暗号数学について語ろう

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 05/14 13:27 / Filesize : 332 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

暗号数学について語ろう

1 名前：１３２人目の素数さん [04/06/25 15:52]: 必要な基礎教養・教科書・就職・将来性等。
何でも語ってくだしゃれ。
331 名前：１３２人目の素数さん [04/07/21 16:37]: もう一度だけ言う。
e1 ≠ a * e
e2 ≠ x * e
であり、なおかつ、
e*((a*M1)+(x*M2)) > n
から
(M1*e1)+(M2*e2)　> n
が言えると、主張するんだな？
332 名前：331 [04/07/21 16:54]: と、思ったら、330のトリップ変わってるじゃないか。
すまん、どぶろく、別人だったら誤爆した。
328と今までの流れを読んでも間違いに気が付いていないなら、諦めるところだったが、
別人なら、しょうがない。すまんかった。
釣られちまったよ。。。orz
333 名前：白シャツ [04/07/21 17:09]: >>332

>>115-116で同一人物との申告があるけどこれ本当かな?
334 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/21 19:09]: >>332 >>333
本物です。typoしちゃったんです。
>>331
>e1 ≠ a * e
>e2 ≠ x * e
>であり、なおかつ、
>e*((a*M1)+(x*M2)) > n
>から
>(M1*e1)+(M2*e2)　> n
>が言えると、主張するんだな？
言えますよ。ビット数で考えてみてください。
e<nでe,nのビット数をNとします。
e1=a*e mod n
e2=x*e mod n
だから、e1,e2もNビットにできます。
というか、e1,e2がNビットになるようにeを調節する
C=e*((a*M1)+(x*M2)) mod nと変形できる
　=(e mod n)*(((a*M1)+(x*M2)) mod n)
ここで、(a*M1)+(x*M2) について考える
(a*M1)+(x*M2)<nとなるようにnを選んでいる
>>282の1-7行辺りより
a,x,M1,M2 とnのビット数の比は約1：2
∴a,x,M1,M2≒(1/2)Nビット
(a*M1)+(x*M2) は約Nビットとなる
e<n,(a*M1)+(x*M2)<nだから
(e mod n)*(((a*M1)+(x*M2)) mod n)
=e*((a*M1)+(x*M2))
eはNビット,(a*M1)+(x*M2)は約(1/2)Nビットだから
e*((a*M1)+(x*M2))は約(3/2)Nビットとなる
これはnのビット数Nより大きい
∴(M1*e1)+(M2*e2)　> n
335 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/21 19:11]: (M1*e1)+(M2*e2)　> n
(M1*e1)は(1/2)Nビット数とNビット数の積だから
(3/2)Nビットになる
336 名前：１３２人目の素数さん mailto:sage [04/07/21 19:17]: お願いだから、どっかにHTMLで成形してUPしておくれやっし
337 名前：１３２人目の素数さん mailto:sage [04/07/21 19:22]: >>336
それするなら、訂正ごとに別バージョンとしてUP
旧バージョンも保存して公開しておいてほしい
338 名前：１３２人目の素数さん mailto:sage [04/07/21 19:38]: 出たよ、脳内仕様変更

>>320にははっきりと
> eの条件はgcd(e,n)=1だけですから
と書いてある。

でも334では、
> だから、e1,e2もNビットにできます。
> というか、e1,e2がNビットになるようにeを調節する
と書いてある。
こういうのをｅの条件って言うんだ、わからんのか。
ちなみにランダムにｅを取ったときに条件を満たすｅが取れる確率はちゃんと評価したか？
限りなく1に近いなら、まだ許そう。ざっと見積もって1/16だぞ？

こんな特殊な条件を
> 自分で考えてみて
の一言ですませる気だったのか。
しかも、何事もなかったように「言えますよ」とはなぁ…。

さらに、脳内仕様変更をいつものこととしてそれを受け入れても、334の式変形は間違ってる。

C=e*((a*M1)+(x*M2)) mod nと変形できる
　=(e mod n)*(((a*M1)+(x*M2)) mod n)
ではない。
C=e*((a*M1)+(x*M2)) mod nと変形できる
　=((e mod n)*(((a*M1)+(x*M2)) mod n) mod n)
だ。だから、それ以降の証明も本質的なところで大嘘になっている。

お願いだから、誰かも言っていたが、せめて自分の使っている式の意味ぐらい理解してから書いてくれ。
339 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/21 19:42]: openofficeの数式エディターでupしようと思います。
使い方勉強してくるのでupはしばしお待ちください。
340 名前：１３２人目の素数さん mailto:sage [04/07/21 19:47]: eもそうだけど、Mはどうなんだ？

>>300
>平文M1, M2は、(a*M1)+(x*M2)<n となるようにとる
>((a*M1)+(x*M2)>0は？　M1, M2 >0 は？不明）
>(与えられたa,x,n に対して平文として取れるM1, M2はどのくらいあるのか不明←重要では？）
341 名前：１３２人目の素数さん [04/07/21 19:52]: >>340
Mは、
0 < M1, M2 < min(a, x)で取れば問題ないっぽい。
少なくともどぶろくの提示した条件は満たす。
暗号学的に問題がないかどうかは、この際問題ではない( w
342 名前：１３２人目の素数さん [04/07/21 19:57]: むしろ、>>63の
> a*d1-x*d2=1となる
> 自然数で最小のd1,d2を求めておく
が、曖昧。
d1が最小になるのか、d1+d2の和が最小になるのか、d1*d2が最小になるのか、etc.
どういう解釈も出来る。どれでもいいのか？

が気になる。これが分かれば、いまんところ、仕様を補完出来るんだが。
343 名前：１３２人目の素数さん mailto:sage [04/07/21 20:02]: >>342

>295じゃないの？
344 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/21 20:08]: >>338
一応>>282の18行目に書いておりますが、
条件は一気に最初に書くようにしたほうがいいですね。
いきなり条件だけ書いても意味がわからないと思ったので
途中途中で条件書いてました。
今度からは条件を一気に最初に書いておいて
この条件についてはどこそこに説明書いてます。
って表記するようにします。

>C=e*((a*M1)+(x*M2)) mod nと変形できる
>　=((e mod n)*(((a*M1)+(x*M2)) mod n) mod n)
>だ。だから、それ以降の証明も本質的なところで大嘘になっている。
すいません、式変形は>>388さんの式が正しいです。
でも、eがe<nでnと同じビット数を取るときは

>(M1*e1)+(M2*e2)　> n
>(M1*e1)は(1/2)Nビット数とNビット数の積だから
>(3/2)Nビットになる
つまり、(M1*e1)+(M2*e2)　> n
で納得していただけますよね？

>>340 >>341
>>281の「正確には・・・」
を見てやっておくんなまし
345 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/21 20:10]: >>342
拡張ユークリッドの互除法により
a*d1-x*d2=1となる
自然数で最小のd1とd2を求めておく
346 名前：１３２人目の素数さん mailto:sage [04/07/21 20:11]: Mも(M1*e1)+(M2*e2)　> n じゃなきゃいかんから、
>320, >334, >338 で話題になってるeの条件によるんだよな

結局値のとる範囲が後出しされてるんだよな
プログラミングなるんなら最初に宣言したり、どの範囲でOKか意識するはずなのに
上手く動いてから、後付けで仕様のほうをブツにあわせていくタイプか？
347 名前：１３２人目の素数さん mailto:sage [04/07/21 20:13]: >>345
って言っておられますぞよ・・・
辞書式順序か？
348 名前：１３２人目の素数さん [04/07/21 21:32]: >>344

悪いが、まだおかしい。

> 一応>>282の18行目に書いておりますが、
っていうのは、
> eはビット数がnと同じでgcd(e,n)=1になるように選べばいいから
のことだよな？
e1,e2がNビットになるようにeを調節するんであって、
eをnとビット数が同じになるようにしたからと言って、
e1とe2がNビットになるわけではないぞ。

だから、

> eがe<nでnと同じビット数を取るときは

> >(M1*e1)+(M2*e2)　> n
> >(M1*e1)は(1/2)Nビット数とNビット数の積だから
> >(3/2)Nビットになる
> つまり、(M1*e1)+(M2*e2)　> n
> で納得していただけますよね？

は、納得出来ない。（と、いうより、間違っている）
明らかに、e,e1,e2を混同している。
自分で作った変数ぐらい面倒見て下さい。
349 名前：白シャツ [04/07/21 21:50]: >>339
できればoooだけじゃなくてpdfもあるとうれしい。
oooでコンバートできるよね。TeXで作りやがれとまでは言わないし。
oooとか入れるの面倒くさい人多いでしょ。
ふつうはPS,PDFぐらいじゃないと読んでもらえないし。
350 名前：１３２人目の素数さん mailto:sage [04/07/21 21:56]: TeXで書いた。pdfにもなってる。だれか、あげるところ用意して。
でも、やっぱり、

>>345の
拡張ユークリッドの互除法により
a*d1-x*d2=1となる
自然数で最小のd1とd2を求めておく

の意味が分からない。「自然数で最小の」はd1にかかってるの？d2はなんでもいいのか？？？
351 名前：白シャツ [04/07/21 22:04]: 商と剰余を混同してないかな？
それでサイズの押え方がおかしいとか
352 名前：１３２人目の素数さん mailto:sage [04/07/21 22:13]: ところで拡張ユークリッドの互除法ってなーに？
普通のユークリッドの互除法とどう違うの？
353 名前：１３２人目の素数さん mailto:sage [04/07/21 22:37]: >>352
(a,b)を求めるのがユークリッドの互助法。
a*m+b*n=(a,b)となるm,nも同時に求めるのが拡張ユークリッドの互助法。
354 名前：１３２人目の素数さん mailto:sage [04/07/21 22:51]: >>349
>できればoooだけじゃなくてpdfもあるとうれしい。

oooってなに？
355 名前：白シャツ [04/07/21 23:04]: >>354
OpenOffice.org→oooと省略しろとooo開発者が言ってると小耳にはさみますた。
356 名前：白シャツ [04/07/22 01:12]: 核融合に閃光花火投下するぐらいかもしれないけど

>>334 後半部分から抜粋

>(a*M1)+(x*M2) は約Nビットとなる
>e<n,(a*M1)+(x*M2)<nだから
>(e mod n)*(((a*M1)+(x*M2)) mod n)
>=e*((a*M1)+(x*M2))
>eはNビット,(a*M1)+(x*M2)は約(1/2)Nビットだから

一番上と一番下で言ってること違わない？
357 名前：白シャツ [04/07/22 01:42]: 計算しましょう。

>>320の表記にしたがって
e*a=e1+n*p
e*x=e2+n*q　　とする

e*((a*M1)+(x*M2))=e*a*M1+e*x*M2
=(e1+n*p)*M1+(e2+n*q)*M2=(M1*e1+M2*e2)+(M1*p+M2*q)*n
ではない？

>>334で
>∴(M1*e1)+(M2*e2)　> n
なのはn,e1,e2がNビット(ただしe1<n,e2<n)、
M1,M2がN/2ビットとの条件からでしょう。
358 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/22 05:47]: >eはNビット,(a*M1)+(x*M2)は約(1/2)Nビットだから
これはこっちが間違ってます。

(a*M1)+(x*M2)は約Nビットだから
こっちが正しいです。
約(1/2)Nビットなのはa,x,M1,M2のビット数です。
359 名前：１３２人目の素数さん mailto:sage [04/07/22 06:30]: ａ，ｂが互いに素な正の整数のとき
整数ｘ，ｙがａｘ－ｂｙ＝１を満たしているならｘが増えればｙも増えるので
０≦ｘ，０≦ｙ，ａｘ－ｂｙ＝１という条件を満たすもので
ｘが最小になるものとｙが最小になるものとｘ＋ｙが最小になるものと
ｘｙが最小になるものは全て同じ。
360 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/22 09:08]: 具体例で説明します。
ここでは、e1,e2の大きさや
(e1*M1)+(e2*M2)>nは考慮していません。

Aliceはまず、gcd(a,x)=1となるa,xを適当に決める
ここでは
a=113,x=167とします。
つぎに、
(a-1)*(a+x)<n　かつ　gcd(a,n)=1 gcd(x,n)=1
となるようにnを決めます。
ここでは、(113-1)*(113+167)=31360<nとなる
nとしてn=58061にします。
gcd(e,n)=1となるようにeを決めます。
ここではeとしてe=37480を選びます。

次に公開鍵を作ります。
e1=a*e mod n
=113*37480 mod 58061
=54848
e2=x*e mod n
=167*37480 mod 58061
=46633

今度は秘密鍵を作ります。
e*d=1 mod n
37480*d = 1 mod 58061
となるdはd=30702となります。
a*d1-x*d2=1
113*d1-167*d2=1となる
自然数で最小のd1,d2のペアは
(d1,d2)=(34,23)になります。
361 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/22 09:10]: 公開鍵は
n=58061 e1=54848 e2=46623
秘密鍵は
a=113 x=167 d=30702 d1=34 d2=23
になります。

BobはAliceから公開鍵を聞きました。
平文として
(M1,M2)=(104,76)を送ってみます。
暗号化の式は
C=(e1*M1)+(e2*M2) mod n
C=(54848*104)+(46623*76) mod 58061
=14214+2387 mod 58061
=16601

BobはAliceに暗号文16601を送ります。
復号の式は
M'=C*d mod nだから
　=16601*30702 mod 58061
　=24444
M1=M'*d1 mod xより
M1=24444*34 mod 167
　=104
M2=a-(M'*d2 mod a)より
M2=113-(24444*23 mod 113)
　=113-(37)
　=76
∴Aliceは
平文(M1,M2)=(104,76)を得ることができました。
362 名前：１３２人目の素数さん [04/07/22 11:13]: >>359
うん、そうだね。
実際計算してて気が付いた。
363 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/22 12:44]: 梅暗号の安全性の証明を
一般化するとこんな感じかな？

A=a*k mod n
X=x*k mod n
としてA,Xが与えられるときに
gcd(a,x)=1,gcd(a,n)=1,gcd(x,n)=1
かつ
a<x
かつ
(a-1)*(a+x)<nを満たす
a,xを求めるのは困難か否か？
(a=1,2は除く)

梅暗号としては

A=a*k mod n
X=x*k mod n
としてA,Xが与えられるときに
gcd(a,x)=1,gcd(a,n)=1,gcd(x,n)=1
かつ
a<x
かつ
M_min*(a+x)<n M_max*(a+x)<n
かつ
M_min<a,x M_max<a,x を満たす
a,xを求めるのは困難か否か？

(※このレス中で出てくる数はすべて自然数です)
364 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/22 12:48]: >>348
ううう、>>334の12-16行目辺りを見て下さい。

>e<nでe,nのビット数をNとします。
>e1=a*e mod n
>e2=x*e mod n
>だから、e1,e2もNビットにできます。
>というか、e1,e2がNビットになるようにeを調節する
　　　　　~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
365 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/22 12:53]: なんどもすいません。
>というか、e1,e2がNビットになるようにeを調節する

これは、eの値を調節するのであってビット数を調節するわけではありません。
あくまでも、eのビット数はNのままで2^(N-1)～(2^N)-1の間の値を
e1,e2がNビットとなるようにとるってことです。
366 名前：１３２人目の素数さん mailto:sage [04/07/22 13:03]: ホント何度も何度もすいません。

>>363の
>A=a*k mod n
>X=x*k mod n
>としてA,Xが与えられるときに

これは
A=a*k mod n
X=x*k mod n
としてA,X,nが与えられるときに
こっちに修正です。
367 名前：１３２人目の素数さん mailto:sage [04/07/22 13:25]: 最初に与えたeを後で調整し直すのは感心せん
数学的にも実用的にも
368 名前：１３２人目の素数さん mailto:sage [04/07/22 18:21]: そろそろこのアルゴリズムに対する攻撃をしてもいい？
369 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/22 18:22]: >>368
じゃんじゃんお願いします。
370 名前：１３２人目の素数さん [04/07/22 18:39]: まず、どこかに言って発表しようって言うぐらいなら、当然先行研究に、目を通すぐらいのことはしてるって仮定する。
だから、公開鍵暗号に対するチャレンジについて一つずつ見ていこう。

参考文献として、
M.Bellare A,Desai D.Pointcheval P.Rogway
Relations Among Notions of Security for Public-key Encryption Schemes 2001.
をあげておく。ちょっと古いけど、まぁ、いいだろう。

定義についておかしいなと思ったときは、随時上を参照してくれ。
まず、
Semantic Secureについて。わかりやすく言うと、平文の一部がばれたことが、全体がばれることにつながらないかって感じ。
これは、どぶろく暗号CPAに対しても、弱い。
具体的には、M1がばれるとM2がばれる。これは、まずい。

例えば、
M1="私の名前は"
M2="梅どぶろくです"
となるということが、何らかの形で分かれば、
同じように流れている暗号文に対して、M1="私の名前は"を当てはめればM2が分かってしまう。
「そんなこと滅多に起こるもんじゃない！」
なんて考えない方がいい。実際、ヘッダーデータのように決まり文句が付いていないデータを探す方が困難だ。
だから、ヘッダーデータは分かっている(=M1がばれている)という状況はしょっちゅう起こる。

また、これをアプリケーションの実装でなんとかするのは無理だ。
もしあったら申告して下さい。それを打ち破れる反例を出します。

SS-CPA, SS-CCA1, SS-CCA2に関しては、安全でないことが示された。
この参考文献の定義ではSSとNMが同値のようだから、
NM-CPA, NM-CCA1, NM-CCA2に関しても安全でないことが示されたみたいだな。
371 名前：１３２人目の素数さん [04/07/22 18:51]: 次に、Indistinguishabilityについて。
これは、二つの都合の良い平文を用意して、そのうちのどちらかを暗号化したデータをもらい、そのデータの復号文は
最初に用意した平文のうちどちらかを当てるってチャレンジ。
当たる確率が1/2に限りなく近いのが、いい暗号といえる。

これもCPAに対して弱いことが言える。
M1=a,M2=bのペアとM1=a,M2=b+1のペアを暗号化させれば、
Cの差がe2 < nなのでe2 か n - e2になり、どちらか特定出来る。

よって、
IND-CPA,　IND-CCA1, IND-CCA2に対しても弱いことが示された。
372 名前：１３２人目の素数さん [04/07/22 18:56]: ちなみに、Indistinguishabilityは、どういう状況を想定しているかというと、
例えば信任選挙のようなもの。
ある人が、賛成に入れたか反対に入れたかを暗号用公開鍵を知ることなく知りたい、というような状況。
（有権者でない人（外国人スパイ）が、誰が、賛成したのか、反対したのかを知りたいというような状況？）
まぁ、どぶろく暗号の場合、確率暗号じゃないから、取りうる値の範囲が狭かったら一瞬でCPAの餌食だけどな。
373 名前：１３２人目の素数さん [04/07/22 19:05]: 最後に、OneWayness
暗号文から平文が分からないっていう最も基本的な所で、
これが、あっさり言えないなんてなったらつまらんから、普通は最後に評価する。

多分、上でどぶろくがやっていた安全性評価ってのはここのことだろう。

これの安全性を示す前に、確認しておきたいことがある。
CCA（選択暗号文攻撃）を行なっているときに、あるCに対して与えたM1,M2の範囲を満たさないM1とM2が出てきた場合、
復号oracleはなんて答えるんだ？
この仕様を見ると、無理矢理範囲を満たさないM1,M2を平文として返すようにしか見えないんだが。
374 名前：白シャツ [04/07/22 21:48]: ところでまとめてUPするという話はどうなった？
375 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/22 22:14]: >>370
>だから、ヘッダーデータは分かっている(=M1がばれている)という状況はしょっちゅう起こる。
だったら、ヘッダーを暗号化しなけりゃ良いじゃん　と思った。
つーか、受信者もどの公開鍵暗号方式・鍵で暗号化しているのか知ってなきゃいかんから
ヘッダーを暗号化されても困ると思う。
どの公開鍵暗号方式・鍵で暗号化しているのかわかっていればヘッダーをつける必要もない

>Semantic Secureについて。
>わかりやすく言うと、平文の一部がばれたことが、
>全体がばれることにつながらないかって感じ。
>これは、どぶろく暗号CPAに対しても、弱い。
>具体的には、M1がばれるとM2がばれる。これは、まずい。

たしかにそうなんですよね。M1全てがばれればM2もばれます。
これは、ある値を暗号化したいときに
奇数番目にあるビットはM1に、
偶数番目にあるビットはM2に、
という風に割り振れば解決できます。

こっちの方が本質の問題
M1,M2の一部は共に半分以上分かっているときに平文M1,M2がばれるかどうか
↑のときはどうでしょうか？
376 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/22 22:14]: >>371 >>372
>また、これをアプリケーションの実装でなんとかするのは無理だ。
>もしあったら申告して下さい。それを打ち破れる反例を出します。
これは平文をいくらか乱数で埋めることで解決できませんか？
というか、梅暗号の場合そうしないといけないんです。
一度に送れる平文は少なくなりますが・・・
平文→暗号文は平文に対して乱数を64ビット程度埋める予定です。
つまり、一度に暗号化する平文の量が多ければ多いほど、膨らみ率は小さくなります。

>ある人が、賛成に入れたか反対に入れたかを暗号用公開鍵を知ることなく知りたい、というような状況。
矛盾してますよ。下のほうでは暗号用公開鍵を知らないといっているのに
上のほうではM1,M2を暗号化できるといっている。
暗号用公開鍵を知っているのかしらないのかどっちなんですか？

>CCA（選択暗号文攻撃）を行なっているときに、
>あるCに対して与えたM1,M2の範囲を満たさないM1とM2が出てきた場合、
>復号oracleはなんて答えるんだ？
C>nとなるCを与えても、
C mod n
の値を復号するのと同じことになるので
考慮する必要ないと思います。
C<nならM1,M2の範囲を満たすM1,M2がでてきますので・・・

>M1,M2の範囲を満たさないM1とM2が出てきた場合、
これは絶対にありません。100％です。断言します。
M1=M'*d1 mod x
M2=a-(M'*d2 mod a)
です。
mod a,xがあるので大丈夫です。
377 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/22 22:19]: >>374
まだ、勉強してます。

