Chacha20-Poly1305 の実装性能調査

ChaCha20-Poly1305 の実装性能調査株式会社レピダム 2017 年 10 月目次第 1 章エグゼクティブサマリー 3 第 2 章 ChaCha20-Poly1305 について 4 2.1 概要 :::::::::::::::::::::::::::::: 4 2.2 歴史的背景 :::::::::::::::::::::::::: 5 2.3 アルゴリズムの構造 ::::::::::::::::::::: 5 2.3.1 ChaCha20 ::::::::::::::::::::::: 5 2.3.2 Poly1305 ::::::::::::::::::::::: 7 2.3.3 ChaCha20-Poly1305 ::::::::::::::::: 8 第 3 章 ChaCha20-Poly1305 の採用状況 11 3.1 標準化動向 :::::::::::::::::::::::::: 11 3.1.1 IETF ::::::::::::::::::::::::: 11 3.1.2 その他の標準化団体 ::::::::::::::::: 14 3.2 OSS コミュニティ動向 :::::::::::::::::::: 14 第 4 章 ChaCha20-Poly1305 の実装性能評価に関する既存文献調査 17 4.1 論文調査 :::::::::::::::::::::::::::: 17 4.2 ベンチマーク実装評価調査 :::::::::::::::::: 18 4.2.1 Cloudflare 版 OpenSSL ::::::::::::::: 19 4.2.2 Edge Security の WireGuard :::::::::::: 20 4.2.3 Barco Silex の BA417 と Inside Secure の ChaCha- IP-13 / EIP-13, POLY-IP-53 / EIP-53 ::::::: 22 第 5 章認証暗号方式の性能比較調査 24 5.1 性能比較調査方法 ::::::::::::::::::::::: 24 5.1.1 比較対象アルゴリズム :::::::::::::::: 24 5.1.2 実行環境 :::::::::::::::::::::::: 32 5.1.3 暗号ライブラリ :::::::::::::::::::: 34 5.2 実行コマンド ::::::::::::::::::::::::: 35 5.3 性能比較結果 ::::::::::::::::::::::::: 37 5.3.1 AES-NI 有効の場合 ::::::::::::::::: 37 1 5.3.2 AES-NI 無効の場合 ::::::::::::::::: 46 5.3.3 性能測定における注意点 ::::::::::::::: 51 5.4 考察 :::::::::::::::::::::::::::::: 52 5.4.1 Poly1305 によるオーバーヘッド ::::::::::: 52 5.4.2 AES-NI の影響 :::::::::::::::::::: 53 5.4.3 ChaCha20-Poly1305 と AES-GCM の比較 ::::: 53 第 6 章まとめ 54 Arm, Cortex, mbed は Arm Limited の登録商標です。 Cloudflare は Cloudflare, Inc の登録商標です。 Google は Google LLC の登録商標です。 Inside Secure は Inside Secure またはその子会社の登録商標です。 Intel は Intel Corporation またはその子会社の登録商標です。 WireGuard は Jason A. Donenfeld の登録商標です。 AVR は Microchip Technology Incorporated の登録商標です。 OpenSSL は OpenSSL Software Foundation の登録商標です。 OpenVPN は OpenVPN Inc. の登録商標です。 2 第1章エグゼクティブサマリー本調査では、認証暗号 (Authentication Encryption: AE または Au- thenticated Encryption with Associated Data: AEAD) の一種である ChaCha20-Poly1305 について、実際に利用する観点で、標準化状況や OSS コミュニティでの採用状況を踏まえて、実装性能評価を実施した。 ChaCha20-Poly1305 は特に IETF (Internet Engineering Task Force) で積極的に標準化が進められており、今後も幅広いプロトコルへの適用が予想される。また各種 OSS での採用も広まっており、ChaCha20-Poly1305 の利用環境は整いつつあると言える。 ChaCha20-Poly1305 の実装性能を評価した論文はまだ少ない。ベンチマークとしてソフトウェア実装やハードウェア実装が公開されており、ベンチマーク結果において今後組み込み環境において ChaCha20-Poly1305 の性能が向上することが示唆されている。世界中で広く利用されている OpenSSL を用いて ChaCha20-Poly1305 と他の認証暗号との性能比較を行った。