ホーム > 情報処理安全確保支援士試験 > 2023年春期

情報処理安全確保支援士試験 2023年春期午前2 問07

ブロック暗号の暗号利用モードの一つであるCTR(Counter)モードに関する記述のうち,適切なものはどれか。

ア：暗号化と復号の処理において,出力は,入力されたブロックと鍵ストリームとの排他的論理和である。（正解）

イ：暗号化の処理において,平文のデータ長がブロック長の倍数でないときにパディングが必要である。

ウ：ビット誤りがある暗号文を復号すると,ビット誤りのあるブロック全体と次のブロックの対応するビットが平文ではビット誤りになる。

エ：複数ブロックの暗号化の処理は並列に実行できないが,複数ブロックの復号の処理は並列に実行できる。

解説

CTR（Counter）モードは、ブロック暗号の暗号利用モードの一つで、とても重要かつ広く使われている方式です。問題文中の選択肢の中で正しい説明は「ア」ですので、CTRモードについて詳しく解説します。

CTRモードでは、「カウンタ（Counter）」という値を暗号化し、その出力を鍵ストリームとして利用します。この鍵ストリームを平文と排他的論理和（XOR）を取ることで暗号文を作成します。

カウンタの用意
初期値を設定したカウンタはブロックごとにインクリメントされます。
カウンタの暗号化
ブロック暗号（例：AES）の暗号化機能を使い、カウンタを暗号化（ $E_k(\text{Counter})$ ）します。
鍵ストリームの生成とXOR
暗号化したカウンタの出力（鍵ストリーム）と平文ブロックをXORして暗号文を生成。復号時も同じ鍵ストリームをXORに使って元の平文を復元します。

「暗号化と復号の処理において, 出力は, 入力されたブロックと鍵ストリームとの排他的論理和である」

CTRモードの基本原理はまさにこれです。平文データ（暗号化時）、または暗号文（復号時）と同じ鍵ストリームをXORすることで処理が完了します。暗号化・復号処理は同一のXOR演算のみで行われるため、効率も良くわかりやすいです。

イ（誤）
CTRモードはストリーム暗号の性質があり、ブロック長の倍数でなくてもパディングは不要です。任意の長さのデータに対応できます。
ウ（誤）
CTRモードでの誤り伝播は限定的で、誤りのあるビットは復号結果の対応するビットにのみ影響します。次のブロックや他のビットには影響しません。
エ（誤）
CTRモードの暗号化処理は、カウンタの各値による暗号化が独立しているため並列処理が可能です。復号も同様に並列で処理できます。問題文の記述は誤りです。

CTRモードは以下のメリットがあります。

このため、CTRモードは多くの暗号プロトコルや暗号システムで採用されています。

正解選択肢「ア」はCTRモードの特徴を的確に表しており、理解しておくべきポイントです。