電子署名・認証センター

HOME お問い合わせ サイトマップ サイトポリシー JIPDEC TOP
English Japanese
HOME電子署名について電子署名の仕組み > 暗号の世代交代

電子署名について

 

電子署名の仕組み

 

安全性の現状と暗号の世代交代

 電子署名法が制定された当時に電子署名の用途で利用されていた鍵長1024ビットのRSA暗号やハッシュ関数(MD5やSHA-1)は、いずれも1980年代から1990年代初めに開発された暗号技術でした。これらの暗号技術の安全性は、計算機能力の向上や解析技術(解読技術)の向上により、相対的に低下する傾向にあります。電子署名法を制定した当時であれば、利用者電子証明書であれば鍵長1024ビットのRSA暗号とハッシュ関数SHA-1の組合せで十分な安全性を持っていました。しかし、日本で開発された「京」や中国の「天河二号」といったスーパーコンピュータの計算能力の向上と暗号解読技術の進歩により、SHA-1と鍵長1024ビットのRSA暗号方式あるいはSHA-1と鍵長1024ビットのDSA署名では、「解読」される危険性が指摘されるようになってきました。そのため、電子署名の信頼性を維持する上でも、それぞれのアルゴリズムの安全性を注意深く監視する必要が出てきています。
 図1と図2にRSA暗号、DSA署名、ECDSA署名の安全性に係わる計算機の演算能力の変化とRSA暗号やDSA署名を解読する(公開鍵から秘密鍵を求める)ことが可能となる時期の予想を示します。
 図1は、暗号技術検討会(CRYPTREC、座長 今井秀樹東京大学名誉教授)が、2014年に公開した「CRYPTREC Report 2013 暗号技術評価委員会報告書」 (26ページ)から抜粋した『1年間で「ふるい処理」を完了するのに要求される処理能力の予測(2014 年2 月更新)』です。「ふるい処理」とは、大きな数を素因数分解する方法のことです。この図からは、例えば、スーパーコンピュータを用いれば、公開鍵の長さが1024ビット(10進数ならば、308桁程度)のRSA暗号やDSA署名であれば、1年間で公開鍵から秘密鍵を求めることができる可能性のあることを示しています。実際には、スーパーコンピュータを暗号解読のために占有することは国家機関以外では不可能であるため、まだ、鍵長が1024ビットのRSA暗号やDSA署名が「解読」されたという報告はありません。


図1
        図1:一年間でふるい処理を完了するのに要求される処理能力の予測(2014年2月)
 また、図2は、同じく「CRYPTREC Report 2013 暗号技術評価委員会報告書」(26ページ)から抜粋したECDSAの安全性の根拠となるECDLP問題を1年間で解くために必要な処理能力の予測(「ρ法でECDLP を1 年で解くのに要求される処理能力の予測(2014 年2 月)」)を示しています。この図からは、鍵長が160ビットのECDSAでも、2014 年2 月時点では、十分に安全であることが読み取れます。


図2
        図2:α法でECDLPを1年で解くのに要求される処理能力の予測(2014年2月)
 一方、RSA暗号やDSA署名を用いた公開鍵暗号基盤(PKI)は、インターネット上では広く普及しており、インターネットショッピングなど重要な社会基盤の一つとなっています。そのため、RSA暗号やDSA署名が「解読」されたからと言って、単純にその使用を中止するわけにもいきません、そこで、「解読」の危険性が指摘された時点(例えば、我が国ではCRYPTREC等から助言があった時点)で、より安全と考えられる暗号方式に移行することが一般的に行われます。このような事態を「暗号の世代交代」と呼びます。
 2006年度のCRYPTREC報告書で、鍵長が1024ビットのRSA暗号やDSA署名に対して「法パラメータ n = pq のサイズが1024 ビットである n = pq 型IFP(注)は強い安全性を求められる利用には有効とは言えない。」と指摘されたこと、また、海外でも米国の連邦標準技術研究所(NIST)が、「鍵長が1024ビットのRSA暗号あるいはDSA署名とSHA-1を用いて、新規に電子署名や暗号化を行えるのは、2010年12月31日まで」と期限を定めたことから、我が国における電子署名用途の電子証明書やサーバー証明書を、SHA-1と1024ビットのRSA暗号の組合せから、SHA-224(電子署名法では、SHA-256)以上のハッシュ関数と2048ビットのRSA暗号(あるいは、2048ビットのDSA署名や224ビットのECDSA署名)の組合せへの移行が行われています。

(注)"Integer Factoring Problem"の略で、RSA暗号やDSA署名の安全性の根拠とされる素因数分解を扱う問題。
 
ページトップへ
 
Copyright (C) 2000-2007 JIPDEC All Rights Reserved.