Advanced Encryption Standard

Advanced Encryption Standard
(Rijndael)

The SubBytes step, one of four stages in a round of AES
一般いっぱん
設計せっけい者しゃ	フィンセント・ライメン, ホァン・ダーメン（英語えいご版ばん）
初版しょはん発行はっこう日び	1998
派生はせい元もと	Square
後継こうけい	Anubis, Grand Cru
認証にんしょう	AES採用さいよう, CRYPTREC, NESSIE, NSA
暗号あんごう詳細しょうさい
鍵かぎ長ちょう	128, 192 or 256 bits[1]
ブロック長ちょう	128 bits[2]
構造こうぞう	SPN構造こうぞう
ラウンド数すう	10, 12, 14（鍵かぎ長ちょうによる）
最良さいりょうの暗号あんごう解読かいどく法ほう
完全かんぜんな総そう当あたり攻撃こうげきよりも計算けいさん量りょうの多おおい攻撃こうげきが発表はっぴょうされているが、2013年ねん時点じてんでは計算けいさん量りょうが少すくない攻撃こうげきは見みつかっていない：[3] AES-128については、完全かんぜん2部ぶグラフ(Biclique)を使用しようすると2126.1の計算けいさん量りょうで鍵かぎを復元ふくげんすることが可能かのうである。AES-192とAES-256に対たいするBiclique攻撃こうげき（英語えいご版ばん）では、それぞれ2189.7と2254.4の計算けいさん複雑ふくざつ度どが適用てきようされる。関連かんれん鍵かぎ攻撃こうげきでは、AES-192とAES-256をそれぞれ2176と299.5の複雑ふくざつさで破やぶることができる。

Advanced Encryption Standard (AES) は、アメリカが2001年ねんに標準ひょうじゅん暗号あんごうとして定さだめた共通きょうつう鍵かぎ暗号あんごうアルゴリズムである。アメリカ国立こくりつ標準ひょうじゅん技術ぎじゅつ研究所けんきゅうじょ（NIST）が公募こうぼし、Rijndael（ラインダール）がAESとして採用さいようされた^[4]。

AES以前いぜんの標準ひょうじゅん暗号あんごうであったDESは、次つぎの2点てんが問題もんだいであった。

• コンピュータの能力のうりょくとネットワーク技術ぎじゅつの上昇じょうしょうによる相対そうたい的てきな強度きょうどの低下ていか
• NSAの関与かんよがある設計せっけいの不透明ふとうめい性せい（詳細しょうさいはDESの記事きじを参照さんしょう）

そこで、新あたらしい標準ひょうじゅん暗号あんごうがアメリカ国立こくりつ標準ひょうじゅん技術ぎじゅつ研究所けんきゅうじょ（NIST）の主導しゅどうによって公募こうぼされ、AESが選出せんしゅつされた。2001年ねん3月がつに FIPS PUB 197 として公表こうひょうされた。

厳密げんみつには「AES」は、選出せんしゅつされなかった暗号あんごうも含ふくむ、手続てつづき期間きかん中ちゅうから使つかわれた「新あたらしい標準ひょうじゅん暗号あんごう」の総称そうしょうであり、選出せんしゅつされた暗号あんごう方式ほうしき自体じたいの名なはRijndael（ラインダール）である。

AESはSPN構造こうぞうのブロック暗号あんごうである。ブロック長ちょうは128ビットであり、鍵かぎ長ちょうには128ビット・192ビット・256ビットの3種類しゅるいが選択せんたくできる（鍵かぎ長ちょうが大おおきいほうが暗号あんごう強度きょうどが高たかい）。これに対たいし、AESの元もととなった Rijndael では、ブロック長ちょうと鍵かぎ長ちょうが可変かへんであり、128ビットから256ビットまでの32ビットの倍数ばいすうが選えらべる。NISTが公募こうぼした際さいのスペックに従したがい、米国べいこく標準ひょうじゅんとなったAESではブロック長ちょうは128ビットに固定こていされ、鍵かぎ長ちょうも3種類しゅるいに限かぎられた^[5]。

