SSL/TLS 暗 号 設 定 ガイドライン 平 成 27 年 8 月 独 立 行 政 法 人 情 報 処 理 推 進 機 構 国 立 研 究 開 発 法 人 情 報 通 信 研 究 機 構
目 次 1. はじめに...5 1.1 本 書 の 内 容 及 び 位 置 付 け...5 1.2 本 書 が 対 象 とする 読 者...5 1.3 ガイドラインの 検 討 体 制...6 2. 本 ガイドラインの 理 解 を 助 ける 技 術 的 な 基 礎 知 識...7 2.1 SSL/TLS の 概 要...7 2.1.1 SSL/TLS の 歴 史...7 2.1.2 プロトコル 概 要...9 2.2 暗 号 アルゴリズムの 安 全 性... 10 2.2.1 CRYPTREC 暗 号 リスト... 10 2.2.2 異 なる 暗 号 アルゴリズムにおける 安 全 性 の 見 方... 10 PART I: サーバ 構 築 における 設 定 要 求 項 目 について... 13 3. 設 定 基 準 の 概 要... 14 3.1 実 現 すべき 設 定 基 準 の 考 え 方... 14 3.2 要 求 設 定 の 概 要... 16 3.3 チェックリスト... 17 4. プロトコルバージョンの 設 定... 19 4.1 プロトコルバージョンについての 要 求 設 定... 19 4.2 プロトコルバージョンごとの 安 全 性 の 違 い... 20 5. サーバ 証 明 書 の 設 定... 22 5.1 サーバ 証 明 書 についての 要 求 設 定... 22 5.2 サーバ 証 明 書 に 記 載 されている 情 報... 26 5.3 サーバ 証 明 書 で 利 用 可 能 な 候 補 となる 暗 号 アルゴリズム... 26 5.4 サーバ 証 明 書 で 考 慮 すべきこと... 27 5.4.1 信 頼 できないサーバ 証 明 書 の 利 用 は 止 める... 27 5.4.2 ルート CA 証 明 書 の 安 易 な 手 動 インストールは 避 ける... 28 5.4.3 サーバ 証 明 書 で 利 用 すべき 鍵 長... 28 5.4.4 サーバ 証 明 書 を 発 行 更 新 する 際 に 新 しい 鍵 情 報 を 生 成 する 重 要 性... 29 6. 暗 号 スイートの 設 定... 31 6.1 暗 号 スイートについての 要 求 設 定... 31 6.2 暗 号 スイートで 利 用 可 能 な 候 補 となる 暗 号 アルゴリズム... 33 6.3 鍵 交 換 で 考 慮 すべきこと... 34 6.3.1 秘 密 鍵 漏 えい 時 の 影 響 範 囲 を 狭 める 手 法 の 採 用 (Perfect Forward Secrecy の 重 要 性 ). 35 6.3.2 鍵 交 換 で 利 用 すべき 鍵 長... 35 6.3.3 DHE/ECDHE での 鍵 長 の 設 定 状 況 についての 注 意... 36 6.4 暗 号 スイートについての 実 装 状 況... 38 6.5 暗 号 スイートについての 詳 細 な 要 求 設 定... 38 SSL/TLS 暗 号 設 定 ガイドライン - 1
6.5.1 高 セキュリティ 型 での 暗 号 スイートの 詳 細 要 求 設 定... 38 6.5.2 推 奨 セキュリティ 型 での 暗 号 スイートの 詳 細 要 求 設 定... 39 6.5.3 セキュリティ 例 外 型 での 暗 号 スイートの 詳 細 要 求 設 定... 42 7. SSL/TLS を 安 全 に 使 うために 考 慮 すべきこと... 44 7.1 サーバ 証 明 書 の 作 成 管 理 について 注 意 すべきこと... 44 7.1.1 サーバ 証 明 書 での 脆 弱 な 鍵 ペアの 使 用 の 回 避... 44 7.1.2 推 奨 されるサーバ 証 明 書 の 種 類... 44 7.1.3 サーバ 証 明 書 の 有 効 期 限... 45 7.1.4 サーバ 鍵 の 適 切 な 管 理... 46 7.1.5 複 数 サーバに 同 一 のサーバ 証 明 書 を 利 用 する 場 合 の 注 意... 46 7.1.6 ルート CA 証 明 書... 47 7.2 さらに 安 全 性 を 高 めるために... 48 7.2.1 HTTP Strict Transport Security(HSTS)の 設 定 有 効 化... 48 7.2.2 リネゴシエーションの 脆 弱 性 への 対 策... 49 7.2.3 圧 縮 機 能 を 利 用 した 実 装 攻 撃 への 対 策... 50 7.2.4 OCSP Stapling の 設 定 有 効 化... 50 7.2.5 Public Key Pinning の 設 定 有 効 化... 51 PART II: ブラウザ&リモートアクセスの 利 用 について... 53 8. ブラウザを 利 用 する 際 に 注 意 すべきポイント... 54 8.1 本 ガイドラインが 対 象 とするブラウザ... 54 8.1.1 対 象 とするプラットフォーム... 54 8.1.2 対 象 とするブラウザのバージョン... 54 8.2 設 定 に 関 する 確 認 項 目... 55 8.2.1 基 本 原 則... 55 8.2.2 設 定 項 目... 55 8.3 ブラウザ 利 用 時 の 注 意 点... 57 8.3.1 鍵 長 1024 ビット SHA-1 を 利 用 するサーバ 証 明 書 の 警 告 表 示... 57 8.3.2 SSL3.0 の 取 り 扱 い... 59 9. その 他 のトピック... 60 9.1 リモートアクセス VPN over SSL (いわゆる SSL-VPN)... 60 Appendix: 付 録... 62 Appendix A:チェックリスト... 63 A.1. チェックリストの 利 用 方 法... 63 A.2. 高 セキュリティ 型 のチェックリスト... 64 A.3. 推 奨 セキュリティ 型 のチェックリスト... 65 A.4. セキュリティ 例 外 型 のチェックリスト... 68 Appendix B:サーバ 設 定 編... 71 B.1. サーバ 設 定 方 法 例 のまとめ... 71 B.1.1. Apache の 場 合... 71 B.1.2. lighttpd の 場 合... 72 B.1.3. nginx の 場 合... 72 SSL/TLS 暗 号 設 定 ガイドライン - 2
B.2. プロトコルバージョンの 設 定 方 法 例... 73 B.2.1. Apache の 場 合... 73 B.2.2. lighttpd の 場 合... 73 B.2.3. nginx の 場 合... 74 B.2.4. Microsoft IIS の 場 合... 74 B.3. 鍵 パラメータファイルの 設 定 方 法 例... 75 B.3.1. OpenSSL による DHE ECDH ECDHE 鍵 パラメータファイルの 生 成... 75 B.3.2. Apache における DHE ECDH ECDHE 鍵 パラメータ 設 定... 76 B.3.3. lighttpd における DHE ECDH ECDHE 鍵 パラメータ 設 定... 76 B.3.4. nginx における DHE ECDH ECDHE 鍵 パラメータ 設 定... 76 B.4. HTTP Strict Transport Security(HSTS)の 設 定 方 法 例... 77 B.4.1. Apache の 場 合... 77 B.4.2. lighttpd の 場 合... 77 B.4.3. nginx の 場 合... 78 B.4.4. Microsoft IIS の 場 合... 78 B.5. OCSP Stapling の 設 定 方 法 例... 79 B.5.1. Apache の 場 合... 79 B.5.2. nginx の 場 合... 80 B.5.3. Microsoft IIS の 場 合... 80 B.6. Public Key Pinning の 設 定 方 法 例... 80 B.6.1. Apache の 場 合... 81 B.6.2. lighttpd での 設 定 例... 82 B.6.3. nginx の 場 合... 82 B.6.4. Microsoft IIS の 場 合... 82 Appendix C: 暗 号 スイートの 設 定 例... 83 C.1. Windows での 設 定 例... 83 C.2. OpenSSL 系 での 設 定 例... 84 C.2.1. Apache, lighttpd, nginx の 場 合... 84 C.2.2. OpenSSL 系 での 暗 号 スイートの 設 定 例... 85 Appendix D:ルート CA 証 明 書 の 取 り 扱 い... 88 D.1. ルート CA 証 明 書 の 暗 号 アルゴリズムおよび 鍵 長 の 確 認 方 法... 88 D.2. Active Directory を 利 用 したプライベートルート CA 証 明 書 の 自 動 更 新... 90 SSL/TLS 暗 号 設 定 ガイドライン - 3
修 正 履 歴 修 正 日 修 正 内 容 2015.8.3 (Ver.1.1) Appendix B.6 での 誤 記 を 修 正 SSL/TLS 暗 号 設 定 ガイドライン - 4
1. はじめに 1.1 本 書 の 内 容 及 び 位 置 付 け 本 ガイドラインは 2015 年 3 月 時 点 における SSL/TLS 通 信 での 安 全 性 と 可 用 性 ( 相 互 接 続 性 ) のバランスを 踏 まえた SSL/TLS サーバの 設 定 方 法 を 示 すものである 本 ガイドラインは 9 章 で 構 成 されており 章 立 ては 以 下 のとおりである 2 章 では 本 ガイドラインを 理 解 するうえで 助 けとなる 技 術 的 な 基 礎 知 識 をまとめている 特 に 高 度 な 内 容 は 含 んでおらず SSL/TLS 及 び 暗 号 についての 技 術 的 な 基 礎 知 識 を 有 している 読 者 は 本 章 を 飛 ばしてもらって 構 わない 3 章 では SSL/TLS サーバに 要 求 される 設 定 基 準 の 概 要 について 説 明 しており 4 章 から 6 章 で 実 現 すべき 要 求 設 定 の 考 え 方 を 示 す 4 章 から 6 章 では 3 章 で 定 めた 設 定 基 準 に 基 づき 具 体 的 な SSL/TLS サーバの 要 求 設 定 につ いて 示 す 本 章 の 内 容 は 安 全 性 と 可 用 性 を 踏 まえたうえで 設 定 すべき 要 求 事 項 である 第 7 章 では チェックリストの 対 象 には 含 めていないが SSL/TLS を 安 全 に 使 うために 考 慮 す べきことをまとめている 本 章 の 内 容 は 情 報 提 供 の 位 置 づけとして 記 載 している 第 8 章 は クライアントの 一 つであるブラウザの 設 定 に 関 する 事 項 を 説 明 しており ブラウザ の 利 用 者 に 対 して 啓 発 するべき 事 項 を 取 り 上 げている 本 章 の 内 容 は 第 7 章 と 同 様 情 報 提 供 の 位 置 づけのものである 第 9 章 は そのほかのトピックとして SSL/TLS を 用 いたリモートアクセス 技 術 ( SSL-VPN とも 言 われる)について 記 載 している 本 章 の 内 容 も 情 報 提 供 の 位 置 づけのものである 3 章 から 6 章 が 本 ガイドラインの 最 大 の 特 長 ともいえ 暗 号 技 術 以 外 の 様 々な 利 用 上 の 判 断 材 料 も 加 味 した 合 理 的 な 根 拠 を 重 視 して 現 実 的 な 利 用 方 法 を 目 指 している 具 体 的 には 実 現 す べき 安 全 性 と 必 要 となる 相 互 接 続 性 とのトレードオフを 考 慮 する 観 点 から 安 全 性 と 可 用 性 を 踏 まえたうえで 設 定 すべき 要 求 設 定 項 目 として 3 つの 設 定 基 準 ( 高 セキュリティ 型 推 奨 セ キュリティ 型 セキュリティ 例 外 型 )を 提 示 している Appendix には 4 章 から 6 章 までの 設 定 状 況 を 確 認 するためのチェックリストや 個 別 製 品 で の 具 体 的 な 設 定 方 法 例 も 記 載 している チェックリストの 目 的 は 選 択 した 設 定 基 準 に 対 応 した 要 求 設 定 項 目 の 設 定 忘 れの 防 止 と サ ーバ 構 築 の 作 業 受 託 先 が 適 切 に 要 求 設 定 項 目 を 設 定 したことの 確 認 を 行 うための 手 段 となるも のである 1.2 本 書 が 対 象 とする 読 者 対 象 読 者 は 主 に SSL/TLS サーバを 実 際 に 構 築 するにあたって 具 体 的 な 設 定 を 行 うサーバ 構 築 者 実 際 のサーバ 管 理 やサービス 提 供 に 責 任 を 持 つことになるサーバ 管 理 者 並 びに SSL/TLS サ SSL/TLS 暗 号 設 定 ガイドライン - 5
