Q q 情報セキュリティ 第4回:2007年5月11日(金) q q.

Slides:



Advertisements
Similar presentations
情報セキュリティ 第3回 現代暗号の基礎数理. 脅威と暗号技術 セキュリティに対する脅威 脅かされる特性 暗号技術 機密性 正真性 認証 否認不可能性 盗聴 (秘密が漏れる) 改竄 (情報が書き換えられる) なりすまし (正しい送信者のふりをする) 否認 (後から私じゃないと言う) 共通鍵暗号 公開鍵暗号.
Advertisements

効率的に計算可能な 加法的誤りの訂正可能性 安永 憲司 九州先端科学技術研究所 SITA 2012 @ 別府湾ロイヤルホテル
静脈画像を鍵とする暗号化手 法に関する研究 大山研究室 安藤のぞみ. 研究の背景、目的 近年、バイオメトリクス認証が注目されて いる 静脈は身体内部の情報 → 偽造に強い 環境に左右されることが少ない 利用者の心理的抵抗が軽減される オープンなネットワークへのバイオメトリ クス認証の適用 : Double.
暗号技術の国際動向について ー AES 秘密鍵暗号, 楕円公開鍵暗号- 三菱電機株式会社情報技術総合研究所 松井 充.
2001/10/10 PSEC-KEM NTT 小林 鉄太郎 CRYPTREC 2001
2000年 3月 10日 日本電信電話株式会社 三菱電機株式会社
情報工学科 06A2055 平塚 翔太 Hiratsuka Shota
黒澤 馨 (茨城大学) 情報セキュリティ特論(4) 黒澤 馨 (茨城大学) 2017/3/4 confidential.
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
Q q 情報セキュリティ 第6回:2005年5月20日(金) q q.
黒澤 馨 (茨城大学) 情報セキュリティ特論(6) 黒澤 馨 (茨城大学) 2017/3/13 confidential.
第5章 情報セキュリティ(後半) [近代科学社刊]
「まめだくん Ver.1.0」 特徴と利用方法.
情報化が社会に及ぼす影響 情報セキュリティの確保
Q q 情報セキュリティ 第3回:2007年4月27日(金) q q.
2012年度 情報数理 ~ QRコードを作ろう!(1) ~.
数 学 の か た ち 第3講 暗号を作ろう 早苗 雅史 数学とソフトウエア
黒澤 馨 (茨城大学) 情報セキュリティ特論(7) 黒澤 馨 (茨城大学)
A Study on Performance Enhancement of Symmetric-Key Cryptography and its VLSI Implementation Zaldy ANDALES 大阪大学大学院工学研究科情報システム工学専攻 白川研究室.
MPIによる行列積計算 情報論理工学研究室 渡邉伊織 情報論理工学研究室 渡邉伊織です。
暗号技術 ~公開鍵暗号方式の仕組み~ (3週目)
第10回 情報セキュリティ 伊藤 高廣 計算機リテラシーM 第10回 情報セキュリティ 伊藤 高廣
黒澤 馨 (茨城大学) 情報セキュリティ特論(5) 黒澤 馨 (茨城大学)
2001/10/10 PSEC-KEM NTT 小林 鉄太郎 CRYPTREC 2001
Q q 情報セキュリティ 第3回:2005年4月28日(金) q q.
Q q 情報セキュリティ 第3回:2005年4月22日(金) q q.
数学のかたち 暗号を作ろう Masashi Sanae.
高速剰余算アルゴリズムとそのハードウェア実装についての研究
2. 論理ゲート と ブール代数 五島 正裕.
