ニュースリリース

より安全な情報通信のための次世代暗号技術の開発に成功

〜米国商務省が実施する次世代暗号のコンペに応募し、候補として正式に認定〜

  株式会社日立製作所(執行役社長:古川 一夫／以下、日立)と国立大学法人神戸大学(学長:野上 智行／以下、神戸大)、国立大学法人福井大学(学長:福田 優／以下、福井大)は、より安全な次世代ハッシュ関数*1「Lesamnta(レザンタ)」*2を共同で開発しました。さらに、この「Lesamnta」は、世界の暗号技術標準を事実上決定する米国商務省国立標準技術研究所(以下、NIST)*3の次世代暗号コンペティション(以下、SHA-3コンペ)*4において、次世代ハッシュ関数の候補として正式に認定されました。
  なお、本成果は、独立行政法人情報通信研究機構(理事長:宮原 秀夫／以下、NICT)からの委託研究「次世代ハッシュ関数の研究開発(2007〜2008年度)」によるものです。

背景

  ネットワークを介して様々なサービスが実現される情報通信社会では、通信機器やICカードの不正利用を防止する技術や、文書データの改ざんを検知する技術が重要となっています。それらの技術にはハッシュ関数が利用されていますが、現在最も広く用いられているハッシュ関数SHA-1*5は、暗号解析技術の進展にともない、その安全性が低下していることが報告されています。そこで、NISTは、新しいハッシュ関数を選定するために、次世代ハッシュ関数選定のためのプロセスSHA-3コンペを2007年11月から開始し、候補となるハッシュ関数を公募しました。
  このような背景の下、日立と神戸大、福井大は、安心・安全な社会の実現に向けて、次世代ハッシュ関数「Lesamnta」を共同で開発しました。

成果

  今回「Lesamnta」をSHA-3コンペに応募したところ、NISTによる書類審査の結果、応募された64種類のアルゴリズムの中から「Lesamnta」を含む51種類のアルゴリズムが、2008年12月、次世代ハッシュ関数の候補アルゴリズムとして正式に認定されました。
  「Lesamnta」は、実装の容易さや処理速度といった要件を配慮しつつ、安全性を最も重視したアルゴリズムです。「Lesamnta」では、日立がRFID*6向けに開発したハッシュ関数MAME*7の設計指針を継承しながら、従来のブロック暗号研究で培った安全性評価等の技術を活用し、高いデータ攪拌性*8を有する複数の基本関数を、安全性と効率性とを考慮して最適配置することで各種暗号解読への耐性を実現しています。さらに、様々な製品やシステムで容易に実装できるようバイト単位の処理を基本としています。
  その結果、「Lesamnta」は、NISTでの評価基準の一つでもあるハッシュ関数SHA-2*9と比較して、十分に高い安全性を有するとともに、各種プラットフォームで容易に実装することが可能です。

今後の展望

  今後は、NISTの主催する公開研究会等において安全性や性能等の面から候補の比較が行われ、2012年にNISTにより次世代ハッシュ関数SHA-3が選定される予定です。
  なお「Lesamnta」の詳細を、2009年1月20日(火)から23日(金)まで滋賀県の大津市で開催される「2009年 暗号と情報セキュリティシンポジウム」で21日(水)に発表する予定です。

用語解説

*1

ハッシュ関数 : 任意のメッセージ入力に対して固定長の出力値を生成する関数。出力値が同じになる入力の発見が困難であること等の安全性基準を満たすことが要求される。

*2

Lesamnta(レザンタ) : 日本における日立の登録商標です。

*3

3 NIST : National Institute of Standards and Technologyの略。製品市場を事実上牽引する米国の商務省下のNISTで政府向けの標準暗号を制定する。

*4

SHA-3コンペ : Secure Hash Algorithm-3の略。NISTが主催する次世代のハッシュ関数を選定するプロジェクトで、正式には「Cryptographic Hash Algorithm Competition」と称する。選ばれたハッシュ関数は2012年にSHA-3として米国連邦標準規格FIPS(Federal Information Processing Standard)になり、世界中の情報機器で標準的に利用されていくことになると考えられる。

*5

SHA-1 : Secure Hash Algorithm-1の略。FIPS180-2に掲載されたNISTが開発した出力サイズ160ビットのハッシュ関数。米国のみならず、インターネット、ISO等で標準化されている。

*6

RFID : Radio Frequency Identificationの略。ID情報を内蔵した小型の無線タグと、それを用いたID化技術の総称である。

*7

MAME : 日立が2007年に発表したRFID向けハッシュ関数であり、特にハードウェアでの実装規模が小さい。

*8

データ攪拌性 : 関数に入力されたデータをランダムなデータへと変換する性質。安全性の高いハッシュ関数となるためには、この性質が強いことが重要である。

*9

SHA-2 : Secure Hash Algorithm-2の略。FIPS180-2に掲載されたハッシュ関数。224ビットと256ビット、384ビット、512ビットの出力サイズに対応している。SHA-1と同じ設計思想に基づいている。

補足資料

(1) SHA-3コンペの概要

  SHA-3コンペとは、高い安全性と優れた汎用実装性を備える次世代ハッシュ関数の標準を規定する、NIST主催の国際プロジェクトです。暗号技術の選定コンペティションとしては、1997年に行われたブロック暗号の世界標準であるAES(Advanced Encryption Standard)の選定に続くものです。SHA-3コンペで選定されるハッシュ関数は米国政府標準にとどまらず、AESと同様に世界中の情報機器で標準的に利用されていく予定です。
  SHA-3コンペに公募し、正式な候補として認定されるためには、要求される評価水準を十分にクリアする必要があり、今回、正式な候補が公表されました。日立はこれまで、安心・安全な社会の実現に向けて暗号技術の開発を進めてきましたが、神戸大、福井大との産学連携によって今回の候補認定に至ったことは、 その一つの成果となるものです。今後、学会などのオープンな場での議論及び評価が重ねられ、数段階の選定ステップを経て、今回認定された「Lesamnta」を含む51種類の候補の中から、2012年にSHA-3の標準ハッシュ関数が決定される予定です。

(2) ハッシュ関数Lesamntaの概要

  「Lesamnta」は、SHA-2より高い安全性を持つハッシュ関数です。SHA-2とは異なり、理想的なハッシュ関数との区別が困難であることが明示されており、また、SHA-2の主要な課題とされているSHA-1の既存の解読法に対する安全性を有していることから、より安心・安全に利用されることが期待できます。また、「Lesamnta」は、優れた汎用実装性を持っています。シンプルかつコンパクトな設計であるため、8ビットCPU上では実装規模を小さく実装でき、また、AESと共通する部品を取り入れることにより、AESの組み込まれた次世代の32ビット・64ビットCPU上では極めて高速に処理することが可能になります。この汎用実装性により、様々な情報機器において幅広い目的で、かつ便利に利用されることが期待できます。

お問い合わせ先

株式会社日立製作所
システム開発研究所 企画室 [担当:塚越 雅人]
TEL : 044-959-0325

国立大学法人神戸大学
工学研究科電気電子工学専攻 情報通信研究室 [担当:桑門 秀典]
TEL : 078-803-6091

国立大学法人福井大学
工学研究科電気・電子工学専攻 情報通信システム研究室 [担当:廣瀬 勝一]
TEL : 0776-27-9738

以上