＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
    __
    /Ｐ▲        ◆ JPNIC News & Views vol.1299【臨時号】2015.4.17 ◆
  _/ＮＩＣ
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1299 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、vol.1298に続き、第92回IETFミーティングのレポート[第2弾]とし
て、楕円曲線の話題にフォーカスを絞り、IETFにおける暗号技術に関する議
論の動向をご紹介します。

4月15日に発行した全体会議報告については、下記のURLからバックナンバー
をご覧ください。また、以降の連載では、IPv6関連WGおよびDNS関連WGの報告
を順次お届けする予定です。

□第92回IETF報告 特集
  ○[第1弾] 全体会議報告 (vol.1298)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2015/vol1298.html

なお、来週の4月24日(金)にISOC-JPとJPNICの主催で、東京・田町にて「IETF
報告会(92ndダラス)」も開催いたします。参加申し込みは23日(木)の17時ま
でとなっておりますので、こちらもご興味がありましたら、ぜひご参加くだ
さい。

□IETF報告会(92ndダラス)開催のご案内
  https://www.nic.ad.jp/ja/topics/2015/20150409-02.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第92回IETF報告 [第2弾] IETFにおける暗号技術に関する動向(楕円曲線)
                                        NTTソフトウェア株式会社 菅野哲
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

第90回IETF報告(*1)において報告しました「Pervasive Surveillance (大規
模な盗聴行為)」の対策として、暗号技術を用いたさまざまな提案がされまし
た。今回の第92回IETFにおいても、最近の暗号技術に関する対策について検
討が行われた、記念日的なIETF会合である第88回IETF(*2)から引き続き話題
性があるようです。

本稿では、第92回IETFにおけるセキュリティ関連の報告のうち、セキュリティ
エリアでの技術的な動向に大きく影響すると予想されるIRTF (Internet
Research Task Force)にある暗号のグループであるCFRG (Crypto Forum
Research Group)で議論された「新しい楕円曲線の動向」について報告したい
と思います。

(*1) https://www.nic.ad.jp/ja/mailmagazine/backnumber/2014/vol1225.html
(*2) https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1152.html


◆ NISTが承認した楕円曲線以外を選定することに関する動向

第90回IETFで開催されたIRTFにある暗号のグループであるCFRGにおいて、新
しい楕円曲線としてNUMS Curves (Nothing Up My Sleeve Curves - バックド
アのない楕円曲線)や、高速化が期待できるCurve25519、Curve41417、E-512
と言った楕円曲線が提案されたことが報告されました。これらの楕円曲線に
関する議論について、今回の会合で方向性が決定したことが共有されたので
報告します。

1. CFRGで検討した楕円曲線に関する状況について

IETFで検討されているTransport Layer Security (TLS)や、X.509証明書を含
む暗号技術を用いたアプリケーション向けに利用されることを想定した、素
体上の楕円曲線のための確定的なパラメータ生成アルゴリズムを規定するこ
とを目的としたInternet Draft (I-D)の第2版が投稿されたことが報告されま
した。

なお、このI-Dで規定された楕円曲線の安全性レベルは、等価安全性の観点か
ら128bitセキュリティおよび224bitセキュリティを実現することができます。
等価安全性とは、米国商務省国立標準技術研究所(NIST)によって提唱されて
いる、公開鍵暗号や共通鍵暗号のような異なる種類の暗号技術に対しても、
同一の評価尺度で安全性を表すようにした基準です。例えば、128bitセキュ
リティでは共通鍵暗号は128bitの鍵長、RSAのような素因数分解問題に基づく
方式であれば3072bitの鍵長、ECDSAのような楕円曲線上の離散対数問題に基
づく方式であれば、256bitの鍵長となります。詳細は、下記に示すI-D (*3)
をご確認いただけたらと思います。

(*3) Elliptic Curves for Security (draft-irtf-cfrg-curves-02)
     http://tools.ietf.org/html/draft-irtf-cfrg-curves-02

