IT用語集 2023/10/20

RSAとは？わかりやすく10分で解説

コラム

RSAは「公開鍵暗号」の代表例として広く知られていますが、実務では「暗号化そのもの」よりも、通信相手の正当性を確認する仕組み（証明書・署名）や、安全な鍵交換を成立させる一部の要素として登場することが多い暗号方式です。本記事では、RSAが何を守り、どこで使われ、どこに注意すべきかを整理し、あなたの環境にRSAを採用すべきか判断できる状態を目指します。

はじめに

RSAとは？

RSA（Rivest–Shamir–Adleman）は代表的な公開鍵暗号方式の一つで、1977年に提案されました。公開鍵暗号は、暗号化や署名に使う鍵（公開鍵）と、復号や署名作成に使う鍵（秘密鍵）を分離できる点が特徴です。これにより、秘密鍵を相手に渡さずに安全なやりとりを成立させやすくなります。

RSAの安全性は、主に大きな整数の素因数分解が困難であるという性質に依存します。具体的には、十分に大きい2つの素数を掛け合わせて作った合成数を、第三者が短時間で素因数分解できないことを前提にしています。

RSAは公開鍵暗号の実用化を大きく前進させた方式の一つであり、その後のインターネットの安全な通信基盤（証明書、署名、鍵交換の枠組み）に強い影響を与えてきました。

RSA暗号の発展

RSAは、Webの安全な通信を実現する仕組み（TLS）や、企業内の認証基盤（PKI）などで長く使われてきました。特にRSAは、デジタル署名の用途で現在も利用される場面があり、証明書による「このサーバは確かに正しい相手だ」という確認に関与します。

一方で、TLSの世界では、暗号の設計や推奨が更新され続けています。たとえば、過去に広く使われたRSA鍵交換は、現在ではより望ましい方式（例：ECDHEなど）へ移行が進んでいます。つまり、RSAは「いつでも・どこでも主役」というより、役割が整理され、使いどころが絞られてきている暗号方式だと理解すると実態に近いでしょう。

RSA暗号の基本機能

RSAが担う基本機能は大きく2つあります。

公開鍵暗号（暗号化／復号）：送信者が受信者の公開鍵で暗号化し、受信者が秘密鍵で復号します。
デジタル署名（署名作成／検証）：送信者が秘密鍵で署名を作成し、受信者が公開鍵で検証します。

現代の実装では、RSAを「生のまま」で使うのではなく、パディングと呼ばれる安全対策を組み合わせます。暗号化ではOAEP、署名ではPSSなどが代表例で、これらを適切に使うことが、RSAを安全に運用するうえで重要です。

RSA暗号の特徴

RSAの特徴は、用途が明確で、実装や運用の知見が豊富である点です。長く使われてきた方式のため、ライブラリ、運用ガイド、監査観点などが揃っており、業務システムでも扱いやすい側面があります。

一方で、RSAは鍵生成・署名・復号などの計算が比較的重く、同等の安全性をより小さい鍵で実現できる楕円曲線暗号（ECC）と比べると、処理負荷や鍵サイズの面で不利になりやすいことも事実です。強度・性能・互換性のバランスで採用が判断される方式だと言えます。

RSA暗号の計算

RSAは数学的には整った仕組みですが、実務では「どう計算するか」を細部まで暗記するより、どこが安全性の根拠で、どこが運用上のリスクになり得るかを押さえることが重要です。ここでは、計算の流れを概観しつつ、誤解されやすい点も補足します。

RSAの公開鍵と秘密鍵の生成

RSAの鍵生成は、概ね次のような流れで行われます。

ランダムに2つの大きな素数を選ぶ
それらを掛け合わせた値を作り、公開鍵の一部（法）として用いる
特定の数学的条件を満たすように、公開鍵・秘密鍵の対を生成する

ここで重要なのは、鍵生成が「大きい数を作ればよい」という話ではない点です。素数の選び方が偏っていたり、乱数が弱かったりすると、理論上は強いRSAでも破られる可能性が高まります。つまりRSAの強度は、アルゴリズムだけでなく、鍵生成の品質（乱数・実装）にも強く依存します。

