IDEA暗号化・復号

IDEA（国際データ暗号化アルゴリズム）は、1991年にスイスのETHチューリッヒで Xuejia Lai と James Massey によって設計されました。DESの後継として考案され、DESの56ビット鍵に対して128ビットの完全な鍵を使用し、64ビットのブロックを8.5ラウンドで処理します。最大の特徴は、XOR・2¹⁶を法とする加算・(2¹⁶+1)を法とする乗算という、互いに非互換な3つの代数演算を組み合わせた設計です。

IDEAはPGP 2.xのデフォルト対称暗号として採用され、1990年代に最も普及した電子メール暗号化ソフトウェアを支えました。MediaCrypt AGが保有していた特許は2012年に失効し、現在は世界中で自由に利用可能です。30年以上が経過した現在も、完全な8.5ラウンドに対する実用的な攻撃は報告されておらず、ラウンド数を5まで削減した場合に初めて弱点が現れます。

主な特徴

• 128ビットのマスター鍵をサイクリックシフトで52個の16ビット副鍵に展開
• 64ビットのブロックサイズ—DESと同幅だが、鍵長が大きく、ラウンド数も多い
• 8.5ラウンドにわたりXOR・加算mod 2¹⁶・乗算mod(2¹⁶+1)を交互に適用
• 2012年に特許失効—オープンソース・商用を問わず自由に使用可能

暗号化モード

• CBC: 暗号ブロック連鎖—各64ビットIDEAブロックは暗号化前に前の暗号文ブロックとXORされます。64ビットIVが同一平文の繰り返しを検出不可能にします。IDEAを使った汎用ファイル暗号化に推奨。
• ECB: 電子符号表—各64ビットブロックが同じ52個の副鍵で独立に暗号化されます。同一平文ブロックは常に同一暗号文ブロックを生成し、データの構造が露見します。単一のランダムブロックの暗号化以外には適しません。
• CFB: 暗号フィードバック—IDEAが鍵ストリーム生成器として機能し、前の暗号文ブロックを暗号化してからXORします。64ビットブロック暗号を自己同期型ストリーム暗号に変換し、バイト単位処理に適しています。
• OFB: 出力フィードバック—IVを繰り返し暗号化して平文と独立に鍵ストリームを生成します。鍵ストリームの事前計算が可能でエラー伝播もないため、ビットエラーが後続ブロックに波及してはならない雑音チャネル通信に適しています。
• RAW: Rawブロック - チェーンモードなしの直接単一ブロック暗号化。IVは不要です。

セキュリティ上の考慮事項

• 64ビットブロックサイズは誕生日境界リスクをはらみます：同一鍵で約2³²ブロック（32 GB）暗号化後、衝突確率が急上昇します—高スループットの用途では、このしきい値を超える前に鍵をローテーションしてください
• 3つの非互換代数演算の組み合わせは、1990年代初頭にDESを破った差分解読法と線形解読法を無効化するために意図的に設計されており、IDEAの完全8.5ラウンドに対してはどちらも実用的効果がありません
• 副鍵の大部分がゼロまたはワンになる弱鍵クラスが存在しますが、発生確率は約2⁻¹¹⁴と極めて低いです—念のため、16ビット区切りで全ビット0または全ビット1になる鍵を拒否する検証を推奨します
• 新規システムにはAES-256-GCMまたはChaCha20-Poly1305を選択してください。IDEAは旧PGP 2.xアーカイブとの互換性維持や、アルゴリズムが明示的に指定されているレガシープロトコルへの対応にのみ使用してください

使用例

• OpenPGP RFC 4880でAESに移行する以前、IDEAをデフォルト対称アルゴリズムとして使用していた旧PGP 2.xメールアーカイブやS/MIMEメッセージの復号
• IDEAハードウェアアクセラレーションが既にシリコンに実装されている組み込みプラットフォーム—アルゴリズム変更には基板の再設計が必要でコストが高い
• IDEA設計を通じた混合代数群ブロック暗号とSPN構造の比較を扱う暗号学の教育課程—Z/(2¹⁶+1)での乗算が差分攻撃を阻止する理由を解説
• 1990年代の暗号化ファイルのフォレンジック復号—当時のソフトウェアがユーザーへの明示なしにIDEAをデフォルト使用していたケース

参考文献

• Wikipedia - International Data Encryption Algorithm
• LaiとMasseyによるオリジナルのIDEA論文