米国国立標準技術研究所(NIST)によって標準として承認された対称ブロック暗号である高度暗号化標準( AES)は、1997年から2000年にかけて行われたプロセスを経て選定されました。このプロセスは、前身であるデータ暗号化標準(DES)よりもはるかにオープンで透明性の高いものでした。このプロセスは、オープン暗号コミュニティから高く評価され、前身であるDESにバックドアがあることを疑っていた人々からも、選定されたアルゴリズムの安全性に対する信頼を高めることに繋がりました。
新しい標準が必要とされた主な理由は、DESの鍵サイズが比較的小さい56ビットであったため、ブルートフォース攻撃に対して脆弱になりつつあったためです。さらに、DESは主にハードウェア向けに設計されており、ソフトウェアで実装すると比較的低速でした。[ 1 ]トリプルDESは鍵サイズが小さいという問題を回避しますが、ハードウェアでも非常に低速であり、リソースが限られたプラットフォームには適していません。また、(今日では比較的小さい)64ビットのブロックサイズに関連する潜在的なセキュリティ問題の影響を受ける可能性があります。
プロセスの開始
1997年1月2日、NISTはDESの後継としてAESを選定する意向を発表しました。DESと同様に、AESは「機密扱いされず、公開され、次世紀においても政府の機密情報を保護できる暗号化アルゴリズム」となることを目指していました。[ 2 ]しかし、NISTは単に後継アルゴリズムを公開するのではなく、関係者から後継アルゴリズムの選定方法について意見を求めました。オープン暗号コミュニティからの関心はすぐに高まり、3ヶ月間のコメント募集期間中にNISTは多数の意見を受け取りました。
このフィードバックの結果、1997年9月12日に新しいアルゴリズムの提案が行われました。[ 3 ]これらのアルゴリズムはすべてブロック暗号であり、ブロックサイズは128ビット、鍵サイズは128、192、256ビットをサポートすることになりました。発表当時、このような暗号は珍しく、最もよく知られていたのはおそらくSquareでした。
第1ラウンド、第2ラウンド、第3ラウンド
その後9ヶ月間で、15件のデザインが考案され、複数の国から提出されました。アルファベット順に、CAST-256、CRYPTON、DEAL、DFC、E2、FROG、HPC、LOKI97、MAGENTA、MARS、RC6、Rijndael、SAFER+、Serpent、Twofishです。
その後の議論では、暗号学者によって候補の多くの長所と短所が調査され、セキュリティだけでなく、さまざまな設定(さまざまなアーキテクチャの PC、スマート カード、ハードウェア実装)でのパフォーマンスや、限られた環境(メモリが非常に限られたスマート カード、ゲート数の少ない実装、FPGA)での実現可能性についても評価されました。
いくつかの設計は、軽微な欠陥から重大な攻撃に至るまで、暗号解析によって落選した。また、様々な環境での性能の低さや、他の候補に比べて優位性が乏しかったために落選した設計もあった。NISTは提案された暗号について議論するため2回の会議を開催し(AES1、1998年8月、AES2、1999年3月[ 4 ] [ 5 ] [ 6 ])、1999年8月に[ 7 ]候補を15個から5個(MARS、RC6、Rijndael、Serpent、Twofish)に絞り込むと発表した。一般に「AES最終候補」と呼ばれる5つのアルゴリズムはすべて、暗号業界で著名で尊敬されている暗号学者によって設計された。AES2会議での投票結果は以下の通りである。[ 8 ]
- ラインダール:肯定的77、否定的1
- RC6 : 肯定的79、否定的6
- Twofish:肯定的64件、否定的3件
- 火星:陽性58、陰性6
- 蛇:肯定的52、否定的7
- E2 : 陽性27件、陰性13件
- CAST-256 : 陽性16件、陰性18件
- SAFER+:肯定的20、否定的24
- DFC:陽性22件、陰性27件
- クリプトン:陽性16件、陰性31件
- 取引:肯定的1件、否定的71件
- HPC : 陽性1件、陰性78件
- マゼンタ:陽性1、陰性84
- カエル:肯定的1、否定的86
- LOKI97 : 陽性1件、陰性86件
その後も徹底的な分析と暗号解読が行われ、2000年4月に開催されたAES3カンファレンスで最高潮に達しました。このカンファレンスでは、最終選考に残った5チームの代表者が、なぜ自分たちの設計がAESとして選ばれるべきかを主張するプレゼンテーションを行いました。AES3カンファレンスでの投票結果は以下の通りです。[ 9 ]
受賞者の選出
2000年10月2日、NISTはRijndaelがAESの提案として選定されたことを発表[ 10 ]し、2001年2月28日に連邦官報[ 11 ]にFIPS草案に関するコメント募集のための告知を掲載し、公式標準の制定プロセスを開始しました。2001年11月26日、NISTはAESがFIPS PUB 197 として承認されたことを発表しました。
NISTは、標準化プロセスをオープンかつ慎重に進めたことにより、暗号コミュニティから称賛を浴びました。敗れたTwofishアルゴリズムの作者の一人であるブルース・シュナイアーは、コンテスト終了後に「NISTとAESプロセスについては、良いことしか言えません」と記しています。[ 12 ]
参照
- CAESARコンペティション– 認証付き暗号化方式の設計コンペティション
参考文献
- ^ 「cryptology:: The Data Encryption Standard and the Advanced Encryption Standard」Britannica.com。2014年5月14日時点のオリジナルよりアーカイブ。2018年10月9日閲覧。
- ^ 「高度暗号化規格のための連邦情報処理標準の開発を発表」 csrc.nist.gov 1997年1月2日2018年10月9日閲覧。
- ^ 「AES候補アルゴリズムの指名要請」 . csrc.nist.gov . 1997年9月12日. 2018年10月9日閲覧。
- ^ Georgoudis, Dianelos. 「第2回AESカンファレンス1日目のライブ配信」 . Cryptome . 2019年4月7日閲覧。
- ^ Georgoudis, Dianelos. 「第2回AESカンファレンス2日目のライブ配信」 . Cryptome . 2019年4月7日閲覧。
- ^ Georgoudis, Dianelos. 「第2回AESカンファレンスに関する議論」 Googleグループ. 2019年11月30日閲覧。
- ^ 「AES開発 - 暗号化標準とガイドライン」 . csrc.nist.gov . 2016年12月29日. 2018年10月9日閲覧。
- ^ 「Advanced Encryption Standardの開発」(PDF) 2021年。2021年8月20日時点のオリジナルよりアーカイブ(PDF) 。 2023年11月24日閲覧。
- ^ 「AES3カンファレンスフィードバックフォーム - 概要」(PDF) 2000年4月28日. 2023年11月24日時点のオリジナルよりアーカイブ(PDF) 2023年11月24日閲覧。
- ^スウェンソン、ゲイル(2000年10月2日)「商務省、世界情報セキュリティコンペティションの優勝者を発表」 NIST 。2018年10月9日閲覧。
- ^ NIST (2001年2月28日). 「Advanced Encryption Standard (AES) 向け連邦情報処理標準 (FIPS) 草案の発表と意見募集」(PDF) .連邦官報. 66 : 12762. 2012年10月22日時点のオリジナルよりアーカイブ(PDF) . 2018年10月9日閲覧.
- ^ 「Crypto-Gram: 2000年10月15日 - Schneier on Security」 www.schneier.com 2000年10月15日2018年10月9日閲覧。
外部リンク
- このプロセスの歴史的概要は、NISTの Web サイトで参照できます。
- sci.cryptニュースグループでは、AES プロセスに関する広範な議論が行われています。
