電⼦証明書の暗号⽅式の移⾏計画
電⼦証明書は安全性が確認された暗号⽅式を利⽤することにより、安⼼して利⽤ができます。認定認証業務では、電⼦署名法施⾏規則第2条、電⼦署名法に基づく特定認証業務の認定に係る指針第3条に規定され、安全な暗号⽅式を採⽤しています。
しかし、コンピュータやテクノロジーの進歩により、暗号⽅式について、より安全なものへの変更が必要になることがあります。認定認証業務においても、2002年の制度開始時にはSHA1/RSA1024〜2048bitを利用していましたが、後述の2014年の暗号移行時にSHA2/RSA2048bitに移行しました。
暗号移⾏の検討状況
認定認証業務で規定される暗号⽅式は、暗号技術検討会及び関連委員会(CRYPTREC)により安全性及び実装性能が確認された暗号技術として利⽤を推奨する「電⼦政府推奨暗号リスト」から選定されます。
2021年度の検討においては、SHA2/RSA2048bitを2030年までに利用不可とし、あらたな暗号方式への移行について検討しています。
想定運用終了・ 廃棄年/利用期間 |
2022~2030 | 2031~2040 | 2041~2050 | 2051~2060 | 2061~2070 | |
---|---|---|---|---|---|---|
112ビット セキュリティ |
新規生成*1) | 移行完遂 期間*4) |
利用不可 | 利用不可 | 利用不可 | 利用不可 |
処理*2) | 許容*3) | |||||
128ビット セキュリティ |
新規生成*1) | 利用可 | 利用可 | 移行完遂 期間*4) |
利用不可 | 利用不可 |
処理*2) | 許容*3) | |||||
192ビット セキュリティ |
新規生成*1) | 利用可 | 利用可 | 利用可 | 利用可 | 利用可 |
処理*2) | ||||||
256ビット セキュリティ |
新規生成*1) | 利用可 | 利用可 | 利用可 | 利用可 | 利用可 |
処理*2) |
- *1) 新規に暗号処理を実⾏する場合(例:暗号化、署名⽣成)
- *2) 処理済みのデータに対して処理を実⾏する場合(例:復号、署名検証)
- *3) 処理済みのデータに対する正当性を担保⼜は確認するための何らかの技術的⼜は運⽤的な対策やルール等(暗号技術によるものとは限らない)を併⽤している場合
- *4) よりセキュリティ強度の⾼い暗号技術⼜は鍵⻑への移⾏を完遂させなければならない期間。利⽤する暗号処理が短期間で完結する場合(例:エンティティ認証)、⼜は既存の電⼦政府システムの継続利⽤やそれらとの互換性‧相互接続性維持のための利⽤に限定
2014年度の暗号移⾏
内閣官房情報セキュリティセンター(NISC)が、2008年4⽉22⽇に「政府機関の情報システムにおいて使⽤されている暗号アルゴリズムSHA-1及びRSA1024に係る移⾏指針」を公開、その後、2012年10⽉26⽇に⼀部スケジュールの変更を⾏い、2014年9⽉下旬以降早期(X-Day)までに政府機関などで使⽤する電⼦証明書とその利⽤システムが新暗号⽅式へ対応する発表を⾏いました。
⽇本では、この指針に基づいて暗号アルゴリズムの移⾏を推進し、2014年度のX-Day以降、政府機関、及び電⼦証明書を発⾏する認定認証事業者、及び署名アプリケーションを運⽤する組織が協調して、より⻑い暗号鍵やハッシュ関数を使⽤した強固な暗号⽅式(SHA2/RSA2048bit)にスムーズに暗号移行を行い、2018年度末までに旧暗号方式(SHA-1/RSA1024bit)の使⽤が終了し、利⽤者が安⼼してシステムを利⽤できる環境の維持に成功しました。

(平成24年11⽉1⽇ 情報セキュリティ政策会議資料)