あと、今度東京に行くので
もしどなたかが8/6に都合のいい場所と時間を指定してくれれば
そこで説明しようとも思ってんですけど
378 名前：白シャツ [04/07/22 22:34]: >>377
そもそもここ見てる人が東京の人とは限らんが、
良い日を選んだな。

ここへ行け
ttp://www.21coe.chuo-u.ac.jp/security/event/20040806-0808/200408.htm
379 名前：白シャツ [04/07/22 22:39]: >>378
念のために言っておくけど、漏れが行くかどうかは未定。

だれか聞いてくれる暇な人がいるかもしれないと言う事。
「読める状態の何か」を作って配らせてもらうことぐらいは
頼めるんじゃない？
許可されるかどうかは聞いてみないとわからんけどね。
380 名前：１３２人目の素数さん [04/07/22 23:09]: >>375
> だったら、ヘッダーを暗号化しなけりゃ良いじゃん　と思った。
なんか、大きな勘違いをしているとおもうんだが…。
どぶろくの中のヘッダーデータというのは、暗号方式を規定したものだけでしかないようだが、
もっと一般的なものであることは、文章を読めば分かると思うんだが…。むしろ、暗号方式を規定したヘッダなんてどこにもかいとらん。
Macバイナリにしかり、Bitmapのヘッダにしかり、TCPのコネクションをはる初期化プロトコルにしかり。
それとも、決まり文句が入っている平文は、暗号化しないで下さい、って暗号なの？
それって、実用として全く使えないな。
381 名前：１３２人目の素数さん mailto:sage [04/07/22 23:15]: 「あいつは必ずメールの末尾に署名いれてくるから、他のところに出してるメールも同じだろう。」
ということですな。
確かに、それが弱点となってしまうようでは実用として使えないな。
382 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/22 23:16]: >>380
ヘッダーについては勘違いしてた。
暗号の種類を記したものだけだと思ってた。

ヘッダーについては、
ヘッダーをM1,M2に交互に割り振れば大丈夫でしょう。

M1,M2の平文が共に半分以上分かっている時に
M1,M2が求められるのか？

ヘッダーの問題については↑の問題を考える必要があります。
考えてみてください。
383 名前：１３２人目の素数さん [04/07/22 23:29]: >>376

>また、これをアプリケーションの実装でなんとかするのは無理だ。
>もしあったら申告して下さい。それを打ち破れる反例を出します。
これは平文をいくらか乱数で埋めることで解決できませんか？
というか、梅暗号の場合そうしないといけないんです。

こういう仕様変更は、弱点を指摘される前に言ってね。
そんなのばっかりで、ちょっとうんざりしてるんで。

で、具体的には、どういう乱数で埋めるの？
384 名前：白シャツ [04/07/22 23:30]: >>377
ところで、
>>350　の偉い人に
>>127　でアップしたところを使ってもらうことはできるんですか？
>>350の書いて下さったの見たい。
385 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/22 23:39]: >>383
仕様変更というか実装を考慮した時には
乱数で埋めなきゃいけないってことなんですけど。
数学的な問題と実装についての問題は分けて考えてもらえませんか？

M1全てが分かればM2が分かる
これはM1,M2に平文のビットを交互に割り振ればいい
↑のようなやり取りはあくまで、実装についてです。
数学的な問題ではありません。

ここでは、実装についても考慮する必要があるんでしょうか？
実装についての問題ならどうとでもなります。
それに対応する解決方法もたくさん考えられているわけですから
実装ならプログラム板向けだと思いますが？

>で、具体的には、どういう乱数で埋めるの？
M1,M2の先頭に乱数をつけてやればいいと思います。

何度も書いてますが、

M1,M2の平文が共に半分以上分かっている時に
M1,M2が求められるのか？

これについて答えてください。
386 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/22 23:46]: >>384さん
ttp://up.isp.2ch.net/upload/c=01owarai/index.cgi
というのがあります。
5MBまでのようですが。
387 名前：１３２人目の素数さん [04/07/22 23:50]: うん、だから、M1とかM2のビットを交互とか全く関係なく
M1が分かればM2が分かる
ってのは暗号数学的に致命的なんじゃないの？
と、指摘している。
もし、数学的にこの問題を解決するなら、Cの構造を変えるしかないんじゃない？

> M1,M2の平文が共に半分以上分かっている時に
> M1,M2が求められるのか？
これが、ビットを割り振った実装上の問題でしょ？
ちなみに、これが求まるかどうかには私は興味はありません。
他の所から攻撃するんで。
388 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/22 23:57]: >>387
>M1が分かればM2が分かる
>ってのは暗号数学的に致命的なんじゃないの？

これは
RSA暗号は巨大な素数の合成数p*qが簡単に素因数分解できれば問題だ
ってのは暗号学的に問題なんじゃないの？
と言っていることと似ていると思います。
これも確かに問題ですが、
じゃあ具体的にどうやって簡単に素因数分解するの？
と聞きたくなります

M1が分かればM2が分かります。
確かにこれは致命的です。
具体的にはどうやってM1がわかるのでしょうか？
教えてください。
389 名前：１３２人目の素数さん [04/07/22 23:58]: >>376

> 矛盾してますよ。下のほうでは暗号用公開鍵を知らないといっているのに
> 上のほうではM1,M2を暗号化できるといっている。
> 暗号用公開鍵を知っているのかしらないのかどっちなんですか？
これは、残念ながら矛盾してません。

> これは、二つの都合の良い平文を用意して、そのうちのどちらかを暗号化したデータをもらい、
> そのデータの復号文は最初に用意した平文のうちどちらかを当てるってチャレンジ。
上の方ってこれのことだと思うけど、「暗号化したデータをもらい」であって、
攻撃者が暗号化するとはどこにも書いてません。
そもそも、自分が暗号化したなら、どっちがもとの文かなんて分かるに決まってるだろ（ｗ
もうちょっと、参考文献を書いている学者さんたちを信じてあげて下さい。
390 名前：白シャツ [04/07/22 23:59]: >>386 私じゃなく>>350の偉い人に言ってください。

それと、

> M1,M2の平文が共に半分以上分かっている時に
> M1,M2が求められるのか？

は>>387に同意で興味なし。でも半分もわかってるなら
「全数探索」とか「有意な情報からの残り部分の推測」
で逝ってしまうと悲しい。
391 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/23 00:02]: >>390
>でも半分もわかってるなら
>「全数探索」とか「有意な情報からの残り部分の推測」
>で逝ってしまうと悲しい。

これは全ての公開鍵暗号について言えることであって
梅暗号だけに言えることではないので
なんとも返答のしようがありません。
梅暗号だけの欠点について言って下さい。
梅暗号だけに欠点があればそれについて知りたいんです。
お願いします。
392 名前：１３２人目の素数さん [04/07/23 00:19]: ちょっと、冷静になって考えてみよう。
なぜ、どぶろくは、半分のビットが分かったときの仮定を考えたの？
それは、M1がパターン化されている文章で分かってしまったときでも、
ビットを分散して割り振っているから半分しか分からないぞ！っていう思考じゃなかったの？

もし、違うかったら、数学的になぜ半分わかったという仮定をしたのかを教えて下さい。

でも、一般的な最近の公開鍵暗号は、ビットの半分がばれるなんてことはない。
SSが言えるように設計されてるから、ビットの一部分でも分かるのは、全体を解読するのと同様に設計されてる。

だから、
>>390の
>でも半分もわかってるなら
>「全数探索」とか「有意な情報からの残り部分の推測」
>で逝ってしまうと悲しい。
は、この暗号特有の弱点と言えると思うよ。
393 名前：白シャツ [04/07/23 00:28]: >>391

暗号理論といってもいろいろな分野やレイアがある。
実用段階に近いほうではINDだとかSSを議論する必要は当然ある。
規格化とか標準化とかそういう場合ね。
プリミティブの部分でやってる、数学よりの人にとっては、
SSやINDの耐性を示せればベターだけど、それが無いと世に出しては
いけないというわけではない。そもそもIND-CCA2耐性を持つ新しい
公開鍵暗号なんて出来ればCRYPTOでも簡単にアクセプトだろう。
これは個人的な意見であって、異論は必ずあることはわかって言ってる。
新しい暗号考えました→暗号解析の人に攻撃される→改良する
みたいになるよ。現状はまだそういうレベルに達していない。

そこで、「暗号数学」的には数学的に議論をしたいところだけど、
梅暗号の最大の欠点は考案者が自分の暗号方式を他人に伝えられないこと。
方式がきっちりフィックスしてすべての情報がそろわないと議論できない。
試験問題を解いてたら途中で変更されたら嫌でしょ。
394 名前：１３２人目の素数さん [04/07/23 00:37]: >>385
あ、そうだったのか。すまん。

>>63で言ってた
> んっと仮に実際に使った時に攻撃の対象となる
> 脆弱性があるのか知りたいのです。
と、同じだと思ってた。

実際に使うことのないつもりのない自慰暗号だったら大丈夫、安全だよ。
僕にはM1も求まらない。攻撃しないから。
395 名前：白シャツ [04/07/23 00:47]: >>394

>実際に使うことのないつもりのない自慰暗号だったら大丈夫、安全だよ。

みんなで叩いてるんだから少なくとも自慰じゃないよ。
自虐暗号か？
396 名前：１３２人目の素数さん mailto:sage [04/07/23 01:16]: >376　これは平文をいくらか乱数で埋めることで解決できませんか？
>382　ヘッダーをM1,M2に交互に割り振れば大丈夫でしょう。

について、

>382
> ↑のようなやり取りはあくまで、実装についてです。
> 数学的な問題ではありません。
> ここでは、実装についても考慮する必要があるんでしょうか？

って、乱数を組み込むという操作（暗号化）や入れ替えると操作（暗号化）を入れなければ
解読されやすいなら、その時点でその暗号はダメじゃんか
それって実装段階でなく、理論段階での仕様だと思うが
君のほうが実装段階と理論段階を混ぜて逃げていないか？
大体乱数入った文をどうやって解読するんだ？
397 名前：１３２人目の素数さん [04/07/23 10:27]: > 275
白シャツがLLLを適用してくれる期待age
398 名前：白シャツ [04/07/23 11:15]: >>397
それ以前にこの暗号がちゃんと動くかもわからんし、
仕様をフィックスしてほしい。
正直言って適当に言ってるんで適用可能かどうか考えてないよん。
ただ、LLLをやって評価されている暗号ってのが梅暗号とアイデア的に
似てたりするんで、そういった。どぶろくは離散対数問題に帰着すると
主張しているが、それは秘密鍵特定の困難さと思われる。
平文は秘密鍵がわからなくても求まる可能性があるということを
まずどぶろくに認識してもらいたいんだな。
ある意味これはナップザック系の暗号だよと。

PARI/GPかRISA/ASIRなんかで出来るはずなんで
ちょっとLLL勉強しようかなと思ったりしてる。
基本的にはグラムシュミット正規直交化のすごい版だと思うんだけど、
難しそうね。詳しい人に聞いてみる予定。

とか言いながらも昨日買ったLEI代数の入門本が気になる。
399 名前：白シャツ [04/07/23 15:07]: 放置するのも無責任なんだが, 現状では梅暗号のアタックはできないので
似たのが無いか調べてみた.

>>65と同じグループの

Title:A New Product-Sum Public-Key Cryptosystem Using Message Extension
Author:Kiyoko KATAYANAGI,Yasuyuki MURAKAMI,Masao KASAHARA

ttp://search.ieice.org/2001/files/e000a10.htm#e84-a,10,2482

なんだけど梅暗号が完成するとこれになるのか?
自称「八重桜暗号」なんで丁度良いかと(w
ちなみ三青水さんもこれの解析してたような気がする.

こういう系統すきなところとなると他には,
小木木先生のところと, 木木木杉先生のところぐらい.
三青水さんは木木先生グループのはずだし.

木公本先生のところより, 木木先生のところとか
目指した方がよいんじゃない? ＞どぶろく
400 名前：１３２人目の素数さん mailto:sage [04/07/23 15:59]: なんか角の三等分家に対して議論してるみたいな状態だな
401 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/24 01:35]: ttp://up.isp.2ch.net/up/02f997132edc.pdf
にpdf形式のファイルをアップしました。
もし、ダウンロードできなかった人がいたら言ってください。
またupします。

上のほうにある返答については明日になってからです。
ファイル作っててくたびれました。
402 名前：１３２人目の素数さん mailto:sage [04/07/24 03:01]: >>401
乙カレー
403 名前：１３２人目の素数さん mailto:sage [04/07/24 11:54]: 余計なお世話だが、本名は書かないほうが・・・
404 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/26 19:47]: >>403
わかりました。
今度から本名はやめときます。

7/25に返答するといっておきながら
今まで放置ですいませんでした
7/27には必ず書きますんで
さいなら～
405 名前：１３２人目の素数さん mailto:sage [04/07/27 22:37]: > 梅どぶろくさんへ
あなたは、暗号の仕様というのを何か勘違いなさっていると思います。
仕様とは、曖昧なところがあってはいけません。
上の書き込みを拝見したところ、乱数を入れたり、
平文を並べ替えたりというのが暗号の仕様ではなく、
実装上の仕様だとおっしゃっているように、見えますが、
もし、そうだとすると、実装の数だけ暗号文が出来る、
互換性の全くない暗号ツール群が出来てしまいます。

仕様とは、同じ仕様を使って同じ入力が与えられれば、同じ出力が出るように書かれるべきです。
実装上の仕様というのは、途中で使う関数をどう設計するのかであるとか、
いつの段階で、乱数を生成したり破棄したりするのか等を規定するものであって、
勝手に入力値を入れ替えたり、乱数を付けたりするものではありません。
老婆心ながら、一言申し上げさせて頂きました。失礼します。
406 名前：１３２人目の素数さん mailto:sage [04/07/28 16:29]: >>405
通りすがりです。
見当違いなこと言ってたらｽﾏｿ。

RSAとかも数学的な部分は同じでもいろいろな実装がある。
規格としての仕様ではなく、数学的な論理部分を固めたいということなんでは？
407 名前：１３２人目の素数さん mailto:sage [04/07/28 17:08]: 哲厨うぜ
408 名前：77 mailto:sage [04/07/28 18:24]: PDFファイル取り逃したー
409 名前：１３２人目の素数さん mailto:sage [04/07/28 18:33]: 27日は過ぎ去ったわけだが
410 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/28 23:53]: >>392
>なぜ、どぶろくは、半分のビットが分かったときの仮定を考えたの？
>それは、M1がパターン化されている文章で分かってしまったときでも、
>ビットを分散して割り振っているから半分しか分からないぞ！っていう思考じゃなかったの？
そげです。

>だから、
>>>390の
>>でも半分もわかってるなら
>>「全数探索」とか「有意な情報からの残り部分の推測」
>>で逝ってしまうと悲しい。
>は、この暗号特有の弱点と言えると思うよ。
ここはM2を乱数rにしたら解決できると思います。
暗号の弱点を実装で補うと・・・

適応的選択暗号文攻撃（CCA）
むむう、↑についても考える必要はあるんですよね？
梅暗号は公開鍵暗号といっても署名・認証が行えないので
考えなくても良いんじゃないかと思ってるんですが、

>>396
>って、乱数を組み込むという操作（暗号化）や入れ替えると操作（暗号化）を入れなければ
>解読されやすいなら、その時点でその暗号はダメじゃんか
>それって実装段階でなく、理論段階での仕様だと思うが
>君のほうが実装段階と理論段階を混ぜて逃げていないか？
これは理論ですね。理論の欠点を実装で補っていました。

>大体乱数入った文をどうやって解読するんだ？
いや、解読できなければ問題ありません。
復号の時は上位～ビットは乱数だから
と教えておいてもらえば乱数を取り除いて平文を得ることができます。
411 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/28 23:53]: >>399白シャツさん
このレスを見て逃げていました。
紹介されたurlの簡単な説明文みたいなとこで
Chinese remainder theoremの文字があって

梅暗号が完成すると八重桜になるといっている
もしかして、二つはかぶってるというか、私のほうがぱくり？
↑のように考えていて怖くて紹介されたとこは読めませんでした。
勇気を出してみてみたら
似てるけど公開鍵の数とかなんか違うし、まあ大丈夫か
という感じで元気が出てきましたのでまた出てきました。

>>455
いま、仕様を固めています。
梅暗号の概要を実装したプログラムをupする予定です。
CUIなので使いづらいですが、
大体こんな感じの暗号なのかと感じることはできると思います。

>>409
私の脳内ではずっと26日なので問題ありません。
412 名前：１３２人目の素数さん mailto:sage [04/07/29 00:21]: >>410
>大体乱数入った文をどうやって解読するんだ？
>いや、解読できなければ問題ありません。
>復号の時は上位～ビットは乱数だから
>と教えておいてもらえば乱数を取り除いて平文を得ることができます。

そうあれは、前者の解読≠アタックではなく、後者の解読＝復号の意味で書いたのです
で復号者に対して、その「上位＊ビットは乱数だよ」はどうやって送るの？
１．梅暗号？　２．それとも平文のＥメール？
１だとそれが解読されにくくするため、「上位～」を知らせるのに乱数入り梅暗号を使うと堂々巡りする
２だと、乱数を使っている意味がまったくない
413 名前：１３２人目の素数さん mailto:sage [04/07/29 00:21]: >私の脳内ではずっと26日なので問題ありません。

駄目だ。こいつとはもう関わりたくない。数学的な不備なら
とことんまで指摘するけど、自分から言い出した期限を
破っておいてこの言い草は人間的にどうよ？俺はもう降りるよ。
相手にするのが馬鹿馬鹿しい。
414 名前：白シャツ [04/07/29 00:38]: >>411
八重桜の公開鍵ベクトルの次元が２の場合を書き下して検討してみた？
上位互換だったら即氏。だれもパクリとかは思わないでしょう。
わざわざあんなのパクっても（以下自主規制）

>>413
自分の信用をもっとも簡単に失う方法だね。
匿名掲示板ではナンデモありかもしれんが、
彼は>>401で本名さらしてしまった。
本名かどうかは検証不可能だけどね。
415 名前：１３２人目の素数さん mailto:sage [04/07/29 00:58]: >私の脳内ではずっと26日なので問題ありません。
お前は糞以下だ。
416 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/29 15:55]: みなさんすいませんでした。
>私の脳内ではずっと26日なので問題ありません。
これは冗談で言ったつもりでした。
気分を害された方失礼しました。
今度からはこのような不謹慎なことは言いませんので
許してください。
すいませんでした。
417 名前：77 mailto:sage [04/07/30 21:09]: PDFファイルの再うｐはないのかな？
418 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/30 22:55]: ttp://49uper.com:8080/img-s/1539.zip
へ再アップしました。
419 名前：77 mailto:sage [04/07/30 23:25]: 受け取りました．というか名前は別に書かなくてもいいですよ．
フリーメールのアカウントとって，メールアドレスだけ書いておけばいいのでは？

パッと身しか出来ないけど，セキュリティパラメータ（通常kで表す）が
どれで，各処理の中身とどう関連するのかがいまいちわからないや．
420 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/08/02 13:27]: 完成した！
いままで梅暗号を作っていました。
プログラムとソースを公開します。
使ってみてください。
あくまで、実際に暗号化・復号が行える
ということが分かる程度です。
乱数の生成なんかは乱暴です。

落とせなかった人はいってください。
再アップします。

ttp://up.isp.2ch.net/up/bf2d15cf4ca5.zip
421 名前：１３２人目の素数さん [04/08/02 16:34]: orz
420にあうように誰かエロい人、418を書き直して
422 名前：白シャツ [04/08/02 23:23]: >>421
ソースみたけど、鍵とかのサイズが決まっただけであんまり欲しい情報入ってないよね。
平文の入れ替えとか乱数入れるとか、ここで書き込まれていたそういう仕様はどうなりました？

それと、仕様が決まれば実装して実験するぐらいはここ読んでる人だたら
出来ると思うんだけど。あ、それとアルゴリズムのチェック用には
数学用のスクリプト言語みたいなのでやっちゃう方が良くない？
高速化とか気にしない段階だったらあんまり意味ないと思う。
mpz_で書いてるからそういうの考えてないでしょ。
本気でやるならmpn_で書かないとダメといわれたことがある。
漏れもmpz_しか使ったこと無いからあんまり言えないんだけどね。
UBASICとかPARI/GPとかRISA/ASIRとかいろいろあるでしょ。
数学家さんでもそういうのだと使ってる人多いと思うよ。
Mapleとか使えなんていわないからさぁ。
423 名前：白シャツ [04/08/02 23:29]: >>422
>高速化とか気にしない段階だったらあんまり意味ないと思う。
>mpz_で書いてるからそういうの考えてないでしょ。

スマソ、GMPのことね。

鍵とかのサイズが決まってるけど、あれはどうやって決まったわけ？
とりあえず適当に選びましたってことでしょうか。
424 名前：１３２人目の素数さん mailto:sage [04/08/02 23:45]: 32167976543216575761321303216489732401579451603031657576789812332665122546598798732132103214567

は素数ですか？
425 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/08/02 23:59]: >>442
すいません。
平文の入れ替えは無しです。
乱数を入れるのは
M1,M2としていたのを
平文Mと乱数rにしました。
既存の対称鍵暗号で64bitごとに暗号化しているので
rは64bitもあれば十分と思いました。

M2を乱数rにかえてaとxのビット差を大きくし、
平文・暗号文のふくらみ率を小さくしました
1088/1024≒1.0625

暗号化は
C=(e1*M)+(e2*r) mod n
です。
復号は
M'=d*C mod n
　=d*e*(a*M+x*r) mod n
M=(M'*d1) mod x
です。
復号が4回の演算で行えるようになりました。

一度に暗号化する平文を8192bitとか16384bitにすれば
暗号化速度がもっともっと速くなると思います。
とりあえず1024bitもあれば十分かと。
426 名前：白シャツ [04/08/03 00:10]: >>425

