プロトコルの安全性を検証する検証装置、検証方法および検証プログラム
【課題】認証または鍵交換のプロトコルを安全性のレベルに応じて検証することができる検証装置、検証方法および検証プログラムを提供すること。
【解決手段】検証装置1は、認証または鍵交換のプロトコルにおいて使用されている暗号プリミティブの種類を設定する種類設定部104と、暗号プリミティブの役割を設定する役割設定部105と、プロトコルにおけるフローデータの種類と状態、または暗号プリミティブの引数の種類と状態とを設定するデータ設定部107と、要求に応じて検証対象の安全性を選択する安全性選択部108と、暗号プリミティブの種類、役割および設定されたデータに基づいて、安全性それぞれに関する検証項目を満足するか否かを判定する検証項目判定部109と、選択された全ての安全性に関する検証項目を満足していると判定された場合にプロトコルが安全であると判定する安全性判定部110と、を備える。
【解決手段】検証装置1は、認証または鍵交換のプロトコルにおいて使用されている暗号プリミティブの種類を設定する種類設定部104と、暗号プリミティブの役割を設定する役割設定部105と、プロトコルにおけるフローデータの種類と状態、または暗号プリミティブの引数の種類と状態とを設定するデータ設定部107と、要求に応じて検証対象の安全性を選択する安全性選択部108と、暗号プリミティブの種類、役割および設定されたデータに基づいて、安全性それぞれに関する検証項目を満足するか否かを判定する検証項目判定部109と、選択された全ての安全性に関する検証項目を満足していると判定された場合にプロトコルが安全であると判定する安全性判定部110と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証や鍵共有等のセキュリティ機能を有する認証または鍵交換のプロトコルの安全性を検証する検証装置、検証方法および検証プログラムに関する。
【背景技術】
【0002】
従来、プロトコル設計者の有するセキュリティや暗号技術の見識に基づき、経験的に安全な認証または鍵交換のプロトコルが提案されてきた。しかしながら、提案された認証または鍵交換のプロトコルの仕様が公開された後に、セキュリティ上の脆弱性が指摘される場合があった。標準化された認証または鍵交換のプロトコルが製品等を通じて広く普及した後に脆弱性が発見されると、製品等の改修に関わるコストが大きな問題となる。
【0003】
特に、致命的な脆弱性が発見された場合には、経済的な損害を回避するため、ソフトウェアのパッチの充当やハードウェアのチップや部品の交換等、早急に対処する必要が生じる。したがって、提案された認証または鍵交換のプロトコルや関連製品が普及するほど、社会的な影響は非常に大きくなり、場合によってはシステム全体が破綻してしまう可能性もある。
【0004】
そこで、「汎用結合可能安全性」と呼ばれる概念を利用した、認証または鍵交換のプロトコルの安全性を検証するための装置、方法およびプログラムが提案されている(例えば、特許文献1、特許文献2参照)。ここで、「汎用結合可能安全性」とは、ある認証または鍵交換のプロトコルがそのセキュリティ機能に関する理想機能を安全に実現するならば、この認証または鍵交換のプロトコルは安全であることを意味している。例えば、ある鍵交換プロトコルが鍵交換理想機能を安全に実現するならば、この鍵交換プロトコルは安全であることが示されたことになる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−28447号公報
【特許文献2】特開2008−35117号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上記の「汎用結合可能安全性」は、現在最も強力な安全性であると言われており、理想機能はセキュリティ機能に要求される全ての安全性を網羅する。そのため、ある認証または鍵交換のプロトコルがその理想機能を安全に実現するとき、この認証または鍵交換のプロトコルはセキュリティ機能に要求される全ての安全性を満足することになる。
【0007】
ところが、プロトコルの安全性と効率性とはトレードオフの関係にあるため、認証または鍵交換のプロトコルの安全性を高くするほど効率性は低くなる。そのため、認証または鍵交換のプロトコルの効率性を重要視するときには、許容される限度まで安全性を低くしてよい。しかしながら、上記の先行技術では、認証または鍵交換のプロトコルの厳密な安全性を検証することはできても、安全性のレベルに応じた検証を行うことができない。
【0008】
そこで、本発明は、認証または鍵交換のプロトコルを安全性のレベルに応じて検証することができる検証装置、検証方法および検証プログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明では、以下のような解決手段を提供する。
【0010】
(1) 認証または鍵交換のプロトコルの安全性を検証する検証装置であって、
前記認証のプロトコルにおけるオフライン辞書攻撃に対する安全性、検出不可能なオンライン辞書攻撃に対する安全性および鍵漏洩なりすまし攻撃に対する安全性のそれぞれの要件を満たすための検証項目と、前記鍵交換のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性、未知鍵共有攻撃に対する安全性、強前方秘匿性(strong forward secrecy)および弱後方秘匿性(weak backward secrecy)のそれぞれの要件を満たすための検証項目と、を記憶する記憶部と、
前記プロトコルにおいて使用されている暗号プリミティブの種類を設定する種類設定部と、
前記種類設定部により種類が設定された暗号プリミティブの役割を設定する役割設定部と、
前記プロトコルにおけるフローデータの種類と状態、または暗号プリミティブの引数の種類と状態とを設定するデータ設定部と、
要求に応じて検証対象の安全性を選択する安全性選択部と、
前記安全性選択部により選択された安全性それぞれに関する検証項目を前記記憶部から抽出し、前記暗号プリミティブの種類、役割および前記データ設定部により設定されたデータに基づいて、当該検証項目を満足するか否かを判定する検証項目判定部と、
前記検証項目判定部により前記選択された全ての安全性に関する検証項目を満足していると判定された場合に、前記プロトコルが安全であると判定する安全性判定部と、を備える検証装置。
【0011】
(2) 前記認証のプロトコルにおけるオフライン辞書攻撃に対する安全性の検証項目は、
別のセッションにおいて繰り返し使用可能かつ秘密状態で登場した長期的で不完全な秘密情報を含むフロー上に現れる暗号プリミティブが共通鍵暗号もしくはメッセージ認証コードスキームであるか、または、
別のセッションにおいて繰り返し使用可能かつ秘密状態で登場する長期的で不完全な秘密情報を含むフロー上に現れる暗号プリミティブがパスワードを用いた暗号化、公開鍵暗号もしくはハッシュ関数であり、かつ当該暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である(1)に記載の検証装置。
【0012】
(3) 前記認証のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性の検証項目は、
別のセッションにおいて繰り返し使用可能かつ秘密状態で登場した長期的で不完全な秘密情報を含むフロー上に現れる暗号プリミティブが共通鍵暗号、公開鍵暗号もしくはメッセージ認証コードスキームであること、である(1)または(2)に記載の検証装置。
【0013】
(4) 前記認証のプロトコルにおける鍵漏洩なりすまし攻撃に対する安全性の検証項目は、
前記認証の対象となる暗号プリミティブが公開鍵暗号もしくはディジタル署名スキームであり、かつ当該暗号プリミティブの引数が公開状態で初登場した一時的な公開情報、同じセッションにおいて以前に公開状態で登場した一時的な公開情報、秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報含んでいるか、または、
前記認証の対象となる暗号プリミティブがDiffie−Hellman族もしくはハッシュ関数であり、かつ当該暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である(1)から(3)のいずれかに記載の検証装置。
【0014】
(5) 前記鍵交換のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性の検証項目は、
別のセッションにおいて繰り返し使用可能かつ秘密状態で登場した長期的で不完全な秘密情報を含むフロー上に現れる暗号プリミティブが共通鍵暗号、公開鍵暗号もしくはメッセージ認証コードスキームであること、である(1)から(4)のいずれかに記載の検証装置。
【0015】
(6) 前記鍵交換のプロトコルにおける未知鍵共有攻撃に対する安全性の検証項目は、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが共通鍵暗号、パスワードを用いた暗号化、ディジタル署名スキームもしくはメッセージ認証コードスキームであり、かつ当該暗号プリミティブの引数が別のセッションにおいて繰り返し使用可能かつ公開状態で登場した特定公開情報、および公開状態で初登場した一時的な公開情報、同じセッションにおいて以前に公開状態で登場した一時的な公開情報、秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが公開鍵暗号もしくはハッシュ関数であり、かつ当該暗号プリミティブの引数が別のセッションにおいて繰り返し使用可能かつ公開状態で登場した特定公開情報、および秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブの引数に含まれる暗号プリミティブが共通鍵暗号、パスワードを用いた暗号化、ディジタル署名スキームもしくはメッセージ認証コードスキームであり、かつ当該引数に含まれる暗号プリミティブの引数が別のセッションにおいて繰り返し使用可能かつ公開状態で登場した特定公開情報、および公開状態で初登場した一時的な公開情報、同じセッションにおいて以前に公開状態で登場した一時的な公開情報、秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブの引数に含まれる暗号プリミティブが公開鍵暗号もしくはハッシュ関数であり、かつ当該引数に含まれる暗号プリミティブの引数が別のセッションにおいて繰り返し使用可能かつ公開状態で登場した特定公開情報、および秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である(1)から(5)のいずれかに記載の検証装置。
【0016】
(7) 前記鍵交換のプロトコルにおける強前方秘匿性(strong forward secrecy)の検証項目は、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが公開鍵暗号、Diffie−Hellman族、ハッシュ関数もしくはメッセージ認証コードスキームであり、かつ当該暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブがハッシュ関数もしくはメッセージ認証コードスキームであり、かつ前記プロトコルにおける鍵生成対象となる暗号プリミティブの引数に含まれる暗号プリミティブがDiffie−Hellman族であり、かつ当該引数に含まれる暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である(1)から(6)のいずれかに記載の検証装置。
