岩下直行 ^* ・宇根正志^**

１．はじめに

２．米国におけるキーリカバリー構想の推移

３．欧州におけるTTP/鍵寄託制度を巡る動向

４．キーリカバリー技術――その原理と実装

５．おわりに

【脚注】

【参考文献】

　マイクロ・エレクトロニクス技術の発達、パーソナル・コンピューターの普及に伴い、様々な産業分野や人々の生活の中で、コンピューター・ネットワークを利用した情報通信を利用する機会が増えている。とりわけ、世界中を結んだオープンなネットワークであるインターネットの爆発的な拡大¹に伴い、わが国でも、コンピューター・ネットワークを介する国際的な情報のやり取りが、ごく普通に行われるようになった。

　暗号技術を利用するためには大量の計算処理が必要であるため、コンピューターが高価であった時代には、暗号は特に高度なセキュリティが必要とされる業務分野（例えば巨額な資金移動に関する情報を電子的に送信する銀行業務²など）のみにおいて利用されてきた。しかし、マイクロ・エレクトロニクス技術の発達の結果、一般の利用者でも、高度な計算能力を持つパソコンを安価に利用することが可能となったため、最近では、インターネットでデータを送信したり、自分のパソコンに資料を保管する場合などに、暗号を利用して情報を秘匿することが珍しくなくなっている。例えば、インターネット上でWWWのホームページを閲覧するソフトであるNetscape Navigatorには、データの送信時に暗号化処理を行い、機密情報の漏洩を防ぐ機能が標準装備されている。また、インターネット上で機密性の高い情報を電子メール送信するためには、RIPEM（Riordan’s Internet Privacy Enhanced Mail）、PGP（Pretty Good Privacy）等の暗号化電子メール用のフリーソフト（無償で配布されるソフトウェア）を利用したり、S/MIME（Secure　/ Multipurpose Internet Mail Extension）と呼ばれる暗号化フォーマットを組み込んだ市販ソフトを利用すればよい。このように、暗号技術に関する特別な知識を持たない一般のパソコン利用者であっても、暗号ソフトウェアを容易に利用することが可能となっている。

　こうした暗号技術の悪用への対応策として、米国政府から提案されたのが、キーエスクロー（Key Escrow）あるいはキーリカバリー（Key Recovery）と呼ばれるスキームである³。これらは、簡単に言えば、利用者が暗号化を行うための秘密の「鍵」を信頼できる機関に寄託しておき、法律執行上の必要が生じた場合は、一定の手続きに基づいて捜査当局がこの「鍵」に合法的にアクセス（Lawful Access）して暗号化された情報を解読できるようにする仕組みのことである。この技術が普及すれば、利用者のプライバシーを尊重しつつ、万一の場合は法律執行上の要請に応えることもできると主張されている。こうした観点から、OECD/DSTI/ICCP/暗号専門家会合において審議された暗号政策ガイドライン⁴においても、「国家の暗号政策は、暗号化されたデータの平文又は暗号鍵への合法的アクセスを容認することができる（National cryptography policies may allow lawful access to plaintext, or cryptographic keys, of encrypted data.）」という規定が盛り込まれた。

　暗号技術は、伝統的には軍事・外交分野で機密情報の保護のために利用される技術であった。過去の戦争において、敵国の暗号技術解析の成否が戦局に大きな影響を与えた⁵といった事例を引き合いに出すまでもなく、現在でも多くの国において、暗号技術は「軍事転用可能な技術」として国家によって管理されている。とりわけ、現代暗号技術の最大の生産国/需要国である米国においては、国家の重要な政策として暗号技術の取り扱いが検討され、それに基づいて政府が厳格に暗号を管理している。キーリカバリー構想を巡る動きも、こうした文脈で理解することが必要である。

　米国政府の暗号管理の具体的な手段は、�@暗号技術の標準の策定と、�A暗号技術の輸出規制の２つである。このうち、�@の技術標準によるコントロールについては、具体的には、NIST⁶によるFIPS（米国連邦技術標準：Federal Information Processing Standards）の認定を通じて行われている。FIPSは、「機密ではないが取扱いに注意を要する情報」に関して、米国政府機関内での取扱標準を定めるものであり、直接的には政府機関が調達する暗号装置のみを対象としている。しかし、FIPSに認定された技術は民間にも開放されており、ある技術がFIPSとして認定されると、いわば「政府のお墨付きを得た技術」と認識され、また、政府による調達の増加が価格の低下を招来するといった事情もあって、FIPSは民間においても事実上の標準として利用されることが多かった。例えば、DES（Data Encryption Standard）は、米国政府の公募に応えて1970年代前半に米国IBM社が開発し、1977年にFIPSに採択された共通鍵暗号アルゴリズムであるが、その後、事実上の国際標準暗号として広く普及し、現在、世界中で最も多く利用される暗号となっている。

　一方、�Aの暗号技術の輸出規制は、安全保障の観点から米国の暗号技術の海外への流出を政府が規制するものである。輸出規制には、国務省による規制と商務省による規制の２種類がある。すなわち、(a)軍事目的の技術・装置については国務省主導の輸出規制が行われており、Arms Export Control Actに基づいて定められたInternational Traffic in Arms Regulationsが、輸出に際して認可を必要とする装置のリストであるU.S. Munitions Listを規定している。また、(b)軍事目的に転用可能な技術・装置については商務省主導の輸出規制が行われており、Export Administration Actに基づいて定められたExport Administration Regulationsが、認可を必要とする装置を定めたリストであるCommerce Control Listを規定している。従来、暗号を利用した装置は (a)に該当するとされ、米国外に輸出するためには国務省による個別審査が必要であった。実際に個別審査で認可された例をみると、海外の政府機関や大手金融機関向けといった限られた先に対する輸出が殆どであった。