ーバの 構 築 を 発 注 するシステム 担 当 者 としている 一 部 の 内 容 については ブラウザを 使 う 一 般 利 用 者 への 注 意 喚 起 も 対 象 とする 1.3 ガイドラインの 検 討 体 制 本 ガイドラインは CRYPTREC 暗 号 技 術 活 用 委 員 会 の 配 下 に 設 置 された 運 用 ガイドラインワー キンググループに 参 加 する 委 員 の 知 見 を 集 約 したベストプラクティスとして 作 成 されたものであ り 暗 号 技 術 活 用 委 員 会 及 び 暗 号 技 術 検 討 会 の 承 認 を 得 て 発 行 されたものである 運 用 ガイドラインワーキンググループは 表 1 のメンバーにより 構 成 されている 表 1 運 用 ガイドラインワーキンググループの 構 成 主 査 菊 池 浩 明 明 治 大 学 総 合 数 理 学 部 先 端 メディアサイエンス 学 科 教 授 委 員 阿 部 貴 株 式 会 社 シマンテック SSL 製 品 本 部 SSL プロダクトマーケティング 部 マネージャー 委 員 漆 嶌 賢 二 富 士 ゼロックス 株 式 会 社 CS 品 質 本 部 品 質 保 証 部 マネージャー 委 員 及 川 卓 也 グーグル 株 式 会 社 エンジニアリング シニアエンジニアリングマネージャー 委 員 加 藤 誠 一 般 社 団 法 人 Mozilla Japan 技 術 部 テクニカルアドバイザ 委 員 佐 藤 直 之 株 式 会 社 イノベーションプラス Director 委 員 島 岡 政 基 セコム 株 式 会 社 IS 研 究 所 コミュニケーションプラットフォームディビジョン 暗 号 認 証 基 盤 グループ 主 任 研 究 員 委 員 須 賀 祐 治 株 式 会 社 インターネットイニシアティブ サービスオペレーション 本 部 セキュリティ 情 報 統 括 室 シニアエンジニア 委 員 高 木 浩 光 独 立 行 政 法 人 産 業 技 術 総 合 研 究 所 セキュアシステム 研 究 部 門 主 任 研 究 員 委 員 村 木 由 梨 香 日 本 マイクロソフト 株 式 会 社 セキュリティレスポンスチーム セキュリティプログラムマネージャ 委 員 山 口 利 恵 東 京 大 学 大 学 院 情 報 理 工 学 系 研 究 科 ソーシャル ICT 研 究 センター 特 任 准 教 授 執 筆 神 田 雅 透 情 報 処 理 推 進 機 構 技 術 本 部 セキュリティセンター とりまとめ SSL/TLS 暗 号 設 定 ガイドライン - 6
2. 本 ガイドラインの 理 解 を 助 ける 技 術 的 な 基 礎 知 識 2.1 SSL/TLS の 概 要 2.1.1 SSL/TLS の 歴 史 Secure Sockets Layer (SSL)はブラウザベンダであった Netscape 社 により 開 発 されたクライアン ト-サーバモデルにおけるセキュアプロトコルである SSL には 3 つのバージョンが 存 在 するが バージョン 1.0 は 非 公 開 である SSL2.0 が 1995 年 にリリースされたが その 後 すぐに 脆 弱 性 が 発 見 され 翌 1996 年 に SSL3.0 [RFC6101] が 公 開 されている 標 準 化 団 体 Internet Engineering Task Force (IETF)は 非 互 換 性 の 問 題 を 解 決 するために Transport Layer Security Protocol Version 1.0 (TLS1.0) [RFC2246] を 策 定 した TLS1.0 は SSL3.0 をベースに している TLS1.0 で 定 められているプロトコルバージョンからも 分 かるように TLS1.0 は SSL3.1 とも 呼 ばれる TLS1.1 [RFC4346] は TLS1.0 における 暗 号 利 用 モードの 一 つである CBC 1 モードで 利 用 される 初 期 ベクトルの 選 択 とパディングエラー 処 理 に 関 連 する 脆 弱 性 に 対 処 するために 仕 様 策 定 が 行 わ れた 具 体 的 には BEAST 2 攻 撃 を 回 避 することができる さらに TLS1.2 [RFC5246] は 特 にハッシュ 関 数 SHA-2 family (SHA-256 や SHA-384)の 利 用 など より 強 い 暗 号 アルゴリズムの 利 用 が 可 能 になった 例 えばメッセージ 認 証 コード(MAC 3 )や 擬 似 乱 数 関 数 にて SHA-2 family が 利 用 可 能 になっている また 認 証 付 暗 号 利 用 モードが 利 用 可 能 な 暗 号 スイートのサポートがなされており 具 体 的 には GCM 4 や CCM 5 モードの 利 用 が 可 能 になっ た 表 2 に SSL/TLS のバージョンの 概 要 をまとめる 最 近 では IETF において TLS1.3 の 規 格 化 の 議 論 が 進 んでいる なお SSL/TLS に 対 する 攻 撃 方 法 の 技 術 的 な 詳 細 については CRYPTREC 暗 号 技 術 ガイドラ イン(SSL/TLS における 近 年 の 攻 撃 への 対 応 状 況 ) 6 を 参 照 されたい 1 CBC: Ciphertext Block Chaining 2 BEAST: Browser Exploit Against SSL/TLS 3 MAC: Message Authentication Code 4 GCM: Galois/Counter Mode 5 CCM: Counter with CBC-MAC 6 http://www.cryptrec.go.jp/report/c13_kentou_giji02_r2.pdf SSL/TLS 暗 号 設 定 ガイドライン - 7
表 2 SSL/TLS のバージョン 概 要 バージョン 概 要 SSL2.0 いくつかの 脆 弱 性 が 発 見 されており なかでも ダウングレード 攻 撃 ( 最 弱 の (1994) アルゴリズムを 強 制 的 に 使 わせることができる) と バージョンロールバック 攻 撃 (SSL2.0 を 強 制 的 に 使 わせることができる) は 致 命 的 な 脆 弱 性 といえる SSL2.0 は 利 用 すべきではなく 実 際 に 2005 年 頃 以 降 に 出 荷 されているサーバや ブラウザでは SSL2.0 は 初 期 状 態 で 利 用 不 可 となっている SSL3.0 SSL2.0 での 脆 弱 性 に 対 処 したバージョン (RFC6101) 2014 年 10 月 に POODLE 7 攻 撃 が 発 表 されたことにより 特 定 の 環 境 下 での CBC モ (1995) ードの 利 用 は 危 険 であることが 認 識 されている POODLE 攻 撃 は SSL3.0 にお けるパディングチェックの 仕 方 の 脆 弱 性 に 起 因 しているため この 攻 撃 に 対 す る 回 避 策 は 現 在 のところ 存 在 していない POODLE 攻 撃 の 発 表 を 受 け 必 要 に 応 じてサーバやブラウザの 設 定 を 変 更 し SSL3.0 を 無 効 化 にするよう 注 意 喚 起 されている 8 TLS1.0 2015 年 3 月 時 点 では もっとも 広 く 実 装 されているバージョンであり 実 装 率 (RFC2246) はほぼ 100% (1999) ブロック 暗 号 を CBC モードで 利 用 した 時 の 脆 弱 性 を 利 用 した 攻 撃 (BEAST 攻 撃 など)が 広 く 知 られているが 容 易 な 攻 撃 回 避 策 が 存 在 し すでにセキュリテ ィパッチも 提 供 されている また SSL3.0 で 問 題 となった POODLE 攻 撃 は プ ロトコルの 仕 様 上 TLS1.0 には 適 用 できない 暗 号 スイートとして より 安 全 なブロック 暗 号 の AES と Camellia 並 びに 公 開 鍵 暗 号 署 名 に 楕 円 曲 線 暗 号 が 利 用 できるようになった 秘 密 鍵 の 生 成 などに 擬 似 乱 数 関 数 を 採 用 MAC の 計 算 方 法 を HMAC に 変 更 TLS1.1 ブロック 暗 号 を CBC モードで 利 用 した 時 の 脆 弱 性 を 利 用 した 攻 撃 (BEAST 攻 撃 (RFC4346) 等 )への 対 策 を 予 め 仕 様 に 組 み 入 れるなど TLS1.0 の 安 全 性 強 化 を 図 っている (2006) 実 装 に 関 しては 規 格 化 された 年 が TLS1.2 とあまり 変 わらなかったため TLS1.1 と TLS1.2 は 同 時 に 実 装 されるケースも 多 く 2015 年 3 月 時 点 でのサーバやブラ ウザ 全 体 における 実 装 率 は 約 50% TLS1.2 暗 号 スイートとして より 安 全 なハッシュ 関 数 SHA-256 と SHA-384 CBC モー (RFC5246) ドより 安 全 な 認 証 付 暗 号 利 用 モード(GCM CCM)が 利 用 できるようになった (2008) 特 に 認 証 付 暗 号 利 用 モードでは 利 用 するブロック 暗 号 が 同 じであっても CBC モードの 脆 弱 性 を 利 用 した 攻 撃 (BEAST 攻 撃 等 )がそもそも 適 用 できない 必 須 の 暗 号 スイートを TLS_RSA_WITH_AES_128_CBC_SHA に 変 更 IDEA と DES を 使 う 暗 号 スイートを 削 除 擬 似 乱 数 関 数 の 構 成 を MD5/SHA-1 ベースから SHA-256 ベースに 変 更 本 格 的 に 実 装 が 始 まったのは 最 近 であり 2015 年 3 月 時 点 でのサーバやブラウ ザ 全 体 における 実 装 率 は 約 55% 7 POODLE: Padding Oracle On Downgraded Legacy Encryption 8 SSL3.0 の 脆 弱 性 対 策 について http://www.ipa.go.jp/security/announce/20141017-ssl.html SSL/TLS 暗 号 設 定 ガイドライン - 8
2.1.2 プロトコル 概 要 SSL/TLS はセッション 層 に 位 置 するセキュアプロトコルで 通 信 の 暗 号 化 データ 完 全 性 の 確 保 サーバ( 場 合 によりクライアント)の 認 証 を 行 うことができる セッション 層 に 位 置 するこ とで アプリケーション 層 ごとにセキュリティ 確 保 のための 仕 組 みを 実 装 する 必 要 がなく HTTP SMTP POP など 様 々なプロトコルの 下 位 に 位 置 して 上 記 のような 機 能 を 提 供 することができ る SSL/TLS では 暗 号 通 信 を 始 めるに 先 立 って ハンドシェイクが 実 行 される( 図 1 参 照 ) ハンドシェイクでは 1ブラウザ(クライアント)とサーバが 暗 号 通 信 するために 利 用 する 暗 号 アルゴリズムとプロトコルバージョンを 決 定 し 2サーバ 証 明 書 によってサーバの 認 証 を 行 い 3そのセッションで 利 用 するセッション 鍵 を 共 有 する までの 一 連 の 動 作 を 行 う その 際 SSL/TLS では 相 互 接 続 性 の 確 保 を 優 先 してきたため 一 般 には 複 数 の 暗 号 アルゴリズ ムとプロトコルバージョンが 実 装 されている 結 果 として 暗 号 通 信 における 安 全 性 強 度 は ハ ンドシェイクの1の 処 理 でどの 暗 号 アルゴリズムとプロトコルバージョンを 選 択 したかに 大 きく 依 存 する サイトの 身 分 証 明 ともいえるサーバ 証 明 書 は Trusted Third Party である 認 証 局 (CA 9 )によっ て 発 行 されるのが 一 般 的 であり 特 に Web Trust for CA などの 一 定 の 基 準 を 満 たしている 代 表 的 な 認 証 局 の 証 明 書 はルート CA として 予 めブラウザに 登 録 されている (4)の 検 証 では ブラウザ に 登 録 された 認 証 局 の 証 明 書 を 信 頼 の 起 点 として 当 該 サーバ 証 明 書 の 正 当 性 を 確 認 する 図 1 SSL/TLS プロトコル 概 要 9 Certificate Authority SSL/TLS 暗 号 設 定 ガイドライン - 9
2.2 暗 号 アルゴリズムの 安 全 性 2.2.1 CRYPTREC 暗 号 リスト 総 務 省 と 経 済 産 業 省 は 暗 号 技 術 に 関 する 有 識 者 で 構 成 される CRYPTREC 活 動 を 通 して 電 子 政 府 で 利 用 される 暗 号 技 術 の 評 価 を 行 っており 2013 年 3 月 に 電 子 政 府 における 調 達 のため に 参 照 すべき 暗 号 のリスト(CRYPTREC 暗 号 リスト) を 策 定 した 10 CRYPTREC 暗 号 リストは 電 子 政 府 推 奨 暗 号 リスト 推 奨 候 補 暗 号 リスト 及 び 運 用 監 視 暗 号 リスト で 構 成 される 政 府 機 関 の 情 報 セキュリティ 対 策 のための 統 一 基 準 ( 平 成 26 年 度 版 ) ( 平 成 26 年 5 月 19 日 情 報 セキュリティ 政 策 会 議 ) では 以 下 のように 記 載 されており 政 府 機 関 における 情 報 シ ステムの 調 達 及 び 利 用 において CRYPTREC 暗 号 リストのうち 電 子 政 府 推 奨 暗 号 リスト が 原 則 的 に 利 用 される 政 府 機 関 の 情 報 セキュリティ 対 策 のための 統 一 基 準 ( 抄 ) 6.1.5 暗 号 電 子 署 名 - 遵 守 事 項 (1)(b) 情 報 システムセキュリティ 責 任 者 は 暗 号 技 術 検 討 会 及 び 関 連 委 員 会 (CRYPTREC)に より 安 全 性 及 び 実 装 性 能 が 確 認 された 電 子 政 府 推 奨 暗 号 リスト を 参 照 した 上 で 情 報 システムで 使 用 する 暗 号 及 び 電 子 署 名 のアルゴリズム 及 び 運 用 方 法 について 以 下 の 事 項 を 含 めて 定 めること (ア) 行 政 事 務 従 事 者 が 暗 号 化 及 び 電 子 署 名 に 対 して 使 用 するアルゴリズムについて 電 子 政 府 推 奨 暗 号 リスト に 記 載 された 暗 号 化 及 び 電 子 署 名 のアルゴリズムが 使 用 可 能 な 場 合 には それを 使 用 させること (イ) 情 報 システムの 新 規 構 築 又 は 更 新 に 伴 い 暗 号 化 又 は 電 子 署 名 を 導 入 する 場 合 に は やむを 得 ない 場 合 を 除 き 電 子 政 府 推 奨 暗 号 リスト に 記 載 されたアルゴ リズムを 採 用 すること ( 以 下 略 ) 2.2.2 異 なる 暗 号 アルゴリズムにおける 安 全 性 の 見 方 異 なる 技 術 分 類 の 暗 号 アルゴリズムを 組 合 せて 利 用 する 際 ある 技 術 分 類 の 暗 号 アルゴリズム の 安 全 性 が 極 めて 高 いものであっても 別 の 技 術 分 類 の 暗 号 アルゴリズムの 安 全 性 が 低 ければ 結 果 として 低 い 安 全 性 の 暗 号 アルゴリズムに 引 きずられる 形 で 全 体 の 安 全 性 が 決 まる 逆 に 言 えば 異 なる 技 術 分 類 の 暗 号 アルゴリズムであっても 同 程 度 の 安 全 性 とみなされている 暗 号 ア ルゴリズムを 組 合 せれば 全 体 としても 同 程 度 の 安 全 性 が 実 現 できることになる 異 なる 技 術 分 類 の 暗 号 アルゴリズムについて 同 程 度 の 安 全 性 を 持 つかどうかを 判 断 する 目 安 と して ビット 安 全 性 ( 等 価 安 全 性 ということもある) という 指 標 がある 具 体 的 には 評 価 対 象 とする 暗 号 アルゴリズムに 対 してもっとも 効 率 的 な 攻 撃 手 法 を 用 いたときに どの 程 度 の 計 算 量 があれば 解 読 できるか( 解 読 計 算 量 11 )で 表 現 され 鍵 長 12 とは 別 に 求 められる 表 記 上 解 10 http://www.cryptrec.go.jp/images/cryptrec_ciphers_list_2013.pdf 11 直 感 的 には 基 本 となる 暗 号 化 処 理 の 繰 り 返 し 回 数 のことである 例 えば 解 読 計 算 量 2 20 と いえば 暗 号 化 処 理 2 20 回 相 当 の 演 算 を 繰 り 返 し 行 えば 解 読 できることを 意 味 する SSL/TLS 暗 号 設 定 ガイドライン - 10
