...

報告書(平成22年3月)(PDF形式:1.61MB)

by user

on
Category: Documents
17

views

Report

Comments

Transcript

報告書(平成22年3月)(PDF形式:1.61MB)
電子署名法における暗号アルゴリズム移行研究会
報告書
平成22年3月
目
次
1.はじめに ................................................................................................................ 5
2.暗号アルゴリズムの移行に関するこれまでの取組状況.......................................... 6
(1)電子署名法検討会における検討概要............................................................... 6
(2)特定認証業務に係る電子署名の基準への SHA-2 の追加................................. 7
【参考】電子署名法に関する暗号アルゴリズムに関する規定................................... 8
3.暗号アルゴリズムの安全性に関する状況............................................................. 10
(1)ハッシュ関数 SHA-1 の安全性 ..................................................................... 10
(2)RSA 暗号の安全性........................................................................................ 11
4.本研究会の検討課題............................................................................................. 13
5.暗号アルゴリズムの移行方法 .............................................................................. 14
(1)基本的な考え方............................................................................................. 14
(2)新局立ち上げ方式 ......................................................................................... 14
①
認証業務名について ..................................................................................... 15
②
電子証明書失効リスト(CRL)及び認証局証明書失効リスト(ARL)につい
て......................................................................................................................... 18
③
旧認証局の廃止手続き.................................................................................. 18
(3)鍵更新方式.................................................................................................... 20
①
リンク証明書について.................................................................................. 20
②
電子証明書失効リスト及び認証局証明書失効リストについて ...................... 21
③
フィンガープリントについて ....................................................................... 21
(4)その他の方式 ................................................................................................ 23
6.暗号アルゴリズムの移行スケジュールについて .................................................. 24
(1)基本的考え方 ................................................................................................ 24
(2)政府情報システム等の暗号アルゴリズムの移行スケジュール ...................... 24
2
①
政府全体の暗号移行スケジュール ................................................................ 24
②
政府認証基盤(GPKI)の移行スケジュール ................................................ 25
③
署名検証アプリケーション(電子入札コアシステム)の移行スケジュール. 27
④
公的個人認証サービスにおける移行スケジュール........................................ 28
(3)電子署名法における暗号アルゴリズムの移行スケジュールの検討 ............... 29
①
移行パターン1.......................................................................................... 30
②
移行パターン2(条件付 Y-day 延長)......................................................... 31
③
その他の移行パターン例 .............................................................................. 32
④
移行パターンに関するまとめ ....................................................................... 33
(4)各移行パターン共通の検討課題に関する考え方 ........................................... 34
①
緊急時対応計画(コンティンジェンシープラン)について.......................... 34
②
暗号アルゴリズムの移行に係る指定調査機関が行う調査方法について ........ 35
③
政府認証基盤(GPKI)との相互認証に関する課題 ..................................... 36
④
指定調査機関の調査と GPKI の相互認証手続きを踏まえた具体的な移行スケ
ジュールイメージ ................................................................................................ 38
7.暗号アルゴリズムの移行作業に関する留意点...................................................... 40
8.認定認証事業者、指定調査機関、主務省での連絡体制の整備 ............................. 40
9.利用者及び署名検証者に対する周知方法について............................................... 41
10.まとめ .............................................................................................................. 41
3
凡例:
「電子署名法」又は「法」
… 電子署名及び認証業務に関する法律(平成 12 年法律第 102 号)
「電子署名法施行規則」又は「施行規則」
… 電子署名及び認証業務に関する法律施行規則(平成 13 年総務省・法務省・経済産業
省令第2号)