>平文の入れ替えは無しです。
>乱数を入れるのは
>M1,M2としていたのを
>平文Mと乱数rにしました。
>既存の対称鍵暗号で64bitごとに暗号化しているので
>rは64bitもあれば十分と思いました。

では>>421さんのおっしゃるように仕様をPDFに反映してね

>一度に暗号化する平文を8192bitとか16384bitにすれば
>暗号化速度がもっともっと速くなると思います。
>とりあえず1024bitもあれば十分かと。

速度というのはそういうことでは無いと思うのだけど。
やったとしてもたぶん遅くなると思う。
427 名前：１３２人目の素数さん mailto:sage [04/08/03 01:03]: >>424

321679765432165757613213032164897324015794516030316
57576789812332665122546598798732132103214567　mod 3 = 0
428 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/08/03 01:19]: pdfファイルとソースをセットで圧縮しました。

落とせなかった人はいってください。
再アップします。
ttp://up.isp.2ch.net/up/c8dc605bbda3.zip
429 名前：１３２人目の素数さん mailto:sage [04/08/03 08:33]: 仕様書とプログラムって、相違点がある場合はどちらを優先するものなのですか？
430 名前：１３２人目の素数さん mailto:sage [04/08/03 08:49]: >>429
実装が唯一無二の仕様。
仕様書は理解を助けるための補助。
431 名前：１３２人目の素数さん mailto:sage [04/08/03 09:52]: >>429
自分が使う側になって考えてみるべき
一般的には最初に仕様書ありきで、
実装中の仕様不備発見や改良案が浮かべば仕様検討、
改定した仕様に従って実装を続ける

商用大規模開発をＡ社発注、Ｂ社受注でおこなうとき、
要求はＡ社、仕様書はＢ社、実装はＢ社からアウトソーシングする
アウトソーシング先から「仕様がおかしかったので、不備部分はうまい具合に実装しておきました」
と言われたらおかしいでしょ

>430をやって許されるのは、非商用（大学とか）の場合
小規模開発や自社開発の場合も外にはバレないだろうが良くはない

つくりたい物がはっきりしてるなら仕様書くらい書けるはず
「書かない」と「書けない」は違う
432 名前：１３２人目の素数さん [04/08/03 19:28]: 768755431457657534487763215469843243165987441478561569642434875434143347878097324326569324378708564215656976232126579077623670965314559775424356907765324354597234570867524323667074324587097956424254598795642434598780665243
433 名前：１３２人目の素数さん mailto:sage [04/08/03 20:09]: 特定の数のならびが多すぎ
一本指で叩いてるのか？ｗ
つまらん
434 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/08/03 22:55]: 76875543145765753448776321546984324
31659874414785615696424348754341433
47878097324326569324378708564215656
97623212657907762367096531455977542
43569077653243545972345708675243236
67074324587097956424254598795642434
598780665243 mod 97 = 0
435 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/08/03 22:58]: Janeの馬鹿
>>427 >>434は適当に書いただけなんで
ほんとに割り切れるか知りません。

8/4-7は出かけるのでここにはきません。
それではさようなら～
436 名前：１３２人目の素数さん mailto:sage [04/08/03 23:35]: 一人しかいなかったのか？
437 名前：１３２人目の素数さん [04/08/03 23:43]: >> 435
> 自分の信用をもっとも簡単に失う方法だね。
あれが実名なら、編入先の教授は嫌だろうねぇ。
もし、漏れが受け入れる立場ならこいつの発言見てたら絶対に断るよ。

ちなみに二つとも素数ではないことだけは確か。
具体的な素因数は2chレベルではもとまらんだろう。
438 名前：１３２人目の素数さん mailto:sage [04/08/03 23:44]: > >>427 >>434は適当に書いただけなんで
> ほんとに割り切れるか知りません。

は

> 26日なので問題ありません

より酷いぞ、数学以前だな
439 名前：１３２人目の素数さん mailto:sage [04/08/04 00:32]: UBASICで計算した結果

32167976543216575761321303216489732401579451603031657576789812332665122546598798732132103214567
=3^3*C93
768755431457657534487763215469843243165987441478561569642434875434143347878097324326569324378708564215656976232126579077623670965314559775424356907765324354597234570867524323667074324587097956424254598795642434598780665243
=3^3*89*7867*16561*1251707*C204
（C93, C204は10^7までの範囲に素因数なし）
440 名前：白シャツ [04/08/04 01:35]: >>439

10^7までっていうことはテーブル使って試行割り算してるんですよね。
UBASICだったらECMが実装されてませんでしたか？
>>91の本についてたのにはECMあるんだけど、あれは特別なのかな。
441 名前：77 mailto:sage [04/08/04 01:47]: >>437
本人が冗談で書いたって言ってるし、大体暗号のことも、このスレで自分が
何を質問されているのか、何を要求されているのかってことも、まだよく
わかってないように見えるから、自分的にはあんまり気にならなかったよ。
期限内に提出したとしても、記述の曖昧さは変わらなかっただろうし。

てかまたＤＬできねえ・・・（現在携帯からカキコ）
442 名前：１３２人目の素数さん mailto:sage [04/08/04 01:53]: プログラムを使っていて正しく暗復号出来ない平文を発見しますた！
443 名前：１３２人目の素数さん mailto:sage [04/08/04 02:22]: ああいう場面で冗談を言う事自体が非常識かと。
ちゃんと謝罪したから反省してるのかと思いきや、
今度は名無しで荒らしてるし。真面目に数学の話を
する気があるとはとてもとても。
444 名前：白シャツ [04/08/04 03:01]: 32167976543216575761321303216489732401579451603031657576789812332665122546598798732132103214567
=3^3
*259956881
*862935673569527
*33505539576299688421735663
*158512538998972445625528303384598776196000541

PARI/GPでfactor()やって、
７０分ぐらい待ってたらでました。
445 名前：１３２人目の素数さん mailto:sage [04/08/04 03:12]: >>440
数体篩法は木田氏のサイトから落とせたが、ECMは見つからなかった。

あ、それからC93, C204はC94, C205の間違いですた。失礼。

>>444
ｷﾀ━━━━━(ﾟ∀ﾟ)━━━━━!!!
446 名前：白シャツ [04/08/04 03:14]: >>443
その平文uPキボンヌ
でもそれって、例によって一意復号できないことが
「（脳内）仕様」でわかってる平文とかなのかな？
447 名前：白シャツ [04/08/04 03:20]: >>445
ECMの部分のライセンスしらべてみます。
あるいはダウソできるところを探すか。

>>432はこんな方法では厳しいと思うので、
ECMか数体篩やらないとダメそうですね。
とりあえずECMやってダメっぽかったらあきらめるか。
それとも立教大チームに頼む？(w
448 名前：１３２人目の素数さん mailto:sage [04/08/04 03:23]: mathematica使えば？
449 名前：白シャツ [04/08/04 03:39]: >>445
木田先生のサイトの
「一般的な応用プログラム」ubapl96.lzhに入ってました。

>>448
誰もが買えるという値段じゃないと思いますが。
個人だと２０マソとかするんじゃなかったっけ？
450 名前：１３２人目の素数さん mailto:sage [04/08/04 03:44]: >>439のC205の分解も終了
768755431457657534487763215469843243165987441478561569642434875434143347878097324326569324378708564215656976232126579077623670965314559775424356907765324354597234570867524323667074324587097956424254598795642434598780665243
=3^3*89*7867*16561*1251707
*6020414544349
*12198688540659043
*2671139064951542099966004054646162959839073916176596776854493343396709794565808
46895071862292626583677038451344216647471687661615162545270142712791901947647971
24165525116390887
451 名前：１３２人目の素数さん mailto:sage [04/08/04 08:44]: 大学（に行ってる人）の端末に入ってないかなと
暫く行かない私は無理ですが
452 名前：１３２人目の素数さん mailto:sage [04/08/04 09:41]: >>449
Mtlabとの互換モード搭載フリーソフト。
www.octave.org/
453 名前：白シャツ [04/08/04 19:12]: >>450 乙
えらい速くできちゃったんですね。

>>448　>>452
暗号関係の用途だと使い勝手が悪いと思われ。
やりことにもよるけど。
454 名前：452 mailto:sage [04/08/05 11:11]: >>453
「16歳のセアラが挑んだ世界最強の暗号」（ノンフィクション）
って本の中でセアラが実際にMathematica使ってるけど。
最終的な実用段階は別として、
試行錯誤の段階では手軽にできていいんじゃね？
使いなれてないとかえって面倒かもしれんが、
選択肢としては不自然でもないだろ。
455 名前：１３２人目の素数さん mailto:sage [04/08/05 11:42]: >>454
Mathematicaの素因数分解って、どういう方法が実装されてるの？
関数一個で数体ふるいとかやってくれたら、便利だな。

でも、20万もライセンス料払って使ってるマシンなら、
こんな所に適当に書き込まれた数を素因数分解するより他にすることあるだろｗ
456 名前：白シャツ [04/08/05 18:43]: >>454
Mathematica使える人は使えば良いし、選択肢として不自然でないというのはそのとおりです。
ただ、誰もが持っているor気軽に入手できるソフトでは無いと思う、高いし。
数値計算、数式処理、可視化みたいなところが強いって話らしい。
あくまで汎用数学用ソフトであって、何にでも使えるんだろうけど、
すべての数学分野で最高のパフォーマンスを発揮するというわけではない。
実際、数論関係に使うとなると自分でプログラムしないといけない部分が多いよ。
いろんなソフト使っておいしい所取りすれば良いと考えれば、
暗号てのはMathematicaの使用例としてオイシイところでは無いと思うだけです。
457 名前：１３２人目の素数さん mailto:sage [04/08/05 21:01]: Mathematicaって昔からあんなに高いの？
458 名前：１３２人目の素数さん mailto:sage [04/08/05 21:32]: PARI-GPは数論関連の関数は豊富なので使える。
もっとも、素数に関連する研究がしたいなら、自分でアルゴリズムを理解して
プログラミングできるくらいでないとだめだろ。
（最近は素数判定や素因数分解のツールが出回って、素人でも素数探しが
できるようになってしまっているが…）
459 名前：450 [04/08/05 23:03]: >>455
PARI-GPはC205@>>439の分解の速さから言って高速アルゴリズムを
実装しているっぽいけど、楕円曲線法を使ってるかどうかは不明。
460 名前：１３２人目の素数さん mailto:sage [04/08/05 23:28]: >>459
factorint(n,{flag=0}): factors the integer n using a
combination of the Pollard Rho method (with modifications due to
Brent), Lenstra's ECM (with modifications by Montgomery),
and MPQS (the latter adapted from the LiDIA code with the kind
permission of the LiDIA maintainers),
461 名前：452 mailto:sage [04/08/06 15:50]: >>456
そのへんは好みの問題もあるし、絶対いいとまでは言わないでおく。
私自身もMathematicaで数論的なものをいじったことはないので強く主張できなかったり。
Mathematicaがえらく高価だというのはその通りなので、octaveを紹介したつもり。
462 名前：白シャツ [04/08/08 19:58]: >>378　見に行ってきた生スクーフみてきた。
漏れの語学力では何言ってるかわからなかった。
まぁ日本語で講演されててもわからないだろうがな(W

>>461
わかっていると思うけどMathematicaの批判しているのではないので、
念のため。漏れも大学のサイトライセンスで使えたんだけど、
出ちゃったら使えなくなるのでちょっと遊んだだけでやめました。
まぁやる内容的にPARI/GPでやる方が楽だったりしたのもあるんだけど。

>>461は何に使ってるの？
使い勝手とかの感想とかあったらキボンヌ。
463 名前：77 mailto:sage [04/08/09 02:39]: >>462
ｷﾞｬｰ忘れてた
ついでにzipも取り逃した
464 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/08/10 00:27]: >>441さん
記述曖昧でしたか、
曖昧でないようによく考えたつもりでした。
ここのとこが分らないというのがあれば言ってください。
曖昧じゃないように書きますので。

>>442さん
存在しない暗号文というのがあります。
存在しない暗号文でも復号してしまうので
送信者には平文のハッシュ値を一緒に送ってもらう必要があります。

>>443さん
すいません。
真面目に数学的な話をしたいと思っています。
荒らしてるつもりはありませんでした。
465 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/08/10 00:28]: >>446さん
存在しない暗号文C'を復号→M,rを得る
M,rを暗号化→Cを得る(C'にはならない)
Cを復号→M,rを得る
こんな流れだと一意復号できません。

ですが、復号しようにも存在しない暗号文C'の場合は
平文・乱数からC'にすることができないので
一意復号を考える場合には無視していてもいいと思います。

ただ、秘密鍵について知ろうとしたときに
存在しない暗号文C'を復号させることで
秘密鍵を知ることができてしまうので
暗号文と平文のハッシュ値をもらうようにして
復号文のハッシュ値と平文のハッシュ値が一致するか
チェックするようにしないといけないです。

↑についてはまたpdfにまとめてupします。

このあいだupしたものと同じですが
暇な方は↓を改造(M,rを7・8bitくらいで)して
ttp://up.isp.2ch.net/up/f34a15cf39e7.zip
暗号文の初期値に対して1を加算した暗号文を
何個か復号して、平文Mの差とxについて比較してみてください。
そしたら上で言ったことが大体分かると思います。

>>463さん取れましたか？
466 名前：１３２人目の素数さん mailto:sage [04/08/10 01:19]: >>464
>存在しない暗号文

こび言い回しは変
467 名前：１３２人目の素数さん mailto:sage [04/08/10 10:54]: >>465
選択暗号文攻撃に致命的に弱い、ということですな。
468 名前：白シャツ [04/08/10 20:26]: >>464-465
>>442
では
>プログラムを使っていて正しく暗復号出来ない平文を発見しますた！

とかいてある。「平文」を発見したそうなんだけど。
一意復号できない平文が存在することはないのですね。
469 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/08/10 21:56]: >>466さん
意味合いは分かってもらえましたでしょうか？
どういう風に表現したらいいのかよくわかりません

>>467さん
その通りです。

>>468さん
公開鍵・秘密鍵と平文・乱数を聞いてみないと分かりません。

ですが、
平文・乱数の範囲をきちんと守れば
一意復号できない平文はないはずです。
470 名前：白シャツ [04/08/10 22:45]: ところで前から気になっていたんだが、
署名、認証が出来ないと書いてあるけど何故？
471 名前：１３２人目の素数さん [04/08/10 22:58]: むしろ、署名・認証が出来ないからCCAの考察をする必要がない、の理由が分からん。
署名や認証って、RSAみたいな逆に使うって手法しかないと思ってるのかな。
472 名前：白シャツ [04/08/11 00:18]: >>471
なるほどね。
メッセージ復元型署名を実現しようと思うと
梅署名公開鍵（梅暗号秘密鍵）から
梅署名秘密鍵（梅暗号公開鍵）が容易に求まるということか。

復号できなくてもよいからM1,M2の出来損ないから
正当性の検証を証明できればそれでよいんだから、
d1,d2とｎだけ公開する署名スキーム考えれば良いよね。
このまま適用しようするとだけだとダメだろうけど。
473 名前：１３２人目の素数さん [04/08/11 00:36]: 「復号することなく」その暗号文が本当に正当な暗号文であることを確認出来る
というのが出来れば、ちょっと面白そうだな。

そういうの他にあるっけ？
復号する途中に正当性をチェックする暗号はいっぱいあるが、
誰にでも検証出来たり、もっと厳しくある鍵を知っていたら検証は、出来る（復号は出来ない）みたいなやつは
今、ぴんと思い浮かばない。

誰か教えて～
474 名前：白シャツ [04/08/11 01:00]: >>473

>「復号することなく」その暗号文が本当に正当な暗号文であることを確認出来る
>というのが出来れば、ちょっと面白そうだな。

誤解招くような表現だったかな。
署名の話なんで（メッセージ、署名文）を送って、
検証できれば署名文からメッセージ出てこなくてもOKってことなんだけど。
たとえば、シュノア署名とか。

>誰にでも検証出来たり、もっと厳しくある鍵を知っていたら検証は、
>出来る（復号は出来ない）みたいなやつは今、ぴんと思い浮かばない。

似たようなのはISECかSCISだったかで聞いたことあるよ。
階層型暗号とかそういうやつだったと思うんだけど。
漏れは現在なんちゃって署名屋さんなんであんまり詳しくないです。
誰かエロい先生、教えて～。
475 名前：白シャツ [04/08/11 09:49]: 送信相手の公開鍵で暗号化したメッセージ
＋暗号文に対する自分の電子署名

でだいたい同じことが出来て、>>474で言ってたやつは
多少計算量や暗号文＋署名合計のサイズが良くなる程度のメリットしか無かったんで、
まじめに考えるの止めたんだった。

むしろマルチキャストでそういうことできる様に
したいと検討するのが面白そうです。
476 名前：１３２人目の素数さん [04/08/11 11:58]: あ、そうか。確かに、鍵が必要なら簡単にできるな。
むしろ、鍵情報を一切知らない人がその暗号の正当性（正しく平文を暗号化したものである）
を検証出来る方が難しいんだな。

マルチキャストと公開鍵暗号は、逆の思想だから、一緒に使うのはちょっと厳しそうかな。
共有鍵を作って、RSA署名のように秘密鍵で暗号化して特定のフッターを付け、作った共有鍵でカプセルのように包む。
受け取った人は、公開鍵で復号して、フッターを確認すれば、それを取り除いて共有鍵でさらに復号する。
白シャツがいったことが正しく理解出来ていれば、これでうまくいくと思うんだが。
477 名前：白シャツ [04/08/11 18:28]: >>476
>むしろ、鍵情報を一切知らない人がその暗号の正当性（正しく平文を暗号化したものである）
>を検証出来る方が難しいんだな。

公開鍵使わずにとなると、何をもって正当かの定義によるよね。
単にメッセージダイジェストとかつけるというものから、
もっと厳しいものまで考えられるし。

>マルチキャストと公開鍵暗号は、逆の思想だから、一緒に使うのはちょっと厳しそうかな。
>共有鍵を作って、RSA署名のように秘密鍵で暗号化して特定のフッターを付け、作った共有鍵でカプセルのように包む。
>受け取った人は、公開鍵で復号して、フッターを確認すれば、それを取り除いて共有鍵でさらに復号する。
>白シャツがいったことが正しく理解出来ていれば、これでうまくいくと思うんだが。

残念ながら結託攻撃に対する耐性を考えないといけないのよ。
これが非常に厳しい。
478 名前：１３２人目の素数さん [04/08/11 19:28]: >>477
メッセージダイジェストを付けるというのは、攻撃者が簡単に、それっぽい暗号文に偽装出来ちゃわない？

整理すると、

ある検証者が、そのデータが、ある暗号スキームを用いて暗号化されたデータなのか、ただの乱数列なのかを判定出来るプロトコルを考える。
・みんなは、暗号化に使った鍵に関連する情報は知っている。
　　（例えば、鍵のダイジェストとか。直接、鍵の情報は知らない。）
・みんなは、平文に関する情報は平文が取りうる範囲程度しか知らない。
・検証者は、そのデータを復号出来るとは限らない。
・適当に乱数を持ってきても暗号文だと判定される確率は限りなく低い。

こんな感じ。
攻撃者としては、鍵のダイジェストから元の鍵でなんらかの平文を暗号化した「暗号文」ってのを偽造したい。
誰か、うまい方法教えてくれ～

>> 残念ながら結託攻撃に対する耐性を考えないといけないのよ。
そうだな、確かに結託するといろんなところが破綻する。
問題としてはどこを守るのかと、誰を信じるかだな。シナリオごとに違うんじゃない？
例えば、全員が結託してもプロトコルが崩壊しない（全員が不正者であると見抜ける）、とかを考えれば凄いな（ｗ
プロトコルvs参加者みたいな。むしろ、暗号の世界じゃなくて他でやってくれと（ｒｙ
479 名前：大学への名無しさん [04/08/11 20:21]: 数学って解かなくても何度も読めば良いのでは？
school4.2ch.net/test/read.cgi/kouri/1092221749/l50
ご意見お待ちしております。
あくまでも大学受験レベルですが。
480 名前：白シャツ [04/08/11 22:46]: >>478
>メッセージダイジェストを付けるというのは、攻撃者が簡単に、それっぽい暗号文に偽装出来ちゃわない？

基本的にこれは安全という前提で議論している、プロトコル屋さんの場合は。
MDはメッセージのハッシュ値だからハッシュ関数がうまく出来ていることが前提です。
ハッシュ関数の研究だけでも1分野できるぐらい重いテーマなんですよね。
ただ、MDつけるというと復号できることが前提になるかもしれないので、
続きに議論されている内容とはちょっと違いますね。
481 名前：白シャツ [04/08/11 23:00]: >>480の続き

暗号文を復号せずに暗号化されていることを示す問題ですね。
漏れは勉強不足なんで調べないとわからないけど、
従来無ければ面白いテーマかもしれない。

>・みんなは、暗号化に使った鍵に関連する情報は知っている。
>　　（例えば、鍵のダイジェストとか。直接、鍵の情報は知らない。）

公開鍵暗号の場合だと鍵のダイジェストではなくむしろ
暗号化鍵そのもの、受信者の公開鍵を使うのが現実的じゃないかな。
受信者、送信者の（公開鍵、秘密鍵）組を
(Pr,Sr),(Ps,Ss)として、メッセージをM,乱数をRとします。
暗号文C=enc(M,R,Pr)と署名sig(C,R,Pr,Ss)の関連を
Pr,Psを使って検証できるようにするみたいな感じ？
482 名前：１３２人目の素数さん [04/08/11 23:03]: スマソ、議論がかみ合ってなかった。
復号しないのに、メッセージダイジェストが確認出来るって前提だったから、
（暗号文）＋（暗号文のダイジェスト）って送るのかと思った。そりゃ簡単に偽造できるわーというような。
（平文）＋（平文のダイジェスト）の全体を暗号化すれば、確かに、復号出来れば完全性は確認出来る。
でも、それが出来ないから、ちょっと難しいのかな、と。

