プレスリリース | 暗号プロトコルのセキュリティ評価結果をリスト化・公開

国立研究開発法人情報通信研究機構

ポイント

58個もの大規模な暗号プロトコルについてセキュリティ評価結果を整備し、リストで提供
NICTのポータルサイトで公開、評価の追試が可能
システム設計者の目的に応じた暗号プロトコルの適切な利用に期待

NICTは、標準化された51個の暗号プロトコルとその他7個の主要プロトコルについて、学術論文数十本の成果に相当するセキュリティ評価結果をリストとしてまとめ上げ、NICTのポータルサイトで公開し、誰もが入手できるようにしました。ネットワークシステムでは、目的に応じて暗号プロトコルを適切に利用することが重要となりますが、システム設計者が本リストを判断基準として用いることで、暗号プロトコルの適切な利用促進が期待されます。

暗号プロトコル評価ポータルサイト: https://crypto-protocol.nict.go.jp/

背景

情報社会の安全性を支える基幹技術として、暗号を組み合わせて用いた通信手順（暗号プロトコル）が、世界中の研究者・技術者により設計され、ITU-T、IETF、ISO/IECなどの標準化団体で規格が策定（標準化）され、様々なネットワーク機器やPC、携帯電話、スマートフォンに実装されています。

これまでに、個々の暗号のセキュリティ評価結果をまとめたリストがCRYPTREC暗号リストやThe SHA-3 Zooで公開されていますが、暗号プロトコルのセキュリティ評価結果をまとめたリストはありませんでした。個々の暗号が安全であっても、その組合せ方によって情報漏えいや、なりすましなどの問題が生じることがしばしば指摘されており、ネットワークシステムで暗号を安心して利用するためには、組み合わせた結果である暗号プロトコルのセキュリティを確認することが不可欠です。しかし、暗号プロトコルのセキュリティ評価結果は数も少なく世界中に散らばっており、システム設計者は評価結果の収集・分析に膨大な労力を費やしている状況で、その労力を削減する暗号プロトコル評価リストが切望されていました。

今回の成果

図1 暗号プロトコル評価リスト

図2 暗号プロトコルの個別ページ

今回NICTは、標準化された51個の暗号プロトコルとその他7個の主要プロトコルについて、セキュリティ評価結果を集約する作業を行い、暗号プロトコル評価リスト（図1参照）をNICTのポータルサイトで公開しました。

リストの整備に当たっては、自動検証ツールを用いてプロトコルを評価しました。そして、評価対象のプロトコルすべてに関して評価結果を精査し、問題点を洗い出しました。さらに、国際標準 ISO/IEC29128における評価レベルのいずれに相当するかを明らかにしました。

一般に、自動検証ツールによる評価結果の解釈は専門家以外では不可能であり、1つの暗号プロトコルの評価は学術論文として公表されるほど膨大な労力を必要とします。そのため、単一の機関が58個ものプロトコルに対して、複数の自動検証ツールを用いて、本リストを取りまとめたことは、世界でも類がなく、初めての試みです。

本ポータルサイトはオープンであり、誰でもリストを入手できます。

システム設計者は、本リストを一覧することで、目的とする機能を実現する暗号プロトコルについて、「現状安心して使える」、「対策を施せば安心して使える」、「もはや安心して使えない」を容易に判断できます。

また、暗号プロトコルの個別ページ（図2参照）では、これまでに発見されたセキュリティ上の問題や、その回避方法、自分でセキュリティを評価するための手順などの有用な知見が得られます。

さらに、学術論文でも、まれにしか公開されない、オープンソースの自動検証ツールへの入力ソースも提供しており、誰もが評価を追試できます。

今後の展望

現在の暗号プロトコル評価リストは、標準化された暗号プロトコルを中心としていますが、今後は標準化候補の暗号プロトコルの評価結果も充実させ、システム設計者が、目的に適した暗号プロトコルを設計する際に役立つ情報を提供していく予定です。それにより、ネットワークシステムの効率的な構築やネットワーク全体の安心・安全の向上に貢献します。

補足資料

今回公開した暗号プロトコル評価リスト

暗号プロトコル評価リストでは、標準化された51個の暗号プロトコル及びその他の代表的な7個の暗号プロトコルについて、目的とする機能（通信相手の認証や暗号化通信のための鍵交換）、ISO/IEC29128における評価レベル（PAL1～4、星の数で表現）、セキュリティ評価結果を提供しています。特に、セキュリティ評価結果を4つに分類し色分けをすることで、一見して容易に結果を区別できるようにしています。