「電子署名法指針」又は「指針」
… 電子署名及び認証業務に関する法律に基づく特定認証業務の認定に係る指針(平成
13 年総務省・法務省・経済産業省告示第2号)
4
1.はじめに
電子署名及び認証業務に関する法律(平成 12 年法律第 102 号)は、安全かつ信頼性
のある電子商取引を促進するため、紙文書に対する手書き署名や押印の法的効力と同様
に、電子文書に対する電子署名の法的効力を規定した法律として、平成 13 年 4 月に施
行された。現在、電子入札・電子申請等、政府の情報システムでの電子署名の活用が進
み、民間においても電子商取引への利用が拡大している。
しかしながら、暗号技術の安全性評価等をおこなっている「暗号技術検討会1(座長:
今井秀樹中央大学教授)」において、電子署名等に広く使用されているハッシュ関数
SHA-1 及び鍵長が 1024 ビットの公開鍵暗号 RSA(以下「RSA1024」という。)の安全性
の低下が指摘された。これらの指摘等を踏まえ、電子署名法附則第三条の規定を踏まえ
て開催された「電子署名及び認証業務に関する法律の施行状況に係る検討会(座長:辻
井重男情報セキュリティ大学院大学学長(当時))」において、電子署名法における暗
号アルゴリズムの移行スケジュール等に関して報告書が取りまとめられた(平成 20 年
3 月)。また、
「政府機関の情報システムにおいて使用されている暗号アルゴリズム SHA-1
及び RSA1024 に係る移行指針(平成 20 年 4 月情報セキュリティ政策会議決定)」が策
定されるなど、政府全体でも暗号アルゴリズムの移行の問題への取り組みが進んでいる
状況である。
このような状況の下、電子署名法上の暗号アルゴリズムの移行における技術面、制度
面の課題を調査・分析し、認定認証業務における暗号アルゴリズムの円滑な移行を可能
とするべく、必要な実務面及び移行スケジュールに係る検討を行うため、「電子署名法
における暗号アルゴリズム移行研究会(以下、
「本研究会」)」を設置し、検討を行った。
以下に、本研究会において検討した結果を報告する。なお、関係者はこれを受けて必
要な措置を講ずるとともに、更なる検討が必要な課題については適切な体制の下で継続
的に検討を行っていくことが望まれる。
1
総務省大臣官房技術総括審議官及び経済産業省商務情報政策局長の私的研究会。
5
2.暗号アルゴリズムの移行に関するこれまでの取組状況
(1)電子署名法検討会における検討概要
「電子署名及び認証業務に関する法律」附則第三条の規定を踏まえて開催された「電
子署名及び認証業務に関する法律の施行状況に係る検討会」(以下「電子署名法検討会」
という)において、暗号アルゴリズムの移行に関する検討が行われ、報告書が公開され
た(平成 20 年 3 月)。
同報告書においては、暗号技術検討会における提言等も踏まえ、電子署名で広く用い
られている暗号アルゴリズムであるハッシュ関数 SHA-1 及び公開鍵暗号 RSA1024 の安全
性の低下への対応について検討が行われ、電子署名法に基づく特定認証業務について、
より安全性の高い SHA-22及び鍵長 2048 ビットの RSA 暗号(以下「RSA2048」という。)
への移行について、以下のスケジュールを基本として実施することが示されている。
2008年度
暗号アルゴリズムの移行に向けた具体的な検討の開始、特定認証業務に係る
早期
電子署名の基準にSHA-2を追加3。
(2010年度)
(政府機関システム暗号移行開始) *政府機関システム移行指針(案)による
(2013年度)
(政府機関システム新旧暗号アルゴリズム(SHA-1及びSHA-2、RSA1024bit及び
2048bit)対応環境構築が完了) *政府機関システム移行指針(案)による
2013年度末
認定認証事業者に対して、暗号移行に係る変更認定のための調査が必要な場
まで
合は実施し、認定認証事業者は、RSA2048bitを用いた発行者鍵ペア4を新たに
生成する必要がある場合は、生成。
2014年度
認定認証事業者は、RSA2048bitによる発行者鍵ペアを活性化させSHA-2及び
早期まで
RSA2048bitによる電子署名についての認証業務を開始。
2014年度
SHA-1、RSA1024bitによる利用者電子証明書の有効期間後に、特定認証業務
末前後を目
に係る電子署名の基準から、SHA-1、RSA1024bitを削除。
途
(SHA-1、RSA1024bit による利用者電子証明書の有効期間について、各認
定認証事業者は、SHA-2、RSA2048bit による利用者電子証明書への切替を
考慮し、あらかじめ調整を図ること等が求められる。)
(出典:電子署名法検討会報告書
2
SHA-256、SHA-384、SHA-512
3
電子署名法指針改正(2009 年 4 月)により、SHA-2 を追加済み。
4
発行者署名符号と発行者署名検証符号のペア。
6
P21
図2-6より抜粋)
また、同報告書においては、上記スケジュールは、
「あくまで SHA-1、RSA1024bit の急
速な危殆化を前提としていないものであるとのことで、状況によっては、緊急的措置(コ
ンティンジェンシープランの発動)が必要である。今後主務省は、暗号技術検討会等の意
見等を踏まえ、早急にコンティンジェンシープランを作成し、暗号の急速な危殆化に備え
るべきである。」との提言がされている。
さらに、
「暗号アルゴリズムの移行に当たっては、認証事業者のほか、機器ベンダ、SI 事
業者及びエンドユーザ等に対しての、コストやシステム更改のタイミング等を含めた影響
を十分に考慮し、関係者相互の合意形成を図りながら進めていくことが必要である。」とさ
れており、暗号アルゴリズムの「詳細な移行手順の策定」等に関しても関係者を交えた更
なる検討及び調整が必要であることが指摘されている。
(2)特定認証業務に係る電子署名の基準への SHA-2 の追加
同報告書の指摘事項を踏まえ、2009 年 4 月に「電子署名及び認証業務に関する法律
に基づく特定認証業務に係る指針」の改正(平成 21 年総務省・法務省・経済産業省告
示第 11 号)が行われ、同指針第三条及び第十条に、SHA-2 が追加された。これにより、
電子署名法においては、SHA-2 を用いた特定認証業務を実施可能な状態となっている
(RSA2048 については、同指針改正前より実施可能。)。
7
【参考】電子署名法に関する暗号アルゴリズムに関する規定
特定認証業務において使用する暗号アルゴリズムについて、電子署名法、電子署
名法施行規則、電子署名法指針において、以下の通り、電子署名の方式等を規定し
ている。(2009 年 4 月、電子署名法指針改正後)
①
利用者の電子署名の方式
【電子署名法】
第二条 この法律において「電子署名」とは、電磁的記録(電子的方式、磁気的方式その他人の知
覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理
の用に供されるものをいう。以下同じ。
)に記録することができる情報について行われる措置で
あって、次の要件のいずれにも該当するものをいう。
一 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。
二 当該情報について改変が行われていないかどうかを確認することができるものであること。
3 この法律において「特定認証業務」とは、電子署名のうち、その方式に応じて本人だけが行う
ことができるものとして主務省令で定める基準に適合するものについて行われる認証業務をい
う。
【電子署名法施行規則】
第二条 法第二条第三項の主務省令で定める基準は、電子署名の安全性が次のいずれかの有する困
難性に基づくものであることとする。
一 ほぼ同じ大きさの二つの素数の積である千二十四ビット以上の整数の素因数分解
二 大きさ千二十四ビット以上の有限体の乗法群における離散対数の計算
三 楕円曲線上の点がなす大きさ百六十ビット以上の群における離散対数の計算
四 前三号に掲げるものに相当する困難性を有するものとして主務大臣が認めるもの
【電子署名法指針】
第三条 規則第二条の基準を満たす電子署名の方式は、次の各号のいずれかとする。
一 RSA方式であって、ハッシュ関数としてSHA-1を使用するもの(オブジェクト識別子
一 二 八四〇 一一三五四九 一 一 五)
、SHA-256を使用するもの(オブジェクト
識別子 一 二 八四〇 一一三五四九 一 一 一一)
、SHA-384を使用するもの(オ
ブジェクト識別子 一 二 八四〇 一一三五四九 一 一 一二)又はSHA-512を使
用するもの(オブジェクト識別子 一 二 八四〇 一一三五四九 一 一 一三)のうち、
モジュラスとなる合成数が千二十四ビット以上のもの
二 RSA-PSS方式(オブジェクト識別子 一 二 八四〇 一一三五四九 一 一 一〇)
8
であって、ハッシュ関数としてSHA-1(オブジェクト識別子 一 三 一四 三 二 二
六)
、
SHA-256
(オブジェクト識別子 二 一六 八四〇 一 一〇一 三 四 二 一)
