Embed Size (px)
Citation preview
NTT技術ジャーナル 2013.952
Camelliaの開発
米国の暗号技術輸出規制の緩和や AES( Advanced EncryptionStandard)プロジェクトの進行に伴い,1990年代末に標準暗号制定の機運がISO( International Organization forStandardization)/IEC(InternationalElectrotechnical Commision)で高まりつつありました.また,NTTでも1990年前後に開発したFEAL(theFast Data Encipherment Algorithm)暗号の限界が見え始めており,次世代の暗号技術が必要とされていました.そこで,FEALに代わる暗号技術として,またISO/IECで標準化することを目標に,NTTと三菱電機により2000年に開発したのがCamell iaです.Camelliaは128ビットブロック長の共通鍵ブロック暗号で,安全な通信路を提供したり,相手認証などさまざまなセキュリティ技術の核として用いることができます.Camelliaの設計では,既知のいく
つかの解読手法に対して安全だと証明できるような構造を採用しました.そのほかの解読手法についても実際に解
読作業を試み,解読できないことを確認しています.また,実装性能も重要なことから,さまざまな環境で効率良く実装,動作できるよう設計しました.
評 価 活 動
暗号は安全性と実装性能により評価されます.次に安全性と実装性能について,これまでの評価活動を説明します.■安全性評価
現在のところ何の仮定もなしに安全だと数学的に証明されている効率的な暗号方式は存在しません.暗号の安全性は,できるだけ数多くの解読の試みに対し,長い間その試みが成功しないことによって高まっていきます.もちろんCamelliaは現在でも解読できないことが示されています.開発後も,高階差分解読,不能差分利用攻撃,中間一致攻撃など,さまざまな方法とその改良法が学会などで発表されています.これらの攻撃法によって,解読の可能性について国内外の暗号研究者らによりCamelliaの攻撃耐性が評価されてきましたが,現時点までにどの解読の試みも成功には至っていません.
128ビットブロック暗号では,事実上の国際標準であるAESを除き,このように多数の安全性評価がなされている暗号はCamelliaしかありません.またAESでは,鍵長を192ビットと256ビットとした場合には,実利用では問題ないのですが,理論的には期待すべき安全性が達成できないことが示されています.国際的にみても,Camelliaの安全性は非常に信頼度の高いものとなっています.■実装性能評価
NTTと三菱電機は両社の得意技術を活かし,Camelliaがハードウェアから組み込み機器,また高性能なCPUで効率良く実装されるように設計しました.設計後も両社と第三者により,さまざまなアーキテクチャで効率良くCamelliaが実装可能であることが示されてきています.その結果,多くのアーキテクチャで,AESと遜色のない性能が達成されています.また近年では暗号方式そのものだけではなく,消費電力量から秘密情報を引き出すなど,実装に関連した攻撃方法も多数発表され,実装そのものの安全性に注目が高まっています.Camelliaは,どのような攻撃に対して
あ お き か ず ま ろ か ん だ まさゆき
青木 和麻呂 /神田 雅透NTTセキュアプラットフォーム研究所
2000年にNTTと三菱電機が開発した共通鍵暗号Camelliaは,開発後13年が経過し,
その間に国内外で多数の解読の試みが行われてきました.これらの試みによって安全性
の低下は全く見られず,Camelliaは非常に安全性と信頼性の高い暗号との評価を獲得す
るに至りました.また安全性評価と並行して,積極的な普及活動を広範囲に継続し
て行ってきた結果,多数の標準化や製品搭載につながり,2013年3月の電子政府推奨
暗号の改定において採択された数少ない国産暗号となりました.2003年の採択に引き
続き,継続採択された国産暗号としては唯一の暗号です.ここでは,13年間の安全性
評価の取り組みと,標準化やオープンソースプロジェクトへの提案など普及活動につい
て振り返ります.
安全かつ高性能な暗号アルゴリズムCamelliaの開発と普及活動の軌跡
世界に誇れる研究開発成果暗 号 共通鍵ブロック暗号 Camellia
も,大幅な処理性能の低下を起こさずに,安全に実装することができます.
