「Advanced Encryption Standard」の版間の差分

Advanced Encryption Standard
(Rijndael)
	The SubBytes step, one of four stages in a round of AES
一般
設計者	フィンセント・ライメン, ホァン・ダーメン（英語版）
初版発行日	1998
派生元	Square
後継	Anubis, Grand Cru
認証	AES採用, CRYPTREC, NESSIE, NSA
暗号詳細
鍵長	128, 192 or 256 bits
ブロック長	128 bits
構造	SPN構造
ラウンド数	10, 12, 14（鍵長による）
最良の暗号解読法
	Attacks have been published that are computationally faster than a full brute force attack, though none as of 2013 are computationally feasible: For AES-128, the key can be recovered with a computational complexity of 2126.1 using bicliques. For biclique attacks on AES-192 and AES-256, the computational complexities of 2189.7 and 2254.4 respectively apply. Related-key attacks can break AES-192 and AES-256 with complexities 2176 and 299.5, respectively.

履歴の双方向閲覧

← 古い編集新しい編集 →

削除された内容追加された内容

ビジュアルウィキテキスト

インライン

2017年9月4日 (月) 17:13時点における版

Advanced Encryption Standard (AES) は、秘密鍵暗号である。

以前の標準暗号であった「DES」は、

時代の経過による相対的な強度の低下
NSAの関与があるその設計の不透明性（詳細はDESの記事を参照）

が問題であることから、新しい標準暗号としてアメリカ国立標準技術研究所（NIST）の主導により公募され、AESが選出された。2001年3月に FIPS PUB 197 として公表された。

厳密には「AES」は、選出された以外の暗号も含む、手続き中から使われた「新しい標準暗号」の総称であり、選出された暗号方式自体の名としてはRijndael（ラインダール）である。

概要

AESはSPN構造のブロック暗号で、ブロック長は128ビット、鍵長は128ビット・192ビット・256ビットの3つが利用できる。AESの元となった Rijndael では、ブロック長と鍵長が可変で、128ビットから256ビットまでの32ビットの倍数が選べる。NISTが公募した際のスペックに従い、米国標準となったAESではブロック長は128ビットに固定、鍵長も3種類に限られた。

経緯

旧規格 DES (FIPS 46) の安全性が低下したため、1997年9月にNIST（アメリカ国立標準技術研究所）が後継の暗号標準AES (Advanced Encryption Standard) とすべく共通鍵ブロック暗号を公募した。世界から応募された21方式から、公募要件を満たした15方式に対する評価が行われ、安全性と実装性能に優れた5方式が最終候補として残った。最終選考の結果、あらゆる実装条件で優れた実装性能を発揮したベルギーのルーヴェン・カトリック大学の研究者ホァン・ダーメン（英語版） (Joan Daemen) とフィンセント・ライメン (Vincent Rijmen) が設計した Rijndael （ラインダール）が2000年 10月に採用された。Rijndaelという名称のうち、RijnはRijmen、daeはDaemenから取られたことは明白だが、lはどこから来たのかが不明だった。指導教授だったバート・プレネル (Bart Preneel) から取ったのではという説があり、Rijmenが講演した際に質問を受けたが、その答えは "It's a conjecture.（それは憶測に過ぎないね）" だった。

他の最終候補および設計者は以下の通りである。

Serpent（サーペント、または、サーパン）- ロス・アンダーソン、エリ・ビーハム、ラーズ・ヌードセン
RC6 - ロナルド・リヴェスト、マット・ロブショー、レイ・シドニー、イーチュン・リサ・イン
Twofish - ブルース・シュナイアー、ジョン・ケルシー、ダグ・ホワイティング、デーヴィッド・ワグナー、クリス・ホール、ニールス・ファーガソン
Mars - カロリン・バーウィック、ドン・カッパースミス、エドワード・ダヴィニョン、ロザリオ・ジェンナロ、シャイ・ハレヴィ、チャランジット・ジュトラ、ステファン・マテリアス Jr.、ルーク・オコーナー、モハンマド・ペイラヴィアン、デヴィド・サフォード、ネヴェンコ・ズニコフ