、
SHA-384(オブジェクト識別子 二 一六 八四〇 一 一〇一 三 四 二 二)又
はSHA-512(オブジェクト識別子 二 一六 八四〇 一 一〇一 三 四 二 三)
を使用するもののうち、モジュラスとなる合成数が千二十四ビット以上のもの
三 ECDSA方式であって、ハッシュ関数としてSHA-1を使用するもの(オブジェクト識
別子 一 二 八四〇 一〇〇四五 四 一)
、SHA-256を使用するもの(オブジェクト
識別子 一 二 八四〇 一〇〇四五 四 三 二)
、SHA-384を使用するもの(オブジ
ェクト識別子 一 二 八四〇 一〇〇四五 四 三 三)又はSHA-512を使用するも
の(オブジェクト識別子 一 二 八四〇 一〇〇四五 四 三 四)のうち、楕円曲線の定
義体及び位数が百六十ビット以上のもの
四 DSA方式であって、ハッシュ関数としてSHA-1を使用するもの(オブジェクト識別子
一 二 八四〇 一〇〇四〇 四 三)であり、かつ、モジュラスとなる素数が千二十四ビッ
トのもの
②
発行者を確認するための措置として行われるもの
【電子署名法施行規則】
第六条
六 電子証明書には、その発行者を確認するための措置であって第二条の基準に適合するものが
講じられていること。
③
利用者その他の者が認定認証業務と他の業務を誤認することを防止するために用い
られるもの
【電子署名法施行規則】
第六条
七 認証業務に関し、利用者その他の者が認定認証業務と他の業務を誤認することを防止するた
めの適切な措置を講じていること。
【電子署名法指針】
第十条 規則第六条第七号に規定する利用者その他の者が認定認証業務と他の業務を誤認するこ
とを防止するための適切な措置には、次の各号に掲げる措置が含まれるものとする。
二 発行者署名検証符号に係る電子証明書の値をSHA-1、SHA-256、SHA-384又
はSHA-512のうちいずれか一以上で変換した値によって認定認証業務を特定すること。
9
3.暗号アルゴリズムの安全性に関する状況
(1)ハッシュ関数 SHA-1 の安全性
ハッシュ関数は、入力データの長さに関わらず、固定ビット長の値(ハッシュ値)
を出力する関数である。出力から入力を簡単に計算できない一方向性と、同じハッシュ
値を生成する異なるデータの発見に対する困難性(衝突困難性)があり、その特性を利
用して、電子署名を付した文書の改ざんの有無を検出するための技術の一つとして利用
されている。電子署名に広く用いられている SHA-1 も、与えられたデータから 160 ビ
ットのハッシュ値を生成するハッシュ関数の一つである。
ハッシュ関数に関する電子文書への電子署名における脅威として、以下の二つがあ
げられる。
・同一のハッシュ値になる異なる文書の組合せを一組でも見つける攻撃(衝突計算
攻撃)
・与えられた文書のハッシュ値と同一のハッシュ値を持つ異なる文書を見つける攻
撃(第二原像計算攻撃)
また、電子署名法検討会報告書においては、衝突安全性について、「SHA-1 の衝突
を総当りで見つけるには 280 回程度 SHA-1 の実行を必要とし、国内最高速のスーパー
コンピュータ5を用いて 100 万年程度の時間がかかると推定される。」としている。
しかしながら、
「新たな攻撃手法(Wang らの手法 CRYPTO2005)を用いた場合、269
回程度の SHA-1 の実行で衝突が発見され、国内最高速のスーパーコンピュータを用い
れば約 462 年以下6でそれが可能になると推定されている。」とされ、
「新たな攻撃手法
に関する研究の進展によって、衝突発見までの時間が格段に短縮されるおそれがある。」
と言及されている。これに加え、今後の技術の進展によって、スーパーコンピュータだ
けではなく、「分散コンピューティングシステムによっても、本推定以上の衝突能力が
発見される可能性もある」とされている。
なお、電子署名法検討会報告書においては、SHA-1 の安全性について、図1に示す
ような衝突発見に必要な計算量の分析を行っている。
5
2006 年 4 月時点
6
「暗号技術検討会 2006 年度報告書」より
10
図1
計算機性能の向上及び SHA-1 に対する攻撃に関する計算量の予測
(出典:電子署名法検討会報告書より P15 より抜粋)
図1を踏まえ、計算機性能の向上のみを考慮し、世界最高速のスーパーコンピュータ
を占有して Wang らの計算方法(計算量 269 回)を実行した場合、1年以内に衝突が発
見されてしまう可能性がある時期について、電子署名法検討会報告書では「衝突計算攻
撃による脅威は、2015 年前後には現実的なものとなることが想定される」としている。
なお、CRYPTREC による暗号アルゴリズムの監視状況報告等によれば、SHA-256、
SHA-384、SHA-512 の安全性について、現時点では問題点は指摘されていない。
(2)RSA 暗号の安全性
RSA 暗号は、公開鍵と秘密鍵という対をなす 2 種類の鍵を用いる公開鍵暗号の1つ
である。
RSA 暗号は、素因数分解問題の困難さをその安全性の根拠としている。電子署名法
検討会報告書によると、RSA 暗号について「長く用いられてきた既知の解法以外に画
期的な解法が発見される可能性は低いと言われているものの、コンピュータの計算速度
の向上によって、本来秘密にしておかなければならない秘密鍵を公開鍵から導出するこ
とが可能となる。」とされており、計算機性能の向上を加味してその安全性に関する分
11
析が行われている(図2)。
図2
計算機性能の向上及びふるい処理計算量の予測
(出典:電子署名法検討会報告書より P15 より抜粋)
世界最高速のスーパーコンピュータを用いた 1024 ビットのふるい処理を 1 年以内に
完了させることが可能となる時期の見積りなどを踏まえて、電子署名法検討会報告書で
は、「RSA1024bit については、概ね 2015 年以降に、危殆化のおそれが高まってくる」
としている。
また、2010 年 1 月には、鍵長 786 ビットの合成数について、一般数体ふるい法7を
用いた場合、約 2 年間で完全分解に成功したとの報告8が公表されたところであり、今
後も RSA 暗号の安全性に関する研究動向を注視していく必要がある。
なお、CRYPTREC による暗号アルゴリズムの監視状況報告等によれば、RSA2048
の安全性について、現時点では問題点は指摘されていない。
7
一般数体ふるい法:
8
スイス連邦工科大学ローザンヌ校、日本電信電話株式会社、ドイツ・ボン大学、フランス・国立情報学自動制御研究
素因数分解法の一つ。
所、アメリカ・マイクロソフト研究所、オランダ・国立情報工学・数学研究所らの共同研究。
12
4.本研究会の検討課題
本研究会では、電子署名法検討会報告書の提言等を踏まえ、認定認証事業者やその利
用者等が、安全にかつ円滑に暗号アルゴリズムへ移行を行うため、必要な制度面、技術
面における課題・留意点等を調査、抽出し、以下の検討項目ごとに整理して、対応方法
等について検討を行った。
【主な検討項目】
<認定認証事業者等の対応>
・ 暗号アルゴリズムの移行方法
(第5章)
・ 暗号アルゴリズムの移行スケジュール
(第6章)
・ 緊急時対応計画(コンティンジェンシープラン)
(第6章3項)
・ 政府認証基盤(GPKI)との相互認証に関する課題
(第6章3項)
<指定調査機関の対応>
・ 暗号アルゴリズムの移行に係る指定調査機関が行う調査方法 (第6章3項)
<利用者等への対応>
・ 利用者及び署名検証者に対する周知方法
(第9章)
等
13
5.暗号アルゴリズムの移行方法
(1)基本的な考え方
電子署名法に基づく認定認証業務に関する暗号アルゴリズムの移行方法としては、現
時点では、主に新たに新暗号アルゴリズムに対応した認証局を立ち上げる「新局立ち上
げ方式」及び鍵更新を行うことにより新暗号アルゴリズムに切り替える「鍵更新方式」
の二つの方法が考えられる。このため、この二つの方式を中心に検討を行った。
(2)新局立ち上げ方式
新局立ち上げ方式は、上記の通り、現行暗号アルゴリズムの認証局(旧局)に加え、
新たに新暗号アルゴリズムに対応した認証局(新局)を立ち上げる方式である(イメー
ジは以下の図3の通り。)。
新局立ち上げ方式イメージ
X-day
利用者証明書
(新規発行)
旧局
Y-day
検証のみ
SHA-1及びRSA1024
新局
SHA-2及びRSA2048
新旧電子証明書新規発行可能
図3
新局立ち上げ方式イメージ
※用語の定義
X-day
: 新暗号アルゴリズムでの認証業務開始期限
現行暗号アルゴリズムでの新規発行停止。
Y-day
9
: 現行暗号アルゴリズムでの電子証明書に関する署名検証9停止。
取得した電子証明書が信頼できるものであることを確認すること。
14
【メリット】
・ 認証局の鍵更新等のスケジュールにとらわれることなく暗号移行の準備が可能(認
証局)。
【デメリット】
・ 新局を立ち上げることになるため、鍵更新に比べ大幅なコスト増(認証局、利用者)
等
