CLEFIA_ISEC発表

Similar documents
Microsoft PowerPoint - 6-盛合--日文.ppt

暗号実装委員会報告(CRYPTRECシンポジウム2012)

Microsoft PowerPoint - CRYPTRECシンポジウム2017(軽量WG)r1.pptx

PowerPoint Presentation

「電子政府推奨暗号の実装」評価報告書

ビッグデータ分析を高速化する 分散処理技術を開発 日本電気株式会社

2008 年度下期未踏 IT 人材発掘 育成事業採択案件評価書 1. 担当 PM 田中二郎 PM ( 筑波大学大学院システム情報工学研究科教授 ) 2. 採択者氏名チーフクリエータ : 矢口裕明 ( 東京大学大学院情報理工学系研究科創造情報学専攻博士課程三年次学生 ) コクリエータ : なし 3.

目次 1. はじめに SSL 通信を使用する上での課題 SSL アクセラレーターによる解決 SSL アクセラレーターの導入例 SSL アクセラレーターの効果... 6 富士通の SSL アクセラレーター装置のラインナップ... 8

ソフトウェア基礎技術研修

Microsoft PowerPoint - kyoto

CELSIUSカタログ(2012年7月版)

White Paper 高速部分画像検索キット(FPGA アクセラレーション)

PowerPoint Presentation

Trend Micro Safe Lock 2.0 Patch1 管理コンソールのシステム要件 OS Windows XP (SP2/SP3) [Professional] Windows 7 (SP なし /SP1) [Professional / Enterprise / Ultimate] W

Microsoft Word LenovoSystemx.docx

CELSIUSカタログ(2012年5月版)

4 倍精度基本線形代数ルーチン群 QPBLAS の紹介 [index] 1. Introduction 2. Double-double algorithm 3. QPBLAS 4. QPBLAS-GPU 5. Summary 佐々成正 1, 山田進 1, 町田昌彦 1, 今村俊幸 2, 奥田洋司

tnbp59-21_Web:P2/ky132379509610002944

研修コーナー

<4D F736F F F696E74202D2091E6824F82538FCD8CEB82E88C9F8F6F814592F990B382CC8CB4979D82BB82CC82505F D E95848D8682CC90B69

Information Theory

スライド 1

2006

HULFT の通信をよりセキュアに HULFT と SSH Tectia を組み合わせたセキュアで強力なファイル転送 Compatibility Note 2008 年 9 月 株式会社セゾン情報システムズの企業内 企業間通信ミドルウェアである HULFT は ファイル転送のアプリケーションとして

パーキンソン病治療ガイドライン2002

スライド 1

umeda_1118web(2).pptx

Microsoft PowerPoint - 集積回路工学(5)_ pptm

Microsoft PowerPoint - qcomp.ppt [互換モード]

インターリーブADCでのタイミングスキュー影響のデジタル補正技術

画像解析論(2) 講義内容


リソース制約下における組込みソフトウェアの性能検証および最適化方法

Corp ENT 3C PPT Template Title

Microsoft PowerPoint Quality-sama_Seminar.pptx

TFTP serverの実装

PHP 開発ツール Zend Studio PHP アフ リケーションサーハ ー Zend Server OSC Tokyo/Spring /02/28 株式会社イグアスソリューション事業部

BLOOMBERG PROFESSIONAL™

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

システム要件 Trend Micro Safe Lock 2.0 SP1 Trend Micro Safe Lock 2.0 SP1 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Wind

untitled

Microsoft PowerPoint - 【最終提出版】 MATLAB_EXPO2014講演資料_ルネサス菅原.pptx

TLS/SSLの暗号利用に関する現状と課題

Microsoft PowerPoint - 11.ppt

対応 Web サーバ IIS Apache HTTP Server x 環境によるインストール時の Web サーバの検出および利用について詳細は以下製品 Q&A をご覧ください

MS SQL の Point-in-Time リストア A - - v6.5 Update4 以降サポート Active Directory 詳細レベルリストア A A A v5 Update2 以降サポート 小さいパーティションへのBMR A A A v5 Update2 以降サポート リモートレ

システム要件 Trend Micro Safe Lock Trend Micro Safe Lock 2.0 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Windows XP (SP1/

0 21 カラー反射率 slope aspect 図 2.9: 復元結果例 2.4 画像生成技術としての計算フォトグラフィ 3 次元情報を復元することにより, 画像生成 ( レンダリング ) に応用することが可能である. 近年, コンピュータにより, カメラで直接得られない画像を生成する技術分野が生

BD9328EFJ-LB_Application Information : パワーマネジメント

Microsoft PowerPoint - sales2.ppt

ACtive 010 2

WSUS Quick Package

Arcserve UDP バージョン比較 (Rev: 4.0) 2019 年 5 月作成 凡例 ( A : Advanced 以上 P : Premium 以上 PP : Premium Plus SS : 専用サブスクリプション -: 機能なし ) Release Version 機能 7.0 v

