軽量メッセージ認証コード

本章では、軽量なメッセージ認証コード(Message Authentication Code: MAC)に関する調査報告を行う。

MACは、nonce入力の有無によって、probabilistic MACとdeterministic MACに分けられる。nonce入力を持つ probabilistic MACは、リプレイ攻撃に耐性を持つ。また、WegmanとCarterが提案した、universal hash function からMACを構成する方法[9]はnonce入力が必須である。universal hash functionをベースとするMACは、代数 的演算を用いることを特徴としてお、64ビットレジスタ上での演算などを高速に行うことができる実装環境では優れ た処理性能を発揮する。

一方、ブロック暗号から構成するCMAC [18]や、ハッシュ関数から構成するHMAC [2, 26]はdeterministic MAC として定義される（nonceをprefixとすることでprobabilistic MACとして用いることもできる）。このような、暗号 プリミティブからモードとしてMACを定義する場合、実装環境に合わせて軽量な暗号プリミティブを使用すること で、軽量なMACとなることが期待できる。

2.5.1 universal hash function を用いる構成法

WegmanとCarterにより、ユニバーサルハッシュ関数hから安全なMACを構成できることが知られている[27]。 Wegman-Carter方式によるMACの構成はM AC(m, k, r) =h(m, k) +b(r)で定義される。ただし、ここでb(r)は

one-time keyである。主要なユニバーサルハッシュ関数はいずれも代数的な演算で構成されており、これらの演算が

高速に実行できる環境では優れた処理性能を実現する。

まず、Wegman らが提案した多項式を用いる方式 (polynomial hashing)では、ユニバーサルハッシュ関数は

h(m, k) =∑

imikⁱ で定義される。polynomial hashingのアルゴリズム例としてGMAC [13]やPoly1305 [3]があ る。GMACの演算は標数2の拡大体GF(2¹²⁸)上で、また、Poly1305の演算は素体GF(2¹³⁰−5)上で定義される。

SaarinenはGMACに弱鍵があることを指摘している[25]。また、Procterらは、この脆弱性が多項式の取り方に依ら ず存在すること、および任意の鍵を弱鍵と見做せることを示した[24]。しかし、Procterの攻撃では、弱鍵を検出する 識別子のメッセージ長と、弱鍵の空間の大きさが等価であるため、現実的な脅威ではないと考えられる。

[15]によれば、Intel Haswellアーキテクチャ上ではGMAC (GHASH)の漸近的な処理速度は0.4 cycle/Byteであ る。また、表2.18は、[4]で提供されているPoly1305-AESの処理性能から抜粋したものである。

表2.18 Poly1305-AESの処理速度[4](単位：cycles/Byte) データ長

64 256 1024 long Pentium III 16.3 6.9 5.1 4.4 Pentium 4 18.7 8.0 5.3 4.5 Athlon 13.1 5.7 3.7 3.2

また、HaleviとKrawczykは内積を用いる方式MMHを提案した[17]。MMHはメッセージm={m₁, . . . , m_n}^と 等長の鍵ストリームk={k₁, . . . , k_n}^に対してh(m, k) =∑

im_i·k_i 定義される。UMAC [7]やBadger [8]はMMH と同じく内積方式であるが、MMHが有限体上の演算を用いて定義されているのに対して、ソフトウェア実装に適した Z/2^wZ上の演算を用いる点が異なる。

MMH方式では、一般に鍵をメッセージと等長のビット列に伸長して内積を計算する。したがって、他の方式に比べ て事前処理に要するコストが大きくなる。また、拡大鍵を保持するためのメモリ使用量が増大する傾向にあり、複数の 相手と通信を行うようなケースでは、メモリを圧迫する可能性がある。[7]や[8]では、安全に拡大鍵を使い回す方法

や、tree-hashとの組み合わせにより拡大鍵の量を削減する方法が紹介されている。

表2.19は、[21]で報告されているUMACの処理性能である。報告されている数値からの推定になるが、UMACの 性能には、少くとも鍵を伸長する事前処理は含まれていないと考えられる。

表2.19 Pentium 4^上でのUMAC^{の処理速度}[21](^単位：cycles/Byte) データ長

タグ長 64 256 1024 long

32 8.3 2.4 0.9 0.6

64 12.0 3.5 1.4 1.0

96 15.1 4.5 1.9 1.5

また、表2.20は[8]で報告されている、タグ長が64ビットのBadgerの処理速度である。

表2.20 Pentium IIIおよびPentium 4上でのBadgerの処理速度[8]

