Transcript プレゼンテーションのダウンロート
暗号技術の国際動向について
ー
AES
秘密鍵暗号
,
楕円公開鍵暗号-
三菱電機株式会社情報技術総合研究所 松井 充
AES (Advanced Encryption Standard)
・ DES (Data Encryption Standard) の後継暗号を 決定する米国のプロジェクト ・ NIST (National Institute of Standards and Technology) が主催する公募によって選定 ・選定されたアルゴリズムは FIPS (Federal Information Processing Standards) に登録 ・ AES の Official Home Page http://csrc.ncsl.nist.gov/encryption/aes/aes_home.htm
Federal Information Processing Standards
・米国連邦政府調達品に強制力をもつ標準 民間を拘束しないがその影響力は大きい ・現在 FIPS に登録されている暗号方式の例 FIPS 46-2 Data Encryption Standard (DES) FIPS 180-1 Secure Hash Standard (SHA-1) FIPS 185 Escrow Encryption Standard (EES) FIPS 186 Digital Signature Standard (DSS) Triple-DES も AES までのつなぎとして FIPS 化の予定 (http://csrc.ncsl.nist.gov/fips/ 参照 )
AES
プロジェクトのこれまで
・ 1997 年 1 月 2 日 NIST による AES プロジェクトのアナウンス ・ 1997 年 4 月 15 日 AES の Design Criteria を議論するワークショップ ・ 1997 年 9 月 12 日 募集開始 ・ 1998 年 6 月 15 日 募集締切 ・ 1998 年 8 月 20 ー 22 日 The First Advanced Encryption Standard Candidate Conference
AES
の要求条件
・ 秘密鍵ブロック暗号であること ・ DES より安全で Triple-DES より高速なこと ・ ブロックサイズは 128 ビットをサポートすること ・ 鍵サイズは 128, 192, 256 ビットをサポートすること ・ ライセンスフリーで利用できること
AES
候補アルゴリズム一覧
CAST-128 CRYPTON DEAL DFC E2 FROG HPC LOKI97 MAGENTA MARS RC6 RIJNDAEL SERPENT TWOFISH Entrust Technologies / Canada Future Systems / Korea Outerbridge / Canada Centre National pour la Recherche Scientifique / France NTT / Japan TecApro Internacional / Costa Rica Shroeppel (Arizona Univ.) / U.S.
Brown (Defense Force Academy) / Australia Deutsche Telekom / Germany IBM / U.S.
RSADSI / U.S.
Daemen (Banksys) / Belgium Anderson / England, Biham / Israel, Knudsen / Denmark Schneier (Counterpane Systems) / U.S.
今後のスケジュール
・ Second AES Conference (March 22,23 1999 Rome) ・ 応募方式のなかから一次選考で5個以内に ・ First Round は主に Software Evaluation ・ Second Round は Hardware Evaluation に重点 ・ 最終決定 (2000 年 ?) は NIST の判断で行なう
AES
をめぐる諸問題
・ ・ NSA の Confidential Comments をどう扱うか? NSA によるアルゴリズムの変更はあるのか? ・ NIST の最終的な選択基準は何か? ・ 現在急速に普及している Triple-DES との 住み分けは? ・ ブロックサイズ変更のインパクト ・ Target Specific Cipher は生き残る
楕円暗号
(Elliptic Curve Cryptosystem)
・ 楕円曲線上の離散対数問題の困難性に基づく公開鍵暗号 ・ 通常の離散対数問題より解読が難しいと予想されている ・ このため RSA 暗号よりもデータ量が少なくしかも高速 ・ 鍵サイズ 1024 ビットの RSA 暗号の安全性が、鍵サイズ 160 ビットの楕円暗号の安全性と同程度とされる ・ 楕円暗号はシステム固定のパラメータが多く、これを 最適化することでさらに高速化をはかることができる
RSA
暗号と楕円暗号の性能
・ RSA 暗号も楕円暗号も最適化された 現在のパソコン上で充分高速 S/W なら ・ IC カード等計算能力の限られた環境では RSA 暗号は低速なため専用ハードウエアが必要 ・ 楕円暗号は高速なのでこのような環境でも ソフトウエアだけで実現できる可能性がある ・ RSA 暗号は署名検証が署名生成よりも高速 楕円暗号は署名生成が署名検証よりも高速
RSA1024 vs ECC160
総計算量比較の一例 暗号化/署名検証 復号化/署名生成 RSA 暗号 楕円 ElGamal 暗号 1 4 26 1 ・ RSA 公開鍵は 65537 固定, RSA 署名には Chinese Remainder Theorem を利用 ・ 楕円曲線は素体 GF(p) 上で p=a-3 なるものを利用 ・ 楕円 ElGamal 署名生成時には 1280 バイトの事前テーブルを利用
公開鍵暗号の標準化動向
・ PKCS RSA 社による RSA 暗号に関する各種標準集 http://www.rsa.com/rsalabs/pubs/PKCS/ ・ IEEE-1363 RSA 暗号および楕円暗号を含む広範な標準 http://grouper.ieee.org/groups/1363/ ・ FIPS 米国連邦政府標準( DES, SHA-1, DSA etc) http://csrc.nist.gov/fips/ ・ ANSI 広範囲の標準を扱う ( X9.62, X9.63 楕円暗号 )
楕円暗号の安全性
・ システムパラメータの取り方によっては 安全性が失われることがある ・現在知られている弱い楕円曲線の割合は 全体から見れば無視できるほど少ない ・暗号設計者が弱い楕円曲線にならないよう システムパラメータを設計するのは容易
楕円暗号の今後
・ 小型機器を中心に楕円暗号は用いられる ようになるであろう ・ 楕円暗号が RSA 暗号に完全にとってかわる とは考えにくい ・ 楕円暗号の現在唯一の欠点は「若い」こと ・ 安全性に関する議論が一段落するためには 今しばらくの時間が必要