旧きゅう規格きかく DES (FIPS 46) の安全あんぜん性せいが低下ていかしたので、1997年ねん9月にNIST（アメリカ国立こくりつ標準ひょうじゅん技術ぎじゅつ研究所けんきゅうじょ）が後継こうけいの暗号あんごう標準ひょうじゅんAES (Advanced Encryption Standard) とすべく共通きょうつう鍵かぎブロック暗号あんごうを公募こうぼした。公募こうぼ要件ようけんには下記かきのような条件じょうけんが挙あげられた^[5]。

• 米国べいこくに限かぎらず世界せかい中なかで、制限せいげんなく無料むりょうで利用りようできなければならないこと。
• 詳細しょうさいなアルゴリズム仕様しようを公開こうかいすること。
• ANSI C及およびJavaによる実装じっそうを行おこなうこと。
• 暗号あんごう強度きょうど評価ひょうかを公開こうかいすること。

世界せかいから応募おうぼされた21方式ほうしきから、公募こうぼ要件ようけんを満みたした15方式ほうしきに対たいする評価ひょうかが行おこなわれ、安全あんぜん性せいと実装じっそう性能せいのうに優すぐれた5方式ほうしきが最終さいしゅう候補こうほとして残のこった。最終さいしゅう候補こうほおよび設計せっけい者しゃは下記かきのとおりである^[5]。

• Rijndael - ホァン・ダーメン（英語えいご版ばん）、フィンセント・ライメン
• Serpent（サーペント、または、サーパン）- ロス・アンダーソン、エリ・ビーハム、ラーズ・ヌードセン
• RC6 - ロナルド・リヴェスト、マット・ロブショー、レイ・シドニー、イーチュン・リサ・イン
• Twofish - ブルース・シュナイアー、ジョン・ケルシー、ダグ・ホワイティング、デーヴィッド・ワグナー、クリス・ホール、ニールス・ファーガソン
• Mars - カロリン・バーウィック、ドン・カッパースミス、エドワード・ダヴィニョン、ロザリオ・ジェンナロ、シャイ・ハレヴィ、チャランジット・ジュトラ、ステファン・マテリアス Jr.、ルーク・オコーナー、モハンマド・ペイラヴィアン、デヴィド・サフォード、ネヴェンコ・ズニコフ

最終さいしゅう選考せんこうの結果けっか、あらゆる実装じっそう条件じょうけんで優すぐれた実装じっそう性能せいのうを発揮はっきしたベルギーのルーヴェン・カトリック大学だいがくの研究けんきゅう者しゃホァン・ダーメン（英語えいご版ばん） (Joan Daemen) と フィンセント・ライメン (Vincent Rijmen) が設計せっけいした Rijndael （ラインダール）が2000年ねん10月に採用さいようされた。

Rijndaelという名称めいしょうのうち、RijnはRijmen、daeはDaemenから取とられたことは明白めいはくだが、lはどこから来きたのかが不明ふめいだった。指導しどう教授きょうじゅだったバート・プレネル (Bart Preneel)（英語えいご版ばん） から取とったのではという説せつがあり、Rijmenが講演こうえんした際さいに質問しつもんを受うけたが、その答こたえは "It's a conjecture.（それは憶測おくそくに過すぎないね）" だった^{[要よう出典しゅってん]}。

AESはSPN構造こうぞうのブロック暗号あんごうで、ブロック長ちょうは128ビット、鍵かぎ長ちょうは128ビット・192ビット・256ビットの3つが利用りようできる^[4]。

暗号あんごう化か処理しょりでは、始はじめに鍵かぎ生成せいせいを行おこなう。AES暗号あんごうの鍵かぎ長ちょうによって変換へんかんのラウンド数すうが異ことなる。次つぎのとおりである。

• 鍵かぎ長ちょう128ビットのとき、ラウンド数すうは10回かいである。
• 鍵かぎ長ちょう192ビットのとき、ラウンド数すうは12回かいである。
• 鍵かぎ長ちょう256ビットのとき、ラウンド数すうは14回かいである。

