システムの利用期間に見合った暗号技術の選択へ向けて:デファクトスタンダード暗号技術の大移行(6)(2/3 ページ)
システム利用期間と暗号技術の選択の考え方
暗号技術の性質上、安全性が高いほど望ましいことはいうまでもない。しかしながら、いくら安全性が高いとはいっても、メインのアプリケーションが実質的に使えなくなるような暗号技術を導入することはシステム設計として本末転倒である。
一方、計算機の性能は年々向上し続けているため、2010年の環境と2030年の環境、あるいは2050年の環境とでは実現されている計算機性能がまったく異なるだろう。このことは、システムの利用期間によって安全性を維持するために必要な要求条件が違ってくることを示している。
そこで、米国商務省国立標準技術研究所(NIST)は、将来的な暗号解読技術の進展や計算機環境の変化を考慮したうえで、米国政府の情報システムが利用予定期間を通じて最低限維持すべき等価安全性をSP 800-57にまとめている。これを基に、例えば米国政府の国家公務員IDカード仕様となるFIPS 201 Personal Identity Verification of Federal Employees and Contractors(PIV)[参考文献2]で利用する暗号がSP 800-78[参考文献3]で規定されている。
表1にシステムの利用期間と維持すべき等価安全性の関係、ならびに暗号技術の例を示す。この表から、NISTが等価安全性の大きな区切りとして80ビット安全性の次を112ビット安全性、その次を128ビット安全性としていることがうかがえる。また、移行時期についても、80ビット安全性から112ビット安全性以上に移行する2010年の次に、128ビット安全性以上に移行する2030年を予定していることが分かる。
なお、システムの最長利用予定期間での等価安全性が最終的に満たすべき安全性の要求条件となるので、(1)初めから最終的に満たすべき安全性が確保される暗号技術を採用するか、(2)適切な時期に適切な暗号技術へ移行できる仕組みをあらかじめ作っておくことが必要となる。
例えば、2040年までの利用が予定されている情報システムの場合、(1)初めから128ビット安全性の暗号技術を採用するか、(2)2030年までに128ビット安全性の暗号技術へ移行できる仕組みを組み込んでおくことを前提に、当面は112ビット安全性の暗号技術を採用するかのどちらかの方法で実現することが求められる。
| システム利用期間 | 維持すべき等価安全性 | 共通鍵暗号の例 | 公開鍵暗号・デジタル署名の例 | ハッシュ関数の例 |
|---|---|---|---|---|
| 〜2010年 | 80ビット安全性以上 | 2-key Triple DES 3-key Triple DES AES Camellia など |
鍵長1024ビット以上のRSAやDSA 鍵長160ビット以上のECDSA など |
SHA-1 SHA-224 SHA-256 SHA-384 SHA-512 |
| 2011〜2030年 | 112ビット安全性以上 | 3-key Triple DES AES Camellia など |
鍵長2048ビット以上のRSAやDSA 鍵長224ビット以上のECDSA など |
SHA-224 SHA-256 SHA-384 SHA-512 |
| 2031〜2050年 | 128ビット安全性以上 | AES Camellia など |
鍵長3072ビット以上のRSAやDSA 鍵長256ビット以上のECDSA など |
SHA-256 SHA-384 SHA-512 |
| 表1 SP 800-57をベースにした最低限維持すべき安全性と利用期間の関係 | ||||
表1に関連して、米国政府の情報システムにおける暗号技術の移行には、1つのスタイルが確立されていることを心に留めておく必要がある。それは、暗号技術の移行が短期間に行われるわけではなく、最低5年間の移行期間が確保され、その期間内に新たに導入あるいは更新されるシステムから順次新しい暗号技術へ移行していくというものである。
2030年に112ビット安全性の暗号技術の運用を終了する予定ということは、遅くとも2025年から移行のための準備が再び始まるということを意味している。つまり、2010年の移行だけですべてが終わりというわけではなく、とりわけ長期に運用する予定のシステムでは、20年後に同じような暗号技術の移行といったテーマが持ち上がる可能性が高いということである。
加えて、こういったガイドラインは5年ごとに再評価されており、暗号解読技術の進展や計算機環境の変化が予想よりも速く進んだ場合には見直されることもある。実際、SP 800-57の1つ前のバージョンでは112ビット安全性から128ビット安全性への移行時期を2035年としていたが、2005年8月に現バージョンが発行されるに当たって2030年に見直されている。
以上の点を考えれば、実装環境が許すのであれば、システムの利用予定期間の長短にかかわらず、できるだけ128ビット安全性以上の暗号技術をいまから採用しておく方がよいといえるだろう。実際、NSA Suite B[参考文献4]では128ビット安全性以上のアルゴリズムしか指定していない。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。