暗号アルゴリズムを新局立ち上げ方式によって移行する上での論点について以下の
通り検討を行った。
①
認証業務名について
【論点】
新規に立ち上げる認証業務名を、現行の認証業務名と同一にすることを認めるべきか。
<現状>
○認証業務名と発行者署名符号との関係
電子署名法においては、施行規則及び指針により、「認証業務に関し、利用者その他
の者が認定認証業務と他の業務を誤認することを防止するための適切な措置を講じて
いる」ことが規定されており、認証業務名、発行者署名符号が利用者その他の者から見
て誤認しないような措置を取る必要がある。
<検討結果>
この論点は、新局立ち上げに伴う異なる発行者署名符号を持つ認証業務について、同
一の認証業務名を認めるべきかどうかということである。線表にまとめると、以下の図
4の通りである。
15
旧局
認証業務名が同一
○○対応電子認証サービスA
発行者署名符号 a
新局
○○対応電子認証サービスA
発行者署名符号 b
発行者署名符号
が異な る
図4
同一の認証業務名のイメージ
この場合、旧局・新局それぞれについて、各々が別の認証業務であることから電子証
明書失効リスト(CRL10)配付点11は異なる。また、発行者署名符号が異なることから
フィンガープリント(FP12)も別の値となる。ただし、新・旧認証業務名が同一であるた
め、実際に電子証明書を利用する利用者側からは、同一の認証業務であるように見える
ため、電子証明書の発行・失効の申請をする等の手続きの場面で誤認を招く恐れがある。
また、署名検証者側の観点からも、検証方法は様々であり、アプリケーションが機械的
に CRL 配布点を確認する場合はよいが、それ以外の場合等では認証業務名が同一にな
ることによる混乱が生じることも考えられる。
よって、上記のような同一の認証業務名を使用する場合は、利用者及び署名検証者か
ら見ると、旧局・新局の認証業務の見分けがつかなくなるため、電子署名法施行規則第
六条第七号「認証業務に関し、利用者その他の者が認定認証業務と他の業務を誤認する
ことを防止するための適切な措置を講じている」を踏まえ、望ましくないと考えられる。
また、発行後に利用者が実際に利用する場面でも、同一の認証業務名の新旧複数枚の
電子証明書を利用して署名することになるため、混乱を招く可能性も考えられる。
このため、論点に挙げられた「新規に立ち上げる認証業務名を現行の認証業務名と同
一にすることを認めること」は適切ではないと考えられる。
10
CRL (Certificate Revocation List の略):電子証明書の有効期間中に、電子証明書記載内容の変更、秘密鍵の紛
失・盗難等の事由により、発行した電子証明書を失効した際に、認証局が公表する電子証明書の失効を示す情報のリスト。
電子証明書失効リストには、失効した電子証明書の番号、失効日時、失効事由などが記載されている。このリストには、
失効した電子証明書を発行した認証局の署名が付与される。
11
CRL 配付点(CRL Distribution Point の略):CRL があるディレクトリへのエントリ名。
12
FP(Finger Print の略):電子証明書のデータ(入力値)を一定の長さのデータ(出力値)に変換するための手順(ハ
ッシュ関数)を用いて出力された値。
16
なお、認証業務運用規程(CPS13)については、証明書ポリシ(CP14)の部分を含め、CRL
配付点、フィンガープリント等固有のものを除き、共通であっても問題がないと考えら
れる。
(参考)認証局の鍵更新時の特例
現在、認定認証業務の認証局が発行者署名符号の更新を行い、新しい発行者署名符号
(新鍵)による認証業務を開始するためには、指定調査機関による変更認定調査の後、
主務大臣の変更認定を受けることが必要である。
このため、変更認定調査時点で指定調査機関の立ち会いのもとで生成した新鍵につい
ては、主務大臣の変更認定を受けるまでの間使用せず、一旦旧発行者署名符号(旧鍵)
に戻して認証業務を行っている。つまり、新鍵生成から変更認定を受けるまでの間、一
時的に同一の認証業務で複数の発行者署名符号が存在する状態が発生していることと
なる。
しかし、主務大臣による変更認定後は、新鍵の使用を開始する際に旧鍵を削除する方
法を取っているため、この状況は解消されている(図5)。
変更認定調査
( 新鍵生成)
主務大臣
変更認定
新鍵使用開始
( 旧鍵削除)
旧発行者署名符号(旧鍵)
新旧鍵が併存する環境
図5
13
新発行者署名符号(新鍵)
一般的な鍵更新時の状態
CPS(Certification Practice Statement の略):認証局の信頼性、安全性を対外的に示すために、認証局の運用、
鍵の生成・管理、責任等に関して定めた文書。
14
CP(Certificate Policy の略):認証局が電子証明書を発行する際の運用方針を定めた文書。
17
電子証明書失効リスト(CRL)及び認証局証明書失効リスト(ARL15)に
②
ついて
【論点】
新局について、認証業務が発行する CRL 及び ARL は、SHA-2 及び RSA2048 の署名
となるが、署名検証者において問題を生じないか。
<検討結果>
署名検証者の環境が新暗号アルゴリズムの署名検証に対応できていない場合、新局が
発行する SHA-2 及び RSA2048 の署名を付された CRL 及び ARL の検証ができない可
能性があることから、署名検証者の暗号アルゴリズムの移行状況に十分留意しながら作
業を進めていく必要がある。
なお、旧局については、少なくとも現行暗号アルゴリズムで発行された利用者電子証
明書の有効期間満了までは、旧局の SHA-1 の CRL 及び ARL の公開が必要である。ま
た、発行者電子証明書やフィンガープリントについても同様である。
③
旧認証局の廃止手続き
【論点】
旧認証局の廃止手続きについて特別な対応が必要か。
<検討結果>
旧局の廃止に関して検討する項目は通常の認証局の廃止と同等に、電子署名法指針第
十二条第二項に基づき、業務の廃止をする日の 60 日前までに利用者に廃止を通知し、
廃止日前までに利用者電子証明書の全失効を行う必要がある。このため、旧認証局の
SHA-1 の CRL 及び ARL の公開も必要となる。
(関連条文)
【電子署名及び認証業務に関する法律に基づく特定認証業務の認定に係る指針】
(認証業務の実施に関する規程)
第十二条
規則第六条第十三号に規定する認証業務の実施に関する規程は、次の各号に掲げる事項に関
する規定を含むことを要するものとする。
十 業務の廃止に関する事項
2
前項第十号に掲げる事項には、認定に係る業務を廃止する日(認定の更新を受けない場合において
は、認定期間の満了の日。以下同じ。
)の六十日前までにその旨を利用者に通知すること(法第十四条
15
ARL(Authority revocation List の略):認証局の電子証明書及び相互認証証明書の有効期間中に、認証局の秘密
鍵の危殆化、相互認証基準違反等の事由により失効した認証局の電子証明書及び相互認証証明書のリスト。このリスト
には、失効した電子証明書を発行した認証局が電子署名を行う。
18
第一項の規定により認定を取り消された場合等、やむを得ない場合はこの限りでない。
)及び認定に係
る業務を廃止する日までに利用者に対して発行した電子証明書について失効の手続を行うことが含ま
れるものとする。
19
(3)鍵更新方式
「鍵更新方式」について、以下の通り検討を行った。鍵更新方式は、認証局の鍵を現
行暗号アルゴリズムから、新暗号アルゴリズムに切り替える方式である(イメージは以
下の図6の通り。)。
鍵更新方式イメージ
X-day
Y-day
利用者証明書
(新規発行)
検証のみ
SHA-1及びRSA1024
SHA-2及びRSA2048
鍵更新
実施
図6
鍵更新方式のイメージ
【メリット】
・ 新局立ち上げ方式に比べ、コスト面で有利。
(利用者、認証局)
【デメリット】
・ 新暗号アルゴリズムでの業務の準備に制約が発生すること。(認証局)
等
暗号アルゴリズムを鍵更新方式によって移行する上での論点について以下の通り検
討を行った。
①
リンク証明書16について
【論点】
リンク証明書を用いた署名検証において、ハッシュ関数 SHA-1、SHA-2 が混在するこ
ととなるが、この場合、署名検証に問題を生じないか。
16
認証局の鍵更新時に、同時に存在することとなる新しい認証局の鍵ペアと古い認証局の鍵ペアの関係を保証するた
めに発行される電子証明書。
20
<検討結果>
政府認証基盤では、鍵更新方式による暗号移行により、旧鍵(SHA-1 による自己署
名証明書)と新鍵(SHA-2 による自己署名証明書)との間にリンク証明書が発行され、
新旧両暗号の検証が可能となるよう検討しており、民間認定認証局においても SHA-2
による利用者電子証明書について、リンク証明書を使用した署名検証は可能であると考
えられる。ただし、各認証局のシステムや検証環境により、影響を受ける可能性がある
ため、鍵更新方式での暗号移行を採用予定の認定認証事業者は、まず個々にテストを行