暗号あんごう化かは下記かきの4つの処理しょりから構成こうせいされる^[5]。

1. SubBytes - 換字かんじ表ひょう（Sボックス）による1バイト単位たんいの置換ちかん。
2. ShiftRows - 4バイト単位たんいの行くだりを一定いってい規則きそくで左ひだりシフトする。
3. MixColumns - ビット演算えんざんによる4バイト単位たんいの行列ぎょうれつ変換へんかん。
4. AddRoundKey - ラウンド鍵かぎとのXORをとる。

これら4つの処理しょりを1ラウンドとして暗号あんごう化かを行おこなう。

なお、復号ふくごうは上記じょうき処理しょりの逆ぎゃく変換へんかんを逆順ぎゃくじゅんで実行じっこうする。

1. AddRoundKey
2. InvMixColumns
3. InvShiftRows
4. InvSubBytes

関連かんれん鍵かぎ攻撃こうげきにより、256ビットのAES暗号あんごうの第だい9ラウンドまでが解読かいどく可能かのうである。また、選択せんたく平文へいぶん攻撃こうげきにより、192ビットおよび256ビットのAES暗号あんごうの第だい8ラウンドまで、128ビットのAES暗号あんごうの第だい7ラウンドまでが解読かいどく可能かのうである (Ferguson et al., 2000)。シュナイアーはAESの「代数だいすう的てき単純たんじゅんさに疑問ぎもん」を感かんじているが、AESは欧州おうしゅうの暗号あんごう規格きかくNESSIEや日本にっぽんの暗号あんごう規格きかくCRYPTRECでも採用さいようされた。AESの数学すうがく的てき構造こうぞうは他たのブロック暗号あんごうと異ことなり、きちんとした記述きじゅつもある^[6][7]。

この暗号あんごうはまだどんな攻撃こうげきにも屈くっしていないが、何人なんにんかの研究けんきゅう者しゃがこの数学すうがく的てきな構造こうぞうを利用りようした攻撃こうげき方法ほうほうが存在そんざいするかもしれないと指摘してきしている^[8][9]。

• ブロック暗号あんごう
• 有限ゆうげん体たい
• Transport Layer Security - 暗号あんごう化かとして128ビットおよび256ビットのAES-CBC、AES-GCM、AES-CCMを使用しよう可能かのう
• ディスク暗号あんごう化か
  • HFS+ - セキュリティ機能きのう「FileVault」が128ビットAES暗号あんごうを使用しよう
  • BitLocker
• Wii - 暗号あんごう化かに128ビットAESを使用しよう
• アーカイブファイル形式けいしき
  • ZIP - 256ビットAESを使用しよう可能かのう
  • 7z - 256ビットAESを使用しよう可能かのう
  • RAR - 256ビットAESを使用しよう可能かのう
• CCMP - WEPで用もちいられていたRC4、WPAで用もちいられていたTKIP（本質ほんしつ的てきにRC4と同等どうとう）に代かわり、WPA2で採用さいようされた暗号あんごう化かプロトコル。128ビットAESをCCMモードで利用りよう
• AACS - 128ビットAESを使用しよう
• CRYPTREC
• NESSIE
• CPUの命令めいれいセット
  • AES-NI
  • CLMUL instruction set

1. ^ Rijndaelでは128, 160, 192, 224, 256 bitsが選択せんたく可能かのう。AESのスペックに合あわせて3つに限定げんてい
2. ^ Rijndaelでは128, 160, 192, 224, 256 bitsが選択せんたく可能かのう。AESのスペックに合あわせて128 bitsのみに限定げんてい
3. ^ “Biclique Cryptanalysis of the Full AES” (PDF) (英語えいご). 2016年ねん3月がつ6日にち時点じてんのオリジナルよりアーカイブ。October 9, 2016閲覧えつらん。
4. ^ ^{a b} 岡本おかもと 暗号あんごう理論りろん入門にゅうもん 第だい2版はん(2002:51-52)
5. ^ ^{a b c d} 結城ゆうき 暗号あんごう技術ぎじゅつ入門にゅうもん 第だい3版はん(2003: 69-71)
6. ^ A simple algebraic representation of Rijndael (Niels Ferguson, Richard Schroeppel, and Doug Whiting)（2003年ねん6月がつ6日にち時点じてんのアーカイブ）
7. ^ Sean Murphy （英語えいご）
8. ^ 角すみ尾お幸保さちほ, 久保くぼ博ひろし靖やすし, 茂しげる真紀まき, 辻つじ原はら悦子えつこ, 宮内みやうち宏ひろし, "S-boxにおけるキャッシュ遅延ちえんを利用りようしたAESへのタイミング攻撃こうげき (PDF) ", SCIS2003
9. ^ Cache-timing attacks on AES (PDF) （英語えいご） - (Daniel J. Bernstein)

