Camellia

Camellia
一般いっぱん
設計せっけい者しゃ	三菱電機みつびしでんき, NTT
初版しょはん発行はっこう日び	2000年ねん
派生はせい元もと	E2, MISTY1
認証にんしょう	CRYPTREC, NESSIE
暗号あんごう詳細しょうさい
鍵かぎ長ちょう	128, 192または256ビット
ブロック長ちょう	128ビット
構造こうぞう	Feistel構造こうぞう
ラウンド数すう	18または24

Camellia（カメリア）とは、2000年ねんにNTTと三菱電機みつびしでんきにより共同きょうどう開発かいはつされたブロック暗号あんごうである。名称めいしょうの由来ゆらいは植物しょくぶつのツバキ（ツバキ属ぞく：Camellia）。

CamelliaはFeistel構造こうぞうを採用さいようしたブロック長ちょう128ビットのブロック暗号あんごうで、鍵かぎ長ちょうとしてAESと同おなじ128ビット、192ビット、256ビットの3つを選択せんたくできる。また、CamelliaはAESと同等どうとうの安全あんぜん性せいを保たもちつつハードウェアでの低てい消費しょうひ電力でんりょくで高速こうそくな暗号あんごう化か・復号ふくごうに優すぐれている。

構造こうぞう

Camelliaの入出力にゅうしゅつりょくインタフェースはAES互換ごかんで、ブロック長ちょうは128ビット固定こてい、鍵かぎ長ちょうは128 / 192 / 256ビットの3つを選択せんたくできる。

全体ぜんたい構造こうぞうは、AESではSPN構造こうぞうが採用さいようされたのと違ちがい、DESと同おなじFeistel構造こうぞうを採用さいようしている。ラウンド段数だんすうは、鍵かぎ長ちょうが128ビットのときは18段だん、192ビット・256ビットのときは24段だんで、6段だん毎ごとに「副ふく変換へんかん部ぶ」と呼よばれる全ぜん単たん射い関数かんすうFLとFL-1が挿入そうにゅうされている。また、最初さいしょと最後さいごにホワイトニング（拡大かくだい鍵かぎとの排他はいた的てき論理ろんり和わ）が設もうけられている。

ラウンド関数かんすうはバイト（8ビット）を単位たんいとした処理しょりになっていて、拡大かくだい鍵かぎとの排他はいた的てき論理ろんり和わの後のち、8ビット入力にゅうりょく-8ビット出力しゅつりょくのSボックス（4種類しゅるいある）と、FEALにも似にたあみだくじ型がたのP関数かんすうによって構成こうせいされる。Sボックスは4種類しゅるいあるが、テーブル1つと、入出力にゅうしゅつりょくのビットシフト等とうの組合くみあわせで実装じっそうすることもできる。

鍵かぎスケジューラは、ラウンド関数かんすう2段だんで、鍵かぎを"暗号あんごう化か"して中間ちゅうかん鍵かぎを生成せいせいし、中間なかま鍵かぎの一部分いちぶぶんを取とり出だすことで拡大かくだい鍵かぎを作つくり出だす。具体ぐたい的てきには中間ちゅうかん鍵かぎをラウンド毎ごとに定義ていぎされた分ぶんだけシフトして、右みぎ64ビット（または左ひだり64ビット）を取とり出だす。CamelliaはFeistel構造こうぞうを採用さいようして、暗号あんごう化かと復号ふくごうの違ちがいはラウンド関数かんすう等とうで使用しようされる拡大かくだい鍵かぎの順番じゅんばんのみになるように設計せっけいされている。そこで鍵かぎスケジューラは、拡大かくだい鍵かぎを1番目ばんめから順番じゅんばんに求もとめることも、最後さいごから逆順ぎゃくじゅんに求もとめることも、それぞれ、どちらも同様どうような手間てまで実現じつげんできるように設計せっけいされている。

安全あんぜん性せい

Camelliaは解読かいどく可能かのうなラウンド数すうと最低限さいていげん安全あんぜん性せいを保たもてるラウンド数すうを元もとにした指標しひょうであるセキュリティーマージンにてAESを上回うわまわる1.8～2.0を確保かくほしている^[1]。これに加くわえ、CamelliaはCRYPTRECおよびNESSIEにおいてAESと同等どうとうの安全あんぜん性せいと効率こうりつを兼かね備そなえているという評価ひょうかもされている。

性能せいのう

開発かいはつ者しゃや第三者だいさんしゃによる実装じっそう報告ほうこくによると、パソコンで使用しようされている汎用はんようCPUでは1 Gbps、専用せんようLSIでは2 Gbpsを超こえるスループットがある。

