楕円曲線暗号の整備動向＋楕円暗号の実装状況

Size: px

Start display at page:

Download "楕円曲線暗号の整備動向＋楕円暗号の実装状況"

ゆきさすすむ
7 years ago
Views:

1 楕円曲線暗号における PKI 2011 年 9 26 筑波学岡晃

2 PKI における公開鍵暗号式公開鍵暗号とえば RSA 暗号公開鍵暗号の利されているシーンでは現在ほぼすべて RSA 暗号が使われているとって良い RSA 暗号で使われる鍵のサイズは現在 1024 ビットや 2048 ビットが主流である楕円曲線暗号 (ECC:Elliptic Curve Cryptography) 楕円曲線暗号は楕円曲線利し曲線上の点の演算により定義される暗号式の総称である楕円曲線上でDiffie-Hellman(DH) 鍵共有をう楕円 DH (ECDH) 式や楕円曲線上でDigital Signature Algorithm (DSA) を実現する楕円 DSA(ECDSA) 式などがあるその他 :ECMQV ECIESなど RSA 暗号と較し鍵サイズがさいことが特でありポストRSA 暗号として注されている 2011/9/26 PKI Day

3 楕円曲線暗号整備の背景 NSA Suite B 2005 年国家安全保障局 (NSA) は機密情報の保護に利される暗号アルゴリズムのセットSuite Bを発表した公開鍵暗号のアルゴリズムにRSA 暗号はなく鍵交換は ECDH(256または384ビット素体 ) 電署名はECDSA (256ビットまたは384ビット素体) が指定されている 256ビット素体などの種別については後述その後 Suite Bに合わせた仕様が策定 RFC 等 Suite Bの実装ガイド (ECDH 版, ECDSA 版 ) も公開 NSA Suite B Implementers' Guide to NIST SP A NSA Suite B Implementers' Guide to FIPS (ECDSA) - February /9/26 PKI Day

4 NSA Suite B Implementer ʻs Guide to FIPS 年 2 3 発 Suite BにっているECDSAの実装ガイド NIST FIPS に定められている ECDSA を中に Suite B の ECDSA 実装に必要となる仕様がそれぞれ抜粋し構成されている ECDSA 仕様のうちSuite Bに関するもの P-256とP-384の2つのパラメータ ECDSAアルゴリズムそのもの ANS X9.62 公開鍵の検証 NIST SP A 2011/9/26 PKI Day

5 楕円曲線暗号のパラメータ RSA 暗号の鍵暗号 C 平 = M 公開鍵 e mod n n のサイズ = 鍵楕円曲線暗号の鍵楕円曲線 E : y 2 x 3 + ax + b mod を満たす素体上の点 ( 有理点 ) の数 ( 位数 ) # E のサイズ= 鍵 ( 素数 qで決められる素体の場合 ) q # E は a b, q # E, で決まる RSA と違って鍵を決めるのは 1 つの値 ( パラメータ ) だけではないパラメータのセットが複数存在 2011/9/26 PKI Day

6 パラメータの種類 :NIST 推奨パラメータ群楕円曲線のパラメータの表現体の構成 ( 素体 Prime Fields, 標数 2 の体 Binary Fields) サイズ曲線 NIST( 国標準技術研究所 ) 推奨パラメータ FIPS Appendix D ちなみに ECDSA ECDH はない Curves over Prime Fields P 192 P 384 P 224 P 521 P 256 Curves over Binary Fields K 163 B 233 K 409 K 571 B 163 K 283 B 409 B 571 K 233 B 283 *P は素体 B,K は標数 2 の体 K は Koblitz 曲線 2011/9/26 PKI Day

7 パラメータの種類 :SECG 推奨パラメータ群 SEC2: Recommended Elliptic Curve Domain Parameters SECG(The Standards for Efficent Cryptography): 楕円曲線暗号の標準仕様策定を指すコンソーシアム Curves over Prime Fileds secp192k1 secp192r1 secp224k1 secp224r1 secp256k1 secp256r1 secp384r1 secp521r1 Curves over Binary Fields sect163k1 sect283k1 sect163r1 sect283r1 sect163r2 sect409k1 sect233k1 sect409r1 sect233r1 sect571k1 sect239k1 sect571r1 2011/9/26 PKI Day

