暗号技術は変わるのか？

暗号技術は変わるのか ..

76:ラインダール
01/05/27 03:54.net
AESの最終決定って揺らいでいるの??

77:anonymous@f071086.ppp.asahi-net.or.jp
01/05/27 09:52.net
今のところ、楕円暗号が理論的に最強です。

78:35
01/05/28 00:04.net
息の長いスレやね……
なんか、共通鍵暗号と公開鍵暗号の話がごっちゃになってる気がするけど…

>>72
いろいろ探しても、実際の暗号化に用いる「カオス」を生成させる数式を
見つけられなかったんだけど、どこかに書いてる?
具体的なアルゴリズムを示さない暗号なんて誰も使いたがらないから、
それを隠している暗号なんて、トンデモって言われてもしょうがないと思う。
まあ、ほとんど情報がないから、これはあくまで個人的な印象だけど
弱鍵だらけで結局まともな暗号�

79:ﾍ作れなさそうな気はする。 >>77 「理論」上での強さだけなら量子暗号が最強でしょ。なんせ解読どころか傍受すら不可能なんだから。 …ってのは冗談だけど。(笑

80:anonymous
01/05/30 13:00.net
表情を使った暗号通信
URLﾘﾝｸ(ununununu.hoops.ne.jp)

81:名無しさん
01/06/05 17:10.net
認証技術の方はどうなっているの？

例えば、最近は高速道路に乗るときに電波飛ばせばいいみたいだけど、
あういうのは偽電波で簡単に騙せるもの？

82:ななし
01/06/05 17:31.net
>>80
認証は、ハードなレベルにになると結局は生体認証
とかいうお話になっちゃう。

って、そういうんじゃなくて CA 方面のお話?

83:anonymous@research02.gate.nec.co.jp
01/06/07 18:38.net
＞また、演算単位をビットで表さない多値コンピュータにおいて
＞各単位に、たとえば、光の波長多重の記憶をさせるようなモデル

84:＞をとっても、つまり、量子力学を持ち出さなくても全く同じ原理＞が適用できます。そもそも、波動の多重可能性に本質があるからです。＞（ちなみに、構成上全く同様に、テンソル積を用いてモデル化可能です）これは違うよ。

85:暗号の権威って？
01/06/14 01:00.net
>>63
何かの教科書に、暗号に関する本当のトップレベルの研究はNSA
の中で行われていて、一般には公開されない、と書いてあったんだけど、
これって本当？

86:ななし
01/06/14 01:26.net
>>83
現状を見る限りは大嘘。

87:暗号の権威って？
01/06/14 01:37.net
>>84
現状って、どういう意味？

88:ななし
01/06/14 02:12.net
AES の選定過程とか。

89:東大
01/06/14 13:55.net
ＩＤ・・・教えない
パス
1233422-006067-AZEtypeRoop-C-0558621356-circleMAX-UniveTokyo
侵入してみろ
まずはゲートから探せますか？
貴方の実力が試せます

90:侵入者
01/06/14 18:11.net
侵入しました。

91:age
01/06/17 23:17.net
age

92:ちょっとした素朴な疑問
01/06/20 00:47.net
話が変わるけど､通常UNIXパスワードはDESによって暗号化されいますが､何故OpenBSDは
DESではなくてblowfishを使っているのでしょう。

93:あのにます。
01/06/20 02:06.net
>>87
暗号の自慢はいいから、大学全体のセキュリティを考えてよ。
昨年の中国からの中央省庁Crackingは、あのノーベル賞が取
れない東京大学が踏み台にされたんでしょ。

94:名無しさん＠ＸＥｍａｃｓ
01/06/20 14:34.net
>>90
> 話が変わるけど､通常UNIXパスワードはDESによって暗号化されいますが､

最近だとあんまり『通常』ってのはありませんが。

『伝統的』のが正確かな？

> 何故OpenBSDはDESではなくてblowfishを使っているのでしょう。

詳しくは OpenBSD の Site で拾える USENIX paper でも少し触れら
れてますが、

1. アルゴリズム的に見て DES よりはるかに強力
2. 一つの鍵をセットアップするのに必要な時間が DES (に限らずた
ぶん既存のあらゆる共通鍵アルゴリズム) と比べて桁違いに長い

というあたりが理由でしょう。後者のため、辞書攻撃もそう簡単じゃ
なくなります。

ついでに、昔の書き込みで DES password の cracking に関して

『key space を printable character に限定できるからまともな
DES を破るより速いだろう』

てな議論がありましたが、しょせん、(96/128)^8 ではざっと 1/10
程度になるだけだし、何より伝統的な UNIX password は DES 処理を
25 回繰り返すという点を忘れてます。

とてもとてもそこらの PC や秋葉原で売ってるハードくらいで総当り
かできる代物ではないでしょう。

95:age
01/07/08 09:23 YP2FWKAE.net
上げます

96:anonymous
01/07/10 09:16 8ooWoRTA.net
>>92
素人の茶々なんですけど、「秋葉原で売っているハード」には
xilinxとかのPLDは含まれないんでしょうか。

97:名無しさん＠ＸＥｍａｃｓ
01/07/11 14:17 iBvqQZio.net
>>94
> 素人の茶々なんですけど、「秋葉原で売っているハード」には
> xilinxとかのPLDは含まれないんでしょうか。

いえ、含んでも一向に構いません。

どの程度のクロックの PLD がいま秋葉原で買えるか知りませんが、思
いっきり高めに見積もって 1GHz としましょうか。

で、PLD だとうまいこと logic を組めばたぶん 17～8 step で DES
algorithm が実装できるでしょう。

あとは単純な計算で

$ bc
bc 1.05
Copyright 1991, 1992, 1993, 1994, 1997, 1998 Free Software Foundation, Inc.
This is free software with ABSOLUTELY NO WARRANTY.
For details type `warranty'.
96^8 * 25 / 2 / 10^9 * 18
1623126546

つまり、一つの PLD で一つの伝統的 UNIX password を総当りするの
にかかる期待値がざっと 16 億秒ってことです。

もちろん大量に PLD を使えばスピードアップできますが、EFF の DES
Cracker のレベル (平均 4.5 日で一つの鍵を破れる) に達するだけで
もかなりの難事でしょう。

