情報セキュリティ特論（ 4 ）

23/04/20 confidential 1

情報セキュリティ特論（ 4 ）

黒澤　馨（茨城大学）[email protected]


演習

E_KE_K

Tag

（ m1, m2 ）

CBC-MAC について、以下のM=(m1, m2), Tag を基に、偽造せよ。


EkEk

Tag

m1+Tag m2 ）

EkEk

Tag

（ m1, m2

m1


共通鍵暗号系

暗号化アルゴリズム

E

復号アルゴリズム

D平文m

鍵 k

暗号文 C m

敵解読したい


どうやって、鍵 K を共有？


E


D平文m

鍵 k

暗号文 C m

敵解読したい


公開鍵暗号系


E


D平文m

暗号文 C m

暗号化の鍵 Pk を公開

復号鍵 Sk は秘密


14

13

12

11

4

4

4

4

mod 5 において

16

15

14

13

12

11

4

4

4

4

4

4

mod 7 において

・・・


〃

〃

1)1(

12

mod11

1

1

1

p

p

p

p

p

p が素数のとき

フェルマーの定理

)11(

11

pa

a

pa

に対し任意のなる　

pa p mod11

pa

pa

thatsuchaanyFor

p mod1

111

　

　　

　　　　


共通鍵暗号系

• Pohlig-Hellman 暗号共通鍵素数 p 及び ed = 1 mod (p-1) となる (e,d)

p,e, 平文 m



p,e,d p,e,d

pCm d modpmC e mod

共通鍵共通鍵


)1(1

)1(mod1

pked

ped

m

mm

m

m

pmC

pk

pk

ed

ded

〃

〃

〃

)1(

)1(1

mod)(

=1 pm p mod11

フェルマーの定理より


共通鍵暗号系


p,e, 平文 m



p,e p,d

pCm d modpmC e mod

例： m=3,e=3,d=7,p=11 の場合

11= 11=

11=

3= 7= 10==3 =7

11mod5

33

C

11mod3

57

m

3= 〃

〃

〃

3555

5335

935

11mod35

7

26

24

2


共通鍵暗号系


p,e, 平文 m



p,e,d p,e,d

pCm d modpmC e mod

共通鍵共通鍵


共通鍵暗号系


p,e, 平文 m



p,e,d p,e,d

pCm d modpmC e mod

共通鍵共通鍵X X X


公開鍵方式にすると


p,e, 平文 m



p,e d

pCm d modpmC e mod

公開鍵秘密鍵


公開鍵暗号にすると


p,e, 平文 m



p,e, d

pCm d modpmC e mod

公開鍵秘密鍵

敵

敵は、秘密鍵 d

を計算できる


素因数分解

• p,q から、 N=pq を計算するのは簡単• N(=pq) を素因数分解するのは困難• |N|=1024 ビットのとき、１ 0 億年


公開鍵暗号系• RSA 暗号 ( 鍵生成アルゴリズム )

512 ビットの素数 p,q をランダムに生成 N = pq とおく ed = 1 mod (p-1)(q-1) となる (e,d) を求める

平文 m



N(=pq),e d

NCm d modNmC e mod

公開鍵秘密鍵


RSA 暗号

平文 m



N(=pq),e d

NCm d modNmC e mod

公開鍵秘密鍵

敵 p,q を求めることはできない

ed = 1 mod (p-1)(q-1)

敵は、 (p-1)(q-1) を計算できない

よって、敵は d がわからない


〃)1)(1(1

)1)(1(mod1

qpked

qped

m

mm

m

m

pmC

qpk

qpk

ed

ded

〃

〃

〃

)1)(1(

)1)(1(1

mod)(

=1

pm p mod11

フェルマーの定理より

pm qpk mod1)1)(1(


同様に

p,q は互いに素なので

qmC d mod0

NmC

qpmCd

d

mod

mod0

pmC d mod0


同様に


qmC d mod0

NmC

qpmCd

d

mod

mod0

pmC d mod0

86mod024

8mod024

6mod024

互いに素でない


同様に


qmC d mod0

NmC

qpmCd

d

mod

mod0

pmC d mod0

86mod024

8mod024

6mod024

互いに素でない

互いに素

qpmC d

素因数


RSA 暗号

• 公開鍵： N ( =pq ), e

• 秘密鍵： d ただし ed = 1 mod (p-1)(q-1)

