• ホーム
• 情報セキュリティ
• 暗号技術

TLS/SSL 暗号スイート

TLS/SSL では，ハンドシェイクプロトコルによってサーバとクライアントの双方が利用可能な暗号アルゴリズムを決定します．利用する暗号アルゴリズムは，鍵交換方法（RSA, DHなど），共通鍵暗号アルゴリズム（AES, RC4 など）と暗号動作モード (CBC，GCM など) ，およびハッシュ関数（MD5, SHA1 など）の組み合せで，暗号スイート (Cipher Suite) と呼ばれます．

TLS/SSL プロトコルにおいて，どの暗号スイートを使うかは通信の安全性に大きな影響を及ぼします．そのため，安全性が低い暗号スイートは使わないようにするなど，サーバおよびクライアントにおける適切な設定が必要です．

TLS における暗号スイートの検索がWebサイト TLS Ciphersuite Search で行えます．暗号強度の評価 (Weak, Secure, Recommended など) も示されています．

暗号アルゴリズム

TLS プロトコルの暗号スイートで用いられる主なアルゴリズムは以下です．TLS のバージョンにより使われるアルゴリズムは異なります．

• 鍵交換 (Kx)
  鍵交換方法には，公開鍵暗号を用いて鍵を暗号化して送る方法と Diffie-Hellman (DH) 法により共有鍵を生成する方法などがあります．
  • RSA
  • DH_RSA，DH_DSS
  • DHE_RSA，DHE_DSS
  • ECDH_RSA，ECDH_DSS，ECDH_ECDSA
  • ECDHE_RSA，ECDHE_DSS，ECDHE_ECDSA
  • PSK，PSK_RSA，DHE_PSK，ECDHE_PSK 　(PSK：Pre-Shared Key)
  • SRP，SRP_RSA，SRP_DSS 　(SRP：Secure Remote Password → SRP プロトコル)
  • DH_anon (*1)

  (*1) DH_anon は，認証しない匿名 DH 通信に用いられる．このモードは，中間者攻撃を受けるので，アプリケーション層が特別に匿名の鍵交換を許すような場合を除いて，用いられるべきではない（認証が必要のない状況下での暗号化や，他の認証手段もつより複雑なセキュリティプロトコルの一部として TLS を用いる場合など）

• 認証 (Au)
  ディジタル署名に使われるアルゴリズムです．
  • RSA
  • DSS
  • ECDSA, etc
• 暗号化 (Enc)
  共通鍵暗号アルゴリズム (および鍵長) と暗号動作モード (ブロック暗号の場合) の組合わせです．
  • 3DES_EDE_CBC
  • AES_128_CBC，AES_256_CBC，etc.
  • AES_128_GCM，AES_256_GCM，etc.
  • CAMELLIA_128_CBC，CAMELLIA_256_CBC，etc.
  • SEED_CBC，etc
  • RC4_128，etc
• ハッシュ（Mac）
  メッセージ認証(MAC) や鍵導出関数(KDF)に使われるハッシュ関数のアルゴリズムです．
  • SHA
  • SHA-256，SHA-384, SHA-512

TLS 暗号スイート

• TLS 1.2
  暗号アルゴリズムの組み合わせ（暗号スイート）は，

  TLS_[鍵交換］_［認証］_WITH_［暗号化］_［ハッシュ］

  の形式で表されます．例えば，鍵交換に ECDH，認証に ECDSA，暗号化に AES_128_CBC，ハッシュに SHA256 を利用する場合は，

  TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

  と表します．TLS に準拠したアプリケーションでは，最低でも暗号スイート

  TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

  を実装する必要があります．
  主な暗号スイートの例です．

     TLS_RSA_WITH_AES_128_CBC_SHA256
     TLS_RSA_PSK_WITH_AES_128_CBC_SHA256
     TLS_PSK_WITH_AES_128_CBC_SHA256
     TLS_DH_DSS_WITH_AES_128_CBC_SHA
     TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
     TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  

• TLS 1.3
  TLS 1.3 では，暗号スイートの定義方法が変更されています．鍵交換とサーバ認証が削除され，次のような組み合わせです．

  TLS_［認証付暗号］_［ハッシュ］

  鍵交換は key_share exntension，認証 (ディジタル署名) は signature_algorithms extension にてネゴシエーションされます．メッセージ認証の機能は認証付暗号に含まれるため，ハッシュは鍵導出関数 (KDF) 用に使われます．
  その他，以下のような変更があります．
  • 共通鍵暗号アルゴリズムでは，認証付暗号 (AEAD: Authenticated Encryption with Associated Data) を用いる．
  • 鍵導出関数は，HKDF (HMAC-based Extract-and-Expand Key Derivation Function) に変更された．
  • 鍵交換方法は，Forward security を持つものに限られる．
  • 鍵交換には 3つのモード (EC)DHE，PSK-only，PSK with (EC)DHE がある．
  • 楕円曲線暗号アルゴリズムが基本仕様となった．
  • ハッシュ関数は，SHA-256以上が規定され，SHA-256が必須となった．
  • 署名は，RSA-PSS，RSASSA-PKCS1-v1_5，ECDSAが必須となった．
  主な暗号スイートの例です．

     TLS_AES_128_GCM_SHA256
     TLS_AES_256_GCM_SHA384
     TLS_CHACHA20_POLY1305_SHA256
     TLS_AES_128_CCM_SHA256
     TLS_AES_128_CCM_8_SHA256
  

暗号スイートの選択

暗号スイートの選択に際しては，次の点を考慮する必要があります．

• 暗号アルゴリズムは，推奨されているものか（安全性に問題が指摘されていないこと）．
• 使用する鍵長は，十分安全性の高いものか．
• Forward security であるか否か．
• 各種サーバ，ブラウザで広くサポートされているか．
• サーバ/クライアントの認証の必要性
• 暗号化や復号のオーバーヘッドによりサーバの負荷が増大する．応答性能の低下に注意が必要になる．

TLS 暗号設定ガイドライン (CRYPTREC版) については，こちらを参照．

／