white paper 簡単にわかる暗号の歴史 e pap e r: powered by symantec white paper...
TRANSCRIPT
WH
ITE PA
PER
:
powered by Symantec
White Paper
簡単にわかる暗号の歴史暗号アルゴリズムの発明と暗号解読法の発明との技術の変遷。 SSL に用いられる暗号を有効に保ち続けるためには
White Paper :簡単にわかる暗号の歴史
2
Copyright ©2014 Symantec Corporation. All rights reserved. Symantec と Symantec ロゴは、Symantec Corporation または関連会社の米国およびその他の国における登録商標です。その他の会社名、製品名は各社の登録商標または商標です。
合同会社シマンテック・ウェブサイトセキュリティは、本書の情報の正確さと完全性を保つべく努力を行っています。ただし、合同会社シマンテック・ウェブサイトセキュリティは本書に含まれる情報に関して、(明示、黙示、または法律によるものを問わず)いかなる種類の保証も行いません。合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれる誤り、省略、または記述によって引き起こされたいかなる(直接または間接の)損失または損害についても責任を負わないものとします。さらに、合同会社シマンテック・ウェブサイトセキュリティは、本書に記述されている製品またはサービスの適用または使用から生じたいかなる責任も負わず、特に本書に記述されている製品またはサービスが既存または将来の知的所有権を侵害しないという保証を否認します。本書は、本書の読者に対し、本書の内容に従って作成された機器または製品の作成、使用、または販売を行うライセンスを与えるものではありません。最後に、本書に記述されているすべての知的所有権に関連するすべての権利と特権は、特許、商標、またはサービス ・ マークの所有者に属するものであり、それ以外の者は、特許、商標、またはサービス ・ マークの所有者による明示的な許可、承認、またはライセンスなしにはそのような権利を行使することができません。
合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を持ちます。
White Paper :簡単にわかる暗号の歴史
3
CONTENTS
1.はじめに 4
2.古典暗号(古代) 5
3.古典暗号(中世) 8
女王メアリの暗号 8
ヴィジュネル暗号 8
上杉暗号 9
4.近代暗号 第一次世界大戦以降の暗号と機械式暗号機の登場 10
イギリスがドイツの通信ケーブル切断 10
ツィンマーマン電報 10
ADFGVX暗号 11
エニグマの誕生 12
5.現代の暗号 コンピュータ・インターネット時代の暗号 14
DES暗号 14
公開鍵暗号方式 15
RSA暗号 16
DES暗号の解読 18
SSL における暗号強度向上への対応 18
DSA 18
楕円曲線暗号 19
6.暗号の未来 22
7.おわりに SSLに用いられている暗号を有効にするために 23
参考文献 24
参考ホワイトペーパー 24
挿絵 24
White Paper :簡単にわかる暗号の歴史
4
1.はじめに情報セキュリティとして広く一般的に使われている「暗号」およびその技術はインターネットの普及に伴って重要性がますます高まっています。
紐解いてみれば、古くは紀元前 3000 年頃のバビロニアの時代から暗号は使われていたとされています。軍事・政治の場面での利用で発達した暗号技術ですが、インターネットの普及と日常的に接する情報量が飛躍的に増加したことを背景に、利用用途や利用シーンが拡がり、日常の身近なところでも利用されるようになっています。
暗号の歴史は、暗号開発者と暗号解読者の「知恵くらべ」の歴史です。新しい暗号アルゴリズムが誕生するたびに、その暗号アルゴリズムを解読しようとする試みが行われ、そして再び新しい暗号アルゴリズムが作られることを繰り返して現在に至ります。
本ホワイトペーパーでは、暗号の歴史をご紹介するとともに「いつか解読される」暗号と関連する技術の変遷を案内しながら、現代暗号においてユーザが行うべき対処について紹介いたします。
White Paper :簡単にわかる暗号の歴史
5
2.古典暗号(古代)現存する最古の暗号は、紀元前 3000 年頃の石碑に描かれているヒエログリフ(古代エジプトで使われた象形文字)であるとされています。ヒエログリフは長い間解読不能な暗号とされてきましたが、19 世紀にロゼッタ・ストーンの研究が大幅に進み、以降ヒエログラフ解読のきっかけになりました。
紀元前 6 世紀頃、古代ギリシャの都市国家・スパルタでは「スキュタレー暗号」が用いられました。この方式では、あらかじめある太さの棒(スキュタレー:図1)を持った暗号文の送り手がその棒に革紐を巻きつけて棒に沿って文字を書き、その革紐だけを受け手に送るというものです。受け手が同じ太さの棒を持っている場合は、革紐を巻きつけると解読できるという暗号の仕組みになっています。
