見出し画像

NY駐在員報告 「ネットワーク・セキュリティと暗号技術(その1)」 1995年2月

前川 徹

はじめに

 コンピュータ・ネットワークのセキュリティ問題は、コンピュータが通信回線に接続された時からの問題であるから、コン ピュータの歴史とそう変わらないくらいの歴史がある。ちなみに、「みどりの窓口」として知られている旧国鉄の座席予約システムの最初のシステムMARS1 は、日本におけるオンライン・リアルタイム処理の先駆的なシステムであるが、昭和35年(1960年)に設置されている。ただ、こうした業務用のオンライ ン・システムは、その多くが閉じられたネットワークで構成されており、理論的には外部からアクセスする手段がないという点で、地震などの災害対策という意 味でのセキュリティ対策の必要はあっても、悪質なハッカーによる侵入やデータの改竄、コンピュータウイルスによる被害などを考える必要はあまりなかった。

 しかし、今日のパソコン通信システム(BBS: Bulletin Board System)やインターネットのように、オープンなネットワークでは、悪質なハッカーの侵入、データの盗難や改竄、コンピュータウイルスの感染などの危 険性がある。特に、モノやサービスを購入するためにクレジットカード番号を電子メールで送る場合、企業が機密を要する情報を送る場合、企業内のネットワー クを外部のオープンなネットワークに接続する場合などセキュリティを十分に確保する必要がある。また、金融機関のオンラインシステムもファームバンキング やホームバンキングなどのサービスのために、外部に回線を開くようになってきており、ネットワークセキュリティは極めて重要な問題になってきている。
 無論、コンピュータをどこにも接続せずに金庫にでも入れておけば大丈夫なのだが、そういう訳にもいかない。暗号ソフト とウイルス検査ソフトとファイヤーウォールを装備してでも、ネットワークは接続する価値のあるものになっているのだから。
 という訳で、今月と来月は暗号技術に関する問題を中心に、米国におけるコンピュータ・ネットワーク・セキュリティの現 状について報告したい。

暗号の基礎知識

 暗号技術の現状を多少でも理解しようとするなら、暗号技術について基本的な知識が不可欠である。暗号の仕組みについて はいくつか本が出版されているが、ここでも簡単に説明をしておく。

 英語では暗号のことを"cryptography"あるいは"cipher"という。前者は暗号にする方法を意味する ことが多く、後者は暗号化された文、つまり暗号文という意味で使われる。暗号化する前の文(「平文」と呼ばれる)を暗号に変換すること(「暗号化」) を"encryption"あるいは"encipherment"といい、暗号を平文に戻すことを"decryption"あるい は"decipherment"という。暗号を平文に戻す作業は、正規の受信者が正規の手続きとして行う場合と、本来暗号を読む権利を持たない第三者が行 う場合がある。ここでは前者を「復号化」と呼び、後者を「解読」と呼ぶことにする。

 歴史が古くかつ一般的な暗号の一つに「シーザー暗号」がある。これは文字をアルファベット順とかアイウエオ順、イロハ 順に並べておいて一定の数だけずらした文字に変換するものである。例えば、映画「2001年宇宙の旅」に出てくるコンピュータのHALはIBMを1字前に ずらしたシーザー暗号だと言われているし、Windows NT (WNT) はVMSのシーザー暗号だという説もある(DEC社でVMSを開発したプログラマーたちがマイクロソフト社に引き抜かれ、そこで開発したOSが Windows NTである)。シーザー暗号は単純な暗号ではあるが、現在でもこの方法を基礎にした暗号は使われている。
 小説の中に登場する暗号もある。エドガー・アラン・ポーの「黄金虫」は暗号小説の傑作であるし、コナン・ドイルの (「シャーロック・ホームズの登場する」と言った方が分かりやすいかもしれない)「踊る人形」も有名な暗号小説である。この二つの小説に登場する暗号は 「単文字換字暗号」と呼ばれる。これは文字の一つ一つを別の文字や記号に置き換える方法である。シーザー暗号も単文字換字暗号の一種と考えることができ る。
 こうした古典的な暗号は、現在では容易に解読することができる。例えば、「黄金虫」に記述されたような文字の出現頻度 から推測していく方法が、一般的であり、コンピュータを用いる場合には、2文字以上の連続した文字列の出現頻度も解読の重要な鍵になる。ちなみに英語の一 文字出現頻度は高い方から(異説もあるが)、E, T, A, O, I, N, S, H, R, D, L, U の順だとされている。

