バックドアの王: 暗号化アルゴリズムにおける数学的バックドアについて語る

政府や諜報機関は、データや通信の暗号化保護を制御または回避しようとしており、暗号化アルゴリズムにバックドアを作成することが暗号化制御を実現する最善の方法であると考えられています。セキュリティ研究者は、暗号化アルゴリズムの実装における脆弱性を探すことが多いが、数学的なバックドアを見つけることにはあまり力を入れていない。

暗号化保護の分野では、研究者は安全な情報交換と電子商取引をサポートする技術の検証を始めました。 Eric Filiol 氏は、フランス高等コンピュータサイエンス、電子工学、オートメーション学校 (ESIEA) の運用暗号およびウイルス学研究所の研究責任者です。彼は、プロトコル/実装/管理レベルでのバックドアの実装のみが一般的に考慮されており、数学的なバックドアの発見やバックドアの設計に費やされる努力は十分ではないと考えています。

[[216695]]

最近のヨーロッパのブラックハットカンファレンスで、フィリオル氏と彼の同僚であるアーノルド・バニエ氏は「暗号システムへのバックドアの設計 - 外部の暗号化アルゴリズムは信頼できるか?」と題する講演を行い、数学的なバックドアを設計する可能性について議論した。

講演では、2人の研究者がBEA-1ブロック暗号化アルゴリズムを提案した。このアルゴリズムは AES に似ていますが、効果的な暗号解読を可能にする数学的なバックドアが含まれています。

「我々のバックドアの存在を知らされずに、BEA-1 はすべての統計テストと暗号解析に合格し、NIST と NSA による暗号検証の正式な対象となった」と 2 人のフランス人暗号学者は説明した。「特に、BEA-1 アルゴリズム (80 ビットのブロック サイズ、120 ビットのキー、11 ラウンドの暗号化) は、線形暗号解析と差分暗号解析に耐えられるよう設​​計されている。我々のアルゴリズムは 2017 年 2 月に公開されたが、バックドアが簡単に検出できることを証明した者はおらず、また、その悪用方法を示した者もいない。」

どうやってそれをやったのか

ブラックハットカンファレンスでのスピーチで、フィリオル氏とバニエ氏は意図的なバックドアを公開し、それを使用してわずか600KBのデータ（300KBの平文＋300KBの暗号文）で10秒以内に120ビットのキーを復元する方法を実演しました。これは単なる概念実証であり、より複雑なバックドアを構築することもできます。

アルゴリズムにバックドアを挿入することと、バックドアの存在を検出して証明することの間には、大きな数学的非対称性が存在します。つまり、何らかの概念的な一方向関数を作成する必要があります。

フィリオル氏は長年にわたり暗号化アルゴリズムの数学的バックドアを研究しており、今年初めにはブロック暗号の潜在的な問題について論文を発表した。

なぜ数学は研究でも人気がないのか

数学的なバックドアの研究は難しく、流行のトピックについて頻繁に論文を発表する必要がある研究者の興味を惹きません。この種の研究は基本的に諜報機関（GCHQ、NSA など）の研究開発研究所で行われ、検出よりもバックドアの設計に重点を置いています。

スノーデン氏は、NSA が RSA セキュリティの暗号化ツールセットで脆弱な二重楕円曲線乱数生成アルゴリズム (Dual_EC_DRBG) をデフォルトとして使用させるために 1,000 万ドルを費やしたことを明らかにしました。これは、数学的なバックドア、または設計上のバックドアが理論上だけに存在するのではなく、非常に現実的であることを示しています。また、Dual_EC_DRBG は孤立したケースではありません。

数学的なバックドアの例は数多くありますが、よく知られているのはほんのわずかです。

私は、輸出されるすべての暗号化システムには、ワッセナー取り決めに直接違反する何らかの形でバックドアが組み込まれていると確信しています。 Crypto AG（スイスの通信および情報セキュリティ企業）は、NSA のバックドアを組み込んだ暗号化マシンを輸出しましたが、これがその好例です。他にもあまり知られていない例があります。

数学的なバックドアはいくつ存在するのでしょうか?

実装と数学的なバックドアがどれほど一般的で重要であるかを確実に知ることは困難です。バックドアの存在を証明することは難しい数学的問題です。しかし、国際ルールを分析すると、輸出された暗号化機器/技術の少なくとも一部にバックドアが含まれていることが明らかです。さらに心配なのは、大規模な監視環境において、国内で使用されている暗号化技術にバックドアが存在するのではないかということだ。

では、ピアレビューによって数学的なバックドアを排除できるのでしょうか?

フィリオル氏は、これには改革が必要になるかもしれないと述べた。

安全であると証明できる「防御」を実現するのは、安全でないと証明できる「攻撃」を実現するよりもはるかに困難です。最大の問題は、学者が安全性を証明することの難しさを無視し、「安全性のなさを証明する証拠がない」ことを「安全性の証拠」とみなしてしまうことです。

攻撃者は、特に諜報機関が強い存在感を持つ暗号化の分野では、自分たちができることすべてを公開することはありません。したがって、専門家や学術研究は既知の攻撃事例のみを参照することができます。 NSA のような機関が、最も優秀な数学者 300 人を 40 年間にわたって常時雇用して、どのような成果を生み出すことができるか想像してみてください。それが数学の知識の完全なセットです！

フィリオル氏はまた、業界標準として広く検討されている AES アルゴリズムが安全ではない可能性があると考えているが、そのアルゴリズムが安全でないことを証明できる証拠はない。

AES に抜け穴があることを証明できなくても、このアルゴリズムに抜け穴がないことを証明できる人はいません。正直に言うと、米国はいかなる形の制御も課さずに、十分に安全な軍事レベルの暗号化アルゴリズムを提供するでしょうか?とにかく、私はそれを信じません。

AES コンテストはもともと NIST が主催し、NSA の技術サポートを受けていました (これはよく知られています)。テロの脅威が蔓延する時代に、米国が通常兵器への「対抗手段」として何かを用意しないほど愚かなことはないだろう。アメリカ、イギリス、ドイツ、フランスなど、ある程度の良識のある国では、セキュリティ要件が高い事項については外国のアルゴリズムを使用しません。アルゴリズムからその実装に至るまで、国内の製品と標準の使用を強制します。

暗号化アルゴリズムの選択、分析、標準化の方法を改革する必要があります。これは、主にオープンな暗号コミュニティによって推進される、完全にオープンなプロセスである必要があります。