This is the top of the page.
Displaying present location in the site.
Main content starts here.

共通鍵暗号の研究開発

NECの暗号・符号化技術

概要

一般に、共通鍵暗号の研究開発テーマは、 暗号の安全性解析と、その解析に基づく暗号設計という二つの柱からなります。
当グループでは、大規模な統計的評価システムや、差分攻撃・高階差分攻撃といった暗号解析手法の高度な応用により、既存の暗号に対する評価・解析を行っています。このようにして蓄積された安全性評価技術をベースとしてCRYPTREC(注1)推奨候補暗号であるCIPHERUNICORNを開発すると共に、ICカードやセンサなどの組み込み機器などに適した、小型・軽量を特長とする新たな暗号アルゴリズムと、その実装方法を研究しています。
また、ブロック暗号をモジュールとして暗号化・認証などの機能を実現する暗号利用モードの研究も行っております。ここでの成果として、ブロック暗号の一部分を再利用した高速かつ安全な認証方式PC-MACや、国際標準の暗号利用モードに対する解析結果などがあります。
 さらに、暗号が実装された機器での電力消費・漏洩電磁波などを利用して鍵を推測する実装攻撃と、それに対する対策の研究を進めています。
これらの活動の概要・研究成果の適用例についてはこちらもご参照ください。 (注1:電子政府のセキュリティを確保するための暗号の安全性評価プロジェクト)

暗号解析

共通鍵暗号は秘密鍵を全数探索すれば必ず正しい鍵を見つけることができますが、全数探索するために膨大な時間を必要とすることが安全性の根拠となっています。しかしながら、暗号アルゴリズムの構造的な欠陥を利用することで計算時間を短縮するショートカット法と呼ばれる解析手法が存在します。安全な暗号アルゴリズムを設計するためには、ショートカット法に対して耐性を有していなければなりません。そのためにも様々な暗号について解析を行うことにより解析技術を蓄積し、安全性評価手法、設計技術へとフィードバックさせていきます。

暗号設計・暗号利用モード

ブロック暗号 CIPHERUNICORNファミリー

CIPHERUNICORNはNECが開発した共通鍵ブロック暗号ファミリです。128ビットブロックのCIPHERUNICORN-A、64ビットブロックのCIPHERUNICORN-Eなどがあります。CIPHERUNICORNは基本となる処理であるラウンド関数において、撹拌の偏りが現れないように設計されております。撹拌の偏りは、入力と出力の関係を統計的に調べることで調査しました。
総務省及び経済産業省が公表している「電子政府における調達のための参照すべき暗号のリスト(推奨候補暗号リスト)」にも掲載されている、非常に信頼性の高い暗号です。
回線暗号装置CIPHERUNICORNや、セキュリティミドルウェアSecureWare等に搭載されています。
 CIPHERUNICORNのその他のファミリ、適用事例、技術情報詳細につきましては、こちらをご覧ください。

超軽量ブロック暗号 Twine

携帯電話やICカードの普及や、マイコンなどの組み込み機器・家電などの高度情報端末化が発展するにつれて、ごく小さな回路やメモリ量で動作する軽量な暗号の重要性が高まってきています。当研究グループでは一般化Feistel構造という方式に着目し、これをベースとした新たな汎用的ブロック暗号構成方法を考案しています。一般化Feistel構造はハードソフトを問わず小規模実装を可能とする点で特に注目を集めていますが、我々の提案方式は、一般化Feistel構造の利点を残したまま、安全性のために必要な処理量を従来より大幅に削減することが可能です。この新たな構造により、軽量性と安全性を兼ね備えた暗号が実現可能になると考えられます。
上記の提案をベースに、超軽量ブロック暗号Twineを開発し、暗号技術の国際学会SAC 2012において発表致しました。ハードウェア実装の回路規模が約1.5KGateと従来の軽量ブロック暗号と同等である上に、ローエンドのマイコンや汎用プロセッサ上でも少ないメモリで高速に動作する点が特長です。この性質は、車載などの組み込み機器や、RFID、センサーネットなどのセキュリティを確保する上で有用と考えられます。Twineに関する技術情報はこちらをご覧ください。

超軽量ブロック暗号Twineの構造超軽量ブロック暗号Twineの構造

暗号利用モード|メッセージ認証など

共通鍵ブロック暗号を用いて、暗号化やメッセージ認証コード(MAC)など具体的な暗号機能を実現する際には、暗号利用モードと呼ばれる処理が必要となります。例えば暗号化においては、CBCやCTRといった暗号化モードが、MACにおいてはCBC-MACなどの認証モードがあります。
当研究グループでは、機能や安全性の面で既存の方式を凌ぐ利用モードの研究を進めております。研究成果としては、米国標準暗号AESを用いた高速かつ安全なMACモード、HDDなどストレージ向けの暗号化モードや、従来の利用モードでは防げない、大量のデータを用いた攻撃にも安全な暗号化・認証モードなどがあります。 最近の成果としては、国際標準の認証暗号モードであるGCMの新たな安全性評価結果(名古屋大学と共同、プレスリリース実施)、およびスマートメータ向け認証暗号モードであるEAX-Primeの解析(名古屋大学、独ワイマール大と共同)などがあります。
また、CRYPTRECの推奨候補暗号として、当社提案の認証モード PC-MAC-AESが掲載されております。これは、AESをベースとしつつ、従来方式よりも高速処理が可能という特長があります。

実装攻撃

実装攻撃は、暗号モジュールから漏洩するサイドチャネル情報を利用して暗号鍵を推定する攻撃法です。サイドチャネル情報としては、暗号化の処理時間、暗号動作時の消費電力、そして暗号モジュールから漏洩する電磁波などがあります。我々は、2002年にパーソナルコンピュータ上にソフトウェア実装された暗号モジュールがメインメモリからデータを読み込む場合と、キャッシュメモリから読み込む場合で読み込み時間に差が生じることを利用して、鍵を推定する「キャッシュ攻撃」を考案しました。
以後、キャッシュ攻撃はソフトウェア実装に対する代表的な攻撃手法として盛んに研究されております。
近年では、ハードウェア実装された暗号モジュールを対象とした研究に注力しており、SASEBO(注)や非接触ICカードなどに対する電力、電磁波解析を実施しています。
 (注)SASEBOは、情報セキュリティ研究センターと東北大学によって開発されたサイドチャネル攻撃用標準評価ボードです。

実装攻撃の概念図実装攻撃の概念図

ページの先頭へ戻る