誰も気づかない。 酷いのは2018年から間違っているのに誰もきづかない。まーそりゃ製品が増えないからね。MISTY1、SC2000（あとほかの幾つか）も開発したベンダの製品自体が登録されてないからね。標準化するのがゴールなの？ PVを増やすためにも、こちらか…

こんにちは。 CMVPでは、2017年2月1日より有効になったSunset Policyなるものがあります。これによってモジュールの認証の有効期間は5年間に縛られ、試験機関の確認、評価機関の検証なしには認証は無効となります。 これを受けて、2012年2月1日より前に認証…

気づいたら2019年で、前々記事で放置されっぱなしだと指摘した「承認されたセキュリティ機能」もだいぶ前に直されました。指摘有り難うございます、という謝辞は一切こなかったのだけが残念です。 そんな状況でも相変わらずK-Cipher2は一件もアルゴリズム確…

その暗号モジュールは大丈夫？を今更ながら読んでみました。変わり映えしないだろうから、と放置していたけど、こんなに素晴らしい資料だったなんて！！slide 2 ・暗号モジュールとは、「承認されたセキュリティ機能」をソフトウエア/ファームウエア/ハード…

どこぞのストリーム暗号の仕様が403になっていたので、ほかの承認されたセキュリティ機能についても調べなければ、と強く思いました。JCMVPのトップページは定期的に更新されているのにかかわらず、こちらのページは3年以上更新されていません。署名 1. DSA …

まったく気づかないうちにCRYPTREC Report 2016が公開されていました。（あまりにも周知されていないと思うけどなんなんだかね…）。 2.4節に「ChaCha20-Poly1305のCRYPTREC暗号リストへの追加を視野に入れた評価について」というのがあって少し混乱しました…

この前、アメリカに行く機会があり、昔のなじみだったFIPS 140-2試験機関の方とお話しできてなかなか楽しかったです。 今年は一個もモジュールが認証されなかったしね、と思ってトピックスをさっき見たら12月1日 暗号モジュール認証製品リストを更新しました…

コメントにも書きましたが、現在は、対象のページがリダイレクトされるようになっていて、製品情報とかが表示されるようになっています。ほかのURIでも試しましたが、普通に全体としてlabs.jpから-research.jpに転送されるようになっております。もし、一時…

JCMVPの最新情報を見ていると、セミナーをやりました、としかないのですが一向に認証された製品が増えない制度のセミナーをやって何か効果があるのでしょうか？理解できません。今のやり方でうまくいかないのならば方法を変えないとずっと変わらないかと思う…

いっこうに話が聞こえないFIPS 140-3ですが、様々な思惑があるかと思います。試験機関のなかでの主権争い、どこまでを要件化するのか、そしてメジャーなベンダー間での争いです。 一時期あった140-3のドラフトでは、DPA/SPAへの耐性も必須になる、ということ…

FIPS 140-2では、Security Levelが1から4まで定義されていて、4がもっとも高いです。このうち、ソフトウェアだけで構成されている暗号モジュールはレベル2までしか取得できません。そうすると、Level 1よりLevel 2の方が良いよねー、と思ってしまいがちです…

ソフトウェアライブラリで毎回頭を悩まされるのが、鍵生成のためのSEEDの確保です。HSMを初めとする、物理的な暗号モジュールの場合はTRNGのチップを用意することや、工場出荷時の段階でSEEDを書き込んでおいてそれを使用する、という逃げ道があるのですがソ…

むかし、むかし、あるところ*1にCMVPというものがありました。政府調達*2のための必須要件だったことも手伝い、その制度は大変に流行しました。ベンダーは競って自社の製品で認証を取得しました。そして、日出づる国もその制度を倣いました。 JCMVPの誕生で…

http://www.cryptrec.go.jp/report/c13_kentou_giji01_4.pdf を読んでいるとガッカリする。 2012 年度の暗号技術の利用状況に係る調査結 果からは、旧電子政府推奨暗号リスト策定から 10 年経過していたにもかかわらず、同リストに掲載さ れていた国産の暗号…

あけおめことよろです。最早誰もこの日記を見ているとは思いませんが、、、。さて、JCMVPのサイトを見ていてふと思った疑問について徒然と記します。 ECC関連の特許のライセンスについて 電子政府推奨暗号リストと承認されたセキュリティ機能の違いについて …

