暗号モジュール試験及び認証制度の動向

Size: px

Start display at page:

Download "暗号モジュール試験及び認証制度の動向"

こうしろうかいじ
7 years ago
Views:

1 暗号モジュール試験及び認証制度の動向 2014 年 9 月 29 日独立行政法人情報処理推進機構技術本部セキュリティセンター 1

2 目次暗号モジュール試験及び認証制度の概要 Hardware Security Module 関連する事例最近の研究 OpenSSL Heartbleed RSA 鍵ペア生成暗号鍵のゼロ化 ISO/IEC (2 nd edition) 暗号モジュールのセキュリティ要求事項 11 分野要求事項の抜粋暗号モジュールのインタフェース Sensitive Security Parameter 管理ライフサイクル保証 CSP:Critical Security Parameter セキュリティに関する情報であって, その開示又は変更が, 暗号モジュールのセキュリティを危たい ( 殆 ) 化し得るもの PSP:Public Security Parameter セキュリティに関連する公開情報であって, その変更が, 暗号モジュールのセキュリティを危たい ( 殆 ) 化し得るもの SSP:Sensitive Security Parameter クリティカルセキュリティパラメタ (CSP) 及び公開セキュリティパラメタ (PSP) の総称暗号の危殆化と移行 NIST SP A Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths NIST SP rev.1 Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations 2

3 暗号モジュール試験及び認証制度の概要暗号モジュール試験及び認証制度 (JCMVP: Japan Cryptographic Module Validation Program) とは暗号モジュールに暗号アルゴリズムが適切に実装されその鍵やパスワードといった重要情報が攻撃者から保護されるとともに許可された者がいつでもその機能を確実に利用できることを暗号モジュールのユーザが客観的に把握できるように設けられた第三者適合性評価制度暗号モジュールとは承認されたセキュリティ機能をソフトウェア / ファームウェア / ハードウェアで実装したもの米国カナダの CMVP (Cryptographic Module Validation Program) 制度と同等の制度 3

4 暗号モジュール試験及び認証制度の概要 JCMVP 制度の全体像暗号モジュール試験及び認証制度認証機関認定機関 NITE 独立行政法人製品評価技術基盤機構試験機関認定独立行政法人情報処理推進機構試験機関 ITSC, ECSEC, E&E, JQA *1 暗号モジュール認証書 WEB に掲載試験報告書提出試験用提供物件申請者暗号モジュールの開発者供給者など *1 ITSC: 一般社団法人 IT セキュリティセンター評価部 ECSEC: 株式会社 ECSEC Laboratory 評価センター E&E : Epoche & Espri JQA: 一般財団法人日本品質保証機構関西試験センター 4

5 暗号モジュール試験及び認証制度の概要 JCMVP 認証適用可能な製品例暗号化記憶装置 Hardware Security Module ルータソフトウェア暗号ライブラリ等 5

6 目次暗号モジュール試験及び認証制度の概要 Hardware Security Module 関連する事例最近の研究 OpenSSL Heartbleed RSA 鍵ペア生成暗号鍵のゼロ化 ISO/IEC (2 nd edition) 暗号モジュールのセキュリティ要求事項 11 分野要求事項の抜粋暗号モジュールのインタフェース Sensitive Security Parameter 管理ライフサイクル保証暗号の危殆化と移行 NIST SP A Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths NIST SP rev.1 Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations 6

7 Hardware Security Module 用途暗号鍵の物理的論理的保護タンパー検出応答そしてゼロ化環境故障試験環境故障保護アクセス制御暗号鍵 ( 公開鍵ペア ) の生成エントロピー署名生成検証運用側面長期間の使用暗号の危殆化 7

8 Hardware Security Module 関連する事例 (1) OpenSSL OpenSSL Heartbleed Heartbeat: TLSプロトコルの拡張機能暗号鍵を含む重要情報が Heartbeatの応答として返される教訓暗号モジュールのインターフェースサービスの重要性重要機能重要データ ( 暗号鍵 ) のデータ出力からの適切な分離 8

9 Hardware Security Module 関連する事例 (2) RSA 鍵ペア生成同じ秘密鍵を共有する TLS/SSL の鍵 N. Heninger, et al. "Mining Your Ps and Qs: Detection of Widespread Weak Keys in Network Devices", Usenix Security 教訓乱数生成器エントロピーの重要性 9

10 Hardware Security Module 関連する事例 (3) 暗号鍵のゼロ化タイミングオペレータがいない時暗号モジュールを廃棄する時敵の手に渡りそうな時要求暗号鍵を短時間で確実に最優先で消去したい検討課題暗号鍵のコピーがたくさんあったら (RAM 上キャッシュ上レジスタ上 ) 平文の暗号鍵がたくさんあったらデッドロックでゼロ化できなかったら 10

11 目次暗号モジュール試験及び認証制度の概要 Hardware Security Module 関連する事例最近の研究 OpenSSL Heartbleed RSA 鍵ペア生成暗号鍵のゼロ化 ISO/IEC (2 nd edition) 暗号モジュールのセキュリティ要求事項 11 分野要求事項の抜粋暗号モジュールのインタフェース Sensitive Security Parameter 管理ライフサイクル保証 CSP:Critical Security Parameter セキュリティに関する情報であって, その開示又は変更が, 暗号モジュールのセキュリティを危たい ( 殆 ) 化し得るもの PSP:Public Security Parameter セキュリティに関連する公開情報であって, その変更が, 暗号モジュールのセキュリティを危たい ( 殆 ) 化し得るもの SSP:Sensitive Security Parameter クリティカルセキュリティパラメタ (CSP) 及び公開セキュリティパラメタ (PSP) の総称暗号の危殆化と移行 NIST SP A Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths NIST SP rev.1 Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations 11

12 ISO/IEC (2 nd edition) 暗号モジュールのセキュリティ要求事項セキュリティ要求事項は 11 分野に分類暗号モジュールの仕様暗号モジュールのインタフェース入力パラメータフォーマットの検査役割, サービス及び認証サービスの確認ソフトウェアファームウェアセキュリティ動作環境物理的セキュリティ非侵襲セキュリティ Sensitive Security Parameter 管理エントロピーの試験ゼロ化の試験自己テストライフサイクル保証自動化されたセキュリティ診断ツールを使ったソフトウェアファームウェア構成要素の検査その他の攻撃への対処 1~4 のセキュリティレベルを定義 12

13 ISO/IEC (2 nd edition) 暗号モジュールのインタフェースセキュリティレベル 1, 2, 3 及び 4 暗号モジュールの仕様は, 入力データ及び制御情報のフォーマットを, 全ての可変長入力の長さ制限を含めて, 明確に規定しなければならない 13

14 ISO/IEC (2 nd edition) Sensitive Security Parameter 管理その 1 SSP : CSP と PSP の総称 SSP 管理 CSP : critical security parameter 秘密鍵パスワード等の重要情報 PSP : public security parameter 公開暗号鍵など SSP 格納乱数生成 SSP 生成 SSP 配送 SSP 共有 SSPのゼロ化 SSP 入出力乱数生成は SSP 管理の起点 SSP のゼロ化は SSP 管理の終点 14

15 ISO/IEC (2 nd edition) SSP 管理その 2 乱数生成暗号鍵を生成することを見越して SSP に必要なエントロピーを収集できるか SSP 生成共通鍵公開鍵認証データ ( 例 : チャレンジ ) SSP 共有 SSP 共有方法の理論的強度と共有される SSP の強度 (see SP ) SSP 入出力 SSP とエンティティとの関連付け SSP 格納 SSPとエンティティとの関連付け格納形式 ( 平文暗号化 ) 15