Q q 情報セキュリティ 第5回:2005年5月13日(金) q q.
Q q 情報セキュリティ 第14回:2005年7月15日(金) q q.
Copyright (C) NTT & Mitsubishi Electric Corp. 2001
Q q 情報セキュリティ 第8回:2006年6月9日(金) q q.
共通暗号方式 共通のキーで暗号化/復号化する方法 例) パスワードつきのZIPを送信して、後からパスワードを送る方法 A さん B さん
情報セキュリティ  第4回 メッセージ認証コード.
第二章 インターネットで やり取りする情報を守る
情報セキュリティ  第11回 デジタル署名.
Linux リテラシ 2006 第5回 SSH と SCP CIS RAT.
情報セキュリティ  第8回 RSA暗号.
2章 暗号技術 FM15002 友池 絲子.
PKI 情報工学専攻 1年 赤木里騎 P91~102.
武藤研究室セキュリティー藩暗号犯メンバー 環境情報学部4年 櫻井 環境情報学部3年 秋本 環境情報学部3年 堀田 環境情報学部2年 卯野木
Q q 情報セキュリティ 第11回:2004年6月18日(金) q q.
5.RSA暗号 素因数分解の困難性を利用した暗号.
Q q 情報セキュリティ 第8回:2005年6月3日(金) q q.
Q q 情報セキュリティ 第7回:2006年6月2日(金) q q.
暗号技術 ~暗号技術の基本原理~ (1週目) 情報工学科  04A1004 石川 真悟.
Q q 情報セキュリティ 第7回:2007年6月1日(金) q q.
9.通信路符号化手法1 (誤り検出と誤り訂正の原理)
Q q 情報セキュリティ 第4回:2005年5月12日(金) q q.
暗号技術 ~対称暗号方式の仕組み~ (2週目)
暗号技術をとりまく最近の話題 ーAES秘密鍵暗号,楕円公開鍵暗号-
複数回通信可能なChaffing and Winnowingのテーブルによる可視化
盗聴・改ざんに対して耐性を持つ ネットワーク符号化について
論文紹介 M. Abadi and P.Rogaway: Reconciling Two Views of Cryptography (The Computational Soundness of Formal Encryption) J. Cryptology (2002) 15:
コミュニケーションと ネットワークを探索する
Q q 情報セキュリティ 第9回:2006年6月16日(金) q q.
Q q 情報セキュリティ 第9回:2007年6月15日(金) q q.
Diffie-Hellman 鍵共有 ElGamal 暗号 楕円曲線暗号,量子コンピュータ
Copyright (C) NTT & Mitsubishi Electric Corp. 2001
Q q 情報セキュリティ 第5回:2006年5月19日(金) q q.
Q q 情報セキュリティ 第12回:2004年6月25日(金) の補足 q q.
ネット時代のセキュリティ3(暗号化) 2SK 情報機器工学.
Q q 情報セキュリティ 第6回:2005年5月26日(金) q q.
暗号技術・セキュリティ 情報工学科  04A1004 石川 真悟.
データの改竄を防ぐ仕組み 2002/9/12 牧之内研究室「インターネット実習」Webページ
線形符号(10章).
Q q 情報セキュリティ 第7回:2005年5月27日(金) q q.
CSS符号を用いた量子鍵配送の安全性についての解析
創造都市研究科 都市情報学 情報基盤研究分野
Presentation transcript:

q q 情報セキュリティ 第4回:2007年5月11日(金) q q

本日学ぶこと 使い捨てパッド DES (Data Encryption Standard) AES (Advanced Encryption Standard) ブロック暗号のモード 使い捨てパッドは無条件に安全だが,非実用的 対称暗号成功の秘訣は,排他的論理和() DESのファイステル構造は,暗号化と復号が同じ構造 AESは,コンペ方式による標準化で選定された 対称暗号を使いたいなら,AES

(復習)暗号系 平文 平文 暗号化 暗号 化鍵 復号 鍵 復号 盗聴可能な 通信路 暗号文 暗号文

(復習)単一換字暗号 平文 平文 abc... WYH... 暗号化 暗号 化鍵 復号 鍵 復号 WYH... abc... 暗号文 暗号文

平文 平文 暗号文 暗号文 使い捨てパッド 暗号化 復号 暗号 化鍵 復号 鍵 11100 11100 10101 10101 01001

使い捨てパッドの暗号アルゴリズム 平文: M = m1m2m3… 鍵: K = k1k2k3… 暗号化: C = c1c2c3… ただし,ci = ki  mi ビット単位で,鍵と平文の排他的論理和を求める. 復号:M' = m'1m'2m'3 … ただし, m'i = ki  ci = ki  (ki  mi) = ki  ki  mi = (ki  ki)  mi = 0  mi = mi ビット単位で,鍵と暗号文の排他的論理和を求める. Vernamによって1917年に考案され,特許になった. 「バーナム暗号」とも呼ばれる. mi, ki, ci, m'iは 1ビット 送受信者の間で 共有しておく.

排他的論理和の性質 x  y = y  x x  x = 0 x  y  y = x x = y ⇒ x  z = y  z z = x  y ⇒ x = z  y, y = x  z x y 1 x  y 排他的論理和の 真理値表 xを平文,yを鍵とみなすと, この式は,使い捨てパッドにおける 暗号化と復号の関係を表す.

使い捨てパッドは解読不可能 暗号文のみでは,同じ長さの任意のビット列が平文の候補となり,そこから平文を特定できない. 無条件に安全であり,情報理論的に解読不可能 (比較)実用化されている暗号アルゴリズムは,計算量的に解読不可能 既知平文攻撃や選択平文攻撃を用いれば,暗号化に使用したビット列を求めることができる. c = k  m ⇒ k = c  m しかしこれで求めた k は,(平文,暗号文)=(m,c)という暗号化の鍵としてしか使えない. k を知っても,それ以外の秘密通信の復号・解読には役に立たない.

暗号化鍵 復号鍵 鍵をどのようにして共有する? 事前にビット列を共有しておき,暗号化・復号のたびに,使用したビット列に線を引いて消す. 暗号化する側がビット列を生成し,暗号文と別のルートで秘密に送る. 10110101 11110010 01101011 10110101 11110010 01101011 暗号化鍵 復号鍵

使い捨てパッドは非現実的 平文と同じ長さの鍵が必要 鍵の共有(配送)が難しい 鍵は「使い捨て」でなければならない 平文が1GBなら,鍵も1GB 鍵の共有(配送)が難しい 秘密の通信路があるのなら,そこにメッセージを送れば? 鍵は「使い捨て」でなければならない 再利用すると,過去の通信内容が復号できてしまう. 鍵は真の乱数であり,かつ共有しなければならない 計算機が生成できるのは,擬似乱数か,再現性のない(物理ノイズによる)乱数のいずれか. 鍵は圧縮できない.

平文 暗号文 使い捨てパッドから学ぶこと 擬似乱数 排他的論理和は,「2度適用すると,元に戻る」ので,暗号化や復号の処理に適している. 暗号 ストリーム暗号 DES,AESなどの対称暗号でも活用 暗号 化鍵 擬似乱数 平文 暗号文

現代の対称暗号 DES (Data Encryption Standard) 1977年に連邦情報処理標準規格に採用された対称暗号 鍵長64bit,ブロック長64bit ファイステル構造により安全性を高める 「兵器」とみなされ,かつて輸出規制があった AES (Advanced Encryption Standard) Rijndaelともいう NISTが公募して2000年に選定された対称暗号 鍵長128/192/256 bit,ブロック長128bit SPN構造により安全性と処理効率を実現 特許などの制限がなく無料で利用可能 「公募」の意味…安全性を評価したのは情報セキュリティの専門家 (安全なシステムを創る者は,自他の安全なシステムを検証する者でもある.)