ハッシュ関数が安全でなくなったら（一方向性が言えない、衝突困難性が言えない）、世の中困るんで、
勘弁して欲しいでつ。
483 名前：１３２人目の素数さん [04/08/11 23:11]: >>481
> 公開鍵暗号の場合だと鍵のダイジェストではなくむしろ
> 暗号化鍵そのもの、受信者の公開鍵を使うのが現実的じゃないかな。
これは、考えたんだけど、そうすると攻撃者の、「暗号文っぽい文の偽造」が極めて簡単になってしまわない？

> 暗号文C=enc(M,R,Pr)と署名sig(C,R,Pr,Ss)の関連を
> Pr,Psを使って検証できるようにするみたいな感じ？
だと、やっぱり、攻撃者は、RとPrをしれるからC'= enc(M' , R, Pr)ってのを偽造出来てしまう。
M≠M'は復号出来ない以上、検証のしようがない。
484 名前：白シャツ [04/08/11 23:12]: >>480　さらに続き

>そうだな、確かに結託するといろんなところが破綻する。
>問題としてはどこを守るのかと、誰を信じるかだな。シナリオごとに違うんじゃない？

同意。そこが社会的に信用できるかの問題。
最終的に自分以外信用できないという仮定で安全ってのが理想。

>例えば、全員が結託してもプロトコルが崩壊しない（全員が不正者であると見抜ける）、とかを考えれば凄いな（ｗ
>プロトコルvs参加者みたいな。むしろ、暗号の世界じゃなくて他でやってくれと（ｒｙ

Authorityは別にして参加者結託を数学的に難しくするのは
暗号の世界でも考えられてるんじゃない？
結託不能は厳しいけど、結託閾値を上げてやるみたいなことは
やってる人結構いるんじゃないかな。分野にもよるだろうけど。
485 名前：白シャツ [04/08/11 23:19]: >>483

梅暗号だったら乱数が復号できるけど、
普通の確率暗号だと乱数がわからないものもあるので、
その場合はメッセージ差し替えは難しいと思う。
でも同様に目的の復号せずに検証ってのも難しいと
予想できるけどね。それと>>481でいってた奴だと、
送信者の秘密鍵が署名の方に入ってるんで、
問題の難しさがまたわからなくなります。

受信者が攻撃すると仮定するとさらにややこしいかも。
486 名前：白シャツ [04/08/11 23:33]: 読み直すと、なんかいろいろな部分で
議論がかみあってないようなところがありますね。
ちゃんと整理してから書かないと。スマソ＞allとか言いながら約1名と予想してますが

このテーマ面白いかもしれない。とりあえずサーヴェイしてみる価値ありそうですね。
でも、本気でやってSCISあたりで発表したら漏れが特定されかねないな(w

>>479はいったいどうしてここに貼ったのかわからん。
スルーされるの見えてるだろうに、と釣られてしまった。
487 名前：１３２人目の素数さん mailto:sage [04/08/11 23:52]: >>486
本気でやるなら、共同研究者にしておくれ（ｗ
所属はscience.2ch.net/mathでいいだろう？？？
というか、絶対リアルで顔を合わせたことがあると思う。
488 名前：白シャツ [04/08/12 00:10]: >>487
暗号業界狭いので>>273で書いてますようにエロイ先生相手に
適当な事言ってる可能性があるのが怖いのですが、
会っている可能性は極めて高いかと思います。
でも漏れはペェペェですのでどうかなとは思いますけど(w

現状では共同研究ってところまで考える場合ではないので、
本気でやることになりそうな場合にはリアルで探りが入ることに
なるかもしれないと考えておきます(w

ただ、上が仲悪い可能性が..........
489 名前：１３２人目の素数さん [04/08/12 06:09]: Elgamal暗号について幾つか質問です｡

・Elgamal暗号は単にDH鍵共有方式によって共有した鍵を使った共通鍵暗号による暗号方式である､という理解で正しいでしょうか？

・Elgamal暗号による”認証”はありますか？
490 名前：１３２人目の素数さん mailto:sage [04/08/12 06:14]: >>489訂正
”認証”じゃなくて”署名”でした｡
491 名前：１３２人目の素数さん mailto:sage [04/08/12 12:07]: > ・ElGamal暗号は単にDH鍵共有方式によって共有した鍵を使った共通鍵暗号による暗号方式である､という理解で正しいでしょうか？
正しいです。だから、特許もDH鍵共有方式がそのまま使われたという話もあります。

> ・Elgamal暗号による”認証”はありますか？
「暗号」による「認証」はありませんが、ElGamalによるElGamal署名はありますし、ちょっと改良したDSA署名などは、とてもよく使われています。
492 名前：１３２人目の素数さん [04/08/15 05:09]: 質問です。
encrypt　は暗号化でいいんですが、
decrypt　は復号？復号化？
復号化は日本語として変ですが、符号理論などでは符号化の反対として定着しているらしいです。
日本語で書かれた論文では、どうなっているのでしょうか？
493 名前：１３２人目の素数さん mailto:sage [04/08/15 05:20]: 復号する・復号時・復号処理
復号化する・復号化時・復号化処理

論文中で統一されていれば、どっちでもいいかな。
494 名前：493 mailto:sage [04/08/15 05:42]: SCIS2004だとほとんど「復号」ですね。
495 名前：白シャツ [04/08/15 22:47]: ちょっと違うがこんなのあった。
秘密鍵暗号の暗号文を復号せずに検証するってかんじかな？
アブストさらっと見てとりあえず落としただけなんでまだ読んでない。

ttp://eprint.iacr.org/2004/028.pdf

公開鍵暗号だと>>481で言ってたのでたぶんOKだと思う。
PKIの応用例とかにそういうかんじのが出てるみたい。
ただし、情報処理技術者試験SSの参考書に適当に
書いてある奴なんであんまり信用してないけどね。
496 名前：１３２人目の素数さん [04/08/16 02:30]: >>495
ん？これって、public key encrypted messageの認証をしようとしてるんじゃない？
アブストラクトの一行目に「an asymmetrically encrypted ciphertext」って書いてあるんだが。

むしろ、ad hocのグループに対称鍵を共有させるkey agreementの方が難しそうだな。
497 名前：白シャツ [04/08/16 03:01]: >>496
オオボケでした、スマソ。

>アブストラクトの一行目に「an asymmetrically encrypted ciphertext」って書いてあるんだが。

symmetrically encrypted ciphertext　とおもてたようだ。
というか、条件反射的にそう思い込んでたのかも。

>むしろ、ad hocのグループに対称鍵を共有させるkey agreementの方が難しそうだな。

ってどういうことでしょうか？
ID-Based encryptionとかの
Trusted Authority無し版でしょうか？

それともDH鍵共有みたいなのをｎ人（n>2）でやるということ？
498 名前：１３２人目の素数さん [04/08/16 11:45]: >>497
ID-Basedってライセンス使うコンテンツ保護のやつだよね？
TAなしでどうやってやるんだろう。うぉー、勉強することで一杯だ。

想定しているのは、後のDH鍵共有をｎ人でやるっていうもの。
これも、内部不正者とか結託とかの問題が熱い。

考えれば考えるほど、対称鍵暗号使いながら、メッセージを認証するって難しい気がしてきた。
499 名前：白シャツ [04/08/16 17:49]: >>497

>ID-Basedってライセンス使うコンテンツ保護のやつだよね？

一概にそうとは言えないけれど、応用考えるとそっち方面にいくよね。
もともとは公開鍵取りに行ったりする予備通信を不要にして、
IPアドレスなりメアドなり既存の情報から鍵を作れないかってことだったと思う。

>TAなしでどうやってやるんだろう。うぉー、勉強することで一杯だ。

いまのところ出来てないよ。
実現する方法を提案、もしくは不可能なことを証明できれば神かも。

>想定しているのは、後のDH鍵共有をｎ人でやるっていうもの。

ad hocで鍵共有という状況を考えると、ワンタイムキーが効率よく共有できれば

>これも、内部不正者とか結託とかの問題が熱い。
とか考えなくても使えるんじゃないかな。
今後はそういう「使い捨て前提簡易暗号」みたいなのが面白いかと個人的には思ってる。

>考えれば考えるほど、対称鍵暗号使いながら、メッセージを認証するって難しい気がしてきた。

結局ハイブリッド型暗号にならざるを得ないだろうけど、
トレードオフポイントを対称鍵の方にどこまで持っていけるかってことになるのかな。
これは面白そうだけど、本気でやると茨の道が見えてますね。
どうやったらよいのだろう。
500 名前：１３２人目の素数さん [04/08/16 18:45]: > ワンタイムキーが効率よく共有できれば、
っていうのが難しいんだよな。効率よく共有と、安全に共有は、どっちもまだまだだかと。

ハイブリッド暗号にするのは、それでいいことにしよう。
おそらく、解読よりも圧倒的に検証の方が回数が多いから、検証が対称鍵の解読で出来ればいいのかな。
もしくは、それに準ずる計算速度で出来る演算で検証したいな。

たくさんのクライアントが、一台のサーバーにメッセージを送りつけ、
通常時は、サーバーは、メッセージの正当性を確認するだけにする。
なんか問題が起きたときに、クライアントは、サーバーに残されたデータと秘密鍵を検証者に送る。
信頼出来るサーバーログの生成とかに使えないかな。
いわゆるブラインド署名を、超高速に検証出来るようなモデルとかを考えると応用用途はいっぱいありそう。
501 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/08/16 20:55]: あのう、今まで梅署名について考えていて、
きちんとしたのができたのですが、
ここに公開させてもらってもいいでしょうか？
スレの流れ的に怒られますか？
502 名前：１３２人目の素数さん [04/08/16 21:23]: >>501
問題なんじゃない？ただ、
> きちんとしたものができたのですが、
は、一つでもきちんとしたものを作ってから言った方がいいな。
503 名前：502 mailto:sage [04/08/16 21:31]: すまん、
問題ないんじゃない？の誤字だ。
意味が逆になってしもた
504 名前：白シャツ [04/08/16 23:45]: 　　　　　　　☆ ﾁﾝ　　　　　　　　
　　　　　　　　　　　　　　　　　　　　　
　☆　ﾁﾝ　　〃　∧＿∧ 　／￣￣￣￣￣￣￣￣￣￣￣￣
　　ヽ　＿＿_＼（＼・∀・）＜　梅署名マダー？
　　　＼＿／⊂　⊂＿)＿＼＿＿＿＿＿＿＿＿＿＿＿＿
　　／￣￣￣￣￣￣￣／|
　　 | ￣￣￣￣￣￣￣:|　 |
　　 |　５５５　蓬莱　 .|／
　　￣￣￣￣￣￣￣￣
505 名前：白シャツ [04/08/16 23:58]: コピペ改変ミス寒い、やるんじゃなかった

>>500
>もしくは、それに準ずる計算速度で出来る演算で検証したいな。

つまり対称鍵暗号に匹敵するぐらい速い非対称鍵暗号が
出来ないかってことですか？
506 名前：１３２人目の素数さん [04/08/17 00:39]: >>505
>つまり対称鍵暗号に匹敵するぐらい速い非対称鍵暗号が
>出来ないかってことですか？
ではないです。
検証が出来ればいいだけなので、復号が出来る必要はない。
例えばMACなんかは、対称鍵暗号や、ハッシュ関数で実現出来るわけで。
507 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/08/17 00:39]: ttp://up.isp.2ch.net/up/bd323a52b2c3.zip
↑にアップしました。

明日くらいにどっかの無料HP借りて
今までアップしたものをまとめてアップします。
508 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/08/17 00:51]: アップしたpdfですが下のほうでmod nが抜けていました。
全ての計算にmod nが必要ですので脳内補完お願いします。
509 名前：１３２人目の素数さん [04/08/17 02:28]: 細かいことは全部抜きにして署名生成に必要なべき乗の回数が６回、検証で２回か。
ちょっと計算コストが大きすぎるな。既存の倍以上かかるだろう。
かといって、安全性があがっているわけでもなく。

あ、本当に書いてあることが全部正しいとするならば、
この署名は、簡単に偽造出来るな。
攻撃方法は、仕様がfixしてからにするわ。
510 名前：白シャツ [04/08/17 03:05]: >>506
了解です。そういうことね。
ところで>>500の
>おそらく、解読よりも圧倒的に検証の方が回数が多いから、検証が対称鍵の解読で出来ればいいのかな。

対称鍵の解読ってのがよくわからないのですが、
これはどういうことですか？
漏れ的には（というか一般的に）鍵の解読＝鍵特定（すなわちアタック）
見たいな印象があるんですが。
対称鍵で何かを暗号化してチャレンジ＆レスポンスのやりとりで認証？
511 名前：白シャツ [04/08/17 03:18]: >>507
とりあえず、使ってる記号の定義は署名は署名で閉じてね。
梅暗号と同じ定義とか言われてもそれだけ見た人にはわからない。

ｎが何かとか書いてないと、即死の恐れあったりするし。
512 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/08/17 18:46]: ttp://page.freett.com/umedoblock/index.html
↑に今までupしたものをまとめましたので
落としてください。

えっと、いいにくいんですが
初期の梅署名については簡単に偽造ができましたので、
新しく考えて全く違った署名方法になりました。
507を落とされた方はお手数ですが
もう一度上記のurlから落としてください。
513 名前：白シャツ [04/08/18 00:00]: nは本当に素数でよいんだな？
514 名前：１３２人目の素数さん mailto:age [04/08/18 00:08]: ここ素人ばっかだな。
515 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/08/18 13:56]: 素数ということでお願いします。
516 名前：１３２人目の素数さん [04/08/18 15:56]: japan.cnet.com/news/sec/story/0,2000050480,20070525,00.htm
517 名前：１３２人目の素数さん mailto:sage [04/08/18 18:05]: >>515が>>513へのレスに見せかけて>>514へのレスだったら、
暗号屋としてのセンスはある方だと思う。
518 名前：１３２人目の素数さん mailto:sage [04/08/18 18:19]: ψ【暗号アルゴリズム】重大な欠陥発見の報告相次ぐ
pc5.2ch.net/test/read.cgi/pcnews/1092820402/
519 名前：１３２人目の素数さん [04/08/18 21:42]: >>518
コレ、続報期待してます。
520 名前：白シャツ [04/08/18 22:06]: 正直言ってこういう言い方は悪いかもしれないけど、
デファクトスタンダードが氏んでくれると
新規参入者のチャンスが増えると思います。
でもハッシュの設計とかはあんまり興味なかったりする。
準同型が好き(w

>>515
オイラーの定理って知ってるよね。三角形のやつじゃないよ(w
521 名前：白シャツ [04/08/18 22:12]: Antoine Jouxといえば、3者間鍵共有の人ですよね。
>>498で話題になってたn人DH鍵共有のn=3の場合のやつ。
522 名前：１３２人目の素数さん [04/08/18 22:53]: 衝突困難性は、結構危ないのは間違いない。MD5なんかは、前にも見つかってたしな。
でも、衝突させられて、さらに有意なものを作ろうとするとやっぱ難しいな。

>> 521
それ、最近読んだんだったｗ
さらに、それを多人数に拡張して、やろうとしてたやつもあった。
523 名前：１３２人目の素数さん [04/08/18 23:04]: >>522
前にも見つかっていたのはMD4の間違いじゃないか?
524 名前：１３２人目の素数さん mailto:sage [04/08/18 23:23]: スマソ。MD5の圧縮関数を用いて衝突を起こすだな。これは、ずいぶん昔かも。
ちなみに今回のSHA-1も、関数そのものじゃないんでしょ？
525 名前：１３２人目の素数さん mailto:sage [04/08/18 23:34]: 度々スマソ
SHA-1の低ラウンド版で衝突が起こせた、ってのがホントみたいだな。
526 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/08/19 00:01]: >>520
ええ、家に戻るまでに気づきました。
まずいまずいと思っていました。

nは
r^n mod n ≠ 1
を満たす自然数ということで・・・
527 名前：１３２人目の素数さん mailto:sage [04/08/19 00:02]: スラドでも話題になってたな．CRYPTOに参加してる人が現地からカキコしてたりしてた．
ランプセッションは大盛り上がりだった様子．
528 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/08/19 00:03]: r^n mod n ≠r
でした、失礼しました。
529 名前：１３２人目の素数さん [04/08/19 19:10]: slashdot.jp/article.pl?sid=04/08/18/0257220
への書き込みからすると、MD4、MD5はヤバイということのようですが、
MD5同様、広く利用されているSHA-1の方はどうなんでしょう？
SHA-1も安心は出来ないとなると、現時点では何があるのでしょうか？
530 名前：１３２人目の素数さん [04/08/19 22:20]: １年ぐらい前からMD5を破ることが出来るってのは示唆されてたんだがな。
まさか数分とは…
531 名前：白シャツ [04/08/19 22:36]: 即座に偽造可能とかみたいに致命的というわけじゃないんだし、
だましだまし今あるの使ってその間に新しいの探すしかないわな。
規格やさんや実装やさんが大変になるかもしれないが。

実はホントにヤバいけど黙らされてるとかないよね。
532 名前：白シャツ [04/08/19 22:44]: >>526
先にｎ決めないとダメなんじゃないの？
nが自然数とか言ってもこれが簡単に因数分解されると困る。
533 名前：１３２人目の素数さん [04/08/19 22:52]: >>531
あるかもよ。
MD5の脆弱性が指摘されたのってアングラ発祥だもん。
534 名前：１３２人目の素数さん [04/08/19 23:29]: ロシアとか中国とか、この辺凄そう！！
535 名前：452 mailto:sage [04/08/20 09:18]: >>531
私にはどう考えても致命的にしか思えないんだが。
536 名前：白シャツ [04/08/20 21:08]: >>535
「ハッシュ関数」として致命的という意味ではそう思います。

ただ、アプリケーションにハッシュを使ってるような場合に
すべて使用停止しないと危険というわけではなく、
より安全と思われるハッシュを探す時間稼ぎするぐらいは
大丈夫じゃないかという意味で言ってます。
逆関数が見つかったとかなら有意な電子署名の偽造とか簡単にできるでしょうけど。

ハッシュ関数でコリジョンが起こっても安全であることが証明可能な
電子署名方式とかそういうのあるのかな？
537 名前：77 mailto:sage [04/08/20 23:24]: いわゆる``Standard Model''での証明とかかな？
538 名前：白シャツ mailto:sage [04/08/21 20:12]: >>537
>いわゆる``Standard Model''での証明とかかな？

Standard Modelってどういうことですか？
漏れが勉強してないのはわかってるんですが、
検索したらえらいことになっちゃいました。
539 名前：77 mailto:sage [04/08/21 23:38]: >>538
「安全性の証明に、ランダムオラクルのような強い仮定を必要としない」
ということです。
が、その場合でもやっぱりコリジョンはまずいのかな？
540 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/08/22 17:15]: >>532
そうでふ、素因数分解されると困ります。
やはり、大きな素数を作らないといけないですか。

梅署名では、法とする数nとある数の平方根r(=R^1/2)が素である時に、
rを示すことなくRの平方根を知っていると証明できるのですが、
なにか暗号的に意味のあることですか？
あと、他の方法でRの平方根を知っていると証明できたりしますか？
541 名前：白シャツ mailto:sage [04/08/23 19:21]: >>539
サンクス。そういうことですか。
コリジョンが起こると仮定すると
よりStandard Modelより弱い仮定？

>>540
大きくても素因数分解されやすい素数はある。
こういう場合はCo-Sophie Germain素数の積を使うのが一般的。
q=2p+1がともに素数のときpをSophie Germain素数、
q=をCo-Sophie Germain素数と言う。
ただし後者の呼称はあんまり一般的じゃないかもしれない。
542 名前：白シャツ [04/08/23 19:23]: >梅署名では、法とする数nとある数の平方根r(=R^1/2)が素である時に、
>rを示すことなくRの平方根を知っていると証明できるのですが、
>なにか暗号的に意味のあることですか？
>あと、他の方法でRの平方根を知っていると証明できたりしますか？

ZKIPじゃないの。
543 名前：１３２人目の素数さん [04/08/29 16:21]: 841
544 名前：１３２人目の素数さん [04/09/05 07:01]: 418
545 名前：１３２人目の素数さん mailto:sage [04/09/07 04:46]: ん？ここって止まったの？
546 名前：白シャツ [04/09/08 22:32]: どぶろくが何か投下してくれるの期待だけど、どうなるんでしょうか。

とりあえずこんなのがある。
ttp://ntw.e-one.uec.ac.jp/jant/os-2004.html
547 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/09/08 23:47]: いや、生きてますよ。
今は
ttp://www.jpo.go.jp/tetuzuki/ryoukin/genmensochi.htm
を見て、学生だと審査量とか免除されるらしいから
特許出してみてやろうと思ってるんです。

他のネタを今特許用にどう書いたらいいのか
ttp://www.isokanet.com/tokususu/
ここ見たり、web巡り中です。
HPには載ってないネタです。
特許出願してみて先願権確保できたらupするつもりですが
一ヶ月以上かかりそう・・・
548 名前：白シャツ [04/09/09 20:14]: 特許だと「暗号化装置」として書くと通りやすいんだっけ？
どこかの研究会で発表とかはしないの？
フレッシュマンセッションとかあるところが吉か
549 名前：545 mailto:sage [04/09/10 02:06]: おぉ、うごいてましたか。
ぽつぽつと見てたんですが、どうなったのかな、って思ってました。
550 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/09/11 22:45:32]: えっと、すいません質問があります。
ある巨大な素数p,qの積nを法とするときに
2次合同式の解を求めることは困難、
pを法とする2次合同式の解を求めることは簡単、
ってことでいいんでしょうか？

ラビン暗号なんか
M^2+bM-C=0 mod n
の解Mを求めることが困難だから成り立っていると思うんですが、

x^2+bx-k=0 mod n
未知数はxのみのとき
上式を満たすxを求めることは困難ってことでいいですか？

んで、nが値の分かっている素数の時なら、xを求めることは困難ではない
これであってますか？
551 名前：１３２人目の素数さん mailto:sage [04/09/11 23:47:44]: ？ >nが値の分かっている素数の時

n=pq
552 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/09/11 23:53:35]: すいません、

