Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Slides:



Advertisements
Similar presentations
情報セキュリティ 第3回 現代暗号の基礎数理. 脅威と暗号技術 セキュリティに対する脅威 脅かされる特性 暗号技術 機密性 正真性 認証 否認不可能性 盗聴 (秘密が漏れる) 改竄 (情報が書き換えられる) なりすまし (正しい送信者のふりをする) 否認 (後から私じゃないと言う) 共通鍵暗号 公開鍵暗号.
Advertisements

効率的に計算可能な 加法的誤りの訂正可能性 安永 憲司 九州先端科学技術研究所 SITA 2012 @ 別府湾ロイヤルホテル
暗号技術の国際動向について ー AES 秘密鍵暗号, 楕円公開鍵暗号- 三菱電機株式会社情報技術総合研究所 松井 充.
2001/10/10 PSEC-KEM NTT 小林 鉄太郎 CRYPTREC 2001
2000年 3月 10日 日本電信電話株式会社 三菱電機株式会社
黒澤 馨 (茨城大学) 情報セキュリティ特論(4) 黒澤 馨 (茨城大学) 2017/3/4 confidential.
セキュリティ・アーキテクチャに基づく IT 設計
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
第1回レポートの課題 6月15日出題 今回の課題は1問のみ 第2回レポートと併せて本科目の単位を認定 第2回は7月に出題予定
Chapter 11 Queues 行列.
PacSec Nov 6, ISMSおよびその重要性 Richard Keirstead CISSP, BS7799 主任監査員
Chris Burgess (1号館1308研究室、内線164)
読んだもの1 P0145R1: Refining Expression Evaluation Order for Idiomatic C++
Object Group ANalizer Graduate School of Information Science and Technology, Osaka University OGAN visualizes representative interactions between a pair.
日本人の英語文章の中で「ENJOY」はどういうふうに使われているのか
データ構造と アルゴリズム 第二回 知能情報学部 新田直也.
Licensing information
The Sacred Deer of 奈良(なら)
黒澤 馨 (茨城大学) 情報セキュリティ特論(7) 黒澤 馨 (茨城大学)
演算/メモリ性能バランスを考慮した マルチコア向けオンチップメモリ貸与法
A Study on Performance Enhancement of Symmetric-Key Cryptography and its VLSI Implementation Zaldy ANDALES 大阪大学大学院工学研究科情報システム工学専攻 白川研究室.
組み込み向けCPU 小型デバイスに搭載されるCPU 特徴 携帯電話,デジタルカメラ,PDA,センサデバイスなど 小型 低消費電力 多機能
Air Pen -- an introduction of my recent result --
ストップウォッチの カード ストップウォッチの カード
型付きアセンブリ言語を用いた安全なカーネル拡張
2001/10/10 PSEC-KEM NTT 小林 鉄太郎 CRYPTREC 2001
Q q 情報セキュリティ 第3回:2005年4月28日(金) q q.
Q q 情報セキュリティ 第3回:2005年4月22日(金) q q.
New accessory hardware Global Platform Division
高速剰余算アルゴリズムとそのハードウェア実装についての研究
Q q 情報セキュリティ 第5回:2005年5月13日(金) q q.
FPGAでSATAを実現 SATAのニーズの高まりとFPGA
Q q 情報セキュリティ 第4回:2007年5月11日(金) q q.
情報セキュリティ  第4回 メッセージ認証コード.
第二章 インターネットで やり取りする情報を守る
オブジェクト指向プログラムにおける エイリアス解析手法の提案と実現
情報セキュリティ  第11回 デジタル署名.
Term paper, Report (1st, first)
My Favorite Movie I will introduce my favorite movie.
MIX 09 2/23/2019 1:22 PM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Where is Wumpus Propositional logic (cont…) Reasoning where is wumpus
2章 暗号技術 FM15002 友池 絲子.
Q q 情報セキュリティ 第11回:2004年6月18日(金) q q.
