 | This article includes a list of references, related reading, or external links, but its sources remain unclear because it lacks inline citations. (September 2017) |
 | |
| 一般的な | |
|---|---|
| デザイナー | ヘレナ・ハンシュ、デヴィッド・ナッチェ |
| 由来 | SHA-1、SHA-256 |
| 関連 | カニ |
| 認証 | ネッシー(SHACAL-2) |
| 暗号の詳細 | |
| キーサイズ | 128~512ビット |
| ブロックサイズ | 160ビット(SHACAL-1)、 256ビット(SHACAL-2) |
| 構造 | 暗号ハッシュ関数 |
| ラウンド | 80 |
SHACAL-1(元々は単にSHACALと呼ばれていました)は、 SHA-1をベースにした160ビットのブロック暗号で、128ビットから512ビットまでの鍵をサポートします。SHACAL -2は、より大規模なハッシュ関数であるSHA-256をベースにした256ビットのブロック暗号です。
SHACAL-1とSHACAL-2はともにNESSIEプロジェクトの第2フェーズに選定されました。しかし、2003年にSHACAL-1は主要スケジュールに関する懸念からNESSIEポートフォリオへの選定は見送られ、SHACAL-2は最終的に17機のNESSIE最終候補機の1機として選定されました。
デザイン
SHACAL-1 は、SHA-1 に関する以下の観察に基づいています。
ハッシュ関数SHA-1は、圧縮関数に基づいて設計されています。この関数は、160ビットの状態と512ビットのデータワードを入力として受け取り、80ラウンド後に新しい160ビットの状態を出力します。ハッシュ関数は、この圧縮関数を連続する512ビットのデータブロックで繰り返し呼び出し、そのたびに状態を更新することで動作します。この圧縮関数は、データブロックが既知であれば簡単に逆変換できます。つまり、圧縮関数が作用したデータブロックと圧縮関数の出力がわかれば、入力された状態を計算できます。
SHACAL-1は、状態入力をデータブロックとして、データ入力を鍵入力として用いることで、SHA-1圧縮関数をブロック暗号に変換します。言い換えれば、SHACAL-1はSHA-1圧縮関数を、512ビットの鍵を持つ80ラウンド、160ビットのブロック暗号とみなします。512ビットより短い鍵は、ゼロをパディングすることでサポートされます。SHACAL-1は128ビットより短い鍵での使用を想定していません。
SHACAL-1のセキュリティ
2006 年の論文「SHACAL-1 全体に対する関連キー長方形攻撃」では、Orr Dunkelman、Nathan Keller、Jongsung Kim が、SHACAL-1 の 80 ラウンド全体に対する関連キー長方形攻撃を発表しました。
論文「短縮ラウンドSHACAL-1に対する差分攻撃と矩形攻撃」において、Jiqiang Lu、Jongsung Kim、Nathan Keller、Orr Dunkelmanは、SHACAL-1の最初の51ラウンドと一連の52ラウンドの内部ラウンドに対する矩形攻撃、および最初の49ラウンドと一連の55ラウンドの内部ラウンドに対する差分攻撃を提示しました。これらは、単一鍵攻撃シナリオにおけるSHACAL-1の暗号解読において、現在知られている中で最も優れた結果です。
SHACAL-2のセキュリティ
論文「42 ラウンドの SHACAL-2 に対する関連キー長方形攻撃」では、Jiqiang Lu、Jongsung Kim、Nathan Keller、Orr Dunkelman が 42 ラウンドの SHACAL-2 に対する関連キー長方形攻撃を発表しました。
2008年、LuとKimは44段のSHACAL-2に対する関連鍵長方形攻撃を発表しました。これは、SHACAL-2に関する現時点で最も優れた暗号解読結果です。
参考文献
- Eli Biham、Orr Dunkelman、Nathan Keller (2003年2月). 49ラウンドSHACAL-1に対する長方形攻撃(PDF) . 第10回国際高速ソフトウェア暗号化ワークショップ(FSE '03).ルンド: Springer-Verlag . pp. 22– 35. オリジナル(PDF)から2007年9月26日にアーカイブ。 2007年7月2日閲覧。
{{cite conference}}: CS1 maint: multiple names: authors list (link) - Helena Handschuh、Lars R. Knudsen、Matthew JB Robshaw (2001年4月). Analysis of SHA-1 in Encryption Mode (PDF/ PostScript ) . CT-RSA 2001, The Cryptographer's Track at RSA Conference 2001. San Francisco, California : Springer-Verlag. pp. 70– 83. 2007年7月2日閲覧.