98:anonymous
01/07/12 06:17 3L4m/yuk.net
なるほど。その仮定でも、ざっと4000個並列しないといけない計算になりますね。
現状では注意深く管理された特定のアカウントに対する総当り攻撃は、
「秋葉原で買ったパーツでも不可能ではないが、組織的にやらないと難しい」
という認識でよさそうです。

しかし現実には、ひとつのアカウントがクラックされるだけですべてのアカウントが危険にさらされるケースがありますよね。
その場合、たまたまalphanumericなpasswordをつけている人物がいれば、上の仮定では128個並列で十分なようです。
これならの私怨の範囲でもクラックできるかもしれません。

個人レベルの攻撃というのを、秋葉原で調達可能なハードを用いて平均的な個人の収入と作業時間で
実現可能な攻撃手段と定義します。DESによるパスワードハッシュがもれた状況は、現状で
「組織的な解読者を想定した場合、安全と言えるアカウントはひとつもない」
「もしも全員が注意深くパスワードを管理していれば個人レベルでは安全」
「ひとつでもalphanumericなアカウントがある場合は、個人レベルで解読を許す可能性がある」
「ひとつでも辞書攻撃を許すアカウントがある場合は、直ちに危険である」
という認識でよいですかね。
＃残念ながら現実には一番最後のケースが妥当かもしれません。

99:名無しさん
01/07/12 06:44 iXr.LMco.net
まず /etc/passwd を手に入れる。
１人位アカウント名とパスワードが同じのドキュソがいるもんだから
順番に試す。
ログインに成功したらセキュリティホールのあるプログラムを
探して実行しroot権限を得る。
めでたしめでたし。

100:97はバカ
01/07/12 06:54 .net
はぁ？
そんな古典的なﾊｸを実行するなんて、相当な幼児だね。ﾌﾟﾌﾟﾌﾟ

101:ななし
01/07/12 21:02 huFKrVSE.net
>>97
最近は、password crack なんぞをせずに、各 daemon の buffer overflow
等による穴を直接ついて root 権限を得るという crack が普通です。

102:名無しさん＠ＸＥｍａｃｓ
01/07/16 13:43 DAwGKxb2.net
>>96
> なるほど。その仮定でも、ざっと4000個並列しないといけない計算になりますね。
> 現状では注意深く管理された特定のアカウントに対する総当り攻撃は、
> 「秋葉原で買ったパーツでも不可能ではないが、組織的にやらないと難しい」
> という認識でよさそうです。

まぁ、そんなところでしょう。

ただ、Password cracking みたいに変換後の結果そのものが分かって
いる場合ならともかく、そこそこ汎用な暗号破りを実現しようと思う
と、上の規模で並列させたチップにうまく仕事を割り振る (特に false
positive を効率的に排除する) のが結構難しい問題になります。

なので、現実に PLD で EFF DES Cracker なみの性能を持つシステム
を作ってみせられたとすれば、それはいまでもそこそこ評価できる研
究成果と言える気はします。

♯ご存じかもしれませんが、 EFF DES Cracker は PLD や FPGA では
♯なく custom IC で作られてます。

> という認識でよいですかね。

でしょう。

まぁ、いまどき password crack は流行らないというのも事実でしょ
うが、だからと言って password などどうでもいいというわけでもな
いでしょうし、さっさと MD5 なり Blowfish なり、より大きいエント
ロピーを扱える password system に移行するべきでしょうね。

103:age
01/08/01 12:23 HEmezYCs.net
age

104:ななし　　　
01/08/24 07:20 .net

105:　　
01/09/19 14:45 8FdC0eww.net
東大とかにある円周率計算の世界記録を作れるような
スーパーコンピューターだったら、暗号の解読、たとえば
パスワード８文字をやぶるのなんて一瞬ではないだろうか？
ハッシュされたパスワードを入れると、元の文字列の
候補が出力されるようなWebページを作ってサービス
すればよいだろう。

106:anonymous@ TCN-DHCP2.tcn-catv.ne.jp
01/09/19 16:23 IyBzYZ1Y.net
ガラスの中の液体に色とりどりのゲルが浮いていて、それに光を当てて
反射した光の模様をもとに暗号を生成するっていう話は、今回のテロ事件で
破綻したの？
でも解読できない暗号を作るのを禁止しようってのは、誰がはじめに実践するかが
むつかしそうだね。

107:名無しさん＠ＸＥｍａｃｓ- usr027.dk001ff.kgw.im.wakwak.ne.jp
01/09/25 16:54 00a.KBXg.net
>>103
> 東大とかにある円周率計算の世界記録を作れるような
> スーパーコンピューターだったら、暗号の解読、たとえば
> パスワード８文字をやぶるのなんて一瞬ではないだろうか？

んなわきゃーないって。スーパーコンピュータゆーてもハイエンド機
でようやく二桁 TFLOPS に手が届こうか、って程度なんだから、一瞬
(を 1 分以内とかに拡大解釈したとしても) なんてとてもとても。

>>104
> ガラスの中の液体に色とりどりのゲルが浮いていて、それに光を当てて
> 反射した光の模様をもとに暗号を生成するっていう話は、今回のテロ事件で
> 破綻したの？

この『ゲルで云々』という話は不勉強で聞いたことがないんですが、

> でも解読できない暗号を作るのを禁止しようってのは、誰がはじめに実践するかが
> むつかしそうだね。

現状ですでに

・絶対解読できない (でもちょっと使い難い)
・特性がかなり理解されており十分使い易い

という二種類の暗号があるので (共通鍵系の話ね)、理論面/実践面ど
ちらの意味から見ても、新しい原理に基づく暗号を作るというのは、
(研究的興味を除けば) あんまり意味のある話ではなくなってるとも言
えます。

もちろん、公開鍵系に関しては選択肢の少なさという不安があるので、
もっと多彩な alternatives が欲しいところではありますが。

108:nanasi
01/09/25 21:38 .net
>>105
んじゃ、量子コンピュータ向けの暗号理論って意味ないの?

