暗号化とクレジットカード取引におけるセキュリティ対策とは?

暗号化とクレジットカード

電子商取引の拡大、さらに各種社会インフラ(電気、水道、ガス、各種交通機関)等、クレジットカードを利用できる店舗、機会の拡大により、クレジットカードの取扱高は増加傾向にあります。それに伴い、クレジットカード情報の偽造や不正利用等のリスクもまた増加傾向にあり、クレジットカード情報や顧客情報等の管理面が重要視されています。

そこでクレジットカード情報および取引情報の安全な管理を目的に、国際カードブランドによりクレジットカード業界におけるセキュリティ基準「暗号化」が策定されました。

情報保護を担う暗号

暗号というと、どうしても戦争や国家機密などといった暗いイメージがつきまといますよね。しかし、それは一昔前の話で、最近はインターネットなどの情報技術の発達に伴い、暗号のイメージは大きく変わってきています。

暗号は、実に奥の深い、また興味の尽きないテーマです。超難解な暗号理論を始めとして、発達の歴史、あるいは解読に注ぎ込まれるエネルギーなど興味は尽きない。ぜひ、次の3冊をお読みになることをお勧めします。

  • 辻井重男『暗号』(講談社)
  • 一松信『暗号の数理』(講談社)
  • 岩島久夫『情報戦に完敗した日本』(原書房)

ネット上の電子取引に使われる暗号は現在、1977年にアメリカ商務省が選定したDES(Data Encryption Standard)が世界標準となっています。しかし、同省ではその安全性の低下を理由に、21世紀に通用する暗号技術の開発を引き続きアメリカ主導の下で進めるべく、活発に動いています。

今回はでは、まず暗号の骨子を眺めた後で、クレジットカードに関係のあるDES、RSA、SET、SSLなどの暗号の仕組みを追ってみましょう。

暗号の定義

暗号とは、「情報を一定の法則の下に、第二者には意味のわからない形(暗号文)に変えること」をいいます。暗号を説明する場合、「アルゴリズム」と「鍵」という言葉がよく使われる。両者の関係は次のとおりです。アメリカに、「HALコンピュータ・システムズ」というメーカーがあります。

「HAL」とは「IBM」をアルファベット順に1字ずつ前にづらした綴りです(ちなみに、HALを興したのは、IBM元副社長のアンドリュー・ヘラー氏)。この場合、「アルファベット順に前にづらす」操作がアルゴリズム(暗号作成手順)に該当し、「1字」が「鍵」に当たります。

暗号の歴史

暗号を最初に使用した国は、紀元前9世紀のスパルタだといわれています。近代的な暗号は14世紀から15世紀にイタリアで発達し、16世紀には、暗号の祖と称されるベーコン(英国)やヴィジュネル(フランス)がその基礎を築いた。

20世紀には、2回の大戦を通じて軍事・外交両面で、さらに70年代以降のコンピュータの発達に伴い、暗号技術が急速に向上したことについては周知のとおりです。

日本は、こと暗号に関しては、米国に1歩も2歩も遅れをとっています。軍事機密の解読面でもしかり、あるいは1921年のワシントン軍縮交渉においても、政府訓令がすべて解読されていたこと、また太平洋戦争においても、ブラックチェンバーが大活躍したことなど、日本は苦い思い出につきまとわれています。

暗号方式の2つの流れ

現在、通信やインターネットなどで使われている暗号には、共通鍵(秘密鍵)方式と公開鍵方式の2つがあります。

共通鍵暗号方式

情報の暗号化と複合化(元に戻す)に同じ鍵を使う方式です。このやり方では、送信者と受信者とがあらかじめ同じ鍵を秘密に持たなければなりません。そのためには、通信相手ごとに(相手の数に応じて)、別の鍵を作らなければなりません。