一方いっぽう、組込くみこみ機器ききで使用しようされる8ビットCPUなどの処理しょり能力のうりょくが低ひくいプロセッサでも、極端きょくたんなメモリサイズ増加ぞうかは生しょうじず、ハードウェア実装じっそうした場合ばあいには、暗号あんごう化かと復号ふくごうや鍵かぎスケジューラで回路かいろを共用きょうようできるため10,000ゲート以下いかでも実装じっそう可能かのうであることが確認かくにんされている。

ソフトウェア実装じっそう

組込くみこみ機器きき等とうでの性能せいのう（8ビットCPU）
- 7.19 msec (ENC) / 7.51 msec (DEC) - Z80 (5 MHz), ROM 1,268バイト, RAM 60バイト (NTT)
- 5.68 msec (ENC) / 1.03 msec (KeyGen) - Z80 (), ROM 1,698バイト, RAM 63バイト (NTT)
- 10.22 msec (ENC/DEC) - 8051 (12 MHz), ROM 990バイト, RAM 32バイト (1st NESSIE Workshop)

パソコンなどでの性能せいのう（32/64ビットCPU）
- 1,134.6 Mbps - Intel Pentium 4 (3.2 GHz), Windows XP SP2, 鍵かぎ長ちょう128ビット (Oda, et al., SCIS 2006)
- 1,158.8 Mbps - AMD Athlon 64 3500+ Winchester (2.2 GHz), Windows XP 64-Bit Edition, ビットスライス実装じっそう, 鍵かぎ長ちょう128ビット (Fukuda, et al., SCIS 2006)

ハードウェア実装じっそう

ASIC
- 325.76 Mbps - IBM 0.13 μみゅーm, 6,511 unit, Loop arch, 鍵かぎ長ちょう128ビット (Satoh, et al., ISC 2003)
- 2,154.88 Mbps - IBM 0.13 μみゅーm, 29,809 unit, Loop arch, 鍵かぎ長ちょう128ビット (Satoh, et al., ISC 2003)

FPGA
- 128.58 Mbps - Xilinx Virtex-E, 908 Slice, Loop arch, 鍵かぎ長ちょう128ビット (Satoh, et al., ISC 2003)
- 393.24 Mbps - Xilinx Virtex-E, 2,833 Slice, Loop arch, 鍵かぎ長ちょう128ビット (Satoh, et al., ISC 2003)

歴史れきし

2000年ねん3月がつ10日にち Camelliaの公開こうかい：NTTと三菱電機みつびしでんきによる共同きょうどう開発かいはつがニュースリリースされる。
2001年ねん4月がつ17日にち Camelliaの基本きほん特許とっきょの無償むしょう化かが宣言せんげんされる。
2003年ねん2月がつ20日はつか日本にっぽんの暗号あんごう評価ひょうかプロジェクトCRYPTRECによる電子でんし政府せいふ推奨すいしょう暗号あんごうリストにCamelliaも推奨すいしょうされる。
2003年ねん2月がつ27日にち欧州おうしゅうの暗号あんごう評価ひょうかプロジェクトNESSIEにて、128ビットブロック暗号あんごうとして、AESと共ともにCamelliaも選定せんていされる。
2005年ねん7月がつ15日にち国際こくさい標準ひょうじゅん規格きかくISO/IEC 18033 Part 3の128ビットブロック暗号あんごうに、他たの2つの暗号あんごう（AES、SEED）と共ともにCamelliaも採用さいようされる。（5月がつ27日にちにニュースリリース）
2005年ねん7月がつ20日にち SSL/TLS、S/MIME、XMLなどの標準ひょうじゅん規格きかくで、暗号あんごう方式ほうしきとしてCamelliaが追加ついかされる。
2006年ねん4月がつ13日にち Camelliaのオープンソースが公開こうかいされる。
2006年ねん11月8日にち OpenSSLにCamelliaが追加ついかされる。
2007年ねん6月がつ7日にち FreeBSD ProjectがCamelliaへの対応たいおうを発表はっぴょうする。
2008年ねん6月がつ17日にちウェブブラウザとして初はつ採用さいようしたMozilla Firefox 3がリリースされた（後のちに、バージョン33において既定きていで無効むこう化かされ^[2]、バージョン37でサポート終了しゅうりょう^[3]）。
2013年ねん3月がつ1日にち CRYPTRECによって改訂かいていされた電子でんし政府せいふ推奨すいしょう暗号あんごうリストに、日本にっぽん初はつのブロック暗号あんごうとして唯一ゆいいつCamelliaが推奨すいしょうされる。

標準ひょうじゅん化か

Camelliaは、欧州おうしゅうのNESSIEプロジェクトや日本にっぽんのCRYPTRECが作成さくせいした「電子でんし政府せいふ推奨すいしょう暗号あんごうリスト」に採用さいようされている。