×　>nが値の分かっている素数の時
○　んで、法とする素数pの値が分かっている時なら、
　　　xを求めることは困難ではない
　　　これであってますか？

訂正しました。
553 名前：１３２人目の素数さん mailto:sage [04/09/12 02:05:06]: ﾏｯﾀﾘしてるんで、どぶろくさんに平行して素人がﾈﾀ投入します。

2chでの公開鍵暗号
2chで特定の相手にだけ(以下略
トリップつかってどうにかできませんか？
(トリップの詳しい生成方法知らないですが・・・・。
554 名前：１３２人目の素数さん [04/09/12 18:41:46]: トリップは非可逆圧縮のMD5なので、無理なのでは。
555 名前：１３２人目の素数さん mailto:sage [04/09/12 18:44:20]: 複合が㍉ですか
556 名前：白シャツ [04/09/12 19:48:40]: >>553
漏れは今まさにそういう署名考えてるところなんですな。
うまくいけばSCISあたりで話したいんだな。
557 名前：白シャツ [04/09/12 20:01:02]: >>550
解の公式つかうんじゃないかな。
aX^2+bX+c=0の解x=(-b±√(b^2-4ac))/(2a)だったっけ？
法が素数だと平方根が求まるんでってことじゃない。
558 名前：白シャツ [04/09/12 20:04:39]: >>553
どこぞに自分の公開鍵さらして書き込んだメッセージに対する
電子署名を毎回つければある意味可能なんだろうけど
これだとやってる意味が違うしなぁ。
>>556で考えてると言ったのは公開鍵さらさないでもどうにか
ならないかなと、そういうやつです。
559 名前：１３２人目の素数さん [04/09/12 20:06:33]: こういうブームは、いずれ過ぎ去る。
560 名前：１３２人目の素数さん mailto:age [04/09/12 20:14:36]: 情報セキュリティ大学院大学ってどうなの？
教授陣のレベルとか？
561 名前：１３２人目の素数さん mailto:sage [04/09/12 23:50:54]: 一方向生還数じゃしょうがないなぁ
562 名前：白シャツ [04/09/13 00:57:48]: >>560
「暗号数学」って分野（有田先生,松尾先生）に限ればレベル高いと思うよ。
　他は知らないのでなんともいえない。
代数曲線暗号やるのならお勧めですね。

ていうか漏れも事情や経済的なものが許せば弟子入りしたいぐらいなんだけど、リジェクトされるだろな(w
もっと勉強してきやがれと言われるだろう。
563 名前：１３２人目の素数さん [04/09/13 15:56:36]: 一方向性関数以外の暗号原理って無いの？
564 名前：１３２人目の素数さん mailto:sage [04/09/13 19:35:01]: 「暗号原理」ってのが何のことか分からないけど
計算量的困難性に基づく暗号方式の他に
情報理論的な安全性に基づく暗号方式というものがあります
565 名前：１３２人目の素数さん [04/09/14 08:05:23]: 仕事で暗号に関するプログラミングをしております。
どなたか、DESのソースコードが載っているサイトをご存知のかた
いらっしゃいませんか？
緊急で取り寄せる必要がありまして(^^;
よろしくお願いします。
566 名前：452 mailto:sage [04/09/14 08:56:50]: >>565
喪前、それを商売にしててそのぐらいの
情報収集ができないならやめたほうがいいぞ。
www.cr0.net:8040/code/crypto/des/
3DESのコードと書いてあるが、普通のDESも含まれてる。
残念ながらライセンスはGPLだけどな。
567 名前：452 mailto:sage [04/09/14 09:22:06]: >>565
もっとライセンスのゆるいライブラリを見つけてやったぞ。
www.eskimo.com/~weidai/cryptlib.html
ぐぐったら普通に大量にヒットするじゃねぇか。

釣りか？俺は釣られたのか？負け犬？
負け犬上等。煽り師よりましさ。こんちくしょう。
568 名前：白シャツ [04/09/14 18:36:23]: >>567
乙
あなたイイヒト。
569 名前：１３２人目の素数さん mailto:sage [04/09/16 02:08:02]: sakura01.bbspink.com/test/read.cgi/ascii/1087745853/
これ解いて
570 名前：１３２人目の素数さん mailto:sage [04/09/16 07:37:08]: >>569
わかりません
571 名前：１３２人目の素数さん [04/09/21 08:34:28]: 293
572 名前：１３２人目の素数さん [04/09/22 19:29:45]: 暗号理論を勉強したいのですが、何かお勧めの本はないでしょうか？
当方、暗号については素人です。
573 名前：１３２人目の素数さん mailto:sage [04/09/22 20:10:10]: 暗号技術大全でぐぐってみよう
574 名前：白シャツ [04/09/23 23:32:03]: 秘密の国のアリスってどう？
漏れは立ち読みして買おうかどうか検討中なんだけど。
575 名前：１３２人目の素数さん [04/09/24 13:55:12]: 今学部3回生で楕円曲線(暗号)をやってる研究室に行こうか迷ってる。
本当は学部卒業したら就職しようか名とか思ってたけど。
この研究室行って院行って暗号に関係する仕事につけたらそれもいいなとか思ってる
のだが…
暗号を修士までやって、職につけますかね？
簡単に調べてみたら、日本で暗号開発してるのはNTT,日立、三菱、(ソニー)
くらいなもんで、厳しそうだ。
576 名前：１３２人目の素数さん mailto:sage [04/09/24 14:28:07]: >>575
アポ取って研究室に行って相談してみ。そういう研究をしてる
会社のことなり、今の内に勉強しておいた方が良い事なり、
教官の人柄なり、色々と知る事が出来るし。
577 名前：１３２人目の素数さん [04/09/24 14:55:47]: >>576
サンクス。一応聞きに行って。返事は「就職？暗号？……どうだろう」っておい！！
まったく参考になりませんでした。
教授のHPには楕円曲線の研究してるって書いてあって、で、暗号もやってると記述が。
それで期待して聞きに行ったのだが。そっちのほうはやはりぜんぜん疎いらしい。
教授が言うのは他大学の研究室(暗号を専門で研究してる)にいけば職には就けるだろうと。
が、なんかあやしい。
578 名前：白シャツ [04/09/24 18:54:09]: >>575
あとは、NEC、富士通、シャープ、松下とかも。
ただし、理学部数学科からだと厳しい道かと思います。
579 名前：１３２人目の素数さん [04/09/24 21:45:02]: >>578
一応院は北陸先端の宮地研究室が一番自分の希望を満たしているかなと思ってます。
ただ、ここ入学するのに筆記がない。なんか逆に不安。
何していいか分からんし。
580 名前：白シャツ [04/09/24 22:44:42]: >>579
宮地先生は厳しいらしいよ、それとJAISTの環境も。
覚悟＆実力があれば大丈夫だけど。
入学は簡単かもしれないけど、入ってから希望の研究室に
配属されるかどうかが問題なので配属決める試験が本当の入試らしい
581 名前：１３２人目の素数さん [04/09/24 23:13:38]: >>580
え、そうなの？
研究室配属にテストが必要って言うのは初耳だ。
面接と講義の成績で決まると思ってた。
582 名前：１３２人目の素数さん [04/09/24 23:17:27]: 宮地研から修士卒で三菱の研究者になった人がいまつ。
俺はJAISTじゃないですが。。。。。
583 名前：１３２人目の素数さん [04/09/24 23:19:44]: 実際国立大学で暗号研究してるとこ少ないんだよね。
私大ならたくさんあるんだけど。
584 名前：１３２人目の素数さん [04/09/24 23:25:47]: 東大の今井（秀樹）先生って、暗号の研究してなかった？
暗号が主じゃなかったとは思うけど…
585 名前：白シャツ [04/09/24 23:27:31]: >>581
1回生の前期試験＝本当の入試というような話だったと思う。
伝聞なので詳しいことはわかりませんが。
586 名前：白シャツ [04/09/24 23:37:05]: >>583
東北、山形、横国、東工、阪大、神戸、九大
そんなところ？

>>584
そろそろ定年退官されると思うのだけど、次どこいかれるんでしょうね
587 名前：１３２人目の素数さん [04/09/25 11:30:34]: ほとんど希望の研究室に行けるみたいだよ。
単位落としてても熱意で入ったってやつ知ってる。
588 名前：１３２人目の素数さん [04/09/25 11:40:23]: >>586
情報系のこと？
数学には暗号研究してるとこないような。
学部で数学専攻してて院で情報に行くのはしんどい。
589 名前：白シャツ [04/09/25 12:26:51]: >>588
そう、工学部の話です。
工学部でもこんなもの。
590 名前：１３２人目の素数さん [04/09/25 12:32:02]: >>588
いろいろ情報どうもです。
さすがに工学部の院試をパスする自信はないな。
数学科から暗号やるのって結構厳しそう。
大体なぜ暗号やってる研究室を工学部に置くのか…
情報ならまだ分からなくもないが。ああ、数学科においてくれ、どうせなら。
591 名前：１３２人目の素数さん [04/09/25 12:32:29]: しくった。>>589でした。
592 名前：白シャツ [04/09/25 12:50:14]: >>590
数学の人は、暗号に手出すと異端みたいな扱いされるから。
でも数学科で代数やってるところに入って、
個人的に暗号もやってますみたいな人は結構いるのでそういう方向を考えられたら？

>>583　で国立って書いてあったから言ってなかったけど、
都立の中村先生はこんなのやってられます。
ntw.e-one.uec.ac.jp/jant/jant-aim.html
結構力いれてられますよ。
593 名前：１３２人目の素数さん [04/09/25 13:09:05]: マジサンクスです。白シャツさん。
俺も3回生になって就職か院か迷ってて…
なぜなら数学科で院いったらおしまいみたく言われてたのでやっぱ就職かなと。
けど、数学使う職なんかそうそうあるわけじゃなく調べてたら暗号が熱い事を発見。
この一月暗号関係のこと調べまくってました。
ああ、いまさらながら応用数学科みたいなところ行ってたほうが良かったかなと
ちょっと後悔してます。
594 名前：１３２人目の素数さん [04/09/25 13:35:38]: 学部卒だろうが修士卒だろうが、新卒だと就職は余裕。
595 名前：１３２人目の素数さん mailto:sage [04/09/25 13:44:20]: 九大工学部の暗号系研究室(システム情報科学府情報工学専攻)に行くのに必要なもの
1.英語(TOEICで代用可)
2.電磁気学or計算機工学(コンピュータアーキテクチャ、コンパイラ、OS論、データベース、アルゴリズムとデータ構造の6題中4題)
3.数学(線形代数、ベクトル解析、常微分方程式、複素積分、ブール代数の5題中4題)
4.電気回路or離散数学(グラフ理論、集合論など)
5.情報工学(情報理論、言語理論・アルゴリズム論、ディジタル信号処理、通信伝送、電磁波、プログラミング論の6題中2題)

英語・数学は当たり前にできるだろう。2番でベクトル解析+αでできる電磁気学を取って、
4番で離散数学を取って(数学科ならそれぐらいできるだろ)、5番は情報理論は簡単にできるだろうし、言語理論(オートマトン)は
数学科でもやってるだろうから、この教科を取る、と決めていけばムリな話じゃないような気がする。
596 名前：白シャツ [04/09/25 18:01:02]: ＪＡＩＳＴだと面接だけだろ
597 名前：１３２人目の素数さん [04/09/25 19:26:21]: スレ立て人です。
大阪大学理学部数学科大学院　鈴木穣研究室にごうかくしました。
www.math.sci.osaka-u.ac.jp/~suzuki/suzuki-home.html
来春からここに行きます。
この人はどうなんでしょうか。就職できんかったらヤバイ。
598 名前：１３２人目の素数さん [04/09/25 20:04:37]: だから新卒だったら余裕だって。
よほどのドキュンじゃなければ。
599 名前：白シャツ [04/09/25 21:34:27]: >>598に同意
あとはノーコメント
600 名前：１３２人目の素数さん mailto:sage [04/09/25 22:29:16]: >>597
カタリはやめれ
鈴木先生にも失礼だろが
601 名前：１３２人目の素数さん [04/09/25 22:52:08]: >>600
事実です。
就職というのは、研究職ですか？それともSEや文系就職も含めて？
602 名前：白シャツ [04/09/25 22:54:46]: カタリなわけ？
って釣られたのか
603 名前：白シャツ [04/09/25 23:04:18]: >就職というのは、研究職ですか？それともSEや文系就職も含めて？

マジレスしとくと後者。文系就職はないだろうけど。
604 名前：１３２人目の素数さん [04/09/26 00:31:50]: >>602
600 は「穣=>譲」の指摘かも？
「名前は譲だけど、譲らない」ってだれかいってませんでした？
605 名前：597 [04/09/26 00:47:13]: >>604
まじですか？あの先生頭はよさそうだけど、根本的な感覚が大前研一っぽくて
どうかなとおもってたんですが。
606 名前：白シャツ [04/09/26 00:49:36]: >>604
あなた絶対会ったことある。
そのひと「そこは本来僕のポスト」って言ってた人でしょ
607 名前：597 [04/09/26 01:08:45]: 阪大助教授ならめちゃくちゃいいじゃない。
608 名前：１３２人目の素数さん [04/09/26 02:05:55]: >>606
鋭いにゃーーー。
609 名前：白シャツ [04/09/26 02:36:22]: あんまり仕切るのとか良くないと思うけどこの話題はもうヤバイのでやめましょう。
それに、匿名性が保てなくなりかねない。

>>597に言っておくと、
狭い世界とはいえ派閥抗争みたいなのがあるので、
お互いいろいとと言いたいことはあったりするんです。
誰と誰が友好的で、誰がそうでないかとかは
なんとなくわかるようになるから、自分にとって誰と
付き合うのが得になるのかを考えておかないと不幸になるよ。
どこの世界でもあることだろうけど。
とりあえず安全そうなところだけ言っとくと、
東大政権(w、横国、三浦さんって感じでしょうか？
610 名前：600 mailto:sage [04/09/26 05:42:05]: >>601 >>605
つーか、就職とか学閥とか以前に、これから配属される研究室の先生のことを2chで
「どうなんですか」「どうかなと思う」とか書くのは、それこそ根本的に「どうかな」と・・・
ま、それだけ数学板は2chの中でもﾏﾀｰﾘ穏やかな板だってことでしょうね
611 名前：白シャツ [04/09/26 13:21:46]: >>600
数学板の中でもここはかなり特殊だと思う。
他は結構２ｃｈっぽいスレもあるようだし。
煽りは基本的にスルーされてるし、
釣るには梅どぶろく氏ぐらい壮大なネタを用意しないとダメだし。
612 名前：１３２人目の素数さん [04/09/26 17:40:58]: 持ち直してるとはいえ今の時代研究職につくのはかなり難しいとおもう。
企業の研究者の人とかと話してるとそんな話良く出る。
俺は興味なさそうな振りして全神経を耳に集中して聞いてるけど。
613 名前：１３２人目の素数さん mailto:sage [04/09/26 19:32:53]: つ、釣りじゃないですよ・・・

そうか、釣りだと思われてたのか・・・
614 名前：１３２人目の素数さん [04/09/26 20:48:28]: 俺は整数論を専攻していて暗号も少しやってますよってな研究室に行った。
けど暗号仕事にするなんて不可能に近いって事が分かった。
まずなれん。よっぽど才能があって、努力しないと無理だと思った。
俺は修士まで行って結局SE内定。ああ悲し。
615 名前：１３２人目の素数さん [04/09/26 21:52:43]: >>614
不可能ではない。本人の人並みの努力でどうにかなるレベル。
あと、研究室にもよるだろうが。
616 名前：白シャツ [04/09/26 22:13:53]: >>613
どぶろく？
とりあえずどこかの研究会でデビューしたら釣りじゃなくなるんじゃない？
617 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/09/27 16:52:41]: >>616さん
そうです、けど地方ですから・・・
大学とか行ってなくて全くの無名でも
研究会に参加できるんですか？
618 名前：１３２人目の素数さん [04/09/27 19:26:57]: >>590
もし君が純粋数学しか勉強してないのなら他学科の研究室に行くのはしんどいぞ。
よほど覚悟していかないと痛い目を見る。正直情報とかの暗号研究室では純粋数学
なんてあまり役にたたんよ。つまり、情報系の人でも理解できるレベルのものしか扱わない。
けど、プログラミングの技術は結構なレベルのものが当たり前に使われている。
俺は純粋数学も情報も両方やってる大学から来たからまだましだが。
実際M１の1学期に簡単な暗号かじったようなプログラム組まされるしな。
余裕があるなら学部のプログラミング入門みたいな講義を取っておく事を激しく進める。
619 名前：白シャツ [04/09/27 20:03:24]: >>617
見に行くだけなら誰でも入れるし、
（有料とかのとこもあるだろうが）
発表の資格とかもあんまり聞いたことは無い。
査読つきとかなら通らないとダメだけど。

まぁあんまり前例ないと思うのでどうなるかわからないけど。
620 名前：１３２人目の素数さん mailto:sage [04/09/28 00:13:23]: まぁ、暗号数学、は、代数学をはじめとする、数学と情報の複合みたいな、情報科学っていう学問を確立してるよね。
まだ暗号は数学に近い気がするけどね。
自分は情報の方から符号を専攻しています。
情報科学は、数学をライブラリとしてしか見てないような気もします。
自分は、純粋数学からのアプローチは憧れに似た感情を抱きますね。

符号理論を語るスレ
science3.2ch.net/test/read.cgi/math/1091824983/

こっちのｽﾚもちっとは面倒みてやってください( ´Д｀)
近しい分野だと思いますので。
621 名前：白シャツ [04/09/28 00:26:51]: 符号理論は勉強したいのだけど、
ていうかしないといけないのだけど、難しいよね。
なんというか、感覚的につかめない、みたいな。
622 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [04/09/28 13:17:41]: >>619
> （有料とかのとこもあるだろうが）

つーことは、白シャツ氏は ISEC メインなのか？

情処の CSEC では研究会登録会員以外は聴講でも有料。ただし、
ISEC は参加・聴講とも原則学会会員のみじゃなかったか？

> 発表の資格とかもあんまり聞いたことは無い。
> 査読つきとかなら通らないとダメだけど。

発表資格とは意味合いが違うかもしれんが、CSEC/ISEC ともに発表
は主催学会会員のみだろう。で、会員になるには紹介者がいなきゃ
ダメだから、それなりのコネは必要、と。

そういや、もうすぐ CSS だが、いっそ、この手のシンポジウムの方
が簡単かもしれんな。これなら大抵非会員でも OK だろう。暗号/セ
キュリティを掲げた SCIS/CSS 以外でも、DiCoMo や SITA みたいに
セキュリティ系のセッション含みなのもあるし、大概は地方開催な
ので適当に近場のを探すこともできるし。
623 名前：白シャツ [04/09/28 16:24:12]: >>622
ISECメインですよ．
CSECは微妙に方向性が違うのでISEC/CSEC共催とかのときに行くことあるぐらい．

建前は別にして研究会なんて実際には誰でも入れてくれるでしょ．
情処は入場料が有料で予稿がもらえるんじゃなかった?
信学は入場料タダで予稿が有料．

シンポジウムだと今から狙うなら時期的にSCISですね．
624 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/09/28 18:45:51]: んでは、scisに参加することを夢見てバイトに励むことにします。
なんか発表できるようなネタをがんばって考えます。
625 名前：白シャツ [04/09/29 00:21:48]: >>624

たしか専門学校行ってるんだった？
SCISは専門学校生って学生料金で行けるんだろうか？
626 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [04/09/29 13:20:40]: >>623
> ISECメインですよ．
> CSECは微妙に方向性が違うのでISEC/CSEC共催とかのときに行くことあるぐらい．

微妙とゆーか、相当とゆーか。

今年 7 月の共催研究会は 2 パラレルセッションでほぼ CSEC/ISEC
に分離しちゃってたから、共催の意味は薄れたかもね。

> 建前は別にして研究会なんて実際には誰でも入れてくれるでしょ．

まぁ、そうなんだろうけど、やったことないから知らない。有料/無
料と予稿の有無はおっしゃる通りですね。

> シンポジウムだと今から狙うなら時期的にSCISですね．

締切がおそらく 12 月下旬なので、ネタ仕込みから始めるとなると
結構厳しいかもね。

>>625
> SCISは専門学校生って学生料金で行けるんだろうか？

行けるんじゃないの？今年のでは『社会人学生は一般として参加し
る』とは言ってたみたいだけど。
627 名前：白シャツ [04/09/29 15:09:11]: >>626

>微妙とゆーか、相当とゆーか。

本音では相当、建前で微妙といわないといけない(w

>締切がおそらく 12 月下旬なので、
>ネタ仕込みから始めるとなると結構厳しいかもね。

現在ネタ考え中です。いつもギリギリで大変なことになるんだよね。

>『社会人学生は一般として参加しる』とは言ってたみたいだけど。

安い通信制の大学に籍だけ置いて元が取れるかどうかって話があった(w
628 名前：１３２人目の素数さん [04/09/30 19:43:14]: 「さちとにく」
を解読してください
629 名前：452 mailto:sage [04/10/01 08:35:12]: >>628
幸と肉
肉を食うと幸せだということだ
630 名前：１３２人目の素数さん mailto:sage [04/10/01 09:31:13]: >>629
ｵﾐｺﾞﾄ
631 名前：白シャツ [04/10/01 17:05:16]: >>604

「名前は譲だけど、譲らない」って言ってた人から
リアルで問い合わせがきましたよ＞エロい人

２ちゃんをなめていたのが敗因，切腹！！！！
632 名前：600=77 mailto:sage [04/10/01 17:54:49]: 私が>>600で言葉足らずだったばっかりに申し訳ないです＞白シャツさん
633 名前：597=601 [04/10/01 19:19:01]: >>631
白シャツ氏
俺の書きこみについて？
なんか研究室はいって速攻で嫌われる予感。。。。。。。。。。。
634 名前：600 mailto:sage [04/10/01 19:26:59]: >>633
んなこたーない．
そもそも>>597のレスを漏れが勝手に悪く解釈していたのが悪い．
635 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/10/01 22:43:31]: 社会人になったことはないので社会人学生にはならないと思いますが
scisに参加申し込みする時に主催者の方に聞いてみます。