読 計 算 量 が 2 x である 場 合 に x ビット 安 全 性 という 例 えば 共 通 鍵 暗 号 においては 全 数 探 索 する 際 の 鍵 空 間 の 大 きさで 2 x (x は 共 通 鍵 のビット 長 ) ハッシュ 関 数 の 例 としては 一 方 向 性 で 2 x 衝 突 困 難 性 で 2 (x/2) (x は 出 力 ビット 長 )が 解 読 計 算 量 の( 最 大 ) 理 論 値 である ビット 安 全 性 による 評 価 では 技 術 分 類 に 関 わらず どの 暗 号 アルゴリズムであっても 解 読 計 算 量 が 大 きければ 安 全 性 が 高 く 逆 に 小 さければ 安 全 性 が 低 い また 解 読 計 算 量 が 実 現 可 能 と 考 えられる 計 算 量 を 大 幅 に 上 回 っていれば 少 なくとも 現 在 知 られているような 攻 撃 手 法 ではその 暗 号 アルゴリズムを 破 ることは 現 実 的 に 不 可 能 であると 予 測 される そこで 暗 号 アルゴリズムの 選 択 においては x ビット 安 全 性 の x ビット に 着 目 して 長 期 的 な 利 用 期 間 の 目 安 とする 使 い 方 ができる 例 えば NIST SP800-57 Part 1 revision 3 13 では 表 3 のように 規 定 している なお 表 記 の 便 宜 上 本 ガイドラインでは 以 下 の 表 記 を 用 いる AES-xxx: 鍵 長 が xxx ビットの AES のこと Camellia-xxx: 鍵 長 が xxx ビットの Camellia のこと RSA-xxx: 鍵 長 が xxx ビットの RSA のこと DH-xxx: 鍵 長 が xxx ビットの DH のこと ECDH-xxx: 鍵 長 が xxx ビット( 例 えば NIST 曲 線 パラメータ P-xxx を 利 用 )の ECDH のこと ECDSA-xxx: 鍵 長 が xxx ビット( 例 えば NIST 曲 線 パラメータ P-xxx を 利 用 )の ECDSA のこと HMAC-SHA-xxx:メッセージ 認 証 子 を 作 る HMAC において 利 用 するハッシュ 関 数 SHA-xxx のこと SSL/TLS では 暗 号 スイートで 決 めるハッシュ 関 数 は HMAC として 利 用 される SHA-xxx:デジタル 署 名 を 作 成 する 際 に 利 用 するハッシュ 関 数 SHA-xxx のこと 12 ハッシュ 関 数 の 場 合 はダイジェスト 長 に 相 当 する 13 NIST SP800-57, Recommendation for Key Management Part 1: General (Revision 3) SSL/TLS 暗 号 設 定 ガイドライン - 11
表 3 NIST SP800-57 でのビット 安 全 性 の 取 り 扱 い 方 針 (WG で 加 工 ) ビット 安 全 性 SSL で 利 用 する 利 用 上 の 条 件 長 期 的 な 利 用 期 間 代 表 的 な 暗 号 2030 年 まで 2031 年 以 降 アルゴリズム 80 ビット RSA-1024 新 規 に 処 理 をする 利 用 不 可 利 用 不 可 DH-1024 場 合 ECDH-160 ECDSA-160 過 去 に 処 理 したも のを 利 用 する 場 合 過 去 のシステムとの 互 換 性 維 持 の 利 用 だけを 容 認 SHA-1 112 ビット 3-key Triple DES 新 規 に 処 理 をする 利 用 可 利 用 不 可 RSA-2048 DH-2048 ECDH-224 ECDSA-224 場 合 過 去 に 処 理 したも のを 利 用 する 場 合 利 用 可 過 去 のシステム との 互 換 性 維 持 の 利 用 だけを 容 認 128 ビット AES-128 特 になし 利 用 可 利 用 可 Camellia-128 ECDH-256 ECDSA-256 SHA-256 128 ビットから RSA-4096 特 になし 利 用 可 利 用 可 192 ビットの 間 DH-4096 HMAC-SHA-1 192 ビット ECDH-384 特 になし 利 用 可 利 用 可 ECDSA-384 SHA-384 256 ビット AES-256 特 になし 利 用 可 利 用 可 Camellia-256 ECDH-521 ECDSA-521 HMAC-SHA256 256 ビット 以 上 HMAC-SHA384 特 になし 利 用 可 利 用 可 SSL/TLS 暗 号 設 定 ガイドライン - 12
PART I: サーバ 構 築 における 設 定 要 求 項 目 について SSL/TLS 暗 号 設 定 ガイドライン - 13
3. 設 定 基 準 の 概 要 本 章 では SSL/TLS サーバの 構 築 時 に 主 に 暗 号 通 信 に 関 わる 設 定 に 関 しての 要 求 事 項 を 決 め るために 考 慮 すべきポイントについて 取 りまとめる 3.1 実 現 すべき 設 定 基 準 の 考 え 方 SSL/TLS は 1994 年 に SSL2.0 が 実 装 されて 以 来 その 利 便 性 から 多 くの 製 品 に 実 装 され 利 用 されている 一 方 プロトコルの 脆 弱 性 に 対 応 するため 何 度 かプロトコルとしてのバージョ ンアップが 行 われている 影 響 で 製 品 の 違 いによってサポートしているプロトコルバージョンや 暗 号 スイート 等 が 異 なり 相 互 接 続 性 上 の 問 題 が 生 じる 可 能 性 がある 本 ガイドラインでは 安 全 性 の 確 保 と 相 互 接 続 の 必 要 性 のトレードオフにより 高 セキュリテ ィ 型 推 奨 セキュリティ 型 セキュリティ 例 外 型 の 3 段 階 の 設 定 基 準 に 分 けて 各 々の 要 求 設 定 を 定 める それぞれの 設 定 基 準 における 安 全 性 と 相 互 接 続 性 についての 関 係 は 表 4 のとおり である 実 際 にどの 設 定 基 準 を 採 用 するかは 安 全 性 の 確 保 と 相 互 接 続 の 必 要 性 の 両 面 を 鑑 みて サー バ 管 理 やサービス 提 供 に 責 任 を 持 つ 管 理 者 が 最 終 的 に 決 定 すべきことではあるが 本 ガイドライ ンでは 安 全 性 もしくは 相 互 接 続 性 についての 特 段 の 要 求 がなければ 推 奨 セキュリティ 型 の 採 用 を 強 く 勧 める 本 ガイドラインの 発 行 時 点 では 推 奨 セキュリティ 型 がもっとも 安 全 性 と 可 用 性 ( 相 互 接 続 性 )のバランスが 取 れている 要 求 設 定 であると 考 えている セキュリティ 例 外 型 は システム 等 の 制 約 上 脆 弱 なプロトコルバージョンである SSL3.0 の 利 用 を 全 面 禁 止 することのほうが 現 時 点 ではデメリットが 大 きく 安 全 性 上 のリスクを 受 容 し てでも SSL3.0 を 継 続 利 用 せざるを 得 ないと 判 断 される 場 合 にのみ 採 用 すべきである なお セキ ュリティ 例 外 型 であっても SSL3.0 の 無 期 限 の 継 続 利 用 を 認 めているわけではなく 近 いうちに SSL3.0 を 利 用 不 可 に 設 定 するように 変 更 される 可 能 性 がある また SSL3.0 を 利 用 する 関 係 から 利 用 可 能 な 暗 号 スイートの 設 定 においても 脆 弱 な 暗 号 ア ルゴリズムである RC4 の 利 用 を 認 めている ただし 本 来 的 には RC4 は SSL3.0 に 限 定 して 利 用 すべきであるが TLS1.0 以 上 のプロトコルバージョンで RC4 の 利 用 を 不 可 にする 設 定 を 行 うこ とが 難 しいため TLS1.0 以 上 であっても RC4 が 使 われる 可 能 性 が 排 除 できないことにも 注 意 さ れたい したがって セキュリティ 例 外 型 を 採 用 する 際 は 推 奨 セキュリティ 型 への 早 期 移 行 を 前 提 と して 移 行 計 画 や 利 用 終 了 期 限 を 定 めたりするなど 今 後 への 具 体 的 な 対 処 方 針 の 策 定 をすべき である また 金 融 サービスや 電 子 商 取 引 サービスなど 不 特 定 多 数 に 公 開 されるサービス 等 に おいて 使 用 される SSL/TLS サーバであって やむなくセキュリティ 例 外 型 を 採 用 している 場 合 で は 利 用 者 に 対 して SSL3.0 の 利 用 を 許 可 しており 脆 弱 な 暗 号 方 式 が 使 われる 場 合 がある 等 の 注 意 喚 起 を 行 うことが 望 ましい SSL/TLS 暗 号 設 定 ガイドライン - 14
表 4 安 全 性 と 相 互 接 続 性 についての 比 較 設 定 基 準 概 要 安 全 性 相 互 接 続 性 の 確 保 高 セキュリティ 扱 う 情 報 が 漏 えいした 際 組 織 の 運 営 や 資 本 ガイドライン 最 近 提 供 され 始 め 型 産 個 人 の 資 産 やプライバシー 等 に 致 命 的 ま の 公 開 時 点 たバージョンの OS たは 壊 滅 的 な 悪 影 響 を 及 ぼすと 予 想 される (2015 年 5 月 ) やブラウザが 搭 載 情 報 を 極 めて 高 い 安 全 性 を 確 保 して において 標 準 されている PC ス マ SSL/TLS で 通 信 するような 場 合 に 採 用 する 設 的 な 水 準 を 大 き ートフォンでなけ 定 基 準 く 上 回 る 高 い 安 れば 接 続 できない 全 性 水 準 を 達 成 可 能 性 が 高 い とりわけ 高 い 安 全 性 を 必 要 とする 明 確 な 理 由 があるケースを 対 象 としており 非 常 に また PC スマート 高 度 で 限 定 的 な 使 い 方 をする 場 合 の 設 定 基 フォン 以 外 では 最 準 である 一 般 的 な 利 用 形 態 で 使 うことは 想 新 の 機 器 であって 定 していない も 一 部 の 機 器 につ いて 接 続 できない < 利 用 例 > 可 能 性 がある 政 府 内 利 用 (G2G 型 )のなかでも 限 定 され た 接 続 先 に 対 して とりわけ 高 い 安 全 性 が 要 求 される 通 信 を 行 う 場 合 推 奨 扱 う 情 報 が 漏 えいした 際 組 織 の 運 営 や 資 本 ガイドライン 本 ガイドラインで セキュリティ 型 産 個 人 の 資 産 やプライバシー 等 に 何 らかの の 公 開 時 点 対 象 とするブラウ 悪 影 響 を 及 ぼすと 予 想 される 情 報 を 安 全 性 (2015 年 5 月 ) ザ(8.1.2 節 )が 搭 載 確 保 と 利 便 性 実 現 をバランスさせて SSL/TLS における 標 準 的 されている PC ス マ での 通 信 を 行 うための 標 準 的 な 設 定 基 準 な 安 全 性 水 準 を ートフォンなどで 実 現 は 問 題 なく 相 互 接 ほぼすべての 一 般 的 な 利 用 形 態 で 使 うこ 続 性 を 確 保 できる とを 想 定 している 本 ガイドラインが < 利 用 例 > 対 象 としない バー 政 府 内 利 用 (G2G 型 )や 社 内 システムへの ジョンが 古 い OS や リモートアクセスなど 特 定 された 通 信 相 ブラウザの 場 合 や 手 との 安 全 な 通 信 が 要 求 される 場 合 発 売 開 始 からある 電 子 申 請 など 企 業 国 民 と 役 所 等 との 電 程 度 の 年 月 が 経 過 子 行 政 サービスを 提 供 する 場 合 している 一 部 の 古 金 融 サービスや 電 子 商 取 引 サービス 多 様 い 機 器 (フィーチャ な 個 人 情 報 の 入 力 を 必 須 とするサービス 等 ーフォンやゲーム を 提 供 する 場 合 機 など)については 既 存 システムとの 相 互 接 続 を 考 慮 すること 接 続 できない 可 能 なく 新 規 に 社 内 システムを 構 築 する 場 合 性 がある SSL/TLS 暗 号 設 定 ガイドライン - 15