5.RSA暗号 素因数分解の困難性を利用した暗号.
東北大学大学院情報科学研究科 教授 西関 隆夫
半構造化テキストに対する 文字列照合アルゴリズム
暗号技術 ~暗号技術の基本原理~ (1週目) 情報工学科  04A1004 石川 真悟.
Q q 情報セキュリティ 第4回:2005年5月12日(金) q q.
データ圧縮技術による文字列照合処理の高速化に関する研究
22 物理パラメータに陽に依存する補償器を用いた低剛性二慣性系の速度制御実験 高山誠 指導教員 小林泰秀
暗号技術をとりまく最近の話題 ーAES秘密鍵暗号,楕円公開鍵暗号-
2019/4/22 Warm-up ※Warm-up 1~3には、小学校外国語活動「アルファベットを探そう」(H26年度、神埼小学校におけるSTの授業実践)で、5年生が撮影した写真を使用しています(授業者より使用許諾済)。
生物情報ソフトウェア特論 (2)たたみ込みとハッシュに 基づくマッチング
第4章 識別部の設計 4-5 識別部の最適化 発表日:2003年5月16日 発表者:時田 陽一
北大MMCセミナー 第62回 附属社会創造数学センター主催 Date: 2016年11月4日(金) 16:30~18:00
Ibaraki Univ. Dept of Electrical & Electronic Eng.
B03 量子論理回路の 最適化に関する研究 西野哲朗,垂井淳,太田和夫,國廣昇 電気通信大学 情報通信工学科.
Windows Summit 2010 © 2010 Microsoft Corporation.All rights reserved.Microsoft、Windows、Windows Vista およびその他の製品名は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。
Diffie-Hellman 鍵共有 ElGamal 暗号 楕円曲線暗号,量子コンピュータ
Created by L. Whittingham
Copyright (C) NTT & Mitsubishi Electric Corp. 2001
``Exponentiated Gradient Algorithms for Log-Linear Structured Prediction’’ A.Globerson, T.Y.Koo, X.Carreras, M.Collins を読んで 渡辺一帆(東大・新領域)
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
Cソースコード解析による ハード/ソフト最適分割システムの構築
ネット時代のセキュリティ3(暗号化) 2SK 情報機器工学.
暗号技術・セキュリティ 情報工学科  04A1004 石川 真悟.
情報生命科学特別講義III (3)たたみ込みとハッシュに 基づくマッチング
オブジェクト指向言語における セキュリティ解析アルゴリズムの提案と実現
識別子の読解を目的とした名詞辞書の作成方法の一試案
創造都市研究科 都市情報学 情報基盤研究分野
Presentation transcript:

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 128ビットブロック暗号 Camellia 青木 和麻呂* 市川 哲也† 神田 雅透* 松井 充† 盛合 志帆* 中嶋 純子† 時田 俊雄† * 日本電信電話株式会社 † 三菱電機株式会社 First , I‘ll introduce a 128-bit block cipher Camellia. Camellia was jointly developed by Mitsubishi Electric Corporation and NTT this March. It was designed by experienced crypto-analysts and programmers. 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 目次 Camelliaの特長 Camelliaの仕様 安全性評価 実装性能 知的所有権情報 標準化活動 まとめ <付録> 詳細な安全性評価コメント 設計方針 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 Camelliaの特長 NTTと三菱電機との共同開発。2000年に発表。 両社の暗号設計技術力を結集 NTT: 高速なソフトウェア実装に適した暗号設計 三菱: 小型・高速ハードウェア実装に適した暗号設計 両社: 安全性評価技術 次期米国政府標準暗号AESと同じインタフェースをサポート ブロック長: 128ビット 鍵長: 128, 192, 256ビット Camellia is a block cipher with 128-bit block size and supports 128-, 192-, and 256-bit keys. This is the same interface as the Advanced Encryption Standard, AES. These longer key lengths offer more security against exhaustive key search attack in the future. 