AES-NI を有効にした Intel Core i7 において、ChaCha20-Poly1305 のスループットは、鍵長以下のデータサイズでは AES-NI 無効時より小さく、鍵長を超えるデータサイズでは大きくなることがわかった。また AES-NI を有効にした Intel Xeon においては、ChaCha20-Poly1305 のスループットはデータサイズによらずほとんど変わらないことがわかった。AES-NI 有効時および AES-NI 無効時において AES-GCM と ChaCha20-Poly1305 のスループットを比較すると、 AES-NI 無効時に ChaCha20-Poly1305 の実行速度が AES-GCM を上回ることがわかった。 3 第2章 ChaCha20-Poly1305について 2.1 概要 ChaCha20-Poly1305 は、ストリーム暗号である ChaCha20 とメッセージ認証コード (MAC) である Poly1305 を組み合わせ、認証暗号機能を実現した暗号アルゴリズムである。ChaCha20-Poly1305 の安全性は暗号学的に解析されており、ChaCha20 および Poly1305 が安全なアルゴリズムであるとの仮定において、ChaCha20-Poly1305 は安全な認証暗号アルゴリズムであることが示されている [1]。また、ChaCha20 に対する効率的な攻撃（差分攻撃、線形攻撃等）が存在しないことも示されており、 ChaCha20-Poly1305 に脆弱性は存在せず、安全なアルゴリズムであると結論づけられている [1]。ChaCha20-Poly1305 は特に、AES-NI (Advanced Encryption Standard New Instructions) [2] による高速化が有効でない環境において、AES-GCM 等の AES を用いた認証暗号アルゴリズムよりも高速に実行可能であると言われている。従来、Rivest によって提案された RC4 がストリーム暗号として広く用いられて、SSL/TLS にも採用されていた。しかし、RC4 に対する攻撃が次々と発見されたことにより RC4 の安全性が低下し、RC4 の使用が非推奨となるとともに新たなストリーム暗号の提案が望まれた。他方、2013 年の Edward Snowden による内部告発により、アメリカ国家安全保障局 (NSA) による通信監視プログラム PRISM の存在が暴露された [3], [4]。この過程で、アメリカ国立標準技術研究所 (National Institute of Standards and Technology: NIST) による NIST SP 800-90A で標準化された乱数生成器である Dual EC DRBG にバックドアが仕掛けられていたことが判明した [5]。これらの事象により、暗号アルゴリズムの利用に関する 2 つの動きが生じた。ひとつは、政府機関による監視への技術的対抗策を講じることである。この流れとしては、128 ビット以上の安全性を持つ暗号アルゴリズムの利用、認証暗号の利用、forward secrecy を持つ暗号アルゴリズムの利用等が挙げられる。もうひとつは、政府機関により策定された暗号アルゴリズムの利用を避けることである。インターネット技術の標準化を推進 4 する IETF (Internet Engineering Task Force) では、中立性を重要視する文化も相まって、2013 年 11 月に開催された IETF 88 以来、IETF として NIST で採用されていない暗号アルゴリズムを利用する動きが活発化した。NIST で標準化されていない暗号アルゴリズムには例えば、楕円曲線暗号におけるエドワーズ曲線 (Ed25519) やこれを用いた署名アルゴリズム EdDSA が挙げられる。このような流れの中、認証暗号機能を実現する ChaCha20-Poly1305 に対する注目が集まっている。 2.2 歴史的背景 ChaCha20 および Poly1305 はいずれも D. J. Bernstein によって考案された暗号アルゴリズムである。 ChaCha20 は、2007 年に SalSa20 として公開されたストリーム暗号 [6] の改良版として、2008 年に発表された [7]。一方、Poly1305 は 2005 年にメッセージ認証コード (MAC) として発表された [8]。発表された論文において、Poly1305 はブロック暗号 AES と組み合わせた方式として示された (Poly1305-AES)。その後、2.1 章に示した NIST で採用されていない暗号アルゴリズムを利用する流れを受けて、ストリーム暗号 ChaCha20 とメッセージ認証コード (MAC) Poly1305 を組み合わせて利用する動きが進み、2015 年 5 月には IETF から ChaCha20-Poly1305 の仕様を規定した RFC が発行された [9]。 2.3 アルゴリズムの構造本項では、IETF で標準化された ChaCha20 と Poly1305、およびその組み合わせである ChaCha20-Poly1305 の構造を記述する [9]。 2.3.1 ChaCha20 ChaCha は、256 ビットの秘密鍵 K = (k0; k1; k2; k3; k4; k5; k6; k7) と 32 ビットのカウンター C = (c0) を入力とし、512 ビットの鍵ストリームを生成する。鍵ストリームに用いる行列 X を以下の通り定義する。 