HOME >> 情報セキュリティ >> CRYPTREC >> CRYPTREC暗号技術評価の経過報告

CRYPTREC暗号技術評価の経過報告

最終更新日:2003年 4月14日

平成14年11月28日
暗号技術評価委員会

平成14年11月現在の暗号技術評価経過について下記の通りお知らせいたします。
最終的な評価結果については、平成15年4月に暗号技術評価報告書(2002年度版)(CRYPTREC Report 2002)を公開する予定です。
暗号技術検討会から暗号技術評価委員会に対し「電子政府推奨暗号に選定されたものと同一仕様の暗号を確実に調達できるようにするという観点から、 各電子政府推奨暗号の仕様の確認を行って欲しい」という要望があり、一部、暗号名や暗号仕様を統一・一意化したものがあります。

尚、電子政府推奨暗号リストに関する情報は、総務省及び経済産業省のホームページを参照願います。

暗号種別 暗号名 評価経過の概要
公開鍵
暗号技術
署名 DSA
(ANSI X9.30 Part 1(http://www.x9.org/
から入手可能)で規定されたもの。)
実用上安全であると判断する。
ECDSA(*a)
(ANSI X9.62(http://www.x9.org/
から入手可能)で規定されたもの。)
実用上安全であると判断する。
ECDSA(Elliptic Curve Digital Signature Algorithm) in SEC1(*a)
(http://www.labs.fujitsu.com/
techinfo/crypto/ecc/index.html
)
実用上安全であると判断する。
ESIGN
(http://info.isl.ntt.co.jp/)
ESIGN
(1)ESIGNの証明可能安全性は示されていない。
(2)電子署名及び認証業務に関する法律に基づく特定認証業務の認定に係る指針(平成13年4月27日総務省 法務省 経済産業省告示第2号)で指定されたESIGNのパラメータの一部に無視できない確率で署名の偽造が可能なものが含まれている。

TSH-ESIGN
(1)TSH-ESIGNが有する証明可能安全性はSO-CMA(※イ)に対しての存在的偽造不可にすぎないことが、平成13年度評価の外部評価者により指摘された。その指摘に誤りがないことの検証を行った。この結果、新提案公開鍵暗号技術が有することが望まれる証明可能安全性(CMA(※ロ)に対して存在的偽造不可)をTSH-ESIGNは有していないことが判った。
(2)証明可能安全性(CMAに対して存在的偽造不可)を有するものにTSH-ESIGNを改訂する方法が既に提案されており、NESSIEプロジェクトでは改訂版の方が採用される可能性がある。また、IEEEP1363aにおける動きは平成14年9月時点で不確定であり、国際的に複数の仕様が存在することになる恐れもある。仕様を一本化すべきとする点からはこのような状況は望ましいとは考えられない。