8 RFC 4492 によるマッピング 2011/9/26 PKI Day

9 各プラットフォームの対応状況 2011/9/26 PKI Day

10 対応状況の調査各種暗号ライブラリなどのプラットフォームで実際にECCは利できるのか ECCを使ったPKIが利可能なのか以下のプラットフォームで調査 OpenSSL Windows CNG Java SE /9/26 PKI Day

11 OpenSSL OpenSSL より ECC がデフォルトで利可能 2010 年 3 29 にリリース ECC 体の鍵成や証明書発は0.9.8でも可能だった ECC 関連の暗号スイートはALLで呼んでもリストアップされず ECCdraft を付ける必要があった 1.0.0からはALLで呼ばれるようになり ECCdraftはなくなった 2011/9/26 PKI Day

12 利可能なパラメータ種類 :OpenSSL OpenSSL は 67 種類表コマンド :openssl ecparam - list_curves secp112r1 secp384r1 sect131r1 sect283r1 c2tnb191v3 wap wsg idm ecid wtls1 secp112r2 secp521r1 sect131r2 sect409k1 c2pnb208w1 wap wsg idm ecid wtls3 secp128r1 prime192v1 sect163k1 sect409r1 c2tnb239v1 wap wsg idm ecid wtls4 secp128r2 prime192v2 sect163r1 sect571k1 c2tnb239v2 wap wsg idm ecid wtls5 secp160k1 prime192v3 sect163r2 sect571r1 c2tnb239v3 wap wsg idm ecid wtls6 secp160r1 prime239v1 sect193r1 c2pnb163v1 c2pnb272w1 wap wsg idm ecid wtls7 secp160r2 prime239v2 sect193r2 c2pnb163v2 c2pnb304w1 wap wsg idm ecid wtls8 secp192k1 prime239v3 sect233k1 c2pnb163v3 c2tnb359v1 wap wsg idm ecid wtls9 secp224k1 prime256v1 sect233r1 c2pnb176v1 c2pnb368w1 wap wsg idm ecid wtls10 secp224r1 sect113r1 sect239k1 c2tnb191v1 c2tnb431r1 wap wsg idm ecid wtls11 secp256k1 sect113r2 sect283k1 c2tnb191v2 wap wsg idm ecid wtls12 Oakley EC2N 3 Oakley EC2N /9/26 PKI Day

13 Windows CNG: Vistaから導されているWindows CNG (Cryptography Next Generation) で対応利可能なパラメータは3 種類 NIST パラメータの P-256 P-384 P-521 P-256 P-384 P-521 NSA Suite B で規定されているパラメータ 2011/9/26 PKI Day

14 Java SE 7 Java SE 7 より楕円曲線を利した暗号アルゴリズムに対応楕円曲線暗号のプロバイダである SunEC プロバイダが加わった対応アルゴリズム :ECIES ECDH ECMQV ECDSA 利可能パラメータは 46 種類 secp112r1 secp256r1,nist P- 256,prime256v1 sect163k1,nist K-163 sect571k1,nist K-571 secp112r2 secp384r1,nist P-384 sect163r1 sect571r1,nist B-571 secp128r1 secp521r1,nist P-521 sect163r2,nist B-163 c2tnb191v1 secp128r2 prime192v2 sect193r1 c2tnb191v2 secp160k1 prime192v3 sect193r2 c2tnb191v3 secp160r1 prime239v1 sect233k1,nist K-233 c2tnb239v1 secp160r2 prime239v2 sect233r1,nist B-233 c2tnb239v2 secp192k1 prime239v3 sect239k1 c2tnb239v3 secp192r1,nist P- 192,prime192v1 sect113r1 sect283k1,nist K-283 c2tnb359v1 secp224k1 sect113r2 sect283r1,nist B-283 c2tnb431r1 secp224r1,nist P-224 sect131r1 sect409k1,nist K-409 secp256k1 sect131r2 sect409r1,nist B /9/26 PKI Day

