Forward secrecy

forward secrecy（perfect forward secrecy、略りゃくしてFSあるいはPFSとも呼よばれる^[1]。日本語にほんごで前方ぜんぽう秘匿ひとく性せいとも^[2]）は、長期ちょうき的てきな鍵かぎ対たいからセッションキーを生成せいせいした際さいに、のちに長期ちょうき鍵かぎの安全あんぜん性せいが破やぶれたとしてもセッションキーの安全あんぜん性せいが保たもたれるという、鍵かぎ交換こうかんプロトコル（英語えいご版ばん）の持もつ性質せいしつである。この特性とくせいを守まもるためには、データを暗号あんごう化かするための鍵かぎから別べつの鍵かぎを生成せいせいしてはならないし、そしてデータを暗号あんごう化かする鍵かぎの素材そざいとなる秘密ひみつは一いち度どだけの使つかい捨すてにしなければならない。そうすることで、1つの鍵かぎが破やぶれたとしても被害ひがいがほかの鍵かぎに及およばないようになる。

概要がいよう[編集へんしゅう]

インターネットへの盗聴とうちょうが懸念けねんされる中なか、たとえ秘密ひみつ鍵かぎが判明はんめいしたとしてもそれだけでは解読かいどくできないForward secrecyに注目ちゅうもくが集あつまり^[3]、2014年ねんには実際じっさいに秘密ひみつ鍵かぎが漏洩ろうえいしうるバグであるハートブリード（英語えいご: Heartbleed）が発見はっけんされた結果けっか、その傾向けいこうがさらに強つよまっている^[4]。ただし、適切てきせつでない設定せっていにより、かえって安全あんぜん性せいを下さげている事例じれいも存在そんざいする（後述こうじゅつ）。

歴史れきし[編集へんしゅう]

Forward secrecyは、Whitfield Diffie、Paul van Oorschot、Michael James Wienerによって作つくられた概念がいねんであり、Station-to-Station protocol（英語えいご版ばん） (STS)の持もつ性質せいしつを示しめすために使つかわれたが、このSTSでは長期間ちょうきかん保持ほじされる秘密ひみつは秘密ひみつ鍵かぎである^[5]。

この語かたりはまた、パスワード認証にんしょう鍵かぎ共有きょうゆう（英語えいご版ばん）が同様どうように持もつ性質せいしつ（ここでの長期ちょうき的てきな秘密ひみつは共有きょうゆうしたパスワード）を表あらわすためにも使つかわれた^[6]。

IEEE 1363-2000のAnnex D.5.1では、各種かくしゅの鍵かぎ共有きょうゆうプロトコルについて、forward secrecyの性質せいしつを議論ぎろんしている。

Perfect forward secrecy[編集へんしゅう]

forward secrecyの中なかでも、以下いかの条件じょうけんを満みたすものはperfect forward secrecyと呼よばれる。^{[要よう出典しゅってん]}

鍵かぎ合意ごういのために公開こうかい可能かのうな、ランダムな値ねを使つかう。
鍵かぎ合意ごういの過程かていで決定的けっていてきなアルゴリズムを一切いっさい使つかわない。

これらの条件じょうけんを満みたす場合ばあい、1つのメッセージが危殆きたい化かしたとしてもそれが他たに及およぶことはなく、また、これ1つで複数ふくすうのメッセージを解読かいどく可能かのうな秘密ひみつ情報じょうほうも存在そんざいしない。

「perfect」と付ついているが、これはワンタイムパッドのような完全かんぜん暗号あんごうとは別べつの概念がいねんである。

攻撃こうげき法ほう[編集へんしゅう]

forward secrecyは秘密ひみつ鍵かぎの危殆きたい化かからセッションキーを守まもることはできるが、セッションキーを使つかわずに1つのメッセージへ暗号あんごう解読かいどくを行おこなう試こころみに対たいしては無力むりょくである。また、実装じっそうによっては計算けいさん負荷ふかを軽減けいげんするためにセッションキーの再さい利用りようが行おこなわれており、不適切ふてきせつな設定せっていではforward secrecyの安全あんぜん性せいが脅おびやかされることとなる^[7]。また、2013年ねんに行おこなわれた調査ちょうさでは、DHEによりSSL上じょうでのforward secrecyを実装じっそうしていたサーバのうち実じつに82.9%で、DHのパラメータ長ちょうがRSAの鍵かぎ長ちょうより小ちいさくなっていた、すなわち総そう当あたり攻撃こうげきへの耐たい性せいを大おおきく下さげるような設定せっていとなっていたことが判明はんめいしている^[8]。

適用てきよう可能かのうなプロトコル[編集へんしゅう]

IPsecではオプションとなっている（RFC 2412）。
SSH
SSL/TLSにも適用てきよう可能かのうである（後述こうじゅつ）。

SSL/TLSにおけるforward secrecy[編集へんしゅう]