　インターネット技術者は、暗号技術を一般に普及させる運動の強力な推進者の役割を果たしてきた。インターネットの技術的な発展は、IETF⁷に代表されるような、大学や企業のコンピューター技術者によるボランティア・ベースの貢献に支えられてきた。「パーソナル・コンピューターの能力を一般大衆に開放し、コンピューター・ネットワークによって新しいコミュニティを形成すること」を目的とした様々な非営利のプロジェクトに身を投じてきたインターネット技術者からみれば、個人のプライバシーを保護するために使われるべき暗号技術が政府の厳しい統制下に置かれ、仮に米国外に暗号ソフトを頒布すると犯罪行為となってしまう、という事態は耐え難いものであったのだろう。

　インターネット技術者達が、ネットワーク上のプライバシー保護等を議論し、政治的な活動に繋げていくために1990年に設立したのが、EFF⁸と呼ばれる団体である。この団体が設立された背景には、次のような事件があった。1990年1月15日、AT&Tの長距離電話交換機がダウンした事故について、米国捜査当局は「電話回線に侵入したハッカーの仕業ではないか」と疑い、大規模な犯罪捜査を行なった。大勢のインターネット技術者達が嫌疑をかけられ、システム機器等を押収された。本事件は、結局AT&T側の原因による事故との結論となったが、それでは収まらないインターネット技術者達が、自分達のプライバシーを守るためにEFFを設立したという(古瀬・廣瀬[2])。EFFや、同様の考え方に基づき各地で設立されたインターネット技術者を中心とする団体（CDT⁹、EPIC¹⁰等）は、その後発表されたキーリカバリー構想に対する最も有力な反対勢力となった。

　しかし、インターネットの普及に伴い、暗号技術を組み入れた一般利用者向けのパッケージ・ソフトが普及するようになると、事情が変わってくる。例えば、Netscape Navigatorのような少額ソフトウェアの輸出についてまで、「軍事転用可能な技術」として１件毎の認可が必要となると、事実上輸出が不可能となってしまう。これ以外にも、ファイヤーウォール¹¹装置、暗号化電子メール・ソフト、電子商取引用のソフトウェア等、暗号技術を応用したインターネット用の情報機器、ソフトウェアが多数開発・販売されるに伴い、「暗号輸出規制は、米国企業が世界の市場で競争する際の足枷となっている」との批判が聞かれるようになった。

　こうした批判を受け、1994年9月に国務省は、U.S. Munitions Listで規定された暗号技術に関して、予め定められた地域に対する輸出については、１件毎の輸出認可の取得を省略することとした。具体的には、鍵長40 bitまでの「比較的弱い」共通鍵暗号¹²を組み込んだ装置やソフトウェアであれば、１件毎の認可なしに輸出が可能となり、また比較的強度の強い暗号であっても、それが電子商取引等の認証目的で組み込まれ、他に転用できないことが証明されれば、輸出が可能となった。こうしたルールに基づき、Netscape Navigator（但し、国内用の128 bitのRC4暗号を改造し、40 bitとしたもの）や、CyberCash（電子商取引においてクレジットカード番号を暗号化するために768 bitのRSA暗号を利用）等のソフトウェアが輸出可能となった。また、1996年2月からは、個人的な利用に限り、米国民が一時的に暗号装置を海外へ持ち出すことを許可することとした。しかし、こうした漸進的な輸出規制緩和策は、輸出規制対象となる技術、装置の見直し等の抜本的な緩和策を望んでいる情報機器メーカーの立場からは不十分との意見が大勢であった。

　本構想の下では、利用者は、Clipper Chip¹³とSkipjack¹⁴を用いた通信の高度な暗号化が可能となる。具体的には、利用者は、暗号通信を行う都度、80 bitのセッション鍵をランダムに生成し、公開鍵暗号技術等を用いてそのセッション鍵を通信相手先と共有し、通信内容をこのセッション鍵で暗号化して相手に送信する。なお、その際、当該セッション鍵を「装置固有鍵」で暗号化し、これと装置識別子を並べた情報をファミリー鍵で暗号化したLEAF（法律執行アクセス・フィールド：Law Enforcement Access Field）と呼ばれる情報が、自動的に送信される。

　本構想において、Skipjackのアルゴリズムを非公開とし、Clipper Chipという耐タンパー性を持つチップに格納したのは、真正のSkipjack装置との交信が可能な偽造装置を製造したり、チップを改造して暗号化のプロセスに手を加えることにより、鍵の寄託やLEAFの生成を行わずにSkipjackによる暗号通信が行われることを防ぐためであった。また、「装置固有鍵」を２つの鍵寄託機関に分割寄託したのは、鍵寄託機関が事故または故意に保管された鍵に関する情報を漏洩してしまい、それが悪用されるのを防ぐためであった¹⁵。

　米国政府は、本構想の発表時点では「キーエスクローの使用はあくまでvoluntaryである」としていたが、その後、1994年2月にClipper 1のコンセプトを「EES (Escrowed Encryption Standard)」としてFIPSに認定した(NIST[25])。この対応は、これまで同様、FIPSを用いて民間で利用される暗号技術をコントロールすることを目指したものと考えられている。

　また、1994年10月には、政府が通信会社に対して補助金を与え、キーエスクロー構想を実現するために通信設備を改造する際の費用を政府が負担することを定めた法律が成立、施行されている。米国AT&T社では、この補助金を利用してClipper 1のコンセプトを実現した電話機（AT&T Surity Telephone Device 3600）を開発している。この電話機では、暗号通信用ボタンを押すことにより、80 bitのセッション鍵をランダムに生成し、その鍵を通信相手先と「Diffie-Hellman方式による鍵共有」¹⁶を用いて共有し、Skipjackを利用した秘話通信を行う仕組みとなっているという（Office of Technology Assessment [32]）。