【0017】
(8) 前記鍵交換のプロトコルにおける弱後方秘匿性(weak backward secrecy)の検証項目は、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが公開鍵暗号、Diffie−Hellman族、ハッシュ関数もしくはメッセージ認証コードスキームであり、かつ当該暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが共通鍵暗号、パスワードを用いた暗号化、公開鍵暗号、ハッシュ関数もしくはメッセージ認証コードスキームであり、かつ前記プロトコルにおける鍵生成対象となる暗号プリミティブの引数に含まれる暗号プリミティブがDiffie−Hellman族であり、かつ当該引数に含まれる暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である(1)から(7)のいずれかに記載の検証装置。
【0018】
(9) コンピュータが認証または鍵交換のプロトコルの安全性を検証する検証方法であって、
当該コンピュータは、前記認証のプロトコルにおけるオフライン辞書攻撃に対する安全性、検出不可能なオンライン辞書攻撃に対する安全性および鍵漏洩なりすまし攻撃に対する安全性のそれぞれの要件を満たすための検証項目と、前記鍵交換のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性、未知鍵共有攻撃に対する安全性、強前方秘匿性(strong forward secrecy)および弱後方秘匿性(weak backward secrecy)のそれぞれの要件を満たすための検証項目と、を記憶する記憶部を備え、
前記プロトコルにおいて使用されている暗号プリミティブの種類を設定する種類設定ステップと、
前記種類設定ステップにより種類が設定された暗号プリミティブの役割を設定する役割設定ステップと、
前記プロトコルにおけるフローデータの種類と状態、または暗号プリミティブの引数の種類と状態とを設定するデータ設定ステップと、
要求に応じて検証対象の安全性を選択する安全性選択ステップと、
前記安全性選択ステップにより選択された安全性それぞれに関する検証項目を前記記憶部から抽出し、前記暗号プリミティブの種類、役割および前記データ設定ステップにより設定されたデータに基づいて、当該検証項目を満足するか否かを判定する検証項目判定ステップと、
前記検証項目判定ステップにより前記選択された全ての安全性に関する検証項目を満足していると判定された場合に、前記プロトコルが安全であると判定する安全性判定ステップと、を含む検証方法。
【0019】
(10) コンピュータに認証または鍵交換のプロトコルの安全性を検証させる検証プログラムであって、
当該コンピュータは、前記認証のプロトコルにおけるオフライン辞書攻撃に対する安全性、検出不可能なオンライン辞書攻撃に対する安全性および鍵漏洩なりすまし攻撃に対する安全性のそれぞれの要件を満たすための検証項目と、前記鍵交換のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性、未知鍵共有攻撃に対する安全性、強前方秘匿性(strong forward secrecy)および弱後方秘匿性(weak backward secrecy)のそれぞれの要件を満たすための検証項目と、を記憶する記憶部を備え、
前記プロトコルにおいて使用されている暗号プリミティブの種類を設定する種類設定ステップと、
前記種類設定ステップにより種類が設定された暗号プリミティブの役割を設定する役割設定ステップと、
前記プロトコルにおけるフローデータの種類と状態、または暗号プリミティブの引数の種類と状態とを設定するデータ設定ステップと、
要求に応じて検証対象の安全性を選択する安全性選択ステップと、
前記安全性選択ステップにより選択された安全性それぞれに関する検証項目を前記記憶部から抽出し、前記暗号プリミティブの種類、役割および前記データ設定ステップにより設定されたデータに基づいて、当該検証項目を満足するか否かを判定する検証項目判定ステップと、
前記検証項目判定ステップにより前記選択された全ての安全性に関する検証項目を満足していると判定された場合に、前記プロトコルが安全であると判定する安全性判定ステップと、を実行させる検証プログラム。
【発明の効果】
【0020】
本発明によれば、認証または鍵交換のプロトコルを安全性のレベルに応じて検証することができる。
【図面の簡単な説明】
【0021】
【図1】本発明の実施形態に係る検証装置の構成を示す図である。
【図2】本発明の実施形態に係る検証方法の流れを示すフローチャートである。
【発明を実施するための形態】
【0022】
以下、本発明の実施形態の一例について説明する。
【0023】
<セキュリティモデル>
まず、認証または鍵交換のプロトコルの安全性レベルに関するセキュリティモデルを示す。本実施形態では、計算量理論に基づいて認証または鍵交換のプロトコルの安全性を証明する「証明可能安全性」と呼ばれる概念を用いる。「認証または鍵交換のプロトコルが証明可能安全性を有する」とは、認証または鍵交換のプロトコルの安全性が、ある暗号プリミティブの安全性に帰着することを計算量理論的に証明可能であることを示している。すなわち、ある認証または鍵交換のプロトコルを破ることができる攻撃者は、ある暗号プリミティブを多項式時間で破るマシンを構成可能であることを証明することにより、この暗号プリミティブが破られなければ、認証または鍵交換のプロトコルも破られないことを証明する。
【0024】
上記の証明可能安全性において、認証プロトコルではmatching conversation、鍵交換プロトコルではsemantic securityという安全性の概念がある。それぞれの概念に対し、認証または鍵交換のプロトコルに要求される以下のような安全性要件が存在する。
【0025】
(1)matching conversation
この安全性は、認証プロトコルにおいて、攻撃者が一方のパーティから受信したメッセージをそのままもう一方のパーティへ送ること以外に何もできないことを示す。すなわち、攻撃者はメッセージの改ざんや新規メッセージの送付、メッセージの遮断、メッセージの順番の入れ替え等の不正を行うことができないことを示す。
【0026】
(1A)オフライン辞書攻撃に対する安全性
攻撃者がパスワード推測用の辞書からオフラインで過去の履歴に一致するパーティのパスワードを探索することはできないことを示す。
【0027】
(1B)検出不可能なオンライン辞書攻撃に対する安全性
パスワードを登録してあるパーティに対して、攻撃者がパスワードを問い合わせていることを検出することができることを示す。
【0028】
(1C)鍵漏洩なりすまし攻撃に対する安全性
攻撃者が共通鍵暗号の共通鍵やパスワード、公開鍵暗号の秘密鍵等のあるパーティの長期鍵を得ることができたとしても、このパーティ以外のパーティになりすますことはできないことを示す。
【0029】
(2)semantic security
この安全性は、鍵交換プロトコルにおいて、攻撃者はセッション鍵に関するどんな情報も得ることができないことを示す。すなわち、攻撃者はセッション鍵と乱数を多項式時間で区別することができないことを示す。
【0030】
(2A)検出不可能なオンライン辞書攻撃に対する安全性
パスワードを登録してあるパーティに対して、攻撃者がパスワードを問い合わせていることを検出することができることを示す。
【0031】
(2B)未知鍵共有攻撃に対する安全性
あるパーティが正しいと思っているパーティとは別のパーティとセッション鍵を共有することができないことを示す。
【0032】
(2C)strong forward secrecy
攻撃者が共通鍵暗号の共通鍵やパスワード、公開鍵暗号の秘密鍵等のパーティの長期鍵と内部状態を得ることができたとしても、それ以前に共有されたセッション鍵を得ることはできないことを示す。
【0033】
(2D)weak backward secrecy
攻撃者が共通鍵暗号の共通鍵やパスワード、公開鍵暗号の秘密鍵等のパーティの長期鍵を得ることができたとしても、それ以後に共有されたセッション鍵を得ることはできないことを示す。
【0034】
ただし、長期鍵を使用しない認証または鍵交換のプロトコルの場合、(1C)鍵漏洩なりすまし攻撃に対する安全性、(2C)strong forward secrecy、(2D)weak backward secrecyは要求されない。特に、パスワードを使用しない認証または鍵交換のプロトコルの場合、(1A)オフライン辞書攻撃に対する安全性、(1B)検出不可能なオンライン辞書攻撃に対する安全性、(2A)検出不可能なオンライン辞書攻撃に対する安全性は要求されない。
【0035】
ここで、認証または鍵交換のプロトコルにおいて使用されている暗号プリミティブの種類は以下の通りである。なお、括弧内は各暗号プリミティブを示す略記号である。
[共通鍵暗号系]
・共通鍵暗号(SKE)
・パスワードを用いた暗号化(PWE)
[公開鍵暗号系]
・公開鍵暗号(PKE)
・Diffie−Hellman族(DH)
・ディジタル署名スキーム(SIG)
[ハッシュ関数系]
・ハッシュ関数(HF)
・メッセージ認証コードスキーム(MAC)
【0036】
また、上記の暗号プリミティブに設定される役割は以下の通りである。なお、括弧内は各役割を示す略記号である。
・認証プロトコルにおける認証対象となる暗号プリミティブ(AGF)
・鍵交換プロトコルにおける鍵生成対象となる暗号プリミティブ(KGF)
・AGFやKGFの引数に含まれる暗号プリミティブ(ACP)
・フロー上に現れる暗号プリミティブ(OCP)
【0037】
さらに、認証または鍵交換プロトコルにおけるフローデータに対して、または暗号プリミティブの引数に対して設定される要素は以下の通りである。なお、括弧内は各フローデータまたは各引数の種類または状態を示す略記号である。
[フローデータと暗号プリミティブの引数とに設定される種類]
・一般公開情報(PUB)
・特定公開情報(ID)
・一時的な公開情報(TPK)
・長期的で完全な秘密情報(LLK)
・長期的で不完全な秘密情報(PW)
・一時的な秘密情報(TSK)
[フローデータと暗号プリミティブの引数とに設定される状態]
・公開状態で初登場(PFT)
・同じセッションにおいて以前に公開状態で登場(PSS)
・別のセッションにおいて繰り返し使用可能かつ公開状態で登場(PRS)
・秘密状態で初登場(SFT)
・同じセッションにおいて以前に秘密状態で登場(SSS)
・別のセッションにおいて繰り返し使用可能かつ秘密状態で登場(SRS)
【0038】
<検証項目>
次に、認証または鍵交換のプロトコルの安全性に対する検証項目について説明する。本実施形態では、2パーティ(2ユーザ間、サーバおよびクライアント間等)での認証または鍵交換のプロトコルを対象とし、以下の3点を前提とする。
【0039】
・認証または鍵交換のプロトコルにおいて、秘密鍵やパスワードを使用している場合、2パーティは予め同じ秘密鍵やパスワードを何らかの安全な手順で共有しておくこととし、その手順に脆弱性はないとする。
・認証または鍵交換のプロトコルにおいて、公開鍵を使用している場合、各パーティは認証局等の第三者機関との間で公開鍵証明書の正当性を確認することができることとし、その手順に脆弱性はないとする。
・暗号プリミティブが危殆化した場合、検証装置1はリアルタイムにその情報を得て、記録しておくことができることとする。
【0040】
以下、認証または鍵交換のプロトコルの安全性を、レベルすなわち安全性の種類に応じて検証する検証項目を示す。
