CRYPTREC

CRYPTREC（くりぷとれっく、Cryptography Research and Evaluation Committees) とは、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討する日本政府のプロジェクトである^[1]。

活動内容

暗号の安全性に関する情報を提供することを目的として、共通鍵暗号、公開鍵暗号、ハッシュ関数、擬似乱数生成系の4種類の暗号技術に対し公募を行い、それぞれに対して国内外の暗号研究者による評価を行い、評価レポートや推奨可能な暗号のリストを作成した。リストは2013年に改訂され、既存の4種類に加え暗号利用モード、メッセージ認証コード、エンティティ認証に対しても評価を行った。

プロジェクトは2000年に活動開始し、当初は「暗号技術検討会」と「暗号技術評価委員会」で構成されていた。それぞれの事務局は総務省/経済産業省、情報処理振興事業協会（IPA、現情報処理推進機構）/通信・放送機構（TAO、現 NICT=情報通信研究機構）。2003年、2009年、2013年と組織変更が行われ、2013年11月現在では「暗号技術検討会」をトップとし、その下に「暗号技術評価委員会」と「暗号技術活用委員会」を置く体制となった。それぞれ委員長は高木剛（東京大学教授）及び松本勉（横浜国立大学大学院教授）（2020年2月現在）。

電子政府における調達のために参照すべき暗号のリスト

電子政府における調達のために参照すべき暗号のリストは、CRYPTRECが選定し、総務省と経済産業省が共同で所管する、電子政府での利用が推奨される暗号方式のリスト。平成15年（2003年）2月20日に電子政府推奨暗号リストとして初版が発表され、行政情報システム関係課長連絡会議において、「各府省は情報システムの構築に当たり暗号を利用する場合は、可能な限り、電子政府推奨暗号リストに掲載された暗号の利用を推進する」旨が定められた。2012年度にリストの改定が行われ、2013年 3月1日に電子政府における調達のために参照すべき暗号のリストとして3種類のリスト（改訂した電子政府推奨暗号リスト、推奨候補暗号リスト、運用監視暗号リスト）が公表された。

2013年の改訂およびその後の更新

2003年に発表された初版^[2]では、64ビットブロック暗号としてCIPHERUNICORN-E（英語版）（NEC）・Hierocrypt-L1（英語版）（東芝）・MISTY1（三菱電機）、128ビットブロック暗号としてCamellia（NTT、三菱電機）・CIPHERUNICORN-A（英語版）（NEC）・Hierocrypt-3（英語版）（東芝）・SC2000（英語版）（富士通）、ストリーム暗号としてMUGI・MULTI-S01（英語版）（いずれも日立製作所）と、日本の企業によって開発された暗号方式が多く採用されていた。

2013年の改訂^[3]においてリストは「推奨暗号リスト」「推奨候補暗号リスト」「運用監視暗号リスト」の3つに分けられ、改訂前に採用されていた日本において開発された暗号方式は、Camelliaを除いてすべて「推奨暗号リスト」から「推奨候補暗号リスト」に移動された。また、128ビットブロック暗号としてCLEFIA（英語版）（ソニー）、ストリーム暗号としてKCipher-2（KDDI）・Enocoro-128v2（日立製作所）が新規に応募されていたが、推奨暗号として採用されたのはKCipher-2のみであった。このように、日本発の暗号方式の多くが推奨暗号から外されたのは、従来のリストに対して「多くの選択肢が掲載されていたため、ユーザーがどの暗号方式を選べばよいのか分かりにくい」との批判があったためである^[1]。このため、安全性の評価だけではなく市販製品・オープンソースプロジェクト・政府系システム・国際規格での採用実績の評価も行われ、採用実績に乏しい暗号方式は「推奨暗号リスト」ではなく「推奨候補暗号リスト」への採用にとどまった^[1]^[4]。「推奨候補暗号リスト」に掲載された暗号方式については、採用実績が十分となった場合には「推奨暗号リスト」に掲載される可能性がある^[1]。

