ストリーム暗号の現状と課題 the State of Stream Ciphers

解説論文ストリーム暗号の現状と課題 The State of Stream Ciphers 森井昌克 Masakatu MORII 寺村亮一 Ryoichi TERAMURA アブストラクトストリーム暗号は高速処理に優れた暗号のクラスであり，近年の情報の大規模化・通信の高速化に伴い注目を集めている．このストリーム暗号の次世代を選定するプロジェクト eSTREAM（the ECRYPT stream cipher project）が欧州にて3年間にわたり開催され，その結果として先日七つのポートフォリオが選定された．本稿では，ストリーム暗号を概観し，特にこのeSTREAMでの成果を踏まえて，現状最も使用されているストリーム暗号であるRC4，これからのストリーム暗号であるeSTREAM暗号，そして現在ISO（International Organization for Standardization）に提案されている三つの暗号の動向について解説する．キーワード暗号，ストリーム暗号，eSTREAM，RC4，WEP 1．はじめに 2．ストリーム暗号コンピュータセキュリティ，及びネットワークセキュリ 2．1 共通鍵暗号としてのストリーム暗号ティの分野は多岐にわたるが，その根幹を担う一つの分野が暗号，そしてその利用を含む暗号技術である．共通鍵暗号は暗号化と復号に同一の秘密鍵を用いる方式で暗号の基本となるものが，暗号プリミティブと呼ばれるある．共通鍵暗号方式は暗号化と復号に異なる鍵を用いる公データの機密性，完全性，認証，否認防止等を実現するアル開鍵暗号方式と異なり，通信等に用いる場合は事前に鍵を共ゴリズムである．本論文では，この暗号プリミティブを扱い，有する必要があるものの，暗号化処理速度の面で公開鍵暗号以下，注記しない限り暗号プリミティブのことを暗号と呼ぶ．方式より優れている．この共通鍵暗号は更に“ブロック暗号” 暗号には大きく分けて“公開鍵暗号” と“共通鍵暗号” というと“ストリーム暗号” の二つのクラスに大別できる（図 1）．ブ二つのクラスがある．後者の共通鍵暗号に属するストリームロック暗号は平文を 64 ビットや128 ビットのブロックに分割暗号は高速処理に優れた暗号のクラスであり，近年の情報のし，それぞれに対して暗号化を行う方式である．またストリー大規模化・通信の高速化に伴い注目を集めている．このストム暗号は平文をデータストリームとして扱い，ビットもしくリーム暗号の次世代を選定するプロジェクト eSTREAM（the はバイト単位で逐次暗号化を行う方式である．これらの関係 ECRYPT stream cipher project）（1）が欧州にて3年間にわたり開は誤り訂正符号におけるブロック符号と畳込み符号の関係に催され，その結果として先日七つのポートフォリオが選定された（2008年9月17日現在）．本稿では，ストリーム暗号を概観し，特にこの eSTREAM での成果を踏まえて，現状最も使用されているストリーム暗号である RC4，これからのストリーム暗号である eSTREAM暗号，そして現在ISO（International Organization for Standardization）に提案されている三つの暗号の動向について解説する．森井昌克正員神戸大学大学院工学研究科図 1 ブロック暗号とストリーム暗号ブロック暗号は， E-mail [email protected] 一つ一つのブロックが独立に暗号化復号されることに対し寺村亮一学生員神戸大学大学院工学研究科 E-mail [email protected] て，ストリーム暗号では，ビットもしくはバイト単位で暗号 Masakatu MORII, Member and Ryoichi TERAMURA, Student Member (Graduate School 化復号されるものの独立ではなく，先の暗号化復号処理に依 of Engineering, Kobe University, Kobe-shi, 657-8501, Japan). Fundamentals Review Vol.2 No.3 pp.66-pp.75 2009年1月存する． 66 Fundamentals Review Vol.2 No.3 相似する．