宇根正志*

1. AES検討開始に至るまでの経緯

2. AESの候補となるアルゴリズム募集に関する発表

1. AES検討開始に至るまでの経緯

（1）AESが満たすべき要件

（2） AESの評価基準

（3）AESの公募・審査手順

NISTが1月2日の発表内容に対して一般からコメントを募集した結果、暗号学者、技術者や金融関係者等から25通のコメントが寄せられた¹⁴。本節では、これらのコメントの内容を整理する。

（1）寄せられたコメントの内容

（2）AESの評価基準

�@安全性（解読の困難性）

安全性は最も重要な評価基準として位置付けられる。安全性の高さを判断する方法として、（i）同一の鍵長とブロック長の下で解読の困難性について他の候補のアルゴリズムと比較する、（ii）そのアルゴリズムによって暗号化されたデータと、平文データをランダムに転置したデータとの間の類似性を評価する、（iii）そのアルゴリズムの安全性のベースとなっている数学的な根拠を評価する、（iv）アルゴリズムの評価プロセスの中で指摘された安全性に関する問題点があれば、それも評価項目として考慮する、といった方法が挙げられている。

�Aコスト

コストについては、（i）ライセンス要件、（ii）処理速度、（iii）実装に必要なメモリー容量を考慮して評価するとされている。

ライセンス要件については、AESとして認定されるアルゴリズムはロイヤリティ・フリーの取り扱いが可能かどうかが評価対象となる。処理速度に関する評価は、ソフトウェアで実装する場合とハードウェアで実装する場合の両方のケースにおいて行われるが、技術的評価第一ラウンドにおいては鍵長とブロック長をそれぞれ128 bitとした場合の処理速度が測定され、技術的評価第二ラウンドにおいては鍵長128 bitとブロック長128 bitの組み合わせ以外の組み合わせで処理速度が測定される。この２つのラウンドにおける測定結果が評価対象となる。また、実装に必要となるメモリー容量については、ハードウェアに実装する場合には必要となるゲート数²³が、ソフトウェアに実装する場合にはRAMの容量が評価対象として利用される。

�Bその他のアルゴリズムの特徴

その他の評価基準とされるアルゴリズムの特徴として、（i）様々なアプリケーションへの利用可能性、（ii）ハードウェアやソフトウェアへの適用性、（iii）構造の単純性、が挙げられている。

様々なアプリケーションへの利用可能性については、例えば、ATMネットワークや衛星通信等のアプリケーションでも利用可能かどうか、ストリーム暗号、メッセージ認証コード（MAC）、疑似乱数生成装置やハッシュ関数等にも利用可能かどうか等について評価される。ハードウェアやソフトウェアへの適用性に関しては、そのアルゴリズムがハードウェアにのみ実装可能である場合等、用途が制限されていないかどうかについて評価される。

（3）アルゴリズムに関する知的所有権の取り扱い

AESとして認定されたアルゴリズムは、ロイヤリティ・フリーの扱いとされる。この方針に沿って、NISTは、アルゴリズムの特許所有者やアルゴリズムを実装したアプリケーションの特許所有者に対して、「アルゴリズムがAESとして認定された場合、そのアルゴリズムの使用はロイヤリティ・フリーとする」旨を明記した約定書の提出を要求している。

（4）今後のアルゴリズム評価・選定スケジュール

今後のアルゴリズムの評価・選定のスケジュールは以下の表１の通り。

　

