Camellia
Camellia(カメリア)とは、2000年にNTTと三菱電機により共同開発されたブロック暗号である。名称の由来は植物のツバキ(ツバキ属:Camellia)。
| 一般 | |
|---|---|
| 設計者 | 三菱電機, NTT |
| 初版発行日 | 2000年 |
| 派生元 | E2, MISTY1 |
| 認証 | CRYPTREC, NESSIE |
| 暗号詳細 | |
| 鍵長 | 128, 192または256ビット |
| ブロック長 | 128ビット |
| 構造 | Feistel構造 |
| ラウンド数 | 18または24 |
CamelliaはFeistel構造を採用したブロック長128ビットのブロック暗号で、鍵長としてAESと同じ128ビット、192ビット、256ビットの3つを選択できる。また、CamelliaはAESと同等の安全性を保ちつつハードウェアでの低消費電力で高速な暗号化・復号に優れている。
構造
編集Camelliaの入出力インタフェースはAES互換で、ブロック長は128ビット固定、鍵長は128 / 192 / 256ビットの3つを選択できる。
全体構造は、AESではSPN構造が採用されたのと違い、DESと同じFeistel構造を採用している。ラウンド段数は、鍵長が128ビットのときは18段、192ビット・256ビットのときは24段で、6段毎に「副変換部」と呼ばれる全単射関数FLとFL-1が挿入されている。また、最初と最後にホワイトニング(拡大鍵との排他的論理和)が設けられている。
ラウンド関数はバイト(8ビット)を単位とした処理になっていて、拡大鍵との排他的論理和の後、8ビット入力-8ビット出力のSボックス(4種類ある)と、FEALにも似たあみだくじ型のP関数によって構成される。Sボックスは4種類あるが、テーブル1つと、入出力のビットシフト等の組合せで実装することもできる。
鍵スケジューラは、ラウンド関数2段で、鍵を"暗号化"して中間鍵を生成し、中間鍵の一部分を取り出すことで拡大鍵を作り出す。具体的には中間鍵をラウンド毎に定義された分だけシフトして、右64ビット(または左64ビット)を取り出す。CamelliaはFeistel構造を採用して、暗号化と復号の違いはラウンド関数等で使用される拡大鍵の順番のみになるように設計されている。そこで鍵スケジューラは、拡大鍵を1番目から順番に求めることも、最後から逆順に求めることも、それぞれ、どちらも同様な手間で実現できるように設計されている。
安全性
編集Camelliaは解読可能なラウンド数と最低限安全性を保てるラウンド数を元にした指標であるセキュリティーマージンにてAESを上回る1.8~2.0を確保している[1]。これに加え、CamelliaはCRYPTRECおよびNESSIEにおいてAESと同等の安全性と効率を兼ね備えているという評価もされている。
性能
編集開発者や第三者による実装報告によると、パソコンで使用されている汎用CPUでは1 Gbps、専用LSIでは2 Gbpsを超えるスループットがある。
一方、組込み機器で使用される8ビットCPUなどの処理能力が低いプロセッサでも、極端なメモリサイズ増加は生じず、ハードウェア実装した場合には、暗号化と復号や鍵スケジューラで回路を共用できるため10,000ゲート以下でも実装可能であることが確認されている。
ソフトウェア実装
編集- 組込み機器等での性能(8ビットCPU)
- 7.19 msec (ENC) / 7.51 msec (DEC) - Z80 (5 MHz), ROM 1,268バイト, RAM 60バイト (NTT)
- 5.68 msec (ENC) / 1.03 msec (KeyGen) - Z80 (), ROM 1,698バイト, RAM 63バイト (NTT)
- 10.22 msec (ENC/DEC) - 8051 (12 MHz), ROM 990バイト, RAM 32バイト (1st NESSIE Workshop)
- パソコンなどでの性能(32/64ビットCPU)
- 1,134.6 Mbps - Intel Pentium 4 (3.2 GHz), Windows XP SP2, 鍵長128ビット (Oda, et al., SCIS 2006)
- 1,158.8 Mbps - AMD Athlon 64 3500+ Winchester (2.2 GHz), Windows XP 64-Bit Edition, ビットスライス実装, 鍵長128ビット (Fukuda, et al., SCIS 2006)
ハードウェア実装
編集- ASIC
- 325.76 Mbps - IBM 0.13 μm, 6,511 unit, Loop arch, 鍵長128ビット (Satoh, et al., ISC 2003)
- 2,154.88 Mbps - IBM 0.13 μm, 29,809 unit, Loop arch, 鍵長128ビット (Satoh, et al., ISC 2003)
- FPGA
- 128.58 Mbps - Xilinx Virtex-E, 908 Slice, Loop arch, 鍵長128ビット (Satoh, et al., ISC 2003)
- 393.24 Mbps - Xilinx Virtex-E, 2,833 Slice, Loop arch, 鍵長128ビット (Satoh, et al., ISC 2003)
歴史
編集- 2000年3月10日 Camelliaの公開:NTTと三菱電機による共同開発がニュースリリースされる。
- 2001年4月17日 Camelliaの基本特許の無償化が宣言される。
- 2003年2月20日 日本の暗号評価プロジェクトCRYPTRECによる電子政府推奨暗号リストにCamelliaも推奨される。