通常，ブロック暗号は一つ一つのブロックが独立に暗号化復号される．それに対して，ストリーム暗号はビットもしくはバイト単位で暗号化復号が行われ，それぞれの処理は独立でなく先の処理に依存する．前者の代表的な暗号として，Advanced Encryption Standard（AES）（2），Camellia（3）等が，後者の代表的な暗号としてRivest Cipher 4（RC4），MUGI（4）等が挙げられる．広い意味で，ストリーム暗号はビットあるいはバイトごとの平文に対して，事前の暗号化復号処理に依存して，事後の暗号化復号処理を行う方式であるが，本稿では狭い意味でのストリーム暗号である，鍵から得られるキーストリームと平文ストリームの排他的論理和で暗号化を行う方式を扱う．図 3 KSA と PRGA ストリーム暗号では KSA に鍵，IV を 2．2 ストリーム暗号の概要入力することで内部状態を初期化する．またその初期化された内部状態を PRGA に入力することで内部状態の更新を行い，キーストリームを出力する．典型的なストリーム暗号としてワンタイムパッドが挙げられる（図 2）．これは平文と同じ長さの乱数系列を利用者間でまず暗号化に用いる乱数系列は一度使用すると二度と再利用共有し，平文との排他的論理和をとることで暗号化復号を行してはならない．更に平文と同じ長さの乱数系列を安全に共う方式である．例えばアリスがボブに対して“こんにちは” と有しなければならない．安全とは送受信を行う二者以外が有いう内容の平文をワンタイムパッド方式で暗号化して送ったすることも，推定することもできないことを意味する．これと仮定する．事前に共有しておいた乱数系列と送られてきたらの仮定は現実的ではない．暗号文の排他的論理和をとることで，ボブは容易に暗号文か一般に用いられるストリーム暗号ではワンタイムパッドとら“こんにちは” という平文を得ることができる．しかし正し異なり平文と同じ長さの乱数系列を共有するのでなく，擬似い乱数系列を知らない攻撃者は，ある乱数系列と暗号文の排乱数生成器，及び秘密鍵と呼ばれる短い情報を共有し，それ他的論理和が“こんにちは” になることを知ったとしても，異らから擬似乱数系列を生成し暗号化に利用する．なる乱数系列との排他的論理和から得られる“さようなら” 等ストリーム暗号は暗号化や復号の際，秘密鍵や初期化ベの様々な平文の中から“こんにちは” が正しい平文と決定できクトル（IV : Initialization Vector）をシードとしてキーストない．このため暗号化に使用された正しい乱数系列を知らなリームと呼ばれる任意長の擬似乱数系列を生成する．そしい攻撃者は暗号文だけ手に入れたとしても，暗号文から正して得られたキーストリーム Z と平文 P の排他的論理和をとい平文の内容を特定することは不可能である．乱数系列が真ることで暗号文 C を導出する（ P � Z � C ）．また復号の際性乱数系列であればワンタイムパッドは理想的な暗号方式とには暗号文 C とキーストリーム Z の排他的論理和をとるこなり得る．とで元の平文 P を導出する（ C � Z � P � Z � Z � P ）．ワンタイムパッドは理想的な暗号であるものの，その安全ストリーム暗号の擬似乱数生成アルゴリズムは大きく二つな運用に関して問題ともいえる，幾つかの仮定を必要とする．の段階に区別できる．一つは秘密鍵や初期化ベクトルを用いて擬似乱数生成器の内部状態を初期化するアルゴリズム，もう一つは内部状態を更新しながらキーストリームを生成するアルゴリズムである．前者は鍵スケジューリングアルゴリズム（KSA：Key Scheduling Algorithm），後者は擬似乱数生成アルゴリズム（PRGA：Pseudo-Random Generation Algorithm）と呼ばれる（図 3）．ワンタイムパッドと等価ではないものの，同等の安全性を得るための条件として，擬似乱数生成器の生成するキーストリームには，周期が長いこと，キーストリームのビット間に相関がないこと等，真性乱数系列に期待できる性質が求められる．ストリーム暗号では KSA に鍵，IV を入力することで内部状態を初期化する．またその初期化された内部状態を PRGA 図 2 ワンタイムパッド正しい乱数を知らない攻撃者は，に入力することでキーストリームを出力する．