# ブロック暗号 LED の高階差分特性

井上 祐輔 † 五十嵐 保隆 ‡ 金子 敏信 †

| †東京理科大学                                            | ‡鹿児島大学                         |
|----------------------------------------------------|--------------------------------|
| 278-8510 千葉県野田市山崎 2641                             | 890-8580 鹿児島県鹿児島市郡元 1-21-24    |
| <pre>{j7312609@ed, kaneko@ee}.noda.tus.ac.jp</pre> | igarashi@eee.kagoshima-u.ac.jp |

**あらまし**本稿ではブロック暗号 LED の高階差分特性について報告する。LED は AES を縮小した SPN 構造を持ち、4 ビット S-box で構成される。この LED において、4 階差分で3 段まで、16 階差分で4 段まで、32 階差分で5 段まで達する高階差分特性を発見した。前2者は AES において知られる、8 階差分で3 段まで、32 階差分で4 段まで達する高階差分特性に対応している。

# Higher Order Differential Properties of the LED Block Cipher

Yusuke Inoue<sup>†</sup>

Yasutaka Igarashi‡

Toshinobu Kaneko†

†Tokyo University of Science
2641 Yamazaki, Noda, Chiba 278-8510, JAPAN
{j7312609@ed, kaneko@ee}.noda.tus.ac.jp

‡Kagoshima University 1-21-24 Korimoto, Kagoshima, Kagoshima 890-8580, JAPAN igarashi@eee.kagoshima-u.ac.jp

**Abstract** In this paper, we report new higher order differential properties of the LED block cipher. LED has a AES-like structure with 4-bit S-boxes. We found a 4th order differential property for three rounds, a 16th order differential property for four rounds, and a 32nd order differential property for five rounds on LED. The 4th order and 16th order properties correspond to an 8th order differential property for three rounds and a 32th order differential property for four rounds on AES.

## 1 序論

LEDはGuoらによって提案された64ビット ブロック暗号である。CHES 2011において初め て発表[1]された後、Cryptology ePrint Archive において修正版が公表されている[2]。LEDは AESを縮小したようなSPN構造を持ち、4ビッ トS-boxで構成される。本稿ではブロック暗号 LEDの高階差分特性について報告する。この LEDにおいて、4階差分で3段まで、16階差 分で4段まで達する高階差分特性を発見した。 これらは AES において知られる、8 階差分で3 段まで、32 階差分で4 段まで達する高階差分特 性に対応している。さらに、10 階差分で4 段ま で、32 階差分で5 段まで達する高階差分特性を 発見した。これらに対応する AES の特性は知 られていない。

# 2 LEDの構造

LED のブロック長は 64 ビットであり、鍵長 は 64 から 128 ビットの間で自由に選択できる。 データ攪拌部における段関数の数は鍵長によっ て変わり、64 ビットでは32 個、65 ビット以上 では48 個となる。全体構造を図1に示す。

段関数はAddConstants、SubCells、ShiftRows、 MixColumnsSerialで構成され、4段毎に秘密鍵 より生成された副鍵が排他的論理和される。

## 2.1 データ攪拌部

ここては、64ビットの内部状態を4ビット データ $s_i$ に分けて $4 \times 4$ の行列で表現する。

| $s_0$    | $s_1$    | $s_2$    | $s_3$    |
|----------|----------|----------|----------|
| $s_4$    | $s_5$    | $s_6$    | $s_7$    |
| $s_8$    | $s_9$    | $s_{10}$ | $s_{11}$ |
| $s_{12}$ | $s_{13}$ | $s_{14}$ | $s_{15}$ |

### 2.1.1 AddConstants

次の定数が排他的論理和される。ただし、 $ks_i$ は鍵長依存の定数、 $rc_i$ は段依存の定数である。

$$\begin{bmatrix} 0 \oplus (ks_7||ks_6||ks_5||ks_4) & (rc_5||rc_4||rc_3) & 0 & 0 \\ 1 \oplus (ks_7||ks_6||ks_5||ks_4) & (rc_2||rc_1||rc_0) & 0 & 0 \\ 2 \oplus (ks_3||ks_2||ks_1||ks_0) & (rc_5||rc_4||rc_3) & 0 & 0 \\ 3 \oplus (ks_3||ks_2||ks_1||ks_0) & (rc_2||rc_1||rc_0) & 0 & 0 \end{bmatrix}$$

