NIST FIPS 197「高度暗号化標準」の更新提案

こんにちは、丸山満彦です。

NISTが、FIPS 197「高度暗号化標準」の更新の提案をしていますね。。。

・NIST - ITL

・2022.12.19 Announcement of Proposal to Update FIPS 197, The Advanced Encryption Standard

 

Announcement of Proposal to Update FIPS 197, The Advanced Encryption Standard	FIPS 197「高度暗号化標準」の更新提案の通知
As a part of the periodic review of NIST’s cryptographic standards and guidelines, NIST's Crypto Publication Review Board ("Review Board") announced the review of Federal Information Processing Standards Publication (FIPS) 197, The Advanced Encryption Standard (AES) in May 2021.	NISTの暗号標準とガイドラインの定期的な見直しの一環として、NISTのCrypto Publication Review Board（以下、レビューボード）は、2021年5月に連邦情報処理標準出版物（FIPS）197, 高度暗号化標準（AES）の見直しを行うと発表した。
NIST proposes to update FIPS 197. An update of a publication is appropriate when it only requires changes to correct errors or clarify its interpretation, and no changes are made to technical content. The proposed changes to FIPS 197 are summarized in the sections below.	NISTは、FIPS 197の更新を提案している。 出版物の更新は、誤りの訂正や解釈の明確化のための変更のみを必要とし、技術的な内容に変更がない場合に適切とされている。 FIPS 197 の変更案は、以下のセクションに要約されている。
A public comment period for the draft FIPS 197 update is open through February 13, 2023.  Public comments on the decision to update the FIPS, or on the draft update itself, may be submitted to [mail], with “Comments on Draft FIPS 197 Update” in the subject line. Comments received in response to this request will be posted on the Crypto Publication Review Project site after the due date. Submitters’ names and affiliations (when provided) will be included, while contact information will be removed. See the project site for additional information about the review process.	FIPS 197更新ドラフトに対するパブリックコメント期間は、2023年2月13日までである。  FIPS更新の決定、または更新ドラフト自体に対するパブリックコメントは、件名に "Comments on Draft FIPS 197 Update "と記載して [mail] 宛に提出することができる。この要請に応じて受け取ったコメントは、期日後に暗号化出版物審査プロジェクトのサイトに掲載される。提出者の名前と所属（提供されている場合）は含まれますが、連絡先情報は削除される。レビュープロセスの詳細については、プロジェクトサイトを参照のこと。
Summary of the Draft Update of FIPS 197	FIPS 197のドラフト更新の概要
The version history is summarized in Appendix D of the draft update of FIPS 197. The draft update includes extensive editorial improvements to the version that was published in November 2001, including the following:	バージョン履歴は、FIPS 197のドラフト更新の附属書Dに要約されている。更新ドラフトは、2001年11月に発行されたバージョンに対して、以下のような広範囲な編集上の改善を含んでいる。
・The frontmatter is modernized, e.g., a foreword and abstract are added.	・まえがき及び要約を追加するなど、前文を現代的にした。
・Terms and symbols are defined more comprehensively and consistently.	・用語や記号の定義をより包括的かつ統一的にした。
・Formatting/typesetting is improved in a variety of ways.	・書式やタイプセットを改善した。
・Unnecessary formalism is removed.	・不必要な形式的表現を排除した。
・Diagrams are included for the three key schedules.	・3つの主要なスケジュールについて、図を掲載した。
・Some references were updated, and additional references were provided.	・いくつかの参考文献を更新し、さらに参考文献を追加した。
Initial Public Comments	初回パブリックコメント
In May 2021, the Review Board requested initial public comments for the review of FIPS 197 (released 2001). In June 2021, the public comments were posted. The public comment to include a reference to NIST Special Publication (SP) 800-133 Rev. 2, Recommendation for Cryptographic Key Generation was accepted in the updated draft.	2021年5月、レビューボードはFIPS 197（2001年リリース）のレビューのための初期パブリックコメントを要請した。2021年6月、パブリックコメントが掲載された。NIST 特別出版物 (SP) 800-133 Rev.2, 暗号鍵の生成に関する推奨事項への言及を含めるというパブリックコメントは、更新ドラフトで受理された。
The other two public comments include a variety of observations and suggestions for the appropriate properties for a block cipher and its modes of operation. In particular, both comments request that NIST standardize an alternative block cipher with a larger block size. Neither comment recommends any changes to FIPS 197 itself.	他の2件のパブリックコメントには、ブロック暗号とその動作モードの適切な特性に関する様々な見解や提案が含まれている。特に、両コメントともブロックサイズを大きくした代替ブロック暗号を標準化するようNISTに要求している。どちらのコメントもFIPS 197自体の変更は推奨していない。
