Webサイトのセキュリティ強化を!
TLSバージョンアップの対応にむけて

Share
瓦版vol.13アイキャッチ(ネットワークのイメージ)

2022年2月より、主要Webブラウザにおいて、TLS 1.0/1.1が完全に無効化されました。これにより、TLS 1.2以上が有効化されていないWebサーバは主要ブラウザからの接続ができなくなるといった影響があります。また、TLS 1.0/1.1を継続利用し続けることで、攻撃者に脆弱性を突かれ、重要情報を窃取されてしまうといったリスクも考えられます。本記事では、影響とリスクをご紹介し、セキュリティ強化にむけ、どのように対応すればよいのかについて、ポイントをご紹介いたします。

WebブラウザでTLS 1.0/1.1が完全に無効化

2022年2月1日、米 Googleがリリースした「Google Chrome 98」より、TLS 1.0/1.1が完全に無効化されました*1。「Microsoft Edge 98」や「Mozilla Firefox 97」といった、ほかのWebブラウザにおいても同様です*2

2020年上半期には主要なWebブラウザでTLS 1.0/1.1はデフォルトで無効化されており、TLS 1.2以上に対応していないWebサイトへアクセスする際には「安全な接続ではない」旨の警告を示すエラーページが表示されていました*3 。今回のTLS 1.0/1.1の完全無効化はここからさらに進んだ対応で、TLS 1.0/1.1を有効化する機能も削除されました。

WebサイトにおけるTLSの利用状況

2022年1月時点で、世界の人気トップ15万件のWebサイトにおけるTLSのサポート状況は、TLS 1.0が39.3%、TLS 1.1が43.0%、TLS1.2が99.6%、TLS 1.3が51.4%です。

最も普及しているのはTLS 1.2ですが、複数のプロトコルバージョンをサポートしている場合、サーバとブラウザの両者が使用可能なバージョンのうち、新しいものから優先的に使用するのが標準的なTLSの設定です。

最新のブラウザでWebサイトを閲覧する場合、 世界の人気トップ15万件のWebサイトへのアクセスの約50%が最新のTLS 1.3を使用することになるでしょう。調査データの範囲では、TLS 1.3への移行が進んでいることがみてとれるため、今後も調査範囲の対象外でも一般的に、暗号化通信はTLS 1.3への移行が進んでいくと考えられます。

また、主要WebブラウザにおいてTLS 1.0/1.1が完全無効化されたことで、TLS 1.1以下のバージョンは、互換性維持目的での使用すらされなくなりつつあります。

【各プロトコルバージョンのサポート状況】

2019年~2022年の「各プロトコルバージョンのサポート状況」の棒グラフ
出典:Qualys SSL Labs SSL Pulse (https://www.ssllabs.com/ssl-pulse/)より当社作成

過去の経緯

TLS 1.0/1.1についてはこれまでも、インターネット技術特別調査委員会(IETF)から2018年10月より非推奨と勧告されていました*4 。また、2020年7月に情報処理推進機構(IPA)と情報通信研究機構(NICT)より「TLS暗号設定ガイドライン第3.0.1版」が公開されています。さらに、2021年1月には、米国家安全保障局(NSA)より旧TLSプロトコル構成の削除に関するセキュリティガイダンス(Eliminating Obsolete Transport Layer Security (TLS) Protocol Configurations)も発行されています。

国際標準化団体(IETF等)から発行された勧告およびガイドラインの年表

【概要】

TLS暗号設定ガイドライン第3版に関する概要紹介(推奨セキュリティ型・高セキュリティ型のプロトコルバージョン・鍵交換)

TLS 1.2に対してはPFS(Perfect Forward Secrecy)を有する鍵交換方式(ECDHE、DHE)を含む暗号スイートのみの使用が強く推奨されています。PFSは、2013年のスノーデン事件をきっかけにその重要性が認識され普及が進んだ暗号化技術です。TLS 1.3では、既定でPFSを有する鍵交換方式のみが採用されており、今後、鍵交換方式が満たすべき標準になると考えられます。