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 Camelliaの特長 高い安全性 既知の解読法に対して安全 今後数十年の利用を考慮した高いセキュリティマージン 様々なプラットフォーム上で効率的な処理 ソフトウェア実装: 32ビットや64ビットプロセッサ上で高速 ICカード(メモリが制限されている8ビットや32ビットプロセッサ)上でコンパクトかつ高性能 ハードウェア実装: 小型かつ高性能 現存する128ビットブロック暗号のなかでは,世界 最小クラスの実装面積 優れた鍵交換高速性: 鍵セットアップ時間が短い Camellia is a block cipher with 128-bit block size and supports 128-, 192-, and 256-bit keys. This is the same interface as the Advanced Encryption Standard, AES. These longer key lengths offer more security against exhaustive key search attack in the future. 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 Camelliaの仕様 暗号化/復号処理: 18段 Feistel 構造 (128ビット鍵) 24段 Feistel 構造 (192, 256ビット鍵) ラウンド関数: SPN 構造 6段ごとにFL/FL-1関数を挿入 副鍵との排他的論理和による入出力ホワイトニング 副鍵生成処理: 簡明 暗号化処理と同じ 2段 Feistel 構造を共用 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 Camellia (128ビット鍵) 秘密鍵 (128ビット) 平文 (128ビット) 副鍵 F S1 バイト単位 線形変換 F S4 S3 F S2 F S4 S3 F ローテーションと副鍵選択 中間鍵生成 S2 F S1 Si : 置換表(sボックス) 暗号化(復号) 処理 鍵生成処理 副鍵 FL FL-1 副鍵 暗号文 (128ビット) 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 Camellia (192, 256ビット鍵) 秘密鍵 (192, 256ビット) 平文 (128ビット) 副鍵 F S1 バイト単位 線形変換 F S4 S3 F S2 F S4 S3 F ローテーションと副鍵選択 中間鍵生成 S2 F S1 Si : 置換表(sボックス) 鍵生成処理 副鍵 FL FL-1 副鍵 暗号文 (128ビット) 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 設計方針 (要約) 段関数 差分解読法・線形解読法に対して高い安全性を実現 様々なプラットフォーム上で高性能な処理を実現 小型のハードウェア実装が可能 FL/FL-1関数 構造の規則性を崩す 処理性能に大きな影響を与えない 鍵スケジュール 優れた鍵交換高速性を実現 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 考慮した安全性 以下のような攻撃に対し,十分な安全性を保つように設計 差分解読法,線形解読法 丸め差分攻撃,丸め線形攻撃 不能差分利用攻撃 ブーメラン攻撃 高階差分攻撃,Square攻撃 補間攻撃,線形和攻撃 等価鍵非存在性 スライド攻撃 関連鍵攻撃 実装攻撃, …… 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 安全性に関する第三者評価 公開された第三者評価 現在まで,FL/FL-1関数を除いた12段以上のCamellia(128ビット鍵)に対する攻撃は成功せず (仕様どおりの)Camelliaは安全であり,高いセキュリティマージンを有していると考えられる 著者 発表先 主な結果 (128ビット鍵) 攻撃可能段数 FL/FL-1 解読手法 Knudsen Camellia HP 7 段が識別可能 無 丸め差分 Bihamら NESSIE public report 9 段 差分 8 段が識別可能 川端,金子 2nd NESSIE workshop 8 段 高階差分 He, Qing ICICS2001 6 段 --- Square 杉田ら ASIACRYPT2001 9 段が識別可能 7 段の不能差分 不能差分 As you know, differential and linear cryptanalysis were proposed in 1990s. They are powerful cryptanalytic methods to many block ciphers. So designers should provide some evidences that the proposed cipher is secure against them. To evaluate the security, two security measures are known. One is the upper bound of probabilities of differentials and linear hulls. That is called provably secure. And the other is the upper bound of differential and linear characteristic probability. That is called practically secure. Here, the