パスワードを忘れた? アカウント作成
3942 story
暗号

AESとSerpentに理論的な弱点(かも) 17

ストーリー by Oliver
brute-forceよりゃマシなぐらい 部門より

Excel 曰く、 "このニュースがタレコミがされてないようなので初めてですが書いてみます。私が入っている某MLで最初知ったものなのですが、どうやらAESとSerpent暗号がCIS曰く弱点があるとCISのニュースレターに掲載(Internet Watch)されたそうです。AESは米国政府が2000年にDESの後継機として承認しているものであり、両暗号はSSH2などで利用可能な暗号なので今後が気になる所です。(参考:OpenSSH 情報)"

Crypto-Gramによる要約とリンク集が数学的な暗号解析の現状とジレンマについてよくまとめていて興味深い。もっとも保守的で強力と言われているSerpentに脆弱性がみつかり、AESにも同じ構造上の問題があるかもしれない、ということで暗号コミュニティはショックを受けているみたいだが、実際に解読される可能性は現在の計算能力ではまだまだとても非現実的なので、パニクる必要はなさそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 違和感が (スコア:2, 参考になる)

    by nackey (3237) on 2002年09月21日 18時37分 (#169881)
    このInternet Watchの記事の表現には凄く違和感を感じます。
    AESは、さまざまなアルゴリズムを公開の場で競わせた結果採用されたものと、そのコンペティションそのものの両方を指す言葉のように思われます。
    AESは最終的には「Rijndael」を採用していますから、これは正確には「Rijndaelアルゴリズムに弱点がある」とすべきなんじゃないですかね?
    さすがに採用時の記事 [impress.co.jp]の時にはRijndaelとAESの区別がついていますが、ライターも異なることですし、単純にライターの認識不足なんじゃないかと思うんですが、どうでしょう?
    • 別に何の違和感も何も感じませんけど。 既に AES (= rijndael) は定着していると思いますし、 あの Bruce Schneier 氏も単に AES と呼んでますしねぇ。 今 DES を開発コードネームで呼んだらむしろ変でしょ?
    • by Anonymous Coward
      RijndaelはAESでしょ? Advanced Encryption Standard。何の意和感もありませんが。コンペティションを"AES"なんて呼ばれたら混乱してしまう。
    • by Anonymous Coward
      > AESは、さまざまなアルゴリズムを公開の場で競わせた結果採用されたものと、そのコンペティションそのものの両方を指す言葉のように思われます。

          それは違うと思いますが。件の文書で使われている「AES」という言葉は米国の政府調達仕様(=FIPS-197)としての標準暗号という意味ですよね。*現時点では*Rijendaelのアルゴリズムがそのまま取り込まれているので、両者が一致している。と考えた方がいいと思います。

      > AESは最終的には「Rijndae
  • by zeissmania (3689) on 2002年09月21日 19時13分 (#169893)
    どんなに強固と思われている暗号化アルゴリズムでも、計算機の計算速度が上がれば弱いと言われるようになるのでしょうね。
    ちょうどSUNが楕円曲線暗号の実装コードをOpenSSLプロジェクトに提供 [zdnet.co.jp]というニュースと時期が重なったのは、偶然?
    • Re:弱点?? (スコア:2, 参考になる)

      by Vorspiel (2391) on 2002年09月21日 22時22分 (#169951) ホームページ
      Crypto-Gramに曰く、
      • 暗号学者は、「brute-forceよりゃマシ」な方法が見つかった(今回のケース)なら、現実的な時間では破れなくても「攻撃方法が見つかった」と言う
      • エンジニアは、「(少なくとも数年以内には)現実的に破れる」なら「攻撃方法が見つかった」と言う
      のだそうで。
      だから、計算機の速度が上がった場合、「brute-forceよりゃマシ」な攻撃方法が見つかっているSerpentやRijndaelは、brute-forceで破るしかない方式よりも先にヤバくなる、というだけのことでしょう。
      ま、我々一般ユーザは当面は心配しなくてよいのでは。計算機の性能が上がってきて現実的にヤバくなってくる頃には、次の方式が提案されるなり何なりするだろうし。
      親コメント
    • 共通鍵暗号を取り巻く現状と課題 DESからAESへ [boj.or.jp](日本銀行金融研究18巻2号) PDFファイル

