セキュリティのゼネラリスト目指せ--暗号研究の第一人者が語る人材像

暗号開発はマニアックな世界

松井充氏

　さて、将来的な話ではなく、現在の暗号業界のトレンドとはなんだろうか。それは「限られたリソースでどこまで小さく、低消費電力にできるか」という点だという。

　最近の暗号技術は組み込み機器で利用される例が多く、たとえば「携帯で暗号が使えるリソースはハードウエアのゲート数換算で１万以下」（同）というきわめて限られたリソースで、しかもバッテリを極力消費しないことが求められるからだ。

　暗号の高速化はずっといわれ続けてきたトピックではある。昨今はそれに加えて小型・低消費電力が必要なのだという。そもそも、「何百年破られません」などという暗号強度は確認しようがないという意味で評価しづらい指標であるため、「いかに小さくて高速か」という点が暗号比較で分かりやすいという事情もあるようだ。

　ただ、この小さくて高速という暗号の製品化が難しい。「暗号の小型化、高速化はトリッキー」（同）なやり方で実現するのだそうで、素人にはまねできない「職人芸が残っている数少ない工学部門」（同）だという。松井氏は、「アセンブリで1命令でも小さく、他社にはない小さなコードが書ける、というマニアックな世界」と笑う。

　携帯を使っていて、暗号が入っているから動作が遅く、電池もすぐになくなる――ということにならないのは、こうした職人たちの技術のたまものなのだ。

暗号解読の問題は「物理の世界」にあり

　とはいえ、暗号業界に必要なのは職人芸か、というと実はそうでもない。

　前述の通り、暗号の安全性評価というのは「解読されにくい」という点をより所としており、「数学的な話」（同）である。しかし、最近の安全性評価は「実装性」で評価されるのだという。

　暗号がいくら安全でも、チップに載せた場合に「思わぬところから情報が物理的に漏れる」（同）ことがある。たとえばチップの電流消費量を観測して暗号の秘密情報を割り出す、暗号をかけようとして暗号化されるまでのタイムラグを利用して情報を盗むといった、暗号を直接解読しない攻撃「サイドチャネルアタック」が問題になっているのだそうだ。

　おりしも取材日当日（2月22日）に、BitLockerやFileVaultなどのディスク暗号化技術に問題があることが発表された。これはコンピュータのRAMに書き込まれた暗号鍵が、コンピュータの電源がオフになっても数秒から数分、低温になればさらに長時間消えずに残り続けるため、鍵を取り出して暗号化を解除できてしまうというもので、これも暗号強度の問題ではなく、まさに松井氏が危惧していた「物理的に漏れる」例だ。

　松井氏は「暗号は数学から出発して物理学の世界になっている」と表現。このサイドチャネルアタックは暗号業界では大きな課題となっており、「専用の国際学会ができ、200〜300人が集まるような会議がある」（同）そうだ。最近の暗号業界のトピックの2つめがサイドチャネルアタックで、暗号技術単体ではなく、製品全体の安全性に直結するため、メーカー側もこれには「ナーバスになっている」（同）という。

　暗号技術自体にも、たとえば米国が政府標準暗号を2010年までに代替させる「2010年問題」、中国の研究者によるSHA-1の解読、RSA暗号の鍵長を1024bitから2048bitへと移行させるといった話題が「ピンポイント的なトピック」（同）として盛り上がっているというが、「もっと根本で、低いレイヤー」（同）で生じている問題がサイドチャネルアタックなのだそうだ。