　キーエスクロー構想に対しては、その発表直後から、多くの批判的な発言が噴出した。特に、EFF、CDT、EPIC等のインターネット技術者、プライバシー保護論者が、インターネット上でネガティブ・キャンペーンを繰り広げたため、一時期、若いインターネット利用者の間では、キーエスクロー構想に反対の立場を表明することが一種のファッションとなった感があった。NII構想¹⁷を進めるクリントン−ゴア政権にとっては、こうしたインターネット利用者層は有力な支持基盤のひとつであったから、その批判を真摯に受け止めざるを得なかったと言われている。

　Clipper 2は、NISTが1995年12月に発表した、米国政府による暗号技術の輸出規制の緩和案である（NIST [26,27,28]）。なお、Clipper 2という名称は、本措置がClipper 1の流れを汲むものであることから、EFFを始めとする米国暗号政策ウォッチャーが名付けた通称であり、正式な名称ではない。

　続いて米国政府は、1996年5月に、公開鍵暗号の情報インフラ(Key Management Infrastructure、以下、KMI) の構築を唱える“Enabling Privacy, Commerce, Security and Public Safety in the Global Information Infrastructure”と題する論文を発表した（Office of Management and Budget[31]）。この構想も、公開鍵暗号方式における秘密鍵を寄託させ、法律執行における暗号鍵への合法的アクセスを認めるという意味で、Clipper 1の流れを汲むものであることから、通称Clipper 3と呼ばれている。

　Clipper 3の中では、メッセージの守秘を行うために、メッセージ自体の暗号化を行った暗号鍵（以下、セッション鍵）を公開鍵で暗号化し、メッセージと一緒保管する方法が示されている。法律執行の際には、捜査機関は、まず鍵寄託機関から捜査対象の秘密鍵を開示させ、それを用いてセッション鍵を復号化し、復号化されたセッション鍵によりメッセージを復号化して内容を解読する（図２参照）。

　Clipper 3において提案された内容は多岐にわたっているが、比較的重要と思われる項目を整理すれば次の通り。

　米国政府は、1996年10月1日に、ゴア副大統領の公式声明として、NISTがClipper 2およびClipper 3で提案した暗号政策の転換を正式に発表した。その内容は、Clipper 2およびClipper 3と大きく変るものではなく、米国暗号政策ウォッチャー達からは、「Clipper 3.1.1」（つまり、Clipper 3のマイナーチェンジ）と呼ばれている。ただし、本発表において、評判の悪かったキーエスクローという言葉に代えて、キーリカバリーという言葉を前面に出し、「犯罪捜査のための暗号解読」というコンセプトから、「正当な利用者が鍵を紛失した時のための備え」というコンセプトに切り替えた点が重要である¹⁸。これ以降、キーエスクローという言葉はほとんど使われなくなり、一般にもキーリカバリーという表現が用いられるようになった。本発表の関連部分を訳出すると次の通りである。

　こうした米国政府の動きを踏まえ、コンピューター・メーカー、ソフト・ベンダー等、暗号装置の製造業者の多くは、政府に積極的に協力する姿勢を示している。IBM社など11社¹⁹の米国企業は、1996年10月1日のゴア副大統領による新政策発表後、共同でキーリカバリー技術の開発・普及に取り組むためにKey Recovery Allianceという企業連合を結成すると発表した。Key Recovery Allianceでは、政府と協調してキーリカバリー構想に利用される暗号通信技術の標準化を進めるための技術提携を行うことを目的としている。その上で、強力な暗号技術に対するニーズが高まる中、キーリカバリー構想に協力し、これまでよりも強力な暗号装置の輸出ライセンスを取得することを最終的な目的としていると考えられる。その後、このKey Recovery Allianceに参加する企業は更に増加し、1996年12日時点で40社に達している。

　なお、IBM社は、ゴア副大統領の公式声明と同時期に発表した論文 “The need for a global cryptographic policy framework” において、「通信利用者の強力な暗号技術へのニーズと、犯罪捜査等における当局の諜報活動に対するサポートとを両立させるために、世界規模でのキーリカバリーを構築する必要があるため、キーリカバリー技術の標準化および実際の運用方法を規定すべく早急に行動しなければならない」と表明している。

　こうした動きがある一方、キーリカバリー構想と輸出規制緩和措置を組み合わせた米国の新しい暗号政策に対して懐疑的な意見を表明する企業もある。例えば、米国RSA Data Security社²⁰のJim Bidzos社長は、1997年3月21日の東京での記者会見において、「キーリカバリー構想に協力して、56 bit以下の暗号装置に関する1998年末までの輸出ライセンスを取得する考えはない」ことを表明している。その理由として、「56 bitでも暗号としては不十分で、半年もすれば簡単に破られる恐れがある」ことと、「輸出ライセンスの期限である1998年末に、米国政府が追加規制をかけてくる可能性がある」ことの2点を挙げ、「こうした状況では、誰も米国製の暗号装置を買いたいと思わないだろう」と発言している。

　また、CDTは、1996年5月21日に発表された “Preliminary Analysis of “Clipper III” Encryption Propose”において、以下のとおりコメントしている。

　なお、欧州連合では、1995年9月に閣僚理事会において「情報技術に関連する刑事訴訟法の問題に関する勧告（95）13」を採択している（ Committee of Ministers, Council of Europe [36]）が、その中で、�@犯罪捜査のための技術的手段を確保すべく、一定の条件の下で情報通信データの傍受を可能にする法案を準備すべきである、�Aこうした通信傍受等に関する国際的な法的基盤を構築する必要がある、と提言している。

　フランス政府は、1996年7月に電気通信法の一部改正法案を策定しており、その中で、情報の秘匿を目的とする暗号装置を利用する場合には、その暗号鍵を政府によって承認された組織に寄託することを義務付けている（Steptoe & Johnson LLP[35]）。この改正法案はすでに議会を通過しており、現在は具体的な行政立法の策定作業が進められている。該当する条文（電気通信法の一部改正法案の第12条）の主な内容は以下の通り。

