Poly1305 実装性能調査開始ガイドライン更新作業開始リストへの注釈追加リスト追加資格の判定ガイドラインの更新第 1 回 2016 年度第 2 回第 1 回 7 月 2017 年度第 2 回 2 月 ( 予定 ) 暗号技術評価委員会開催 21

22 付録 22

23 64 ビットブロック暗号 MISTY1 の安全性に関する速報 2015 年 8 月 12 日速報詳細は下記サイト参照 23

24 暗号アルゴリズムの脆弱性に関する情報発信フロー 24

暗号方式委員会報告（CRYPTRECシンポジウム2012）

暗号方式委員会報告（CRYPTRECシンポジウム2012）暗号方式委員会活動報告安全性実装性能評価リスト入りまでの基本的な流れ事務局選出暗号公募暗号技術現リスト掲載暗号次期リスト電子政府推奨暗号リスト推奨候補暗号リスト運用監視暗号リスト現リストのカテゴリ技術分類公開鍵暗号共通鍵暗号その他署名守秘鍵共有 64ビットブロック暗号 128 ビットブロック暗号ストリーム暗号ハッシュ関数擬似乱数生成系現リスト : 公開鍵暗号技術分類