5 0 1 x0 x1 x2 x3 B C B x x x x C X = B 4 5 6 7 C @ x8 x9 x10 x11 A x12 x13 x14 x15 0 1 σ0 σ1 σ2 σ3 B C B k k k k C = B 0 1 2 3 C @ k4 k5 k6 k7 A c0 n0 n1 n2 ここで、 (σ0; σ1; σ2; σ3) = (0x61707876; 0x3320646E; 0x79622D32; 0x6B206574) である。鍵ストリームブロック Z は Z = X + X(r) で定義される。ここで X(r) はラウンド関数を用いて X(r) =Roundr(X) と表され、+ は 232 の剰余によるワードごとの加算を表す。Z = X + X(r) を「r ラウンド ChaCha」または「ChaChar」と呼ぶ。ラウンド関数は \quarter round function" と呼ばれる次の非線形演算で構成される。4 ワードから成るベクトル (a; b; c; d) は以下のように変換される。 a = a + b d = d ⊕ a d = (d)<<<16 c = c + d b = b ⊕ c b = (b)<<<12 a = a + b d = d ⊕ a d = (d)<<<8 c = c + d b = b ⊕ c b = (b)<<<7 6 quarter round function は、奇数ラウンドには列方向に、偶数ラウンドには対角線方向に作用する。Algorithm 1 において、ChaCha の詳細な手順を示す。 Algorithm 1 ChaCha Input: Key K, Counter C, and Nonce N Output: Keystream Z Generate initial matrix X using K, C, and N y X for i 0 to 9 do /* Column Round */ (x0; x4; x8; x12) quarterround(x0; x4; x8; x12) (x5; x9; x13; x1) quarterround(x5; x9; x13; x1) (x10; x14; x2; x6) quarterround(x10; x14; x2; x6) (x15; x3; x7; x11) quarterround(x15; x3; x7; x11) /* Diagonal Round */ (x0; x5; x10; x15) quarterround(x0; x5; x10; x15) (x1; x6; x11; x12) quarterround(x1; x6; x11; x12) (x2; x7; x8; x13) quarterround(x2; x7; x8; x13) (x3; x4; x9; x14) quarterround(x3; x4; x9; x14) end for Z X + y return Z 2.3.2 Poly1305 Poly1305 は、256 ビットの鍵と任意長のメッセージを入力とし、128 ビットのタグを出力する。256 ビットの入力鍵はそれぞれ 128 ビットの鍵 r と s に分割される。このアルゴリズムでは、r の 22 ビットを固定する。出力タグは ((m[0]rn + m[1]rn−1 + ··· + m[n]) mod (2130 − 5) mod 2128 で表される。ここで、m[i] は入力メッセージ M を 16 ビットに分割したブロックの i 番目のブロックである。Algorithm 2 において、Poly1305 の詳細な手順を示す。 7 Algorithm 2 Poly1305 Input: Key K and Message M Output: Tag T (m[0]; m[1]; : : : ; m[d − 1]) 16 M d dlen(M)=16e (r; s) 16 K r r& 0x0FFFFFFC0FFFFFFC0FFFFFFC0FFFFFFF for i 0 to d − 1 do m[i] m[i] + 28len(m[i]) end for T m[0] for i 1 to d − 1 do T (r · T + m[i]) mod (2130 − 5) end for T (T + s) mod 2128 return T Algorithm 3 ChaCha20-Poly1305 Input: Key K, Nonce N, Authentication data A, and Message M Output: Ciphertext C and Tag T z CC-Poly-KS(K; N; len(M)) C M ⊕ z T CC-Poly-T(K; N; A; C) return (C; T ) 2.3.3 ChaCha20-Poly1305 ChaCha20-Poly1305 は、256 ビットの鍵 K、96 ビットのナンス N、任意長の認証対象データ A、任意長のメッセージ M を入力とし、暗号文 C と認証タグ T を出力する。Algorithm 3, 4 および 5 において、ChaCha20- Poly1305 の詳細な手順を示す。図 2.1 に ChaCha20-Poly1305 の全体構成図を示す。 