NECと名古屋大学(名大)は8月17日、国際標準の認証暗号化方式「GCM(Galois/Counter Mode:ガロア/カウンタ・モード)」 の安全性保証に欠陥があることを突き止めたほか、突き止めた欠陥を取り除き、GCMの安全性保証を修復することに成功したと発表した。同成果は名大大学院工学研究科計算理工学専攻の岩田哲准教授、同専攻の大橋佳祐大学院生、NEC峯松一彦 主任研究員らの研究グループによるもので、詳細は米国カリフォルニア大学サンタバーバラ校2012年8月19日から23日に開催される国際会議「CRYPTO 2012」にて発表される予定。

GCMは、2004年に設計されたデータの暗号化と認証を同時に行うための認証暗号化方式と呼ばれる暗号技術。高い計算効率と安全性が数学的な証明によって保証されていると考えられてきたことから、NIST(米国商務省標準技術局)やIEEE、ISO/IEC などが進める多くの標準化プロセスにおいて採用されてきた経緯を持ち、NSA(米国国防総省国家安全保障局)での利用や、インターネット上のデータの保護など、世界中で日常的に利用されている。

GCMでは現実的な計算量の攻撃方法に対し、その成功確率がある限界値以上にはならないことを数学的に証明することで、安全性を保証している。GCMに対する攻撃方法の開発は、その安全性を検証し、そして理解するうえで重要な研究課題であり、これまでにいくつかの攻撃方法が提案されてきたが、これらの攻撃方法の成功確率はGCMが許容する限界値以下であったため、その安全性保証を揺るがすものではなかった。そのためGCMの安全性は数学的な証明によって保証されており、そこに欠陥はないものと考えられてきた。

GCMは内部で「ブロック暗号」と呼ばれる共通鍵暗号要素技術を用いている。今回の研究ではまず、このブロック暗号にまったく欠陥がないと理想化した場合に、GCMの安全性保証の一部を覆す具体的な攻撃方法を開発した。具体的には理想化したGCMに対して、開発した攻撃方法の成功確率はGCMの安全性保証が正しければ80×2-128以下であるはずなのに対し、実際はこの許容範囲を超える94×2-128以上になった。したがって、この攻撃方法はGCMの安全性保証に欠陥があることを示すものとなったのである。

同攻撃方法の成功確率は無視できるほど小さい確率であって (94×2-128 ≈ 2.76×10-37)、したがって現実的な脅威ではなく、理論的な攻撃方法だと研究グループでは説明する。また、理想化していない現実のブロック暗号を使用したGCMに対する安全性の保証とは矛盾せず、設計者の安全性の主張の一部を覆すのみであるほか、初期値と呼ばれる入力データが96ビットに限定されている場合は攻撃ができないが、多くの標準では計算効率の観点からGCMの初期値を96ビットに限定して使用するように規定、あるいは推奨されているという。

一方で、今回開発した攻撃方法はGCMのこれまでの安全性保証の理論的裏付けが無効であったことを示すものとなるほか、今回の攻撃方法の改良により、今後現実的に脅威となるような攻撃方法が開発される可能性がゼロではないことが示唆されるとともに、GCMの安全性はそもそも数学的に保証できるのか、という未解決問題が存在することが示されたとしている。

また研究グループではこれらの問題に対して、欠陥を取り除き、仕様を変更することなくGCMの安全性を数学的に保証することにも成功したとしている。これにより、GCMの内部で用いるブロック暗号が安全であれば、現実的な計算量の攻撃方法に対して、その成功確率はある限界値以上にはならないことが示されたほか、初期値を96ビットに限定した場合は、より高い安全性を保証することに成功したという。

GCMはNIST推奨の認証暗号化方式であり、その他の多くの標準化プロセスで採用されている。今回の研究はそうしたGCMに対し、設計者の安全性の主張の一部を覆すという意味での理論的攻撃方法を明らかにしたものとなったが、一方で、GCMの安全性を数学的に証明することにも成功したものであると言える。これは、そのような証明のない他の暗号技術と異なる点であり、適切に実装されていれば実用上はGCMを使用することに安全性の問題がないことを示したものとなるという。

しかし研究グループでは、攻撃成功確率の限界値はこれまでに信じられてきた数値よりも大きいため、GCMの使用にあたって、このリスクの再評価や、初期値を96ビットに限定して使用することが推奨されると指摘しており、GCMの設計に改良の余地があり、今回の研究成果や知見を設計にフィードバックすることで、より高い安全性を有する認証暗号化方式を設計することが期待できるようになるとしている。