暗号技術は変わるのか?
■ このスレッドは過去ログ倉庫に格納されています
朝日com2001/2/9朝刊より
■数学の超難問「谷山・志村予想」を米仏チーム完全証明か
【パリ8日=大野博人】有名な「フェルマーの最終定理」を解くカギになった数学の超難問「谷山・志村予想」を完全に証明したと、米国とフランスの共同研究チームが8日、明らかにした。チームの一員で、仏国立科学研究センターのクリストフ・ブルイユ研究員(32)は朝日新聞の取材に「証明は終わっており、米数学会誌への論文掲載も決まっている」と話した。
谷山・志村予想は、東京大の谷山豊・助教授(故人)と米プリンストン大の志村五郎名誉教授が1950年代半ばから60年代にかけて提示した。「だ円曲線」と呼ばれる曲線の仲間はすべて、数学的に極めて美しい「モジュラー形式」に支配されるという内容だ。予想が提示されて以来、新しい数の理論が生まれ、素粒子論や暗号理論に影響を与えた。
数学者を350年余りも悩ませてきた「フェルマーの最終定理」は95年、米プリンストン大のアンドリュー・ワイルズ教授によって証明された。このとき、谷山・志村予想の一部は証明された。
今回の研究チームはブルイユ研究員、米ハーバード大のリチャード・テーラー教授ら4人。予想の中でワイルズ教授が証明し残した部分をすべて解いたという。
現行の楕円理論利用の暗号はどうなるのでしょうか?
>>110
> >> んじゃ、量子コンピュータ向けの暗号理論って意味ないの?
> > 意味ないです (と言い切ってしまおう)。
> 他の人に誤解されるかもしれないから「共通鍵暗号については意味ないです」って言ってちょ。
んー、誤解されるのは実は望むところ、というか。
いや、だって、量子コンピュータなんてまず実用化されないでしょ。
NP 完全問題を多項式時間で解くよな化物は当然として、いま研究され
てるやつですら。
♯ただ、>>109 でみずから
> 量子コンピュータって実は良く知らないんだけど、
♯と言ってる通り別に確固とした根拠がある訳じゃないからここ突っ
♯込まれても困るんだが。
もちろん研究としての意味合いは十分あると思うし、それを否定して
るわけじゃないんだけど、研究的トピックがすべて実用化できるとい
うものならば、今ごろハイエンドなコンピュータは液体窒素 (だったっ
けか?) の中で CPU が動く醍醐世代機になってなきゃおかしいわけで。B-)
んで、特に暗号の場合には使えてなんぼ、という感が強いので (なに
せ、これほど綺麗に理論が実践に繋がってる分野って他にあんまりな
さげだし)、実用化できない = 意味がない、という印象が (個人的に
は) 強いんでしょうね。
> だから、ナップサック問題(これもNP完全問題)を利用した公開鍵暗号に
> 再び注目が集まっているわけで。(量子公開鍵暗号ってやつね)
えーと、でも knapsack って LLL アルゴリズムとかいうやつのために
非現実的なサイズの鍵を使わない限り破られてしまうということが一
般に示されてるんじゃなかったでしたっけ。
この辺も聞きかじりなもんであれですが。
あ、量子コンピュータを使えばいま非現実的サイズな鍵が現実的に使
えるようになる、という線はあり得るのか。 なんか0101100とかに暗号化して日本語に解読できサイトありませんでした?
知ってる方はリンクキボンヌですー。 カオスって製品化されてるんですね。売ってました。
エシュロンでも解読不可能だと言ってました。 > カオスって製品化されてるんですね。売ってました。
IISI の?