16 ISO/IEC (2 nd edition) SSP 管理その 3 乱数生成乱数生成の乱雑さが SSP 生成 ( 暗号鍵生成 ) といった暗号モジュールの重要機能に影響を与える攻撃者の視点乱数生成の乱数を推定 vs. 暗号鍵の全数探索 ( 総当たり攻撃 ) 乱数には暗号鍵以上の情報量 ( エントロピー ) が必要 SSP 管理乱数生成 SSP 生成乱雑さ / エントロピー暗号鍵に必要な情報量 SSP 格納 SSP 配送 SSP 共有 SSP 入出力 SSP のゼロ化 16

17 ISO/IEC (2 nd edition) SSP 管理その 4 SSP 生成 (1) セキュリティレベル 1, 2, 3 及び 4 承認された RBG の出力を利用する SSP 生成方法のセキュリティの危たい ( 殆 ) 化 ( 例えば, 決定論的 RBG を初期化するためのシード値の推定 ) は, 最低限, 生成された SSP の値を決定するのと同じだけの操作が必要でなければならない参考 ) NIST SP B (Draft) Independent and Identically Distributed (IID) 乱数の系列であってその系列の各要素が他の要素と同じ確率分布に従い全ての値が相互独立であるようなもの Non-IID 17

18 ISO/IEC (2 nd edition) SSP 管理その 4 SSP 生成 (2) SSP 生成例 ) RSA 鍵ペア生成素数 p, q を生成し合成数 n を計算鍵ペア生成方法 FIPS 素数生成» Provably Primes» Probably Primes» Provable Primes with conditions» Probable Primes with conditions FIPS 186-4» Miller-Rabin Probabilistic Primality Test» Enhanced Miller-Rabin Probabilistic Primality Test» Shawe-Taylor random prime routine» SSP 格納 SSP 配送 SSP 管理乱数生成 SSP 生成 SSP 共有 SSP のゼロ化 SSP 入出力 18

19 ISO/IEC (2 nd edition) SSP 管理その 5 SSP のゼロ化 (1) SSP のゼロ化重要情報である SSP のデータ復元等を防止したい保護されていないSSP 及び鍵要素をゼロ化する方法を提供しなければならない SSP 管理ゼロ化されたSSPは取り出せてもいけないし乱数生成再利用可能であってもいけないセキュリティレベル 2, 3 SSPを他のSSPで上書きすることは禁止ゼロ化が完了したことを示す状態出力が必要 SSP 格納 SSP 配送他の SSP による上書きの禁止 SSP 生成 SSP 共有 SSP のゼロ化ゼロ化完了インジケータ SSP 入出力 19

20 ISO/IEC (2 nd edition) SSP 管理その 5 SSP のゼロ化 (2) SSP のゼロ化セキュリティレベル 4 ゼロ化は, 直ちに実行され, かつ, 中断不可能でなければならず, さらに, ゼロ化は, その開始時刻から完了時刻までの間にセンシティブデータが復元されることを防ぐために, 十分短い時間で行われなければならない全てのSSPは, 平文であっても, 暗号的に保護されていても, ゼロ化されなければならないその結果, 暗号モジュールは工場出荷状態に戻る 20

21 ISO/IEC (2 nd edition) ライフサイクル保証開発 - セキュリティレベル 1 暗号モジュールがソフトウェア又はファームウェアを含む場合には, ソースコード, 言語リファレンス, コンパイラ, コンパイラバージョン及びコンパイラオプション, リンカ及びリンカオプション, ランタイムライブラリ及びランタイムライブラリの設定, 構成の設定, ビルドの手順及びビルド方法, ビルドオプション, 環境変数, 並びにソースコードを実行可能形式にコンパイル及びリンクするために用いられるその他の全てのリソースが, 構成管理システムを用いて追跡されなければならないセキュリティレベル 2 及び 3 ソフトウェアモジュール又はファームウェアモジュールは, 暗号モジュールの機能及び実行に不必要なコード, パラメタ又は記号の使用を避けるように, 設計かつ実装されなければならない 21