109:名無しさん＠ＸＥｍａｃｓ
01/09/26 13:34 GpQrmCAE.net
>>106
> んじゃ、量子コンピュータ向けの暗号理論って意味ないの?

意味ないです (と言い切ってしまおう)。

万一いま研究されてる量子コンピュータが実用化されることがあった
としても、それでダメージを受けるのは素因数分解/離散対数の困難性
に基づく公開鍵暗号系だけだから共通鍵系にはなんら影響ないし、よ
しんば共通鍵系の安全性にまで影響を与えるような量子コンピュータ
(これはもう非決定的テューリングマシンそのものなのだが) の原理が
発明されたとしても、最後の砦は残るわけだし。

きょうび、ほんとに大事な通信を行ないたい相手毎に数 GB とかのサ
イズの onetime pad を共有しておくというのは、それほど難しい話で
もなくなっちゃってるからね。

110:anonymous@ h143-246.tokyu-net.catv.ne.jp
01/09/29 01:36 .net
そもそも量子コンピュータって、O(N)のNP問題をP時間で解くのに、
O(2^N)のハード使ってない？

111:名無しさん＠ＸＥｍａｃｓ
01/10/04 13:31 q.wlLNYA.net
量子コンピュータって実は良く知らないんだけど、1 qubit で 0 と
1 の 2 状態の重ね合わせを表せるってことだから、N qubit あれば

112:N bit の素因数分解ができるということではないの？

113:名無しさん
01/10/14 01:06 hZfWPo7M.net
>>107
>> んじゃ、量子コンピュータ向けの暗号理論って意味ないの?
> 意味ないです (と言い切ってしまおう)。

他の人に誤解されるかもしれないから「共通鍵暗号については意味ないです」って言ってちょ。
(もちろん、後の文を読めば >>107 さんが共通鍵暗号のことを言ってるのは明らかなんだけど。)

で、量子コンピュータができても共通鍵暗号は破れないって意見には同意。
量子コンピュータは素因数分解や離散対数問題は解けても
NP完全問題は解けないって意見が支配的だしね。
だから、ナップサック問題(これもNP完全問題)を利用した公開鍵暗号に
再び注目が集まっているわけで。(量子公開鍵暗号ってやつね)

>>109
あまり詳しくないんだけど、Shorのアルゴリズムって計算途中の情報を格納する
必要があるから、全部で3N qubitぐらい必要じゃなかったっけ?
どっちにしろ、Nの定数倍ってのは間違いないけど。

114:名無しさん＠ＸＥｍａｃｓ
01/10/19 15:38 M2YG0oXy.net
>>110
> >> んじゃ、量子コンピュータ向けの暗号理論って意味ないの?
> > 意味ないです (と言い切ってしまおう)。
> 他の人に誤解されるかもしれないから「共通鍵暗号については意味ないです」って言ってちょ。

んー、誤解されるのは実は望むところ、というか。

いや、だって、量子コンピュータなんてまず実用化されないでしょ。
NP 完全問題を多項式時間で解くよな化物は当然として、いま研究され
てるやつですら。

♯ただ、>>109 でみずから
> 量子コンピュータって実は良く知らないんだけど、
♯と言ってる通り別に確固とした根拠がある訳じゃないからここ突っ
♯込まれても困るんだが。

もちろん研究としての意味合いは十分あると思うし、それを否定して
るわけじゃないんだけど、研究的トピックがすべて実用化できるとい
うものならば、今ごろハイエンドなコンピュータは液体窒素 (だったっ
けか?) の中で CPU が動く醍醐世代機になってなきゃおかしいわけで。B-)

んで、特に暗号の場合には使えてなんぼ、という感が強いので (なに
せ、これほど綺麗に理論が実践に繋がってる分野って他にあんまりな
さげだし)、実用化できない = 意味がない、という印象が (個人的に
は) 強いんでしょうね。

> だから、ナップサック問題(これもNP完全問題)を利用した公開鍵暗号に
> 再び注目が集まっているわけで。(量子公開鍵暗号ってやつね)

えーと、でも knapsack って LLL アルゴリズムとかいうやつのために
非現実的なサイズの鍵を使わない限り破られてしまうということが一
般に示されてるんじゃなかったでしたっけ。

この辺も聞きかじりなもんであれですが。

あ、量子コンピュータを使えばいま非現実的サイズな鍵が現実的に使
えるようになる、という線はあり得るのか。

115:anonymous@ Ctcur7DS16.iba.mesh.ad.jp
01/10/30 08:18 IoNsdCNV.net
あげ

116:MSDRM破られる
01/10/30 08:51 Iqk4An+w.net
URLﾘﾝｸ(cryptome.org)

117:unknown
02/01/11 05:45 yvd3//SK.net
スレ存在証明age

118: ◆RUwjICBI
02/01/16 17:31 .net
誰がために心をなやまし、
ｽﾚﾘﾝｸ(sec板:203番)

119:＿
02/01/19 02:28 .net
なにやっとんねん。

120:unknown
02/01/29 21:12 hhO7CTpv.net
SCIS2002あげ

121:名無しさん＠crypt
02/02/18 01:05 .net
あげ

122:anonymous@ p803258.kyotac00.ap.so-net.ne.jp
02/02/21 04:35 .net
age

123: b
02/04/13 20:52 hYIzRqfw.net
なんか0101100とかに暗号化して日本語に解読できサイトありませんでした？
知ってる方はリンクキボンヌですー。

124:anonymous@ nttkyo065056.adsl.ppp.infoweb.ne.jp
02/07/05 01:38 RPT7N042.net
カオスって製品化されてるんですね。売ってました。
エシュロンでも解読不可能だと言ってました。

125:名無しさん＠ＸＥｍａｃｓ
02/0

126:7/05 10:38 ID:???.net

127:あの
02/08/16 15:15 .net
イイ

128:ひよこ名無しさん
02/08/16 15:22 .net
そんなことより　聞いてくれよおっちゃん
このサイト面白いぞ　小一時間ワラタ
URLﾘﾝｸ(www.ogaki-tv.ne.jp)

129:演技師（へっぽこ ◆enGI/www
02/08/16 16:43 .net
そんなことより

確実な素数判定のアルゴリズムができたらしいじゃないですか。
インドってすごい。

130:Nuke it!!
02/08/16 18:20 .net
122>> いま使われているたいていの暗号は『エシュロンでも解読不可能』なんだけどなぁ。

CPUで解読でなくて暗号解読専用ロジック(ASIC)かなんかを10万個くらい同時に1GHzでぶん回せば解けるんじゃないの3DESとかAESくらいは・・・

131:　
02/08/16 23:20 .net
>>126
ふーん、じゃあやれば？

132:Nuke it!!
02/08/17 06:30 .net
>>126 ふーん、じゃあやれば？

だからエシュロンは見れてんじゃねーのってこと。
ところで、公開鍵を使った暗号化ソフトや専用ロジックって本当に暗号化のときに指定した公開鍵だけで暗号化してるのかね？
たとえばこれはしてたとしてどうやって検証するんだ？

つまりマスターキーがあるんじゃないの？
そうすりゃ簡単にデコードできる。

133:127
02/08/17 14:49 Nu+W0r77.net
>>128
マスターキーあるんならASICなんか1個もいらないじゃん（ｗ
言ってることがコロコロ変わってる。
それから、アルゴリズムが公開されているのに実装時に別のマスターキーを組み込むなど
したらバレちゃうじゃん。

134:Nuke it!!
02/08/17 16:09 .net
>>129
マスターキーあればASICなんて一つも要らないんだけど
＞＞それから、アルゴリズムが公開されているのに実装時に別のマスターキーを組み込むなどしたらバレちゃうじゃん。

ES品で真面目なやつ出しといて、製品でがんがん流れたら別なやつに
すげ替える。バレたらバレたでしらばっくれて、ばっくれる。
ってなんかありそうで怖いんですけど・・・
あったとしてもメーカーじゃ怖くて公表できない？

でも、たとえば3DESだったらDESを3回かけてるだけなので、DESの検証だけやればある程度穴が無いって事はわかるけど。
最初から鍵長が256bitとかあったら、完全に検証できないじゃないですか？っていうかどうやって検証するの？

135:名無しさん＠ＸＥｍａｃｓ
02/08/18 18:36 .net
>>126
> CPUで解読でなくて暗号解読専用ロジック(ASIC)かなんかを10万個くらい同時に1GHzでぶん回せば解けるんじゃないの3DESとかAESくらいは・・・

>>95 を見て、3DES (時間的複雑性 2^112) とか AES (同 2^128～
256) を、たとえば 1 年間で破るためには何個のチップがあればい
かを計算してみ。10 万個とかいい加減な数挙げるんじゃなく、さ。

指数オーダという暴力を甘く見過ぎ。

136:Nuke it!!
02/08/18 21:18 zVs0jXj9.net
>>131
>>131 指数オーダという暴力を甘く見過ぎ。

そうそう１０万個並列にとかって適当に言ってたんだけど、よ～く考えると無理だね。ほんとに

やっぱやるとしたらバックドアしかないか・・・

137:名無しさん＠ＸＥｍａｃｓ
02/08/19 16:11 .net
>>132
> そうそう１０万個並列にとかって適当に言ってたんだけど、よ～く考えると無理だね。ほんとに

うん。で、ここら辺の話は NSA にとっても百も承知の筈だから、
Echelon で解読しようなんて無駄なことは考えてもいないっしょ。

> やっぱやるとしたらバックドアしかないか・・・

暗号関連アプリケーションにバックドアを入れ込ませるよう画策はし
てるだろうし、買収なりなんなりで鍵を取得するなんてことは当り前
にやられてるだろうし、復号済みのデータにアクセスするための方法
なんぞも盛んに研究してるだろうね。

そういや“すべての compiler 製品には Open Source な暗号アプリを
処理する際 object に backdoor を埋め込むような仕掛けが施されて
る”なんてヨタ話もあったなぁ。

んで、“3DESとかAESくらい”って書いてたんでこういう結論になっちゃ
うんだけど、公開鍵系まで視野に入れるとまた話はちょっと別ね。

DJB の NFS 専用機構想なんてのもあるし、ひょっとすると NSA はそ
の気になれば 1024 bit RSA/DH を破れる程度の Cracking Machine を
持ってる可能性はあるかも。

138:Nuke it!!
02/08/19 17:11 n0nNxxvW.net
ソフトウェアのバックドアってのはある程度機械語を解析すれば
やってることは分かるけど、今いちばん危ないのがハードウェア
アクセラレータでしょ

ルータのIPフィルタとかもASICでやってるし、もちろん暗号化や複合化
なんかはハードウェアアクセラレーション使うのが当たり前だし
いくら外部からテストしても検証できないしね
マスク出せとか言っても相手にもされないだろうし・・・
まあ、やり放題だとは思うんだけどね(ｗ

139:
02/08/19 21:41 PdBYVe/J.net
なんかすげー自作自演っぽいんでage

140:anonymous@ ocngw-1.fis.ntt-it.co.jp
02/08/19 21:54 .net
ｽﾚﾘﾝｸ(software板:283-番)
ここで、最新情報ではblowfish128bitをスパコン使わなくても破れそう、ってな
ことを言ってる奴いるけど、本当？？
詳しい人おしえて！

141:E2は？
02/08/19 22:32 .net
>136　リモホ晒しあげ

142:anonymous@
02/08/19 22:39 z4c4mATu.net
>>136
URLﾘﾝｸ(www.ipa.go.jp)

143:136
02/08/19 22:47 .net
Thanks!
1998年のRFCですね。
これだと、blowfish128bitで汎用に破れるようなやり方はなさそうですが...
最新の暗号学会では、これとは違った見解がでてるのかな？

144:anonymous@
02/08/19 22:58 .net
>>139
ASMソースあるけどここには出せん

145:136
02/08/19 23:03 ha4mdKxi.net
うーん
ASMソースより、>>138のような、論文/文書の類の方が見たいんだけど（笑）

146:　
02/08/20 03:57 .net
>>125
そういや、素数判定の話で、暗号の危機なんて騒いだ馬鹿がいたな。

147:演技師（へっぽこ ◆enGI/www
02/08/20 08:23 .net
>>142
確実なﾄﾞｷｭｿ判定のアルゴリズムができたらしいじゃないですか。
２ちゃんってすごい。

