CRYPTRECとは、経済産業省及び総務省が共同で運営する暗号技術検討会と、国立研究開発法人情報通信研究機構(NICT)及び独立行政法人情報処理推進機構(IPA)が共同で運営する暗号技術評価委員会及び、暗号技術活用委員会で構成される組織である。
リンク:CRYPTREC | トップページ
CRYPTRECの行っている事は以下。
CRYPTREC とはCryptography Research and Evaluation Committees の略であり、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトである。
CRYPTREC | CRYPTRECとは
行政機関等はこのCRYPTRECの作成する電子政府推奨暗号リスト(CRYPTREC | CRYPTREC暗号リスト(電子政府推奨暗号リスト))に基づいてセキュリティを確保する事が推奨されている。
…が、CRYPTRECという組織について、その事務所所在地が不明(サイトに書かれていない)であったり、どこに所属しているのかと訊くと「4者共同運営です」という様なよく分からない返答が返ってきたり*1、対応が良くなかったり(楕円曲線暗号の使用については権利者と相談しろ等言い放っていたり*2)するという点で、結構胡散臭い組織である。
NISCもあんなだし、GPKIもApplicatoinCA2はまだMozillaのNSS証明書ストアに取り込まれてなかったりするし、HTTPSプロトコルでの閲覧を提供していない所ばかりだし、多くのサイトでPOSTで画面遷移を行わせるべきところをJavaScriptでさせてたりするし*3、日本の電子政府はどうなっているのであろうか…。
*1:行政組織としてのヒエラルキーは…?一応どこ付きとかいうのがあるでしょう?
*2:楕円曲線暗号(例えばTLSにおけるECDHE)について、他行政機関では既に使っていたり(例:IPA 独立行政法人 情報処理推進機構)、というかそもそもhttps://www.cryptrec.go.jp/about.htmlでも使っていたりするのだが…責任を持ってこの使用に関するコメントを行わないとは一体どういう事であろうか。政府行政の組織としての意識を疑わざるを得ない(というか、CRYPTRECのこういう態度が原因で行政機関のサイト(代表例:電子政府の総合窓口e-Gov イーガブ)においてECDHEの普及が進んでいないのではないかという疑いが強いのであるが。)。2016/03/17追記:ちなみにdigをすると"cryptrec.go.jp. 86400 IN A 1.33.191.232"との事でCRYPTRECのサイトはNTTPCコミュニケーションズ(1.33.188.0 - 1.33.191.255)によりホスティングされている様であるが、ECDHEを使用するにあたり権利者と何らかの利用許諾契約等は行っているのであろうか?無ければ暗号リストを作成し、権利についての注意書きをしている主体としてどうなのよ、という話なのであるが…。
*3:控えめなJavaScriptという鉄則も知らないSIerを好んで使う体質でもあるのであろうか?日本の行政には…。該当するサイトには例えば医師等資格確認検索等があるが、JavaScriptが必須になっている分、2000年前後よりUI/UXが落ちているのでは…。この現象は一体何と呼べばいいのだろう…?