SSL 3.0時じ点てんでも、仕様しよう上じょうforward secrecyを実現じつげん可能かのうな暗号あんごうスイート（英語えいご版ばん）は存在そんざいしたのだが、実装じっそうがなされていない、あるいは暗号あんごう化か強度きょうどが弱よわすぎるなどの問題もんだいを抱かかえていた^[9]。

SSLでforward secrecyを実現じつげん可能かのうなアルゴリズムとして、ディフィー・ヘルマン鍵かぎ共有きょうゆう（DHE^{[* 1]}）と、それを楕円だえん曲線きょくせん暗号あんごうで実現じつげんした楕円だえん曲線きょくせんディフィー・ヘルマン鍵かぎ共有きょうゆう（ECDHE^{[* 1]}）が存在そんざいする^[7]。この2つのアルゴリズムについては、以下いかのような特徴とくちょう・実装じっそう上じょうの特性とくせいを持もつ。

DHE: RSAで署名しょめいされたサーバ証明しょうめい書しょと組くみ合あわせたDHE-RSA、およびDSAで署名しょめいされた証明しょうめい書しょと組くみ合あわせたDHE-DSSの2種類しゅるいがあるが、実じつ運用うんようにおいてサーバ側がわで使用しようされるのはDHE-RSAがほとんどであり、DHE-DSSが使用しようされることは少すくない。DHEを用もちいない場合ばあいと比較ひかくして計算けいさん負荷ふかが大おおきい^[7]^[10]。また、Internet Explorerは2014年ねん現在げんざいの最新さいしんであるWindows 8.1を含ふくむすべてのバージョンのWindowsにおいてDHE-DSSのみに対応たいおうしており、DHE-RSAは利用りようできなかった^[7]が、2014年ねん4月がつ8日にちリリースのパッチでWindows 8.1 / Server 2012 R2において^[11]、続つづく2014年ねん11月11日にちリリースのセキュリティパッチでWindows 7 / Server 20008 R2および8 / Server 2012において^[12]^[13]^[14]DHE-RSAに対応たいおうした（ただしAES-GCMとの組くみ合あわせのみ有効ゆうこう）。
ECDHE: RSAで署名しょめいされたサーバ証明しょうめい書しょと組くみ合あわせたECDHE-RSA、および楕円だえん曲線きょくせんDSAで署名しょめいされた証明しょうめい書しょと組くみ合あわせたECDHE-ECDSAの2種類しゅるいがあり、DHEとは異ことなりサーバ側がわでの実じつ運用うんようではどちらも使用しようされている。クライアント側がわでは、Mozilla製品せいひんで用もちいられているライブラリであるNetwork Security ServicesではFirefox 1.0リリースより前まえの2003年ねんにリリースされた3.8から^[15]^[16]、Internet Explorerにおいては2007年ねんにリリースされたWindows Vistaから^[17]ECDHEは実装じっそうされていたが、サーバ側がわのTLS/SSLライブラリとしてシェアの大おおきいOpenSSLにおいてTLS/SSL向むけに実装じっそうされたのは2010年ねんにリリースされた1.0から^[18]、GnuTLSでは2011年ねんにリリースされた3.0.0から^[19]と比較的ひかくてき最近さいきんのことである。ECDHE-RSAでは通常つうじょうのRSAと比くらべて負荷ふかは15%程度ていど増ます^[20]が、ECDHE-ECDSAではむしろforward secrecyなしのRSAより高速こうそく化かしうる^[10]。

実じつ運用うんようも徐々じょじょにではあるが普及ふきゅうしており、Googleでは、GmailやGoogle+などの自社じしゃサービスに対たいして、2011年ねん11月22日にち以降いこうforward secrecyを有効ゆうこうとしている^[21]^[18]ほか、Twitterでは2013年ねん11月に導入どうにゅうしている^[22]。2014年ねん7月がつ1日にちから、ウィキメディア財団ざいだんによって運営うんえいされるすべてのプロジェクトにおいてforward secrecyが有効ゆうこうとなった^[23]。2014年ねん5月がつ時点じてんでSTARTTLSを有効ゆうこうにしているメールサーバのうち74%でforward secrecyが有効ゆうこうとなっているという、facebook社しゃによる報告ほうこくもある^[24]。2016年ねん6月がつ時点じてんで、最新さいしんのウェブブラウザとの組くみ合あわせによってHTTPSのWebサイトのうち51.9%がforward secrecyを利用りよう可能かのうである^[25]。

脚注きゃくちゅう[編集へんしゅう]

注ちゅう[編集へんしゅう]

^ ^a ^b Eはephemeral（一時いちじ的てき）の略りゃくであり、forward secrecyを実現じつげんするためには鍵かぎが一時いちじ的てきである必要ひつようがある。

