出典 しゅってん : フリー百科 ひゃっか 事典 じてん 『ウィキペディア(Wikipedia)』
認証 にんしょう 付 つ き暗号 あんごう (AE: Authenticated Encryption あるいは AEAD: Authenticated Encryption with Associated Data ) とは、データの秘匿 ひとく 性 せい 、完全 かんぜん 性 せい 、および認証 にんしょう 性 せい を同時 どうじ に提供 ていきょう する暗号 あんごう 利用 りよう モード である。利用 りよう の容易 ようい な API ひとつでこうした特性 とくせい が提供 ていきょう されるうえ、復号 ふくごう すると同時 どうじ に完全 かんぜん 性 せい も検証 けんしょう される。
AE の必要 ひつよう 性 せい が明 あき らかになったのは、秘匿 ひとく 用 よう モード と認証 にんしょう 用 よう モード を安全 あんぜん に合成 ごうせい するのが困難 こんなん であろうとの報告 ほうこく による。[1] [2] このことは、実際 じっさい に運用 うんよう されているプロトコルやアプリケーションにおいて認証 にんしょう の不適切 ふてきせつ な実装 じっそう や実装 じっそう の欠如 けつじょ によって、実用 じつよう 的 てき な攻撃 こうげき 経路 けいろ がいくつも入 はい りこんできたことで実証 じっしょう されている (SSL/TLS はその一 いち 例 れい である)。[3]
2000年 ねん にCharanjit Jutlaによって発表 はっぴょう された IACBC および Integrity Aware Parallelizable Mode (英語 えいご 版 ばん ) によってこの分野 ぶんや の研究 けんきゅう が活発 かっぱつ となった[4] 。6種類 しゅるい の異 こと なるモード (OCB 2.0、Key Wrap、CCM 、EAX 、Encrypt-then-MAC (EtM) および GCM ) が ISO/IEC 19772:2009 によって標準 ひょうじゅん 化 か され[5] 、さらにNIST によって開発 かいはつ がすすめられた[6] 。Sponge functions can be used in duplex mode to provide authenticated encryption.[7]
AE モードの典型 てんけい 的 てき な API は次 つぎ のような関数 かんすう を提供 ていきょう する:
暗号 あんごう 化 か
入力 にゅうりょく : 平文 へいぶん 、鍵 かぎ 、場合 ばあい によりヘッダ — これは平文 へいぶん で、暗号 あんごう 化 か はされないが認証 にんしょう 保護 ほご の対象 たいしょう である;
出力 しゅつりょく : 暗号 あんごう 文 ぶん 、認証 にんしょう タグ (MAC )
復号 ふくごう
入力 にゅうりょく : 暗号 あんごう 文 ぶん 、鍵 かぎ 、認証 にんしょう タグ 、場合 ばあい によりヘッダ ;
出力 しゅつりょく : 平文 へいぶん 、あるいは、認証 にんしょう タグ が暗号 あんごう 文 ぶん とヘッダ に合致 がっち しない場合 ばあい はエラー
ヘッダ 部 ぶ はネットワークや記録 きろく の目的 もくてき で使 つか われるメタデータの認証 にんしょう や完全 かんぜん 性 せい 保護 ほご のためにあるので、秘匿 ひとく する必要 ひつよう はなく、認証 にんしょう する必要 ひつよう がある。
秘匿 ひとく 性 せい と完全 かんぜん 性 せい の保護 ほご に加 くわ えて、認証 にんしょう 付 つ き暗号 あんごう は平文 へいぶん 既知 きち 性 せい (PA: plaintext awareness) を備 そな えており、選択 せんたく 暗号 あんごう 文 ぶん 攻撃 こうげき に対 たい して安全 あんぜん である。この種 たね の攻撃 こうげき で敵 てき は、よく考 かんが えられた暗号 あんごう 文 ぶん を "復号 ふくごう オラクル " に渡 わた して復号 ふくごう 結果 けっか を分析 ぶんせき することで、暗号 あんごう システムの攻略 こうりゃく ヒント (たとえば秘密 ひみつ 鍵 かぎ に関 かん する情報 じょうほう など) を得 え ようとする。認証 にんしょう 付 つ き暗号 あんごう システムは不適切 ふてきせつ に細工 ざいく された暗号 あんごう 文 ぶん を識別 しきべつ して復号 ふくごう を拒否 きょひ することができる。これはつまり、適切 てきせつ に暗号 あんごう 化 か アルゴリズムを使 つか って生成 せいせい しない限 かぎ り暗号 あんごう 文 ぶん の復号 ふくごう 要求 ようきゅう を防 ふせ ぐということであり、適切 てきせつ に生成 せいせい したということは平文 へいぶん をすでに知 し っているということを意味 いみ する。適切 てきせつ に実装 じっそう されていれば、これにより攻撃 こうげき 者 しゃ がすでに知 し っている以上 いじょう の有用 ゆうよう な情報 じょうほう を復号 ふくごう オラクルで取 と り出 だ せないようになる。