• FIPS 197 (PDF) 、NIST発行はっこう、2001年ねん （英語えいご）
• Daemen and Rijmen, Rijndael 仕様しよう書しょ（補ほ追おい版ばん） (PDF) 、1999年ねん発行はっこう-2003年ねん補ほ追おい （英語えいご）
• 岡本おかもと栄司えいじ『暗号あんごう理論りろん入門にゅうもん』（第だい2版はん）共立きょうりつ出版しゅっぱん、2002年ねん。ISBN 4-320-12044-2。 
• 結城ゆうき浩ひろし『暗号あんごう技術ぎじゅつ入門にゅうもん - 秘密ひみつの国くにのアリス』（第だい3版はん）ソフトバンクパブリッシング、2003年ねん。ISBN 4-7973-2297-7。 
• 澤田さわだ秀樹ひでき：「暗号あんごう理論りろんと代数だいすう学がく 増補ぞうほ・AES(高度こうど暗号あんごう化か標準ひょうじゅん) Kindle版ばん」，（2021年ねん9月がつ16日にち）．

• 公式こうしきサイト AES Home Page（のアーカイブ） - ウェイバックマシン（2014年ねん7月がつ17日にちアーカイブ分ぶん） （英語えいご）
• リファレンスコード （英語えいご）
• 解説かいせつ AES概説がいせつ（2009年ねん5月がつ3日にち時点じてんのアーカイブ）
• 選定せんてい過程かてい AESファイナリストをめぐって - ウェイバックマシン （日本語にほんご）
• Report on the Development of the Advanced Encryption Standard （英語えいご）

表ひょう 話はなし 編へん 歴れき ブロック暗号あんごう アルゴリズム AES ARIA Blowfish Camellia CAST-128 CAST-256 DES DES-X 3DES FEAL IDEA KASUMI Lucifer MISTY1 MULTI2 RC2 RC5 RC6 SEED Serpent Square Twofish スキップジャック 設計せっけい Feistel構造こうぞう S-box SPN構造こうぞう 攻撃こうげき （暗号あんごう解読かいどく） 総そう当あたり攻撃こうげき レインボーテーブル 中間ちゅうかん一致いっち攻撃こうげき 線形せんけい解読かいどく法ほう 差分さぶん解読かいどく法ほう 切詰きりづめ 高階たかしな 関連かんれん鍵かぎ攻撃こうげき 標準ひょうじゅん化か AES公募こうぼ CRYPTREC NESSIE NSA Suite B（英語えいご版ばん） CNSA 用語ようご 初期しょき化かベクトル 暗号あんごう利用りようモード カテゴリ

表ひょう 話はなし 編へん 歴れき 暗号あんごう 暗号あんごう史し 暗号あんごう解読かいどく Cryptography portal en:Outline of cryptography 共通きょうつう鍵かぎ暗号あんごう ブロック暗号あんごう ストリーム暗号あんごう 暗号あんごう利用りようモード 公開こうかい鍵かぎ暗号あんごう 暗号あんごう学がく的てきハッシュ関数かんすう メッセージ認証にんしょうコード 認証にんしょう付つき暗号あんごう 乱数らんすう生成せいせい器き ステガノグラフィー

カテゴリ

この項目こうもくは、コンピュータに関連かんれんした書かきかけの項目こうもくです。この項目こうもくを加筆かひつ・訂正ていせいなどしてくださる協力きょうりょく者しゃを求もとめています（PJ:コンピュータ/P:コンピュータ）。

• 表示ひょうじ
• 編集へんしゅう