MISTY1

MISTY1（ミスティワン^[1]）は、1995年に三菱電機の松井充らによって開発された共通鍵ブロック暗号である^[2]。ソフトウェアとハードウェアの両方で高速かつ小型化できるよう設計され、小型機器や携帯機器でも暗号を利用できるようにした^[3]。2005年にISO/IEC 18033-3として発行され、ISO/IEC国際標準暗号に策定されている^[1][4]。

MISTY1

一般
設計者	松井充ら
初版発行日	1995年
後継	Camellia, KASUMI
関連	MISTY2
認証	CRYPTREC（推奨候補）、NESSIE
暗号詳細
鍵長	128 bits
安全性の主張	暗号化鍵の全数探索法に対する安全性、差分解読法に対する証明可能安全性、線形解読法に対する証明可能安全性
ブロック長	64 bits
構造	入れ子型Feistel構造
ラウンド数	4の倍数（8を推奨）
速度	ハードウエア：300Mbps ソフトウエア：Intel Pentium 100MHz上で20Mbps MISTY1（8段版）のCBCモードでの暗号化速度（1996年時点）

MISTY1は、欧州連合のNESSIE推奨暗号、および日本のCRYPTRECの2003年の初版において「電子政府推奨暗号リスト^[5]」に掲載されたが、CRYPTRECの2013年の改訂では「推奨候補暗号リスト^[6]」に移動された。

MISTYは "Mitsubishi Improved Security Technology" を意味し、同時に開発メンバーのイニシャル（松井のM、市川のI、反町のS、時田のT、山岸のY）を並べたものでもある^[7]。

MISTY1に関する特許は三菱電機が所有しているが、特許実施料は無料化されている^[8][9]。

セキュリティ

MISTY1は4の任意の倍数（8が推奨されている）のラウンド数を持つFeistel構造である。ブロック長は64ビット、鍵長は128ビットである。MISTY1は再帰構造を有しており、ラウンド関数自身が3ラウンドのFeistel構造を有している。MISTYは差分解読法および線形解読法に対して数学的に安全性が保証される（証明可能安全性）ように設計されている^[10][11]。

MISTY1は発表から約20年間にわたり安全性が保持されてきたが、2015年に「Division Property」という新たな暗号解読方式によるIntegral攻撃（Integral cryptanalysis）により、解読可能であることが示された^[12][13]。

MISTY2

MISTYには、MISTY1とはラウンド関数の異なる暗号方式であるMISTY2がある。MISTY1のラウンド関数は、FO関数（F関数に相当）とFL関数を含むFeistel構造が採用されているのに対し、MISTY2のラウンド関数は、FO関数が並列処理を行えるように設計されており、Feistel構造とは異なっている。MISTY1は8段、MISTY2は12段での利用が推奨されている^[14]。

関連項目

• KASUMI