---
type: article
title: RSAとNSAとの秘密契約疑惑で揺らぐ暗号システム評価
timestamp: 2013-12-23T00:00:00Z
profile: sorane-okf/0.1
noFontEmbedding: true
---

# RSAとNSAとの秘密契約疑惑で揺らぐ暗号システム評価

<p><a class="keyword" href="http://d.hatena.ne.jp/keyword/RSA">RSA</a>といえば代表的な<a class="keyword" href="http://d.hatena.ne.jp/keyword/%B8%F8%B3%AB%B8%B0%B0%C5%B9%E6">公開鍵暗号</a><a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%A2%A5%EB%A5%B4%A5%EA%A5%BA%A5%E0">アルゴリズム</a>で、作者が暗号を商用化するために設立した会社の社名でもある。その老舗が<a class="keyword" href="http://d.hatena.ne.jp/keyword/NSA">NSA</a>から1000万ドルを受け取って、同社の暗号ツールキットBSafeで、<a class="keyword" href="http://d.hatena.ne.jp/keyword/NSA">NSA</a>が開発した<a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%D0%A5%C3%A5%AF%A5%C9%A5%A2">バックドア</a>を含む<a class="keyword" href="http://d.hatena.ne.jp/keyword/%B5%BC%BB%F7%CD%F0%BF%F4">擬似乱数</a>生成器Dual Elliptic Curveを標準設定にしたと<a href="http://www.reuters.com/article/2013/12/20/us-usa-security-rsa-idUSBRE9BJ1C220131220">&#x30ED;&#x30A4;&#x30BF;&#x30FC;&#x304C;&#x5831;&#x3058;&#x305F;</a>。事実であれば<a class="keyword" href="http://d.hatena.ne.jp/keyword/RSA">RSA</a>やBSafeのブランドだけでなく、Dual_EC_DRBGをSP 800-90Aとして標準化したNISTへの信頼も揺らぐ。</p>
<blockquote cite="http://jp.techcrunch.com/2013/12/21/20131220nsa-reportedly-paid-a-security-firm-millions-to-ship-deliberately-flawed-encryption-technology/" title="NSAは、セキュリティー会社に金を払って欠陥暗号化アルゴリズムを使わせていた（ロイター） | TechCrunch Japan"><p>ある<a class="keyword" href="http://d.hatena.ne.jp/keyword/NSA">NSA</a>メモは、大胆にもその進捗状況についてこう書いている。「暗号解読機能がオンラインで使えるようになった。これでこれまで捨てられていた大量の暗号化インターネットデータを活用できる」 (略) Reuterが<a class="keyword" href="http://d.hatena.ne.jp/keyword/NSA">NSA</a>は<a class="keyword" href="http://d.hatena.ne.jp/keyword/RSA">RSA</a>に1000万ドル払って欠陥<a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%A2%A5%EB%A5%B4%A5%EA%A5%BA%A5%E0">アルゴリズム</a>を使わせたと暴露したことによって話は変わってきた。<a class="keyword" href="http://d.hatena.ne.jp/keyword/NSA">NSA</a>がある種の邪悪な黒幕で、人気のセキュリティー標準を陳腐化しようと必死になっている、と思われていたものが、実は金を使って企業に侵入していたのだから。</p>
</blockquote>

<p>報道からは実際どれだけ多くの製品がBSafeを組み込み、デフォルト設定通りDual_EC_DRBGを使っていたのかなど分からない点は多い。不適切な乱数が暗号システムの<a class="keyword" href="http://d.hatena.ne.jp/keyword/%C0%C8%BC%E5%C0%AD">脆弱性</a>となることは広く知られているが、専門機関でさえ気付けない欠陥を乱数生成器に仕込むだけで、どこまで暗号解読が容易になったかも気になる。<br />
