RSAセキュリティは11月20日、暗号技術に関する記者向けのラウンドテーブルを開催。米国国立標準技術研究所(NIST)が2010年以降、ハッシュ関数SHA-1より鍵長の長いSHA-2などへ移行する方針を打ち出していることや、次世代ハッシュ関数SHA-3(AHS)の開発動向などを踏まえながら、暗号技術の移行に際しての課題を解説した。

RSAセキュリティ 技術統括本部長 前田司氏

NISTがSHA1を米国政府の標準ハッシュ関数に採用したのは1995年のことだが、2005年にハッシュ値の衝突を見つける攻撃方法が相次いで報告されたことなどを踏まえ、2010年以降は、ハッシュ関数、共通鍵、公開鍵などについて、より暗号強度の高い技術に移行することを決めている。

具体的には、2010年までは暗号強度(解読に要する計算量)を最小80bit(2の80乗)とし、2010年以降は最小112bit、2030年以降は最小128bitにする方針を打ち出している。例えば、2010年以降は、現在主に利用されているハッシュ関数SHA-1はSHA-2(SHA-224以上)へ、共通鍵で利用される2TDES(2 Key Triple DES)は3TDES(3 Key Triple DES)以上へ、公開鍵 / 電子署名などで利用されるRSA/DSA/DH1024は同2028へと移行し、現行方式は廃止されることになる。

これを受け、国内でも、今年4月に内閣官房情報セキュリティセンター(NISC)が、政府機関の情報システムに関して、現行の暗号方式SHA-1 / RSA1024からの移行方針を発表。新しい暗号方式としてSHA-256 / RSA2048を採用するものとし、移行スケジュールとしては、2010年から対応を開始し、2013年までに完了させるとしている(新方式への完全移行は2013年以降)。

米国国立標準技術研究所(NIST)が推奨する暗号アルゴリズムと移行スケジュール。2010年以降、政府機関は暗号強度112bitが求められ、現在主流の80bitは廃止される

RSAセキュリティで技術統括本部長を務める前田司氏によると、こうした中でも、特に2010年を境とする移行については、「暗号の2010年問題」と呼ばれ、今後、どのように対応していくかが課題になっているという。

課題の1つとしては、暗号化の期間をどう考慮するかという点を挙げる。暗号は、暗号化を施す発信者と暗号化したものを利用する受信者は別になる。その典型的な例が電子署名で、例えば、2010年以降に電子署名を利用しようとした場合、署名が偽造されたものかを検証することができなくなるという事態が起こりうる。そのため、「発信者が現在暗号化したものを、2010年以降受信者が安全に利用できるかどうかを今から考慮しておく必要がある」とする。

また、暗号プロトコルを組み込んだシステムやデバイスをどう移行させるかという課題もある。例えば、PKIなどにはSHA-1が組み込まれているが、今後は、システムやデバイスをリプレースせずに暗号強度を上げる工夫などが求められることになる。さらに、システム側で対応する以外にも、PCやブラウザといった多数のクライアント側で対応させることが必要で、「単に機能として実現するだけでなく、顧客や取引先との相互運用性などの問題を含めて、暗号を作る側と利用する側の両方で対応していくことが求められる」という。

このほか、新旧の暗号方式が混在する期間に、複数の暗号強度をどう設定し、どう評価を行うかといった課題もあり、セキュリティ関連ベンダーの対応を待つばかりでなく、ユーザー側でも移行を見据えた対策が求められることになると言えそうだ。

また、同氏は、「共通鍵や公開鍵については鍵長を増やすといった対策で強度を高めることができるが、SHA-1をベースにしているSHA-2は危殆化も懸念されている」とし、NISTにおいてSHA-3の開発(AHSコンテスト)が進められていることを紹介。現在は、公募が締め切られ、2010年第3四半期に選考対象候補の発表、2012年第3四半期にドラフト、同第4四半期に標準化というスケジュールで進んでいるとした。