安 全 性 と 相 互 接 続 性 についての 比 較 ( 続 ) 設 定 基 準 概 要 安 全 性 相 互 接 続 性 の 確 保 セキュリティ 脆 弱 なプロトコルバージョンや 暗 号 が 使 わ 推 奨 セキュリテ 最 新 ではないフィ 例 外 型 れるリスクを 受 容 したうえで 安 全 性 よりも ィ 型 への 移 行 完 ーチャーフォンや 相 互 接 続 性 に 対 する 要 求 をやむなく 優 先 さ 了 までの 短 期 的 ゲーム 機 などを 含 せて SSL/TLS での 通 信 を 行 う 場 合 に 許 容 し な 利 用 を 前 提 めた ほとんどのす うる 最 低 限 度 の 設 定 基 準 に 本 ガイドラ べての 機 器 につい インの 公 開 時 点 て 相 互 接 続 性 を 確 推 奨 セキュリティ 型 への 早 期 移 行 を 前 提 (2015 年 5 月 ) 保 できる として 暫 定 的 に 利 用 継 続 するケースを 想 定 において 許 容 可 している 能 な 最 低 限 の 安 全 性 水 準 を 満 た < 利 用 例 > す 利 用 するサーバやクライアントの 実 装 上 の 制 約 もしくは 既 存 システムとの 相 互 接 続 上 の 制 約 により 推 奨 セキュリティ 型 ( 以 上 )の 設 定 が 事 実 上 できない 場 合 3.2 要 求 設 定 の 概 要 SSL/TLS における 暗 号 通 信 に 関 わる 設 定 には 以 下 のものがある プロトコルバージョンの 設 定 ( 第 4 章 ) サーバ 証 明 書 の 設 定 ( 第 5 章 ) 暗 号 スイートの 設 定 ( 第 6 章 ) SSL/TLS を 安 全 に 使 うために 考 慮 すべきこと( 第 7 章 ) 本 ガイドラインでは 上 記 の 設 定 項 目 のうち プロトコルバージョン サーバ 証 明 書 暗 号 ス イートの 3 つの 項 目 について 3.1 節 に 記 載 した 設 定 基 準 に 対 応 した 詳 細 な 要 求 設 定 を 該 当 章 に 各 々まとめている 表 5 に 要 求 設 定 の 概 要 を 記 す SSL/TLS 暗 号 設 定 ガイドライン - 16
表 5 要 求 設 定 の 概 要 要 件 高 セキュリティ 型 推 奨 セキュリティ 型 セキュリティ 例 外 型 想 定 対 象 G2G 一 般 レガシー 携 帯 電 話 含 む 暗 号 スイートの 1256 bit 1128 bit 1 128 bit ( 暗 号 化 の)セキュリティ 2128 bit 2256 bit 2 256 bit レベル 3 RC4, Triple DES 暗 号 ア 鍵 交 換 鍵 長 2048 ビット 以 上 の 鍵 長 1024 ビット 以 上 の DHE または 鍵 長 256 ビッ ルゴリ DHE または 鍵 長 256 ト 以 上 の ECDHE ズム ビット 以 上 の ECDHE 鍵 長 2048 ビット 以 上 の RSA 鍵 長 256 ビット 以 上 の ECDH 暗 号 化 鍵 長 128 ビット 及 び 256 ビットの AES または Camellia RC4 Triple DES モード GCM GCM, CBC ハッシュ 関 数 SHA-384, SHA-256 SHA-384, SHA-256, SHA-1 プロトコルバージョン TLS1.2 のみ TLS1.2 ~ TLS1.0 TLS1.2~1.0, SSL3.0 証 明 書 鍵 長 鍵 長 2048 ビット 以 上 の RSA または 鍵 長 256 ビット 以 上 の ECDSA 証 明 書 でのハッシュ 関 数 SHA-256 SHA-256, SHA-1 3.3 チェックリスト 図 2 に 高 セキュリティ 型 のチェックリストのイメージを 示 す チェックリストの 目 的 は 選 択 した 設 定 基 準 に 対 応 した 要 求 設 定 項 目 をもれなく 実 施 したことを 確 認 し 設 定 忘 れを 防 止 すること サーバ 構 築 の 作 業 受 託 先 が 適 切 に 要 求 設 定 項 目 を 設 定 したことを 発 注 者 が 文 書 として 確 認 する 手 段 を 与 えること である したがって 選 択 した 設 定 基 準 に 応 じたチェックリストを 用 い すべてのチェック 項 目 について 該 当 章 に 記 載 の 要 求 設 定 に 合 致 していることを 確 認 して 済 にチェックが 入 ること が 求 められる Appendix A には 各 々の 設 定 基 準 に 対 応 したチェックリストを 載 せる SSL/TLS 暗 号 設 定 ガイドライン - 17
図 2 チェックリスト 高セキュリティ型の例 SSL/TLS 暗号設定ガイドライン 18
4. プロトコルバージョンの 設 定 SSL/TLS は 1994 年 に SSL2.0 が 実 装 され 始 めた 後 2014 年 3 月 現 在 の 最 新 版 となる TLS1.2 まで 5 つのプロトコルバージョンが 実 装 されている 4.1 節 にプロトコルバージョンについての 要 求 設 定 をまとめる 4.2 節 にプロトコルバージョンごとの 安 全 性 の 違 いを 記 す 4.1 プロトコルバージョンについての 要 求 設 定 基 本 的 に プロトコルのバージョンが 後 になるほど 以 前 の 攻 撃 に 対 する 対 策 が 盛 り 込 まれる ため より 安 全 性 が 高 くなる しかし 相 互 接 続 性 も 確 保 する 観 点 から 多 くの 場 合 複 数 のプ ロトコルバージョンが 利 用 できるように 実 装 されているので プロトコルバージョンの 選 択 順 位 を 正 しく 設 定 しておかなければ 予 想 外 のプロトコルバージョンで SSL/TLS 通 信 を 始 めることに なりかねない そこで SSL2.0 から TLS1.2 までの 安 全 性 の 違 い(4.2 節 表 6 参 照 )を 踏 まえ SSL/TLS サー バがサポートするプロトコルバージョンについての 要 求 設 定 を 以 下 のように 定 める なお 高 セ キュリティ 型 の 要 求 設 定 ではサーバとクライアントの 両 方 が TLS1.2 をサポートしていることが 必 須 となることに 注 意 されたい 高 セキュリティ 型 の 要 求 設 定 TLS1.2 を 設 定 有 効 にする TLS1.1 以 前 を 設 定 無 効 ( 利 用 不 可 )にする TLS1.2 TLS1.1 TLS1.0 SSL3.0 SSL2.0 : 設 定 有 効 : 設 定 無 効 化 -: 実 装 なし 推 奨 セキュリティ 型 の 要 求 設 定 SSL3.0 及 び SSL2.0 を 設 定 無 効 ( 利 用 不 可 )にする TLS1.1 TLS1.2 については 実 装 されているのであれば 設 定 有 効 にする プロトコルバージョンの 優 先 順 位 が 設 定 できる 場 合 には 設 定 有 効 になっているプロトコ ルバージョンのうち 最 も 新 しいバージョンによる 接 続 を 最 優 先 とし 接 続 できない 場 合 に 順 番 に 一 つずつ 前 のプロトコルバージョンでの 接 続 するように 設 定 することが 望 ましい TLS1.2 TLS1.1 TLS1.0 SSL3.0 SSL2.0 - - - : 設 定 有 効 ( : 優 先 するのが 望 ましい) : 設 定 無 効 化 -: 実 装 なし SSL/TLS 暗 号 設 定 ガイドライン - 19
セキュリティ 例 外 型 の 要 求 設 定 SSL2.0 を 設 定 無 効 ( 利 用 不 可 )にする TLS1.1 TLS1.2 については 実 装 されているのであれば 設 定 有 効 にする プロトコルバージョンの 優 先 順 位 が 設 定 できる 場 合 には 設 定 有 効 になっているプロトコ ルバージョンのうち 最 も 新 しいバージョンによる 接 続 を 最 優 先 とし 接 続 できない 場 合 に 順 番 に 一 つずつ 前 のプロトコルバージョンでの 接 続 するように 設 定 することが 望 ましい TLS1.2 TLS1.1 TLS1.0 SSL3.0 SSL2.0 3 つのうち - のいずれか - - : 設 定 有 効 ( : 優 先 するのが 望 ましい) : 設 定 無 効 化 -: 実 装 なし 4.2 プロトコルバージョンごとの 安 全 性 の 違 い SSL2.0 から TLS1.2 までの 各 プロトコルバージョンにおける 安 全 性 の 違 いを 表 6 にまとめる 表 6 プロトコルバージョンでの 安 全 性 の 違 い SSL/TLS への 攻 撃 方 法 に 対 する 耐 性 TLS1.2 TLS1.1 TLS1.0 SSL3.0 SSL2.0 ダウングレード 攻 撃 ( 最 弱 の 暗 号 アルゴリズム を 強 制 的 に 使 わせることができる) バージョンロールバック 攻 撃 (SSL2.0 を 強 制 的 に 使 わせることができる) 安 全 安 全 安 全 安 全 脆 弱 安 全 安 全 安 全 安 全 脆 弱 ブロック 暗 号 の CBC モード 利 用 時 の 脆 弱 性 を 利 用 した 攻 撃 (BEAST/POODLE 攻 撃 など) 安 全 安 全 パッチ 適 用 要 脆 弱 脆 弱 利 用 可 能 な 暗 号 アルゴリズム TLS1.2 TLS1.1 TLS1.0 SSL3.0 SSL2.0 128 ビットブロック 暗 号 (AES, Camellia) 可 可 可 不 可 不 可 認 証 付 暗 号 利 用 モード(GCM, CCM) 可 不 可 不 可 不 可 不 可 楕 円 曲 線 暗 号 可 可 可 不 可 不 可 SHA-2 ハッシュ 関 数 (SHA-256, SHA-384) 可 不 可 不 可 不 可 不 可 SSL/TLS 暗 号 設 定 ガイドライン - 20
コラム1 SSL3.0 への 大 打 撃 となった POODLE 攻 撃 POODLE 攻 撃 は BEAST 攻 撃 に 似 た 攻 撃 方 法 であり SSL3.0 にてブロック 暗 号 を CBC モ ードで 利 用 する 場 合 の 脆 弱 性 を 利 用 した 攻 撃 方 法 である BEAST 攻 撃 同 様 例 えば 中 間 者 攻 撃 や 攻 撃 対 象 に 大 量 の 通 信 を 発 生 させるなど 攻 撃 には 複 数 の 条 件 が 必 要 であり ただ ちに 悪 用 可 能 な 脆 弱 性 ではない ただ BEAST 攻 撃 に 対 しては 脆 弱 性 を 回 避 するためのセキュリティパッチが 公 開 されて おり 技 術 的 にもプロトコルそのものを 変 更 しなくても 平 文 を 1 対 (N-1)の 分 割 を 行 うことで 回 避 できる 可 能 性 が 示 されている これに 対 して POODLE 攻 撃 は SSL3.0 のパディングチ ェックの 仕 組 み 自 体 の 脆 弱 性 に 起 因 している 具 体 的 には SSL3.0 はパディングの 最 終 1 バイト 分 だけをチェックして 正 しければメッセージ 全 体 が 正 しいと 判 断 する 仕 様 であるた め 攻 撃 者 が 作 った 偽 のメッセージであっても 1/256 の 確 率 で 正 しいものとしてサーバが 受 理 してしまうことを 利 用 した 攻 撃 方 法 である つまり POODLE 攻 撃 は SSL3.0 の 仕 様 上 の 脆 弱 性 に 起 因 することから 脆 弱 性 を 回 避 す るためのセキュリティパッチが 公 開 されていない このため SSL3.0 自 体 が 古 いプロトコル バージョンであることもあり ブラウザベンダは 順 次 SSL3.0 をデフォルトで 利 用 不 可 とす る 対 策 を 取 っている( 詳 細 は 8.3.2 節 参 照 ) また SSL/TLS サーバ 構 築 者 に 対 しては SSL3.0 を 無 効 化 するための 手 順 を IPA が 公 表 している その 後 POODLE again ということで TLS1.x でも POODLE 攻 撃 が 可 能 との 情 報 14 が 公 開 された ただし これは SSL3.0 とは 違 い TLS1.x の 仕 様 でも POODLE 攻 撃 が 可 能 とい うことではない 実 際 の TLS1.x の 仕 様 では パディングの 全 データをチェックしなければ ならないことになっており 仕 様 通 りに 実 装 されていれば 攻 撃 者 が 作 った 偽 のメッセージ をサーバが 受 理 する 確 率 は 極 めて 小 さい( 具 体 的 には 2^(パディング 長 ) 分 の 1) ところが 実 際 の 製 品 においては TLS1.x の 仕 様 に 反 して パディングチェックを SSL3.0 と 同 じ 最 終 1 バイト 分 しか 行 っていないものが 数 多 く 見 つかり 15 TLS1.x を 使 っていても POODLE 攻 撃 と 同 じ 手 法 が 使 えてしまった 実 装 上 の 問 題 が 発 覚 した これが POODLE again の 正 体 であり すぐに 該 当 する 製 品 についてはセキュリティパッチが 提 供 された 14 https://www.imperialviolet.org/2014/12/08/poodleagain.html 15 https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-8730 SSL/TLS 暗 号 設 定 ガイドライン - 21
