高速でより安全なRocca-typeラウンド関数の設計

FSE 2022 において阪本らは AES-NI を用いた 6G 向け認証暗号 Rocca を提案した．Rocca では，鍵回復攻撃に対して 256 ビットセキュリティを claim しているが，差分攻撃をベースにした偽造攻撃に対して 128 ビットセキュリティしか保証していない．量子クエリ攻撃モデル (Q2モデル) では，n ビットの差分攻撃の安全性は n/2 ビットセキュリティに低下することが知られており，Q2 モデルにおいて Rocca は 64 ビットセキュリティしか偽造攻撃の安全性を保証できない．本研究では，Rocca のラウンド関数と同等の速度を維持しつつ，偽造攻撃に対して Q2 モデルにおいても 128 ビットセキュリティを保証するラウンド関数の探索を行う．具体的には，ラウンド関数内の AES ラウンド関数の適用数に着目し，一定数以上の AES ラウンド関数を適用した場合にラウンド関数全体の速度が飽和する特性を発見し，要件の再検討を行った．結果として，Rocca のラウンド関数と同等の速度を実現し，かつ偽造攻撃に対して Q2 モデルにおいても 128 ビットセキュリティを保証するラウンド関数を発見した．

Rocca is an AES-based AEAD scheme targeting for beyond 5G applications proposed by Sakamoto et al. at FSE 2022. Since Rocca claims 256-bit security against key recovery while the security against the forgery attack using differential cryptanalysis is guaranteed by only 128-bit security, the security against the forgery attack is reduced to only 64-bit security in Q2 model in the quantum setting. In this paper, we explore classes of Rocca-type round function and aim at finding for the round function that achieves the 128-bit security against the forgery attack in Q2 model without sacrificing the performance. Specifically, we exploit a new insight regarding the impact of the number of the applied AES round functions to the software performance. With this new insight, we find a class of round functions that achieve 128-bit security in the Q2 model while keeping the same performance as the round function of Rocca.