表１：今後のアルゴリズム評価・選定スケジュール

フェーズ	作業内容等
�@候補となるアルゴリズムの募集（締め切り日：1998年6月15日）	提出資料に不備がないかどうかをチェックし、暗号輸出規制と整合的な形ですべてのアルゴリズムを公開し、一般からのコメントを募集する。
�A第一回AES候補コンファレンス（日程：1998年夏、具体的な日程は未発表）	候補の暗号アルゴリズムの提案者がアルゴリズムの説明を行い、コンファレンス参加者からコメントを得る。
�B技術的評価第一ラウンド	NISTは、第一回のコンファレンスで得たコメントを参考にして候補のアルゴリズムの強度および弱点等を評価し、満たすべき要件を満足しているかどうかをチェックする。アルゴリズムの絞り込みも行う。
�C第二回AES候補コンファレンス（第一回コンファレンスの約６か月後開催予定）	NISTによる技術的評価第一ラウンドの評価に関して議論するほか、候補アルゴリズムの一層の絞り込みを行う際の留意点について検討する。
�D技術的評価第二ラウンド	NISTは、安全性、処理速度やアルゴリズムの知的所有権に関してより詳細に検討を行い、候補のアルゴリズムを５つ以下に絞り込む。NISTは、絞り込まれた候補アルゴリズムを公表し、それらに対するコメントを募集する。
�E第三回AES候補コンファレンス（技術的評価第二ラウンドの結果発表の６〜９か月後に開催予定）	技術評価第二ラウンドのNISTの選定に対し、一般からのコメントを集約するとともに、アルゴリズムの一層の絞り込みについて検討する。
�FNISTによる最終選定	NISTは、AESの候補となるアルゴリズムを決定し、一般からのコメントを募集する。

DESからAESへの移行について、NISTは、「DESの標準暗号見直しが行われる1998年12月までには、AESの選定プロセスは終了しないと考えられる。したがって、アルゴリズムの移行をいかに円滑に進めるかについては、今後関係者と協議しつつ決定する」としている。また、技術的評価の２つのラウンドの概要は以下の通り。

　

�@技術的評価第一ラウンド

評価第一ラウンドでは、主に（i）鍵長とブロック長の組み合わせの利用可能性、（ii）提出されたアルゴリズムの処理結果の正確性、（iii）処理速度が検証される。

鍵長とブロック長の組み合わせの利用可能性については、鍵長、ブロック長とも128 bitに設定し、実際にデータの暗号化が可能かどうかが検証される（これら以外の組み合わせでの利用可能性は第二ラウンドで検証される）。また、アルゴリズムの処理結果の正確性については、予め提出されたサンプルデータを実際にそのアルゴリズムのプログラムを使って暗号化し、その暗号化データと予め提出されたサンプルデータの暗号化データが一致するかどうかが確認される。処理速度の検証では、鍵長、ブロック長をそれぞれ128 bitに設定した場合、暗号鍵のセットアップ、暗号鍵の変更や、暗号化・復号化にそれぞれどの程度の時間がかかるのかが測定される。

− NISTがアルゴリズムの評価に利用するパソコンは、200MHzのIntel Pentium Pro Processorと64MB RAMを搭載し、OSとしてWindows95がインストールされているIBM PC互換機とする。またコンピューター言語としては、C言語とJavaが利用される。

�A技術的評価第二ラウンド

評価第二ラウンドでは、鍵長とブロック長の組み合わせが192-128 bitと256-128 bitの場合の（i）利用可能性と（ii）処理速度が検証される。処理速度に関しては、アルゴリズムのセットアップ、暗号鍵のセットアップ、鍵の変更、暗号化および復号化の処理速度を計測し、評価する。

6. 今後の展望

NISTが発表した募集要項によって、AESの候補となるアルゴリズムは共通鍵ブロック暗号に限定されたほか、その鍵長、ブロック長についても明らかにされた。そこで、現在ISOの暗号アルゴリズム登録制度²⁴に登録されている１４の暗号アルゴリズムのうち、アルゴリズムの詳細な仕様が公開されている方式の中で、候補となるアルゴリズムの要件を満足するものがあるかどうかを調べてみる（表２参照）。まず、登録アルゴリズムの中で詳細な仕様が公開されている共通鍵ブロック暗号は７つ存在するが、その中で鍵長が128 bit以上のアルゴリズムは、IDEA、MULTI2、FEALとMISTY1の４つである。しかし、いずれもブロック長が64 bitとなっており、現時点でISOに登録されているアルゴリズムのうち、AESの要件をすべて満足するアルゴリズムは存在せず、仮にこれらのアルゴリズムを利用するとしても改造を加える必要があると考えられている。

　

