Miyaji Laboratory

近年，情報通信技術の急速な発展に伴い，情報が容易に入手可能になる一方で，情報通信の安全性を支える暗号技術の重要性が高まっている. データの機密性，完全性，可用性の保持に必須な暗号技術の中でも、共通鍵暗号は高速なデータ処理を可能とする．共通鍵暗号の一種である ChaCha は，IETF が標準化した暗号化通信プロトコル TLS1.3 に採用されており，世界中で安全性解析に関する研究が行われている．ChaCha の解析手法として，入出力差分間の確率バイアスに着目する差分解析や，差分解析に状態遷移前後
のビット集合間の関係を表す線形近似式を組み合わせた差分線形解析が挙げられる．Countinho らは，3-6ラウンドと 6-7 ラウンドにおける 4 つの線形近似式におけるバイアスを実験的に求め，計算量が 2^214 の識別器を提案した．ここで 3-6 ラウンドの線形近似式は 3-5 と 5-6 ラウンドの線形近似式を，6-7 ラウンドの線形近似式は複数の線形式を結合して導出された．Bellini らは 3.5-7 ラウンドの線形近似式を用いて計算量が 2^169.89 の識別器を提案した．上記の結果において，6.5 ラウンドまでの線形式や識別器は報告されていなかった．また Dey らは，既存の ChaCha に対する識別器データ計算量が攻撃者が実際に利用できる上限を超過していると指摘した．この指摘に基づくと，Coutinho らの結果は計算量が 2^51 の 6 ラウンド識別器が最良の結果となり，Bellini らの結果は無効となる．本研究では，Coutinho らと Bellini らの識別器について計算量と最大解析ラウンド数を再評価する．はじめに，2 つの連続加算に対して新しい 3 種類のキャリー近似式を導出した．Coutinho らの 5-6, 6-7 ラウンドの線形近似式に上記の 3 種類のキャリー近似を適用することで線形バイアスの精緻化を実現した．次に Coutinho らの 3-6 ラウンドを再検討し，新たなキャリー近似式を適用して 6.5 ラウンドまでの線形近似式を導出することで計算量 2^109.75 の 6.5 ラウンド識別器を提案した．次に，Bellini らの識別器を再評価した．線形パートには上記のキャリー近似式を適用した 6.5ラウンド識別器の計算量は 2^105.82 と求められた．我々はさらに差分パートにおいて複数の差分パスを考慮してバイアスを導出することで計算量を 12 ％削減し，計算量が 2^105.64 の 6.5 ラウンド識別器を新たに提案した．