ニュース&イベント NEWS & EVENTS
情報を暗号化したまま扱うシングルサインオン(SSO)アルゴリズムの開発に成功
~安全性と利便性を両立した情報処理技術の確立に一歩前進~
- ●複数のWebサービスにおけるパスワードの使いまわしなどセキュリティの問題が顕在化する中、1つのIDとパスワードで複数のサービスにログインできるSSOは、利便性と安全性を両立する仕組みとして注目を集めています。
- ●研究グループは、ユーザーの個人情報は開示せず、認証情報のみをサービスプロバイダに提供するSSOアルゴリズムの開発に成功しました。
- ●本研究で提唱した「情報を暗号化したまま扱う」という情報処理技術が普及すれば、生体情報のような変更のきかない個人情報も安全に利用可能になり、安全性と利便性を両立した情報セキュリティの確立に寄与すると期待されます。
東京理科大学理工学部情報科学科の入山聖史准教授らの研究グループは、ユーザーの個人情報は開示せず、認証情報のみをサービスプロバイダに提供する、すなわち情報を暗号化したまま扱うシングルサインオン(SSO:※1)アルゴリズムの開発に成功しました。本アルゴリズムは、個人情報をローカルストレージや外部のデータベースに保存する必要がないため、情報の分散化および独立した情報管理を実現します。
現在、インターネット利用人口は増え続け、ユーザーのほとんどは複数のWebサービスを利用しています。そのため、1つのIDとパスワードで複数のサービスにログインできるSSOは、入力や管理の手間が省け、利便性が向上することで注目を集めています。しかし、セキュリティに対する懸念から多くのユーザーがSSOの利用をためらっているという報告もあります。
そこで研究グループは、ユーザーの個人情報は開示せず、認証情報のみをサービスプロバイダに提供する、すなわち情報を暗号化したまま扱うSSOアルゴリズムの開発を行いました。開発したアルゴリズムは、暗号化方式の一種である照合可能暗号(VE)をベースに、ワンタイムパッドを適用することにより、セキュリティ攻撃に対する高いロバスト性(堅牢性)を実現しました。ワンタイムパッドとは、暗号運用方式の一種で、一回限りの乱数鍵を使用して暗号化および復号化を行うため、正しく運用された場合、解読は不可能です。
SSOが普及すれば、サービスを活用するユーザーだけでなく、IT企業のシステム管理者の負担も軽減され生産性も向上しますが、一方で情報セキュリティの安全性も追求する必要があります。個人情報のマーケティング利用や情報格差の問題が深刻さを増す中、安全性と利便性を両立した情報セキュリティの実現は急務です。本研究グループが提唱する「情報を暗号化したまま扱う」という情報処理技術が普及すれば、生体情報のような変更のきかない個人情報も安全に利用可能になり、私たちの生活はより一層安全・安心になると期待されます。
研究の背景
2019年中頃の推計によると、世界のインターネット利用者人口は4.5億人を上回り、その数は増加の一途をたどっています。各種Webサービスやアプリケーションの活用の際には、本人確認プロセスであるIDとパスワードの作成がペアで必要になりますが、ユーザーは同じパスワードを使い回す傾向があり、1つサービスで情報が漏れると他のサービスにも影響が及ぶ可能性があります。そこで脚光を浴びているのがSSOです。
電子システムにおいて認証とは、ユーザーが入力したIDとパスワードのペアが、システムに保存されているIDとパスワードに一致するかどうかを確認するプロセスのことを指し、認証のあとに、各々のWebサービスが要求されたアクションを許可するかどうかを決定するプロセスのことを認可と呼びます。
代表的なSSOとして、ケルベロス認証、SAML認証、OpenID認証、OAuth認証などが挙げられます。OAuth認証以外は認可ではなく認証に着目したシステムで、まず認証情報を提供するサーバーがユーザーが送信したIDとパスワードを認証し、成功するとトークン(※2)とログオンチケットと呼ばれるデータを受け取ることができます。サービスプロバイダはユーザーがアクセス権を持っているかどうかの確認にログオンチケットを使用するため、IDとパスワードが直接サーバーに提示されることはありません。
しかし、IT業界において支配的な地位を占めるGAFA(※3)などの巨大IT企業では、認証情報を提供するサーバーとサービスプロバイダの両方を提供しているため、同意管理上の問題が指摘されています。同意管理とは、利用者からの同意取得を厳格にし、個人データ(IDやパスワードを含め、検索履歴、購入履歴など)の機密性をより強固なものにする概念です。個人データをマーケティングに許可なく利用しないことを「同意」させる一方で、現状は取り扱いに明確な規制が設けられておらず、ユーザーの意図しない情報の収集が問題となっています。
そこで本研究グループは、ユーザーの個人情報は開示せず、認証情報のみをサービスプロバイダに提供するSSOアルゴリズムの開発を行い、セキュリティ攻撃に対するロバスト性(堅牢性)を評価しました。
研究結果の詳細
本研究では、原則として個人情報漏洩がなく、サービスプロバイダが認証情報以外の情報を得ることもない、下記の項目を満たすアルゴリズムを構築しました。
- ・ユーザーの個人情報、ユーザーの個人情報を暗号化する際に使用する鍵(暗号鍵:※4)、サービスプロバイダの個人情報など、それぞれの情報の所属を明確にする。