>>631さん
・・・そのエロイ人も2c・・・

今考えている署名方法があります。
もしも、以下の問題が困難であれば公開したいと思っています。

素数p、基数a、べき乗数x、g=gcd(p-1,x-1)とする。
Y=a^(g*r) mod p
としてa, p, x, Y, gが与えられた時に
a^r mod n を求めるのは困難ですか？
(g≠2とします。)
636 名前：白シャツ [04/10/01 22:47:12]: >>604のエロい人に釣られてしまったのがまずかった。
研究会で吊られてキマス(w

>>633　こっちの筋からそちらの研究室にリークされることは
ないのでそれは大丈夫だけど、誰が見てるかわからないってことで、
>>597は気をつけた方が良いかも。
637 名前：597=601 [04/10/01 22:57:09]: >>all
了解。
638 名前：白シャツ [04/10/01 22:58:38]: ちなみに吊られると言っても
研究会後の懇親会でこのスレでの梅どぶろく氏の位置に置かれて
エロい人のおもちゃとして遊ばれる程度の被害と予想されるので
>>632-634は気にしなくて良い。
639 名前：600 mailto:sage [04/10/02 00:28:21]: では、その様子を隅の方で眺めながらﾆﾔﾆﾔさせて頂こうと思います
640 名前：白シャツ [04/10/02 00:33:47]: 式が気持ち悪いので書き直してよい？

>素数p、基数a、べき乗数x、g=gcd(p-1,x-1)とする。

aをｇにして欲しい、それとこのときはbaseとか言わずに
どういう数なのかだけ言って。むしろgenerator
同様にｘも何かわからない
のでコメントをつけて。gは使ったのでa=gcd(p-1,x-1)にしましょうか。

>Y=a^(g*r) mod p
>としてa, p, x, Y, gが与えられた時に
>a^r mod n を求めるのは困難ですか？
>(g≠2とします。)

n,rも何かコメントを。

この問題は設定がどうなっているかわからないけど
難しいかどうか考えるのが難しいかもしれない。

匿名性が無いんだなぁ(w
641 名前：白シャツ [04/10/02 00:41:24]: >>639
これで>>597が実は>>604の自演だったら極悪ですな。
それはないだろうけど。

ヤバイこと書くときは普通の素数さんに戻ろう
642 名前：１３２人目の素数さん [04/10/02 00:42:50]: パスワードのいらない暗号は無いのだろうか？
643 名前：１３２人目の素数さん [04/10/02 00:43:39]: クレタ語を話すやつがいたら、、、、
644 名前：白シャツ [04/10/02 00:57:34]: >>640続き
p:素数
g:（　　　　）を満たす整数
r:（　　　　）を満たす整数乱数？
n:（　　　　）を満たす整数　　pがらみの合成数？
x:（　　　　）を満たすような冪乗数？
a=gcd(p-1,x-1)
Y=g^(a*r) mod p
とする。

a, p, x, Y, gが与えられた時に
y=g^r mod nを求める問題

このテンプレの（　　　）を埋めて＞どぶろく

それとこの場合、aがわかっているならg^r　mod p
もわかるのでは？
645 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/10/02 23:27:31]: >>635で最後にmod nとなっているのはmod pの間違いです。
すいませんでした。

p:素数

g:任意の数を選びます。
条件は特にないです。
DH鍵共有で使うgと同じということで。

x:gcd((x-1),(p-1))≠1
かつ
gcd((x-1),(p-1))≠2を満たす数

a:gcd((x-1),(p-1))

r:乱数です。この値は秘密です。
求める必要はないと思います。

n:必要でないです。・・・

Y=g^(a*r) mod p
とする。

p, x, Y, gが与えられた時に
y=g^r mod pを求める問題
646 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/10/02 23:29:06]: 具体的に書くと
p=71, x=21, g=2, a=gcd(20,70)=10として
Y=2^(10*r) mod 71が与えられた時に
y=2^r mod p の値が求まるかということです。
p-1とaが素ではないので
yを求めることが困難ではないのかと思っているんですが
どうなんでしょうか？
647 名前：FM東京 [04/10/03 02:20:50]: >>646
xって書くから判りにくくなるんですよ。
p:素数、g (Z/pZ)^*のgenerator, a整数 st. a|p-1
で
Y=g^(a*r) mod p (r:乱数たぶんp-1と素)が与えられた時、
y=g^r mod p がわかるか？
っていいたいんでしょ？？？

で、これは、f(t)=t^a-Y \in Fp[x]を解けばいいんで、
O(a^3 log^3 p)くらい？で解けますよね（ちゃんと見積もっていません）。
だから、aが小さければ、解ける。
一方で、この解は必ずa個出てくるはずなので、解くのは困難になる
（はずだ）けども、
aが大きかったら、解がたくさん（a個）在りすぎて何かに使えるようには見えない
にやーー。
648 名前：白シャツ [04/10/03 03:14:58]: Y=g^(a*r)=(g^r)^a=y^a mod p
でaは公開されてるx,pから計算できる。
あとはオイラーで終了
649 名前：１３２人目の素数さん mailto:sage [04/10/03 05:54:54]: 前にも誰か書いてたが、梅どぶは代数・初等整数論をいちからやり直せ。
話はそれからだろ。
650 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/10/03 12:18:21]: >>647-649さん
Y=y^a mod p
としてY, a, pが与えられた時に
aと(p-1)は互いに素ではありません。

オイラー関数は
aと(p-1)が互いに素の時に
a*s+(p-1)*t=1を解いて
y=Y^s mod p
でyが解けるということだと理解したのですが、

(p-1)がaで割り切れる時もyは求めれるのでしょうか？

>>647さん
乱数rは(p-1)と互いに素でない値を任意に選べるとしたら
yを求めることは困難だといってもいいですか？
651 名前：FM東京 [04/10/04 01:29:52]: 上のp=71の場合で説明するね。
(Z/71Z)^* の中で、g=7 は原始根です。
それで、例えば、乱数r=13として、y=g^r=7^13 mod 71=28
a=10 | 70=p-1 として、Y=y^a=28^10 mod 71=30
とするでしょ。
ところが、t=2,10,21,28,34,37,43,50,61,69（10=a個）
に対して t^10=Y mod 71 が成り立つの。
だから、Yが判っただけでは、yは復元できないって事。

それが判った上で、Yが判ったとき、y^a=Y mod p なるyを
一つ求めよって問題と思うと、aが小さかった時には簡単に解ける
とか、もっと他に、(p-1)/aが小さい時にも簡単に解けるとか、
ちゃんと調べてないけど、aや(p-1)/aを因数分解したとき、小さな
素因子しかでない時は多分簡単に解けそうな気がするとかいえるん
ですね。
だから、この問題にしても、難しい場合はかなり限られてくるんだよ。
それで、限られた場合がホントに難しいか？解けないか？っていわれて
も今の所わからないだけかもしれないから、なんとも言えないんだよなー。

一般に、n乗写像 n: (Z/pZ)^* --> (Z/pZ)^*
の逆象の個数は gcd(n,p-1) ですよ。（上の群が巡回群だから）
652 名前：白シャツ [04/10/04 17:18:58]: そうかa|p-1なのか。ちゃんと考えてなかった、スマソ。

それと、>>645でgが任意に成っているが、gやg^rの位数も考えないとダメでは？

そういう意味では

>乱数rは(p-1)と互いに素でない値を任意に選べるとしたら

とするのもあまりよろしくないような。
653 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/10/05 01:07:04]: ttp://page.freett.com/umedoblock/index.html
↑に私が言っている署名方法とおまけをupしました。

四代目でいっている弐の部分のことです。

おまけは
案外他の人が先に発表しちゃってるんじゃないか
と思っているんですがどうでしょうか？

四代目・おまけのどちらかでもscisで発表する価値のあるものですか？
654 名前：１３２人目の素数さん mailto:sage [04/10/05 15:50:14]: 39 名前：１３２人目の素数さん投稿日：04/10/03 09:26:00
マトソン･ソロモンの限界を導いた、マトソンさんとソロモンさんのフルネーム知りませんか？

だれか答えてやってください( ´Д｀)
655 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [04/10/06 17:15:50]: >>653
> 四代目・おまけのどちらかでもscisで発表する価値のあるものですか？

四代目ってのは ElGamal 署名を下手に複雑化しただけにしか見えな
いんだが。同一者による二つの署名 (s_1,t_1) と (s_2,t_2) があ
れば、(s_1+s_2, t_1・t_2) が h(M_1) + h(M_2) というハッシュ値
を持つメッセージに対する有効な署名になっちゃうんじゃないかと
思うんだが、これは明らかな欠点じゃないか？

おまけに関しては、前提として p_k、P、L (は lcm(p_1-1,…) の間
違いなんだろうがそれはおいとくとして) を知ることができるのが
誰なのかが不明なのでコメントしづらいが、もし p_k が公開情報だっ
たとすると、メッセージを中途で奪取可能な攻撃者 eve の存在が懸
念される環境では使いものにならんな。
656 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/10/06 21:31:22]: PとLはみんなが知ることができます。
DH鍵共有では任意の平文(鍵)を送ることはできませんでしたが、
これだと、任意の平文(鍵)を送ることができます。

利点は、
手元にあるファイルがあるとした場合に、
DFだと鍵を共有して、それからその共通鍵で暗号化をするわけですが、
この方法だと、任意の鍵で暗号化したファイルを用意しておいて、
あとから、暗号化に使った鍵を送ることができます。
通信を送る前にファイルを暗号化できるわけです。

この方法だと攻撃者eveが存在するとだめですが、
DH鍵共有でも「中間者攻撃」には弱いので
この弱点はしょうがないと思っています。

DH鍵共有の進化版ということで、

四代目については考えてみます。
657 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [04/10/07 12:43:26]: >>656
> DH鍵共有では任意の平文(鍵)を送ることはできませんでしたが、
> これだと、任意の平文(鍵)を送ることができます。

それは単に普通の公開鍵暗号系ってことだよね。D&H の variation
である ElGamal でも普通にできてることだし。

> この方法だと攻撃者eveが存在するとだめですが、
> DH鍵共有でも「中間者攻撃」には弱いので
> この弱点はしょうがないと思っています。

No. D&H ならば証明書により鍵の正当性を保証する等で、MITM 攻
撃に対する耐性を持つように構成することが可能だが、この方式で
はどうやっても不可能。そもそも個人鍵を一切曝せないんだから。

あと、Alice の鍵 (a,A) がある程度永続性のあるものだとすると、
Alice と通信可能な相手は誰でも Alice を復号 oracle として使う
ことで任意のメッセージを復号可能ということにもなる。
658 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/10/07 22:04:04]: >>657さん
おまけを改良して公開鍵暗号として使えるようにしました。
竹暗号と名づけました。
見てみてください。
659 名前：白シャツ [04/10/08 00:26:23]: >>658
n=2にするとどうなるのだろうか、などと言ってみる
660 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [04/10/08 12:21:03]: もうしばらく付きあってみるか。

>>658
> おまけを改良して公開鍵暗号として使えるようにしました。

普通の公開鍵暗号なら one-way で済むところを 3-way も必要とす
る非効率性はおいとくとしても、全然「公開鍵暗号として使えるよ
うに」なってない。

Eve が自分の (e,E) を使って Bob の代わりを演じたらどうなるね？
最後のとこがちょっと変わるだけで y^B は何の役にも立ってないっ
しょ？

あと、M=1 で最初のメッセージを送れば秘密の筈の y の値も分かっ
ちゃうしなぁ。

というくらいのことに自分で気付けないようでは、暗号方式を考案
しようなんて夢のまた夢って感じだぁな。

B.S. の言葉を送っとこう (from "A Self-Study Course in
Block-Cipher Cryptanalysis"):
"The only way to become a good alogrithm designer is to be a
good cryptanalyst"

新しいアルゴリズムを考えること自体は一向に構わんのだけど、公
開 (さらにはどっかで発表) しようとかいうなら、ちゃんと自分で
行なった検討の過程も示すこと。安全性に関する証明付きならより
better (というか、いまどきなんらかの形での証明抜きでは研究会
であっても相手にされ難いと思う)。
661 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/10/11 11:37:38]: すみませんでした。
色々考えましたが駄目でした。

>>660さんのおっしゃるとおり
自分である程度は安全性を証明できるようにしてから
また何か公開したいと思います。

never give up
662 名前：１３２人目の素数さん [04/10/11 21:38:31]: MD5って一方方向関数つって最近bit数がでかくなってきたからチェックサムなら
まだしももとのデータを推測するのは素人からすると無理じゃないかって思うんだけど
最近脆弱性が見つかったって言うし。簡単に大まかに説明してくれるえりゃーい人いませんか？
663 名前：１３２人目の素数さん mailto:sage [04/10/12 08:33:46]: MD5って暗号ではなくて符号では？
664 名前：１３２人目の素数さん mailto:sage [04/10/12 22:03:38]: 素因数分解の困難性を賭けにしたのが
RSAセキュリティー社の懸賞なんですが、
離散対数問題の困難性を賭けにしている懸賞問題ってありますか？
665 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [04/10/13 18:02:55]: > 離散対数問題の困難性を賭けにしている懸賞問題ってありますか？

とりあえず、certicom がやってる。
666 名前：１３２人目の素数さん mailto:sage [04/10/14 12:38:23]: >>665
情報ありがとうございます。
667 名前：１３２人目の素数さん mailto:sage [04/10/15 19:19:10]: >>662 同じチェックサムを簡単に生成できるんじゃないの
668 名前：１３２人目の素数さん [04/10/17 00:44:58]: DESのアルゴリズムを見たんだけど、プログラムを多少組んだ経験
があれば誰でもプログラミングできそうだけど。
なんでそんなものに輸出規制なんてあるの？
素人の質問で悪いんだけど。
669 名前：白シャツ [04/10/17 18:50:12]: 情報セキュリティアドミニストレータ試験を受けてきますた(藁
落ちたらネタにされるな。通ってもネタにされるんだろうな。
落ちたら午前問題足霧なんだけどね。

ちなみに暗号の知識とかほとんど要りませんでした

>>668
昔アメリカが軍事利用に転用される恐れのある製品扱いにしてたからでしょ。
今は大丈夫になったんだっけ？
670 名前：１３２人目の素数さん [04/10/17 18:55:02]: 2chのＩＤからＩＰを計算してください。
671 名前：１３２人目の素数さん mailto:sage [04/10/17 19:43:35]: MD5は同じダイジェストを出力する異なる入力を見つけられるが、
任意のダイジェストを出すような入力をうまいこと作れるわけではないってのが現状でいいのでつか？
672 名前：白シャツ [04/10/19 00:48:26]: >>671
それで良いとおもいまつ。

>任意のダイジェストを出すような入力をうまいこと作れるわけではないってのが現状でいいのでつか？

逆変換が困難って意味ですよね。
673 名前：１３２人目の素数さん [04/10/19 01:22:22]: 超楕円暗号ってDQN？
674 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [04/10/19 13:55:47]: 明日から CSS なわけだが無事行けるんだろうか。台風多過ぎ。

>>669
> >>668
> 昔アメリカが軍事利用に転用される恐れのある製品扱いにしてたからでしょ。

米以外にも多くの国 (含: 日本) が、ね。かつてはココム、いまは
ワッセナー協約で。

> 今は大丈夫になったんだっけ？

そっちの方はここんとこしばらくフォローしてないから確実じゃな
いけど、2000 年前後に勝手にがしがし制限緩和した結果、米からの
輸出は事実上自由になってる筈。

日本なんぞはワッセナーに厳格に従ってるもんだから、逆に米より
制限が厳しくなっちゃって、普通に輸入可能な Windows2K を載っけ
た PC を日本からは輸出できないー、なんつー悲喜劇が繰り広げら
れてたこともあったようだが、その辺りの事情はあんま変わってな
いんだろーなー、きっと。
675 名前：白シャツ [04/10/19 21:34:26]: >>674
>明日から CSS なわけだが無事行けるんだろうか。台風多過ぎ。
がんばって台風と戦ってきてくださいね。

>そっちの方はここんとこしばらくフォローしてないから確実じゃな
>いけど、2000 年前後に勝手にがしがし制限緩和した結果、米からの
>輸出は事実上自由になってる筈。

FreeBSDのnonUSが無くなったのがそのころでしたね。
676 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [04/10/21 09:05:05]: > >明日から CSS なわけだが無事行けるんだろうか。台風多過ぎ。
> がんばって台風と戦ってきてくださいね。

つーこって、いま会場から。あとは今日帰れるかどうかなんだが、
この分ならなんとかなりそうな希ガス。

> FreeBSDのnonUSが無くなったのがそのころでしたね。

カナダをベースとしてるので自由に暗号が輸出できるのだ、とか威
張ってた OpenBSD の立場がなくなったのも、ね。

いまだにウェブサイトには誇らしげに書いてるんだけど。
677 名前：白シャツ [04/10/21 22:18:09]: >>676
おつかれさまです。

>カナダをベースとしてるので自由に暗号が輸出できるのだ、とか威
>張ってた OpenBSD の立場がなくなったのも、ね。

Openはいまだにセキュアだって威張ってるんですか？
でも可用性がなくなっては意味無いんですよね。
情報セキュリティアドミニストレータ試験のテキストに
しつこく書いてあった(w

昔はPGPとかで印刷したら輸出可能って謎の話がありましたね。
678 名前：１３２人目の素数さん [04/10/21 22:54:25]: せっかく暗号に載せてもWMDみたいなガセネタだと。。。さびしいものがあり。。
679 名前：１３２人目の素数さん [04/10/23 22:21:49]: 暗号で使われる擬似乱数列生成器の周期ってどれぐらいなんですかね？
680 名前：１３２人目の素数さん mailto:sage [04/10/23 22:29:20]: 24くらい
681 名前：１３２人目の素数さん mailto:sage [04/10/23 23:28:17]: 2^128以上だと安心って聞いたことあるけど
682 名前：１３２人目の素数さん [04/10/25 17:42:56]: 量子暗号って解読は出来なくても、簡単に通信妨害できるんじゃ
ないんですかね？
683 名前：１３２人目の素数さん mailto:sage [04/10/26 00:12:00]: うんそう
684 名前：exploit [04/10/26 13:15:14]: CSS2004の論文賞って誰が取ったの？サイトには情報ないけど．
685 名前：１３２人目の素数さん [04/10/31 18:08:07]: 345
686 名前：１３２人目の素数さん mailto:sage [04/10/31 18:38:25]: >>685
(ﾟДﾟ)ﾊｧ?
687 名前：１３２人目の素数さん mailto:sage [04/11/01 03:50:36]: >685-686
685は数学板に居付いてる数字age荒らし
ネタがないけどageて保守したい人らしい
688 名前：１３２人目の素数さん mailto:sage [04/11/04 09:24:42]: ム板
■暗号技術【ROUND2】■
pc5.2ch.net/test/read.cgi/tech/1088530204/
ＲＳＡ暗号　解読　助けてください！！
pc5.2ch.net/test/read.cgi/sec/1026903337/
素数 "列挙" アルゴリズムを極めるスレ
pc5.2ch.net/test/read.cgi/tech/1018657457/
科学ニュース＋
暗号アルゴリズムに重大な欠陥発見の報告相次ぐ
pc5.2ch.net/test/read.cgi/sec/1092804347/
数学板
素数判定は「決定的」多項式時間で可能
science3.2ch.net/test/read.cgi/math/1028813059/
689 名前：１３２人目の素数さん mailto:sage [04/11/06 19:42:22]: 暗号数学に未来はあるのか？
案外、今から暗号数学を始めた人が一線に立てるころには
ブームは終わってそうな予感。
690 名前：１３２人目の素数さん mailto:sage [04/11/06 19:46:31]: 量子力学勉強しなきゃ
691 名前：白シャツ [04/11/07 09:50:05]: >>638　予想通り

　　 ||
　∧||∧
（ / ⌒ヽ　←こうなったよ(w
　| | 　　|　　
　∪ / ﾉ
　 | ｜|　
　 ∪∪
　　　；
　-━━-
692 名前：白シャツ [04/11/07 10:02:16]: 「梅どぶろく」は既に暗号業界では有名人になっているヨウデスタ
とりあえず>>1と>>77は気をつけろよ次に吊られる候補だし。

まぁ>>1は本人が気をつけても大前健一を釣って間接的に釣ろうという
プランがあるよだしな。ただ、そういう悪人には天誅が落ちるんだな
ｴﾛDATA株大暴落とかな

それと、匿名掲示板でこういう内輪ネタは良い子のみんなは真似しちゃだめだよ
693 名前：白シャツ [04/11/07 10:09:34]: >>673
>超楕円暗号ってDQN？

暗号自体はドキュソじゃないが、やってる香具師はＤＱＮかも？

以上、自称ドキュソ様からの伝言です。
694 名前：77 mailto:sage [04/11/08 00:33:53]: (ﾟ３ﾟ)ｷﾆｼﾅｲ!
695 名前：１３２人目の素数さん mailto:sage [04/11/08 00:57:32]: ガウスが01で作ったとかれてないアナグラムの事は皆知ってる？
（実質的内容はガウス自身が書き残してるんだが）
696 名前：１３２人目の素数さん mailto:sage [04/11/08 00:59:55]: 知らにゃい
教えてたもれ
697 名前：白シャツ [04/11/08 13:13:43]: SCSI申し込み開始
www.rs.noda.tus.ac.jp/~scis2005/
講演申し込み絞め斬り11月30日 17:00
698 名前：695 mailto:sage [04/11/08 16:00:36]: どこで見たんだっけか、確かクラインの「１９世紀の数学」だったか。
ガウスは小惑星の軌道計算で有名になった訳だが、その次の小惑星についても
計算した訳です。その時の木星と土星のなんだか忘れたがなんかがほぼ整数比に
なる訳ですよ。この事実をアナグラムにしました。このアナグラムの内容は
ガウス自身が手紙かなにかで明かしてる訳ですが、一方アナグラム自身の方は
解かれてないんです。