• 平文： M

• 暗号文： • 復号：

NMC e modNCM d mod


RSA 暗号

• 公開鍵： N ( =pq ), e


• このようなｄをどう求めるか？


（問題） 7x = 1 mod 10 を解け

a 　 ,　 b

ユークリッド

アルゴリズム

gcd(a,b)

10

= 7=

=1



a 　 ,　 b

拡張

ユークリッド

アルゴリズム

ax + by = gcd(a,b)

となる (x,y)

10

= 7=

10 7 1

=3

=2

-



a 　 ,　 b

拡張

ユークリッド

アルゴリズム

ax + by = gcd(a,b)

となる (x,y)

10

= 7=

10 7 1

=3

=2

-

7y = 1 mod 10

両辺の mod 10 をとる

=3



a 　 ,　 b

拡張

ユークリッド

アルゴリズム

ax + by = gcd(a,b)

となる (x,y)

10

= 7=

10 7 1

=3

=2

-

7y = 1 mod 10


=3

∴ 7x = 1 mod 10

3=


• ユークリッドアルゴリズム 10 = 7 × 1 ・・・ 3

7 = 3 × 2 ・・・ 1

3 = 1 × 3 ・・・ 0


• ユークリッドアルゴリズム 10 = 7 × 1 ・・・ 3 gcd(10,7) =

gcd(7,3)

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　を証明する。 7 = 3 × 2 ・・・ 1

3 = 1 × 3 ・・・ 0

=

gcd(10,7)


(10,7) の

公約数

(7,3) の公約数

・ d1

① d1 が (10,7) の公約数と仮定すると ②

10 = 7 × 1 + 3

(10,7) の公約数は(7,3) の公約数の部分集合であることを証

明


(10,7) の

公約数

(7,3) の公約数

・ d1


10 = 7 × 1 + 3

d1 は割り切る d1 は割り切る


明


(10,7) の

公約数

(7,3) の公約数

・ d1


10 = 7 × 1 + 3

d1 は割り切る d1 は割り切る

d1 は両方割り切る


明


(10,7) の

公約数

(7,3) の公約数

・ d1


10 = 7 × 1 + 3

③ d1 は (7,3) の公約数d1 は割り切る d1 は割り切る

d1 は両方割り切る


明


(7,3) の

公約数

(10,7) の

公約数・ d1

左図の様ならば、同様に①～③よりd2 は (7,3) の公約数

・ d2


(10,7) の

公約数・ d1

つまり、 (10,7) の公約数の集合は

(7,3) の公約数の集合の部分集合でなければならない

・ d2

(7,3) の公約数


(10,7) の

公約数

(7,3) の

公約数・ d 次に、 (7,3) の公約数は

(10,7) の公約数の部分集合であることを証

明


(10,7) の

公約数

(7,3) の

公約数・ d

① d が (7,3) の公約数と仮定すると ②

10 = 7 × 1 + 3

d は割り切る d は割り切る


(10,7) の

公約数

(7,3) の

公約数・ d

① d が (7,3) の公約数と仮定すると ②

10 = 7 × 1 + 3

よって ③ d は (10,7) の公約数

d は両方割り切る

d は割り切る d は割り切る


(7,3) の

公約数つまり、 (7,3) の公約数の集合は

(10,7) の公約数の集合の部分集合である

・ d

(10,7) の公約数


(1) { (10,7) の公約数 } ⊆ { (7,3) の公約数 }

(2) { (10,7) の公約数 } { (7,3)⊇ の公約数 }

よって { (10,7) の公約数 } = { (7,3) の公約数 }

ゆえに gcd(10,7) = gcd(7,3)


