なぜJCMVPは要らないの?
ECSECのサイトに
「なぜ暗号モジュールの試験と認証が必要なのか」
、というページがあります。
まず、このサイトを作った人は日本語を勉強した
方が良いと思いますが、その内容を見てみます。
暗号モジュール認証を取得することにより、暗号製品のベンダは、暗号アルゴリズムが適切に実装され、暗号鍵などの重要情報が保護されている製品であることをアピールできます。
また、暗号モジュール認証を取得した製品のユーザは、第三者試験及び認証によって確認された暗号機能を正確に把握し、暗号製品を安心して利用することができます。
残念ながら、これはJCMVPが必要な理由になっていません。
これは、JCMVPで暗号モジュール認証を取得するメリットの説明です。
なぜ、JCMVPが必要なのか、それは
暗号アルゴリズムはソフトウェア・ハードウェアに正しく実装しないとセキュリティの向上に貢献できず、自社だけでそれを証明するのが極めて困難
だからです。
そして、JCMVPで認証を取得することにより、ベンダーは
暗号モジュールが適切に開発されていることを証明でき、
ユーザーはそれを安心して利用できる…はずでした。
はず、になってしまったのは、JCMVPがまともに機能していないから
仕方ないことですね。