トピックス
128ビットブロック暗号AESの安全性について
平成23年9月12日
CRYPTREC暗号方式委員会
米国の国立標準技術研究所National Institute of Standards andTechnology(NIST)により2001年に米国連邦標準規格FIPS PUB 197[1]として規格化され、CRYPTRECの電子政府推奨暗号リスト[2]にも掲載しているAdvancedEncryption Standard(AES)に対する新たな攻撃手法が国際暗号学会(International Association for Cryptologic Research(IACR))[3]が主催する国際会議CRYPTO 2011[4]開催期間中、8月16日に開かれたランプセッション[5]で発表されました[6]。
発表者がIACRのサイトにある電子文献アーカイブ(Cryptology ePrint Archive)に投稿した詳細な論文[7]によれば、AESに対する単一鍵攻撃の計算量は下記の通りです。
AESの鍵長 | 解読に必要なデータ量[8] | 解読に必要な計算量[9] |
---|---|---|
128ビット鍵 | 288 | 2126.18 |
192ビット鍵 | 280 | 2189.74 |
256ビット鍵 | 240 | 2254.42 |
この発表によれば、AESの解読(暗号鍵の推定)に必要な計算量は、鍵の総当たり (すべての鍵を試す場合)の計算量[10]よりも若干小さくなっています。しかし、解読には大量のデータ[11]をあらかじめ用意する必要があるため、直ちに現実的な脅威につながることはないものと考えられます。本件に関する調査結果については今後、暗号技術検討会、及びCRYPTRECのWebサイトにてCRYPTREC Report等として報告する予定です。
- http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf
- http://www.cryptrec.go.jp/list.html
- http://www.iacr.org/
- http://www.iacr.org/conferences/crypto2011/ (2011年8月14日-8月18日、米国・カリフォルニア大学サンタバーバラ校にて開催)
- http://rump2011.cr.yp.to/
- http://www.kuleuven.be/english/newsletter/newsflash/encryption_standard.html
- http://eprint.iacr.org/2011/449
- 1単位は平文・暗号文の1組。平文、暗号文ともに1ブロックは128ビット。
- 1単位はそれぞれの鍵長における1ブロックの暗号化に要する計算量。
- 128ビットブロック暗号の鍵長が128ビット、192ビット、256ビットの場合、それぞれ2128、2192、2256。
- たとえば、AESの鍵長が128ビットの場合、数兆ペタバイトとなる。ペタは10の15乗。
ご意見・コメントなどの問い合わせがございましたら、下記までお願いいたします。
CRYPTREC事務局
E-mail: