図1 暗号アルゴリズムの2010年問題イメージ
図2 NISTのガイドライン概要
今から10年程前、コンピュータの西暦2000年問題が社会的に大きく注目されたことがありましたが、今、セキュリティの分野で注目されているのが、暗号アルゴリズムの2010年問題です。
この背景には、コンピュータの処理能力向上や暗号解読技術の進歩により、現在、データの暗号化や改ざん、なりすましを検知するうえで重要な役割を果たしている暗号アルゴリズム(公開鍵暗号・ハッシュ関数)の安全性が低下し、解読の危機が次第に迫っていることがあります。
事実、2008年12月に、欧米の研究グループが「PlayStation3」を200台用いてMD5 というハッシュ関数暗号アルゴリズムの脆弱性を突いて、偽証明書の作成に成功しました。さらに、2010年1月に国内のNTTを含む研究グループによって、768 bit の鍵長を持つRSA公開鍵暗号への有効なアタック方法が見つかるという出来事がありました。
こうした状況に先駆けて、2005年8月、米国政府の情報システムに採用される標準暗号技術を策定しているアメリカ商務省国立標準技術研究所(NIST:National Institute of Standards and Technology)は、 2010年をめどにデファクト暗号の新旧交代の実現をめざすガイドライン「NIST/SP800-57」を公表しました。
その中で、ハッシュ関数SHA-1※1、1024 bit RSA鍵の証明書は2010年までに運用を終了し、2011年以降はハッシュ関数SHA-2※2(SHA-224、SHA256、SHA-384、SHA-512の総称)、2048 bitRSA鍵の証明書を採用すべきとの方針を表明しています。これによって、「2010年までは利用可能」と記されたガイドラインに準拠したレベルの暗号技術しか実装していない製品やサービスの提供ベンダは2011年以降に必要とされる技術への対応を迫られることとなり、この状況は認証局ベンダーにも当てはまります。
※1 SHA-1:1993年に米国国家安全保障局(NSA)が設計したハッシュ関数SHA-0の規格修正版として1995年に再設計されNISTが規格化した米国政府標準ハッシュ関数(FIPS 180-2)、ハッシュ関数のデファクトスタンダードとして広く利用されている(ハッシュ長は160ビット)。
※2 SHA-2:SHA-256、SHA-384、SHA-512は2002年に、SHA-224は2004年に米国家安全保障局(NSA)が設計し、NISTが規格化した米国政府標準ハッシュ関数(ハッシュ長は順に256ビット、384ビット、512ビット、224ビット) 。
※3 等価安全性:異なる種類の暗号技術に対して,同一の評価尺度で安全性を表したもの(解読に必要な計算量が2の80乗相当である暗号の強度を「80 bit安全性」という)。
セキュリティの高い技術の早期実装を指向する政府や研究機関等の一方で、いまだにWindowsXPを使っている人が多いなど、一般のユーザー環境を、セキュリティだけのために急に変更するのは容易ではありません。そこで、私たち認証局ベンダーは、ユーザ環境の状況や動向に配慮しながら提供するサービスのセキュリティ強化を図っていく必要があります。そうしたなか、Microsoft社等ブラウザベンダ大手各社は、2009年より自社製品へのルートCA証明書の搭載要件をNIST勧告に沿う様、更新してきています。要件の概要は以下のとおりです。
- 新規に搭載申請を行うルートCA証明書の鍵長はNIST/SP800-57に準拠し、「RSA/2048bit以上またはECC/P256以上」であること
- 使用するハッシュアルゴリズムは最低限SHA1であること、MD2/MD4/MD5は不可
- WebTrust for CA、ETSI TS 101-456、ETSI TS 102-042、ISO:21188 206のいずれかの認定を取得し維持すること
1)鍵長/ハッシュアルゴリズム/認定取得に関すること