表２：ISOに登録されている暗号アルゴリズム

	暗号アルゴリズム名	アルゴリズムの公開の有無	登録日	提案者（開発者）	鍵長とブロック長
					鍵長	ブロック長
共通鍵ブロック暗号	IDEA	公開	1993年5月10日	スイス･Ascom･Tech社	128 bit	64 bit
	DES	公開	1994年9月5日	米・NCS25（IBM社）	56 bit	64 bit
	CDMF	公開	1994年10月29日	米・IBM社	40 bit	64 bit
	Skipjack	非公開	1994年10月31日	米・NSA	80 bit	64 bit
	RC2 Symmetric Block Cipher	非公開	1994年10月31日	米・RSA Data Security社	可変	64 bit
	MULTI2	公開	1994年11月14日	日・日立製作所	256 bit	64 bit
	FEAL	公開	1994年11月14日	日・NTT	128 bit	64 bit
	SXAL/MBAL	公開	1995年10月23日	日・ローレル･インテリジェント･システム社	64 bit	可変
	MISTY1	公開	1996年11月27日	日・三菱電機	128 bit	64 bit
	ENCRiP	非公開	1997年2月12日	日・日本電気	64 bit	64 bit
その他	B-Crypt	非公開	1992年8月19日	英・British Telecom社	（ストリーム暗号）
	LUC Public-Key Cryptosystem & Digital Signature	公開	1994年7月20日	ニュージーランド・LUC Encryption Technology 社	（公開鍵暗号）
	RC4 Symmetric Stream Cipher	非公開	1994年10月31日	米・RSA Data Security社	（ストリーム暗号）
	BARAS	非公開	1995年8月18日	フランス・ETSI26	（詳細不明）

（注）水色がかかっているアルゴリズムは、詳細な仕様が公開されている共通鍵ブロック暗号である。

　

また、これらの既存のアルゴリズムとは別に、例えばDESの原形を開発したIBM社等が新しい暗号アルゴリズムを応募する可能性もある。

NISTが発表したアルゴリズム選考スケジュールによれば、応募されたアルゴリズムの１つがAESとして正式に認定されるまでに、１年以上の時間が必要となることがわかる。しかし、AESが、アルゴリズムの強度に対する高い信頼を得て、実際に幅広い分野で利用されるようになるためには、AESの標準化終了後さらに数年はかかると考えられる。こうしたAESを巡る動きについては、将来金融分野におけるデータ暗号化手段にも大きな影響を与えると考えられるため、今後も注目していく必要があろう。

　

以 上

　

---

【脚注】

　

¹米国政府標準暗号は、米国連邦政府内で利用されるコンピューターシステムに関する標準規格FIPS（Federal Information Processing Standards）の一部であり、DESはFIPS 46-2に指定されている。なお、FIPSはNISTによって作成されており、「ソフトウェアに関する標準・ガイドライン」や「ハードウェアに関する標準・ガイドライン」など７つのカテゴリーに分類される。DESが規定されているFIPS 46-2は、「コンピューターセキュリティに関する標準・ガイドライン」に分類されている。

