日立の暗号技術への挑戦
これまで日立では暗号技術の基礎研究から応用開発まで幅広く暗号技術に取組むことで産業や学術に貢献してきました。これには、画期的な暗号方式の発見や、これらの適切なエンジニアリングと普及活動がありました。1980年代に遡る日立の暗号技術の歴史を、要点を中心に紐といてみてゆくことにします。
図3.1: 暗号技術の分類と主な暗号アルゴリズムの例
1988 アルゴリズム公開型高速暗号方式MULTI2を開発
1992 (標準化)弊社研究員がISO/IEC 13888エディタに任命される(1995.4まで)
1993 MULTI2暗号、ISO/IEC 9979暗号登録制度に登録される
1994 MULTI2暗号を実装した暗号ライブラリ、Keymate/MULTIをリリース
1995 MULTI2暗号、旧郵政省ディジタル衛星放送暗号方式の標準に採用(1996.10サービス開始)
1996 MULTI2暗号のカスタムLSIを開発、衛星放送受信装置などに組込み
1997 ライトウェイト暗号M6がIEEE1394ホームバス暗号・認証のベースライン暗号としてDTCPで採用される
2000 改竄検知可能な暗号方式MULTI-S01を開発
2001 高速ストリーム暗号MUGIを開発
2001 安全性の証明が数学的に可能な公開鍵暗号方式HIME(R)を開発
2003 MULTI-S01, MUGIが総務省・経済産業省による電子政府推奨暗号に認定される
2003 NTT、三菱電機との共同でCRESERCの開発に成功
2005 ISO/IEC 18033にMULTI-S01, MUGIを掲載し発行
1980年代後半はCPUのアーキテクチャの普及が多様化した時代でした。従来の8ビット、16ビットアーキテクチャに加えてIntel 80386プロセッサが普及しはじめた頃でした。日立はこの32ビットアーキテクチャの将来性とその暗号利用を先見し、従来のビット単位あるいは8ビット単位の暗号方式とは画期的に異なる32ビット演算を効果的に用いた暗号方式MULTI2を開発しました。 安全性の高さとその処理効率のよさが認められ、MULTI2暗号は当時の郵政省が策定するディジタル衛星放送暗号方式に採用されるなど、民間用途として広く普及した暗号方式です。
図3.2:ビット単位の演算を使った暗号方式(DES)と32ビット演算を使った暗号方式(MULTI2)
1990年代の後半には、家電製品のデジタル化が進み、DVDの普及やマルチメディアパソコンの市場が注目されるようになりました。同時にこれは情報セキュリティのコモディティ化の先駆けの時代でもあり、消費者の利用するデジタル機器への暗号機能の普及が高まった時代でもありました。 こうした産業界のニーズを受けて、成熟したMULTI2暗号の改良に取り組みました。テーマは、どのようなものにも暗号化を適用できるカジュアルセキュリティ。MULTI2の開発や安全性評価で培われた技術や、当時の最新の安全性評価技術を、新しい暗号開発へ流用し、特に実装コストや開発コストを抑えることで、消費者が対象とされるレベルの攻撃を払拭する暗号をリリースしました。 M6暗号はこの一つです。M6暗号は、IEEE1394データバスを使ったコンテンツ転送における著作権保護の目的で、DTCP/CPTWGが標準化し、ベースライン暗号として使われています。
図3.3:MULTI2とM6の大域的構造
次の世代に必要な暗号技術とは。2000年頃には計算機とネットワークが消費者レベル、さらには、職場や家庭に留まらず自動車内やそれぞれの生活シーンにまで浸透し、情報セキュリティの高度化が重要な研究課題となってきました。
従来の暗号方式にはない画期的な暗号の実現が必要となってきました。そこで着目したのがストリーム暗号技術です。DES, MULTI2, そして新鋭のAESにはない暗号としての新しい価値を切り開くために、従来のブロック暗号という枠を飛び出し、未開のストリーム暗号の技術開発に着手したのは1998年でした。
イギリスケンブリッジ大学との共同研究で、従来の暗号処理に、機能的な改良を加えることに成功し、改竄検知可能な暗号処理の実現を行いました。これがMULTI-S01です。
図3.4: 改ざん検知
MULTI-S01をはじめとしたストリーム暗号は、その安全性のよりどころを、内部で用いる擬似乱数生成器に置いています。この擬似乱数生成器は、その開発が難しいだけでなく、乱数性の評価自身も困難を極めます。米国政府や日本が定める乱数検定方法が多数知られているがどれも統計的な一側面を評価しているに過ぎず、これらでは不十分でした。安全な乱数とは何か。
乱数の安全性を従来の暗号解読の難しさと関連付けるよう考えました。従来の暗号の強さを乱数の安全性に転用したのがMUGIです。この時点ではブロック暗号と呼ばれる基本関数の設計や評価は成熟し安心して使える技術が公知として広まっていました。この技術を乱数生成のコアに用います。そして従来から培われた擬似乱数生成の概念に組み合わせることで、結果として暗号学的な安全性のある擬似乱数生成器を完成することができました。
図3.5: 乱数の安全性
MUGIは若干29才の若手研究者(渡辺 大 研究員)が、海外の研究者、具体的にはベルギーのルーベンカトリック大学教授バート プレネール氏、AESの開発者(現在オーストリアのグラーツ工科大学教授)ビンセント ライマン氏らとの技術協力により、困難を極めた安全性評価に成功しました。
日立の暗号技術への取組みとしてISO/IECへの貢献を触れずには語れません。ISOがセキュリティ技術の標準に着手した頃から、日本の代表として国際会議に参加、あるいはプロジェクトエディタを務めるなどの形で関わりあってきました。2005年には、MUGI、MULTI-S01といった方式がISO/IEC18033に策定されるなど、その貢献は単なる標準化活動だけでなく、掲載される内容にも日立の技術が生きています。
第4回はインタビュー記事:日立暗号技術についての見識者の評価をご紹介いたします。
執筆者紹介
古屋 聡一(ふるや そういち)
1997年九州大学大学院システム情報科学研究科情報工学専攻修了。
同年日立製作所システム開発研究所入社。
以来、情報セキュリティと暗号技術の研究、開発に従事。
1998-1999英国ケンブリッジ大学
(CCSR, Centre for Communications System Research)Visiting Scholor。
2004年九州大学大学院システム情報科学研究府(情報工学専攻)より博士(工学)授与。
入社以来、共通鍵暗号の設計と安全性評価に関する研究開発を行ない、
製品適用や標準化団体やコンソーシアムにて標準化活動を行なう。
1999, 2000年にはそれぞれストリーム暗号方式MULTI-S01, MUGIを開発し、
総務省経済産業省策定電子政府推奨暗号リスト、ISO/IEC 18033 暗号
アルゴリズム Part 4 ストリーム暗号に採用される。
現在、暗号実装や
鍵管理方式、個人情報保護の観点から幅広く情報セキュリティ技術の普及に努める。
CRYPTREC 暗号技術調査ワーキンググループ ハッシュ関数・暗号利用モード調査
ワーキンググループ委員, 情報処理推進機構暗号アルゴリズム試験要件検討
ワーキンググループ委員、IEICE英文論文誌編集委員
(2003.1号, 2004.1号, 2005.1号, 2006.1号), IWSEC2006
(International Workshop on Security, 2006.10.23-24, Kyoto, Japan)プログラム委員。
関連リンク