だったらずいぶん前から売ってると思うけど。
> エシュロンでも解読不可能だと言ってました。
いま使われているたいていの暗号は『エシュロンでも解読不可能』な
んだけどなぁ。
まぁ、ブロック暗号の CBC モードすら知らなかったという話もあるん
で、IISI ならしょうがないか。
そんなことより 聞いてくれよおっちゃん
このサイト面白いぞ 小一時間ワラタ
http://www.ogaki-tv.ne.jp/~zeus/
そんなことより
確実な素数判定のアルゴリズムができたらしいじゃないですか。
インドってすごい。 122>> いま使われているたいていの暗号は『エシュロンでも解読不可能』なんだけどなぁ。
CPUで解読でなくて暗号解読専用ロジック(ASIC)かなんかを10万個くらい同時に1GHzでぶん回せば解けるんじゃないの3DESとかAESくらいは・・・
>>126 ふーん、じゃあやれば?
だからエシュロンは見れてんじゃねーのってこと。
ところで、公開鍵を使った暗号化ソフトや専用ロジックって本当に暗号化のときに指定した公開鍵だけで暗号化してるのかね?
たとえばこれはしてたとしてどうやって検証するんだ?
つまりマスターキーがあるんじゃないの?
そうすりゃ簡単にデコードできる。
>>128
マスターキーあるんならASICなんか1個もいらないじゃん(w
言ってることがコロコロ変わってる。
それから、アルゴリズムが公開されているのに実装時に別のマスターキーを組み込むなど
したらバレちゃうじゃん。 >>129
マスターキーあればASICなんて一つも要らないんだけど
>>それから、アルゴリズムが公開されているのに実装時に別のマスターキーを組み込むなどしたらバレちゃうじゃん。
ES品で真面目なやつ出しといて、製品でがんがん流れたら別なやつに
すげ替える。バレたらバレたでしらばっくれて、ばっくれる。
ってなんかありそうで怖いんですけど・・・
あったとしてもメーカーじゃ怖くて公表できない?
でも、たとえば3DESだったらDESを3回かけてるだけなので、DESの検証だけやればある程度穴が無いって事はわかるけど。
最初から鍵長が256bitとかあったら、完全に検証できないじゃないですか?っていうかどうやって検証するの?
>>126
> CPUで解読でなくて暗号解読専用ロジック(ASIC)かなんかを10万個くらい同時に1GHzでぶん回せば解けるんじゃないの3DESとかAESくらいは・・・
>>95 を見て、3DES (時間的複雑性 2^112) とか AES (同 2^128〜
256) を、たとえば 1 年間で破るためには何個のチップがあればい
かを計算してみ。10 万個とかいい加減な数挙げるんじゃなく、さ。
指数オーダという暴力を甘く見過ぎ。
>>131
>>131 指数オーダという暴力を甘く見過ぎ。
そうそう10万個並列にとかって適当に言ってたんだけど、よ〜く考えると無理だね。ほんとに
やっぱやるとしたらバックドアしかないか・・・ >>132
> そうそう10万個並列にとかって適当に言ってたんだけど、よ〜く考えると無理だね。ほんとに
うん。で、ここら辺の話は NSA にとっても百も承知の筈だから、
Echelon で解読しようなんて無駄なことは考えてもいないっしょ。
> やっぱやるとしたらバックドアしかないか・・・
暗号関連アプリケーションにバックドアを入れ込ませるよう画策はし
てるだろうし、買収なりなんなりで鍵を取得するなんてことは当り前
にやられてるだろうし、復号済みのデータにアクセスするための方法
なんぞも盛んに研究してるだろうね。
そういや“すべての compiler 製品には Open Source な暗号アプリを
処理する際 object に backdoor を埋め込むような仕掛けが施されて
る”なんてヨタ話もあったなぁ。
んで、“3DESとかAESくらい”って書いてたんでこういう結論になっちゃ
うんだけど、公開鍵系まで視野に入れるとまた話はちょっと別ね。
DJB の NFS 専用機構想なんてのもあるし、ひょっとすると NSA はそ
の気になれば 1024 bit RSA/DH を破れる程度の Cracking Machine を
持ってる可能性はあるかも。
ソフトウェアのバックドアってのはある程度機械語を解析すれば
やってることは分かるけど、今いちばん危ないのがハードウェア
アクセラレータでしょ
ルータのIPフィルタとかもASICでやってるし、もちろん暗号化や複合化
なんかはハードウェアアクセラレーション使うのが当たり前だし
いくら外部からテストしても検証できないしね
マスク出せとか言っても相手にもされないだろうし・・・
まあ、やり放題だとは思うんだけどね(w
http://pc3.2ch.net/test/read.cgi/software/1014216457/283-
ここで、最新情報ではblowfish128bitをスパコン使わなくても破れそう、ってな
ことを言ってる奴いるけど、本当??