22 ISO/IEC (2 nd edition) ライフサイクル保証ベンダ試験 - セキュリティレベル 1 及び 2 ソフトウェアモジュール若しくはファームウェアモジュール, 又はハイブリッドモジュールのソフトウェア構成要素若しくはファームウェア構成要素に対して, ベンダは,( 例えば, バッファオーバーフロー検知する ) 自動化されたセキュリティ診断ツールを用いなければならない 22

23 目次暗号モジュール試験及び認証制度の概要 Hardware Security Module 関連する事例最近の研究 OpenSSL Heartbleed RSA 鍵ペア生成暗号鍵のゼロ化 ISO/IEC (2 nd edition) 暗号モジュールのセキュリティ要求事項 11 分野要求事項の抜粋暗号モジュールのインタフェース Sensitive Security Parameter 管理ライフサイクル保証暗号の危殆化と移行 NIST SP A Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths NIST SP rev.1 Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations 23

24 暗号の危殆化と移行セキュリティ強度 Bits of security 対称鍵暗号アルゴリズム 80 2TDEA L=1024 N= TDEA L=2048 N= AES-128 L=3072 N= AES-192 L=7680 N= AES-256 L=15360 N=512 SP Part 1 Table 2 2TDEA: 2-key Triple DES Algorithm 3TDEA: 3-key Triple DES Algorithm FFC IFC ECC L:FFCドメインパラメータの一部である素数 pのビット長 N:FFCドメインパラメータの一部であるqのビット長 k=1024 f= k=2048 f= k=3072 f= k=7680 f= k=15360 f=512+ FFC: Finite Field Cryptography IFC: Integer Factorization Cryptography ECC: Elliptic Curve Cryptography k:rsaの法 nのビット長 f: 楕円曲線の部分群の位数 24

25 暗号の危殆化と移行米国の動き NIST SP A Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths NISTが制定した暗号アルゴリズムの移行計画 112ビット以上のセキュリティ強度へ移行する 112ビット未満の強度の暗号については legacy use のみ認める既に暗号化されたデータの復号既に署名されたデータの検証乱数生成器については legacy なものから SP800-90A ベースのものに移行 25

26 暗号の危殆化と移行 SP A の移行スケジュールセキュリティ強度 CY 2010 CY 2011 CY 2012 CY 2013 CY 2014 CY 2015 CY 2016 暗号化 / 署名生成 /MAC 生成 112ビット未満 112ビット以上復号 / 署名検証 /MAC 検証 112ビット未満 112ビット以上乱数生成器 SP800-90A それ以外 Acceptable ( 許容 ): 承認されており使用に際してのセキュリティリスクは知られていない Deprecated ( 非推奨 ): 承認されてはいるが使用に際してユーザがリスクを受容しなければならない Legacy-use ( レガシー ): 暗号アルゴリズムを用いて既に保護された情報を処理するために使用しても良いがその保護のための暗号アルゴリズム又は鍵長の使用は現時点で Deprecated Restricted 又は非承認となったもの 26

暗号モジュール試験及び認証制度 ~ 安心して使える暗号モジュールとは ~

暗号モジュール試験及び認証制度 ~ 安心して使える暗号モジュールとは ~ 暗号モジュールとは何か暗号化 USB メモリ暗号化ネットワークルータ HSM ( ハードウェアセキュリティモジュール ) スマートカードソフトウェア暗号ライブラリ承認されたセキュリティ機能をソフトウエア / ファームウエア / ハードウエアで実装したものである承認されたセキュリティ機能 : 電子政府推奨暗号リスト等に記載され安全性の確認されたセキュリティ機能

暗号モジュール試験及び認証制度 の動向

暗号モジュール試験及び認証制度の動向