Copyright 2014 Symantec Corporation. All rights reserved. Symantec と Symantec ロゴは Symantec Corporation または関連会社の米国およびその他の国における登録商標です その他の会社名 製品名は各社の登録商

A P E R : powered by Symantec White Paper

簡単にわかる暗号の歴史

暗号アルゴリズムの発明と暗号解読法の発明との技術の変遷。

SSL に用いられる暗号を有効に保ち続けるためには

2

Copyright ©2014 Symantec Corporation. All rights reserved.　Symantec と Symantec ロゴは、 Symantec Corporation または関連会社の米国およびその他の国における登録商標です。その他の会社名、 製品名は各社の登録商標または商標です。 合同会社シマンテック・ウェブサイトセキュリティは、本書の情報の正確さと完全性を保つべく努力を行って います。ただし、合同会社シマンテック・ウェブサイトセキュリティは本書に含まれる情報に関して、（明示、 黙示、または法律によるものを問わず）いかなる種類の保証も行いません。合同会社シマンテック・ウェブサ イトセキュリティは、本書に含まれる誤り、省略、または記述によって引き起こされたいかなる（直接または 間接の）損失または損害についても責任を負わないものとします。さらに、合同会社シマンテック・ウェブサ イトセキュリティは、本書に記述されている製品またはサービスの適用または使用から生じたいかなる責任も 負わず、特に本書に記述されている製品またはサービスが既存または将来の知的所有権を侵害しないという保 証を否認します。本書は、本書の読者に対し、本書の内容に従って作成された機器または製品の作成、使用、 または販売を行うライセンスを与えるものではありません。最後に、本書に記述されているすべての知的所有 権に関連するすべての権利と特権は、特許、商標、またはサービス ･ マークの所有者に属するものであり、そ れ以外の者は、特許、商標、またはサービス ･ マークの所有者による明示的な許可、承認、またはライセンス なしにはそのような権利を行使することができません。 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更す る権利を持ちます。

CONTENTS

１．はじめに

4

２．古典暗号（古代）

5

３．古典暗号（中世）

8

女王メアリの暗号 8 ヴィジュネル暗号 8 上杉暗号 9

４．近代暗号

　　第一次世界大戦以降の暗号と機械式暗号機の登場

10

イギリスがドイツの通信ケーブル切断 10 ツィンマーマン電報 10 ADFGVX 暗号 11 エニグマの誕生 12

５．現代の暗号

　　コンピュータ・インターネット時代の暗号

14

DES 暗号 14 公開鍵暗号方式 15 RSA 暗号 16 DES 暗号の解読 18 SSL における暗号強度向上への対応 18 DSA 18 楕円曲線暗号 19

６．暗号の未来

22

７．おわりに

　　SSL に用いられている暗号を有効にするために

23

参考文献 24 参考ホワイトペーパー 24 挿絵 24

4

１．はじめに

情報セキュリティとして広く一般的に使われている「暗号」およびその技術はインターネットの普及に伴って 重要性がますます高まっています。 紐解いてみれば、古くは紀元前 3000 年頃のバビロニアの時代から暗号は使われていたとされています。 軍事・政治の場面での利用で発達した暗号技術ですが、インターネットの普及と日常的に接する情報量が飛 躍的に増加したことを背景に、利用用途や利用シーンが拡がり、日常の身近なところでも利用されるように なっています。 暗号の歴史は、暗号開発者と暗号解読者の「知恵くらべ」の歴史です。新しい暗号アルゴリズムが誕生す るたびに、その暗号アルゴリズムを解読しようとする試みが行われ、そして再び新しい暗号アルゴリズムが 作られることを繰り返して現在に至ります。 本ホワイトペーパーでは、暗号の歴史をご紹介するとともに「いつか解読される」暗号と関連する技術の変 遷を案内しながら、現代暗号においてユーザが行うべき対処について紹介いたします。

２．古典暗号（古代）

現存する最古の暗号は、紀元前 3000 年頃の石碑に描かれているヒエログリフ（古代エジプトで使われた 象形文字）であるとされています。ヒエログリフは長い間解読不能な暗号とされてきましたが、19 世紀に ロゼッタ・ストーンの研究が大幅に進み、以降ヒエログラフ解読のきっかけになりました。 紀元前 6 世紀頃、古代ギリシャの都市国家・スパルタでは「スキュタレー暗号」が用いられました。この方 式では、あらかじめある太さの棒（スキュタレー：図１）を持った暗号文の送り手がその棒に革紐を巻きつ けて棒に沿って文字を書き、その革紐だけを受け手に送るというものです。受け手が同じ太さの棒を持って いる場合は、革紐を巻きつけると解読できるという暗号の仕組みになっています。 このように、文字を読む順番を並べ替えることによって暗号化する方式を「転置式暗号方式」といいます。 図１

