楕円曲線暗号の整備動向＋楕円暗号の実装状況

Size: px

Start display at page:

Download "楕円曲線暗号の整備動向＋楕円暗号の実装状況"

はなさわい
5 years ago
Views:

1 楕円曲線暗号の整備動向 + 楕円暗号の実装状況 2011 年 2 23 筑波学岡晃 2011/2/23 JNSA PKI 相互運用 WG 1

2 IPA 情報セキュリティ技術動向調査 TG ( タスクグループ ) 広範な情報セキュリティ分野において継続的にかつ質のい技術情報を収集し続けるため半期毎に発表会形式の会合を開催し討議をふまえて調査報告書を作成します ittee/isec_tech1.html 2010 年上期で岡が楕円曲線暗号の整備動向を書きました tech1-tg/a_01.html 2011/2/23 JNSA PKI 相互運用 WG 2

3 楕円曲線暗号整備の背景 (1) 公開鍵暗号とえば RSA 暗号公開鍵暗号の利されているシーンでは現在ほぼすべて RSA 暗号が使われているとって良い RSA 暗号で使われる鍵のサイズは現在 1024 ビットや 2048 ビットが主流である楕円曲線暗号楕円曲線暗号は楕円曲線利し曲線上の点の演算により定義される暗号式の総称である楕円曲線上でDiffie-Hellman(DH) 鍵共有をう楕円 DH (ECDH) 式や楕円曲線上でDigital Signature Algorithm (DSA) を実現する楕円 DSA(ECDSA) 式などがある RSA 暗号と較し鍵サイズがさいことが特でありポストRSA 暗号として注されている 2011/2/23 JNSA PKI 相互運用 WG 3

4 楕円曲線暗号整備の背景 (2) NSA Suite B 2005 年国家安全保障局 (NSA) は機密情報の保護に利される暗号アルゴリズムのセットSuite Bを発表した公開鍵暗号のアルゴリズムにRSAはなく鍵交換は ECDH(256または384ビット素体 ) 電署名は ECDSA(256ビットまたは384ビット素体 ) が指定されているその後 Suite Bに合わせた仕様が策定されて来た RFC 等またSuite Bの実装ガイド (ECDH 版, ECDSA 版 ) も公開されている 2011/2/23 JNSA PKI 相互運用 WG 4

5 2010 年上半期の動向 NSA Suite B Implementer ʻs Guide to FIPS IETFにおける3つの新規 RFCと3つの改訂更新 RFC OpenSSL 1.0.0のリリース 2011/2/23 JNSA PKI 相互運用 WG 5

6 NSA Suite B Implementer ʻs Guide to FIPS 年 2 3 発 Suite BにっているECDSAの実装ガイド NIST FIPS に定められている ECDSA を中に Suite B の ECDSA 実装に必要となる仕様がそれぞれ抜粋し構成されている ECDSA 仕様のうちSuite Bに関するもの P-256とP-386の2つのパラメータ ECDSAアルゴリズムそのもの ANS X9.62 公開鍵の検証 NIST SP A 2011/2/23 JNSA PKI 相互運用 WG 6

7 IETF での関連仕様 (RFC)2010 年以降発新規 RFC 5639: Elliptic Curve Cryptography (ECC) Brainpool Standard Curves and Curve Generation (March 2010) RFC 5759 Suite B Certificate and Certificate Revocation List (CRL) Profile (January 2010) RFC5915 Elliptic Curve Private Key Structure (June 2010) RFC 6090 Fundamental Elliptic Curve Cryptography Algorithms (Feb. 2010) 改訂 (Updates & Obsoletes) RFC 5903 Elliptic Curve Groups modulo a Prime (ECP Groups) for IKE and IKEv2 (June 2010) < 旧 4753> RFC 5753 Use of Elliptic Curve Cryptography (ECC) Algorithms in Cryptographic Message Syntax (CMS) (January 2010)< 旧 3278> RFC 5758 Internet X.509 Public Key Infrastructure:Additional Algorithms and Identifiers for DSA and ECDSA (January 2010)< 旧 3279> 2011/2/23 JNSA PKI 相互運用 WG 7

