暗号アジリティ
暗号アジリティ とは何ですか?
暗号アジリティ脅威や標準が変化した際に、暗号アルゴリズム、パラメータ、鍵を迅速かつ安全に差し替えられるシステムの性質。
暗号アジリティ(crypto agility)は、アプリケーションコードを書き直したり相互運用性を損なったりせずに、アルゴリズム、鍵長、証明書種別、プロトコルを更新できるようシステムを設計する原則です。実現手段としてはアルゴリズム識別子とネゴシエーション(TLS の暗号スイートや JOSE の alg パラメータなど)、PKCS#11 や KMS インターフェースといった抽象レイヤ、構成可能な暗号ライブラリ、ACME による証明書ライフサイクル自動化、暗号使用箇所のインベントリ管理が挙げられます。SHA-1、RSA-1024、3DES の廃止により重要性が高まり、現在は NIST や各国機関が求めるポスト量子暗号への移行の前提条件となっています。アジリティが欠如すると、アルゴリズム破綻が数年がかりの改修につながります。
● 例
- 01
設定変更のみで X25519+ML-KEM のハイブリッド鍵交換を展開できる TLS サーバー。
- 02
ベンダー更新後、コード署名パイプラインで RSA-PSS を ML-DSA へ置き換える。
● よくある質問
暗号アジリティ とは何ですか?
脅威や標準が変化した際に、暗号アルゴリズム、パラメータ、鍵を迅速かつ安全に差し替えられるシステムの性質。 サイバーセキュリティの 暗号 カテゴリに属します。
暗号アジリティ とはどういう意味ですか?
脅威や標準が変化した際に、暗号アルゴリズム、パラメータ、鍵を迅速かつ安全に差し替えられるシステムの性質。
暗号アジリティ はどのように機能しますか?
暗号アジリティ(crypto agility)は、アプリケーションコードを書き直したり相互運用性を損なったりせずに、アルゴリズム、鍵長、証明書種別、プロトコルを更新できるようシステムを設計する原則です。実現手段としてはアルゴリズム識別子とネゴシエーション(TLS の暗号スイートや JOSE の alg パラメータなど)、PKCS#11 や KMS インターフェースといった抽象レイヤ、構成可能な暗号ライブラリ、ACME による証明書ライフサイクル自動化、暗号使用箇所のインベントリ管理が挙げられます。SHA-1、RSA-1024、3DES の廃止により重要性が高まり、現在は NIST や各国機関が求めるポスト量子暗号への移行の前提条件となっています。アジリティが欠如すると、アルゴリズム破綻が数年がかりの改修につながります。
暗号アジリティ からどのように防御しますか?
暗号アジリティ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
暗号アジリティ の別名は何ですか?
一般的な別名: アルゴリズムアジリティ, クリプトアジリティ。
● 関連用語
- cryptography№ 846
耐量子暗号
古典計算機と大規模量子計算機の両方からの攻撃に耐えるよう設計された古典的な暗号アルゴリズム群。
- cryptography№ 465
ハーベスト・ナウ、デクリプト・レイター
攻撃者が現時点で暗号化された通信を記録しておき、暗号学的に有用な量子計算機が登場した後に解読する戦略。
- cryptography№ 589
鍵ローテーション
1 つの鍵で保護されるデータ量と漏洩時の影響範囲を抑えるため、暗号鍵を定期的に新しいものへ置き換える運用慣行。
- cryptography№ 246
暗号学的消去
ストレージ自体を上書きするのではなく、暗号鍵を安全に破棄することで暗号化データを回復不能にする手法。
- network-security№ 1159
TLS(トランスポート層セキュリティ)
IETF が標準化した暗号プロトコルで、ネットワーク上の 2 つのアプリケーション間の通信に機密性・完全性・認証を提供する。
● 関連項目
- № 891量子鍵配送(QKD)
- № 086BB84 プロトコル