RSAに加えECC/DSA方式を提供
SSLサーバ証明書の暗号化方式は、「公開鍵」方式と「共通鍵」方式がある。「公開鍵」は実在する企業等のウェブサーバ運営団体に発行するものであり、「共通鍵」はウェブサーバとウェブブラウザの間で共通の鍵を持つという方式。従来SSL証明書で多く使われてきた暗号化方式は、「公開鍵」方式のRSAだ。これに加えて、今回日本ベリサインは、ECCとDSA方式のSSLサーバ証明書の提供を発表した。
記者会見で、日本ベリサインの上席部長である安達徹也氏は、「これまでのRSA方式が弱くなったわけではなく、今後も継続する。さらにセキュリティ強度を高めることとSSL通信のパフォーマンス工場を実現し、結果としてお客様のインフラ費用の削減のために、次世代暗号化アルゴリズムを導入する」と語った。また来日した米国シマンテックのリック アンドリューズ氏は、今回の導入の理由として、NIST(米国標準技術研究所)標準を強調した。米国政府は、増加するWebの攻撃や障害に対応やコンプライアンスのために、NIST標準への適応を推奨している。
鍵の長さがより短くしかも協力なECC
ECC方式の特長としては、RSAアルゴリズムよりも暗号の長さが短くなるため、CPU能力が大幅に軽減される一方、複雑な暗号化方式によりパフォーマンスが向上することだ。アンドリューズ氏によると、ECC256ビットは、RSA2048ビットよりも良いサーバパフォーマンスが得られ処理時間、サーバリソースを大幅に軽減し、クライアント(ブラウザ)側も応答時間が飛躍的に向上するという。
エンジニアリング
リック アンドリューズ
「ECCはパフォーマンスにすぐれているが、まだ対応プラットフォームが少ない。パフォーマンスに優れたECCと広く普及したRSAの2つのアルゴリズムを一つのサイトで共存させることを勧める。両者のハイブリッド環境の構成も可能だ」(アンドリューズ氏)
そのために、ベリサイン マネージドPKI for SSL(Enterprise向け)のユーザには、追加料金無しで提供するという。
またDSA方式は、RSAとは異なる数学アルゴリズムによる方式で、こちらはNSA(アメリカ国家安全保障局)によって開発されたもの。米国政府系ネットワークに納品されるシステムでは、導入が推奨される。こちらも追加料金無しで、SSLサーバ証明書ユーザーに提供されるという。
