基本情報技術者 2015年 秋期 午前（科目A） 問37

暗号解読の手法のうち、ブルートフォース攻撃はどれか。【午前2 解説】

要点まとめ

• 結論: ブルートフォース攻撃は鍵やパスワードの全候補を機械的に総当たりで試して正解を見つける手法で、既知平文は検証に使えるが統計的性質は不要です。
• 根拠: 問題文の「与えられた1組の平文と暗号文に対し、総当たりで鍵を割り出す」という記述は鍵探索（exhaustive key search）の定義と一致します。
• 差がつくポイント: 計算量は鍵長に指数的依存し $2^n$ で増加するため、実務では鍵長や鍵管理、鍵伸張などの対策理解で差が付けられます。

正解の理由

よくある誤解

• 「既知平文がないとブルートフォースはできない」：既知平文は検証に便利ですが、辞書や検証可能な形式（整合性チェック）でも候補を判定できるため必須ではありません。
• 「総当たり＝常に実行可能」：鍵長が十分長ければ現実的な時間で破ることは不可能であり、計算資源次第で可否が変わります。
• 「電磁波解析や差分解析もブルートフォースの一種」：これらはサイドチャネル攻撃や差分暗号解析など別カテゴリで、攻撃原理が異なります。

解法ステップ

1. 問題文のキーワード（総当たり、鍵を割り出す）を把握する。
2. 各選択肢を対応する暗号解析手法の定義と照合する。
3. 「総当たり＝ブルートフォース」と対応する選択肢を正答とする。

選択肢別の誤答解説

• ア: 正解。与えられた平文・暗号文の組に対し鍵候補を総当たりで試す、典型的なブルートフォース（鍵探索）攻撃の記述です。
• イ: 誤り。これは線形暗号解析（linear cryptanalysis）で、暗号関数の統計的偏りを線形近似して鍵を推定する手法です。総当たりとは根本的に異なります。
• ウ: 誤り。暗号装置の動作から発する電磁波を解析するのはサイドチャネル攻撃（電磁解析）です。物理的漏洩情報を利用するため総当たりではありません。
• エ: 誤り。異なる平文対の差分とその暗号文差分を観測するのは差分暗号解析（differential cryptanalysis）で、こちらも統計的・構造的手法で総当たりではありません。

補足コラム

• 計算量の目安：鍵長が $n$ ビットのとき理論的には $2^n$ の候補を試す必要があります。例として DES（56ビット）は専用資源で現実的に破られた歴史があり、AES-128（128ビット）は現在の技術では事実上安全とされます。
• 実運用での対策：鍵長の確保（長い鍵）、鍵の使い回し回避、鍵派生関数（鍵伸張やPBKDF2/Argon2等）による計算コスト付加、アカウントロックやレート制限などがブルートフォース対策になります。
• 辞書攻撃との違い：辞書攻撃は人間が選びやすい語句リストを試す総当たりの限定版で、ブルートフォースは理論上の全候補を網羅することを指します。

FAQ