1 / 34

練習問題

練習問題. n = 7, k = 4, p = 7 – 4 = 3 とし,巡回符号を構成する. G ( x ) = x 3 + x 2 + 1 が生成多項式に使えることを確かめよ 0110 を符号化せよ 0001100 は正しい符号語か,判定せよ 回答例は http://narayama.naist.jp/~kaji/lecture/ に掲載. 今日の講義. 第四部: 情報を不正者から隠す 対称鍵暗号系(今回) 鍵共有法,公開鍵暗号への導入(次回) 公開鍵暗号(次々回). 秘密の情報通信.

peggy
Download Presentation

練習問題

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 練習問題 • n = 7, k = 4, p = 7 – 4 = 3 とし,巡回符号を構成する. • G(x) = x3 + x2 + 1 が生成多項式に使えることを確かめよ • 0110 を符号化せよ • 0001100 は正しい符号語か,判定せよ 回答例は http://narayama.naist.jp/~kaji/lecture/ に掲載

  2. 今日の講義 第四部:情報を不正者から隠す • 対称鍵暗号系(今回) • 鍵共有法,公開鍵暗号への導入(次回) • 公開鍵暗号(次々回)

  3. 秘密の情報通信 情報を,他人に知られることなく伝えたい...古代からある要求 もっとも原始的なアプローチ: • 信頼できる人物にメッセージを託す • 他人には見つからないように,情報を送受信する • 他のメッセージの中に,秘密のメッセージを埋め込む

  4. ステガノグラフィ 他のメッセージの中に,秘密のメッセージを埋め込む • 一見すると通常の手紙だが,見る人が見ると,秘密の メッセージが読み取れる ⇒ 暗号用語ではステガノグラフィと呼ぶ(秘匿通信) ステガノグラフィの例: • あぶり出し • 手紙の文字にマーキング(小さな穴をあける) • 画像ファイルを微細に変更する ⇒ 電子透かし

  5. ステガノグラフィの問題点と現状 • 「秘密情報が埋め込まれている」ことがバレてしまうと... • 秘密情報の解明が,比較的容易 • 「秘密ナシ」バージョンと,簡単にすり替え可能 工学的な意味で,十分成熟した技術とはなっていないが, 暗号技術と組み合わせて使われることもある

  6. 暗号とは 暗号とは... • 「通信の内容が、当事者以外には解読出来ないように、普通の文字・記号を一定の約束で他の記号に置き換えたもの。」(新明解国語辞典,第5版) 主な用途: 通信路の保護 (盗聴者に情報を漏らさない) 記録情報の保護 (覗き見から秘密を守る)

  7. 操作と用語 • 平文(ひらぶん,へいぶん) plaintext: • 盗聴や覗き見から守りたい情報 • 通話内容,日記,メイルの文章,プログラムetc. 「通信の内容が、当事者以外には解読出来ないように、普通 の文字・記号を一定の約束で他の記号に置き換えたもの。」 暗号文 ciphertext 暗号化 encrypt 復号 decrypt 一定の約束で置き換えられた記号を, 元の文字・記号に復元する操作

  8. ... 平文の文字 A B C Y Z ↓ ↓ ↓ ↓ ↓ 暗号文の文字 ... D E F B C 平文:THISISASAMPLETEXT 暗号文:WKLVLVDVDPSOHWHAW 単純な暗号:シーザー暗号 非常に単純な暗号化方式: 文字を何文字分か「ずらす」ことで,暗号化を行う方法 J. Caesar 暗号の鍵:何文字分ずらしたか...上の例では3文字 鍵の種類=文字数 (上の例では 26 通り) 平文が意味のある文章ならば,鍵の総当りによる解読が可能

  9. ... 平文の文字 A B C Y Z ↓ ↓ ↓ ↓ ↓ 暗号文の文字 ... E K A Z G 少しマシな暗号:換字暗号 (単純な)換字暗号 • 平文の文字と暗号文の文字の対応表を鍵とする • 暗号化・復号は,単純な文字の置き換え • シーザー暗号は,換字暗号の特殊なケース • 鍵の種類=文字数の階乗(上の例では 26!=4x1026通り) • 総当りで調べるには,鍵の種類が多すぎる

  10. 換字暗号の解読 換字暗号の弱点: • 同じ文字はいつも同じ文字に置き換えられる • 平文によっては,文字の出現頻度に偏りがある • 暗号文の文字出現頻度から,鍵が推測可能な場合も 英語の文章: • E, T, A, S ,O, N などが頻繁に出現する • 暗号文において頻繁に出現する文字 ...上の文字のどれかである可能性が高い A.C. Doyle, The Adventure of the Dancing Men コナン・ドイル:踊る人形 (1903)