そんな様な話。
699 名前：１３２人目の素数さん mailto:sage [04/11/09 08:49:30]: SCISについてなんですが、
懇親会は何時くらいから始まって何時くらいで終わるんでしょうか？

>>692
白シャツさんどんなこと話してましたか？
700 名前：１３２人目の素数さん mailto:sage [04/11/09 19:11:00]: ユークリッドの互除法を用いて、最大公約数を求める場合、いったい何回ぐらい割り算を
実行すればよいのか　おしえてください
701 名前：１３２人目の素数さん mailto:sage [04/11/09 19:58:40]: 5かいくらい
702 名前：１３２人目の素数さん mailto:sage [04/11/09 19:59:12]: 20%くらいじゃないの？
703 名前：１３２人目の素数さん mailto:sage [04/11/09 20:31:38]: 最大公約数を求める数p,qを共にnビットとするとき、
0.843*n+1.470回くらい
704 名前：白シャツ [04/11/09 21:04:34]: >>699
「東京湾に怪獣が上陸しますた」
とか言っていますたが何か？
705 名前：１３２人目の素数さん [04/11/11 01:46:45]: >700
Knuthの準数値算法にのってる
706 名前：１３２人目の素数さん [04/11/11 07:48:20]: >>693

>暗号自体はドキュソじゃないが、やってる香具師はＤＱＮかも？

DQNって阪大のS先生のこと？
707 名前：白シャツ [04/11/11 09:20:01]: >>705
くぬぅすはサイエンス社が出してくれなくなってたんだけど、
アスキーが最近になって出してくれるようになったんだな。
ソースコード入りのCDROMがおまけで付くのだが
お値段が倍になってしまったorz
708 名前：白シャツ [04/11/11 09:28:40]: >>706
また危険なことを。怖いよ、このスレ。

譲より嬢の方が興味がありまつ(w
709 名前：１３２人目の素数さん [04/11/11 11:52:06]: 暗号の方式って、標準が独占してしまう寡占の状態が実態だから、
もちろん研究でつぎつぎと新方式を提案してくれてもいいのだが、
あまたある提案のうちで現実的に実用されるのはほんの一握り。
一旦ソフトなり回路がLSIでなり出来てしまうと、それが普通に、
あるいは大量に使用されるとデファクトスタンダードになる。
必ずしも優れたものが競走に勝つというものでもない。
暗号というものは、情報を伝達する経路での通信に使われるもの
(記録して後で読む場合も一種の通信と見なせる)だから、
マーケットシェアが高ければそれだけ有利になる。どんなにより
優れた方式があっても、相手する通信の反対側の端点が違う方式で
あれば、どうにもならない。シェアが高いとますます有利だということ。
商業ソフトと同様に極めて高度に政治的なものだということだよ。
もちろん軍事用とか本当に価値の高い内容の秘匿、付加価値の高い情報の
暗号化というすき間商売であれば、むしろデファクトとは違う方式でない
ことで、専用のハードなりソフトを、殿様商売としてふっかけて売るという
ことは可能だろう。
論文を書くために研究し提案しても、現実に採用されることは稀であろう。
710 名前：白シャツ [04/11/11 20:52:51]: >>709
長文乙
でも手間のわりには情報量限りなく０に近いよ(w
711 名前：１３２人目の素数さん mailto:sage [04/11/11 23:14:46]: それが我が大学内で評価の高い論文なのである。
712 名前：１３２人目の素数さん [04/11/11 23:23:56]: 喪毎らRIMSの研究集会には参加しますたか？
713 名前：１３２人目の素数さん mailto:sage [04/11/15 15:15:25]: いつの間にかものすごく落ちてるな。何があったんだ？
714 名前：白シャツ [04/11/15 17:41:03]: >>713
このスレ、ネタが無いとホントに誰も書かないから。
715 名前：1 [04/11/15 18:16:14]: じゃあげ。
716 名前：１３２人目の素数さん mailto:sage [04/11/15 19:09:28]: >>714
いや、たった4日で最下部まで落ちてたのが意外だったので。
数学板ってこんなに回転速かったっけ？

ところで、先週のRIMSの研究会はどうでつたか？
717 名前：白シャツ [04/11/15 22:30:34]: >>716
>数学板ってこんなに回転速かったっけ？

アフォが一人で荒らしたりしてるんじゃない？

>ところで、先週のRIMSの研究会はどうでつたか？

マジレスしとくと先週はISEC（月、火ね）が阪大であったので、
暗号屋さんはそっち行ってるんではないでしょうか？
718 名前：１３２人目の素数さん mailto:sage [04/11/16 02:33:38]: 612A
719 名前：１３２人目の素数さん mailto:sage [04/11/16 20:44:09]: >>718
(ﾟДﾟ)ﾊｧ?
720 名前：１３２人目の素数さん mailto:sage [04/11/16 20:44:42]: >>718-719
685は数学板に居付いてる数字age荒らし
ネタがないけどageて保守したい人らしい
721 名前：名無しさん＠Linuxザウルス [04/11/16 21:34:08]: (´ー｀)
中大のチョウ先生ってどうなの？
なんか難しいことやってそうですよね。
722 名前：白シャツ [04/11/16 21:51:32]: >>721
こういうのってまたトラップくさい話題なんですが、
特に問題になるような話題は出てこない先生だと思いまつ。
すなわちトラップにはなりにくいと思われ。

といっておくので詳しい人コメントしてください。＞弟子の人
723 名前：１３２人目の素数さん mailto:sage [04/11/17 00:06:48]: 612Aって某所の部屋番号じゃん...偶然かな。
724 名前：１３２人目の素数さん mailto:age [04/11/17 09:23:02]: >>693
やっぱり．
なんかやっているやつも話してて分かってなさそうだもん．
常におぼれかかっている感じ．

ていうか，発表してるものってあってるの？
725 名前：白シャツ [04/11/17 12:10:07]: >>724
そいつと自称DQNの人とは別人だな。
自称DQNの人の関係者（下っ端）かもしれないけどね、
おぼれかかってる人は。

>>ていうか，発表してるものってあってるの？
とりあえず>>721の先生の関係者（？）あたってください。
楕円と同程度まで速くなってるらしいよ。
726 名前：１３２人目の素数さん mailto:age [04/11/17 14:31:02]: >>725
白シャツ　∈　辻井重男研究室？
727 名前：名無しさん＠Linuxザウルス [04/11/17 20:31:41]: (￣ー￣)ニヤリッ
なんか白シャツって中大関係者っぽいんだよね。
チョウ研ですか？
728 名前：名無しさん＠Linuxザウルス [04/11/18 00:31:41]: (((；ﾟДﾟ))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
あれ？
ビンゴだったの？もしかして。
729 名前：白シャツ [04/11/18 00:47:25]: >>726-728
www.iisec.ac.jp/
ここの人ではないとだけ言っておこう(w
730 名前：名無しさん＠Linuxザウルス [04/11/18 08:08:15]: >>729
なんかそこすぐに潰れそうな予感がするのは
俺だけだろうか。
731 名前：名無しさん＠Linuxザウルス [04/11/18 08:13:08]: (⊃д`)
なんかカリキュラムとかショボすぎ。
ヘビーマン関係者ばかりだし。

ヘビーマンまだ引退しないのかよ。
そこまでボスで居続けたいのか？哀れだよ。
732 名前：白シャツ [04/11/18 08:16:53]: >>730
つぶれないよ。球団囲うみたいなもんで
赤でても宣伝費として計上されるだけ。
733 名前：名無しさん＠Linuxザウルス [04/11/18 08:22:14]: ( ´_ゝ`)ﾌｰﾝ

伊原康隆先生が中大数学に来たのも
ヘビーマンのコネ？

ヘビーマンの数学力ってどのくらいあるの？＞白シャツ

ヘビーマンって共著書きまくりだけど、どれくらい関与
してるの？＞白シャツ

無差別に共著しすぎじゃない？＞白シャツ

ああやって水増しするとなんか得することあんのか？＞白シャツ
734 名前：１３２人目の素数さん [04/11/18 08:46:19]: 「代数幾何学」京都大学学術出版会
廣中平祐講義　森重文記録
川口周・丸山正樹・森脇淳編

これをありがたがって買ってそう。
もちろん積ん読なわけだが。
735 名前：132人目の素数さん [04/11/18 09:35:50]: 超楕円暗号に未来はあるのでしょうか？
RIMSの研究集会で、どなたかが最近の展望をお話されたそうですが、
それを聴講された方の感想も聞きたいです。よろしくお願いします。
736 名前：１３２人目の素数さん mailto:age [04/11/18 17:07:06]: ヘビーマンって誰？
737 名前：１３２人目の素数さん mailto:age [04/11/18 21:06:26]: 白シャツ，やっぱり君はヘビーマン関係しゃなんですね．

ぱたっと登場しなくなったのがその証拠ですね．

ヘビーマン
738 名前：黒シャツ mailto:sage [04/11/18 21:21:39]: 違いますよ
わたしはライトマンの寒毛医者ですよ。
739 名前：１３２人目の素数さん mailto:sage [04/11/18 21:24:33]: S氏粘着の次はＴ氏粘着の登場ですか
なんかげんめつだなー＞暗号屋さん達
740 名前：白シャツ [04/11/18 22:12:47]: 荒らすのは結構ですがここの怖さを知らないようですね
741 名前：１３２人目の素数さん [04/11/19 08:32:38]: 何がこわいの？
742 名前：１３２人目の素数さん [04/11/19 12:57:05]: >>741
数学板が使っているサーバーの上位に行ってみ。
743 名前：１３２人目の素数さん [04/11/19 14:37:12]: >>742
・・・。２chと中大とはどういう関係なの？
744 名前：１３２人目の素数さん mailto:age [04/11/19 16:28:32]: >>742
意味不明なんだけど。
745 名前：１３２人目の素数さん [04/11/24 20:03:09]: 暗号っていっても数論方式だけじゃない。
処理速度で云えば符号理論に端を発するMcEliece暗号なんかもある。
暗号文が2倍に増大する欠点と公開鍵が4メガもあるのが難点だが。
そこでこれを秘密鍵暗号として使ってみるとどうだろう。
安全性も証明可能だし、処理能力もある。
746 名前：１３２人目の素数さん [04/11/25 01:05:20]: 825
747 名前：１３２人目の素数さん [04/11/25 02:22:24]: >>745
McEliece暗号ってprovable securityを持つんですか？
初心者なもんでちょっと詳細キボンヌ
748 名前：白シャツ [04/11/25 08:50:50]: >>747

search.ieice.org/2002/abs/e85-a_1_74.htm
749 名前：１３２人目の素数さん [04/11/25 10:54:04]: DL出来ないんですが、激しく安全ということで？
証明されたのは最近なんだ・・・。
オリジナルではなくてそれに近い暗号の証明なら知ってますが。
ランダム線型符号のとか。検査行列が(I|R),Rはランダム。
それに付随する線型符号がランダム線型符号。
エラーの重みと計算量の関係について論じたものとか。
頑張って実装してみまつ。
750 名前：白シャツ [04/11/25 20:59:09]: >>749
登録すればダウソできるはずですが。
今はまだ非会員でも登録するだけで無料だったっけ？
751 名前：白シャツ [04/11/25 23:23:21]: >>750
まだ無料のようですな。
詳しくはここ見やがってください。
www.ieice.org/jpn/trans_online/index.html
752 名前：747 [04/11/26 01:20:53]: >>748
紹介サンクス。まだアブストしか読んでないんだが、known attackに
対しては安全、と書いてあるような気が…何か計算量的に難しい問題
から暗号系への攻撃に帰着が与えられてるんじゃないわけですか？
753 名前：白シャツ [04/11/26 08:16:35]: >>752
漏れもアブストしか読んでないので読み終わったら解説キボンヌ
あるいは誰かｴﾛｲ人解説してくだちぃ
754 名前：１３２人目の素数さん mailto:age [04/11/26 12:58:16]: ヘビーマンには政治力で，電子マネーとか強力に推進して
ほしいんだけど．
755 名前：１３２人目の素数さん mailto:sage [04/11/27 00:28:02]: 何気に良スレだが、基本的にsage進行の方がいい気がする。
数学系には暗号数学には興味ない人多いし、
興味ある人はsage進行でも読むだろ。
756 名前：白シャツ mailto:sage [04/11/27 01:19:43]: じゃあsageで。
そろそろSCIS申し込まないとダメですな。
３０日までだったし。
757 名前：１３２人目の素数さん mailto:sage [04/11/28 20:08:42]: 超楕円暗号ってどこかに実装例ないですか？
758 名前：白シャツ mailto:sage [04/11/29 02:41:35]: シグマリオンで動くの実装した香具師が居るらしいのだが、
公開されてるかは知りません。

漏れも探してみますが、
誰かエロい人ご存知でしたらら教えやがってくださいませ。
759 名前：１３２人目の素数さん mailto:sage [04/11/29 06:37:36]: 素因数分解問題、離散対数問題が、
どの計算量クラスに属するのかと思って検索していると、
共にNP問題であるということは分かったのですが、
大抵その前後に書いてあるNP問題の定義が、

NP問題＝解の検証が多項式時間で出来る”決定問題”

な風になってなってます。
これは、素因数分解･離散対数問題が
NP問題に多項式時間還元可能な問題だと思っていいのでしょうか
760 名前：１３２人目の素数さん mailto:sage [04/11/29 08:02:31]: >759の要点を絞って書きます。

決定問題と言ったときの素因数分解問題って、

（入力）　自然数n
（出力）　YES <= nを割り切るx （0<x<n）が”明示的に提示できる”

なる問題と思っていいのですか？
761 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [04/11/29 18:56:57]: >>756
> そろそろSCIS申し込まないとダメですな。

申し込んでみたんだが、Charset=ISO-2022-JP 指定かつ Shift_JIS
な内容の確認メールが戻って来た。

ダメじゃん。(´･ω･`)
762 名前：１３２人目の素数さん mailto:sage [04/11/29 21:50:15]: >>759
そもそも、素因数分解問題ってNP問題なの？
多項式時間で表せるってことを、インドの数学者が証明した！って二、三年ほど前に言ってなかったっけ？
まぁ、多項式時間で云々とはいえ、まったく実用的なオーダーではないけれど。
763 名前：１３２人目の素数さん mailto:sage [04/11/29 22:03:31]: 素数判定は「決定的」多項式時間で可能
science3.2ch.net/test/read.cgi/math/1028813059/
764 名前：１３２人目の素数さん mailto:sage [04/11/29 22:04:14]: >>760
入力(n,k)に対して、nが[2,k]の範囲に因数を
持つかどうかを判定する。

>>762
それは素数判定。ついでに言うと、Pに属するなら
NPにも属するのだから、素数判定もNP問題。
765 名前：１３２人目の素数さん mailto:sage [04/11/29 22:06:59]: AKS素数判定法
ttp://ja.wikipedia.org/wiki/AKS%E7%B4%A0%E6%95%B0%E5%88%A4%E5%AE%9A%E6%B3%95

これですね。
766 名前：白シャツ mailto:sage [04/11/30 20:52:37]: >>761
謎mail来たましたね。
しかも今日の午後は登録ページつながりにくくなってたし。
まぁそれはしかたないか。
767 名前：１３２人目の素数さん mailto:sage [04/12/03 15:57:14]: 楕円曲線暗号について解説している本を教えていただけませんか？
できれば日本語がいいのですが・・・
768 名前：sage [04/12/03 17:59:02]: そのものズバリの本がピアソンからでてます。
769 名前：１３２人目の素数さん mailto:sage [04/12/03 18:21:53]: 「楕円曲線」とつけとけば売れるので
整数論の本に一章だけ追加して本の題名を～と楕円曲線暗号
なんてしてる便乗本もある。
770 名前：１３２人目の素数さん mailto:sage [04/12/03 19:02:09]: ttp://www.esbooks.co.jp/books/detail?accd=30917579

注文させていただきました。
ありがとうございしました。
771 名前：白シャツ mailto:sage [04/12/03 22:22:48]: >>768
あれ漏れも買ったけどチュートリアル的な本なんで
勉強のきっかけ探す本になるような気がする。
書いてあることはそういうことなのかってわかるけど、
実際納得いくまで考え出すと全然わからなくなってしまうんですは。
まぁ辞書にすればよいのか、参考文献検索は重要だし。
それで参考文献見てさらにわからなくなってアボーン

漏れが勉強不足だからというのは自明なんだろうが、
あの本の数学の人の評価ってどうなんでしょう？
772 名前：759 mailto:sage [04/12/04 05:25:02]: >>764
有難うございます
やっとスッキリしました
773 名前：１３２人目の素数さん mailto:sage [04/12/04 16:17:09]: >>771
手っ取り早く実装してしまいたい技術者向けとある。

関数体ふるいとかはかなりツボなんですが。
種数２の超楕円のﾔｺﾋﾞﾔｰﾝ（・∀・）!!を使った
素数判定なんてのも実は持っているんですが。
774 名前：白シャツ mailto:sage [04/12/04 23:04:00]: >手っ取り早く実装してしまいたい技術者向けとある。

割り切ってしまえばよいのでしょうけど、
中身が気になってしまうんでおあずけ状態にされるんですよ。
漏れは工学の人としてはよろしくないかもしんない。
775 名前：１３２人目の素数さん [04/12/05 05:23:07]: age
776 名前：１３２人目の素数さん mailto:sage [04/12/05 14:32:13]: ナイジェル・スマートとかの本ですか？
どうせやるならさープログラムまで載せろよって思わん？
777 名前：１３２人目の素数さん mailto:sage [04/12/05 15:18:22]: >>776
「JAVAアルゴリズム」とかにはあったような。
>>774
Z[x]でｘがイデアルであることを示してください。
突然ですが天下りの式を使うことは出来ても示すのが出来ないので、
理学には向いてないのかなと。
778 名前：白シャツ mailto:sage [04/12/05 18:45:55]: >「JAVAアルゴリズム」とかにはあったような。

詳細キボンヌ。

>Z[x]でｘがイデアルであることを示してください。
>突然ですが天下りの式を使うことは出来ても示すのが出来ないので、
>理学には向いてないのかなと。

なんだかよくわかりませんが
工学向きってことでFA?
779 名前：１３２人目の素数さん mailto:sage [04/12/05 22:49:18]: 素因数分解・離散対数計算がある仮定の下で準指数時間で出来るというのは
良く知られてるけど、数学的に厳密な証明はまだ得られてないのでしょうか？

「数体ふるい法を使えば準指数時間で出来る」という風に多くの本や論文に
書いてあるけど、厳密な証明はお目にかかったことがない。
780 名前：白シャツ mailto:sage [04/12/05 23:41:57]: 現在知られているアルゴリズムを評価すると
準指数オーダーの計算量がかかるってだけで、
もっと速いアルゴリズムがあるかどうかはわからんってことでしょ。
781 名前：１３２人目の素数さん mailto:sage [04/12/06 19:21:14]: >>780
＞現在知られているアルゴリズムを評価すると
＞準指数オーダーの計算量がかかるってだけで

準指数オーダーで終了するということの数学的証明はあるか？
というのが疑問なんですけど。
782 名前：１３２人目の素数さん mailto:sage [04/12/06 19:40:36]: >>778
「イデアル所属問題」のネタです。
アルゴリズム的には多項式時間回答可能、らしい。
でも意味がわからん。
783 名前：１３２人目の素数さん [04/12/06 19:44:36]: >準指数オーダーで終了するということの数学的証明はあるか？
準指数オーダー以下にはゼッタイならない！という証明？
784 名前：１３２人目の素数さん mailto:sage [04/12/06 19:57:40]: 違う
785 名前：１３２人目の素数さん [04/12/06 21:02:04]: ナイトセッションに梅どぶろくが出てきて
漫談するに期待age
786 名前：１３２人目の素数さん mailto:sage [04/12/06 21:56:09]: そんな勇気ありません。
787 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/12/06 22:12:05]: 懇親会は何日の何時から開始でしょうか？
できれば何時くらいに終わるのかも教えてもらいたいです。
788 名前：白シャツ mailto:sage [04/12/07 21:51:15]: >>786
例年通りだと2日目にありますな。
8時前には一応お開きになるけど、
ダラダラ続いたりしてます。
789 名前：１３２人目の素数さん mailto:sage [04/12/07 22:49:22]: >>788さん
ありがとうございます。
ではその日に行くことにします。

できれば全ての日に出席したいのですが、
ホテル代はないし学校欠席扱いになるので
いつが懇親会の日なのか知りたかったです。

SCISで会いましょう。
790 名前：白シャツ mailto:sage [04/12/07 23:04:32]: >>789
その日に行くってことは日帰りできる範囲に生息しているのか？

それとココのカプセル怪獣はお勧めです。
www.kobe-kua-house.com/
791 名前：１３２人目の素数さん mailto:sage [04/12/08 00:26:16]: やべっ参加申し込みしようっと。
792 名前：梅どぶろく mailto:sage [04/12/08 20:27:35]: 日帰り可能です。
隣の県ですから。

