Flipper Chip --- 家庭暗号 (インターネット報告)

要約: 文献[1]においてFlipper Chipと呼ばれる新たな暗号装置が提案された。この装置は暗号が必要となるどんな家族やグループでも利用可能である。この暗号はDropJillアルゴリズムに基づいている。本論文では、Flipper Chipの概要と知られている任意の攻撃に対して基となっているDropJillアルゴリズムが安全であることを示す。

はじめに

今日いまだに成長しつつある平和主義者により、息子や娘がガールフレンドやボーイフレンドなどの他の子供たちと親の知識を必要とせず秘密通信を行える暗号化装置の必要性が増している。

Flipper Chipを用いると、息子や娘が他の子供との秘密通信を可能にする一方、犯罪に巻き込まれるおそれのある場合は通信内容を傍受できる。

文献[1]でFlipper Chipと呼ばれる新たな暗号装置が提案された。この装置は暗号が必要となるどんな家族やグループで利用可能である。この暗号はDropJillアルゴリズムに基づいている。本論文でFlipper ChipとDropJillアルゴリズムの概要を示す。

さらに本論文によりDropJillは知られている任意の攻撃[4,8,2]に対して安全であることを示す。

Flipper Chip

Flipper Chip [1]はDropJill、ID番号、合法的に暗号化された成人制御部分 (legal encrypted adult control field; LEAC) を内蔵する耐タンパーな暗号装置である。 LEACは通信の始めに計算され、子供の鍵と装置のID番号を含み、それらはすべて家族鍵で暗号化されている。家族鍵は秘密裏に両親によって選ばれFlipper Chipに設定される。通信文はLEACと子供たちの鍵によりDropJillで暗号化された文章によりなる。

両親はLEACにより子供たちの鍵を次の手順により回復できる。家族鍵によりLEACは復号され子供たちの鍵と装置のID番号が導出される。次に子供たちの鍵により*犯罪的な*文章が復号される。 LEACの中にあるID番号が本質的である。誤って入手したメッセージが お母さんがサンタクロースとキスをしているのを見た といったような潜在的な災難が起きたときを想像せよ。

家族鍵は両親がそれぞれ独立に選んだランダムな80ビットの排他的論理和により生成されるべきである。これにより、離婚といったような場合、片親では子供たちの文章を捕捉できないことが保証される。

DropJill

DropJillは64ビットブロック長のブロック暗号アルゴリズムである。このアルゴリズムは80ビットの鍵を用い、複雑な非線形変換を32回繰り返す。 DropJillは本質的には[5]で提案され非常に良くできた16段のアルゴリズム 復号暗号化要素 (Decryption-Encryption Primitive (DEP)) を非常に賢い鍵スケジュールと共に2回実行することに等しい。

80ビットの鍵は40ビットの値u₁とu₂に分割され、それらは24ビットの独立かつランダムに選ばれたr₁とr₂と結合することにより64ビット鍵に拡張される。
設計者により任意の場合に対し乱数値は一度だけ次に様に選ばれた。

r₁=123456_x r₂=fedcba_x

段鍵RK_i (i=1,2)は次のように定義される

RK₁ = u₁|r₁
RK₂ = u₂|r₂

[1, Lemma 19]により、鍵RK_iはu₁とu₂が独立かつランダムに選ばれた場合またはそのときに限り、独立かつランダムである。
[1]では、この鍵拡大法を鍵成長法よ呼んでいる。
DropJillの暗号化関数は

E(P, RK₁, RK₂) = C = DEP^-1_RK₂ (DEP_RK₁ (P))

と定義される。同様に復号関数は

D(C, RK₁, RK₂) = P = DEP^-1_RK₁ (DEP_RK₂ (C))

と定義される。

このことから暗号化と復号アルゴリズムは段鍵の役割を入れ換えることにより等価となる。

DropJillはDEP用の4つの操作ムード、 Electronic Code Book (ECB) Moode, FeedBack Input (FBI) Moode, Ciphertext Addition (CIA) Moode, the Cipher Block Chaining (BAD) Moode でも使える。

次の章では、DropJillが賢いアルゴリズムであり、DEPの良い点をすべて継承し、DEP設計時[2]にすべての攻撃が知られていたにも関わらずDEPに発見されたすべての軽微な弱点[4,8]をかわしていることを示す。

DropJillの安全性解析

秘密鍵暗号アルゴリズムには本質的に2種類の攻撃法、つまり、全数探索と、短絡法がある。

全数探索では、攻撃者は既知平文が既知暗号文に一致するまですべての可能性のある鍵を試す。そのような鍵は秘密鍵である可能性が高い。この攻撃は心身摩耗攻撃(exhausting key search attack)とも呼ばれる。

短絡攻撃では、攻撃者はアルゴリズム中に見つかった弱点を利用し、全数探索より短い時間で鍵を見つける。秘密鍵アルゴリズムに対して最もよく知られた攻撃は補能力と週間鍵を利用した攻撃に基づく M. A. Hibileにより紹介された異解析[4] と、Matt Suiにより紹介されたSui表攻撃 である。以下では5つの攻撃それぞれについてDropJillの脆弱性を確認する。