 そこで、次に登場したのが「多表式暗号」である。これは平文を一定の長さで区切り、順次文字をずらす数を変えていく方 法である。例えば、平文を3文字単位で区切り、最初の文字は4つ、2文字目は7つ、3文字目は2つずらす、これを繰り返す方法である。分割する長さを長く すれば、解読はかなり難しくなるし、平文と同じ長さの鍵字列(順次ずらす量をならべたもの、前述の例では「4, 7 ,2」が鍵字列になる)を1度しか使わないようにすれば、理論的には解読不可能になる(1文字ずつずらす量が自由にできるということは、どんな平文でも長 さが同じであれば同じ暗号文になる鍵字列が考えられるからである)。第二次世界大戦中及び戦後しばらくの間、各国で使われた暗号の大半はこの多表式暗号で あった。
 この多表式暗号の最大の問題は、鍵字列の配布にある。鍵字列が短い場合や、同じ鍵字列を繰返し使った場合には、解読さ れる可能性が高くなる。したがって機密を要する情報を送るために、それと同等の長さの鍵字列を安全に送る必要がある。もちろん、暗号化して送る情報と違っ て、時間をかけて安全に鍵字列を送っておけばよいのだが、これは容易なことではない。この欠点を克服したのが、「公開鍵暗号」である。

公開鍵暗号

 公開鍵暗号(public key cryptography)は、スタンフォード大学のMartin E. Hellmanが、その弟子のWhitfield Diffie, Rolph Merkleとともに考案した比較的新しい暗号法である。この方式ではその名のとおり、本来秘密であるはずの鍵が公開されている(えっ、何だって、それ じゃ暗号にならないじゃないか)。大丈夫、公開されているのは暗号化するための鍵であって、復号化するための鍵ではない。つまり、Keという鍵は錠を掛け ること(暗号化)はできても開くことができない。錠を開ける(復号化)には別の鍵Kdが必要なのだ。もちろん、KeからKdをつくることはできない。この 方式だと、鍵の配布という問題はなくなる。自分が復号化のためのKdという鍵を大切に保管し、暗号化はできても復号化はできないKeを一般に公開すればよ いからだ。

 公開鍵暗号の利点は、この他に2つある。例えば、10の企業が相互に暗号を使って情報をやり取りしようとする場合、公 開鍵暗号でない場合、45種類の暗号鍵が必要になる。50社であれば1225種類という大変な数になる。自分の会社だけを考えても、暗号を使って情報をや り取りする相手の数だけの暗号鍵を厳重に管理する必要がある。ところが、この公開鍵暗号を用いれば、10社の場合は10の暗号化用の鍵と10の復号化用の 鍵ですむ。50社になっても計100の鍵ですむし、自分の会社だけ考えれば、情報をやり取りする相手がどれだけ増えようと、1つの復号化用の鍵を管理する だけでよくなる。これは、画期的なことだ。

 もう一つのメリットは、偽造不可能な電子署名 (Digital Signature) として利用できることである。これは非常に重要なことである。暗号を利用する場合の最大の脅威は、暗号を解読されることにあるのではなく、暗号文を偽造さ れて情報が混乱することにあるとさえ言われている。公開鍵暗号を用いた電子署名の原理を簡単に説明してみよう(少し頭がこんがらがってしまうかもしれない)。

 まず、AさんがBさんに電子署名付きの文書を送るケースを考える。AeはAさん用の公開鍵(一般に公開されている暗号 化用の鍵)でAdがAさんの復号用の鍵(Aさんが厳重に管理している鍵)としよう。同様にBe, Bd という鍵もあり、Beは誰でも手に入り、BdはBさんだけが持っている鍵である。(説明が前後してしまったが)本来は復号化用の鍵であるAdやBdでも暗 号化が可能で、それは各々Ae, Beで復号化可能だとしよう。つまり、本来は開ける鍵(Ad, Bd)を逆さまにまわすと錠がしまり、その錠は本来は開ける鍵(Ae, Be)を逆さまにまわすと開くという仕組みになっている。
 そこでAさんは、まず送りたい情報を自分しか持っていないAdで暗号化し、その暗号文をさらにBeで暗号化してBさん に送る。(もし、第三者であるCさんがその情報を盗んでも、Beで暗号化されているのでBdを持っていないCさんには読むことができない。)Bさんはま ず、自分だけが持っているBdで復号化し、次にAeで復号化して情報を読むことができる。Aeで復号化できたということは、その情報はAdで暗号化されて いたことを意味するから、その情報は間違いなくAdの鍵をもつAさんが送ってきた情報であるという保証になる。実際には、平文の数学的な要約を作成し、そ れをAdで暗号化したものを平文に添付し、Beで暗号化して送るという方法が取られる。受け取ったBさんはBdで復号化し、電子署名部分をさらにAdで復 号化して本文と照合するという手順になる。