暗号化の方法

AESはSPN構造のブロック暗号で、ブロック長は128ビット、鍵長は128ビット・192ビット・256ビットの3つが利用できる。 AES暗号の鍵長によって変換のラウンド数が異なる。次の通りである。

鍵長128ビットのとき、ラウンド数は10回である。

鍵長192ビットのとき、ラウンド数は12回である。

鍵長256ビットのとき、ラウンド数は14回である。

安全性

関連鍵攻撃により、256ビットのAES暗号の9ラウンド目までを解読可能である。また、選択平文攻撃により、192ビットおよび256ビットのAES暗号の8ラウンド目まで、128ビットのAES暗号の7ラウンド目までを解読可能である (Ferguson et al, 2000)。シュナイアーはAESの「代数的単純さに疑問」を感じているが、AESは欧州の暗号規格NESSIEや日本の暗号規格CRYPTRECでも採用された。AESの数学的構造は他のブロック暗号と異なり、きちんとした記述もある^[4]^[5]。この暗号はまだどんな攻撃にも通じていないが、何人かの研究者が今後の攻撃はこの構造を利用するかもしれないと指摘している^[6]^[7]^[8]。

脚注

^ Rijndaelでは128, 160, 192, 224, 256 bitsが選択可能。AESのスペックに合わせて3つに限定
^ Rijndaelでは128, 160, 192, 224, 256 bitsが選択可能。AESのスペックに合わせて128 bitsのみに限定
^ “Biclique Cryptanalysis of the Full AES” (PDF) (英語). 2016年3月6日時点のオリジナルよりアーカイブ。October 9, 2016閲覧。
^ A simple algebraic representation of Rijndael (Niels Ferguson, Richard Schroeppel, and Doug Whiting)（2003年6月6日時点のアーカイブ）
^ Sean Murphy （英語）
^ [1]（2005年11月14日時点のアーカイブ）
^ [2] ^{[リンク切れ]}
^ Cache-timing attacks on AES (PDF) （英語） - (Daniel J. Bernstein)

参考文献

FIPS 197 (PDF) 、NIST発行、2001年（英語）
Daemen and Rijmen, Rijndael 仕様書（補追版） (PDF) 、1999年発行-2003年補追（英語）
結城浩『暗号技術入門 - 秘密の国のアリス』第3章、ソフトバンクパブリッシング、2003年、ISBN 4-7973-2297-7。

外部リンク

公式サイト AES Home Page（のアーカイブ） - ウェイバックマシン（2014年7月17日アーカイブ分）（英語）
リファレンスコード（英語）
解説 AES概説（2009年5月3日時点のアーカイブ）
選定過程 AESファイナリストをめぐって（日本語）

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

[keysize-1] Rijndaelでは128, 160, 192, 224, 256 bitsが選択可能。AESのスペックに合わせて3つに限定

[blocksize-2] Rijndaelでは128, 160, 192, 224, 256 bitsが選択可能。AESのスペックに合わせて128 bitsのみに限定

[aesbc-3] “Biclique Cryptanalysis of the Full AES” (PDF) (英語). 2016年3月6日時点のオリジナルよりアーカイブ。October 9, 2016閲覧。

[4] A simple algebraic representation of Rijndael (Niels Ferguson, Richard Schroeppel, and Doug Whiting)（2003年6月6日時点のアーカイブ）

[5] Sean Murphy （英語）

[6] [1]（2005年11月14日時点のアーカイブ）

[7] [2] ^{[リンク切れ]}

[8] Cache-timing attacks on AES (PDF) （英語） - (Daniel J. Bernstein)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