8 新規 RFC RFC 6090: Fundamental Elliptic Curve Cryptography Algorithms (Feb. 2011) 基本的な楕円曲線暗号のアルゴリズム ECDH EC ElGamal 署名 (KT-I) RFC 5915: Elliptic Curve Private Key Structure (June 2010) 楕円曲線暗号のPrivate 鍵フォーマット RFC 5639: Elliptic Curve Cryptography (ECC) Brainpool Standard Curves and Curve Generation (March 2010) 楕円曲線パラメータの仕様 RFC 5759: Suite B Certificate and Certificate Revocation List (CRL) Profile (January 2010) Suite B 対応の X.509v3 証明書プロファイルと X.509v2 CRL プロファイル 2011/2/23 JNSA PKI 相互運用 WG 8

9 更新改訂 RFC (Updates & Obsoletes) RFC 5903: Elliptic Curve Groups modulo a Prime (ECP Groups) for IKE and IKEv2 (June 2010) Obsoletes: 4753 IPsec で利される IKE と IKEv2 の楕円曲線群 errata の修正 RFC 5753: Use of Elliptic Curve Cryptography (ECC) Algorithms in Cryptographic Message Syntax (CMS) (January 2010) Obsoletes: 3278 CMS での ECC の利参照仕様の変更利可能ハッシュ関数の拡 (SHA2 対応 ) RFC 5758: Internet X.509 Public Key Infrastructure:Additional Algorithms and Identifiers for DSA and ECDSA (January 2010) Updates: 3279 SHA2 系をつかった DSA と ECDSA のアルゴリズムの OID 仕様 2011/2/23 JNSA PKI 相互運用 WG 9

10 OpenSSL のリリースと ECC 関連 2010 年 3 29 にリリース ECC 体の鍵成や証明書発は0.9.8でも可能だった ECC 関連の暗号スイートはALLで呼んでもリストアップされず ECCdraft を付ける必要があったからは ALL で呼ばれるようになり ECCdraft はなくなった 2011/2/23 JNSA PKI 相互運用 WG 10

11 実装の公開鍵証明書の取り扱い鍵成と証明書発 OpenSSL Windows Server 証明書の利 OpenSSL s_server ブラウザ 2011/2/23 JNSA PKI 相互運用 WG 11

192 P 224 P 256 P 384 P 521 Curves over Binary Fields K 163 K 409 B

12 パラメータの種類 :NIST 楕円曲線のパラメータ体の構成 (Prime,Binary) サイズ曲線 NIST 推奨パラメータ FIPS Appendix D ちなみに ECDSA ECC はない Curves over Prime Fields P 192 P 224 P 256 P 384 P 521 Curves over Binary Fields K 163 K 409 B 163 B 409 K 233 K 571 B 233 B 571 K 283 B /2/23 JNSA PKI 相互運用 WG 12

パラメータの種類 :SECG SEC2: Recommended Elliptic Curve Domain Parameters www.secg.

pdf Curve over Fp secp192k1 secp192r1 secp224k1 secp224r1 secp256k1 secp256r1 secp384r1

13 パラメータの種類 :SECG SEC2: Recommended Elliptic Curve Domain Parameters Curve over Fp secp192k1 secp192r1 secp224k1 secp224r1 secp256k1 secp256r1 secp384r1 secp521r1 Curve over F_2^m sect163k1 sect283k1 sect163r1 sect283r1 sect163r2 sect409k1 sect233k1 sect409r1 sect233r1 sect571k1 sect239k1 sect571r1 2011/2/23 JNSA PKI 相互運用 WG 13

14 RFC 4492 によるマッピング 2011/2/23 JNSA PKI 相互運用 WG 14

15 利可能なパラメータ種類 CNGは3 種類 NIST パラメータの P-256 P-384 P-521 OpenSSL がとにかく多い openssl ecparam -list_curves 67 種類 ( 別のファイルで ) 2011/2/23 JNSA PKI 相互運用 WG 15

16 OpenSSL で鍵をつくる利した OpenSSL は最新版ではないです ( 当時は最新版でした ) コマンド例 RSA 鍵 openssl req -x509 -nodes -days 365 -newkey rsa:4096 -sha256 - keyout rsaroot.key -out rsaroot.pem ECC openssl ecparam -out eckey.ecparam -name secp384r1 openssl req -new nodes -days newkey ec:eckey.ecparam - sha256 -keyout ecroot.key -out ecroot.pem 結果 67 種類のうち 2 種類のみ失敗 Oakley-EC2N-3 Oakley-EC2N-4 つくった鍵ここに全部置きました /2/23 JNSA PKI 相互運用 WG 16

