日本ベリサインは14日、ECC(Elliptic Curve Cryptography:楕円曲線暗号)オプションとDSA(Digital Signature Algorithm:デジタル署名アルゴリズム)オプションが追加されたマルチアルゴリズムSSLサーバ証明書の提供を商用として初めて開始すると発表した。提供開始は2013年上半期を予定している。
|
日本ベリサイン SSL製品本部SSLプロダクトマーケティング部 上席部長 安達徹也氏 |
発表会では、日本ベリサイン SSL製品本部SSLプロダクトマーケティング部 上席部長 安達徹也氏が登壇し、「新しい暗号方式をベリサインSSLサーバ証明書に導入し、セキュリティ強化とSSL通信のパフォーマンス向上を実現する」と語った。その上で「RSAを既に使っているユーザにはECC/DSA共に1サービス分無償でライセンスを提供し、追加料金なしでECC/DSAが利用できるため、インフラ費用の削減につながる」と述べた。
ECCとDSAはそれぞれ公開鍵暗号方式を採用しており、RSA方式と同じ種別に分類される。ECCは、従来の標準的な暗号方式に比べて、短い暗号鍵長でも強固なセキュリティを実現でき、暗号鍵長が短くて済むため、ウェブサーバやネットワークの負荷が少なくなる。そのため、RSAを利用した主流の暗号方式は、暗号方式を挙げようとすると指数関数的に必要な鍵長が長くなるが、ECCは暗号強度と鍵長は比例するだけになる。
今回同社から提供されるECC256ビットは、RSA3072ビットと同じ暗号強度になり、鍵長は1/12となる。さらにECC384ビットと同じ暗号強度にするには、20倍のビット長である7,680ビットが必要になる。ECCはApacheやSSLに対応し、Windows Vista以降のIE/Firefox/Chrome/OperaやAndroid4.0以降に対応となっている。
DSAは、現在の主流であるRSAとは異なる数学的なアルゴリズムを利用した公開鍵署名。1991年にNSAによってRSAの代替方式として開発された。アメリカ政府系ネットワークに納品されるシステムでは、データセキュリティ標準としてDSAが推奨されている。同社ではベリサイン マネージド PKI for SSL(Enterprise向け)を利用しているユーザに提供される予定で、追加料金無しで全てのSSLサーバ証明書の製品で利用できる。
|
|
|
|
|
発表会のスライドショー |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
シマンテック トラストサービス テクニカルディレクター リック・アンドリューズ氏 |
次に、シマンテック トラストサービス テクニカルディレクター リック・アンドリューズ氏が登壇し、新しいSSLサーバ証明書が必要とされる背景について「攻撃や障害が増加したり、モバイルやクラウドの普及が一つの要因となっている」と述べた。その上で「カギが長くなると、利用するコンピュータにとって非効率である」とし、「我々はECCを推奨していく」と強調した。
そして「ECCはRSAの置き換えではない」とし、「ユーザはECCとRSAどちらかを選ばなければいけないわけではない」とECCとRSAのハイブリッド構成が実現でき、追加コストがかからないメリットを強調した。
|
|
|
|
|
発表会のスライドショー |
|||
|
|
|
|
|
|
National Instituteof Standards and Technology (NIST、米国立標準技術研究所)は、すべてのウェブサイトは 2014年1月1日までにRSA 1024ビットから、より強力な2048ビットのSSLサーバ証明書へ移行する必要があると定めており、ECCとDSAは、米国政府によって承認されており、アメリカ国家安全保障局によって保護およびコンプライアンス要件を満たすという保証を得ている。
また、米国シマンテック コーポレーションでは企業と電子商取引向け SSLサーバ証明書管理ツール/証明書mpライフサイクルを管理するクラウドサービス/悪質な広告の検知といった3つのサービス展開を予定しており、今後日本国内での展開も随時検討している。