5. サーバ 証 明 書 の 設 定 サーバ 証 明 書 は 1クライアントに 対 して 情 報 を 送 受 信 するサーバが 意 図 する 相 手 (サーバ の 運 営 組 織 等 )によって 管 理 されるサーバであることを 確 認 する 手 段 を 提 供 することと 2 SSL/TLS による 暗 号 通 信 を 行 うために 必 要 なサーバの 公 開 鍵 情 報 をクライアントに 正 しく 伝 える こと の 2 つの 役 割 を 持 っている これらの 役 割 を 正 しく 実 行 するために 5.1 節 にサーバ 証 明 書 についての 要 求 設 定 をまとめる 5.2 節 以 降 にはサーバ 証 明 書 の 設 定 を 決 める 際 の 検 討 項 目 の 概 要 を 記 す 5.1 サーバ 証 明 書 についての 要 求 設 定 後 述 する 5.2 節 以 降 の 内 容 を 踏 まえ サーバ 証 明 書 についての 要 求 設 定 を 以 下 のように 定 める なお 本 ガイドライン 公 開 時 点 (2015 年 5 月 )においては 推 奨 セキュリティ 型 の 要 求 設 定 は 高 セキュリティ 型 と 同 様 とする 高 セキュリティ 型 ( 推 奨 セキュリティ 型 )の 要 求 設 定 では 少 なくともハッシュ 関 数 として SHA-256 が 使 えることが 必 須 条 件 となることに 注 意 されたい 例 えば SHA-256 が 使 えないブラ ウザ(クライアント)では サーバ 証 明 書 の 検 証 ができず 警 告 表 示 が 出 るか 当 該 サーバとの 接 続 は 不 能 となる このことは DSA や ECDSA を 使 う 場 合 についても 同 様 である 一 方 セキュリティ 例 外 型 の 要 求 設 定 では ハッシュ 関 数 として SHA-1 の 利 用 も 許 容 しており 過 去 のシステムとの 相 互 接 続 性 は 高 い ただし 最 新 のブラウザでは SHA-1 を 使 うサーバ 証 明 書 に 対 して 警 告 表 示 を 出 すようになってきていることに 注 意 すること この 他 非 技 術 的 要 因 として ECDSA を 採 用 する 際 にはパテントリスクの 存 在 16 が 広 く 指 摘 されているので 十 分 な 検 討 のうえで 採 用 の 可 否 を 決 めることが 望 ましい DSA については 5.3 節 で 示 すように 電 子 政 府 推 奨 暗 号 リストに 選 定 されており 安 全 性 上 の 問 題 はない しかし サーバ 証 明 書 としては 現 時 点 でほとんど 利 用 されておらず 技 術 的 にも RSA や ECDSA と 比 較 して 大 きなメリットがあるとは 言 えないことから 本 ガイドラインでは 積 極 的 には DSA の 利 用 を 勧 めない 17 16 楕 円 曲 線 暗 号 の 標 準 化 規 格 化 を 推 進 するコンソーシアム SECG に 対 して Certicom 社 から 特 許 レター(RAND 条 件 でのライセンス 許 諾 )が 通 知 されている 詳 細 は 以 下 を 参 照 のこと http://www.secg.org/certicom_patent_letter_secg.pdf 17 本 ガイドラインでは DSA は 利 用 しないことを 要 求 設 定 の 前 提 としているため 6 章 の 暗 号 ス イートの 設 定 からも DSA を 利 用 する 暗 号 スイートが 除 外 されていることに 留 意 されたい SSL/TLS 暗 号 設 定 ガイドライン - 22
高 セキュリティ 型 の 要 求 設 定 本 ガイドライン 公 開 時 点 (2015 年 5 月 )で 多 くの 認 証 局 から 入 手 可 能 なサーバ 証 明 書 の うち 安 全 性 が 高 いものを 利 用 する サーバ 証 明 書 の アルゴリズムと 鍵 長 サーバ 証 明 書 の 発 行 更 新 を 要 求 する 際 に 生 成 する 鍵 情 報 (Subject Public Key Info)でのアルゴリズム(Subject Public Key Algorithm)と 鍵 長 として は 以 下 のいずれかを 必 須 とする RSA(OID = 1.2.840.113549.1.1.1)で 鍵 長 は 2048 ビット 以 上 楕 円 曲 線 暗 号 で 鍵 長 256 ビット 以 上 (NIST P-256 の 場 合 の OID = 1.2.840.10045.3.1.7) サーバ 証 明 書 の 発 行 更 新 時 の 鍵 情 報 の 生 成 クライアントでの 警 告 表 示 の 回 避 また 認 証 局 が 発 行 するサーバ 証 明 書 での 署 名 アルゴリズム(Certificate Signature Algorithm)と 鍵 長 については 以 下 のいずれかを 必 須 とする RSA 署 名 と SHA-256 の 組 合 せ(sha256WithRSAEncryption; OID = 1.2.840.113549.1.1.11)で 鍵 長 2048 ビット 以 上 ECDSA と SHA-256 の 組 合 せ ( ecdsa-with-sha256; OID = 1.2.840.10045.4.3.2)で 鍵 長 256 ビット(NIST P-256) 以 上 サーバ 証 明 書 の 発 行 更 新 を 要 求 する 際 には 既 存 の 鍵 情 報 は 再 利 用 せず 必 ず 新 たに 公 開 鍵 と 秘 密 鍵 の 鍵 ペアを 生 成 しなければならない 上 記 の 指 示 をサーバ 管 理 者 への 仕 様 書 運 用 手 順 書 ガイドライン 等 に 明 示 しなければならない 当 該 サーバに 接 続 することが 想 定 されている 全 てのクライアントに 対 して 以 下 のいずれかの 手 段 を 用 いて 警 告 表 示 が 出 ないようにしな ければならない パブリック 認 証 局 からサーバ 証 明 書 を 入 手 する 警 告 表 示 が 出 るクライアントの 利 用 を 禁 ずる 措 置 を 取 る 5.4.2 節 の 例 外 規 定 に 従 って 信 頼 できるプライベート 認 証 局 のル ート CA 証 明 書 をインストールする SSL/TLS 暗 号 設 定 ガイドライン - 23
推 奨 セキュリティ 型 の 要 求 設 定 ( 高 セキュリティ 型 の 要 求 設 定 と 同 じ) 本 ガイドライン 公 開 時 点 (2015 年 5 月 )で 多 くの 認 証 局 から 入 手 可 能 なサーバ 証 明 書 の うち 安 全 性 が 高 いものを 利 用 する サーバ 証 明 書 の 暗 号 アルゴリズム と 鍵 長 サーバ 証 明 書 の 発 行 更 新 を 要 求 する 際 に 生 成 する 鍵 情 報 (Subject Public Key Info)でのアルゴリズム(Subject Public Key Algorithm)と 鍵 長 として は 以 下 のいずれかを 必 須 とする RSA(OID = 1.2.840.113549.1.1.1)で 鍵 長 は 2048 ビット 以 上 楕 円 曲 線 暗 号 で 鍵 長 256 ビット 以 上 (NIST P-256 の 場 合 の OID = 1.2.840.10045.3.1.7) サーバ 証 明 書 の 発 行 更 新 時 の 鍵 情 報 の 生 成 クライアントでの 警 告 表 示 の 回 避 また 認 証 局 が 発 行 するサーバ 証 明 書 での 署 名 アルゴリズム(Certificate Signature Algorithm)と 鍵 長 については 以 下 のいずれかを 必 須 とする RSA 署 名 と SHA-256 の 組 合 せ(sha256WithRSAEncryption; OID = 1.2.840.113549.1.1.11)で 鍵 長 2048 ビット 以 上 ECDSA と SHA-256 の 組 合 せ ( ecdsa-with-sha256; OID = 1.2.840.10045.4.3.2)で 鍵 長 256 ビット(NIST P-256) 以 上 サーバ 証 明 書 の 発 行 更 新 を 要 求 する 際 には 既 存 の 鍵 情 報 は 再 利 用 せず 必 ず 新 たに 公 開 鍵 と 秘 密 鍵 の 鍵 ペアを 生 成 しなければならない 上 記 の 指 示 をサーバ 管 理 者 への 仕 様 書 運 用 手 順 書 ガイドライン 等 に 明 示 しなければならない 当 該 サーバに 接 続 することが 想 定 されている 全 てのクライアントに 対 して 以 下 のいずれかの 手 段 を 用 いて 警 告 表 示 が 出 ないようにする か 警 告 表 示 が 出 るブラウザはサポート 対 象 外 であることを 明 示 しな ければならない パブリック 認 証 局 からサーバ 証 明 書 を 入 手 する 警 告 表 示 が 出 るクライアントの 利 用 を 禁 ずる 措 置 を 取 る 5.4.2 節 の 例 外 規 定 に 従 って 信 頼 できるプライベート 認 証 局 のル ート CA 証 明 書 をインストールする SSL/TLS 暗 号 設 定 ガイドライン - 24
セキュリティ 例 外 型 の 要 求 設 定 本 ガイドライン 公 開 時 点 (2015 年 5 月 )で 多 くの 認 証 局 から 入 手 可 能 なサーバ 証 明 書 の うち 許 容 可 能 な 水 準 以 上 の 安 全 性 を 確 保 しているサーバ 証 明 書 で 最 も 相 互 接 続 性 が 高 いものを 利 用 する 具 体 的 には ハッシュ 関 数 について 1SHA-256 では 相 互 接 続 できな いブラウザが 一 定 程 度 存 在 する 可 能 性 が 否 定 できないこと 2MD5 のような 証 明 書 偽 造 に つながる 可 能 性 がある 致 命 的 な 脆 弱 性 が 発 見 されていないこと から SHA-1 の 利 用 を 許 容 する セキュリティ 例 外 型 においては 楕 円 曲 線 暗 号 を 利 用 したサーバ 証 明 書 の 場 合 十 分 な 相 互 接 続 性 が 確 保 できるとは 必 ずしも 言 えないため RSA の 利 用 を 勧 める サーバ 証 明 書 の 暗 号 アルゴリズム と 鍵 長 サーバ 証 明 書 の 発 行 更 新 を 要 求 する 際 に 生 成 する 鍵 情 報 (Subject Public Key Info)でのアルゴリズム(Subject Public Key Algorithm)と 鍵 長 として は 以 下 のいずれかを 必 須 とする RSA(OID = 1.2.840.113549.1.1.1)で 鍵 長 は 2048 ビット 以 上 サーバ 証 明 書 の 発 行 更 新 時 の 鍵 情 報 の 生 成 クライアントでの 警 告 表 示 の 回 避 また 認 証 局 が 発 行 するサーバ 証 明 書 での 署 名 アルゴリズム(Certificate Signature Algorithm)と 鍵 長 については 以 下 のいずれかを 必 須 とする なお SHA-256 との 組 合 せのほうが 望 ましいが 状 況 によっては SHA-1 との 組 合 せを 選 んでもよい RSA 署 名 と SHA-256 の 組 合 せ(sha256WithRSAEncryption; OID = 1.2.840.113549.1.1.11)で 鍵 長 2048 ビット 以 上 RSA 署 名 と SHA-1 の 組 合 せ(sha1WithRSAEncryption; OID = 1.2.840.113549.1.1.5)で 鍵 長 2048 ビット 以 上 過 去 のシステム ブラウザ 等 との 相 互 接 続 性 の 確 保 を 優 先 するなら SHA-1 を 利 用 したサーバ 証 明 書 のほうがよいが 最 新 のブラウザでは SHA-1 を 使 うサーバ 証 明 書 に 対 して 警 告 表 示 を 出 すようになってきて いることに 注 意 すること 詳 細 については 8.3.1 節 を 参 照 のこと サーバ 証 明 書 の 発 行 更 新 を 要 求 する 際 には 既 存 の 鍵 情 報 は 再 利 用 せず 必 ず 新 たに 公 開 鍵 と 秘 密 鍵 の 鍵 ペアを 生 成 しなければならない 上 記 の 指 示 をサーバ 管 理 者 への 仕 様 書 運 用 手 順 書 ガイドライン 等 に 明 示 しなければならない 当 該 サーバに 接 続 することが 想 定 されている 全 てのクライアントに 対 して 以 下 のいずれかの 手 段 を 用 いて 警 告 表 示 が 出 ないようにする か 警 告 表 示 が 出 るブラウザはサポート 対 象 外 であることを 明 示 しな ければならない パブリック 認 証 局 からサーバ 証 明 書 を 入 手 する 警 告 表 示 が 出 るクライアントの 利 用 を 禁 ずる 措 置 を 取 る 5.4.2 節 の 例 外 規 定 に 従 って 信 頼 できるプライベート 認 証 局 のル ート CA 証 明 書 をインストールする SSL/TLS 暗 号 設 定 ガイドライン - 25
