トピックス

128ビットブロック暗号AESの安全性について

平成23年9月12日
CRYPTREC暗号方式委員会

米国の国立標準技術研究所National Institute of Standards andTechnology(NIST)により2001年に米国連邦標準規格FIPS PUB 197[1]として規格化され、CRYPTRECの電子政府推奨暗号リスト[2]にも掲載しているAdvancedEncryption Standard(AES)に対する新たな攻撃手法が国際暗号学会(International Association for Cryptologic Research(IACR))[3]が主催する国際会議CRYPTO 2011[4]開催期間中、8月16日に開かれたランプセッション[5]で発表されました[6]
発表者がIACRのサイトにある電子文献アーカイブ(Cryptology ePrint Archive)に投稿した詳細な論文[7]によれば、AESに対する単一鍵攻撃の計算量は下記の通りです。

表: AESに対する単一鍵攻撃の複雑度(2011年8月時点)
AESの鍵長 解読に必要なデータ量[8] 解読に必要な計算量[9]
128ビット鍵 288 2126.18
192ビット鍵 280 2189.74
256ビット鍵 240 2254.42

この発表によれば、AESの解読(暗号鍵の推定)に必要な計算量は、鍵の総当たり (すべての鍵を試す場合)の計算量[10]よりも若干小さくなっています。しかし、解読には大量のデータ[11]をあらかじめ用意する必要があるため、直ちに現実的な脅威につながることはないものと考えられます。本件に関する調査結果については今後、暗号技術検討会、及びCRYPTRECのWebサイトにてCRYPTREC Report等として報告する予定です。


  1. http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf
  2. http://www.cryptrec.go.jp/list.html
  3. http://www.iacr.org/
  4. http://www.iacr.org/conferences/crypto2011/ (2011年8月14日-8月18日、米国・カリフォルニア大学サンタバーバラ校にて開催)
  5. http://rump2011.cr.yp.to/
  6. http://www.kuleuven.be/english/newsletter/newsflash/encryption_standard.html
  7. http://eprint.iacr.org/2011/449
  8. 1単位は平文・暗号文の1組。平文、暗号文ともに1ブロックは128ビット。
  9. 1単位はそれぞれの鍵長における1ブロックの暗号化に要する計算量。
  10. 128ビットブロック暗号の鍵長が128ビット、192ビット、256ビットの場合、それぞれ2128、2192、2256
  11. たとえば、AESの鍵長が128ビットの場合、数兆ペタバイトとなる。ペタは10の15乗。

ご意見・コメントなどの問い合わせがございましたら、下記までお願いいたします。
CRYPTREC事務局
E-mail: メールアドレス