@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00223120,
 author = {髙, 和真 and 石川, 達也 and 阪本, 光星 and 五十部, 孝典 and Kazuma, Taka and Tatsuya, Ishikawa and Kosei, Sakamoto and Takanori, Isobe},
 book = {コンピュータセキュリティシンポジウム2022論文集},
 month = {Oct},
 note = {本稿では低遅延擬似ランダム関数 Orthros に対する差分攻撃耐性の評価を行う．具体的には SAT ソルバーを用いた bit 単位の差分特性の探索評価を行い，Active S-box 数の下界及び最大差分特性確率の厳密な評価を行う．結果として，Active S-box 評価については設計者評価では示されていなかった 8 ラウンドの Active S-box 数の下界を示し，8 ラウンドにおいて Orthros が Active S-box 評価の観点で差分攻撃に対して安全であることを示す．また，Orthros 内部の Branch1 及び Branch2 については，それぞれについてフルラウンド（12 ラウンド）の Active S-box 数の下界を示し，Branch1 が Branch2 それぞれ 11 ラウンドで Active S-box 評価の観点で差分攻撃に対して安全であることを示す．最大差分特性確率の評価については，設計者評価では示されていなかった 7 ラウンドまでの最大差分特性確率を示し，6 ラウンドにおいてOrthros がランダム関数と識別可能であることを示す．また，Branch1 及び Branch2 については，それぞれ 10 ラウンドまでの最大差分特性確率を示し，それぞれ 9 ラウンドの識別攻撃が可能であることを示す．, In this paper, we investigate the security of Orthros against differential attacks. In order to evaluate the lower bounds for the number of active S-boxes and search the optimal differential characteristic in bit level, we take advantage of a SAT-based automatic search method. As a result, we improve the designer’s results and show that the 8-round Orthros are secure against differential attacks by active Sbox-based estimations. Besides, we show that the underlying PRPs Branch1 and Branch2 are secure against differential attacks at 11 rounds. Besides, we show the optimal differential characteristics up to 7 rounds on Orthros, which have not been shown by the designer’s evaluation, and the distinguishing attack to the 6-round Orthros. In additions, we show them up to 10 rounds on both Branch1 and Branch2 and the distinguishing attacks to the 9-round Branch1 and Branch2},
 pages = {472--479},
 publisher = {情報処理学会},
 title = {SATソルバーを用いた低遅延暗号Orthrosに対する差分攻撃評価},
 year = {2022}
}