AHS(Advanced Hash Standard)コンテストの実施に向かって
第1回の記事中に、SHA-1/SHA-2に替わるハッシュ関数コンテストが実施されるかもしれないと書いたが、2006年8月にAHSコンテストのスケジュール案が正式にNISTから公表された(図1参照)[参考文献5]。これによって、公募による新しい米国政府標準ハッシュ関数選定のためのコンテスト実施に向けて大きく動きだしたことになる。
公表されたスケジュール案は、AESコンテスト[参考文献6]のときのスケジュールをそのまま焼き直したといってもよいぐらい酷似しており、2009年に公募、2012年に最終決定という約4年ものロングラン・プログラムになっている。とはいえ、筆者のAESコンテストでの経験やハッシュ関数の現状を考えると、妥当というよりもむしろタイトなスケジュール案だと思うので、2012年より遅くなることはあっても前倒しで新しいハッシュ関数が決まる可能性はまずないだろうというのが筆者の感想である。
2006年8月24、25日には第2回ハッシュ関数ワークショップが米国サンタバーバラで開催された。そこでは、新しいハッシュ関数の提案が比較的多かったものの、メイントピックは「どういった新しいハッシュ関数を作っていくべきか」というパネルディスカッションと「AHSコンテスト」についてのオープンディスカッションにあったといってよいだろう。その際の議論のポイントとしては、例えば以下の点が挙げられる。
- コンテストをいつから始めるか(できるだけ早くから開始する代わりに第1次選考後の大幅な修正を認めるか、評価に足る技術蓄積をしてから開始すべきか)
- ハッシュ関数はいくつあるべきか(1つの汎用目的のハッシュ関数とすべきか、複数の目的ごとに特化したハッシュ関数とすべきか)
- ハッシュ関数の安全性証明はどうあるべきか(何をもって安全と考えるか)
- ダイジェスト長などは引数(パラメータ)で与えるようにした方がよいか
- 圧縮関数とモードに分けて標準を決めた方がよいか
- そもそもハッシュ関数に求める要求条件とは何か
これらはAHSコンテストを進めていくうえでいずれも重要なポイントであり、参加者の中にもさまざまな意見がある。ただ、今回のワークショップでは何かを決めるというわけではなかったため、たくさんの意見が出ても議論が紛糾するということはなかった。
今後は、2007年夏ごろ(やはりCRYPTO前後の8月下旬か)に開催される予定の第3回ハッシュ関数ワークショップに向けて、AHSコンテストのたたき台がNISTによって作られることになる。ここで作られたたたき台の内容いかんによって、実際には2008年以降のAHSコンテストの行方が大きく左右されることになるだろう。
将来のあるべき姿を考慮して暗号技術を選ぼう
「デファクトスタンダード暗号技術の大移行」と題して6回にわたり、現在のデファクトスタンダード暗号がどのように大きく移行しようとしているのかを紹介してきた。
もちろん、これらの話はあくまで米国政府の話だと割り切ることもできる。もっといえば、NISTが2010年末で80ビット安全性の暗号技術の使用を米国政府の情報システムで中止したとしても、ハッシュ関数規格FIPS 180でのSHA-1やデジタル署名規格FIPS 186での1024ビットRSAなどの仕様は少なくとも2012年に予定されている再評価までは規格として残っているはずである。
また、2010年までに現在のデファクトスタンダード暗号から移行しなかったからといって直ちに何らかの問題が起きるとは思えない。実際問題として、例えば2012年までに運用を終了するシステムであれば特に対処する必要もないだろう。つまり、実際に暗号を切り替える必要があるかどうかは、さまざまなリスクや業務継続性などを総合的に考慮して、最終的にシステムの運用責任者が判断すべき事柄ではある。
ただ、現時点で、現在のデファクトスタンダード暗号を捨ててまで、あえてより安全な新しい暗号技術へ移行すると判断したNISTの行動は心に留めておくべきだろう。とりわけ2010年以降も長期にわたって使うことが予定されているシステムの設計においては、一度稼働を始めたら簡単には暗号技術を入れ替えることができないということを前提に、利用する暗号技術を慎重に選定すべきといえる。
本連載がそういった暗号技術の選定のための材料として少しでも役に立てれば幸いである。
【参考文献】
[1]NIST「Recommendation on Key Management」NIST Special Publications 800 Series, SP 800-57,2005
http://csrc.nist.gov/publications/nistpubs/index.html
[2]NIST「Personal Identity Verification of Federal Employees and Contractors」 Federal Information Processing Standards Publications FIPS 201,2006
http://csrc.nist.gov/publications/fips/index.html
[3]NIST「Cryptographic Algorithms and Key Sizes for Personal Identity Verification」 NIST Special Publications 800 Series, SP 800-78,2005
http://csrc.nist.gov/publications/nistpubs/index.html
[4]NSA「Fact Sheet NSA Suite B Cryptography」
http://www.nsa.gov/ia/industry/crypto_suite_b.cfm
[5]NIST「Advanced Hash Standard (AHS) Tentative Timeline」
http://www.csrc.nist.gov/pki/HashWorkshop/timeline.html
[6]NIST「AES Archive info」
http://csrc.nist.gov/CryptoToolkit/aes/
Profile
NTT情報流通プラットフォーム研究所 情報セキュリティプロジェクト 主任研究員 博士(工学)
神田雅透(かんだ まさゆき)
東京工業大学大学院修士課程、横浜国立大学大学院博士課程修了。情報セキュリティ全般、特に共通鍵暗号の研究に従事。近年では、Camelliaの設計や普及活動にかかわる。平成17年度情報処理学会業績賞受賞。最新暗号技術(NTT情報流通プラットフォーム研究所著)を執筆。
CRYPTREC共通鍵暗号評価小委員会委員、JST評価委員会分科会委員を歴任。電子情報通信学会、情報処理学会、情報セキュリティマネジメント学会会員。情報セキュリティマネジメント学会理事。
Copyright © ITmedia, Inc. All Rights Reserved.