ここでは、今回の会合で報告された変更点を示します。

  - 追加された楕円曲線

    以前から有力視されていたCurve25519に加えて、Goldilocksという楕円
    曲線が追加されました。この楕円曲線は、224bitセキュリティの安全性
    を実現することができ、2^448 - 2^224-1で3 mod 4と合同という条件を
    満たす特徴を持った素数を利用しており、これは広いアーキテクチャで
    の高いパフォーマンスを期待できます。現状のステータスは、異なるパ
    ラメータサイズで動作するようにアルゴリズムを微修正している状況で
    すが、アルゴリズムの正しさの確認は行われていない状況とのことです。
    今後、専門家によるレビューで確認されることが予想されます。

  - Diffie-Hellman鍵交換のためのu-value

    このI-Dで記述されているCurve25519やCurve448を用いた楕円曲線上の
    Diffie-Hellman鍵交換を実現するために、GF (2^255-19)やGF
    (2^448-2^224-1) からなる要素であるu-valueを送信することを決定しま
    した。

  - ゼロ出力に関するチェック

    現在のI-Dに記述されている手順において、間違った位数が入力された場
    合の確認処理が不十分であることが報告されました。

  - パラメータ生成

    エドワード曲線を生成し、同型写像や同種を得るために必要となるパラ
    メータ生成を使用します。このI-Dでは、SAGEというPythonベースの数学
    ライブラリを用いて、Curve25519やCurve448向けのu=5に関するベースポ
    イントを生成したとのことです。

これらのトピックについては、CFRGのメーリングリスト上でIETF 92までの間
に活発に議論されていたため、方針に影響を与えるような大きな質問はなく、
スムーズな合意形成が行われました。

2. CFRGで検討した楕円曲線の今後について

CFRGのco-chairであるKenny Paterson氏から、CFRGで検討した楕円曲線に関
する状況やElliptic Curves for Security (draft-irtf-cfrg-curves-02)を
踏まえて、楕円曲線に関する現状の活動と今後について発表がありました。
本稿では、発表でのポイントとなる部分を抜粋して報告します。

  - Research Group (RG)としての決定事項について

    RGは、新しい楕円曲線としてCurve25519 (128bitセキュリティ)と
    Goldilocks曲線(224bitセキュリティ)の二つの曲線を選択しました。こ
    れらの曲線は確定的な方法で生成される特性を持っており、Elliptic
    Curves for Security (draft-irtf-cfrg-curves-02)で規定されているも
    のとなります。

  - IETF/IRTF以外での取り組みについて

    IETF/IRTFで議論した結果について、2015年6月11日にNIST主催で開催さ
    れるWorkshopであるElliptic Curve Cryptography Standards (*4)に対
    して、IETF/IRTFとしてのインプットとして提案したことが共有されまし
    た。また、World Wide Web Consortium (W3C)とも情報交換を実施してい
    ることも共有されました。

  - 新しい楕円曲線を用いた署名方式に関する検討について

    新しい楕円曲線を決定しただけでは、我々が生活の中で利用しているよ
    うな鍵交換やデジタル署名として利用することができません。次のステッ
    プとして、今回選択した新しい楕円曲線を用いたデジタル署名方式を定
    義することに注力することが報告されました。いくつかの選択肢として
    のデジタル署名候補として、以下のような方式が共有されました。

 ・ 新しい楕円曲線上でのECDSA

    従来、NIST曲線を利用したECDSAは標準化されており、正しい演算が行わ
    れたかどうか、正しく実装されているかを確認するためのテストベクタ
    が公開されていますが、今回のように楕円曲線を変更することで得られ
    るデジタル署名の結果が異なる値になるため、新たなテストベクタが必
    要となります。