詳しい人おしえて! >>136
ttp://www.ipa.go.jp/security/rfc/RFC2451JA.html Thanks!
1998年のRFCですね。
これだと、blowfish128bitで汎用に破れるようなやり方はなさそうですが...
最新の暗号学会では、これとは違った見解がでてるのかな? うーん
ASMソースより、>>138のような、論文/文書の類の方が見たいんだけど(笑) >>125
そういや、素数判定の話で、暗号の危機なんて騒いだ馬鹿がいたな。 >>142
確実なドキュソ判定のアルゴリズムができたらしいじゃないですか。
2ちゃんってすごい。
漏れも相当アフォだな・・・ >>136
> http://pc3.2ch.net/test/read.cgi/software/1014216457/283-
> ここで、最新情報ではblowfish128bitをスパコン使わなくても破れそう、ってな
> ことを言ってる奴いるけど、本当??
もちろんうそ。
つーか、スパコンを使おーが何使おーが、破れやしない。
暗号アルゴリズムの種類は所詮定数オーダでしか効かないんで、
>>95
>>131
辺りの理屈がそのまま当てはまるから、いっぺん自分でちゃんと計算
してみ。
まぁ Blowfish 固有のアルゴリズム的な欠陥がある可能性は否定でき
んけど、力いっぱい key-dependent な S-Box を採用しているんで、
どんな鍵でも破れる汎用的な欠陥があることは非常に考え難そう。 Thanks!
やっぱり、そうですよね。
もし、実際に破れそうな可能性が解ったら、大騒ぎだと思うし(笑) >まぁ Blowfish 固有のアルゴリズム的な欠陥がある可能性は否定でき
>んけど、力いっぱい key-dependent な S-Box を採用しているんで、
>どんな鍵でも破れる汎用的な欠陥があることは非常に考え難そう。
その分、blowfishは初期化コストが大きいと。 >>144
なんかスパコンで計算して出したマジックナンバー使うらしいぞ
x86なASMコードあるけどこれで解けるのかな?
blowfishはちょっと胡散臭いかも?
他の暗号化アルゴリズム素直に使った方が良さそうだね。
>>144
>つーか、スパコンを使おーが何使おーが、破れやしない。
なんか、こういうヤツが暗号化システムを売り込んでいると思うと鬱だな。
復号できる以上、有効な解は必ず存在する。つまり理論上は絶対破れるんだよ。
現時点では、暗号を解読できる有効な解を求めるのに必要な時間の期待値が、
人にとって有効な範囲にないだけのこと。
>>145
> もし、実際に破れそうな可能性が解ったら、大騒ぎだと思うし(笑)
もちろんそれもあるし、また、ここ一日くらいで唐突に発見された脆
弱性ということならともかく、ほんとに『スパコン使えば破れたもの
がスパコンなしでも破れるようになった』のなら、発見後結構な時間
が経ってることになるはずだから、いまの時点で BS がそのことにつ
いて何も触れてないってのは変。
>>147
> なんかスパコンで計算して出したマジックナンバー使うらしいぞ
ソース (コードの意味でも情報源の意味でもどっちでも OK) きぼんぬ。
> x86なASMコードあるけどこれで解けるのかな?
ほんとに解けるならそっちも報告きぼんぬ。
>>146
> >まぁ Blowfish 固有のアルゴリズム的な欠陥がある可能性は否定でき
> >んけど、力いっぱい key-dependent な S-Box を採用しているんで、
> >どんな鍵でも破れる汎用的な欠陥があることは非常に考え難そう。
>
> その分、blowfishは初期化コストが大きいと。
で、その分、bruteforce には強い、と。
♯所詮定数オーダではあるが。 >>148
理論上破れないとは書いてないような?