また、128ビットRC4、SHA-1といった、これまで広く利用されてきたが脆弱性が指摘されている暗号方式は、「運用監視暗号リスト」に移動された。これは「推奨すべき状態ではなくなった暗号技術のうち、互換性維持のために継続利用を容認するもの」であり、これらの暗号方式を利用しているシステムは対応を迫られることとなった^[1]。

2013年の公表後も、ChaCha20-Poly1305、EdDSA、SHA-3といった新しいアルゴリズムの追加、古いアルゴリズムの運用監視暗号リストへの格下げ（トリプルDES）やリストからの削除（RC4）などが行われている。

以下に示すのは2024年5月16日更新版である^[5]。いずれのリストにおいても、利用する鍵長について「暗号強度要件（アルゴリズム及び鍵長選択）に関する設定基準」^[6]の規定に合致しない鍵長を用いた場合には、電子政府推奨暗号リストの暗号技術を利用しているとは見なされないことに留意する必要がある。

電子政府推奨暗号リスト

CRYPTRECにより安全性及び実装性能が確認された暗号技術について、市場における利用実績が十分であるか今後の普及が見込まれると判断され、当該技術の利用を推奨するもののリスト。


技術分類		暗号技術
公開鍵暗号	署名	DSA^{[注推 1]}
		ECDSA
		EdDSA
		RSA-PSS^{[注推 2]}
		RSASSA-PKCS1-v1_5^{[注推 2]}
	守秘	RSA-OAEP^{[注推 2]}
	鍵共有	DH
	鍵共有	ECDH
共通鍵暗号	64ビットブロック暗号^{[注推 3]}	該当なし
	128ビットブロック暗号	AES
	128ビットブロック暗号	Camellia
	ストリーム暗号	KCipher-2
ハッシュ関数		SHA-256
		SHA-384
		SHA-512
		SHA-512/256
		SHA3-256
		SHA3-384
		SHA3-512
		SHAKE128^{[注推 4]}
		SHAKE256^{[注推 4]}
暗号利用モード	秘匿モード	CBC
		CFB
		CTR
		OFB
		XTS（英語版）^{[注推 5]}
	認証付き秘匿モード^{[注推 6]}	CCM
	認証付き秘匿モード^{[注推 6]}	GCM^{[注推 7]}
メッセージ認証コード		CMAC
メッセージ認証コード		HMAC
認証暗号		ChaCha20-Poly1305
エンティティ認証		ISO/IEC 9798-2
		ISO/IEC 9798-3
		ISO/IEC 9798-4

注

^ FIPS PUB 186-5では廃止されているが、本リスト掲載時から安全性・利用実績の状況に大きな変化がないため、掲載を継続する。
^ ^a ^b ^c 「政府機関の情報システムにおいて使用されている暗号アルゴリズム SHA-1 及び RSA1024 に係る移行指針」を踏まえて利用すること。
^ CRYPTREC暗号リストにおいて、64ビットブロック暗号により、同一の鍵を用いて暗号化する場合、2²⁰ブロックまで、同一の鍵を用いてCMACでメッセージ認証コードを生成する場合、2²¹ブロックまでとする。
^ ^a ^b ハッシュ長は256ビット以上とすること。
^ ブロック暗号には、CRYPTREC暗号リスト掲載128ビットブロック暗号を使う。利用用途はストレージデバイスの暗号化に限り、実装方法はNIST SP800-38Eに従うこと。
^ CRYPTREC暗号リスト掲載のブロック暗号を、認証付き秘匿モードと組み合わせて、「認証暗号」として使うことができる。
^ 初期化ベクトル長は96ビットを推奨する。