  11. h x a c a b c d 8.4% 1.5% 2.7% 3.8% 8.6% 1.4% 2.8% 3.8% 機密情報 未知の 暗号文 theory in modern english is a concept which originally derives from classical greek zpunim gt oncuit utqvgwp gw h antaubz spgap nigqgthvvm cuigluw eino 頻度攻撃 典型的な英文 information as a concept has many meanings the concept of information is → a → b → c → d

  12. 換字暗号の改良 • 一対多の換字暗号 • 平文の一文字を,複数種類の文字に置換 • 複数文字,単語単位での換字暗号 • king→mountain, castle →piano, … • 文字の対応関係を,徐々に変化させる • Vigenère暗号,エニグマ暗号など 平文に関する統計的な情報が,少ないながらも観測可能 ⇒現在の計算機パワーの前では,ほとんど無力

  13. 絶対に安全な暗号 使い捨て暗号 (one-time pad): • 鍵は,平文と同じ長さのランダムな文字列 • 暗号化:平文と鍵系列を加算 • 復号:暗号文から鍵系列を減算 平文 0110 1101 0111 0100 鍵系列 1011 0101 1010 1011 暗号文 1101 1000 1101 1111 送信者 共有 暗号文 1101 1000 1101 1111 鍵系列 1011 0101 1010 1011 復号結果 0110 1101 0111 0100 受信者

  14. 使い捨て暗号の特徴 • 鍵が真正乱数ならば,情報理論的に安全 (無限の計算能力があっても,解読できない) • 一度使った鍵は,再利用できない • 非常に長い鍵が必要となり,効率が悪い コストを度外視し,とにかく安全性を確保したい場合には有効 • 軍事暗号としては,有力な選択肢の一つ • 商用暗号としては「使えない」

  15. 軍事暗号と商用暗号:条件の違い • 軍事暗号: • 自分で開発して自分で使う • 抜群の技術力と資金力 • 商用暗号: • 開発者と使用者が異なる • コスト的要因が無視できない ⇒ 異なる目標,異なる条件,異なるアプローチ...

  16. 商用暗号:セキュリティに関する3つの要件 • 中身が公開されたものだけを信用する • 多くの研究者に「叩かれても生き残っている」品質 • 秘密方式には,トラップが存在する可能性も排除できない • 実績のあるものを重視する • 安全性の検証には,それなりに時間がかかる • 斬新であることは,そのことだけでもリスクが高い • 安全性とコストとのトレードオフを意識する • 「守りたい情報の価値 < 攻撃にかかるコスト」で十分 • システム運用のコストも,十分意識して

  17. DES (Data Encryption Standard)の歴史 1973NIST(米国標準規格局)が暗号アルゴリズムを公募 1974 IBMが,同社のLucifer暗号の改良版を応募    (この間,安全性に関する評価が原則公開で行われる) 1977「データ暗号化のための標準方式」として採用 (Data Encryption Standard, DESの名前の由来) 1990 Biham, Shamirによる「差分攻撃」 1993松井による「線形攻撃」(国際的な発表は94年) 1997 DESの次世代方式(AES)を公募 現在...AES選定済み     しかし,DESも広く利用されている

  18. DESの基本構造 青字:ビット数 56 56 RK1 RK1 RK16 鍵 48 48 48 32 R1 R2 R15 R16 R1 平文 f f f IP IP IP-1 暗号文 64 64 L1 L2 L15 L16 L1 32 1段目 2段目 16段目

  19. 56 IP IP IP IP-1 IP RKi 48 64 64 64 64 56 DESの構成要素1 • IP:初期置換 [64ビット→64ビット] • ビット位置の置換を行う • IP-1:最終置換 [64ビット→64ビット] • IPの逆置換 • RKi:ラウンド鍵生成部 [56ビット→56×48ビット] • 56ビットの出力:入力ビットの置換 • 48ビットの出力:入力ビットの部分集合(ラウンド鍵)

  20. 32 48 拡大置換 48 S-box置換 S1 S2 S3 32 P-box置換 f関数 32 DESの構成要素2 • f:f関数 [48×32ビット→32ビット] 拡大置換 S-box置換 P-box置換:ビット位置の置換

  21. Li Ri Ki+1 f Li+1 Ri+1 DESのラウンド操作 • 以下の一連の操作...ラウンド操作 • ラウンド鍵と右32ビットブロックから f関数を計算 • f関数値を左32ビットブロックに足す • 左ブロックと右ブロックを交換する • DES全体は,16ラウンドからなる • ただし,最後のラウンドだけブロック交換は行わない このような構造を「Feistel 構造」と呼ぶ

  22. Ri Ki+1 拡大置換 48 S-box置換 Li Ri Ki+1 32 f P-box置換 f関数 Li+1 Ri+1 f (Ri, Ki+1) ラウンド操作の可逆性 Li+1, Ri+1がわかったとき • Riはわかる • Ki+1が不明なら,Liも不明 ラウンド鍵がわからないと,ラウンド操作を逆にたどれない

