Miyaji Laboratory

近年, 情報通信技術は急速な発展を遂げ, 現代社会において必要不可欠なものとなっている. 特に, イン ターネットの普及により膨大な量のデータが日々送受信されるようになり,セキュリティの重要性が一層増 している. データの機密性,完全性,可用性の保持において,暗号技術は欠かせない役割を果たしており,そ の中でもストリーム暗号は高速にデータを暗号化する手段として注目されている. ストリーム暗号の一つで あるSalsa20は, TLS1.3に選定されたChaChaの前身であり, その安全性解析は重要な課題となっている. Salsa20 は, bit 加算，巡回シフト及び排他的論理和のみを用いた暗号で, 解析手法では入力に差分を加える 差分解析と線形近似式を利用する線形解析がよく知られている. また,近年では差分解析と線形解析を組み 合わせた差分線形解析と呼ばれる解析手法が提案されている. 差分線形解析では，解析の計算量の評価に線 形近似式のバイアスである線形バイアスの理論値を評価に用いる. このため,差分線形解析では,実験値を 詳細に反映する線形バイアスの理論値の導出が重要である. Salsa20に対する識別攻撃で最も強力な結果は Contiho らによって提案されており, 8ラウンドのSalsa20が2^215.62の計算量で攻撃が可能であることが示 されている. この識別攻撃は5ラウンドの差分解析と6-8ラウンドの線形解析で構成され,6-8ラウンドの 線形近似式の線形バイアスが2⁻³⁴であることが証明されている. ここで6－8ラウンドの線形近似式は4 つの部分線形式から構成されるが,4つの部分線形式のうち3つの式の理論値は実験値との差がかなり大き く, 最も大きいもので|(理論値-実験値)/理論値|が3.028となることが報告されている. しかしながら,その 理由についてはこれまでわかっていなかった. 本研究では,該当の線形近似式を改良し,より詳細に実験値 を反映する理論値を新たに提案する. 我々の導出した理論値を用いると, |(理論値-実験値)/理論値|が3.028 から0.057となり. 実験値をより厳密に近似していることがわかる．