-----BEGIN PGP SIGNED MESSAGE-----

========================================================================
		コンピュータ産業の発展を阻害する暗号規制

*Auther: すずきひろのぶ
*Date:   1998/Dec/07
*Title:   Software Consultant
*Address: hironobu@h2np.suginami.tokyo.jp
*CopyrightNotice: 改変なき条件下で再配布を許可します。
========================================================================


** 先達の賢明なる判断

自動車産業は、19世紀の終わりころ、ヨーロッパの国々で生まれ、1913年に、
アメリカのフォード社が流れ作業による大量生産を始めてから、近代工業とし
て急速に発展した。自動車の大衆化が始まろうとしていた頃、今の暗号規制政
策と同じような議論があった。

当時の銀行強盗は、自動車という新しいテクノロジーを手に入れた。警察より
も速い自動車を手に入れ、銀行を襲撃した後、あっというまに隣の州へ逃げ込
んだ。たとえ警察が自動車で追いかけてきても、十分振り切って逃げることが
できる。

この時にも、やはり自動車規制論が出てきたそうだ。「自動車が大衆化しなけ
れば、銀行強盗は警察の追跡を逃れられない」という極めて単純な発想である。

もし、ここで自動車が規制されてしまったら、今日の我々の生活は大きく異なっ
ていたであろう。あるいは、「警察の自動車よりも遅い自動車なら生産を許可
する」という条件であっても、自動車の発展と改良は遅れ、自動車産業は今日
のような発達は見せなかっただろう。

しかし、賢明なる先達は、そのような無意味な規制はしなかった。それは、自
動車が社会に与える全体の利益を考えた場合、自動車が銀行強盗に使われる問
題など例外的な副作用の範疇に入るのである。


** 暗号規制は机上の空論

現在の暗号規制にも同じ事が言える。

コンピュータ・セキュリティを考えた場合、暗号技術は必須の技術である。こ
れは議論の余地がないだろう。

さて問題は、どれだけ強力な暗号を用いなければいけないことか、という部分
である。18ヵ月でコンピュータの能力は2倍になるというムーアの法則という
経験則は広く知られている。実際には、それ以上のスピードでCPUの演算能力
は強力になっている。過去に安全だと思われていた強度の暗号が、ここ1、2年
で次々に破られている。これは、十分に強度に余裕のある暗号を使わない限り、
安心して使えないということを意味している。

しかし、強力な暗号は、犯罪に使われると危険であるから規制をする必要があ
るという。

さて、ここで暗号規制として考えられている2つの方法を取り上げて考えてみ
よう。まず最初は暗号強度が弱いものを使うという方法、次に暗号強度は十分
である方式を採用し鍵を預けるという方法だ。

前者は、先程説明したように、それで暗号の役目を果たさない。これは完全に
論理が破綻している。

さて後者はどうなのだろうか。ユーザは十分に強い暗号を使え、一方、預けて
鍵を入手すれば暗号が復号化できる。

しかし、これは以下の点で問題がある。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
1) 自己責任として保証できない範囲から鍵の流出が発生してしまう危険性が
ある。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

暗号の鍵を保管するというのは、実は非常に難しい問題である。物事には絶対
ということはありえない。鍵は流出するリスクは常にあると考えた方が良い。
もし、自分の持つ鍵が何らかの理由で流出しても、それは本人が全面的に責任
を負うべき自己責任である。

しかし、預けている鍵が流出した場合はどうだろうか。自己責任範囲外におい
て流出事故が発生してしまった場合、流出した側の責任が厳しく問われること
だろう。

また、具体的に、鍵が流出してしまった場合、自分で流出したのか、それとも
預けた所から流出してしまったのか、それとも鍵は流出したのではなく、発見
されたものなのか区別は着かない。

自ら管理している場合は、発見されたとしても、自分から流出してしまったと
しても、そこまでは自分で負うべきリスクである。しかし、他者に鍵を預けて
いたならば自分でリスクコントロールが出来ない。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
2) 鍵管理システムのコストは莫大である。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

物事に絶対はありえない。システムを絶対に近づけようとすればするほど、莫
大なコストがかかる。鍵を預る鍵管理システムは、ベスト・エフォートや努力
目標をクリアするものでは許されない。客観的に絶対に近い十分な安全性があ
るを示されなければいけない。そのためには莫大なコストがかかる。このコス
ト負担は可能なのだろうか、また誰が負うべきコストなのだろうか。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
3) ユーザの使う暗号アプリケーションのコストが上昇する
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

データを守るための暗号技術をアプリケーションに組み込むというのは、非常
に簡単に、かつ、安いコストで行える。暗号化/復号化するアルゴリズムの実
現は、Cのプログラムで100行から200行程度で済む。もっとも行数の少ない暗
号プログラムとして知られているものは3行である(下のプログラムはRSAを
Perl言語を用いて３行で実現している)。