推奨候補暗号リスト

CRYPTRECにより安全性及び実装性能が確認され、今後、電子政府推奨暗号リストに掲載される可能性のある暗号技術のリスト。

技術分類		暗号技術
公開鍵暗号	署名	該当なし
	守秘	該当なし
	鍵共有	PSEC-KEM^{[注候 1]}
共通鍵暗号	64ビットブロック暗号^{[注候 2]}	CIPHERUNICORN-E（英語版）
		Hierocrypt-L1（英語版）
		MISTY1
	128ビット	CIPHERUNICORN-A（英語版）
		CLEFIA（英語版）
		Hierocrypt-3（英語版）
	ストリーム暗号	Enocoro-128v2
		MUGI
		MULTI-S01（英語版）^{[注候 3]}
ハッシュ関数		該当なし
暗号利用モード	秘匿モード	該当なし
暗号利用モード	認証付き秘匿モード^{[注候 4]}	該当なし
メッセージ認証コード		PC-MAC-AES
認証暗号		該当なし
エンティティ認証		該当なし

注

^ KEM (Key Encapsulating Mechanism) – DEM (Data Encapsulating Mechanism) 構成における利用を前提とする。
^ CRYPTREC暗号リストにおいて、64ビットブロック暗号により、同一の鍵を用いて暗号化する場合、2²⁰ブロックまで、同一の鍵を用いてCMACでメッセージ認証コードを生成する場合、2²¹ブロックまでとする。
^ 平文サイズは64 ビットの倍数に限る。
^ CRYPTREC暗号リスト掲載のブロック暗号を、認証付き秘匿モードと組み合わせて、「認証暗号」として使うことができる。

運用監視暗号リスト

実際に解読されるリスクが高まるなど、推奨すべき状態ではなくなったとCRYPTRECにより確認された暗号技術のうち、互換性維持のために継続利用を容認するもののリスト。互換性維持以外の目的での利用は推奨しない。

技術分類		暗号技術
公開鍵暗号	署名	該当なし
	守秘	RSAES-PKCS1-v1_5^{[注監 1]}^{[注監 2]}
	鍵共有	該当なし
共通鍵暗号	64ビットブロック暗号^{[注監 3]}	3-key Triple DES^{[注監 4]}
	128ビットブロック暗号	該当なし
	ストリーム暗号	該当なし
ハッシュ関数		RIPEMD-160
ハッシュ関数		SHA-1^{[注監 1]}
暗号利用モード	秘匿モード	該当なし
暗号利用モード	認証付き秘匿モード^{[注監 5]}	該当なし
メッセージ認証コード		CBC-MAC^{[注監 6]}
認証暗号		該当なし
エンティティ認証		該当なし

注

^ ^a ^b 「政府機関の情報システムにおいて使用されている暗号アルゴリズム SHA-1 及び RSA1024 に係る移行指針」を踏まえて利用すること。
^ TLS 1.0, 1.1, 1.2で利用実績があることから当面の利用を認める。
^ CRYPTREC暗号リストにおいて、64ビットブロック暗号により、同一の鍵を用いて暗号化する場合、2²⁰ブロックまで、同一の鍵を用いてCMACでメッセージ認証コードを生成する場合、2²¹ブロックまでとする。
^ SP 800-67 Revision 2では廃止されているが、本リスト掲載時から安全性・利用実績の状況に大きな変化がないため、掲載を継続する。
^ CRYPTREC暗号リスト掲載のブロック暗号を、認証付き秘匿モードと組み合わせて、「認証暗号」として使うことができる。
^ 安全性の観点から、メッセージ長を固定して利用すべきである。

脚注

^ ^a ^b ^c ^d ^e “CRYPTREC ｜ CRYPTRECとは”. CRYPTREC. 2018年6月1日閲覧。
^ “電子政府推奨暗号リスト”. 総務省及び経済産業省. 2017年12月10日閲覧。
^ “電子政府における調達のために参照すべき暗号のリスト（CRYPTREC暗号リスト）”. 総務省及び経済産業省. 2017年12月10日閲覧。
^ “電子政府における調達のために参照すべき暗号のリスト（CRYPTREC暗号リスト）」（案）に係る意見募集について”. 総務省、経済産業省、情報通信研究機構、情報処理推進機構. 2013年11月25日閲覧。
^ “電子政府における調達のために参照すべき暗号のリスト（CRYPTREC暗号リスト）”. デジタル庁・総務省・経済産業省 (2024年5月16日). 2024年7月7日閲覧。
^ “暗号強度要件（アルゴリズム及び鍵長選択）に関する設定基準”. デジタル庁・総務省・経済産業省 (2022年3月). 2023年7月25日閲覧。