このように、文字を読む順番を並べ替えることによって暗号化する方式を「転置式暗号方式」といいます。
図1
White Paper :簡単にわかる暗号の歴史
6
紀元前 1 世紀に登場したシーザー暗号は、ユリウス・カエサル(英語読み:ジュリウス・シーザー)が頻繁に利用したことから名づけられ、暗号史で登場する幾多の方式の中でもとりわけ有名な暗号方式です。
シーザー暗号は、元の文章のアルファベットをある数だけずらして暗号化するもので、アルファベットを3文字ずらすということをあらかじめ送り手と受け手の間で決めておくものです。
H I
X Y Z A B C D E F
A B C D E F G
・・・
・・・図2
シーザー暗号はその文字をずらすことから、「シフト暗号」とも言われ、シフト暗号をアルファベットで用いる場合最大 26 パターン試せば暗号が解読されてしまいますが、これを、均等にずらすのではなく文字をランダムに並べ替えれば、そのパターンは大きく増加(26×25×24×・・・・=400000000000000000000000000 通り!)し、解読は飛躍的に困難になります。
平文(暗号化されていない文)文字 ABCDEFGHIJKLMNOPQRSTUVWXYZ
暗号文字 SMKRATNGQJUDZLPVYOCWIBXFEH
このように、一定のルールで文字を入れ替えて暗号化する方式を「換字式(かえじしき)暗号方式」といいます。換字式暗号方式は、代表的かつ暗号の歴史上最も一般的に利用された暗号方式で、後述する近代の機械式暗号機「エニグマ」は換字式暗号方式をより高度に利用したものです。
White Paper :簡単にわかる暗号の歴史
7
シーザー暗号のようなアルファベットの置き換えルールによって暗号を決める「単一換字式暗号方式」は、アルファベット 1 文字につき 1 つの暗号文字しか割り当てられないという性質を逆手に「頻度分析」によって解読されます。
頻度分析では、たとえば英語文がもつ以下のような特徴を利用し文字の発生頻度から暗号化前の文字を推測し、元の文を特定するという解読手法です。
▪▪“e”が最も使われている。(図3)
▪▪“q”の後は、必ず“u”がくる。
▪▪ any, and, the, are, of, if, is, it, in の単語の頻出度が高い。
0
0.02
0.04
0.08
0.06
0.1
0.12
0.14
a b c d e f g h i j k l m
letter
Rela
tive f
req
uen
cy
n o p q r s t u v w x y z
図3
これまでに紹介した換字式暗号、転置式暗号を含むすべての暗号は、「暗号アルゴリズム」と「鍵」から成り立っています。暗号アルゴリズムとは、文章を暗号化および復号(暗号を解いて読むこと)する際のルールのことをいいます。
たとえば換字式暗号の場合は文字をずらして暗号化するというルールであり、転置式暗号の場合は、棒に巻きつけた革紐に文字を書くというルールを指します。また、換字式暗号の鍵はずらす文字の数のことを指し、転置式暗号の鍵は棒の太さを指します。同じシーザー暗号でも5文字ずらすか4文字ずらすかで、違う
「鍵」を使った暗号であるということになります。
White Paper :簡単にわかる暗号の歴史
8
3.古典暗号(中世)中世には、古典暗号の解読と新しい暗号の発明によって暗号技術が高度化する一方、外交活動が活発になり秘密情報の増加によって暗号が頻繁に利用される普及期に入ります。
女王メアリの暗号シーザー暗号に代表される「単一換字式暗号」の弱点は、アルファベット 1 文字につき 1 つの暗号文字しか割り当てられないことにあります。この弱点をついて行われた暗号解読として有名なのが、16世紀のスコットランド女王メアリ・スチュアートのケースです。メアリはその共謀者とのやり取りに利用した暗号が解読されたことによって、イングランドのエリザベス女王暗殺を企てたとして有罪となり、処刑されました。
メアリと共謀者が使用していた暗号は「ノーメンクラター」と呼ばれる暗号で、アルファベットを置き換える他に、フレーズを記号などに置き換える「コード」を加えたものです。この「コード」は送り手と受け手で事前に「コードブック」を共有することによって、その暗号の解読をより困難にするもので、これも暗号の「鍵」にあたります。
ヴィジュネル暗号女王メアリの用いた暗号など、1 つの文字ごとに文字を変えるパターンが 1 個の単一換字式暗号は解読されるようになります。また「ノーメンクラター」は、難点があり、膨大なコードブックの準備と、コードブックの共有が暗号利用者の悩みの種でした。この「鍵の受け渡し」に関する課題は、中世だけでなく暗号技術が進歩した近代以降の暗号においても利用者にとって課題になっています。
15 世紀になると、レオン・バッティスタ・アルベルティが、二つ以上の暗号アルファベットを使う「多表式」の暗号の原型を思いつき、その後脈々と引き継がれて発展を遂げました。16 世紀にはブレーズ・ド・ヴィジュネルが多表式の最終的な形として強力な暗号を考案したことから、ヴィジュネル暗号と呼ばれます。
