情報セキュリティマネジメント試験 科目A キーワード集 > CRYPTREC
目次
概要 詳細(推奨暗号リスト・危殆化) 活用と関連 関連例 試験での問われ方
概要
CRYPTREC(Cryptography Research and Evaluation Committees) とは、暗号技術の安全性を評価・監視し、安全に利用できる暗号を「電子政府推奨暗号リスト」として公表する日本のプロジェクト です。総務省・経済産業省、NISC、IPA、NICTなどが連携して運営しています。
暗号は時間の経過や計算機の進歩で安全性が低下します(危殆化(きたいか) )。CRYPTRECは、どの暗号が今も安全に使えるかを継続的にチェックし、政府機関などが安心して使える暗号を示す役割を担っています。
詳細(推奨暗号リスト・危殆化)
電子政府推奨暗号リスト :安全性と実績が確認され、政府が利用を推奨する暗号の一覧(AES 、RSA 、SHA-256などが含まれる)。推奨候補暗号リスト/運用監視暗号リスト :候補や、互換性のため当面容認されるが推奨されない暗号など、段階的に分類される。暗号の危殆化 :計算能力の向上や攻撃手法の進歩で、かつて安全だった暗号(MD5、DESなど)が安全でなくなること。リストはこれに対応して更新される。
CRYPTRECのキーワードは「暗号技術の安全性を評価 」「電子政府推奨暗号リスト 」。暗号が時間とともに弱くなる「危殆化 」に対応して、安全な暗号を示し続ける役割である点が頻出です。
活用と関連
政府機関の調達や、安全なシステム設計の際に、推奨暗号リストが参照される。
企業も、自社システムで使う暗号アルゴリズムの選定にあたって参考にできる。
危殆化した暗号(MD5・SHA-1・DESなど)は使わず、推奨される暗号(AES・SHA-256等)へ移行する。
関連例
かつて広く使われたハッシュ関数MD5や暗号DESは、安全性の低下(危殆化)により非推奨となり、より強固なSHA-256 やAES への移行が進められました。こうした移行の指針として、CRYPTRECの評価・リストが活用されています。
試験での問われ方
「安全な暗号技術を評価し推奨暗号リストを公表するものはどれか」→ CRYPTREC。
「暗号が時間とともに安全でなくなることを何というか」→ 危殆化。