@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00208535,
 author = {宮下, 翔太郎 and 伊藤, 竜馬 and 宮地, 充子 and Shotaro, Miyashita and Ryoma, Ito and Atsuko, Miyaji},
 book = {コンピュータセキュリティシンポジウム2020論文集},
 month = {Oct},
 note = {ストリーム暗号Salsa20は2005年にBernsteinによって設計された．Salsa20の有力な攻撃として，Aumassonらの差分解読法があるが，その鍵回復に利用される概念がProbabilistic　Neutral Bits(PNB)である．<br>PNBとは，出力の復号時に影響を及ぼさない鍵ビットである．鍵長がℓビット，PNBがnビットの時，鍵回復時の全数探索の鍵空間が約2^{ℓ-n}個に削減できる．<br>本稿では，Salsa20のQuarter roundの構造を，ビット位置とARX構造が及ぼす影響の関係に着目して詳細に分析し，PNBの出現する確率が高くなる条件を調査する実験を行った．結果として，Quarter roundの加法による攪拌の影響が少ないビット位置において，PNBが高い確率で出現することを発見した．また，我々の発見したPNBは，既存研究で攻撃に用いられているPNBと比べ，出現確率が高いことがわかった．, The stream cipher Salsa20 was designed by Bernstein in 2005. A differential cryptanalysis on Salsa20 proposed by Aumasson et al. is based on a new technique called Probabilistic Neutral Bits (PNB), which are key bits not changing outputs.<br>PNB don't affect the decryption effectively. When the key length is l-bit and PNB is n-bit, the exhaustive search size can be reduced to approximately 2^{l-n}.<br>In this paper, we analyze the Salsa20 structure, focusing on the relationship between the output bit position and the structure, and experiment to investigate the conditions in which PNB are likely to occur. As a result, we demonstrate that PNB appears with high probability at positions where the effect of addition is weak in the quarter round. In addition, we clarify that the discovered PNB is more accurate than the PNB used in the existing attacks.},
 pages = {769--776},
 publisher = {情報処理学会},
 title = {ストリーム暗号Salsa20におけるProbabilistic Neutral Bitsの解析},
 year = {2020}
}