2021年12月3日8:00
FIME JAPANの技術解説。今回は、決済の次世代暗号アルゴリズムとなりえる「楕円曲線暗号(ECC: Elliptic Curve Cryptography)」について解説してもらった。
記事のポイント!
①ICカードやクレジット端末の楕円曲線暗号(ECC)更新は効果的
②ECC利用時の注意点
③EMV Contact/EMV Contactless/PCI-PTS/ブランドテストの対応
④対応の要請はブランドからアクワイアラが最初?
⑤Mastercard注目の耐量子暗号はECCとは別軸で議論
⑥格子暗号等より先にECC対応が進む
⑦ECCは影響範囲が広い
昨今、決済にて次に利用される暗号アルゴリズムとして、楕円曲線暗号(ECC: Elliptic Curve Cryptography)が取り上げられている。これはRSA暗号の代替として使われることが期待されている暗号アルゴリズムであり、特にEMV仕様におけるカード認証技術で利用されることが示唆されている。RSA暗号に対しての有利な特徴としては、鍵長が短くとも安全に暗号処理が実施でき、且つその処理が早いことが挙げられる。それに伴い、鍵そのものを保管するストレージ容量も節約することもできる。ICカードや、クレジット端末は小さいコンピュータを動かすため、計算や保存に関するリソースが少ない。その面でもECCへの更新は効果的だと言える。
●楕円曲線暗号(ECC)を利用する際の注意点
暗号アルゴリズムの利用者としては、その仕組みについて完全に理解する必要性は少ない。利用する際に重要なことは、置き換わる対象と使い方の変化である。EMVでは、署名検証アルゴリズムが置き換わり、対象となる鍵はCA鍵ペア/Issuer鍵ペア/ICC鍵ペア等である。使い方の変化としては、RSA暗号とECC暗号では公開鍵を構成するパラメータが異なることに起因して、入力パラメータフォーマットが大きく変わることが想定される。EMV内部のロジックはEMV仕様の準拠により対応できるが、端末やPOSに実装されている決済アプリケーションもこのフォーマットの変化の影響を受ける可能性が高い。また、現在CA公開鍵を配布しているアクワイアラ、PSP(Payment Service Provider)、あるいは決済ネットワークは、このECC暗号で用いられる公開鍵フォーマットで端末へのCA公開鍵配布が出来るようになる必要がある。新規でECC公開鍵配布の電文を作る難易度は、ステークホルダの多さに比例すると思われる。また、RSA公開鍵配布のロジックに相乗りする場合には、実質固定値になっているパラメータも存在しており、少ない影響で乗り越えることは難しいように思える。
●現在対応がどのように進んでいるか?
EMV Contact:EMVCoが主導して進めている。2021年10月にECC利用に関する仕様の速報が発行されており、誰でも閲覧可能である。
EMV Contactless:各ブランド主導で導入が決定される。広報等から、Mastercardが積極的に動いていることが見受けられる。
PCI-PTS:v6.0からCPUがECC暗号に対応していることが要件となっている。PTS要求内部で公開鍵暗号方式を使って安全を確保する要求もあるが、これについてECC利用が義務付けられている訳ではない。
ブランドテスト:Mastercardブランドにおいて、最新のテスト要件にてECC用のCA公開鍵が定義されている。これは日本国内向けではないが、特定の国から徐々に対応しようとしていることが示唆されている。
●注意すべきステークホルダは?
このコンテンツは会員限定(有料)となっております。
「Paymentnavi Pro2021」の詳細はこちらのページからご覧下さい。
すでにユーザー登録をされている方はログインをしてください。