6 紀元前 1 世紀に登場したシーザー暗号は、ユリウス・カエサル（英語読み：ジュリウス・シーザー）が頻繁 に利用したことから名づけられ、暗号史で登場する幾多の方式の中でもとりわけ有名な暗号方式です。 シーザー暗号は、元の文章のアルファベットをある数だけずらして暗号化するもので、アルファベットを３文 字ずらすということをあらかじめ送り手と受け手の間で決めておくものです。

H

I

X Y Z

A B C D E

F

A B C D E

F

G

・・・

・・・

図２ シーザー暗号はその文字をずらすことから、「シフト暗号」とも言われ、シフト暗号をアルファベッ トで用いる場合最大 26 パターン試せば暗号が解読されてしまいますが、これを、均等にずらすの ではなく文 字をランダムに並 べ 替えれば、 そ のパターンは大きく増 加（26×25×24×・・・・＝ 400000000000000000000000000 通り！）し、解読は飛躍的に困難になります。 平文（暗号化されていない文）文字 ABCDEFGHIJKLMNOPQRSTUVWXYZ 暗号文字 SMKRATNGQJUDZLPVYOCWIBXFEH このように、一定のルールで文字を入れ替えて暗号化する方式を「換字式（かえじしき）暗号方式」とい います。換字式暗号方式は、代表的かつ暗号の歴史上最も一般的に利用された暗号方式で、後述する近 代の機械式暗号機「エニグマ」は換字式暗号方式をより高度に利用したものです。

シーザー暗号のようなアルファベットの置き換えルールによって暗号を決める「単一換字式暗号方式」は、 アルファベット 1 文字につき 1 つの暗号文字しか割り当てられないという性質を逆手に「頻度分析」によっ て解読されます。 頻度分析では、たとえば英語文がもつ以下のような特徴を利用し文字の発生頻度から暗号化前の文字を推 測し、元の文を特定するという解読手法です。 ▪ ▪“e”が最も使われている。（図３） ▪ ▪“q”の後は、必ず“u”がくる。 ▪

▪ any, and, the, are, of, if, is, it, in の単語の頻出度が高い。

0 0.02 0.04 0.08 0.06 0.1 0.12 0.14 a b c d e f g h i j k l m letter Relative frequency n o p q r s t u v w x y z 図３ これまでに紹介した換字式暗号、転置式暗号を含むすべての暗号は、「暗号アルゴリズム」と「鍵」から成 り立っています。暗号アルゴリズムとは、文章を暗号化および復号（暗号を解いて読むこと）する際のルー ルのことをいいます。 たとえば換字式暗号の場合は文字をずらして暗号化するというルールであり、転置式暗号の場合は、棒に 巻きつけた革紐に文字を書くというルールを指します。また、換字式暗号の鍵はずらす文字の数のことを指 し、転置式暗号の鍵は棒の太さを指します。同じシーザー暗号でも５文字ずらすか４文字ずらすかで、違う 「鍵」を使った暗号であるということになります。