5.2 サーバ 証 明 書 に 記 載 されている 情 報 サーバ 証 明 書 には 表 7 に 示 す 情 報 が 記 載 されている これらの 情 報 は 証 明 書 プロパティの 詳 細 で 見 ることができる これらのうち 当 該 サーバ 証 明 書 を 発 行 した 認 証 局 が Issuer( 発 行 者 ) となり 当 該 認 証 局 がサーバ 証 明 書 に 施 すアルゴリズムが Certificate Signature Algorithm( 署 名 アルゴリズム) 実 際 の 署 名 値 が Certificate Signature Value として 記 載 される SSL/TLS サーバを 運 用 するものは Subject(サブジェクト- 発 行 対 象 ) となり 当 該 サーバ 自 身 が 利 用 する 公 開 鍵 の 情 報 が Subject Public Key Info( 公 開 鍵 情 報 ) として 記 載 される 公 開 鍵 情 報 には Subject Public Key Algorithm( 公 開 鍵 を 使 う 時 の 暗 号 アルゴリズム) と Subject s Public Key( 実 際 の 公 開 鍵 の 値 ) が 含 まれており その 公 開 鍵 をどのように 使 うかは Certificate Key Usage(キー 使 用 法 ) に 記 載 される 例 えば Subject Public Key Algorithmに RSA Certificate Key Usage に Signing, Key Encipherment とある 場 合 には Subject s Public Key に 書 かれた 公 開 鍵 は 対 応 する 秘 密 鍵 で 作 られた RSA 署 名 (Signing)の 検 証 用 途 にも セッション 鍵 を 送 付 する RSA 暗 号 化 (Key Encipherment) 用 途 にも 使 えることを 意 味 する 表 7 サーバ 証 明 書 に 記 載 される 情 報 証 明 書 のバージョン シリアル 番 号 署 名 アルゴリズム 発 行 者 有 効 期 間 ( 開 始 ~ 終 了 ) サブジェクト( 発 行 対 象 ) (サブジェクトが 使 う) 公 開 鍵 情 報 拡 張 情 報 18 Version Serial Number Certificate Signature Algorithm Issuer Validity (Not Before ~ Not After) Subject Subject Public Key Info (Algorithm, Public Key Value) Extensions キー 使 用 法 Certificate Key Usage 署 名 Certificate Signature Value 5.3 サーバ 証 明 書 で 利 用 可 能 な 候 補 となる 暗 号 アルゴリズム 本 ガイドラインにおいて サーバ 証 明 書 で 利 用 可 能 な 候 補 となる 暗 号 アルゴリズム とは サ 18 Windows の 証 明 書 プロパティでは 公 開 キー と 表 記 されているが 本 文 中 では 公 開 鍵 で 表 記 を 統 一 する SSL/TLS 暗 号 設 定 ガイドライン - 26
ーバ 証 明 書 の 仕 様 に 合 致 するものに 採 用 されている 署 名 と ハッシュ 関 数 のうち CRYPTREC 暗 号 リスト(2.2.1 節 参 照 )にも 掲 載 されているものとする 具 体 的 には 表 8 に 示 した 署 名 と ハッシュ 関 数 である 現 在 発 行 されているサーバ 証 明 書 は 大 多 数 が RSA と SHA-256 との 組 合 せによるものか RSA と SHA-1 との 組 み 合 わせによるものである 特 に 最 近 では 安 全 性 向 上 が 必 要 との 観 点 からSHA-1 から SHA-256 への 移 行 も 急 速 に 進 みだしている また RSA でも 鍵 長 が 1024 ビットから 2048 ビットへ 移 行 している 一 方 処 理 性 能 の 低 下 を 避 けるために 鍵 長 256 ビットの ECDSA を 採 用 す るケースも 増 えてきている 実 際 に 従 来 RSA と SHA-1 の 組 合 せでしかサーバ 証 明 書 を 発 行 しなかった 認 証 局 でも SHA-256 や ECDSA に 対 応 したサーバ 証 明 書 を 発 行 するようになってきている このような 動 き に 対 応 し 比 較 的 新 しいブラウザやクライアント 機 器 では SHA-256 や ECDSA を 使 ったサーバ 証 明 書 でも 問 題 なく 検 証 できるようになっている ただし 本 ガイドライン 公 開 時 点 (2015 年 5 月 )では 古 い 機 器 などを 中 心 に SHA-256 や ECDSA を 使 ったサーバ 証 明 書 の 検 証 ができないクライアントも 相 当 数 存 在 していると 考 えられるため 古 い 機 器 との 相 互 接 続 性 の 確 保 を 考 慮 するのであれば 一 定 の 配 慮 が 必 要 となる 表 8 サーバ 証 明 書 で 利 用 可 能 な 候 補 となる 暗 号 アルゴリズム 技 術 分 類 リストの 種 類 アルゴリズム 名 署 名 電 子 政 府 推 奨 暗 号 リスト RSASSA PKCS#1 v1.5(rsa) DSA ECDSA ハッシュ 関 数 電 子 政 府 推 奨 暗 号 リスト SHA-256 運 用 監 視 暗 号 リスト SHA-1 5.4 サーバ 証 明 書 で 考 慮 すべきこと 5.4.1 信 頼 できないサーバ 証 明 書 の 利 用 は 止 める ブラウザなどをはじめとするサーバ 証 明 書 を 検 証 するアプリケーションには 一 定 の 基 準 に 準 拠 した 認 証 局 の 証 明 書 (ルート CA 証 明 書 )があらかじめ 登 録 されており これらの 認 証 局 (と その 下 位 認 証 局 )はパブリック 認 証 局 と 呼 ばれている 一 般 に パブリック 認 証 局 が 第 三 者 の 立 場 から 確 認 したサーバの 運 営 組 織 等 の 情 報 を 記 載 したサーバ 証 明 書 を 発 行 し ブラウザに 予 め 搭 載 されたルート CA 証 明 書 と 組 合 せて 検 証 を 行 うことで サーバ 証 明 書 の 信 頼 性 を 確 保 する これにより 当 該 サーバ 証 明 書 の 正 当 性 が 確 認 できれば ブラウザは 警 告 表 示 することなく 当 該 サーバへの 接 続 を 行 う 一 方 証 明 書 の 発 行 プログラムさえあれば 誰 もがサーバ 証 明 書 を 作 ることができるが これで はサーバ 構 築 者 が 自 分 は 正 当 なサーバ であると 自 己 主 張 しているに 過 ぎない このようなサ ーバ 証 明 書 は オレオレ 証 明 書 ともいわれ ブラウザでは 当 該 サーバ 証 明 書 の 正 当 性 が 確 認 で SSL/TLS 暗 号 設 定 ガイドライン - 27
きない 危 険 なサーバ として 警 告 が 表 示 される 本 来 SSL/TLS における 重 要 な 役 割 の 一 つが 接 続 するサーバの 認 証 であり その 認 証 をサーバ 証 明 書 で 行 う 仕 組 みである 以 上 危 険 なサーバ との 警 告 表 示 が 出 るにもかかわらず その 警 告 を 無 視 して 接 続 するよう 指 示 しなければならないサーバ 構 築 の 仕 方 をすべきではない 5.4.2 ルート CA 証 明 書 の 安 易 な 手 動 インストールは 避 ける 5.4.1 節 のようにして 発 行 されたサーバ 証 明 書 を 利 用 した SSL/TLS サーバを 危 険 なサーバ として 認 識 させない 手 段 として 当 該 サーバ 証 明 書 の 正 当 性 を 確 認 するためのルート CA 証 明 書 を ブラウザ(クライアント)の 信 頼 できるルート CA に 手 動 でインストールする 方 法 があ る しかし 安 易 に 信 頼 できるルート CA として 手 動 インストールをすることは 危 険 なサー バ との 警 告 を 意 図 的 に 無 視 することにつながる また 5.4.1 節 に 記 載 したパブリック 認 証 局 の ルート CA 証 明 書 とは 異 なり これら 手 動 インストールしたルート CA 証 明 書 はブラウザベンダ によって 管 理 されていない このため 万 が 一 当 該 ルート CA 証 明 書 の 安 全 性 に 問 題 が 生 じた 場 合 でも ブラウザベンダによって 自 動 的 に 無 効 化 されることはなく インストールした 当 該 ル ート CA 証 明 書 を 利 用 者 自 身 が 手 動 で 削 除 する 必 要 がある もし 削 除 を 怠 ると 不 正 なサーバ 証 明 書 を 誤 信 するリスクが 増 大 する したがって ルート CA 証 明 書 の 手 動 インストールは 原 則 として 避 けるべきであり ましてや 利 用 者 に 対 して 手 動 インストールを 求 めるような 運 用 をすべきではない 例 外 的 にルート CA 証 明 書 の 手 動 インストールを 行 う 必 要 がある 場 合 には ルート CA 証 明 書 の 安 全 性 に 問 題 が 生 じた 場 合 にインストールを 勧 めた 主 体 によって 利 用 者 のブラウザから 当 該 ルート CA 証 明 書 の 無 効 化 や 削 除 ができるようにする 等 インストールした 利 用 者 に 対 して 具 体 的 に 責 任 を 負 うことができる 体 制 を 整 えるべきである 例 えば 企 業 団 体 等 が 自 身 の 管 理 する 端 末 に 対 して 当 該 組 織 が 自 前 で 構 築 した 言 わばプ ライベートなルート CA 証 明 書 をシステム 管 理 部 門 等 の 管 理 下 でインストールし また 当 該 ルー ト CA 証 明 書 の 安 全 性 に 問 題 が 生 じた 場 合 には 速 やかに 当 該 部 門 が 各 端 末 に 対 して 当 該 ルート CA 証 明 書 を 無 効 化 する 措 置 を 講 ずることができるような 体 制 である 具 体 的 には 組 織 等 にお いて 一 定 のポリシーに 基 づいて 端 末 管 理 を 行 っている 場 合 管 理 システムなどから 各 端 末 にルー ト CA 証 明 書 を 自 動 更 新 (インストールおよび 削 除 )する 仕 組 みを 提 供 するなどである 一 例 と して Windows クライアントに 対 して Active Directory から 自 動 更 新 する 場 合 の 構 成 例 を Appendix D.2 に 示 す このような 仕 組 みを 用 いて 各 端 末 にインストールされたルート CA 証 明 書 の 安 全 性 に 問 題 が 生 じた 場 合 には 当 該 組 織 の 責 任 において 当 該 ルート CA 証 明 書 を 速 やかに 自 動 削 除 するなどの 無 効 化 する 措 置 を 講 じなければならない 5.4.3 サーバ 証 明 書 で 利 用 すべき 鍵 長 署 名 の 安 全 性 は 鍵 長 にも 大 きく 影 響 される 通 常 同 じアルゴリズムであれば 鍵 長 が 長 いほ SSL/TLS 暗 号 設 定 ガイドライン - 28
ど 安 全 性 を 高 くすることができる ただし あまりにも 長 くしすぎると 処 理 時 間 が 過 大 にかかる ようになり 実 用 性 を 損 なうことにもつながる CRYPTREC では 素 因 数 分 解 問 題 の 困 難 性 に 関 する 調 査 研 究 に 基 づいて RSA の 安 全 性 に 関 す る 見 積 りを 作 成 している これによれば RSA 2048 ビットを 素 因 数 分 解 するのにおおむね 10 25 ~10 27 FLOPS 程 度 の 計 算 量 が 必 要 との 見 積 もりを 出 しており 劇 的 な 素 因 数 分 解 手 法 の 発 見 がな い 限 り 計 算 機 性 能 の 向 上 を 考 慮 しても 世 界 最 速 の 計 算 機 が 1 年 かけて 解 読 可 能 となるのは 2035 年 以 降 と 予 想 している また 楕 円 曲 線 上 の 離 散 対 数 問 題 の 困 難 性 に 関 する 調 査 研 究 も 行 われて おり ECDSA 192 ビットを 解 くのにおおむね 10 24 ~10 25 FLOPS 程 度 の 計 算 量 が 必 要 と 見 積 もって いる 詳 細 については CRYPTREC Report 2013 19 図 3.1 図 3.2 を 参 照 されたい 以 上 の 報 告 と 内 閣 官 房 情 報 セキュリティセンター( 現 : 内 閣 サイバーセキュリティセンター) が 公 表 している 政 府 機 関 の 情 報 システムにおいて 使 用 されている 暗 号 アルゴリズム SHA-1 及 び RSA1024 に 係 る 移 行 指 針 20 を 踏 まえれば 本 ガイドライン 公 開 時 点 (2015 年 5 月 )でサーバ 証 明 書 が 利 用 すべき 鍵 長 は RSA は 2048 ビット 以 上 ECDSA は 256 ビット 以 上 が 妥 当 である 5.4.4 サーバ 証 明 書 を 発 行 更 新 する 際 に 新 しい 鍵 情 報 を 生 成 する 重 要 性 サーバ 証 明 書 を 取 得 する 際 に 公 開 鍵 と 秘 密 鍵 の 鍵 ペアの 生 成 運 用 管 理 が 正 しく 行 われな いと 暗 号 化 された 通 信 データが 第 三 者 に 復 号 されてしまうなどの 問 題 が 発 生 するリスクがある 例 えば とりわけ 危 険 なのは サーバ 機 器 の 出 荷 時 に 設 定 されているデフォルト 鍵 や デフォル ト 設 定 のまま 生 成 した 鍵 ペアを 利 用 した 場 合 意 図 せず 第 三 者 と 同 じ 秘 密 鍵 を 共 有 してしまう 恐 れがある また 何 らかの 理 由 により 秘 密 鍵 が 漏 えいした 恐 れがあり サーバ 証 明 書 を 再 発 行 する 必 要 性 に 迫 られた 時 に 前 回 使 用 した CSR(Certificate Signing Request:サーバ 証 明 書 を 発 行 するための 署 名 要 求 )を 使 い 回 すと 同 じ 公 開 鍵 と 秘 密 鍵 の 鍵 ペアのまま 新 しいサーバ 証 明 書 が 作 られるの で 古 いサーバ 証 明 書 を 失 効 させ 新 しいサーバ 証 明 書 を 再 発 行 することの 意 味 がなくなる こうしたリスクを 防 ぐためには サーバ 管 理 者 は サーバ 証 明 書 を 取 得 更 新 する 際 に 既 存 の 鍵 ペアを 使 い 回 すことを 厳 に 慎 み 毎 回 新 しく 生 成 した 鍵 ペアを 使 った CSR でサーバ 証 明 書 を 取 得 更 新 しなければならない 19 http://www.cryptrec.go.jp/report/c13_eval_web_final.pdf 20 http://www.nisc.go.jp/active/general/pdf/angou_ikoushishin.pdf SSL/TLS 暗 号 設 定 ガイドライン - 29