ヴィジュネ ル 暗 号 は、ヴィジュネ ル 方 陣( 図 4)と呼 ば れる表 を 用 いる方 式 です。 たとえば、GOLDMEDALIST という文章を OLYMPIC という鍵で暗号化する場合、原文の文字を表の上端に当てはめ、鍵の文字を表の左端に当てはめて交差するアルファベットが暗号文字ということになります。
平文 GOLDMEDALIST
鍵 OLYMPICOLYMP
暗号文 UZJPBMFOWGEI
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
A A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
B B C D E F G H I J K L M N O P Q R S T U V W X Y Z A
C C D E F G H I J K L M N O P Q R S T U V W X Y Z A B
D D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
E E F G H I J K L M N O P Q R S T U V W X Y Z A B C D
F F G H I J K L M N O P Q R S T U V W X Y Z A B C D E
G G H I J K L M N O P Q R S T U V W X Y Z A B C D E F
H H I J K L M N O P Q R S T U V W X Y Z A B C D E F G
I I J K L M N O P Q R S T U V W X Y Z A B C D E F G H
J J K L M N O P Q R S T U V W X Y Z A B C D E F G H I
K K L M N O P Q R S T U V W X Y Z A B C D E F G H I J
L L M N O P Q R S T U V W X Y Z A B C D E F G H I J K
M M N O P Q R S T U V W X Y Z A B C D E F G H I J K L
N N O P Q R S T U V W X Y Z A B C D E F G H I J K L M
O O P Q R S T U V W X Y Z A B C D E F G H I J K L M N
P P Q R S T U V W X Y Z A B C D E F G H I J K L M N O
Q Q R S T U V W X Y Z A B C D E F G H I J K L M N O P
R R S T U V W X Y Z A B C D E F G H I J K L M N O P Q
S S T U V W X Y Z A B C D E F G H I J K L M N O P Q R
T T U V W X Y Z A B C D E F G H I J K L M N O P Q R S
U U V W X Y Z A B C D E F G H I J K L M N O P Q R S T
V V W X Y Z A B C D E F G H I J K L M N O P Q R S T U
W W X Y Z A B C D E F G H I J K L M N O P Q R S T U V
X X Y Z A B C D E F G H I J K L M N O P Q R S T U V W
Y Y Z A B C D E F G H I J K L M N O P Q R S T U V W X
Z Z A B C D E F G H I J K L M N O P Q R S T U V W X Y
図 4
White Paper :簡単にわかる暗号の歴史
9
この暗号は、鍵によって全く異なった暗号文ができあがるので、万が一換字表が第三者に渡ってしまっても、鍵が分からなければ解読は非常に困難になります。ポイントは、鍵となる単語の文字数(周期)には制約がないため、鍵は無限に考えられるということです。
しかし、ヴィジュネル暗号は、発想から考案まで 100 年以上を費やしましたが、単一換字式がまだ実用的に用いられていたことと、単一換字式に較べて暗号化・復号が難しいことから、この後もなお実用化されるまでに時間を要しました。
上杉暗号同じく16 世紀に日本でも、同様に方陣を用いた暗号が編み出されています。戦国の武将、上杉謙信の軍師だった宇佐美定行が著した兵法書に暗号の作り方が記されています。これは、いろは 48 文字を 7×7のマス目に書き、1 つの文字を行と列の数字で表す暗号です。(図 5)
七 六 五 四 三 二 一
ゑ あ や ら よ ち い 一
ひ さ ま む た り ろ 二
も き け う れ ぬ は 三
せ ゆ ふ ゐ そ る に 四
す め こ の つ を ほ 五