Camelliaの普及活動
暗号アルゴリズムの特性としての技術的な優位性や差異化要素を基に,今までに数多くの暗号アルゴリズムが実際に開発されてきました.しかし以下の理由から,現在では極めて少数の暗号アルゴリズムしか使われていないのが実情です.① 実際の利用場面において,暗号アルゴリズムの特性の違いによる差を体感することは非常に困難であること② 情報化社会の基盤技術を支える暗号アルゴリズムには,従来と異なり,独自性よりも相互接続性が求められること③ 現在では,特許無償で利用可能な米国政府標準暗号アルゴリズムAESが国際的にも君臨し,実際に多くの製品に組み込まれていること上述したような環境下において,
Camelliaは,AESと同じ暗号技術分野(128ビットブロック暗号)に位置することから,もしAESと真正面から競合してしまっていたら,使われない暗号アルゴリズムの1つになる可能性がありました.そこでCamelliaを普及させるため,
開発した2000年当初から,AESへの対抗技術ではなく,AESとの共存技術としてCamelliaを世の中に普及させていく戦略を採用することを決断しました.もっとも当時は,暗号開発を進めていた企業はどこも「暗号アルゴリズムこそがセキュリティビジネス差異化の源泉」と考えていた時代ですから,AESとの共存路線採用は非常に画期的な判断であったといえます.
具体的な普及施策
この13年間,Camelliaの普及展開を進めるにあたり実施した大きな施策は4つあります.これらの施策成果の相乗効果によって,多くの製品等にCamel l iaが搭載されるようになりました.■推奨暗号リスト掲載への提案活動
暗号アルゴリズムの安全性や実装性能を世界第一線級の暗号研究者らが客観的に評価し,技術的に優れた暗号アルゴリズムとしてのお墨付きを与 えるNESSIE( New EuropeanSchemes for Signature, Integrity,and Encryption)*プロジェクトが2000~2003年にかけて欧州で行われたのに合わせて,Camelliaを提案しました.このプロジェクトでは,AESと同じ暗号技術分野に提案された7つの暗号アルゴリズムからは,最終的にCamelliaだけが欧州連合推奨暗号として選定されました.日本の暗号アルゴリズムが欧州でも推奨暗号に選定されたことが,暗号アルゴリズムとしての優秀さを裏付ける根拠となり,後々の標準化活動やインターネットの基盤を支えるオープンソースコミュニティへの提案活動においても有利に働く要因となりました.また同時期に,国内においても後述
するCRYPTREC(Cryp tg r aphyResearch and Evaluation Com-mittees)の電子政府推奨暗号リストに選定されました.■Camellia基本特許の無償化
AESが特許無償で利用可能な状況下では,Camelliaには特許使用料が必要というだけでビジネス利用が敬遠される要因となりますので,2001年に特許無償化を実施しました.当初は無償許諾契約を条件としていましたが,オープンソース化を契機に無償許諾契約なしでも利用できるようにしました.ここまで自由に利用できる国産暗号は
Camelliaぐらいしかありません.■ISO/IEC,IETFをはじめとする各
種標準化活動の推進
1900年代には国際的な認識として,暗号技術は大量破壊兵器と同様に規制が必要な軍事技術とみなされていたこともあり,ISO/IECにおいて国際標準暗号は長らく策定されていませんでした.しかし,2000年になり,インターネットが国際的に大きく普及するなどの環境変化に伴い,情報化社会の基盤技術として相互接続可能な国際標準暗号アルゴリズムを決める必要性が高まりました.そのため,ISO/IECでも国際標準暗号を2005年に初めて策定し,その中でAESと同じ暗号技術分野ではCamelliaと韓国政府標準暗号アルゴリズムSEEDを含めた3つが採録されました.また,インターネットでの標準を決
めるIETF( Internet EngineeringTask Force)において,AESの規格化が進展するのと歩調を合わせるかたちでCamelliaの提案を強力に推し進めた結果,NESSIEプロジェクトやISO/IECでの選定と相まって,AESと同等に扱える暗号アルゴリズムとしてCamelliaが認知されるようになりました.その結果,SSL(Secure SocketLayer) /TLS( Transport LayerS e c u r i t y)やIP s e c(S e c u r i t yArchitecture for Internet Protocol)をはじめとするIETFでのさまざまな規格に採用されるに至りました.インターネットで使われるプロトコルでの規格に採用された国産暗号アルゴリズムはCamelliaが初めてです.Camelliaが採録された標準化名一
覧を表1に示します.■オープンソースの公開およびオープン
ソースコミュニティへの提案活動の
推進
インターネット標準の暗号通信方式
NTT技術ジャーナル 2013.9 53
世界に誇れる研究開発成果
*NESSIE:EUで行われた暗号技術の評価・選定プロジェクト.