• 　情報の秘匿を目的とした暗号通信サービスを提供する組織は、その事業を行うためには総理大臣による承認が必要である。
• 　この組織は予め提供するサービス内容を特定する必要があるほか、法律執行の枠組みに基づいて、管理する秘密鍵を法律執行機関に提供しなければならない。
• 　この組織の承認や法律執行手続きについては、国事院（Council of State）の政令によって規定される。

• 　認証および情報の完全性を確保するための暗号装置については利用が自由であるが、情報の秘匿に用いる暗号装置は総理大臣により承認された組織によって管理される場合にのみ利用することができる。

　ドイツでは、1996年12月に「情報・通信業務の条件の規制に関する連邦法」が作成され、議会で審議されているが、その第3款「電子署名法」の第12条（データ保護）において、「法律執行機関は必要に応じて認証機関の管理する個人情報を入手することができる」という条文が置かれている（Kuner[21]）。また、1996年10月に設置された暗号政策に関する省庁間タスクフォースにおいて、ユーザーによる暗号装置の選択の自由と犯罪捜査のための規制との間のバランスをいかにとるかといった観点から、情報秘匿のための暗号装置の規制や鍵寄託制度の新設が検討されている（辻井・石崎[1]）。

　一方、ドイツ産業界では、国際商工会議所ドイツ支部（The German chapter of the International Chamber of Commerce）、ドイツ産業連盟（Bundesverband der Deutschen Industrie e.V.）やドイツ電気通信企業組合（Teletrust e.V.）等がドイツ政府の暗号規制や鍵寄託制度に反対の意を表明している。特に、国際商工会議所ドイツ支部は、政府の規制導入に対して以下の４点を指摘し、「規制導入によるコストに見合う便益を得ることは困難」としている（Kuner[22,23]）。

　イギリス政府（貿易産業省：Department of Trade and Industry、以下、DTI）は、1997年3月21日に、TTPに関する提言を発表した（DTI[12,13]）。本提言では、イギリス国内で守秘目的の暗号サービスを提供する事業者は、本提言内容に基づいて行われるDTIによる審査に合格し、TTPの免許を取得しなければならないとされている。

　提言の主な内容は、�@TTPとしての適格性に関する基準、�A法律執行手続き、に関するもの。TTPの適格性に関しては、その組織の構成・所有形態、職員や管理者の属性、セキュリティ方針や経営計画等に関する基準が設定されている。また、法律執行については、政府内に法律執行のための単一の中央情報管理機関 (a central repository)を設置することが示されているほか、TTPは、法律執行要請がある場合にはこの法律執行機関に対して秘密の暗号鍵等を提供しなけらばならない、と明記されている。

資料：Dorothy E. Denning, "Descriptions of Key Escrow Systems"（Denning[10]）ほか

　キーリカバリー機能を実現するスキームには様々なものがあるため、それらを分類・整理するために、Denning [10]に従って、キーリカバリーの基本機能をモデル化する。その上で、各スキームをそのモデルに当てはめることによって、その特徴点を整理する。

　各ユーザーが暗号化を行う際に、データの暗号化・復号化を実施するとともに、キーリカバリーをサポートする部分。ハードウェア装置又はソフトウェア・プログラムによって実現される。通常、暗号文にData Recovery Field (DRF)を添付する機能を持つ。

　鍵管理機関が操作する部分。事前に装置固有鍵、ユーザー秘密鍵等を受け入れ、これを安全に保管するとともに、必要に応じて鍵情報の提示または暗号化情報の復元サービス等を行う。公開鍵の認証機関または一般的な鍵管理インフラの一部として提供されることもある。

• 暗号アルゴリズム（Data Recovery Field等を暗号化するアルゴリズムの公開／非公開）

• 鍵管理機関が保管する鍵

• 復元対象鍵

　法律執行時には、法律執行機関は、鍵管理機関に法律執行対象者が送信者となる暗号文のDRF（c.）を送付し、セッション鍵の復元を依頼する。鍵管理機関は、DRFを自分のRSA秘密鍵で復号化した後、DRFに含まれるARIが確かに法律執行対象者のものであることを確認して、法律執行機関にセッション鍵を提供する。このセッション鍵を用いて、法律執行機関は機密情報を復号化することができる(TIS[37])。

　法律執行時には、法律執行機関はDRFを入手し、その中から法律執行対象者の鍵管理機関によって暗号化された乱数を抽出して、該当する鍵管理機関に提出する。鍵管理機関は乱数を復号化し、その乱数からセッション鍵を暗号化するのに用いたパラメータを復元して法律執行機関に提供する。法律執行機関は、各鍵管理機関から入手したパラメータを使ってセッション鍵を復号化する(IBM[18])。

　法律執行時には、法律執行機関は、鍵管理機関から捜査対象通信路における受信者の秘密鍵を入手し、傍受したDRFからセッション鍵を復元する(Micali[24])。

　法律執行時においては、法律執行機関は、鍵管理機関から法律執行対象者の送信用または受信用秘密鍵を入手する。法律執行の対象者が送信者の場合、そのユーザーの送信用秘密鍵を入手し、受信者の受信用公開鍵を使ってセッション鍵を復元する。一方、法律執行の対象者が受信者の場合は、受信用秘密鍵を入手し、送信者の送信用公開鍵を使ってセッション鍵を復元する(Laurie[23])。

　法律執行時には、法律執行機関は認証機関から受信者の秘密鍵を入手してセッション鍵を復元できるほか、鍵管理機関からSkipjackの秘密鍵を入手して復元することも可能である(National Semiconductor[30])。

　Lotus Notesは米国Lotus社が開発したグループウェア製品で、LANを利用した企業の情報システムの構築において、社内における各種決裁事務を機械化する場合などに多く利用される。グループウェア製品としては世界中で最も広く普及している製品であり、事実上の業界標準の地位を獲得しているとされている²¹。