った上で実行上問題のない事について確認することが必要である。
②
電子証明書失効リスト及び認証局証明書失効リストについて
【論点】
認証業務が発行する CRL 及び ARL は、鍵更新に伴って SHA-2 及び RSA2048 の署名
に変わることとなるが、署名検証者において問題を生じないか。
<検討結果>
署名検証者の環境が新暗号アルゴリズムの署名検証に対応できていない場合、鍵更新
後の SHA-2 及び RSA2048 の署名を付された CRL 及び ARL の検証ができない可能性
があることから、署名検証者の暗号アルゴリズムの移行状況に十分留意しながら作業を
進めていく必要がある。
③
フィンガープリントについて
【論点】
発行者電子証明書(新・旧)について、フィンガープリントを公開する必要があるが、
その公開及び保護の方法、公開期間について、どのように考えることが適当か。
<検討結果>
フィンガープリントについて、「旧発行者電子証明書」と「新発行者電子証明書」に
分けて以下の通り検討を行った。
ⅰ)旧発行者署名検証符号に係る電子証明書について
旧発行者署名符号で署名された全ての利用者電子証明書の有効期間が満了するまで
は、旧発行者電子証明書及び旧発行者電子証明書の値を SHA-1 で変換したフィンガー
21
プリントをリポジトリ17に公開する必要がある。なお、この際、SHA-2 で変換したフィ
ンガープリントの公開を妨げるものではない。
ⅱ)新発行者署名検証符号に係る電子証明書について
暗号アルゴリズムの移行後は、全て SHA-2 で変換したフィンガープリントをリポジ
トリに公開する必要がある。この際、複数の SHA-2 の値を公開することを妨げるもの
ではない。なお、SHA-1 での公開を行うかについては、今後署名検証者の状況を踏ま
えつつ、検討を行うことが必要である。
ⅲ)フィンガープリントに対する措置等
発行者電子証明書のフィンガープリントについては、通常、利用者電子証明書の有効期
間中は、改ざん防止措置を講じてリポジトリに公開する必要がある。また、公開終了後
も、電子署名法施行規則第十二条第二項に基づき、旧発行者電子証明書、フィンガープ
リント、CRL 及び ARL は、旧発行者電子証明書の有効期間満了日から十年間保存する
必要がある。
なお、公開しているフィンガープリントの改ざん防止については、通常の認定基準に
基づく保護措置と同等の措置(フィンガープリントの公開サーバ及び伝送路)を講じる
ことが求められる。
(関連条文)
【電子署名及び認証業務に関する法律施行規則】
(帳簿書類)
第十二条
二
法第十一条 の主務省令で定める業務に関する帳簿書類は、次のとおりとする
電子証明書の失効に関する帳簿書類で次に掲げるもの
イ 電子証明書の失効の請求書その他の失効に関する判断に関する記録
ロ 電子証明書の失効を決定した者の氏名
ハ 電子証明書の失効の請求に対して拒否をした場合においては、その理由を記載した書類
ニ 第六条第十号の失効に関する情報及びその作成に関する記録
2
前項第一号から第三号までに掲げる帳簿書類は、当該帳簿書類に係る電子証明書の有効期間の
満了日から十年間保存しなければならない。
17
電子証明書並びに CRL 及び ARL 等を格納し公表するデータベース。
22
(4)その他の方式
新局立ち上げ方式、鍵更新方式以外の移行方式として、リサイニング方式についても
検討を行った。
暗号移行方式としてのリサイニング方式は、認証業務で利用していた鍵ペアをそのま
ま利用し、ハッシュ関数を変更するものである。この方式では、新しい発行者電子証明
書の各種パラメータの変更が必要であり、一般的な鍵更新作業と同等の作業を行う必要
がある。このため、リサイニング方式を採用しても、作業の一手順(新鍵生成)を省略
できるのみとなり、あえて旧鍵ペアを利用し続ける意味は少ないと考えられる。
また、リサイニング方式により暗号アルゴリズムを移行し、現行暗号アルゴリズムで
使用していた鍵の有効期間を延長することは、認証局の発行者署名検証符号が長期間公
開され続けるため、安全性が低下する可能性があることから、適切ではないと考えられ
る。
なお、鍵の有効期間を延長しない場合については、個々の事案に応じて改めて検討が
必要である。
23
6.暗号アルゴリズムの移行スケジュールについて
(1)基本的考え方
電子署名法の認定認証業務の暗号アルゴリズム移行を検討するにあたり、考慮すべき
事項として、例えば、
・制度的・技術的な安全性の確保
・政府情報システム等、署名検証者の暗号アルゴリズムの移行状況
・政府認証基盤における移行スケジュール(相互認証している場合)
・認定認証事業者及び利用者の負担
・指定調査機関による調査のスケジュール
等が考えられる。これらを踏まえて検討を行う。
(2)政府情報システム等の暗号アルゴリズムの移行スケジュール
①
政府全体の暗号移行スケジュール
政府情報システムにおける暗号アルゴリズムの移行については、第 17 回情報セキュ
リティ政策会議(平成 20 年 4 月 22 日)において、
「政府機関の情報システムにおいて
使用されている暗号アルゴリズム SHA-1 及び RSA1024 に係る移行指針」(以下「政
府移行指針」という。)が決定された18。
その後、第 20 回情報セキュリティ政策会議(平成 21 年 2 月 3 日)において、政府
機関の情報システムにおける X-day を 2014 年度早期、Y-day を 2015 年度早期とする
こととされた19ところであるが(図7)、政府機関以外の情報システム・認証局等との
調整が必要であることから、引き続き状況の確認が行われている。
18
政府移行指針は、暗号技術検討会や電子署名法検討会の検討状況、各府省庁の対応状況等を踏まえ、必要に応じて
見直すこととされている。
19
「第 20 回情報セキュリティ政策会議
資料5-2」より
http://www.nisc.go.jp/conference/seisaku/dai20/pdf/20siryou0502.pdf
24
図7
政府移行指針に基づく暗号方式の移行完了までのスケジュール
(出典:内閣官房情報セキュリティセンター資料より抜粋)
②
政府認証基盤(GPKI)の移行スケジュール
①で記述した政府移行指針に基づき、政府認証基盤においては、平成 21 年度から平
成 22 年度の 2 か年で各府省の情報システムの移行に必要な新たな暗号アルゴリズムに
対応した検証環境を構築することが求められている。現時点の移行スケジュールは以下
の通りである(図8)。
また、本研究会の席上、政府認証基盤における新旧暗号アルゴリズムで署名検証可能
期間は、最長で 2019 年 3 月末となる見込みであること、及び検証環境の論理構成(図
9)等について説明が行われた。
25
図8
政府認証基盤等の移行スケジュール
(出典:総務省行政管理局資料より抜粋)
検証環境の論理構成
フェーズ2
現行暗号から
移行していないCA
ブリッジ認証局
民間
CAa
BCA
官職
CA
p3
BCA
BCAリポジトリ
民間CAaリポジトリ
官職CAp3リポジトリ
フェーズ3
鍵更新により新暗号
へ移行したCA
民間
CAb
鍵更新により新暗号へ移行し、
BCAとの相互認証を更新したCA
民間
CAb
民間
CAc
新規に設置し、BCAと
新規に相互認証を行ったCA
官職
CA
民間
CAd
民間
CAc
※
※
民間CAbリポジトリ
官職CAリポジトリ
民間CAdリポジトリ
民間CAcリポジトリ
フェーズ1:現行暗号のみが存在する状態(現在の検証環境)
フェーズ2:現行暗号と新たな暗号が混在する状態
フェーズ3:新たな暗号のみが存在する状態
官職
CA
統合リポジトリ
※ 現行暗号の証明書の検証はフェーズ2のみ有効
凡例
sha2
CA
sha1
CA
sha2相互認証
リンク証明書
sha1相互認証
図9
フェーズ2で存在する
民間CAのパターン
リフェラル
フェーズ3で存在する
民間CAのパターン
複製
政府認証基盤における検証環境の論理構成
(出典:総務省行政管理局資料より抜粋)
26
③
署名検証アプリケーション(電子入札コアシステム)の移行スケジュール
認定認証業務による電子証明書が広く利用されている署名検証アプリケーションで
ある電子入札コアシステムは、国土交通省が開発した電子入札システムの仕様をベース
に、JACIC20/SCOPE21が公共発注機関で利用できる汎用的な電子入札システムとして
開発し、省庁や地方自治体等の公共発注機関に提供している。現在、114 のシステムが
稼働している(平成 21 年 11 月 1 日時点)。
電子入札コアシステムの暗号アルゴリズム移行について、JACIC より、表1に示す
スケジュールの紹介、及び現在の JACIC の取り組みとして関係機関から情報収集を行
っていることについて説明があった。
表 1 電子入札コアシステムにおける暗号アルゴリズム移行対応予定(案)
相互運用性仕様の調査
(コアシステム+各認証局。 ~2010 年度上期)
