(Translated by https://www.hiragana.jp/)
認証付き暗号 - Wikipedia コンテンツにスキップ

認証にんしょう暗号あんごう

出典しゅってん: フリー百科ひゃっか事典じてん『ウィキペディア(Wikipedia)』
曖昧さ回避 ETM」はこの項目こうもく転送てんそうされています。

認証にんしょう暗号あんごうAE: Authenticated Encryption あるいは AEAD: Authenticated Encryption with Associated Data) とは、データの秘匿ひとくせい完全かんぜんせい、および認証にんしょうせい同時どうじ提供ていきょうする暗号あんごう利用りようモードである。利用りよう容易よういAPI ひとつでこうした特性とくせい提供ていきょうされるうえ、復号ふくごうすると同時どうじ完全かんぜんせい検証けんしょうされる。

AE の必要ひつようせいあきらかになったのは、秘匿ひとくようモード認証にんしょうようモード安全あんぜん合成ごうせいするのが困難こんなんであろうとの報告ほうこくによる。[1][2] このことは、実際じっさい運用うんようされているプロトコルやアプリケーションにおいて認証にんしょう不適切ふてきせつ実装じっそう実装じっそう欠如けつじょによって、実用じつようてき攻撃こうげき経路けいろがいくつもはいりこんできたことで実証じっしょうされている (SSL/TLS はそのいちれいである)。[3]

2000ねんにCharanjit Jutlaによって発表はっぴょうされた IACBC および Integrity Aware Parallelizable Mode英語えいごばん によってこの分野ぶんや研究けんきゅう活発かっぱつとなった[4]。6種類しゅるいことなるモード (OCB 2.0、Key Wrap、CCMEAX、Encrypt-then-MAC (EtM) および GCM) が ISO/IEC 19772:2009 によって標準ひょうじゅんされ[5]、さらにNISTによって開発かいはつがすすめられた[6]Sponge functions can be used in duplex mode to provide authenticated encryption.[7]

AE モードの典型てんけいてきAPIつぎのような関数かんすう提供ていきょうする:

  • 暗号あんごう
    • 入力にゅうりょく: 平文へいぶんかぎ場合ばあいによりヘッダ — これは平文へいぶんで、暗号あんごうはされないが認証にんしょう保護ほご対象たいしょうである;
    • 出力しゅつりょく: 暗号あんごうぶん認証にんしょうタグ (MAC)
  • 復号ふくごう
    • 入力にゅうりょく: 暗号あんごうぶんかぎ認証にんしょうタグ場合ばあいによりヘッダ;
    • 出力しゅつりょく: 平文へいぶん、あるいは、認証にんしょうタグ暗号あんごうぶんヘッダ合致がっちしない場合ばあいはエラー

ヘッダはネットワークや記録きろく目的もくてき使つかわれるメタデータの認証にんしょう完全かんぜんせい保護ほごのためにあるので、秘匿ひとくする必要ひつようはなく、認証にんしょうする必要ひつようがある。

秘匿ひとくせい完全かんぜんせい保護ほごくわえて、認証にんしょう暗号あんごう平文へいぶん既知きちせい (PA: plaintext awareness) をそなえており、選択せんたく暗号あんごうぶん攻撃こうげきたいして安全あんぜんである。このたね攻撃こうげきてきは、よくかんがえられた暗号あんごうぶんを "復号ふくごうオラクル" にわたして復号ふくごう結果けっか分析ぶんせきすることで、暗号あんごうシステムの攻略こうりゃくヒント (たとえば秘密ひみつかぎかんする情報じょうほうなど) をようとする。認証にんしょう暗号あんごうシステムは不適切ふてきせつ細工ざいくされた暗号あんごうぶん識別しきべつして復号ふくごう拒否きょひすることができる。これはつまり、適切てきせつ暗号あんごうアルゴリズムを使つかって生成せいせいしないかぎ暗号あんごうぶん復号ふくごう要求ようきゅうふせぐということであり、適切てきせつ生成せいせいしたということは平文へいぶんをすでにっているということを意味いみする。適切てきせつ実装じっそうされていれば、これにより攻撃こうげきしゃがすでにっている以上いじょう有用ゆうよう情報じょうほう復号ふくごうオラクルでせないようになる。

共通きょうつうかぎブロック暗号あんごう使つかうための認証にんしょう暗号あんごう専用せんようのモードも数多かずおお開発かいはつされているが、一般いっぱんてき認証にんしょう暗号あんごうは、暗号あんごうシステムとメッセージ認証にんしょう符号ふごう (MAC) をわせて構成こうせいする。その場合ばあい暗号あんごうシステムは選択せんたく平文へいぶん攻撃こうげきのもとでつよ秘匿ひとくせいゆうし、MAC 関数かんすう選択せんたくメッセージ攻撃こうげきのもとで偽造ぎぞう不可ふかでなければならない。Bellare and Namprempre (2000) はこうしたプリミティブのわせをさんとお考察こうさつし、暗号あんごうと MAC 双方そうほう関数かんすう必要ひつよう性質せいしつたす場合ばあいは、メッセージを暗号あんごうしてから暗号あんごうぶんに MAC を計算けいさんすること (EtM: Encrypt-then-MAC) で適応てきおうてき選択せんたく暗号あんごうぶん攻撃こうげきたい安全あんぜんであることを実証じっしょうした。

2013ねんには、認証にんしょう暗号あんごうモードの設計せっけい推進すいしんするためのコンペが発表はっぴょうされた[8]