�A TIS RecoverKey²²

　TIS RecoverKeyは、Trusted Information Systems社²³が開発したキーリカバリー技術である。同社の資料 “TIS announces encryption Key Recovery Technology ? Technical Description” (TIS[37])によれば、同社が提供する暗号開発ツールキットを利用してユーザーのシステムにCSP（Cryptographic Service Provider）と呼ばれるプログラムを組み込むことにより、Clipper 2に定められているKey Escrow機能を具備する暗号機能の提供を可能にすると謳われている。なお、同社は1996年9月に本技術に関する特許を取得している。

　暗号アルゴリズムとしては、通信データの暗号化にはRC2、RC4（以上、鍵長128 bitまで可能）、DESまたはTriple-DESといった共通鍵暗号が利用され、セッション鍵の交換、デジタル署名やDRFの作成にはRSA（鍵長1,024 bitまで可能）公開鍵暗号が利用される(TIS[38])。

1. 　各ユーザーはDRCに登録し、DRCからAccess Rule Index（ARI、32 bitのデータ）と呼ばれるIDと、ユーザーの公開鍵に関するDRCの証明書を取得する。
2. 　ユーザーAは、ランダムにセッション鍵を生成し、それを用いて平文を暗号化した後、セッション鍵をユーザーBの公開鍵で暗号化する。セッション鍵は暗号通信の度変更する。
3. 　ユーザーAは、暗号文に添付するデータとして、DRFとDRC Verification String（DVS）を作成する。
   ・DRFは、セッション鍵とARIを連結したものをDRCの公開鍵で暗号化したもの。
   ・DVSは、DRCの公開鍵とARIを連結したものをセッション鍵で暗号化したもの。
   なお、ユーザーAは、同時にユーザーBのARIを利用してユーザーBのDRFおよびDVSも作成する。
4. 　ユーザーAは、DRF、DVS、通信相手の公開鍵で暗号化されたセッション鍵を組み合わせてKeyblobs（これら３つの鍵情報を束ねた「鍵束」の意味）を作成する。ユーザーAは、ユーザーBのKeyblobsも作成し、２つのKeyblobsを暗号文とともにユーザーBに送付する。
5. 　ユーザーBは、ユーザーAのKeyblobsの中から、自分の公開鍵で暗号化されているセッション鍵を取り出し、自分の秘密鍵を使ってセッション鍵を復号化する。次に、復号化されたセッション鍵を利用してDVSを復号化し、DRCの公開鍵とARIを得る。
6. 　ユーザーBは、セッション鍵とARIを連結したものをDRCの公開鍵で暗号化し、DRFを作成する（ユーザーAとユーザーBの２つを作成）。作成した２つのDRFと、ユーザーAから送付された２つのDRFがそれぞれ一致することを確認する。
7. 　ユーザーBは、セッション鍵によって暗号文を復号化する。

1. 　法律執行機関は、復号化したい暗号文と、それに添付されているKeyblobsを入手し、Keyblobsの中からDRFをDRCに送付する。
2. 　DRCは、自分の秘密鍵でDRFを復号化してARIとセッション鍵を得る。DRCは、法律執行機関が通信を傍受しようとしている者が合法的に許可された対象者に間違いないことをARIによって確認する。確認後、法律執行機関にセッション鍵を提供する。
3. 　法律執行機関は、入手したセッション鍵で暗号文を復号化する。

　IBM SecureWay Key Recovery Technology（以下、SecureWay）は、IBM社が開発したキーリカバリー技術である。同社の資料”Key management framework and key recovery technology”（IBM[18]）によれば、SecureWayの主な特徴は次の通り。

1. 　ユーザーAは、暗号通信開始前に、利用するKRSPを複数選択し（利用するKRSPの数は任意）、登録する。
2. 　ユーザーAは、通信相手との間で相互認証およびセッション鍵の交換を行う。
3. 　ユーザーAは、通信文をセッション鍵によって暗号化した後、セッション鍵を復号化するための情報Key Recovery Information（以下、KRI）を作成する。KRIの内容および作成方法は次の通り。

1. 　KRIは、管理情報、乱数情報、セッション鍵情報から成る。
2. 　管理情報は、暗号文の送受信者のID、KRSPのID、セッション鍵の有効期間、暗号文送信時刻等によって構成される。
3. 　乱数情報は、各KRSPが秘密に所有している乱数を、各KRSPの公開鍵によって暗号化したものである。KRIには、この乱数情報がKRSPの数だけ含まれる。
4. 　セッション鍵情報は次の手順で生成される。まず、各KRSPは自分の乱数からある特定の方法で２次的パラメータ（Secondary Parameter）を生成する。次に、ユーザー側のサーバーが、各KRSPの２次的パラメータを利用して順次セッション鍵を暗号化する。この暗号化されたセッション鍵がセッション鍵情報となる。

4. 　ユーザーBは、自分のKRIを同様に作成し、ユーザーAに送付する。
5. 　ユーザーAは、２つのKRIを暗号文に添付して送信する。
6. 　ユーザーBは、暗号文を受信すると、あらかじめ交換しておいたセッション鍵によって暗号文を復号化する。通常の暗号通信ではKRIは利用されない。

1. 　法律執行機関は、復号化したい暗号文に添付されている法律執行対象者のKRIを入手し、そのうちの乱数情報を対応する各KRSPに送付する。
2. 　各KRSPは、まず乱数情報を自分の秘密鍵で復号化して乱数を得た後、その乱数から２次的パラメータを生成し、それを法律執行機関に提出する。
3. 　法律執行機関は、各KRSPから入手した２次的パラメータを利用してセッション鍵情報を復号化し、セッション鍵を得る。

　プログラムに手を加えることにより真正なKRFを通信文に埋め込まないようにする方法がBlazeによって示されている（Blaze[5]）。真正性確認に合格するような偽造KRFを作成する方法（Clipper Chipの場合、check sumが16 bitなので、高々2¹⁶回の暗号化と同等の操作で偽造KRFを作成できる）とKRF自体を送信しないで済ませる方法である。前者は送信者のみが不正を企図している場合に実行可能な攻撃（方式Ａに対し有効）であり、後者は送・受信者双方が不正を企図している場合に実行可能な攻撃（方式Ａ、方式Ｃに対し有効）である。但し、同無効化法が行われていることを法律執行機関は検出できる。