コラム2 実 際 にあった! 漏 えいしたかもしれない 鍵 ペアを 再 利 用 した 証 明 書 の 再 発 行 2014 年 4 月 OpenSSL Heartbleed と 呼 ばれる 脆 弱 性 が 大 きく 報 道 された これは サーバ の 動 静 を 簡 易 に 確 認 するための TLS1.2 の 拡 張 機 能 Heartbeat を 実 装 した OpenSSL の 脆 弱 性 を 利 用 した 攻 撃 である 具 体 的 には OpenSSL の Heartbeat 実 装 においてメモリサイズのチェ ックをしなかったため 当 該 OpenSSL で 構 築 した SSL/TLS サーバでは 返 信 すべきデータ に 隣 接 するメモリ 領 域 のデータまでも 返 信 してしまうという 脆 弱 性 を 利 用 している この 脆 弱 性 が 大 きな 問 題 となったのは 仮 に 攻 撃 が 行 われたとしてもサーバ 側 に 攻 撃 の 痕 跡 が 残 っていないため いつ 攻 撃 されたかを 特 定 すること 自 体 ができなかったことに 加 え 漏 えいしたデータは 攻 撃 時 にメモリ 上 に 展 開 されていたデータの 一 部 であったことから ど のデータが 漏 えいしたのかを 特 定 することが 事 実 上 できなかったことである このため SSL/TLS サーバ 運 用 上 の 最 悪 ケースとして サーバの 秘 密 鍵 自 体 が 漏 えいした 可 能 性 が 否 定 できない とし 対 策 として OpenSSL のバージョンアップを 行 うとともに 対 策 1. 運 用 中 のサーバ 証 明 書 を 失 効 させ 対 策 2. 新 しい 秘 密 鍵 を 用 いて 対 策 3. 新 しいサーバ 証 明 書 を 再 取 得 再 設 定 する ようにとのアナウンスが 出 された ところが 実 際 には このアナウンスの 趣 旨 がサーバ 運 用 者 には 正 しく 伝 わらなかった 可 能 性 が 大 きい 例 えば 英 Netcraft 社 の 調 査 結 果 21 によれば Heartbleed の 公 表 後 1 か 月 間 で 43%のサー バ 証 明 書 が 再 設 定 ( 対 策 3)されたが 3 つの 対 策 全 てを 実 施 した( 図 3 中 の A の 部 分 )の は 14%にすぎなかった 一 方 運 用 中 のサーバ 証 明 書 を 失 効 ( 対 策 1)させたにも 関 わらず 漏 えいした 可 能 性 がある 同 じ 秘 密 鍵 のまま( 対 策 2 を 実 施 しなかった)でサーバ 証 明 書 を 再 設 定 ( 対 策 3)したケース( 図 3 中 の B の 部 分 )が 全 体 の 5%もあったという 図 3 英 Netcraft 社 の 調 査 結 果 より 21 http://news.netcraft.com/archives/2014/05/09/keys-left-unchanged-in-many-heartbleed-replacement-certif icates.html SSL/TLS 暗 号 設 定 ガイドライン - 30
6. 暗 号 スイートの 設 定 暗 号 スイートは 鍵 交 換 _ 署 名 _ 暗 号 化 _ハッシュ 関 数 の 組 によって 構 成 される 例 えば TLS_DHE_RSA_WITH_CAMELLIA_256_GCM_SHA384 であれば 鍵 交 換 には DHE 署 名 には RSA 暗 号 化 には 鍵 長 256 ビット GCM モードの Camellia(CAMELLIA_256_GCM) ハッシュ 関 数 には SHA-384 が 使 われることを 意 味 する TLS_RSA_WITH_AES_128_CBC_SHA であれば 鍵 交 換 と 署 名 には RSA 暗 号 化 には 鍵 長 128 ビット CBC モードの AES (AES_128_CBC) ハッシュ 関 数 には SHA-1 が 使 われることを 意 味 する 実 際 の SSL/TLS 通 信 においては サーバとクライアント 間 での 暗 号 化 通 信 前 の 事 前 通 信 (ハン ドシェイク) 時 に 両 者 の 合 意 により 一 つの 暗 号 スイートを 選 択 する 暗 号 スイートが 選 択 され た 後 は 選 択 された 暗 号 スイートに 記 載 の 鍵 交 換 署 名 暗 号 化 ハッシュ 関 数 の 方 式 により SSL/TLS における 各 種 処 理 が 行 われる つまり SSL/TLS における 安 全 性 にとって 暗 号 スイー トをどのように 設 定 するかが 最 も 重 要 なファクタであることを 意 味 する 6.1 節 に 暗 号 スイートについての 要 求 設 定 をまとめる 6.2 節 から 6.4 節 では 暗 号 スイートの 設 定 を 決 めるうえでの 重 要 な 検 討 項 目 の 概 要 を 記 す 6.1 暗 号 スイートについての 要 求 設 定 一 般 に 暗 号 スイートの 優 先 順 位 の 上 位 から 順 にサーバとクライアントの 両 者 が 合 意 できる 暗 号 スイートを 見 つけていく このため 暗 号 スイートの 選 択 のみならず 優 先 順 位 の 設 定 が 重 要 となる その 際 多 くのブラウザ(クライアント)との 相 互 接 続 性 を 確 保 するためには 多 くの 製 品 に 共 通 して 実 装 されている 暗 号 スイートを 設 定 することが 不 可 欠 である 点 に 注 意 する 必 要 がある 一 方 高 い 安 全 性 を 実 現 するためには 比 較 的 新 しい 製 品 でしか 実 装 されていないが 高 い 安 全 性 を 持 つ 暗 号 アルゴリズムで 構 成 される 暗 号 スイートを 設 定 する 必 要 がある 上 記 の 点 と 6.2 節 ~6.4 節 での 内 容 を 踏 まえ 本 ガイドラインでは 暗 号 スイートについての 要 求 設 定 を 以 下 のように 定 める なお 本 節 では 要 求 設 定 の 概 要 についてのみ 記 載 する 詳 細 な 要 求 設 定 については 各 々の 該 当 節 を 参 照 すること 高 セキュリティ 型 の 要 求 設 定 高 セキュリティ 型 の 要 求 設 定 の 概 要 は 以 下 の 通 り 詳 細 な 要 求 設 定 は 6.5.1 節 を 参 照 のこと 以 下 の 条 件 を 満 たす 暗 号 スイートを 選 定 する CRYPTREC 暗 号 リストに 掲 載 されているアルゴリズムのみで 構 成 される 暗 号 化 として 128 ビット 安 全 性 以 上 を 有 する 安 全 性 向 上 への 寄 与 が 高 いと 期 待 されることから 認 証 付 暗 号 利 用 モードを 採 用 する Perfect Forward Secrecy( 後 述 )の 特 性 を 満 たす SSL/TLS 暗 号 設 定 ガイドライン - 31
ただし 本 ガイドラインではサーバ 証 明 書 で DSA を 利 用 しないことを 要 求 設 定 の 前 提 としている(5.1 節 参 照 )ため DSA を 含 む 暗 号 スイートは 選 定 しない 暗 号 スイートの 優 先 順 位 は 以 下 の 通 りとする 選 定 した 暗 号 スイートをグループαとグループβに 分 類 し 安 全 性 の 高 いグループを 優 先 する グループ 分 けの 基 準 はブロック 暗 号 の 鍵 長 によるものとする 上 記 以 外 の 暗 号 スイートは 利 用 除 外 とする 鍵 交 換 で DHE を 利 用 する 場 合 には 鍵 長 2048 ビット 以 上 ECDHE を 利 用 する 場 合 には 鍵 長 256 ビット 以 上 の 設 定 を 必 須 とする 推 奨 セキュリティ 型 の 要 求 設 定 推 奨 セキュリティ 型 の 要 求 設 定 の 概 要 は 以 下 の 通 り 詳 細 な 要 求 設 定 は 6.5.2 節 を 参 照 のこと 以 下 の 条 件 を 満 たす 暗 号 スイートを 選 定 する CRYPTREC 暗 号 リストに 掲 載 されているアルゴリズムのみで 構 成 される 暗 号 化 として 128 ビット 安 全 性 以 上 を 有 する ただし 本 ガイドラインではサーバ 証 明 書 で DSA を 利 用 しないことを 要 求 設 定 の 前 提 としている(5.1 節 参 照 )ため DSA を 含 む 暗 号 スイートは 選 定 しない 暗 号 スイートの 優 先 順 位 は 以 下 の 通 りとする 選 定 した 暗 号 スイートを 安 全 性 と 実 用 性 とのバランスの 観 点 に 立 って グループ A グループ B グループ F とグループ 分 けをする 以 下 の 条 件 でグループごとの 優 先 順 位 を 付 ける 本 ガイドライン 公 開 時 点 (2015 年 5 月 )では 通 常 の 利 用 形 態 において 128 ビッ ト 安 全 性 があれば 十 分 な 安 全 性 を 確 保 できることから 128 ビット 安 全 性 を 優 先 す る 鍵 交 換 に 関 しては Perfect Forward Secrecy の 特 性 の 有 無 と 実 装 状 況 に 鑑 み DHE 次 いで RSA の 順 番 での 優 先 順 位 とする 上 記 以 外 の 暗 号 スイートは 利 用 除 外 とする 鍵 交 換 で DHE を 利 用 する 場 合 には 鍵 長 1024 ビット 以 上 22 ECDHE/ECDH を 利 用 する 場 合 には 鍵 長 256 ビット 以 上 RSA を 利 用 する 場 合 には 鍵 長 2048 ビット 以 上 の 設 定 を 必 須 と する セキュリティ 例 外 型 の 要 求 設 定 セキュリティ 例 外 型 の 要 求 設 定 の 概 要 は 以 下 の 通 り 詳 細 な 要 求 設 定 は 6.5.3 節 を 参 照 のこと 以 下 の 条 件 を 満 たす 暗 号 スイートを 選 定 する 22 1 暗 号 解 読 以 外 の 様 々な 秘 密 鍵 の 漏 えいリスクを 考 えれば PFS の 特 性 を 優 先 させるほうが 望 ましい 26.3.3 節 に 示 すように DHE を 利 用 する 場 合 多 くの 場 合 で 1024 ビットが 選 択 される 環 境 である 2DHE であれば 秘 密 鍵 漏 えいの 影 響 が 当 該 セッション 通 信 のみに 限 定 される ことを 踏 まえ 本 ガイドラインの 発 行 時 点 での DHE の 推 奨 鍵 長 は 1024 ビット 以 上 とする SSL/TLS 暗 号 設 定 ガイドライン - 32
CRYPTREC 暗 号 リストに 掲 載 されているアルゴリズムのみで 構 成 される ただし 今 までほとんど 使 われていない 楕 円 曲 線 暗 号 と Triple DES や RC4 の 組 合 せを 今 後 使 っていく 積 極 的 な 理 由 は 見 いだせないことから 楕 円 曲 線 暗 号 と Triple DES RC4 の 組 み 合 わせは 選 定 しない また 本 ガイドラインではサーバ 証 明 書 で DSA を 利 用 しないことを 要 求 設 定 の 前 提 と している(5.1 節 参 照 )ため DSA を 含 む 暗 号 スイートも 選 定 しない 暗 号 スイートの 優 先 順 位 は 以 下 の 通 りとする 選 定 した 暗 号 スイートを 安 全 性 と 実 用 性 とのバランスの 観 点 に 立 って グループ A グループ B とグループ 分 けをする なお グループ A からグループ F までは 推 奨 セキュリティ 型 と 同 様 であり 推 奨 セキュリティ 型 での 優 先 順 位 のつけ 方 を 適 用 する 上 記 以 外 の 暗 号 スイートは 利 用 除 外 とする 鍵 交 換 で DHE を 利 用 する 場 合 には 鍵 長 1024 ビット 以 上 ECDHE/ECDH を 利 用 する 場 合 に は 鍵 長 256 ビット 以 上 RSA を 利 用 する 場 合 には 鍵 長 2048 ビット 以 上 の 設 定 を 必 須 とす る 6.2 暗 号 スイートで 利 用 可 能 な 候 補 となる 暗 号 アルゴリズム 本 ガイドラインにおいて 暗 号 スイートで 利 用 可 能 な 候 補 となる 暗 号 アルゴリズム とは SSL/TLS 用 の 暗 号 スイートとして IETF で 規 格 化 されたものに 採 用 されている 暗 号 アルゴリズム のうち CRYPTREC 暗 号 リスト(2.2.1 節 参 照 )にも 掲 載 されているものとする 具 体 的 には 表 9 に 示 した 暗 号 アルゴリズムである 表 9 暗 号 スイートで 利 用 可 能 な 候 補 となる 暗 号 アルゴリズム 暗 号 スイー CRYPTREC 暗 号 リストでの 標 記 トでの 標 記 技 術 分 類 リストの 種 類 アルゴリズム 名 鍵 交 換 鍵 共 有 守 秘 電 子 政 府 推 奨 暗 号 リスト DH(Ephemeral DH を 含 む) ECDH(Ephemeral DH を 含 む) 運 用 監 視 暗 号 リスト RSAES PKCS#1 v1.5(rsa) 署 名 署 名 電 子 政 府 推 奨 暗 号 リスト RSASSA PKCS#1 v1.5(rsa) DSA ECDSA 暗 号 化 128 ビット ブロック 暗 号 電 子 政 府 推 奨 暗 号 リスト AES( 鍵 長 128 ビット 256 ビット) Camellia( 鍵 長 128 ビット 256 ビット) 暗 号 利 用 モード 電 子 政 府 推 奨 暗 号 リスト CBC GCM ハッシュ 関 数 ハッシュ 関 数 電 子 政 府 推 奨 暗 号 リスト SHA-256 SHA-384 運 用 監 視 暗 号 リスト SHA-1 SSL/TLS 暗 号 設 定 ガイドライン - 33