出典しゅってん[編集へんしゅう]

^ IEEE 1363-2000: IEEE Standard Specifications For Public Key Cryptography. Institute of Electrical and Electronics Engineers, 2000. http://grouper.ieee.org/groups/1363/
^ “TLSにおけるForward Secrecyの利用りように関かんする実証じっしょう的てき研究けんきゅう調査ちょうさ”. 日本にっぽんベリサイン株式会社かぶしきがいしゃ. 2014年ねん6月がつ12日にち閲覧えつらん。
^ Symantec (2013)、p.6。
^ Why the Web Needs Perfect Forward Secrecy More Than Ever 電子でんしフロンティア財団ざいだん、2014年ねん4月がつ8日にち（2014年ねん6月がつ12日にち閲覧えつらん）。
^ Diffie, Whitfield; van Oorschot, Paul C.; Wiener, Michael J. (June 1992). “Authentication and Authenticated Key Exchanges”. Designs, Codes and Cryptography 2 (2): 107–125. doi:10.1007/BF00124891 2013年ねん9月がつ7日にち閲覧えつらん。.
^ Jablon, David P. (October 1996). “Strong Password-Only Authenticated Key Exchange”. ACM Computer Communication Review 26 (5): 5–26. doi:10.1145/242896.242897 2013年ねん9月がつ7日にち閲覧えつらん。.
^ ^a ^b ^c ^d SSL Labs: Deploying Forward Secrecy クオリス、2013年ねん6月がつ25日にち（2014年ねん6月がつ12日にち閲覧えつらん）。
^ Symantec (2013)、p.9。
^ Discussion on the TLS mailing list in October 2007
^ ^a ^b Symantec (2013)、p.14。
^ Update adds new TLS cipher suites and changes cipher suite priorities in Windows 8.1 and Windows Server 2012 R2
^ “[MS14-066 SChannel の脆弱ぜいじゃく性せいにより、リモートでコードが実行じっこうされる (2014 年ねん 11 月がつ 11 日にち)]” (2014年ねん12月12日にち). 2014年ねん12月26日にち閲覧えつらん。
^ “Microsoft Security Bulletin MS14-066 - Critical (Section Update FAQ)”. Microsoft (2014年ねん11月11日にち). 2014年ねん12月26日にち閲覧えつらん。
^ Thomlinson, Matt (2014年ねん11月11日にち). “Hundreds of Millions of Microsoft Customers Now Benefit from Best-in-Class Encryption”. Microsoft Security. 2014年ねん12月26日にち閲覧えつらん。
^ “NSS 3.8 Release Notes” (2003年ねん4月がつ10日とおか). 2014年ねん6月がつ21日にち閲覧えつらん。
^ “Bug 195135 - Add support for Elliptic Curve Cryptography to NSS & SSL”. 2014年ねん6月がつ21日にち閲覧えつらん。
^ “TLS/SSL Cryptographic Enhancements”. 2014年ねん6月がつ21日にち閲覧えつらん。
^ ^a ^b “Protecting data for the long term with forward secrecy”. 2012年ねん11月5日にち閲覧えつらん。
^ “GnuTLS 3.0.0 released” (2011年ねん7月がつ29日にち). 2012年ねん11月5日にち閲覧えつらん。
^ Vincent Bernat. “SSL/TLS & Perfect Forward Secrecy”. 2012年ねん11月5日にち閲覧えつらん。
^ Google、GmailやGoogle+のセキュリティを強化きょうか　「forward secrecy」を採用さいよう　 ITmedia、2011年ねん11月24日にち（2014年ねん6月がつ12日にち閲覧えつらん）。
^ Hoffman-Andrews, Jacob. “Forward Secrecy at Twitter”. Twitter. Twitter. 2013年ねん11月25日にち閲覧えつらん。
^ “Tech/News/2014/27/ja - Meta”. Wikimedia Foundation (2014年ねん6月がつ30日にち). 2014年ねん6月がつ30日にち閲覧えつらん。
^ “The Current State of SMTP STARTTLS Deployment”. 2014年ねん6月がつ7日にち閲覧えつらん。
^ 2016年ねん6月がつ2日にち現在げんざい “SSL Pulse: Survey of the SSL Implementation of the Most Popular Web Sites”. 2016年ねん6月がつ18日にち閲覧えつらん。

参考さんこう文献ぶんけん[編集へんしゅう]

TLSにおけるForward Secrecyの利用りように関かんする実証じっしょう的てき研究けんきゅう調査ちょうさ (PDF) シマンテック、2013年ねん（2014年ねん6月がつ12日にち閲覧えつらん）。

外部がいぶリンク[編集へんしゅう]

