logo

暗号プロトコルのセキュリティ評価結果をリスト化・公開 ~標準化された暗号プロトコルの利用促進に期待~

国立研究開発法人情報通信研究機構 広報部 2015年10月20日 14時00分
From 共同通信PRワイヤー

2015年10月20日

国立研究開発法人情報通信研究機構(NICT)

暗号プロトコルのセキュリティ評価結果をリスト化・公開
~標準化された50個以上の暗号プロトコルの適切な利用促進に期待~

【ポイント】
■ 58個もの大規模な暗号プロトコルについてセキュリティ評価結果を整備し、リストで提供
■ NICTのポータルサイトで公開、評価の追試が可能
■ システム設計者の目的に応じた暗号プロトコルの適切な利用に期待

 国立研究開発法人情報通信研究機構(NICT、理事長: 坂内 正夫) リンクは、標準化された51個の暗号プロトコルとその他7個の主要プロトコルについて、学術論文数十本の成果に相当するセキュリティ評価結果をリストとしてまとめ上げ、NICTのポータルサイトで公開し、誰もが入手できるようにしました。ネットワークシステムでは、目的に応じて暗号プロトコルを適切に利用することが重要となりますが、システム設計者が本リストを判断基準として用いることで、暗号プロトコルの適切な利用促進が期待されます。
 暗号プロトコル評価ポータルサイト: リンク

【背景】
 情報社会の安全性を支える基幹技術として、暗号を組み合わせて用いた通信手順(暗号プロトコル)が、世界中の研究者・技術者により設計され、ITU-T、IETF、ISO/IECなどの標準化団体で規格が策定(標準化)され、様々なネットワーク機器やPC、携帯電話、スマートフォンに実装されています。
 これまでに、個々の暗号のセキュリティ評価結果をまとめたリストがCRYPTREC暗号リスト(リンク)やThe SHA-3 Zoo(リンク)で公開されていますが、暗号プロトコルのセキュリティ評価結果をまとめたリストはありませんでした。個々の暗号が安全であっても、その組合せ方によって情報漏えいや、なりすましなどの問題が生じることがしばしば指摘されており、ネットワークシステムで暗号を安心して利用するためには、組み合わせた結果である暗号プロトコルのセキュリティを確認することが不可欠です。しかし、暗号プロトコルのセキュリティ評価結果は数も少なく世界中に散らばっており、システム設計者は評価結果の収集・分析に膨大な労力を費やしている状況で、その労力を削減する暗号プロトコル評価リストが切望されていました。

【今回の成果】
 今回NICTは、標準化された51個の暗号プロトコルとその他7個の主要プロトコルについて、セキュリティ評価結果を集約する作業を行い、暗号プロトコル評価リストをNICTのポータルサイトで公開しました(リンク)。
 リストの整備に当たっては、自動検証ツールを用いてプロトコルを評価しました。そして、評価対象のプロトコルすべてに関して評価結果を精査し、問題点を洗い出しました。さらに、国際標準ISO/IEC29128における評価レベルのいずれに相当するかを明らかにしました。
 一般に、自動検証ツールによる評価結果の解釈は専門家以外では不可能であり、1つの暗号プロトコルの評価は学術論文として公表されるほど膨大な労力を必要とします。そのため、単一の機関が58個ものプロトコル対して、複数の自動検証ツールを用いて、本リストを取りまとめたことは、世界でも類がなく、初めての試みです。
 本ポータルサイトはオープンであり、誰でもリストを入手できます。
 システム設計者は、本リストを一覧することで、目的とする機能を実現する暗号プロトコルについて、「現状安心して使える」、「対策を施せば安心して使える」、「もはや安心して使えない」を容易に判断できます。
 また、暗号プロトコルの個別ページでは、これまでに発見されたセキュリティ上の問題や、その回避方法、自分でセキュリティを評価するための手順などの有用な知見が得られます。
 さらに、学術論文でもまれにしか公開されない、オープンソースの自動検証ツールへの入力ソースも提供しており、誰もが評価を追試できます。

【今後の展望】
 現在の暗号プロトコル評価リストは、標準化された暗号プロトコルを中心としていますが、今後は標準化候補の暗号プロトコルの評価結果も充実させ、システム設計者が、目的に適した暗号プロトコルを設計する際に役立つ情報を提供していく予定です。それにより、ネットワークシステムの効率的な構築やネットワーク全体の安心・安全の向上に貢献します。



本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。