• 定理 a = q ・ b + c のとき gcd(a,b) = gcd(b,c)

( 証明 )

(1) { (a,b) の公約数 } ⊆ { (b,c) の公約数 }

(2) { (a,b) の公約数 } { (b,c)⊇ の公約数 }

よって　 { (a,b) の公約数 } = { (b,c) の公約数 }

ゆえに gcd(a,b) = gcd(b,c)


• ユークリッドアルゴリズム 10 = 7 × 1 ・・・ 3 gcd(10,7) =

gcd(7,3)

7 = 3 × 2 ・・・ 1 gcd(7,3) = gcd(3,1)

= 1

3 = 1 × 3 ・・・ 0

=

gcd(10,7)


• 拡張ユークリッドアルゴリズム 10 = 7 × 1 ・・・ 3

7 = 3 × 2 ・・・ 1

3 = 1 × 3 ・・・ 0=

gcd(10,7)

10 = 10×1 + 7×0

7 = 10×0 + 7×1

3 = 10×1 + 7×(-1)

1 = 10×(-2) + 7×3gcd(10,7) x y



a 　 ,　 b

拡張

ユークリッド

アルゴリズム

ax + by = gcd(a,b)

となる (x,y)

10

= 7=

10 7 1

=3

=2

-

7y = 1 mod 10


=3

∴ 7x = 1 mod 10

3=


RSA 暗号

• 公開鍵： N ( =pq ), e


• このようなｄをどう求めるか？


• p = 素数のとき 0 < a < p なる任意の a に対し gcd(p,a) = 1

　よって px + ay = 1

　　となる (x,y) が存在 a y = 1 mod p

乗法逆元： pamod

1　

=

例： p = 5 のとき

gcd(5,1) = 1

gcd(5,2) = 1

gcd(5,3) = 1

gcd(5,4) = 1


• すなわち 0 < a < p なる任意の a に対し mod p における乗法逆元が存在する

例： mod 5 において 1×1 = 1 mod 5

2×3 = 1 〃 3×2 = 1 　〃 4×4 = 1 　　　　　　　　　　　　　　　　　　　　〃

乗法逆元　〃

　〃

　〃

44

1

23

1

32

1

5mod11

1


• ( 問 ) 2x = 3 mod 5 を解け


• ( 問 ) 2x = 3 mod 5 を解け• ( 解 )

　　〃　　〃

　〃　

　〃　

　　なので

4

9

33

32

12

2

1

5mod32

1

x

x


• 群：＋、－ができる世界• 環：＋、－、 × ができる世界• 体：＋、－、 × 、 ÷ ができる世界

（例）実数の世界　　　　 mod 5 の世界 = GF(5)

体


• 有限体（ガロア体）　　　要素数が有限の体

• GF(p)

　　　要素数が p の体

• GF(2)

　　　要素数が最小の体


• 定理　　　 GF(q) が存在する

　　　　　　　　　　　　　　　　　　ただし、 p は素数

　　　

kpqorpq 　　

基礎体

=

拡大体

=


• フェルマーの定理　　　 p = 素数のとき　　　 0 < a < p なる任意の a に対し

pa p mod11


• ( 簡単な証明 )

　〃　〃　〃

342

132

422

5mod212



　〃　〃　〃

342

132

422

5mod212

5mod)4321()4321(24

×



　〃　〃　〃

342

132

422

5mod212

　〃　　　　　 12

5mod)4321()4321(24

4

×


• p が合成数のとき

　〃　〃　〃　〃

452

242

032

422

6mod212

6mod0)54321(25

×


• ( 証明 )

　〃

　〃

1

2

1

)1(

2

mod1

pbpa

ba

pba


• ( 補題 )

