ブロック暗号（- あんごう、Block cipher）とは、共通鍵暗号の一種で、固定長のデータ（ブロックと呼ぶ）を単位として処理する暗号の総称である。これに対して、ビット単位やバイト単位で処理を行う暗号はストリーム暗号と呼ばれる。ブロック暗号は、NビットのブロックとNビットの鍵を入力として、Nビットのブロックを出力する、暗号化 (encryption) "E" と復号 (decryption) "E" の２つのアルゴリズムからなる。任意の鍵"k"について、復号アルゴリズムは暗号化アルゴリズムの逆関数になっていて、を満たす（"m"は任意のブロック）ようになっている（ただし、KASUMIのように復号が定義されていないブロック暗号もある。）。暗号化アルゴリズムの入力ブロックおよび復号アルゴリズムの出力ブロックは通信文、暗号化アルゴリズムの出力ブロックおよび復号アルゴリズムの入力ブロックは暗号文という。任意の長さの通信文を扱うために、暗号利用モードが用意されている。ブロック暗号は確定的暗号であり、鍵を一つ固定すると、同じ平文は必ず同じ暗号文に暗号化される。すなわち、同じ暗号文があった場合、そのブロックの平文は同じであるという情報が漏れてしまう。暗号利用モードでは、このような問題を解決する機能ももつ。ブロック長Nは64ビットや128ビットが代表的である。暗号アルゴリズムによっては、ブロック長をパラメータで指定でき、ブロック長を変えられるものもある。転置式暗号でも、共通鍵を持ちブロック長が数百バイト、数千ビットを超える電子式暗号機がある。鍵長Nは 40, 56, 64, 80, 128, 192, 256 ビットなどがある。換字と転置を組み合わせた共通鍵暗号でも、複数の法に基づく大きなブロックの換字式ストリーム暗号と転置式暗号を組み合わせることで解読の著しく難しい暗号が構成できる。代表的なブロック暗号として、米NISTが制定したDES (Data Encryption Standard)やトリプルDES、AES (Advanced Encryption Standard) がある。日本製のブロック暗号として、MISTY1やCamelliaなどが知られている。ブロック暗号は、メインのスクランブラと拡大鍵を生成する鍵スケジューラから構成されているものが多い。さらに、鍵スケジューラは鍵を入力として複数個の拡大鍵を出力し、スクランブラは複数のラウンドからなり、個々のラウンドで拡大鍵を使って入力の置換・転置等を行う構成になっているものが多い。この構成の暗号をProduct cipher（積暗号）という。また、ラウンドが同じ関数の繰り返しになっている場合にはIterated cipher（繰返し暗号）という。ラウンド関数は置換や転置、論理演算、算術演算などのシンプルな部品で構成されていて、ラウンド関数を複数段、重ねることで十分な強度のスクランブルを行うものである。ラウンド段数は、通常、アルゴリズムの仕様によって指定されているが、セキュリティパラメータとして利用者が選択するものもある。ラウンド関数の主な構成法に、Feistel構造とSPN構造の２つがある。DES, MISTY1, CamelliaはFeistelで、AESはSPNの暗号である。ブロック暗号は公開鍵暗号に比して高速であるため、公開鍵暗号と組み合わせたハイブリッド暗号では公開鍵暗号で暗号化されたセッション鍵を用いた本文の暗号化・復号に用いられる。また、パスワードの保存のための一方向性関数として用いられたり (UNIXの/etc/passwd等) 、メッセージ認証コード (MAC) に用いられる。擬似乱数列の生成にも用いられる (see NIST SP800-90) 。暗号標準として採用（もしくは推奨）されているブロック暗号には次のものがある。ブロック暗号は、もとより鍵長formula_2ビットに対してformula_3の計算量的安全性以上の安全性をもたない。すなわち、鍵の全数探索で必ず解読可能である（平均解読計算量は半分のformula_4となる）。これは、ブロック暗号の鍵長を定める際に最も重要な要素の一つであり、現在DES（56ビット）が推奨されないのもその鍵長の短さが原因の一つである。ただし、ブロック長formula_5がformula_6である場合、ある通信文と暗号文の対（ペア）に対して、平均してformula_7の鍵候補が存在する。一つの通信文暗号文対では、鍵候補の中に真の暗号化鍵は存在するが、どの鍵候補が真の暗号化鍵であるかは判定できない。formula_8個の通信文暗号文対が存在して、formula_9ならば、真の暗号化鍵が得られることが期待できる。ブロック暗号アルゴリズムの弱点を用いて鍵の全数探索以下の計算量で鍵（の一部）を求める手法を総称してショートカット法と呼ぶ。ショートカット法には多くの種類があるが、ここでは代表的なものを列挙する。ショートカット法が存在するアルゴリズムは学術的には「解読可能」と呼ばれるが、その必要な計算量が現実的であるかどうかは考慮されない。すなわち、学術的に解読可能であることが、即、その暗号を利用したシステムの破綻につながるわけではない。しかしながら、設計者が想定した強度を有していないという事実はその暗号アルゴリズムが信頼性の低い暗号アルゴリズムであることを意味する。ハードウェアやソフトウェアに実装された暗号をアルゴリズムではなく、消費電力や実行時間等の情報を用いて攻撃する手法をサイドチャネル攻撃と呼ぶ。サイドチャネル攻撃は実装とアルゴリズムの両方に影響される。

出典:wikipedia