RSA暗号体系

 次の問題は、錠をかけることはできるが開けることのできない鍵(Ke)とそれを開けることのできる鍵(Kd)があっ て、かつKeからKdが作れないというような、(極めて都合のよい)暗号方式が現実に作れるかどうかである。

 ここで一つ断っておかないといけないことがある。現実の世界では、「絶対に解読できない暗号」でなくとも暗号として利 用価値があるということである。つまり、理論的には解読できるが、解読のためにある程度以上時間がかかることが確かであればよいのである。例えば、現在の スーパーコンピュータを利用しても、力づくで解読するのに1万年もかかるような暗号は、現実には解読できないと見做して問題ないし、その時間が10年で あったとしても、通常の商取引に使うには十分だと言えるだろう。もちろん情報技術の進歩によって、暗号解読に要するであろう時間が短くなっていくことも考 慮しておく必要はある(後で述べるが、米国で一般的な暗号であるDESも20年の歳月のうちに安全な暗号ではなくなりつつある)。

 公開鍵暗号方式として有名なRSA暗号体系は、77年にMIT(マサチューセッツ工科大学)のRivest, Shamir, Adlemanによって発表された。この方式は素数の性質をうまく利用したものであるが、正確な説明をすると長くなるので省略する(数学が好きか、仕事上 どうしても必要でない限りRSA暗号体系の原理を勉強することはお勧めできない)。簡単に分かりやすく説明する能力もないので、漠然と説明するとこうな る。世の中には、ある方向には簡単に計算できるが、逆向きには計算が容易でないものがある。例えば、コンピュータを使わずに1,634,185,643を 素因数分解するのは大変だが、2027×257×3137を計算するのは容易である。コンピュータを利用しても基本的には同じである。スーパーコンピュー タを使っても、100桁の数字を完全に素因数分解しようとするととんでもない時間が必要になる。こうしたある方向には簡単に計算ができるが、逆は極めて難 しいという一方通行関数であって、かつ秘密の鍵を知っていると逆にも簡単に計算ができる関数(これを"trap-door function"という)を利用するのである。実は先に述べた素因数分解が、RSA暗号体系の核心である。

 しかし、RSA暗号体系はよいことずくめではなかった。確かに解読が困難な暗号ではあるのだが、当時のコンピュータの 能力では、暗号化と復号化にかなりの時間がかかったのである。100文字の文章の暗号化に、IBM370/168(73年8月に出荷が開始された大型汎用 機、本体だけで数億円はする)で1.5秒くらいかかったという例が報告されている。いくら優れた暗号方式でもこれでは一般には使えない。
 だが、容易に想像できるように、この点についてはMPUの技術進歩によって状況は一変している。後で述べるように、 インターネットのWorld-Wide Webのクライアント/サーバー用ソフトで有名なネットスケープ・コミュニケーション社のNetsite Commerce ServerはこのRSA暗号体系を利用している。

暗号の問題点

 暗号技術は通常、機密を要する情報を遠隔地に伝えるために用いられる。対象は電子メールやコンピュータに蓄積された電 子データの送信に限らない。電話やFAXにも用いられる。FAXは画像データをデジタル化して送っているので、コンピュータで扱うデータと同じように暗号 化することができる。電話の場合にはデジタル化してから暗号化する方法が普通である。
 さらに言えば、情報を送る時でなくても暗号は有用である。例えば、重要な情報を暗号化して磁気ディスクに保存しておけ ば、ファイルを盗まれても秘密を守ることができる。