NISTIR 8319	NISTIR 8319
Published in July 2021, NIST Internal Report (NISTIR) 8319, Review of the Advanced Encryption Standard documented the main considerations in the review of FIPS 197.	2021年7月に発行されたNIST内部報告書（NISTIR）8319「高度暗号化標準のレビュー」では、FIPS197のレビューにおける主な検討事項が文書化されている。
Rationale for Updating FIPS 197	FIPS 197の更新の根拠
There are two elements to the decision to update a publication: 1) editorial revision is appropriate, and 2) technical revision is not necessary. In the case of FIPS 197, several potential clarifications are recommended in Section 3.5 of NISTIR 8319, and NIST identified a variety of other editorial improvements.	出版物の更新を決定するには、2つの要素がある。1) 編集上の改訂が適切である、2) 技術的な改訂が必要でない。FIPS 197 の場合、NISTIR 8319 のセクション 3.5 でいくつかの潜在的な明確化が推奨されており、NIST はその他の編集上の様々な改善点を特定した。
The technical content is the specification of a family of three block ciphers: AES-128, AES-192, and AES-256, where the numerical suffix indicates the bit length of the key. Since AES is adopted widely, the main question for the review is whether the specified block cipher family is sufficiently secure. The following is a summary of the security assessment:	技術的な内容は、3つのブロック暗号のファミリーの仕様である。AES-128、AES-192、AES-256の3種類で、数字のサフィックスが鍵のビット長を表している。AESは広く採用されているため、レビューの主な問題は、指定されたブロック暗号ファミリーが十分に安全であるかどうかということである。以下、安全性評価の概要を述べる。
・Classical security [Sections 3.1 and 3.2 of NISTIR 8319]: The key sizes remain adequate against classical exhaustive search. For the classical analytic attacks on instances of the AES algorithm that are listed in Table 2 of NISTIR 8319, either 1) the attack only applies to an unapproved, weakened variant, in which the number of rounds is reduced by at least three; or 2) the computational complexity of the attack is prohibitive. In the second category, the largest theoretical reduction in computational complexity over generic, exhaustive search occurs under the restrictive assumption of related-keys, and only for AES-192 and AES-256.	・古典的安全性 [NISTIR 8319の3.1項と3.2項]: 古典的な網羅的探索に対して、鍵の大きさは十分である。NISTIR 8319の表2に記載されているAESアルゴリズムのインスタンスに対する古典的な分析的攻撃については、1) 攻撃は、ラウンド数が少なくとも3つ減少している、未承認の弱体化したバリエーションにのみ適用されるか、2) 攻撃の計算複雑さが法外であるかのいずれかである。2番目のカテゴリーでは、一般的な網羅的探索と比較して理論上最大の計算量削減が、関連鍵という制限付きの仮定の下で、AES-192とAES-256に対してのみ発生する。
・Key Size and Post-Quantum Security [Section 3.3 of NISTIR 8319]: If large-scale quantum computers are developed, Grover’s algorithm would facilitate a brute force search for the key with computational work that is roughly the square root of the classical computational work. NIST expects to issue appropriate guidance on parameter choices and post-quantum security as part of the Post-Quantum Cryptography project.	・鍵のサイズと量子後のセキュリティ [NISTIR 8319の3.3項]: 大規模な量子コンピュータが開発された場合、Groverのアルゴリズムは古典的な計算量のほぼ平方根の計算量で鍵のブルートフォースサーチを容易にする。NISTは、ポスト量子暗号プロジェクトの一環として、パラメータの選択とポスト量子セキュリティに関する適切なガイダンスを発行することを期待している。
・Implementation security [Section 3.4 of NISTIR 8319]: Implementation attacks based on "side channels" such as power consumption and execution timing are a general concern for keyed cryptographic algorithms, including the AES family. Cache-timing attacks are a significant additional concern for the AES algorithm because they can potentially be mounted remotely; mitigating this risk was a key motivation for the inclusion of an AES instruction in modern processors. NIST will consider developing separate guidance on how to protect implementations of the AES family against implementation attacks in general.	・実装セキュリティ [NISTIR 8319のセクション3.4]。消費電力や実行タイミングのような「サイドチャンネル」に基づく実装攻撃は、AESファミリーを含む鍵暗号アルゴリズムに対する一般的な懸念事項である。キャッシュタイミング攻撃は、リモートで実行される可能性があるため、AESアルゴリズムにとって重要な追加的懸念事項である。このリスクを軽減することが、最新のプロセッサにAES命令を組み込む主な動機であった。NISTは、AESファミリーの実装を一般的な実装攻撃から保護する方法について、別途ガイダンスを作成することを検討する。

 

・2022.12.19 FIPS 197 (Draft) Advanced Encryption Standard (AES)

・[PDF]  FIPS 197 (Draft)