認証局クライアントプログラムとのインターフェース検討
(コアシステム+各認証局:2010 年度上期)
検証環境を利用した動作確認(コアシステム(コア単独部分のみ): 2010 年度下期)
(コアシステム+各認証局: 2012 年度上期)
格納媒体決定による影響調査
認証局との連携動作確認
(コアシステム+各認証局:2012 年度下期)
モジュールリリース
(コアシステム:2013 年度早期)
クライアントプログラムリリース
モジュール組み込み
(各認証局:2013 年度中)
(省庁や地方自治体等の公共発注機関:2013 年度中)
(出典:電子入札コアシステム紹介資料より抜粋)
なお、表1に示すスケジュールは、内閣官房情報セキュリティセンターや総務省から
公表されているスケジュールを基に、現時点での JACIC における検討と、関係機関か
らの情報を整理したものであり、今後の関係機関の状況などにより大きく変更されるこ
ともあり得る。
20
Japan Construction Information Center の略:(財)日本建設情報総合センター
21
Service Center of Port Engineering の略:(財)港湾空港建設技術サービスセンター
27
④
公的個人認証サービスにおける移行スケジュール
公的個人認証サービスの暗号アルゴリズムの移行については、「公的個人認証サービ
スにおける暗号方式等の移行に関する検討会(座長:辻井 重男情報セキュリティ大学
院大学学長(当時)
)」が開催され報告書(平成 21 年 1 月)が取りまとめられている。
同報告書によると、公的個人認証サービスでは、2014 年度早期に SHA-256 及び
RSA2048 による電子証明書の発行を開始し、SHA-1 及び RSA1024 による電子証明書
の発行を停止する。また、2017 年度早期には SHA-1 及び RSA1024 による認証業務を
停止するとしている。(表2参照)
但し、公的個人認証サービスによる電子証明書の有効期間が 5 年に延長された場合
には、SHA-1 及び RSA1024 による認証業務の停止は 2019 年度早期に延長されるとし
ている。
表 2 公的個人認証サービスにおける暗号アルゴリズムの移行スケジュール
2014 年度早期
SHA-256 及び RSA2048 による電子証明書
の発行を開始するとともに、SHA-1 及び
RSA1024 による電子証明書の発行を停止す
る。
2017 年度早期(電子証明書の有効期間が 5
SHA-1 及び RSA1024 による電子証明書の
年に延長された場合には 2019 年度早期)
有効期間後に、SHA-1 及び RSA1024 によ
る電子署名に係る認証業務を停止する。
(出典: 公的個人認証サービスにおける暗号方式等の移行に関する検討会報告書 P.17 より)
なお、公的個人認証サービスの暗号アルゴリズムの移行案については、暗号技術検討
会等における暗号アルゴリズムの監視状況、政府機関における暗号アルゴリズムの安全
性低下への対応状況、電子署名法に関する暗号アルゴリズムの移行状況、公的個人認証
制度の改正状況等を踏まえ、必要に応じて見直しを行う必要があるとされている。
28
(3)電子署名法における暗号アルゴリズムの移行スケジュールの検討
電子署名法においては、2009 年 4 月に新暗号アルゴリズムが利用可能なよう電子署
名法指針の改正が行われているところであり、個々の認定認証事業者の判断により、変
更認定又は新規認定を受ければ実施できる状況にある。
このような点を踏まえて、安全性や経済性を勘案しつつ、各種条件を複数パターンに
分けて具体的な移行プランについて検討を行った。検討結果は以下の通り。
【用語の定義】
X-day
:
新暗号アルゴリズムでの認証業務開始期限
現行暗号アルゴリズムでの電子証明書の新規発行停止日
X(G)-day :
全認定事業者が政府認証基盤(GPKI)と相互認証を終えた日
Y-day
:
現行暗号アルゴリズムでの電子証明書に関する署名検証停止日
Y1-day
:
2014 年度末
Y2-day
:
2018 年度末
29
① 移行パターン1
現行暗号アルゴリズムの署名検証停止時期を最短で行う方法である。当該パターンは、
利用者電子証明書について
・ 現行暗号アルゴリズムの新規発行を 2013 年度末頃までに停止し、署名検証につい
ても 2014 年度末で停止
・ 新暗号アルゴリズムの電子証明書の新規発行を遅くとも、2014 年度早期までに開始
・ 暗号移行以前での SHA-1 及び RSA1024 危殆化の可能性に対応するために緊急時対
応計画を準備
するもの。(図10参照)
Y1-day
X-day
▽
2010年度
2011年度
2012年度 2013年度 2014年度
コンティンジェンシー
プラン作成
Y2-day
2015年度 2016年度
2017年度 2018年度
2019年度以降
暗号危殆化監視
利用者証明書
(新規発行)
SHA-1及びRSA1024
検証のみ
SHA-2及びRSA2048のみ
SHA-2及びRSA2048
現行暗号アルゴリズムの電子証明
書については、2014年度末までの有
効期限となるよう発行時に調整。
図10
又は
現行暗号アルゴリズムの電子証明書
については、2014年度末で強制失効。
暗号アルゴリズムの移行パターン1
パターン1のメリット、デメリットは以下の通りである。
【メリット】
・ 暗号アルゴリズムの移行時期がもっとも早く、他の移行パターンに比べて、緊急時
対応計画を実施する可能性が少ない。(利用者、認証局)
【デメリット】
・ 現行暗号アルゴリズムで発行された電子証明書について、2014 年度末時点で有効期
間が残るものについては、一斉に失効を行う必要がある。(利用者、認証局)
・ 一斉失効を避ける場合には、現行暗号アルゴリズムの電子証明書の新規発行の際に、
有効期間を調整する必要がある。(利用者、認証局)
・ 2014 年度(1 年間)に新暗号アルゴリズムの電子証明書を大量発行22する必要があ
り、実務的・コスト面の負担が大きい。(認証局)
22
全認定認証事業者合計で最大 27 万枚程度(平成 20 年度末の電子証明書の総有効枚数)
30
②
移行パターン2(条件付 Y-day 延長)
当該パターンは、利用者電子証明書について
・ 現行暗号アルゴリズムの新規発行を 2013 年度末頃までに停止
・ 新暗号アルゴリズムの電子証明書の新規発行を遅くとも、2014 年度早期までに開始
・ 現行暗号アルゴリズムの署名検証については、当該電子証明書の有効期限まで可能
(電子署名法で定める最大 5 年間の有効期間の電子証明書を、2013 年度末に発行
したと仮定すると、最長で 2018 年度末)
・ 急速な暗号アルゴリズムの危殆化の可能性に対応するために、安全性低下のレベル
に応じた適切な緊急時対応計画を準備
するもの。(図11参照)
X-day
▽
2010年度
2011年度
Y1-day
2012年度 2013年度 2014年度
コンティンジェンシー
プラン作成
Y2-day
2015年度 2016年度
2017年度 2018年度
2019年度以降
暗号危殆化監視
利用者証明書
(新規発行)
安全性低下のレベルに応じた適切なコンティ
ンジェンシープランを実施することを条件。
検証 のみ
SHA-1及 びRSA1024
SHA-2及びRSA2048
SHA-2及びRSA2048の電子証明書に
ついては、既に電子署名法上、最大
5年間の電子証明書を発行可能。
新規 発行:SHA-2及びRSA2048のみ
SHA-2及び
RSA2048の み
2013年度末まで、有効期間が最大
5年間のSHA-1及びRSA1024の電子
証明書を発行可能。
図11
暗号アルゴリズムの移行パターン2
【メリット】
・ 予想以上の急速な危殆化が発生しない場合、有効期限の短い電子証明書の発行や強
制失効等を行う必要がなく、スムーズに移行を行うことが可能。
(X-day の前日まで、
現行暗号アルゴリズムによる有効期限の長い(最大 5 年間弱)電子証明書の発行可
能。)
(利用者、認証局)
【デメリット】
・ 現行暗号アルゴリズムで発行した電子証明書の検証可能期間が延長されるため、パ
ターン1に比べ、X-day から Y-day 間に緊急時対応計画が実施される可能性が高ま
る。(利用者、認証局)
31
③
その他の移行パターン例
電子署名法の基準では、ハッシュ関数(SHA-1 及び SHA-2)と RSA 暗号(RSA1024
及び 2048)の組み合わせについては、特段定めていないことから、パターン1・2以
外の移行方法として、SHA-1 及び RSA2048 を組み合わせた方法も考えられる。
当該パターンは、利用者電子証明書について
・ 現行暗号アルゴリズム(SHA-1 及び RSA1024)の新規発行を遅くとも 2013 年度
末頃までに停止し、署名検証についても 2014 年度末で停止
・ SHA-1 及び RSA2048 の電子証明書の新規発行を、2014 年度までの適切なタイミ