8

３．古典暗号（中世）

中世には、古典暗号の解読と新しい暗号の発明によって暗号技術が高度化する一方、外交活動が活発にな り秘密情報の増加によって暗号が頻繁に利用される普及期に入ります。 女王メアリの暗号 シーザー暗号に代表される「単一換字式暗号」の弱点は、アルファベット 1 文字につき 1 つの暗号文字し か割り当てられないことにあります。この弱点をついて行われた暗号解読として有名なのが、16世紀のスコッ トランド女王メアリ・スチュアートのケースです。メアリはその共謀者とのやり取りに利用した暗号が解読さ れたことによって、イングランドのエリザベス女王暗殺を企てたとして有罪となり、処刑されました。 メアリと共謀者が使用していた暗号は「ノーメンクラター」と呼ばれる暗号で、アルファベットを置き換える 他に、フレーズを記号などに置き換える「コード」を加えたものです。この「コード」は送り手と受け手で 事前に「コードブック」を共有することによって、その暗号の解読をより困難にするもので、これも暗号の「鍵」 にあたります。 ヴィジュネル暗号 女王メアリの用いた暗号など、1 つの文字ごとに文字を変えるパターンが 1 個の単一換字式暗号は解読され るようになります。また「ノーメンクラター」は、難点があり、膨大なコードブックの準備と、コードブックの 共有が暗号利用者の悩みの種でした。この「鍵の受け渡し」に関する課題は、中世だけでなく暗号技術が 進歩した近代以降の暗号においても利用者にとって課題になっています。 15 世紀になると、レオン・バッティスタ・アルベルティが、二つ以上の暗号アルファベットを使う「多表式」 の暗号の原型を思いつき、その後脈々と引き継がれて発展を遂げました。16 世紀にはブレーズ・ド・ヴィジュ ネルが多表式の最終的な形として強力な暗号を考案したことから、ヴィジュネル暗号と呼ばれます。 ヴィジュネ ル 暗 号 は、 ヴィジュネ ル 方 陣（ 図 4） と 呼 ば れ る 表 を 用 い る 方 式 で す。 たとえ ば、 GOLDMEDALIST という文章を OLYMPIC という鍵で暗号化する場合、原文の文字を表の上端に当ては め、鍵の文字を表の左端に当てはめて交差するアルファベットが暗号文字ということになります。 平文 ＧＯＬＤＭＥＤＡＬＩＳＴ 鍵 ＯＬＹＭＰＩＣＯＬＹＭＰ 暗号文 ＵＺＪＰＢＭＦＯＷＧＥＩ A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A A B C D E F G H I J K L M N O P Q R S T U V W X Y Z B B C D E F G H I J K L M N O P Q R S T U V W X Y Z A C C D E F G H I J K L M N O P Q R S T U V W X Y Z A B D D E F G H I J K L M N O P Q R S T U V W X Y Z A B C E E F G H I J K L M N O P Q R S T U V W X Y Z A B C D F F G H I J K L M N O P Q R S T U V W X Y Z A B C D E G G H I J K L M N O P Q R S T U V W X Y Z A B C D E F H H I J K L M N O P Q R S T U V W X Y Z A B C D E F G I I J K L M N O P Q R S T U V W X Y Z A B C D E F G H J J K L M N O P Q R S T U V W X Y Z A B C D E F G H I K K L M N O P Q R S T U V W X Y Z A B C D E F G H I J L L M N O P Q R S T U V W X Y Z A B C D E F G H I J K M M N O P Q R S T U V W X Y Z A B C D E F G H I J K L N N O P Q R S T U V W X Y Z A B C D E F G H I J K L M O O P Q R S T U V W X Y Z A B C D E F G H I J K L M N P P Q R S T U V W X Y Z A B C D E F G H I J K L M N O Q Q R S T U V W X Y Z A B C D E F G H I J K L M N O P R R S T U V W X Y Z A B C D E F G H I J K L M N O P Q S S T U V W X Y Z A B C D E F G H I J K L M N O P Q R T T U V W X Y Z A B C D E F G H I J K L M N O P Q R S U U V W X Y Z A B C D E F G H I J K L M N O P Q R S T V V W X Y Z A B C D E F G H I J K L M N O P Q R S T U W W X Y Z A B C D E F G H I J K L M N O P Q R S T U V X X Y Z A B C D E F G H I J K L M N O P Q R S T U V W Y Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Z Z A B C D E F G H I J K L M N O P Q R S T U V W X Y 図 4

この暗号は、鍵によって全く異なった暗号文ができあがるので、万が一換字表が第三者に渡ってしまっても、 鍵が分からなければ解読は非常に困難になります。ポイントは、鍵となる単語の文字数（周期）には制約が ないため、鍵は無限に考えられるということです。 しかし、ヴィジュネル暗号は、発想から考案まで 100 年以上を費やしましたが、単一換字式がまだ実用的 に用いられていたことと、単一換字式に較べて暗号化・復号が難しいことから、この後もなお実用化される までに時間を要しました。 上杉暗号 同じく 16 世紀に日本でも、同様に方陣を用いた暗号が編み出されています。戦国の武将、上杉謙信の軍 師だった宇佐美定行が著した兵法書に暗号の作り方が記されています。これは、いろは 48 文字を 7×7 のマス目に書き、1 つの文字を行と列の数字で表す暗号です。（図 5） 七 六 五 四 三 二 一 ゑ あ や ら よ ち い 一 ひ さ ま む た り ろ 二 も き け う れ ぬ は 三 せ ゆ ふ ゐ そ る に 四 す め こ の つ を ほ 五 ん み え お ね わ へ 六 し て く な か と 七 図 5

