| 講演名 | 2009-07-03 ハッシュ関数Lesamnta-256における差分攻撃耐性の評価について(セキュリティ関係,一般) 五十嵐 保隆, 金子 敏信, |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | 次世代ハッシュ関数SHA-3の候補であるLesamnta-256を取り上げ、その構成要素である攪拌関数と鍵スケジュール関数の差分特性を解析し、差分攻撃耐性を検討する。攪拌関数は4系統一般化Feistel構造32段で構成される。各段における非線形関数Fは64ビット入出力である4層のAES型SPN構造をなす。S層は最大差分確率2^<-6>である8ビットS-boxの8並列構成であるが、鍵加算は1層目に存在するだけである。提案者は、4層全てに独立鍵加算が存在するとしてアクティブS-box数を数え、差分攻撃耐性を評価しているが、本稿では実際のF関数構造に即した評価を目指す。F関数の2層分を等価変形し16ビット入出力の拡大S-box(XS)を使えば、F関数は2層のSPN構造で表すことができる。XSの最大差分確率は、2^<-11.415>であり、この値は全ての層に独立鍵加算があるとしてアクティブS-box数で評価した最大差分特性確率2^<-18>より遙かに大きい。さらにHongらの手法で求めた鍵平均最大差分確率の上界2^<-12>よりも大きい。また、攪拌関数全体に対しトランケーション評価を行い、少なくとも15個のアクティブF関数が有ることが解った。これによりF関数の最大差分確率が2^<-256/15>=2^<-17.067>以下であれば、256ビット程度の安全性を満たすと言える。最後に鍵スケジュール関数については差分解読に対して安全であることを示す。 |
| 抄録(英) | We focus on the cryptographic hash algorithm Lesamnta-256, which is one of the candidates for the new hash algorithm SHA-3. Lesamnta-256 consists of the Merkle-Damgard iteration of a compression function. The compression function consists of a mixing function and a key scheduling function. The mixing function consists of the 32 rounds of the four-way generalized Feistel structure. There is a nonlinear function F with 64-bit input/output on each round, which consists of the 4 steps of AES type of SPN structure. A subkey is XORed only at the first step of SPN. We analyze the security of these components of Lesamnta as is, although the designers analyzed its security by assuming that the subkey is XORed at every step of SPN. We show that the 2 steps of SPN referred to as XS have the maximum differential probability 2^<-11.415>. This probability is greater than both of the differential characteristic probability 2^<-18> and the differential probability 2^<-12> derived under the independent subkey assumption. On the strength of whole compression function, we show that there are at least 15 active F functions in the mixing function. As the input bit width of the mixing function is 256, we can say that it is secure against differential attack if the maximum differential probability of F function is less than 2^<-256/15>=2^<-17.067>. Finally we show that the key scheduling function is secure against differential cryptanalysis. |
| キーワード(和) | Lesamnta / 差分解析 / 高階差分 / SHA-3 / ハッシュ関数 |
| キーワード(英) | Lesamnta / differential cryptanalysis / higher-order differential / SHA-3 / hash function |
| 資料番号 | ISEC2009-28,SITE2009-20,ICSS2009-42 |
| 発行日 |
| 研究会情報 | |
| 研究会 | SITE |
|---|---|
| 開催期間 | 2009/6/25(から1日開催) |
| 開催地(和) | |
| 開催地(英) | |
| テーマ(和) | |
| テーマ(英) | |
| 委員長氏名(和) | |
| 委員長氏名(英) | |
| 副委員長氏名(和) | |
| 副委員長氏名(英) | |
| 幹事氏名(和) | |
| 幹事氏名(英) | |
| 幹事補佐氏名(和) | |
| 幹事補佐氏名(英) | |
| 講演論文情報詳細 | |
| 申込み研究会 | Social Implications of Technology and Information Ethics (SITE) |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | ハッシュ関数Lesamnta-256における差分攻撃耐性の評価について(セキュリティ関係,一般) |
| サブタイトル(和) | |
| タイトル(英) | On the strength evaluation of Lesamnta against differential cryptanalysis |
| サブタイトル(和) | |
| キーワード(1)(和/英) | Lesamnta / Lesamnta |
| キーワード(2)(和/英) | 差分解析 / differential cryptanalysis |
| キーワード(3)(和/英) | 高階差分 / higher-order differential |
| キーワード(4)(和/英) | SHA-3 / SHA-3 |
| キーワード(5)(和/英) | ハッシュ関数 / hash function |
| 第 1 著者 氏名(和/英) | 五十嵐 保隆 / Yasutaka IGARASHI |
| 第 1 著者 所属(和/英) | 東京理科大学理工学部 Faculty of Science and Technology, Tokyo University of Science |
| 第 2 著者 氏名(和/英) | 金子 敏信 / Toshinobu KANEKO |
| 第 2 著者 所属(和/英) | 東京理科大学理工学部 Faculty of Science and Technology, Tokyo University of Science |
| 発表年月日 | 2009-07-03 |
| 資料番号 | ISEC2009-28,SITE2009-20,ICSS2009-42 |
| 巻番号(vol) | vol.109 |
| 号番号(no) | 114 |
| ページ範囲 | pp.- |
| ページ数 | 6 |
| 発行日 | |