スキップジャック (暗号)
一般 | |
---|---|
設計者 | NSA |
初版発行日 | 1998年に機密指定解除 |
暗号詳細 | |
鍵長 | 80ビット |
ブロック長 | 64ビット |
構造 | 不均衡なファイステルネットワーク[1] |
ラウンド数 | 32 |
最良の暗号解読法 | |
ECRYPT II勧告によると、2012年現在、鍵サイズが80ビットの暗号は、「媒介に対する非常に短期間の保護」のみを提供する[2]。NISTは、2010年以降はスキップジャックを使用しないことを推奨している[3]。 不能差分攻撃により31ラウンドまで破壊される(ただし、しらみつぶし検索よりわずかに速い)[4]。 |
スキップジャック(英語: skipjack)は、アメリカ国家安全保障局(NSA)によって開発されたブロック暗号である。クリッパーチップでの使用を意図しており、当初は国家機密に分類されていた。その後、アルゴリズムは機密解除された[5]。
歴史
[編集]米国政府が後援するキーエスクロー方式の暗号アルゴリズムとしてスキップジャックが提案され、その暗号は改竄防止ハードウェアに実装されたクリッパーチップ用に提供された。スキップジャックは暗号化にのみ使用される。キーエスクローは、法執行アクセスフィールド(LEAF)として知られる別のメカニズムの使用によって実現される。
このアルゴリズムは当初は国家機密に指定されており、そのため多くの人がこのアルゴリズムにかなりの疑いを懐いていた。1998年6月24日に機密解除された。それは、その基本的な設計原則が公衆暗号学のコミュニティによって独立して発見された直後だった[6]。
このアルゴリズムの一般的な信頼性を保証するために、アルゴリズムを評価するために政府外の学術研究者が呼び出された(Brickell et al., 1993)。 研究者は、アルゴリズム自体または評価プロセスのいずれにも問題がないことを見出した。さらに、彼らの報告書はスキップジャックの(機密指定された)歴史と開発についていくつかの洞察を与えた。
- [スキップジャック]は、1980年にNSAスイートType Iアルゴリズムの一部として開発された暗号化アルゴリズムファミリーの代表である... スキップジャックは、40年以上前のビルディングブロックとテクニックを使用して設計された。 技術の多くは、組合せ数学や抽象代数学の世界で最も熟達した有名な専門家の評価を受けた作業に関連している。スキップジャックに含まれる具体的な構造は、長い評価履歴を持ち、1987年に正式なプロセスが始まる前に、これらの構造の暗号特性は多くの先行研究が盛んに行われていた[7]。
2016年3月、 アメリカ国立標準技術研究所(NIST)は、米国政府での使用にスキップジャックを認定しない暗号規格の草案を発表した[8][9]
説明
[編集]スキップジャックは、 80ビットの鍵を使用して64ビットのデータブロックを暗号化または復号する。これは、32ラウンドの不均衡なファイステルネットワークである[10]。これは固定電話機で使用するように設計されている。
暗号解読
[編集]エリ・ビハムとアディ・シャミアは、不能差分解読法を用いて、機密解除から1日以内に32ラウンド中16ラウンドに対して攻撃を発見し[7]、(アレックス・ビリュコフと共に)これを32ラウンド中31ラウンドに拡張した(ただし、攻撃は徹底的な検索よりわずかに速い)[4]。
切詰差分解読法でも、スキップジャック暗号の28ラウンドまでと発表された[11]。
完全な暗号に対する主張された攻撃は2002年に発表された[12]が、攻撃者の共同作者としての最近の論文は、完全な32ラウンドの暗号に対する攻撃がこれまでに知られていないことを明確にしている[13]。
脚注
[編集]- ^ Hoang, Viet Tung; Rogaway, Phillip (2010). "On Generalized Feistel Networks". LNCS 6223. CRYPTO 2010. USA: Springer. pp. 613–630.
- ^ Yearly Report on Algorithms and Keysizes (2012), D.SPA.20 Rev. 1.0, ICT-2007-216676 ECRYPT II, 09/2012. Archived July 21, 2013, at the Wayback Machine.
- ^ Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths, NIST
- ^ a b Eli Biham, Adi Shamir, Alex Biryukov (1999). “Cryptanalysis of Skipjack reduced to 31 rounds using impossible differentials.”. EUROCRYPT: 12–23 .
- ^ Schneier, Bruce (July 15, 1998). “Declassifying Skipjack”. 2017年8月3日閲覧。
- ^ 「しかし、私は実際よりも矛盾が明らかであるかもしれないと気付いた。引用された記述とスキップジャックの機密解除の間に、特定のタイプのファイステル暗号を指摘する学術研究者によって論文が発表された。f関数はそれ自体が一連のファイステルラウンドであり、差分暗号解読の影響を受けないことが証明されている。」 http://www.quadibloc.com/crypto/co040303.htm
- ^ a b “Initial Observations on the SkipJack Encryption Algorithm” (June 25, 1998). 2017年8月3日閲覧。
- ^ Barker, Elaine (March 2016). “NIST Special Publication 800-175B Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanisms” (PDF). NIST. p. 22. 2017年8月3日閲覧。
- ^ Schneier, Bruce (April 15, 2016). “New NIST Encryption Guidelines”. 2016年4月17日閲覧。
- ^ “SKIPJACK and KEA Algorithm Specifications” (PDF) (May 29, 1998). 2017年8月3日閲覧。
- ^ Lars Knudsen, M.J.B. Robshaw, David Wagner (1999). “Truncated differentials and Skipjack”. CRYPTO .
- ^ R. Chung-Wei Phan (2002). “Cryptanalysis of full Skipjack block cipher”. Electronics Letters 38 (2): 69–71. doi:10.1049/el:20020051 .
- ^ Jongsung Kim; Raphael C.-W. Phan (2009). Advanced Differential-Style Cryptanalysis of the NSA's Skipjack Block Cipher. doi:10.1080/01611190802653228. hdl:2134/8159 . "an attack on the full 32-round Skipjack remains elusive until now. [Paper by the same author as the 2002 attack]"
参考文献
[編集]- Granboulan, L. (2001). “Flaws in differential cryptanalysis of Skipjack”. Fast Software Encryption. Springer. pp. 328–335. doi:10.1007/3-540-45473-X_27
- Phan, R. Chung-Wei (2002). “Cryptanalysis of full Skipjack block cipher”. Electronics Letters 38 (2): 69–71. doi:10.1049/el:20020051.