NTTと三菱電機は2014年3月17日、国立大学法人福井大学と連携して、暗号化データの改竄を検知できる新たな暗号方式を開発したと発表した。
今回、産学連携で開発された新しい暗号方式は、従来、個別に提供されていた情報の秘匿化と改竄検知の機能を安全に組み合わせたうえで単一の機能として提供する「改竄検知暗号」の1方式。同方式によって、システムの情報セキュリティの根幹をなす暗号機能の設計において、システム設計者がセキュリティ上の脆弱点を埋め込んでしまうような事態を防げるようになるという。
開発の背景として、NTTらは既存の秘匿・改竄検知技術における欠点を挙げて次のように説明している。―ネットバンキングなど高度なセキュリティが求められるWebベースのサービスでは、第三者による情報の閲覧を防ぐ秘匿機能と、情報の変更の有無を検知する改竄検知機能が不可欠であり、システム全体の安全性を確保するためにはこれらの機能を適切に組み合わせてシステムに組み込む必要がある。しかしながら、2011年のBEAST攻撃や2013年のLucky Thirteen攻撃といった、この組み合わせ方法における脆弱性を巧妙に利用した攻撃が発生するなど大きな問題を抱えていた―。
問題の解決に向けて、以前より、情報の秘匿と改竄検知の両機能を同時かつ安全に実現する改竄検知暗号が提案されている。だが、従来の改竄検知暗号方式は安全に利用するための制約条件が複雑で、システムの設計者に多大な負担を強いるものであったという。
今回開発された新しい改竄検知暗号方式は、復号処理の中間データを出力しても暗号文を偽造されない性質を備えている。そのため、復号したデータを溜め込まずに逐次的に出力できるので、記憶領域が少ないデバイス上でも大きなデータを取り扱うことが可能となる。
また、AES-GCMに代表される既存の改竄検知暗号方式の場合、安全に利用するためには、「ナンス」と呼ばれる、毎回必ず異なる値を入力する必要があるが、現実の利用においてはデータの再送やシステム構築の検証時に同一のナンスが使われて、安全性を欠くケースがあったという。NTTらが開発した改竄検知暗号方式では、同じ値をナンスとして利用してもほとんどの利用局面では問題が起きない設計がなされ、システム全体の安全性が脅かされる危険を極小化できるという。
さらに、AES-GCMでは一度に暗号化できる平文の長さは64GBが上限だが、新しい改竄検知暗号では事実上無制限に長い平文に対しても安全に利用できるとしている。
NTTらは、新しい改竄検知暗号方式をNIST(米国標準技術院)が支援する暗号評価プロジェクト「CAESAR」へ応募するとともに、安心・安全な情報化社会の基盤の確立に向けて本方式の普及を進めていくことを表明している。