事前処理 メッセージ処理 最終処理 Pentium III 4,093 cycles 2.2 cycles/Byte 433 cycles Pentium 4 5,854 cycles 1.3 cycles/Byte 800 cycles

上に挙げた方式の実装性能はいずれも、CPUが64ビットアーキテクチャやベクトル演算を利用可能な環境、もしく は多大な事前計算テーブルをメモリに展開できる環境において実現されたものであり、計算機能力が貧弱な環境には適 していない可能性が高い。

2.5.2 暗号プリミティブを用いる構成法

暗号プリミティブからMACを構成する方法として、ブロック暗号から構成するCMAC [18]や、ハッシュ関数から 構成するHMAC [2, 26]がある。ISO/IEC 9797 [28, 29]には、CMACやHMACの他にも、CBC-MACのバリエー ションなどが規定されている。Bertoniらが[5]でスポンジ関数を提案して以降、置換をベースとする暗号機能の研究 がさかんになった。MACの構成法としては、secret-prefix方式が一般的であり、Bertoniらにより、その安全性が証 明されている [6]。多くの軽量ハッシュ関数はスポンジ関数から構成されているので、上記のsecret-prefix方式を用い ることが可能である。スポンジ関数のsecret-prefix方式は最終処理が不要であるため、メッセージ長が短い場合には、

HMACに比べて処理時間が短いことが期待される。

暗号プリミティブが疑似ランダム関数(疑似ランダム置換)であることを利用するのではなく、その写像の一様性の みを利用する方式も存在する。Daemenらは、メッセージ処理を行う関数として、AESのラウンド関数4段(鍵無し) を用いるPelicanを提案した[10, 11]。Pelican 2.0 [11]の安全性は証明されていない。しかし、現実的な攻撃も報告さ れていない。Minematsuらは、同じくAESのラウンド関数4段(鍵付き)を用いるPC-MAC-AESを提案した[22]。

PC-MAC-AESは、ベースとなる関数の最大差分確率を前提として安全性が証明されている。したがって、安全性の

ベースに構成することが可能であるが、事前に最大差分確率の評価が必須である。

実装性能では、PelicanやPC-MAC-AESは、いずれも漸近的な性能がCMAC-AESの2.5倍である。ただし、い ずれも事前処理や最終処理にAESの暗号化1回以上の処理を行うため、メッセージ長が短い場合にはアドバンテージ が小さくなる。また、PC-MAC-AESの処理速度は拡大鍵の量とトレードオフの関係にあり、漸近的な処理速度に近づ くためには、メモリ使用量が増大する。したがって、実装性能の観点ではPelicanが優位である場合が多い。

これらの他に、独自の暗号プリミティブを用いる方式として、Mouhaらは非線形置換を用いるChaskeyを提案し た[23]。Chaskeyは1-key Even-Mansourブロック暗号のCMACと解釈することが可能である。また、非線形置換は

Skein, SipHash [1]と同様、ARX演算をベースにしている。事前処理、最終処理が無いため、短いメッセージに対し

て効率的であると考えられる。表2.21は[23]で報告されている、Chaskeyの処理速度である。

表2.21 Cortex-M^上でのChaskey^{の処理速度}(cycles/Byte) [23]

データ長 16 128 Cortex-M0 21.3 18.3 Cortex-M3/M4 10.6 7.0

参考文献

[1] Jean-Philippe Aumasson and Daniel J. Bernstein. “SipHash: A Fast Short-Input PRF”. INDOCRYPT, LNCS 7668, pages 489–508, Springer, 2012.

[2] Mihir Bellare, Ran Canetti, and Hugo Krawczyk. “Keying Hash Functions for Message Authentication”.

Advances in Cryptology, CRYPTO’96, LNCS 1109, pages 1–15, Springer, 1996.

[3] Daniel J. Bernstein. “The Poly1305-AES Message-Authentication Code”.Fast Software Encryption, FSE’05, LNCS 3557, pages 32–49, Springer, 2005.

[4] Daniel J. Bernstern. “Poly1305-AES speed tables”.http://cr.yp.to/mac/speed.html.

[5] Gyido Bertoni, Joan Daemen, Micha¨el Peeters and Gilles Van Assche, “Sponge functions,” ECRYPT Hash Workshop, May 2007.

[6] Guido Bertoni, Joan Daemen, Micha¨el Peeters, and Gilles Van Assche, “On the security of the keyed sponge construction”. Symmetric Key Encryption Workshop, SKEW’11, 2011.

[7] John Black, Shai Halevi, Hugo Krawczyk, Ted Krovetz, and Phillip Rogaway. “UMAC: Fast and Secure Message Authentication”.Advances in Cryptology, CRYPTO’99, LNCS 1666, pages 216–233. Springer, 1999.