  23. DESの復号 RK16 RK15 RK1 鍵 R1 R2 R15 R16 R1 暗号文 平文 f f f IP IP IP-1 L1 L2 L15 L16 L1 (青枠内は)暗号化のときと完全に同じ操作

  24. L15 R15 K16 L15 R15 f K16 f L16 R16 L16 R16 IP-1 IP K16 f L16 R16 K16 f 復号の原理(1) 暗号化の16段目 復号の1段目

  25. L15 R15 K16 f L16 R16 L16 R16 K16 f 復号の原理(2) L15 R15 K16 f 同じ値 K16 f R15 L15

  26. L14 R15 L15 R14 K15 K15 f f L15 R14 R15 L14 復号の原理(3) 暗号化の15段目 L15 R15 K16 f 同じ値 復号の2段目 K16 f R15 L15

  27. 復号の原理:まとめ • ラウンド鍵の与え方を逆転すると,暗号化装置を使って復号ができる (involution構造) 原理: • 暗号化のIP-1と復号のIPが,互いをキャンセルする • 暗号化の16段目と復号の1段目が,互いをキャンセル • 暗号化の15段目と復号の2段目が,互いをキャンセル : • 暗号化の1段目と復号の16段目が,互いをキャンセル • 暗号化のIPと復号のIP-1が,互いをキャンセルする • 復号の結果得られる値は,暗号化装置への入力と同じ

  28. DESの安全性(1) 鍵を知らない攻撃者が,解析的に解読すること ...ほぼ不可能(正確には,誰も方法を発見していない) • 鍵の総当り攻撃 • 暗号文攻撃または既知平文攻撃を想定 • ハードウェアによる専用解読器の設計 • インターネット上の多数の計算機による,分散計算 • 1999年の段階...10万台,22時間で解読に成功 • ムーアの法則:計算機性能は18ヶ月で2倍になる • 現在は,さらに危険な状況 DES解読器 制作費 25万ドル

  29. DESの安全性(2) • もう少し理論的な方向からのアプローチ • 差分攻撃法:Biham, Shamirにより1990年に提唱 • 差が特定の値になっている平文の組を多数使用 • DES開発時に,想定済み? • 線形解読法:三菱電機の松井氏により1993年に提唱 • 暗号文・平文の特定数ビットからなる線形式が,偏った値となることを利用した攻撃法 • 望ましい暗号の構造を示唆するという意味で,重要

  30. DESの安全性:まとめ • DESは,もはや絶対安全とはいえない • 計算機能力の向上 • インターネットを使った大規模な分散計算 ⇒ 鍵の総当り攻撃が可能に • 差分攻撃,線形攻撃など,攻撃技術の発達 • ただし,誰でも簡単に解読できる,というほどではない • 「解読のコスト<守りたい情報の価値」となる場合が問題 • 「解読のコスト」が急速に小さくなっている

  31. DESに関する「疑惑」 DESには,設計者しか知らない弱点が仕込まれているのでは? なぜなら,そこにNSAが関与しているから... • NSA: 米国国家安全保障局 • CIA, FBI, 軍の情報機関を統括する組織 • 政府は,長らくその存在を認めなかった • 最近では,「エシュロン」への関与が噂に • 鍵の長さが,IBM提案の半分に短縮された • S-box置換の中身が,NSAの選定したものに入れ替えられた • NSAは,線形解読法が可能であることを知っていたらしい • ⇒噂の真相は明らかになっていない

  32. 新しい暗号標準 DESに変わる新しい暗号方式が必要... Advanced Encryption Standard, AES 1997 NIST (米国技術標準局)が公募 12カ国から15種類のアルゴリズムが提案される 1999 候補を5種類に絞り込む 2000 ベルギーからの提案 “Rijndael” が選定される AES Conference をベースに,徹底した公開討論 2001 FIPSとして認定 今後,徐々にDESに取って代わっていく,はず

  33. 本日のまとめ • 暗号の基礎 • DESについて

  34. 練習問題 以下に示す換字暗号の暗号文を解読せよ (ただし,アルファベット以外の記号は換字していない) usawlu rcunsac bsaelrsn fhs blyan emt fylthx fl wlmfh cqyvec lu fhmywncx, uscyax wvg xscyw cqfsy fhs qlyrsy qyssnlr qvdhfsy cun ucfvluca ascnsy eyvsn fscyw lq ilx bhsu fhs flmyucrsuf bcw cbcynsn fl fhs elufvusuf qly fhs qvywf fvrs. bvfh fhvyfx qvks ncxw zsqlys fhs wleesy whlbtvses oveow lqq vu ilhcuuswzmyd, fhs fylthx fhcf fhvyfx fbl fscrw cys hltvud fl avqf elrs imax sasksufh vw czlmf fl srzcyo lu fhs qvuca asd lq vfw blyan flmy. 参考: http://narayama.naist.jp/~kaji/crypto/index.html

More Related