暗 号 スイートで 利 用 可 能 な 候 補 となる 暗 号 アルゴリズム( 続 ) 以 下 は SSL3.0 でのみ 利 用 可 暗 号 化 64 ビット 電 子 政 府 推 奨 暗 号 3-key Triple DES ブロック 暗 号 リスト ストリーム 暗 号 運 用 監 視 暗 号 リスト 128-bit RC4 なお Triple DES は 電 子 政 府 推 奨 暗 号 リストに RC4 は 運 用 監 視 暗 号 リストに 掲 載 されている が 以 下 の 理 由 を 総 合 的 に 検 討 した 結 果 本 ガイドラインでは TLS1.0 以 上 の 場 合 には Triple DES と RC4 を 採 用 しないことに 決 定 した TLS1.0 以 上 の 場 合 での Triple DES の 除 外 理 由 TLS1.0 以 上 の 場 合 には Triple DES よりも 安 全 でかつ 高 速 な 共 通 鍵 暗 号 として AES や Camellia が 利 用 可 能 である TLS1.0 以 上 の 場 合 での RC4 の 除 外 理 由 TLS1.0 以 上 の 場 合 には RC4 よりもはるかに 安 全 な 共 通 鍵 暗 号 として AES や Camellia が 利 用 可 能 である ネットワーク 環 境 等 の 利 用 状 況 も 踏 まえて 総 合 的 に 判 断 すれば RC4 の 安 全 性 の 脆 弱 性 を 大 きく 優 越 するほどの 実 利 用 における 速 度 優 位 性 が 認 められない このことは RC4 の 処 理 速 度 が 速 いという 理 由 が 他 の 安 全 な 暗 号 アルゴリズムを 使 わない 理 由 にはならないこ とを 意 味 する NIST 23 や ENISA 24 などが 最 近 発 行 している SSL/TLS での 設 定 ガイドラインにおいても RC4 は 除 外 されている 6.3 鍵 交 換 で 考 慮 すべきこと SSL/TLS の 仕 様 では 実 際 のデータを 暗 号 化 する 際 に 利 用 する セッション 鍵 はセッション ごとに(あるいは 任 意 の 要 求 時 点 で) 更 新 される したがって 何 らかの 理 由 により ある 時 点 でのセッション 鍵 が 漏 えいした 場 合 でも 当 該 セッション 以 外 のデータは 依 然 として 保 護 された 状 態 にある 一 方 セッション 鍵 は 暗 号 通 信 を 始 める 前 にサーバとクライアントとで 共 有 しておく 必 要 があ るため 事 前 通 信 (ハンドシェイク)の 段 階 でセッション 鍵 を 共 有 するための 処 理 が 行 われる この 処 理 のために 使 われるのが 表 9 での 鍵 共 有 守 秘 に 掲 載 されている 暗 号 アルゴリズム である 23 NIST SP800-52 revision 1 (draft), Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations 24 ENISA, Algorithms, Key Sizes and Parameters Report - 2013 recommendations, SSL/TLS 暗 号 設 定 ガイドライン - 34
6.3.1 秘 密 鍵 漏 えい 時 の 影 響 範 囲 を 狭 める 手 法 の 採 用 (Perfect Forward Secrecy の 重 要 性 ) 秘 密 鍵 が 漏 えいする 原 因 は 暗 号 アルゴリズムの 解 読 によるものばかりではない むしろ プロ グラムなどの 実 装 ミスや 秘 密 鍵 の 運 用 管 理 ミス あるいはサイバー 攻 撃 やウイルス 感 染 による ものなど 暗 号 アルゴリズムの 解 読 以 外 が 原 因 となって 秘 密 鍵 が 漏 えいする 場 合 のほうが 圧 倒 的 に 多 い 最 近 でも OpenSSL Heartbleed Bug や Dual_EC_DRGB の 脆 弱 性 などが 原 因 による 秘 密 鍵 の 漏 え いが 懸 念 されており 秘 密 鍵 が 漏 えいする リスクそのものは 決 して 無 視 できるものではない スノーデン 事 件 でも 話 題 になったように 秘 密 鍵 の 運 用 管 理 そのものに 問 題 がある 場 合 も 想 定 される 上 述 した 通 り SSL/TLS では 毎 回 変 わるセッション 鍵 をサーバとクライアントが 共 有 するこ とでセッションごとに 違 った 秘 密 鍵 を 使 って 暗 号 通 信 をしており 仮 にある 時 点 でのセッション 鍵 が 漏 えいした 場 合 でも 当 該 セッション 以 外 のデータは 依 然 として 保 護 されている しかし 多 くの 場 合 セッション 鍵 の 交 換 には 固 定 の 鍵 情 報 を 使 って 行 っている このため どんな 理 由 であれ もし 仮 に 鍵 交 換 で 使 う 暗 号 アルゴリズムの 秘 密 鍵 が 漏 えいした 場 合 当 該 秘 密 鍵 で 復 号 できるセッション 鍵 はすべて 漏 えいしたことと 同 義 となる つまり SSL/TLS で の 通 信 データをためておき 年 月 が 経 って 当 時 の 鍵 交 換 で 使 った 暗 号 アルゴリズムの 秘 密 鍵 が 入 手 できたならば 過 去 にさかのぼって ためておいた 通 信 データの 中 身 が 読 み 出 せることを 意 味 している そこで 過 去 の SSL/TLS での 通 信 データの 秘 匿 を 確 保 する 観 点 から 鍵 交 換 で 使 った 暗 号 アル ゴリズムの 秘 密 鍵 に 毎 回 異 なる 乱 数 を 付 加 することにより 見 かけ 上 毎 回 異 なる 秘 密 鍵 を 使 ってセッション 鍵 の 共 有 を 行 うようにする 方 法 がある これによって 仮 に 鍵 交 換 で 使 う 暗 号 アルゴリズムの 秘 密 鍵 が 何 らかの 理 由 で 漏 えいしたとしても 当 該 セッション 鍵 の 共 有 のた めに 利 用 した 乱 数 がわからなければ 当 該 セッション 鍵 そのものは 求 められず 過 去 に 遡 及 して 通 信 データの 中 身 が 読 まれる 危 険 性 を 回 避 することができる このような 性 質 のことを Perfect Forward Secrecy または 単 に Forward secrecy と 呼 んでいる なお 本 ガイドラインでは Perfect Forward Secrecy(あるいは PFS)に 統 一 して 呼 ぶこととする 現 在 の SSL/TLS で 使 う 暗 号 スイートの 中 で Perfect Forward Secrecy の 特 性 を 持 つのは Ephemeral DH と Ephemeral ECDH と 呼 ばれる 方 式 であり それぞれ DHE ECDHE と 表 記 される 6.3.2 鍵 交 換 で 利 用 すべき 鍵 長 5.4.3 節 で 述 べたことと 同 様 鍵 交 換 においても 鍵 長 を 長 くすれば 処 理 時 間 や 消 費 リソースな ども 増 えるため 安 全 性 と 処 理 性 能 消 費 リソースなどのトレードオフを 考 えて 適 切 な 鍵 長 を 選 択 する 必 要 がある 例 えば 処 理 性 能 や 消 費 リソースの 制 約 が 厳 しい 組 込 み 機 器 などの 場 合 鍵 長 4096 ビットの RSA 暗 号 を 利 用 して 得 られるメリットよりもデメリットの 方 が 大 きくなる 可 能 性 がある CRYPTREC の 見 積 もりでは 劇 的 な 素 因 数 分 解 手 法 の 発 見 がない 限 り 計 算 機 性 能 の 向 上 を 考 慮 しても 世 界 最 速 の 計 算 機 が 1 年 かけて 鍵 長 2048 ビットの RSA を 解 読 可 能 となるのは 2035 年 以 降 SSL/TLS 暗 号 設 定 ガイドライン - 35
と 予 想 している また NIST SP800-57 では 鍵 長 2048 ビットは 2030 年 までは 利 用 可 とされてい る(2.2.2 節 表 3 参 照 ) したがって 2030 年 を 超 えて 利 用 することを 想 定 していないシステム やサービスであれば 2048 ビット 以 上 の 鍵 長 を 使 うメリットは 乏 しいといえる 内 閣 官 房 情 報 セキュリティセンター( 現 : 内 閣 サイバーセキュリティセンター)が 公 表 してい る 政 府 機 関 の 情 報 システムにおいて 使 用 されている 暗 号 アルゴリズム SHA-1 及 び RSA1024 に 係 る 移 行 指 針 並 びに CRYPTREC が 公 開 している 公 開 鍵 暗 号 についての 安 全 性 予 測 を 踏 まえれ ば 本 ガイドライン 公 開 時 点 (2015 年 5 月 )での 鍵 交 換 で 利 用 すべき 鍵 長 は RSA は 2048 ビッ ト 以 上 ECDH/ECDHE は 256 ビット 以 上 が 妥 当 である なお RSA に 関 しては サーバ 証 明 書 の 申 請 段 階 で 鍵 長 2048 ビット 以 上 を 設 定 することで 実 現 する 6.3.3 DHE/ECDHE での 鍵 長 の 設 定 状 況 についての 注 意 鍵 交 換 について 暗 号 スイート 上 は 鍵 長 の 規 定 がない このため 同 じ 暗 号 スイートを 使 って いても 利 用 可 能 な 鍵 長 は 製 品 依 存 になっていることに 注 意 する 必 要 がある 特 に 鍵 交 換 で RSA を 使 う 場 合 と DHE や ECDHE/ECDH を 使 う 場 合 とでは 鍵 長 の 扱 いが 全 く 異 なるので それぞ れについて 適 切 な 設 定 を 行 っておく 必 要 がある RSA での 鍵 交 換 を 行 う 場 合 にはサーバ 証 明 書 に 記 載 された 公 開 鍵 を 使 うことになっており 本 ガイドラインの 発 行 時 点 では 鍵 長 2048 ビットの 公 開 鍵 がサーバ 証 明 書 に 通 常 記 載 されている こ のことは RSA での 鍵 交 換 を 行 う 場 合 サーバ 証 明 書 を 正 当 に 受 理 する 限 り どのサーバもブラ ウザも 当 該 サーバ 証 明 書 によって 利 用 する 鍵 長 が 2048 ビットにコントロールされていることを 意 味 する 例 え 鍵 長 2048 ビットの RSA が 使 えないブラウザがあったとしても 鍵 交 換 が 不 成 立 通 信 エラーになるだけであり 2048 ビット 以 外 の 鍵 長 が 使 われることはない つまり RSA での 鍵 交 換 に 関 しては サーバ 証 明 書 の 発 行 時 に 利 用 する 鍵 長 を 正 しく 決 め そ の 鍵 長 に 基 づくサーバ 証 明 書 を 発 行 してもらえばよく ほとんどの 場 合 サーバやブラウザ 等 に 特 別 な 設 定 をする 必 要 はない 一 方 DHE ECDH/ECDHE については 利 用 する 鍵 長 がサーバ 証 明 書 で 明 示 的 にコントロー ルされるのではなく 個 々のサーバやブラウザでの 鍵 パラメータの 設 定 によって 決 められる こ のため どの 鍵 長 が 利 用 されるかは 使 用 する 製 品 での 鍵 パラメータの 設 定 状 況 に 大 きく 依 存 す る 例 えば デフォルトで 使 用 する 鍵 長 が 製 品 やバージョンによって 異 なることが 知 られており 2013 年 夏 頃 までは 鍵 長 1024 ビットの DHE しか 使 えない 製 品 やバージョンも 少 なくなかった 有 名 なところでは Apache 2.4.6 以 前 Java 7(JDK7) 以 前 Windows Server 2012 などがある 図 4 の 2015 年 1 月 の Alexa の 調 査 結 果 25 によれば 約 47 万 の 主 要 なサイトについて DHE が 利 用 できるのは 約 52.3%であり そのうちの 約 87.5%( 全 体 では 約 45.8%)が 鍵 長 1024 ビット を 採 用 している 一 方 ECDHE が 利 用 できるのは 約 62.7%であり そのうちの 約 98%( 全 体 では 約 61.5%)が 鍵 長 256 ビットを 採 用 している このことは DHE を 利 用 した 場 合 は 鍵 長 1024 ビットが ECDHE を 利 用 した 場 合 は 鍵 長 256 ビ ットが 採 用 される 可 能 性 が 極 めて 高 いことを 意 味 している 25 https://securitypitfalls.wordpress.com/2015/02/01/january-2015-scan-results/ SSL/TLS 暗 号 設 定 ガイドライン - 36
DHE で 鍵 長 2048 ビットとして 使 う 場 合 には 鍵 長 2048 ビットをサポートしているバージョン を 使 ったうえで デフォルトで 使 用 可 となっているか もしくは 使 用 可 のオプション 設 定 を 行 う ことが 必 要 である 明 示 的 に 鍵 長 2048 ビットを 指 定 できる 代 表 例 OpenSSL Apache 2.4.7 以 降 lighttpd 1.4.29 以 降 nginx Java 8 以 降 これらについては Appendix B.3 に 実 際 の 設 定 例 を 記 す 明 示 的 に 鍵 長 を 指 定 できるが 鍵 長 2048 ビットをサポートしていない 代 表 例 Apache 2.4.6 以 前 Java 7 以 前 例 えば Java 7 以 前 では DHE で 扱 える 鍵 長 は 64 ビット 刻 みで 512 ビットから 1024 ビットまで である これらの 製 品 を 利 用 する 場 合 には 必 ず 鍵 長 を 1024 ビットに 指 定 して 利 用 すること 図 4 DHE/ECDHE の 鍵 長 の 設 定 状 況 (Alexa の 調 査 結 果 を 加 工 ) SSL/TLS 暗 号 設 定 ガイドライン - 37