10

４．近代暗号　～　第一次世界大戦以降の暗号と機械式暗号機の登場

通信の発達により、第一次世界大戦では、暗号の作成と解読が活発に行われました。 イギリスがドイツの通信ケーブル切断 第一次世界大戦の開戦にあたって、イギリスはドイツへ宣戦布告をすると同時にドイツの海外用海底通信 ケーブルを切断しました。それによりイギリス経由の国際ケーブルか無線を使うしかなくなったドイツ軍は通 信内容を暗号化し敵国による傍受回避を試みることになります。しかし、イギリスは傍受した通信をすべて 専用機関（海軍省暗号局、通称「40 号室」）に回して、ドイツの暗号解読を行いました。その成果として 上げられるのがツィンマーマン電報の解読です。 ツィンマーマン電報 第一次大戦開戦当時、ドイツにとってアメリカのヨーロッパ戦線参戦は戦争の行方を左右するほどの出来事 でした。当時のドイツの外務大臣ツィンマーマンは、アメリカの参戦意欲を削ぐためにメキシコと日本にアメ リカを攻撃させるという構想を立てました。ツィンマーマンはメキシコ駐在のドイツ大使に工作指示を出しま すが、40 号室によって暗号は解読されていました。しかし、イギリスは解読結果の公表を避けました。そ の理由のひとつには暗号解読に成功していることが知れることで、ドイツがより強力な暗号の開発に取り組 み始めてしまうことを避けるためでした。最終的にイギリスはメキシコ電信局に忍び込んだスパイによってド イツ大使館からメキシコに送られた平文の電報を入手し、これを受けたアメリカはドイツに宣戦布告し、ヨー ロッパ戦線に参戦しました。 ここで重要なことは、暗号が解読された時点からさらに強力な暗号方式が開発されるということです。反対 に暗号解読者は解読の事実をすぐには公表せず、しばらくの間その解読手法を用いようとすることです。後 述しますが、この考え方は現代においても続く暗号の開発と解読の繰り返しにもつながっています。

ADFGVX 暗号 1918 年、ドイツ軍のフリッツ・ナベル大佐が考案した ADFGX 暗号が実用化されました。これは、行と列 には ADFGX の 5 文字を書いて、1 つの文字を 2 つの文字に置き換える暗号で、ここまでは上杉暗号と 同じ仕組みです。その上で得られた文字列に対して、さらに転置式暗号方式を用いて暗号化するのがこの 暗号の特徴です。ADFGX は後に ADFGVX 暗号として 6 文字の利用に改良されました。（図 6）この 6 文字が使われた理由は、モールス信号で送信する際に、いちばん識別しやすいためといわれています。 A D F G V X A d h x m u 4 D p 3 j 6 a o F i b z v 9 w G 1 n 7 0 q k V f s l y c 8 X t r 5 e 2 g 図 6　ADFGVX 暗号 これらの方陣を用いた暗号は、その鍵を毎回使い捨てにすれば暗号の解読は現実的には不可能となります が、戦場で使うには常に前線との間で膨大な量の鍵を共有しなければならないこととなり、鍵の受け渡しは 大きな問題でした。

12 エニグマの誕生 19 世紀まで手作業で作成されていた暗号は、20 世紀に入ると機械式暗号機の登場によって、その解読 の難易度が飛躍的に増すことになりました。 エニグマは、1918 年にドイツの発明家アルトゥール・シェルビウスによって発明された機械式暗号機で、 携行性と機密性を売りにして販売されました。販売された当初、ドイツ軍は第一次世界大戦時の暗号が解読 されていた事実を知らず、暗号強化への意識が低かったことと、高価であったことから、ドイツ軍の採用に はいたりませんでした。 しかしその後、第一次世界大戦時でイギリスによって暗号が解読されていたことで戦争に敗れたと知ったド イツは、暗号が国家の存亡を左右するという危機感から、エニグマ採用を決定しました。 エニグマの暗号方式は多表式換字式暗号で、「スクランブラー」と呼ばれるアルファベット 26 文字が刻ま れた数枚の歯車（ローター）と、プラグボードと呼ばれる単文字変換を行う仕組みの組み合わせが「鍵」 になります。まず、スクランブラーをセットした上で、平文をキーボードで打つとスクランブラーを通じて暗 号化された文字がランプボードに表示されます。スクランブラーは１文字打つごとに目盛りひとつ回転するこ とによって、１文字ごとに異なる鍵を使って暗号化することになります。 エニグマには暗号文作成時に用いた鍵と同じ鍵を用いると復号されるという特徴があり、暗号化だけでなく、 復号も容易に行うことができるようになっています。 ドイツ軍はエニグマ採用後にもその改良を続け、5 枚あるローターの中から 3 枚を選んでスクランブラー を構成したり、当初 3 枚であったローターを最大 5 枚まで設置可能にしたりするなどの手を加えました。 ドイツ軍が絶大な信頼を寄せていたエニグマでしたが、当時ドイツから侵略の脅威にさらされていたポーラ ンドは、その解読方式を見出して「ボンブ」と呼ばれる解読機を発明していました。しかし、ドイツがエニグ マを改良することによって増大する暗号パターンにポーランドが対応しきれずに経済的な理由からその解読 作業が続行不能となっていきました。そこで 1939 年ポーランドは資金的にも人材的にも充実しているイ ギリスにその研究情報を渡し解読を託しましたが、その 2 週間後にドイツはポーランドへ侵攻、第二次世界 大戦が始まることになりました。