ガイドラインの概要図(非推奨TLSバージョンの排除)
ガイドラインの概要図(非推奨暗号スイート・鍵交換方式の排除)

TLS 1.0/1.1を継続使用することによる影響

主要Webブラウザが、TLS 1.0/1.1を完全無効化したことにより、 TLS 1.2以上が有効化されていない場合は主要ブラウザからの接続ができなくなるため、セキュリティが強化されたWebサーバ上でサイトを運用することが必要となります。

攻撃者は、サーバを攻撃するにあたって必ずブラウザを経由するわけではないため、TLS 1.1以下の接続を許容すること自体が危険であり、攻撃者にとって狙いやすいターゲットとなる可能性があります。脆弱性を悪用された場合、通信を盗聴し復号することで重要情報の窃取が可能になるというリスクも考えられます。

TLS 1.1以下の暗号化通信に存在する脆弱性を悪用した攻撃例

BEAST攻撃SSL 2.0、SSL 3.0およびTLS 1.0 プロトコルに影響を及ぼし、攻撃者はWebブラウザとWebサイトとの間のSSL暗号化、またはTLS暗号化されたセッションのコンテンツを復号することができる*5
ダウングレード攻撃TLS 1.1以下のプロトコルでは、認証付き秘匿モード等の安全性の高いアルゴリズムがサポートされていないため、強度の低い暗号アルゴリズムを強制的に使用させることができる*6

現在のセキュリティ対策の指標として一般的に用いられる各種国際的標準でも、TLS 1.1以下の継続使用は下記のとおり推奨されていないため、利用している場合には、早急に対策を検討することが求められます。

NIST(National Institute of Standards and Technology、
米国立標準技術研究所)
2018年10月、ガイドライン案公開。2024年1月1日までにTLSを使用するすべての米国政府のサーバでTLS 1.3をサポートすることを提案
PCI DSS(Payment Card Industry Data Security Standard)2018年6月30日以降、初期TLSを利用しているシステムはクレジットカード業界における監査基準に適合しない
※POS POI環境のように既知の脆弱性の悪用が困難であったり、SSL/TLSをセキュリティコントロールとしては使用していなかったりする等、例外的にTLS 1.1以下が許容される場合がありますが、情報セキュリティのベストプラクティスではTLS 1.1以下のプロトコルバージョンはすべて非推奨とされています。*7

セキュリティ強化にむけた対策のポイント

早急にTLS 1.1以下での接続可否を確認し、接続が可能な場合は対処を実施することが推奨されます。具体的には、TLS 1.1以下は無効(利用不可)とし、TLS 1.3およびTLS 1.2を有効にし、バージョンが新しいものから順に接続の優先度を高く設定してください。

2018年8月には、TLS 1.3が正式リリースされました。以降、TLS 1.3に対応するプラットフォーム等が次々に利用可能になっています。例としては、OpenSSL 1.1.1系(2018年9月)、OpenSSL 3.0系*8(2021年9月)、Java SE/JDK 11(2018年9月)、Java SE/JDK 8バージョン8u261以上*9(2020年7月)や、そのほかにもRed Hat Enterprise Linux 8(2019年5月)が挙げられます。

TLS 1.3のサポートにより、パフォーマンスとセキュリティが向上します。TLS 1.3を利用するメリットと導入時の課題については、下表のとおりです。 構成上または仕組み上、現時点ではTLS 1.3を実装することが困難な場合、上記よりさらに古いシステムが稼働している可能性が考えられます。それらのシステムは、経年に伴う脆弱性の蓄積による影響や、サポート終了により新たに発見された脆弱性への対応策がなくなること等も危惧されます。