NTT技術ジャーナル 2013.954
であるSSL/TLSやIPsecでCamelliaが使えるように規格化しても,実際に使えるようになるためには製品として実装されなければなりません.例えば,SSL/TLSであれば,Webサーバとブラウザの両者にCamelliaが実装される必要があります.インターネットの主要技術はオープ
ンソースにより発展してきたといっても過言ではありません.そこで,Webサーバで多く使われているOpenSSLと主要ブラウザの1つであるFirefoxにねらいを定め,まずは両者にCamelliaを搭載することを最大の目標として,私たちは2006年にオープンソースの提供とコミュニティへの提案活動を開始しました.2008年にOpenSSLとFirefoxでのCamellia搭載が実現したことにより,SSL/TLSにおいて実際にCamelliaが動作することが広く知れ渡るようになりました.その後,L i n u xやF r e e B S D,
Bouncy Castleなどの各種オープンソース製品への搭載が進むとともに,多くの市販製品やサービスなどでも利用される契機となりました.例えば,欧米製品でも,オラクルのSPARC T4サーバやグラーツ工科大学のIAIK暗号ライブラリシリーズなどに搭載されてい
ます.また, Camelliaが採録されている代表的なオープンソース製品を表2に示します.
電子政府システムへの展開に向けて
電子政府システムの構築にあたっては,内閣官房情報セキュリティセンターが公開している「政府機関の情報セキュリティ対策のための統一管理基準」および「同統一技術基準」に従う必要があります.この中で,電子政府システムに採用する暗号アルゴリズムは「電子政府推奨暗号リスト」から選定することが記載されています.電子政府推奨暗号リストとは,総務省と経済産業省が主管し,日本の第一線の暗号研究者らを中心に構成されたCRYPTREC委員会が安全性と実装性能などを客観的に評価し,電子政府システムの構築に資する暗号アルゴリズムを選定,取りまとめたものです.このリストは,2013年3月に全面改定されましたが,その際には従来の安全性や実装性能といった技術的評価に加え,市場における利用実績が十分であるか,今後の普及が見込まれるか,といった市場性(図1)も考慮して,
新たな電子政府推奨暗号リストがつくられました.図2に示すように,2003年につくられた旧電子政府推奨暗号リストに採用されていた暗号アルゴリズムのうち,今回の改定でも引き続き採用された国産暗号アルゴリズムはCamelliaだけです.このことは,継続して評価されてきた安全性に加えて,前述したさまざまな普及活動の成果や実績が,調達の容易な暗号アルゴリズムとして,またAESと同じ暗号技術分野(128ビットブロック暗号)において,日本を代表する暗号アルゴリズムとして認められたといえます.