17 OpenSSL で CSR を作るコマンド例 openssl ecparam -out eckey.ecparam -name secp256k1 openssl req -nodes -new -newkey ec:eckey.ecparam -keyout ecmca_byrsa.key - out ecmca_byrsa.csr 結果 67 種類のうち 2 種類のみ失敗 Oakley-EC2N-3 Oakley-EC2N-4 つくった CSR ここに全部置きました ecctest/csrs/ 2011/2/23 JNSA PKI 相互運用 WG 17

18 OpenSSL で証明書発 (1) OpenSSL で作成した 65 種類の CSR に対して実ルート CA と中間 CA を意し中間 CA から証明書発ルート CA 中間 CA ともに prime256v1 の証明書結果 65 種類とも成功つくった証明書ここに全部置きました oka/ecctest/certs1/ 2011/2/23 JNSA PKI 相互運用 WG 18

19 OpenSSL で証明書発 (2) 65 種類の証明書を Windows(Vista) でてみると 3 種のパラメータで問題なくえる prime256v1, secp384r1, secp521r1 つまり NIST の P-256 P-384 P-521 他のやつはいちおう開けるけど 2011/2/23 JNSA PKI 相互運用 WG 19

20 OpenSSL で証明書発 (3) CA と中間 CA の暗号アルゴリズムを変えてパターンを複数作る CA 証明書 :ECC or RSA 中間 CA 証明書 :ECC or RSA クライアント証明書 :ECC or RSA ECC の証明書は prime256v1 を利 Windows で証明書ファイルをてみるいずれも問題なくえるつくった証明書ここに全部置きました命名ルール *root.cer はルート証明書 *MCA*.cer は中間 CA 証明書 XXX_byYZ.cer がクライアント証明書 XXX:rsa or ec クライアントの鍵の暗号アルゴリズム Y: r or e 中間 CA の鍵の暗号アルゴリズム Z: r or e ルート CA の鍵の暗号アルゴリズム例 :ec_byre.cer ルート CA が ECC 鍵中間 CA が RSA 鍵クライアントが ECC 鍵 2011/2/23 JNSA PKI 相互運用 WG 20

21 Windows Server での鍵成 CSR 成証明書発鍵 ( だけ ) と CSR を作る Windows Server 上の Web アクセスツール (?) を利作成できずプロバイダに ECC がない署名証明書なら作成できた証明書発する OpenSSL でつくった CSR 群限られたやつだけ発できた prime256v1, secp384r1, secp521r1 つまり NIST の P-256 P-384 P /2/23 JNSA PKI 相互運用 WG 21

22 クライアント側 : ブラウザ (1) サーバは OpenSSL の s_server というもあるが実際に動いている Web サーバへパラメータたぶん secp384r1 (P-384) # 環境では apache で動かなかった結果 IE8 ( ) O.K. Chrome O.K. Firefox O.K. Opera (Win32 Windows NT 6.0) アウトクライアントのスイートにっていない Safari 5.0( ) O.K. 2011/2/23 JNSA PKI 相互運用 WG 22

23 クライアント側 : ブラウザ (2) こんどは OpenSSL の s_server を利利する曲線はOpenSSLで利可能かつ証明書発が可能だった65 種類結果 Operaは全部アウト ( スイートにってない ) IE Firefox Chrome Safariは以下の曲線を使った鍵 ( の証明書 ) だとO.K. だった prime256v1 secp384r1 secp521r1 2011/2/23 JNSA PKI 相互運用 WG 23

24 証明書発サービスたぶんない? 2011/2/23 JNSA PKI 相互運用 WG 24

楕円曲線暗号の整備動向＋楕円暗号の実装状況

楕円曲線暗号の整備動向＋楕円暗号の実装状況楕円曲線暗号における PKI 2011 年 9 26 筑波学岡晃 PKI における公開鍵暗号式公開鍵暗号とえば RSA 暗号公開鍵暗号の利されているシーンでは現在ほぼすべて RSA 暗号が使われているとって良い RSA 暗号で使われる鍵のサイズは現在 1024 ビットや 2048 ビットが主流である楕円曲線暗号 (ECC:Elliptic Curve Cryptography)

楕円曲線暗号の整備動向 ＋楕円暗号の実装状況

楕円曲線暗号の整備動向＋楕円暗号の実装状況