TLS 1.3を利用するメリットと導入時の課題

TLS 1.3を利用するメリットと導入時の課題

各種ガイドラインの紹介

PCI DSSについては、 2022年3月31日、Payment Card Industry Security Standards Council (PCI SSC)により、v4.0が公開されました。 *10

また、上段でも触れた「TLS暗号設定ガイドライン第3版」における第2版からの改訂のポイントについては、こちらの記事でまとめてご紹介していますのであわせてご覧ください。
TLS暗号設定ガイドラインがアップデート~TLS 1.0/TLS 1.1は完全に非推奨へ~

本ガイドラインは、各種国際的標準(NIST SP800/PCI DSSv4.0/OWASP ASVS等)の準拠に向けた取り組みや、暗号設定における今後のセキュリティ対策を検討する上でも役に立ちます。ぜひ参照されることをおすすめします。


弊社のネットワーク診断サービスでは悪意ある第三者の視点で、ネットワークをインターネット経由またはオンサイトにて診断し、攻撃の入口となる可能性のある箇所を検出します。検出された問題点に対しては、各種国際標準や最新の脅威動向を踏まえて深刻度を評価し、推奨対策と合わせてご報告いたします。システムの導入・変更・アップグレード時、運用中のシステムの定期チェックにご活用いただけます。

ネットワーク診断バナー広告

また、デイリー自動脆弱性診断サービスでは、内部ネットワークおよびWEBサイトの脆弱性を毎日自動診断し、その結果を専用のWEBページで報告します。新規設備投資が不要で、即時に結果を確認できるので、脅威が現実となる前に対策を施すことが可能になります。

CPEバナー広告

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

TLS暗号設定ガイドラインがアップデート
~TLS 1.0/TLS 1.1は完全に非推奨へ~

Share

2020年7月7日、情報処理推進機構(IPA)と情報通信研究機構(NICT)は、「TLS暗号設定ガイドライン」第3版を公開しました。これは、電子政府推奨暗号の安全性の評価プロジェクト「CRYPTREC」が作成したWebサーバでのTLS暗号設定方法をまとめたものであり、2018年5月8日公開の「SSL/TLS暗号設定ガイドライン」第2版の改訂版となります。なお、第3版では、ガイドラインの名称から「SSL」の語句が消えています。「SSLの使用を禁止すべき」とする前回改訂以降の流れを反映したものといえるでしょう。本記事では、第3版における主な変更点を紹介します。

第3版における変更点としてまず指摘したいのが、「推奨セキュリティ型」の設定基準の更新です。IPA/NICTの本ガイドラインでは、「高セキュリティ型」、「推奨セキュリティ型」、「セキュリティ例外型」(安全性上のリスクを受容してでも継続利用せざるを得ない場合の設定基準)という3つの設定基準が提唱されていますが、第2版で「推奨セキュリティ型」において利用が認められていたTLS 1.0およびTLS 1.1が、第3版では「セキュリティ例外型」でのみ利用可能となりました。なお、SSL 3.0にいたっては、第3版では「セキュリティ例外型」からも除外されています。

ChromeやFirefoxなどの主要ブラウザ(クライアント)においては、2020年上半期をもってTLS 1.0/1.1が無効化され、相互接続の互換性維持目的でTLS 1.1以下をサポートするメリットは既になくなっています。加えて、常時HTTPS化という世界的な流れの中では、TLS 1.0/1.1が利用可能なWebサイトは「安全でない」とみなされる場合もあるでしょう。なお、SSL Pulseによる調査では、約15万の主要サイトのうちTLS 1.3が利用できるのは31.7%、TLS 1.2が利用できるのは97.6%にのぼっています(7月8日時点のデータより)

図:SSL/TLSの利用率推移

https://www.ssllabs.com/ssl-pulse/ のデータにもとづき当社作成

また、プロトコルのバージョンだけでなく暗号スイートについても見直しが行われ、TLS 1.2に対してもPFS(Perfect Forward Secrecy)*11を有する鍵交換方式(ECDHE、DHE)を含む暗号スイートのみの使用が強く推奨されています。PFSは、2013年のスノーデン事件をきっかけにその重要性が認識され普及が進んだ暗号スイートです。最新のTLS 1.3では、既定でPFSを有する鍵交換方式のみが採用されており、今後、鍵交換方式が満たすべき標準になると考えられます。

