CLEFIA
ブロック暗号
From Wikipedia, the free encyclopedia
CLEFIA(クレフィア)は、ソニーが開発した共通鍵ブロック暗号である。ブロック長は128ビットで、鍵長は128ビット、192ビット、256ビットに対応する。2007年に公表され、軽量暗号の一種として国際的な評価と標準化が進められた。[2][3]
| 一般 | |
|---|---|
| 設計者 | ソニー |
| 初版発行日 | 2007年 |
| 認証 | CRYPTREC(推奨候補) |
| 暗号詳細 | |
| 鍵長 | 128、192、または256ビット |
| ブロック長 | 128ビット |
| 構造 | Feistel構造 |
| ラウンド数 | 18、22、または26 |
| 最良の暗号解読法 | |
| An improbable differential attack requiring 2126.83 chosen plaintexts breaks 13 rounds with a complexity of 2126.83 encryptions for the key size of length 128 bits (Tezcan, 2010).[1] Similar attacks apply for 14 and 15 rounds of CLEFIA for the key sizes 192 and 256 bits, respectively. | |
CLEFIAは、リソース制約のある機器でも実装しやすい軽量暗号として設計された一方、ソフトウェア実装とハードウェア実装の双方で高い効率を目指している。RFC 6114 は、CLEFIAを AES と互換的なインターフェースを持つ128ビットブロック暗号と位置づけている。[2]
概要
背景
設計
CLEFIA は、データ処理部に 4 分岐の generalized Feistel network を、鍵スケジュールの一部に 8 分岐の generalized Feistel network を用いる。RFC 6114 は、128ビット鍵では 4 分岐構造、192ビット鍵および256ビット鍵では 8 分岐構造を鍵スケジュールに適用すると説明している。[2]
ソニーの設計合理文書によれば、CLEFIA は security、speed、cost for implementations の三者の均衡を設計目標としている。また、CLEFIA は Diffusion Switching Mechanism(DSM)を採用した最初のブロック暗号であり、差分攻撃と線形攻撃に対する耐性の向上を図っている。[7]
同文書はさらに、CLEFIA の F 関数が 4 分岐 generalized Feistel 構造によりコンパクトに実現され、2つの F 関数を並列に処理できるため、高効率なハードウェア実装に適していると説明している。一方で、小さな F 関数に起因する拡散速度の不利は、DSM の導入によって補われる。[8]
RFC 6114 は、CLEFIA が 0.13μm 標準 CMOS ASIC ライブラリで約 3 Kgates 以内に実装可能であると述べており、多くの軽量暗号が安全性または速度を犠牲にしがちな中で、CLEFIA は 128/192/256ビットの安全水準とソフトウェア・ハードウェア両面の高性能を両立させることを狙ったとしている。[2]
標準化と評価
CLEFIA の仕様は 2011年に RFC 6114 として公開された。RFC 6114 は CLEFIA のアルゴリズム仕様を記述する文書である。[2]
また、CLEFIA は ISO/IEC 29192-2 の軽量暗号ブロック暗号部に採択されている。ソニーは 2012年、CLEFIA が ISO/IEC 29192 の一部として国際標準規格に採択されたと発表した。ISO の現行ページでも、ISO/IEC 29192-2:2019 は PRESENT、CLEFIA、LEA の3方式を軽量ブロック暗号として規定している。[9][10]
日本の暗号技術評価プロジェクト CRYPTREC においては、CLEFIA は現行の「e-Government Recommended Ciphers List」ではなく、「Candidate Recommended Ciphers List」の 128ビットブロック暗号として掲載されている。[11]
RFC 6114 は、CLEFIA の公開以降、公的な検討が進められてきたが、文書公開時点までに重大な安全性上の弱点は報告されていないと述べている。[2]