「Cryptography(暗号技術)」の現状について考える(後編):ハードウェアの暗号技術・ブラックスワンの出現・ユーザがすべきこと

2014年5月9日の本ブログで、「Cryptography(暗号技術)」の現状についての考察を述べました。今回はその後編です。

■ハードウェアは安全か
前編の終わりに、後編でハードウェアの暗号技術の安全性について述べると書きました。実際のところ、ハードウェアで利用される暗号技術も安全ではありません。近年、チップメーカーでは、CPU やチップセットに暗号技術を実装をしています。通常実装されるのは、「標準」とされる「Advanced Encryption Standard(AES)」や、「pseudorandom number generator(PRNG、擬似乱数生成器)」といった暗号技術です。

米国の「National Security Agency(NSA、国家安全保障局)」の元職員 Edward Snowden によって、同国の「National Institute of Standards and Technology(NIST、国立標準技術研究所)」が 2006年に公開した「Dual_EC_DRBG PRNG」など、さまざまな暗号アルゴリズムを NSA が解読していたことが内部告発された後でも、AES には裏口からの突破や攻撃可能な不具合がないと考えられています。しかし、もし AES が破られたらどうなるでしょう。暗号化処理を実行するハードウェアは使用できなくなります。実装に不具合があることがわかり、修復ができないとしても、それを使い続けるライブラリもあるでしょう。なぜならそうした実装が存在し続けるからです。

しかし、アルゴリズムに不具合があるのか、それとも実装に問題があるのかというのは的が外れています。ハードウェアに暗号技術が実装されると、問題が発覚してもそれを修復したり、無効にすることができません。Intel や Advanced Micro Devices(AMD)、ARM、その他の半導体メーカーは、すべてのAESアルゴリズムを個別の命令として実装しています。どんなアルゴリズムの実装にも使用できる一般的な「Cryptographic primiteives(暗号プリミティブ)」を実装し、それぞれの暗号プリミティブを十分に検証したほうが懸命だったのではないでしょうか。考慮すべき点です。

これはもはや理論上の問題ではありません。Unix系オープンソースである「OpenBSD」の親戚にあたるプロジェクト「FreeBSD」では、Intel や VIA のチップセットに実装された PRNG は信用できず、他の拡大アルゴリズムを用いてこれらを使用することに決定しました。彼らの疑惑が根拠に基づいたものであるかは定かではありませんが、ハードウェアをよく調査すべきという警鐘となるでしょう。

ハードウェアの暗号技術の安全性に対して懐疑的になる別の面は、鍵とアルゴリズムの秘密性です。A5/1 や A5/2は、第二世代携帯電話(2G)の規格「GSM」のセルラーネットワーク上で音声通信の暗号化に利用されるアルゴリズムです。これらは、許可されたチップに実装することで情報を保護できると考えられていました。

しかし、1994年、ある研究者によって、このチップの解読はそれほど難しくないことが示されました。そして、2003年に、これらのアルゴリズムに不具合があることが確認され、また A5/2 は、設計的に A5/1 よりも脆弱であることが判明しました。

不具合が発覚すると、攻撃者たちは、外部から読まれることを設計していないファームウェアから面白がって鍵を抽出し、娯楽のようにチップを解読しました。悪夢のような話です。

■ブラックスワンは出現するか
諜報機関を敵と考えている人にとっては、暗号を破るといった話でなくてもその存在に不安を感じるでしょう。大量の情報を収集し、前代未聞の計算能力があるとされ、暗号に通じた頭脳集団を持つ諜報機関は、率直に言って、怖い存在です。諜報機関が暗号を解読するのに十分な理由があることを考えると、現在一般的に使用されている暗号のほとんどが解読される可能性があります。最善の保護は、暗号を進化させ続け、それを上手に使い続けることです。

十分な資金のある諜報機関からの脅威に不安を感じない、もしくは諦めた人にも、別の不安があります。それは、量子計算です。量子計算は、研究段階が終われば、ほとんどの暗号を解読するのに必要なすべての計算を瞬時に行うことができます。これは徐々に起きるものではありません。これは、コンピュータセキュリティにおける「予期できない事象(ブラックスワン)」です。運の良いことに、現在購入できる断熱量子コンピュータは非常に高価で、なおかつ厳密には量子コンピュータはありません。ですから、これらの量子コンピュータは、今のところは脅威ではありません。

逆に、量子暗号は、おそらく救いとなるでしょう。これは従来の暗号より範囲が限定されるため、すべてが置き換わることにはなりません。しかし、いくつかの新しい機能が加わる可能性があります。こちらも現実に近づいています。2000年代初めには、スイスの研究者がジェノバとローザンヌの間に光ファイバーケーブルを設置し、「量子鍵配送(QKD)」に成功しました。この技術にはまだ多くの問題があるものの、実用化も近いように思えます。

しかし、一般的に利用されているアルゴリズムやその実装に存在する不具合の中に現れる小さなブラックスワンも見過ごしてはいけません。こうしたことは、もっとも予期していない時に起こるものです。

■ユーザは何をすべきか
最近では、プライバシー保護と統合化のために、ほぼすべてのものに暗号技術が利用されています。インターネットと日常生活の境界線はもはやなくなり、暗号プロトコルやアルゴリズムが私たちを保護してくれる唯一の手段になることが頻繁にあります。しかし、暗号を利用していれば安全だと短絡的に考えないほうがいいでしょう。暗号は進化するプロセスです。ユーザは、常に暗号技術に注意を払い、古く安全でないアルゴリズムやプロトコルは、気づいたら交換できるようにしておくべきです。そのためには、ある暗号文から別の暗号文に情報を移行し、多くの鍵を更新することになります。

これは簡単なことではなく、間違いも起こるかもしれません。しかし、Heartbleed脆弱性が発覚した際、ほんのわずかな時間でほとんどの主要な Webサイトが更新されたことは、最も明るい側面かもしれません。ほとんどのユーザにとって、危険な状態にさらされたのは、比較的短い期間でした。

しかし、インターネット上の小中規模の無数の Webサイトやサービスがいまだ脆弱な状態にあります。これはすべての人が整った環境で良いセキュリティ対策をしているわけではないことを示しています。さらに悪いことに、私たちを取り巻く電子機器は、同じ種類の技術を組み込んでいることが多々あります。「すべてをつなぐインターネット(IoE)」は、誰が更新するのでしょうか。そもそもそのプロセスは存在するのでしょうか。メーカーが脆弱性への対応を怠ったり、修復方法を知らなかったために、電子機器の 1つが脆弱性を利用した攻撃を受け、家庭にある電子機器がユーザの敵に回ることはあるのでしょうか。

現在のところ、ほとんどの暗号技術は原則的には健全です。しかし、暗号技術への脅威が進化しており、暗号もそれに呼応して進化しています。暗号技術を使用するユーザはいつでもそれに適応していく必要があるでしょう。

参考記事:

  • The State of Cryptography in 2014, Part 2: Hardware, Black Swans, and What To Do Now
    by Morton Swimmer (Senior Threat Researcher)
  •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)