また、TLS/SSLやIPsecをはじめとして、IETFやISO/IECなど多おおくの標準ひょうじゅん化か団体だんたいに採用さいようされている。主おもな標準ひょうじゅん化か実績じっせきは以下いかの通とおりである^[4]。

CRYPTREC
NESSIE
IETF
- アルゴリズム
  - RFC 3713: A Description of the Camellia Encryption Algorithm
  - RFC 5528: Camellia Counter Mode and Camellia Counter with CBC-MAC Mode Algorithms
- S/MIME
  - RFC 3657: Use of the Camellia Encryption Algorithm in Cryptographic Message Syntax (CMS)
- XML暗号あんごう化か
  - RFC 4051: Additional XML Security Uniform Resource Identifiers (URIs)
- TLS/SSL
  - RFC 4132: Addition of Camellia Cipher Suites to Transport Layer Security (TLS)
  - RFC 5932: Camellia Cipher Suites for TLS
  - RFC 6367: Addition of the Camellia Cipher Suites to Transport Layer Security (TLS)
- IPsec
  - RFC 4312: The Camellia Cipher Algorithm and Its Use With IPsec
  - RFC 5529: Modes of Operation for Camellia for Use with IPsec
- OpenPGP
  - RFC 5581: The Camellia Cipher in OpenPGP
- RSA-KEM in CMS
  - RFC 5990: Use of the RSA-KEM Key Transport Algorithm in the Cryptographic Message Syntax (CMS)
- PSKC
  - RFC 6030: Portable Symmetric Key Container (PSKC)
- スマートグリッド
  - RFC 6272: Internet Protocols for the Smart Grid
ISO/IEC
- ISO/IEC 18033 (ISO/IEC 18033-3:2010) Information technology -- Security techniques -- Encryption algorithms -- Part 3: Block ciphers
ITU-T
- security mechanisms and procedures for NGN (Y.2704)
RSA Laboratories
- approved cipher in the PKCS#11
TV-Anytime Forum
- approved cipher in TV-Anytime Rights Management and Protection Information for Broadcast Applications
- approved cipher in Bi-directional Metadata Delivery Protection

脚注きゃくちゅう

[脚注きゃくちゅうの使つかい方かた]

^ Camelliaユーザーズガイド
^ “Bug 1036765 - Disable cipher suites that are not in the "Browser Cipher Suite" proposal that are still enabled”. 2015年ねん2月がつ26日にち閲覧えつらん。
^ “Bug 1037098 - Remove preferences for cipher suites disabled in bug 1036765 (Camellia and some 3DES & DSS cipher suites)”. 2015年ねん2月がつ26日にち閲覧えつらん。
^ “Camellia 標準ひょうじゅん化か情報じょうほう等とう”. 2013年ねん11月30日にち閲覧えつらん。

外部がいぶリンク

Camellia公式こうしきサイト
リファレンスコード
RFC 3657 Use of the Camellia Encryption Algorithm in Cryptographic Message Syntax (CMS)
RFC 3713 A Description of the Camellia Encryption Algorithm
- 日本語にほんご訳やく：Camellia暗号あんごうアルゴリズムの説明せつめい
RFC 4051 Additional XML Security Uniform Resource Identifiers (URIs)
RFC 4132 Addition of Camellia Cipher Suites to Transport Layer Security (TLS)
RFC 4312 The Camellia Cipher Algorithm and Its Use With IPsec
RFC 5528 Camellia Counter Mode and Camellia Counter with CBC-MAC Mode Algorithms
RFC 5529 Modes of Operation for Camellia for Use with IPsec
RFC 5581 Certification of Camellia Cipher as IETF standard for OpenPGP
RFC 5932 Camellia Cipher Suites for TLS
RFC 5990 Use of the RSA-KEM Key Transport Algorithm in the Cryptographic Message Syntax (CMS)
RFC 6030 Portable Symmetric Key Container (PSKC)
RFC 6272 Internet Protocols for the Smart Grid
RFC 6367 Addition of the Camellia Cipher Suites to Transport Layer Security (TLS)
ISO/IEC 18033-3:2010 Information technology -- Security techniques -- Encryption algorithms -- Part 3: Block ciphers

[1] Camelliaユーザーズガイド

[2] “Bug 1036765 - Disable cipher suites that are not in the "Browser Cipher Suite" proposal that are still enabled”. 2015年ねん2月がつ26日にち閲覧えつらん。

[3] “Bug 1037098 - Remove preferences for cipher suites disabled in bug 1036765 (Camellia and some 3DES & DSS cipher suites)”. 2015年ねん2月がつ26日にち閲覧えつらん。

[4] “Camellia 標準ひょうじゅん化か情報じょうほう等とう”. 2013年ねん11月30日にち閲覧えつらん。

[1]

[2]

[3]

[4]