IT用語/CRYPTREC

CRYPTREC(Cryptography Research and Evaluation Committees) (2014-09-13, 更新:2016-11-21)


日本発の暗号技術評価プロジェクト。
電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討している。総務省と経済産業省が所管します。

暗号化技術は色々あるものの、解読されているものも多く、どれが安全なのか評価が必要になります。*1
それを日本で担っているのがCRYPTRECです。

欧州連合(EU)だとNESSIE(New European Schemes for Signature、Integrity、 and Encryption)という暗号技術評価プロジェクトがあって、
アメリカ合衆国だとNIST(National Institute of Standards and Technology)が採用したAESや、米国連邦標準規格であるFIPS 140 (Federal Information Processing Standardization 140:暗号モジュールの"要件"の規格)があります。

電子政府推奨暗号リスト

CRYPTRECが推奨する暗号リスト*2。 2013年3月1日現在のリストを一部抜粋します
(最新版は Google:CRYPTREC 暗号リスト で探しましょう。)

公開鍵暗号署名DSA、ECDSA、RSA-PASS、RSASSA-PKCS1-v1_5
守秘RSA-OAEP
鍵共有DH、ECDH
共通鍵暗号ブロック暗号(64bit)3-key Triple DES
ブロック暗号(128bit)AES、Camellia
ストリーム暗号KCipher-2
ハッシュ関数SHA-256/384/512
メッセージ認証符号CMAC、HMAC

で、どこまで対応できるのか(2016-11-11)

Google:IPA SSL/TLSアプライアンス製品の暗号設定方法等の調査報告書」で、代表的な製品の暗号化対応状況を解説しています。
もちろん、各製品ともデフォルト設定から自分環境用に設定変更するのが前提だとは思うのですが、
出荷時に「高セキュリティ」といえる製品は、皆無。少し驚きました。

セキュリティ対策は(設置~保守など)コストがかかりますので、理想と現実、各組織がどこでバランスをとるのかが難しい事を改めて考えさせられます。

余談(2016-11-21)

Google Chrome が SHA-1による証明書のサポートを止めるそうです。期限は2017年1月末。
上記を踏まえると(2013年3月時点で推奨されてはいないことを踏まえると)、
より早い対応がベターなのでしょうが、現実問題として、何でもかんでも最新にできないものなんですね。

今回のChromeの件も、対応できてないWebサイト側が結構あるみたいなので
なんでしょう、セキュリティってコストとのバランスが難しい事を改めて感じます。


*1 暗号文自体は時間さえ(無限に)あれば解読可能で、コンピュータの計算速度の向上によって暗号の強度は下がります(これを「危殆化」といいます)。なので常に最新の暗号化技術を評価、利用していく必要があります。
*2 今後使う可能性のある「推奨候補暗号リスト」ってのもあります。MISTY(共通鍵参照)なんかはこっちにありましたね。

  最終更新のRSS