イギリスはこの情報（暗号アルゴリズム）を引き継いでエニグマ解読に当たることになりましたが、ドイツ軍 がスクランブラーの設定時に、暗号文の冒頭に同じ 3 文字を 2 回繰り返すことを指定しているパターン（鍵） が解明されたことを突破口として、ついにエニグマは解読されました。 イギリスがエニグマ暗号を解読して得たドイツに関する情報は「ウルトラ」と呼ばれ、終戦まで連合国にとっ て貴重な情報源となりましたが、ここでもエニグマ暗号解読の事実は極秘事項として扱われ、ドイツ軍は終 戦までエニグマを信頼して使用し続けていました。（エニグマ暗号が解読されていたという事実が公表され たのは、解読から 20 年以上も経過した 1974 年でした。）

14

５．現代の暗号　～　コンピュータ・インターネット時代の暗号

第二次世界大戦以降暗号の作成と解読は、機械からコンピュータに移っていきました。その後、コンピュー タの民間への急速な普及によって、暗号は軍事用途だけでなく、企業間の商取引など民間用途での必要性 が高まることになります。 DES 暗号 先のエニグマ暗号の例にもあるように、暗号の解読は各国の極秘事項として取り扱われていましたが、 1973 年、米国商務省標準局（NBS、後の NIST）は米国政府が標準利用する暗号方式を公募しました。 暗号の二つの要素である「暗号アルゴリズム」と「鍵」のうち暗号アルゴリズムを公開したわけです。これ は暗号の歴史上大きな転換です。NBS は 1976 年、DES(Data Encryption Standard) 暗号を承認し、 結果としてこれが世界の標準暗号となりました。 また、暗号の民間利用において、それぞれの利用場面ごとに暗号方式が個別に設定されていては、各企業 の負担が非常に重たくなります。たとえば 1970 年代、銀行は重要顧客にメッセージを送る場合、「鍵配達人」 が直接顧客に鍵を手渡ししていました。しかし、事業が拡大するにつれて、配送される鍵も増え、銀行にとっ て鍵配送問題は経営上の悪夢となりました。暗号方式の公開は、将来的にこの問題を解決するきっかけとな ります。 アルゴリズムの公開という歴史上大きな転機を迎えた暗号ですが、もう一方の「鍵」についてはシーザー 暗号も DES 暗号も、暗号化する時と復号する時に「同じ鍵」を使う点（共通鍵暗号）で同様です。共通 鍵暗号の最大の問題は、鍵の受け渡しをどのように行うかという点です。

公開鍵暗号方式 シーザー暗号の時代から抱えていた鍵の受け渡しの問題は公開鍵暗号方式の登場でついに解決に導かれま した。ホイットフィールド・ディフィー、マーティン・ヘルマン、ラルフ・マークルは、ネットワークコンピュー タ時代を予想し、共通鍵の問題を解決することに取り組み、1976 年全米コンピュータ会議において、非 対称な鍵（公開鍵、秘密鍵）を用いれば事前に鍵を配送することなく暗号化通信ができる「公開鍵暗号方式」 を発表しました。これは、暗号化するための鍵を公開鍵として誰でも入手できるようにし、復号のためには 本人しか知らない秘密鍵を使うというものです。 ディフィー・ヘルマン・マークルの鍵交換構想では、モジュラー算術という一方向関数で、具体的には

Y=AX_{(mod B) という関数を使います。A の X 乗を B で割ると Y 余るという関数で、以下の手順で計算}

をすると、奇跡的にお互い同じ解が得られ、これによって共通鍵がえられることとなります。 ▪ ▪ 暗号の送信者と受信者との間で事前にＡと B を共有します。（A=7, B=11 とします） ▪ ▪ それぞれ自分しか知らない X を決めます。（X=3, x=6 とします） ▪ ▪ 共通の A と B、それぞれの X からそれぞれの Y が決まります。（Y=2, y=4 となります） ▪ ▪ それぞれの Y を相手と共有します。 ▪ ▪ それぞれ、自分の X と相手の Y をつかって再度モジュラー算術で解を計算します。

（Yx_{(mod 11)=2}6_{(mod 11)=9, y}X_{(mod 11)=4}3_{(mod 11)=9 となります）}

このアイデアのおかげで、公衆の面前で会話をしながら秘密を確立できるという、暗号の大原則（鍵交換 は秘密裏に行う必要がある）を大きく書き換えることになる革新的な発見でした。

ただし、この時点では暗号化と復号とで異なる鍵を使う非対称暗号を実現させるような一方向関数を見つけ ることができず、実用化にはいたりませんでした。この公開鍵暗号方式という理論を実装にまで発展させた のが「RSA 暗号」です。