漏れも相当ｱﾌｫだな・・・

148:名無しさん＠ＸＥｍａｃｓ
02/08/20 09:53 .net
>>136
> ｽﾚﾘﾝｸ(software板:283-番)
> ここで、最新情報ではblowfish128bitをスパコン使わなくても破れそう、ってな
> ことを言ってる奴いるけど、本当？？

もちろんうそ。

つーか、スパコンを使おーが何使おーが、破れやしない。

暗号アルゴリズムの種類は所詮定数オーダでしか効かないんで、

>>95
>>131

辺りの理屈がそのまま当てはまるから、いっぺん自分でちゃんと計算
してみ。

まぁ Blowfish 固有のアルゴリズム的な欠陥がある可能性は否定でき
んけど、力いっぱい key-dependent な S-Box を採用しているんで、
どんな鍵でも破れる汎用的な欠陥があることは非常に考え難そう。

149:136
02/08/20 10:09 .net
Thanks!
やっぱり、そうですよね。
もし、実際に破れそうな可能性が解ったら、大騒ぎだと思うし（笑）

150:　
02/08/20 10:29 .net
>まぁ Blowfish 固有のアルゴリズム的な欠陥がある可能性は否定でき
>んけど、力いっぱい key-dependent な S-Box を採用しているんで、
>どんな鍵でも破れる汎用的な欠陥があることは非常に考え難そう。

その分、blowfishは初期化コストが大きいと。

151:Nuke it!!
02/08/20 10:47 .net
>>144
なんかスパコンで計算して出したマジックナンバー使うらしいぞ
x86なASMコードあるけどこれで解けるのかな？

blowfishはちょっと胡散臭いかも？
他の暗号化アルゴリズム素直

152:に使った方が良さそうだね。

153:_
02/08/20 12:02 .net
>>144
>つーか、スパコンを使おーが何使おーが、破れやしない。

なんか、こういうヤツが暗号化システムを売り込んでいると思うと鬱だな。
復号できる以上、有効な解は必ず存在する。つまり理論上は絶対破れるんだよ。
現時点では、暗号を解読できる有効な解を求めるのに必要な時間の期待値が、
人にとって有効な範囲にないだけのこと。

154:名無しさん＠ＸＥｍａｃｓ
02/08/20 12:11 .net
>>145
> もし、実際に破れそうな可能性が解ったら、大騒ぎだと思うし（笑）

もちろんそれもあるし、また、ここ一日くらいで唐突に発見された脆
弱性ということならともかく、ほんとに『スパコン使えば破れたもの
がスパコンなしでも破れるようになった』のなら、発見後結構な時間
が経ってることになるはずだから、いまの時点で BS がそのことにつ
いて何も触れてないってのは変。

>>147
> なんかスパコンで計算して出したマジックナンバー使うらしいぞ

ソース (コードの意味でも情報源の意味でもどっちでも OK) きぼんぬ。

> x86なASMコードあるけどこれで解けるのかな？

ほんとに解けるならそっちも報告きぼんぬ。

155:名無しさん＠ＸＥｍａｃｓ
02/08/20 12:13 .net
>>146
> >まぁ Blowfish 固有のアルゴリズム的な欠陥がある可能性は否定でき
> >んけど、力いっぱい key-dependent な S-Box を採用しているんで、
> >どんな鍵でも破れる汎用的な欠陥があることは非常に考え難そう。
>
> その分、blowfishは初期化コストが大きいと。

で、その分、bruteforce には強い、と。

♯所詮定数オーダではあるが。

156:136
02/08/20 12:15 .net
>>148
理論上破れないとは書いてないような？

>>144の
>いっぺん自分でちゃんと計算

ってあたりを見れば、計算量的に現状のどんなハードウェアでも無理、って意味で
破れないと言ってるだけだと思うけど...

それより、XEmacs さん同様、>>147のASMコードの元となった論文が本当に実在
するなら見てみたいなぁ

157:名無しさん＠ＸＥｍａｃｓ
02/08/20 12:29 .net
>>151
> ってあたりを見れば、計算量的に現状のどんなハードウェアでも無理、って意味で
> 破れないと言ってるだけだと思うけど...

正解。

あと、>>148 よ。ほんとに

> 復号できる以上、有効な解は必ず存在する。つまり理論上は絶対破れるんだよ。

と思ってるなら考え直した方がいいぞ。理論上絶対破れない暗号方式
があるんだからさ。

158:_
02/08/20 12:32 .net
>>152
>理論上絶対破れない暗号方式があるんだからさ。

所詮頭でっかちの厨だったか。

159:名無しさん
02/08/20 12:48 .net
計算屋とシステム屋の違いだね。
計算屋は、その時復号できなければそれでいい、今解けないんだからそれでいいだろ、
って考えが多いね。

システム屋は、システムが将来まで使用可能かどうかという点で評価するから、
今は見つかっていない解法や脆弱性、計算以外による復号方法の漏洩の可能性を考慮して、
暗号化を補助的なものとしてしか考えないのが一般的。少なくとも、「絶対他者には復号不能」
としてはシステムを売り込まない。

俺は計算屋のいう指数オーダで計算量が爆発的に増えるから安全というのは詭弁だと
考えている。それが、最大値を意図するか、解読までの期待値を意図するかは人によるが、
最短時間で解析されてしまう可能性を考慮していないヤツが多すぎ。

