Advanced Encryption Standard
 |
 The SubBytes step, one of four stages in a round of AES | |
| 一般 | |
|---|---|
| 設計者 | フィンセント・ライメン, ホァン・ダーメン |
| 初版発行日 | 1998 |
| 派生元 | Square |
| 後継 | Anubis, Grand Cru |
| 認証 | AES採用, CRYPTREC, NESSIE, NSA |
| 暗号詳細 | |
| 鍵長 | 128, 192 or 256 bits[1] |
| ブロック長 | 128 bits[2] |
| 構造 | SPN構造 |
| ラウンド数 | 10, 12, 14(鍵長による) |
| 最良の暗号解読法 | |
| Attacks have been published that are computationally faster than a full brute force attack, though none as of 2013 are computationally feasible:[3] For AES-128, the key can be recovered with a computational complexity of 2126.1 using bicliques. For biclique attacks on AES-192 and AES-256, the computational complexities of 2189.7 and 2254.4 respectively apply. Related-key attacks can break AES-192 and AES-256 with complexities 2176 and 299.5, respectively. | |
Advanced Encryption Standard (AES) は、以前の標準暗号であった、NSAの関与がある秘密鍵暗号DESが、時代の経過による相対的な強度の低下、それ以上にNSAに由来するその設計の不透明性(詳細はDESの記事を参照)が問題であることから、新しい標準暗号としてアメリカ国立標準技術研究所(NIST)の主導により公募され、選出された秘密鍵暗号である。2001年3月に FIPS PUB 197 として公表された。
厳密には「AES」は、選出された以外の暗号も含む、手続き中から使われた「新しい標準暗号」の総称であり、選出された暗号方式自体の名としてはRijndael(ラインダール)である。
概要
AESはSPN構造のブロック暗号で、ブロック長は128ビット、鍵長は128ビット・192ビット・256ビットの3つが利用できる。AESの元となった Rijndael では、ブロック長と鍵長が可変で、128ビットから256ビットまでの32ビットの倍数が選べる。NISTが公募した際のスペックに従い、米国標準となったAESではブロック長は128ビットに固定、鍵長も3種類に限られた。
経緯
旧規格 DES (FIPS 46) の安全性が低下したため、1997年9月にNIST(アメリカ国立標準技術研究所)が後継の暗号標準AES (Advanced Encryption Standard) とすべく共通鍵ブロック暗号を公募した。世界から応募された21方式から、公募要件を満たした15方式に対する評価が行われ、安全性と実装性能に優れた5方式が最終候補として残った。最終選考の結果、あらゆる実装条件で優れた実装性能を発揮したベルギーのルーヴェン・カトリック大学の研究者 ホァン・ダーメン (Joan Daemen) と フィンセント・ライメン (Vincent Rijmen) が設計した Rijndael (ラインダール)が2000年10月に採用された。Rijndaelという名称のうち、RijnはRijmen、daeはDaemenから取られたことは明白だが、lはどこから来たのかが不明だった。指導教授だったバート・プレネル (Bart Preneel) から取ったのではという説があり、Rijmenが講演した際に質問を受けたが、その答えは "It's a conjecture.(それは憶測に過ぎないね)" だった。
他の最終候補および設計者は以下の通りである。
- Serpent(サーペント、または、サーパン)- ロス・アンダーソン、エリ・ビーハム、ラーズ・ヌードセン
- RC6 - ロナルド・リヴェスト、マット・ロブショー、レイ・シドニー、イーチュン・リサ・イン
- Twofish - ブルース・シュナイアー、ジョン・ケルシー、ダグ・ホワイティング、デーヴィッド・ワグナー、クリス・ホール、ニールス・ファーガソン
- Mars - カロリン・バーウィック、ドン・カッパースミス、エドワード・ダヴィニョン、ロザリオ・ジェンナロ、シャイ・ハレヴィ、チャランジット・ジュトラ、ステファン・マテリアス Jr.、ルーク・オコーナー、モハンマド・ペイラヴィアン、デヴィド・サフォード、ネヴェンコ・ズニコフ
暗号化の方法
AESはSPN構造のブロック暗号で、ブロック長は128ビット、鍵長は128ビット・192ビット・256ビットの3つが利用できる。 AES暗号の鍵長によって変換のラウンド数が異なる。次の通りである。
鍵長128ビットのとき、ラウンド数は10回である。
鍵長192ビットのとき、ラウンド数は12回である。
鍵長256ビットのとき、ラウンド数は14回である。
安全性
関連鍵攻撃により、256ビットのAES暗号の9ラウンド目までを解読可能である。また、選択平文攻撃により、192ビットおよび256ビットのAES暗号の8ラウンド目まで、128ビットのAES暗号の7ラウンド目までを解読可能である (Ferguson et al, 2000)。シュナイアーはAESの「代数的単純さに疑問」を感じているが、AESは欧州の暗号規格NESSIEや日本の暗号規格CRYPTRECでも採用された。AESの数学的構造は他のブロック暗号と異なり、きちんとした記述もある[4][5]。この暗号はまだどんな攻撃にも通じていないが、何人かの研究者が今後の攻撃はこの構造を利用するかもしれないと指摘している[6][7][8]。
脚注
- ^ Rijndaelでは128, 160, 192, 224, 256 bitsが選択可能。AESのスペックに合わせて3つに限定
- ^ Rijndaelでは128, 160, 192, 224, 256 bitsが選択可能。AESのスペックに合わせて128 bitsのみに限定
- ^ “Biclique Cryptanalysis of the Full AES”. 2013年7月23日閲覧。
- ^ A simple algebraic representation of Rijndael (Niels Ferguson, Richard Schroeppel, and Doug Whiting)(2003年6月6日時点のアーカイブ)
- ^ Sean Murphy
- ^ [1](2005年11月14日時点のアーカイブ)
- ^ [2] [リンク切れ]
- ^ Cache-timing attacks on AES (PDF) - (Daniel J. Bernstein)
参考文献
- FIPS 197 (PDF) 、NIST発行、2001年
- Daemen and Rijmen, Rijndael 仕様書(補追版) (PDF) 、1999年発行-2003年補追
- 結城浩 『暗号技術入門 - 秘密の国のアリス』 第3章、ソフトバンクパブリッシング、2003年、ISBN 4-7973-2297-7。
関連項目
- ブロック暗号
- 有限体
- Transport Layer Security - 暗号化として128ビットおよび256ビットのAES-CBC、AES-GCM、AES-CCMを使用可能
- HFS+ - セキュリティ機能「FileVault」が128ビットAES暗号を使用
- Wii - 暗号化に128ビットAESを使用
- ZIP - 256ビットAESを使用可能
- 7z - 256ビットAESを使用可能
- RAR - 256ビットAESを使用可能
- CCMP - WEPで用いられていたRC4、WPAで用いられていたTKIP(本質的にRC4と同等)に代わり、WPA2で採用された暗号化プロトコル。128ビットAESをCCMモードで利用
- AACS - 128ビットAESを使用
- CRYPTREC
- NESSIE
- AES-NI
外部リンク
- 公式サイト AES Home Page(のアーカイブ)
- リファレンスコード
- 解説 AES概説(2009年5月3日時点のアーカイブ)
- 選定過程 AESファイナリストをめぐって
| |||||||||||||||||
 カテゴリ | |||||||||||||||||
 | この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています(PJ:コンピュータ/P:コンピュータ)。 |