15 パラメータ対応表 : OpenSSL Windows CNG Java SE 7 openssl Windows CNG Java SE 7 openssl Windows CNG Java SE 7 secp112r1 secp112r1 sect409k1 sect409k1,nist K-409 secp112r2 secp112r2 sect409r1 sect409r1,nist B-409 secp128r1 secp128r1 sect571k1 sect571k1,nist K-571 secp128r2 secp128r2 sect571r1 sect571r1,nist B-571 secp160k1 secp160k1 c2pnb163v1 secp160r1 secp160r1 c2pnb163v2 secp160r2 secp160r2 c2pnb163v3 secp192k1 secp192k1 c2pnb176v1 secp224k1 secp224k1 c2tnb191v1 c2tnb191v1 secp224r1 secp224r1,nist P-224 c2tnb191v2 c2tnb191v2 secp256k1 secp256k1 c2tnb191v3 c2tnb191v3 secp384r1 P-384 secp384r1,nist P-384 c2pnb208w1 secp521r1 P-521 secp521r1,nist P-521 c2tnb239v1 c2tnb239v1 prime192v1 secp192r1,nist P- 192,prime192v1 c2tnb239v2 c2tnb239v2 prime192v2 prime192v2 c2tnb239v3 c2tnb239v3 prime192v3 prime192v3 c2pnb272w1 prime239v1 prime239v1 c2pnb304w1 prime239v2 prime239v2 c2tnb359v1 c2tnb359v1 prime239v3 prime239v3 c2pnb368w1 prime256v1 P-256 secp256r1,nist P- 256,prime256v1 c2tnb431r1 c2tnb431r1 sect113r1 sect113r1 wap-wsg-idm-ecidwtls1 sect113r2 sect113r2 wap-wsg-idm-ecidwtls3 sect131r1 sect131r1 wap-wsg-idm-ecidwtls4 sect131r2 sect131r2 wap-wsg-idm-ecidwtls5 sect163k1 sect163k1,nist K-163 wap-wsg-idm-ecidwtls6 sect163r1 sect163r1 wap-wsg-idm-ecidwtls7 sect163r2 sect163r2,nist B-163 wap-wsg-idm-ecidwtls8 sect193r1 sect193r1 wap-wsg-idm-ecidwtls9 sect193r2 sect193r2 wap-wsg-idm-ecidwtls10 sect233k1 sect233k1,nist K-233 wap-wsg-idm-ecidwtls11 sect233r1 sect233r1,nist B-233 wap-wsg-idm-ecidwtls12 sect239k1 sect239k1 Oakley-EC2N /9/26 sect283k1 sect283k1,nist K-283 PKI Day 2011Oakley-EC2N-4 15 sect283r1 sect283r1,nist B-283

16 適事例電パスポート ICAO の仕様に ECDSA がっている NXP 社の SmartMX チップがっている国が多い (2006 年 10 現在で 50 カ国中 36 カ国 ) SmartMX チップに搭載されている FameXE コプロセッサが ECC 対応 AACS(Advanced Access Content System) 画質放送コンテンツの記録と保護 Blu-Ray Disc HD-DVD で採ドライブやソフトウェア認証に ECDSA また鍵交換に ECDH が採されている BlackBerry コンテンツ保護エンタープライズアクティベーション S/MIME Support Package に ECC を利 Infineon ORIGA SLE ファミリバッテリ認証や機器認証温度モニタのハードウェアチップ ECC に対応 ZigBee Smart Energy ZigBee: 無線通信の規格ワイヤレスセンサネットワーク向け Smart Energy: 家庭内などで利しスマートハウスを実現するために使われるプロファイル認証や鍵合意 (Key Agreement) 署名に ECC が採されている DTCP(Digital Transmission Content Protection) IEEE 1394 ネットワーク上でコンテンツを伝送するときの保護規格鍵交換に ECDH 機器認証に ECDSA を採 2011/9/26 PKI Day

17 OPENSSL と WINDOWS での ECC 証明書の取り扱い 2011/9/26 PKI Day

18 実装での楕円曲線暗号証明書の取り扱い鍵成から証明書発さらに証明書の閲覧やSSLでの利などを調査調査項と対象プラットフォーム鍵成と証明書発 OpenSSL Windows Server 証明書の利ブラウザ OpenSSLのs_serverコマンド 2011/9/26 PKI Day