16

RSA 暗号

ディフィー＝へルマンの発明した公開鍵のアイデアを実現する数学的手法は、マサチューセッツ工科大学の 研究者、ロン・リベスト（Ronald L. Rivest）、アディ・シャミア（Adi Shamir）、レオナルド・アドルマン（Leonard M. Adleman）の 3人によって発明されました。この公開鍵暗号は開発者3人の頭文字を取って「RSA暗号」 と名付けられます。RSA 暗号方式は「素数」による素因数分解を用いるという方式です。 素因数分解とは、たとえば以下のように、ある数を素数（割り切れない数）に分解することです。 95=5×19 851=23×37 176653=241×733 9831779=2011×4889 これを公開鍵暗号方式に用いる場合、イコールの左側の数字が公開鍵および秘密鍵の一部として用いられ ます。もしこの素数が途方もなく大きい数であれば、素因数分解によってイコールの右側に使われている素 数を現実的な時間内に解読するのは困難です。数学的な説明は割愛しますが、この素因数分解の特性によっ て、公開鍵から秘密鍵を解読するのは事実上困難なのです。 実は、イギリスの暗号研究機関では RSA 暗号よりも早く公開鍵暗号方式が発明されていたのですが、当 時新しい暗号の発明は国家機密扱いであったころから極秘事項とされ、1997 年まで公表されませんでし た。 この公開鍵暗号方式は、インターネット上で意図する特定の相手とだけ暗号を復号するための鍵を交換する ことができるきわめて都合のいい方式でした。つまり不特定多数が参加するインターネット上で公開鍵を公 開しても現実的な時間の中では秘密鍵を解読することが困難であるため、古代から人類が苦労してきた鍵 の配送問題を劇的に解決する方式であるといえます。

ここでこの共通鍵暗号方式と公開鍵暗号方式（RSA 暗号）を併用して、誰でもが簡単にインターネット上 を流れる情報を暗号化することを可能にした例として SSL について簡単におさらいします。SSL（Secure Sockets Layer）、は Netscape Communication 社が提唱し、Netscape Navigator に実装した、ウェ ブサーバとクライアントの間でセキュアな通信を行なうためのプロトコルです。 SSL の特徴は、サーバ（ウェブサーバ、メールサーバ）に身元を証明する電子的な証明書を発行し、SSL 通信を開始するときにクライアントにこれを確認させることによって正しいサーバと通信を行なうことを明示 的に示し、その後の通信を暗号化することによってデータの盗聴や漏洩などを防ぐところにあります。次の 図にウェブサーバと通信を行なう場合の簡単なイメージを示します。 【SSL 通信が開始されるときに行なわれる処理】 ルート 証明書 シマンテックサーバ ID ①暗号化仕様交渉 ②SSL サーバ証明書送付 ③共通鍵生成 ④暗号化データ通信開始 共通鍵 40bit ∼ 256bit 共通鍵 40bit ∼ 256bit 確認 OK！ クライアントの ブラウザ https://www. ・・・ ウェブサーバ ブラウザは受信した SSL サーバ証明書 の発行元が、自分が保持するルート証 明書※_{を利用して、正当な認証局である} か確認する ウェブサーバは自らの正当性をクライ ア ン ト に 確 認 し て も ら う た め、SSL サーバ証明書（および中間証明書）を ブラウザへ送付する ※： シマンテックのルート証明書は、「信頼される認証局」として PC 用のブラウザを始め携帯端 末など多くのクライアント端末に予め搭載されており、クライアント側でエンドユーザがルー ト証明書をインストールする必要はない まず、公開鍵暗号方式によって安全に共通鍵（実際には共通鍵の元なる乱数）を配送し、暗号化データ通 信を成立させるというもので、公開鍵暗号方式を用いることによって、鍵の配送問題を解決していることが わかります。 公開鍵暗号方式は、共通鍵暗号方式と比較して鍵を公開できるという大きな特徴をもつ一方で、暗号化処 理に時間を要するため、公開鍵暗号方式によって安全に受け渡しされた共通鍵によって本文の暗号化を行う という併用方式をとっています。

18 DES 暗号の解読 話は少し戻って DES 暗号の解読について触れます。 DES の鍵は 56 ビットで、56 ビットの鍵の組み合わせは 2 の 56 乗で約 7 京もあり、解読するのは不可 能に近いとされていましたが、1994 年についに解読されました。現代暗号は、昨今著しいコンピュータ の演算能力の向上により徐々に解読されやすくなります。 SSL における暗号強度向上への対応 コンピュータの演算能力の向上にあわせて、SSL でも公開鍵の鍵長を 1024bit から 2048bit へ変更す る仕様変更や、公開鍵への署名方式を新たに SHA2 へ対応する動きがあります。これらは暗号規格の標 準仕様を策定する NIST の勧告をベースにブラウザベンダーや認証局がスケジュールや方針を決めたもの です。また昨今では、PCIDSS において NIST 勧告への準拠性が記述されているため、PCIDSS への対 応を検討している企業の中で SHA2 への注目度も高まっています。

