ブロック暗号(ブロックあんごう、英語: Block cipher)とは、共通鍵暗号の一種で、固定長のデータ(ブロックと呼ぶ)を単位として処理する暗号の総称である。これに対して、ビット単位やバイト単位で処理を行う暗号はストリーム暗号と呼ばれる。 ブロック暗号は、 b {\displaystyle b} ビットのブロックと n {\displaystyle n} ビットの鍵を入力として、 b {\displaystyle b} ビットのブロックを出力する。暗号化 (encryption) E {\displaystyle E} と復号 (decryption) E − 1 {\displaystyle E^{-1}} の2つのアルゴリズムからなる。任意の鍵 k {\displaystyle k} について、復号アルゴリズムは暗号化アルゴリズムの逆関数になっていて、 E k − 1 ( E k ( m ) ) = m {\displaystyle E_{k}^{-1}(E_{k}(m))=m} を満たす( m {\displaystyle m} は任意のブロック)ようになっている[1]。暗号化アルゴリズムの入力ブロックおよび復号アルゴリズムの出力ブロックは通信文、暗号化アルゴリズムの出力ブロックおよび復号アルゴリズムの入力ブロックは暗号文という。任意の長さの通信文を扱うために、暗号利用モードが用意されている。ブロック暗号は確定的暗号であり、鍵を一つ固定すると、同じ平文は必ず同じ暗号文に暗号化される。すなわち、同じ暗号文があった場合、そのブロックの平文は同じであるという情報が漏れてしまう。暗号利用モードでは、このような問題を解決する機能ももつ。 換字と転置を組み合わせた共通鍵暗号でも、複数の法に基づく大きなブロックの換字式ストリーム暗号と転置式暗号を組み合わせることで解読の著しく難しい暗号が構成できる。 代表的なブロック暗号として、米NISTが制定したDES (Data Encryption Standard)やトリプルDES、AES (Advanced Encryption Standard) がある。日本製のブロック暗号として、MISTY1やCamelliaなどが知られている。 ブロック暗号は、メインのスクランブラと拡大鍵を生成する鍵スケジューラから構成されているものが多い。さらに、鍵スケジューラは鍵を入力として複数個の拡大鍵を出力し、スクランブラは複数のラウンドからなり、個々のラウンドで拡大鍵を使って入力の置換・転置等を行う構成になっているものが多い。この構成の暗号をProduct cipher(積暗号)という。また、ラウンドが同じ関数の繰り返しになっている場合にはIterated cipher(繰返し暗号)という。 ラウンド関数は置換や転置、論理演算、算術演算などのシンプルな部品で構成されていて、ラウンド関数を複数段、重ねることで十分な強度のスクランブルを行うものである。ラウンド段数は、通常、アルゴリズムの仕様によって指定されているが、セキュリティパラメータとして利用者が選択するものもある。 ラウンド関数の主な構成法にはFeistel構造とSPN構造の2つがある。DES, MISTY1, CamelliaはFeistel構造で、AESはSPN構造の暗号である。 ブロック暗号は公開鍵暗号に比して高速であるため、公開鍵暗号と組み合わせたハイブリッド暗号では公開鍵暗号で暗号化されたセッション鍵を用いた本文の暗号化・復号に用いられる。 また、パスワードの保存のための一方向性関数として用いられたり (UNIXの/etc/passwd等) 、メッセージ認証コード (MAC) に用いられる。 擬似乱数列の生成にも用いられる (see ⇒NIST SP800-90) 。 暗号標準として採用(もしくは推奨)されているブロック暗号には次のものがある。 ブロック暗号は、もとより鍵長 n {\displaystyle n} ビットに対して 2 n {\displaystyle 2^{n}} の計算量的安全性以上の安全性をもたない。すなわち、鍵の全数探索で必ず解読可能である(平均解読計算量は半分の 2 n − 1 {\displaystyle 2^{n-1}} となる)。これは、ブロック暗号の鍵長を定める際に最も重要な要素の一つであり、現在DES(56ビット)が推奨されないのもその鍵長の短さが原因の一つである。 ただし、ブロック長 b {\displaystyle b} が b < n {\displaystyle b<n} である場合、ある通信文と暗号文の対(ペア)に対して、平均して 2 n − b {\displaystyle 2^{n-b}} の鍵候補が存在する。一つの通信文暗号文対では、鍵候補の中に真の暗号化鍵は存在するが、どの鍵候補が真の暗号化鍵であるかは判定できない。 p {\displaystyle p} 個の通信文暗号文対が存在して、 b p > n {\displaystyle bp>n} ならば、真の暗号化鍵が得られることが期待できる。 ブロック暗号アルゴリズムの弱点を用いて鍵の全数探索以下の計算量で鍵(の一部)を求める手法を総称してショートカット法と呼ぶ。ショートカット法には多くの種類があるが、ここでは代表的なものを列挙する。
概要
構造
用途
標準
64bit
TDEA - ISO/IEC_18033, CRYPTREC
MISTY1 -ISO/IEC_18033, CRYPTREC, NESSIE
CAST-128 -ISO/IEC_18033
CIPHERUNICORN-E - CRYPTREC
Hierocrypt-L1 -CRYPTREC
MULTI2 - ARIB限定受信方式
KASUMI - 3GPP W-CDMAおよびGSM用の暗号
128bit
AES -ISO/IEC_18033, CRYPTREC, NESSIE
Camellia -ISO/IEC_18033, CRYPTREC, NESSIE
SEED -ISO/IEC_18033
CIPHERUNICORN-A
Hierocrypt-3
SC2000
256bit
SHACAL-2 -NESSIE
安全性
計算量的安全性
ショートカット法
差分解読法(差分暗号解読) en:Differential cryptanalysis
不能差分解読法 en:Impossible differential cryptanalysis
切詰差分解読法 Truncated Differential Cryptanalysis
高階差分解読法 Higher Order Differential Cryptanalysis
Square攻撃 en:Square attack
飽和攻撃 Saturation Attack
ブーメラン攻撃 en:Boomerang attack