19 OpenSSL: 鍵成利した OpenSSL は 1.0.0e コマンド例 RSA openssl req -x509 -nodes -days 365 -newkey rsa: sha256 -keyout rsaroot.key -out rsaroot.pem ECC openssl ecparam -out eckey.ecparam -name secp384r1 openssl req -new -x509 -nodes -days newkey ec:eckey.ecparam -sha256 -keyout ecroot.key -out ecroot.pem 結果 67 種類のうち 2 種類のみ失敗 Oakley-EC2N-3 Oakley-EC2N-4 作成した鍵全て公開しています 11/keys/ 2011/9/26 PKI Day

20 OpenSSL:CSR 作成コマンド例 openssl ecparam -out eckey.ecparam -name secp256k1 openssl req -nodes -new -newkey ec:eckey.ecparam -keyout ecmca_byrsa.key - out ecmca_byrsa.csr 結果 67 種類のうち 2 種類のみ失敗 Oakley-EC2N-3 Oakley-EC2N-4 作成した CSR 全て公開しています pkiday2011/csrs/ 2011/9/26 PKI Day

21 OpenSSL: 証明書発 OpenSSL で作成した 65 種類の CSR に対して実ルート CA と中間 CA を意し中間 CA から証明書発ルート CA 中間 CA ともに prime256v1 の証明書結果 65 種類とも成功作成した証明書全て公開しています oka/pkiday2011/certs1/ 2011/9/26 PKI Day

22 OpenSSL 発証明書を Windows でる 65 種類の証明書を Windows(Vista) で閲覧 3 種のパラメータで問題なくえる prime256v1, secp384r1, secp521r1 つまり CNG で対応している NIST の P-256 P-384 P-521 他の証明書はエラーは出ないが 2011/9/26 PKI Day

23 OpenSSL:RootCA と中間 CA CA と中間 CA の暗号アルゴリズムを変えてパターンを複数作る CA 証明書 :ECC or RSA 中間 CA 証明書 :ECC or RSA クライアント証明書 :ECC or RSA CA/ 中間 CA の ECC 証明書は prime256v1 を利 Windows で証明書ファイルをてみるいずれも問題なくえる作成した証明書全て公開しています s2/ 命名ルール *root.cer はルート証明書 *MCA*.cer は中間 CA 証明書 XXX_byYZ.cer がクライアント証明書 XXX:ECC パラメータ Y: r or e 中間 CA の鍵の暗号アルゴリズム Z: r or e ルート CA の鍵の暗号アルゴリズム例 :ec_byre.cer ルート CA が ECC 鍵中間 CA が RSA 鍵クライアントが ECC 鍵 2011/9/26 PKI Day

24 Windows Server での鍵成 CSR 成証明書発鍵と CSR を作る Windows Server 上のツールを利作成できずプロバイダに ECC が現れない署名証明書は作成可能署名証明書を利して証明書発 OpenSSL で作成した CSR 群 (65 種 ) 限られたものだけ発できた prime256v1, secp384r1, secp521r1 つまり CNG で対応している NIST の P-256 P-384 P /9/26 PKI Day

25 クライアント側の動作 : ブラウザ (1) 実際に動いている Web サーバを利利パラメータ secp384r1 (P-384) 結果 IE8 ( ) O.K. Chrome beta-m O.K. Firefox O.K. Opera 11.51(Build 1087) N.G. クライアントのスイートにっていない Safari 5.1( ) O.K. 2011/9/26 PKI Day

26 クライアント側 : ブラウザ (2) サーバに OpenSSL の s_server を利利するパラメータは OpenSSL で利可能かつ証明書発が可能だった 65 種類結果 Opera は全てのパラメータで接続できず ( スイートに ECC 関連がってないため ) IE Firefox Chrome Safari は以下の曲線を使った鍵 ( と証明書 ) で閲覧可能 prime256v1 (P-256) secp384r1 (P-384) secp521r1 (P-521) 2011/9/26 PKI Day