ある乱数系列と暗号文の排他的論理和が，“こんにちは”といストリーム暗号はその内部状態の構成の違いから線形う平文になることを知ったとしても，様々な平文の中から“こフィードバックシフトレジスタ（LFSR：Linear Feedback Shift んにちは”が正しい平文であることを決定できない． Register）型と状態遷移型の二つに区別できる（図 4）．前者は Fundamentals Review Vol.2 No.3 67 機能力では現実時間内に鍵の全候補を試すことは不可能であるため，総当たり攻撃は脅威とはならない．総当たり攻撃に対して，暗号のアルゴリズム上の欠陥を利用し，効率的に鍵を探索する方法をショートカット攻撃と呼ぶ． • 識別攻撃ストリーム暗号のキーストリームが真性乱数系列であれば，そのストリーム暗号はワンタイムパッドと等価となり安全性は保証される．識別攻撃はキーストリームと真性乱数系列を識別，すなわちストリーム暗号の擬似乱数生成器が発生する乱数が真性乱数となりえないことを証明することで安全性の評価を行う攻撃方法である．識別図 4 LFSR 型と状態遷移型（a）LFSR型のストリーム暗号攻撃それ自体では暗号の安全性上，大きな脅威とはならでは LFSR の出力を非線形関数に通すことでキーストリームをないとも考えられる．しかし識別攻撃の研究を進めるこ生成する．（b）状態遷移型のストリーム暗号では内部状態そのとで，キーストリームの乱数性の偏りを利用した鍵回復ものをかくはんしキーストリームを生成する．攻撃や内部状態復元攻撃へ発展する可能性がある． LFSR から得られるビット列を非線形関数に通すことでキーストリームを生成する手法であり，後者はレジスタ内の情報 • 出力予測攻撃をスワップ等でかくはんし，それら情報自体をキーストリー出力予測攻撃はキーストリームの一部の情報を利用して，ムとして出力する手法である．LFSR 型の代表的な暗号としキーストリームの他の部分を高い確率で予測する攻撃でて Snow 2.0（5），状態遷移型の代表的な暗号として RC4 が挙げある．出力予測攻撃が可能ならば，攻撃者は暗号化に使られる．用された平文の一部を推測するだけで，平文の他の部分一般にストリーム暗号はブロック暗号と比較して，アルゴの情報も取得することができる．リズム記述量，あるいは回路規模を小さくでき , また高速化が可能である．しかしながら，その安全性に関する議論はブ • 内部状態復元攻撃ロック暗号ほど進んでいない．ブロック暗号の研究において内部状態復元攻撃はキーストリームから擬似乱数生成器培われた評価手法をストリーム暗号に適用できる部分があるの内部状態を復元する攻撃である．ストリーム暗号はものの，その構造の相違から必ずしも同一に扱うことはでき PRGA で内部状態の情報のみを利用してキーストリームない．また，擬似乱数生成器を用いることから，乱数系列のを出力するため，攻撃者はある時刻の内部状態を復元で性質をもって評価尺度とする議論も存在するが，必ずしも十きれば，以降のキーストリームを全て知ることが可能と分ではない．高速かつ低消費電力な通信が望まれる中，ストなる．これより攻撃者はキーストリームと暗号文の排他リーム暗号が果たす役割は今後ますます増大すると考えられ的論理和をとり暗号文を解読できる．この攻撃手法は鍵る．それゆえ，暗号としての最も要求される性質である安全回復攻撃とともに非常に強力な攻撃手法である．性，及びその評価手法の開発が希求されている． • 鍵回復攻撃 2．3 ストリーム暗号に対する攻撃手法鍵回復攻撃はキーストリームから秘密鍵を効率良く回復する攻撃である．ストリーム暗号では暗号化復号に利用本節ではストリーム暗号の安全性評価を行う上で重要となする秘密情報は鍵のみに依存することが一般的であるたる代表的な攻撃手法を与える．め,鍵回復攻撃が成功すると攻撃者はその鍵によって暗号化された全ての暗号文を解読することができる．一般に • 総当たり攻撃鍵の全数探索未満の計算量（128 ビットの鍵ならば 2128 未攻撃者はすべての秘密鍵を候補として復号することに満）で鍵の回復が成功するとき，“暗号は解読された” といより，暗号文を解読することができる．このように鍵われる．ブロック暗号，ストリーム暗号とも，いかなるの全数探索を行う攻撃手法を総当たり攻撃（Brute Force 攻撃方法においても鍵の全数探索以上の計算量を必要と Attack）という．