2211123 第2章　情報セキュリティを支える基盤の動向（抜粋）2.8 その他の情報セキュリティ動向2.8.3 暗号技術の動向

2211123 第2章　情報セキュリティを支える基盤の動向
（抜粋）
2.8 その他の情報セキュリティ動向
2.8.3 暗号技術の動向

本項では 2021 年度における、共通鍵暗号、公開鍵
暗号及び実装攻撃に関する研究動向についてそれぞれ
解説する。
（1）共通鍵暗号に関する研究動向
2021 年度は、2020 年度に引き続き、共通鍵暗号に
関する解読について大きな進展はなかったものの、既存
の暗号アルゴリズムへの攻撃について、攻撃に必要な
計算量の削減等の進展があった。ここでは主な発表を
紹介する。
AES ※ 360 については、二つの暗号解析論文が注目
される。一つ目は、Eurocrypt 2021で、AES鍵スケジュー
ルに対する新しい表現とそれを活用した AES-128 に対
する不能差分攻撃（impossible-differential attacks）の
改善を報告した。INDOCRYPT 2010 で報告された攻
撃、及びその亜種が今までの最善の攻撃であったが、
本提案手法はそれよりも約 2.3 倍計算量を改善している。
この論文は Eurocrypt 2021 Best paper awardを受
賞した。二つ目は、同じくEurocrypt 2021 にて、
AES128 ハッシュモードの 8 段に対する最初の攻撃を報告し
た。これは、攻撃探索問題を混合整数線形計画法に
おける制約条件のもとでの最適化問題に変換すること
で、攻撃の探索範囲を拡大し、より攻撃に有効な経路
を発見できることを利用している。このように、AES に対
する攻撃は 2021 年度も進展は見られたが、セキュリティ
マージンはまだ十分にあり、AES の安全性に直ちに影
響を与えるものではない。
その他の暗 号については、Eurocrypt 2021 で、
ARX（Addition, Rotation, and XOR）ベースの暗号に
対する差分線形解析の改良が発表された。ストリーム暗
号の一種であるChaCha ※ 361 がこのタイプに属し、研
究結果として、時間計算量が 251、データ計算量が 251
となるラウンド数 6 の ChaCha に対する攻撃が発表され
た。この結果は、CRYPTO 2020 で発表された今まで
最良の攻撃計算量（時間計算量 277.4、データ計算量
258）よりも大きく削減され、攻撃が進展したことを示してい
る。ただ、ChaCha20 のラウンド数 20 にはまだマージン
があり、早急な対策が必要となるものではない。
（2）公開鍵暗号に関する研究及び標準化の動向
公開鍵暗号の一種であるRSA ※ 362 については、部
分的に秘密鍵が分かっている場合の新規の素因数分解
アルゴリズム（Partial Key Exposure Attack） が
Asiacrypt 2021 において提案された。素因数分解す
る数をNとして、今までは CRT-RSA 指数※ 363 のサイ
ズが N0.122 以下のときの多項式時間攻撃が提案されてい
たが、本攻撃は CRT-RSA 指数の最下位ビット（LSB：
Least Significant Bit）の部分的な知識を仮定して、サ
イズがN0.122 以上N0.5 以下の場合の攻撃を実現している。
また、RSA への攻撃方法を報告するSchnorr 氏の
査読前論文に関連して、格子理論を用いた素因数分解
についての講演が、PKC 2021 にて行われた。この
Schnorr 氏の攻撃方法は直ちに RSA の危殆化につな
がらないことは、既に専門家の間で暗黙の了解として共
有されているものの、格子によるRSA の解析アプローチ
自体は重要な研究であるため、今後も動向を注視すべ
きである。
NIST による、量子計算機による解読に耐性を持つ
暗 号「 耐 量 子 計 算 機 暗 号（PQC：Post-Quantum
Cryptography）」 の 標 準 化 では、NIST PQC 3rd
Standardization Conference ※ 364 において、NIST は
「格子に基づかない汎用的電子署名スキームに関心が
ある」とした上で、第 3ラウンド終了後、新たな提案募
集を行う予定を明らかにした。応募期間は 6ヵ月から1
年の予 定であり、特に構 造 付き格 子（structured
lattice）以外の汎用的電子署名スキームに興味を示して
いる。第 3ラウンドにおけるセレクションは未だ継続中で
あり、更に続く第 4ラウンドもまた 12 ～ 18ヵ月かけて行
われる見通しである。最終的な標準化については、
2024 年に最終版を提出する予定であるという。
（3）実装攻撃に関する研究動向
暗号実装に対する攻撃には、消費電力や処理時間
等のサイドチャネル情報から暗号鍵等の秘密情報の復
元を試みるサイドチャネル攻撃や、IC チップに一時的な
誤動作を起こさせることによって暗号鍵等の秘密情報の
暴露を試みる故障利用攻撃等が存在する。
CPU の脆弱性を利用した具体的な暗号実装に対す
る攻撃として、RAS（Return Address Stack）を利用し
たサイドチャネル攻撃が発表された※ 365。
CPU には、処理速度を向上させるための様々な機構
が実装されているが、その実装の脆弱性を突いた攻撃が
近年注目されている。分岐予測※ 366 や投機的実行※ 367
の実装の脆弱性を突いた攻撃として 2018 年ごろに発見
された Spectre ※ 368 が有名である。最近の CPU には、
分岐予測・投機的実行による処理速度向上を更に改
するために、サブルーチンからのリターン命令における戻
り先アドレスの予測機構も組み込まれ、そのためにリター
ンアドレスをCPU 内のバッファに保存するRASという仕
組みも実装されている。今回発表された攻撃は、この
RAS に注目し、悪意あるプロセスが RAS のバッファを
埋め尽くすことによってキャッシュミスを誘発し、タイミング
攻撃※ 369を行うことで秘密鍵の推測につなげるものであ
る。実際に OpenSSL による楕円曲線 P-256を使用した
ECDSA ※ 370 の署名生成に対する攻撃が有効であるこ
とも示している。この攻撃は CPU の様々な処理速度高
速化手法が攻撃対象となり得ることを示しており、CPU
のセキュリティには今後とも注視が必要である。
その他にも、ECDSA に対する攻撃として、テンプレー
ト攻撃※ 371 の一種であるOnline Template Attack に
関する論文※ 372 が発表されている。Online Template
Attack は、テンプレート生成のための暗号演算の実行
回数が少なくても実行できるように改良した攻撃である。
以前の研究では理論的な攻撃可能性のみ検討されてい
たが、今回の発表では具体的な暗号実装である
libgcrypt、mbedTLS、wolfTLS に対する適用可能
性を示している。

所感
勉強不足で、
Libgcrypt：C言語のライブラリー
mbedTLS：TLS／SSLライブライリー
wolfTLS：