認証にんしょう暗号あんごう手法しゅほう

[編集へんしゅう]

Encrypt-then-MAC (EtM)

[編集へんしゅう]

はじめに平文へいぶん暗号あんごうし、暗号あんごうぶんから MAC を計算けいさんする。暗号あんごうぶんと MAC を連結れんけつして送信そうしんされる。ISO/IEC 19772:2009 に準拠じゅんきょする標準ひょうじゅんてき手法しゅほう[5]IPSecなどで利用りようされる。これは AE で最高さいこう水準すいじゅん安全あんぜんせい達成たっせいできる唯一ゆいいつ手法しゅほうであるが、その達成たっせいのためには使用しようする MAC が「つよ偽造ぎぞう不可ふか」(Strongly Unforgeable)[9] でなければならない。2014ねん11月に、TLS および DTLS拡張かくちょうとして EtM を定義ていぎする RFC 7366勧告かんこくされた。

Encrypt-and-MAC (E&M)

[編集へんしゅう]

平文へいぶんから MAC を計算けいさんし、平文へいぶんはそのまま暗号あんごうされる。暗号あんごうぶんと MAC を連結れんけつして送信そうしんされる。SSHGrain 128a などで利用りようされる。E&M 自体じたいつよ偽造ぎぞう不可ふかだと証明しょうめいされていないが[9]この手法しゅほうでもすこしの修正しゅうせいSSHつよ偽造ぎぞう不可ふかにすることは可能かのうである[よう出典しゅってん][10][出典しゅってん無効むこう]

MAC-then-Encrypt (MtE)

[編集へんしゅう]

平文へいぶんから MAC を計算けいさんし、平文へいぶんと MAC を連結れんけつした状態じょうたい暗号あんごうされる。暗号あんごうぶん暗号あんごうされた平文へいぶん暗号あんごうされた MAC をふくむ)が送信そうしんされる。SSL/TLS などで利用りようされる。MtE 自体じたいつよ偽造ぎぞう不可ふかだと証明しょうめいされていないが[9]、SSL/TLS 実装じっそうは Krawczyk によりつよ偽造ぎぞう不可ふかであることが証明しょうめいされている。SSL/TLS は、MtE と同時どうじ使用しようするエンコーディングのおかげで事実じじつじょう安全あんぜんである[11]

関連かんれん項目こうもく

[編集へんしゅう]

脚注きゃくちゅう

[編集へんしゅう]
[脚注きゃくちゅう使つかかた]
  • Bellare, M.; Namprempre, C. (2000), T. Okamoto, ed., “Authenticated Encryption: Relations among notions and analysis of the generic composition paradigm”, Extended abstract in Advances in Cryptology: Asiacrypt 2000 Proceedings, Lecture Notes in Computer Science (Springer-Verlag) 1976: 531, doi:10.1007/3-540-44448-3_41, ISBN 978-3-540-41404-9 

出典しゅってん

[編集へんしゅう]
  1. ^ "伝統でんとうてきな (秘匿ひとくのみの) 暗号あんごう方式ほうしきとメッセージ認証にんしょう符号ふごう (MAC) をくっつけようとするとき、みんなは幾分いくぶんまずいやりかたをしていた", in: M. Bellare, P. Rogaway, D. Wagner. “A Conventional Authenticated-Encryption Mode”. NIST. March 12, 2013閲覧えつらん
  2. ^ "ちょっとうっかりしただけで、安全あんぜん暗号あんごう方式ほうしき安全あんぜんな MAC を結合けつごうしたのに危険きけん認証にんしょう暗号あんごう方式ほうしきになってしまいかねない", in: T. Kohno, J. Viega, and D. Whiting. “The CWC Authenticated Encryption (Associated Data) Mode”. NIST. March 12, 2013閲覧えつらん
  3. ^ Failures of secret-key cryptography”. Daniel J. Bernstein. March 12, 2013閲覧えつらん
  4. ^ Jutla, Charanjit S. (2000ねん8がつ1にち). “Encryption Modes with Almost Free Message Integrity”. Cryptology ePrint Archive: Report 2000/039. IACR. 2013ねん3がつ16にち閲覧えつらん
  5. ^ a b Information technology -- Security techniques -- Authenticated encryption”. 19772:2009. ISO/IEC. March 12, 2013閲覧えつらん
  6. ^ Encryption modes development”. NIST. April 17, 2013閲覧えつらん
  7. ^ The Keccak Team. “Duplexing The Sponge”. November 30, 2013閲覧えつらん
  8. ^ CAESAR: Competition for Authenticated Encryption: Security, Applicability, and Robustness”. March 12, 2013閲覧えつらん
  9. ^ a b c Authenticated Encryption: Relations among notions and analysis of the generic composition paradigm”. M. Bellare and C. Namprempre. April 13, 2013閲覧えつらん
  10. ^ OpenSSH 6.1 からの変更へんこうてん”. 春山はるやまただしわれ. December 1, 2013閲覧えつらん
  11. ^ The Order of Encryption and Authentication for Protecting Communications (Or: How Secure is SSL?)”. H. Krawczyk. April 13, 2013閲覧えつらん
カテゴリ カテゴリ
スタブアイコン

この項目こうもくは、コンピュータ関連かんれんしたきかけの項目こうもくです。この項目こうもく加筆かひつ訂正ていせいなどしてくださる協力きょうりょくしゃもとめていますPJ:コンピュータ/P:コンピュータ)。

https://ja.wikipedia.org/w/index.php?title=認証にんしょう暗号あんごう&oldid=100986816」から取得しゅとく