プレスリリース 古屋大学 日本電気株式会社 成24 8 17日
国際標準暗号 GCM の新た 安全性評価結果
---従来の安全性保証 欠陥が発見さ も、修復 成功---
古屋大学大学院工学研究科計算理工学専攻 岩田哲准教授, 専攻 大橋佳祐大学 院生,日本電気株式会社 峯松一彦主任研究員 ,国 標準 認証暗号化 方式 あ GCM (注1) 安全性保証 欠 あ こ 突 た さ ,
突 た欠 取 ,GCM 安全性保証 修復 こ 成 た
GCM 高い計算効率 , たそ 安全性 数学的 保証さ い 考え たこ 多く 標準化 ロ ス 採用さ ,政府間 民間 広範 利 用さ い ,そ 保証 理論的裏付け 無効 あ たこ 明
た さ ,突 た欠 取 ,GCM 様 変更 こ くそ
安全性 数学的 保証 こ 成 た こ ,GCM 内部 用い ロッ 暗号 (注2) 安全 あ ,現実的 計算量 攻撃方法 対 ,そ 成
確率 あ 限界値以 いこ 示さ た こ 信 た
数値 大 限界値 た ス 増 ,こ 結果 ,適切 実装さ
い 実用 GCM 使用 こ 安全性 問題 いこ 示 い
こ 研究成果 ,米国 ォ ニ 大学サンタバ バ 校 成 24 8 19日 23日 (太 洋標準時) 開催さ 国 会議CRYPTO 2012 発表
用語
(注1) GCM:Galois/Counter Mode, ロ ウンタ モ タ 暗号化 認証 時 行うた 認証暗号化方式 呼 暗号技術
(注 2) ロッ 暗号: タ ロッ 暗号化 た 暗号要素技術 GCM AES 用い
国際標準暗号 GCM の新た 安全性評価結果
---従来の安全性保証 欠陥が発見さ も、修復 成功---
概要
z 国 標準暗号GCM 対 ,こ 安全性 保証 欠 あ こ 明 た
z さ ,欠 取 , 様 変更 こ くGCM 安全性保証 修復 こ
成 た
背景
GCM (Galois/Counter Mode, ロ ウンタ モ ) , タ 暗号化 認証 時 行うた 認証暗号化方式 呼 暗号技術 David A. McGrew John Viega
2004 設計さ た GCM 高い計算効率 , たそ 安全性 設 計 者 二 人 数 学 的 証 明 保 証 さ い 考 え た こ , GCM 米国 NIST (注3) ,IEEE (注4) やISO/IEC (注5) 進 多く 標準化 ロ ス い 採用さ た NSA (注6) 利用や, ンタ ネッ
タ 保護 ,世界中 日常的 利用さ い
GCM 現実的 計算量 攻撃方法 対 ,そ 成 確率 あ 限界値以
いこ 数学的 証明 こ ,安全性 保証 い GCM 対 攻撃方
法 開発 ,そ 安全性 検証 ,そ 理解 うえ 重要 研究課題 あ ,こ いく 攻撃方法 提案さ た こ 攻撃方法 成 確率 GCM 許
容 限界値以 あ , た そ 安全性保証 揺 あ
GCM 安全性 数学的 証明 保証さ い ,そこ 欠 い 考え た
研究成果
GCM そ 内部 ロッ 暗号 呼 共通鍵暗号要素技術 用い 本研究
,こ ロッ 暗号 全く欠 い 理想化 た場合 ,GCM 安全性保証 一部 覆 具体的 攻撃方法 開発 成 た 理想化 たGCM 対 ,開発 た攻撃 方法 成 確率 GCM 安全性保証 け 80×2-128以 あ 対 , 実 こ 許容範囲 超え 94×2-128以 た ,こ 攻撃方法 GCM
安全性保証 欠 あ こ 示 い
こ 攻 撃 方 法 成 確 率 無 視 ほ 小 さ い 確 率 あ (94×2-128 ≒ 2.76× 10-37), た 現実的 脅威 く,理論的 攻撃方法 た,理想化 い い現実 ロッ 暗号 使用 たGCM 対 安全性 保証 矛盾 ,設計者 安全
性 主張 一部 覆 さ ,初期値 呼 入力 タ 96ビッ 限定 さ い 場合 攻撃 ,多く 標準 計算効率 観点 GCM 初期値 96 ビッ 限定 使用 う 規定,あ い 推奨さ い 一方 ,開発 た攻 撃方法 GCM こ 安全性保証 理論的裏付け 無効 あ たこ 示 い
さ ,今回開発 た攻撃方法 改良 ,今後現実的 脅威 う 攻撃 方法 開発さ 可能性 ロ いこ 示唆 ,GCM 安全性 そ そ
数学的 保証 , いう未解決問題 存在 こ 示 い
こ 問題 対 ,欠 取 , 様 変更 こ くGCM 安全性 数学 的 保証 こ 成 た こ ,GCM 内部 用い ロッ 暗号 安全
あ ,現実的 計算量 攻撃方法 対 ,そ 成 確率 あ 限界値以
いこ 示さ た さ ,初期値 96ビッ 限定 た場合 , 高い安全性
保証 こ 成 た
結果 意義 今後 展望
GCM NIST推奨 認証暗号化方式 あ ,そ 多く 標準化 ロ ス 採用さ い 本研究 提案 攻撃方法 ,広く標準化さ い 暗号技術 あ GCM 対 , 設計者 安全性 主張 一部 覆 いう意味 理論的攻撃方法 初 明 た
一方 ,GCM 安全性 数学的 証明 こ 成 た こ ,そ う 証 明 い 暗号技術 大 く異 点 あ ,適切 実装さ い 実用 GCM
使用 こ 安全性 問題 いこ 示 い ,攻撃成 確率 限界値
こ 信 た数値 大 いた ,GCM 使用 あた こ ス
再評価 こ や,初期値 96ビッ 限定 使用 こ 推奨さ
本研究 成果 GCM 設計 改良 余地 あ こ 示 い 本研究 得
た成果,並び 知見 設計 バッ こ , 高い安全性
認証暗号化方式 設計 こ 期待さ
用語
(注3) NIST:米国商務省標準技術局 (注4) IEEE:米国電気電子学会
(注5) ISO/IEC:国 標準化機構/国 電気標準会議 (注6) NSA:米国国防総省国家安全保 局
発表詳細
国 会議 :CRYPTO 2012 ( 2012,http://www.iacr.org/conferences/crypto2012/) 論文タ :Breaking and Repairing GCM Security Proofs
著者:岩田 哲 ( 古屋大学),大橋 佳祐 ( 古屋大学),峯松 一彦 (NEC)
本研究 うち,岩田哲 研究 一部 科研費 (若手研究 (A), 22680001) 助成
行わ た