² NBS（National Bureau of Standard）は、米国内における科学技術全般の標準規格を策定する政府機関であった。1988年から、NIST（National Institute of Standards and Technology）と名称変更されている。
³ 差分解読法は、1990年に暗号研究者のBiham（イスラエル科学技術研究所＜通称テクニオン＞）とShamir（イスラエル・バイツマン研究所）が考案した解読法で、ある特定の差分を持つ一組の平文のペアに対して、特定の差分を持つ暗号文のペアが生じる確率が高くなる場合に、それらの平文と暗号文のペアに基づいて暗号鍵を推測する方法である。
⁴ 線形解読法は、1993年に三菱電機・情報技術総合研究所の松井充氏（共通鍵ブロック鍵暗号MISTYの考案者の１人）が考案した方法で、平文と暗号文のいくつかのbitの排他的論理和が暗号鍵のいくつかのbitの排他的論理和と等しくなる確率が0.5から乖離する場合に、この乖離を最大にする線形の近似式を構成して暗号鍵を推測する方法である。
⁵ 例えば、線形解読法によって、12台のワークステーションを使って50日で解読できたという研究結果が報告されているほか、タイムメモリートレードオフ法（予め暗号文と鍵の対応が分かるような索引表を作成しておき、暗号文入手後短時間で鍵の探索を可能にする解読法）を利用することにより、専用解読装置の開発費用を除けば、数時間程度での解読が現実的な費用で実施できる可能性も別の研究結果によって示されている。
⁶ NBSは、1977年にDESを標準暗号として認定した時に、DESが強度等の観点から標準暗号として適格かどうかを1983年から5年ごとに再評価（re-certification）することとしており、これまで3回（1983年、1988年、1993年）の再評価が行われ、いずれもDESが標準暗号として認定されている。
⁷ ANSI（American National Standards Institute）は、米国内の技術標準を策定する民間の標準化機関であり、ISO（International Organization for Standardization）の米国代表である。X9は、金融機関における情報システム技術の標準規格を策定する委員会である。
⁸ NISTについては、脚注2を参照。
⁹ 発表内容は、NIST[5]に掲載されている。
¹⁰ 共通鍵ブロック暗号は、共通鍵暗号とブロック暗号の両方の性質を兼ね備えた暗号方式である。共通鍵暗号とは、暗号化と復号化に同じ鍵を利用する暗号方式であり、ブロック暗号とは、暗号化するデータをある一定の長さのブロックに分割し、すべてのブロックを同じ鍵で暗号化する方式である。
¹¹ DESをはじめ多くのブロック暗号は、鍵長とブロック長が固定されている。この要件は、実装するアプリケーションに応じて鍵長を変更することができるように、アルゴリズムを設計することを意味している。
¹² この要件は、AESが、専用チップによって暗号化・復号化の高速処理が可能となるアルゴリズムであると同時に、プログラムと汎用チップによって安価に実装することも可能となるアルゴリズムでなければならないということを意味している。
¹³ この要件は、AESのアルゴリズムを使用する場合に特許使用料等を支払う必要がないことを意味している。したがって、AESのアルゴリズムに特許が存在する場合、その特許所有者はAESの利用に対する特許使用料を請求しないことを表明しなければならない。なお、DESに関しては、DESの特許（U.S. Patent Number 3,962,539＜出願日1975年2月24日＞）を所有していたIBM社がロイヤリティ・フリーでのDESの使用を容認すると表明したことについて、FIPS 46-2に明記されている。
¹⁴コメントの全文は、NIST[6]に公開されている。
¹⁵ Ronald Rivest氏は、RSA暗号の発明者の一人である高名な暗号学者。共通鍵ブロック暗号のRC5の発明者でもある。
¹⁶ TIS（Trusted Information System）社は、米国Maryland州Glenwoodを本拠とする情報セキュリティ製品の有力なベンダー。暗号ソフトウェアの開発サポート、ファイヤーウォール製品の製造・販売やコンサルタント業務を行っている。
¹⁷ ストリーム暗号は、暗号化するデータの各ブロック（1〜数bit単位）に対応する鍵の系列（鍵ストリーム）を生成し、暗号化するデータの各ブロックとそれに対応する鍵ストリームの排他的論理和を計算することにより暗号化する方式である。データの処理速度に関しては、一般的には、専用チップを利用することによってブロック暗号よりも高速処理が可能になるといわれている。
¹⁸ Netcom社は米国California州Sun Joseを拠点としているインターネット・プロバイダー。
¹⁹ Cindy Fuller氏は、米国銀行協会の職員で、ISO/TC68（国際標準化機構の金融専門委員会）とANSI X9の事務局長を務めている。
²⁰ 反町亨氏は、三菱電機・情報技術総合研究所において、暗号アルゴリズムの開発に従事している研究者。
²¹ RSA Laboratoriesは、RSA Data Security社の研究所で、暗号研究や暗号ソフトウェアの開発、コンサルタントを行っている。RSA Data Security社は、米国California州San Franciscoを本拠とする有力暗号ベンダーであり、公開鍵暗号方式のRSA暗号や、共通鍵暗号方式のRC2、RC4やRC5を実装した暗号製品を供給している。
²² AESの募集要項は、NIST[7]に公開されている。
²³ ゲートは、電子回路のパーツの１つで、入力端子に与えられた入力信号を論理演算によって処理し、その結果を出力端子から出力する機能をもつ。
²⁴ ISOの暗号アルゴリズム登録制度は、情報セキュリティ技術の標準化を担当するISO/IEC JTC1/SC27（以下、SC27）が、暗号化機能を有する製品の流通性を高めるために、1991年にその登録手続きをISO/IEC 9979 Information technology - Security techniques - Procedures for the registration of cryptographic algorithms に定めたことから発足した。アルゴリズムを登録するためには、アルゴリズムのISOエントリー名、固有の名称、適用範囲（データの秘匿、認証等）、入出力のパラメーター等９つの必須項目と４つの選択項目を登録機関（現在、英国 National Computing Centre）に報告する必要がある。ただし、アルゴリズムの詳細な仕様を報告する義務がないため、データ処理過程が十分公開されていないアルゴリズムも登録の対象となるほか、登録機関等によるアルゴリズムの強度評価は登録手続きに盛り込まれていない。
²⁵ NCS（National Communications System）は、米国防総省の下部組織の１つで、主として災害等の非常時における政府の情報通信ネットワーク確保のために、政府の情報通信インフラの整備や関連技術の標準化等の役割を担っている。
²⁶ ETSI（European Telecommunications Standards Institute）は、418のヨーロッパ各国の標準化組織や企業によって構成される、情報通信技術に関する標準化団体。

