暗号モジュール試験及び認証制度 ~ 安心して使える暗号モジュールとは ~

Size: px

Start display at page:

Download "暗号モジュール試験及び認証制度 ~ 安心して使える暗号モジュールとは ~"

あつみねほがり
4 years ago
Views:

1 暗号モジュール試験及び認証制度 ~ 安心して使える暗号モジュールとは ~

2 暗号モジュールとは何か暗号化 USB メモリ暗号化ネットワークルータ HSM ( ハードウェアセキュリティモジュール ) スマートカードソフトウェア暗号ライブラリ承認されたセキュリティ機能をソフトウエア / ファームウエア / ハードウエアで実装したものである承認されたセキュリティ機能 : 電子政府推奨暗号リスト等に記載され安全性の確認されたセキュリティ機能

3 安心して使用できる暗号モジュール? 暗号アルゴリズムの強度は十分? 暗号アルゴリズムの実装は正しい? 暗号化 USB メモリ暗号化ネットワークルータ HSM ( ハードウェアセキュリティモジュール ) 鍵管理は大丈夫? スマートカードソフトウェア暗号ライブラリ生成した鍵は安全? 安心して使用できる暗号モジュールであるかどうかはさまざまな視点で検証する必要がある

4 事例紹介欧州オイスターカード 2008 年 6 月オランダの研究者が欧州で1,700 万枚発行されているオイスターカードを複製できることを英国ロンドンの地下鉄で実証した破られた理由としては次のようなものが挙げられているこのカードはNXPセミコンダクタ社製のMIFARE Classicと言われる古い製品であり搭載されている暗号アルゴリズムはNXP 社独自の CRYPTO1と言われるものでアルゴリズムは非公開だった暗号鍵長は48ビットしかなく全数探索しても数時間で探索可能であり現在では明らかに強度が不足している通信プロトコルや乱数生成アルゴリズムにも脆弱性がありこれらを利用されると極めて短時間に暗号鍵を盗まれてしまう安全性の弱い暗号アルゴリズムを使用していたためにセキュリティが守られていなかった隠蔽によるセキュリティは通用しない 4

5 事例紹介 RSA 鍵における素因数の共有 RSA 公開鍵の法 (modulus) N=pq N が素因数分解できると秘密鍵が判明する巨大な数の素因数分解は困難であるしかしもしも 2 個の RSA 公開鍵が素因数を共有していたら N 1 =pq 1, N 2 =pq 2 最大公約数 p=gcd(n 1, N 2 ) は容易に計算できる SSL 証明書 SSH ホスト鍵から多数の RSA 公開鍵を取得同じ素因数を共有している公開鍵の組が見つかった! 鍵生成時の乱数生成に問題があったと考えられる

6 事例紹介スマートメーターセキュリティ欠陥の例 GCHQ intervened to change the original designs and save the 11bn nationwide system of smart energy meters against hackers on discovery of a fault, which meant all of the meters were given the same encryption key.

7 暗号モジュール試験及び認証制度とは暗号モジュール試験及び認証制度 (JCMVP: Japan Cryptographic Module Validation Program) とはを担保する制度この制度を利用すると次の事項を確認できます電子政府推奨暗号リストに記載された暗号化及び電子署名のアルゴリズムを正しく実装していること暗号鍵管理が適切に行われること米国カナダの CMVP (Cryptographic Module Validation Program) 制度と同等の制度

8 JCMVP で承認されたセキュリティ機能技術分類暗号名称公開鍵暗号署名 DSA ECDSA RSASSA-PKCS1-v1_5 RSASSA-PSS 守秘 RSA-OAEP 鍵確立 DH, ECDH, MQV, ECMQV, NIST SP800-56B 共通鍵暗号 64ビットブロック暗号 3-key Triple DES 128ビットブロック暗号 AES, Camellia ブロック暗号利用モードストリーム暗号 ECB, CBC, CFB, CTR, XTS KCipher-2 その他ハッシュ関数 SHA-1, SHA-224, SHA-256, SHA-384, SHA-512, SHA512/224, SHA512/256 メッセージ認証擬似乱数生成系 CCM, CMAC, GCM/GMAC, HMAC-SHA-1, HMAC-SHA-224, HMAC- SHA-256, HMAC-SHA-384, HMAC-SHA-512, HMAC-SHA-512/224, HMAC-SHA-512/256 NIST SP800-90A (Hash_DRBG, HMAC_DRBG, CTR_DRBG) 注 : CMVP で承認されたセキュリティ機能は青字で表示 8