また、鍵の管理が弱点となっています(たとえば、配送途中で鍵が盗まれるなど)。私もかつて、グローバルATMネットワークの構築に参加し、鍵の受け渡しに立ち会ったことがあったが、その手続の煩わしさに驚いた記憶があります。この方式を代表するアルゴリズムがDESです。

DESは、暗号の仕組みを公開しても、鍵さえ秘密にしておけば安全性が保たれる暗号方式です。73年、アメリカ商務省標準局(NBS、現在はアメリカ標準技術協会=NISTに改組)は、不特定多数者を通信相手とし、次の3つの条件を満たす暗号方式を公募しました。

  1. アルゴリズムは、公開されたものを使うこと
  2. 暗号の安全性を鍵の秘匿のみにより確保すること
  3. LSI(大規模集積回路)を利用すること

77年11月、応募案の中から、IBMのDESの提案が採用されました。元来、連邦政府内の標準暗号化のために開発されたものであるが、一般商用にも推奨されています。その結果、アメリカをはじめとする主要国の金融機関やVISA、MasterCardもこれを採用しています。

DESの仕組みは暗号化と鍵の生成からなっています。前者は、公開されたアルゴリズムに従い、情報を2進法で数値化(0と1の系列に変換)し、これを一定のルールに従って、16段階のプロセスを経てグループごとに暗号化しています。一方、後者はそのグループごとに鍵を作っていくやり方です。

公開鍵暗号方式

これは共通鍵方式の弱点を補う形で開発されました。鍵の共有を不要とするために、暗号化と複合化の鍵を別々にする方式です。

暗号化するときには、発信者は受信者が公開している鍵を使うが、その暗号文は、受信者が持つ秘密鍵でしか複合できないようになっています。複合化する鍵を配送する必要がないので、多数を相手とする通信(大規模ネットワーク)に適しています。

この方式は、これら2つの鍵の組み合わせにより、発信者が「本人」であることを確認できる機能をも併せ持っています。公開鍵暗号のアルゴリズムを代表するのがRSAです。

RSAは77年、マサチューセッツエ科大学の3人の学者(Rivest、Shamir、Adleman)が共同開発した暗号方式です。3人の頭文字からRSAと名づけられた。素因数分解を利用しており、その機能は、情報の機密保持と送信者の本人確認(デジタル署名)の2つです。

受信者は、公開鍵と秘密鍵とを用意します。公開鍵を登録センターに登録し、秘密鍵を自分で秘密保管します。発信者は、登録センターからこの公開鍵を入手し、情報を公開鍵で暗号化して発信します。受信者は、この暗号化された情報を秘密鍵で複合化します。

RSAを利用した本人確認機能について、クレジットカード会社が加盟店に対し、オーソリ承認番号を送る場合を例にとって説明しよう。クレジットカード会社(署名者)は、署名用の秘密鍵と検証用の公開鍵を用意します。公開鍵を登録センターに登録し、秘密鍵は自分で秘密保管します。署名者は、自分の氏名またはIDを2進法で数値転換し、これを秘密鍵で暗号化して発信します。加盟店(受信者)は登録センターから公開鍵を入手し、暗号化されたメッセージを複合化します。うまく複合化できれば、この署名は正しいものと判断されます。

なお、日経新聞(99。9・27)は、欧米6カ国の研究者グループがRSAを解読することに成功したと報じています。

SET(Secure ElectrOnic TransactiOn)とは

SET(Secure ElectrOnic TransactiOn)とは、クレジットカードを利用した電子決済の安全性を確保するための通信手順に関する標準規格をいいます。

90年代の半ばまで、VISAとMasterCardはそれぞれ暗号の基礎づくりを進めてきました(VISAとマイクロソフト、MasterCardとネットスケープおよびIBM)。しかし、両者はこの対立が電子商取引の成長を妨げると判断し、暗号の共同開発に合意し、96年2月にその成果を発表した。これがSETの始まりです。

