これだけは知っておきたいアルゴリズム〜共通鍵暗号編：デファクトスタンダード暗号技術の大移行（3）（3/3 ページ）

主な64ビットブロック暗号

●DES／Triple DES

　DESは、1977年に米国政府標準暗号としてFIPS 46に登録されたブロック長64ビット、鍵長56ビットのFeistel型64ビットブロック暗号である。また、Triple DESは、DESを3回繰り返して暗号化を行う方式であり、1979年にTuchmanにより提案された。鍵長112ビットの2-key Triple DESと鍵長168ビットの3-key Triple DESがある[参考文献12]。

　安全性に関しては、DES Challenge III（1999年）において約22時間でDESの鍵全数探索法による解読に成功した。この手法による解読成功は暗号の安全性にとって致命的である。また、Triple DESも、現実的な脅威までにはなっていないとはいえ、中間一致攻撃により学術的には解読可能とされており、特に2-key Triple DESの安全性は相対的に低い。

　そのため、DES／Triple DESの取り扱いに関して、NISTは2005年5月にFIPS 46-3を廃止することで、DESを米国政府標準暗号から外すとともに、Triple DESも米国政府標準からは格下げとなる米国政府推奨暗号（SP 800-67）にした。これにより、米国政府システムにおいてDESの使用は全面的に中止された。また、Triple DESの新規使用もやむを得ない場合に限られるとともに、使う場合でも3-key Triple DESにするよう指示されている。なお、2-key Triple DESは2010年でSP 800-67からも外される予定になっている。

　Triple DESはデファクトスタンダード暗号としていままで存在していたため、ISO/IEC国際標準暗号やインターネット標準暗号をはじめ多くの標準規格に採用されている。ただし、最近では、CRYPTRECが3-key Triple DESを注釈付きで電子政府推奨暗号リストに掲載したり、NESSIEではTriple DESそのものを選定していなかったりするなど、これからの標準的な暗号にはならない。

●MISTY1

　MISTY1は、1996年に三菱電機が開発したブロック長64ビット、鍵長128ビットのFeistel型64ビットブロック暗号である[参考文献13]。

　MISTY1の最大の特徴は、ブロック暗号に対する代表的な暗号解読手法である差分解読法と線形解読法に対する証明可能安全性を持つことを世界で初めて設計方針に取り入れたことである[参考文献14]。実際に、いままで世界中の暗号研究者によって多くの攻撃がなされたものの、安全性上の問題点を指摘されたことはない。また、実装面において、どのプラットフォーム上でも効率的なソフトウェア実装が可能なように、またハードウェアでも世界最小クラスの小型・低消費電力型実装が可能なように設計されている。

　このほか、MISTY1をベースに、よりハードウェアでの性能向上を目的としてカスタマイズされたアルゴリズムとして3GPPが開発したKASUMIがある。2000年3月に第3世代携帯電話（W-CDMA）における秘匿用の必須暗号として採用されている。

　三菱電機は、公開仕様を基に自らMISTY1を搭載した製品を開発、事業化する企業、法人を対象にMISTY1特許使用許諾契約を締結した企業・団体には特許使用料を無償としている。

●CAST-128

　CAST-128は、1996年にAdamsとTavaresによって開発されたブロック長64ビット、鍵長可変（80〜128ビット）のFeistel型64ビットブロック暗号である。さまざまな設計方針[参考文献15]に基づいて作られたCASTシリーズの中のCAST-5が正式なアルゴリズム仕様として確定し、CAST-128と呼ばれるようになった。後に、カナダ政府通信安全保障局CSEがカナダ政府標準暗号として承認した。

　技術的には、ソフトウェア実装向きのアルゴリズムであり、いままでに安全性上の問題点を指摘されたことはない。また、Entrust社がCAST設計特許を保有しているものの、特許無償で利用可能であり、PGPなどで使われている。

主なストリーム暗号

●RC4／Arcfour

　RC4は、1987年にRivest（RSAセキュリティ）によって開発された鍵長可変（40〜256ビット）の（形式的には）アルゴリズム非公開型ストリーム暗号である。SSL/TLSやWEPでの暗号アルゴリズムとして現在世界中で最も広く使われている。

　RC4の特徴としては、ほかの共通鍵暗号と比較して、ソフトウェア実装での高速性が挙げられる。だが、安全性に関してはやや問題がある。例えば、鍵長128ビットを利用した場合、現実的な解読法はいまのところ見つかっていないが、初期状態の設定方法によっては期待する安全性強度が得られず、解読される危険性があることも分かっている。

