AESに対する高階差分攻撃における攻撃方程式解法の高速化（II）

摘要

Fergusonらは部分和法によって，6段AES，7段192·256ビット鍵AESに対して32階差分を用いた高階差分攻撃が可能であることを示している．部分和法では攻撃を高速化するためにmod2頻度分布表の概念を用いており，mod2頻度分布表は全ての鍵候補に対し，Sボックスを参照して作られる．我々はSCIS 2012においてSボックスを参照せずにmod2頻度分布表を直接操作し，各鍵候補のmod2頻度分布表を作ることによって効率的に部分和法を実行する手法を提案した．本稿では，6段AESに対し提案手法を用いた攻撃を計算機実装した結果と，6段AES，7段192·256ビット鍵AESに対し提案手法を適用した場合の計算量を示す．計算機実装の結果，新しい手法はFergusonらの手法よりも約54倍高速化し，計算量は6段AES，7段256ビット鍵AESにおいて，約2~(-7)倍になった．