Miyaji Laboratory

ディジタル社会の進展にともない，送受信されるデータの秘匿性，完全性，可用性の確保は必要不可欠 である．情報セキュリティは秘匿性, 完全性, 可用性を実現する技術である．特に，秘匿の実現に利用さ れる技術が暗号鍵と復号鍵が同じである共通鍵暗号と，暗号鍵と復号鍵が異なる公開鍵暗号である．共通 鍵暗号は公開鍵暗号に比べて，データ処理速度が高速であり，大量データの秘匿に不可欠な技術である． ChaChaは共通鍵暗号の一つであり，IETFが標準化した暗号化通信プロトコルである．また，TLS1.3に唯 一採用されているストリーム暗号である. ChaChaは，2004年に提案されたストリーム暗号Salsa20の拡散 性と暗号解析への耐性の改良版として，2008年に提案された．ChaChaに対する解析手法はQuaterRound Fuction(QRF) において，バイアスの高い入出力ビットを用いる差分解析からさらにバイアスの高い線形 式と組み合わせる差分線形解析により全体のバイアスを改善する手法，そして，QRFを2つのSubRound Function(SRF) に分解し，SRFの観点からさらにバイアスの高い線形式を導出して差分線形解析に適用す るものなどが挙げられる．このような差分線形解析においては，Coutinhoらにより7ラウンドが2²¹⁴の計 算量で基づく識別攻撃が可能であるという結果が報告されている．識別攻撃の計算量は差分解析と線形解 析にかかる計算量から導出される．特に，線形解析は1つの線形式を複数の部分線形式に分割し，それぞれ 部分線形式のバイアス（線形バイアス）を理論的に構築するとともに，実験的に理論値を検証することが 行われる．上述の7ラウンドの結果を導出した線形式の理論バイアスは2⁻⁵³であり，これは4つの部分線 形式I-IVから導出される．そのうち2つは理論値が実験値を適切に反映しているが，残りの2つのII,IIIの 理論値は実験値よりはるかに小さいことが報告されている．具体的には，2つの部分線形式II, IIIのバイア スの理論値は2⁻¹⁴, 2⁻¹⁵だが，理論値と実験値の誤差である実験値/理論値は，3.227, 4.554となる．線形 式の理論評価の修正については，Nybergらにより，SNOW2.0のケースがされているがChaChaについて はこれまでに全く報告されていない．本研究では，これらの部分線形式II,IIIを厳密に見直し，もっと厳密 な理論式を構築した．本研究により部分線形式II, IIIの理論バイアスは，5²·3⁻²·2⁻¹⁴, 3⁻³·2⁻⁸となるこ とが理論的に証明した．本理論式と実験値の誤差である実験値/理論値は1.189，0.943となる．この結果か ら，我々により導入された理論式は実験式をより厳密に反映していることがわかる．部分線形式の理論値の 改良により，上記7ラウンドの識別攻撃に利用される線形式の理論バイアスは5²·3⁻⁵·2⁻⁴⁶に改良される． 本研究で導出された3－7の線形式の理論バイアスでは，著者の知る限り，最も高い線形バイアスとなる．