米国国家安全保障局が暗号化標準を弱めようとしているとの報道を受け、暗号化通信会社は米国国立標準技術研究所(NIST)が認可した暗号化アルゴリズムの使用をやめた。
暗号化されたモバイルVoIP(Voice over Internet Protocol)およびテキストメッセージングアプリとサービスのプロバイダーであるSilent Circleは、自社製品のデフォルトの暗号化アルゴリズムとしてAdvanced Encryption Standard(AES)暗号とSecure Hash Algorithm 2(SHA-2)ハッシュ関数の使用を停止する。
「AES暗号の使用をTwofish暗号に置き換える予定です。これは代替可能な代替手段です」と、Silent CircleのCTO、ジョン・カラス氏は月曜日のブログ投稿で述べた。「SHA-2ハッシュ関数の使用もSkeinハッシュ関数に置き換える予定です。また、Threefish暗号の使用も、適切な場合には検討しています。」
同社はまた、楕円曲線暗号(ECC)用としてNISTが推奨する楕円曲線の1つであるP-384の使用も中止する予定だ。
NSAは長年にわたり、楕円曲線演算に基づく公開鍵暗号方式であるECCを支持してきました。ECCは従来の公開鍵暗号方式よりも安全性が高く、優れた性能を提供すると主張しています。P-384は、暗号化、鍵交換、デジタル署名、ハッシュ化に使用される暗号アルゴリズムセットであるSuite Bで使用される楕円曲線の1つであり、NSAは機密情報の取り扱いにECCを選択しました。
Silent Circle は、P-384 楕円曲線を、暗号学者の Daniel Bernstein 氏と Tanja Lange 氏が設計している 1 つ以上の曲線に置き換えることを計画している。両氏は過去に、Suite B 楕円曲線は弱いと主張していた。
「もしスイートB曲線が意図的に粗悪なものだとしたら、これは信頼と信用を大きく損なう行為となるでしょう」とカラス氏は述べた。「たとえ受動的なケース、つまり曲線は良好だと思われていたものの、NSAの暗号解読者がその後悪用した弱点を発見したというケースであっても、それは極めて重大な信用格差を生み出し、ガーディアン紙の記事を裏付ける決定的な証拠となるでしょう。」
ニューヨーク・タイムズ紙とガーディアン紙は先月、元NSA契約職員エドワード・スノーデン氏が漏洩した文書に基づき、NSAがその影響力を利用してNISTが2006年に発表した暗号化規格を弱体化させたと報じた。
その標準とは、楕円曲線離散対数問題に基づく安全な疑似乱数生成器(PRNG)である、Dual Elliptic Curve Deterministic Random Bit Generator(Dual_EC_DRBG)です。PRNGは暗号技術の多くの側面で重要な役割を果たしており、そのうちの1つに脆弱性があると、それを使用する暗号システム全体のセキュリティが損なわれる可能性があります。
研究者たちは 2007 年以来、Dual_EC_DRBG には重大な脆弱性があると警告してきましたが、NIST の推奨事項であったため、一部の企業は暗号化製品にこれを実装してしまいました。
NSAがこの標準を弱体化させているという最近の報道を受け、NISTはDual_EC_DRBG仕様を含むSpecial Publication 800-90Aをパブリックコメント募集のために再開しました。また、NISTは暗号標準を意図的に弱体化させる意図はないと否定しました。
しかし、NIST の評判へのダメージはすでに生じているようだ。
EMC のセキュリティ部門である RSA は、BSAFE 暗号化ライブラリと Data Protection Manager 製品ではデフォルトで Dual_EC_DRBG を使用しており、製品ドキュメントの指示に従って別の PRNG に切り替えることを強く推奨していることを顧客に通知しました。
サイレントサークルがAES、SHA-2、P-384曲線から離脱するという新たな決定は、これらの標準が安全ではないことを意味するものではないと、カラス氏はブログ記事で述べている。「これは、私たちが最大限の敬意を払っているNISTの友人たちを軽視しているという意味ではありません。彼らは、自由世界の他の国々と同様に、NSAの不誠実さの犠牲者なのです。私たちにとって、呪縛は解けました。私たちはただ前に進むだけです。」
同社は今後も自社のサービスで NIST 認定のアルゴリズムをサポートする予定ですが、それがデフォルトの選択肢ではなくなる予定です。
特に Twofish と Skein が Silent Circle 社の製品の新しいデフォルトの選択肢として選ばれた理由について尋ねられると、Callas 氏は電子メールで、両方のアルゴリズムは信頼できる情報源から来ており、Skein の場合は彼自身もその一人だと答えた。
TwofishはNISTのAES暗号選定において最終候補に残り、その開発チームにはSilent Circleの共同創業者が個人的に知り合い、信頼している人々が含まれていたと彼は述べた。「SHA-3の最終候補となったSkeinの開発にも同じメンバーが関わっており、私もSkeinチームの一員です。」
サイレントサークルにとって、これは「良心に基づく決断」だったとカラス氏は述べた。「私たちの第一の責任は、特に不確実な状況において、お客様を守ることです。」
しかし、Callas 氏は、他のベンダーが必ずしもそれに倣って NIST の暗号化標準から離れるべきだと考えているわけではない。
「誰かが違う決断をしたとしても、私は責めません」と彼は言った。「たとえ異なる決断を下し、異なる行動をとったとしても、世界中の人々が安全を第一に考え、互いの決断を尊重し合う必要があります。もし誰かが自分の道を歩み続けると決めたなら、私はそれを尊重します。」
「だからこそ、お客様には古いアルゴリズムをご利用いただけるようにするつもりです」とカラス氏は述べた。「お客様の個人的な判断も尊重します。」