27 ECC のパフォーマンス 2011/9/26 PKI Day

28 パフォーマンス測定 ECC 体の速度と SSL で ECC を利している時の接続速度を測定 OpenSSL の speed コマンド ( 暗号体の速度を計測 ) と s_time(ssl の接続時間を計測 ) を利測定に 2 台のサーバを利 1)CPU:Intel Core i7 920, RAM:8GB, OS:Linux (CentOS 5.6) 2)CPU:AMD Opteron 1216, RAM:2GB, OS:Linux (CentOS 5.6) speed コマンド利 RSA, ECDH, ECDSA の速度を較 s_time コマンド利 1 コネクションあたりの時間を測定 ECC 証明書を利するスイート群 RSA 証明書をいて部 ECC をいるスイート群 RSA 証明書を利し ECC を利しないスイート群を分けて調査 2011/9/26 PKI Day

29 OpenSSL speed コマンドでの較 :ECDSA 1 秒間の署名/ 検証数AMD Opteron 機鍵サイズ 2011/9/26 PKI Day

30 1 秒間の署名/ 検証数OpenSSL speed コマンドでの較 :ECDSA AMD Opteron 機パラメータごとに整理 2011/9/26 PKI Day

31 1 秒間の署名/ 検証数OpenSSL speed コマンドでの較 :ECDSA Intel Core i7 機鍵サイズ 2011/9/26 PKI Day

32 1 秒間の署名/ 検証数OpenSSL speed コマンドでの較 :ECDSA Intel Core i7 機パラメータごとに整理 2011/9/26 PKI Day

33 OpenSSL speed コマンドでの較 :ECDH 1 秒間のオペレーション数AMD Opteron 機パラメータごとに整理 2011/9/26 PKI Day

34 OpenSSL speed コマンドでの較 :ECDH 1 秒間のオペレーション数Intel Core i7 機パラメータごとに整理 2011/9/26 PKI Day

35 OpenSSL speed コマンドでの較 :RSA 1 秒間の署名/ 検証数AMD Opteron 機鍵サイズ 2011/9/26 PKI Day

36 OpenSSL speed コマンドでの較 :RSA 1 秒間の署名/ 検証数Intel Core i7 機鍵サイズ 2011/9/26 PKI Day

37 speed 較 :ECDSA V.S. RSA 安全性 (bit) ECDSA Param Sign/s Verify/s RSA Size Sign/s Verify/s secp160r nistp nistp nistp 同の安全性の場合 1. 署名は ECDSA のほうが速 2. 検証は RSA のほうが速 2011/9/26 PKI Day

38 1 秒間の接続数SSL コネクション速度 AMD Opteron 機 ECC 未使用 EC 証明書 (ECDH 鍵交換 ) EC 証明書 (ECDHE 鍵交換 ) RSA 証明書 (ECDHE 鍵交換 ) 2011/9/26 PKI Day

39 1 秒間の接続数SSL コネクション速度 Intel Core i7 機 ECC 未使用 EC 証明書 (ECDH 鍵交換 ) EC 証明書 (ECDHE 鍵交換 ) RSA 証明書 (ECDHE 鍵交換 ) 2011/9/26 PKI Day

40 まとめ PKI で楕円曲線暗号を使うプラットフォームは揃ってきている OpenSSL Windows CNG Java SE 7 鍵サイズ署名が RSA と較して短いという利点速度は RSA と較して短署名は楕円曲線暗号 (ECDSA) が速検証は RSA が速パラメータにより速度が異なる素体を使うパラメータが速演算法に依存? 連絡先 : 筑波学システム情報学研究科岡晃 kanaoka@risk.tsukuba.ac.jp 2011/9/26 PKI Day

楕円曲線暗号の整備動向＋楕円暗号の実装状況

楕円曲線暗号の整備動向＋楕円暗号の実装状況楕円曲線暗号の整備動向 + 楕円暗号の実装状況 2011 年 2 23 筑波学岡晃 2011/2/23 JNSA PKI 相互運用 WG 1 IPA 情報セキュリティ技術動向調査 TG ( タスクグループ ) 広範な情報セキュリティ分野において継続的にかつ質のい技術情報を収集し続けるため半期毎に発表会形式の会合を開催し討議をふまえて調査報告書を作成します http://www.ipa.go.jp/security/outline/comm

楕円曲線暗号の整備動向 ＋楕円暗号の実装状況

楕円曲線暗号の整備動向＋楕円暗号の実装状況