【0041】
(1)認証プロトコルに対するmatching conversation
(1A)オフライン辞書攻撃に対する安全性における検証項目
(攻撃に関係する設定情報)全てのフロー
(1A−a)PW−SRSを含むOCPがSKEまたはMACである。
(1A−b)PW−SRSを含むOCPがPWEまたはPKEまたはHFであり、OCPの引数がTSK−SFTまたはTSK−SSSを含んでいる。
【0042】
(1B)検出不可能なオンライン辞書攻撃に対する安全性における検証項目
(攻撃に関係する設定情報)全てのフロー
(1B−a)PW−SRSを含むOCPがSKEまたはPKEまたはMACである。
【0043】
(1C)鍵漏洩なりすまし攻撃に対する安全性における検証項目
(攻撃に関係する設定情報)一方のパーティの長期鍵
(1C−a)AGFがPKEまたはSIGであり、AGFの引数がTPK−PFTまたはTPK−PSSまたはTSK−SFTまたはTSK−SSSを含んでいる。
(1C−b)AGFがDHまたはHFであり、AGFの引数がTSK−SFTまたはTSK−SSSを含んでいる。
【0044】
(2)鍵交換プロトコルに対するsemantic security
(2A)検出不可能なオンライン辞書攻撃に対する安全性における検証項目
(攻撃に関係する設定情報)全てのフロー
(2A−a)PW−SRSを含むOCPがSKEまたはPKEまたはMACである。
【0045】
(2B)未知鍵共有攻撃に対する安全性における検証項目
(攻撃に関係する設定情報)全てのフロー
(2B−a)KGFがSKEまたはPWEまたはSIGまたはMACであり、KGFの引数がID−PRSかつ(TPK−PFTまたはTPK−PSSまたはTSK−SFTまたはTSK−SSS)を含んでいる。
(2B−b)KGFがPKEまたはHFであり、KGFの引数がID−PRSかつ(TSK−SFTまたはTSK−SSS)を含んでいる。
(2B−c)ACPがSKEまたはPWEまたはSIGまたはMACであり、ACPの引数がID−PRSかつ(TPK−PFTまたはTPK−PSSまたはTSK−SFTまたはTSK−SSS)を含んでいる。
(2B−d)ACPがPKEまたはHFであり、ACPの引数がID−PRSかつ(TSK−SFTまたはTSK−SSS)を含んでいる。
【0046】
(2C)strong forward secrecyにおける検証項目
(攻撃に関係する設定情報)全ての長期鍵と内部状態
(2C−a)KGFがPKEまたはDHまたはHFまたはMACであり、KGFの引数がTSK−SFTまたはTSK−SSSを含んでいる。
(2C−b)KGFがHFまたはMACであり、ACPがDHであり、ACPの引数がTSK−SFTまたはTSK−SSSを含んでいる。
【0047】
(2D)weak backward secrecyにおける検証項目
(攻撃に関係する設定情報)全ての長期鍵
(2D−a)KGFがPKEまたはDHまたはHFまたはMACであり、KGFの引数がTSK−SFTまたはTSK−SSSを含んでいる。
(2D−b)KGFがSKEまたはPWEまたはPKEまたはHFまたはMACであり、ACPがDHであり、ACPの引数がTSK−SFTまたはTSK−SSSを含んでいる。
【0048】
<検証装置の構成>
図1は、本実施形態に係る認証または鍵交換のプロトコルの安全性を検証する検証装置1の構成を示す図である。
検証装置1は、制御部10と、記憶部20と、入力部30と、表示部40と、を備える。
【0049】
制御部10は、検証装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、上述のハードウェアと協働し、本発明に係る各種機能を実現している。制御部10は、CPU(Central Processing Unit)であってよい。
【0050】
記憶部20は、ハードウェア群を検証装置1として機能させるための各種プログラムや、本発明の機能を制御部10に実行させるプログラム、データベース等を記憶する。具体的には、記憶部20は、上述の暗号プリミティブの種類および役割、ならびにフローデータまたは暗号プリミティブの引数の種類と状態、さらには、上述の各安全性とその検証項目とを記憶している。また、記憶部20は、入力部30または所定のネットワークを介して制御部10により取得された、各暗号プリミティブが危殆化したことを示す情報も記憶する。なお、記憶部20は、ハードディスク、光ディスクドライブ、あるいは半導体メモリ等、様々な記憶装置のいずれかにより構成されてよい。
【0051】
入力部30は、検証装置1に対するユーザ(検証装置1の管理者)からの指示入力を受け付けるインタフェース装置である。入力部30は、例えばキーボードやマウス等により構成される。
【0052】
表示部40は、ユーザ(検証装置1の管理者)にデータの入力を受け付ける画面を表示したり、検証装置1による処理結果の画面を表示したりするものである。表示部40は、ブラウン管表示装置(CRT)、液晶表示装置(LCD)等のディスプレイ装置であってよい。
【0053】
なお、本発明でいうコンピュータとは、制御装置や記憶装置等を備えた情報処理装置である。検証装置1は、制御部10や記憶部20等を備えた情報処理装置であり、この情報処理装置は、本発明のコンピュータの概念に含まれる。
【0054】
また、制御部10は、プロトコル受付部101と、暗号プリミティブ列挙部102と、危殆化情報判定部103と、種類設定部104と、役割設定部105と、フロー列挙部106と、データ設定部107と、安全性選択部108と、検証項目判定部109と、安全性判定部110と、を備える。
【0055】
プロトコル受付部101は、入力部30からの指示入力に基づいて、安全性の検証対象である認証または鍵交換のプロトコルの仕様データの入力を受け付ける。
【0056】
暗号プリミティブ列挙部102は、プロトコル受付部101により受け付けたプロトコルの仕様データから、このプロトコルにおいて使用されている全ての暗号プリミティブを列挙する。
【0057】
危殆化情報判定部103は、暗号プリミティブ列挙部102により列挙された暗号プリミティブに対して危殆化情報があるか否かを判定する。危殆化情報が1つでもある場合、安全性判定部110により、プロトコルは安全ではないと判定される。
【0058】
種類設定部104は、暗号プリミティブ列挙部102により列挙された暗号プリミティブの種類を、上述のSKE、PWE、PKE、DH、SIG、HF、MACの中から選択して設定する。
【0059】
役割設定部105は、種類設定部104により種類が選択された暗号プリミティブの役割を、上述のAGF、KGF、ACP、OCPの中から選択して設定する。
【0060】
フロー列挙部106は、プロトコル受付部101により受け付けた検証対象のプロトコルにおける全てのフローを列挙する。
【0061】
データ設定部107は、フロー列挙部106により列挙されたフローのフローデータと暗号プリミティブの引数とについて、プロトコルの仕様に従い、種類を上述のPUB、ID、TPK、LLK、PW、TSKの中から選択し、また状態を上述のPFT、PSS、PRS、SFT、SSS、SRSの中から選択して設定する。
【0062】
ここで、これらフローデータおよび暗号プリミティブの引数の種類と状態とは、列挙されたプロトコルのフローの順に設定される。なお、状態はセッション中での以前のフローに応じて更新されていく。また、公開状態と秘密状態では、公開状態が優先されることとする。
【0063】
安全性選択部108は、プロトコル受付部101により受け付けた検証対象のプロトコルに対して要求されている安全性を選択する。具体的には、入力部30を介して、上述の(1A)、(1B)、(1C)、(2A)、(2B)、(2C)、(2D)の中から選択入力を受け付ける。なお、選択される安全性は複数であってよく、プロトコルを運用する上で必要とされる最低限の安全性が選択されることが好ましい。
【0064】
検証項目判定部109は、種類設定部104、役割設定部105およびデータ設定部107により設定された情報を用いて、安全性選択部108により選択された各安全性に対する上述の検証項目を記憶部20から読み出し検証する。
【0065】
また、検証項目判定部109は、プロトコルにおいて要求されているセキュリティパラメータ(例えば、鍵のサイズ等)を設定する。フロー、暗号プリミティブおよび引数のサイズが設定されたセキュリティパラメータを満足しているか否かを確認し、満足していないサイズが1つでもある場合、安全性判定部110によりプロトコルは安全ではないと判定される。
【0066】
安全性判定部110は、安全性選択部108により選択された全ての安全性に関して、検証項目判定部109により検証項目を満足していると判定された場合に、プロトコルが安全であると判定する。一方、安全性判定部110は、検証項目を満足していない安全性が1つでもある場合には、プロトコルは安全ではないと判定する。
【0067】
<処理フロー>
図2は、本実施形態に係る検証装置1の制御部10にて実行される検証方法の流れを示すフローチャートである。
【0068】
ステップS1では、制御部10は、受け付けた認証または鍵交換のプロトコルにおいて使用されている全ての暗号プリミティブを列挙する。
【0069】
ステップS2では、制御部10は、ステップS1で列挙された暗号プリミティブに関して、危殆化情報が記憶されていないか否かを判定する。この判定がYESの場合はステップS3に移り、判定がNOの場合はステップS10に移る。
【0070】
ステップS3(種類設定ステップ)では、制御部10は、ステップS1で列挙された暗号プリミティブの種類を、記憶部20に記憶されている情報と比較することにより判断して設定する。
【0071】
ステップS4(役割設定ステップ)では、制御部10は、ステップS3で種類が設定された暗号プリミティブの役割を、記憶部20に記憶されている情報と比較することにより判断して設定する。
【0072】
ステップS5では、制御部10は、受け付けた認証または鍵交換のプロトコルにおける全てのフローを列挙する。
【0073】
ステップS6(データ設定ステップ)では、制御部10は、ステップS5で列挙されたフローのフローデータと暗号プリミティブの引数とについて、プロトコルの仕様に従い、記憶部20に記憶されている情報と比較することにより種類と状態とを判断して設定する。
【0074】
ステップS7(安全性選択ステップ)では、制御部10は、受け付けた認証または鍵交換のプロトコルに対して要求されている安全性を、記憶部20に記憶されている所定の種類の中から選択する。
【0075】
ステップS8(検証項目判定ステップ)では、制御部10は、ステップS3、ステップS4およびステップS6で設定された各情報を用いて、ステップS7で選択された各安全性に対する検証項目を記憶部20から読み出し検証する。そして、制御部10は、ステップS7で選択された全ての安全性に関して検証項目を満足しているか否かを判定する。この判定がYESの場合はステップS9に移り、判定がNOの場合はステップS10に移る。
【0076】
ステップS9(安全性判定ステップ)では、制御部10は、検証対象である認証または鍵交換のプロトコルが要求されている安全性を全て満たしているため、このプロトコルは安全であると判定する。
【0077】
ステップS10(安全性判定ステップ)では、制御部10は、ステップS2で暗号プリミティブが危殆化していると判定されたか、または検証対象のプロトコルが要求されている安全性のいずれかを満たしていないため、このプロトコルは安全ではないと判定する。
【0078】