ん み え お ね わ へ 六
し て く な か と 七
図 5
White Paper :簡単にわかる暗号の歴史
10
4.近代暗号 ~ 第一次世界大戦以降の暗号と機械式暗号機の登場通信の発達により、第一次世界大戦では、暗号の作成と解読が活発に行われました。
イギリスがドイツの通信ケーブル切断第一次世界大戦の開戦にあたって、イギリスはドイツへ宣戦布告をすると同時にドイツの海外用海底通信ケーブルを切断しました。それによりイギリス経由の国際ケーブルか無線を使うしかなくなったドイツ軍は通信内容を暗号化し敵国による傍受回避を試みることになります。しかし、イギリスは傍受した通信をすべて専用機関(海軍省暗号局、通称「40 号室」)に回して、ドイツの暗号解読を行いました。その成果として上げられるのがツィンマーマン電報の解読です。
ツィンマーマン電報第一次大戦開戦当時、ドイツにとってアメリカのヨーロッパ戦線参戦は戦争の行方を左右するほどの出来事でした。当時のドイツの外務大臣ツィンマーマンは、アメリカの参戦意欲を削ぐためにメキシコと日本にアメリカを攻撃させるという構想を立てました。ツィンマーマンはメキシコ駐在のドイツ大使に工作指示を出しますが、40 号室によって暗号は解読されていました。しかし、イギリスは解読結果の公表を避けました。その理由のひとつには暗号解読に成功していることが知れることで、ドイツがより強力な暗号の開発に取り組み始めてしまうことを避けるためでした。最終的にイギリスはメキシコ電信局に忍び込んだスパイによってドイツ大使館からメキシコに送られた平文の電報を入手し、これを受けたアメリカはドイツに宣戦布告し、ヨーロッパ戦線に参戦しました。
ここで重要なことは、暗号が解読された時点からさらに強力な暗号方式が開発されるということです。反対に暗号解読者は解読の事実をすぐには公表せず、しばらくの間その解読手法を用いようとすることです。後述しますが、この考え方は現代においても続く暗号の開発と解読の繰り返しにもつながっています。
White Paper :簡単にわかる暗号の歴史
11
ADFGVX暗号1918 年、ドイツ軍のフリッツ・ナベル大佐が考案した ADFGX 暗号が実用化されました。これは、行と列には ADFGX の 5 文字を書いて、1 つの文字を 2 つの文字に置き換える暗号で、ここまでは上杉暗号と同じ仕組みです。その上で得られた文字列に対して、さらに転置式暗号方式を用いて暗号化するのがこの暗号の特徴です。ADFGX は後に ADFGVX 暗号として 6 文字の利用に改良されました。(図 6)この 6文字が使われた理由は、モールス信号で送信する際に、いちばん識別しやすいためといわれています。
A D F G V X
A d h x m u 4
D p 3 j 6 a o
F i b z v 9 w
G 1 n 7 0 q k
V f s l y c 8
X t r 5 e 2 g
図 6 ADFGVX 暗号
これらの方陣を用いた暗号は、その鍵を毎回使い捨てにすれば暗号の解読は現実的には不可能となりますが、戦場で使うには常に前線との間で膨大な量の鍵を共有しなければならないこととなり、鍵の受け渡しは大きな問題でした。
White Paper :簡単にわかる暗号の歴史
12
エニグマの誕生19 世紀まで手作業で作成されていた暗号は、20 世紀に入ると機械式暗号機の登場によって、その解読の難易度が飛躍的に増すことになりました。
エニグマは、1918 年にドイツの発明家アルトゥール・シェルビウスによって発明された機械式暗号機で、携行性と機密性を売りにして販売されました。販売された当初、ドイツ軍は第一次世界大戦時の暗号が解読されていた事実を知らず、暗号強化への意識が低かったことと、高価であったことから、ドイツ軍の採用にはいたりませんでした。
しかしその後、第一次世界大戦時でイギリスによって暗号が解読されていたことで戦争に敗れたと知ったドイツは、暗号が国家の存亡を左右するという危機感から、エニグマ採用を決定しました。
エニグマの暗号方式は多表式換字式暗号で、「スクランブラー」と呼ばれるアルファベット 26 文字が刻まれた数枚の歯車(ローター)と、プラグボードと呼ばれる単文字変換を行う仕組みの組み合わせが「鍵」になります。まず、スクランブラーをセットした上で、平文をキーボードで打つとスクランブラーを通じて暗号化された文字がランプボードに表示されます。スクランブラーは1文字打つごとに目盛りひとつ回転することによって、1文字ごとに異なる鍵を使って暗号化することになります。
エニグマには暗号文作成時に用いた鍵と同じ鍵を用いると復号されるという特徴があり、暗号化だけでなく、復号も容易に行うことができるようになっています。
ドイツ軍はエニグマ採用後にもその改良を続け、5 枚あるローターの中から 3 枚を選んでスクランブラーを構成したり、当初 3 枚であったローターを最大 5 枚まで設置可能にしたりするなどの手を加えました。
