q q 情報セキュリティ 第５回：２００５年５月１３日（金） q q

本日学ぶこと ＡＥＳ 対称暗号における鍵の管理 セッション鍵を用いた運用法 公開鍵暗号 暗号プロトコル Man-in-the-middle攻撃 公開鍵暗号

ＡＥＳ（Advanced Encryption Standard） Rijndaelともいう ファイステル構造ではなくSPN構造を採用 NISTが公募して２０００年に選定 安全性を評価したのは情報セキュリティの専門家 鍵長は128，192，256ビットから選べる ブロック長（平文・暗号文の長さ）は128ビット固定 特許などの制限がなく無料で利用可能 DESは「兵器」であり，かつて輸出規制があった

ＤＥＳとＡＥＳに関わる組織と考案者 NSA NBS NIST Lucifer DES Rijndael AES IBM Daemen & 改組 米国 当局 修正 選定 選定 Lucifer DES Rijndael AES 暗号 方式 応募 応募 IBM （Feistel他） Daemen & Rijmen http://h2np.net/bit/aes2/ http://www.jiten.com/dicmi/docs/d/2900s.htm http://www.itmedia.co.jp/anchordesk/articles/0409/28/news057.html 考案者 ＮＳＡ：米国安全保障局，National Security Agency ＮＢＳ：米国商務省標準局，National Bureau of Standards ＮＩＳＴ：米国国立標準技術研究所（綴りは教科書参照）

余談：暗号アルゴリズム設計者の苦悩 暗号化や復号が高速にできると，解読も高速にできてしまうかもしれない． 処理速度が，暗号化＜復号というアルゴリズムは？ 圧縮ソフトウェアでは圧縮＜伸張のことが多い． 暗号化＜復号のアルゴリズムを考案すると，構造が複雑になり，思わぬところから欠陥が見つかるかもしれない．

対称暗号をどう使う？ これからの議論の仮定：使用する対称暗号は安全である 共通鍵暗号は，暗号化の鍵＝復号の鍵 鍵はいくつ必要？ ２人なら１個 ３人ならそれぞれ２個，全体で３個 ４人ならそれぞれ３個，全体で６個 n人ならそれぞれn-1個，全体でn(n-1)/2個 1000人ならそれぞれ999個，全体で約50万個 新規加入者は（それまでの）人数分の相異なる鍵を作って 配布しないといけない…できる？？

鍵配布センター 鍵配布センターを設置し，各利用者は，ここと 鍵を共有する． 鍵配布センターは，不正や鍵の漏洩などをしないものとする． 鍵の数は，n人ならそれぞれ１個，全体でn個 鍵配布センターは，不正や鍵の漏洩などをしないものとする． 信頼される第三者（Trusted Third Party）と呼ばれる． 利用者の中には，他人の秘密情報を知りたい「悪者」がいるかもしれない． 利用者間の通信には，その場限りの鍵（セッション鍵）を生成して使ってもらう． セッション鍵は，乱数を用いて生成し，各利用者の鍵や，これまで生成したセッション鍵に依存しないものにする． でも，どうすればセッション鍵を 当事者間（のみ）で共有できる？

準備（１）：実行環境 k(a) k(b) k(m) 鍵配布センター Trent Bob Alice Mallory 悪者

準備（２）：暗号化と復号の記法 鍵 y 平文 x 暗号文 e(y,x) 暗号化 鍵 y 暗号文 e(y,x) 平文 x 復号

セッション鍵の配布案（教科書pp.109-110, p.274） Trent Alice Bob k(a), k(b) はKEK r はCEK (i) a, b (ii) e(k(a),r) (iii) e(k(b),r) Alice Bob (iv) e(r,c) r：セッション鍵（実行のたびに値が変わる） c：AliceがBobに送りたい内容

配布案は安全か？ 目標：Malloryが，AliceになりすましてBobと通信できるための情報（セッション鍵 r）を獲得すること Alice

Man-in-the-middle攻撃（教科書pp.136-138） カレーライス ください ハヤシライス お願いします （悪意ある） ウエイター 客 料理人 カレーライス どうぞ ハヤシライス できたよ Malloryがこの方法で盗聴とメッセージの改竄が行えるなら，目標を達成できてしまう．

配布案に対するMan-in-the-middle攻撃 Trent (iii) e(k(m),r1) (iv) e(k(a),r1) (ii) m, a (vi) m, b (vii) e(k(m),r2) (viii) e(k(b),r2) M M (i) a, b (ix) e(k(b),r2) (v) e(k(a),r1) Alice Bob M (x) e(r1,c) (xi) e(r2,c) セッション鍵r1は，AliceとMalloryが共有する． セッション鍵r2は，BobとMalloryが共有する．

どうすれば鍵を安全に配布できるか？ 暗号アルゴリズムの安全性とは別の問題である． 平文に特別な情報を埋め込むことで，安全性を向上できる． 秘密通信や認証などを行うための，手順を踏んだ暗号通信を暗号プロトコル（cryptographic protocol）という． 暗号アルゴリズムが安全であっても，それを用いた暗号プロトコルが安全であるとは限らない． 安全性は，（暗号アルゴリズムの専門家とは別の）暗号プロトコルの専門家に検証してもらうとよい． 平文に特別な情報を埋め込むことで，安全性を向上できる． タイムスタンプ（timestamp）：時刻情報 ノンス（nonce）：使い捨てのランダムな値 いずれも，再生攻撃（リプレイ攻撃）の防止効果がある．

公開鍵暗号の特徴（１） 管理すべき鍵の個数を減らせる n人ならそれぞれ1組，全体でn組

公開鍵暗号の特徴（２） 鍵一つあたりのビット長は長くなる 暗号アルゴリズム 種類 鍵長 ブロック長 DES 対称 56 64 トリプルDES 処理時間もかかる 暗号アルゴリズム 種類 鍵長 ブロック長 DES 対称 56 64 トリプルDES 112, 168 AES 128, 192, 256 128 RSA 公開鍵 512～2048 ≦鍵長 楕円曲線暗号 160～256