その他の暗号スイートについてはどうでしょう。まず、現在広く普及し、サーバ証明書で鍵長をコントロール可能なRSA方式での鍵交換については、PFSを有していないという理由で「推奨セキュリティ型」の設定基準から除外されています。DH(DHE)方式の鍵交換については、使用する製品やその設定等によって選択される鍵長が異なることがあります。2048ビット以上の鍵長を明示的に設定できない製品(Apache 2.4.6以下等)では、1024ビット以下の鍵長のDHEを含む暗号スイートは利用できないようにするなどの対策も必要です。ちなみに、前出のSSL Pulseによる調査では、9.6%のWebサイトで1024ビット以下の鍵長のDH(DHE)がサポートされており、脆弱な秘密鍵が使用されてしまう可能性は依然として存在する点にあらためて注意が必要でしょう(7月8日時点のデータより)。

最後に、TLS 1.0/1.1の継続使用に関しては、セキュリティ対策の指標として広く用いられている各種国際的標準でも非推奨への動きがみられることを押さえておきましょう。例えば、IETF(Internet Engineering Task Force)は、TLS 1.0/1.1廃止のRFC(技術仕様文書)発行を進めており、NIST(National Institute of Standards and Technology)は、2019年8月時点でのガイドライン案において、2024年1月1日までにTLSを使用するすべての米国政府のサーバでTLS 1.3をサポートすることや、RSA方式での鍵交換を停止することを提案しています。また、PCI DSS(Payment Card Industry Data Security Standard)では、2016年公開のPCI DSS v3.2において、初期TLS(TLS 1.0および初期のTLS 1.1実装)を利用しているシステムはクレジットカード業界における監査基準に適合しないとみなしています。OWASPでも、2019年3月にリリースされたOWASP ASVS 4.0において、すべてのWebサイトが通信に関して満たすべき要件として、TLS 1.1以下の古いバージョンのプロトコルを無効化することを求めています。なお、IPA/NICTの本ガイドラインで用いられている3つの設定基準(「推奨セキュリティ型」「高セキュリティ型」「セキュリティ例外型」)は、これら各種標準の指針に対応したものであり、準拠への取り組みや、暗号設定における今後のセキュリティ対策を検討する上でも役に立ちます。ぜひ参照されることをお勧めします。

関連情報

● 量子コンピュータの実用化と耐量子暗号の標準化動向

●2019年下半期 カテゴリ別脆弱性検出状況


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

<対談>縫田 光司 氏(東京大学大学院情報理工学系研究科数理情報学専攻 准教授)× 芦原聡介(BBSec)

Share

SQAT® Security Report 2019年9月号

量子コンピュータの実用化と耐量子暗号の標準化動向
~ 未来は遠く、それでいて近い ~

通信の安全性に特化した技術として普及している暗号化や認証技術。コンピュータの進化によって、そう遠くない未来には現在普及している暗号技術は破られてしまう可能性がある。このシナリオに抗うため、日夜研かれし頭脳を駆使して挑戦を続ける研究者たちがいる。その中のひとりである、東京大学の縫田 光司氏をお招きし、当社セキュリティサービス本部でアナリストを務める芦原聡介とさまざまな角度から暗号技術の可能性を語り合っていただいた。

 

量子暗号と耐量子暗号の違いについて

芦原:まずは対談の企画段階で、量子コンピュータの実用化の話題が候補に挙がり、そこから派生して米国政府の耐量子暗号の標準化動向などにも触れたい、となったのですが、社内で検討していくうちに「そもそも量子暗号と耐量子暗号を混同している方もいるのでは?」という疑問が生まれました。