ドイツ軍が絶大な信頼を寄せていたエニグマでしたが、当時ドイツから侵略の脅威にさらされていたポーランドは、その解読方式を見出して「ボンブ」と呼ばれる解読機を発明していました。しかし、ドイツがエニグマを改良することによって増大する暗号パターンにポーランドが対応しきれずに経済的な理由からその解読作業が続行不能となっていきました。そこで 1939 年ポーランドは資金的にも人材的にも充実しているイギリスにその研究情報を渡し解読を託しましたが、その 2 週間後にドイツはポーランドへ侵攻、第二次世界大戦が始まることになりました。
White Paper :簡単にわかる暗号の歴史
13
イギリスはこの情報(暗号アルゴリズム)を引き継いでエニグマ解読に当たることになりましたが、ドイツ軍がスクランブラーの設定時に、暗号文の冒頭に同じ 3 文字を 2 回繰り返すことを指定しているパターン(鍵)が解明されたことを突破口として、ついにエニグマは解読されました。
イギリスがエニグマ暗号を解読して得たドイツに関する情報は「ウルトラ」と呼ばれ、終戦まで連合国にとって貴重な情報源となりましたが、ここでもエニグマ暗号解読の事実は極秘事項として扱われ、ドイツ軍は終戦までエニグマを信頼して使用し続けていました。(エニグマ暗号が解読されていたという事実が公表されたのは、解読から 20 年以上も経過した 1974 年でした。)
White Paper :簡単にわかる暗号の歴史
14
5.現代の暗号 ~ コンピュータ・インターネット時代の暗号第二次世界大戦以降暗号の作成と解読は、機械からコンピュータに移っていきました。その後、コンピュータの民間への急速な普及によって、暗号は軍事用途だけでなく、企業間の商取引など民間用途での必要性が高まることになります。
DES暗号先のエニグマ暗号の例にもあるように、暗号の解読は各国の極秘事項として取り扱われていましたが、1973 年、米国商務省標準局(NBS、後の NIST)は米国政府が標準利用する暗号方式を公募しました。
暗号の二つの要素である「暗号アルゴリズム」と「鍵」のうち暗号アルゴリズムを公開したわけです。これは暗号の歴史上大きな転換です。NBS は 1976 年、DES(Data Encryption Standard) 暗号を承認し、結果としてこれが世界の標準暗号となりました。
また、暗号の民間利用において、それぞれの利用場面ごとに暗号方式が個別に設定されていては、各企業の負担が非常に重たくなります。たとえば1970年代、銀行は重要顧客にメッセージを送る場合、「鍵配達人」が直接顧客に鍵を手渡ししていました。しかし、事業が拡大するにつれて、配送される鍵も増え、銀行にとって鍵配送問題は経営上の悪夢となりました。暗号方式の公開は、将来的にこの問題を解決するきっかけとなります。
アルゴリズムの公開という歴史上大きな転機を迎えた暗号ですが、もう一方の「鍵」についてはシーザー暗号も DES 暗号も、暗号化する時と復号する時に「同じ鍵」を使う点(共通鍵暗号)で同様です。共通鍵暗号の最大の問題は、鍵の受け渡しをどのように行うかという点です。
White Paper :簡単にわかる暗号の歴史
15
公開鍵暗号方式シーザー暗号の時代から抱えていた鍵の受け渡しの問題は公開鍵暗号方式の登場でついに解決に導かれました。ホイットフィールド・ディフィー、マーティン・ヘルマン、ラルフ・マークルは、ネットワークコンピュータ時代を予想し、共通鍵の問題を解決することに取り組み、1976 年全米コンピュータ会議において、非対称な鍵(公開鍵、秘密鍵)を用いれば事前に鍵を配送することなく暗号化通信ができる「公開鍵暗号方式」を発表しました。これは、暗号化するための鍵を公開鍵として誰でも入手できるようにし、復号のためには本人しか知らない秘密鍵を使うというものです。
ディフィー・ヘルマン・マークルの鍵交換構想では、モジュラー算術という一方向関数で、具体的にはY=AX(mod B) という関数を使います。A の X 乗を B で割ると Y 余るという関数で、以下の手順で計算をすると、奇跡的にお互い同じ解が得られ、これによって共通鍵がえられることとなります。
▪▪ 暗号の送信者と受信者との間で事前にAと B を共有します。(A=7, B=11 とします)
▪▪ それぞれ自分しか知らない X を決めます。(X=3, x=6 とします)
▪▪ 共通の A と B、それぞれの X からそれぞれの Y が決まります。(Y=2, y=4 となります)
▪▪ それぞれの Y を相手と共有します。
▪▪ それぞれ、自分の X と相手の Y をつかって再度モジュラー算術で解を計算します。 (Yx(mod 11)=26(mod 11)=9, yX(mod 11)=43(mod 11)=9 となります)
このアイデアのおかげで、公衆の面前で会話をしながら秘密を確立できるという、暗号の大原則(鍵交換は秘密裏に行う必要がある)を大きく書き換えることになる革新的な発見でした。
ただし、この時点では暗号化と復号とで異なる鍵を使う非対称暗号を実現させるような一方向関数を見つけることができず、実用化にはいたりませんでした。この公開鍵暗号方式という理論を実装にまで発展させたのが「RSA 暗号」です。
White Paper :簡単にわかる暗号の歴史
