暗号技術の国際動向について ーAES秘密鍵暗号,楕円公開鍵暗号- 三菱電機株式会社情報技術総合研究所 松井 充 AES (Advanced Encryption Standard) ・DES (Data Encryption Standard) の後継暗号を 決定する米国のプロジェクト ・NIST (National Institute of Standards and Technology) が主催する公募によって選定 ・選定されたアルゴリズムは FIPS (Federal Information Processing Standards) に登録 ・AES の Official Home Page http://csrc.ncsl.nist.gov/encryption/aes/aes_home.htm Federal Information Processing Standards ・米国連邦政府調達品に強制力をもつ標準 民間を拘束しないがその影響力は大きい ・現在 FIPS に登録されている暗号方式の例 FIPS 46-2 Data Encryption Standard (DES) FIPS 180-1 Secure Hash Standard (SHA-1) FIPS 185 Escrow Encryption Standard (EES) FIPS 186 Digital Signature Standard (DSS) Triple-DES も AES までのつなぎとして FIPS 化の予定 (http://csrc.ncsl.nist.gov/fips/ 参照) AES プロジェクトのこれまで ・1997年1月2日 NIST によるAES プロジェクトのアナウンス ・1997年4月15日 AES の Design Criteria を議論するワークショップ ・1997年9月12日 募集開始 ・1998年6月15日 募集締切 ・1998年8月20ー22日 The First Advanced Encryption Standard Candidate Conference AES の要求条件 ・ 秘密鍵ブロック暗号であること ・ DES より安全で Triple-DES より高速なこと ・ ブロックサイズは128ビットをサポートすること ・ 鍵サイズは128, 192, 256ビットをサポートすること ・ ライセンスフリーで利用できること AES 候補アルゴリズム一覧 CAST-128 CRYPTON DEAL DFC E2 FROG HPC LOKI97 MAGENTA MARS RC6 RIJNDAEL SERPENT TWOFISH Entrust Technologies / Canada Future Systems / Korea Outerbridge / Canada Centre National pour la Recherche Scientifique / France NTT / Japan TecApro Internacional / Costa Rica Shroeppel (Arizona Univ.) / U.S. Brown (Defense Force Academy) / Australia Deutsche Telekom / Germany IBM / U.S. RSADSI / U.S. Daemen (Banksys) / Belgium Anderson / England, Biham / Israel, Knudsen / Denmark Schneier (Counterpane Systems) / U.S. 今後のスケジュール ・ Second AES Conference (March 22,23 1999 Rome) ・ 応募方式のなかから一次選考で5個以内に ・ First Round は主に Software Evaluation ・ Second Round は Hardware Evaluation に重点 ・ 最終決定 (2000年?) は NIST の判断で行なう AES をめぐる諸問題 ・ NSA の Confidential Comments をどう扱うか? ・ NSA によるアルゴリズムの変更はあるのか? ・ NIST の最終的な選択基準は何か? ・ 現在急速に普及している Triple-DES との 住み分けは? ・ ブロックサイズ変更のインパクト ・ Target Specific Cipher は生き残る 楕円暗号(Elliptic Curve Cryptosystem) ・ 楕円曲線上の離散対数問題の困難性に基づく公開鍵暗号 ・ 通常の離散対数問題より解読が難しいと予想されている ・ このため RSA暗号よりもデータ量が少なくしかも高速 ・ 鍵サイズ1024ビットのRSA暗号の安全性が、鍵サイズ 160ビットの楕円暗号の安全性と同程度とされる ・ 楕円暗号はシステム固定のパラメータが多く、これを 最適化することでさらに高速化をはかることができる RSA暗号と楕円暗号の性能 ・ RSA 暗号も楕円暗号も最適化された S/W なら 現在のパソコン上で充分高速 ・ ICカード等計算能力の限られた環境では RSA 暗号は低速なため専用ハードウエアが必要 ・ 楕円暗号は高速なのでこのような環境でも ソフトウエアだけで実現できる可能性がある ・ RSA 暗号は署名検証が署名生成よりも高速 楕円暗号は署名生成が署名検証よりも高速 RSA1024 vs ECC160 総計算量比較の一例 RSA暗号 楕円ElGamal暗号 暗号化/署名検証 1 4 復号化/署名生成 26 1 ・ RSA公開鍵は65537固定,RSA署名にはChinese Remainder Theoremを利用 ・ 楕円曲線は素体 GF(p) 上で p=a-3 なるものを利用 ・ 楕円ElGamal署名生成時には1280バイトの事前テーブルを利用 公開鍵暗号の標準化動向 ・PKCS RSA 社による RSA 暗号に関する各種標準集 http://www.rsa.com/rsalabs/pubs/PKCS/ ・IEEE-1363 RSA暗号および楕円暗号を含む広範な標準 http://grouper.ieee.org/groups/1363/ ・FIPS 米国連邦政府標準(DES, SHA-1, DSA etc) http://csrc.nist.gov/fips/ ・ANSI 広範囲の標準を扱う (X9.62, X9.63 楕円暗号) 楕円暗号の安全性 ・ システムパラメータの取り方によっては 安全性が失われることがある ・現在知られている弱い楕円曲線の割合は 全体から見れば無視できるほど少ない ・暗号設計者が弱い楕円曲線にならないよう システムパラメータを設計するのは容易 楕円暗号の今後 ・ 小型機器を中心に楕円暗号は用いられる ようになるであろう ・ 楕円暗号が RSA 暗号に完全にとってかわる とは考えにくい ・ 楕円暗号の現在唯一の欠点は「若い」こと ・ 安全性に関する議論が一段落するためには 今しばらくの時間が必要
© Copyright 2024 ExpyDoc