[8] M. Boesgaard, T.Christensen and E. Zenner, “Badger – A fast and provably secure MAC.”Applied Cryptg-raphy and Network Security, LNCS 3531, pagets 176–191, Springer, 2005.

[9] J. Lawrence Carter and Mark N. Wegman. “Universal Classes of Hash Functions”.J. Comput. Syst. Sci., 18(2):143–154, 1979.

[10] Joan Daemen and Vincent Rijmen. “A New MAC Construction ALRED and a Specific Instance ALPHA-MAC”.Fast Software Encryption, FSE’05, LNCS 3557, pages 1–17, Springer, 2005.

[11] Joan Daemen and Vincent Rijmen. “The MAC Function Pelican 2.0”. IACR Cryptology ePrint Archive, 2005:88, 2005. https://eprint.iacr.org/2005/088.pdf.

[12] Morris Dworkin. “Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authen-tication”. NIST special publication 800-38b, May 2005.http://csrc.nist.gov/publications/nistpubs/

800-38B/SP_800-38B.pdf.

[13] Morris Dworkin. “Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC”. NIST special publication 800-38d, November 2007. http://csrc.nist.gov/publications/

nistpubs/800-38D/SP-800-38D.pdf.

[14] Shimon Even and Yishay Mansour. “A Construction of a Cioher From a Single Pseudorandom Permutation”.

Advances in Cryptology, ASIACRYPT, LNCS 739, pages 210–224. Springer, 1991.

[15] Shay Gueron. “AES-GCM software performance on the current high end CPUs as a performance baseline for CAESAR competition.”Directions in Authenticated Ciphers, DIAC 2013. 2013.

Process, May 2005.

[17] Shai Halevi and Hugo Krawczyk, “MMH: Software message authentication in the Gbit/second rate”. Fast Software Encryption, FSE’97, LNCS 1267, pages 172–189, Springer, 1997.

[18] Tetsu Iwata and Kaoru Kurosawa. “OMAC: One-Key CBC MAC”. Fast Software Encryption, FSE’03, LNCS 2887, pages 129–153. Springer, 2003.

[19] Antoine Joux. “Authentication Failures in NIST version of GCM”. Comments submitted to NIST Modes of Operation Process, June 2006.

[20] Ted Krovetz. “Message Authentication on 64-Bit Architectures”.Selected Areas in Cryptography, LNCS 4356, pages 327–341. Springer, 2006.

[21] Ted Krovetz. “UMAC Performance”.http://web.cs.ucdavis.edu/~rogaway/umac/2004/perf04.html [22] Kazuhiko Minematsu and Yukiyasu Tsunoo. “Provably Secure MACs From Differentially-uniform

Permu-tations and AES-based ImplemenPermu-tations,” Fast Software Encryption, FSE’06, LNCS 4047, pp. 226–241, 2006.

[23] Nicky Mouha, Bart Mennink, Anthony Van Herrewege, Dai Watanabe, Bart Preneel, and Ingrid Ver-bauwhede. “Chaskey: An Efficient MAC Algorithm for 32-bit Microcontrollers.” Selected Areas in Cryp-tography, SAC’14, 2014.

[24] Gordon Procter and Carlos Cid. “On Weak Keys and Forgery Attacks Against Polynomial-Based MAC Schemes,”Fast Software Encryption, FSE’13, LNCS 8424, pp. 287–304, Springer, 2014.

[25] Markku-Juhani O. Saarinen. “Cycling Attacks on GCM, GHASH and Other Polynomial MACs and Hashes.”

Fast Software Encryption, FSE’12, 2012.

[26] James M. Turner. “The Keyed-Hash Message Authentication Code (HMAC)”. FIPS PUB 198-1, National In-stitute of Standards and Technology, July 2008.http://csrc.nist.gov/publications/fips/fips198-1/

FIPS-198-1_final.pdf.

[27] Mark N. Wegman and J. Lawrence Carter. “New Hash Functions and Their Use in Authentication and Set Equality”.J. Comput. Syst. Sci., 22(3):265–279, 1981.

[28] ISO/IEC 9797-1:2011, Information technology – Security tecniques – Message authentication codes (MACs) – Part 1: Mechanisms using a block cipher, 2011.

[29] ISO/IEC 9797-2:2011, Information technology – Security tecniques – Message authentication codes (MACs) – Part 2: Mechanisms using a dedicated hash-function, 2011.

[30] ISO/IEC 9797-3:2011, Information technology – Security tecniques – Message authentication codes (MACs) – Part 3: Mechanisms using a universal hash function, 2011.