## 2.1.2 SubCells

各々の4ビットデータ $s_i$ を4ビット入出力の 非線形関数 (S-box) に適用する。これはAES に おける SubBytes 変換と対応する。

### 2.1.3 ShiftRows

内部状態の*i*行目を4ビット単位で*i*-1回右 回転シフトする。

## 2.1.4 MixColumnsSerial

内部状態の各列ベクトルを次の行列と乗算したものに置き換える。ただし、この計算における乗算は GF(2<sup>4</sup>) 上の乗算であり、既約多項式

は $X^4 + X + 1$ である。これはAES における MixColumns変換と対応する。

| /0x4            | 0x1   | 0x2             | 0x2  |
|-----------------|-------|-----------------|------|
| 0x8             | 0x6   | 0x5             | 0x6  |
| $0 \mathrm{xb}$ | 0 x e | 0xa             | 0x9  |
| 0x2             | 0x2   | $0 \mathrm{xf}$ | 0 xb |

# 3 高階差分攻撃

高階差分攻撃は Knudsen によって提案され た高階差分の性質を利用した攻撃法である [3]。

## 3.1 高階差分

平文  $P \in GF(2)^{l}$  と鍵  $K \in GF(2)^{m}$  を入力と し、 $H \in GF(2)^{n}$  と出力する関数 E'(P;K) = $H \circ d$  階差分は、1 次独立な d 個のベクトル Aと、これによって張られる  $GF(2)^{d}$  上の部分空 間  $V^{(d)}$  を用いて、式 (1) のように定義する。

$$\Delta_{V^{(d)}}^{(d)} E'(P;K) = \bigoplus_{A \in V^{(d)}} E'(P \oplus A;K) \quad (1)$$

以降、 $\Delta_{V^{(d)}}^{(d)}$ を $\Delta^{(d)}$ と表記する。E'(P;K)の Pに関するブール代数式がN次のとき、 $\Delta^{(d)}E'(P;K)$ は任意の鍵に対し次の性質を持つ。

$$\Delta^{(N+1)} E'(P; K) = 0$$
 (2)

## 3.2 飽和特性

飽和特性型の高階差分特性をデータの集合に より表記する。 $N \, \forall \gamma$ トデータの集合  $\{X_j | X_j \in \{0,1\}^N, 0 \le j < 2^N\}$ の性質として、次の 4 通 りを定義する。ただし、 $Y_i$  は X = iの出現度数 である。

- Constant(C): if  $\forall_{i,j}, X_i = X_j$
- All(A): if  $\forall_{i,j}, i \neq j \Leftrightarrow X_i \neq X_j$
- Even/Odd(D): if  $\forall_i, Y_i \equiv 0 \pmod{2}$  or  $Y_i \equiv 1 \pmod{2}$
- Balance(B): if  $\bigoplus_i X_i = 0$





 $2^{l}$  個のlビット幅の集合 { $X_{j}$ }の性質がAのと き、A<sub>(l)</sub> と表記する。さらにlビットを分割し、 m 個の $k_{0}, k_{1}, \cdots, k_{m-1}$ (ただし、 $\sum_{i=0}^{m-1} k_{i} = l$ ) ビットデータに表現する場合、次のように表す。

$$\mathbf{A}_{(l)} = (\mathbf{A}_{(k_0)}^0 \mathbf{A}_{(k_1)}^1 \cdots \mathbf{A}_{(k_{m-1})}^{m-1})$$

また、 $2^N$  個のkビットデータXの性質として次を定義する。

• all(a): if  $\forall_i, Y_i = 2^{N-k}$ 

上記以外のNビットデータXの集合の性質 をUnknown(U)とする。

特性 C, A, D, B, a においては高階差分が 0 となる。

#### 3.3 攻撃方程式

r-1段目出力において式(2)の性質が現れる 暗号に対する攻撃を考える。暗号文とr段目の 鍵 $K_r$ を用いてr-1段目出力を求める関数を Fとすると、次の方程式を解くことにより、正 しい $K_r$ を求められる。ただしCは $2^d$ 組の暗号 文である。

$$\bigoplus_{C \in \mathcal{C}} F(C; K_r) = 0 \tag{3}$$

式(3)を攻撃方程式という。この方程式は $K_r$ が正しいときは必ず成り立ち、 $K_r$ が誤っているときは $2^{-n}(n$ はr-1段目出力のビット長)の確率で成り立つ。