ネット上で情報をやりとりする際、盗聴、改富、なりすましの3つの危険がつきまとっています。これを防ぐために、SETは

  • 送信するデータの暗号化
  • 送信者の身元確認
  • 受信者へ送信するデータの範囲限定という3つの働き

を具体化したアルゴリズムとプロトコルをRSA方式に従って定めています。ネット上のクレジットカード取引では、主に、

  • 会員による商品申し込みとクレジットカード情報の加盟店への送付
  • 加盟店とクレジットカード会社の間のオーソリ請求と回答
  • 前記①と②における発信者の本人確認

がSETによつて保護されます。

なお、本人確認は「信用の階層構造」すなわち会員とイシュアー、加盟店とアクフイアラー、クレジットカード会社と国際ブランドカードとの間のそれぞれの関係により、上位にあるものがそれぞれ認証機関(CA=Certificate Authority)となって、下位のものを証明する仕組みです。

以上、SETについて概観した。SETを使いこなすのは、一見大変難しいように見えるが、カード会員、加盟店はSETを採用しているクレジットカード会社に申し込んで、SETソフトを入手し、これをパソコンに装置するだけでOKです。

ただ、このSETは、国際ブランドカードの多大の努力にもかかわらず、日本の加盟店には不人気で、いまのところ残念ながら全面的に採用されるに至っていません。ネット通販でなりすましの被害が急増しているのを聞くにつけ、なぜ加盟店が採用しないのか、理解に苦しむところです。

その他の主な暗号方式など

最後に、その他の暗号方式などを以下にリストアップしておきましょう(99年9月現在)。とくにSSLは現在、電子商取引でよく使われているものです。

AES(Advanced Encription Standard)

アメリカ政府が目下検討中の次世代暗号技術。IBMのMARSなど5つの案が検討されている由です。

BOS

日本のビーオーエス・ネットワーク研究所が開発した暗号技術。暗号化や解読のスピードが速いのが特徴。共通鍵暗号方式をとりながら本人確認の認証が可能。

楕円暗号

NECが開発した楕円曲線を利用した暗号技術。RSAに較べ、1桁少ない鍵の長さで、計算速度が速い。MasterCardが採用④ EPOC(Eficient Probabilistic Public key EncryptiOn)NTTが開発した公開鍵暗号方式。ネット上で不特定多数の人が情報をやりとりするのに適しています。解読が極めて困難で、既存の公開鍵方式に較べて安全性が高いといわれています。

FEAL(Fast Data Encipherment Algorithm)

NTTが開発した秘密鍵暗号方式。DESに較べて、小さなシステムで高速処理が可能。

KES(Key Escrowed System)

アメリカ政府が提唱する暗号政策で、テロ、麻薬、脱税などを取り締まるために通信解読を合法化するもの。OECDでも討議中。日本の通信傍受法にも関連があります。

PGP(Pretty Good Privacy)

ネットワーク・アソシエートが開発した極めて強力な暗号化機能を持つ電子メールソフト。メール本文を暗号化して盗聴を防止。また、公開鍵を利用した電子署名を採用しているため、改竃なども防止できます。

SECE(Secure Electronic Commerce EnvirOnment)

NEC、富士通、日立製作所が共同開発した電子決済プロトコル.SETに日本の商習慣を盛り込んだ互換規格。

SSL(Secure Sockets Layer)

米ネットスケープ(98年11月、AOL社が買収)が開発したwwwブラウザ。wwwサーバー間でのデータ授受のための標準プロトコル。認証と暗号化の機能を持つ。SETに較べると簡便な暗号技術で、一般に手軽に利用されています。

量子暗号

NECが開発した技術。暗号解読キーを安全に電送します。個々の光の粒子(光子)に情報を載せ、光ファイバーで電送します。盗聴すると光子が変化するので、すぐ発見できるほか、データの改宣も原理的に不可能で、きわめて破られにくい次世代の暗号方式といわれています。

SNSでもご購読できます。