- ・ユーザーの個人情報と暗号化鍵は同じストレージに保存しない。
- ・ユーザーの個人情報と認証情報は同時に保持しない。
- ・ユーザーの個人情報暗号化に用いた暗号鍵と認証情報を同時に保持しない。
本研究では、VEベースの認証アルゴリズムにワンタイムパッドを適用することで、安全かつ高速な認証を実現する独自のSSOアルゴリズムを開発しました。VEベースの認証アルゴリズムは、サーバー側に暗号鍵を配布することなくネットワークを介してローカル機器のロックを解除するため、セキュアで高速な認証を可能にします。これらの仕様により、サーバー側で利用者の個人情報や認証情報を知られることもありません。
また、IDやパスワードだけでなく任意の個人情報、例えば生体情報やクレジットカード番号、ICカード番号といった個人が保有する固有の番号も、VEベースのSSOアルゴリズムに適用することができます。他にも、本研究のアルゴリズムは8192ビットのテキスト長さを対象としており、実行速度も1ms以下という結果が出ています。
SSOに対する攻撃として「マンインザミドルアタック(中間者攻撃、以下:MITM)」がよく知られています。MITMは能動的な盗聴法の一種であり、公開鍵暗号との合意によるセキュリティホールを突いてアルゴリズムを攻撃します。本アルゴリズムでは、その安全性から公開鍵暗号との合意が不要となり、MITMによる攻撃の回避を実現しています。セキュリティプロトコル解析ツールであるProVerifを用いた解析からも、高い安全性が示されました。
また、本アルゴリズムは、個人情報をローカルストレージやIdP(ID Provider:※5)、RP(Relying Party:※6)のデータベースに保存する必要がないため、情報の分散化を実現します。IdPやRPはクラウド上に個人情報リストを保有する懸念がありますが、本アルゴリズムを適用すれば、他者に知られずに情報を個別に管理することが可能になります。これにより、近年問題となっているGAFAの意図しない個人情報の収集を抑止できますので、セキュリティおよびプライバシーの課題を解決する一助となります。
本研究で提唱した「情報を暗号化したまま扱う」という情報処理技術が普及すれば、生体情報のような変更のきかない個人情報も安全に利用可能になり、安全性と利便性を両立した情報セキュリティの確立に寄与すると期待されます。
用語
- ※1 シングルサインオン(SSO):単一のIDとパスワードで複数のシステムへログインできる仕組み。
- ※2 トークン:ユーザーの認証の際にIDとパスワードを渡す代わりに発行されるもので、サービスプロバイダ側は認証情報をトークンを用いて検証できる。
- ※3 GAFA:IT業界において支配的ない地位を占めるGoogle、Amazon、Facebook、Appleの頭文字をとった略称。
- ※4 暗号鍵:情報を暗号化するためのデータ。
- ※5 IdP:SAMLにおいて認証情報を提供するプロバイダ。
- ※6 RP:IdPによる認証情報に基づき、ユーザーにサービスを提供する主体。
論文情報
雑誌名 | : | Cryptography |
---|---|---|
論文タイトル | : | Security and Performance of Single Sign-On Based on One-Time Pad Algorithm |
著者 | : | Maki Kihara, Satoshi Iriyama |
DOI | : | 10.3390/cryptography4020016 |
入山研究室
入山准教授のページ:https://www.tus.ac.jp/fac_grad/p/index.php?3a18
東京理科大学について
東京理科大学:https://www.tus.ac.jp/
ABOUT:https://www.tus.ac.jp/info/index.html#houjin
関連記事
-
2025.07.02
磁気渦物質における角運動量反転現象の理論的発見
~ゲージ不変な熱力学が導く量子物質の新たな普遍性~東京理科大学理化学研究所東京大学大学院理学系研究科浙江大学 研究の要旨とポイント 強磁場と高速回転が共存する「磁気渦物質」において、電子の軌道角運動量がスピンを凌駕し、従来考えられてきた方向とは逆向きに偏極する新現象を理論的に発見しました。…
-
2025.06.27
中性子星表面の核融合「スーパーバースト」を観測
-キューブサットX線衛星NinjaSatが新天体の解明に貢献-理化学研究所、東京理科大学京都大学、千葉大学、広島大学 概要 背景 研究手法と成果 今後の期待 論文情報 補足説明 国際共同研究グループ 東京理科大学について 概要 理化学研究所(理研)開拓研究所玉川高エネルギー宇宙物理研究室の青山有未来理…
-
2025.06.26
小さいナノ粒子ほどタンパク質二次構造に顕著な影響を与える
~ナノ粒子の医学生物学応用に向けた重要な知見~東京理科大学 山陽小野田市立山口東京理科大学 研究の要旨とポイント ナノ粒子は医療応用が期待される材料ですが、タンパク質の構造異常を引き起こすことから生体毒性が懸念されています。 今回、サイズの異なるシリカナノ粒子を用いてタンパク質の二次構…