important thing is that they are focused on the upper bound of probability. We call this security measures with designer’s viewpoint. (101/128) 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 ソフトウェア実装性能(128ビット鍵) Pentium III (CPU clock: 1GHzの場合) (cycles/byte) 暗号化処理速度 (msec) 副鍵生成+1ブロック暗号化 74.9 Mbps 高速 高速 229.8 Mbps 415.6 Mbps 392.6 Mbps アセンブリ 自己評価 アセンブリ CRYPTREC* ANSI C 最適化未了 アセンブリ CRYPTREC* アセンブリ 自己評価 アセンブリ CRYPTREC* アセンブリ CRYPTREC* [出典] CRYPTREC*: 暗号技術評価報告書(2000年度版) 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 ソフトウェア実装性能(128ビット鍵) Z80上でのアセンブリ実装 (CPU clock: 5MHz) [出典] Rijndael*: 佐野ら, 第2回NESSIE会議予稿集 Camellia Rijndael* ROM使用量 [バイト数] 1,268 1,221 RAM使用量 [バイト数] (スタック,テキスト,鍵の各領域込み) 60 63 副鍵生成+1ブロック暗号化 [ステート数] (動的副鍵生成を利用) 35,951 (7.19 msec) 35,709 (7.15 msec) 副鍵生成+1ブロック復号 37,553 (7.51 msec) 52,094 (10.42 msec) 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 ソフトウェア実装性能(128ビット鍵) その他の結果 Pentium III上のJava実装 (自己評価) 鍵スケジュール: 9,091 サイクル 暗号化処理: 793 サイクル UltraSPARC,Alpha上でのアセンブリ実装 (暗号技術評価報告書2000年度版より) プロセッサ 暗号化/復号処理速度 1ブロック暗号化/復号 + 鍵スケジュール 暗号化 [サイクル数] 復号 暗号化+副鍵生成 復号+副鍵生成 UltraSPARCIIi 355 403 Alpha 21264 282 448 435 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 ハードウェア実装性能(128ビット鍵) 自己評価 – 最良の結果 (ASIC) 三菱 0.18mm ASIC CMOS (FPGA) Xilinx VirtexE 優先項目 実装サイズ [Kgates] スループット [Mbps] 処理効率 (=スループット/エリア) 面積最小 8.12 177.62 21.87 最高処理効率 11.87 1,050.90 88.52 処理速度最速 44.30 1,881.25 42.47 優先項目 実装サイズ [slices] スループット [Mbps] 処理効率 (=スループット/エリア) 面積最小 1,780 227.42 127.76 最高処理効率 (処理速度最速) 9,692 6,749.99 696.45 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 知的所有権情報 Camelliaを評価する際に必要となる知的所有権の利用が無償で行えることを宣誓します Camelliaの基本特許に関しては,Camelliaを 使用するものに対して,相互主義の下に,非排他的に,無償で実施許諾する方針です 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 標準化活動 NESSIE (New European Schemes for Signature, Integrity, and Encryption) プロジェクト 第2次評価フェーズへ進出 IETF Internet-Draftsを提案 Addition of the Camellia Encryption Algorithm to Transport Layer Security (TLS) A Description of the Camellia Encryption Algorithm ISO/IEC JTC 1/SC 27 日本国内委員会へ提案中 Encryption Algorithms (18033) 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 詳細情報の問い合わせ Camellia Home Page http://info.isl.ntt.co.jp/camellia/ 仕様書およびサンプルコード 設計方針,実装性能,ソフトウェア実装技法,ハードウェア評価,および安全性評価の詳細などに関する技術 文書 E-mail camellia@isl.ntt.co.jp MISTY@isl.melco.co.jp For more information, see the Camellia home page. Specification of Camellia and a reference code are available. You will also find technical papers on design rationale, performance, software implementation techniques, and security evaluation. Internet-Draft on a description of Camellia will be coming soon! 