なお、本処理は、ソフトウェアにより行うこともできる。一連の処理をソフトウェアによって行う場合には、そのソフトウェアを構成するプログラムがコンピュータにインストールされる。また、当該プログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。
【0079】
以上のように、本実施形態によれば、認証または鍵交換のプロトコルについて、要求されている安全性を選択して、それぞれの安全性を検証することができる。すなわち、本実施形態によれば、認証または鍵交換のプロトコルを安全性のレベルに応じて検証することができる。
【0080】
以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。
【符号の説明】
【0081】
1 検証装置
10 制御部
20 記憶部
30 入力部
40 表示部
101 プロトコル受付部
102 暗号プリミティブ列挙部
103 危殆化情報判定部
104 種類設定部
105 役割設定部
106 フロー列挙部
107 データ設定部
108 安全性選択部
109 検証項目判定部
110 安全性判定部
【技術分野】
【0001】
本発明は、認証や鍵共有等のセキュリティ機能を有する認証または鍵交換のプロトコルの安全性を検証する検証装置、検証方法および検証プログラムに関する。
【背景技術】
【0002】
従来、プロトコル設計者の有するセキュリティや暗号技術の見識に基づき、経験的に安全な認証または鍵交換のプロトコルが提案されてきた。しかしながら、提案された認証または鍵交換のプロトコルの仕様が公開された後に、セキュリティ上の脆弱性が指摘される場合があった。標準化された認証または鍵交換のプロトコルが製品等を通じて広く普及した後に脆弱性が発見されると、製品等の改修に関わるコストが大きな問題となる。
【0003】
特に、致命的な脆弱性が発見された場合には、経済的な損害を回避するため、ソフトウェアのパッチの充当やハードウェアのチップや部品の交換等、早急に対処する必要が生じる。したがって、提案された認証または鍵交換のプロトコルや関連製品が普及するほど、社会的な影響は非常に大きくなり、場合によってはシステム全体が破綻してしまう可能性もある。
【0004】
そこで、「汎用結合可能安全性」と呼ばれる概念を利用した、認証または鍵交換のプロトコルの安全性を検証するための装置、方法およびプログラムが提案されている(例えば、特許文献1、特許文献2参照)。ここで、「汎用結合可能安全性」とは、ある認証または鍵交換のプロトコルがそのセキュリティ機能に関する理想機能を安全に実現するならば、この認証または鍵交換のプロトコルは安全であることを意味している。例えば、ある鍵交換プロトコルが鍵交換理想機能を安全に実現するならば、この鍵交換プロトコルは安全であることが示されたことになる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−28447号公報
【特許文献2】特開2008−35117号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上記の「汎用結合可能安全性」は、現在最も強力な安全性であると言われており、理想機能はセキュリティ機能に要求される全ての安全性を網羅する。そのため、ある認証または鍵交換のプロトコルがその理想機能を安全に実現するとき、この認証または鍵交換のプロトコルはセキュリティ機能に要求される全ての安全性を満足することになる。
【0007】
ところが、プロトコルの安全性と効率性とはトレードオフの関係にあるため、認証または鍵交換のプロトコルの安全性を高くするほど効率性は低くなる。そのため、認証または鍵交換のプロトコルの効率性を重要視するときには、許容される限度まで安全性を低くしてよい。しかしながら、上記の先行技術では、認証または鍵交換のプロトコルの厳密な安全性を検証することはできても、安全性のレベルに応じた検証を行うことができない。
【0008】
そこで、本発明は、認証または鍵交換のプロトコルを安全性のレベルに応じて検証することができる検証装置、検証方法および検証プログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明では、以下のような解決手段を提供する。
【0010】
(1) 認証または鍵交換のプロトコルの安全性を検証する検証装置であって、
前記認証のプロトコルにおけるオフライン辞書攻撃に対する安全性、検出不可能なオンライン辞書攻撃に対する安全性および鍵漏洩なりすまし攻撃に対する安全性のそれぞれの要件を満たすための検証項目と、前記鍵交換のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性、未知鍵共有攻撃に対する安全性、強前方秘匿性(strong forward secrecy)および弱後方秘匿性(weak backward secrecy)のそれぞれの要件を満たすための検証項目と、を記憶する記憶部と、
前記プロトコルにおいて使用されている暗号プリミティブの種類を設定する種類設定部と、
前記種類設定部により種類が設定された暗号プリミティブの役割を設定する役割設定部と、
前記プロトコルにおけるフローデータの種類と状態、または暗号プリミティブの引数の種類と状態とを設定するデータ設定部と、
要求に応じて検証対象の安全性を選択する安全性選択部と、
前記安全性選択部により選択された安全性それぞれに関する検証項目を前記記憶部から抽出し、前記暗号プリミティブの種類、役割および前記データ設定部により設定されたデータに基づいて、当該検証項目を満足するか否かを判定する検証項目判定部と、
前記検証項目判定部により前記選択された全ての安全性に関する検証項目を満足していると判定された場合に、前記プロトコルが安全であると判定する安全性判定部と、を備える検証装置。
【0011】
(2) 前記認証のプロトコルにおけるオフライン辞書攻撃に対する安全性の検証項目は、
別のセッションにおいて繰り返し使用可能かつ秘密状態で登場した長期的で不完全な秘密情報を含むフロー上に現れる暗号プリミティブが共通鍵暗号もしくはメッセージ認証コードスキームであるか、または、
別のセッションにおいて繰り返し使用可能かつ秘密状態で登場する長期的で不完全な秘密情報を含むフロー上に現れる暗号プリミティブがパスワードを用いた暗号化、公開鍵暗号もしくはハッシュ関数であり、かつ当該暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である(1)に記載の検証装置。
【0012】
(3) 前記認証のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性の検証項目は、
別のセッションにおいて繰り返し使用可能かつ秘密状態で登場した長期的で不完全な秘密情報を含むフロー上に現れる暗号プリミティブが共通鍵暗号、公開鍵暗号もしくはメッセージ認証コードスキームであること、である(1)または(2)に記載の検証装置。
【0013】
(4) 前記認証のプロトコルにおける鍵漏洩なりすまし攻撃に対する安全性の検証項目は、
前記認証の対象となる暗号プリミティブが公開鍵暗号もしくはディジタル署名スキームであり、かつ当該暗号プリミティブの引数が公開状態で初登場した一時的な公開情報、同じセッションにおいて以前に公開状態で登場した一時的な公開情報、秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報含んでいるか、または、
前記認証の対象となる暗号プリミティブがDiffie−Hellman族もしくはハッシュ関数であり、かつ当該暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である(1)から(3)のいずれかに記載の検証装置。
【0014】
(5) 前記鍵交換のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性の検証項目は、
別のセッションにおいて繰り返し使用可能かつ秘密状態で登場した長期的で不完全な秘密情報を含むフロー上に現れる暗号プリミティブが共通鍵暗号、公開鍵暗号もしくはメッセージ認証コードスキームであること、である(1)から(4)のいずれかに記載の検証装置。
【0015】
(6) 前記鍵交換のプロトコルにおける未知鍵共有攻撃に対する安全性の検証項目は、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが共通鍵暗号、パスワードを用いた暗号化、ディジタル署名スキームもしくはメッセージ認証コードスキームであり、かつ当該暗号プリミティブの引数が別のセッションにおいて繰り返し使用可能かつ公開状態で登場した特定公開情報、および公開状態で初登場した一時的な公開情報、同じセッションにおいて以前に公開状態で登場した一時的な公開情報、秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが公開鍵暗号もしくはハッシュ関数であり、かつ当該暗号プリミティブの引数が別のセッションにおいて繰り返し使用可能かつ公開状態で登場した特定公開情報、および秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブの引数に含まれる暗号プリミティブが共通鍵暗号、パスワードを用いた暗号化、ディジタル署名スキームもしくはメッセージ認証コードスキームであり、かつ当該引数に含まれる暗号プリミティブの引数が別のセッションにおいて繰り返し使用可能かつ公開状態で登場した特定公開情報、および公開状態で初登場した一時的な公開情報、同じセッションにおいて以前に公開状態で登場した一時的な公開情報、秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブの引数に含まれる暗号プリミティブが公開鍵暗号もしくはハッシュ関数であり、かつ当該引数に含まれる暗号プリミティブの引数が別のセッションにおいて繰り返し使用可能かつ公開状態で登場した特定公開情報、および秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である(1)から(5)のいずれかに記載の検証装置。
【0016】
(7) 前記鍵交換のプロトコルにおける強前方秘匿性(strong forward secrecy)の検証項目は、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが公開鍵暗号、Diffie−Hellman族、ハッシュ関数もしくはメッセージ認証コードスキームであり、かつ当該暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブがハッシュ関数もしくはメッセージ認証コードスキームであり、かつ前記プロトコルにおける鍵生成対象となる暗号プリミティブの引数に含まれる暗号プリミティブがDiffie−Hellman族であり、かつ当該引数に含まれる暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である(1)から(6)のいずれかに記載の検証装置。
【0017】
(8) 前記鍵交換のプロトコルにおける弱後方秘匿性(weak backward secrecy)の検証項目は、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが公開鍵暗号、Diffie−Hellman族、ハッシュ関数もしくはメッセージ認証コードスキームであり、かつ当該暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが共通鍵暗号、パスワードを用いた暗号化、公開鍵暗号、ハッシュ関数もしくはメッセージ認証コードスキームであり、かつ前記プロトコルにおける鍵生成対象となる暗号プリミティブの引数に含まれる暗号プリミティブがDiffie−Hellman族であり、かつ当該引数に含まれる暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である(1)から(7)のいずれかに記載の検証装置。
