プレゼンテーションのダウンロート

Download Report

Transcript プレゼンテーションのダウンロート

暗号技術の国際動向について

AES

秘密鍵暗号

,

楕円公開鍵暗号-

三菱電機株式会社情報技術総合研究所 松井 充

AES (Advanced Encryption Standard)

・ DES (Data Encryption Standard) の後継暗号を 決定する米国のプロジェクト ・ NIST (National Institute of Standards and Technology) が主催する公募によって選定 ・選定されたアルゴリズムは FIPS (Federal Information Processing Standards) に登録 ・ AES の Official Home Page http://csrc.ncsl.nist.gov/encryption/aes/aes_home.htm

Federal Information Processing Standards

・米国連邦政府調達品に強制力をもつ標準 民間を拘束しないがその影響力は大きい ・現在 FIPS に登録されている暗号方式の例 FIPS 46-2 Data Encryption Standard (DES) FIPS 180-1 Secure Hash Standard (SHA-1) FIPS 185 Escrow Encryption Standard (EES) FIPS 186 Digital Signature Standard (DSS) Triple-DES も AES までのつなぎとして FIPS 化の予定 (http://csrc.ncsl.nist.gov/fips/ 参照 )

AES

プロジェクトのこれまで

・ 1997 年 1 月 2 日 NIST による AES プロジェクトのアナウンス ・ 1997 年 4 月 15 日 AES の Design Criteria を議論するワークショップ ・ 1997 年 9 月 12 日 募集開始 ・ 1998 年 6 月 15 日 募集締切 ・ 1998 年 8 月 20 ー 22 日 The First Advanced Encryption Standard Candidate Conference

AES

の要求条件

・ 秘密鍵ブロック暗号であること ・ DES より安全で Triple-DES より高速なこと ・ ブロックサイズは 128 ビットをサポートすること ・ 鍵サイズは 128, 192, 256 ビットをサポートすること ・ ライセンスフリーで利用できること

AES

候補アルゴリズム一覧

CAST-128 CRYPTON DEAL DFC E2 FROG HPC LOKI97 MAGENTA MARS RC6 RIJNDAEL SERPENT TWOFISH Entrust Technologies / Canada Future Systems / Korea Outerbridge / Canada Centre National pour la Recherche Scientifique / France NTT / Japan TecApro Internacional / Costa Rica Shroeppel (Arizona Univ.) / U.S.

Brown (Defense Force Academy) / Australia Deutsche Telekom / Germany IBM / U.S.

RSADSI / U.S.

Daemen (Banksys) / Belgium Anderson / England, Biham / Israel, Knudsen / Denmark Schneier (Counterpane Systems) / U.S.

今後のスケジュール

・ Second AES Conference (March 22,23 1999 Rome) ・ 応募方式のなかから一次選考で5個以内に ・ First Round は主に Software Evaluation ・ Second Round は Hardware Evaluation に重点 ・ 最終決定 (2000 年 ?) は NIST の判断で行なう

AES

をめぐる諸問題

・ ・ NSA の Confidential Comments をどう扱うか? NSA によるアルゴリズムの変更はあるのか? ・ NIST の最終的な選択基準は何か? ・ 現在急速に普及している Triple-DES との 住み分けは? ・ ブロックサイズ変更のインパクト ・ Target Specific Cipher は生き残る

楕円暗号

(Elliptic Curve Cryptosystem)

・ 楕円曲線上の離散対数問題の困難性に基づく公開鍵暗号 ・ 通常の離散対数問題より解読が難しいと予想されている ・ このため RSA 暗号よりもデータ量が少なくしかも高速 ・ 鍵サイズ 1024 ビットの RSA 暗号の安全性が、鍵サイズ 160 ビットの楕円暗号の安全性と同程度とされる ・ 楕円暗号はシステム固定のパラメータが多く、これを 最適化することでさらに高速化をはかることができる

RSA

暗号と楕円暗号の性能

・ RSA 暗号も楕円暗号も最適化された 現在のパソコン上で充分高速 S/W なら ・ IC カード等計算能力の限られた環境では RSA 暗号は低速なため専用ハードウエアが必要 ・ 楕円暗号は高速なのでこのような環境でも ソフトウエアだけで実現できる可能性がある ・ RSA 暗号は署名検証が署名生成よりも高速 楕円暗号は署名生成が署名検証よりも高速

RSA1024 vs ECC160

総計算量比較の一例 暗号化/署名検証 復号化/署名生成 RSA 暗号 楕円 ElGamal 暗号 1 4 26 1 ・ RSA 公開鍵は 65537 固定, RSA 署名には Chinese Remainder Theorem を利用 ・ 楕円曲線は素体 GF(p) 上で p=a-3 なるものを利用 ・ 楕円 ElGamal 署名生成時には 1280 バイトの事前テーブルを利用

公開鍵暗号の標準化動向

・ PKCS RSA 社による RSA 暗号に関する各種標準集 http://www.rsa.com/rsalabs/pubs/PKCS/ ・ IEEE-1363 RSA 暗号および楕円暗号を含む広範な標準 http://grouper.ieee.org/groups/1363/ ・ FIPS 米国連邦政府標準( DES, SHA-1, DSA etc) http://csrc.nist.gov/fips/ ・ ANSI 広範囲の標準を扱う ( X9.62, X9.63 楕円暗号 )

楕円暗号の安全性

・ システムパラメータの取り方によっては 安全性が失われることがある ・現在知られている弱い楕円曲線の割合は 全体から見れば無視できるほど少ない ・暗号設計者が弱い楕円曲線にならないよう システムパラメータを設計するのは容易

楕円暗号の今後

・ 小型機器を中心に楕円暗号は用いられる ようになるであろう ・ 楕円暗号が RSA 暗号に完全にとってかわる とは考えにくい ・ 楕円暗号の現在唯一の欠点は「若い」こと ・ 安全性に関する議論が一段落するためには 今しばらくの時間が必要