　Subliminal Channel Attackとは、ユーザー側で鍵管理機関に登録した公開鍵セットとは異なる公開鍵セットを生成し、これを用いて暗号通信を行う攻撃である。特に、MicaliのFair Public-Key Cryptosystemsの場合はユーザー側で鍵を生成する仕組みであるため同攻撃が容易に実行可能と思われる。Kilian & LeightonのFailsafe Key Escrow Approachは同攻撃を防止するため公開鍵セットをユーザー側と鍵管理機関側で半分ずつ生成し合成する仕組みとしているが、本質的な解決方法とはなっていないと考えられる。但し、こうした合法アクセス無効化法が行われていることを法律執行機関は検出できる。

　Squeezing Attackとは、他者のKRFを使用することにより他者に成りすます方法である（Frankel and Yung[16]）。Clipper Chipの場合、KRFを生成する際に送信者aのIVa（Initialization Vector）を使ってKRFaを作成する。暗号化モードでは、IVはその装置固有のIVに自動的に設定されるが、復号化モードの場合には、IVは手入力によって設定される。したがって、他者bになりすまそうする暗号文送信者は、復号化モードにおいて他者のIVbを入力し、そのIVbでKRFbを作成することができる。但し、同無効化法が行われていることを法律執行機関は検出できる。

　Spoofing Attacksとは、本人確認が未実現な通信システムにおいて成りすましにより他者の通信路を無断借用し鍵配送と暗号通信を実現する方法である（Frankel and Yung[16]）。この場合、真正なセッション鍵情報が含まれたKRFが送信されている訳であるが利用されている通信路の利用者は法律執行対象ではないため同KRFが法律執行当局に盗聴されることはなく、従って検出もされない。

　上記攻撃は、(オ)を除けば、何れも法律執行機関が合法アクセスを行おうとした時に暗号文の復号化自体はできないが、合法アクセス無効化法が講じられていることは検出可能である。本攻撃法は、こうした法律執行機関による検出自体も不可能にする方法である（松本・糸山[3]）。同攻撃法は大別して２種類ある。

1 Network Wizard社による97年1月時点でのインターネット接続台数調査によれば、日本は米国に次ぐ世界第２位のインターネット利用国となっている（世界に占めるウエイトは4.5％）。

2 特に、米国では、財務省指令（Treasury Directive）により、電子資金移動（EFT）の取引データをDESを利用して暗号化することが規定されていることもあり、多くの金融機関が暗号技術を利用してきた。

3 米国政府は当初このスキームを「キーエスクロー」と呼んでいたが、1996年10月のゴア副大統領の公式声明以降は「キーリカバリー」という表現に変更している。本論文では、歴史的な事実としての記述を除き、現在では一般的となった「キーリカバリー」という表現を利用している。この用語については、注18も参照。

4 OECD暗号政策ガイドライン: OECDの科学技術産業局(DSTI: Directorate for Science, Technology and Industry）の「情報、コンピューター及び通信政策委員会」（ICCP: Committee for Information, Computer and Communications Policy）の中に設けられたアドホックな暗号専門家会合において1996年の5月から12月にかけて起草され、1997年3月27日に正式発表された各国の暗号政策に関するガイドライン。同ガイドラインはOECDのホームページ（http://www.oecd.org/dsti/iccp/crypto_e.html）に掲載されている。

5 例えば、第二次世界大戦において、ドイツ軍が使用していたエニグマと呼ばれる暗号機の解析による暗号解読の成功は、連合軍の勝利に重要な役割を果たしたと言われている。

6 NIST（National Institute of Standards and Technology）：米国商務省の下部組織で、科学技術全般に関する標準を策定する役割を担っているほか、情報通信の分野では、1987年に成立したComputer Security Actにより、FIPSを制定する権限を有している。ただし、米国政府の情報セキュリティ政策を国防長官の管轄と定めた1980年の大統領令（Executive Order 12333）等により、実際の暗号政策の企画立案や標準策定は、国防総省の下部機関であるNSA（National Security Agency）が強い影響力を持つと言われている。

7 IETF（Internet Engineering Task Force）：インターネットを管理するための委員会（IAB：Internet Architecture Board）の下部組織で、インターネットの標準プロトコルを指定したり、インターネットで使用する規格を推薦する専門技術者の自主的な集まり。

8 EFF（Electronic Frontier Foundation）：米国西海岸在住のインターネット技術者達が組織した非営利団体。本拠地はサンフランシスコ。コンピューター・ネットワークにおけるプライバシー、人権問題、知的財産権と自由な情報共有の両立等、サイバースペースにおける様々な問題について、幅広く議論を喚起し、政府に対して様々な要求を行うと同時に、それらに関連する様々な情報をインターネット上でリアルタイムに提供している（EFF[14]）。

9 CDT（Center for Democracy and Technology)：EFFから派生したメンバーがワシントンD.C.を本拠地に設立した非営利団体。EFFと同様、ネットワーク社会におけるプライバシーと人権問題について活動を行っている（CDT[8]）。

10 EPIC（Electronic Privacy Information Center）：人権問題とプライバシー問題に関する調査・広報活動を主目的とする市民団体。本拠地はワシントンD.C.。Fund for Constitutional Government（「合衆国憲法に則した政治」を求める非営利財団）が支援する事業として1994年に設立された。OECD暗号専門家会合にも委員を派遣している（EPIC[15]）。

11 ファイヤーウォール：複数のネットワーク間でのアクセス制限を行い、不正なアクセス要求を通さずに各ネットワークを論理的に分離するための装置。例えば、高度なセキュリティの必要な社内LANとインターネットを接続する場合、両者をファイヤーウォール機器を介して接続すれば、社内LANのセキュリティを失うことなく、インターネットの各種機能を利用することができる。高セキュリティ領域の情報の秘匿や、正当なアクセス要求の認証に、暗号技術が利用されることが多い。

12共通鍵暗号の強度は、一般にその鍵長に応じて変化する。すなわち、共通鍵暗号を全数探索法（考えられるすべての鍵で復号化処理を行ってみる攻撃法）によって解読する場合、鍵長が長いほど候補となる鍵の種類が多いので解読が困難になる。1997年1月にカリフォルニア大学の大学院生が、40 bit鍵長のRC5共通鍵暗号を250台のワークステーションを利用して約4時間で解読したとの報告もあり、40 bit程度の鍵長の共通鍵暗号は比較的弱いとの認識が一般的である。

13 Clipper Chip：Mykotronx社が独占的に供給するMYK78と呼ばれる専用チップ。暗号アルゴリズムであるSkipjack、装置識別子、ファミリー鍵、装置固有鍵が格納されており、内部の情報を解析・変更できないような「耐タンパー性」を持つとされている。

14 Skipjack：NSA(National Security Agency)によって開発されたDESタイプの共通鍵暗号アルゴリズム。80 bitの鍵をパラメータとして非線形変換を32回繰り返し、64 bitの平文ブロックを64 bitの暗号文ブロックに変換する仕組み。なお、そのアルゴリズムや技術の詳細は開示されていない。

15 鍵寄託機関の役割を誰が担うか、という問題については、米国政府は、当初、政府内の機関に任せることを想定しており、1994年2月に司法長官が示した案では、NISTと財務省が担当するとしていたが、その後、ゴア副大統領は、「２つの鍵寄託機関をともに政府内に置くと、政府の権限濫用を懸念する意見を説得できない」として、一方は民間団体に委ねる考えを表明した。

16 Diffie-Hellman方式による鍵共有：離散対数問題（y≡a^x (mod p)を満たすxを求める問題）の困難性に基づく鍵共有方式。暗号通信者は予めaとpを定め、各々秘密の乱数x₁,x₂を生成し、y_i≡a^x_i (mod p)を生成する。暗号通信者は互いに相手にy_iを送付し、相手のy_iに自分の秘密の乱数x_jを乗じて、y₁^x₂≡y₂^x₁≡a^(x₁x₂)を計算する。これが共通の暗号鍵となる。このようにして、暗号通信者は秘密の暗号鍵をネットワークで配送せずに共有することができる。

17 NII構想（National Information Infrastructure、情報スーパーハイウェー構想）：アメリカのゴア副大統領が提唱した、全米を光ファイバーで結ぶ次世代通信網構想。1992年にクリントン・ゴアの選挙公約として発表され、クリントン政権の主要施策として推進されている。2015年を目標として全国規模の通信情報基盤を構築することにより、国際競争力の強化、雇用機会の増大、教育・医療サービスの向上等の社会経済的効果を実現することが提唱されている。

18 米国IBM社は、ゴア副大統領の公式声明と同時期に、”The need for a global cryptographic policy framework”と題する論文（IBM[17]）を発表しているが、この中で、キーエスクローとキーリカバリーとの違いについて説明している。それによると、両者の違いは秘密鍵に関する情報を第三者機関がどのような形態で管理するかにあり、「キーエスクローの場合には、第三者機関は秘密鍵そのものを管理するが、キーリカバリーの場合には、第三者機関は、秘密鍵そのものではなく秘密鍵を生成するために必要な情報（Key Recovery Information）のみを管理し、必要に応じてこの情報から秘密鍵を復元する」としている。ただし、後で述べるように、キーリカバリーを実現するための技術には様々なバリエーションが存在するため、本論文では、より広い意味でキーリカバリーという用語を使用している（注3を参照）。

19 Key Recovery Allianceに参加した企業は、Apple Computer、Atalla、Digital Equipment、Groupe Bull、Hewlett-Packard、IBM、NCR、RSA Data Security、Sun Microsystems、Trusted Information Systems、UPSの11社。

20 RSA Data Security社はKey Recovery Allianceの創立メンバーに加わってはいるが、当初からキーリカバリー構想に対して積極的に取り組む姿勢を示していた訳ではなかった。

21 Lotus社の資料によれば、1996年末時点で、Lotus Notesのユーザーは全世界で950万人、日本国内で122万人に達している。国内での大規模ユーザーは、官庁、金融機関、電機・自動車等の大手メーカー、通信業者等、あらゆる業種に亘っている。

22 TIS社が発表したキーリカバリー対応製品は複数存在するが、ここではその基本技術を紹介している。なお、TIS社の技術文献のうち、TIS[37]ではCommercial Key Escrow、Commercial Key Recovery、TIS[38]ではRecoverKey- International、RecoverKeyという名称が使われているが、これらの違いを整理すれば下表のとおり。

TIS社のキーリカバリー技術のタイプ別・時期別による分類

23 Trusted Information Systems社：米国Maryland州 Glenwoodを本拠,とする情報セキュリティ製品の有力なベンダー。暗号ソフトウエアの開発サポート、ファイヤーウォール製品の製造・販売やコンサルタント業務を行っている。