今後の展望
今回の電子政府推奨暗号リストの
表1 Camelliaが採録された標準化名一覧
団体等
ISO/IEC
ITU-T
IETF
PKCS
TV-Anytimeforum
標準化名
ISO/IEC18033-3: Block cipher
Security mechanisms and procedures for NGN(Y.2704)
Transport Layer Security
IPsec
S/MIME
OpenPGP
Smart Grid
PSKC
XML
PKCS #11 v2.20 Amendment 3: Additional PKCS #11 mechanisms
TV-Anytime Rights Management and Protection Information for Broadcast Applications
表2 Camelliaが採録されたオープンソー
ス製品
種 別
OS/Kernel
Library
IP Core
Browser
Application
製品名
Linux
Fedora Core
FreeBSD
OpenSSL
NSS
Crypto++
GNU TLS
Bouncy Castle
CyaSSL
NFCC
Firefox
Chrome
Opera
GnuPG
ipsec-tools
strongSwan
SeaMonkey
Wireshark
Gmime
Open Puff
Tera term
MIT KerberosNFCC: Nugroho Free Crypto Cores
PSKC: Portable Symmetric Key ContainerPKCS: Public Key Cryptography Standards
改定にあたって国産暗号が大きく絞り込まれた理由として,同リストに掲載された暗号の普及展開を,国としてバックアップすることを視野に,国際標準化や製品化のさらなる促進が期待できると判断がなされた点が挙げられ
ます.つまり,Camelliaは,国産暗号の中でもさらに広く利用されていく可能性が高いと判断され,またそれによって今後の国産暗号の利用促進という重責を担うことにもなります.NTTではその期待にこたえるべく,
今後もCamelliaが搭載されたオープンソースソフトウェアや暗号製品,およびそれらを活用したアプリケーションサービスの開発を推進し,引き続き公共・民間システムの安全性を支えるとともに,これから導入が想定される社会保障・税番号制度における情報管理など,安心・安全な高度情報化社会の構築に貢献していきます.
NTT技術ジャーナル 2013.9 55
世界に誇れる研究開発成果
図1 電子政府推奨暗号リストの選定基準
出典: CRYPTREC 「暗号技術の選定基準」 http://www.cryptrec.go.jp/topics/listpc_standard_v3.pdf
(左から)青木 和麻呂/ 神田 雅透
Camelliaは設計後10年以上もの間,あらゆる解読の試みに耐え,高い信頼感を得ています.また,普及活動にも積極的に取り組み,オープンソースやNTTソフトウェアなどの製品で簡単にCamelliaを利用できるようになりました.今後も,安心・安全に加えて利用しやすくなったCamelliaをぜひご活用ください.
◆問い合わせ先NTTセキュアプラットフォーム研究所情報セキュリティプロジェクトTEL 0422-59-3587FAX 0422-59-4015E-mail aoki.kazumaro lab.ntt.co.jp
図2 電子政府推奨暗号リストの新旧対応表
旧電子政府推奨暗号リスト 新電子政府推奨暗号リスト 技術分類
(a) 今回改定したリスト (b) 旧リスト
署名
守秘
鍵共有
64ビットブロック暗号
128ビットブロック暗号 ストリーム暗号
秘匿モード
認証付き秘匿モード
ハッシュ関数
メッセージ認証コード
エンティティ認証
技術分類 DSA ECDSA RSA-PSS RSASSA-PKCS1-v1_5 RSA-OAEP RSAES-PKCS1-v1_5 DH ECDH PSEC-KEM CIPHERUNICORN-E Hierocrypt-L1 MISTY1 3-key Triple DES AES Camellia CIPHERUNICORN-A Hierocrypt-3 SC2000 MUGI MULTI-S01 128-bit RC4 RIPEMD-160 SHA-1 SHA-256 SHA-384 SHA-512
DSA ECDSA RSA-PSS RSASSA-PKCS1-v1_5 RSA-OAEP DH ECDH 3-key Triple DES AES Camellia KCipher-2 SHA-256 SHA-384 SHA-512 CBC CFB CTR OFB CCM GCM CMAC HMAC ISO/IEC 9798-2 ISO/IEC 9798-3
公開鍵暗号
公開鍵暗号
共通鍵暗号
暗号利用モード
共通鍵暗号
署名
守秘
鍵共有
ストリーム暗号
ハッシュ関数
64ビット ブロック暗号
128ビット ブロック暗号