RFC 2412 IETF, H. Orman. The OAKLEY Key Determination Protocol
Forward-secure-survey An overview
Forward Secrecy can block the NSA from secure web pages, but no one uses it Computerworld June 21, 2013
SSL: Intercepted today, decrypted tomorrow Netcraft June 25, 2013

[ephemeral-10] Eはephemeral（一時いちじ的てき）の略りゃくであり、forward secrecyを実現じつげんするためには鍵かぎが一時いちじ的てきである必要ひつようがある。

[1] IEEE 1363-2000: IEEE Standard Specifications For Public Key Cryptography. Institute of Electrical and Electronics Engineers, 2000. http://grouper.ieee.org/groups/1363/

[2] “TLSにおけるForward Secrecyの利用りように関かんする実証じっしょう的てき研究けんきゅう調査ちょうさ”. 日本にっぽんベリサイン株式会社かぶしきがいしゃ. 2014年ねん6月がつ12日にち閲覧えつらん。

[3] Symantec (2013)、p.6。

[eff2014-4] Why the Web Needs Perfect Forward Secrecy More Than Ever 電子でんしフロンティア財団ざいだん、2014年ねん4月がつ8日にち（2014年ねん6月がつ12日にち閲覧えつらん）。

[5] Diffie, Whitfield; van Oorschot, Paul C.; Wiener, Michael J. (June 1992). “Authentication and Authenticated Key Exchanges”. Designs, Codes and Cryptography 2 (2): 107–125. doi:10.1007/BF00124891 2013年ねん9月がつ7日にち閲覧えつらん。.

[6] Jablon, David P. (October 1996). “Strong Password-Only Authenticated Key Exchange”. ACM Computer Communication Review 26 (5): 5–26. doi:10.1145/242896.242897 2013年ねん9月がつ7日にち閲覧えつらん。.

[qualys-7] SSL Labs: Deploying Forward Secrecy クオリス、2013年ねん6月がつ25日にち（2014年ねん6月がつ12日にち閲覧えつらん）。

[8] Symantec (2013)、p.9。

[9] Discussion on the TLS mailing list in October 2007

[symantec14-11] Symantec (2013)、p.14。

[win8.1aesgcm-12] Update adds new TLS cipher suites and changes cipher suite priorities in Windows 8.1 and Windows Server 2012 R2

[13] “[MS14-066 SChannel の脆弱ぜいじゃく性せいにより、リモートでコードが実行じっこうされる (2014 年ねん 11 月がつ 11 日にち)]” (2014年ねん12月12日にち). 2014年ねん12月26日にち閲覧えつらん。

[ms14-066-14] “Microsoft Security Bulletin MS14-066 - Critical (Section Update FAQ)”. Microsoft (2014年ねん11月11日にち). 2014年ねん12月26日にち閲覧えつらん。

[20141111msblog-15] Thomlinson, Matt (2014年ねん11月11日にち). “Hundreds of Millions of Microsoft Customers Now Benefit from Best-in-Class Encryption”. Microsoft Security. 2014年ねん12月26日にち閲覧えつらん。

[16] “NSS 3.8 Release Notes” (2003年ねん4月がつ10日とおか). 2014年ねん6月がつ21日にち閲覧えつらん。

[17] “Bug 195135 - Add support for Elliptic Curve Cryptography to NSS & SSL”. 2014年ねん6月がつ21日にち閲覧えつらん。

[18] “TLS/SSL Cryptographic Enhancements”. 2014年ねん6月がつ21日にち閲覧えつらん。

[googleLongTerm-19] “Protecting data for the long term with forward secrecy”. 2012年ねん11月5日にち閲覧えつらん。

[20] “GnuTLS 3.0.0 released” (2011年ねん7月がつ29日にち). 2012年ねん11月5日にち閲覧えつらん。

[21] Vincent Bernat. “SSL/TLS & Perfect Forward Secrecy”. 2012年ねん11月5日にち閲覧えつらん。

[22] Google、GmailやGoogle+のセキュリティを強化きょうか　「forward secrecy」を採用さいよう　 ITmedia、2011年ねん11月24日にち（2014年ねん6月がつ12日にち閲覧えつらん）。

[23] Hoffman-Andrews, Jacob. “Forward Secrecy at Twitter”. Twitter. Twitter. 2013年ねん11月25日にち閲覧えつらん。

[24] “Tech/News/2014/27/ja - Meta”. Wikimedia Foundation (2014年ねん6月がつ30日にち). 2014年ねん6月がつ30日にち閲覧えつらん。

[25] “The Current State of SMTP STARTTLS Deployment”. 2014年ねん6月がつ7日にち閲覧えつらん。

[trustworthy_ssl_pulse-26] 2016年ねん6月がつ2日にち現在げんざい “SSL Pulse: Survey of the SSL Implementation of the Most Popular Web Sites”. 2016年ねん6月がつ18日にち閲覧えつらん。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[* 1]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]