先日、鍵管理勉強会JNSA／第2回 鍵管理勉強会に参加する機会があったので、所感を以下に示します。なお、私人として参加しました。・鍵管理に関わる技術と制度の動向 特にコメントなし。綺麗にまとまっていました。 ・自動車におけるITセキュリティ コメント…

IPAと米国NISTとの合意に基づく初の暗号モジュール共同認証を完了、ということでおめでとうございます。 JCMVPでの認証取得のセキュリティポリシーの目次までは丸っきり日本の政府機関を意識していない内容になっているように見えるのは気のせいです。ほら、…

プレス発表IPAと米国NIST、暗号モジュール試験及び認証制度の共同認証で合意には正直驚きました。なぜなら、双方にとって全くメリットがないからです。 IPAの方はこれで本当にJCMVPが流行ると思っているのならよほど、脳内は花が咲き誇っているのだと思いま…

As long as the keys encrypted by the KEK are used for approved security functions, yes. If the KEK is used for non-approved security functions (e.g., DES Keys), no.

暗号モジュール試験及び認証制度における試行試験対象HSM製品の募集についてを見ているとJCMVPはHSMを評価したい、というよりもTurboMISTYを評価したいんじゃないかなぁ、と思ってしまいます。 1. なんで国産のHSMに限定するの？ HSMの大手であるnCipher（現…

FIPS 140-3のドラフトをちゃんと見てみたら、レベル1でも影響を受けそうな要件があって少し驚きです。EMI/EMCがなくなったのはどうでも良いのですが、起動時のセルフテストとFW更新時のセルフテストの要件はモジュールによってはとてもきついでしょう。 FIPS…

今年も一年が終わりそうですが、JCMVPにとってはまったくニュースがない一年でしたね。唯一、新しく暗号モジュール認証製品リストに名前を連ねたのは、PGPのSDKだけ。 民間企業だったらとっくにビジネスをやめよう、と話がでるはずなのですが、このまま続く…

というクソみたいな記事を昨日読んだのですが、書いた執筆者の会社でドライブの丸ごと暗号化の製品を提供しているじゃないの。自社の製品くらいしっかり把握しなさいよ。 HP Drive Encryptionだそうですよ。VistaではCドライブしか暗号化できないとか書いて…

6月30日以来何も更新がなく、CCよりもさらに立ち上げに失敗したJCMVPの話がないので、ITPROに載っていた記事について書こうと思います。ほら、記事中に出てくるbitlockerも一応FIPS 140-2の認証を取得しているしね！ ［Windows 7編］ドライブを丸ごと暗号化…

JCMVPのトップページからリンクされている情報セキュリティモジュールの認証製品利用に関するガイドライン（PDF）ですが、この内容を理解できる人は世の中に何人いるのでしょうか。。。 そもそも、レベル3からは製品の実装によって同じレベルであってもセキ…

永遠とFIPS 140-3は制定されませんが、個人的にはSP 800-131が今は熱いです。未だドラフトですが、SP 800-57よりも具体的にどのアルゴリズムのどの鍵長を何年まで使って良いか明記されていて、影響を受ける暗号モジュールが山ほどあるなー、と思いながら眺め…

乱数生成器に関する説明会の資料、14ページ目によると、鍵のライフサイクルは、 乱数生成->鍵生成->｛鍵の格納|鍵共有|鍵入出力|鍵配送｝->鍵のゼロ化 、となっていますが、乱数生成と鍵生成の違いって何でしょうか。ISO19790の「7.7.2鍵生成」では、 暗号モ…

新しく、JCMVPの試験機関として認定されたITSCのサイトですが、とても綺麗にまとまっています。それぞれのセキュリティレベルごとに満たす必要のある要件、「JCMVP」で使用が認められている暗号アルゴリズム、暗号アルゴリズム試験と暗号モジュール試験の違…

そんな英語だらけでどうするんですか。。。優しい試験機関と認証機関はそんな状況では、とても調達では勝ち残れないと何故、教えてあげないのでしょうか。より良い電子政府のためにやっているはずなのに、悲しいですね。

業界として、新陳代謝がなさすぎます。6年前とほぼ同じ面子なのはどうなのでしょうか。 ビジネスについて、無頓着すぎます。（面子が同じだから仕方ないですが） とても新参者が意見できる雰囲気ではありません。（質問者に対して、〜さん、と名指しで進行役…