名古屋大学大学院工学研究科計算理工学専攻の岩田哲准教授、同専攻の院生大橋佳祐、NECの峯松一彦主任研究員のグループはこのほど、国際標準の認証暗号化方式「GCM」の安全性保証に欠陥があることを突き止め、その欠陥を取り除き、GCMの安全性保証を修復することに成功したと発表した。

GCMはNIST推奨の認証暗号化方式であり、内部でブロック暗号と呼ばれる共通鍵暗号要素技術を用いている。研究ではこのブロック暗号に欠陥がないと理想化した場合にGCMの安全性保証の一部を覆す具体的な攻撃方法の開発に成功した。

理想化したGCMに対して、開発した攻撃方法の成功確率はGCMの安全性保証が正しければ80×2-128以下であるはずなのに対し、実際はこの許容範囲を超える94×2-128以上になり、GCMの安全性保証に欠陥があることが示された。

この攻撃方法の成功確率は無視できるほど小さい確率で、現実的な脅威ではなく、理論的な攻撃方法となり、理想化していない現実のブロック暗号を使用したGCMに対する安全性の保証とは矛盾せず、設計者の安全性の主張の一部を覆すのみとなる。

また、初期値と呼ばれる入力データが96ビットに限定されている場合は攻撃ができず、多くの標準では計算効率の観点からGCMの初期値を96ビットに限定して使用するように規定、あるいは推奨されている。一方、開発した攻撃方法はGCMのこれまでの安全性保証の理論的裏付けが無効であったことを示しているという。

さらに、今回開発した攻撃方法の改良によって、今後現実的に脅威となるような攻撃方法が開発される可能性がゼロではないことを示唆するとともに、GCMの安全性はそもそも数学的に保証できるのか、という未解決問題が存在することを示している。

これらの問題に対して、同グループは欠陥を取り除き、仕様を変更することなくGCMの安全性を数学的に保証することに成功したほか、初期値を96ビットに限定した場合はより高い安全性を保証することに成功した。

研究の成果は、GCMの設計には改良の余地があることを示しており、本研究で得られた成果・知見を設計にフィードバックすることによって、より高い安全性を有する認証暗号化方式を設計することが期待される。