縫田:たしかに、混同されることも多いです。単純に字面だけでいうと、日本語には“耐”が付いているだけ、英語でもQuantum cryptographyとPost – Quantum cryptographyでして、「“耐”“Post”が付いているほうが改良版」と捉えてしまう方も結構見受けられます。実際は全くの別物で、量子暗号というと量子コンピュータを使った暗号化技術を指すこともありますが、実際には量子鍵配送、つまり量子力学の原理を利用して暗号化に使用する秘密鍵を安全に相手に送り共有するための技術を指す場合が多いです。

芦原:そうですね。量子鍵配送に関しては、ITU-TでY.3800勧告として承認され、国際標準の骨格に日本の技術が強く反映されていることが先日ニュースになりましたね。それに対して、耐量子暗号のほうは、量子力学の原理が実装された新しい型のコンピュータ、すなわち量子コンピュータに対抗するための技術のことですよね。つまり、暗号を使用する自分は量子コンピュータを使っていなくても、攻撃者のほうは量子コンピュータを使えるという攻撃モデルを想定しています。そんな条件でも、解読することができない暗号技術のことを耐量子暗号といいます。ですので、耐量子暗号は、現在普及しているコンピュータを使って実装するものです。

 

高機能暗号、耐量子高機能暗号について

芦原:次にセキュリティの観点からすると、暗号はあくまでセキュリティを実現するためのひとつの手段であり、コストがかかるものというイメージがあります。こういったネガティブなイメージを払拭できる話をしたくて。そうですね…、まずは高機能暗号について話をしていきたいと思うのですが。

縫田:普通の暗号技術は、暗号化や認証技術など通信の安全性を守るのに特化したものです。高機能暗号と呼ばれる技術は、比較的新しい技術でして、安全性はもちろんあるのですが付加的な機能も充実させようという技術です。高機能暗号の例を挙げますと、準同型暗号(図参照)というものがありまして、暗号文がふたつ与えられた際に平文や秘密鍵なしで計算できる技術です。これは平文が仮に数値だったとすると、暗号化を解いて足して暗号化しなおすのではなく、暗号文のままで中身を加算できます。単なる安全性だけではなく、機能としてもより便利なものになっているということになりますね。これは一例であって、他にも検索可能暗号* 2、関数型暗号* 2 などといった技術もあります。

芦原:高機能暗号を企業で利用するという話ですと、自社でだけ使うようなシステムなら暗号化の必要はないと思いますが、例えばクラウド上のシステムなど、データ処理を外部委託するような環境の場合ですよね。不正だったり、事故だったりがあったとしても、安全性が保たれるようにしたい。暗号化技術はこういった状況で必要になってくる。

縫田:おっしゃるとおりで、クラウドの利用者側としては安全だと思いたいけれども、必ずしも言い切れないと思う人もいる。ですが、暗号化した状態でクラウドにデータを預けておいて、統計的な処理をするとして、暗号化したままで実現できるようになるなら完全には信用できないと思われるクラウド環境だったとしても、見られることはないだろう、と思える。

芦原:もし具体例を挙げるとしたら、どのような高機能暗号の利用の仕方がありますか?法的な理由などで、データ処理を外部委託したくても平文では外に出せない場合も考えられますよね?

縫田:そうですね…。例えばビッグデータ解析をするとき、個人の活動の履歴や、病歴、企業秘密、特許のアイデアなど、あまり外部に見せたくないようなデータを分析します。こういうときに先ほど言ったような準同型暗号を使えば、暗号化したままで分析を行うことができる。情報の利活用とプライバシーを守ることの両立になりますね。

芦原:準同型暗号ですと、既に実装されているものもありましたよね。準同型暗号を使ったソフトウェアが出ていて、使い始めている企業もあったと記憶しています。

縫田:この“高機能暗号”に先ほどまでお話をしていた“耐量子技術”が合わさると、安全性がより強固なものになります。それが“耐量子高機能暗号”というものですね。耐量子暗号と高機能暗号には、数学的な仕組みに共通点が多いという相性の良さもあります。