      少し古い論文ですがDESの基本原理から、共通鍵暗号の解読方法、AES候補となったそれぞれの暗号についての簡単ですが広範な解説が載ってます。

      DES暗号化アルゴリズムの詳細 [shadowpenguin.org]

      上よりももう少し詳しいDESの暗号化アルゴリズムの詳細な解説で、非常にわかりやすいです。AESはDESの延長上ではないですが・・・。

      DESのクラック:暗号研究と盗聴政策、チップ設計の秘密 [genpaku.org]

      前述の日銀論文にも出てくるEFFがDESクラッカーと呼ばれるシングルDES暗号の全数解析を専用に行うハードウェアを製作し、98年に56bitシングルDES暗号を56時間で解読した時のDESクラッカーの設計方法に関するEFFの論文で、山形浩生氏による翻訳です。

      AES概説 [nitech.ac.jp]

      AES(Rijndael)暗号化アルゴリズムの解説でわかりやすい内容です。

      DES に代わる Rijndael (ラインダール) [ibm.com]

      同じくLarry Loeb氏によるAES(Rijndael)暗号化アルゴリズムの解説で、上のものよりも一般的ですがAESの背景に関して説明が加えられています。最後のあたりの参考文献にはより詳しいリンクがあります。

      サイモン・シン『暗号解読』(新潮社) [amazon.co.jp]

      一般向けの暗号史で、古典的な暗号から公開鍵暗号の詳細で平易な解説が載っています。量子暗号のところはちといただけないかも
      親コメント
    • まるっきりの偶然。
      ていうか、このニュースは計算速度の向上とは何の関係もない。
      しかも楕円曲線暗合は公開鍵暗合で AES は共通鍵暗合。
      はぁ... 馬鹿ばっか。
      • by Anonymous Coward
        しかも楕円曲線暗合は公開鍵暗合で AES は共通鍵暗合
         今回の記事がどうであるかは別として、一般に「楕円曲線はにゃはにゃ暗号」てのは、暗号化の計算過程で楕円曲線上の有理点に関する群を用いたと云う意味の修飾語であって、その暗号系が公開鍵が秘密鍵かは関係ないです。
        • by Anonymous Coward
          楕円共通鍵暗号ってあるんですか? ふつう、楕円暗号といわれると公開鍵暗号を連想しちゃう人 多いと思うんだけど...
      • 上記、じっくり読まないと何を言っているか判らなかった:^_^;

        誤:暗合 => 正:暗号

        って言ってるだけです。
        時間を無駄にして悔しい思いをする人が俺一人ですむように:笑
        っていうか、俺と、上記の記事にはやめに(-1)をお願い!
        内容がゴミ過ぎ…。
    • by Anonymous Coward

      どんなに強固と思われている暗号化アルゴリズムでも、計算機の計算速度が上がれば弱いと言われるようになるのでしょうね。

      せめて P とか NP とかが何を意味するか、そして現在使用されているアルゴリズムがどこに位置するかくらいは勉強してみたらどうでしょう。

      住基ネットとかウィンドウズや IE な

  • by Anonymous Coward on 2002年09月22日 9時54分 (#170168)
    インターネット経由でアクセスできる論文は、これ。 一応、教えておく。 http://eprint.iacr.org/2002/044.pdf
  • by Anonymous Coward on 2002年09月22日 12時30分 (#170208)
    Twofish, RC6, MARSには弱点は見つかっているんでしょうか? OpenSSLがRijndael以外のAES Round 2 Finalists [nist.gov]を実装する気配が全く無いので気になっているんですが。
typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...