Poly1305

Poly1305は、ダニエル・バーンスタインによって設計されたメッセージ認証符号である。メッセージのデータ完全性の検証および認証に用いられる。RFC 7539 として標準化されている。

概略

オリジナルであるPoly1305-AESは、128ビットのAES鍵、106ビットの追加鍵、128ビットの1回だけ使われる値 (nonce)を用いて、可変長のメッセージから128ビット（16バイト）の認証子を生成する。素数である 2¹³⁰−5 およびAdvanced Encryption Standard (AES)を用いていることからその名が付けられた。

NaClではAESではなくSalsa20が、TLSおよびSSHではChaCha20が用いられる。

Googleは、共通鍵暗号としてChaCha20、メッセージ認証符号としてPoly1305を組み合わせたものを、RC4に代わるインターネットセキュリティで利用可能なストリーム暗号として提唱し、Google ChromeおよびGoogleのウェブサービスにおけるTLS/SSL通信 (https) においてChaCha20-Poly1305が実装されている^[1]。TLS/SSLにおけるChaCha20/Poly1305の利用は、RFC 7905 として標準化された。

GoogleによるTLSでの採用に続き、ChaCha20とPoly1305の組み合わせは[email protected]としてOpenSSHに採用された^[2]^[3]。これにより、OpenSSHがOpenSSLに依存する必要がなくなった^[4]。

セキュリティ

Poly1305-AESのセキュリティは、基となるAESに類似するものとなる。そのため、Poly1305-AESを破るためにはAESを破る必要がある^[5]

Poly1305-AESでは、AESを他の暗号アルゴリズムに置き換えることも可能である。AESに何か問題が起きた場合でも、他のアルゴリズムに置き換えることでセキュリティを保つことができる。

スピード

Poly1305-AESは様々なCPUで高速に計算可能である。設計者によって、C言語およびC++でのレファレンス実装だけでなく、Athlon、Pentium、PowerPC、UltraSPARC向けの最適化実装も公開されている。

実装ライブラリ

Poly1305をサポートしている暗号ライブラリは以下の通り。

Botan
Bouncy Castle（英語版）
Crypto++（英語版）
Libgcrypt（英語版）
libsodium
Nettle（英語版）
OpenSSL
LibreSSL
wolfCrypt
GnuTLS
mbedTLS（英語版）
MatrixSSL（英語版）

脚注

^ Google Swaps Out Crypto Ciphers in OpenSSL, InfoSecurity, April 24, 2014
^ Miller, Damien (2013年12月2日). “ssh/PROTOCOL.chacha20poly1305”. BSD Cross Reference, OpenBSD src/usr.bin/. 2014年12月27日閲覧。
^ Murenin, Constantine A. (2013年12月11日). Unknown Lamer: “OpenSSH Has a New Cipher — Chacha20-poly1305 — from D.J. Bernstein”. Slashdot. 2014年12月27日閲覧。
^ Murenin, Constantine A. (2014年4月30日). Soulskill: “OpenSSH No Longer Has To Depend On OpenSSL”. Slashdot. 2014年12月26日閲覧。
^ Bernstein, Daniel J.. “The Poly1305-AES message-authentication code”. 2013年12月30日閲覧。

外部リンク

Poly1305-AES
Public domain Poly1305 library

表話編歴暗号学的ハッシュ関数とメッセージ認証コード
セキュリティ要約（英語版）
一般的関数	MD5 SHA-1 SHA-2 SHA-3/Keccak
SHA-3最終候補（英語版）	BLAKE Grøstl（英語版） JH（英語版） Skein（英語版） Keccak (勝者)
その他の関数	FSB（英語版） ECOH（英語版） GOST（英語版） HAS-160（英語版） HAVAL（英語版） Kupyna（英語版） LMハッシュ MDC-2（英語版） MD2 MD4 MD6（英語版） N-Hash（英語版） RadioGatún RIPEMD SipHash（英語版） Snefru（英語版） Streebog（英語版） SWIFFT（英語版） Tiger（英語版） VSH（英語版） WHIRLPOOL crypt(3)（英語版） (DES)
MACアルゴリズム	DAA（英語版） CBC-MAC HMAC OMAC（英語版）/CMAC PMAC（英語版） VMAC（英語版） UMAC（英語版） Poly1305
認証付き暗号モード	CCM CWC（英語版） EAX（英語版） GCM IAPM（英語版） OCB（英語版）
攻撃	衝突攻撃（英語版）原像攻撃誕生日攻撃総当たり攻撃レインボーテーブルサイドチャネル攻撃伸長攻撃（英語版）差分解読法
設計	アバランシェ効果（英語版）ハッシュ衝突 Merkle–Damgård構成法（英語版）
標準化	CRYPTREC NESSIE NISTハッシュ関数コンベンション（英語版）
利用	ソルトキーストレッチ（英語版）メッセージ認証（英語版）
パスワードハッシュ関数	bcrypt PBKDF2 scrypt Argon2
カテゴリ：ハッシュ関数・メッセージ認証コード・認証付き暗号

表話編歴暗号
暗号史暗号解読 Cryptography portal en:Outline of cryptography
共通鍵暗号ブロック暗号ストリーム暗号暗号利用モード公開鍵暗号暗号学的ハッシュ関数メッセージ認証コード認証付き暗号乱数生成器ステガノグラフィー