また、公開鍵暗号方式の暗号アルゴリズムについて、現在の主流である RSA 暗号だけでなく、ディフィー・ ヘルマン鍵交換方式と同様に離散対数問題の困難性を根拠とする DSA(Digital Signature Algorism) や、楕円曲線暗号 (ECC : Elliptic Curve Cryptography) に対応する機運が高まっています。

DSA DSA とは、ElGamal 署名を改良したもので、ディフィー・ヘルマン・マークルの鍵交換構想の段落で紹介し たモジュラー算術（時計演算）における対数である離散対数を利用した署名方式です。 時計演算とは 13 時が午後 1 時であったり、深夜の 2 時を 26 時と表現したりすることから名づけられた もので、割り算をして余りを求める演算です。この演算を数式として表わすと、13 mod 12 = 1、26 mod 24 = 2 となります。離散対数とは、この 13 や 26 にあたる部分にべき乗、たとえば 7 の n 乗と いう数字を入れた算式によって求められる解のことを表します。 7 の 2 乗を 13 で時計演算した場合、49 ÷ 13 = 3 余り 10、これを算式で表すと 7^2 mod 13 = 10 となり、比較的簡単な演算となりますが、逆に 7^n mod 13 =10 の n を求めようとするとその演算 は急に複雑になります。この算式の解を離散対数とよび、その逆方向の演算が急に複雑になるという性質 を関数の一方向性と呼びます。DSA はこの離散対数を求める演算の一方向性を根拠とした署名方式です。 ...!?? 26:00=AM2:00 26 mod 24 = 2 26÷÷ 24= 1...2 7^2 mod 13 = 10 49 13 = 3...10 n=10 7^2 mod 13 = n n=??? Q. 7^n mod 13 = 10 Q. n=???

DSA は 1991 年に NSA ( 米国国家安全保障局 ) によって開発され、1994 年に NIST（National Institute of Standards and Technology：米国標準技術局）が米国政府標準の電子文書認証方式と して採用しました。 楕円曲線暗号 楕円曲線暗号に用いられる楕円曲線という概念は、素数や素因数分解と異なり整数によるイメージを持てな いことから、これを正確に理解するにはかなりの数論の知識が要求されます。ここでは、趣旨から外れるた めその説明は避け、余談にはなりますが楕円曲線が歴史に登場するエピソードとして、フェルマーの最終定 理を証明する鍵となった経緯に触れたいと思います。

x^n + y^n = ≠z^n

n 2

私は真に驚くべき証明を見つけたが、 この余白はそれを書くには狭すぎる !

フェルマーの最終定理

だから書かない。

!!

Pierre de Fermat (1607,8∼1665) フェルマーの最終定理とは、「x の n 乗 + y の n 乗 = z の n 乗、この方程式は n が 2 よりも大きい場合 には整数解を持たない」という定理のことです。17 世紀にピエール・ド・フェルマーは「この命題を証明し たが、それをここに記すことはできない」というメモを残し、その後の数学者たちは 300 年あまりその失 われた証明を再発見しようとしましたが証明することも反証することもかなわず、すべて失敗に終わっていた のです。 そのフェルマーの最終定理の証明を大きく前進させたのが、ゲルハルト・フライの「すべての楕円曲線が何 らかのモジュラー形式と関連するという谷山・志村予想が証明されれば、フェルマーの最終定理は成り立つ」 という論理です。 アンドリュー・ワイルズはこの楕円曲線とモジュラー形式の関連性を証明することで、フェルマーの最終定理 も見事に証明したのです。

20 楕円曲線暗号とは、楕円曲線上の離散対数問題の一方向性を根拠とする暗号です。離散対数問題とは、ディ フィー・ヘルマン・マークル鍵交換構想の段落で紹介したモジュラー算術を用いた理論と同じもので、楕円 曲線暗号は、楕円曲線という世界での離散対数は整数という世界での離散対数よりも解析が困難であるこ とを根拠としています。 1985 年頃に ワシントン大学のニール・コブリッツと IBM のヴィクター・ミラーがそれぞれ発明したもので、 現時点ではこの楕円曲線上の離散対数問題を効率的に解析するアルゴリズムがまだ発見されていないこと から、短い鍵長で高強度の暗号を実現しています。 楕円曲線暗号は個別の暗号方式の名称ではなく、楕円曲線を利用した暗号方式の総称です。たとえば ECC 対応の SSL サーバ証明書では、公開鍵に電子署名を施すために ECDSA(Elliptic Curve Digital Signature Algorism) を用い、ウェブブラウザとウェブサーバとの間の鍵交換のために ECDH(Elliptic Curve Diffie-Hellman) を用いています。