DESとAESに関わる組織と考案者 NSA NBS NIST Lucifer DES Rijndael AES IBM Daemen & 改組 米国 当局 修正 選定 選定 Lucifer DES Rijndael AES 暗号 方式 応募 応募 IBM (Feistel他) Daemen & Rijmen 考案者 http://h2np.net/bit/aes2/ http://www.jiten.com/dicmi/docs/d/2900s.htm http://www.itmedia.co.jp/anchordesk/articles/0409/28/news057.html NSA:米国安全保障局,National Security Agency NBS:米国商務省標準局,National Bureau of Standards NIST:米国国立標準技術研究所

平文 鍵 暗号文 暗号文 平文 DESの概要 ラウンド1 サブ鍵1 ラウンド16 ラウンド2 サブ鍵2 ラウンド2 ラウンド16 サブ鍵16 暗号化 復号 平文 鍵 暗号文 転置 転置 ラウンド1 サブ鍵1 ラウンド16 ラウンド2 サブ鍵2 ラウンド2 ラウンド16 サブ鍵16 ラウンド1 転置 転置 暗号文 平文

ファイステル構造(暗号化1) Li-1 ki Ri-1 f Li Ri Li = Ri-1 i 番目のラウンド(DESでは1≦i<16) Li = Ri-1 Ri = Li-1  f (ki , Ri-1)

ファイステル構造(暗号化2) Li-1 ki Ri-1 f Li Ri Li = Li-1  f (ki , Ri-1) 最終ラウンド(DESではi=16) Li = Li-1  f (ki , Ri-1) Ri = Ri-1

Li-1 = Ri  f (ki , Li ) = Ri  f (ki , Ri-1) ファイステル構造(復号1) Li Ri ki f Li-1 Ri-1 i 番目のラウンド(DESでは1≦i<16) Ri-1 = Li Li-1 = Ri  f (ki , Li ) = Ri  f (ki , Ri-1)

DESとAESの安全性は? DES AES 70~80年代は安全な対称暗号として使用されていた. 1993年,線形解読法が提案される. 1999年には22時間で解読(鍵発見). 現在では使用は推奨されない. AES コンペ方式による標準化(専門家らによる十分な期間の検証)により安全性が認められた. 数学的構造を持つ(数式で記述できる)ことが安全性を脅かすかもしれない(ただし現時点で具体的な攻撃方法はない). ラウンド数が少ない場合の解読の試みがなされている.

トリプルDES (3DES) DES-EDE3 DES-EDE2 鍵長は56×3=168bit(鍵空間は2168),ブロック長は64bit DES-EDE2 暗号アルゴリズムは,「鍵1でDES暗号化」して,「鍵2でDES復号」して,「鍵1でDES暗号化」 鍵長は56×2=112bit,ブロック長は64bit 長さは3倍だが,空間は3倍よりもうんと大きい

暗号アルゴリズム設計者の苦悩 暗号化や復号が高速にできると,解読も高速にできてしまうかもしれない. 処理速度が,暗号化<復号というアルゴリズムは? 圧縮ソフトウェアでは圧縮<伸張のことが多い. 暗号化<復号のアルゴリズムを考案すると,構造が複雑になり,思わぬところから欠陥が見つかるかもしれない.

ブロック暗号のモード 平文・暗号文のブロック化 複数ブロックの暗号化の方法 C0は初期ベクトル(盗聴されてもよい) ブロック長のサイズで分割して,暗号アルゴリズムを適用する ブロック長に満たなければ,詰め物を加える(パディング) 複数ブロックの暗号化の方法 ECB (Electric CodeBook)モード…安全でない Ci = E(K, Mi) CBC (Cipher Block Chaining)モード…安全 Ci = E(K, (Ci-1 Mi)) C0は初期ベクトル(盗聴されてもよい) CTR (CounTeR)モード…安全 Ci = E(K, CTR + i)  Mi CTRは乱数(盗聴されてもよい) Ci, Mi, CTRは 1ブロック

ECBモードはなぜ安全でないか ECBモードのブロック暗号を盗聴していて,過去とまったく同じ(暗号化された)ブロックがくれば,この二つのブロックの平文は同じだと分かる. 1パスワード=1ブロックで暗号化して管理しているとき,暗号化ブロックを置き換えることで,他人のパスワードを改ざんし,成りすまして認証を受けることができてしまう.