一般に現在の暗号は，鍵長を長く取るこするように設計することが必要条件となっている．したとによって，この攻撃に対して十分な安全性を持つようがって，鍵の全数探索未満の計算量で鍵の導出が可能なに設計されている．このため現在の多くの暗号は128ビッらば，その暗号は根本的な設計不良とみなされ，安全性ト以上の鍵長を有している．鍵長が 128 ビットである場の面で著しい欠点を持つと考えられる．合，攻撃者は総当たり攻撃で解読するために2128 個の鍵の候補を試さなくてはならない．しかしながら現在の計算本節ではストリーム暗号の特徴から攻撃手法を五つに大別 68 Fundamentals Review Vol.2 No.3 述できる（図 5）．また他のストリーム暗号同様，KSA に秘密鍵を入力することで内部状態を初期化し，PRGA に初期化した内部状態を入力することでキーストリームを生成する．そしてこのキーストリームと平文／暗号文との排他的論理和をとることで，RC4の暗号化復号処理は完了する． 3．2 RC4の安全性に関する研究動向 RC4 はそのアルゴリズムの公開以来，多様な視点からその安全性に関して研究が続けられている．しかしながら128ビットの鍵長で実装したRC4に対して，現実時間で鍵を導出できる攻撃は提案されていない．しかし識別攻撃や内部状態推測 STEP1：ポインタiの値をインクリメント攻撃，キーストリームから鍵の一部が推測可能となる弱鍵の STEP2：iの指す配列値をポインタjにインクリメント研究等は一定の成果を上げており，現在でも研究が盛んに行 STEP3：i，jの指す配列値を交換 STEP4：i，jの指す要素の和の配列値を出力われている．本節ではこれらの研究動向を解説する．図5． RC4のPRGA概要 RC4 に対する最も強力な識別攻撃は 2005 年に Mantin によ（9）した．これらは更に推測決定攻撃や相関攻撃等，より細別すり提案された攻撃手法である．RC4 は状態遷移型のストることが可能である（例：推測決定攻撃を用いた内部状態復リーム暗号であり，ポインタで示された二つのレジスタ値を元手法等）．スワップすることで内部状態を混ぜ合わせる．逆にいえばポインタに示されない限り，レジスタに格納された値は保持さ 3．RC4（Arcfour）れることを意味する．また RC4 ではキーストリーム 1 バイトの出力に最大でも三つのレジスタの値S[i]， S[j]， S[S[i]+S[j]] 3．1 RC4とはしか使用しない．すなわちポインタ i がまた同じレジスタを指すまでの時刻28 の間，この三つのレジスタの値がポインタ t t 8 RC4 は 1987 年に RSA Security 社の Ron Rivest によって開発に示されなければ，ある時刻と時刻 +2 のキーストリームされたストリーム暗号である．RC4 は開発当初からそのアルのバイトは高い確率で同一の値が出力される．すなわちキーゴリズムは非公開とされていたが，1994 年にインターネッストリームに偏りが生じ，その結果，真性乱数とRC4のキート上に RC4 と等価な処理を行うアルゴリズムが RSA Security ストリームを区別することが可能になる．Mantin によって提 26.5 社の承諾なく公開された．現在そのアルゴリズムは多くが知案された識別攻撃は 2 バイトのキーストリームを観測すれるところであるが，公式には RSA Security 社は RC4 のアルゴば確率 2/3 以上で成功する．更に Mantin はこの RC4 のキースリズムを現在でも公開していない．このため本章で解説するトリームに偏りが生じるという特性を利用した出力予測攻撃（9） t t 8 RC4はあくまでも RC4と等価な暗号化処理を行うストリームも提案している．先ほど時刻と時刻 +2 のキーストリー暗号“Arcfour（Alleged RC4）” である．ただし本稿では混乱をムのバイトが高い確率で一致すると述べた．すなわちある時 8 避けるためArcfourをRC4と呼ぶ．刻から 2 ずれた出力を高い確率で予測することも可能とな 45 RC4 の特長として非常に短いコードで記述できる点，ソフる．この攻撃ではキーストリームの2 バイトを観測した後に 50 トウェア上で非常に高速に動作する点等が挙げられる．