 ・ 脱ランダム化(De-randomised)されたECDSA

    De-randamizedされたECDSAは、一般的な故障モード攻撃を避ける特徴が
    あり、署名値であるrを署名対象データであるメッセージのハッシュ値と
    署名鍵による生成か、署名鍵を含まない擬似乱数関数 (Pseudo-Random
    Function; PRF)を用いた生成が可能になるデジタル署名です。

  ・EdDSA

    通常のDSAとは異なり、DSAと同様な離散対数問題に基づいた方式である
    シュノア署名の変形版です。この方式は、脱ランダム化に関する仕組み
    を活用しており、よく利用されているECDSAとは異なる検証方法を利用し
    ます。オープンソースコミュニティへの採用実績としては、OpenSSHに実
    装されています。

これまでの取り組みや方針が共有されるだけではなく、CFRG参加者に対して
いくつかの質問が投げかけられました。ここで投げかけられた質問は、今後
の楕円曲線に関する方針に大きく影響を与えるため、以下に示す四つの質問
を共有したいと思います。

  ・ 上記で列挙した三つのデジタル署名方式以外に検討すべき方式はある
     か？
  ・ TLSプロトコルに関するNISTの遵守事項をどの程度考慮すべきか？
  ・ 他のアプリケーションに関して遵守事項をどの程度考慮すべきか？
  ・ タイムリーに役立つ結論を得るための議論をどのように構造化すべき
     か？

上記の質問を受けて会場で行われた議論の抜粋を以下に示します。

  ・ NIST曲線であるP-256やP-384上でのECDSAを取り扱っているのではない
     ため、IETF/IRTFとしてはNISTの遵守事項について考慮すべきではない
     のでは？
  ・ IETF/IRTFとしてNISTと関わりあうべきであり、考慮しなくて良い存在
     ではない
  ・ 銀行やそれ以外の高付加価値の組織に受け入れられるかどうかを考慮す
     べきでは？
  ・ シュノア型のデジタル署名の変形版であるEdDSAでは、既存のECDSAと異
     なるAPIになることが予想される

今回の第92回IETFにおいて、新しい楕円曲線に関する議論について方向性は
示されましたが、これらの楕円曲線の応用として検討されているデジタル署
名方式を取り巻く状況は、会合での議論からも予想できるように、まだ方向
性の確定までに時間が掛かりそうな状況です。ここでの決定がIETFで検討さ
れているさまざまなエリアのWGへの仕様検討にも影響があることから、今後
とも注目することが重要になると思います。

(*4) http://www.nist.gov/itl/csd/ct/ecc-workshop.cfm


◆ 参考：楕円曲線関連の発表資料

  - CFRGで検討した楕円曲線に関する状況についての発表資料
    http://www.ietf.org/proceedings/92/slides/slides-92-cfrg-0.pdf

  - Curves - next stepの発表資料
    http://www.ietf.org/proceedings/92/slides/slides-92-cfrg-8.pdf


     ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
       わからない用語については、【JPNIC用語集】をご参照ください。
             https://www.nic.ad.jp/ja/tech/glossary.html
     ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1299/3ffec2afff2efea371ed027d5c747421┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1299/a9b4bc39223f6abdf0adbc71efa0c68c┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  ::::: https://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
 JPNIC News & Views vol.1299 【臨時号】

 ＠ 発行  一般社団法人 日本ネットワークインフォメーションセンター
          101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
 ＠ 問い合わせ先  jpnic-news@nic.ad.jp
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
            本メールを転載・複製・再配布・引用される際には
        https://www.nic.ad.jp/ja/copyright.html をご確認ください
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
登録・削除・変更   https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     https://www.nic.ad.jp/ja/mailmagazine/backnumber/
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
■■■■■     News & ViewsはRSS経由でも配信しています！    ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

■■◆                          ＠ Japan Network Information Center
■■◆                                     ＠  https://www.nic.ad.jp/
■■

Copyright(C), 2015 Japan Network Information Center