- 2003年2月27日 欧州の暗号評価プロジェクトNESSIEにて、128ビットブロック暗号として、AESと共にCamelliaも選定される。
- 2005年7月15日 国際標準規格ISO/IEC 18033 Part 3の128ビットブロック暗号に、他の2つの暗号(AES、SEED)と共にCamelliaも採用される。(5月27日にニュースリリース)
- 2005年7月20日 SSL/TLS、S/MIME、XMLなどの標準規格で、暗号方式としてCamelliaが追加される。
- 2006年4月13日 Camelliaのオープンソースが公開される。
- 2006年11月8日 OpenSSLにCamelliaが追加される。
- 2007年6月7日 FreeBSD ProjectがCamelliaへの対応を発表する。
- 2008年6月17日 ウェブブラウザとして初採用したMozilla Firefox 3がリリースされた(後に、バージョン33において既定で無効化され[2]、バージョン37でサポート終了[3])。
- 2013年3月1日 CRYPTRECによって改訂された電子政府推奨暗号リストに、日本初のブロック暗号として唯一Camelliaが推奨される。
標準化
編集Camelliaは、欧州のNESSIEプロジェクトや日本のCRYPTRECが作成した「電子政府推奨暗号リスト」に採用されている。
また、TLS/SSLやIPsecをはじめとして、IETFやISO/IECなど多くの標準化団体に採用されている。主な標準化実績は以下の通りである[4]。
- CRYPTREC
- NESSIE
- IETF
- ISO/IEC
- ISO/IEC 18033 (ISO/IEC 18033-3:2010) Information technology -- Security techniques -- Encryption algorithms -- Part 3: Block ciphers
- ITU-T
- security mechanisms and procedures for NGN (Y.2704)
- RSA Laboratories
- approved cipher in the PKCS#11
- TV-Anytime Forum
- approved cipher in TV-Anytime Rights Management and Protection Information for Broadcast Applications
- approved cipher in Bi-directional Metadata Delivery Protection
脚注
編集- ^ Camelliaユーザーズガイド
- ^ “Bug 1036765 - Disable cipher suites that are not in the "Browser Cipher Suite" proposal that are still enabled”. 2015年2月26日閲覧。
- ^ “Bug 1037098 - Remove preferences for cipher suites disabled in bug 1036765 (Camellia and some 3DES & DSS cipher suites)”. 2015年2月26日閲覧。
- ^ “Camellia 標準化情報等”. 2013年11月30日閲覧。
関連項目
編集外部リンク
編集- Camellia公式サイト
- リファレンスコード
- RFC 3657 Use of the Camellia Encryption Algorithm in Cryptographic Message Syntax (CMS)
- RFC 3713 A Description of the Camellia Encryption Algorithm
- 日本語訳:Camellia暗号アルゴリズムの説明
- RFC 4051 Additional XML Security Uniform Resource Identifiers (URIs)
- RFC 4132 Addition of Camellia Cipher Suites to Transport Layer Security (TLS)
- RFC 4312 The Camellia Cipher Algorithm and Its Use With IPsec
- RFC 5528 Camellia Counter Mode and Camellia Counter with CBC-MAC Mode Algorithms
- RFC 5529 Modes of Operation for Camellia for Use with IPsec
- RFC 5581 Certification of Camellia Cipher as IETF standard for OpenPGP
- RFC 5932 Camellia Cipher Suites for TLS
- RFC 5990 Use of the RSA-KEM Key Transport Algorithm in the Cryptographic Message Syntax (CMS)
- RFC 6030 Portable Symmetric Key Container (PSKC)
- RFC 6272 Internet Protocols for the Smart Grid
- RFC 6367 Addition of the Camellia Cipher Suites to Transport Layer Security (TLS)
- ISO/IEC 18033-3:2010 Information technology -- Security techniques -- Encryption algorithms -- Part 3: Block ciphers