NICT、暗号プロトコルのセキュリティ評価結果をリスト化・公開

October, 21, 2015, 東京--NICTは、標準化された51個の暗号プロトコルとその他7個の主要プロトコルについて、学術論文数十本の成果に相当するセキュリティ評価結果をリストとしてまとめ上げ、NICTのポータルサイトで公開し、誰もが入手できるようにした。
　ネットワークシステムでは、目的に応じて暗号プロトコルを適切に利用することが重要となるが、システム設計者がこのリストを判断基準として用いることで、暗号プロトコルの適切な利用促進が期待される。
　今回NICTは、標準化された51個の暗号プロトコルとその他7個の主要プロトコルについて、セキュリティ評価結果を集約する作業を行い、暗号プロトコル評価リストをNICTのポータルサイトで公開した。
リストの整備に当たっては、自動検証ツールを用いてプロトコルを評価した。評価対象のプロトコルすべてに関して評価結果を精査し、問題点を洗い出した。さらに、国際標準ISO/IEC29128における評価レベルのいずれに相当するかを明らかにした。
　一般に、自動検証ツールによる評価結果の解釈は専門家以外では不可能であり、1つの暗号プロトコルの評価は学術論文として公表されるほど膨大な労力を必要とする。そのため、単一の機関が58個ものプロトコルに対して、複数の自動検証ツールを用いて、このようなリストを取りまとめたことは、世界でも類がなく、初めての試み。
　NICTポータルサイトはオープンであり、誰でもリストを入手できる。
　システム設計者は、リストを一覧することで、目的とする機能を実現する暗号プロトコルについて、「現状安心して使える」、「対策を施せば安心して使える」、「もはや安心して使えない」を容易に判断できる。
　また、暗号プロトコルの個別ページでは、これまでに発見されたセキュリティ上の問題や、その回避方法、自分でセキュリティを評価するための手順などの有用な知見が得られる。
　さらに、学術論文でも、まれにしか公開されない、オープンソースの自動検証ツールへの入力ソースも提供しており、誰もが評価を追試できる。
　現在の暗号プロトコル評価リストは、標準化された暗号プロトコルを中心としているが、今後は標準化候補の暗号プロトコルの評価結果も充実させ、システム設計者が、目的に適した暗号プロトコルを設計する際に役立つ情報を提供していく予定。それにより、ネットワークシステムの効率的な構築やネットワーク全体の安心・安全の向上に貢献する。
(詳細は、www.nict.go.jp)