サーそれ以外の 1 ビットを確率 0.85 で予測でき，2 バイトを観測バ・ブラウザ間通信の標準プロトコルである Secure Sockets した後にそれ以外の8ビットを確率0.82で予測できる． Layer（SSL） / Transport Layer Security（TLS）（6）や無線 LAN 用 RC4に対する最も有名な内部状態復元攻撃として，1998年のプロトコルであるWired Equivalent Privacy（WEP）（7），そのに Knudsen らによって提案された木探索を利用した攻撃が挙（10）後継である Wi-Fi Protected Access（WPA）（8）等，様々な標準げられる．後にこれは白石らによって木探索部分を深さ優規格に採用されている．先の探索を行う攻撃として改良され，内部状態の73バイトを 20 RC4 は 8 ビットから 2,048 ビットの間から鍵長を選択でき，知ることにより2 の計算量によって，高い確率で，残りの内（11）それより時刻ごとに 8 ビット単位でキーストリームを出力す部状態を推定し得ることが示された．木探索とは異なる内る．鍵長の安全なパラメータとしては 128 ビット以上が推奨部状態復元攻撃としては，Golić によって提案されたキーストされている．RC4 の内部状態は 2n 個の要素を持つ配列と 2 個リームを入力とする事後確率の繰返し計算に基づく内部状態（12）のポインタから構成されており，要素とポインタはそれぞれ復元攻撃が挙げられる．またこの手法は前述した木探索に n ビットの変数である．ここで n は可変の値であり，一般的基づく方法と併用することが可能であり，大東らは実際に二に n=8 が採用される．RC4 の KSA，PRGA はスワップ処理をつの方法を併用することで更に内部状態復元攻撃を改良して（13）中心としたアルゴリズムであり，共に非常に短いコードで記いる．また著者らは KSA 終了時の一部の内部状態に対する復元可能な割合及び復元できる内部状態のバイト数につい Fundamentals Review Vol.2 No.3 69 て考察している（14），（15）．えいすることを利用している．104 ビットの秘密鍵を FMS 攻 RC4 に対する鍵回復攻撃としては弱鍵を利用した Roos の撃で復元するためには約 400 万から 600 万の暗号化パケット攻撃が有名である．Roos は鍵の 1 バイト目 K[0] と 2 バイトを観測する必要がある．FMS 攻撃への耐性を有するために，目 K[1] が (K[0]+K[1]) mod 256 = 0 の条件を満たす鍵におい無線 LAN 機器を扱うベンダの製品では WEPplus と呼ばれるて，鍵の 3 バイト目 K[2] が 1/22.85 の確率でキーストリームか技術を採用している（19）．この技術は FMS 攻撃に用いられるら得られることを示した（16）．この弱鍵を対象にした攻撃で weak IV をフィルタリングして取り除くことで，安全な IVのは，1/210.85 の確率で秘密鍵の 16 ビット分を復元できることにみをWEPで用いる方法である．なり，効率的な鍵の復元が可能となる．この弱鍵を用いた攻 2007 年，Tews らによって，IV によらず高速に 104 ビット撃は（K[0]+K[1]） mod 256 = 0を満たす鍵をスキップするといの秘密鍵が導出できることが示された（20）．この攻撃は PTW う単純なフィルタリングパターンによって防ぐことが可能で攻撃と呼ばれる（著者の並び順では TPW 攻撃と呼ぶところである．あるが，Tews自身からPTW攻撃と記するよう要望）．この攻著者らは Roos らと異なる方法で弱鍵を定義し，それらを撃は 2006 年に Klein によって発表された鍵回復攻撃（21）を発展用いた秘密鍵探索法を提案している．この攻撃ではキーストさせたものである．しかし，PTW攻撃には大量のARPパケッリームから内部状態を復元する方法と内部状態から秘密鍵をトが必要となるため，現実的な時間で攻撃を成功させるため回復する方法をそれぞれ組み合わせることで，弱鍵の一部をには，アクセスポイントに対して不正アクセスを行い，大量回復する．この手順によって復元可能な弱鍵の具体例は文献

Load more