【0018】
(9) コンピュータが認証または鍵交換のプロトコルの安全性を検証する検証方法であって、
当該コンピュータは、前記認証のプロトコルにおけるオフライン辞書攻撃に対する安全性、検出不可能なオンライン辞書攻撃に対する安全性および鍵漏洩なりすまし攻撃に対する安全性のそれぞれの要件を満たすための検証項目と、前記鍵交換のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性、未知鍵共有攻撃に対する安全性、強前方秘匿性(strong forward secrecy)および弱後方秘匿性(weak backward secrecy)のそれぞれの要件を満たすための検証項目と、を記憶する記憶部を備え、
前記プロトコルにおいて使用されている暗号プリミティブの種類を設定する種類設定ステップと、
前記種類設定ステップにより種類が設定された暗号プリミティブの役割を設定する役割設定ステップと、
前記プロトコルにおけるフローデータの種類と状態、または暗号プリミティブの引数の種類と状態とを設定するデータ設定ステップと、
要求に応じて検証対象の安全性を選択する安全性選択ステップと、
前記安全性選択ステップにより選択された安全性それぞれに関する検証項目を前記記憶部から抽出し、前記暗号プリミティブの種類、役割および前記データ設定ステップにより設定されたデータに基づいて、当該検証項目を満足するか否かを判定する検証項目判定ステップと、
前記検証項目判定ステップにより前記選択された全ての安全性に関する検証項目を満足していると判定された場合に、前記プロトコルが安全であると判定する安全性判定ステップと、を含む検証方法。
【0019】
(10) コンピュータに認証または鍵交換のプロトコルの安全性を検証させる検証プログラムであって、
当該コンピュータは、前記認証のプロトコルにおけるオフライン辞書攻撃に対する安全性、検出不可能なオンライン辞書攻撃に対する安全性および鍵漏洩なりすまし攻撃に対する安全性のそれぞれの要件を満たすための検証項目と、前記鍵交換のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性、未知鍵共有攻撃に対する安全性、強前方秘匿性(strong forward secrecy)および弱後方秘匿性(weak backward secrecy)のそれぞれの要件を満たすための検証項目と、を記憶する記憶部を備え、
前記プロトコルにおいて使用されている暗号プリミティブの種類を設定する種類設定ステップと、
前記種類設定ステップにより種類が設定された暗号プリミティブの役割を設定する役割設定ステップと、
前記プロトコルにおけるフローデータの種類と状態、または暗号プリミティブの引数の種類と状態とを設定するデータ設定ステップと、
要求に応じて検証対象の安全性を選択する安全性選択ステップと、
前記安全性選択ステップにより選択された安全性それぞれに関する検証項目を前記記憶部から抽出し、前記暗号プリミティブの種類、役割および前記データ設定ステップにより設定されたデータに基づいて、当該検証項目を満足するか否かを判定する検証項目判定ステップと、
前記検証項目判定ステップにより前記選択された全ての安全性に関する検証項目を満足していると判定された場合に、前記プロトコルが安全であると判定する安全性判定ステップと、を実行させる検証プログラム。
【発明の効果】
【0020】
本発明によれば、認証または鍵交換のプロトコルを安全性のレベルに応じて検証することができる。
【図面の簡単な説明】
【0021】
【図1】本発明の実施形態に係る検証装置の構成を示す図である。
【図2】本発明の実施形態に係る検証方法の流れを示すフローチャートである。
【発明を実施するための形態】
【0022】
以下、本発明の実施形態の一例について説明する。
【0023】
<セキュリティモデル>
まず、認証または鍵交換のプロトコルの安全性レベルに関するセキュリティモデルを示す。本実施形態では、計算量理論に基づいて認証または鍵交換のプロトコルの安全性を証明する「証明可能安全性」と呼ばれる概念を用いる。「認証または鍵交換のプロトコルが証明可能安全性を有する」とは、認証または鍵交換のプロトコルの安全性が、ある暗号プリミティブの安全性に帰着することを計算量理論的に証明可能であることを示している。すなわち、ある認証または鍵交換のプロトコルを破ることができる攻撃者は、ある暗号プリミティブを多項式時間で破るマシンを構成可能であることを証明することにより、この暗号プリミティブが破られなければ、認証または鍵交換のプロトコルも破られないことを証明する。
【0024】
上記の証明可能安全性において、認証プロトコルではmatching conversation、鍵交換プロトコルではsemantic securityという安全性の概念がある。それぞれの概念に対し、認証または鍵交換のプロトコルに要求される以下のような安全性要件が存在する。
【0025】
(1)matching conversation
この安全性は、認証プロトコルにおいて、攻撃者が一方のパーティから受信したメッセージをそのままもう一方のパーティへ送ること以外に何もできないことを示す。すなわち、攻撃者はメッセージの改ざんや新規メッセージの送付、メッセージの遮断、メッセージの順番の入れ替え等の不正を行うことができないことを示す。
【0026】
(1A)オフライン辞書攻撃に対する安全性
攻撃者がパスワード推測用の辞書からオフラインで過去の履歴に一致するパーティのパスワードを探索することはできないことを示す。
【0027】
(1B)検出不可能なオンライン辞書攻撃に対する安全性
パスワードを登録してあるパーティに対して、攻撃者がパスワードを問い合わせていることを検出することができることを示す。
【0028】
(1C)鍵漏洩なりすまし攻撃に対する安全性
攻撃者が共通鍵暗号の共通鍵やパスワード、公開鍵暗号の秘密鍵等のあるパーティの長期鍵を得ることができたとしても、このパーティ以外のパーティになりすますことはできないことを示す。
【0029】
(2)semantic security
この安全性は、鍵交換プロトコルにおいて、攻撃者はセッション鍵に関するどんな情報も得ることができないことを示す。すなわち、攻撃者はセッション鍵と乱数を多項式時間で区別することができないことを示す。
【0030】
(2A)検出不可能なオンライン辞書攻撃に対する安全性
パスワードを登録してあるパーティに対して、攻撃者がパスワードを問い合わせていることを検出することができることを示す。
【0031】
(2B)未知鍵共有攻撃に対する安全性
あるパーティが正しいと思っているパーティとは別のパーティとセッション鍵を共有することができないことを示す。
【0032】
(2C)strong forward secrecy
攻撃者が共通鍵暗号の共通鍵やパスワード、公開鍵暗号の秘密鍵等のパーティの長期鍵と内部状態を得ることができたとしても、それ以前に共有されたセッション鍵を得ることはできないことを示す。
【0033】
(2D)weak backward secrecy
攻撃者が共通鍵暗号の共通鍵やパスワード、公開鍵暗号の秘密鍵等のパーティの長期鍵を得ることができたとしても、それ以後に共有されたセッション鍵を得ることはできないことを示す。
【0034】
ただし、長期鍵を使用しない認証または鍵交換のプロトコルの場合、(1C)鍵漏洩なりすまし攻撃に対する安全性、(2C)strong forward secrecy、(2D)weak backward secrecyは要求されない。特に、パスワードを使用しない認証または鍵交換のプロトコルの場合、(1A)オフライン辞書攻撃に対する安全性、(1B)検出不可能なオンライン辞書攻撃に対する安全性、(2A)検出不可能なオンライン辞書攻撃に対する安全性は要求されない。
【0035】
ここで、認証または鍵交換のプロトコルにおいて使用されている暗号プリミティブの種類は以下の通りである。なお、括弧内は各暗号プリミティブを示す略記号である。
[共通鍵暗号系]
・共通鍵暗号(SKE)
・パスワードを用いた暗号化(PWE)
[公開鍵暗号系]
・公開鍵暗号(PKE)
・Diffie−Hellman族(DH)
・ディジタル署名スキーム(SIG)
[ハッシュ関数系]
・ハッシュ関数(HF)
・メッセージ認証コードスキーム(MAC)
【0036】
また、上記の暗号プリミティブに設定される役割は以下の通りである。なお、括弧内は各役割を示す略記号である。
・認証プロトコルにおける認証対象となる暗号プリミティブ(AGF)
・鍵交換プロトコルにおける鍵生成対象となる暗号プリミティブ(KGF)
・AGFやKGFの引数に含まれる暗号プリミティブ(ACP)
・フロー上に現れる暗号プリミティブ(OCP)
【0037】
さらに、認証または鍵交換プロトコルにおけるフローデータに対して、または暗号プリミティブの引数に対して設定される要素は以下の通りである。なお、括弧内は各フローデータまたは各引数の種類または状態を示す略記号である。
[フローデータと暗号プリミティブの引数とに設定される種類]
・一般公開情報(PUB)
・特定公開情報(ID)
・一時的な公開情報(TPK)
・長期的で完全な秘密情報(LLK)
・長期的で不完全な秘密情報(PW)
・一時的な秘密情報(TSK)
[フローデータと暗号プリミティブの引数とに設定される状態]
・公開状態で初登場(PFT)
・同じセッションにおいて以前に公開状態で登場(PSS)
・別のセッションにおいて繰り返し使用可能かつ公開状態で登場(PRS)
・秘密状態で初登場(SFT)
・同じセッションにおいて以前に秘密状態で登場(SSS)
・別のセッションにおいて繰り返し使用可能かつ秘密状態で登場(SRS)
【0038】
<検証項目>
次に、認証または鍵交換のプロトコルの安全性に対する検証項目について説明する。本実施形態では、2パーティ(2ユーザ間、サーバおよびクライアント間等)での認証または鍵交換のプロトコルを対象とし、以下の3点を前提とする。
【0039】
・認証または鍵交換のプロトコルにおいて、秘密鍵やパスワードを使用している場合、2パーティは予め同じ秘密鍵やパスワードを何らかの安全な手順で共有しておくこととし、その手順に脆弱性はないとする。
・認証または鍵交換のプロトコルにおいて、公開鍵を使用している場合、各パーティは認証局等の第三者機関との間で公開鍵証明書の正当性を確認することができることとし、その手順に脆弱性はないとする。
・暗号プリミティブが危殆化した場合、検証装置1はリアルタイムにその情報を得て、記録しておくことができることとする。
【0040】
以下、認証または鍵交換のプロトコルの安全性を、レベルすなわち安全性の種類に応じて検証する検証項目を示す。
【0041】
(1)認証プロトコルに対するmatching conversation
(1A)オフライン辞書攻撃に対する安全性における検証項目
(攻撃に関係する設定情報)全てのフロー
(1A−a)PW−SRSを含むOCPがSKEまたはMACである。
(1A−b)PW−SRSを含むOCPがPWEまたはPKEまたはHFであり、OCPの引数がTSK−SFTまたはTSK−SSSを含んでいる。
【0042】
(1B)検出不可能なオンライン辞書攻撃に対する安全性における検証項目
(攻撃に関係する設定情報)全てのフロー
(1B−a)PW−SRSを含むOCPがSKEまたはPKEまたはMACである。
【0043】
(1C)鍵漏洩なりすまし攻撃に対する安全性における検証項目
