スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

日本の標準暗号”が10年ぶり大改定、国産暗号削減よりもRC4とSHA-1の管理ポスト入りが影響大

“日本の標準暗号”が10年ぶり大… 2013/05/07 08:27

【IT】“日本の標準暗号”が10年ぶり大改定、国産暗号削減よりもRC4とSHA-1の管理ポスト入りが影響大 [05/07]
http://anago.2ch.net/test/read.cgi/bizplus/1367881890/-100
1 :ライトスタッフ◎φ ★:2013/05/07(火) 08:11:30.56 ID:???
電子政府で用いる暗号方式を評価・調査するプロジェクトであるCRYPTRECが
公開している「電子政府推奨暗号リスト」が10年ぶりに改定された。同リストは、
日本政府が電子システムを調達する際に使用を推奨する暗号方式を示すもの。
技術的に安全性が確認された暗号方式を政府が示す役割も担っている。いわば
“日本の標準暗号”を示すリストだ。

今回の改定では、2012年春に予告された通り、リストから多くの国産暗号が消えた。
128ビット・ブロック暗号を例に取ると、改定前には米国標準のAESに加え、NTTと
三菱電機が共同開発した「Camellia」、NECの「CIPHERUNICORN-A」、東芝の
「Hierocrypt-3」、富士通研究所の「SC2000」と四つの国産暗号がリストに名を
連ねていた。また、改定に向けてソニーが「CLEFIA」で新たに応募していた。
これに対し、改定後はAESとCamelliaの二つだけになった。リストから三つの国産
暗号が消え、新たに応募した国産暗号も採用されなかったことになる。

このような改定が行われたのは、従来のリストには「多くの選択肢が掲載されて
いたため、ユーザーがどの暗号方式を選べばよいのか分かりにくい」との批判が
あったためだ。CRYPTRECの暗号運用委員会では、2012年夏から同年末にかけて
各方式の利用実績を検討した。同委員会が実施した評価の結果は、意見募集のため、
2012年12月に公開されている(リンク)。この評価結果に基づき、利用実績が低い
暗号方式がリストから外された。

■問題なのは「運用監視暗号リスト」

64ビット・ブロック暗号では、従来のリストには米国の「3-key Triple DES」に加え、
NECの「CIPHERUNICORN-E」、東芝の「Hierocrypt-L1」、三菱電機の「MYSTY1」
が載っていた。これに対し、新リストでは3-key Triple DESだけになり、国産暗号は
すべて消えた。ただし、可能であれば、64ビット・ブロック暗号ではなく、鍵長が
より長い128ビット・ブロック暗号を使うよう推奨されている。

ストリーム暗号では、従来のリストには米RSA Security社(現在は米EMC社の一部門)
が開発した「128-bit RC4」、日立製作所の「MUGI」と「MULTI-S01」が載っていた。
これらに加え、日立製作所が「Enocoro-128v2」、KDDI研究所が「KCipher-2」で
新たに応募していた。これに対し、新リストに掲載されたのは、KCipher-2だけ。
旧リストに載っていた方式は改定ですべて外れたことになる。(※続く)

●改定で特に変化が大きかった箇所 共通鍵暗号(64ビット・ブロック暗号、
128ビット・ブロック暗号、ストリーム暗号)のカテゴリは、改定前には
多くの国産暗号がリストに掲載されていたが、それらの多くが改定で落とされた。
ハッシュ関数は、安全性に問題がある二つの方式が削られている。
2150586.jpg

http://itpro.nikkeibp.co.jp/article/Watcher/20130426/474102/

2 :ライトスタッフ◎φ ★:2013/05/07(火) 08:12:40.50 ID:???
>>1の続き

電子政府推奨暗号リストに載らなかったこうした国産暗号は、利用実績は低いものの、
安全性に問題があるわけではない。実際には、これらの国産暗号は「推奨候補暗号リスト」
というリストに回された。「今後、電子政府推奨暗号リストに掲載される可能性のある
暗号技術のリスト」である。いわばエントリー・リストにはかろうじて残っている状況だ。

一方、より問題が大きい暗号方式もある。「運用監視暗号リスト」に回された暗号方式だ。
このリストは「推奨すべき状態ではなくなった暗号技術のうち、互換性維持のために継続
利用を容認するもののリスト」。いわば管理ポストという位置付けだ。ストリーム暗号の
128-bit RC4とハッシュ関数の「SHA-1」などが、このリストに回されている。

RC4やSHA-1は従来のシステムでよく使われてきたが、数年前から安全性に問題がある
ことが指摘されている。今回の改定で「推奨すべき状態ではない」と正式に認定された
ことで、一定の猶予期間の後に非推奨になると予想される。こうした方式を利用している
システムは、今後、対応を迫られることになるだろう。
「パスワードでの保護は限界」と結論したGoogleが評価するセキュリティ技術
http://itpro.nikkeibp.co.jp/article/COLUMN/20130502/474661/

セキュリティ
ITpro > セキュリティ

宮本和明のシリコンバレー最新技術報告
ITpro
「パスワードでの保護は限界」と結論したGoogleが評価するセキュリティ技術
2013/05/07
宮本 和明=米ベンチャークレフ

Tweet
Evernoteでクリップする
 Googleは、2013年1月、セキュリティに関する研究結果を公表した。このレポートは「Authentication at Scale」というタイトルで、ユーザー認証技術についての評価報告である。Googleはこのレポートで、「パスワードとCookieで利用者を守ることはできない」と結論付け、新たな技術の導入を検討していることを明らかにした。
GoogleResearchs.jpg


ユーザー認証にハードウエア・キーを利用
 Googleが評価している技術の一つがYubiKey (ユビキー) という製品である。この製品は、Palo Alto (カリフォルニア州) に拠点を置く、Yubico (ユビカ) というベンチャー企業により開発されている。YubicoはRSA Conferenceに同社の最新技術を出展していた
g309_yubico_01.jpg

出典:VentureClef
 Yubicoのブースにおいて (上の写真、出展はすべてVentureClef)、John Salterから、製品デモを交えて、最新製品の説明を受けた。下の写真がYubicoが提供しているYubiKeyで、ハードウエア・トークンとして機 能する。利用者はYubiKeyをパソコンのUSBドライブに差し込んで使用する。YubiKeyはワンタイム・パスワードを生成する装置で、Webサイ トへのログインなどで使用する。利用者はWebサイトのログインで、パスワードの入力を行う代わりに、YubiKeyにタッチしてワンタイム・パスワード を生成する。
g309_yubico_02.jpg

出典:VentureClef
 YubiKeyは三つのタイプがあり、写真中央がYukiKey Standard、左側がその小型版のYubiKey Nano、右側がUSBに加えNFC (Near Field Communication) インターフェイスを備えているYubiKey NEOである。
g309_yubico_03.jpg

出典:VentureClef
スポンサーサイト

コメントの投稿

非公開コメント

プロフィール

taigen太玄

Author:taigen太玄
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。