16
RSA暗号ディフィー=へルマンの発明した公開鍵のアイデアを実現する数学的手法は、マサチューセッツ工科大学の研究者、ロン・リベスト(Ronald L. Rivest)、アディ・シャミア(Adi Shamir)、レオナルド・アドルマン(Leonard M. Adleman)の3人によって発明されました。この公開鍵暗号は開発者3人の頭文字を取って「RSA暗号」と名付けられます。RSA 暗号方式は「素数」による素因数分解を用いるという方式です。
素因数分解とは、たとえば以下のように、ある数を素数(割り切れない数)に分解することです。
95=5×19851=23×37176653=241×7339831779=2011×4889
これを公開鍵暗号方式に用いる場合、イコールの左側の数字が公開鍵および秘密鍵の一部として用いられます。もしこの素数が途方もなく大きい数であれば、素因数分解によってイコールの右側に使われている素数を現実的な時間内に解読するのは困難です。数学的な説明は割愛しますが、この素因数分解の特性によって、公開鍵から秘密鍵を解読するのは事実上困難なのです。
実は、イギリスの暗号研究機関では RSA 暗号よりも早く公開鍵暗号方式が発明されていたのですが、当時新しい暗号の発明は国家機密扱いであったころから極秘事項とされ、1997 年まで公表されませんでした。
この公開鍵暗号方式は、インターネット上で意図する特定の相手とだけ暗号を復号するための鍵を交換することができるきわめて都合のいい方式でした。つまり不特定多数が参加するインターネット上で公開鍵を公開しても現実的な時間の中では秘密鍵を解読することが困難であるため、古代から人類が苦労してきた鍵の配送問題を劇的に解決する方式であるといえます。
White Paper :簡単にわかる暗号の歴史
17
ここでこの共通鍵暗号方式と公開鍵暗号方式(RSA 暗号)を併用して、誰でもが簡単にインターネット上を流れる情報を暗号化することを可能にした例として SSL について簡単におさらいします。SSL(Secure Sockets Layer)、は Netscape Communication 社が提唱し、Netscape Navigator に実装した、ウェブサーバとクライアントの間でセキュアな通信を行なうためのプロトコルです。
SSL の特徴は、サーバ(ウェブサーバ、メールサーバ)に身元を証明する電子的な証明書を発行し、SSL通信を開始するときにクライアントにこれを確認させることによって正しいサーバと通信を行なうことを明示的に示し、その後の通信を暗号化することによってデータの盗聴や漏洩などを防ぐところにあります。次の図にウェブサーバと通信を行なう場合の簡単なイメージを示します。
【SSL 通信が開始されるときに行なわれる処理】
ルート証明書
シマンテックサーバ ID
①暗号化仕様交渉
②SSLサーバ証明書送付
③共通鍵生成
④暗号化データ通信開始
共通鍵40bit~ 256bit
共通鍵40bit~ 256bit
確認OK!
クライアントのブラウザ ウェブサーバhttps://www. ・・・
ブラウザは受信した SSL サーバ証明書の発行元が、自分が保持するルート証明書※を利用して、正当な認証局であるか確認する
ウェブサーバは自らの正当性をクライアントに確認してもらうため、SSLサーバ証明書(および中間証明書)をブラウザへ送付する
※: シマンテックのルート証明書は、「信頼される認証局」として PC 用のブラウザを始め携帯端末など多くのクライアント端末に予め搭載されており、クライアント側でエンドユーザがルート証明書をインストールする必要はない
まず、公開鍵暗号方式によって安全に共通鍵(実際には共通鍵の元なる乱数)を配送し、暗号化データ通信を成立させるというもので、公開鍵暗号方式を用いることによって、鍵の配送問題を解決していることがわかります。
公開鍵暗号方式は、共通鍵暗号方式と比較して鍵を公開できるという大きな特徴をもつ一方で、暗号化処理に時間を要するため、公開鍵暗号方式によって安全に受け渡しされた共通鍵によって本文の暗号化を行うという併用方式をとっています。
White Paper :簡単にわかる暗号の歴史
18
DES暗号の解読話は少し戻って DES 暗号の解読について触れます。
DES の鍵は 56 ビットで、56 ビットの鍵の組み合わせは 2 の 56 乗で約 7 京もあり、解読するのは不可能に近いとされていましたが、1994 年についに解読されました。現代暗号は、昨今著しいコンピュータの演算能力の向上により徐々に解読されやすくなります。
SSLにおける暗号強度向上への対応コンピュータの演算能力の向上にあわせて、SSL でも公開鍵の鍵長を 1024bit から 2048bit へ変更する仕様変更や、公開鍵への署名方式を新たに SHA2 へ対応する動きがあります。これらは暗号規格の標準仕様を策定する NIST の勧告をベースにブラウザベンダーや認証局がスケジュールや方針を決めたものです。また昨今では、PCIDSS において NIST 勧告への準拠性が記述されているため、PCIDSS への対応を検討している企業の中で SHA2 への注目度も高まっています。