 

量子コンピュータの起源と研究について

芦原:耐量子暗号は、“量子コンピュータが実装されたときに対抗するための技術”といったことを話しましたが、ともすると量子暗号やこれを搭載した量子コンピュータが悪者であるかのように捉える方もいるかもしれません。そうではなくて、高性能なものを駆使して世の中を便利なものにしたいといった前向きな動機で研究が始まったわけですよね。

縫田:はい。高度な技術は大抵の場合、前向きな構想があって、理論的なところから出発します。量子コンピュータの起源は“量子計算”。1980年代に「例えば普通のコンピュータではなく、量子計算ができるコンピュータがあれば、量子力学的なシミュレーションが上手くできるのではないか」という希望的観測から始まりました。そして現在量子コンピュータをどう実現するのか、という段階ではありますが、いろいろな研究が進められている。

芦原:ただし、ポジティブな側面を机上の空論でふりかざしてばかりではいけない。何かを実現させるためにはリスクも考えなければなりませんよね。新しい技術を研究するうえでは避けられないことです。

縫田:そうですね。暗号の観点でインパクトがあった最初の研究結果は、1994年にPeter W. Shor氏が証明した素因数分解の量子計算アルゴリズムです。現行のコンピュータでの大きな整数の素因数分解には膨大な計算量を要しますが、インターネット等で使われる暗号の安全性は、この計算量の大きさに依存しています。もし量子コンピュータが実現されるとこういった暗号の安全性が崩壊する、としたのがShor氏の論文です。

芦原:現在公開されているRSA暗号や楕円曲線暗号の設計思想が破られてしまうということが明らかになったわけですから、それに対応できる暗号技術の研究を進めなければなりませんよね。

縫田:基本的に公開鍵暗号の安全性は、理論的に証明しきることはできません。よって実験で検証する。実験結果から導き出される予測で安全性が成り立っている、ということです。予測とはあくまで“確からしさ”ですので、明日その“確からしさ”が破られる可能性は否定できるものではありません。この信頼度をいかに高めるかは、暗号分野の課題のひとつです。

芦原:コンテストでその“確からしさ”の信頼性を高めようとする動きがありましたね。RSA Factoring Challenge*3なんかもそうでしたよね。

縫田:素因数分解をする対象がレベルごとに用意されていて、世界中の暗号の研究者が問題を解く。たくさんの人が解けない問題を自分が解ければ、優秀さを認められることになりますし、賞金が発生するものもあります。そうすると、漠然と研究をしているよりもモチベーションが上がりますよね。

芦原:そういう世界的に注目されているような場があれば、世界最強の暗号解読者でも解くことができない問題のレベルがわかりますよね。そうなれば、暗号の“確からしさ”をどこまでのレベルに設定しておけば破られないか、という目安がわかるとなるわけですね。

縫田:耐量子暗号でもこういったコンテストを開催しています。これは企業ではなく、大学が主導のコンテストです。大学が主導なのにはいろいろな理由があるとされていますが、耐量子暗号についてはこれから普及していくであろう、という段階だからというのがひとつ挙げられると思います。

 

米国における耐量子暗号の標準化動向について

芦原:今、まさに標準化が行われているのは公開鍵暗号ですよね。暗号化、鍵交換、デジタル署名といった公開鍵暗号の方式の選定が進行していて、第1回の安全性・効率性の評価が終わって、第2回の評価に進む方式の仕様や実装結果の更新版も出揃った状況ですね。

縫田:アメリカ国立標準技術研究所[以降NISTとする] * 4が標準化に向けた公募、という位置付けで2017年11月まで技術提案を募集していました。芦原さんがおっしゃったように、今は公開鍵暗号方式の選定時期ですね。理論的なことだけではなく実装も含めたものでして、仕組みがわかりやすい実装と、速度的な最適化も施した本格的な実装との2種類を提供すること、という募集のもと選定されています。

芦原:選定の仕方は、例えば、RSA Factoring Challengeのような?