{{cite conference}}: CS1 maint: multiple names: authors list (link) - Seokhie Hong; Jongsung Kim; Guil Kim; Jaechul Sung; Changhoon Lee; Sangjin Lee (2003年12月). 30ラウンドSHACAL-2に対する不可能差分攻撃. 第4回インド国際暗号会議 (INDOCRYPT 2003).ニューデリー: Springer-Verlag. pp. 97– 106.
- Jongsung Kim、Guil Kim、Sangjin Lee、Jongin Lim、Junghwan Song (2004年12月). SHACAL-2の短縮ラウンドに対する関連鍵攻撃. INDOCRYPT 2004.チェンナイ:Springer-Verlag. pp. 175– 190.
- Jongsung Kim、Guil Kim、Seokhie Hong、Sangjin Lee、Dowon Hong (2004年7月).関連キー矩形攻撃 — SHACAL-1への応用. 第9回オーストラリア情報セキュリティ・プライバシー会議 (ACISP 2004).シドニー: Springer-Verlag. pp. 123– 136.
- Jongsung Kim、Dukjae Moon、Wonil Lee、Seokhie Hong、Sangjin Lee、Seokwon Jung (2002年12月).ラウンド数削減SHACALに対する増幅ブーメラン攻撃. ASIACRYPT 2002.ニュージーランド、クイーンズタウン:Springer-Verlag. pp. 243– 253.
- Markku-Juhani Olavi Saarinen (2003年2月). SHA-1およびMD5に基づくブロック暗号の暗号解析(PDF) . FSE '03. ルンド: Springer-Verlag. pp. 36– 44. オリジナル(PDF)から2006年12月24日にアーカイブ。 2007年7月2日閲覧。
- YongSup Shin; Jongsung Kim; Guil Kim; Seokhie Hong; Sangjin Lee (2004年7月). SHACAL-2の短縮ラウンドに対する差分線形型攻撃. ACISP 2004. シドニー: Springer-Verlag. pp. 110– 122.
- Jiqiang Lu; Jongsung Kim; Nathan Keller; Orr Dunkelman (2006). 42ラウンドSHACAL-2に対する関連キー矩形攻撃(PDF) . 情報セキュリティ、第9回国際会議 (ISC 2006). Samos : Springer-Verlag. pp. 85– 100. オリジナル(PDF)から2006年9月25日にアーカイブ。 2007年7月2日閲覧。
- Jiqiang Lu、Jongsung Kim、Nathan Keller、Orr Dunkelman (2006年12月). 縮小ラウンドSHACAL-1に対する差分攻撃と矩形攻撃(PDF) . INDOCRYPT 2006.コルカタ: Springer-Verlag. pp. 17– 31. 2007年7月2日閲覧.
- O. Dunkelman、N. Keller、J. Kim (2006年8月). 完全SHACAL-1 (PostScript)に対する関連鍵長方形攻撃. Selected Areas in Cryptography (SAC 2006)、近日刊行予定.モントリオール:Springer-Verlag. 16ページ. 2007年7月2日閲覧.
- Jiqiang Lu、Jongsung Kim (2008年9月). 「関連鍵長方形暗号を用いたSHACAL-2ブロック暗号の44ラウンド攻撃」(PDF) .電子情報通信学会論文集 電子情報通信学会論文集: 2599–2596 . 2012年1月30日閲覧.
外部リンク
- ネイサン・ケラーのホームページ