}1,,2,1{},,{ 121 pbbb p 　　


• ( 証明 )

　　　　　まず 0 ≦ bi ≦ p-1

bi = 0 と仮定すると a×i = 0 mod p 両辺 i で割ると ∴a = 0 〃　　　　　これは矛盾よって 1 ≦ bi ≦ p-1


• ( 証明続き )

次にある i ≠ j に対し　　 bi = bj と仮定すると a×i = a×j mod p

∴ i = j 〃　　これは矛盾

1

2

1

p

1

2

1

b

b

bp

1 ～ p-1


• ( フェルマーの定理の証明 )

　〃

　〃

)1()1(

22

mod11

pbpa

ba

pba

pppa p mod)121()121(1

×

ap-1=1 mod p


RSA 暗号の生成

① 大きな素数 p,q を生成 ② ed = 1 mod (p-1)(q-1)

　　　　　となる (e,d) を求める③ の計算　

NMC e modNCM d mod


RSA 暗号の生成

① 大きな素数 p,q を生成 ② ed = 1 mod (p-1)(q-1)

　　　　　となる (e,d) を求める③ の計算

　　　 d=21024 程度なので、 1 億年

NMC e modNCM d mod


2

2

2

2

2

2

)10011(

)10010(2

)1001(

)1000(2

)100(2

)10(2

2)10011(19

a

aaayy

a

aaayy

ayy

aay

x

　　　　　

　　　　　

　　　の高速計算法xa

高々

2(n-1) 回の乗算

n ビット


• 素数は無限個存在する

( 証明 )　　　素数の集合 = { 2,5,7,11 } ( と仮定する ) p = 2×5×7×11+1　　　とおく。すると p は 2 で割り切れない

　　 p は 11 で割り切れないよって、 p はどの素数でも割り切れないゆえに　 p は素数である。　これは矛盾

・・・


(N,e),C 解読 m （ 1 億年）

N 素因数分解 p,q （ 10 億年）

RSA 仮定

素因数分解仮定


1, ・・・ ,1

鍵生成

アルゴリズム

N(=pq),e,d

ただし |N| = n

ビットn ビット

確率的多項式時間アルゴリズム

乱数テープ


(N,e),C m（ 1 億年）

RSA 仮定乱数テープ

R

解読

成功

(N,e)

C

R

Pr( 解読 ) < ε

この体積全体積


• RSA 仮定　任意の確率的多項式時間解読アルゴリズム　　 A に対し　　　　　 Pr （解読） < ε

　　ただし、確率は鍵生成アルゴリズムの乱数テープ　　　　　解読アルゴリズム A の乱数テープ平文 m

　　　についてとる


• 定理確率 ε で素因数分解に成功する確率的多項式時間解読アルゴリズム B

が存在　　

　　確率 ε で RSA 解読に成功する　　確率的多項式時間解読アルゴリズム A

が存在


• 定理確率 ε で素因数分解に成功する確率的多項式時間解読アルゴリズム B

が存在　　

　　確率 ε で RSA 解読に成功する　　確率的多項式時間解読アルゴリズム A

が存在

（？）

難しい

易しい


（証明）

N,e,C p,qBN

A


（証明）

N,e,C p,q

乱数テープR

BN

A


（証明）

N,e,C p,q

乱数テープR

BN

より　d を求める

)1)(1(mod1 qpde

NCm d mod m

A


演習 (1)

Mod 15 の世界において、以下の x を求めよ。• 2x=1

• 4x=1

• 7x=1

• 8x=1

• 11x=1

• 13x=1

• 14x=1

演習 (2)

p=11, q=17, e=3 とする RSA 暗号について考える。

• gcd((p-1)(q-1),3) の値を求めよ。• 公開鍵 pk 、秘密鍵 sk を求めよ。• 平文 m=7 に対する暗号文 C を求めよ。• 上記の C を復号せよ。


情報セキュリティ特論（ 4 ）

Documents