160:　
02/08/20 17:56 .net
>>154

>今解けないんだからそれでいいだろ

暗号を知ってる人間で、そんなことを考える人はみたことないような。

>少なくとも、「絶対他者には復号不能」としてはシステムを売り込まない。

だれも、（暗号を組み込んだ）システムを売り込む話はしてないと思うけど。
暗号の（計算上の）強度の話をしているだけで。

>俺は計算屋のいう指数オーダで計算量が爆発的に増えるから安全というのは詭弁

では、何を根拠に、暗号の理論的な安全性を求ようとしてますか？

結局は、（暗号の理論的な安全性は）
・ロジックに脆弱性がないかの検証
・解読に必要な計算量
の２つが大きな指標となるんでないの？

161:ルーター＠通信技術板
02/08/20 23:40 .net
>>155
>だれも、（暗号を組み込んだ）システムを売り込む話はしてないと思うけど。

ここは通信技術板。
暗号そのもの話は数学板でも情シス板でも行ってやってくれたまえ。

162:anonymous
02/08/20 23:43 ntjEGwsj.net
>>152
たとえばどんなのがありますか? > 絶対破れない暗号

163:名無しさん
02/08/20 23:45 .net
>では、何を根拠に、暗号の理論的な安全性を求ようとしてますか？

簡単なこと。
絶対に安全な暗号は存在し得ない。
それだけ。

システムの話はしていないというなら、話は�

164:ｱこで終わり。

165:　
02/08/21 00:37 .net
>>157
ワンタイムパッドとか量子暗号とかでしょ？

166:_
02/08/21 00:44 .net
>>159
それらを「絶対破れない」という認識なのか。理論屋には困ったものだ。

167:　
02/08/21 00:45 .net
>>156
>ここは通信技術板。

いまさら、このスレッドでそんな原則持ち出しても全く説得力ない。
（一連の話の論点・流れが見えてないんじゃ？）

このスレッド自体を移動しろって話ならまだわかるが。

168:ルーター＠通信技術板
02/08/21 00:52 .net
>>161
板違いならば移動するのが当然だと思うが。

169:ルーター＠通信技術板
02/08/21 00:54 .net
>>161
補足。
一連の流れなんて見てはいない。状況から客観的に板違いであることを指摘したまで。

170:　
02/08/21 01:17 .net
>>160
「理論上」破れないってのを挙げただけでしょ？
なにが不足なのかな？

>>152の
>と思ってるなら考え直した方がいいぞ。理論上絶対破れない暗号方式
>があるんだからさ。

って話への質問なんだから。

171:_
02/08/21 01:23 .net
>>164
それらを破れないと認識していること自体が困ったものだ、と言っているだけ。

172:　
02/08/21 01:28 .net
>>165
実装やシステムの話じゃなくて、
理論上（つまり計算的に）破れないってのは理解できてますか？

173:　
02/08/21 20:58 .net
>>166
復号できる以上、少なくとも１つ以上の解が必ず存在する。
なので理論上は絶対に解読可能。暗号を扱っているならこんなの当たり前のこと。

174:　
02/08/21 21:17 .net
>>166
理論という言葉の使い方が誤解を招くんだよ。
実用上破られない、ということ。

>>167
解読に可能なコストさえ度外視すれば
量子暗号といえども不可能ではないからね。

175:　
02/08/21 21:28 .net
>>168
>実用上破られない、ということ。

それも間違い。
「今の時点では」、実用上破られない、ということ。

実用ではないなら、確率的には解読の１回目試行で解が得られる可能性もあるわけだ。
それは、破れない、とはいわない。

176:　　　
02/08/21 21:34 b/4brW6H.net
鍵がでかいと破れないってのは

鍵を+1づつクラックしてるからでは・・・
鍵生成アルゴリズムを煮詰めれば以外といけるのかも

177:　
02/08/21 21:45 .net
>>167-169

あほらし。
暗号理論、勉強しなおせ。

ワンタイムパッドが計算的に破れないことは、大昔に数学的に証明済みだ。
暗号学の初歩の初歩だぞ。

178:　
02/08/21 21:52 .net
>>171
アフォ？
計算的に破れない＝解読できない、って理解している？
キミが言っているのは逆算ができないってことだろ。

逆算しないで破るもっとも簡単な方法は総当り。解読できる以上、絶対にいつかは解が
得られる。

179:　
02/08/21 21:56 .net
と、計算＆暗号強度信者に言っても仕方がないか。
計算バカは実用を考えないからな、だから数学板へ行け、ってことになるんだよ。

180:
02/08/21 22:01 b/4brW6H.net
IPsecなルーターの設定で鍵を生成する時のオプション設定で
鍵が解読された場合に次回生成する鍵では解読した鍵で解読で
きないようにする。という設定があるんですけど・・・
ちなみにこの設定をオンにすると鍵の生成が遅くなります。
多分これってIKEで交換した鍵の寿命がきた時、次の鍵を生成する
ときのオプションだと思うんですけど、と言うことは普通に鍵を
生成した時は何らかの規則性があるってことですよね？

181:168
02/08/21 22:05 .net
>>169
実用上問題ない、だったな。それくらいは見逃してよ。

>>171
コストを度外視って書いたの見えなかったか？
それともコスト＝費用とでも思ったか？

182:　
02/08/21 22:09 .net
>>175
171は相手にしないほうがいいよ。
大方暗号は絶対安全と信じ込まされ布教しないといられなくなっている暗号信者か、
大学なんかで少し暗号理論を聞きかじっただけの理屈だけ知ったガキだろう。
この�

183:ﾆ界では、暗号は「解読可能」前提が常識ということもしらんようだからな。

184:　
02/08/21 22:10 .net
>>172

ワンタイム・パッドの場合、鍵は常にメッセージ文と同じ長さ。
それを総当りするということが、何を意味してるか、その弱い頭で理解してもらえますか？

アホを相手にすると疲れる。
ちっとは自分で調べろ。

185:　
02/08/21 22:11 .net
>>177
相手にするのもばかばかしいが、所詮有限長。

186:　
02/08/21 22:20 .net
>>178

所詮有限長？

なんでわかんないかな？
鍵長の問題じゃねーの。

ワンタイムパッドは、
鍵長＝メッセージ文が1バイトの時ですら、破れないの。

1バイトの暗号文があったとしても、
総当り＝0-255までのすべてが平等な候補になってしまうの。

２バイトの暗号だったら 0-65535 までのすべてが・・・
以下繰り返し。

わかる？

187:　
02/08/21 22:23 .net
>>179
そうか、おまえは通信技術を知らないから、復号された解の候補の中から正しい解を選択する
手法をしらないのか。

