ページの先頭です


ページ内移動用のリンクです

  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.31
  6. 3.技術トレンド

Internet Infrastructure Review(IIR)Vol.31
2016年6月13日
RSS

目次

3.3 公開鍵暗号と鍵交換

前述のように推奨される鍵交換の方法は、RSAから使い捨てDiffie Hellman系に変わりました。理由は、RSAが持たない前方秘匿性(forward secrecy)を使い捨てDiffie Hellman系が持つからです。前方秘匿性とは、将来に渡ってデータの秘匿性が守られることです。

鍵交換にRSAを用いると、前方秘匿性がない理由を考えましょう。クライアントがサーバにTLSで接続すると、サーバはクライアントに証明書を送ります。証明書とは、認証局の署名が付いたサーバの公開鍵のことです。クライアントは、サーバと共有すべき秘密を生成し、サーバのRSA公開鍵で暗号化してサーバに送ります。この暗号文を復号できるのは、RSA秘密鍵をもっているサーバのみです。これで、クライアントとサーバは秘密が共有できましたので、この秘密から生成される鍵を使い、共通鍵暗号で通信路を保護します。

この時点では、この暗号路は安全です。第三者が中身を盗聴することはほとんど不可能です。しかし、次のようなことが現実に起こると、盗聴されてしまいます。

ある広域監視が、この暗号路を流れるデータをすべて保存しています。そして、サーバの入れ替えに伴い、サーバを破棄する際に誤ってディスクの内容を消去しませんでした。広域監視がこのディスクを手に入れれば、秘密鍵が取り出せるので、保存していた暗号路のデータを順に復号できます。

一方、使い捨てDiffie Hellman系では、クライアントとサーバが、お互いに使い捨ての公開鍵と秘密鍵を生成します。これらの秘密鍵はディスクに保存されることはないので、前述のようなことは起こりません。使い捨てDiffie Hellman系では、オリジナルのDHE(DiffieHellman, Ephemeral)よりも楕円暗号で実現したECDHE(RFC4492)の方が普及しそうです。その理由は、次のとおりです。

  • DHEに比べて、ECDHEの方が交換するデータの量が少ない。
  • DHEに比べて、ECDHEの方が計算速度が速い。
  • ECDHEには、厳選されたパラメータがあらかじめ定義されている。DHEでも定義しようとするIDはあるが、まだRFCとなっていない。
  • 前述のようにRFC 7525で第一候補だと定められている。

前方秘匿性については、「IIR Vol.22、1.4.2 Forward Secrecy」も参考にしてください。

3.技術トレンド

ページの終わりです

ページの先頭へ戻る