 また、暗号技術の利用者は企業や政府機関だけではない。個人がプライバシーを守るためにも利用できる。しかし、暗号の 利用はよいことずくめではない。たとえば、企業では、不満を持つ従業員が重要なデータを暗号化して、復号化するのに必要な鍵を人質に法外な金銭を要求する 事件が起きるのではないかと恐れている。また、連邦政府は強力な暗号プログラムやそれを組み込んだチップが外国に流れることによって、諜報活動が阻害さ れ、国家の安全保障に影響がでることを恐れている。これが理由で、暗号プログラムやそれを組み込んだチップの輸出は制限されている(クリントン政権は、 94年2月に輸出規制を少し緩和すると発表している)。

 実は、連邦政府が危惧しているのは、海外への暗号技術の流出による諜報活動への影響だけではない。米国内での犯罪捜査 に支障がでることをひどく恐れている。米国の犯罪捜査において、電話やFAXの監視(合法的な「盗聴」と考えてよい)は、非常に重要な役割を果たしてきて いる。強力な暗号ソフトや暗号化チップが簡単に利用できるようになれば、こうした捜査は役に立たなくなってしまう。マイクロエレクトロニクスの技術進歩に よる情報革命は、かつて国防省、国務省、CIAといった連邦政府機関の道具であった暗号を、誰でも利用できるソフトやチップに変えてしまったのである。こ れは素晴らしいことであると同時に、政府にとっては頭の痛くなる問題でもある。

 つまり、暗号技術によって、政府や企業、あるいは個人は秘密にしたい情報を盗聴や盗難から守ることができる。しかし、 一方で国家の安全保障に悪影響を与え、犯罪捜査捜査を困難にするものでもある。専門家は10年以内に、ほとんどすべてのデジタル情報の通信(電子メール、 FAXはもちろん、10年後には電話も含まれる)は、暗号化されるだろうと予測している。そうなると合法的な盗聴によって、犯罪者を捕まえたり、犯罪を未 然に防いだりすることは期待できなくなる。

 連邦政府では、この問題について検討し次の4つの選択肢を考えた。

  1. 政府として認めていない暗号の使用を法律で禁止する

  2. 誰も知らないトラップドア付きの暗号を普及させる

  3. 鍵を第三者(政府)に預けるという「Key Escrow」型の暗号を利用するように呼びかける

  4. 政府が介在することを諦めて、自由にさせる

 この結果選ばれたのは3であり、この暗号をチップにしたものが、クリッパーチップである。ちなみにフランスは登録され ていない暗号装置を用いることを法律で禁止されているので、選択肢の1に該当する。

EES (Escrowed Encryption Standard)

 NIST (National Institute of Standards and Technology) は94年2月4日、機密扱いではないが重要な情報を電話、FAX、コンピュータで送るときに用いるための強力な暗号の任意規格を発表した。これがEES (Escrowed Encryption Standard) と呼ばれる暗号である。

 EESに用いられているアルゴリズムは、SKIPJACKと呼ばれるもので、NISTの協力を得てNSA (National Security Agency) によって開発されたのだが、詳細は機密扱いになっている。このアルゴリズムを組み込んだチップがクリッパーチップ(Clipper Chip)であるが、これにはもう一つ、LEAF (Law Enforcement Access Field) Creation Method 1 (LCM-1) と呼ばれる仕掛けが組み込まれている。政府のしかるべき機関が合法的に盗聴した暗号を復号化するための仕掛けである。SKIPJACKは暗号化と復号化に 同じ鍵を用いるタイプの暗号なのだが、法に従って手続きがとられた場合には、政府が容易に復号化できるようになっている。つまり、秘密の鍵が連邦政府に預 けられているのだ。("escrow"は第三者に大切なものを委ねるという意味である)

 この仕組みはかなり複雑にできている(とても分かりやすく説明する自信はない)。
 まず、このEESを実現したチップ(クリッパーチップ)には、SKIPJACKというアルゴリズムとLCM-1と呼ば れる仕組みが組み込まれている。チップは基本的に2つの機能をもっている。
 一つは(言うまでもなく)暗号化/復号化の機能である。この暗号(SKIPJACK)は80bit長の暗号鍵による暗 号アルゴリズムで、73年頃から連邦政府が使っているDES (Data Encryption Standard) より1600万倍強力だと言われている。前述のとおり、シンメトリックな暗号であるので、暗号化と復号化には同じ鍵が用いられる。これを「セッション・ キー」と呼ぶ。このセッション・キーはセッション(1回の通話や通信)毎に新しいものが自動的に生成され、暗号化/復号化に使われる。

