In article <e67g3f$fp8$1@caraway.media.kyoto-u.ac.jp>,
 Yoshitaka Ikeda <ikeda@4bn.ne.jp> writes:
> dW : Security : DES に代わる Rijndael (ラインダール)
> http://www-06.ibm.com/jp/developerworks/security/010316/j_s-rijn.html#5
> 
>     Feistel 構造の時代は終わった
> 
> というなかなか挑戦的なタイトルです。
> 
> 文章読んでみると、そんなことは書いてません(w

読んでみました。なぜ、こんなタイトルが付いたのか謎ですね。

> そもそも、AES候補だったIBMのMARSは変形Feistel構造だったし、
> NESSIEで最終的に残ったMISTY(古いけど)もCamelliaもFeistel構造
> 
> っていうか、CRYPTRECのブロック暗号だとFeistelじゃないのは、
> Hierocryptシリーズと(ハイブリッドな)SC2000だけだったような。

自分で実装した関係上、私がよく使うCAST-[56]もFeistel構造ですね。

> 個人的には、設計の容易さや復号が暗号化と同一であることから考えると
> Feistel構造にもそれなりの利点はあると思う。

あと、CASTで判る通り、64bitブロックから128bitブロックへの拡張も、簡単
に行えたりします。

ハードウェア実装などではfの部分はいじらずに、ちょっとネットワークをい
じるだけでよいです。

あと、(私が知っている限り、既知平文攻撃とか線形攻撃とかで)どのようなf
を使えば、攻撃に強くなるかの論文は豊富です。

SPN構造だと、そのあたり、自分で考えなきゃならないので、社内内部で使用
するために、ちょっとした暗号を設計しましょう、なんてことはとてもできま
せん。

その点Feistelだと、ちょっと、SHA-1にあわせて160bitブロックの暗号をCAST
のS-Boxとf[1-3]使って作ってみようとか、簡単にできます。

-- 
   ___     わしは、山吹色のかすてーらが大好きでのぅ
 [[o o]]            ふぉっふぉっふぉ
   'J'     森下 お代官様 MaNMOS 英夫@ステラクラフト
PGP Finger = CD EA D5 A8 AD B2 FE 7D  02 74 87 52 7C B7 39 37