ングで開始。同証明書の署名検証については、2018 年度末まで可能
・ 新暗号アルゴリズム(SHA-2 及び RSA2048)の電子証明書の新規発行を遅くとも、
2014 年度早期までに開始
・ 急速に SHA-1 及び RSA1024 が危殆化する可能性に対応するために、SHA-1 と
RSA1024 に分けて安全性低下のレベルに応じた適切な緊急時対応計画を準備
するもの。(図12参照)
X-day
▽
2010年度
2011年度
Y1-day
2012年度 2013年度 2014年度
コンティンジェンシー
プラン作成
Y2-day
2015年度 2016年度
2017年度 2018年度
2019年度以降
暗号危殆化監視
検 証の み
利用者証明書
(新規発行)
SHA-1及びRSA1024
SHA-1及びRSA2048
検証 のみ
SHA-2及び
RSA2048のみ
新規発行: SHA-2及びRSA2048のみ
SHA-2及びRSA2048
現行暗号アルゴリズムでの通常の利用者
証明書更新の際に、順次暗号移行を実施。
2013年度末まで、有効期間
が最大5年間の電子証明書
の新規発行が可能。
※政府機関は、2014年度早期
にSHA-2及びRSA2048に移行
図12
SHA-1及びRSA2048の証明書の
更新(有効期限満了時)に順次
SHA-2及びRSA2048に切り替え。
2段階移行パターン
【メリット】
・ RSA 暗号については、X-day に先立ち RSA2048 への移行を実施するため、より安
全性を確保できる。
(利用者、認証局)
・ コンティンジェンシープランを、RSA1024 と SHA-1 の危殆化それぞれの場合に分
けて検討・準備することで、RSA1024 のみが危殆化した場合には、RSA1024 対応
のコンティンジェンシープラン実施による影響を軽減できる可能性がある。
(利用者、
認証局)
・ 有効期限の長い(最大 5 年間)電子証明書の発行が可能。(利用者、認証局)
32
【デメリット】
・ SHA-1 の危殆化については、パターン2と同様の対応が必要になる。(利用者、認
証局)
・ 署名検証側システムが SHA-1 及び RSA2048 の組み合わせに対応していることが必
要。(利用者、認証局)
・ 2段階で移行するため、システム改修等の手間・コストの負担が増える可能性があ
る。(認証局)
④
移行パターンに関するまとめ
暗号アルゴリズムの移行パターン例については、上述のとおりであるが、これらを踏
まえて、政府認証基盤(GPKI)等の状況を注視しつつ、各認定認証事業者が各自のビ
ジネスモデルに併せて選択していくことが望ましい。
33
(4)各移行パターン共通の検討課題に関する考え方
①
緊急時対応計画(コンティンジェンシープラン)について
ⅰ)計画作成に向けた基本的考え方
現行暗号アルゴリズム(SHA-1 及び RSA1024)について、予想を上回る急速な安全性
低下が進んだ際の対応策として、緊急時対応計画(コンティンジェンシープラン)を事
前に作成しておくことが重要である。
その際、作成される緊急時対応計画によって認定認証事業者の暗号アルゴリズムの移
行方法やスケジュールの選択に影響を与える可能性を含めて検討することが必要であ
る。
加えて、電子署名法における認定認証業務の主要なアプリケーションの一つとして政
府情報システムがあることから、政府情報システムが策定する緊急時対応計画の内容を
十分に考慮して、検討を進める必要がある。
ⅱ)電子署名法に係る緊急時対応計画の実施手順に関する考え方
内閣官房情報セキュリティセンターが行う政府情報システムで利用する暗号アルゴ
リズムの安全性に関する判断と、電子署名法における判断等に相違があった場合、利用
者が混乱を来す恐れがあることから、緊急時対応計画の実施手順を検討する際には、内
閣官房情報セキュリティセンター、暗号技術検討会等とも十分連携していくことが望ま
しい。
なお、緊急時対応計画が実施された場合、社会に与えるインパクトが大きいことから、
具体的な手順の検討に際し、例えば以下の点を考慮して検討を進める必要がある。
・ 暗号アルゴリズムの学術的な安全性
・ 電子署名法の認定制度の信頼性維持と対応コストとのバランス
・ 暗号アルゴリズムの危殆化と電子証明書の安全性低下の違い
・ 発行者電子証明書と利用者電子証明書の危殆化に係る影響度の違い
・ 利用者電子証明書が実際に攻撃される蓋然性
・ 政府情報システムにおける緊急時対応計画の実施手順に関する考え方
等
なお、発行者署名符号23に関しては、「電子署名及び認証業務に関する法律に基づく
23
発行者署名符号については、SHA-1 及び RSA2048 が主に使用されており、RSA 暗号については、利用者署名符号
より安全性が高くなっている。
34
指定調査機関の調査に関する方針」では、「危機管理に関する事項」として「発行者署
名符号が危殆化し、又は危殆化したおそれがある場合には、直ちに発行したすべての電
子証明書について失効の手続を行うこと。」とされており、既に各認定認証業務の CPS
において、その手順が定められている。
【電子署名及び認証業務に関する法律に基づく指定調査機関の調査に関する方針】
8.業務の手順等に係る規程関係
(3)規則第6条第15号に規定する「危機管理に関する事項」とは、発行者署名符号の危殆化又は災害等による
障害の発生に対する対応策及び回復手順であって、以下の事項を含むものをいう。
ア
発行者署名符号が危殆化し、又は危殆化したおそれがある場合には、直ちに発行したすべての電子証明書に
ついて失効の手続を行うこと。
この「危機管理に関する事項」については、主に何らかの理由により秘密鍵が漏洩し
た場合等を想定したものであることから、暗号アルゴリズムそのものの安全性低下への
対応という観点から改めて点検を行う必要がある。
ⅲ)緊急時対応計画の検討体制
上記、実施手順や具体的なコンティンジェンシープラン作成に際し、電子署名に関す
る安全性の確保方法や認証業務における実務上の課題等を詳細に検討していく必要が
あることから、主務省、指定調査機関、認定認証事業者、暗号技術や PKI の専門家等
を交えた体制で検討を行うことが望ましい。
②
暗号アルゴリズムの移行に係る指定調査機関が行う調査方法について
ⅰ)暗号アルゴリズムの移行に係る指定調査機関の調査のあり方について
現在、鍵更新は、指定調査機関による変更調査を受けるべき事項として扱われている。
これは、発行者署名符号は、認証局を運営する上で重要な要素であること、フィンガー
プリントの官報掲載等の観点から当該フィンガープリントの値を指定調査機関が確認
等する必要があることによるものである。
このため、現時点では現行の調査方法を維持することが適当であると考えるが、暗号
アルゴリズムの移行という特殊性に鑑み、各種状況を踏まえ必要な検討を継続していく
ことが望ましい。例えば、調査コストの低減の観点から、更新認定と変更認定に係る同
時調査の実現可能性、同一の設備等についての調査方法に関する省力化等について、指
定調査機関の調査業務規程等の見直しの必要性を含め、継続して検討を行っていくこと
35
に加えて、新規認定に係る調査コスト低減の余地についても継続して検討していくこと
が重要である。
ⅱ)緊急時対応計画が実施される際の指定調査機関の調査のあり方について
想定以上に暗号アルゴリズムの危殆化が進み、緊急時対応計画が実施されることにな
った場合、全認定認証業務に対して、一斉に変更調査等を行う必要が出てくる。しかし
ながら、指定調査機関のリソースの問題等により、現実的なスケジュールで調査を行え
るかについては懸念がある。
このため、緊急時対応計画実施時における指定調査機関の調査のあり方について、緊
急時対応計画の作成の検討に併せて議論を深めていく必要がある。
③
政府認証基盤(GPKI)との相互認証に関する課題
ⅰ)GPKI と相互認証に関する基本的な考え方
認定認証事業者が、政府認証基盤と相互認証するためには、総務省行政管理局等によ
る相互認証のための審査・各種接続テスト等を受ける必要があるが、新局立ち上げによ
る暗号アルゴリズムの移行の場合のみならず、鍵更新による移行に際しても、CPS 等
が改正されることから改めて相互承認を受ける必要がある。
ⅱ)GPKI と相互認証している場合における X-day の考え方
電子署名法については、2.(2)のとおり、2009 年 4 月に指針が改正されており、
認定認証事業者は、いつでも新暗号アルゴリズムでの認証業務の認定を申請できる状態
にあるが、政府認証基盤と相互認証している場合、新暗号アルゴリズムの利用者電子証
明書については、当該相互認証を受けた後でないと有効に利用できないことから、政府
認証基盤の暗号アルゴリズムの移行状況を踏まえて準備を進める必要がある。
このため、電子署名法上の X-day を検討するにあたり、政府認証基盤との関係につ
いて整理を行った(図13)。
36
2014年度
2013年度
政府機関における
新暗号アルゴリズム
の移行開始時期
