CLEFIA の飽和特性

自己評価書[12]には、以下に示す二つの6ラウンドの飽和特性、また、そのラウンド拡張[11]

を行った8ラウンドの飽和特性が報告されている。

( C,A,C,C )−→^6r ( B,U,U,U ), ( C,C,C,A )−→^6r ( U,U,B,U ), ( A0,C,A1,A2)−→^8r ( B,U,U,U ), ( A0,A1,A2,C )−→^8r ( U,U,B,U ).

ここで、A₀∥A1∥A2はAll状態の96bitである。

角尾らは、F関数の構造がSP構造であり、かつ、m≤2nである4系列のType-2一般化Feistel 構造には以下に示す二つの6ラウンドの飽和特性、また、そのラウンド拡張を行った8ラウンドの 飽和特性が存在すると予想している[8]。なお、mはS-boxのビット長、nはS-boxの個数である。

CLEFIAのデータ攪拌部は4系列のType-2一般化Feistel構造であり、1ラウンドに二つの異 なるF関数を持っている。また、F関数の構造はどちらもSP構造である。したがって、CLEFIA においても、同様の飽和特性が存在する。さらに、角尾らは6系列以上のType-2一般化Feistel構 造においても、同様の飽和特性が存在すると予想している。

計算機を用いた調査

次式に示すようにCLEFIAのデータ攪拌部において、128bitの入力X を4つのブロックXi∈ GF(2)³²(1≤i≤4)に分割し、さらに、1ブロックを8bitの4つのサブブロックX_ij∈GF(2)⁸(1≤ j ≤4)に分割する。

X = (X₁, X₂, X₃, X₄), X_i = (X_i1, X_i2, X_i3, X_i4).

サブブロックに8階差分、16階差分、24階差分及び32階差分を入力し、バイト単位での飽和 特性を計算機を用い、調査した。なお、8階差分及び16階差分はすべての入力パターン、24階差 分及び32階差分についてはブロックごとのすべての入力パターンに対し、調査を行った。また、

GF N8,10に対し、8階差分及び32階差分を用い、同様の調査を行った。

8階差分，16階差分及び24階差分を用いた飽和特性

8階差分を用いた場合、5ラウンドCLEFIAの入出力には以下の関係が見つかった。

(d−1) ( (C C C C) (A C C C) (C C C C) (C C C C) )

−→5r ( (U U U U) (U U U U) (B B B B) (U U U U) ) (d−2) ( (C C C C) (C C C C) (C C C C) (A C C C) )

−→5r ( (B B B B) (U U U U) (U U U U) (U U U U) )

入力パターン(A C C C)は(C A C C), (C C A C)及び(C C C A)に置き換えても出力パターンは変 化しない。

16階差分及び24階差分を用いた場合、8階差分において5ラウンドの飽和特性となる入力パ ターンを一つのみ含んでいれば、5ラウンドCLEFIAの出力パターンは(d−1)または(d−2)と なる。また、8階差分において5ラウンドの飽和特性となる入力パターンを二つ含んでいる場合、

以下のような関係が見つかった。

(d−3) ( (C C C C) (A C C C) (C C C C) (A C C C) )

−→5r ( (B B B B) (U U U U) (B B B B) (U U U U) )

32階差分を用いた飽和特性

32階差分を用いた場合、6ラウンドCLEFIAの入出力には以下の関係が見つかった。(d−4)の 飽和特性を図6.1に示す。この図において4ラウンド目出力の3ワード目の(EEEE)が角尾らの 予想する 特殊なバランス状態 であり、これが発生する事により、素朴な飽和攻撃解析よりも1 ラウンド長い飽和特性が得られる。なお、この特殊なバランス状態が成立する事の数学的証明を、

第6.2節で、与える。

(d−4) ( (C C C C) (A A A A) (C C C C) (C C C C) )

−→6r ( (B B B B) (U U U U) (B B B B) (U U U U) )

(d−5) ( (C C C C) (C C C C) (C C C C) (A A A A) )

−→6r ( (B B B B) (U U U U) (B B B B) (U U U U) )

更に、6ラウンドの飽和特性は2ラウンド拡張可能であり、次の8ラウンドの飽和特性が得られ る。

(I) ( (A A A A) (A A A A) (C C C C) (A A A A) )

−→8r ( (B B B B) (U U U U) (B B B B) (U U U U) ) (II) ( (C C C C) (A A A A) (A A A A) (A A A A) )

−→8r ( (B B B B) (U U U U) (B B B B) (U U U U) )

図6.1: 6ラウンドCLEFIAの飽和特性