※前編はこちら4 新たな研究開発成果 4.1 再暗号化鍵の偽造防止技術 再暗号化技術は、このように利便性とセキュリティを両立する暗号化技術として注目されて盛んに研究が行われており、これまでに多くの方式が提案されている。しかし既存の方式では、サービス管理者と不正な利用者が結託した場合、再暗号化鍵と秘密鍵から本来存在しないはずの再暗号化鍵を偽造できてしまうため、実用上十分な安全性を備えているとは言えなかった(図 7)。 そこでわれわれは、サービス管理者と不正な利用者が結託しても再暗号化鍵を偽造できない新たな再暗号化方式を開発した(3)。従来の再暗号化方式では、鍵漏えいが起こってしまった場合、意図しないメンバー向けの再暗号化鍵を生成可能となり、不正なメンバーがデータ共有できてしまうという問題があった。新たに開発した方式は、再暗号化鍵の偽造防止技術によりこの問題を解決する。更に、この方式は再暗号化鍵に有効期限を指定できるように拡張可能である。 4.2 サービス提供形態の検討 再暗号化技術を既存のWebサービスに適用する場合、利用者にとっては導入の手間がかからず使い勝手も変わらないこと、Webサービス開発者にとっては既存サービスへの機能追加が容易であることの二つの要件が重要になる。 一つ目の要件を満たすためには、Webブラウザのプラグインを利用する方法が考えられる。プラグインにより利用者のパソコンにクライアントソフトウェアをインストールする必要がなくなり、導入が容易なサービスとして提供できる。また、暗号化と復号や、再暗号化鍵生成の処理をプラグインに自動実行させることで、既存のWebサービスの使い勝手を変えずに再暗号化機能を提供できる。更に、鍵生成をプラグインで実行させることで、暗号化機能をシステムへ導入する際に問題となりがちな鍵生成と配付の問題も解決できる。 二つ目の要件を満たすためには、図8に示すように再暗号化サービスを一つのクラウドサービスとして提供する方法が考えられる。このサービスをREST(Representational State Transfer)などの汎用的なAPI(Application Programming Interface)として提供すれば、既存のWebサービスと連携して再暗号化機能を追加することが容易になる。 4.3 システムの試作結果と評価 これまでの検討を踏まえ、東芝ソリューション(株)は、4.1 節 で述べた新たな再暗号化方式(3)のライブラリ、JavaTM(注 1)アプ レットのプラグイン、REST APIを持つ再暗号化サービス、及 びクラウドストレージとしてAmazon S3を利用するファイル共有 サービスを試作した。 その結果、この構成でシステム構築が可能であり、処理時間も実用的と言えることを確認した。ライブラリの処理時間を表1に示す。データのアップロードとダウンロード処理時間のオーバヘッド(注 2)はそれぞれ約0.12sと0.35sである。この処理時間は、データ本体をAES(Advanced Encryption Standard)などの高速な暗号化方式で暗号化してその鍵を再暗号化方式で暗号化するという、ハイブリッド暗号化と呼ばれる手法を利用すれば、データサイズには依存しない。 例えば、メール添付が困難なファイルをクラウドストレージ上で共有するなど、数十から数百Mバイトといったサイズの大容量ファイルを共有する場合には、データ送受信自体に数秒から数十秒かかる。前記の処理時間のオーバヘッドはこれに比べて十分に小さく、したがって今回試作したシステムは実用的であると言える。また、再暗号化サービスに処理能力の高いサーバを利用することで処理時間の短縮が可能であり、ライブラリのチューンアップによる高速化も見込める。このため、サイズが小さくデータの送受信時間が短いファイルを扱う場合でも、実用的なサービスとして提供可能になると考える。5 あとがき 再暗号化技術について、既存方式の技術的課題を解決する 新しい方式を開発した。更に、クラウドサービス上でのデータ 共有への適用の検討、運用上の課題抽出とその解決、サービ ス提供形態の検討、及び開発した方式のライブラリとシステム の試作実装による実現性と実用性の検証を行った。これによ り、再暗号化技術の実用化に向けた課題を解決した。 今後は、再暗号化技術の具体的な適用先について詳細な検討を進めていく。ここでは、典型的な適用例としてクラウドストレージを取り上げて述べたが、コンテンツ保護や暗号化メールなど、それ以外の適用先についても幅広く視野に入れて考えている。クラウドサービス利用に伴うセキュリティの見直しを行っている企業は多く、その対策として暗号化を導入済み、又は検討中の企業も多い。それらの企業に向け、広く再暗号化技術の展開を図っていく。■執筆者(敬称略)・吉田 琢也 YOSHIDA Takuya, D.Eng.東芝ソリューション(株)技術統括部 商品・技術推進部シリコ ンバレー事務所長、工博。情報セキュリティ技術の研究・開発 に従事。電子情報通信学会会員。Toshiba Solutions Corp.・松下 達之 MATSUSHITA Tatsuyuki, Ph.D.研究開発センター コンピュータアーキテクチャ・セキュリティラボラトリー、博士(情報理工学)。 情報セキュリティ技術の研究・開発に従事。IEEE、電子情報通信学会会員。 Computer Architecture & Security Systems Lab.※本記事は株式会社東芝より許可を得て、同社の発行する「東芝レビュー」Vol.66 No.11(2011)収録の論文を転載したものである。