心身摩耗攻撃

DropJillのために選ばれた80ビットの鍵は全数探索を不可能にしている。数十億ドルの非現実的な高速超並列多メガバイトの機械により約1年ですべての鍵を試せるかもしれないが、率直にいって一体何人の子供(か親)が資金準備できるんだろう。

異解析 (Different Cryptanalysis)

異解析[4]は秘密鍵アルゴリズムを解析するのに強力な手法である。この方法は平文組のある差が対応する暗号文の差について変化が生じない、かまたは異なってある平文に対して暗号文の差が平文の差と独立に生じるという事実を利用する。言い替えると、攻撃者が選んだ平文の差は何も差を生じさせない。これは劇的に鍵探索時間を削減する。 [4]により2⁴⁷個の異なる平文を用いてDEPの秘密鍵を見つける方法が示されている。

我々はDropJillアルゴリズムを検証し、異解析を使った攻撃は不可能であることを発見した。なぜならばDropJillはDEPを2回使っているので、攻撃を成功させるためには少なくとも2⁴⁷×2⁴⁷=2⁹⁴個もの異なる平文を必要とするからである。 2⁶⁴個しか異なる平文は存在しないので、この攻撃は不可能である。

Sui表攻撃 (Sui-Table attack)

表攻撃は秘密鍵アルゴリズムを解析するのに強力な手法である。この攻撃は暗号文単独攻撃に過ぎないが、非常に効果的である。平文情報源に由来する最も一般的な単語の表を作ることにより、あり得る平文の全数探索は劇的に減少する。

この方法は、情報の冗長性が通常非常に高い政府機関からの暗号化された文書を破る際には非常に便利であると証明されている。家庭環境においては、しかしながら、状況は若干複雑であり、Sui表攻撃は子供から来た暗号文に対しては全く働かないように見える。単語の綴はしばしば間違っていたり、さらに同じ単語が毎回異なった綴で記されたりするからである。

補能力 (Complement Ability)

DEPは平文と鍵を反転させると暗号文の反転が得られるという性質がある。つまり

DEP_K(P)=C ⇒ DEP_K(P)=C

我々はDropJillにはこの補能力がないことを確認した。与えられた鍵u₁とu₂から得られたDEPの鍵とその反転値は

RK₁=u₁|r₁, RK₂=u₂|r₂
RK^*₁=u₁|r₁, RK^*₂=u₂|r₂

我々はランダムな鍵と平文で2³²回の実験をYMCAにあるグレイ計算機で行ない、DropJillが補能力を持っていないことを発見した。

週間鍵 (Week keys)

DEPの週間鍵はD. McDonaldsにより[6]で報告された。これらの鍵を使った複数の暗号化はおよそ7日で開始点に戻ることが明らかになった。これらの鍵は7日鍵と[6]で呼ばれていたが、すぐに週間鍵と改名された。

その後[2]でRon Clippersmithはこの現象が生じる真の理由を与えた。それは週間鍵から生成される16個の段鍵はすべて等しいことにより、復号が暗号化と一致する。 D. McDonaldsが開始点に戻るのはすべての計算が手動で行なわれることにより約一週間かかることが明らかになった。

我々はDropJillが週間鍵を持たないことを調べた。 2つのDEP鍵は(少なくとも)下位24ビットが必ず異なるという事実から鍵全体が一致し得ないことが保証される。従って、どの鍵も暗号化鍵に一致しない。さらに我々はすべて「0」の鍵と「1」の鍵について調べ、これらは週間鍵でないことを発見した。

その他のテスト

[7]でDEPは葡萄(grape)であるかどうかがテストされた。その後、効果的な(fruitful)解析がこれはその場合でないと示された[3]。この問題は、2つの連続したDEP、つまりDropJillが葡萄かどうかということから生じた。我々はDropJillを味わい、それは葡萄でないことを発見した。

まとめ

Flipper ChipからDropJillアルゴリズムまですべての既知攻撃に対し安全であると結論づける。これは政府利用だとしても強力過ぎるかもしれない。このような目的のためにはDragmad-Kermle弱化と共にBADムードを利用することを推奨する。

謝辞

我々はNeil S. Andersonに、我々がFlipper Chipの機密部分を見ることを許可したことに感謝したい。サンクスNeil, ol' chap。

文献

[1] Neil S. Anderson. The Flipper Chip - Family encryption. Classified document.
[2] Ron Clippersmith. We knew about all attacks. Internal Report.
[3] Ron Clippersmith. No, DEP is not a grape. Answer.
[4] Maurix A. Hibile. Different Cryptanalysis. The Journal of Craptology.
[5] International Bogus Messages, Ltd. The Decryption-Encryption Primitive. To appear.
[6] Davies McDonalds. The seven day keys of DEP. Private communications.
[7] Don Rivers et al. Is DEP a grape? Question.
[8] Matt Sui. Table Attacks. Proceedings from IXXU 1993.

(0,0) 246e4b4612430940 f49f86bae6816777 b62721a8b02e81c1 b71b47a61eb5df3e