## 4 LEDの高階差分特性

計算機実験により、LED 各段の出力において 高階差分が式 (2) の性質を示すか否か (高階差 分特性)を調査し、次に示す結果を得た。

#### 4.1 AESの高階差分特性に対応する特性

次に示す特性は Ferguson らの論文 [4] におい て示された AES の高階差分特性と同じ飽和特 性構造のものである。

### 4.1.1 4 階差分

16 個ある 4 ビットデータのいずれか 1 つに A<sub>(4)</sub> を入力すれば、3 段目出力の 4 階差分が 0 となる。一例を図 2 に示す。

この特性は AES において 8 階差分で 3 段ま で達する既知の高階差分特性に対応している。

#### 4.1.2 16 階差分

1 段目の MixColumnsSerial への入力におい て内部状態の1 列分が A<sub>(16)</sub> となるように変数 を選べば、4 段目出力の16 階差分が0 となる。 一例を図3に示す。

この特性は AES において 32 階差分で4 段ま で達する既知の高階差分特性に対応している。

#### 4.2 新しい高階差分特性

次に示す特性は AES において同じ飽和特性 構造のものが未確認の特性である。

| 平文    | $\begin{bmatrix} A_{(4)} & C & C & C \\ C & C & C & C \\ C & C & C$                                               |
|-------|-------------------------------------------------------------------------------------------------------------------|
| 1段目出力 | $\begin{bmatrix} a & C & C & C \\ a & C & C & C \end{bmatrix}$ |
| 2段目出力 | ↓<br>[a a a a<br>a a a a<br>a a a a<br>a a a a]                                                                   |
| 3段目出力 | $ \begin{bmatrix} B & B & B & B \\ B & B & B & B \\ B & B & B & B \\ B & B & B & B \end{bmatrix} $                |
| 4段目出力 | $\begin{pmatrix} v & v & v & v \\ v & v & v & v \\ v & v &$                                                       |

| 平文    | $\begin{bmatrix} A^0_{(4)} & C & C & C \\ C & A^1_{(4)} & C & C \\ C & C & A^2_{(4)} & C \\ C & C & C & A^3_{(4)} \end{bmatrix}$                          |
|-------|-----------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1段目出力 | $\begin{bmatrix} A^0_{(4)} & C & C & C \\ A^1_{(4)} & C & C & C \\ A^2_{(4)} & C & C & C \\ A^3_{(4)} & C & C & C \\ A^3_{(4)} & C & C & C \end{bmatrix}$ |
| 2段目出力 | ↓<br>[a a a a<br>a a a a<br>a a a a<br>a a a a]                                                                                                           |
| 3段目出力 | ↓<br>[a a a a<br>a a a a<br>a a a a<br>a a a a]                                                                                                           |
| 4段目出力 | $\begin{bmatrix} B & B & B & B \\ B & B & B & B \\ B & B &$                                                                                               |
| 5段目出力 | $\begin{pmatrix} v & v & v \\ U & U & U & v \\ \end{bmatrix}$                                          |

#### 図 2:4 階差分

### 4.2.1 10 階差分

4.1.2節の特性が現れる4変数において、いず れか2変数を $A^i_{(4)}$ から $A^i_{(1)}$ に変えても、4段 目出力の10階差分は0となる。一例を図4に 示す。

### 4.2.2 32 階差分

1 段目の MixColumnsSerial への入力におい て内部状態の2 列分が A<sub>(32)</sub> となるように変数 を選べば、5 段目出力の 32 階差分が0 となる。 一例を図5 に示す。

