国際標準暗号GCMの新たな安全性評価結果 従来の安全性保証に欠陥が発見されるも、修復に成功

プレスリリース ^古屋大学 日本電気株式会社 成_{24 8 17}日

国際標準暗号 GCM の新た 安全性評価結果

---従来の安全性保証 欠陥が発見さ も、修復 成功---

古屋大学大学院工学研究科計算理工学専攻 岩田哲准教授， 専攻 大橋佳祐大学 院生，日本電気株式会社 峯松一彦主任研究員 ，国 標準 認証暗号化 方式 あ _{GCM (}注₁₎ 安全性保証 欠 あ こ 突 た さ ，

突 た欠 取 ，_GCM 安全性保証 修復 こ 成 た

GCM ^{高い計算効率 ， たそ 安全性 数学的 保証さ い} 考え たこ 多く 標準化 ロ ス 採用さ ，政府間 民間 広範 利 用さ い ，そ 保証 理論的裏付け 無効 あ たこ 明

た さ ，突 た欠 取 ，_GCM 様 変更 こ くそ

安全性 数学的 保証 こ 成 た こ ，_GCM 内部 用い ロッ 暗号 ₍注₂₎ 安全 あ ，現実的 計算量 攻撃方法 対 ，そ 成

確率 あ 限界値以 いこ 示さ た こ 信 た

数値 大 限界値 た ス 増 ，こ 結果 ，適切 実装さ

い 実用 _GCM 使用 こ 安全性 問題 いこ 示 い

こ 研究成果 ，米国 ォ ニ 大学サンタバ バ 校 成 _{24 8} 19^日 23^日 (^{太 洋標準時}) ^{開催さ 国 会議}CRYPTO 2012 ^発表

用語

(^注1) GCM^：Galois/Counter Mode^{， ロ ウンタ モ タ 暗号化 認証} 時 行うた 認証暗号化方式 呼 暗号技術

(^注 2) ^{ロッ 暗号： タ ロッ 暗号化 た 暗号要素技術} GCM AES 用い

国際標準暗号 GCM の新た 安全性評価結果

---従来の安全性保証 欠陥が発見さ も、修復 成功---

概要

z ^{国 標準暗号GCM 対 ，こ 安全性 保証 欠 あ こ 明} た

z ^{さ ，欠 取 ， 様 変更 こ くGCM 安全性保証 修復 こ}

成 た

背景

GCM (Galois/Counter Mode^{， ロ ウンタ モ} ) ^{， タ 暗号化 認証} 時 行うた 認証暗号化方式 呼 暗号技術 David A. McGrew John Viega

2004 ^{設計さ た} GCM ^{高い計算効率 ， たそ 安全性} 設 計 者 二 人 数 学 的 証 明 保 証 さ い 考 え た こ ， GCM ^米国 NIST (^注3) ^，IEEE (^注4) ^やISO/IEC (^注5) ^{進 多く} 標準化 ロ ス い 採用さ た _{NSA (}注₆₎ 利用や， ンタ ネッ

タ 保護 ，世界中 日常的 利用さ い

GCM ^{現実的 計算量 攻撃方法 対 ，そ 成 確率 あ 限界値以}

いこ 数学的 証明 こ ，安全性 保証 い _GCM 対 攻撃方

法 開発 ，そ 安全性 検証 ，そ 理解 うえ 重要 研究課題 あ ，こ いく 攻撃方法 提案さ た こ 攻撃方法 成 確率 _GCM 許

容 限界値以 あ ， た そ 安全性保証 揺 あ

GCM ^{安全性 数学的 証明 保証さ い ，そこ 欠 い 考え} た

研究成果

GCM ^{そ 内部 ロッ 暗号 呼 共通鍵暗号要素技術 用い 本研究}

，こ ロッ 暗号 全く欠 い 理想化 た場合 ，_GCM 安全性保証 一部 覆 具体的 攻撃方法 開発 成 た 理想化 た_GCM 対 ，開発 た攻撃 方法 成 確率 _GCM 安全性保証 け ₈₀×₂^-128以 あ 対 ， 実 こ 許容範囲 超え ₉₄×_2-¹²⁸以 た ，こ 攻撃方法 _GCM

安全性保証 欠 あ こ 示 い

こ 攻 撃 方 法 成 確 率 無 視 ほ 小 さ い 確 率 あ ₍₉₄×_2-¹²⁸ ≒ _2.76× 10^-37)^{， た 現実的 脅威 く，理論的 攻撃方法 た，理想化 い} い現実 ロッ 暗号 使用 た_GCM 対 安全性 保証 矛盾 ，設計者 安全

性 主張 一部 覆 さ ，初期値 呼 入力 タ ₉₆ビッ 限定 さ い 場合 攻撃 ，多く 標準 計算効率 観点 _GCM 初期値 ₉₆ ビッ 限定 使用 う 規定，あ い 推奨さ い 一方 ，開発 た攻 撃方法 _GCM こ 安全性保証 理論的裏付け 無効 あ たこ 示 い

さ ，今回開発 た攻撃方法 改良 ，今後現実的 脅威 う 攻撃 方法 開発さ 可能性 ロ いこ 示唆 ，_GCM 安全性 そ そ

数学的 保証 ， いう未解決問題 存在 こ 示 い

こ 問題 対 ，欠 取 ， 様 変更 こ く_GCM 安全性 数学 的 保証 こ 成 た こ ，_GCM 内部 用い ロッ 暗号 安全

あ ，現実的 計算量 攻撃方法 対 ，そ 成 確率 あ 限界値以

いこ 示さ た さ ，初期値 ₉₆ビッ 限定 た場合 ， 高い安全性

保証 こ 成 た

結果 意義 今後 展望

GCM NIST^{推奨 認証暗号化方式 あ ，そ 多く 標準化 ロ ス 採用さ} い 本研究 提案 攻撃方法 ，広く標準化さ い 暗号技術 あ _GCM 対 ， 設計者 安全性 主張 一部 覆 いう意味 理論的攻撃方法 初 明 た

一方 ，_GCM 安全性 数学的 証明 こ 成 た こ ，そ う 証 明 い 暗号技術 大 く異 点 あ ，適切 実装さ い 実用 _GCM

使用 こ 安全性 問題 いこ 示 い ，攻撃成 確率 限界値

こ 信 た数値 大 いた ，_GCM 使用 あた こ ス

再評価 こ や，初期値 ₉₆ビッ 限定 使用 こ 推奨さ

本研究 成果 _GCM 設計 改良 余地 あ こ 示 い 本研究 得

た成果，並び 知見 設計 バッ こ ， 高い安全性

認証暗号化方式 設計 こ 期待さ

用語

(^注3) NIST：米国商務省標準技術局 (^注4) IEEE^{：米国電気電子学会}

(^注5) ISO/IEC^{：国 標準化機構}/^{国 電気標準会議} (^注6) NSA：米国国防総省国家安全保 局

発表詳細

国 会議 ：CRYPTO 2012 ( 2012^，http://www.iacr.org/conferences/crypto2012/) 論文タ ：Breaking and Repairing GCM Security Proofs

著者：岩田 哲 ₍ 古屋大学₎，大橋 佳祐 ₍ 古屋大学₎，峯松 一彦 ₍ＮＥＣ₎

本研究 うち，岩田哲 研究 一部 科研費 ₍若手研究 (A), 22680001) ^助成

行わ た