	#!/usr/bin/perl -sp0777i<X+d*lMLa^*lN%0]dsXx++lMlN/dsM0<j]dsj
	$/=unpack('H*',$_);$_=`echo 16dio\U$k"SK$/SM$n\EsN0p[lN*1
	lK[d2%Sa2/d0$^Ixp"|dc`;s/\W//g;$_=pack('H*',/((..)*)$/)

	詳しい意味はhttp://www.dcs.ex.ac.uk/~aba/rsa/を参照のこと


しかし、鍵を誰かに預けるようなプロトコルを組み入れようとした瞬間から、
一気にコストが上昇する。アルゴリズム以外のメカニズムをプログラム化し、
それをアプリケーションに組み込まなければならなくなるからだ。

これらのコストの上昇の負担はユーザに転嫁される。ユーザは、自分が必要と
していないコストを払わなければいけない。これではセキュリティのために必
須である暗号技術をユーザに広めることはできない。もちろん、ソフトウェア
産業全体にも同じ事がいえる。

１つのOSの中に、複数の暗号が利用されるような今日の複雑なシステムでは、
役に経たない弱い暗号を使うか、あるいは、何重もの複雑な手続きやそれにま
つわるコストを払う必要が発生してしまう。暗号規制は、非常に非現実的な机
上の空論と言えよう。

** 暗号規制はマーケットを潰す

有力な工業国が暗号規制について混乱が生じている現在、イスラエルやスイス
といった国のセキュリティ産業が着々と海外での暗号マーケットを確保してい
る。イスラエル、スイスといった国には、以前から暗号の輸出規制も存在しな
いので、自由に民間が輸出できるのである。暗号の輸出規制がないのは、何も
イスラエルやスイスだけではない。よくワッセナー条約加盟国の合意として暗
号の輸出規制が行なわれているというが、これは正しい状況を伝えていない。
既にワッセナー条約加盟国であるフィンランド、アイルランドは、暗号の輸出
規制を行なっていないので、自由に輸出できる。また、カナダ、ドイツといっ
た国も、自由に輸出する方向へと向かっている。

どのソフトウェア製品でも同じであるが、世界マーケットレベル（最近の流行
語であるグローバル・スタンダードと言い替えてもかまわない）で生き残るソ
フトウェア製品が、当然であるが最も強い。暗号技術マーケットは、まだ立ち
上がったばかりである。ここで、もし日本が安易な暗号規制を導入すれば、世
界マーケットへの進出どころではない。ヘタをすれば、今まで日本で蓄積して
来た暗号技術をすべてドブに捨ててしまうことになりかねない。現在、もし暗
号規制を行うことがあれば、新しい産業の目を潰すことになるのである。まし
てや、官僚のメンツを保ため意味のない規制を設けたがために、これからの伸
びるであろう大きな産業を潰してしまうような愚挙は絶対に避けるべきである。

もちろん、世界マーケットでの暗号ビジネスで、米国企業が遅れを取る状況が
現れれば、米国政府は産業会からの圧力により、なりふり構わず参入してくる
ことだろう。現在でも、米国政府は、暗号技術製品で大きなビジネスチャンス
のあるものに関しては、順次規制外にしている事実がある。むしろ、米国が他
国へ暗号規制を持ち掛けている現状は、潜在的に今後米国内産業の競争相手に
なるような技術力のある国においてのセキュリティ産業を牽制する役目を果た
している。

** 結論


暗号技術はコンピュータ・セキュリティのために必須の技術であり、十分に安
全である暗号を供給することが必要である。コンピュータ・セキュリティが高
まるということは、ユーザが安心してコンピュータを使ってもらうことができ
る。一抹の不安を抱えながらコンピュータを使っていては、コンピュータ産業
全体、情報処理産業全体のの発展は望めない。また、日本の産業界がコンピュー
タ・セキュリティ産業の波に遅れた場合、業界は世界シェアへの足掛かり失う
だろう。さらに遅れれば、日本はセキュリティ輸入国となる可能性がある。も
しそうなれば問題は、さらに大きく、かつ複雑化するだろう。

新しい時代へむけての発展を考えた場合、暗号規制は、その発展を妨げる要因
になることは必至である。

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv
Comment: If this file is text with Japanese, it would be JIS/JUNET.

iQCVAwUBNmt3qezVogcgZvr9AQEQZAP/Y0TGmUYJpqRypsQ1wxYN11t/c/uVx2f2
w2yHupfWjwIuGr6ayoOAU6YO7+A7KV3tKQxb6jT3PE5CpcjDfNbJJTl91nmz0873
SPLhoEXGDOY+bSa9WdCwfJNVkzWCd0YPLhl13o8KNcmp0oM3nZKPpwgkS9YGHIUE
bGXJsK68a/c=
=yvlm
-----END PGP SIGNATURE-----