共通 きょうつう 鍵 かぎ ブロック暗号 あんごう で使 つか うための認証 にんしょう 付 つ き暗号 あんごう 専用 せんよう のモードも数多 かずおお く開発 かいはつ されているが、一般 いっぱん 的 てき に認証 にんしょう 付 つ き暗号 あんごう は、暗号 あんごう システムとメッセージ認証 にんしょう 符号 ふごう (MAC) を組 く み合 あ わせて構成 こうせい する。その場合 ばあい 、暗号 あんごう システムは選択 せんたく 平文 へいぶん 攻撃 こうげき のもとで強 つよ 秘匿 ひとく 性 せい を有 ゆう し、MAC 関数 かんすう は選択 せんたく メッセージ攻撃 こうげき のもとで偽造 ぎぞう 不可 ふか でなければならない。Bellare and Namprempre (2000) はこうしたプリミティブの組 く み合 あ わせを三 さん 通 とお り考察 こうさつ し、暗号 あんごう と MAC 双方 そうほう の関数 かんすう が必要 ひつよう な性質 せいしつ を満 み たす場合 ばあい は、メッセージを暗号 あんごう 化 か してから暗号 あんごう 文 ぶん に MAC を計算 けいさん すること (EtM: Encrypt-then-MAC) で適応 てきおう 的 てき 選択 せんたく 暗号 あんごう 文 ぶん 攻撃 こうげき に対 たい し安全 あんぜん であることを実証 じっしょう した。
2013年 ねん には、認証 にんしょう 付 つ き暗号 あんごう モードの設計 せっけい を推進 すいしん するためのコンペが発表 はっぴょう された[8] 。
はじめに平文 へいぶん を暗号 あんごう 化 か し、暗号 あんごう 文 ぶん から MAC を計算 けいさん する。暗号 あんごう 文 ぶん と MAC を連結 れんけつ して送信 そうしん される。ISO/IEC 19772:2009 に準拠 じゅんきょ する標準 ひょうじゅん 的 てき な手法 しゅほう [5] 。IPSec などで利用 りよう される。これは AE で最高 さいこう 水準 すいじゅん の安全 あんぜん 性 せい を達成 たっせい できる唯一 ゆいいつ の手法 しゅほう であるが、その達成 たっせい のためには使用 しよう する MAC が「強 つよ 偽造 ぎぞう 不可 ふか 」(Strongly Unforgeable)[9] でなければならない。2014年 ねん 11月に、TLS および DTLS の拡張 かくちょう として EtM を定義 ていぎ する RFC 7366 が勧告 かんこく された。
平文 へいぶん から MAC を計算 けいさん し、平文 へいぶん はそのまま暗号 あんごう 化 か される。暗号 あんごう 文 ぶん と MAC を連結 れんけつ して送信 そうしん される。SSH や Grain 128a などで利用 りよう される。E&M 自体 じたい は強 つよ 偽造 ぎぞう 不可 ふか だと証明 しょうめい されていないが[9] 、この手法 しゅほう でも少 すこ しの修正 しゅうせい で SSH を強 つよ 偽造 ぎぞう 不可 ふか にすることは可能 かのう である [要 よう 出典 しゅってん ] [10] [出典 しゅってん 無効 むこう ] 。
平文 へいぶん から MAC を計算 けいさん し、平文 へいぶん と MAC を連結 れんけつ した状態 じょうたい で暗号 あんごう 化 か される。暗号 あんごう 文 ぶん (暗号 あんごう 化 か された平文 へいぶん と暗号 あんごう 化 か された MAC を含 ふく む)が送信 そうしん される。SSL/TLS などで利用 りよう される。MtE 自体 じたい は強 つよ 偽造 ぎぞう 不可 ふか だと証明 しょうめい されていないが[9] 、SSL/TLS 実装 じっそう は Krawczyk により強 つよ 偽造 ぎぞう 不可 ふか であることが証明 しょうめい されている。SSL/TLS は、MtE と同時 どうじ に使用 しよう するエンコーディングのおかげで事実 じじつ 上 じょう 安全 あんぜん である[11] 。
