共通鍵暗号系の最新の話題

名古屋大学大学院工学研究科

岩田 哲

MELT upフォーラム2015年6月15日 中央大学

1

話題

• CAESARコンペティション– コンペティション紹介– CLOC/SILC紹介

• GCMの証明可能安全性– Iwata, Ohashi, Minematsu. Breaking and Repairing GCM Security Proofs. CRYPTO 2012

– Niwa, Ohashi, Minematsu, Iwata. GCM Security Bounds Reconsidered. FSE 2015

2

認証暗号化方式

• Authenticated Encryption– データの暗号化と認証を同時に、かつ効率的に実現– 共通鍵暗号技術

• NIST推奨方式– CCM: SP 800‐38C (2004)– GCM: SP 800‐38D (2007)

3

認証暗号化方式

4

認証暗号化方式

5

…AES_128_GCM…

GCMの特徴

• 利点– ソフトウェア、ハードウェアともに効率的

• Haswell, AES NI: 1.03 cpb [Gueron2013]• ブロック暗号の並列呼び出しが可能、オンライン

– 証明可能安全 [Iwata, Ohashi, Minematsu2012]• 欠点

– タグが短いときは効率的な偽造が可能 [Ferguson2005]– 弱鍵の存在 [Handschuh, Preneel2008, Saarinen2012, Procter, Cid2013, Abdelraheem, Beelen, Bogdanov, Tischhauser2015]

– ナンスの繰り返しはハッシュ関数の鍵回復につながる[Joux2006] 6

CAESARコンペティション

• GCMは最良の方式か?

– Competition for – Authenticated – Encryption:– Security,– Applicability, and– Robustness

7

CAESARコンペティション

• “CAESAR will identify a portfolio of authenticated ciphers that (1) offer advantages over AES‐GCM and (2) are suitable for widespread adoption.”

• 認証暗号化方式に特化したオープンなコンペティション– world wideアカデミックコミュニティ主導– ポートフォリオの選定

(1) AES‐GCMよりも優れている(2) 広範な実用に適している

– 選定委員の投票による絞り込み– NISTによるスポンサーシップ（約330000USD）

8

CAESARコンペティション

• http://competitions.cr.yp.to/caesar.html

9

CAESARコンペティション

• https://groups.google.com/forum/#!forum/crypto‐competitions

10

スケジュール

• 2012.07.05‐‐06: DIAC 2012 ストックホルム• 2013.01.15: Competitionのアナウンス• 2013.08.11‐‐13: DIAC 2013 シカゴ• 2014.03.15: 投稿締切• 2014.05.15: ソフトウェア実装投稿締切• 2014.08.23‐‐24: DIAC 2014 サンタバーバラ• 2015.6.15: Second‐round candidatesのアナウンス• 2015.9.28‐‐29: DIAC 2015 シンガポール• 2016.01.15: Third‐round candidatesのアナウンス• 2016 summer: DIAC 2016 日本(?)• 2016.12.15: Finalistsのアナウンス• 2017 summer: DIAC 2017• 2017.12.15: Final portfolioのアナウンス

11

選定委員22名（1/2）

• Steve Babbage (Vodafone Group, UK)• Daniel J. Bernstein (University of Illinois at Chicago, USA, and Technische

Universiteit Eindhoven, Netherlands); secretary, non‐voting• Alex Biryukov (University of Luxembourg, Luxembourg)• Anne Canteaut (Inria Paris‐Rocquencourt, France)• Carlos Cid (Royal Holloway, University of London, UK)• Joan Daemen (STMicroelectronics, Belgium)• Christophe De Cannière (Google, Switzerland)• Orr Dunkelman (University of Haifa, Israel)• Henri Gilbert (ANSSI, France)• Tetsu Iwata (Nagoya University, Japan)• Lars R. Knudsen (Technical University of Denmark, Denmark)

12

選定委員22名（2/2）

• Stefan Lucks (Bauhaus‐Universität Weimar, Germany)• David McGrew (Cisco Systems, USA)• Willi Meier (FHNW, Switzerland)• Kaisa Nyberg (Aalto University School of Science, Finland)• Bart Preneel (COSIC, KU Leuven, Belgium)• Vincent Rijmen (KU Leuven, Belgium)• Matt Robshaw (Impinj, USA)• Phillip Rogaway (University of California at Davis, USA)• Greg Rose (kitchen4140, USA)• Serge Vaudenay (EPFL, Switzerland)• Hongjun Wu (Nanyang Technological University, Singapore) 