188:　
02/08/21 22:25 .net
>>180

そうか、おまえは暗号理論を知らないから、復号された解の候補の中から正しい解を選択することが
不可能と数学的に証明されていることを、しらないのか。

189:
02/08/21 22:26 b/4brW6H.net
>>179
暗号解読って普通は平文電文攻撃でないの？

190:　
02/08/21 22:30 .net
>>182
数学フェチの暗号マニアによれば、不可能らしいな。
所詮計算しかしない、ランダムな数列がお友達のヤツらしい、アフォらしい回答だけどな。

191:　
02/08/21 22:30 .net
平文が可読文字という前提がある場合は、0-255 の代わりに、
すべての可読文字が平等な候補、と読み替えてもらってもＯＫ。

192:　
02/08/21 22:32 .net
実りのない議論いつまでも繰り返してんじゃねえよ

193:
02/08/21 22:33 b/4brW6H.net
>>184
平文電文攻撃って暗号の専門化なら分からない？
大丈夫？

194:168
02/08/21 22:34 .net
量子コンピュータ使えば今の暗号なんてみんな解読できるだろ？

もっとも量子暗号も実現していればまた話は違うが、
結局繰り返しなんだよな～

実用上問題ないとまで言ってるのに
なんで不可能にこだわるかな～

195:　
02/08/21 22:39 .net
>>186
いま必死になって調べています(w

196:　
02/08/21 22:44 .net
>>186
すまん、よく読んでなかった。

ワンタイムパッドは、たった一度で鍵を使い捨てってのが前提でかつ、
アルゴリズムもないから、普通の解読に使われる平分攻撃の類は
一切意味をなさないよ。

197:　
02/08/21 22:46 .net
>>189
調べ終わったようだな。
その割には当たり前のことを書いただけの内容のないレスだが。

198:
02/08/21 22:48 b/4brW6H.net
>>189
おいおいまた自分で墓穴掘ったか？
おれはしらね～ぞ

199:　
02/08/21 22:48 .net
ワンタイムパッドで正規のホストで復号に使用される解がどういう風に
取り決められるのか知っている？

200:
02/08/21 22:50 b/4brW6H.net
>>189

わりいな
俺はもう寝る

201:　
02/08/21 22:51 .net
>>191
そういや、いつのまにか「ワンタイムパッド」万歳、他はしらねーなキャラになっているね。

202:　
02/08/21 22:52 .net
>>192
これは189に対する質問ね。

203:
02/08/21 22:56 b/4brW6H.net
>>194
Yes
どっかの営業だろ
ごくろう(ｗ

204:　
02/08/21 23:00 .net
調べに行ったまま戻ってこないので、結論をまとめておこうか。

・ワンタイムパッドは最強、それ以外はダメダメ。
・でも、ワンタイムパッドといえども平分攻撃で解読自体は可能。
・しかし、求めた解は使い回しが効かないので、毎回莫大な計算量が必要

205:。ということで、結論は、理論上解けない暗号はない。でも実用上は問題ないでしょ、ってことですな。

206:　
02/08/21 23:02 .net
>>197
訂正。

調べに行ったまま戻ってこないので、結論をまとめておこうか。

・ワンタイムパッドは最強、それ以外はダメダメ。
・でも、ワンタイムパッドといえども平分攻撃で解読自体は可能。
・しかし、求めた解は使い回しが効かないので、毎回莫大な計算量が必要。

ということで、結論は、理論上解けない暗号はない。でも今の技術から進歩しない
という前提において実用上は問題ないでしょ、ってことですな。

207:168
02/08/21 23:04 .net
おおかたこの辺でも読んで知った気になってるんだろうな。
URLﾘﾝｸ(www.hotwired.co.jp)

208:　
02/08/21 23:06 .net
>>195
ゴメン、俺には意味不明です。
ワンタイムパッドが攻撃可能って論文があるなら教えて。
あるわけねーと思うけど。

>>197
平文攻撃できねーってば。
しつこいな。

209:_
02/08/21 23:09 .net
>>200
なんだやっぱ平分攻撃がわかっていないのか。

210:　
02/08/21 23:12 .net
>>201

たしかに、平分攻撃はしらんよ。
教えてくれ。

平文攻撃なら知ってるけど。

211:　
02/08/21 23:38 .net
>ワンタイムパッドで正規のホストで復号に使用される解がどういう風に
>取り決められるのか知っている？

戦前から存在してる方法だから、いろんなやり方があったのでは？

212:
02/08/22 07:31 ksYyX2Gt.net
>>200
ぶぁかはこれでも読め
URLﾘﾝｸ(software.fujitsu.com)

213:　
02/08/22 09:07 .net
>>192
乱数表の交換のことをいってる？

214:anonymous@ p29216-adsao10hon-acca.tokyo.ocn.ne.jp
02/08/23 19:56 E3KpxVAf.net
あのな～暗号って復号できるから暗号なの、
どんな手順で暗号かけたって復号できるしかけなの、
復号できないのが暗号なワケ...

215:anonymous@ p28167-adsao10hon-acca.tokyo.ocn.ne.jp
02/08/23 20:08 HRjOmr3F.net
フラクタルやってみたらいいんじゃない？

216:　　
02/08/23 20:09 HRjOmr3F.net
ドメイン名もれもれ↑

217:anonymous@ p28167-adsao10hon-acca.tokyo.ocn.ne.jp
02/08/23 20:09 HRjOmr3F.net
ＩＤ名もれもれ↑

218:anonymous
02/08/23 21:54 zcRLMnGO.net
ワンタイムパッド暗号(バーナム暗号とも呼ばれますな)を解読することは、
鍵を知らない者にとっては
全く意味のない乱数列から意味を取り出すことと等価なんですよ。

たとえば、16 オクテットからなる暗号
「1b5dc0a7eb2383dac934c783d032dc32」を総当りで解読するとしましょう。
鍵長=メッセージ長さなので、鍵も16オクテットです。
「00000000000000000000000000000000」から
「FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF」まで
試行することになります。
しかし、試す鍵次第でこの暗号は
「９月11日に決行！」とも
「広島・長崎：８月」とも復号できることに注意してください。