また、公開鍵暗号方式の暗号アルゴリズムについて、現在の主流である RSA 暗号だけでなく、ディフィー・ヘルマン鍵交換方式と同様に離散対数問題の困難性を根拠とする DSA(Digital Signature Algorism)や、楕円曲線暗号 (ECC : Elliptic Curve Cryptography) に対応する機運が高まっています。
DSADSA とは、ElGamal 署名を改良したもので、ディフィー・ヘルマン・マークルの鍵交換構想の段落で紹介したモジュラー算術(時計演算)における対数である離散対数を利用した署名方式です。
時計演算とは 13 時が午後 1 時であったり、深夜の 2 時を 26 時と表現したりすることから名づけられたもので、割り算をして余りを求める演算です。この演算を数式として表わすと、13 mod 12 = 1、26 mod 24 = 2 となります。離散対数とは、この 13 や 26 にあたる部分にべき乗、たとえば 7 の n 乗という数字を入れた算式によって求められる解のことを表します。
7 の 2 乗を 13 で時計演算した場合、49 ÷ 13 = 3 余り 10、これを算式で表すと 7^2 mod 13 = 10 となり、比較的簡単な演算となりますが、逆に 7^n mod 13 =10 の n を求めようとするとその演算は急に複雑になります。この算式の解を離散対数とよび、その逆方向の演算が急に複雑になるという性質を関数の一方向性と呼びます。DSA はこの離散対数を求める演算の一方向性を根拠とした署名方式です。
..........!??
26:00=AM2:00
26 mod 24 = 2
26÷÷ 24= 1...27^2 mod 13 = 10
49 13 = 3...10
n=10
7^2 mod 13 = n n=???
Q.7^n mod 13 = 10
Q.
n=???
White Paper :簡単にわかる暗号の歴史
19
DSA は 1991 年に NSA ( 米国国家安全保障局 ) によって開発され、1994 年に NIST(National Institute of Standards and Technology:米国標準技術局)が米国政府標準の電子文書認証方式として採用しました。
楕円曲線暗号楕円曲線暗号に用いられる楕円曲線という概念は、素数や素因数分解と異なり整数によるイメージを持てないことから、これを正確に理解するにはかなりの数論の知識が要求されます。ここでは、趣旨から外れるためその説明は避け、余談にはなりますが楕円曲線が歴史に登場するエピソードとして、フェルマーの最終定理を証明する鍵となった経緯に触れたいと思います。
x^n + y^n = ≠z^nn 2
私は真に驚くべき証明を見つけたが、
この余白はそれを書くには狭すぎる !
フェルマーの最終定理
だから書かない。
!!
Pierre de Fermat(1607,8~1665)
フェルマーの最終定理とは、「x の n 乗 + y の n 乗 = z の n 乗、この方程式は n が 2 よりも大きい場合には整数解を持たない」という定理のことです。17 世紀にピエール・ド・フェルマーは「この命題を証明したが、それをここに記すことはできない」というメモを残し、その後の数学者たちは 300 年あまりその失われた証明を再発見しようとしましたが証明することも反証することもかなわず、すべて失敗に終わっていたのです。
そのフェルマーの最終定理の証明を大きく前進させたのが、ゲルハルト・フライの「すべての楕円曲線が何らかのモジュラー形式と関連するという谷山・志村予想が証明されれば、フェルマーの最終定理は成り立つ」という論理です。
アンドリュー・ワイルズはこの楕円曲線とモジュラー形式の関連性を証明することで、フェルマーの最終定理も見事に証明したのです。
White Paper :簡単にわかる暗号の歴史
20
楕円曲線暗号とは、楕円曲線上の離散対数問題の一方向性を根拠とする暗号です。離散対数問題とは、ディフィー・ヘルマン・マークル鍵交換構想の段落で紹介したモジュラー算術を用いた理論と同じもので、楕円曲線暗号は、楕円曲線という世界での離散対数は整数という世界での離散対数よりも解析が困難であることを根拠としています。
1985 年頃に ワシントン大学のニール・コブリッツと IBM のヴィクター・ミラーがそれぞれ発明したもので、現時点ではこの楕円曲線上の離散対数問題を効率的に解析するアルゴリズムがまだ発見されていないことから、短い鍵長で高強度の暗号を実現しています。
楕円曲線暗号は個別の暗号方式の名称ではなく、楕円曲線を利用した暗号方式の総称です。たとえばECC 対応の SSL サーバ証明書では、公開鍵に電子署名を施すために ECDSA(Elliptic Curve Digital Signature Algorism) を用い、ウェブブラウザとウェブサーバとの間の鍵交換のために ECDH(Elliptic Curve Diffie-Hellman) を用いています。
