【要点抽出】CRYPTREC暗号リスト

3月30日にCRYPTREC暗号リストの最新版が公開されました。
10年毎の大規模見直しの3回目で、何が変わったのか見ていきます。

https://www.cryptrec.go.jp/list.html

何の本？

そもそもCRYPTRECとは「Cryptography Research and Evaluation Committees」の略称で、
暗号技術検討会(by デジタル庁・総務省・経済産業省）
暗号技術評価委員会(by NICT・IPA）
暗号技術活用委員会(by NICT・IPA）
をまとめてこんな名前で呼んでいるようです。

そんなややこしい組織が研究した「安心して使える暗号技術とそうではなくなってしまった暗号技術のリスト」がCRYPTREC暗号リストです。
正式な名称は「電子政府における調達のために参照すべき暗号のリスト」
なので、本来は政府関連システム向けに使われるドキュメントですが、民間でも参照している組織は多いと思います。

元々2003年に作ったものを10年おきに大きく見直しており、今回はバージョン3的な位置づけと理解しています。

構成は？

3つのリストで構成されています。

• 電子政府推奨暗号リスト：使っていいよリスト

• 推奨候補暗号リスト：なんかよさそうだけどまだ評価中リスト

• 運用監視暗号リスト：もう使うのやめとけリスト

今回の変更点

10年おきに大きく見直しと書いたものの、その間にもマイナーチェンジは繰り返しているようです。
よって、今回は2013年版ではなく、その2013年版をマイナーチェンジした最終版である2023年3月8日版と、今回のバージョン3的な2023年3月30日を比較しました。

電子政府推奨暗号リスト

以下が推奨候補暗号リストから格上げされました。

• 公開鍵暗号・署名にEdDSAが追加

• ハッシュ関数にSHA-512/256、SHA3-256、SHA3-384、SHA3-512、SHAKE128、SHAKE256が追加

• 暗号利用モード・秘匿モードにXTSが追加

• 認証暗号にChaCha20-Poly1305が追加

• エンティティ認証にISO/IEC 9798-4が追加（前回は推奨候補暗号リストに記載されていた）

推奨候補暗号リスト

電子政府推奨暗号リストに格上げされたことによる削除のみで、新規追加はないようです。

運用監視暗号リスト

変更はありませんでした。

おわりに

実は本リストは単体では不十分で、もう一冊ある「暗号強度要件（アルゴリズム及び鍵長選択）に関する設定基準」とセットで読む必要があります。
次回はこちらを要点抽出します。

＊＊＊はじめての方へ＊＊＊
これは何のnoteだ？と思われた方はこちらをご覧ください。