代数的暗号解読アルゴリズムに対して証明可能な安全性を実現する暗号設計法

2003 Fiscal Year Annual Research Report

• Project/Area Number: 14750313
• Research Institution: National Institute of Information and Communications Technology
• Principal Investigator: 田中 秀磨 独立行政法人通信総合研究所, 情報通信部門・セキュリティ基盤グループ, 研究員 (30328570)
• Keywords: 暗号 / 共通鍵暗号 / ブロック暗号 / 数的暗号解読アルゴリズム / 高階差分攻撃 / 証明可能安全性

Research Abstract

昨年度に引き続き、代数的暗号解読アルゴリズムに対して証明可能安全性を実現する暗号設計法に関する研究の準備段階として、代数的解読アルゴリズムの代表的手法である高階差分攻撃の拡張性を2つの側面から研究を実施した。1つ目は、暗号アルゴリズムに用いられる鍵スケジュールに注目した拡張法である。一般に暗号アルゴリズムはユーザが直接使用する秘密鍵から、暗号化の途中で中間変数として使用する拡大鍵を生成する。この拡大鍵が攻撃者に都合良く選ばれた場合、そうでない場合と比較すると格段に安全性が低下する。また、鍵スケジュールが弱いと、解読のための攻撃方程式中の鍵に関する項の代数次数が低くなり、より容易に方程式を求められる。このような視点から64ビットブロック暗号MISTY1に対して攻撃実験を行った。MISTY1は我が国の電子政府利用において推奨暗号アルゴリズムであるだけでなく、ヨーロッパにおける暗号評価プロジェクトにおいても、標準に採用された暗号アルゴリズムである。その結果、128[bit]の秘密鍵中32[bit]に条件を付けると、8段中6段まで攻撃が可能であることが分かった。この研究内容は、昨年度から引き続き解析を進め、いくつかのMISTYに関する代数的性質を明らかにし国際学会に投稿中である。また、昨年行われたSCIS2003学会における本研究発表は今年度に論文賞を受賞した。2つ目は、途中出力の高階差分値を攻撃者に都合良く制御する方法である。MISTY1に適用した場合、FL関数の無い簡略版については、1段目の鍵32[bit]に対応する制御sub-blockを推定する上一段消去法を提案することにより8段中7段まで攻撃可能であることを示した。以上より、一般に代数的解読アルゴリズムに対する耐性は、暗号化関数の代数次数の高さで保証されると考えられているが、拡張法まで含めて考えると、これだけで評価するのは安直である。これに関しては解法アルゴリズムの最適化に関する研究を進め、IEICEに採択された。本年度は昨年度の結果の解析を進め、理論的な探究を試み学術論文としてまとめることに集中した。来年度は、解析が進んでいる代数的解法の一つであるXSL攻撃の解析も進め、関数の設計に関する研究としてまとめる予定である。

Research Products

• [Publications] 秦野康生, 田中秀磨, 金子敏信: "Optimization for the Algebraic Method and Its Application to an Attack of MISTY1"IEICE Transactions on Fundamentals of Electronics, Communications and Computer Science. Vol.E87-A No.1. 18-27 (2004)
• [Publications] Makiko Shirota, Nobuyuki Sugio, Yasuo Hatano, Hidema Tanaka, Toshinobu Kaneko: "A Higher Order Differential Attack of 7-round MISTY1 without FL function"5^<th> Asia-Pacific Symposium on Information and Telecommunication Technologies (APSITT 2003). 203-208 (2003)
• [Publications] Hidema Tanaka: "Higher Ordr Differential Cryptanalysis Using Weak Keys Condition"Systemics, Cybernetics and Information 2004 (SCI2004). (2004)