 二つ目の機能が、合法的な盗聴を可能とする機能である。クリッパーチップにはそれぞれユニークな3つのキーが決められ ている。「ファミリー・キー」、「デバイス・キー」、「シリアル・ナンバー」の3つである。これらのキーはチップ毎に異なるが、固定である(セッション毎 に変わるようなことはない)。このうちデバイス・キーは二つに分割され、NISTと財務省のAutomated System Division に保管される。政府機関(たとえばFBI)が、法に従った手続きを取って合法的な盗聴を行う場合には、まず、シリアル・ナンバーを電子的に読み出し、次に これを手掛かりにしてデバイス・キーを保管している2機関から分割されたデバイス・キーを取り寄せる。取り寄せたキーを合成してデバイス・キーをつくり、 これを使って復号化に必要なセッション・キーをLEAFから得る。これでやっと暗号を復号化することができる(なんと複雑な仕組みなのだろう)。

 デバイス・キーを分割して保管することになる機関は、デバイス・キーの半分とシリアル・ナンバーのデータベースを管理 するだけなので、この機関が盗聴を行う心配はない。また、このデータベース自体も暗号化して保管されることになっているので、かなり安全だといえるだろ う。(つまり、第三者が悪意をもってクリッパーチップを用いた通信の盗聴を行おうとすると、2つの機関からデータファイルを盗んだ上に、その暗号を解読し てデバイス・キーの合成を行う必要がある)

 暗号化のアルゴリズムそのものは、サンディア国立研究所のErnest Brickell、ジョージタウン大学のDorothy Denning、BBNコミュニケーション社のStephen Kent、AT&T社のDavid Maherといった専門家たちによってテストが行われ、その安全性が保証されいる。専門家のレポートによれば、「18カ月でコンピュータの能力が2倍にな るという仮定をおいても、SKIPJACK(クリッパーチップの暗号化アルゴリズム)の安全性が現在のDES並みになるまでに36年必要であり、また、 SKIPJACKには簡単に暗号が解読されるような抜け道はない」という。

クリッパーチップをめぐる議論

 94年2月にEESが発表されて以来、様々な議論が巻き起った。多くは連邦政府の方針に反対するものであったが、一部 には政府を支持するものもあった。例えば、EESのテストを行った暗号とデータセキュリティの専門家でジョージタウン大学のコンピュータ・サイエンスの教 授のDenningは、「クリッパーチップによってジョージ・オーウェルの描くような市民全員が監視されているような世界になるわけではない。これは間 違ったイメージで、クリッパーチップに反対する人達のプロパガンダである」と述べている。彼女の意見をまとめると次のようになる。
 クリッパーチップに反対する人々は、キーボードを数回押すだけで電話やコンピュータによる通信を盗聴することができる ようになると言っているが、それは間違いで、むしろ盗聴をより困難にするものである。まず第一に、政府が合法的に盗聴を行う場合、連邦政府および州政府の 法令に従い、裁判所の命令を得る必要がある。この場合当然、犯罪行為があるという確からしい根拠が必要で、さらに盗聴以外に証拠を得る有効な手段がないこ とを明かにしなければならない。第二に盗聴は高度な復号化装置を用いる必要がある上に、復号化に必要なキーは2つの省庁から取り寄せる必要があり、簡単な 作業ではない。第三に鍵を保管している省庁では、二人の管理者が立ち会わなければキーを取り出せない仕組みになっている。したがって、非合法にこの鍵を盗 み出すには、同時に4人の政府職員を買収する必要がある。このように、政府がクリッパーチップによって市民のプライバシーを監視しようとしているという見 方は間違いで、むしろ、クリッパーチップは我々市民のプライバシーを犯罪者から守ってくれるものである。