　実際に、WEPにおけるRC4の解読では、十分に初期状態の撹拌（かくはん）が行われない場合があり、特定の条件を満たすように作られたデータでのRC4の出力系列の間にある種の相関があることを利用して128ビットの秘密鍵が推定された[参考文献16]。また、いまのところ直接的な脅威とはなっていないものの、RC4で利用する疑似乱数生成器が出力する乱数系列に統計的な偏りも発見されている[参考文献17]。

　つまり、RC4は必ずしも無条件に安全に使える暗号というわけではなく、秘密鍵の運用、とりわけ初期状態の撹拌には十分な注意を払わなくてはならない。そのため、RC4を使うとしても鍵長128ビットを用いたうえでSSL/TLSに限るべきであるというのがCRYPTRECの判断である。また、NESSIEやISO/IECでは選定されなかった。その意味では、これからの標準的な暗号にはならない。

　なお、1994年にRC4のアルゴリズムが匿名投稿されたため、現在では厳密にはアルゴリズム非公開というわけではない。ただ、公式にはRSAセキュリティがRC4の仕様を公開したわけではなく、またRC4とArcfourが同一のものであるとも明確にはしていないため、RC4と相互通信可能なアルゴリズム名としてArcfourと呼ばれることもある。

【参考文献】

[1］NIST, "Announcing Approval of the Withdrawal of Federal Information Processing Standard (FIPS) 46-3, Data Encryption Standard (DES); FIPS 74, Guidelines for Implementing and Using the NBS Data Encryption Standard; and FIPS 81, DES Modes of Operation",http://csrc.nist.gov/publications/fips/05-9945-DES-Withdrawl.pdf

[2]総務省、経済産業省、「電子政府推奨暗号リスト」http://www.soumu.go.jp/joho_tsusin/security/pdf/cryptrec_01.pdf

[3]Daemen and Rijmen, "The Design of Rijndael: AES - The Advanced Encryption Standard", Springer-Verlag, Berlin - New York, 2002.

[4]NIST, "Advanced Encryption Standard (AES) ", FIPS PUB 197,http://csrc.nist.gov/publications/fips/index.html

[5]Dobbertin, Knudsen, and Robshaw, " ■□The Cryptanalysis of the AES■ - ■□A Brief Survey",■Advanced Encryption Standard - AES: 4th International Conference, AES 2004, LNCS 3373, Springer

[6]NIST, "Report on the Development of the Advanced Encryption Standard (AES) ",http://csrc.nist.gov/CryptoToolkit/aes/round2/r2report.pdf

[7]青木、市川、神田、松井、盛合、中嶋、時田、「128ビットブロック暗号Camellia」、信学技報ISEC2000-6

[8]Lei, Chao, and Feng, "New Observation on Camellia",Selected Areas in Cryptography: 12th International Workshop, SAC 2005, LNCS 3897, Springer

[9]青木、市川、神田、松井、盛合、中嶋、時田、「128ビットブロック暗号Camelliaアルゴリズム仕様書（第2.0版）」http://info.isl.ntt.co.jp/crypt/camellia/dl/01jspec.pdf

[10]NTT、「128 ビットブロック暗号「Camellia」のオープンソースを公開」、NTT ニュースリリース2006年4月13日http://www.ntt.co.jp/news/news06/0604/060413a.html

[11]KISA, "Block Cipher Algorithm SEED",http://www.kisa.or.kr/seed/seed_eng.html

[12]NIST, "Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher", SP 800-67,http://csrc.nist.gov/publications/nistpubs/index.html

[13]松井、「ブロック暗号アルゴリズム MISTY」、信学技報ISEC96-11

[14]Matsui, "New Structure of Block Ciphers with Provable Security against Differential and Linear Cryptanalysis", Fast Software Encryption: Third International Workshop Cambridge, LNCS 1039, Springer

[15]Adams, "Constructing Symmetric Ciphers Using the CAST Design Procedure", Designs, Codes, and Cryptography, Vol. 12, No. 3, 1997

[16]Fluhrer, Mantin, and Shamir, "Attacks On RC4 and WEP", CryptoBytes Volume 5, No. 2 - Summer/Fall, 2002,http://www.rsasecurity.com/rsalabs/cryptobytes/index.html

[17]Mantin and Shamir, "A Practical Attack on Broadcast RC4", Fast Software Encryption: 8th International Workshop, FSE 2001, LNCS 2355, Springer