暗号危殆化のPKIシステムに及ぼす影響とその対策

佐々木 良一 東京電機大学工学部教授

2005/10/07 9:30-

本日は「暗号危殆化のPKIシステムに及ぼす影響とその対策」という話をさせていただく．抽象的なイメージ，世の中でまったく同じ暗号が出てくる．書類などの偽造が出てくる．紙は簡単に判断が付きやすい．電子の世界ではどうか，ということを今からきちんと考えなければならないだろう．重要な話．
新聞・インターネットでセキュリティの記事が出ない日はないくらい．米国のクレジットの例．原発の情報の流出 Winny の例．

欧米研究者チームがコンテストで 567bit の解読に成功した．通常日本では 567 bit は使っていない．日本では，1024 bit を使っている．作っている会社が安全性の確認を常に行っている．

100台のワークステーションを利用して，並列処理で解読した．RSA 社から 1万ドルをもらった．次は，640bit に挑戦している．すぐに解けそうだが，そうは行かない．鍵長と計算量．鍵の長さが長くなると，とくのが難しくなる．共通鍵暗号は，総当り．2**n， RSA は指数関数的にルート 2のn 乗になり，なかなか解けないだろう．

ハッシュ関数．解かれたよ．解かれる可能性があるよという記事．もともとの文章から作ったハッシュ値と別な文章で作った同じハッシュ値ができるというもの．SHA-1 が良く使われている．MD5 は日本の政府としても使わないでくれと言っている．SHA-1 の弱点がありうる，という言い方をしている．暗号やはラジカルな言い方をする．SHA-1 はブレークしたよ，という．太平洋の中に金貨が一枚．暗号の解くことの難しさ．暗号屋は，太平洋から日本海から一枚見つけるような段階になると，ブレークしたという．2の80乗くらいだったのが，2の６０乗くらいになったという話．いずれプールで一枚くらいになる．

電子の世界のはんこが偽造できるということになってくる．ハッシュ関数と暗号をつかって実現している．この点をデジタル署名の概要を説明しながら．

一般的に，取引事実の事後否認，こんな契約を結んだ覚えはないという場合どうしたらよいか．紙は書いてあるものを消せばわかる．契約書に自分のはんこではんこを押す．これで本人性がわかる．これで実現．
紙に消えないものでかく．はんこを押すのは文化．契約書に記名捺印するということをやっているのは，私の知る限り，日本だけになってきている．公文書は韓国中国でもあるが，日本のようなものは一つの文化．それでは，これを電子の世界にどのように持っていくのか．
スキャナーで読み込んで電子の世界に持ち込むという方法がある．切りはりが簡単なので，そのままではダメ．ハッシュ関数を用いて，また，公海鍵暗号を用いて，その鍵を持っている本人が承知しているということを実現する．

簡単に仕組み．取引文 M からハッシュ値 h(M)を作る．このハッシュ値に対して，秘密鍵 Sa で暗号化処理．取引文と書名をつけて B さんのところに持っていく．
B さんは，ハッシュ値 h' を計算．署名の部分を取り出して，公開鍵Pa を用いて，復号する．取り出したハッシュ値 h を取り出す．h'=h を確認して，比較する．一つ嘘を言っている．Pa が本当に A さんのものであるかどうかがわからない．この確認をするためのものが認証局．

A さんは Sa, Pa ペアをつくり，Pa の証明書を発行してもらう．電子の媒体で出来ている．
X.509V3 ベースの公開鍵証明書フォーマット．認証局の情報を使って，デジタル署名を作る．

PKI とは，狭義と広義がある．認証局の仕組みを狭義の PKI: Public Key Infrastructure 広義では，．．．
デジタル署名は日本では，電子印鑑などと呼ばれる．
はんこの歴史．印鑑は5300 年くらい前，シュメール人が円筒印章を使用した．文字もシュメール人．紙がない時代にはつぼにふたをして，粘土を塗り，円筒印章というしるしをつけて，あけたらわかるという仕組み．
1976 年に Diffe と Hellman が．1960 年中盤には出来ていたという話もあるが，ほぼ正しいと思う．

PGP が出てきてからよく使われるようになった．
一般ユーザでの署名．認証局での利用．公証局での署名．

広く使われ始めている．広く使われているのは ETC ではないか．海保の長島さんと話した．
長期の利用が必要になってきている．長期利用のニーズが高まってきている．証明書を発行してもらっての有効期間，署名の有効期間．文書の利用期間．署名の検証は一回で終わる場合もあるし，何回も行う場合もある．ETC が高速道路に入るたびに検証が行われる．
証明書の有効期間が過ぎた後も使いたい．

暗号危殆化のパターン．暗号の危殆かパターンは暗号の種類によって違っている．公開鍵暗号とハッシュ関数．逆に言うと，例えば，平文と暗号文のペアを与えられたときに，秘密鍵が推定されるような場合に，「危殆化」という．

ハッシュ値は元の文書が類推できるとか，衝突困難性．先ほどの話だと衝突困難性がブレークしつつあるという．

利用者の不注意，鍵管理の欠陥などで秘密鍵が漏洩するのは部分的なものだが，．．．

楕円曲線暗号 160 bit-RSA 1024bit-共通鍵暗号 80bit

危殆化の要因．
・計算機能力の向上．予測しやすい．
・攻撃手法の進歩．新たな攻撃手法が出てくる．
・計算機もでるの変化．例えば量子計算機．素因数分解の困難性に依存しているようなものは多項式オーダーで解けるようになるだろうといわれている．

従来日本では，危殆化が起きたら，PKI とくに電子文書がどうなってくるのかという研究はほとんどなされていなかった．情報処理進行機構(IPA) が昨年報告書を出している．三菱総研が受けている．アドバイザリに参加した．暗号アルゴリズムの危殆化について，どういう状況にあるのか．検討の初期の段階をやった．

危殆化への対応方法．安全性確保型．やぶられない暗号を作っていこうという．量子公開鍵暗号，既知の攻撃への耐性．
証拠性確保型．組織の信頼性をベースにするものもある．
NIST の進める DES 廃棄プロセス．従来，共通鍵暗号は DES が使われていたが，もう危ない．1997 年頃から AES を政府調達用に 2001 年に標準ができた．1999 年に NIST が標準から取り下げるということをやっている．今はほぼAES に移っている．これをベースにして，日本でもやっていく必要がある．

公開鍵暗号系もゆっくりできるのか，検討する必要がある．

論文等によって広がっていったという公表，そのごの事後対策があるだろうと．

脆弱性をどの時点で公表するのかというのが話題になっている．脆弱性を公表しないというのは間違い．公表しないと対応しない．悪い人は見つけて悪いことをする．暗号はどうするか．暗号は，攻撃方法も論文で公表する．論文を丹念に追いかけていくということが重要．

レベル０〜４．説明．レベル４は廃棄．など．判断用のガイドラインや，対処用の害ドライなどの行政対応．そのほかに技術対応．暗号危殆化監視機関向けガイドラインと電子政府システム運用責任者向けガイドラインなどの検討．

しかし，いろいろな問題点．政府で暗号についての対応．暗号が危ないというときに，みなさんのところでどうすればよいのか，まだおそらく考えていないだろうと思う．まず，政府機関で．今回検討したのは，暗号危殆化がほうこくされて，新しいシステムをどう構築していくか．

より影響を受けるのは，それ以前に作られた電子文書が残る．今でもたくさんある．ETC や電子キャッシュ．デジタル署名月文書．そういったものをどうするのかということが重要．
暗号がブレークした後でデジタル署名月のぶんしょがどうなるか．すべて本物かどうかがわからなくなる．ディジタルの世界では，作られた文書が古いか新しいかわからない．

