ページの先頭です


ページ内移動用のリンクです

  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.31
  6. 3.技術トレンド

Internet Infrastructure Review(IIR)Vol.31
2016年6月13日
RSS

目次

3.4 共通鍵暗号の老朽化

TLS 1.1以前では、暗号文の形式は次の2つがあります。

  • ストリーム暗号
  • CBC(Cipher Block Chaining)モードのブロック暗号

ストリーム暗号として実質上唯一の選択肢であるRC4には、様々な攻撃方法が見つかっており、利用が禁止されています(RFC 7465)。

TLS 1.0以前のCBCモードのブロック暗号に関しては、BEASTという攻撃方法が有名です。また、TLS 1.2以前のCBCモードのブロック暗号は、「MAC後暗号化」という手法を取っています。MAC(Message Authentication Code)とは、データが改ざんされてないことを保証したり、認証したりするための補助データです。「MAC後暗号化」では、平文からMACを生成し、平文とMACを連結した後に全体を暗号化します。「MAC後暗号化」には、パディングオラクル攻撃という攻撃手法が見つかっています。そのためRFC 7366では、「MAC後暗号化」の代わりに「暗号化後MAC」という書式を提案しています。

TLS 1.2では暗号文の第3の形式として、AEAD(AuthenticatedEncryption with Associated Data)が定められました。AEADとは、暗号化と認証を同時に実行する方式です。現在では、ストリーム暗号とCBCモードのブロック暗号ではなく、AEADを利用することが推奨されています。AEADで利用できる共通鍵暗号のモードは、次のとおりです。

  • AESのGCM(Galois/Counter Model)モード
  • AESのCCM(Counter with CBC-MAC)モード

TLS 1.3では、ストリーム暗号やCBCモードのブロック暗号の書式は削られ、AEADのみが定義されています。

3.技術トレンド

ページの終わりです

ページの先頭へ戻る