>>144の
>いっぺん自分でちゃんと計算
ってあたりを見れば、計算量的に現状のどんなハードウェアでも無理、って意味で
破れないと言ってるだけだと思うけど...
それより、XEmacs さん同様、>>147のASMコードの元となった論文が本当に実在
するなら見てみたいなぁ >>151
> ってあたりを見れば、計算量的に現状のどんなハードウェアでも無理、って意味で
> 破れないと言ってるだけだと思うけど...
正解。
あと、>>148 よ。ほんとに
> 復号できる以上、有効な解は必ず存在する。つまり理論上は絶対破れるんだよ。
と思ってるなら考え直した方がいいぞ。理論上絶対破れない暗号方式
があるんだからさ。
>>152
>理論上絶対破れない暗号方式があるんだからさ。
所詮頭でっかちの厨だったか。
計算屋とシステム屋の違いだね。
計算屋は、その時復号できなければそれでいい、今解けないんだからそれでいいだろ、
って考えが多いね。
システム屋は、システムが将来まで使用可能かどうかという点で評価するから、
今は見つかっていない解法や脆弱性、計算以外による復号方法の漏洩の可能性を考慮して、
暗号化を補助的なものとしてしか考えないのが一般的。少なくとも、「絶対他者には復号不能」
としてはシステムを売り込まない。
俺は計算屋のいう指数オーダで計算量が爆発的に増えるから安全というのは詭弁だと
考えている。それが、最大値を意図するか、解読までの期待値を意図するかは人によるが、
最短時間で解析されてしまう可能性を考慮していないヤツが多すぎ。 >>154
>今解けないんだからそれでいいだろ
暗号を知ってる人間で、そんなことを考える人はみたことないような。
>少なくとも、「絶対他者には復号不能」 としてはシステムを売り込まない。
だれも、(暗号を組み込んだ)システムを売り込む話はしてないと思うけど。
暗号の(計算上の)強度の話をしているだけで。
>俺は計算屋のいう指数オーダで計算量が爆発的に増えるから安全というのは詭弁
では、何を根拠に、暗号の理論的な安全性を求ようとしてますか?
結局は、(暗号の理論的な安全性は)
・ロジックに脆弱性がないかの検証
・解読に必要な計算量
の2つが大きな指標となるんでないの? >>155
>だれも、(暗号を組み込んだ)システムを売り込む話はしてないと思うけど。
ここは通信技術板。
暗号そのもの話は数学板でも情シス板でも行ってやってくれたまえ。 >>152
たとえばどんなのがありますか? > 絶対破れない暗号 >では、何を根拠に、暗号の理論的な安全性を求ようとしてますか?
簡単なこと。
絶対に安全な暗号は存在し得ない。
それだけ。
システムの話はしていないというなら、話はここで終わり。 >>157
ワンタイムパッドとか量子暗号とかでしょ? >>159
それらを「絶対破れない」という認識なのか。理論屋には困ったものだ。 >>156
>ここは通信技術板。
いまさら、このスレッドでそんな原則持ち出しても全く説得力ない。
(一連の話の論点・流れが見えてないんじゃ?)
このスレッド自体を移動しろって話ならまだわかるが。 >>161
板違いならば移動するのが当然だと思うが。 >>161
補足。
一連の流れなんて見てはいない。状況から客観的に板違いであることを指摘したまで。 >>160
「理論上」破れないってのを挙げただけでしょ?
なにが不足なのかな?