 一方、クリッパーチップに批判的な人々の意見は次のようなものである。 まず、政府が電話やコンピュータによる通信を監視するのではないかという指摘。これは前述のDenning教授の指摘 のように、大部分は誤解に基づくものだと思われる。ただ、政府が合法的に盗聴を行う手続きを十分知っていながら、連邦政府による監視を心配する声があると ころをみると、連邦政府はあまり信用されていないのかもしれない。確かに今の政府が説明している方法では、多少厄介な手順を踏まないと合法的盗聴は不可能 である。しかし、政府がこの手順を変えないという保証はない。すべての電話やモデムにクリッパーチップが搭載されてしまえば、政府が市民のすべての会話を 監視することも不可能ではないというのが、反対派の言い分である。

 次に、クリッパーチップは犯罪の摘発、防止に有用であると連邦政府は説明しているが、実際にはほとんど役に立たないだ ろうという指摘がある。つまり、連邦政府によって盗聴され解読される恐れのある暗号を使うような、間の抜けた犯罪者はいないという意見である。また、国家 安全保障を考えた場合、米国以外の国が進んでクリッパーチップを採用するとは思えない。とすれば、クリッパーチップは国家の安全保障にはなんら貢献しな い。さらに、クリッパーチップの採用によって、米国における暗号技術の研究のインセンティブが小さくなり、暗号技術の進歩を阻害し、強いては米国の競争力 に悪影響を与えるという意見もある。

 クリッパーチップのアルゴリズムの信頼性を疑う声もある。NSAが開発したSKIPJACKと呼ばれるアルゴリズムの 詳細は秘密にされたままである。何人かの暗号の専門家が信頼性を保証しても、どこかに欠陥がないとは言えない。実際、94年6月にはAT&T社の ベル研究所のDr. Matthew Blazeは、偽のLEAFを作ることができる、つまり合法的な盗聴を不可能にできる方法があることを指摘した。このLEAFと呼ばれる情報領域には暗号 化されたセッション・キーが含まれており、合法的な盗聴を行う場合はこのLEAFからセッション・キーを取り出すことになっている。したがって、LEAF が偽造されれば、盗聴しても復号化できないことになる。このためにLEAFには改竄を防ぐための16bitのチェックワードが付いている。Dr. Blazeは適当なLEAFを作成し、システムがOKするまでチェックワードを1bitずつ変化させるという方法で偽造が可能であることを証明したのであ る。
 この指摘についてチップの設計者は、(1) EES自体のセキュリティが変わるわけではない、(2) 電話のようなリアルタイムの通信の場合には問題にならない、(3) 16bitのチェックワードを長くすれば改善できるが、当初の設計段階では全体で128bitしかないLEAFのチェックワードとしては適当であっ た、(4) Dr. Blazeが実験したのはプロトタイプで、すでにこの部分は改良されている、と回答している。

 しかし、Dr. Blazeが指摘した欠陥は修復されるとしても、もし、5年後に数千万、数億のチップが利用されているときに欠陥が発見されたら、あるいは誰かが隠し扉を 発見したとしたら、と考えると恐ろしいものがある。Nicholas Baranは"Inside the Information Superhighway Revolution"という本の中で、2000年に一人のハッカーがクリッパーチップの隠し扉を発見してEESによる暗号が解読されるという架空のエピ ソードを書いている(邦訳は「情報スーパーハイウェイの衝撃」、勝又美智雄訳、日本経済新聞社)。クリッパーチップに反対する人達は、たとえ専門家の保証 があっても、個人のプライバシーや企業の機密を、アルゴリズムの詳細が秘密になったままのシステムには安心して任せられないと言っている。

クリッパーチップのその後

 クリッパーチップに対する反対意見が強まる中、94年7月にクリントン政権は産業界に対して、クリッパーチップに代わ る暗号標準の開発を呼びかけた。これは一見、反対論者の勝利に見える。事実、一部ではそう報道された。しかし、ホワイトハウスの基本姿勢は変わっていない ようだ。議会におけるEES反対派リーダーの一人であるMaria Cantwell下院議員(94年の選挙で落選、民主党-ワシントン州)にホワイトハウスから届いた手紙によれば、ゴア副大統領は、クリッパーチップをコ ンピュータ通信には利用しないが、電話には利用する方針である。また、より経済的でアルゴリズムが秘密でない暗号方式をEESの代替として捜しているもの の、第三者にキーを預ける方式をとるという方針にも変化はない。政府が市民のプライバシーを侵害しようとしているという非難に対しては、ゴア副大統領は、 キーを預ける第三者は「民間セクターであってもよい」と述べ、さらにこのシステムの採用は任意の制度(ボランタリーなもの)であり、かつ輸出も可能だと述 べている。