外部リンク

公式ウェブサイト

表話編歴ブロック暗号
アルゴリズム	AES ARIA Blowfish Camellia CAST-128 CAST-256 DES DES-X 3DES FEAL IDEA KASUMI Lucifer MISTY1 MULTI2 RC2 RC5 RC6 SEED Serpent Square Twofish スキップジャック
設計	Feistel構造 S-box SPN構造
攻撃（暗号解読）	総当たり攻撃レインボーテーブル中間一致攻撃線形解読法差分解読法切詰高階関連鍵攻撃
標準化	AES公募 CRYPTREC NESSIE NSA Suite B（英語版） CNSA
用語	初期化ベクトル暗号利用モード
カテゴリ

表話編歴ストリーム暗号
アルゴリズム	A5/1 KCipher-2 MUGI RC4 Salsa20 （暗号利用モード）
理論	シフトレジスタ線形帰還シフトレジスタ初期化ベクトル
攻撃	総当たり攻撃線形解読法差分解読法関連鍵攻撃相関攻撃
標準化	CRYPTREC
カテゴリ

表話編歴公開鍵暗号
アルゴリズム	Cramer-Shoup暗号ディフィー・ヘルマン鍵共有（楕円DH） Digital Signature Algorithm（楕円DSA）エドワーズ曲線デジタル署名アルゴリズム ElGamal暗号（ElGamal署名） EPOC (暗号) Merkle-Hellmanナップサック暗号 NTRU暗号 Paillier暗号 Rabin暗号 RSA暗号ランポート署名
理論	離散対数素因数分解楕円曲線暗号
標準化	CRYPTREC IEEE P1363（英語版） NESSIE NSA Suite B（英語版） CNSA
関連項目	デジタル署名 Optimal Asymmetric Encryption Padding 指紋公開鍵基盤

表話編歴暗号学的ハッシュ関数とメッセージ認証コード
セキュリティ要約（英語版）
一般的関数	MD5 SHA-1 SHA-2 SHA-3/Keccak
SHA-3最終候補（英語版）	BLAKE Grøstl（英語版） JH（英語版） Skein（英語版） Keccak (勝者)
その他の関数	FSB（英語版） ECOH（英語版） GOST（英語版） HAS-160（英語版） HAVAL（英語版） Kupyna（英語版） LMハッシュ MDC-2（英語版） MD2 MD4 MD6（英語版） N-Hash（英語版） RadioGatún RIPEMD SipHash（英語版） Snefru（英語版） Streebog（英語版） SWIFFT（英語版） Tiger（英語版） VSH（英語版） WHIRLPOOL crypt(3)（英語版） (DES)
MACアルゴリズム	DAA（英語版） CBC-MAC HMAC OMAC（英語版）/CMAC PMAC（英語版） VMAC（英語版） UMAC（英語版） Poly1305
認証付き暗号モード	CCM CWC（英語版） EAX（英語版） GCM IAPM（英語版） OCB（英語版）
攻撃	衝突攻撃（英語版）原像攻撃誕生日攻撃総当たり攻撃レインボーテーブルサイドチャネル攻撃伸長攻撃（英語版）差分解読法
設計	アバランシェ効果（英語版）ハッシュ衝突 Merkle–Damgård構成法（英語版）
標準化	CRYPTREC NESSIE NISTハッシュ関数コンベンション（英語版） NSA Suite B（英語版） CNSA
利用	ソルトキーストレッチ（英語版）メッセージ認証（英語版）
パスワードハッシュ関数	bcrypt PBKDF2 scrypt Argon2
カテゴリ：ハッシュ関数・メッセージ認証コード・認証付き暗号

表話編歴暗号
暗号史暗号解読 Cryptography portal en:Outline of cryptography
共通鍵暗号ブロック暗号ストリーム暗号暗号利用モード公開鍵暗号暗号学的ハッシュ関数メッセージ認証コード認証付き暗号乱数生成器ステガノグラフィー