@@ 53行目: / 53行目: @@
 == 安全性 ==
-[[関連鍵攻撃]]により、256ビットのAES暗号の9ラウンド目までを解読可能である。また、[[暗号解読|選択平文攻撃]]により、192ビットおよび256ビットのAES暗号の8ラウンド目まで、128ビットのAES暗号の7ラウンド目までを解読可能である (Ferguson et al, 2000)。シュナイアーはAESの「代数的単純さに疑問」を感じているが、AESは欧州の暗号規格[[NESSIE]]や日本の暗号規格[[CRYPTREC]]でも採用された。AESの数学的構造は他のブロック暗号と異なり、きちんとした記述もある<ref>[http://web.archive.org/web/20030606080156/http://macfergus.com/pub/rdalgeq.html A simple algebraic representation of Rijndael] (Niels Ferguson, Richard Schroeppel, and Doug Whiting)（2003年6月6日時点の[[インターネット・アーカイブ|アーカイブ]]）</ref><ref>[http://www.isg.rhul.ac.uk/~sean/ Sean Murphy] {{en icon}}</ref>。この暗号はまだどんな攻撃にも通じていないが、何人かの研究者が今後の攻撃はこの構造を利用するかもしれないと指摘している<ref>[http://web.archive.org/web/20051114172255/http://www2.nict.go.jp/jt/a124/cryptrec_publicity/mo_pdf/80rep.pdf]（2005年11月14日時点の[[インターネット・アーカイブ|アーカイブ]]）</ref><ref>[http://www.aes4.org/english/events/aes4/downloads/talk_aesboom.pdf] {{リンク切れ|date=2009年10月}}</ref><ref>{{PDFlink|[http://cr.yp.to/antiforgery/cachetiming-20050414.pdf Cache-timing attacks on AES]}} {{en icon}} - (Daniel J. Bernstein)</ref>。
+[[関連鍵攻撃]]により、256ビットのAES暗号の9ラウンド目までを解読可能である。また、[[暗号解読|選択平文攻撃]]により、192ビットおよび256ビットのAES暗号の8ラウンド目まで、128ビットのAES暗号の7ラウンド目までを解読可能である (Ferguson et al, 2000)。シュナイアーはAESの「代数的単純さに疑問」を感じているが、AESは欧州の暗号規格[[NESSIE]]や日本の暗号規格[[CRYPTREC]]でも採用された。AESの数学的構造は他のブロック暗号と異なり、きちんとした記述もある<ref>[http://web.archive.org/web/20030606080156/http://macfergus.com/pub/rdalgeq.html A simple algebraic representation of Rijndael] (Niels Ferguson, Richard Schroeppel, and Doug Whiting)（2003年6月6日時点の[[インターネットアーカイブ|アーカイブ]]）</ref><ref>[http://www.isg.rhul.ac.uk/~sean/ Sean Murphy] {{en icon}}</ref>。この暗号はまだどんな攻撃にも通じていないが、何人かの研究者が今後の攻撃はこの構造を利用するかもしれないと指摘している<ref>[http://web.archive.org/web/20051114172255/http://www2.nict.go.jp/jt/a124/cryptrec_publicity/mo_pdf/80rep.pdf]（2005年11月14日時点の[[インターネットアーカイブ|アーカイブ]]）</ref><ref>[http://www.aes4.org/english/events/aes4/downloads/talk_aesboom.pdf] {{リンク切れ|date=2009年10月}}</ref><ref>{{PDFlink|[http://cr.yp.to/antiforgery/cachetiming-20050414.pdf Cache-timing attacks on AES]}} {{en icon}} - (Daniel J. Bernstein)</ref>。
 == 脚注 ==
@@ 86行目: / 86行目: @@
 * 公式サイト {{Wayback|url=http://csrc.nist.gov/CryptoToolkit/aes/|date=20140717094809|title=AES Home Page（のアーカイブ）}} {{en icon}}
 * [http://embeddedsw.net/Cipher_Reference_Home.html リファレンスコード] {{en icon}}
-* 解説 [http://web.archive.org/web/20090503235219/http://www-ailab.elcom.nitech.ac.jp/security/aes/overview.html AES概説]（2009年5月3日時点の[[インターネット・アーカイブ|アーカイブ]]）
+* 解説 [http://web.archive.org/web/20090503235219/http://www-ailab.elcom.nitech.ac.jp/security/aes/overview.html AES概説]（2009年5月3日時点の[[インターネットアーカイブ|アーカイブ]]）
 * 選定過程 [http://h2np.net/bit/aes2/index.html AESファイナリストをめぐって] {{ja icon}}
 <!--

2017年9月4日 (月) 17:13時点における版

概要

経緯

暗号化の方法

安全性

脚注

参考文献

関連項目

外部リンク