きちんと今から対応していかないといけない．みんな怖くていいたがらないが，ちゃんとやらなければならない領域．

暗号危殆化をきちんと確認することが要件．危殆化したという情報をどのようにして伝えていくか．知らない人がいたら公平性が失われる．危殆化したことを証明書の発行者が知らせるというのもあるが，問題がある．はんこを押すというのは，押す人のほうが普通は不利な条件．公開鍵の持ち主ではなく，文書の持ち主に知らせなければならない．
危殆化が起きました，知らせました，でもはんこの押しなおしはいや，という状況もある．はんこの押しなおしなどをどうやっていくかということも検討しなければならない．
署名月文書をもう一度作成するか，より強い暗号で第三者が署名する．この二つしかないだろう．このあたりをどうやっていくか．

対応．危殆化情報をどうやって確認するのか．現在は機関は CRYPTREC という経産省の委員会．
暗号危殆化の情報伝達．個人の鍵の危殆化は CRL というのがあるが，暗号そのものが危殆化した場合について考えられていない．

危殆化時の対応ポリシーを作るか．
既存の署名に対する再処理．時刻認証局の利用など．
CSS2005 で詳しく発表する予定．
強化した CRYPTREC による監視が必要不可欠だろう．伝達機関をつくって，全体に知らせる仕組みが必要．危殆化時対応ポリシーをつくる．使い勝手を考えると，二人が集まってまた電子署名するのは効率が悪い．第三者が強い暗号で追加署名するのがよいだろう．時刻認証局がやってくれるのがよいだろうと結論している．

ポリシー証明書．公開鍵証明書の一部に危殆化した場合の対応方法を一緒に入れておくというのが，使い勝手がよいかと思う．紙で持つという対策も考えられる．
個別ではなく，全体の例えば法律で決めていくのも一つの手と考える．

＜記録中断＞

まとめと今後の課題
大筋では間違えていないと思うが，さらに詳細な分析を国として実施すべき．少なくとも検討していかなければならない．

いろいろやっている中で，これもやっている．従来は公開鍵暗号の危殆化で考えてきたが，長い期間の対処，安全性を考えていく必要があると思う．その一つがこれである．

もう一つは，長い間で考えると，攻撃方法も変わってくる．長い間使っていると，使っている人間が変わる，知識が高まる，ボケる，死ぬ．その中で，情報処理を使う．若いときの処理と歳をとってからの処理は違うだろう．ロングタームセキュリティは重要な課題になるなと思っている．

Q. 秋山先生：長期のときの話だけでなく，危殆化をもっと簡単に情報伝達したい．小さなレベルで，小さなコミュニティで使っている暗号の危殆化．暗号強度ではなくて，情報伝達の仕組み．
A. がちがちではなくて，もっと人の信頼性で．
秋山：顔の見えるコミュニティの周知伝達手段と，遠隔地の周知伝達手段など．
A. 使い分けるべきというのはその通りだと思う．がちがちの PKI を使っていても，

(秋山) Edy がこれだけ普及したのはいい加減なセキュリティが良かったのではないか．

Q. 半分コメント．電子文書の鍵が危殆化したときのプロセス．電子文書がどんどん流れていくということがあるとおもう．企業年金がポータブルになったことで例えば転職を繰り返す場合．文書のトレーサビリティ．文書の本物，最新版はどこにあるのかというようなこと．
A. 暗号そのものの危殆化の話とは違う．文書のトレーサビリティの研究をしている方もいる．どこまで情報を持つのかということと絡む．プライバシーの問題，情報が集中する場合の問題ではないかと思う．

Q. (佐藤)暗号化の危殆化以前のところで，CIA を守れといっていて，C と I はやっているが．．．デジタル署名は暗号をベースにする必要はあるのかと思うが，暗号化には危殆化が付きまとう．暗号と一生付き合うのか，それとも別な．
A. 従来の暗号は計算量的な安全性．情報論的な安全性．今井先生のところなどはその研究をされている．情報論的な安全性も計算量的な安全性をベースにしていると思う．

Q. 標準化の話がないとうまく動かないと思うが，他の国はどうなのか．リボークの仕組みがないと，本当の証明の話が出来ないとおもう．PKI に危殆化伝達の仕組みも載せられないか．
A. あまり表に出てきていない．二点目は CRL で暗号の危殆化も載せるということもある．が，実現可能性が低いのではないかと思っている．

以上