Advanced Encryption Standard

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動先: 案内検索
Advanced Encryption Standard
(Rijndael)
AES-SubBytes.svg
The SubBytes step, one of four stages in a round of AES
一般
設計者 フィンセント・ライメン, ホァン・ダーメン英語版
初版発行日 1998
派生元 Square
後継 Anubis, Grand Cru
認証 AES採用, CRYPTREC, NESSIE, NSA
暗号詳細
鍵長 128, 192 or 256 bits[1]
ブロック長 128 bits[2]
構造 SPN構造
ラウンド数 10, 12, 14(鍵長による)
最良の暗号解読
Attacks have been published that are computationally faster than a full brute force attack, though none as of 2013 are computationally feasible:[3] For AES-128, the key can be recovered with a computational complexity of 2126.1 using bicliques. For biclique attacks on AES-192 and AES-256, the computational complexities of 2189.7 and 2254.4 respectively apply. Related-key attacks can break AES-192 and AES-256 with complexities 2176 and 299.5, respectively.

Advanced Encryption Standard (AES) は、DESに代わる新しい標準暗号となる共通鍵暗号アルゴリズムである。アメリカ国立標準技術研究所(NIST)の主導により公募され、Rijndael(ラインダール)がAESとして採用された[4]

概要[編集]

以前の標準暗号であった「DES」は、

  • 時代の経過による相対的な強度の低下
  • NSAの関与があるその設計の不透明性(詳細はDESの記事を参照)

が問題であることから、新しい標準暗号としてアメリカ国立標準技術研究所(NIST)の主導により公募され、AESが選出された。2001年3月に FIPS PUB 197 として公表された。

厳密には「AES」は、選出された以外の暗号も含む、手続き中から使われた「新しい標準暗号」の総称であり、選出された暗号方式自体の名としてはRijndael(ラインダール)である。

AESはSPN構造ブロック暗号で、ブロック長は128ビット、鍵長は128ビット・192ビット・256ビットの3つが利用できる。AESの元となった Rijndael では、ブロック長と鍵長が可変で、128ビットから256ビットまでの32ビットの倍数が選べる。NISTが公募した際のスペックに従い、米国標準となったAESではブロック長は128ビットに固定、鍵長も3種類に限られた。[5]

経緯[編集]

AESの選定[編集]

旧規格 DES (FIPS 46) の安全性が低下したため、1997年9月にNIST(アメリカ国立標準技術研究所)が後継の暗号標準AES (Advanced Encryption Standard) とすべく共通鍵ブロック暗号を公募した。公募要件には下記のような条件が挙げられた[5]

  • 米国に限らず世界中で、制限なく無料で利用できなければならないこと。
  • 詳細なアルゴリズム仕様を公開すること。
  • ANSI C及びJavaによる実装を行うこと。
  • 暗号強度評価を公開すること。

AESの最終候補[編集]

世界から応募された21方式から、公募要件を満たした15方式に対する評価が行われ、安全性と実装性能に優れた5方式が最終候補として残った。最終候補および設計者は以下の通りである[5]

AESの決定[編集]

最終選考の結果、あらゆる実装条件で優れた実装性能を発揮したベルギールーヴェン・カトリック大学の研究ホァン・ダーメン英語版者 (Joan Daemen) と フィンセント・ライメン (Vincent Rijmen) が設計した Rijndael (ラインダール)が2000年10月に採用された。

ちなみに、Rijndaelという名称のうち、RijnはRijmen、daeはDaemenから取られたことは明白だが、lはどこから来たのかが不明だった。指導教授だったバート・プレネル (Bart Preneel) から取ったのではという説があり、Rijmenが講演した際に質問を受けたが、その答えは "It's a conjecture.(それは憶測に過ぎないね)" だった。

暗号化の方法[編集]

AESはSPN構造ブロック暗号で、ブロック長は128ビット、鍵長は128ビット・192ビット・256ビットの3つが利用できる[4]

暗号化処理は始めに鍵生成を行う。AES暗号の鍵長によって変換のラウンド数が異なる。次の通りである。

  • 鍵長128ビットのとき、ラウンド数は10回である。
  • 鍵長192ビットのとき、ラウンド数は12回である。
  • 鍵長256ビットのとき、ラウンド数は14回である。

暗号化は下記の4つの処理から構成される[5]

  1. SubBytes - 換字表(Sボックス)による1バイト単位の置換。
  2. ShiftRows - 4バイト単位の行を一定規則で左シフトする。
  3. MixColumns - ビット演算による4バイト単位の行列変換。
  4. AddRoundKey - ラウンド鍵とのXORをとる。

これら4つの処理を1ラウンドとして暗号化を行う。

なお、復号化は上記処理の逆変換を逆順で実行する。

  1. AddRoundKey
  2. InvMixColumns
  3. InvShiftRows
  4. InvSubBytes

安全性[編集]

関連鍵攻撃により、256ビットのAES暗号の9ラウンド目までを解読可能である。また、選択平文攻撃により、192ビットおよび256ビットのAES暗号の8ラウンド目まで、128ビットのAES暗号の7ラウンド目までを解読可能である (Ferguson et al, 2000)。シュナイアーはAESの「代数的単純さに疑問」を感じているが、AESは欧州の暗号規格NESSIEや日本の暗号規格CRYPTRECでも採用された。AESの数学的構造は他のブロック暗号と異なり、きちんとした記述もある[6][7]

この暗号はまだどんな攻撃にも通じていないが、何人かの研究者がこの数学的な構造を利用した攻撃方法が存在するかもしれないと指摘している[8][9][10]

関連項目[編集]

脚注[編集]

  1. ^ Rijndaelでは128, 160, 192, 224, 256 bitsが選択可能。AESのスペックに合わせて3つに限定
  2. ^ Rijndaelでは128, 160, 192, 224, 256 bitsが選択可能。AESのスペックに合わせて128 bitsのみに限定
  3. ^ Biclique Cryptanalysis of the Full AES (PDF)” (英語). 2016年3月6日時点のオリジナルよりアーカイブ。2016年10月9日閲覧。
  4. ^ a b 岡本 暗号理論入門 第2版(2002:51-52)
  5. ^ a b c d 結城 暗号技術入門 第3版(2003: 69-71)
  6. ^ A simple algebraic representation of Rijndael (Niels Ferguson, Richard Schroeppel, and Doug Whiting)(2003年6月6日時点のアーカイブ
  7. ^ Sean Murphy (英語)
  8. ^ [1](2005年11月14日時点のアーカイブ
  9. ^ [2] [リンク切れ]
  10. ^ Cache-timing attacks on AES (PDF) (英語) - (Daniel J. Bernstein)

参考文献[編集]

  • FIPS 197 (PDF) 、NIST発行、2001年 (英語)
  • Daemen and Rijmen, Rijndael 仕様書(補追版) (PDF) 、1999年発行-2003年補追 (英語)
  • 岡本栄司 『"暗号理論入門 第2版"』 共立出版、2002年。ISBN 4-320-12044-2。
  • 結城浩 『"暗号技術入門 - 秘密の国のアリス 第3版"』 ソフトバンクパブリッシング、2003年ISBN 4-7973-2297-7

外部リンク[編集]