研究課題/領域番号 |
21K11890
|
研究種目 |
基盤研究(C)
|
配分区分 | 基金 |
応募区分 | 一般 |
審査区分 |
小区分60070:情報セキュリティ関連
|
研究機関 | 九州工業大学 |
研究代表者 |
荒木 俊輔 九州工業大学, 大学院情報工学研究院, 准教授 (20332851)
|
研究分担者 |
野上 保之 岡山大学, 自然科学学域, 教授 (60314655)
上原 聡 北九州市立大学, 国際環境工学部, 教授 (90213389)
|
研究期間 (年度) |
2021-04-01 – 2024-03-31
|
研究課題ステータス |
交付 (2022年度)
|
配分額 *注記 |
4,160千円 (直接経費: 3,200千円、間接経費: 960千円)
2023年度: 1,040千円 (直接経費: 800千円、間接経費: 240千円)
2022年度: 910千円 (直接経費: 700千円、間接経費: 210千円)
2021年度: 2,210千円 (直接経費: 1,700千円、間接経費: 510千円)
|
キーワード | 機械学習 / 共通鍵暗号 / DES / 擬似乱数生成 / 線形合同法 / AES / 安全性評価 / 攻撃手法 |
研究開始時の研究の概要 |
本研究では、情報セキュリティ分野における基礎技術である擬似乱数生成器や、共通鍵暗号方式などの暗号技術に対して、近年注目を集める機械学習や深層学習が与える影響を評価する。一般的に、これらの暗号技術は、出力列において0/1のビットが等頻度で出現するなど、統計的に偏りが無く、ランダムに振る舞うように設計されている。その一方で、機械学習や深層学習は、ランダムな事象には向かないとされている。つまり、機械学習などにより何らかの偏りを見つけることは、暗号技術の安全性を評価することとなる。本研究は、新たな安全性の評価手法の確立につながる、重要な研究の一つである。
|
研究実績の概要 |
AESにて採用されていたSPN構造とは異なる、Feistel構造を持つ旧標準暗号である共通鍵暗号DESに対する機械学習を用いた攻撃手法として、以下の実験を行った。 ・鍵識別実験: 二つの異なる鍵に対して、ランダムに平文を生成して、基礎データを生成する。機械学習への学習データとして、平文と暗号文、特徴量に対して、そして正解ラベルとしての鍵IDに対して学習させ、テストデータとして平文と暗号文、特徴量を入力して、鍵IDを予測する実験を行った。ランダムに選択した2つの鍵に対する実験、および暗号文に望ましくない振る舞いを示す弱鍵とランダムな鍵のペアに対する実験を行ったが、鍵識別を有意な確度で正解することはできなかった。 ・平文推測実験: ランダムに選ばれた鍵に対してランダムに選んだ平文から暗号文を作成して、その平文・暗号文ペアを学習させ、暗号文に対する平文推測実験を行った。フル規格の16ラウンドのDESに対しては有効な結果を得ることができなかった。一方、1および2ラウンドのDESに対して、平文推測が可能な自明なビット位置以外の少数のビットも高い確率で推測できることが分かった。 線形合同法による擬似乱数列に対する機械学習を用いた次ビット予測実験により、機械学習を用いた手法が有効であるという結果に対して、以下の詳細を調査した。 ・次ビット予測実験: 学習データとして、擬似乱数ビット列を与える。過去の出力と、正解ラベルとしての次刻の1ビットとする。テストデータとして、過去の出力を与え、次刻の1ビットを予測する実験を行った。gccのrand関数などのパラメータに対して、次刻の出力のビット毎の予測成功確率を求めたところ、下位10ビット程度が高い予測精度を得ていることが分かった。これらの線形合同法では2の「ビット位置」乗の周期がある事が知られており、周期が短いビット位置の成功確率が高いことが確認できた。
|
現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
鍵識別実験: AESと同様、DESにおいても、鍵識別実験を行った。しかしながら、規格通りのフルラウンドDESでは、理論値と異なる確率で成功を得ることができなかった。また、攻撃手法の検討でよく行われるラウンド数を減らし攪拌度合いを弱くしたDESに対して実験を行ったが、有意な確率で識別はできなかった。 平文推測実験: Feistel構造を採用しているDESは、1ラウンドにつき(64ビットの入力に対して)半分の32ビットを攪拌する。そのため、第1ラウンドでの出力を用いた攻撃実験では、攪拌対象ではない32ビットはほぼ100パーセントの確率で推定が可能であった。加えて、攪拌対象であった32ビット列の数ビットも、高い確率で推定が可能である事が分かった。第2ラウンドでの出力を用いた攻撃実験では、第1ラウンドでの攪拌対象のビット列は第2ラウンドでは攪拌対象とはならないため、同様の推定結果が得られることが期待されるが、その予想とは異なり、全てのビットが予測不可能であった。 線形合同法の出力値を用いた次刻の出力予測: 直前の4つの出力に対して、次刻の出力の特定のビットに着目して、正答率を導出した。その結果、次刻の出力の下位10ビット程度が高い確率で予測可能である事を得た。線形合同法における出力はビット毎に「2の(ビット位置)乗」の周期である事が知られており、周期が短いビット位置の成功確率が高いことが確認できた。多くのビットに対しては、周期よりも学習データ数の方が多いため、高い確率での推測が可能であると推察できるが、1周期分のデータ数が無かったとしても推定できた例が少数あり、実験前の予想を超えた結果であった。 カオス写像の擬似乱数性評価: ピースワイズロジスティック写像や、ピースワイズテント写像などのカオス写像をもちいた擬似乱数生成器における乱数性の評価を行い、良好な結果を得ることが分かった。
|
今後の研究の推進方策 |
共通鍵暗号DESだけでなく、IoT環境で利用が見込まれる軽量暗号、特に共通鍵暗号SIMONに注目して、以下の実験を行う。ただしSIMONにおいてはメッセージ長や鍵長を変えたものも対象となる。 ・鍵識別実験: 現在判明している、DESにおける弱鍵は、各ラウンドで用いる拡張鍵が特徴的なものになる。その点に着目して、拡張鍵や暗号文のビット列以外に、ハミング重みやハミング距離などの特徴量を与えることで、成功確率を上げることを試みる。 ・平文推測実験: 攪拌対象であったビット列において、少数の高い確率で予測可能なビットに着目して、次のラウンドにおいての関係性を調査する。そして、その関係性を学習データの一部として与え、2022年度の実験では困難であった第3ラウンドにおける予測精度を上げる試みを行う。 擬似乱数生成器に対して、以下の実験を行う。 ・2出力おきに生成した擬似乱数列に対する予測実験: 2出力おきに生成した擬似乱数列は2次式により抽出した乱数列と同等である。つまり、非線形合同式による擬似乱数出力となるため、これまでの知見により次刻の出力の予測ができるか、実験を行う。 ・ロジスティック写像などのカオス写像による擬似乱数列に対する予測実験: 二次式により与えられる疑似乱数列に対して、次刻の出力予測ができるか、実験を行う。
|