縫田:NISTのWebサイトで公開する暗号方式に対して、世界中の耐量子暗号の研究者たちが安全性のチェックをしていく、というものです。早いものでは提案して数日で破られてしまうものもありますよ。

芦原:もちろん提案する側が簡単なものを提案しているのではありませんよね?

縫田:はい。私自身も携わったことがあるのですが、理論も実装もしっかりしていなければいけませんし、ドキュメントの整備もされていなければなりません。かなりの労力をかけて提案をするのですが、それでも1週間も経たずに破られてしまうということもある、ということです。

芦原: ナップザック暗号*5 みたいに、新しい方式が提案されてはすぐに破られて、というのを何度も繰り返している方式もありますし、なかなか上手くいかないものですね。

縫田:量子コンピュータは将来的に実現するかどうかもわからない技術です。それに対して今、暗号方式の標準化をしているというのは、つまり安全性評価を事前にしておかないと間に合わない、ということです。

芦原:例えばあと2~3年で量子コンピュータができそうですよ、というときに対応した暗号を用意する、となると、まだ安全が保障されていないものを実装せざるを得なくなる危険性がありますしね。

縫田:それから、暗号技術を移行する期間も考えるとかなり余裕を持って標準化を進めておかなければならないということもあります。素因数分解の問題は紀元前から研究されているとされていますが、RSA暗号はその素因数分解の難しさが基本です。研究にかけられた時間の長さが、安全性の確からしさの証左のひとつということですね。

芦原:そうですよね。そうなると、耐量子暗号の研究もかなり長い時間をかけないといけない。耐量子暗号の有力候補の中で比較的新しい格子暗号*6 8の問題についても、既に20年以上も研究され続けていますし、NISTの標準化計画が、年単位の時間をかけたものであることは必然といえそうですね。

縫田:2016年2月に福岡で開催されたPQCrypto(Post-Quantum Cryptography)*7 に私も参加したのですが、そこでNISTから耐量子暗号の標準化の具体的な計画が示されました。標準化の方針について、採用する技術をひとつに絞るのではなく、信頼できる技術の選択肢を利用者に提供できるようにすることが目的であると言っていました。

芦原:技術をひとつに絞ってしまうと、様々な状況に対応することが難しくなりそうですものね。つまり、利用する用途によってふさわしいものを選べるようにする、と。

縫田:はい。そうですね。ある種類の耐量子暗号は安全性が高いとされる一方で、公開しておく情報として、たくさんの数値をためておかないといけないので、例えば軽量デバイスみたいなところに組み込む場合などは、必ずしも適切とはいえないかもしれませんね。そういう場合には、小さな鍵で使える別種の耐量子暗号の需要も出てきます。ですので、メリットとデメリットを検討しつつ、用途によってどの性能を重視するのかを見極めることが重要になってくると思います。

 

セキュリティの観点からの準備について

芦原:弊社では脆弱性診断サービスを提供していまして、いまだに古い暗号の実装を検出することもあります(28ページ参照)。実際標準化を進めて移行できるまでに、どのくらいかかるものなのかな、という疑問があります。耐量子暗号でなくても通信できる期間があって最終的には完全移行がなされるまで、しばらくは移行期間が設けられると思いますが…。

縫田:そうですね。NISTの標準化の観点ですと多少意見はわかれますが、2030年ごろにはRSA暗号を破ることができる量子コンピュータが現れるだろうとされています。

