ブロック暗号
概要
編集構造
編集ブロック暗号は、メインのスクランブラと拡大鍵を生成する鍵スケジューラから構成されているものが多い。さらに、鍵スケジューラは鍵を入力として複数個の拡大鍵を出力し、スクランブラは複数のラウンドからなり、個々のラウンドで拡大鍵を使って入力の置換・転置等を行う構成になっているものが多い。この構成の暗号をProduct cipher(積暗号)という。また、ラウンドが同じ関数の繰り返しになっている場合にはIterated cipher(繰返し暗号)という。
ラウンド関数は置換や転置、論理演算、算術演算などのシンプルな部品で構成されていて、ラウンド関数を複数段、重ねることで十分な強度のスクランブルを行うものである。ラウンド段数は、通常、アルゴリズムの仕様によって指定されているが、セキュリティパラメータとして利用者が選択するものもある。
ラウンド関数の主な構成法にはFeistel構造とSPN構造の2つがある。DES, MISTY1, CamelliaはFeistel構造で、AESはSPN構造の暗号である。
用途
編集ブロック暗号は公開鍵暗号に比して高速であるため、公開鍵暗号と組み合わせたハイブリッド暗号では公開鍵暗号で暗号化されたセッション鍵を用いた本文の暗号化・復号に用いられる。
また、パスワードの保存のための一方向性関数として用いられたり (UNIXの/etc/passwd等) 、メッセージ認証コード (MAC) に用いられる。
擬似乱数列の生成にも用いられる (see NIST SP800-90) 。
標準
編集暗号標準として採用(もしくは推奨)されているブロック暗号には次のものがある。
- 64bit
- 128bit
- AES -ISO/IEC_18033, CRYPTREC, NESSIE
- Camellia -ISO/IEC_18033, CRYPTREC, NESSIE
- SEED -ISO/IEC_18033
- CIPHERUNICORN-A - CRYPTREC
- Hierocrypt-3 -CRYPTREC
- SC2000 -CRYPTREC
- 256bit
- SHACAL-2 -NESSIE
安全性
編集計算量的安全性
編集ショートカット法
編集ブロック暗号アルゴリズムの弱点を用いて鍵の全数探索以下の計算量で鍵(の一部)を求める手法を総称してショートカット法と呼ぶ。ショートカット法には多くの種類があるが、ここでは代表的なものを列挙する。
- 差分解読法(差分暗号解読) en:Differential cryptanalysis (Biham, 1989)
- 不能差分解読法 en:Impossible differential cryptanalysis
- 切詰差分解読法 Truncated Differential Cryptanalysis
- 高階差分解読法 Higher Order Differential Cryptanalysis
- Square攻撃 en:Square attack
- 飽和攻撃 Saturation Attack
- ブーメラン攻撃 en:Boomerang attack
- 補間攻撃 en:Interpolation attack (Jakobsen, Knudsen, 1997)
- 線形和攻撃 Linear Sum Attack (Aoki, 1999)
- 線形解読法(線形暗号解読) en:Linear cryptanalysis (Matsui, 1993)
- 差分線形攻撃 en:Differential-linear attack
- 切詰線形攻撃 Truncated Linear Attack
- スライド攻撃 en:Slide attack (David Wagner, Alex Biryukov, 1999)
- カイ2乗攻撃 Attack
- mod n攻撃 en:Mod n cryptanalysis
- XSL攻撃 en:XSL attack
ショートカット法が存在するアルゴリズムは学術的には「解読可能」と呼ばれるが、その必要な計算量が現実的であるかどうかは考慮されない。学術的に解読可能であることは、必ずしもその暗号を利用したシステムの破綻につながるわけではない。しかしながら、設計者が想定した強度を有していないという事実は、その暗号アルゴリズムが信頼性の低い暗号アルゴリズムであることを意味する。
サイドチャネル攻撃
編集ハードウェアやソフトウェアに実装された暗号を、アルゴリズムではなく消費電力や実行時間等の情報を用いて攻撃する手法をサイドチャネル攻撃と呼ぶ。サイドチャネル攻撃は実装とアルゴリズムの両方に影響される。
- 単純電力解析 Simple Power Analysis
- 電力差分攻撃 en:Differential power analysis
- タイミング攻撃 en:Timing attack
歴史
編集脚注
編集- ^ ただし、KASUMIのように復号が定義されていないブロック暗号もある。
- ^ Coppersmith, Don (May 1994). “The Data Encryption Standard (DES) and its strength against attacks” (PDF). IBM Journal of Research and Development 38 (3): 243 .