メッセージの暗号化プロセス

RSAで「暗号化」を行う場合、受信者の公開鍵を使って平文を暗号文に変換します。ただし実務では、長いデータをそのままRSAで暗号化することは一般的ではありません。RSAは処理が重く、扱えるデータ量にも制約があるためです。

そのため現代の設計では、多くの場合、まずランダムな共通鍵（セッション鍵）を作り、本文データは高速な共通鍵暗号（例：AESなど）で暗号化し、セッション鍵だけをRSAで保護するという組み合わせ（ハイブリッド暗号）になります。これにより、速度と安全性の両立がしやすくなります。

また暗号化用途では、RSAにOAEPなどのパディングを適用し、攻撃への耐性を確保します。RSA暗号化を語るうえで、パディング込みでRSAだと捉えることが安全です。

メッセージの復号プロセス

復号は、暗号文を秘密鍵で元の平文へ戻す操作です。暗号化と同様、パディング方式が安全性に直結します。パディングの扱いを誤ると、暗号そのものが強くても、実装面の弱点から攻撃が成立する可能性があります。

復号処理はサーバ側で行われることが多く、負荷が集中しやすい点にも注意が必要です。大量の復号要求を受け続けると、暗号が破られなくてもサービスが不安定になることがあります。RSAは「破られにくさ」だけでなく、運用負荷を見越した設計も重要です。

素数判定の重要性と効率化手法

RSAの鍵生成では、大きな素数を見つけるために素数判定（素性判定）が行われます。ここは「素因数分解の難しさ」と混同されがちですが、別物です。RSAが依存しているのは「作った合成数を分解するのが難しい」ことであり、鍵生成側では「素数かどうかを効率よく確かめて選ぶ」工程が入ります。

素数判定は高速化された確率的なテストなどが実務で使われ、十分な反復回数や条件設定により、現実的な時間で安全な鍵を生成します。ここでも、乱数の品質や実装の健全性が重要で、鍵生成を自前実装するより、信頼できる暗号ライブラリに任せるのが一般的です。

RSA暗号を安全にするために

RSAは強固な方式として知られますが、「RSAを使っている」だけで安全が約束されるわけではありません。鍵長、鍵管理、運用設計、実装方式の選択が揃って初めて、期待する安全性に近づきます。

鍵長とセキュリティレベル

RSAの安全性は、主に鍵長（法のサイズ）に依存します。一般に鍵長が長いほど素因数分解は困難になり、突破されにくくなります。ただし鍵長を伸ばせば万能というわけではなく、運用負荷や互換性とのトレードオフがあります。

実務では、古い鍵長（例：1024ビット）を避け、より安全とされる鍵長（例：2048ビット以上）を採用するのが一般的です。用途や要件によっては、さらに長い鍵長が選ばれることもありますが、サーバ負荷や証明書運用の増加も踏まえ、要件に見合う鍵長を選ぶことが現実的です。

鍵管理の重要性

RSAは秘密鍵が漏洩した時点で防御が崩れます。したがって鍵管理は、暗号方式の選定と同じくらい重要です。鍵管理で意識すべきポイントは次の通りです。

秘密鍵の保管：アクセス制御、暗号化保管、可能ならHSMなどの利用
権限分離：鍵に触れる人・システムを必要最小限にする
更新（ローテーション）：期限管理と計画的な更新
廃棄：不要になった鍵の確実な破棄と追跡

「鍵が安全な場所にある」だけでなく、鍵にアクセスできる経路が管理されていることが重要です。運用ログや監査証跡も、実務では大きな判断材料になります。

デジタル署名におけるRSAの利用

RSAは暗号化用途だけでなく、デジタル署名で広く使われます。デジタル署名は、次の2点を同時に満たすための仕組みです。

改ざん検知：途中で内容が変わっていないことを検証できる
送信者の正当性：正しい秘密鍵を持つ主体が署名したことを検証できる

署名では、本文全体を直接署名するのではなく、通常はハッシュ化した値に対して署名を行います。これにより、効率よく確実な検証が可能になります。署名方式でもPSSなどの安全な方式を選ぶことが重要です。