・青■: 現状安心して利用できる（現時点において攻撃が発見されていない）
・黄■: 現状安心して利用できる（攻撃が発見されているが現時点では非現実的な脅威）
・橙■: 対策を施せば安心して利用できる（攻撃が発見されているが回避策がある）
・赤■: もはや安心して利用できない（現実的な脅威のある攻撃が発見されている）

すなわち、赤色以外で星が多いことが安心して利用できる目印となります。

さらに、個別の暗号プロトコルについてセキュリティ評価結果の詳細な情報を知りたい場合は、プロトコル名のリンクをクリックすることで、個別のページにアクセスできます。個別のページは、「暗号プロトコルの基本情報」と「安全性の評価結果」から成ります。「暗号プロトコルの基本情報」には、暗号プロトコルの名前、目的とする機能の概要、関連する標準へのリンクがあり、さらには暗号プロトコルで利用されている暗号とその組合せ方である通信手順を解説した技術文書も提供しています。「安全性の評価結果」には、国際標準ISO/IEC29128において高い評価レベルであるPAL3あるいはPAL4に相当する評価結果を提供しています。具体的には、セキュリティ上の問題（攻撃）の有無、暗号の組合せ方をどのように工夫すればその攻撃を回避できるかの簡明な解説と、個別の評価結果について、評価手順と内容、評価結果の詳細を技術文書として提供しています。技術文書には、学術論文でもまれにしか提供されない貴重な情報である検証ツールへの入力ソースも公開しています。評価に使用されている検証ツールはオープンソースであり、本技術文書があれば、誰でも評価を追試することができます。

図1 暗号プロトコル評価リスト（再掲）
［画像クリックで拡大表示］

図2 暗号プロトコルの個別ページ（再掲）
［画像クリックで拡大表示］

用語解説

暗号プロトコル

図3 暗号を組み合わせて用いた通信手順例

暗号プロトコルとは、暗号を組み合わせて用いた通信手順（プロトコル）であり、代表例として、インターネットにおける通信相手の認証や、通信内容の秘匿と改ざん検知を目的としたSSL/TLS（Secure Sockets Layer/Transport Layer Security）が挙げられます。

SSL/TLSは、様々なネットワーク機器やPC、携帯電話、スマートフォンに実装され、広く普及しています。そのような広く普及した暗号プロトコルに、設計の問題が発見されることが少なくありません。

例えば、2014年10月、約15年使われていたSSL3.0（Secure Sockets Layer version 3.0）にPOODLEと呼ばれる致命的な脆弱性が発見され、2015年6月にRFC 7568によって使用が禁止されました。発見時、SSL3.0しかサポートしていないインターネット機器やフィーチャーフォンが数多くあったため、本脆弱性の影響は無視できないものでした。この脆弱性は、暗号の組合せ方によって生じたセキュリティ上の問題の一例であり、ほかにも数多くの問題が発見されています。

元の記事へ

ISO/IEC29128

国際標準ISO/IEC29128では、暗号プロトコルのセキュリティ評価を、人手による証明あるいは形式手法に基づく検証で厳密化することを目指して、評価基準を定めています。具体的には、セキュリティ評価を、「プロトコル仕様、攻撃者モデル、セキュリティ要件」の記述と「プロトコル仕様が攻撃者モデルに対してセキュリティ要件を満たしていること」の評価に分け、記述と評価の厳密さによってレベルを4つに分けています（PAL1～4）。

PAL1は厳密性が一番低く、記述と評価のいずれも形式化されていない場合を指します。PAL2～4は記述が形式化されている点では共通ですが、PAL2は人手による証明、PAL3、4は形式手法に基づく検証ツールの適用を想定しており、評価の厳密性については必ずしも比較できません。PAL3では暗号プロトコルの実行セッション数を制限していますが、PAL4では実行セッション数の制限なしで脆弱性を探索するため、同じ形式化の下であれば、PAL3よりPAL4の方が厳密な評価といえます。よって、PAL2とPAL4の両方のレベルで評価することが望ましいと考えられます。

元の記事へ