13

Submissions

ACORN Artemia FASER  LAC PANDA  SILC

++AE Ascon HKC Marble π‐Cipher Silver

AEGIS AVALANCHE HS1‐SIV McMamboPOET STRIBOB

AES‐CMCC Calico ICEPOLE Minalpher POLAWIS Tiaoxin

AES‐COBRA CBA iFeed[AES] MORUS PRIMATEs TriviA‐ck

AES‐COPA CBEAM  Joltik NORX Prøst Wheesht

AES‐CPFB CLOC Julius OCB Raviyoyla YAES

AES‐JAMBU Deoxys Ketje OMD Sablier

AES‐OTR ELmD Keyak PAEQ SCREAM

AEZ Enchilada KIASU PAES SHELL14

Submissions

ACORN Artemia FASER  LAC PANDA  SILC

++AE Ascon HKC Marble π‐Cipher Silver

AEGIS AVALANCHE HS1‐SIV McMamboPOET STRIBOB

AES‐CMCC Calico ICEPOLE Minalpher POLAWIS Tiaoxin

AES‐COBRA CBA iFeed[AES] MORUS PRIMATEs TriviA‐ck

AES‐COPA CBEAM  Joltik NORX Prøst Wheesht

AES‐CPFB CLOC Julius OCB Raviyoyla YAES

AES‐JAMBU Deoxys Ketje OMD Sablier

AES‐OTR ELmD Keyak PAEQ SCREAM

AEZ Enchilada KIASU PAES SHELL15

Submissions

ACORN Artemia FASER  LAC PANDA  SILC

++AE Ascon HKC Marble π‐Cipher Silver

AEGIS AVALANCHE HS1‐SIV McMamboPOET STRIBOB

AES‐CMCC Calico ICEPOLE Minalpher POLAWIS Tiaoxin

AES‐COBRA CBA iFeed[AES] MORUS PRIMATEs TriviA‐ck

AES‐COPA CBEAM  Joltik NORX Prøst Wheesht

AES‐CPFB CLOC Julius OCB Raviyoyla YAES

AES‐JAMBU Deoxys Ketje OMD Sablier

AES‐OTR ELmD Keyak PAEQ SCREAM

AEZ Enchilada KIASU PAES SHELL16

CLOC: Compact Low‐Overhead CFBIwata, Minematsu, Guo, Morioka

SILC: SImple Lightweight CFBIwata, Minematsu, Guo, Morioka, Kobayashi

CLOC

• Iwata, Minematsu, Guo, Morioka. CLOC: Compact Low‐Overhead CFB. FSE 2014

17

CLOC

• Iwata, Minematsu, Guo, Morioka. CLOC: Compact Low‐Overhead CFB. FSE 2014

• 仕様– CBC MACの修正版による認証タグ生成– CFBの修正版による暗号化

• 設計指針– 短いデータ（例えば16バイト）の処理に適した構成

• 重い事前計算や多くのメモリを必要としない– 組み込みソフトウェア、マイクロプロセッサ向け– 証明可能安全性を有する

18

SILC

• Iwata, Minematsu, Guo, Morioka, Kobayashi. SILC: SImpleLightweight CFB. DIAC 2014

• 仕様（CLOCと同様）– CBC MACの修正版による認証タグ生成– CFBの修正版による暗号化

• 設計指針– CLOCを小型ハードウェア実装向けに修正– 証明可能安全性を有する

19

CAESARコンペティション動向

• Competition for • Authenticated • Encryption:• Security,• Applicability, and• Robustness

– 頑強性– ナンスが繰り返した時の影響– 復号オラクルが未検証の平文を漏えいしたときの影響

20

GCM

• Galois/Counter Mode– [McGrew, Viega2004]– NIST SP 800‐38D (2007)– ISO/IEC 19772, IEEE P1619.1, NSA Suite B, IETF IPsec, SSH, SSLなど

– CAESARコンペティションベンチマーク方式

21

GCMの証明可能安全性

• 提案者による証明可能安全性 [McGrew, Viega2004]

22

GCMの証明可能安全性

• 提案者による証明可能安全性の証明に不備 [Iwata, Ohashi, Minematsu. Breaking and Repairing GCM Security Proofs. CRYPTO 2012]

• 新たな安全性証明を与えた

• おおよそ222倍攻撃成功確率が高い可能性

23

GCMの証明可能安全性

• CRYPTO 2012の安全性限界式の改善に成功 [Niwa, Ohashi, Minematsu, Iwata. GCM Security Bounds Reconsidered. FSE 2015. Best Paper Award]

24

まとめ

• CAESARコンペティション– 認証暗号化方式のポートフォリオの選定– AES コンペティション、NESSIE プロジェクト、eSTREAMプロジェクト、SHA‐3 プロジェクトに続く国際的なコンペティション

• GCMの証明可能安全性

25