盗聴やフィッシング詐欺などを防御する認証技術の開発と国際標準化

　独立行政法人 産業技術総合研究所【理事長 野間口 有】（以下「産総研」という）セキュアシステム研究部門【研究部門長 松井 俊浩】制御システムセキュリティ研究グループ 古原 和邦 研究グループ長と、セキュアサービス研究グループ 辛 星漢 研究員は、高い安全性をもつパスワード認証を、従来よりも少ない計算量（従来の1/2～1/3程度）で行える方式を開発した。今回開発した方式は、2012年6月にインターネット技術の国際標準化団体 IETF (Internet Engineering Task Force) により効率のよいパスワード認証に関する新たな規格： RFC 6628 として承認・発行されている。

　この方式は、インターネットのような公衆回線上で行われる様々な攻撃（通信内容の盗聴、改ざん、再送、中間侵入、フィッシング詐欺、サーバーからの漏えい情報を使ったなりすまし攻撃など）を少ない計算コストで防御する。また、その安全性が数学の難問と等価であることが証明され、解読は事実上困難となることが示された。この方式では、煩わしい鍵の発行・管理・確認処理や、長いパスワードの利用が不要となることから、利便性を向上させつつ高い安全性が確保できる。また、国際標準として承認・発行されたことにより、今後、様々なインターネットサービスやアプリケーションへの導入が期待される。

図 1 研究開発したパスワード認証技術

　インターネットなどの公衆回線上でサーバーがユーザーを認証する方法として、パスワードが広く使われている。パスワードを使った認証方式は、実現の容易さやユーザーへの利用方法の説明し易さなどの理由から現在最も普及している方式となっている。しかし、現在普及しているパスワード認証は、以下のいずれかの問題を抱えており、それらへの解決策が求められていた。

• 古いシステムなどではパスワードが暗号化されずに公衆回線にそのまま流れる。
• 公衆回線上では暗号化しても、オフライン全数探索によりパスワードの特定が可能となる。
• フィッシング詐欺で利用者が警告を見逃すとパスワードを盗まれてしまう。
• サーバーからパスワードなどを含むデータが漏えいした場合、オフライン全数探索を適用することなく、即座に利用者になりすますことが可能となる。

　過去、これらの問題を解決するために幾つかの提案が行われているが、旧来の方法では、既知の攻撃方法のみを回避する修正が提案され、それに対する新たな攻撃方法が発見されては、また、その修正が提案されるといった小手先の修正が繰り返されてきた。これに対して近年では、提案方式の安全性が数学の難問と等価であることを証明することによって解読が事実上困難となることを示す方法が学会や標準化団体において主流となってきた。このような考えにより示された安全性は、証明可能安全性と呼ばれており、新たな方式を提案・選定したりする際の必要条件の一つになりつつある。

　証明可能安全性は、新たな方式を提案・選定する際の必要条件の一つになりつつあるが、従来は証明可能安全性を保証するための処理が付加されるため、処理時間が長くなるという問題があった。そこで、本研究ではその解決に取り組むこととした。

　なお、本研究開発の一部は、科学研究費助成事業「よりよい効率性と厳密な安全性証明を有する新しいパスワード認証方式に関する研究開発（2010～2012年度）」による支援を受けて行った。

　本研究では、オフライン全数探索が適用された際に、正しいパスワードが試された状態と、そうでない状態の識別を困難にするために必要最小限の数学的な構造に関する研究を行い、その構造を整数論に基づいた難問を用いることで構成できることを示した。そして、その構造を応用したパスワード認証方式(AugPAKE)の提案および開発を行った。

　AugPAKEと既存方式の比較を表1に示す。ここで、クライアントおよびサーバーの計算量は、計算量が多いべき剰余演算の実行回数を表し、括弧内の数値は事前計算を行わない場合を表す。また、各方式の有利な点を赤字で示す。過去に国際標準化されていた AMP2と SRP-6は証明可能安全性をもたない。SPAKE₂⁺ とPAK-Yは証明可能安全性をもつが、計算量が大きいという問題点があった。これらに対して、今回開発した方式は、より少ない計算量で証明可能安全性を備えることに成功した。なお、Diffie-Hellman鍵交換方式はそれ単体では中間侵入攻撃などに対して脆弱であり、パスワード認証機能も付いていないが、盗聴に対して安全な通信を行うための必要最低限な計算量を示すために表中に示した。

表1 パスワード認証方式の比較

※　計算量はべき剰余演算の回数、括弧内は事前計算を行わない場合を表す

　AugPAKEも他のパスワード認証方式と同様に、電子メール、電子商取引、インターネットバンキングなどの各種サービスに適用可能であるが、まずは、インターネットの標準的な認証鍵交換モジュール IKEv2 (Internet Key Exchange Protocol version 2) へ適用した場合の仕様を国際標準団体 IETF (Internet Engineering Task Force)に提案し、2012年6月に RFC 6628 として承認・出版された。

　今回開発した方式がインターネットにおける国際標準である RFC として承認・発行されたことにより、異なるメーカーにより実装されたクライアント、サーバー間における通信の互換性の確保は行い易くなった。しかしながら、本方式が普及するためにはメーカーや各種実装プロジェクトにおける実装と支持が欠かせない。そのため、今後も引き続き学会、標準化団体、各種実装プロジェクトなどにおける発表や広報などを通じて本方式の利点を主張していくと共に、共同研究などを通して実装ノウハウの提供を続けていく。また、AugPAKE はユーザー認証を必要とする他の規格やアプリケーションにおいても有用であるため、 それらに適用するための検討を行い、必要に応じて標準化提案を行っていく予定である。

独立行政法人 産業技術総合研究所
セキュアシステム研究部門 制御システムセキュリティ研究グループ
研究グループ長　 古原 和邦　　E-mail：kobara_conf*aist.go.jp（*を@に変更して送信下さい。）

セキュアシステム研究部門 セキュアサービス研究グループ
研究員　辛　星漢　　E-mail：seonghan.shin*aist.go.jp（*を@に変更して送信下さい。）

◆RFC (Request For Comment)

インターネット技術の標準を定める団体であるIETFが正式に発行する文書。番号が割り振られ公式かつ恒久的に参照可能な状態になる。誰もが自由に投稿できる Internet-Draft の中から、有用と判断された文書のみが RFC(あるいはBCP(Best Current Practice))として承認され発行される。[参照元に戻る]

◆中間侵入攻撃

攻撃者が通信を行う二者の間に割り込み、正しい通信相手が生成したメッセージを悪用しながら相手へのなりすまし、通信内容の改ざん、盗聴などを行う攻撃。[参照元に戻る]

◆フィッシング詐欺

電子メールなどを使って偽のウェブページにユーザーを誘導し、そこへ入力されたユーザーのパスワードなどの情報を盗み取る攻撃。[参照元に戻る]

◆サーバーからの漏えい情報を使ったなりすまし攻撃

より高度ななりすまし攻撃であり、攻撃者がサーバーに保存されているパスワードやパスワードのハッシュ値（一方向性ハッシュ関数を通した出力値）などを盗み取り、その情報をそのまま用いてユーザーのなりすましを行う攻撃。Windowsの一部の認証システムはこの攻撃に弱く、実際に攻撃ツールも公開されている。複数のマシンが存在している環境では管理者パスワードなどが同一であることが多く、一つのマシンに侵入されるとオフライン全数探索すら適用することなく、即座に他のマシンへの侵入が可能となる。[参照元に戻る]

◆オフライン全数探索

パスワードに対する攻撃の一つで、通信路を盗聴するなどして入手したデータに対して、攻撃者がサーバーやクライアントと通信することなくパスワードを試す攻撃。パスワードを大量かつ並列して試すことができ、また、パスワードが試されていることをサーバー側で検知できないため認証の失敗回数に応じてアカウントを一定期間ロックするなどの対策が取れないという問題がある。試すパスワードを利用頻度の高いものに限定する場合は、辞書攻撃（オフラインで試される場合はオフライン辞書攻撃）とも呼ばれる。[参照元に戻る]

◆証明可能安全性

暗号方式を破ることの難しさが数学の難問を解くことと等価であることが示されていること。ここでの数学の難問としては、地球上で利用可能な全ての計算機を利用したとしても膨大な年月の掛かる問題が利用される。これに対して、難問への帰着が示されていない方式は後から攻撃方法が見つかることがあり、その場合、攻撃による実害への対応、システム改修、互換性の確保など、各種負担が掛かってくる。そのため、最近の潮流として、暗号や暗号プロトコルを採用する際には、証明可能安全性の示されている方式を選定することが重要視されてきている。[参照元に戻る]

◆べき剰余演算

べき剰した値の剰余を求める演算。つまり、整数 u 、正の整数 g 、p が与えられた場合に、 g の u 乗を p で割った余りを求める演算。暗号や認証方式などで用いられる場合、通常 p のサイズは数千ビットであり、他の演算と比べると計算量が多くなる。そのため、計算量を見積もる際にその実行回数が利用される。[参照元に戻る]

◆事前計算

予め処理可能な計算を事前に済ませ保存しておき、必要な際にそれを呼び出す処理。[参照元に戻る]

◆AMP2

米国電気電子学会IEEE によりP1363.2 として標準化されたパスワード認証方式の一つ。クライアント側の計算量が小さいという利点はあるが、サーバー側の計算量が大きいことと証明可能安全性が示されてないという問題点がある。[参照元に戻る]

◆SRP-6

米国電気電子学会IEEE によりP1363.2 として標準化されたパスワード認証方式の一つ。サーバー側の計算量が小さいという利点はあるが、クライアント側の計算量が大きいことと証明可能安全性が示されてないという問題点がある。[参照元に戻る]

◆SPAKE₂⁺

2008年に暗号分野の国際学会で発表されたパスワード認証方式の一つ。証明可能安全性は示されているが、クライアント側とサーバー側の計算量が共に大きいという問題点がある。[参照元に戻る]

◆PAK-Y

2001年に暗号分野の国際学会で発表されたパスワード認証方式の一つ。証明可能安全性は示されているが、クライアント側とサーバー側の計算量が共に大きいという問題点がある。[参照元に戻る]

◆Diffie-Hellman 鍵交換方式

インターネットのような公衆回線上で公開情報を送受信することにより秘密鍵を共有する暗号プロトコル。それ単体では、通信相手の認証を行わないため、中間侵入攻撃に弱いという問題がある。[参照元に戻る]