認証付暗号

認証付暗号化方式

Authenticated Encryption with Associated Data (認証付暗号化方式：AEAD) と呼ばれる方式である．

認証付暗号化方式 AEAD は，次の 3 つのアルゴリズムの組 $AE = (AE-K, AE-E, AE-D)$ で定義される．ここで，$AE$ は鍵の集合 $KS$，nonce(初期乱数値) の集合 $NS$，ヘッダの集合 $HS \subseteqq Σ^*$，平文の集合 $MS \subseteqq Σ^*$，暗号文の集合 $CS\subseteqq Σ^*$ を伴う．$MS$ については，$M \in MS$ ならば $Σ^{len(M)} \subseteqq MS$ である．

鍵生成アルゴリズム ($AE-K$)
確率的アルゴリズムであり，ランダムな鍵 $K$ を出力する．
暗号化アルゴリズム ($AE-E$)
鍵 $K$ とメッセージ $M$ を入力し，暗号文 $C$ を出力する．また，乱数や状態を明示的に入力することがある．
入力 $K \in KS, N \in NS, H \in HS, M \in MS$ に対して，$EK(N, H, M) = C \in CS$ を出力する．
復号アルゴリズム ($AE-D$)
決定的アルゴリズムであり，鍵 $K$ と暗号文 $C$ を入力し，メッセージ $M$ もしくは改ざん検出信号をを出力する．
入力 $K \in KS, N \in NS, H \in HS, C \in MS$ に対して，$DK(N, H, C) = M \in MS$ あるいは $\perp$ を出力する．$\perp$ は鍵 $K$ に関して，$N$, $H$, $C$ に対応する平文が存在しないことを意味する．

認証付暗号化方式 AEAD は，メッセージ秘匿とメッセージ認証の機能を併せ持つブロック暗号利用モードである．このようなブロック暗号のモードは，Authenticated Encryption Modes という名称で分類され，中でも NIST が標準化しているのは CCM と GCM モードである．CCM モードは IEEE 802.11i 規格の一部として実用化されている．

AEAD のアプリケーションインタフェースは，次のように定義される．

An Interface and Algorithms for Authenticated Encryption, RFC 5116,January 2008

認証付暗号化
認証付きの暗号化は, 次の入力と出力を持つ:
- 入力：
  octet_string $PT$ ;　// 認証と暗号化の両方の平文
  octet_string $AAD$;　// 追加の認証されるデータ. 認証されるが暗号化されない
  octet_string $IV$;　// 初期化ベクトル
  octet_string $BK$;　// ブロック暗号の鍵
- 出力：
  octet_string $CT$;　// 暗号文
  octet_string $AT$;　// 認証タグ
(注) 与えられたブロック暗号鍵 $BK$ に対して, 複数回同じ $IV$ を利用しないこと.
認証付復号
認証付きの復号は, 次の入力と出力を持つ:
- 入力：
  octet_string $CT$ ;　// 認証と復号の両方の暗号文
  octet_string $AAD$;　// 追加の認証されるデータ. 認証されるが暗号化されない
  octet_string $AT$;　// 認証タグ
  octet_string $IV$;　// 初期化ベクトル
  octet_string $BK$;　// ブロック暗号の鍵
- 出力：
  $Failure_Indicator$;　// 認証タグが不正の場合に返す.
  octet_string $PT$;　// 平文. 認証タグが正当な場合にのみ返る.
(注) 認証タグが検証されるまで平文を一部でも返してはいけない．

CCM (Counter with CBC-MAC)

CCM は認証子生成・暗号化アルゴリズム Generation-Encryption と，復号・検証アルゴリズムDecryption-Verification からなる．なお，CCM ではブロック長128 ビットのブロック暗号を用いるよう規定されている．また，CCMではブロック暗号の暗号化関数のみが用いられ，復号関数は用いられない．

CCM は，メッセージ及び認証データに対して，CBC-MAC による MAC を生成し，MAC 処理で生成されたタグとメッセージを CTR モードで暗号化する．CTR と CBC-MAC の両方に同じ秘密鍵を用いるので鍵のセットアップは1回である．ECB モードの2倍のブロック暗号呼び出しを行うため，処理量も ECB に比べ約2倍となる．また，CCM 処理中の CTR 処理と CBC-MAC 処理は並列処理が可能である．

CCM は，適応的選択平文攻撃に対する証明可能安全性を有しいる．実用上問題となる脆弱性の指摘されていないブロック暗号を用いる場合，ブロック暗号のブロック長を $b$ とするとき，攻撃に要するブロック暗号の呼出し回数は $O(2^{b/2})$ である．

Morris Dworkin, Recommendation for block cipher modes of operation: The CCM mode for authentication and confidentiality., NIST Special Publication 800-38C, 2004.

GCM (Galois Counter Mode)

GCM は，ブロック暗号に基づく認証暗号化モードであり，メッセージの暗号化 (機密性)とメッセージ認証コード生成 (データ完全性)の 2 つの機能を持つ．GCM は，2007年にNISTにより，米国政府推奨の認証暗号化モードとして採用されている．

GCM はブロック暗号のカウンタモードによる暗号化関数と，ユニバーサルハッシュ関数を利用したメッセージ認証コードからなる．

GCM は，データを暗号化するのにカウンタモードを利用するが，これは効率的にパイプライン化できる．さらに，GCM 認証は，ハードウェアでの高速な実装に特に良く適した操作を用いている．非常に高速な実装や効率的でコンパクトな回路での実装が可能になっている．GCM では，ブロック長128 ビットのブロック暗号を用いるよう規定されている．

GCM は適応的選択暗号文攻撃に対する証明可能安全性を有している．実用上問題となる脆弱性の指摘されていないブロック暗号を用いる限りは，GCM は適応的選択暗号文攻撃に対して安全な守秘・認証用暗号利用モードである．

Morris Dworkin, Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC, NIST Special Publication 800-38D November, 2007

Poly1305

Poly1305 は， Daniel J. Bernstein によって設計されたメッセージ認証コードである． Poly1305 は，256 ビットの鍵 $K$ と任意長のメッセージ $M$ を入力とし，128 ビットのタグ $T$ を出力する．256 ビットの入力鍵はそれぞれ128 ビットの鍵 $r$ と $s$ に分割される．出力タグは

$((m[0]r^n + m[1]r^{n-1} + \cdots + m[n]) \bmod (2^{130} - 5)) \bmod 2^{128}$

で計算される．ここで，$m[i]$ は入力メッセージ $M$ を16 ビットに分割したブロックの $i$ 番目のブロックである．

共通鍵暗号としてChaCha20，メッセージ認証コードとして Poly1305 を組み合わせたものが RFC 7905 として標準化され，TLS/SSL などで採用されている．

RFC 7539, ChaCha20 and Poly1305 for IETF Protocols