(攻撃に関係する設定情報)一方のパーティの長期鍵
(1C−a)AGFがPKEまたはSIGであり、AGFの引数がTPK−PFTまたはTPK−PSSまたはTSK−SFTまたはTSK−SSSを含んでいる。
(1C−b)AGFがDHまたはHFであり、AGFの引数がTSK−SFTまたはTSK−SSSを含んでいる。
【0044】
(2)鍵交換プロトコルに対するsemantic security
(2A)検出不可能なオンライン辞書攻撃に対する安全性における検証項目
(攻撃に関係する設定情報)全てのフロー
(2A−a)PW−SRSを含むOCPがSKEまたはPKEまたはMACである。
【0045】
(2B)未知鍵共有攻撃に対する安全性における検証項目
(攻撃に関係する設定情報)全てのフロー
(2B−a)KGFがSKEまたはPWEまたはSIGまたはMACであり、KGFの引数がID−PRSかつ(TPK−PFTまたはTPK−PSSまたはTSK−SFTまたはTSK−SSS)を含んでいる。
(2B−b)KGFがPKEまたはHFであり、KGFの引数がID−PRSかつ(TSK−SFTまたはTSK−SSS)を含んでいる。
(2B−c)ACPがSKEまたはPWEまたはSIGまたはMACであり、ACPの引数がID−PRSかつ(TPK−PFTまたはTPK−PSSまたはTSK−SFTまたはTSK−SSS)を含んでいる。
(2B−d)ACPがPKEまたはHFであり、ACPの引数がID−PRSかつ(TSK−SFTまたはTSK−SSS)を含んでいる。
【0046】
(2C)strong forward secrecyにおける検証項目
(攻撃に関係する設定情報)全ての長期鍵と内部状態
(2C−a)KGFがPKEまたはDHまたはHFまたはMACであり、KGFの引数がTSK−SFTまたはTSK−SSSを含んでいる。
(2C−b)KGFがHFまたはMACであり、ACPがDHであり、ACPの引数がTSK−SFTまたはTSK−SSSを含んでいる。
【0047】
(2D)weak backward secrecyにおける検証項目
(攻撃に関係する設定情報)全ての長期鍵
(2D−a)KGFがPKEまたはDHまたはHFまたはMACであり、KGFの引数がTSK−SFTまたはTSK−SSSを含んでいる。
(2D−b)KGFがSKEまたはPWEまたはPKEまたはHFまたはMACであり、ACPがDHであり、ACPの引数がTSK−SFTまたはTSK−SSSを含んでいる。
【0048】
<検証装置の構成>
図1は、本実施形態に係る認証または鍵交換のプロトコルの安全性を検証する検証装置1の構成を示す図である。
検証装置1は、制御部10と、記憶部20と、入力部30と、表示部40と、を備える。
【0049】
制御部10は、検証装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、上述のハードウェアと協働し、本発明に係る各種機能を実現している。制御部10は、CPU(Central Processing Unit)であってよい。
【0050】
記憶部20は、ハードウェア群を検証装置1として機能させるための各種プログラムや、本発明の機能を制御部10に実行させるプログラム、データベース等を記憶する。具体的には、記憶部20は、上述の暗号プリミティブの種類および役割、ならびにフローデータまたは暗号プリミティブの引数の種類と状態、さらには、上述の各安全性とその検証項目とを記憶している。また、記憶部20は、入力部30または所定のネットワークを介して制御部10により取得された、各暗号プリミティブが危殆化したことを示す情報も記憶する。なお、記憶部20は、ハードディスク、光ディスクドライブ、あるいは半導体メモリ等、様々な記憶装置のいずれかにより構成されてよい。
【0051】
入力部30は、検証装置1に対するユーザ(検証装置1の管理者)からの指示入力を受け付けるインタフェース装置である。入力部30は、例えばキーボードやマウス等により構成される。
【0052】
表示部40は、ユーザ(検証装置1の管理者)にデータの入力を受け付ける画面を表示したり、検証装置1による処理結果の画面を表示したりするものである。表示部40は、ブラウン管表示装置(CRT)、液晶表示装置(LCD)等のディスプレイ装置であってよい。
【0053】
なお、本発明でいうコンピュータとは、制御装置や記憶装置等を備えた情報処理装置である。検証装置1は、制御部10や記憶部20等を備えた情報処理装置であり、この情報処理装置は、本発明のコンピュータの概念に含まれる。
【0054】
また、制御部10は、プロトコル受付部101と、暗号プリミティブ列挙部102と、危殆化情報判定部103と、種類設定部104と、役割設定部105と、フロー列挙部106と、データ設定部107と、安全性選択部108と、検証項目判定部109と、安全性判定部110と、を備える。
【0055】
プロトコル受付部101は、入力部30からの指示入力に基づいて、安全性の検証対象である認証または鍵交換のプロトコルの仕様データの入力を受け付ける。
【0056】
暗号プリミティブ列挙部102は、プロトコル受付部101により受け付けたプロトコルの仕様データから、このプロトコルにおいて使用されている全ての暗号プリミティブを列挙する。
【0057】
危殆化情報判定部103は、暗号プリミティブ列挙部102により列挙された暗号プリミティブに対して危殆化情報があるか否かを判定する。危殆化情報が1つでもある場合、安全性判定部110により、プロトコルは安全ではないと判定される。
【0058】
種類設定部104は、暗号プリミティブ列挙部102により列挙された暗号プリミティブの種類を、上述のSKE、PWE、PKE、DH、SIG、HF、MACの中から選択して設定する。
【0059】
役割設定部105は、種類設定部104により種類が選択された暗号プリミティブの役割を、上述のAGF、KGF、ACP、OCPの中から選択して設定する。
【0060】
フロー列挙部106は、プロトコル受付部101により受け付けた検証対象のプロトコルにおける全てのフローを列挙する。
【0061】
データ設定部107は、フロー列挙部106により列挙されたフローのフローデータと暗号プリミティブの引数とについて、プロトコルの仕様に従い、種類を上述のPUB、ID、TPK、LLK、PW、TSKの中から選択し、また状態を上述のPFT、PSS、PRS、SFT、SSS、SRSの中から選択して設定する。
【0062】
ここで、これらフローデータおよび暗号プリミティブの引数の種類と状態とは、列挙されたプロトコルのフローの順に設定される。なお、状態はセッション中での以前のフローに応じて更新されていく。また、公開状態と秘密状態では、公開状態が優先されることとする。
【0063】
安全性選択部108は、プロトコル受付部101により受け付けた検証対象のプロトコルに対して要求されている安全性を選択する。具体的には、入力部30を介して、上述の(1A)、(1B)、(1C)、(2A)、(2B)、(2C)、(2D)の中から選択入力を受け付ける。なお、選択される安全性は複数であってよく、プロトコルを運用する上で必要とされる最低限の安全性が選択されることが好ましい。
【0064】
検証項目判定部109は、種類設定部104、役割設定部105およびデータ設定部107により設定された情報を用いて、安全性選択部108により選択された各安全性に対する上述の検証項目を記憶部20から読み出し検証する。
【0065】
また、検証項目判定部109は、プロトコルにおいて要求されているセキュリティパラメータ(例えば、鍵のサイズ等)を設定する。フロー、暗号プリミティブおよび引数のサイズが設定されたセキュリティパラメータを満足しているか否かを確認し、満足していないサイズが1つでもある場合、安全性判定部110によりプロトコルは安全ではないと判定される。
【0066】
安全性判定部110は、安全性選択部108により選択された全ての安全性に関して、検証項目判定部109により検証項目を満足していると判定された場合に、プロトコルが安全であると判定する。一方、安全性判定部110は、検証項目を満足していない安全性が1つでもある場合には、プロトコルは安全ではないと判定する。
【0067】
<処理フロー>
図2は、本実施形態に係る検証装置1の制御部10にて実行される検証方法の流れを示すフローチャートである。
【0068】
ステップS1では、制御部10は、受け付けた認証または鍵交換のプロトコルにおいて使用されている全ての暗号プリミティブを列挙する。
【0069】
ステップS2では、制御部10は、ステップS1で列挙された暗号プリミティブに関して、危殆化情報が記憶されていないか否かを判定する。この判定がYESの場合はステップS3に移り、判定がNOの場合はステップS10に移る。
【0070】
ステップS3(種類設定ステップ)では、制御部10は、ステップS1で列挙された暗号プリミティブの種類を、記憶部20に記憶されている情報と比較することにより判断して設定する。
【0071】
ステップS4(役割設定ステップ)では、制御部10は、ステップS3で種類が設定された暗号プリミティブの役割を、記憶部20に記憶されている情報と比較することにより判断して設定する。
【0072】
ステップS5では、制御部10は、受け付けた認証または鍵交換のプロトコルにおける全てのフローを列挙する。
【0073】
ステップS6(データ設定ステップ)では、制御部10は、ステップS5で列挙されたフローのフローデータと暗号プリミティブの引数とについて、プロトコルの仕様に従い、記憶部20に記憶されている情報と比較することにより種類と状態とを判断して設定する。
【0074】
ステップS7(安全性選択ステップ)では、制御部10は、受け付けた認証または鍵交換のプロトコルに対して要求されている安全性を、記憶部20に記憶されている所定の種類の中から選択する。
【0075】
ステップS8(検証項目判定ステップ)では、制御部10は、ステップS3、ステップS4およびステップS6で設定された各情報を用いて、ステップS7で選択された各安全性に対する検証項目を記憶部20から読み出し検証する。そして、制御部10は、ステップS7で選択された全ての安全性に関して検証項目を満足しているか否かを判定する。この判定がYESの場合はステップS9に移り、判定がNOの場合はステップS10に移る。
【0076】
ステップS9(安全性判定ステップ)では、制御部10は、検証対象である認証または鍵交換のプロトコルが要求されている安全性を全て満たしているため、このプロトコルは安全であると判定する。
【0077】
ステップS10(安全性判定ステップ)では、制御部10は、ステップS2で暗号プリミティブが危殆化していると判定されたか、または検証対象のプロトコルが要求されている安全性のいずれかを満たしていないため、このプロトコルは安全ではないと判定する。
【0078】
なお、本処理は、ソフトウェアにより行うこともできる。一連の処理をソフトウェアによって行う場合には、そのソフトウェアを構成するプログラムがコンピュータにインストールされる。また、当該プログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。
【0079】
以上のように、本実施形態によれば、認証または鍵交換のプロトコルについて、要求されている安全性を選択して、それぞれの安全性を検証することができる。すなわち、本実施形態によれば、認証または鍵交換のプロトコルを安全性のレベルに応じて検証することができる。
【0080】
以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。
【符号の説明】
【0081】
1 検証装置
10 制御部
20 記憶部
30 入力部
40 表示部
