|
22日22:00追記
IoTセンサー向けの軽量暗号は、ASconなど、これまで多数、発表されてきました。
日立のEnocoro(ISO/IEC 29192-3)や、
NECのTWINEなど。
これらの既存の軽量暗号がCPU無しの暗号プロセッサSnakeCubeに置き換わるほどの技術革新です。
何故か。軽量暗号の役目はセンサーから読み出された値を正確に制御システムに送受信しなければならないからだ。
AES暗号などの従来共通鍵暗号を含めて、共通鍵暗号ではゲートウェイ、クラウド、制御システムへサイバー攻撃を加えると、
高価な暗号装置を装備していても、改竄できてしまうから。
したがって公開鍵暗号を利用するしかない。しかし軽量ではないので公開鍵暗号の
アクセラレータを搭載したIoTということになる。
しかし暗号プロセッサSnakeCubeはCPUが無くてもDSA署名(+RSA暗号)が可能だ。
Invisible RSAを使えば、比較的、小さい鍵長でも問題ない。
ただしサーバーの環境によってはサイバー攻撃で公開鍵を奪われる可能性はある。
RSA 7680bitあれば192bitセキュリティです。
IoTハードを交換すればRSA 65536bitなどに変更が可能なので安心です。
軽量暗号の用途なので、高いセキュリティは、それほど必要ないと思われます。
DSA署名は他の公開鍵暗号と比較して署名サイズが従来サイズに収まるため、人気、急上昇中かも。
DSA署名のソリューションはシステムを安価に開発できる。
CPU有のIoTマイコンにはSRAMメモリが搭載されいます。
このSRAMがロジック半導体では高価なので、
CPUを無にしてSRAMを省いて、その分をSnakeCubeの演算器にトランジスタを回せるのです。
素晴らしい!
22日22:00追記
前の結果をMACにXORしていけば改竄検知可能という意見がありました。
高価な暗号装置をサーバー側に用意すれば状態を盗まれることもない。
ここまでだと共通鍵暗号でいいように思えますが、温暖化現象の気象観測などで、計測開始時にサイバー攻撃されると、
すべて+2度の変更を加えても、残されるデータの検証結果は、正しいものになる。
共通鍵暗号では改竄防止は非常に難しい。あらゆる手段を講じて共通鍵暗号を使うなら、
公開鍵暗号が便利です。
というより計測開始時からサイバー攻撃されていると、どうやっても共通鍵暗号では、改竄防止は無理のように思えます。
また共通鍵暗号では、ネットワーク障害などで同期を失った場合、再同期が難しいとの意見もあるようです。
全世界向け。DNSを公開鍵暗号で安全にするプロトコルDNSSECで「DSA署名」を採用すればネットワークインフラにかかるインフラコストが下がり物価対策になるように思います。ポイントはDSAは鍵長を大きくしても署名サイズはパラメータで小さくできること。
つまり2048bitでも3072bitでも署名サイズを512bit(256bit×2)にすることができる。
単に署名サイズの問題だけでなくネットワークプロトコル上の壁みたいな問題があってネットワーク管理のコストも増大する。DSA署名なら従来どおりで、やり過ごせるかもしれない。非常に大きな鍵長にすることで量子コンピュータでも解読に時間がかかると楽観的に考えることができれば。
NIST(FIPS186-5)は過去にDSAをECDSAに差し替えています。現在、量子コンピュータの進歩によってPQCへの移行に迫られた結果、DSAを復活させたほうが、いいかもしれません。PQCの署名サイズは一般的に非常に大きいのでネットワークの「壁」が問題になるためです。日本のCRYPTRECではDSAは維持されています。
ネットワークプロトコルに、あまり詳しくありませんが、データを転送するにはTCPとUDPの2種類の方法があります。DNSはUDPを使っていますがサイズに制限があるので、それを超えるとTCPに切り替える。TCPはコネクションを機器で管理しないといけないため負荷が大きい。一方、UDPならデータを投げるだけでコネクション管理が不要。