GPKIとの相互認証完了日
X(G)-day
2015年度
4月
政府認証基盤(GPKI)
移行作業
新局立ち上げ方式
(新 規発行)
数ヶ月程度
認定認証事業者A
旧局
電子署名法上のX-day:
希望する全認定認証事業者とGPKI
との相互認証手続きの完了を確認
できた日(X(G)-day以降)
認証業務a
SHA-1及びRSA1024
新局
認証業務a’
SHA-2及びRSA2048
認定認証事業者B
SHA-1及びRSA1024
SHA-2及びRSA2048
SHA-1及びRSA1024
・・・
・・・
・・・
鍵 更 新方式
(新 規発行)
認定認証事業者C
SHA-2及びRSA2048
認定認証事業者Z
SHA-1及びRSA1024
SHA-2及びRSA2048
GPKIとの相互認証完了後から、
新暗号アルゴリズムの認証業務
を順次開始。
図13
※X(G)-day:希望する全認定認証事業者が、
GPKIとの相互認証手続きを終了した日。
電子署名法と政府認証基盤の移行スケジュールの関係
電 子 署 名 法 に お け る 現 行 暗 号 ア ルゴ リ ズ ム での 電 子 証 明 書 の 新 規 発 行 停 止 日
(X-day)については、2014 年度早期を想定しているが、具体的にはすべての認定認
証事業者が政府認証基盤と相互認証手続きを終えた日(X(G)-day)以降のタイミングと
する必要がある。
また、現時点での総務省行政管理局との調整状況を踏まえると、具体的な X(G)-day
については、2014 年度に政府機関における新暗号アルゴリズムへの移行が開始されて
から、数ヶ月程度となることが見込まれているが、今後の調整状況を踏まえ変動する可
能性があるため、必要に応じて適宜見直しを行っていくことが重要である。
37
④
指定調査機関の調査と GPKI の相互認証手続きを踏まえた具体的な移行ス
ケジュールイメージ
電子署名法における変更認定又は新規認定に係る指定調査機関の調査及び、政府認証
基盤(GPKI)との相互認証手続きを踏まえた具体的なスケジュールイメージは以下の
図14の通りである。
電子署名法上の更新調査・認定完了日
暗号移行に係る変更調査・認定完了日
2014年度
2013年度
秋~冬頃
4月
暗号移行に係る新規調査・認定完了日
GPKIとの相互認証完了日
政府機関における
新暗号アルゴリズム
の移行開始時期
X(G)-day
2015年度
数ヶ月程度
電子署名法上の手続
きが終了次第、GPKIと
の手続き開始。
新 局 立ち上げ方式
(新 規発行)
GPKIの書類審査及び
相互認証接続テスト等
GPKIとの相互 認証
取り交わし手続き
認定認証事業者A
認証業務a
旧局
SHA-1及びRSA1024
新局
認証業務a’
SHA2及びRSA2048
認定認証事業者B
SHA-1及びRSA1024
SHA-2及びRSA2048
SHA-1及びRSA1024
・・・
・・・
・・・
鍵 更 新方式
(新 規発行)
認定認証事業者C
SHA-2及びRSA2048
認定認証事業者Z
SHA-2及びRSA2048
SHA-1及びRSA1024
指定調査機関による変更認定
調査、主務大臣による変更認定
(新鍵生成)
図14
GPKIとの相互認証完了後から、新暗
号アルゴリズムの認証業務を順次開始。
(新鍵運用開始)
調査等のスケジュールイメージ
GPKI への相互認証を希望する場合、電子署名法上での新暗号アルゴリズム移行に関
する変更(新規)認定を受けた後に手続きをする必要があることから、指定調査機関の
調査及び主務大臣による認定手続きと、GPKI への相互認証手続きに要する時間を勘案
し、移行スケジュールの検討を行う必要がある。
具体的には、現時点の政府機関における暗号アルゴリズムの移行スケジュールを踏ま
えると、まず、2013 年度秋~冬頃までに電子署名法上の変更(新規)認定を受けた後、
順次、GPKI との相互認証に向けた手続きを開始し、2013 年度末までに GPKI との相
互認証に係る書類審査及び接続テスト等を終了しておく。次に、2014 年度に入ったタ
イミングで順次 GPKI との相互認証取り交わし等を行い、相互認証手続きを終了すると
38
のスケジュールとなる。
上記方向性を踏まえ、暗号アルゴリズムの移行に伴う変更認定又は新規認定に係る指
定調査機関の調査スケジュールについては、認定認証事業者の要望や GPKI との相互認
証の認定に係る調査スケジュールを勘案し、指定調査機関において具体的な案を作成し、
個別に認定認証事業者と調整を行っていくことが望ましい。
なお、鍵更新において、新鍵生成後に旧鍵での運用を行わないシステムを構築してい
る認定認証事業者については、上記スケジュールを基本に今後個別に検討する必要があ
る。
39
7.暗号アルゴリズムの移行作業に関する留意点
認定認証事業者が発行する電子証明書の署名検証者としては、政府情報システムを利
用する各省庁や電子入札コアシステムを利用する地方公共団体等がある。電子署名法の
暗号アルゴリズムの移行にあたり、各認証局の移行作業は、署名検証者の移行への対応
状況により大きな影響を受けることから、今後、関係者間で情報を共有していく必要が
ある。
また、今後の検討に当たっては、電子証明書を購入し実際に利用している「利用者」
の視点に立ち、利用者の負担を極力下げる方向で検討を進めることが重要である。
例えば、暗号移行の影響を受ける利用者の PC 環境(OS、ブラウザなど)や電子証
明書の格納媒体(IC カード、USB トークン等)の新暗号アルゴリズムへの対応状況に
ついても、認定認証事業者等の関係者間で情報共有を進めるなど、留意していく必要が
ある。
8.認定認証事業者、指定調査機関、主務省での連絡体制の整備
暗号アルゴリズムの移行にあたり、認定認証事業者、指定調査機関、主務省で、密接
に連携をしていく必要がある。しかしながら、現状では、暗号アルゴリズムの移行作業
に係る情報等を関係者間で共有するための体制が整備されていないことから、早期に適
切な連絡体制を構築する必要がある。
なお、連絡体制のイメージとしては、例えば認定認証事業者、指定調査機関、主務省
での連絡会等の体制を新たに構築することも一つの方法であるが、既存の枠組み等を活
用することも考えられる。
40
9.利用者及び署名検証者に対する周知方法について
暗号アルゴリズムの移行にあたり、利用者及び署名検証者に対して、その必要性、重
要性について十分に周知していく必要がある。暗号アルゴリズムの移行については、そ
の影響範囲が広範であることから、国、認定認証事業者等の関係者は、それぞれの立場
で十分に広報活動を行っていくことが重要である。その際に、いたずらに危険性をあお
ることのないよう、慎重に配慮する必要があるが、具体的な方法については、暗号アル
ゴリズムの移行作業の進捗状況を踏まえ、上記連絡体制等を活用して、関係者間で十分
に議論を進めていくことが重要である。
10.まとめ
本研究会において、暗号アルゴリズムの移行スケジュール案等について整理を行った
ところである。また、「指定調査機関における調査のあり方」及び「緊急時対応計画」
の作成・実施手順に関する考え方については、より慎重な議論が必要であることから、
継続課題とされている。
暗号アルゴリズムの移行作業は、影響範囲が大きいことから、これらの課題について
次年度以降も継続的に検討が行われていくことが望ましい。
41
電子署名法における暗号アルゴリズム移行研究会
構成員名簿
主査
手塚
悟
東京工科大学コンピュータサイエンス学部
教授
相澤
良平
日本電気株式会社
浅野
敬
株式会社帝国データバンク 営業推進部営業開発課 課長補佐
佐藤
直之
日本ベリサイン株式会社
町田
陽
日本認証サービス 取締役
宮内
宏
ひかり総合法律事務所
構成員
マネージドプラットフォームサービス本部
事業戦略室 主席研究員
弁護士
オブザーバー
内閣官房情報セキュリティセンター
総務省行政管理局行政情報システム企画課情報システム管理室
総務省自治行政局地域情報政策室
財団法人日本建設情報総合センター
電子署名法主務3省
総務省情報流通行政局情報セキュリティ対策室
法務省民事局商事課
経済産業省商務情報政策局情報セキュリティ政策室
事務局
株式会社三菱総合研究所
財団法人日本情報処理開発協会
42
<研究会の検討経緯>
○平成 21 年 12 月 8 日(火) 第1回
研究会開催
議題:
・暗号アルゴリズム移行に関する方針、取り組み状況等について
・電子署名法における暗号アルゴリズム移行に関する論点について
→委員、認定認証事業者への意見照会(暗号アルゴリズム移行に関する論点)
○平成 22 年 1 月 21 日(木)
第2回
研究会開催
議題:
・電子署名法における暗号アルゴリズム移行に関する論点について
・暗号アルゴリズム移行スケジュール案について
→認定認証事業者への意見照会(暗号アルゴリズム移行スケジュール案について)
○平成 22 年 3 月 4 日(木)
第3回
研究会開催
議題:
・研究会報告書(案)について
43
Fly UP