暗号技術評価ワークショップ
暗号技術評価ワークショップ
2002年(平成14年)3月29日
独立行政法人情報処理推進機構
通信・放送機構
| 名称 | 暗号技術評価ワークショップ |
|---|---|
| 主催 | 情報処理推進機構、通信・放送機構 |
| 会期 | 2002年1月28日(月) |
| 時間 | 13:30~21:00 |
| 会場 | 上富田文化会館 (和歌山県西牟婁郡上富田町朝来758-1) |
| 参加者数 | 約170名 |
| 時刻 | プログラム | |
|---|---|---|
| 13:30 | 開会 | |
| e-Japan 構想における暗号評価の位置づけについて 大野 秀敏 経済産業省 商務情報政策局 情報セキュリティー政策室長 |
 |
|
| 暗号技術検討会の事務局である総務省と経済産業省を代表して、プレゼンテーション資料にそって、e-Japan重点計画や電子政府のアクションプランにおける暗号技術標準化の方針や暗号技術検討会の活動内容について説明された。 今後の主な活動としては、利用分野毎の電子推奨暗号リストの作成と調達ガイドブックを含めた暗号技術利用方針の作成があげられ、来年度中に各省庁との合意を取りたい旨の説明がされた。 | ||
| CRYPTRECの活動概要 今井 秀樹 暗号技術評価委員会委員長、東京大学教授 |
 |
|
| 暗号技術検討会座長及び暗号技術評価委員会委員長として、CRYPTRECの活動の主旨や評価体制などについて説明された。 電子政府で利用可能な暗号技術に関する考え方や暗号技術評価の進め方、さらに今年度暗号技術評価内容については、4月16日の報告会で報告する予定であることが説明された。 | ||
| 14:00 | Session 1:共通鍵応募暗号の評価検討状況報告 | |
| 共通鍵評価暗号の評価検討状況報告 総論 金子 敏信 共通鍵暗号評価小委員会委員長、東京理科大学教授 |
 |
|
| 金子共通鍵暗号評価小委員会委員長が共通鍵暗号技術評価の評価方針と現在の評価状況について説明された。 | ||
| スクリーニング評価の評価検討状況報告 | ||
| MUGI 櫻井 幸一 共通鍵暗号評価小委員会委員 |
||
| 質疑応答の概要 発表資料5枚目総合コメント(1)項目1.「.....それとの比較....」の「それ」とは何か?との質問が会場からあり、発表者から、MULTI-S01とPANAMAのどちらと比較するのが妥当なのか、委員会としても判断つきかねると説明された。 |
||
| TAO TIME Cognition Algorithm 宝木 和夫 共通鍵暗号評価小委員会委員 |
||
| 質疑応答の概要 会場からの「評価者3の『安全性に問題がある』というのは、どのような評価によるのか?」との質問に対して、発表者は「数式に不明な点があり、認知アルゴリズムの評価を行えなかった。使用している乱数は、そのままではCRYPTRECが期待する性能を実現していない」との回答があった。 会場からの「"a"は単なる種を生成するための乱数の一部である。"s","c"の評価を行わないのは何故か?」との質問に対して、発表者は「認知システムの公募ではなく、擬似乱数生成系を公募している。最大限の好意による評価であることを理解されたい」との回答があった。 |
||
| 詳細評価の評価検討状況報告 | ||
| CIPHERUNICORN-E 時田 俊雄 共通鍵暗号評価小委員会委員 |
||
| 質疑応答の概要 会場からの評価者1〜4の見積もった値が微妙に異なるのは何故か?との質問に対して、発表者は値を見積もる手法が異なるためであるとの回答をした。 |
||
| CIPHERUNICORN-A 神田 雅透 共通鍵暗号評価小委員会委員 |
||
| 質疑応答の概要 応募者から、提案時評価の際に省略した部分を、もう少し厳密に評価した結果をランプセッションで公開する予定である、とのコメントがあった。 |
||
| MULTI-S01 下山 武司・角尾 幸保・荒木 純道 共通鍵暗号評価小委員会委員 |
||
| 質疑応答の概要 会場から、PANAMAのSP800-22評価の際の、設定パラメータの等の詳細な値の公開を望むとのコメントがあった。 |
||
| 15:30 | 休憩 | |
| 15:45 | Session 2:公開鍵応募暗号の評価検討状況報告 | |
| 公開鍵評価暗号の評価検討状況報告 総論 松本 勉 公開鍵暗号評価小委員会委員長、横浜国立大学教授 |
 |
|
| 松本公開鍵暗号評価小委員会委員長が公開鍵暗号技術評価の評価方針と現在の評価状況について説明された。 | ||
| スクリーニング評価の評価検討状況報告 | ||
| HIME(R) (High Performance Modular Squaring Based Public Key Encryption <Revised version>) 有田 正剛 公開鍵暗号評価小委員会委員 |
||
| 質疑応答は特に無し。 | ||
| NTRU public key cryptosystem 小暮 淳 公開鍵暗号評価小委員会委員 |
||
| 質疑応答は特に無し。 | ||
| OK-ECDSA/OK-ECDH 新保 淳 公開鍵暗号評価小委員会委員 |
