SHA-256、AES-128の性質

辞書攻撃や原像（パスワード）保護を目的とする鍵導出関数ですが、パスワードから鍵に至る過程でのエントロピー的目減りに不安を感じました。いろいろな鍵導出関数がある様ですので、全貌をお聞きする事は無理かと存じます。そこで、関数の構成要素となる、SHA-256やAES-128の基本的性質について、まずお伺い出来ればと思っております。

１）SHA-256（入力ブロック長512bit、出力256bit）において：
入力512bitの内半分を'0'に固定、残り256bitに２の256乗通りのbitパターンを加えたとき、出力256bitには何通りのbitパターンが得られるのでしょうか。おおよそ２の255乗通りでしょうか、それとも２の128乗通りでしょうか。逆に言えばどの程度の衝突が存在するのかという疑問です。

２）AES-128（平文入力128bit、暗号文出力128bit、鍵入力128bit）において：
平文入力128bitをあるbitパターンに固定、鍵入力128bitに２の128乗通りのbitパターンを加えたとき、暗号文出力128bitには何通りのbitパターンが得られるのでしょうか。固定する平文入力のbitパターンにも依存しそうに思われますが、「通り」個数はどのようなヒストグラムを作るのでしょう。平均は、おおよそ２の127乗通りでしょうか、それとも２の64乗通りでしょうか。

３）AES-128（平文入力128bit、暗号文出力128bit、鍵入力128bit）において：
鍵入力128bitと平文入力128bit両方に同一の、２の128乗通りのbitパターンを加えたとき、暗号文出力128bitには何通りのbitパターンが得られるのでしょうか。（２）の場合と差異があるでしょうか。

４）bitパターンの部分集合を使用し全体の挙動を推測する実験的手法はありますでしょうか。

初歩的な質問とは思いますが、検索するも、該当記事を見つけられません。宜しくご教示ください。

No.1 ベストアンサー 回答者： rinkun 回答日時： 2009/10/22 10:15

暗号の専門家ではないので確かではないですが、質問1-3に対する明確な回答は得られていないと思います。

SHA-256のランダム性については下記の資料が参考になるかもしれません。
# http://www2.nict.go.jp/y/y213/cryptrec_publicity …

参考URL：http://www2.nict.go.jp/y/y213/cryptrec_publicity …

この回答へのお礼

資料ご紹介ありがとうございます。SHA-256、第二原像発見困難性の評価指標は、2の256乗になっているようですね。
たとえ入力512bitの半分が'0'でも、攻撃には同じ手数を要すでしょうから、疑問（１）に関しては、256bitからほとんど目減り無しと考えて良さそうですね。　AES-128に関しても、出力パターンの重複の割合は exp(-1)程度、128bitからの目減りは、せいぜい 0.7 bitかと現在考えております。まだ混乱しておりますが。

お礼日時：2009/10/22 20:11