最近、QUICがDNSにも入ってきたみたいです。QUICはUDP上に構築されている。それならDNSではレイテンシ性能が重要なので従来通りのUDPで良さそう。つまりDSAで非常に大きな鍵長、従来の署名サイズを選択することです。
DSA 3072bit 署名サイズ 256bitは128bitセキュリティなので、なんとか、いいことにできそうですが、DSA 65536bit程度、署名サイズ 256bit(512bit)を考える必要はあるかもしれない。僕は暗号屋ではないので安全性は、わからないけど、暗号ハードはSnakeCube搭載の暗号装置SSS-HSMを開発できる技術はあります。ハードではECDSAよりDSAのほうが、かなり有利という推測です。ネットワーク管理者の人は、ここに留意していただけると、いいように思います。
暗号装置SSS-HSMでDSAを考えるかもしれないので、ネットワーク管理者の人で、興味があれば、僕のほうへ、ご連絡ください。SSS-HSMの価格を下げるには乱数生成器の乱数品質を下げることですが、価格に応じた乱数の品質にすることかと考えています。SSS-HSMのチップに変更できない書き込みで乱数品質を選択できるようにすれば、複数のモデルのSSS-HSMを製造するという手間が省けるかも。
余談
日立の暗号装置ICF3(1999年)のときにFIPSの疑似乱数生成の方法の実装検討をしてマイクロコードの作成はしていました。しかしながら安全性よりもコストを優先したい場合は、もっと品質を下げることです。
ICF3は外務省に5500万円くらいで納品されましたが、海外向けでは500万円で売られていたそうです。ICF3に釣られてメインフレーム本体がヒットしたため事業としては大成功。日立の大型コンピュータ事業部の人が暗号装置のためにヨーロッパに行けば飛行機代だけで、当時70万円ですから500万円がいかに激安価格だったのか。
SSS-HSMも共同購入によるコスト削減を徹底的に考えないと、まともな値段にならないかもしれない。
暗号デバイス(ICF3)を安価にすることでメインフレームの世界市場を制覇して成功する方法、実は後にパソコンでもHPがやっています。
2002年ごろ原価、数ドルのTPMチップをパソコンに追加するだけでパソコンのシェアを拡大しています。実際、このとき日立のSE(システムエンジニア)が日立のPCからHPに切り替えました。そのときの会議に僕は日立のHP派から給料をもらっている状況で参加していました。日立のPC事業では、原価、数ドルのTPMチップといっても、設計、開発の投資ができなかったのか日立のPCにTPMを搭載することができなかったようです。
激安なICF3の副作用は、僕が偉くなることに影響した、、、かも
メールのDKIMの次世代技術 DKIM2が検討されているみたい。複数のアルゴリズムで署名ができるようなことが、書かれているけど、、、
つまりRSA暗号が解読されるまで、新しい暗号を使わずに、準備だけしておくことがインフラのコスト低減となり物価対策となる。
世界各国で半導体工場に税金を投入しているから高性能な半導体で対策(RSA)することが有利なのです。半導体で対策しない場合、そのために工場が赤字になって税金で補填することになったらバカみたいだから。
DKIMでも署名サイズの小さいDSAが有効であればDNSSECの件と合わせて暗号装置SSS-HSMの仕様へ追加することを考えるかもしれない。
DNSSECやDKIMは、利用者から安全コストとして明確には徴収していないから、SSLサーバー証明書と違って、安価な乱数生成器を使う案はあります。SSS-HSMのグレードによって乱数生成器の乱数の品質を分けることかと。
ご興味のある方は僕のほうに直接、ご連絡ください。
次期マイナンバーカードなどでSSS-HSMを税金で開発することになった場合を考えると、全国のネットワーク管理者の皆さんも、考えていただいたほうが、いいように思います。また交通系ICカードでSSS-HSMを使うことになると国民の交通費の物価に影響する可能性があります。
|