---

【参考文献】

[1]Kusuda, K. and T. Matsumoto, "A Strength Evaluation of the Data Encryption Standard," IMES Discussion Paper Series 97-E-5, Institute of Monetary and Economic Research, Bank of Japan, August 1997.

[2]Menezes, A. J., P. C. Oorschot and S. A. Vanstone, Handbook of Applied Cryptography, CRC Press, 1997.

[3]Morita H., "Registration and Standardization of Cryptographic Algorithms in the SC 27 Committee," Workshop on Design and Evaluation of Cryptographic Algorithms, Nov 27, 1996.

[4]National Institute of Standards and Technology, "Data Encryption Standard（DES）," Federal Information Processing Standards Publication（FIPS PUB）46-2, December 13, 1993.

[5]National Institute of Standards and Technology, "Announcing Development of a Federal Information Processing Standard for Advanced Encryption Standard," （URL: http://csrc.nist.gov/encryption/aes/aes_fr1.txt）, January 2, 1997.

[6]National Institute of Standards and Technology, "AES Comments（e-mail）," （URL:http://csrc.nist.gov/encryption/aes/comments.txt）, April, 1997.

[7]National Institute of Standards and Technology, "Announcing Request for Candidate Algorithm Nominations for the Advanced Encryption Standard（AES）," （URL:http://csrc.nist.gov/encryption/aes/aes_9709.htm）, September 12, 1997.

[8]Schneier, B., E-mail Security, John Wiley & Sons, Inc., 1995.

---

【別添】 FRBによるTriple-DES評価に関するプレス・リリース

　

For Release:	Contact:
April 2, 1997	Joe Elstner, St. Louis - (314) 444-8902 Sandra Conlan, San Francisco - (415) 974-3231 Gwen Byer, Richmond - (804) 697-8105

Federal Reserve is Evaluating Triple DES

ST. LOUIS--The Federal Reserve is evaluating an advanced application of the Data Encryption Standard (DES), known as Triple DES, to protect data that are transmitted electronically between the Federal Reserve Banks and between the Federal Reserve and financial institutions. Federal Reserve officials said that if the new standard proves effective, an announcement about actual implementation can be expected in early 1998.

The Federal Reserve is an active participant in the X9 committee of the American National Standards Institute (ANSI), which is completing a standards document for Triple DES. "Our active role in developing improved data security techniques, of which Triple DES is one component, helps provide assurance that transactions with the Federal Reserve will continue to be safe and secure from cryptographic crime," said Bruce J. Summers, director of automation resources for the Federal Reserve. "This year we will be testing Triple DES and working on an implementation plan, coordinating with vendors of encryption products and our customers."

The Federal Reserve currently uses DES to secure electronic information and will spend the next several months completing its analysis of Triple DES. "Triple DES significantly increases data security because it invokes DES three times," Summers said. "With each iteration, it is possible to use a different encryption key value, which results in a longer overall key value that is far more resistant to attack." Certain Triple DES operating modes are also compatible with the Fed's current DES implementations, which will ensure a smoother transition for Federal Reserve customers.

The Fed is also following a National Institute of Standards and Technology (NIST) project to develop an advanced encryption standard to eventually replace DES. Summers believes that, while the Fed should closely monitor such activities and study other options being developed, it must be at the forefront of data security implementations and be prepared to use Triple DES to provide continued security until a new standard is ready. "Our evaluation of Triple DES is a continuation of the Fed's efforts to ensure that the highest levels of security are applied to Federal Reserve operations and payment services," said Summers.