||
| 質疑応答の概要 会場から、位数の計算は誰が行うのかとの質問に対して、使い方により信頼できる機関または個人が行うことになることが想定されると、発表者が回答した。 会場から、サイドチャネル攻撃に対する耐性に関して定量的な評価に乏しいとはどういうことなのかとの質問に対して、発表者は他の手法との実装比較結果がないという外部評価コメントであると回答した。 |
||
| PSEC-KEM Key agreement 松崎なつめ 公開鍵暗号評価小委員会委員 |
||
| 質疑応答の概要 提案者より、パラメータの値と条件が欠如しているといった評価に対して、「仕様書のP.20に楕円曲線のパラメータはSECGから選択し、base point は160ビット以上のものを利用する、と記述してあり、詳しいとはいえないが、少なくともこれくらいのことは書いてある。提案者としては『詳しく書くべきでない。』というポリシーをもっている。」とのコメントがあった。 提案者より、hLenの条件が、要修正と評価された点に関して、「PSEC-KEMとPSEC-2では記号hLenの使い方が異なる(ISOに対応するため)。PSEC-KEMにおいてはPSEC-2におけるhLenの問題点は解消されている。」とのコメントがあった。このコメントに対しては、評価委員より記号の対応表を作成して欲しいとの意見が出された。 提案者より、暗号種別(鍵交換と鍵カプセル化)に関して一貫性・対応付けが不明という評価に関して、「仕様書には鍵カプセル化が鍵共有に用いることができると記述してある。」とのコメントがあった。 |
||
| 16:40 | 休憩 | |
| 16:55 | 詳細評価の評価検討状況報告 | |
| EPOC-2 渡辺 創 公開鍵暗号評価小委員会委員 |
||
| 質疑応答の概要 提案者により、用いられているプリミティブが基となった Eurocrypt'98で発表された関数とパラメータの条件が異なっているという指摘に対して、ランプセッションでコメントすると発言があった。 |
||
| ESIGN 酒井 康行 公開鍵暗号評価小委員会委員 |
||
| 質疑応答の概要 評価委員から、外部評価者により新しい事実が発見されたかもしれないので鋭意検証中とのコメントがあった。 |
||
| RSA Public-Key Cryptosystem with Probabilistic Signature Scheme (RSA-PSS) RSA Public-Key Cryptosystem with Optimal Asymmetric Encryption Padding (RSA-OAEP) RSASSA-PKCS-v1_5 太田 和夫 公開鍵暗号評価小委員会委員 |
||
| 質疑応答の概要 会場からの教科書的RSA署名とはハッシュ関数を使うか使わないかの質問に対して、評価委員から、ハッシュ関数がフルドメインハッシュを含むような曖昧なものであり、明確になっていない状況であると説明した。また、ハッシュ値のサイズが小さく限定されているものであるとのコメントも出された。 会場から、OAEP+とOAEP等の帰着の効率の比較についてSCIS2002で発表すること、さらにPKCS#1 v1.5からPSSへの移行に関して、ESIGNでも同じ状況であるというコメントがあった。 |
||
| Digital Signature Algorithm 洲崎 誠一 公開鍵暗号評価小委員会委員 |
||
| 質疑応答の概要 質疑応答は特に無し。 |
||
| ECDSA (Elliptic Curve Digital Signature Algorithm) in SEC1 新保 淳 公開鍵暗号評価小委員会委員 |
||
| 質疑応答の概要 質疑応答は特に無し。 |
||
| 18:25 | 休憩 | |
| 18:55 | 自由の拡大と電子署名法 辻井 重男 暗号技術評価委員会顧問、中央大学教授 |
 |
| 電子政府において、今後重要となってくる暗号技術を利用した電子投票システムを手品風に分かりやすく説明された。 | ||
| 19:10 | ランプセッション (下線は発表者を示す) | |
| CIPHERUNICORN-Aの差分/線形解読に対する安全性について 角尾 幸保, 久保 博靖 |
||
| 発表概要 「CIPHERUNICORN-Aの差分/線形解読に対する安全性について」と題して、差分/線形特性確率に関する追加の自己評価を行い、共に2-128を下回ることを説明した。 |
||
| 質疑応答の概要 評価委員から、委員会として資料を要求する可能性がある、3段消去攻撃が適用不可なことを証明してほしい、とのコメントがあった。 会場から、乗算の評価については改良したがA3関数に関するの評価の状況についてどうかとの質問について、発表者は従来通りであること回答した。 |
||
| TAO TIME認知アルゴリズムにおける独自なPRNGメソッドについて 杉山 彰 |
||
| 発表概要 「TAO TIME認知アルゴリズムにおける独自なPRNGメソッドについて」と題して以下の内容の説明があった。 TAO TIMEにおける擬似乱数がC(n),S(n-1)として再評価してほしい。 TAO TIMEの評価に関して「安全性にも問題がある」との記述に対して説明してほしい。 |