038_h01.pdf

PowerPoint プレゼンテーション

CLUSTERPROXSingleServerSafe SingleServerSafe ご紹介 2007 年 10 月

PowerPoint プレゼンテーション

もくじ 2 はじめに... 3 概要... 4 動作環境... 4 利用制限モードについて... 4 本マニュアルの見かた... 4 HOME アプリマネージャの基本操作... 5 HOME アプリマネージャをインストールする... 6 HOME アプリマネージャを起動する... 8 HOME アプ

IPsec徹底入門

保育の必要性の認定について

第1回渋谷区基本構想等審議会 議事概要



 

Probit , Mixed logit

HD View Single Windowsセットアップガイド

資料2-3 要求条件案.doc

ボルツマンマシンの高速化

Oracle SQL Developerの移行機能を使用したOracle Databaseへの移行

Veritas System Recovery 16 Management Solution Readme

共通鍵ブロック暗号CLEFIAの安全性評価報告書

Transcription:

128 ビットブロック暗号 CLEFIA 白井太三 渋谷香士 秋下徹 盛合志帆 岩田哲 ソニー株式会社 名古屋大学

目次 背景 アルゴリズム仕様 設計方針 安全性評価 実装性能評価 まとめ 2

背景 AES プロジェクト開始 (1997~) から 10 年 AES プロジェクト 攻撃法の進化 代数攻撃 関連鍵攻撃 新しい攻撃法への対策 暗号設計法の進化 IC カード, RFID などのアプリケーション拡大 制約条件の厳しい環境下でも実装可能なブロック暗号のニーズ 3

設計の動機 最新の研究成果, 設計手法によりどこまで安全かつ小さく 高速な 128 ビットブロック暗号を設計できるか? 安全性 実装コスト 速度 4

CLEFIA のアルゴリズム仕様 共通鍵ブロック暗号 ブロック長 :128 ビット 鍵長 :128/192/256 ビット 基本構造 Type-2 一般化 Feistel 構造 (GFN) データ処理部, 鍵スケジュール部ともに ラウンド数 :18 (128 ビット鍵 ) 22 (192 ビット鍵 ) 26 (256 ビット鍵 ) 5

Type-2 一般化 Feistel 構造 4 系列 32 ビット 6

データ処理部スケジュール部7 鍵鍵スケジュール部鍵 ( ラウンド数を削減した ) データ処理部 : : : : 部平文 暗号文

F 関数 SP 型 S0 S1 S0 S1 行列 M0 1 2 4 6 2 1 6 4 4 6 1 2 6 4 2 1 S1 S0 S1 S0 行列 M1 1 8 2 a 8 1 a 2 2 a 1 8 a 2 8 1 8

設計方針 全体構造 一般化 Feistel 構造 拡散行列 DSM: Diffusion Switching Mechanism の利用 S-box 異なる代数構造に基づくコンパクトな S-box 鍵スケジュール部 安全性とコンパクト実装が両立可能 9

Feistel vs. 一般化 Feistel F F F F F F F F F F F F 10 一般化 Feistel 構造の特徴 F 関数のサイズが小さい 複数の F 関数が同時に実行できる 多くのラウンド数が必要 拡散行列切り替え法 (DSM) により削減可能

拡散行列切り替え法 (DSM) DSM:Diffusion Switching Mechanism [SS04,SP04,SS06] Feistel 構造において, 複数の拡散行列を組み合わせることにより差分 / 線形攻撃への耐性を高める手法 M 0 : MDS 行列, M 1 : MDS 行列でかつ M 0 M 1 : MDS 行列となるように設計 M 0 M 0 M 1 M 1 M 0 *MDS: Maximum Distance Separable M 0 11

DSM の効果 差分 / 線形攻撃に対する耐性の向上 隣接するラウンド関数間の difference cancellation / linear mask cancellation を防止 同じラウンド数の差分 / 線形特性に含まれる Active S-boxの最少個数が多くなることを保証できる 必要な総ラウンド数を削減可能 CLEFIAのケースでは25% ラウンド数が削減 12

DSM の効果 ( 最小 active S-box 数の比較 ) 従来技術 DSM 適用時, D: 差分, L: 線形 ラウンド数 CLEFIA の場合 28 個以上 active s-box が必要. 従来技術では最低 16 ラウンド必要だった. DSM を用いることで 12 ラウンドで達成. 13

2 種類の S-box S 0 S 1 SS 0 SS 2 1 2 2 1 8 SS 1 SS 8 3 f x - 1 in GF(2 8 ) g 4 ビット S-box ベース使用例 :Whirlpool, FOX f, g: GF(2) 上 affine 変換 GF(2 8 ) 上逆元関数ベース使用例 :AES, Camellia 異なる代数構造 代数攻撃系への耐性向上 2 種類の S-box の利用 ( 配置も考慮 ) 飽和攻撃 (Saturation Attack) 等への耐性向上 14

鍵スケジュール部 (128 ビット鍵 ) 128 ビット鍵 12 ラウンド : ラウンド鍵 RK 0,..,RK 3 RK 4,..,RK 7 RK 8,..,RK 11 15 128 ビット中間鍵 RK 12,..,RK 15 関数 RK 16,..,RK 19 7 57bit 57bit 7 RK 20,..,RK 23 : : : 57bit 7 7 57bit