問題は<a class="keyword" href="http://d.hatena.ne.jp/keyword/RSA">RSA</a>のBSafeだけでなく、中立的な機関として数多くの暗号<a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%A2%A5%EB%A5%B4%A5%EA%A5%BA%A5%E0">アルゴリズム</a>を評価・標準化してきたNISTがDual_EC_DRBGにお墨付きを与えてしまい、<a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%AA%A1%BC%A5%D7%A5%F3%A5%BD%A1%BC%A5%B9">オープンソース</a>で検証が容易であるはずのOpen <a class="keyword" href="http://d.hatena.ne.jp/keyword/SSL">SSL</a>までデフォルトではないが対応したことだ。<a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%AA%A1%BC%A5%D7%A5%F3%A5%BD%A1%BC%A5%B9">オープンソース</a>のメリットとして<a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%D0%A5%C3%A5%AF%A5%C9%A5%A2">バックドア</a>の有無を検証できるとする神話があるが、専門家による<a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%BD%A1%BC%A5%B9%A5%B3%A1%BC%A5%C9">ソースコード</a>・レビューだけでは<a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%D0%A5%C3%A5%AF%A5%C9%A5%A2">バックドア</a>の存在に気づけると限らないことも明らかになった。<br />
BSafe以外に対しても<a class="keyword" href="http://d.hatena.ne.jp/keyword/NSA">NSA</a>が解読容易になるよう実装者にアプローチしてきたのではないかという疑惑もある。著名な<a class="keyword" href="http://d.hatena.ne.jp/keyword/Linux">Linux</a><a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%AB%A1%BC%A5%CD%A5%EB">カーネル</a><a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%CF%A5%C3%A5%AB%A1%BC">ハッカー</a>として知られる<a class="keyword" href="http://d.hatena.ne.jp/keyword/Google">Google</a>のTheodore Ts'oが9月にDual_EC_DRBGの<a class="keyword" href="http://d.hatena.ne.jp/keyword/%C0%C8%BC%E5%C0%AD">脆弱性</a>が明らかになった際<a href="https://plus.google.com/+TheodoreTso/posts/SDcoemc9V3J">&#x300C;&#x30A4;&#x30F3;&#x30C6;&#x30EB;&#x306E;&#x30A8;&#x30F3;&#x30B8;&#x30CB;&#x30A2;&#x9054;&#x304B;&#x3089;&#x306E; /dev/random &#x304C;RDRAND&#x547D;&#x4EE4;&#x3060;&#x3051;&#x306B;&#x4F9D;&#x5B58;&#x306B;&#x3059;&#x3079;&#x304D;&#x3060;&#x3068;&#x3044;&#x3046;&#x5727;&#x529B;&#x306B;&#x62B5;&#x6297;&#x3057;&#x305F;&#x3053;&#x3068;&#x3092;&#x8A87;&#x308A;&#x306B;&#x601D;&#x3046;&#x300D;</a>とコメントしているように、実装で<a class="keyword" href="http://d.hatena.ne.jp/keyword/%C0%C8%BC%E5%C0%AD">脆弱性</a>のある命令のみに依存するよう複数の働きかけがあったようだ。<br />
<a class="keyword" href="http://d.hatena.ne.jp/keyword/Microsoft">Microsoft</a> Researchの研究者は2007年にDual_EC_DRBGの<a class="keyword" href="http://d.hatena.ne.jp/keyword/%C0%C8%BC%E5%C0%AD">脆弱性</a>に気づいて<a href="http://rump2007.cr.yp.to/15-shumow.pdf">&#x5B66;&#x4F1A;&#x3067;&#x975E;&#x516C;&#x5F0F;&#x306B;&#x30D7;&#x30EC;&#x30BC;&#x30F3;</a>し、<a class="keyword" href="http://d.hatena.ne.jp/keyword/Windows%20Server%202008">Windows Server 2008</a>から対応したもののデフォルト設定にはしなかった。2007年末に<a href="http://msdn.microsoft.com/en-us/library/windows/desktop/aa375534(v=vs.85).aspx">Windows&#x306E;Cryptography API&#x306E;&#x30DA;&#x30FC;&#x30B8;</a>で「<a href="https://www.schneier.com/essay-198.html">Bruce Schneier&#x306E;&#x5206;&#x6790;</a>を読んで欲しい」という指摘に対して「NIST標準だから対応したけどデフォルトでは使ってないよ。個々の<a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%D7%A5%ED%A5%B0%A5%E9%A5%DE%A1%BC">プログラマー</a>が自分で分析してオプション機能を使うか決めたらいい」と回答したやりとりが残っている。<br />