(※イ) Single-Occurrence Chosen Message Attackの略。1つのメッセージにつき、署名オラクルへの問合せは1回しか許されない(1つのメッセージに対する署名は1つしか入手できない)という選択メッセージ攻撃モデルのこと。
(※ロ) Chosen Message Attackの略。選択メッセージ攻撃モデルのこと。
RSASSA-PKCS1-v1_5
(RSA署名)
(PKCS#1 RSA Cryptography Standard (Ver.2.1)
http://www.rsasecurity.com/
rsalabs/pkcs/pkcs-1/index.html
)
実用上安全であると判断する。
RSA Public-Key Cryptosystem with Probabilistic Signature Scheme (RSA-PSS)
(PKCS#1 RSA Cryptography Standard (Ver.2.1)
http://www.rsasecurity.com/
rsalabs/pkcs/pkcs-1/index.html
)
実用上安全であると判断する。
守秘 ECIES (Elliptic Curve Integrated
Encryption Scheme) in SEC1
(http://www.labs.fujitsu.com/
theme/crypto/public_key2001.html
)
(1)証明可能安全性を有することが確認されているECIESの暗号スキームの仕様(Abdalla, Bellare, Rogawayのオリジナル論文等)とCRYPtrECへの応募暗号技術であるECIES in SEC1におけるスキームの仕様は異なったものである。実際に、ECIES in SEC1でのスキームは脆弱性が存在し、証明可能安全性(適応的選択暗号文攻撃に対して強秘匿)は成り立たない。
(2)上記の脆弱性を回避するために、今後、仕様を変更して証明可能安全性を有する方式に変更するか、もしくは何らかの回避策の記述を仕様に盛り込むことが予想され、平成14年9月時点ではECIESの仕様が安定しているとはいえない。
HIME(R)
(High Performance Modular Squaring Based Public Key Encryption (Revised version))
(http://www.sdl.hitachi.co.jp/crypto/)
(1)HIME(R)にはその仕様書に不備・曖昧さがあり、平成14年9月時点で信頼に足るHIME(R)の仕様書が公に手に入る状況になっていない。このため、HIME(R)の第三者による実装性や相互接続性が担保されない。
(2)HIME(R)の仕様の曖昧さを埋めてその仕様を合理的に定めたとしても、自己評価書に記載されている証明可能安全性の証明中いくつかの個所に問題があり、不完全である。このことは複数の外部評価者によっても指摘されている。ある外部評価者が示した証明可能安全性の証明の候補があるが、その妥当性が多くの研究者により精査された状況とはいえない。したがって、平成14年9月時点でHIME(R)が証明可能安全性を有すると断定できない。
RSA Public-Key Cryptosystem with Optimal Asymmetric Encryption Padding (RSA-OAEP)
(PKCS#1 RSA Cryptography Standard (Ver.2.1)
http://www.rsasecurity.com/
rsalabs/pkcs/pkcs-1/index.html
)
実用上安全であると判断する。
RSAES-PKCS1-v1_5
(PKCS#1 RSA Cryptography Standard (Ver.2.1)
(http://www.rsasecurity.com/
rsalabs/pkcs/pkcs-1/index.html
)
SSL3.0/TLS1.0で使用実績があることから当面の使用を認める。
鍵共有 DH
(ANSI X9.42 2001(http://www.x9.org/
から入手可能)で規定されたもの。)
実用上安全であると判断する。
ECDH (Elliptic Curve Diffie-Hellman Scheme) in SEC1(*b)
(http://www.labs.fujitsu.com/
techinfo/crypto/ecc/index.html
)
実用上安全であると判断する。
PSEC-KEM Key agreement
(http://info.isl.ntt.co.jp/)
KEM(Key Encapsulation Mechanism)-DEM(Data Encapsulation Mechanism)構成における利用を前提として、実用上安全であると判断する。
共通鍵
暗号技術
64-bit
ブロック暗号
CIPHERUNICORN-E
(http://www.hnes.co.jp/
products/security/index.html
)
実用上安全であると判断する。
Hierocrypt-L1
(http://www.toshiba.co.jp/
rdc/security/hierocrypt
)
実用上安全であると判断する。
MISTY1
(http://www.security.melco.co.jp/misty)
実用上安全であると判断する。
Triple DES
(http://csrc.nist.gov/
encryption/tkencryption.html
)
3-key Triple DESについては、実用上安全であると判断する。(注1)
128-bit
ブロック暗号
AES
(http://csrc.nist.gov/encryption/aes/)
実用上安全であると判断する。
Camellia
(http://info.isl.ntt.co.jp/camellia/)
実用上安全であると判断する。
CIPHERUNICORN-A
(http://www.hnes.co.jp/
products/security/index.html
)
実用上安全であると判断する。
Hierocrypt-3
(http://www.toshiba.co.jp/
rdc/security/hierocrypt
)
実用上安全であると判断する。
RC6 Block Cipher(*1)
(http://www.rsasecurity.com/
rsalabs/submissions/index.html
)
提案ベンダーは普及活動を停止した。
SC2000
(http://www.labs.fujitsu.com/
techinfo/crypto/sc2000/index.html
)
実用上安全であると判断する。
ストリーム暗号 MUGI
(http://www.sdl.hitachi.co.jp/crypto/mugi/)
実用上安全であると判断する。
MULTI-S01
(http://www.sdl.hitachi.co.jp/
crypto/s01/index-j.html
)
実用上安全であると判断する。
RC4(*2)
(次の文献に記載されているもの
S. Fluhrer, I. Mantin, and A. Shamir, "Weaknesses in the Key Scheduling Algorithm of RC4,"Lecture Notes in Computer Science 2259, pp.1-24, Springer-Verlag, 2001)
128ビット鍵長で、SSL3.0/TLS1.0で利用する場合には、実用上安全であると判断する。
ハッシュ関数 RIPEMD-160
(http://www.esat.kuleuven.ac.be/
~bosselae/ripemd160.html
)
実用上安全であると判断する。(注2)
SHA-1
(http://csrc.nist.gov/encryption/tkhash.html)
実用上安全であると判断する。(注2)
SHA-256
(http://csrc.nist.gov/encryption/tkhash.html)
実用上安全であると判断する。
SHA-384
(http://csrc.nist.gov/encryption/tkhash.html)
実用上安全であると判断する。
SHA-512
(http://csrc.nist.gov/encryption/tkhash.html)
実用上安全であると判断する。
擬似乱数生成系 PRNG based on SHA-1 in ANSI X9.42-2001 Annex C.1(*3)
(http://www.x9.org/)
実用上安全であると判断する。
PRNG based on SHA-1 for general purpose in FIPS 186-2(+change notice 1)Appendix 3.1(*3)
(http://csrc.nist.gov/encryption/tkrng.html)
実用上安全であると判断する。
PRNG based on SHA-1 for general purpose in FIPS 186-2(+change notice 1)revised Appendix 3.1(*3)
(http://csrc.nist.gov/encryption/tkrng.html)
実用上安全であると判断する。
  • (*1): CRYPTRECでは、RSAセキュリティ社より、今後RC6の普及活動を一切停止する旨の通知を2002年10月16日付けで受領。
  • (*2): CRYPTRECにおけるRC4の評価実施について、RSAセキュリティ社に確認済み。
  • (*3): CRYPTRECとしては、評価対象となっている公開鍵暗号技術のなかで規定されている擬似乱数生成方式について、擬似乱数生成の観点からも評価を実施することとした。 擬似乱数生成系は、その利用特性上、相互接続性を確保する必要性がないため、暗号学的に安全な擬似乱数生成アルゴリズムであれば、どれを利用しても基本的に問題が生じない。 したがって、ここに掲載する擬似乱数生成アルゴリズムは「例示」である。
  • (注1): 3-key Triple DESは、以下の条件を考慮し、当面の使用を認める。
    • 1) FIPS46-3として規定されていること
    • 2) デファクトスタンダードとしての位置を保っていること
  • (注2): 新たな電子政府用システムを構築する場合、より長いハッシュ値のものが使用されるのであれば、256ビット以上のハッシュ関数を選択することが望ましい。ただし、公開鍵暗号での仕様上、利用すべきハッシュ関数が指定されている場合には、この限りではない。

<暗号名に関する注意>

  • (*a): CRYPTRECでは、相互接続性の点で誤解がない限り、暗号名をECDSAとして表記を統一している。
  • (*b): CRYPTRECでは、相互接続性の点で誤解がない限り、暗号名をECDHとして表記を統一している。