Bellare, M.; Namprempre, C. (2000), T. Okamoto, ed., “Authenticated Encryption: Relations among notions and analysis of the generic composition paradigm”, Extended abstract in Advances in Cryptology: Asiacrypt 2000 Proceedings , Lecture Notes in Computer Science (Springer-Verlag) 1976 : 531, doi :10.1007/3-540-44448-3_41 , ISBN 978-3-540-41404-9
^ "伝統 でんとう 的 てき な (秘匿 ひとく のみの) 暗号 あんごう 方式 ほうしき とメッセージ認証 にんしょう 符号 ふごう (MAC) をくっつけようとするとき、みんなは幾分 いくぶん まずいやり方 かた をしていた" , in: M. Bellare, P. Rogaway, D. Wagner. “A Conventional Authenticated-Encryption Mode ”. NIST. March 12, 2013 閲覧 えつらん 。
^ "ちょっとうっかりしただけで、安全 あんぜん な暗号 あんごう 方式 ほうしき と安全 あんぜん な MAC を結合 けつごう したのに危険 きけん な認証 にんしょう 付 つ き暗号 あんごう 方式 ほうしき になってしまいかねない" , in: T. Kohno, J. Viega, and D. Whiting. “The CWC Authenticated Encryption (Associated Data) Mode ”. NIST. March 12, 2013 閲覧 えつらん 。
^ “Failures of secret-key cryptography ”. Daniel J. Bernstein. March 12, 2013 閲覧 えつらん 。
^ Jutla, Charanjit S. (2000年 ねん 8月 がつ 1日 にち ). “Encryption Modes with Almost Free Message Integrity ”. Cryptology ePrint Archive: Report 2000/039 . IACR . 2013年 ねん 3月 がつ 16日 にち 閲覧 えつらん 。
^ a b “Information technology -- Security techniques -- Authenticated encryption ”. 19772:2009 . ISO/IEC. March 12, 2013 閲覧 えつらん 。
^ “Encryption modes development ”. NIST. April 17, 2013 閲覧 えつらん 。
^ The Keccak Team. “Duplexing The Sponge ”. November 30, 2013 閲覧 えつらん 。
^ “CAESAR: Competition for Authenticated Encryption: Security, Applicability, and Robustness ”. March 12, 2013 閲覧 えつらん 。
^ a b c “Authenticated Encryption: Relations among notions and analysis of the generic composition paradigm ”. M. Bellare and C. Namprempre. April 13, 2013 閲覧 えつらん 。
^ “OpenSSH 6.1 からの変更 へんこう 点 てん ”. 春山 はるやま 征 ただし 吾 われ . December 1, 2013 閲覧 えつらん 。
^ “The Order of Encryption and Authentication for Protecting Communications (Or: How Secure is SSL?) ”. H. Krawczyk. April 13, 2013 閲覧 えつらん 。