1. 辻井重男・石崎靖敏、「OECD暗号政策ガイドラインとその背景」、 暗号と情報セキュリティシポジウム、SCIS’97-1A、電子情報通信学会、1997年1月29日.
2. 古瀬幸広・廣瀬克哉、『インターネットが変える世界』、岩波新書、1996年2月.
3. 松本勉、糸山大志、「Lawful Accessの無効化を狙う暗号通信の検出は容易か？」、電子情報通信学会技術研究報告ISEC97-79、1997年.
4. 力武健次、『インターネットコミュニティ―国際ネットワーク最前線―』、オーム社、1994年11月.
5. Blaze, M., "Protocol Failure in the Escrowed Encryption Standard," Proc. of The second ACM Conference on Computer and Communication Security, pp. 59-67, ACM Inc., November 1994.
6. Brickell, E. F., D. E. Denning, S. T. Kent, D. P. Maher, and W. Tuchman, "SKIPJACK Review: The SKIPJACK Algorithm," July 28, 1993.
7. Bureau of Export Administration, Department of Commerce, "Department of Commerce Encryption Export Regulation," December 30, 1996.
8. Center for Democracy and Technology, "CDT Cryptography Policy Issues Page," (http://www.cdt.org/crypto/).
9. Denning, D. E., "International Key Escrow Encryption: Proposed Objectives and Options," International Cryptography Institute 1994, August 2, 1994.
10. Denning, D. E., and D. K. Branstad, "A Taxonomy for Key Escrow Encryption Systems, " Communication of the ACM, Vol. 39, No. 3, ACM Inc., March 1996.
11. Denning, D. E., and M. Smid, "Key Escrowing Today," IEEE Communications, September 1994.
12. Department of Trade and Industry, "Paper on Regulatory Intent Concerning Use of Encryption on Public Network," June 10, 1996.
13. Department of Trade and Industry, "Licensing of Trusted Third Parties for the Provision of Encryption Services: Public Consultation Paper on Detailed Proposals for Legislation," March 21, 1997.
14. Electronic Frontier Foundation, "Privacy, Security, Crypto, and Surveillance," (http://www.eff.org/pub/Privacy/).
15. Electronic Privacy Information Center, "Cryptography Policy," (http://www.epic.org/crypto/).
16. Frankel, Y. and M. Yung, "Escrow Encryption Systems Visited: Attacks, Analysis and Designs," Proc. CRYPTO ‘95, Lecture Note in Computer Science, Vol. 963, pp. 222-235, Springer-Verlag, 1995.
17. IBM Corp., "The need for a global cryptographic policy framework," October 1996.
18. IBM Corp., "Key management framework and key recovery technology," IBM White Paper, February 1997.
19. Kandau, S., S. Kent, C. Brooks, S. Charney, D. E. Denning, W. Diffie, A. Lauck, D. Miller, P. Neumann, and D. Sobel, "Crypto Policy Perspective," Communications of the ACM, Vol. 37, No. 8, pp. 115-121, ACM Inc., August 1994.
20. Kilian, K., and T. Leighton, "Fair Cryptosystems, Revisited," Proc. CRYPTO ‘95, pp. 208-221, 1995, Springer-Verlag,.
21. Kuner, C., "German ICC Draft Working Paper on Crypto Policy," (http://ourworld.compuserve.com/ homepages/ckuner/icc01.htm#ICC Draft), March 3, 1997.
22. Kuner, C., "Statements by German Business against Crypto Regulation," (http://ourworld.compuserve.com/homepages/ckuner/gmindst1.htm#gmindst), March 3, 1997.
23. Laurie, B., "A Supplementary Analysis of the Royal Holloway TTP-based Key Escrow Scheme," (http://www.algroup.co.uk/crypto/rh.html), November 16, 1996.
24. Micali, S., "Fair Public-Key Cryptosystems, " Technical Report 579, MIT Lab. For Computer Science, August 1993.
25. National Institute of Standards and Technology, "Escrowed Encryption Standard (EES)," Federal Information Processing Standards Publication (FIPS PUB) 185, 1994.
26. National Institute of Standards and Technology, "Issues - Export of Software Key Escrowed Encryption," Discussion Paper #1, Key Escrow Issues Meeting, September 6, 1995.
27. National Institute of Standards and Technology, "Discussion Issues: Desirable Characteristics for Key Escrow Agents," Discussion Paper #2, Key Escrow Issues Meeting, September 6, 1995.
28. National Institute of Standards and Technology, "Export Criteria Discussion Draft - 64 bit Software Key Escrow Encryption," Discussion Paper #3, Key Escrow Issues Meeting, September 6, 1995.
29. National Research Council, Cryptography’s Role in Securing the Information Society, National Academy Press, Washington, D. C., May 30, 1996.
30. National Semiconductor, "The National Fortezza Crypto Card," (http://www.ipsecure.com/htm/fortezza.html), 1994.
31. Office of Management and Budget, Executive Office of the President, " Enabling Privacy, Commerce, Security and Public Safety in the Global Information Infrastructure," May 17, 1996.
32. Office of Technology Assessment, Congress of the United States, "Information Security and Privacy in Network Environments," U. S. Government Printing Office, September 1994.
33. OECD, "Recommendation of the Council concerning Guidelines for Cryptography Policy," (http://www.oecd.org/dsti/iccp/crypto_e.html), March 27, 1997.
34. Schneier, B., E-MAIL SECURITY, John Wiley & Sons, Inc., 1995.（Bruce Schneier著、力武健次 監訳、道下宣博 訳、『E-Mailセキュリティ』、オーム社、1995年5月.）
35. Steptoe & Johnson LLP, "France’s Proposed Statutory Trusted Third Party Rules for Encryption," (http://www.steptoe.com/france.htm), 1996.
36. Committee of Ministers, Council of Europe, "Recommendation No. R(95) 13 of the Committee of Ministers to Member States," September 11, 1995.
37. Trusted Information Systems, Inc., "TIS announces encryption Key Recovery Technology ? Technical Description," RSA Data Security Conference, San Francisco, California, January 18, 1996.
38. Trusted Information Systems, Inc., "Exportable Strong Encryption: RecoverKey^TM CSPs," (http://www.tis.com/docs/products/recoverkey/rkey3.html), November 1996.
39. VeriSign, Inc., VeriSign^TM CPS, VeriSign Certification Practice Statement Version 1.1, 1996.（日本ベリサイン株式会社、『ベリサイン サーテイフィケーション プラクテイス ステートメント』、 1997年2月5日.）