y^2=x^3-x+1y^2=x^3-x
y^2+{a_1}xy+{a_3}y=x^3+{a_2}x^2+{a_4}x+a_6\,
White Paper :簡単にわかる暗号の歴史
21
2005 年、米国国家安全保障局(NSA)が機密情報の保護のために用いる暗号アルゴリズムのリストである Suite B を発表し、その中で鍵交換には ECDH、電子署名には ECDSA が指定されていたことから、ECC が次世代の暗号アルゴリズム最有力候補として注目を集めることになりました。
また、Windows Vista が ECC をサポート、シマンテックが ECC のルート証明書を発行、そしてOpenSSL 1.0.0 が ECC をサポート開始するなど、SSL に関連するエコシステムが ECC 対応を進めて利用環境が整いつつある中、シマンテックが ECC 対応版 SSL サーバ証明書を発行し、ウェブサイト管理者は、商用サービスとしての ECC を利用することが可能となりました。
シマンテックでは、2013 年 2 月に ECC 対応版、DSA 対応版の SSL サーバ証明書発行を開始しており、特に ECC に関しては、暗号強度向上だけではなく、ウェブサーバのレスポンスタイム向上に寄与する場合もあるため、今後より注目を集めると考えられます。
SSL による通信の暗号化を利用しているユーザは、PC ブラウザ、携帯電話、スマートフォン、その他デバイスなどのクライアント側も、ウェブサーバ側も、早いタイミングでより高強度の暗号アルゴリズムやハッシュ関数、鍵長に対応できるものに更改し、暗号強度を維持し続けることが大切になります。
White Paper :簡単にわかる暗号の歴史
22
6.暗号の未来ここまで見てきたとおり、暗号は新しい暗号アルゴリズムの発明とその解読法の発明とを繰り返す歴史です。その中で注目されている暗号方式として「量子暗号」が挙げられます。
量子とは、「量ることのできる最小単位」という意味で、ここでは光の光子(こうし)のことを指します。光の光子は振動しながら進みます。その振動の角度を測定することによって、暗号化された情報を受け取ることができ、途中で傍受すると、その角度が変わるので、必ず検知できます。
過去の暗号は、「現実的な時間の中では解読不能である」といわれるのに対して、量子暗号が解読不能な暗号とされるのは、この傍受したことを検知できるという特性によるものです。
White Paper :簡単にわかる暗号の歴史
23
7.おわりに ~ SSLに用いられている暗号を有効にするためにSSL に用いられている暗号方式は、解読法のない暗号アルゴリズムではなく、現実的な時間とコストの中で解読できないようにすることが可能な暗号アルゴリズムです。皆さんが暗号化している情報の性質と重要性によって、必要な手当てをしなければ、暗号解読者によって暗号は解読されてしまいます。
歴史上では、暗号方式が解読され、有効な暗号が存在しない時代もありました。しかし、現代ではコンピュータとインターネットの普及により当時とは比べものにならないくらいに暗号が利用されており、いまや有効な暗号が存在しないという状態はインターネットの利用そのものに深刻な影響を与えてしまいます。
SSL に用いられている暗号は、ブラウザ、サーバ、SSL サーバ証明書それぞれが足並みをそろえてその暗号強度を上げれば、その有効性を継続できますが、他のすべての暗号と同様、暗号強度の強化に取り組まなければ、その有効性を継続できないことになります。
こうした暗号の「十分な対策を施さなければいつか解読される」性質を十分に理解し、利用者・提供者ともに適切な対策をとることが重要になります。
White Paper :簡単にわかる暗号の歴史
24
合同会社シマンテック・ウェブサイトセキュリティhttps://www.jp.websecurity.symantec.com/〒104-0028 東京都港区赤坂1-11-44赤坂インターシティTel:0120-707-637E-mail:[email protected]
Copyright ©2014 Symantec Corporation. All rights reserved.シマンテック(Symantec)、ノートン(Norton)、およびチェックマークロゴ(the Checkmark Logo)は米国シマンテック・コーポレーション(Symantec Corporation)またはその関連会社の米国またはその他の国における登録商標、または、商標です。その他の名称もそれぞれの所有者による商標である可能性があります。製品の仕様と価格は、都合により予告なしに変更することがあります。本カタログの記載内容は、2014年4月現在のものです。
参考文献サイモン・シン「暗号解読」(2001 年 新潮社)
参考ホワイトペーパーhttp://www.symantec.com/ja/jp/page.jsp?id=ssl-certificates-resources
挿絵株式会社ディレクターズ aico ( 小悪魔女子大生のサーバエンジニア日記 )