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 まとめ 128, 192, 256ビット鍵が利用できる128ビットブロック暗号Camelliaの提案 明確な設計方針に基づく 高い安全性 攻撃に成功した解読法は知られていない 十分に大きなセキュリティマージンを取っている 様々なプラットフォーム上で効率的な処理 小型で効率的なハードウェア実装 高速なソフトウェア実装 ICカード(メモリが制限された低コストプラットフォーム)上での効率的な実装 ロイヤリティフリーのアルゴリズム  2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 ご質問をどうぞ 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 付録 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 安全性自己評価 差分解読法および線形解読法 FL/FL-1関数を含む12段Camelliaには,確率 2-128 以上となる差分特性・線形特性パスが存在しない 丸め差分攻撃および丸め線形攻撃 10段以上のCamelliaでは,ランダム関数との識別が 不可能 不能差分利用攻撃 FL/FL-1関数は鍵の値によって差分パスを変化させる ブーメラン攻撃 FL/FL-1関数を除いた8段Camelliaの最良ブーメラン確率は 2-66以下と抑えられる 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 安全性自己評価 高階差分攻撃およびSquare攻撃 Camelliaのブール多項式での次数が十分に大きくなると期待 補間攻撃および線形和攻撃 Camelliaの未知係数の最小個数が最大となると期待 実装攻撃 “有利な(Favorable)” アルゴリズムのグループに属す 実装攻撃に対する防御はもっとも簡単 いくつかの防御策は,実装性能に大きな影響を与えることなく実現可能 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 安全性自己評価 等価鍵非存在 鍵生成によって作られる副鍵の集合には,元々の秘密鍵が含まれる スライド攻撃 構造の規則性を崩すため,FL/FL-1関数をFeistel構造の 6段ごとに挿入 関連鍵攻撃 副鍵の関係を制御したり,予測したりすることは困難 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 設計方針 – ラウンド関数 P関数 バイト単位の排他的論理和だけで構成可能 様々な環境で効率的な処理 分岐数が最良 差分解読法や線形解読法に対する耐性 Sボックス ガロア体GF(28) での逆数関数のアフィン等価関数を利用 以下の攻撃に対する耐性 差分解読法及び線形解読法 高階差分攻撃 補間攻撃 ハードウェアでの小型実装 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 ラウンド関数の詳細 副鍵 s ボックス P 関数 S1 S4 S3 S2 S4 S3 S2 S1 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 設計方針 – FL/FL-1関数 構造の規則性を崩す スライド攻撃に対する耐性 将来の(未知の)攻撃に対する耐性 通常の Feistel 構造が有する特長を維持 副鍵の順序を除けば,暗号化処理と復号処理が同一 MISTYのFL関数の設計方針を踏襲 任意の固定された副鍵に対して線形変換であるが, その変換は副鍵の値によって変化する ソフトウェアでもハードウェアでも効率的な実装が可能な論理演算で構成 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 FL/FL-1関数の詳細 <<<1 副鍵 FL関数 FL-1関数 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 設計方針 – 副鍵生成 ハードウェア実装面 簡明で,暗号化(復号)処理と一部共用可能 128ビット鍵専用の副鍵生成は,128, 192, 256ビット すべての鍵に対する副鍵生成の一部分として実行可能 様々な環境での効率性 鍵セットアップ時間を暗号化時間よりも短くする 動的副鍵生成をサポート 暗号化処理と復号処理とで動的副鍵生成が同一の  方法で計算可能 安全性 等価鍵の非存在 関連鍵攻撃への耐性 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001

Copyright (C) NTT & Mitsubishi Electric Corp. 2001 副鍵生成の詳細 KL KR F KB Σ5 Σ6 定数Σi: i 番目の素数の平方根の2番目から 17番目までの16進表現の値 Σ1 F Σ2 F KL Σ3 F Σ4 F KA 2001.10.09. CRYPTREC Workshop Copyright (C) NTT & Mitsubishi Electric Corp. 2001