Internet Infrastructure Review（IIR）Vol.31
2016年6月13日

3.4 共通鍵暗号の老朽化

TLS 1.1以前では、暗号文の形式は次の2つがあります。

• ストリーム暗号
• CBC（Cipher Block Chaining）モードのブロック暗号

ストリーム暗号として実質上唯一の選択肢であるRC4には、様々な攻撃方法が見つかっており、利用が禁止されています（RFC 7465）。

TLS 1.0以前のCBCモードのブロック暗号に関しては、BEASTという攻撃方法が有名です。また、TLS 1.2以前のCBCモードのブロック暗号は、「MAC後暗号化」という手法を取っています。MAC（Message Authentication Code）とは、データが改ざんされてないことを保証したり、認証したりするための補助データです。「MAC後暗号化」では、平文からMACを生成し、平文とMACを連結した後に全体を暗号化します。「MAC後暗号化」には、パディングオラクル攻撃という攻撃手法が見つかっています。そのためRFC 7366では、「MAC後暗号化」の代わりに「暗号化後MAC」という書式を提案しています。

TLS 1.2では暗号文の第3の形式として、AEAD（AuthenticatedEncryption with Associated Data）が定められました。AEADとは、暗号化と認証を同時に実行する方式です。現在では、ストリーム暗号とCBCモードのブロック暗号ではなく、AEADを利用することが推奨されています。AEADで利用できる共通鍵暗号のモードは、次のとおりです。

• AESのGCM（Galois/Counter Model）モード
• AESのCCM（Counter with CBC-MAC）モード

TLS 1.3では、ストリーム暗号やCBCモードのブロック暗号の書式は削られ、AEADのみが定義されています。