2009年5月24日 (日) 14:19時点における版編集 Yukida-R (会話 \| 投稿記録) 拡張承認された利用者 23,095 回編集 m 表現の小修正、リンク追加、-stub ← 古い編集		2009年6月6日 (土) 02:20時点における版編集取り消し池田尚隆 (会話 \| 投稿記録) 236 回編集編集の要約なし新しい編集 →
6行目: :<math>E_k^{-1}(E_k(m))=m</math> を満たす（''m''は任意のブロック）ようになっている(ただし、KASUMIのように復号が定義されていないブロック暗号もある。)。暗号化アルゴリズムの入力ブロック、復号アルゴリズムの出力ブロックは平文、暗号化アルゴリズムの出力ブロック、復号アルゴリズムの入力ブロックは暗号文という。任意サイズの平文を扱うために、[[暗号利用モード]]が用意されている。ブロック暗号は確定的暗号であり、鍵を一つ固定すると、同じ平文は必ず同じ暗号文に暗号化される。すなわち、同じ暗号文があった場合、そのブロックの平文は同じであるという情報が漏れてしまう。暗号利用モードでは、このような問題を解決する機能も持つ。ブロック長Nbは64bitや128bitが代表的である。暗号アルゴリズムによっては、ブロック長をパラメータで指定でき、ブロック長を変えられるものもある。 38行目: Hierocrypt-L1 -CRYPTREC [[MULTI2]] - ARIB限定受信方式 ** [[KASUMI]] - [[3GPP]] [[W-CDMA]]および[[GSM]]用の暗号 * 128bit ** [[AES暗号\|AES]] -ISO/IEC_18033, CRYPTREC, NESSIE 50 ⟶ 51行目: == 安全性 == === 計算量的安全性 === ブロック暗号はもとより鍵長<math>n</math>ビットに対して<math>2^n</math>の[[計算量的安全性]]以上の安全性を有しない。すなわち、鍵の[[全数探索]]で必ず解読可能である(平均解読計算量は半分の<math>2^{n-1}</math>となる)。これは、ブロック暗号の鍵長を定める際に最も重要な要素の一つであり、現在DES (56ビット) が推奨されないのもその鍵長の短さが原因のひとつである。 58 ⟶ 59行目: ブロック暗号アルゴリズムの弱点を用いて鍵の全数探索以下の計算量で鍵(の一部)を求める手法を総称してショートカット法と呼ぶ。ショートカット法には多くの種類があるが、ここでは代表的なものを列挙する。 * [[差分解読法]]（差分暗号解読） [[:en:Differential cryptanalysis]] (Biham,1989) 不能差分暗号解読 Impossible Differential Attack [[切詰差分解読法]] Truncated Differential Attack [[高階差分解読法]] Higher Order Differential Attack * Square攻撃 Square Attack ブーメラン攻撃 [[:en:Boomerang attack]] 補間攻撃Interporation Attack (Jakobsen, Knudsen, 1997) *** 線形和攻撃 Linear Sum Attack (Aoki, 1999) * [[線形解読法]]（線形暗号解読） [[:en:Linear cryptanalysis]] ([[松井充\|Matsui]],1993) 差分線形攻撃 [[:en:Differential-linear attack]] 切詰線形攻撃 Truncated Linear Attack * スライド攻撃 [[:en:Slide attack]] (David Wagner,Alex Biryukov,1999) * カイ2乗攻撃 <math>\chi^2</math> Attack * mod n攻撃 [[:en:Mod n cryptanalysis]] * XSL攻撃 [[:en:XSL attack]] 195 ⟶ 196行目: ;1987年～1991年 :1987年に[[日本電信電話\|NTT]]の清水明宏<!--（現:[[高知工科大学]]）-->と宮口庄司<!--（現:[[芝浦工業大学]]）-->により [[FEAL]] が発表された。FEALは8ビットCPU上のソフトウェアで高速に実行することを意図して、算術加算およびシフトを非線形関数として採用していた。1991年にEli Bihamと[[アディ・シャミア]]により[[差分解読法]]が発表され、FEALは差分解読法によって効率的に解読できることが判明した（DESの開発者は設計時には既に差分解読法を知っていて、設計する際に[[Sボックス]]を変更し差分解読法に対処していたことが後に明かされた）。<ref name="coppersmith"> {{cite journal \|last = Coppersmith \|first = Don \|year = 1994 \|month = May \|title = The Data Encryption Standard (DES) and its strength against attacks \|journal = IBM Journal of Research and Development \|volume = 38 \|issue = 3 \|pages = 243 \|url = http://www.research.ibm.com/journal/rd/383/coppersmith.pdf \|format = PDF }}</ref>）。 ;1992年～1995年 :1992年に[[三菱電機]]の[[松井充]]により[[線形解読法]]が発表され、1993年～1994年にかけてDESの解読と実験が行われた。1995年に線形攻撃法と差分攻撃法に対して[[証明可能な安全性\|証明可能安全性を持つ暗号]]を有する暗号として MISTY1およびMISTY2 が発表された。その後、様々な攻撃方法の開発と線形差分特性などを指標とする安全性評価の研究が進んだ。 ;1997年～2001年 :計算機とネットワークの進化を背景に、全数探索によるDESの解読可能性を示すために、1997年に[[RSAセキュリティ\|RSAセキュリティ社]]がDESチャレンジを企画、96日後に鍵が発見された。1998年にはハードウェアによる鍵探索専用機 DES cracker が開発され、DESの鍵を56時間で探索した。1997年に次世代暗号([[AES暗号\|AES]])の制定準備(公募)が始められると共に、1999年にはAESができるまでの中継ぎとして[[トリプルDES\|TripleDES]]が制定された(FIPS PUB 46-3)。2001年11月にAESが制定された。また、ヨーロッパでは[[NESSIE]]、日本では[[CRYPTREC]]といった標準化プロジェクトが実施された。 ;2002～ :AESや、CRYPTREC, NESSIEの標準暗号とは別に、ある種の特殊用途に特化したブロック暗号の設計が研究されている。[[FPGA]]やICチップで実装した際に回路規模や実行速度が最適化されることを意図して設計された[[CLEFIA]]等があげられる。また、実装されたハードウェアやソフトウェアに対する攻撃([[サイドチャネル攻撃]])も活発になった。 == 参考文献 == <references/> == 関連項目== * [[ストリーム暗号]]

「ブロック暗号」の版間の差分