#### 図 3: 16 階差分

### 4.3 変形 LED の高階差分特性

AESにおいては1段毎に鍵加算を行うのに対 し、LEDでは4段毎に鍵加算を行うことから、 鍵加算の頻度が少ないことによってLEDの高階 差分特性がAESよりも多い段に達するものと なっている可能性が考えられる。そこで、LED を1段毎に鍵加算を行うように変形したものに ついても4.1~4.2節の特性が現れるか調査した ところ、同じ特性が得られた。従って、4.2節 の特性が現れたのは鍵加算の頻度によるもので はない。

| 平文    | $\begin{bmatrix} A^0_{(4)} & C & C & C \\ C & A^1_{(4)} & C & C \\ C & C & A^2_{(1)} & C \\ C & C & C & A^3_{(1)} \end{bmatrix}$                                                                                                                                                                         |
|-------|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1段目出力 | $ \begin{bmatrix} a & C & C & C \\ a & C & C & C \end{bmatrix} $                                                                                                                                                                                      |
| 2段目出力 | ↓<br>[a a a a<br>a a a a<br>a a a a<br>a a a a]                                                                                                                                                                                                                                                          |
| 3段目出力 | $\begin{pmatrix} \mathbf{D} & \mathbf{D} & \mathbf{D} & \mathbf{D} \\ \end{pmatrix}$ |
| 4段目出力 | $\begin{bmatrix} B & B & B & B \\ B & B & B & B \\ B & B &$                                                                                                                                                                                                                                              |
| 5段目出力 | ↓<br>[U U U U U<br>U U U U<br>U U U U<br>U U U U                                                                                                                                                                                                                                                         |

### 図 4:10 階差分

## 5 LED に対する高階差分攻撃

これまでに示した高階差分特性を用いて、7 段・11段LEDに対して攻撃することができる。 なお、攻撃可能段数が4段おきとなっているの は、副鍵が4段毎に加算されているためである。

### 5.1 7段 LED に対する攻撃

4.1.1 節の特性を用いることにより7段 LED に対して攻撃が可能である。手順は次の通りである (図 6)。

 4.1.1 節の特性が現れるように 2<sup>4</sup> 組の平文 を攻撃対象の7段 LED に入力し、2<sup>4</sup> 組の

| 平文     | $\begin{bmatrix} A^0_{(4)} \\ C \\ C \\ A^8_{(4)} \end{bmatrix}$                         | A<br>A               |                                                                                                                                   |                       | 2<br>4)<br>4)    | $\begin{array}{c} C \\ C \\ A_{(4)}^{7} \\ A_{(4)}^{3} \end{array}$ |
|--------|------------------------------------------------------------------------------------------|----------------------|-----------------------------------------------------------------------------------------------------------------------------------|-----------------------|------------------|---------------------------------------------------------------------|
| 1 段目出力 | $\begin{bmatrix} A_{(.)}^{0} \\ A_{(.)}^{1} \\ A_{(.)}^{2} \\ A_{(.)}^{3} \end{bmatrix}$ | 4)<br>4)<br>4)<br>4) | $ \begin{array}{c}     A_{(4)}^{5} \\     A_{(4)}^{6} \\     A_{(4)}^{7} \\     A_{(4)}^{8} \\     A_{(4)}^{8} \\   \end{array} $ | 1)<br>1)<br>1)<br>1)  | C<br>C<br>C<br>C | C<br>C<br>C<br>C                                                    |
| 2 段目出力 |                                                                                          | a<br>a<br>a          | a<br>a<br>a<br>a                                                                                                                  | a<br>a<br>a<br>a      | a<br>a<br>a<br>a |                                                                     |
| 3段目出力  |                                                                                          | a<br>a<br>a          | a<br>a<br>a<br>a                                                                                                                  | a<br>a<br>a<br>a      | a<br>a<br>a<br>a |                                                                     |
| 4 段目出力 |                                                                                          | D<br>D<br>D<br>D     | D<br>D<br>D<br>D                                                                                                                  | D<br>D<br>D<br>D      | D<br>D<br>D<br>D |                                                                     |
| 5 段目出力 |                                                                                          | B<br>B<br>B<br>B     | B<br>B<br>B<br>B                                                                                                                  | B<br>B<br>B<br>B      | B<br>B<br>B      |                                                                     |
| 6 段目出力 | -                                                                                        | U<br>U<br>U<br>U     | ↓<br>U<br>U<br>U<br>U                                                                                                             | U<br>U<br>U<br>U<br>U | U<br>U<br>U<br>U |                                                                     |