NISTはDual_EC_DRBGに限らず様々な暗号<a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%A2%A5%EB%A5%B4%A5%EA%A5%BA%A5%E0">アルゴリズム</a>を標準化している。現在主流のブロック暗号AESや<a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%CF%A5%C3%A5%B7%A5%E5%B4%D8%BF%F4">ハッシュ関数</a>SHA-2もNISTが標準化したものだ。今後、疑惑が更に広がる可能性はあるのだろうか？仮に一連の策謀が9.11を受けたものであれば、それ以前に標準化されたAESやSHA-2に<a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%D0%A5%C3%A5%AF%A5%C9%A5%A2">バックドア</a>が仕込まれた可能性は低い。あらゆる暗号システムを危殆化させるために乱数の標準化を標的としたのだとしたら賢い戦略だ。NISTの担当者がDual_EC_DRBGの問題を知った上で国家安全保障を目的に標準化したのか、たまたま審査をすり抜けてしまったかによって再発防止策は変わってくる。<br />
<a class="keyword" href="http://d.hatena.ne.jp/keyword/RSA">RSA</a>がどういった名目で<a class="keyword" href="http://d.hatena.ne.jp/keyword/NSA">NSA</a>から資金を受け取ったのか、その時期も気になる。<a class="keyword" href="http://d.hatena.ne.jp/keyword/RSA">RSA</a>は<a href="http://blogs.rsa.com/news-media-2/rsa-response/">2004&#x5E74;&#x304B;&#x3089;BSafe&#x3067;Dual_EC_DRBG&#x3092;&#x30C7;&#x30D5;&#x30A9;&#x30EB;&#x30C8;&#x8A2D;&#x5B9A;&#x3068;&#x3057;&#x3066;&#x63A1;&#x7528;&#x3057;&#x305F;&#x3068;&#x767A;&#x8868;</a>した。ロイターの記事によると技術者は蚊帳の外で専ら経営陣によって<a class="keyword" href="http://d.hatena.ne.jp/keyword/NSA">NSA</a>との契約が進められたと元従業員が証言している。BSafeがNISTによる標準化の前から<a class="keyword" href="http://d.hatena.ne.jp/keyword/NSA">NSA</a>の開発した<a class="keyword" href="http://d.hatena.ne.jp/keyword/%B5%BC%BB%F7%CD%F0%BF%F4">擬似乱数</a>生成器をデフォルト設定で採用したことはOpen <a class="keyword" href="http://d.hatena.ne.jp/keyword/SSL">SSL</a>や<a class="keyword" href="http://d.hatena.ne.jp/keyword/Windows">Windows</a>、<a class="keyword" href="http://d.hatena.ne.jp/keyword/Linux">Linux</a>の対応と比べても突出しており、暗号屋の<a class="keyword" href="http://d.hatena.ne.jp/keyword/NSA">NSA</a>に対する不信感を考えれば極めて不自然だ。<a href="http://www.itnews.com.au/News/368285,rsa-paid-10m-by-nsa-for-encryption-backdoor.aspx">RSA&#x306F;&#x4ECA;&#x65E5;&#x306B;&#x306A;&#x3063;&#x3066;NSA&#x3068;&#x306E;&#x79D8;&#x5BC6;&#x5951;&#x7D04;&#x3092;&#x5426;&#x5B9A;</a>しているが、BSafeでDual_EC_DRBGをデフォルト設定した経緯について納得いく説明はまだない。<br />
いずれにしても今後の暗号<a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%A2%A5%EB%A5%B4%A5%EA%A5%BA%A5%E0">アルゴリズム</a>評価で、NISTはこれまで以上に高い透明性を求められる。<a class="keyword" href="http://d.hatena.ne.jp/keyword/RSA">RSA</a>に限らず実装者も暗号周りの仕様変更に関しては丁寧な説明が求められる。2007年には専門家の間でDual_EC_DRBGの<a class="keyword" href="http://d.hatena.ne.jp/keyword/%C0%C8%BC%E5%C0%AD">脆弱性</a>について指摘されていたことを教訓にすると、<a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%D7%A5%ED%A5%B0%A5%E9%A5%DE%A1%BC">プログラマー</a>は暗号ツールキットを扱う際にデフォルト設定に頼らず個々のオプションの安全性について情報収集した方が良い。</p>