9 暗号モジュール試験及び認証制度の概要第三者による評価の有効性北米 CMVP (Cryptographic Module Validation Program) では暗号モジュール試験においてほぼ半数の製品で問題が発覚している北米 CMVP 試験機関の調査結果として 2013 年秋 ~2014 年夏までセキュリティレベル 1 2 の平均で

10 暗号モジュール試験及び認証制度の概要政府の調達要件における位置づけ府省庁対策基準策定のためのガイドライン ( 平成 26 年 5 月 19 日 ) 暗号電子署名基本対策事項 (1)-1 情報システムセキュリティ責任者は暗号化又は電子署名を行う情報システムにおいて以下を例とする措置を講ずること a) 情報システムのコンポーネント ( 部品 ) として暗号モジュールを交換することが可能な構成とする b) 複数のアルゴリズムを選択することが可能な構成とする c) 選択したアルゴリズムがソフトウェア及びハードウェアへ適切に実装された製品であってかつ暗号化された情報の復号又は電子署名の付与に用いる鍵及びそれにひも付く主体認証情報等が安全に保護される製品を利用することを前提とするため暗号モジュール試験及び認証制度に基づく認証を取得している製品を選択する d) 暗号化された情報の復号又は電子署名の付与に用いる鍵については耐タンパ性を有する暗号モジュールへ格納する e) 機微な情報のやり取りを行う情報システムを新規に構築する場合は安全性に実績のある暗号プロトコルを選択し長期的な秘匿性を保証する観点を考慮する統一基準の遵守事項を満たすために採られるべき基本的な対策事項として位置づけられています 10

11 暗号モジュール試験及び認証制度の概要個人情報の保護に関連して個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン ( 平成 26 年 12 月 12 日 ) 安全管理措置組織的安全管理措置 5 事故又は違反への対処» ( カ ) 事実関係再発防止策等の公表二次被害の防止類似事案の発生回避等の観点から個人データの漏えい等の事案が発生した場合は可能な限り事実関係再発防止策等を公表することが重要であるただし例えば以下のように二次被害の防止の観点から公表の必要性がない場合には事実関係等の公表を省略しても構わないものと考えられる ( 省略 ) 高度な暗号化等の秘匿化が施されている場合( ただし ( オ ) に定める報告の際高度な暗号化等の秘匿化として施していた措置内容を具体的に報告すること ) 高度な暗号化等の秘匿化が施されている場合とは例えば電子政府推奨暗号リスト又は ISO/IEC18033に掲げられている暗号アルゴリズムによって個人データを適切に暗号化しかつ復号 ( 平文化 ) のためのかぎ ( 鍵 ) が適切に管理されていると認められる場合など十分な秘匿性が確保されている場合暗号モジュール試験及び認証制度で認証された製品を使って 11 高度な暗号化等の秘匿化を実現できます

12 提出認証申請JCMVP 制度の全体像認証機関認定機関 NITE 独立行政法人製品評価技術基盤機構試験機関認定試験報告書験依提供物件試頼試験報告書試験機関 ITSC, ECSEC, E&E*1 試験用試験用試験用提供物件提供物件 JCMVP 認証書認証書発行申請者暗号モジュールの開発者供給者など *2 ITSC: 一般社団法人 IT セキュリティセンター評価部 ECSEC: 株式会社 ECSEC Laboratory 評価センター E&E: Epoche & Espri 12

13 JCMVP 認証適用可能な製品例スマートカード暗号化記憶装置 PCI カード HSM ( ハードウェアセキュリティモジュール ) ルータソフトウェア暗号ライブラリファイル暗号化ソフトウェア等 13

暗号モジュール試験及び認証制度の概要暗号モジュール試験の流れ国際標準暗号モジュールのセキュリティ要求事項 (ISO/IEC 19790) 暗号モジュールのセキュリティ試験要件 (ISO/IEC 24759) 暗号の実装が適切でそれが確実に実行されかつ暗号鍵などの重要情報が適切に保護されているかを試験文書ソースコードレビュー試験方法機能仕様書開発証拠資料有限状態モデル

14 暗号モジュール試験及び認証制度の概要暗号モジュール試験の流れ国際標準暗号モジュールのセキュリティ要求事項 (ISO/IEC 19790) 暗号モジュールのセキュリティ試験要件 (ISO/IEC 24759) 暗号の実装が適切でそれが確実に実行されかつ暗号鍵などの重要情報が適切に保護されているかを試験文書ソースコードレビュー試験方法機能仕様書開発証拠資料有限状態モデルガイダンス文書ソースコード物理セキュリティ試験の実施カバーの開封を検出して暗号鍵などの重要情報を消去することを確認低温高温での正常動作乱数の試験十分な乱雑さを有しているかを確認暗号アルゴリズム実装試験動作試験の実施暗号が正確に実装されているかを確認動作の確実性を確認サイドチャネル攻撃の耐性試験計測した消費電流漏洩電磁波から暗号処理内容に依存する変化が一定値未満であることを確認ウォーターフォールである必要はない 14