### 図 5: 32 階差分

暗号文を得る。

- 2. 暗号文に3段 LED の逆関数を適用する。
- 3. 2. の出力に MixColumnsSerial の逆関数を 適用する。
- 3.の出力を4ビット毎に分割し、その内の いずれか1つについて4ビットの鍵を推定 し、排他的論理和する。
- 5. 4. の結果に S-box の逆関数を適用する。
- 5.の結果を全て排他的論理和する。その結果、0にならなければ4.において推定した 鍵は偽の鍵である。



4 段目出力 3 段<sup>-1</sup> 推定鍵 4 段<sup>-1</sup> 4 段<sup>-1</sup> 64 暗号文

図 6:7段 LED に対する攻撃

 4.~6. を全ての4ビット鍵で試行する。その結果、鍵候補がただ1つ残ればその鍵が 真の鍵である。鍵候補が複数残った場合は 平文を変え、鍵候補が1つになるまで1.~
 7. を繰り返す。

1回の暗号化を S-box を  $16 \times 7$ 回参照するの と等価とすると、この攻撃に必要な計算量は 1 回の暗号化を単位として  $\frac{2^4 \times (16 \times 3 + 2^4)}{16 \times 7} \approx 2^4$  で ある。

### 5.2 11 段 LED に対する攻撃

4.2.1 節の特性を用いることにより 11 段 LED に対して攻撃が可能である。手順は次の通りで ある (図 7)。

- 4.2.1 節の特性が現れるように 2<sup>10</sup> 組の平文 を攻撃対象の 11 段 LED に入力し、2<sup>10</sup> 組 の暗号文を得る。
- 2. 暗号文に3段 LED の逆関数を適用する。

図 7:11段 LED に対する攻撃

- 3. 64 ビットの鍵を推定し、2. の出力に排他的 論理和する。
- 4. 3. の結果に4段 LED の逆関数を適用する。
- 5. 4. の結果を全て排他的論理和する。その結 果、0 にならなければ3. において推定した 鍵は偽の鍵である。
- 3.~5. を全ての64ビット鍵で試行する。その結果、鍵候補がただ1つ残ればその鍵が 真の鍵である。鍵候補が複数残った場合は 平文を変え、鍵候補が1つになるまで1.~
   6. を繰り返す。

1回の暗号化をS-boxを16×11回参照するの と等価とすると、この攻撃に必要な計算量は1回 の暗号化を単位として $\frac{2^{10} \times (16 \times 3 + 2^{64} \times (16 \times 4))}{16 \times 11} \approx 2^{73}$ である。従ってこの攻撃が有効と言えるの は鍵長が74ビット以上のときである。

## 6 結論

本稿ではブロック暗号 LED の高階差分特性 について述べた。LED には4階差分で3段ま で、16階差分で4段まで達する高階差分特性が

-322-

存在し、これらは AES における、8 階差分で3 段まで、32 階差分で4 段まで達する高階差分特 性に対応している。他にも、10 階差分で4 段ま で、32 階差分で5 段まで達する高階差分特性が 存在する。これらと同様の特性を AES が持つ かどうかを調べることは今後の課題である。ま た、これらの高階差分特性を利用することによ り、7 段 LED、74~128 ビット鍵 11 段 LED を 攻撃することが可能である。

# 参考文献

- Jian Guo, Thomas Peyrin, Axel Poschmann and Matt Robshaw, "The LED Block Cipher," CHES 2011, LNCS vol.6917, pp.326-341, 2011.
- [2] Jian Guo, Thomas Peyrin, Axel Poschmann and Matt Robshaw, "The LED Block Cipher," Cryptology ePrint Archive, Report 2012/600, 2012.
- [3] Lars R. Knudsen, "Truncated and Higher Order Differentials," FSE 1994, LNCS, vol.1008, pp.196-211, 1995.
- [4] Niels Ferguson, John Kelsey, Stefan Lucks, Bruce Schneier, Mike Stay, David Wagner, and Doug Whiting, "Improved Cryptanalysis of Rijndael," FSE 2000, LNCS, vol.1978, pp.136-141, 2001.