鍵スケジュール部 一般化 Feistel 構造 データ処理部と共有可能 関連鍵攻撃に対する耐性を向上 関数 シンプルなビット置換演算ながら攪拌効果大 暗号化時も復号時も同じ処理でラウンド鍵生成 最終ラウンドから第 1 ラウンドへ 戻る のも容易 16

安全性評価 差分攻撃 線形攻撃 差分線形攻撃 Boomerang 攻撃 Amplified Boomerang 攻撃 Rectangle 攻撃 Truncated 差分攻撃 Truncated 線形攻撃 不能差分攻撃 飽和攻撃 Gilbert-Minier Collision 攻撃 高階差分攻撃 補間攻撃 XSL/ 代数攻撃 χ 2 /Statistical 攻撃 スライド攻撃 関連暗号攻撃 関連鍵攻撃 関連鍵 Boomerang 攻撃 関連鍵 Rectangle 攻撃 17

差分攻撃線形攻撃 4 ビット S-box ベース GF(2 8 ) 上逆元関数ベース S-box 最大差分確率最大線形確率 S 0 2-4.678 2-4.385 S 1 2-6 2-6 差分特性 : 12 ラウンド中に 28 個の active S-box 最大差分特性確率 2-4.678 28 = 2-130.984 線形特性 : 12 ラウンド中に 30 個の active S-box 最大線形特性確率 2-4.385 30 = 2-131.55 12 ラウンド CLEFIA をランダム置換と識別するために有効な差分 / 線形特性は存在しない 18

DSM の効果 ( 最小 active S-box 数の比較 ) 従来技術 DSM 適用時, D: 差分, L: 線形 ラウンド数 128-bit key 192-bit key 256-bit key 19

不能差分攻撃 現在 CLEFIA に対して最も有効な攻撃 Kim らによる探索アルゴリズムを用いて 2 つの 9 ラウンド不能差分パスを発見 9r (0, α, 0, 0) (0, α, 0, 0) と (0, 0, 0, α) (0, 0, 0, α) 但し α {0, 1} 32 はあらゆる非ゼロの差分値 9r 20

:12 ラウンド 各種関連鍵攻撃 鍵スケジュール部を強固にすることで防御 Step.1 一般化 Feistel 構造により中間鍵 L を生成 Step.2 中間鍵を 関数で攪拌させながらもとの鍵 K とラウンド定数をマスクしてラウンド鍵を生成 鍵 K ラウンド鍵 RK 0,..,RK 3 RK 4,..,RK 7 RK 8,..,RK 11 RK 12,..,RK 15 RK 16,..,RK 19 RK 20,..,RK 23 中間鍵 L : : : 21

各種関連鍵攻撃 一般化 Feistel 構造 (GFN) 128 ビット鍵 : 12 ラウンド 4 系列 GFN 192/256 ビット鍵 : 10 ラウンド 8 系列 GFN あらゆる ΔK から ΔL への遷移確率が十分小さくなるようにラウンド数を決定 ラウンド定数 鍵長によって異なるラウンド定数のセットを用いることで スライド攻撃や関連暗号攻撃を防御 22

Type-2 一般化 Feistel 構造 8 系列 32 ビット 23

ハードウェア実装性能 ASIC で 5Kgate 以下で実装可能 * 面積当たり速度で AES を上回る最高性能 ** * 0.09μmCMOS 標準セルライブラリ使用 ** 使用 ASIC ライブラリの差 (0.09μm, 0.13μm) を考慮した公平な比較のために CLEFIA の性能を 1.5 で割っても. 24

高速 コンパクト H/W 実装への寄与点 一般化 Feistel 構造 小さな F 関数 逆関数が不要 DSM によりラウンド数を削減 データ処理部と鍵スケジュールが共有可能 各パーツが非常にコンパクト 拡散行列 ( 遅延も小さい ) S-box 関数 25

ソフトウェア実装性能 Athlon64 上で 12.9cycles/byte, 1.48Gbps を達成 * AMD Athlon 64 プロセッサ 4000+ (2.4GHz) を使用し, Windows XP 64-bit Edition 上で動作. コードはアセンブラ実装. 26

ソフトウェア実装性能 S-box 参照回数は AES より少ないものの, データ依存性が高い. AES: 160 回, CLEFIA: 144 回 2 ブロック並列実装では依存性は低減. * AMD Athlon 64 プロセッサ 4000+ (2.4GHz) を使用し, Windows XP 64-bit Edition 上で動作. コードはアセンブラ実装. 27

まとめ 128ビットブロック暗号 高速かつコンパクトな実装が可能 を提案 ハードウェア実装 : 単位ゲートあたりの速度において最高記録を達成 ソフトウェア実装 :128ビットブロック暗号において最も高速なグループ 既知の暗号解読法に対する安全性を確認 安全性 実装コスト 速度 28

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック