情報セキュリティ特論（ 6 ）

23/04/24 confidential 1

情報セキュリティ特論（ 6 ）

黒澤　馨（茨城大学）[email protected]


• RSA 暗号　　素因数分解の困難さ• ElGamal 暗号　　離散対数問題の困難さ

　　5mod23 x


• RSA 暗号　　素因数分解の困難さ• ElGamal 暗号　　離散対数問題の困難さ

　　答えは、 x=3

　　5mod23 x


離散対数問題

• y=ax mod p (= 素数）　となる x を求めよ、という問題。• p=1024 ビットのとき、 10 億年


• mod 5 において

　　　　　　　　　　　　　　　　　　　　　

14,44,14,44

13,23,43,33

12,32,42,22

4321

4321

4321

フェルマーの定理



　　　　　　　　　　　　　　　　　　　　　

14,44,14,44

13,23,43,33

12,32,42,22

4321

4321

4321

フェルマーの定理

3 の位数は4

4 の位数は2

2 の位数は4



　　　　　　　　　　　　　　　　　　　　　

14,44,14,44

13,23,43,33

12,32,42,22

4321

4321

4321

3 の位数は 4:

p-1(=4) を割り切る

4 の位数は 2:


2 の位数は 4:



• a の位数　　となる最小の n

• 定理　　任意の元 a の位数は、 p-1 を割り切る。

pan mod1


Diffie-Hellman の鍵共有法

• p = 大きな素数 , 　 q = p-1 を割り切る大きな素数 g = 位数が大きな素数 q の元　　　 gq=1 mod p　　　　



pgx

aa mod

ランダムA B

pgy

bb mod

ランダム

x y



pgx

aa mod

ランダムA B

pgy

bb mod

ランダム

　　〃

　〃ab

ab

a

g

g

pyK

)(

mod)(

　　〃

　〃ab

ba

b

g

g

pxK

)(

mod)(

x y



pgx

aa mod

ランダムA B

pgy

bb mod

ランダム

　　〃

　〃ab

ab

a

g

g

pyK

)(

mod)(

　　〃

　〃ab

ba

b

g

g

pxK

)(

mod)(

敵

盗聴

x y


ba gygxg ,, abgDH 問題

1 億年 (DH 仮定 )

敵のゴール

p, q,


agxg , a離散対数問題DLOG 10 億年 ( 離散対数仮

定 )

ba gygxg ,, abgDH 問題

1 億年 (DH 仮定 )

離散対数問題との関係

?


（定理） DLOG を解くアルゴリズム A が存在す

るなら DH を解くアルゴリズム B が存在する

（証明）ba gg ,

ag A aabg

B


（定理） DLOG を解くアルゴリズム A が存在す

るなら DH を解くアルゴリズム B が存在する

（証明）ba gg ,

ag A aabg )( abg

B


PPT : Probabilistic Polynomial Time 確率的　　　　多項式　　　時間

agxg , PPT アルゴリズム A a

乱数テープ R


R

a

A が aを出力

この面積全面積

Pr(A が解く ) =

agxg , PPT アルゴリズム A a

乱数テープ R


• 離散対数仮定　　確率 ε 以上で DLOG を解くような　　　 PPT アルゴリズムは存在しない

• DH 仮定　　　確率 ε 以上で DH 問題を解くような　　 PPT アルゴリズムは存在しない


定理

• 離散対数仮定が成り立てば、 DH 仮定が成り立つ。


ElGamal 暗号

• 公開鍵： p= 大きな素数 q= p-1 を割り切る大きな素数　　　 g= 位数が q となる元 y (=gx mod p)• 秘密鍵 : x


ElGamal 暗号

• 公開鍵： p, q, g, y(=gx mod p)• 秘密鍵 : x• 平文： m• 暗号化： r ← zp-1

E(m)=(gr, myr)


ElGamal 暗号

• 公開鍵： p, q, g, y(=gx mod p)• 秘密鍵 : x• 平文： m• 暗号化： E(m)=(gr, myr) • 復号： myr / (gr)x=m(gx)r/grx=m mod p


敵への入力

• 公開鍵： p,q,g,y• 暗号文 : (gr, m ・ yr) mod p


巡回群

• <g>={1, g, g2, …, gq-1} は、　　　（生成元） g で生成される巡回群


DDH 仮定

• (g, gr, y, yr) と (g, gr, y, z) は　多項式時間で区別できない。• ただし、 z は <g> からランダムに選ばれた要素


DDH 仮定より

• 平文： m {1, g, g∈ 2, …, gq-1} とする。• 暗号文： E(m) = (gr, myr) ～ (gr, m z ) ただし、　　 z は <g> からランダムに選ばれた要素。

　


DDH 仮定より

• 平文： m {1, g, g∈ 2, …, gq-1} とする。• 暗号文： E(m) = (gr, myr) ～ (gr, m z ) ただし、　　 z は <g> からランダムに選ばれた要素。　　 mz=m× 乱数 → one-time pad 　　


DDH 仮定より

• 平文： m {1, g, g∈ 2, …, gq-1} とする。• 暗号文： E(m) = (gr, myr) ～ (gr, m z ) ただし、　　 z は <g> からランダムに選ばれた要素。　　 mz=m× 乱数 → one-time pad m に関する情報は、もれていな

い


ElGamal 暗号の安全性

• DDH 仮定の下、• 平文 m に関する情報は、何ももれていな

い。


なりすまし攻撃

A B

オレオレ


A の公開鍵 v (=g-s mod p)

A B

s

v =g-s mod pをチェック

s


B が、なりすませてしまう

A B

s

s C

s

オレは A だ


Schnorr の認証法

A B

x =gyvc mod p

s

r← ランダムx=gr mod p

c← ランダム

y=r+sc mod q

x

c

y

v =g-s mod p

gy=gr+sc=gr(gs)c=xv-c


Schnorr の認証法

A B

x =gyvc mod pをチェック

s


c← ランダム

y=r+sc mod q

x

c

y

v =g-s mod p


零知識性

• B には、 s に関する情報が一切漏れていない。


零知識性

• B には、 s に関する情報が一切漏れていない

if B は、自分自身で通信系列 (x,c,y) を生成できる。


定理

• B は、自分自身で通信系列 (x,c,y) を生成できる。


証明

A B


s


c← ランダム

y=r+sc mod q

x

c

y

v =g-s mod p


証明

B B

3. x =gyvc mod p

1. c← ランダム

2. y← ランダム

x

c

y


証明

B B

3. x =gyvc mod p

1. c← ランダム

2. y← ランダム

4. x

c

y


健全性

• B を accept させられるなら、 A は s を知っている。


健全性

• B を accept させられるなら、 A は s を知っている。

• A をサブルーチンとして使って、 s を求めることができる


定理

• A が B を accept させられる

• A をサブルーチンとして使って、 s を求めることができる


証明

A B

x =gyvc mod p

c← ランダム

x

c

y


A を初期状態にリセット

A B


もう一度、 A を走らせる

A B

x


証明

A B

c’← ランダム

x

c’


証明

A B

x =gy’vc’ mod p

c’← ランダム

x

c’

y’


証明

A B

x =gy’vc’ mod p

x

c, c’

y, y’x =gyvc mod p


証明

A B

x =gy’vc’ mod p

x

c, c’


1 =gy-y’vc-c’ mod p

v –(c-c’) =gy-y’ mod p


証明

A B

x =gy’vc’ mod p

x

c, c’




v =g-(y-y’)/(c-c’) mod p


証明

A B

x =gy’vc’ mod p

x

c, c’




v =g-(y-y’)/(c-c’) mod p

v=g-s mod p


証明

A B

x =gy’vc’ mod p

x

c, c’




v =g-(y-y’)/(c-c’) mod ps=(y-y’)/(c-c’)

v=g-s mod p


敵のモデル

• 学習段階• なりすまし段階


学習段階

A B


s


c← ランダム

y=r+sc mod q

x

c

y

敵：盗聴


なりすまし段階

敵 B

x =gyvc mod p

c← ランダム

x

c

y


定理

• なりすましに成功する敵が存在したと仮定すると、離散対数問題を解ける。


v=g-s mod p

s

学習段階

(x’’,c’’,y’’)

敵


敵 B

x

c

y

B


v=g-s mod p

学習段階

(x’’,c’’,y’’)

敵


敵 B

x

c,c’

y,y’


v=g-s mod p

学習段階

(x’’,c’’,y’’)

敵


敵 B

x

c,c’

y,y’

s=(y-y’)/(c-c’)


Schnorr のデジタル署名

A A秘密鍵： s


c=H(x,m)

y=r+sc mod q

x

y

公開鍵： v =g-s mod p

平文 m


Schnorr のデジタル署名

A A

x =gyvc mod pを計算

秘密鍵： s


c=H(x,m)

y=r+sc mod q

x

y

公開鍵： v =g-s mod p

B

σ=(c,y)

署名文

平文 m

c=H(x,m)をチェック


選択平文攻撃署名

オラクル

敵公開鍵（平文 * 、署名文 * ）

平文 m 署名文 σ


ランダム・オラクル・モデルにおける選択平文攻撃

署名オラクル

敵

H オラクル

公開鍵（平文 * 、署名文 * ）

平文 m 署名文 σ

乱数 c=H(m,x)(m, x)


定理• RO モデルにおいて、 Schnorr の署名に対し、確率 ε で偽造に成功する敵 A が存在する。　ただし、 A は H オラクルに高々 h 回質問すると仮定する。

• Schnorr の認証法において、確率 ε/h でなりすましに成功する敵 B が存在する。


ランダム・オラクル・モデルにおける選択平文攻撃

署名オラクル

敵 A

H オラクル

公開鍵 v （ m* 、 c*, y* ）

平文 mi署名文 σi

乱数 cj=H(mj,xj)(mj, xj)


なりすましの敵 B

署名オラクル

偽造の敵 A

H オラクル

v （ m* 、 c*, y* ）

平文 mi署名文 σi

乱数 cj=H(mj,xj)(mj, xj)

公開鍵 v

なりすます

ぞ！


B のなりすまし戦略• 偽造の敵 A は、 H オラクルに　偽造用の (m*, x*) を k 番目に質問する。

偽造の敵 A

H オラクル

(m*,x*)

B

相手


B は k をランダムに推測

• B は、 x* を A に送る。

B 相手

x*

敵

H オラクル

(m*,x*)＝


B のなりすまし戦略

• 相手が c* を返してきた。

B 相手

x*

c*

敵

H オラクル

(m*,x*)＝


B のなりすまし戦略

• B は、 c*=H(m*,x*) とする。

B 相手

x*

c*

敵 A

H オラクル

(m*,x*) c*=H(m*,x*)

B の内部

＝


B は、 A を最後まで走らせる

• A は、偽造 (m*,c*,y*) を出力する。

B 相手

x*

c*

敵 A

H オラクル

(m*,x*) c*=(m*,x*)

B の内部

(m*, c*, y*)


B は、この y* を相手に返す。• (m*,c*,y*) 及び x* は正しい偽造なので、　　検査式　 x*=g y* v c* mod p を満たす

B 相手

x*

c*

敵 A

H オラクル

(m*,x*) c*=H(m*,x*)

B の内部

(m*, c*, y*)

y*


よって、相手は accept する。• (m*,c*,y*) 及び x* は正しい偽造なので、　　検査式　 x*=g y* v c* mod p を満たす

B 相手

x*

c*

敵 A

H オラクル

(m*,x*) c*=H(m*,x*)

B の内部

(m*, c*, y*)

y* accept


これで、 B はなりすましに成功。

• (m*,c*,y*) 及び x* は正しい偽造なので、　　検査式　 x*=g y* v c* mod p を満たす

B 相手

x*

c*

敵 A

H オラクル

(m*,x*) c*=H(m*,x*)

B の内部

(m*, c*, y*)

y* accept


さて、 B は署名オラクルをどうシミュレート

署名オラクル

敵 A

H オラクル

v （ m* 、 c*, y* ）

平文 mi

公開鍵 v

B


零知識性の証明の要領で

署名オラクル

敵 A

H オラクル

v （ m* 、 c*, y* ）

平文 mi

公開鍵 v

ci, yi ← ランダムxi←gyivci

署名文　 σi=(ci,yi)


H オラクルのシミュレート

署名オラクル

敵 A

H オラクル

v （ m* 、 c*, y* ）

平文 mi

(mi, xi)

公開鍵 v


σi=(ci,yi)


ci=H(mi,xi) とすれば、σi=(ci,yi) は検査式を満たす

署名オラクル

敵 A

H オラクル

v （ m* 、 c*, y* ）

平文 mi

ci=H(mi,xi)(mi, xi)

公開鍵 v


σi=(ci,yi)


平文 m, 署名文 σ ＝ (c,y) の検査法

• x=gyvc mod p 　とおく。• c=H(m,x) をチェック


B は、両オラクルを正しくシミュレート

署名オラクル

敵 A

H オラクル

v （ m* 、 c*, y* ）

平文 mi

ci=H(mi,xi)(mi, xi)

公開鍵 v


σi=(ci,yi)


証明

• これで、 B は A の環境を完全にシミュレート

• よって、 A は最後まで走り、　　偽造 (m*,c*,y*) を出力• B は、それを使ってなりすましに成功。

証明終わり


定理

• Schnorr の署名に対し、確率 ε で偽造に成功する敵 A が存在する。　

• Schnorr の認証法において、確率 ε/h でなりすましに成功する敵 B が存在する。


定理

• Schnorr の署名に対し、確率 ε で偽造に成功する敵 A が存在する。　

• Schnorr の認証法において、確率 ε/h でなりすましに成功する敵 B が存在する。• 確率 (ε/h)2 で離散対数問題を解ける

演習

• 教科書 p.49, 問 5.3, 問 5.4


情報セキュリティ特論（ 6 ）

Documents

Transcript of 情報セキュリティ特論（ 6 ）