攻撃手法とその対策

RSAを取り巻くリスクは「数学が破られる」だけではありません。実務で問題になりやすいのは、実装や運用の穴、あるいは誤った使い方です。代表的な対策観点は次の通りです。

安全なパディングの採用：暗号化はOAEP、署名はPSSなど
古い方式の回避：互換性のために古い暗号スイートを残さない
実装依存の脆弱性対策：ライブラリ更新、設定の見直し、脆弱性情報の追従
鍵の取り扱い制限：秘密鍵の露出面積を最小化する

「RSAは強い」と言われる一方で、実際の事故は鍵漏洩、設定ミス、古い方式の残存といった運用要因から起きることが少なくありません。暗号の選定と同じ熱量で、運用設計を固める必要があります。

RSAと他の公開鍵暗号方式との比較

公開鍵暗号の選定は、「どれが最強か」ではなく、「用途と要件に合うか」で決まります。ここではRSAと、よく比較される方式の特徴を整理します。

ディフィー・ヘルマン鍵交換

ディフィー・ヘルマン（DH）は、公開鍵暗号の文脈で語られることが多いものの、役割は「暗号化」より安全な鍵交換にあります。DHは通信の途中で共有鍵（セッション鍵）を合意するために使われ、合意した共有鍵で共通鍵暗号を回す、という構成が一般的です。

DHは鍵交換として有用ですが、通信相手の正当性を保証する仕組みが別途ないと、中間者攻撃に弱くなります。そのため実務では、証明書や署名などの仕組みと組み合わせて運用されます。

楕円曲線暗号

楕円曲線暗号（ECC）は、RSAと比べて小さい鍵サイズで同等の安全性を得やすいとされ、性能や通信効率の面で有利になりやすい方式です。鍵交換（ECDH / ECDHE）や署名（ECDSAなど）で使われ、TLSでも広く利用されています。

一方で、実装の選択肢や運用上の互換性は環境によって差があります。レガシー環境や特定の機器・ミドルウェアでの対応状況により、RSAが選ばれるケースもあります。つまり、ECCが常に上位互換というより、環境・互換性・運用方針の中で最適解を選ぶことが重要です。

ハイブリッド暗号

ハイブリッド暗号は、公開鍵暗号と共通鍵暗号を組み合わせる設計です。公開鍵暗号で共有鍵（セッション鍵）や認証を扱い、本文データは高速な共通鍵暗号で暗号化します。現代の通信セキュリティの多くは、この考え方に基づきます。

RSAはハイブリッド構成の一部として利用されることが多く、「RSAで全て暗号化する」というより、RSAで安全な前提を作り、実データは別方式で守るという役割になりやすい点を押さえると理解がスムーズです。

RSA暗号の応用

RSAは「暗号化の代表例」として語られがちですが、実務上は署名・証明書・認証の文脈で登場することが多い暗号方式です。ここでは、現場で遭遇しやすい応用例を整理します。

デジタル署名と認証

RSA署名は、ソフトウェア配布、文書の真正性確認、証明書ベースの認証など、さまざまな場面で利用されます。署名が検証できるということは、「そのデータが途中で変わっていない」「正しい主体が作成した」という判断材料を与えてくれるということです。

特にPKIの世界では、証明書チェーンの検証やサーバ証明書の提示によって、通信相手が正当であることを確認します。RSAはこの仕組みの中で長く使われてきた方式の一つです。

SSL/TLSプロトコル

TLSはWeb通信を安全にする標準的な枠組みで、暗号化・改ざん防止・相手認証を組み合わせます。RSAはTLSの世界で長く使われてきましたが、現在は設計の推奨が進化しています。

たとえば、TLSではセッション鍵を合意する方式として、前方秘匿性（過去の通信が後から解読されにくい性質）を得やすい方式が好まれます。RSAは用途や環境により関与の仕方が異なるため、「RSA＝TLSの暗号化方式」と単純に結び付けるより、TLSの中でRSAが担う役割を用途別に整理して理解することが重要です。