8 Algorithm 4 CC-Poly-KS Input: Key K, Nonce N and Input Length L Output: Keystream Z b dL=64e for i 0 to b − 1 do z[i] ChaCha(K; i + 1;N) endP for b−1 · 512i z i=0 z[i] 2 Z trancate(l; z) return Z Algorithm 5 CC-Poly-T Input: Key K, Nonce N, Authentication data A, and Message M Output: Tag T k trancate(32; ChaCha(K; 0;N)) y A y y + M · 2128dlen(A)=16e y y + len(A) · 2128(dlen(A)=16e+dlen(M)=16e) y y + len(M) · 2128(dlen(A)=16e+dlen(M)=16e+1=4) T Poly1305(k; y) return T 9 図 2.1: ChaCha20-Poly1305 全体構成図 10 第3章 ChaCha20-Poly1305の採用状況新しい暗号アルゴリズムを実社会で広く利用するためには、国際標準化団体におけるに SSL/TLS のような一般的な通信プロトコルでの標準化仕様策定と実際に動作環境となるオープンソース（OSS）による実装実績が左右すると言える。ChaCha20-Poly1305 については標準化仕様策定の前から、Google によって自社で利用する Google サーバと Google Chrome で実装することによって、実環境であるインターネット上で動作実績を重ねて問題なく動作することを示した積極的な活動の結果だと言える。 3.1 標準化動向 3.1.1 IETF IETF において、ChaCha20-Poly1305 を利用するために標準化されたドキュメントは、4 つの RFC（Request For Comments）が存在している。それらの RFC については、以下に列挙したとおりである。それぞれの RFC としては、ChaCha20-Poly1305 自体のアルゴリズムを記述したもの、ChaCha20-Poly1305 を IKE および IPsec で利用するために規定したもの、ChaCha20-Poly1305 を TLS で利用するために規定したもの、 ChaCha20-Poly1305 を CMS（暗号メッセージ構文）で利用するために規定したものとなる。 RFC 7539 このドキュメントは 2015 年 5 月に発行された Informational な RFC であり、タイトルは「ChaCha20 and Poly1305 for IETF Protocols」である。このドキュメントの内容は、ChaCha20-Poly1305 のアルゴリズム自体の記述および実装者が自分の実装が正しく実装されているのかを確かめるために必要となる独立した 2 実装により確認されたテストベクターを示している。この RFC で記述されているアルゴリズムが、IETF として標準化された ChaCha20-Poly1305 となるため、IETF で標準化される様々な通信プロトコルから参照されることになる。 11 表 3.1: IETF で策定された ChaCha20-Poly1305 に関連する RFC 番号タイトル発行日 RFC 7539 [9] ChaCha20 and Poly1305 for IETF 2015/5/13 Protocols RFC 7634 [10] ChaCha20, Poly1305, and Their 2015/8/20 Use in the Internet Key Exchange Protocol (IKE) and IPsec RFC 7905 [11] ChaCha20-Poly1305 Cipher Suites 2016/6/22 for Transport Layer Security (TLS) RFC 8103 [12] Using ChaCha20-Poly1305 Authen- 2017/2/28 ticated Encryption in the Crypto- graphic Message Syntax (CMS) しかしながら、RFC 7539 の記述内容には 7 つの誤りが指摘されており、その正誤表で示された内容を踏まえて指摘箇所をアップデートし、かつ Security Considerations を加筆した rfc7634bis [13] が 2016 年 11 月に投稿され、2 回のコメント吸収を経て 2017 年 10 月現在 IRSG での投票を行なっているステータスである。 RFC 7634 このドキュメントは 2015 年 8 月に発行された Proposed Standard な RFC であり、タイトルは「ChaCha20, Poly1305, and Their Use in the Internet Key Exchange Protocol (IKE) and IPsec」である。このドキュメントの内容は、Internet Key Exchange Protocol version 2 (IKEv2) および IPsec において、ChaCha20-Poly1305 を利用するために発行された RFC である。この RFC の中において、IANA より Transform Type 1 - Encryption Algorithm Transform IDs [14] として、28 がアサインされたことにより、Encapsulated

Load more