y^2=x^3-x+1 y^2=x^3-x

2005 年、米国国家安全保障局（NSA）が機密情報の保護のために用いる暗号アルゴリズムのリストで ある Suite B を発表し、その中で鍵交換には ECDH、電子署名には ECDSA が指定されていたことから、 ECC が次世代の暗号アルゴリズム最有力候補として注目を集めることになりました。

また、Windows Vista が ECC をサポート、シマンテックが ECC の ルート証 明 書を発 行、 そして OpenSSL 1.0.0 が ECC をサポート開始するなど、SSL に関連するエコシステムが ECC 対応を進めて 利用環境が整いつつある中、シマンテックが ECC 対応版 SSL サーバ証明書を発行し、ウェブサイト管理 者は、商用サービスとしての ECC を利用することが可能となりました。 シマンテックでは、2013 年 2 月に ECC 対応版、DSA 対応版の SSL サーバ証明書発行を開始しており、 特に ECC に関しては、暗号強度向上だけではなく、ウェブサーバのレスポンスタイム向上に寄与する場合 もあるため、今後より注目を集めると考えられます。 SSL による通信の暗号化を利用しているユーザは、PC ブラウザ、携帯電話、スマートフォン、その他デ バイスなどのクライアント側も、ウェブサーバ側も、早いタイミングでより高強度の暗号アルゴリズムやハッ シュ関数、鍵長に対応できるものに更改し、暗号強度を維持し続けることが大切になります。

22

６．暗号の未来

ここまで見てきたとおり、暗号は新しい暗号アルゴリズムの発明とその解読法の発明とを繰り返す歴史です。 その中で注目されている暗号方式として「量子暗号」が挙げられます。 量子とは、「量ることのできる最小単位」という意味で、ここでは光の光子（こうし）のことを指します。光 の光子は振動しながら進みます。その振動の角度を測定することによって、暗号化された情報を受け取るこ とができ、途中で傍受すると、その角度が変わるので、必ず検知できます。 過去の暗号は、「現実的な時間の中では解読不能である」といわれるのに対して、量子暗号が解読不能な 暗号とされるのは、この傍受したことを検知できるという特性によるものです。

７．おわりに　～　SSL に用いられている暗号を有効にするために

SSL に用いられている暗号方式は、解読法のない暗号アルゴリズムではなく、現実的な時間とコストの中 で解読できないようにすることが可能な暗号アルゴリズムです。皆さんが暗号化している情報の性質と重要 性によって、必要な手当てをしなければ、暗号解読者によって暗号は解読されてしまいます。 歴史上では、暗号方式が解読され、有効な暗号が存在しない時代もありました。しかし、現代ではコンピュー タとインターネットの普及により当時とは比べものにならないくらいに暗号が利用されており、いまや有効 な暗号が存在しないという状態はインターネットの利用そのものに深刻な影響を与えてしまいます。 SSL に用いられている暗号は、ブラウザ、サーバ、SSL サーバ証明書それぞれが足並みをそろえてその 暗号強度を上げれば、その有効性を継続できますが、他のすべての暗号と同様、暗号強度の強化に取り組 まなければ、その有効性を継続できないことになります。 こうした暗号の「十分な対策を施さなければいつか解読される」性質を十分に理解し、利用者・提供者とも に適切な対策をとることが重要になります。

24 合同会社シマンテック・ウェブサイトセキュリティ https://www.jp.websecurity.symantec.com/ 〒104-0028　 東京都港区赤坂1-11-44赤坂インターシティ Tel : 0120-707-637 E-mail : websales_jp@symantec.com

Copyright ©2014 Symantec Corporation. All rights reserved.

シマンテック（Symantec）、ノートン（Norton）、およびチェックマークロゴ（the Checkmark Logo）は米国シマンテック・コーポ レーション（Symantec Corporation）またはその関連会社の米国またはその他の国における登録商標、または、商標です。 その他の名称もそれぞれの所有者による商標である可能性があります。 製品の仕様と価格は、都合により予告なしに変更することがあります。本カタログの記載内容は、2014年4月現在のものです。 参考文献 サイモン・シン「暗号解読」（2001 年　新潮社） 参考ホワイトペーパー http://www.symantec.com/ja/jp/page.jsp?id=ssl-certificates-resources 挿絵 株式会社ディレクターズ　 aico ( 小悪魔女子大生のサーバエンジニア日記 )