電子政府推奨暗号リスト、CRYPTREC暗号リスト、CRIPTREC、ISO/IEC 18033、暗号化アルゴリズム、JIS X 19790、ISO/IEC 19790、CMVP
総務省及び経済産業省により策定された「電子政府における調達のために参照すべき暗号のリスト」です。2003年に策定、その後改訂が行われています。
中央省庁や地方公共団体のシステムで暗号技術を用いるときは、原則としてこのリストにある暗号技術およびその注意事項に従って用いることが定められています。
行政を対象にしていますが、このリストにある暗号技術は、第三者の専門家グループにより評価を得たものですから、民間企業にとっても参考にすべきです。
具体的なリストは追加・削除が行われますので、ここでは表示しません。
https://www.cryptrec.go.jp/list/cryptrec-ls-0001-2012r5.pdf を参照してください。
暗号リストは、次の3つに区分して掲げられています。
推奨暗号リスト、推奨候補暗号リストは、以下の技術分類に分けられ、それぞれ1~4個の暗号技術が掲げられています。
公開鍵暗号 署名、守秘、鍵共有、共通鍵暗号
ブロック暗号 ブロック暗号、ストリーム暗号
ハッシュ関数
暗号利用モード 秘匿モード、認証付き秘匿モード
メッセージ認証コード
認証暗号
エンティティ認証
電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトです。
暗号の安全性に関する情報を提供することを目的として「共通鍵暗号」「公開鍵暗号」「ハッシュ関数」「擬似乱数生成系」の4種類の暗号技術に対して国内外の暗号研究者による評価を行い、評価レポートや推奨可能な暗号のリストを作成することを主な活動内容としています。
総務省及び経済産業省が共同で運営する暗号技術検討会の下に、NIST(国立研究開発法人情報通信研究機構)とIPA(独立行政法人情報処理推進機構)が共同で運営する
暗号技術評価委員会:暗号技術の安全性評価を中心とした技術的検討
暗号技術活用委員会:暗号技術の国際競争力向上、運用面での安全性向上に関する検討
があります。
CRIPTRECはこの2委員会共同で運営されています。
( https://www.cryptrec.go.jp/topics/listpc_standard_v3.pdf)
安全性評価ででは、次のことに留意する必要があります。
リスト選定の結果は、暗号技術の開発者や利用者に大きな影響を与えるので、選定の説明責任が問われます。そのため、CRIPTRECでは「暗号技術評価報告書」あるいは年次報告を公表しています。
(最初の検討時が最も網羅的なので、それを例示します。
暗号技術評価報告書(2001年度)https://www.cryptrec.go.jp/report/cryptrec-rp-2000-2001.pdf)
「電子政府推奨暗号リスト」と同様な内容のISO/IECによる暗号化アルゴリズムに関する国際標準規格です。このリストに掲げられた暗号化アルゴリズムを、ISO/IEC国際標準暗号といいます。
ISO/IEC 18033-1:General (総論)
ISO/IEC 18033-2:Asymmetric ciphers (非対称暗号=公開鍵暗号)
ISO/IEC 18033-3:Block ciphers (ブロック暗号)
ISO/IEC 18033-4:Stream ciphers (ストリーム暗号)
ここでリストされた暗号化アルゴリズムは、電子政府推奨暗号リストとかなり一致しています。
( http://kikakurui.com/x19/X19790-2009-01.html)
暗号モジュールとは、暗号機能を実現するためのハードウェア及びソフトウェア両方を含む概念です。
そもそもは、米国では、FIPS 140(Federal Information Processing Standardization 140)により、米国連邦政府の省庁等各機関が暗号モジュールの使用を望むときは、FIPS 140 の暗号モジュールに関する要件を適合するものでなければならないとされていました。これが国際規格化され ISO/IEC 19790 になり、JIS化して JIS X 19790 になりました。
暗号製品・モジュールの第三者評価制度にCMVP/JCMVPがありますが、ISO/IEC 19790、JIS X 19790 は、評価のための要求事項です。
CMVPは FIPS 149、JCMVPは JIS X 19790 に対応する制度です。内容はほぼ同じであり、ここではJCMVPについて記述します。
本制度は、電子政府推奨暗号リスト等に記載されているセキュリティ機能を実装した暗号モジュールが、その内部に格納するセキュリティ機能、暗号鍵、パスワード等の重要情報を適切に保護していることを、第三者による試験及び認証を行う制度です。
評価機関をCMTラボ(Cryptographic Module Testing Laboratory)といいます。暗号アルゴリズム実装試験ツールJCATT(Japan Cryptographic Algorithm implementation Testing Tool)を用いて暗号アルゴリズムの準拠性テストを行い、準拠性が認められた場合は実装した製品・モジュールへの安全性評価を行います。
認定機関はIPAです。CMTラボからの試験報告書を受けて認定証を発行します。