15 暗号モジュール試験及び認証制度の概要暗号モジュール試験概要文書レビューセキュリティポリシの確認有限状態モデル (FSM) 設計資料の確認 VEドキュメント ( ベンダ情報要件の説明 / 参照先指定 ) ソースコードレビュー FSM 設計資料とソースコードの一致物理セキュリティ試験 ( セキュリティレベル2 以上 ) 暗号アルゴリズム実装試験暗号アルゴリズム実装試験ツール (JCATT) を用いたセキュリティ機能のブラックボックステスト動作試験 ( オペレーションテスト ) FSMとの一致 ( エラー状態を含む ) ガイダンス文書との一致 FSM: Finite State Model ( 有限状態モデル ) VE: Vendor Evidence ( ベンダ証拠資料 ) 試験要件の中で VE で識別された要件に対応 15

16 暗号モジュール試験及び認証制度の概要暗号モジュール試験概要暗号アルゴリズム実装試験申請者 ( 開発者 ) 試験機関 3709FDD34CAC1 BAC88D217A5E4 3FF0A6AFAD13E 0D FDD34CAC1 BAC88D217A5E4 3FF0A6AFAD13E 0D0491 暗号アルゴリズム実装試験ツール暗号アルゴリズム実装試験問題 ( 質問ファイル ) 作成 ( 正解ファイル ) 作成 DDB8778F88379 BB3602CA8C8D2 E6628B289836E 6059AB DDB8778F88379 BB3602CA8C8D2 E6628B289836E 6059AB 暗号アルゴリズム実装試験ツール 3709FDD34CAC1 BAC88D217A5E4 3FF0A6AFAD13E 0D0491 答案 ( 回答ファイル ) 合否判定 16

17 サイドチャネル情報動作する IC から漏れる情報 IC の動作時には消費電力や発散する電磁場などを通してある程度情報が漏れているサイドチャネル攻撃消費電力電力解析電磁場電磁解析処理時間タイミングアタック ACE ACE54 13 XOR 57 = 49 9A XOR CE = 54 17

18 サイドチャネル情報共通鍵暗号の消費電力の例 AES-128 の消費電力波形の例消費電力時刻 AES の繰り返し構造を反映した消費電力ブースにてサイドチャネル攻撃の実演動画公開中 18

19 まとめ暗号モジュール試験及び認証制度はベンダにとっては安心して使用できる暗号モジュールであることのアピールに有効調達者にとっては安心して使用できる暗号モジュールであるかどうかの判断材料となる本日の内容をより詳細に解説するセミナーを定期的に開催しています暗号モジュール試験及び認証制度に関する説明会 6 月 30 日 ( 木 ) 開催予定 IPA メールニュース検索 IPA が開催するセミナー情報をお知らせします ( 登録制 )

20 新試験はじまる! 情報セキュリティマネジメント試験情報セキュリティの基礎知識から管理能力まで組織の情報セキュリティ確保に貢献し脅威から継続的に組織を守るための基本的スキルを認定する試験受験をお勧めする方個人情報を扱う全ての方業務部門管理部門で情報管理を担当する全ての方 28 年度秋期試験実施時期初回応募者約 2 万 3 千人!! 実施日 2016 年 10 月 16 日 ( 日 ) 申込受付 2016 年 7 月 11 日 ( 月 ) から

IT パスポート公式キャラクター上峰亜衣 ( うえみねあい ) プロフィール : マンガ https://www3.jitec.ipa.go.

21 IT パスポート公式キャラクター上峰亜衣 ( うえみねあい ) プロフィール : マンガ i パスは IT を利活用するすべての社会人学生が備えておくべき IT に関する基礎的な知識が証明できる国家試験です

暗号方式委員会報告（CRYPTRECシンポジウム2012）

暗号方式委員会報告（CRYPTRECシンポジウム2012）暗号方式委員会活動報告安全性実装性能評価リスト入りまでの基本的な流れ事務局選出暗号公募暗号技術現リスト掲載暗号次期リスト電子政府推奨暗号リスト推奨候補暗号リスト運用監視暗号リスト現リストのカテゴリ技術分類公開鍵暗号共通鍵暗号その他署名守秘鍵共有 64ビットブロック暗号 128 ビットブロック暗号ストリーム暗号ハッシュ関数擬似乱数生成系現リスト : 公開鍵暗号技術分類