暗号技術の国際動向について ー AES 秘密鍵暗号, 楕円公開鍵暗号- 三菱電機株式会社情報技術総合研究所 松井 充
AES (Advanced Encryption Standard) ・ DES (Data Encryption Standard) の後継暗号を 決定する米国のプロジェクト ・ NIST (National Institute of Standards and Technology) が主催する公募によって選定 ・選定されたアルゴリズムは FIPS (Federal Information Processing Standards) に登録 ・ AES の Official Home Page m
Federal Information Processing Standards ・米国連邦政府調達品に強制力をもつ標準 民間を拘束しないがその影響力は大きい ・現在 FIPS に登録されている暗号方式の例 FIPS 46-2 Data Encryption Standard (DES) FIPS Secure Hash Standard (SHA-1) FIPS 185 Escrow Encryption Standard (EES) FIPS 186 Digital Signature Standard (DSS) Triple-DES も AES までのつなぎとして FIPS 化の予定 ( 参照 )
AES プロジェクトのこれまで ・ 1997 年 1 月 2 日 NIST による AES プロジェクトのアナウンス ・ 1997 年 4 月 15 日 AES の Design Criteria を議論するワークショップ ・ 1997 年 9 月 12 日 募集開始 ・ 1998 年 6 月 15 日 募集締切 ・ 1998 年 8 月 20 ー 22 日 The First Advanced Encryption Standard Candidate Conference
AES の要求条件 ・ 秘密鍵ブロック暗号であること ・ DES より安全で Triple-DES より高速なこと ・ ブロックサイズは 128 ビットをサポートする こと ・ 鍵サイズは 128, 192, 256 ビットをサポートす ること ・ ライセンスフリーで利用できること
AES 候補アルゴリズム一覧 CAST-128Entrust Technologies / Canada CRYPTONFuture Systems / Korea DEALOuterbridge / Canada DFC Centre National pour la Recherche Scientifique / France E2NTT / Japan FROGTecApro Internacional / Costa Rica HPCShroeppel (Arizona Univ.) / U.S. LOKI97Brown (Defense Force Academy) / Australia MAGENTADeutsche Telekom / Germany MARSIBM / U.S. RC6RSADSI / U.S. RIJNDAELDaemen (Banksys) / Belgium SERPENT Anderson / England, Biham / Israel, Knudsen / Denmark TWOFISHSchneier (Counterpane Systems) / U.S.
今後のスケジュール ・ Second AES Conference (March 22, Rome) ・ 応募方式のなかから一次選考で5個以内に ・ First Round は主に Software Evaluation ・ Second Round は Hardware Evaluation に重点 ・ 最終決定 (2000 年 ?) は NIST の判断で行なう
AES をめぐる諸問題 ・ NSA の Confidential Comments をどう扱う か? ・ NSA によるアルゴリズムの変更はあるの か? ・ NIST の最終的な選択基準は何か? ・ 現在急速に普及している Triple-DES との 住み分けは? ・ ブロックサイズ変更のインパクト ・ Target Specific Cipher は生き残る
楕円暗号 (Elliptic Curve Cryptosystem) ・ 楕円曲線上の離散対数問題の困難性に基づく公開鍵暗 号 ・ 通常の離散対数問題より解読が難しいと予想されてい る ・ このため RSA 暗号よりもデータ量が少なくしかも高速 ・ 鍵サイズ 1024 ビットの RSA 暗号の安全性が、鍵サイズ 160 ビットの楕円暗号の安全性と同程度とされる ・ 楕円暗号はシステム固定のパラメータが多く、これを 最適化することでさらに高速化をはかることができる
RSA 暗号と楕円暗号の性能 ・ RSA 暗号も楕円暗号も最適化された S/W なら 現在のパソコン上で充分高速 ・ IC カード等計算能力の限られた環境では RSA 暗号は低速なため専用ハードウエアが必要 ・ 楕円暗号は高速なのでこのような環境でも ソフトウエアだけで実現できる可能性がある ・ RSA 暗号は署名検証が署名生成よりも高速 楕円暗号は署名生成が署名検証よりも高速
RSA1024 vs ECC160 総計算量比較の一例 RSA 暗号 楕円 ElGamal 暗号 暗号化/署名検証 1 4 復号化/署名生成 26 1 ・ RSA 公開鍵は 固定, RSA 署名には Chinese Remainder Theorem を利用 ・ 楕円曲線は素体 GF(p) 上で p=a-3 なるものを利用 ・ 楕円 ElGamal 署名生成時には 1280 バイトの事前テーブルを利用
公開鍵暗号の標準化動向 ・ PKCS RSA 社による RSA 暗号に関する各種標準集 ・ IEEE-1363 RSA 暗号および楕円暗号を含む広範な標準 ・ FIPS 米国連邦政府標準( DES, SHA-1, DSA etc) ・ ANSI 広範囲の標準を扱う ( X9.62, X9.63 楕円暗号 )
楕円暗号の安全性 ・ システムパラメータの取り方によっては 安全性が失われることがある ・現在知られている弱い楕円曲線の割合は 全体から見れば無視できるほど少ない ・暗号設計者が弱い楕円曲線にならないよう システムパラメータを設計するのは容易
楕円暗号の今後 ・ 小型機器を中心に楕円暗号は用いられる ようになるであろう ・ 楕円暗号が RSA 暗号に完全にとってかわる とは考えにくい ・ 楕円暗号の現在唯一の欠点は「若い」こと ・ 安全性に関する議論が一段落するためには 今しばらくの時間が必要