CRYPTREC ｜トピックス

128ビットブロック暗号AESの安全性について

平成23年9月12日
CRYPTREC暗号方式委員会

米国の国立標準技術研究所National Institute of Standards andTechnology(NIST)により2001年に米国連邦標準規格FIPS PUB 197¹として規格化され、CRYPTRECの電子政府推奨暗号リスト²にも掲載しているAdvancedEncryption Standard(AES)に対する新たな攻撃手法が国際暗号学会(International Association for Cryptologic Research(IACR))³が主催する国際会議CRYPTO 2011⁴開催期間中、8月16日に開かれたランプセッション⁵で発表されました⁶。
発表者がIACRのサイトにある電子文献アーカイブ(Cryptology ePrintArchive)に投稿した詳細な論文⁷によれば、AESに対する単一鍵攻撃の計算量は下記の通りです。

表: AESに対する単一鍵攻撃の複雑度(2011年8月時点)

AESの鍵長	解読に必要なデータ量⁸	解読に必要な計算量⁹
128ビット鍵	2⁸⁸	2^126.18
192ビット鍵	2⁸⁰	2^189.74
256ビット鍵	2⁴⁰	2^254.42

この発表によれば、AESの解読(暗号鍵の推定)に必要な計算量は、鍵の総当たり (すべての鍵を試す場合)の計算量¹⁰よりも若干小さくなっています。しかし、解読には大量のデータ¹¹をあらかじめ用意する必要があるため、直ちに現実的な脅威につながることはないものと考えられます。本件に関する調査結果については今後、暗号技術検討会、及びCRYPTRECのWebサイトにてCRYPTREC Report等として報告する予定です。

¹http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf
²http://www.cryptrec.go.jp/list.html
³http://www.iacr.org/
⁴http://www.iacr.org/conferences/crypto2011/ (2011年8月14日-8月18日、米国・カリフォルニア大学サンタバーバラ校にて開催)
⁵http://rump2011.cr.yp.to/
⁶http://www.kuleuven.be/english/newsletter/newsflash/encryption_standard.html
⁷http://eprint.iacr.org/2011/449
⁸1単位は平文・暗号文の1組。平文、暗号文ともに1ブロックは128ビット。
⁹1単位はそれぞれの鍵長における1ブロックの暗号化に要する計算量。
¹⁰128ビットブロック暗号の鍵長が128ビット、192ビット、256ビットの場合、それぞれ2¹²⁸、2¹⁹²、2²⁵⁶。
¹¹たとえば、AESの鍵長が128ビットの場合、数兆ペタバイトとなる。ペタは10の15乗。

ご意見・コメントなどの問い合わせがございましたら、下記までお願いいたします。
CRYPTREC事務局

E-mail :