manmos@stellar.co.jp (Hideo "Sir MaNMOS" Morishita) writes:

> In article <e67g3f$fp8$1@caraway.media.kyoto-u.ac.jp>,
>  Yoshitaka Ikeda <ikeda@4bn.ne.jp> writes:
> > 文章読んでみると、そんなことは書いてません(w
> 
> 読んでみました。なぜ、こんなタイトルが付いたのか謎ですね。

なんなんでしょうね。
もしかして、IBMがMARSのCRYPTRECへの応募を取り下げたのも
関係しているのかもしれません。
 
> > そもそも、AES候補だったIBMのMARSは変形Feistel構造だったし、
> > NESSIEで最終的に残ったMISTY(古いけど)もCamelliaもFeistel構造
> > 
> > っていうか、CRYPTRECのブロック暗号だとFeistelじゃないのは、
> > Hierocryptシリーズと(ハイブリッドな)SC2000だけだったような。
> 
> 自分で実装した関係上、私がよく使うCAST-[56]もFeistel構造ですね。

CAST-256ですよね? いや、56bit版もあるんですか?
CASTはぜんぜん構造は知りませんでしたが、すくなくとも、
Applied Cryptgraphyを読む限りでは、Feistel構造でビット数可変
なんですよね?

> > 個人的には、設計の容易さや復号が暗号化と同一であることから考えると
> > Feistel構造にもそれなりの利点はあると思う。
> 
> あと、CASTで判る通り、64bitブロックから128bitブロックへの拡張も、簡単
> に行えたりします。

RC5とかRC6も同様ですよね。
これも、たぶんラウンド関数が全単射である必要がない
(構造自体から全単射であることが保障される)というFeistel構造のメリット
でしょうね。

> ハードウェア実装などではfの部分はいじらずに、ちょっとネットワークをい
> じるだけでよいです。

あんまりハードウェア実装はまじめに見たことはないんですが、
SPNだと、そのまんまダイレクトにビット幅が影響してきますよね。
 
> あと、(私が知っている限り、既知平文攻撃とか線形攻撃とかで)どのようなf
> を使えば、攻撃に強くなるかの論文は豊富です。

これについては、どっちが豊富なんだろうなぁ。
ただ、3段繰り返し攻撃とか見てると、Feistel構造は、線形攻撃・差分攻撃では
糸口は見つけやすいような気がします。
 
> SPN構造だと、そのあたり、自分で考えなきゃならないので、社内内部で使用
> するために、ちょっとした暗号を設計しましょう、なんてことはとてもできま
> せん。

これは難しいでしょうね。

そういえば、暗号アルゴリズムの名前は失念したんですが、うまくSPN構造を
使って、暗号化と復号が同一処理(鍵の順番入れ替えるだけ)でできるような
暗号がありました。ゼミで誰かが論文紹介してたんだけどな。忘れちゃいました。
 
> その点Feistelだと、ちょっと、SHA-1にあわせて160bitブロックの暗号をCAST
> のS-Boxとf[1-3]使って作ってみようとか、簡単にできます。

まあ、速度さえ気にしなければ簡単に実現できますよね。
-- 
I LOVE SNOOPY!  でつ
Yoshitaka Ikeda mailto:ikeda@4bn.ne.jp
My Honeypot: honey@4bn.ne.jp  <-don't send this address