>>152の
>と思ってるなら考え直した方がいいぞ。理論上絶対破れない暗号方式
>があるんだからさ。
って話への質問なんだから。 >>164
それらを破れないと認識していること自体が困ったものだ、と言っているだけ。 >>165
実装やシステムの話じゃなくて、
理論上(つまり計算的に)破れないってのは理解できてますか? >>166
復号できる以上、少なくとも1つ以上の解が必ず存在する。
なので理論上は絶対に解読可能。暗号を扱っているならこんなの当たり前のこと。 >>166
理論という言葉の使い方が誤解を招くんだよ。
実用上破られない、ということ。
>>167
解読に可能なコストさえ度外視すれば
量子暗号といえども不可能ではないからね。 >>168
>実用上破られない、ということ。
それも間違い。
「今の時点では」、実用上破られない、ということ。
実用ではないなら、確率的には解読の1回目試行で解が得られる可能性もあるわけだ。
それは、破れない、とはいわない。 鍵がでかいと破れないってのは
鍵を+1づつクラックしてるからでは・・・
鍵生成アルゴリズムを煮詰めれば以外といけるのかも >>167-169
あほらし。
暗号理論、勉強しなおせ。
ワンタイムパッドが計算的に破れないことは、大昔に数学的に証明済みだ。
暗号学の初歩の初歩だぞ。 >>171
アフォ?
計算的に破れない=解読できない、って理解している?
キミが言っているのは逆算ができないってことだろ。
逆算しないで破るもっとも簡単な方法は総当り。解読できる以上、絶対にいつかは解が
得られる。 と、計算&暗号強度信者に言っても仕方がないか。
計算バカは実用を考えないからな、だから数学板へ行け、ってことになるんだよ。 IPsecなルーターの設定で鍵を生成する時のオプション設定で
鍵が解読された場合に次回生成する鍵では解読した鍵で解読で
きないようにする。という設定があるんですけど・・・
ちなみにこの設定をオンにすると鍵の生成が遅くなります。
多分これってIKEで交換した鍵の寿命がきた時、次の鍵を生成する
ときのオプションだと思うんですけど、と言うことは普通に鍵を
生成した時は何らかの規則性があるってことですよね?
>>169
実用上問題ない、だったな。それくらいは見逃してよ。
>>171
コストを度外視って書いたの見えなかったか?
それともコスト=費用とでも思ったか? >>175
171は相手にしないほうがいいよ。
大方暗号は絶対安全と信じ込まされ布教しないといられなくなっている暗号信者か、
大学なんかで少し暗号理論を聞きかじっただけの理屈だけ知ったガキだろう。
この業界では、暗号は「解読可能」前提が常識ということもしらんようだからな。 >>172
ワンタイム・パッドの場合、鍵は常にメッセージ文と同じ長さ。
それを総当りするということが、何を意味してるか、その弱い頭で理解してもらえますか?
アホを相手にすると疲れる。
ちっとは自分で調べろ。 >>177
相手にするのもばかばかしいが、所詮有限長。 >>178
所詮有限長?
なんでわかんないかな?
鍵長の問題じゃねーの。
ワンタイムパッドは、
鍵長=メッセージ文が1バイトの時ですら、破れないの。
1バイトの暗号文があったとしても、
総当り=0-255までのすべてが平等な候補になってしまうの。
2バイトの暗号だったら 0-65535 までのすべてが・・・
以下繰り返し。
わかる? >>179
そうか、おまえは通信技術を知らないから、復号された解の候補の中から正しい解を選択する
手法をしらないのか。 >>180
そうか、おまえは暗号理論を知らないから、復号された解の候補の中から正しい解を選択することが
不可能と数学的に証明されていることを、しらないのか。 >>179
暗号解読って普通は平文電文攻撃でないの?
>>182
数学フェチの暗号マニアによれば、不可能らしいな。
所詮計算しかしない、ランダムな数列がお友達のヤツらしい、アフォらしい回答だけどな。 平文が可読文字という前提がある場合は、0-255 の代わりに、
すべての可読文字が平等な候補、と読み替えてもらってもOK。 >>184
平文電文攻撃って暗号の専門化なら分からない?
大丈夫?
量子コンピュータ使えば今の暗号なんてみんな解読できるだろ?