- 製品への搭載やUpdateによる1024bitのルート証明書配布は2010年末までは行う
- 1024bitのルート証明書を使用した、1024bitの中間CA証明書・エンドユーザ証明書は遅くとも2013年末で使用を止めること(それまでに有効期間を終えるか失効すること)
- 2009年1月15日以降、証明書発行時の署名アルゴリズムにMD2/MD4/MD5の使用は不可
2)既存1024bitルート証明書配布 / 証明書発行に関すること
- SHA-2ルートの生成、普及
- エンド証明書の2048bit化
3)早期対応を求めること
こうしたブラウザベンダ各社動向を受けて、各認証局ベンダーでは、2010年末をもって1024bitRSA証明書発行を停止し、2011年以降は2048bitRSA鍵以上の証明書のみを発行するという方向に向けて動き出しています。ただ、普及に向けて製品への実装にインパクトが考えられるのがSHA-2 対応です。
SHA1をアルゴリズムとして使用し鍵長を1024bitから2048bitに移行するのは現在の一般的なユーザー環境への影響は少ないと思われますが、SHA-2対応に向けては、サーバやネットワーク製品をはじめユーザー環境関連ハードウェア・アプリケーション製品の移行・アップデートが必要となる可能性が高いため、これから数年をかけてブラウザベンダやメーカーなど業界全体で次世代を見据えた対応が必要と思われます。
図3 署名アルゴリズムや鍵長の確認方法
ところで、これまで述べてきた暗号アルゴリズム、鍵長とは実際どのようなものでしょうか?皆さんのお手元のパソコンでもご確認いただけますので、以下の手順に従ってぜひ一度お試しください
1.インターネットの任意のウェブページにアクセスした後、SSL利用の状態にし、ブラウザに表示される鍵マークをクリック(図3-1)
↓
2.証明書の表示をクリック(図3-2)
↓
3.「詳細」タブをクリック(図3-3)
↓
4.署名アルゴリズム(図3-4)、公開鍵を確認(図3-5)
図4 GMOグローバルサインの2010年問題への対応状況
私たちGMOグローバルサイン株式会社では、すでにルート証明書および中間証明書も2048bitRSA鍵を採用しているため、2011年以降も移行手続きの心配もなく、そのまま使用していただけます。
また、お客様の証明書(エンドエンティティ証明書)では、2011年以降1024 bitRSA鍵の証明書発行を停止するため、現在、1024 bit RSA鍵の証明書をご利用のお客様は2048 bit RSA鍵の証明書を無償で再発行します。さらに、私たちは日本でのサービス開始以来、携帯電話についても2048 bitRSA鍵のルート証明書を採用しているため、2011年以降も対応率の低下はありません。
*2010年問題への対応が遅れている認証局ベンダーのサービスは、2010年末までに慌ただしく2048 bit RSA鍵長に対応しなければならず、SSLサーバ証明書ユーザは自社サーバに中間証明書の再インストールが求められることとなります。また、携帯電話に搭載されているルート証明書は市販されてからのアップデートができないため、1024 bitRSA鍵のルート証明書に依存したベンダのサーバ証明書を使用しているウェブサイトへの携帯電話からのアクセスに際し2011年以降SSL通信ができなくなったり、対応率が大幅に低下する等支障が出てくる可能性があります。
- 【第22回】電子認証サービスの基幹技術PKIとは? - インターネット利用で必要な電子証明書、電子署名、暗号化施術などについて -
- 【第25回】PKIの暗号技術に迫る! - 公開鍵、秘密鍵(私有鍵)および電子証明書のしくみとは -
- 【第28回】これが、電子証明書のすべて - 電子署名の正当性を裏付ける電子証明書および認証局について -
- 【第30回】認証局のウラ側教えます! - 高信頼性を実現するセキュアなシステムや運営体制について -
- 【第36回】意外に知らない暗号の謎を解く! - 「暗号アルゴリズムの2010年問題」補論 -