 この新しい暗号方式開発の呼び掛けに対し、産業界は冷たい態度をとるだろうと予想されていた。しかし、94年8月に TIS社 (Trusted Information Systems, Inc.) が、KEES (Key Escrow Encryption System) と呼ばれるシステムを発表した。この暗号は公開鍵暗号であり、単に情報を暗号化して送るだけでなく、送られてきた情報が正当なもので、改竄されていないこ とを確認することも可能である。また、すべてソフトウェアで処理するため、他の暗号と組み合わせて利用することも容易である。その他は基本的にEESと同 じように機能する。つまり、復号化のための鍵は第三者(政府あるいは民間企業)によって安全に保管され、利用者が鍵を紛失した場合や、政府機関が法的な手 続きを取った場合に取り出されることになる。

 さて、クリッパーチップの運命はどうなるのだろう。

DESとtriple-DES

 統計がないので確かなことは言えないが、米国で商業用に利用されている最も一般的な暗号はDES (Deta Encryption Standard) だろう。DESは73年頃にNBS (National Bureau of Standards、現在のNIST) が中心となって開発した暗号で、政府内での利用だけでなく、民間でも広く利用されている。

 DESは共通鍵暗号であるが、ビット単位の転置や可逆演算を組み合わせた複雑な暗号である。暗号標準として利用され始 めた70年代後半には、ミニコンを100万台並べれば解読できると警告されたが、特に事件もなく実用的な暗号として普及していった。例えば、米国の銀行や 証券会社は、このDESを利用して世界市場で一日に約2.3兆円ものお金を取引している。しかし、最近になって暗号の専門家は、犯罪者が高性能なコン ピュータを利用して、DESによる暗号を解読するのは時間の問題だと警告している。DESのキーは64bitであるが、そのうち8bitはエラー訂正用の チェックビットなので、実際のキーは56bitである。このキーの短さが問題になっているのである。日々高速になっていくコンピュータは、力づくで 56bitのキーを用いた暗号を解読するに十分な能力を備えつつある。ボストンの暗号の専門家は「20年以上もよく保ったと言うべきだ」と述べている。

 そこでいくつかの銀行は「triple-DES」と呼ばれる暗号への移行を検討している。このtriple-DES は、DESの2倍の長さのキーを用いて、DESと同じアルゴリズムによる演算を3回繰り返すことによって解読を困難にした暗号である。

 ここにも問題はいくつかある。まず、暗号方式を変えるためのコストである。例えば米国の銀行ではATM (Auto Teller Machine) にもDESは組み込まれている。このため暗号方式を変更するためには膨大なコストが必要になる。

 もう一つの問題は、連邦政府、特にNSAの反対である。NSAは、犯罪捜査や国家安全保障への影響を考え、 triple-DESの普及および輸出に反対する立場を取っている。さらに、NSAはtriple-DESには技術的な欠陥があるかもしれないので、 triple-DESを利用すべきでないとも述べている。これに対してEFF (Electronic Frontier Foundation) のMike Godwinは、「もしtriple-DESに穴があるなら、輸出を禁止する必要はないはずだ。NSAの言っていることはつじつまが合わない。NSAは EES(クリッパーチップ)の対抗馬の信用を落としたいだけなのだ」と述べている。

 こうした動きに別の解決策を提案する声もある。BBN社 (Bolt Beranek and Newman, Inc.) のStephen T. Kentは、「triple-DESによって暗号の安全性は高まるかもしれないが、実際に産業界が必要としているのは、情報の改竄・偽造防止と情報が本物 であることを証明してくれるシステムである。したがって公開鍵暗号と電子署名のシステムを採用して行くことになるだろう」と述べている。

 また、カリフォルニア州レッドウッドにあるRSA データセキュリティ社では、DESより60倍も高速に計算でき、かつ強力な暗号「RC5」を開発したと発表した。このRC5はキーの長さ、データのブロッ ク長などをユーザが自由に変えられるという特徴をもっているという。
 いずれにしても、DESに代わる暗号が何になるのか、結論が出るまでにはもう少し時間がかかるようだ。

(次号に続く)


この記事が気に入ったらサポートをしてみませんか?