職業柄、筆者の自宅には「暗号」について書かれた書籍がたくさんあるが、それを読むと、暗号はとても古い歴史を持っていることがわかる。古典暗号の1つに「シーザー暗号」という換字式暗号があるが、シーザーとはいうまでもなく、古代ローマの軍事指導者のガイウス・ユリウス・カエサル(ジュリアス・シーザー)のことである。
どのレイヤーで暗号化するか
暗号化といっても、出番はいろいろある。最もニーズが多いのは通信の保全だから、さまざまな通信手段を介してやりとりする通信文を、平文のままにしないで暗号化する。昔から無線通信の世界では、「スクランブルをかける」「秘話をかける」といった言葉があり、通信内容を第三者に聞き取れない形に変換してやりとりする形があった。
コンピュータ・ネットワークの階層モデルについて御存じの方ならおわかりの通り、「通信の暗号化」といっても、対象がいろいろある。通信の本文を暗号化する手法は、いわばアプリケーションのペイロードだけを暗号化するようなもの。つまり、これは上位のレイヤーを対象にしたものと言える。
紙の書類だと難しい話だが、コンピュータであれば、ストレージ・デバイスに書き込まれているデータも暗号化の対象になるのはいうまでもない。今、この原稿を書いているラップトップにしても、SSDはBitLockerで暗号化されている。ラップトップやタブレットは、外に持ち出せる分だけ紛失の危険性が大きいから、ストレージ・デバイスも暗号化の対象にしないと危ない。
もっとも、通信やストレージ・デバイスの暗号化に神経を使っていても、他人がのぞき見できる環境下で画面に機微情報を表示していたのでは意味がなくなる。
暗号化に関連する製品いろいろ
トラフィックの暗号化といっても、通信文の暗号化だけとは限らない。もっと下位のレイヤー、つまりネットワークを通じて行き来するパケットやフレームから暗号化する手法もあって、IPsecがわかりやすい例だろうか。そういえば、タレスがIPネットワーク用の暗号化機材として、ECHINOPSという製品をEUに納めたことがある。
レイヤー2で暗号化する製品もあり、その一例が、これまたタレスが手掛けるMPLS(Multi Protocol Label Switching)ネットワーク向けのレイヤー2暗号化装置「Datacryptor Ethernet Layer 2」。2010年の製品ライン拡張でマルチポイント通信に対応して、100Mbps/1Gbps/10Gbpsのモデルをそろえていた。また、同じタレスのDatacryptorは、100Mbps/1Gbps/10Gbpsのイーサネットに加えて、OC-3/12/48/192 SONET/SDHといった光ファイバー網にも対応するそうだ。
どこのレイヤーが対象であれ、軍事通信に暗号化はつきものだから、暗号化にかかる手間はできるだけ軽減したい。操作が面倒だったり手間がかかったりすると、手抜きに起因する情報漏洩事故の元である。意識していなくても、裏で自動的に、かつ迅速に暗号化や復号をやってくれるのがいちばんいい。
その一環として、ハードウェアによる暗号化モジュールを製品化している事例も多々ある。例えば、米軍のソフトウェア無線機(SDR : Software Defined Radio)・JTRS(Joint Tactical Radio System)と組み合わせて使用する製品として、ゼネラル・ダイナミクスC4システムズのAIM II暗号化モジュールがある。
タレスが手掛けるHSM(Hardware Security Module)製品例としては、nShieldシリーズがある。これは、鍵長1,024bitのRSA暗号を使用する製品だが、秒間処理能力(TPS : Transactions Per Second)の違いに応じて、nShield Connect 500、nShield Connect 1500、nShield Connect 6000といったラインナップがある。後ろの数字がそのままTPSの数字だそうだ。
コンピュータ・ベースの暗号化では鍵管理が問題になるので、当然ながら、そのための製品もある。軍が独自のPKI(Public Key Infrastructure)を構築していることもあるが、そこで用意したデジタル署名を施した電子メールが部外者のところに来ると、「証明書の確認ができない」なんてことが起きるのは笑えない。
一体か、別体か
暗号化モジュールを導入するのはいいが、それを通信機と一体にするほうがいいのか、別体にするほうがいいのか。実際の製品事例を見てみると、通信機と暗号化モジュールは別々にすることが多いようだ。統計を取ってみたわけではないけれど。
暗号の世界に関わった経験がある方なら御存じの通り、たとえ民生向けといえども、暗号化技術や暗号化関連製品は「武器」の一種と見なされており、輸出規制の対象にもなる。相手国に応じて暗号化のレベルが変わることもあり、昔、Windows 2000で利用できる暗号化機能には日米で差があった。
その辺の事情は軍用品でも同じだ。例えば、通信機と暗号化機材を輸出する場合、「信頼できる同盟国」と「それほどでもないが、まあまあ関係が近い国」とでは、暗号化機材のレベルを変える可能性は高い。すると、両者が別々になっているほうが具合がいい。
また、暗号化機材が独立していれば、単独で能力向上を図ったり、不具合をつぶしたりといった対処をしやすい。通信機と暗号化機材が一体になっていると、もっと面倒なことになる。
著者プロフィール
井上孝司
鉄道・航空といった各種交通機関や軍事分野で、技術分野を中心とする著述活動を展開中のテクニカルライター。
マイクロソフト株式会社を経て1999年春に独立。『戦うコンピュータ(V)3』(潮書房光人社)のように情報通信技術を切口にする展開に加えて、さまざまな分野の記事を手掛ける。マイナビニュースに加えて『軍事研究』『丸』『Jwings』『航空ファン』『世界の艦船』『新幹線EX』などにも寄稿している。