差分解読法
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/12/29 23:18 UTC 版)
ナビゲーションに移動 検索に移動差分解読法(さぶんかいどくほう、英: differential cryptanalysis)は、主にブロック暗号に対して用いられる暗号解読法の一種である。ストリーム暗号やハッシュ関数の攻撃にも用いられる。広い意味では、入力差分がどのように出力差分に影響を及ぼすか考察することである。ブロック暗号においては、置換ネットワークを通してどのように差分が波及するかを追跡することによって、暗号アルゴリズムの非ランダム性を発見し、秘密鍵を復元するような性質を発見することを意味する。
歴史
差分解読法の発見はEli BihamおよびAdi Shamirによって1980年代の末に一般に発表された。BamfordのPuzzle Palaceでは、IBMでは1970年代にはすでに知られていて、それに基づいてDESのSボックスは小修正をされたとされている。DESを開発したメンバーの一人であるDon Coppersmithは、1974年のはじめにはIBM内で差分解読法が知られていて、DESの設計目標の中に差分解読法への耐性があった、と1994年に発表した論文内で述べている[1]。 Steven Levyによると、IBMは差分解読法を自ら発見していて、NSAはそのテクニックをおそらくすでに知っていた[2]。 「NSAとの議論の後、設計方針の公開は多くの暗号に対して効果的なテクニックである差分解読法を暴露すると確信した。これは暗号学分野における合衆国の優位性を弱めることとなる」とCopperthmithが述べたように、IBMは秘密を守った[1]。 IBMでは、差分解読法は "T-attack"[1] あるいは "Tickle attack"[3]と呼ばれていた。
DESは差分解読法に対して耐性を持つように設計されていたが、他の暗号は脆弱であった。最も初期の攻撃対象は、ブロック暗号FEALであった。最初に提案された4段のFEAL (FEAL-4) はたった8個の選択平文で解読可能であった。31段でさえも攻撃は可能である。
差分攻撃法が一般に認知された後は、この攻撃に対して耐性を持たせることが暗号設計者にとって基本的問題であり、新しい暗号アルゴリズムには、この攻撃に対して耐性があることが望まれるべき性質になっている。AESをはじめとする多くの暗号は、この攻撃に対して安全であると数学的に証明されている(証明可能安全性)。
攻撃手法
差分解読法は、攻撃者が自由に選択した平文に対する暗号文が入手できるという条件で可能な攻撃法であり、選択平文攻撃に分類できる。
DESを解読するためには、247の選択平文が必要である。
しかしながら、既知平文攻撃や暗号文単独攻撃を適用できるような拡張も存在する。
基本的な手法においては、ある固定された差を持つ二つの平文の組を用いる。差の定義にはいくらかの変形があるが、たいていは排他的論理和が用いられる。
攻撃者は、暗号文の組の差を計算し、その分布の中に統計的パターンを発見しようとする。これらの差を差分と呼ぶ。
この統計的性質は、暗号化に用いられるSボックスの性質に由来している。
それゆえ攻撃者はこれらのSボックス 
カテゴリアルゴリズム 理論 攻撃 標準化
セキュリティ要約 一般的関数 SHA-3最終候補 その他の関数 MACアルゴリズム 認証付き暗号モード 攻撃 設計 標準化 利用 パスワードハッシュ関数
カテゴリ:ハッシュ関数・メッセージ認証コード・認証付き暗号
- 差分解読法のページへのリンク
