« 日本総研 「内部統制報告制度取り組みに関する実態調査」の結果を公表 | Main | IIA Global Technology Audit Guide »

2008.07.26

IPA 「MD5 の安全性の限界に関する調査研究」に関する報告書・「安全な暗号鍵のライフサイクルマネージメントに関する調査」に関する報告書を公表

 こんにちは、丸山満彦です。IPAが
・「MD5 の安全性の限界に関する調査研究」に関する報告書と
・「安全な暗号鍵のライフサイクルマネージメントに関する調査」に関する報告書
を公表していますね。。。

 
【IPA】
・2008.07.25 「MD5 の安全性の限界に関する調査研究」に関する報告書
・・「MD5 の安全性の限界に関する調査研究」に関する報告書
・・・概要資料(260 KB) 
・・・調査報告書 (781KB)
=====
1991 年に開発され、現在で も広く用いられているMD5 (Message Digest 5)と呼ばれるハッシュ関数が、解析技術の進歩により安全性の低下が指摘されていることから、MD5 を利用する上での限界を調査しました。特に、電子メー ルシステムでのセキュリティ策として用いられているAPOP(Authenticated Post Office Protocol)において、パスワード解読の可否・強度を実証・確認するとともに、当面の対応策検討とその有効性の確認を行いました。
・・・
 市販のメールソフトを用いた調査の結果、想定した全てのパスワードについて、市販されているPCを用いて、比較的短時間で解読できることが確認できました(全ての設定した条件下で想定時間内に解読:現実の使用環境(メール到着確認周期が30 分、2 回に1 回攻撃)では40 日程度で解読が可能)。
 当面の対策としては、従来からいわれている「パスワードを定期的に変更すること」、「メールソフト側で、APOP の規約に従ったチェックを行うこと」の2 点を行う必要があることがわかりました。特に、パスワードの変更周期については、使用しているパスワードやサーバーへの接続頻度によりますが、1か月~2 か月毎の変更の必要性が判明しました。
・・・
=====


・2008.07.25 「安全な暗号鍵のライフサイクルマネージメントに関する調査」に関する報告書
・・「安全な暗号鍵のライフサイクルマネージメントに関する調査」に関する報告書
・・・調査報告書 (560KB)
・・・ガイドライン(案)(423 KB)

 「調査の背景」は次のとおりです。。。
=====
 暗号を利用した情報セキュリティシステムで要求される暗号鍵の管理は、セキュリティ要素である機密性・可用性・完全性を維持するために重要な役割を担っており、管理が疎かであればシステムのセキュリティを大きく損なう可能性があります。そのため暗号鍵の生成から廃棄までのライフサイクルを考慮した管理手法を策定・確立することは、システムを維持するために必要不可欠です。
 現在、暗号鍵の管理方法に関しては、米国国立標準技術研究所(NIST)の発行するSP(Special Publications) 800-57において総合的なガイダンスが示されています。しかし、我が国においては鍵管理に関して日本語で記述された文書は少なく、またガイドライン等の制定も行われておらず、情報セキュリティシステムの構築・運用において実務に有効な鍵管理のガイドライン策定が強く望まれていました。
 そこで、IPAでは、暗号鍵の管理について、特にライフサイクルに基づいた調査と検討を行い、報告書及びガイドライン(案)を作成しました。本報告書・ガイドライン(案)は、情報システムの調達/運用の担当者等が、運用管理において参照可能であることを念頭に置き、作成しています。
・・・
=====
 ということのようです。

 ちなみにNIST SP800-57はどこにあるかというと・・・
NIST SP800
Recommendation for Key Management
・・SP800-57-Part1-revised2_Mar08-2007.pdf
・・SP800-57-Part2.pdf

|

« 日本総研 「内部統制報告制度取り組みに関する実態調査」の結果を公表 | Main | IIA Global Technology Audit Guide »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference IPA 「MD5 の安全性の限界に関する調査研究」に関する報告書・「安全な暗号鍵のライフサイクルマネージメントに関する調査」に関する報告書を公表:

« 日本総研 「内部統制報告制度取り組みに関する実態調査」の結果を公表 | Main | IIA Global Technology Audit Guide »