101 プロトコル受付部
102 暗号プリミティブ列挙部
103 危殆化情報判定部
104 種類設定部
105 役割設定部
106 フロー列挙部
107 データ設定部
108 安全性選択部
109 検証項目判定部
110 安全性判定部
【特許請求の範囲】
【請求項1】
認証または鍵交換のプロトコルの安全性を検証する検証装置であって、
前記認証のプロトコルにおけるオフライン辞書攻撃に対する安全性、検出不可能なオンライン辞書攻撃に対する安全性および鍵漏洩なりすまし攻撃に対する安全性のそれぞれの要件を満たすための検証項目と、前記鍵交換のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性、未知鍵共有攻撃に対する安全性、強前方秘匿性(strong forward secrecy)および弱後方秘匿性(weak backward secrecy)のそれぞれの要件を満たすための検証項目と、を記憶する記憶部と、
前記プロトコルにおいて使用されている暗号プリミティブの種類を設定する種類設定部と、
前記種類設定部により種類が設定された暗号プリミティブの役割を設定する役割設定部と、
前記プロトコルにおけるフローデータの種類と状態、または暗号プリミティブの引数の種類と状態とを設定するデータ設定部と、
要求に応じて検証対象の安全性を選択する安全性選択部と、
前記安全性選択部により選択された安全性それぞれに関する検証項目を前記記憶部から抽出し、前記暗号プリミティブの種類、役割および前記データ設定部により設定されたデータに基づいて、当該検証項目を満足するか否かを判定する検証項目判定部と、
前記検証項目判定部により前記選択された全ての安全性に関する検証項目を満足していると判定された場合に、前記プロトコルが安全であると判定する安全性判定部と、を備える検証装置。
【請求項2】
前記認証のプロトコルにおけるオフライン辞書攻撃に対する安全性の検証項目は、
別のセッションにおいて繰り返し使用可能かつ秘密状態で登場した長期的で不完全な秘密情報を含むフロー上に現れる暗号プリミティブが共通鍵暗号もしくはメッセージ認証コードスキームであるか、または、
別のセッションにおいて繰り返し使用可能かつ秘密状態で登場する長期的で不完全な秘密情報を含むフロー上に現れる暗号プリミティブがパスワードを用いた暗号化、公開鍵暗号もしくはハッシュ関数であり、かつ当該暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である請求項1に記載の検証装置。
【請求項3】
前記認証のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性の検証項目は、
別のセッションにおいて繰り返し使用可能かつ秘密状態で登場した長期的で不完全な秘密情報を含むフロー上に現れる暗号プリミティブが共通鍵暗号、公開鍵暗号もしくはメッセージ認証コードスキームであること、である請求項1または請求項2に記載の検証装置。
【請求項4】
前記認証のプロトコルにおける鍵漏洩なりすまし攻撃に対する安全性の検証項目は、
前記認証の対象となる暗号プリミティブが公開鍵暗号もしくはディジタル署名スキームであり、かつ当該暗号プリミティブの引数が公開状態で初登場した一時的な公開情報、同じセッションにおいて以前に公開状態で登場した一時的な公開情報、秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報含んでいるか、または、
前記認証の対象となる暗号プリミティブがDiffie−Hellman族もしくはハッシュ関数であり、かつ当該暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である請求項1から請求項3のいずれかに記載の検証装置。
【請求項5】
前記鍵交換のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性の検証項目は、
別のセッションにおいて繰り返し使用可能かつ秘密状態で登場した長期的で不完全な秘密情報を含むフロー上に現れる暗号プリミティブが共通鍵暗号、公開鍵暗号もしくはメッセージ認証コードスキームであること、である請求項1から請求項4のいずれかに記載の検証装置。
【請求項6】
前記鍵交換のプロトコルにおける未知鍵共有攻撃に対する安全性の検証項目は、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが共通鍵暗号、パスワードを用いた暗号化、ディジタル署名スキームもしくはメッセージ認証コードスキームであり、かつ当該暗号プリミティブの引数が別のセッションにおいて繰り返し使用可能かつ公開状態で登場した特定公開情報、および公開状態で初登場した一時的な公開情報、同じセッションにおいて以前に公開状態で登場した一時的な公開情報、秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが公開鍵暗号もしくはハッシュ関数であり、かつ当該暗号プリミティブの引数が別のセッションにおいて繰り返し使用可能かつ公開状態で登場した特定公開情報、および秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブの引数に含まれる暗号プリミティブが共通鍵暗号、パスワードを用いた暗号化、ディジタル署名スキームもしくはメッセージ認証コードスキームであり、かつ当該引数に含まれる暗号プリミティブの引数が別のセッションにおいて繰り返し使用可能かつ公開状態で登場した特定公開情報、および公開状態で初登場した一時的な公開情報、同じセッションにおいて以前に公開状態で登場した一時的な公開情報、秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブの引数に含まれる暗号プリミティブが公開鍵暗号もしくはハッシュ関数であり、かつ当該引数に含まれる暗号プリミティブの引数が別のセッションにおいて繰り返し使用可能かつ公開状態で登場した特定公開情報、および秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である請求項1から請求項5のいずれかに記載の検証装置。
【請求項7】
前記鍵交換のプロトコルにおける強前方秘匿性(strong forward secrecy)の検証項目は、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが公開鍵暗号、Diffie−Hellman族、ハッシュ関数もしくはメッセージ認証コードスキームであり、かつ当該暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブがハッシュ関数もしくはメッセージ認証コードスキームであり、かつ前記プロトコルにおける鍵生成対象となる暗号プリミティブの引数に含まれる暗号プリミティブがDiffie−Hellman族であり、かつ当該引数に含まれる暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である請求項1から請求項6のいずれかに記載の検証装置。
【請求項8】
前記鍵交換のプロトコルにおける弱後方秘匿性(weak backward secrecy)の検証項目は、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが公開鍵暗号、Diffie−Hellman族、ハッシュ関数もしくはメッセージ認証コードスキームであり、かつ当該暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが共通鍵暗号、パスワードを用いた暗号化、公開鍵暗号、ハッシュ関数もしくはメッセージ認証コードスキームであり、かつ前記プロトコルにおける鍵生成対象となる暗号プリミティブの引数に含まれる暗号プリミティブがDiffie−Hellman族であり、かつ当該引数に含まれる暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である請求項1から請求項7のいずれかに記載の検証装置。
【請求項9】
コンピュータが認証または鍵交換のプロトコルの安全性を検証する検証方法であって、
当該コンピュータは、前記認証のプロトコルにおけるオフライン辞書攻撃に対する安全性、検出不可能なオンライン辞書攻撃に対する安全性および鍵漏洩なりすまし攻撃に対する安全性のそれぞれの要件を満たすための検証項目と、前記鍵交換のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性、未知鍵共有攻撃に対する安全性、強前方秘匿性(strong forward secrecy)および弱後方秘匿性(weak backward secrecy)のそれぞれの要件を満たすための検証項目と、を記憶する記憶部を備え、
前記プロトコルにおいて使用されている暗号プリミティブの種類を設定する種類設定ステップと、
前記種類設定ステップにより種類が設定された暗号プリミティブの役割を設定する役割設定ステップと、
前記プロトコルにおけるフローデータの種類と状態、または暗号プリミティブの引数の種類と状態とを設定するデータ設定ステップと、
要求に応じて検証対象の安全性を選択する安全性選択ステップと、
前記安全性選択ステップにより選択された安全性それぞれに関する検証項目を前記記憶部から抽出し、前記暗号プリミティブの種類、役割および前記データ設定ステップにより設定されたデータに基づいて、当該検証項目を満足するか否かを判定する検証項目判定ステップと、
前記検証項目判定ステップにより前記選択された全ての安全性に関する検証項目を満足していると判定された場合に、前記プロトコルが安全であると判定する安全性判定ステップと、を含む検証方法。
【請求項10】
コンピュータに認証または鍵交換のプロトコルの安全性を検証させる検証プログラムであって、
当該コンピュータは、前記認証のプロトコルにおけるオフライン辞書攻撃に対する安全性、検出不可能なオンライン辞書攻撃に対する安全性および鍵漏洩なりすまし攻撃に対する安全性のそれぞれの要件を満たすための検証項目と、前記鍵交換のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性、未知鍵共有攻撃に対する安全性、強前方秘匿性(strong forward secrecy)および弱後方秘匿性(weak backward secrecy)のそれぞれの要件を満たすための検証項目と、を記憶する記憶部を備え、
前記プロトコルにおいて使用されている暗号プリミティブの種類を設定する種類設定ステップと、
前記種類設定ステップにより種類が設定された暗号プリミティブの役割を設定する役割設定ステップと、
前記プロトコルにおけるフローデータの種類と状態、または暗号プリミティブの引数の種類と状態とを設定するデータ設定ステップと、
要求に応じて検証対象の安全性を選択する安全性選択ステップと、
前記安全性選択ステップにより選択された安全性それぞれに関する検証項目を前記記憶部から抽出し、前記暗号プリミティブの種類、役割および前記データ設定ステップにより設定されたデータに基づいて、当該検証項目を満足するか否かを判定する検証項目判定ステップと、
前記検証項目判定ステップにより前記選択された全ての安全性に関する検証項目を満足していると判定された場合に、前記プロトコルが安全であると判定する安全性判定ステップと、を実行させる検証プログラム。
【請求項1】
認証または鍵交換のプロトコルの安全性を検証する検証装置であって、