芦原:耐量子暗号による通信でないといけないのは2030年辺りだろう、ということですね。

縫田:移行期間を予測するひとつの目安としては、現在RSA暗号に使われている鍵の大きさの今の標準、2048ビットへの移行に要した期間でしょうか。少し前までは1024ビットでしたね。コンピュータの性能の進化などによって1024ビットでは足りないとなったのが、2010年ごろでした。実際に世の中のほとんどのシステムが2048ビットに移行できたのにはおよそ5、6年かかったというデータがあります。今回はもともとのシステム自体を入れ替えるという作業になりますので、もっと時間がかかってもおかしくない。

芦原:計画では標準化ドラフト発行が2024年ごろ、そこから耐量子暗号への移行完了が2030年ごろの予定ですから、結構ぎりぎりのスケジュールですね。移行する方法、例えば、現状は既存のネットワーク上で TLSを使って暗号化通信をする場合は、公開鍵暗号で鍵交換や認証をしているわけですけれども、それの公開鍵暗号の部分を単純に耐量子暗号に置き換えるだけで機能するものなのでしょうか。

縫田:プロトコル全体の安全性をしっかりと調べるというのは難しいかもしれませんが、基本的には鍵の共有が終わった後の部分というのは、公開鍵型ではなく共通鍵型になりますので、そこまで大きな問題はないかなと思います。

芦原:共通鍵暗号の場合は、量子コンピュータを使うことによって、暗号の強度が鍵長の半分のものと同程度にまで落ちるため、ひとまず共通鍵の鍵長を2倍にすれば、それまでと同等の安全性を確保できると考えられていますよね?

縫田:実は少し問題がありまして、2010年に共通鍵も安全ではないという説が出まして、本格的に研究が始まりました。最初は割と限られた種類の方式だけに影響すると考えられていたのですが、もっと新しい研究だと、もう少し広い範囲の共通鍵暗号方式について量子コンピュータの影響がある、となりました。単純に鍵を長くすればよいというわけではないということが明らかになってきているので、耐量子といったときには共通鍵のほうも本当は注目しなければならない要素です。ただ2010年に研究が始まったばかりですので、まだ研究途上ではありますが。

芦原: 標準化が進められている公開鍵型の耐量子暗号だけでなく、共通鍵暗号についても、将来使い続けられるものであるかどうかを考えて利用しないといけないという問題がありそうですね。

縫田:もしかすると、2030年に間に合わせようとするなら準備を急がねばならない段階かもしれません。ただ、今は標準化の準備段階ですので、既存のシステムの中で使われている暗号を新しく置き換えるのは大変でしょうね。ですが、新しいシステムの導入からなら置き換えではないので、想定して作っておくことはできるのではないでしょうか。

芦原:そうなると、2030年以降も稼動させる予定のシステムについては、今の段階で新しい暗号方式に対応できるように設計するのがよさそうですね。

縫田:信頼できる選択肢をどれだけ提供できるかが研究者の使命であると考えています。


縫田 光司 氏(右)
東京大学 大学院情報理工学系研究科
数理情報学専攻 准教授
東京大学 理学部 数学科を卒業後、東京大学 大学院数理科学研究科 数理科学専攻 修士課程と博士課程修了。
情報通信や情報利活用の安全性を支える暗号・情報セキュリティ技術の研究を行っている。
論文・著書:Koji Nuida, Goichiro Hanaoka, “On the security of pseudorandomized information-theoretically secure schemes”, IEEE Transactions on Information Theory, vol.59, no.1, pp.635-652, 2013.ほか

芦原 聡介(左)
株式会社ブロードバンドセキュリティ(BBSec)
セキュリティサービス本部 セキュリティ情報サービス部
広島大学大学院理学研究科数学専攻修了 博士(理学)取得。その後、暗号技術の研究に従事し、 共通鍵暗号型検索可能暗号の動向についての論文を執筆。
産業技術総合研究所、日本銀行金融研究所を経て、株式会社ブロードバンドセキュリティ入社。
現在はセキュリティ情報のリサーチ・分析・配信などを行うアナリストを務めるほか、 ITセキュリティセミナーの講師としても活躍している。


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。