結局、鍵を知っている者だけが送信者の意図する復号が可能です。
これは、端的には「鍵長=メッセージ長」という事実に
起因する特徴です。
(逆にDESやAESのような「鍵長 < メッセージ長」な
暗号の場合はどうなるか考えてみてください。)

というわけで、ワンタイムパッド暗号の前提、つまり、
送信者と受信者が同一の鍵(真の乱数である必要がある)を安全に
共有しており、かつ同じ鍵が2度と使われない、という前提が
本当に厳密に成り立つならば(これが難しいのはご承知の通り)、
ワンタイムパッド暗号の解読は不可能です。

で、量子暗号の理論によれば、
上記の前提を実現できるということに一応なってます。

219:　
02/08/23 22:03 .net
まだやってのかよ？
ひまだねえ

現場のエンジニアに言わせてもらうと、
インターネット上での盗聴の可能性の低さと確実性の低さを考えれば
軍事機密でもない限り、暗号なんて"そう簡単に解読できない"で十分

それより高速化しろやってのが本音

#暗号そのものについて語りたいなら理系学術系の板に逝

220:けや

221:　
02/08/23 22:12 .net
>>210

まさにそのとおり。
でも、>>177 >>179 にほぼ同様の説明が書いてあっても、
それが理解できない田分け衆がここには沢山いるみたいだし、
この板は放置したほうが賢明かも。

>>211

もともと軍事用だから > ワンタイムパッド

222:
02/08/23 22:24 .net
>送信者と受信者が同一の鍵(真の乱数である必要がある)を安全に
>共有しており、かつ同じ鍵が2度と使われない、という前提が
>本当に厳密に成り立つならば(これが難しいのはご承知の通り)、
>ワンタイムパッド暗号の解読は不可能です。

これ実現するのは難しいよね？
暗号技術そのものより鍵生成と交換がかえって難しくなってくる・・・
真のランダムの高速生成はノイズダイオードとか使って何とかできるとして
鍵の交換はやっぱり手渡し？

223:210
02/08/23 22:24 .net
俺も一応現場のエンヂニヤだよ。
今週はラック実装と設定投入ばかりやってました。腕が痛い。

>>211 は速度の問題を指摘するけど、だからといって
速くするために弱くなりますた、じゃイヤでしょ?
速度と強度は表裏一体なわけだし。
本当に「そう簡単に解読できない」かどうかは自分で判断するしかない。
実際WEPみたいな落とし穴もちょくちょくあるし。
暗号の基礎くらいは現場も知っておくべき時代に
なってきたと思うんだけどねえ。理系学術だけのもんじゃないと思う。

224:電鈴さん@CFB
02/08/23 22:25 .net
「可能性は、ゼロに近い」

「総当たりすれば、鍵が見つかるはず」

暗号交差点は、いつもすれ違うばかりの悲しい場所。

"鍵が見つかるバーナム"は、既にバーナムとは呼べないと思うのですが。．．．．．

225:
02/08/23 22:27 .net
>>211
盗聴はハードウェアにバックドアで可能です。
まあ、できる人はかなり限定されますが・・・

226:NW板で初実況スレ？？
02/09/08 21:32 .net
今、NHK総合観てる人います？

227:＿
02/09/08 21:35 .net
今、私、見てますが何か？

228:217
02/09/08 21:43 .net
>>218
テレビの映り、如何ですか？（ｗ

229:
02/09/09 08:35 .net
67 ：WindowsMeidaRightsManager最強？ [mailto:]：02/09/03 15:49 ID:???
この人の解説によれば、つまりはMicrosoftのストリームング暗号技術は最強ということ？
URLﾘﾝｸ(www.spinnaker.com)

このMSの暗号技術はXPのアクティベーションの基本になっている？？

230:
02/09/10 09:00 .net
リンク先の　Technical 　ってドキュメントをよく読んでください。

この人の作ったプログラムを使えば、MSの暗号技術で暗号化された音楽ファイルを解読して元ファイルをとりだせると書いています。
ただし、とりだすためには復号化キーの入手が不可欠とあり、この点では完全に破ったとはいえませんが、作者は仕組みはわかったので、
同じく公開しているソースコードを参考にすればさらに強力な暗号化解除が可能となるであろうと書いています。

231:あぼーん
あぼーん.net
あぼーん

232:山崎渉
03/01/16 04:06 .net
（＾＾）

233:　　
03/02/28 09:53 7h8PY4Ru.net
age

234:山崎渉
03/03/13 17:10 .net
（＾＾）

235:anonymous@
03/03/25 10:44 umOgvFw9.net
AESとかSerpentは破れるみたいだね
DESは22時間弱らしいけど3DESは破れそうにないな
やはり１発で256bitとか比較的長い鍵長をサポートする暗号ってのは
以外と破りやすいのかもな

236:
03/03/26 04:02 .net
>>210
だから、ある意味政治的に利用されちゃうのよ。
相手に無実の罪

237:を着せたい場合、「通信を傍受し、暗号を解読した結果、これこれこういうことだった」みたいな。

238:anonymous@
03/03/27 08:58 .net
以外と凄そうな暗号も簡単に破れるみたいだね。
↓とか
URLﾘﾝｸ(www.mainichi.co.jp)
URLﾘﾝｸ(www.mainichi.co.jp)

↓なんか面白そうですよね
URLﾘﾝｸ(www.ipa.go.jp)

512GByteのテーブルとハードウェアアクセラレータがあれば小一時間
512GByteクラスのメモリなら簡単に構築できそうだし
もう>>210の言ってる事は古すぎ

239:　
03/03/27 19:29 .net
>>228
あのさあ・・・平文を判断するのは人間でしょ。
>>210の言ってることの意味ほんとにわかってんの？
>>227の言ってるOTPの政治利用の意味も理解できてないでしょ。

文章としておかしくない平文が複数取り出せるときに
どれが真かをどうやって判断するの？

240:anonymous@
03/03/27 20:00 .net
AI
特にヘッダとかで引っ掛ける。常識だろ？

次ページ