もっとも量子暗号も実現していればまた話は違うが、
結局繰り返しなんだよな〜
実用上問題ないとまで言ってるのに
なんで不可能にこだわるかな〜 >>186
すまん、よく読んでなかった。
ワンタイムパッドは、たった一度で鍵を使い捨てってのが前提でかつ、
アルゴリズムもないから、普通の解読に使われる平分攻撃の類は
一切意味をなさないよ。 >>189
調べ終わったようだな。
その割には当たり前のことを書いただけの内容のないレスだが。
>>189
おいおいまた自分で墓穴掘ったか?
おれはしらね〜ぞ
ワンタイムパッドで正規のホストで復号に使用される解がどういう風に
取り決められるのか知っている? >>191
そういや、いつのまにか「ワンタイムパッド」万歳、他はしらねーなキャラになっているね。
>>194
Yes
どっかの営業だろ
ごくろう(w
調べに行ったまま戻ってこないので、結論をまとめておこうか。
・ワンタイムパッドは最強、それ以外はダメダメ。
・でも、ワンタイムパッドといえども平分攻撃で解読自体は可能。
・しかし、求めた解は使い回しが効かないので、毎回莫大な計算量が必要。
ということで、結論は、理論上解けない暗号はない。でも実用上は問題ないでしょ、
ってことですな。 >>197
訂正。
調べに行ったまま戻ってこないので、結論をまとめておこうか。
・ワンタイムパッドは最強、それ以外はダメダメ。
・でも、ワンタイムパッドといえども平分攻撃で解読自体は可能。
・しかし、求めた解は使い回しが効かないので、毎回莫大な計算量が必要。
ということで、結論は、理論上解けない暗号はない。でも今の技術から進歩しない
という前提において実用上は問題ないでしょ、 ってことですな。 >>195
ゴメン、俺には意味不明です。
ワンタイムパッドが攻撃可能って論文があるなら教えて。
あるわけねーと思うけど。
>>197
平文攻撃できねーってば。
しつこいな。 >>200
なんだやっぱ平分攻撃がわかっていないのか。 >>201
たしかに、平分攻撃はしらんよ。
教えてくれ。
平文攻撃なら知ってるけど。 >ワンタイムパッドで正規のホストで復号に使用される解がどういう風に
>取り決められるのか知っている?
戦前から存在してる方法だから、いろんなやり方があったのでは? あのな〜暗号って復号できるから暗号なの、
どんな手順で暗号かけたって復号できるしかけなの、
復号できないのが暗号なワケ...
ワンタイムパッド暗号(バーナム暗号とも呼ばれますな)を解読することは、
鍵を知らない者にとっては
全く意味のない乱数列から意味を取り出すことと等価なんですよ。
たとえば、16 オクテットからなる暗号
「1b5dc0a7eb2383dac934c783d032dc32」を総当りで解読するとしましょう。
鍵長=メッセージ長さなので、鍵も16オクテットです。
「00000000000000000000000000000000」から
「FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF」まで
試行することになります。
しかし、試す鍵次第でこの暗号は
「9月11日に決行!」とも
「広島・長崎:8月」とも復号できることに注意してください。
結局、鍵を知っている者だけが送信者の意図する復号が可能です。
これは、端的には「鍵長=メッセージ長」という事実に
起因する特徴です。
(逆にDESやAESのような「鍵長 < メッセージ長」な
暗号の場合はどうなるか考えてみてください。)
というわけで、ワンタイムパッド暗号の前提、つまり、
送信者と受信者が同一の鍵(真の乱数である必要がある)を安全に
共有しており、かつ同じ鍵が2度と使われない、という前提が
本当に厳密に成り立つならば(これが難しいのはご承知の通り)、
ワンタイムパッド暗号の解読は不可能です。
で、量子暗号の理論によれば、
上記の前提を実現できるということに一応なってます。 まだやってのかよ?
ひまだねえ
現場のエンジニアに言わせてもらうと、
インターネット上での盗聴の可能性の低さと確実性の低さを考えれば
軍事機密でもない限り、暗号なんて"そう簡単に解読できない"で十分
それより高速化しろやってのが本音
#暗号そのものについて語りたいなら理系学術系の板に逝けや ■ このスレッドは過去ログ倉庫に格納されています