米国時間10月2日，現在広く利用されている共通カギ暗号「DES（Data Encryption Standard）」に代わる，新しい米国政府標準暗号「AES（Advanced Encryption Standard）」の最終候補が決定した。選ばれたのは，ベルギーの暗号学者が開発した「Rijndael（“Rhine-doll”と発音）」である。97年6月の公募に申し込んだ米国内外の15の暗号アルゴリズムの中から，3回の会議とパブリック・レビューを経て，やっと1つの暗号に絞り込まれた。ただし，これが最終決定ではない。今後，選定機関であるNIST（米国商務省標準技術局）は広く一般から意見を募集して，問題がなければAESになる。正式決定は2001年の春になる予定である。

新暗号「AES」の必要性

　現在の米国政府標準暗号であるDESは77年に制定され，その後世界中で使われているが，近年その安全性の低下が指摘されている。解読に用いられるコンピュータ・パワーの増大とさまざまな攻撃法の出現がその原因である。

　例えば，セキュリティ・ベンダーである米RSA Securityが開催していたDES破りのスピード・コンテスト「DES Challenge」では，回を追うごとに解読時間が短くなり，98年には，DESで暗号化された1つのメッセージが56時間で解読されてしまった。

　そこでNISTは，DESに代わるより安全な共通カギ暗号を97年に公募した。条件は「カギ」の長さが128，192，256ビットのいずれでも使えることであった。これに対して，DESのカギの長さは56ビットである。

　「カギ」とは暗号化や復号化をするときに必要な秘密情報のことである。「カギの長さが128ビット」とは，カギの候補が2¹²⁸個あることを示し，カギの長さが長ければ長いほど，一般的には暗号強度も増加する。

会議とパブリック・レビューで候補暗号を絞り込む

　公募に対して，米国内外から15の暗号アルゴリズムが寄せられた。日本からはNTTの「E2」暗号が名乗りを上げた。そして98年8月に第1回目，99年3月には2回目の会議を開催。平行してNISTのWebサイトなどで各暗号アルゴリズムを公開し，ボランティア・ベースで世界中の専門家からパブリック・レビューを募った。専門家の目は厳しく，会議やレビューを通して，いくつかの候補暗号はその解読法や弱点を発見され，脱落していった。

　会議やレビューの結果を基に，NISTは99年4月に以下の5候補に絞り込んだ。

　そして今年4月の第3回AES会議とレビューの結果，Rijndaelに絞り込まれた。

選定基準は「安全性」と「コスト」

　AES選定の基準は「安全性」と「コスト」。破られにくいことはもちろん，暗号化/復号化をいかに早く処理できるか，いかに少ないメモリーで処理できるかも重要視された。「安全性」と「コスト」は一般にトレードオフの関係にある。暗号化処理を複雑にすれば安全性は高まるが，処理速度，すなわちコストが大きくなってしまう。この両者のバランスをうまくとることがポイントであった。加えて，ハードウエアに実装した場合の性能も比較の対象となった。

　NISTのリリースによると，Rijndaelを選定した理由は，ほかの暗号に比べて特にバランスがよかったためとしている。また，ソフトウエアとハードウエアのどちらに実装しても，一貫してよいパフォーマンスを発揮したことも理由として挙げている。

　なお，米国外の暗号学者が開発した暗号が選ばれたことは意外であったが，それについてNISTはリリースの中で，「NISTやNSA（米国家安全保障局），およびパブリック・レビューにより2年以上アルゴリズムを調べてきたので問題はない。高品質の標準暗号を開発するためには，今回のように世界中の暗号学者を巻き込むことが必要だ」と述べている。

最終決定までにはもうひとハードル

　Rijndaelはあくまでも最終候補であって，AESにはまだなっていない。今後，今までの選定過程と同様に，RijndaelがAESとしてふさわしいかどうかについての意見を広く一般から募集する。そして問題がなければAESとして正式決定される。NISTによると，正式決定は2001年の春になる予定である。

　ただし，AESになったからといって，DESのように広く世界中で利用されるようになるかどうかは疑問である。DESが広まった当時と異なり，現在ではさまざまな暗号が各国のベンダーや研究者から提案されている。そのため，あえてAESを使う必要性は以前ほどは大きくないと考えられる。

（勝村　幸博＝IT Pro編集）

[NISTのプレス・リリースへ]