前記認証のプロトコルにおけるオフライン辞書攻撃に対する安全性、検出不可能なオンライン辞書攻撃に対する安全性および鍵漏洩なりすまし攻撃に対する安全性のそれぞれの要件を満たすための検証項目と、前記鍵交換のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性、未知鍵共有攻撃に対する安全性、強前方秘匿性(strong forward secrecy)および弱後方秘匿性(weak backward secrecy)のそれぞれの要件を満たすための検証項目と、を記憶する記憶部と、
前記プロトコルにおいて使用されている暗号プリミティブの種類を設定する種類設定部と、
前記種類設定部により種類が設定された暗号プリミティブの役割を設定する役割設定部と、
前記プロトコルにおけるフローデータの種類と状態、または暗号プリミティブの引数の種類と状態とを設定するデータ設定部と、
要求に応じて検証対象の安全性を選択する安全性選択部と、
前記安全性選択部により選択された安全性それぞれに関する検証項目を前記記憶部から抽出し、前記暗号プリミティブの種類、役割および前記データ設定部により設定されたデータに基づいて、当該検証項目を満足するか否かを判定する検証項目判定部と、
前記検証項目判定部により前記選択された全ての安全性に関する検証項目を満足していると判定された場合に、前記プロトコルが安全であると判定する安全性判定部と、を備える検証装置。
【請求項2】
前記認証のプロトコルにおけるオフライン辞書攻撃に対する安全性の検証項目は、
別のセッションにおいて繰り返し使用可能かつ秘密状態で登場した長期的で不完全な秘密情報を含むフロー上に現れる暗号プリミティブが共通鍵暗号もしくはメッセージ認証コードスキームであるか、または、
別のセッションにおいて繰り返し使用可能かつ秘密状態で登場する長期的で不完全な秘密情報を含むフロー上に現れる暗号プリミティブがパスワードを用いた暗号化、公開鍵暗号もしくはハッシュ関数であり、かつ当該暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である請求項1に記載の検証装置。
【請求項3】
前記認証のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性の検証項目は、
別のセッションにおいて繰り返し使用可能かつ秘密状態で登場した長期的で不完全な秘密情報を含むフロー上に現れる暗号プリミティブが共通鍵暗号、公開鍵暗号もしくはメッセージ認証コードスキームであること、である請求項1または請求項2に記載の検証装置。
【請求項4】
前記認証のプロトコルにおける鍵漏洩なりすまし攻撃に対する安全性の検証項目は、
前記認証の対象となる暗号プリミティブが公開鍵暗号もしくはディジタル署名スキームであり、かつ当該暗号プリミティブの引数が公開状態で初登場した一時的な公開情報、同じセッションにおいて以前に公開状態で登場した一時的な公開情報、秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報含んでいるか、または、
前記認証の対象となる暗号プリミティブがDiffie−Hellman族もしくはハッシュ関数であり、かつ当該暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である請求項1から請求項3のいずれかに記載の検証装置。
【請求項5】
前記鍵交換のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性の検証項目は、
別のセッションにおいて繰り返し使用可能かつ秘密状態で登場した長期的で不完全な秘密情報を含むフロー上に現れる暗号プリミティブが共通鍵暗号、公開鍵暗号もしくはメッセージ認証コードスキームであること、である請求項1から請求項4のいずれかに記載の検証装置。
【請求項6】
前記鍵交換のプロトコルにおける未知鍵共有攻撃に対する安全性の検証項目は、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが共通鍵暗号、パスワードを用いた暗号化、ディジタル署名スキームもしくはメッセージ認証コードスキームであり、かつ当該暗号プリミティブの引数が別のセッションにおいて繰り返し使用可能かつ公開状態で登場した特定公開情報、および公開状態で初登場した一時的な公開情報、同じセッションにおいて以前に公開状態で登場した一時的な公開情報、秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが公開鍵暗号もしくはハッシュ関数であり、かつ当該暗号プリミティブの引数が別のセッションにおいて繰り返し使用可能かつ公開状態で登場した特定公開情報、および秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブの引数に含まれる暗号プリミティブが共通鍵暗号、パスワードを用いた暗号化、ディジタル署名スキームもしくはメッセージ認証コードスキームであり、かつ当該引数に含まれる暗号プリミティブの引数が別のセッションにおいて繰り返し使用可能かつ公開状態で登場した特定公開情報、および公開状態で初登場した一時的な公開情報、同じセッションにおいて以前に公開状態で登場した一時的な公開情報、秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブの引数に含まれる暗号プリミティブが公開鍵暗号もしくはハッシュ関数であり、かつ当該引数に含まれる暗号プリミティブの引数が別のセッションにおいて繰り返し使用可能かつ公開状態で登場した特定公開情報、および秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である請求項1から請求項5のいずれかに記載の検証装置。
【請求項7】
前記鍵交換のプロトコルにおける強前方秘匿性(strong forward secrecy)の検証項目は、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが公開鍵暗号、Diffie−Hellman族、ハッシュ関数もしくはメッセージ認証コードスキームであり、かつ当該暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブがハッシュ関数もしくはメッセージ認証コードスキームであり、かつ前記プロトコルにおける鍵生成対象となる暗号プリミティブの引数に含まれる暗号プリミティブがDiffie−Hellman族であり、かつ当該引数に含まれる暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である請求項1から請求項6のいずれかに記載の検証装置。
【請求項8】
前記鍵交換のプロトコルにおける弱後方秘匿性(weak backward secrecy)の検証項目は、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが公開鍵暗号、Diffie−Hellman族、ハッシュ関数もしくはメッセージ認証コードスキームであり、かつ当該暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいるか、または、
前記プロトコルにおける鍵生成対象となる暗号プリミティブが共通鍵暗号、パスワードを用いた暗号化、公開鍵暗号、ハッシュ関数もしくはメッセージ認証コードスキームであり、かつ前記プロトコルにおける鍵生成対象となる暗号プリミティブの引数に含まれる暗号プリミティブがDiffie−Hellman族であり、かつ当該引数に含まれる暗号プリミティブの引数が秘密状態で初登場した一時的な秘密情報もしくは同じセッションにおいて以前に秘密状態で登場した一時的な秘密情報を含んでいること、である請求項1から請求項7のいずれかに記載の検証装置。
【請求項9】
コンピュータが認証または鍵交換のプロトコルの安全性を検証する検証方法であって、
当該コンピュータは、前記認証のプロトコルにおけるオフライン辞書攻撃に対する安全性、検出不可能なオンライン辞書攻撃に対する安全性および鍵漏洩なりすまし攻撃に対する安全性のそれぞれの要件を満たすための検証項目と、前記鍵交換のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性、未知鍵共有攻撃に対する安全性、強前方秘匿性(strong forward secrecy)および弱後方秘匿性(weak backward secrecy)のそれぞれの要件を満たすための検証項目と、を記憶する記憶部を備え、
前記プロトコルにおいて使用されている暗号プリミティブの種類を設定する種類設定ステップと、
前記種類設定ステップにより種類が設定された暗号プリミティブの役割を設定する役割設定ステップと、
前記プロトコルにおけるフローデータの種類と状態、または暗号プリミティブの引数の種類と状態とを設定するデータ設定ステップと、
要求に応じて検証対象の安全性を選択する安全性選択ステップと、
前記安全性選択ステップにより選択された安全性それぞれに関する検証項目を前記記憶部から抽出し、前記暗号プリミティブの種類、役割および前記データ設定ステップにより設定されたデータに基づいて、当該検証項目を満足するか否かを判定する検証項目判定ステップと、
前記検証項目判定ステップにより前記選択された全ての安全性に関する検証項目を満足していると判定された場合に、前記プロトコルが安全であると判定する安全性判定ステップと、を含む検証方法。
【請求項10】
コンピュータに認証または鍵交換のプロトコルの安全性を検証させる検証プログラムであって、
当該コンピュータは、前記認証のプロトコルにおけるオフライン辞書攻撃に対する安全性、検出不可能なオンライン辞書攻撃に対する安全性および鍵漏洩なりすまし攻撃に対する安全性のそれぞれの要件を満たすための検証項目と、前記鍵交換のプロトコルにおける検出不可能なオンライン辞書攻撃に対する安全性、未知鍵共有攻撃に対する安全性、強前方秘匿性(strong forward secrecy)および弱後方秘匿性(weak backward secrecy)のそれぞれの要件を満たすための検証項目と、を記憶する記憶部を備え、
前記プロトコルにおいて使用されている暗号プリミティブの種類を設定する種類設定ステップと、
前記種類設定ステップにより種類が設定された暗号プリミティブの役割を設定する役割設定ステップと、
前記プロトコルにおけるフローデータの種類と状態、または暗号プリミティブの引数の種類と状態とを設定するデータ設定ステップと、
要求に応じて検証対象の安全性を選択する安全性選択ステップと、
前記安全性選択ステップにより選択された安全性それぞれに関する検証項目を前記記憶部から抽出し、前記暗号プリミティブの種類、役割および前記データ設定ステップにより設定されたデータに基づいて、当該検証項目を満足するか否かを判定する検証項目判定ステップと、
前記検証項目判定ステップにより前記選択された全ての安全性に関する検証項目を満足していると判定された場合に、前記プロトコルが安全であると判定する安全性判定ステップと、を実行させる検証プログラム。
【図1】
【図2】
【図2】
【公開番号】特開2011−4175(P2011−4175A)
【公開日】平成23年1月6日(2011.1.6)
【国際特許分類】
【出願番号】特願2009−145717(P2009−145717)
【出願日】平成21年6月18日(2009.6.18)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成23年1月6日(2011.1.6)
【国際特許分類】
【出願日】平成21年6月18日(2009.6.18)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]