||
| 質疑応答の概要 評価委員から、提出された資料から認知システムはCRYPTRECの評価対象外であり、擬似乱数生成系として提案されているので乱数を生成するアルゴリズムのみ評価し安全でないと判断した、とのコメントがあった。 評価委員から、漸化式を解いて一般項を求めれば、3回前からの値を用いて次回からの認証データを偽造できる。認知アルゴリズムを認証方式と見なすならば、十分な安全性を持つとは思えない、とのコメントがあった。 |
||
| MUGI最新情報 古屋 聡一 |
||
| 発表概要 「MUGI最新情報」と題して、MUGIの仕様書誤りについて説明した。また、Test Vectorの不一致はeditorialなミスであると説明した。MULTI-S01と違い、普通のストリーム暗号であり(MULTI-S01はMAC付きである)、MUGIは以下の点でPANAMAの改良であると説明があった。 1.軽量(18Kgate) 2.初期化がPANAMAより軽い 3.PANAMAのオーバースペックな部分を削除。 |
||
| 質疑応答の概要 評価委員から、本発表はアルゴリズムの変更ではないこと、仕様書の誤りを公開したのみであってCRYPTRECに提出された文書の訂正が認められたわけではないことを説明した。 また、委員会の判断により、訂正資料を要求する可能性があることを説明した。 会場から、改良点である軽量について、650Mbps@18Kgateは決して小さくなく、AESでは310Mbps@5.4Kgate,2.6Gbps@21Kgateが実現されているとのコメントがあった。 会場からのMULTI-S01におけるPANAMAをMUGIに置き換えるようなことはあるのかとの質問に対して、発表者からは設計方針の問題であり簡単にPANAMAからMUGIへ変更することはない、との回答があった。 |
||
| MULTI-S01最新情報 古屋 聡一 |
||
| 発表概要 「MUTLI-S01最新情報」と題して、Vernam暗号+MACでも良いのでは?との指摘に対し、1.安全性 2.利便性 の点でS01が優位であることを説明された。 |
||
| 質疑応答の概要 会場から、MACを外したMUTLI-S01とMUGIの比較についての質問に対して、発表者は単なるPANAMAを用いたストリーム暗号である。HW/SW実装でMUGIより優位な点が主張できる、との回答があった。 評価委員から、そのような比較レポートの提出要求について、全ての応募者に公平な機会を設けるような仕組みを考えた上で実施したいとコメントがあった。 |
||
| EPOC-2: CRYPTREC'01提出版とROMでの証明可能安全性との関係 藤崎 英一郎 |
||
| 発表概要 「EPOC-2: CRYPTREC'01提出版とROMでの証明可能安全性との関係」と題して発表があり、提案方式に関して修正案が説明された。 hの選び方を h = gn (mod n)に変更する。(Eurocrypt'98, NESSIE'01と同様) rの範囲 (hLen) についても修正案を持っているが、変更なし。 |
||
| 質疑応答の概要 会場からの公開パラメータhをランダムに選ぶというのでは安全性に問題があるのかとの質問に対し、発表者は特に具体的な攻撃方法があるわけではなく、ランダムに選んだとしてもパラメータhの位数が十分大きければ良い、ただし、この正確な振る舞いは法nの因数pとqに関係するとの回答があった。 会場から、仕様変更を行わなくても法nの因数(p,q)によるパラメータhの位数解析を行い安全なパラメータの指標を出せば良いではないかとのコメントがあった。 |
||
| Camelliaテストベクトル生成プログラム訂正 松井 充 |
||
| 発表概要 「Camelliaテストベクトル生成プログラム訂正」と題して、TestVector生成プログラムにBugがあったことを説明した。 |
||
| 質疑応答の概要 質疑応答は特に無し。 |
||
| NTRUラティスを用いたデジタル署名技術であるNTRUSignに関して ウイリアム・ホワイト |
||
| 発表概要 「NTRUラティスを用いたデジタル署名技術であるNTRUSignに関して」と題して説明した。 |
||
| 質疑応答の概要 評価委員からのNTRU暗号とNTRU署名は同じラティスに関する困難性に基づくものであるかの質問に対して、発表者は同じラティスに関する困難性に基づくものと回答した。 評価委員から、NTRUの安全性証明のドラフトに関して質問して、発表者は現時点ではまだ公表していないと回答があった。 |
||
| 128ビットブロック暗号のASIC実装のポイント (KASUMI付) 佐藤 証 |
||
| 発表概要 「128ビットブロック暗号のASIC実装のポイント(KASUMI付)」と題して、CRYPTRECに応募された128ビットブロック暗号と64ビットブロック暗号MISTY/KASUMIのHW実装評価のポイントを説明した。 |
||
| 質疑応答の概要 会場から、SCIS2002においてSC2000に関する実装発表を行う予定があるとコメントがあった。 |
||
| 21:00 | 閉会 | |