トピックス
128ビットブロック暗号AESの安全性について
平成23年9月12日
CRYPTREC暗号方式委員会
米国の国立標準技術研究所National Institute of Standards andTechnology(NIST)により2001年に米国連邦標準規格FIPS PUB 197[1]として規格化され、CRYPTRECの電子政府推奨暗号リスト[2]にも掲載しているAdvancedEncryption Standard(AES)に対する新たな攻撃手法が国際暗号学会(International Association for Cryptologic Research(IACR))[3]が主催する国際会議CRYPTO 2011[4]開催期間中、8月16日に開かれたランプセッション[5]で発表されました[6]。
発表者がIACRのサイトにある電子文献アーカイブ(Cryptology ePrint Archive)に投稿した詳細な論文[7]によれば、AESに対する単一鍵攻撃の計算量は下記の通りです。
| AESの鍵長 | 解読に必要なデータ量[8] | 解読に必要な計算量[9] |
|---|---|---|
| 128ビット鍵 | 288 | 2126.18 |
| 192ビット鍵 | 280 | 2189.74 |
| 256ビット鍵 | 240 | 2254.42 |
この発表によれば、AESの解読(暗号鍵の推定)に必要な計算量は、鍵の総当たり (すべての鍵を試す場合)の計算量[10]よりも若干小さくなっています。しかし、解読には大量のデータ[11]をあらかじめ用意する必要があるため、直ちに現実的な脅威につながることはないものと考えられます。本件に関する調査結果については今後、暗号技術検討会、及びCRYPTRECのWebサイトにてCRYPTREC Report等として報告する予定です。
- http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf
- https://www.cryptrec.go.jp/list.html
- http://www.iacr.org/
- http://www.iacr.org/conferences/crypto2011/ (2011年8月14日-8月18日、米国・カリフォルニア大学サンタバーバラ校にて開催)
- http://rump2011.cr.yp.to/
- http://www.kuleuven.be/english/newsletter/newsflash/encryption_standard.html
- http://eprint.iacr.org/2011/449
- 1単位は平文・暗号文の1組。平文、暗号文ともに1ブロックは128ビット。
- 1単位はそれぞれの鍵長における1ブロックの暗号化に要する計算量。
- 128ビットブロック暗号の鍵長が128ビット、192ビット、256ビットの場合、それぞれ2128、2192、2256。
- たとえば、AESの鍵長が128ビットの場合、数兆ペタバイトとなる。ペタは10の15乗。
ご意見・コメントなどの問い合わせがございましたら、下記までお願いいたします。
CRYPTREC事務局
E-mail: 