ソニー株式会社（以下ソニー）は、国立大学法人名古屋大学岩田哲准教授と共同で、近年コンシューマ製品において重要性が高まりつつあるデジタル署名^※2などの暗号技術を構成するための要素技術として、安全性が高く実装性能が高いハッシュ関数^※1アルゴリズム「AURORA（オーロラ）」^※3を開発しました。「AURORA」は次世代のハッシュ関数アルゴリズムに求められる安全性を保ちながら、ソフトウェアとハードウェアの実装形態においても高性能を達成したハッシュ関数^※1です。ソニーと名古屋大学はこの成果を、米国標準技術研究所（National Institute of Standards and Technology, 以下NIST）^※4が公募している次世代ハッシュ関数の選定を行うプロセス^※5（通称SHA-3 Competition） に応募しております。

　近年、SHA-1やMD5^※6に代表される主要なハッシュ関数アルゴリズムに対する解析技術が目覚ましく発展^※7、安全性に対する強度が弱まりつつあります。その結果、今後、それらのハッシュ関数に代わる新しい設計技法に基づく次世代のハッシュ関数の登場が望まれています。

　「AURORA」は、ソニーが開発した安全で効率性の高い共通鍵ブロック暗号「CLEFIA™」^※8で培ったブロック暗号設計技術を応用し、最新の解析技術に配慮して設計された安全性の高い圧縮関数とそれらの圧縮関数を組み合わせる先進的なドメイン拡張技術を特長としています。圧縮関数では、データの攪拌性能の高い複数の変換関数を接続することで、既存の攻撃への耐性を高めています。圧縮関数の内部はバイト単位の演算を基本とし、さらに繰り返し構造を積極的に採用することで各種の実装形態に適した設計となっています。ドメイン拡張技術では、圧縮関数同士を効率よく接続することにより、さまざまな出力サイズに対応するとともに、期待される安全性を満たしたハッシュ関数を構成しています。その結果、ソフトウェア実装においては、256ビット出力長^※9の「AURORA-256」^※10で15.4 cycles/byte 、512ビット出力長の「AURORA-512」^※11で27.4 cycles/byte の高速性を達成しました^※12。またハードウェア実装においては、0.13μm　CMOS標準セルライブラリ^※13を使用した場合、「AURORA-256」^※10ではモバイル機器向けなどの回路規模の小型化を優先した小型実装で回路規模11.1Kgates/速度2.2Gbps、サーバ向けなどの速度を優先した高速実装で回路規模35.0Kgates/速度10.4Gbpsを、「AURORA-512」^※11では小型実装で14.6Kgates/1.2Gbps、高速実装で56.7Kgates/9.1Gbpsを達成いたしました。この結果から「AURORA」は、同じ出力長に対応した主要なハッシュ関数SHA-2^※14と比較しても、多くの実装形態で性能を低下させることなく、より高い安全性を実現したハッシュ関数であると言えます。

　NISTでは将来のアルゴリズムの移行を見据えて、224ビット、256ビット、384ビット、512ビットの各出力長^※9に対応した次世代ハッシュ関数の公募を行い、この度「AURORA」が候補アルゴリズムの一つとして正式に認定されました。今後は、NISTの公開選定プロセスにおいて、他の候補^※15ととともに安全性や性能等の評価・比較がなされ、最適な候補が2012年に次世代ハッシュ関数SHA-3として決定される予定です。
　ソニーでは、SHA-3 Competitionへの関与を通じて、ユーザーが安心して利用することのできる、よりよいセキュリティ技術の発展に向けて貢献をしてまいります。

NISTのホームページ：http://www.nist.gov/

• ※1ハッシュ関数：暗号学的ハッシュ関数のこと。ドキュメントや数字などの文字列の羅列から一定長のデータに要約するための関数・手順のこと。「衝突攻撃耐性」や「原像復元攻撃耐性」などの安全性基準が存在する。
• ※2デジタル署名：デジタルデータに対して改ざんを防止するために署名を付加する技術。ハッシュ関数アルゴリズムと公開鍵暗号技術を利用することで実現することが可能。
• ※3「AURORA（オーロラ）」：ソニーと名古屋大学が共同で開発した暗号アルゴリズム/関数名の開発名称であり、特定の商品 サービスを示すものではありません。
• ※4NIST：米国の商務省下の国立標準技術研究所で度量衡の標準を研究する機関。政府向けの標準暗号を制定。
• ※5次期ハッシュ関数の選定プロセス：NISTの主催する次世代のハッシュ関数を選定するプロジェクト。選ばれたアルゴリズムは2012年にSHA-3として米国連邦標準規格FIPS(Federal Information Processing Standard)になり、全世界で利用されることになる。
• ※6SHA-1,MD5：SHA-1はFIPS180-2に掲載された従来広く利用されてきた160ビット出力長のハッシュ関数。MD5はSHA-1が登場する以前から広く利用されてきた128ビット出力長のハッシュ関数。両者とも現在までに脆弱性が指摘されている。
• ※7解析技術の目覚ましい発展：ハッシュ関数に対する解析技術の向上により、それまで十分な安全性があると考えられていたアルゴリズムに対する攻撃手法が近年、数多く発表されている。
• ※8CLEFIA(クレフィア)：2007年にソニーが発表した共通鍵ブロック暗号アルゴリズム。128ビット、192ビット、256ビットの鍵長に対応しており、128ビットの平文を暗号文に変換する。実装性能が高い点が特徴で、特にハードウェアの小型実装時の実装効率が極めて高い暗号である。
• ※9出力長：ハッシュ関数の出力するデータのビット長
• ※10AURORA-256：AURORAに含まれる256ビットの出力を行うハッシュ関数アルゴリズム
• ※11AURORA-512：AURORAに含まれる512ビットの出力を行うハッシュ関数アルゴリズム
• ※12ソフトウェア実装の計測環境：インテル® Core™ 2 Duo プロセッサー （2.4GHz）, Windows Vista Ultimate (64-bit)上で速度を計測。
• ※13CMOS標準セルライブラリ：ゲート構造の一種であるCMOS（Complementary Metal-Oxide Semiconductor）向けのハードウェア実装のために予め用意された基本的な論理演算回路群ライブラリ。
• ※14SHA-2：SHA-2はFIPS180-2に掲載された224ビット, 256ビット, 384ビット, 512ビットの出力長に対応したハッシュ関数。SHA-1と同じ設計思想に基づいて設計。
• ※15他の候補：SHA-3 competitionに応募された64アルゴリズムのうちNISTによる審査を通過した51個の候補アルゴリズム。すべての候補が同じ条件下で比較・評価される。