学校に粘ってみます。
793 名前：１３２人目の素数さん mailto:sage [04/12/13 15:03:51]: 616e676f75
^
0901140700
794 名前：１３２人目の素数さん [04/12/13 22:11:53]: age
795 名前：白シャツ mailto:sage [04/12/16 23:14:15]: 情報セキュリティアドミニストレータ試験合格してしまいました。
特にメリットありませんが。
796 名前：１３２人目の素数さん mailto:sage [04/12/18 19:47:41]: >>795
忘却転送について説明してください。
797 名前：１３２人目の素数さん mailto:sage [04/12/18 20:36:04]: 漏れも解説聞きたい．
798 名前：白シャツ mailto:sage [04/12/18 21:35:51]: >>796
ナニそれ？
漏れも聞きたい
799 名前：１３２人目の素数さん mailto:sage [04/12/18 21:36:35]: 1/2の確率でなんたらかんたら
800 名前：１３２人目の素数さん mailto:sage [04/12/18 21:36:57]: 忘却送信とちゃうけ
801 名前：１３２人目の素数さん mailto:sage [04/12/18 22:42:04]: 定着した邦訳がないから英語で書いたほうがいいかも。
oblivious transfer ね。
802 名前：１３２人目の素数さん mailto:sage [04/12/19 00:25:55]: 　　　　　　　　　＿_､--..､、
　　　　　　　_＜⌒ヽミヽヾ !'⌒≧_
　　　　　 ,Ｚ´r;=-‐-　､ヾ　〃′≦
　　　　　　7,"/　　　__‐ ､`ｰ-'⌒ヾ.7
　　　　　 !　l　ー‐- 、ヽ._`ｰ'´, u　!　　　 r'⌒
　　　　 .l !!L、u　＿_＼　￣　〆"Ｔ　　（　制
　　　　　ｌ.r‐､ヽ　､‐｡‐-､V/∠==、|　　　）　裁
　　　　　,' |.l´! | u｀ミ≡7@　）ﾟ=彡 !　　　（　　っ
　　　　 /,' l.l_|⊥%ﾆﾆｿ（@ *; ）ｰ-*|　　　　）　：
　　　 ,/〃',ゝ|/＞rｰrｰrゞr＜二二フ　 ∠、！
　　∠ -:／　ﾄﾋ'土土土十┼┼ｦ;!　　　　 `ｰ-‐'´
￣:::l:::::::|、　 !ｌヽ~U ~　＿_￣￣.ﾉl
::::::::l:::::::| ＼. ヽ.ll ヽ､＿＿＿'／l/`iｰ-　　>>796がネタ振りしたのに
::::::::l::::::::ﾄ､. ＼＼. ll　 lｌ　 lｌ　ll /:::::l:::::::　　レスしない>>797-801
:::::::::l::::::::| ＼　＼　｀ヽ､ lｌ　lｌ／!:::::::!::::::　　制裁……！
::::::::::l::::::::| 　＼　＼　 /`ヽ'　 |:::::::l::::::::　　
:::::::::::l::::::::| 　　＼. `/　 / 　 |:::::::l::::::::
803 名前：１３２人目の素数さん mailto:sage [04/12/19 00:48:10]: >>802
池沼か？意味も無く覚えたてのAA使いたいだけか？
>>797-801は全部>>796を受けたレスだろうが。
804 名前：白シャツ mailto:sage [04/12/19 01:40:06]: マジレスするとこの時期（あと一週間）はみんな忙しいんだよ。
漏れもちゃんと説明できるほど詳しくないしな、もぐりだし＞漏れ
暇だったら調べたらよいんだけどな。

ていうかoblivious transfer だったのね。
805 名前：１３２人目の素数さん mailto:sage [04/12/19 16:54:52]: 24日の五時まではまってくれってことか？
でも、それから郵送じゃ間にあわねぇorz
806 名前：白シャツ mailto:sage [04/12/19 18:46:15]: >>805
そこで勇パックか黒猫の時間指定便ですよ。
夕方に持っていけば翌日10時につきます。

最終手段の筈が最近デフォルトで使用してるんだよなorz
807 名前：１３２人目の素数さん mailto:sage [04/12/19 19:35:12]: 今回は原稿の締め切り等、かなり厳密らしいので
早め早めに作業した方がいいですね
808 名前：１３２人目の素数さん mailto:sage [04/12/20 02:42:08]: 良スレの皆さんこんばんわ。
突然で申し訳ないのですが、
以前トリップ生成規則を解明するスレ、なんて内容のスレがあったと
思うんですがどこ言ったか覚えてらっしゃらないですか？
809 名前：１３２人目の素数さん mailto:sage [04/12/20 23:37:03]: SCIS2005暫定版プログラムが出てるよ。orz
810 名前：１３２人目の素数さん mailto:sage [04/12/21 00:26:39]: 早め早めに・・・
811 名前：１３２人目の素数さん [04/12/21 09:19:47]: >779
素因数分解を行う準指数時間が存在することは構成的に証明されている。
それこそKnuth本に載ってるよ。Dixonのアルゴリズムがそうだ。
812 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [04/12/21 21:21:35]: >>809
> SCIS2005暫定版プログラムが出てるよ。orz

げげ、初日じゃないか。

まぁ、紙原稿は今日の午前に郵送しちまったから、後はどーでもい
いわけだが。
813 名前：１３２人目の素数さん mailto:sage [04/12/22 00:55:30]: SCIS、発表件数多杉。面白そうなのが被ってるし。
814 名前：白シャツ mailto:sage [04/12/22 11:01:33]: 明日祝日だし今日中に振り込んどかないとまずそうなんで、
あわてて参加費振り込んできますた。マダの香具師はお忘れなく。
815 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [04/12/22 15:59:56]: ん？参加／懇親会の申込期限は 12/24 だけど、振込は 1/7 までで
OK の筈では？

♯25 と 27 はほぼ参加確定したんで懇親会も参加に登録変更してみ
♯たんだけど、確認メールの文字コードが正しくなってたのね。
816 名前：白シャツ mailto:sage [04/12/22 19:06:13]: >>815
人（申し込んだ時期）によって違うのかも。
漏れは振り込む4分前に督促メールきてたみたいでつ。
漏れが申し込んだときは振り込む予定日が24日までしか
選択できなかったからな。
817 名前：白シャツ mailto:sage [04/12/23 13:04:22]: 申し込みページみてみたら振込予定日1月7日選択肢あった．
漏れの自爆みたいね．
818 名前：１３２人目の素数さん [04/12/27 22:16:47]: 241
819 名前：１３２人目の素数さん [04/12/29 12:35:30]: (´゜┏⊇┓゜｀)
820 名前：白シャツ mailto:sage [04/12/30 19:16:02]: oblivious transferですが、
とりあえずこれの６６ページ（pdfでいうと６７ページ）に
簡単な説明が書いてありますな。これの場合「量子」がついてますけど。

www.ipa.go.jp/security/fy12/report/ryoushi.pdf
821 名前：１３２人目の素数さん mailto:sage [05/01/01 09:59:14]: 昨日振り込み完了しました。
参加はスーツ着用ですか？
私服はだめでしょうか？
822 名前：白シャツ mailto:sage [05/01/01 15:09:31]: スーツ着用の義務はありません。
しかし冠位十二階ってあるでしょ。
エロさでシャツの色が決まってます。
入門者は白から始まって、
pcweb.mycom.co.jp/news/2003/06/05/21cl.jpg
が一番高い位の色。
823 名前：１３２人目の素数さん [05/01/01 22:41:40]: age
824 名前：１３２人目の素数さん mailto:sage [05/01/02 11:43:15]: 初心者は白シャツを着ていくのですか？
それとも会場の入り口で白シャツが配られるのですか？？？

それで白シャツが名前に・・・
納得
825 名前：白シャツ mailto:sage [05/01/02 12:55:35]: >>824
着て行ってください(w

でもあの青シャツ暗号関係のイベントで売ったら
儲かるだろうな(w
826 名前：白シャツ mailto:sage [05/01/06 23:41:01]: 明日こそ本当に振込み期限ですな。
827 名前：１３２人目の素数さん [05/01/11 22:17:39]: プログラムの正式版が出ましたね。本当の締め切り（印刷に出す日）はこの日だったのかな？
828 名前：１３２人目の素数さん mailto:sage [05/01/14 00:32:01]: 楕円曲線暗号において
DH鍵共有やElgamal暗号の特許は無効ですか？

楕円曲線暗号でDH鍵共有により
鍵交換するアプリ作りたいんですが特許が問題になるかなと
疑問に思ってました。
829 名前：１３２人目の素数さん [05/01/14 00:35:25]: >>828
このスレの住人でもないのにいきなり変な話振るな
ってかウザイ。死んでください。
830 名前：１３２人目の素数さん mailto:sage [05/01/14 00:36:59]: >>829
なんですって、この淫乱娘！
831 名前：１３２人目の素数さん mailto:sage [05/01/16 18:39:45]: >>829,830
マッタリいこうや。

>>828
そもそも、DHやElgamalの特許が有効な所ってあるのかねぇ。
5年ぐらい前に失効していると思うが。
832 名前：828 mailto:sage [05/01/17 15:21:36 ]: 楕円曲線暗号でのDH鍵共有に
新しく特許が与えられると思っていたんですが、
違いますか？

楕円曲線と有限体での計算は違うのではないですか？
833 名前：１３２人目の素数さん mailto:sage [05/01/20 18:13:07 ]: どこまでの範囲で保護された特許があるのかは知らないけど、
あったとしても標準化されようとしているということは、無償使用許諾が出てるってことだと思う。
ただ、計算の高速化手法とかは、ガチガチの特許だらけだから、そっちに注意すべきかと。
834 名前：白シャツ mailto:sage [05/01/20 23:33:48 ]: そういうのってプログラム板の人の方が詳しいんじゃないでしょうか？
むこうはあんまり見てないので良く分からないけど。
835 名前：１３２人目の素数さん mailto:sage [05/01/21 01:12:24 ]: 実際のアルゴリズムに対しては
計算機科学とか情報工学の人の方が詳しいでしょう。
ただ、一般のプログラマーが、そういうことに
詳しいかどうかはまた別の話でしょうね。
836 名前：sage [05/01/24 21:43:00 ]: とうとう明日ですね２００５
837 名前：１３２人目の素数さん mailto:sage [05/01/24 21:44:40 ]: まちがえた。。。。

名前欄に・・・・

皆様失礼しました。
838 名前：１３２人目の素数さん mailto:sage [05/01/24 23:39:21 ]: 暗号って大泉さんがサイコロ振って決めるんじゃないんですか？
839 名前：１３２人目の素数さん mailto:sage [05/01/25 14:23:52 ]: これ、どこでオフやるの？
840 名前：１３２人目の素数さん mailto:sage [05/01/25 14:37:41 ]: 京都寺町
841 名前：白シャツ mailto:sage [05/01/26 00:00:59 ]: 舞子の大阪王将じゃないの？

ところで、梅どぶろくは来ているのか、
というか実在しているのかという話になっていましたが。
842 名前：１３２人目の素数さん mailto:sage [05/01/26 00:48:56 ]: 食べ物屋がないー！
843 名前：１３２人目の素数さん mailto:sage [05/01/26 00:52:14 ]: 京都の寺町通り、信長書店前
844 名前：梅どぶろく mailto:sage [05/01/26 04:39:02 ]: 神戸到着しました。
ただいまファミレスで時間をつぶしております。
懇親会にも参加させていただきます。
実際に出会ってもからかわないでくださいね。
845 名前：梅どぶろく mailto:sage [05/01/26 09:23:20 ]: 潜入成功でございます。
846 名前：１３２人目の素数さん mailto:sage [05/01/26 11:40:15 ]: >>844
場所間違ってるぞ
京都寺町信長書店前だって。
847 名前：１３２人目の素数さん [05/01/26 13:28:51 ]: 今日の懇親会の会場はどう？
848 名前：１３２人目の素数さん [05/01/26 14:04:13 ]: >>846
京都寺町秀吉書房前到着。やれやれ。
849 名前：１３２人目の素数さん mailto:sage [05/01/26 14:05:35 ]: ホテルの会場ABCをつなげて懇親会を行なうらしいです。
850 名前：１３２人目の素数さん [05/01/26 14:10:18 ]: 京都大学全学暗号解読評議会連合寺町支部暗号解読推進委員会名誉議長桜どぶろくってお前のことか？
851 名前：梅どぶろく mailto:sage [05/01/26 15:51:14 ]: 全然違いますよ。
852 名前：１３２人目の素数さん [05/01/26 17:57:29 ]: 今日の懇親会の会場でオフ会な．
場所はどこがいいかのぉ．
853 名前：１３２人目の素数さん mailto:sage [05/01/26 18:16:58 ]: 梅どぶが、梅の木を振り回してるところに集合、かな。
それぐらい仕込んで来てるんだろ？＞どぶろく
854 名前：梅どぶろく mailto:sage [05/01/26 18:47:46 ]: んなあほな
馬鹿だと思われてしまうじゃないですか
誰か見破ってください
855 名前：１３２人目の素数さん mailto:sage [05/01/26 19:12:58 ]: >馬鹿だと思われてしまうじゃないですか
warota

さすが、どぶろくだな。
856 名前：梅どぶろく mailto:age [05/01/26 21:07:33 ]: 白シャツさんが見つからない憎しみage
857 名前：宴会中 [05/01/26 23:01:59 ]: 白シヤツが梅をさがしてたぞ
858 名前：１３２人目の素数さん mailto:sage [05/01/26 23:03:01 ]: 揚げ物(ﾟдﾟ)ｳﾏｰ
859 名前：梅どぶろく mailto:sage [05/01/26 23:26:51 ]: 憎しみのとこは忘れて下さいな
今は帰りのバス待ちです。
ううーん、私の名札をみて（・∀・）ﾆﾔﾆﾔした人が
何人かいたような気がしたのですが
わかりましたか？
そうだとしたらなんか悔しいな
860 名前：白シャツ mailto:sage [05/01/27 00:07:24 ]: 漏れがというよりいろいろな人々が探していたわけでだな、
いろいろな人々というのが怖すぎるわけでだな、
漏れ及びそれ以下のショボい連中だけでなく
ｴﾛいリアル暗号学者の面々までもが探していたってことですな。
861 名前：FM東京 [05/01/27 00:42:22 ]: >>860
白シャツさんへ。また明日。
そうなんだ、どぶろくさん着ていたんだ！
皆で探していたのに。。。
862 名前：梅どぶろく mailto:sage [05/01/27 01:47:44 ]: あのーすいません
エロイリアル暗号学者の方々にまで
探される理由が思いつかないのですが・・・
でもエロイリアル暗号学者さんは
何名かじかに見学させていただきました。
今回は参加してみて良かったです。
次の暗号学会はいつ頃でしょうか？
863 名前：梅どぶろく mailto:sage [05/01/27 15:07:07 ]: FM東京さん
四つ目の16:35-18:15のときに
二階ロビーにいませんでしたか？

寝ていた坊主頭見つけたとしたら
それが私です。
864 名前：１３２人目の素数さん mailto:sage [05/01/28 12:33:42 ]: ナイトセショッンはどうだった？
865 名前：１３２人目の素数さん mailto:sage [05/01/28 20:53:01 ]: ジャンケンすぐ負けちまった。
もらった人うらやましすぎ。
866 名前：１３２人目の素数さん mailto:sage [05/01/29 09:58:02 ]: 『初期ロットは嫌だ（爆）』
＃こんな所にSCISスレがあったとは
867 名前：白シャツ mailto:sage [05/01/29 11:04:53 ]: SCISスレではないんですが、
SCISがこのスレのオフに何故かなっていただけです。

日本語版ePrintとして機能するぐらい謎のスレになってますよ、ここは。
868 名前：たこせんべい mailto:sage [05/01/29 13:38:20 ]: ■暗号技術【ROUND2】■
pc5.2ch.net/test/read.cgi/tech/1088530204/
もよろしく
869 名前：１３２人目の素数さん mailto:sage [05/01/29 23:49:52 ]: 866はもしかしてPSP初期ロットが嫌だった人ですか。
870 名前：白シャツ mailto:sage [05/01/30 00:24:45 ]: そろそろヤバくなってきたので、というか匿名性が無いので(w
１３２人目の素数さんにもどります。

あとは任せた＞大前先生の弟子になる人
871 名前：１３２人目の素数さん mailto:sage [05/01/30 00:44:33 ]: ジャンケン2回目で負けた。PSPを攫っていった最終勝利者は
ゲームしたことない人だった。
872 名前：１３２人目の素数さん mailto:sage [05/01/30 01:21:50 ]: 梅どぶろくもだけど、白シャツってだれのことなんだろうという
話題にもなってたよ。なんとなく知っている人は知っていそうだった。
873 名前：１３２人目の素数さん mailto:sage [05/01/30 01:34:07 ]: ナイトセッション面白かった人とそうじゃない人がいたね

ちなみに白シャツの話は軽く話題になってた
874 名前：１３２人目の素数さん mailto:sage [05/01/30 01:47:09 ]: ナイトセッションかー
来年は見に行こうかな
875 名前：１３２人目の素数さん mailto:sage [05/01/30 02:06:54 ]: うん、面白い人のはとことん面白かった。
前半のCFPはともかく、後半のトークは玉石混合だった。
なんか長いだけで要領を得ず司会からストップかけられた人もいたね。
876 名前：１３２人目の素数さん mailto:sage [05/01/30 03:17:00 ]: ナイトセッションのプログラムは掲載されてないのか。
さらなる詳細きぼんぬ。
877 名前：１３２人目の素数さん [05/01/30 18:33:23 ]: 初めて書き込みます。
Rabin暗号において素因数分解が難しいと仮定して
　１．既知文書攻撃で選択的偽造に対して安全
　２．選択文書攻撃により完全解読される

この２つを証明しようと考えてみたのですが、よく解りませんでした。
お暇でしたら手ほどきお願いします。
878 名前：１３２人目の素数さん [05/01/30 18:41:18 ]: この分野って、まったくの素人が独学で勉強して立ち上げたってほんと？
市民運動かなにかの人
879 名前：１３２人目の素数さん mailto:sage [05/01/30 18:48:26 ]: PGP を開発したフィル島ー満あたりの話と混乱してるに一票。
880 名前：１３２人目の素数さん mailto:sage [05/01/30 20:03:15 ]: 日本ではじめたのってだれ。
881 名前：１３２人目の素数さん mailto:sage [05/01/30 20:05:36 ]: いないはず
882 名前：１３２人目の素数さん mailto:sage [05/01/30 20:26:58 ]: 時間T(k)で，確率L(k)以上で C から M を求められる受動的攻撃の
確率的多項式時間アルゴリズム A が存在したと仮定する．
x をランダムに選び，y ← x^2 (mod N)を計算し，(y, N) を A に入力すれば
確率 L(k) で w^2=y (mod N)である w が出力される．w ≠ x である確率は 1/2．
この手続きを B(k) 回繰り返せば，確率 L(k) * [1-(1/2)^{B(k)}] で
条件を満たす w が求められる．このとき GCD(x-w,N)は N の素因数 p または q となる．
つまり時間T(k)*B(k)，確率L(k)*(1-(1/2)^{B(k)})以上で
k bitの数の素因数分解を行うアルゴリズムが構成できることになる．

よって，k bitの素因数分解を時間G(k)，確率ε(k)以上で行う確率的多項式時間
アルゴリズムが存在しないのであれば、Rabin暗号を確率ε(k)/[1-(1/2)^{B(k)}]以上
時間G(k)/B(k)で破る受動攻撃は存在しないことになる．

攻撃者がもし復号オラクルを使えるなら，それを用いて上の手続きを行えば
秘密鍵が手に入る，てことで選択暗号文攻撃の存在は明らか．
883 名前：１３２人目の素数さん [05/01/30 20:33:29 ]: レスありがとうございました。
参考にさせていただきます。
884 名前：学生21さん mailto:sage [05/01/30 21:34:08 ]: ﾅｲﾄｾｼｮｰﾝのひとつ．発表者とblog作成者は一緒かどうかはわからん
ttp://www.doblog.com/weblog/myblog/6435/779796#779796
885 名前：１３２人目の素数さん mailto:sage [05/01/30 23:26:11 ]: >>883
あ，ごめん．w≠xとなる確率が1/2じゃなくて，w≠±xとなる確率が1/2でした．
評価式は，岡本，山本「現代暗号」，産業図書，1997．の116ページを
見ながら（論文読まずに勝手に）考えたから，間違ってるかもしれません．
試行を一回だけやって，素因数分解に成功する確率をε*(1/2)としてもいいのかなー？
886 名前：FM東京 [05/01/30 23:55:32 ]: >>862 863
ISEC
www.ieice.org/ken/program/index.php?tgid=ISEC&lang=jpn
京大3/17--18か。多分いかないけど。。。
二日目午後は、僕とか、白シャツさんとかは、セッション聞いていて
ロビーにいたのは別人だよ。
それだけ、この板の話題してる人が多いということ。
887 名前：１３２人目の素数さん mailto:sage [05/01/31 00:00:06 ]: 故釜賀先生とか。
888 名前：１３２人目の素数さん mailto:sage [05/01/31 00:09:12 ]: いきなりPSP1台じゃんけんプレゼントが実行されたのはすごかったな。
ナイトセッションが最も盛り上がった瞬間じゃなかろうか。
来年はなにが出てくるだろうか。
889 名前：１３２人目の素数さん mailto:sage [05/01/31 00:51:26 ]: SCIS効果でスレの伸びがはやいですね
890 名前：学生10 mailto:sage [05/01/31 00:55:48 ]: 来年は印刷機が出てくるという噂があった。
891 名前：y_ikeda mailto:sage [05/01/31 19:50:20 ]: >>884

発表者ですが、同一人物ですがなにか？
一応、かのblog書いたのは１ヶ月ほど前の話だったので、
「椿姫」の話とかは実は直前に考えたネタだったり。

一個前の発表(個人情報のやつ)で会場が沸いてたので、
とにかくクールダウンしないかどうかヒヤヒヤですた。
来年も出そうと思ってまつが...
892 名前：１３２人目の素数さん mailto:sage [05/01/31 22:16:41 ]: >>891＆講演者の皆さん
関係者でも何でもありませんが、講演おつかれさまでした
もし来年も発表なさるのであれば、内容を楽しみにしてます
893 名前：１３２人目の素数さん mailto:sage [05/01/31 22:30:50 ]: なんか人がたくさん集まってるみたいだから、2ch内の関連リンクの再掲
数学板
P=NP問題について真面目に語るスレ
science3.2ch.net/test/read.cgi/math/1058932949/
理論計算機科学スレ
science3.2ch.net/test/read.cgi/math/1102118040/
理系板
【論理】情報理工学総合スレッド【ｱﾝﾁ?】
science3.2ch.net/test/read.cgi/rikei/1065961472/
通信技術板（名無しで書くとホスト名がでる）
暗号技術は変わるのか？
pc5.2ch.net/test/read.cgi/network/981732339/
894 名前：１３２人目の素数さん mailto:sage [05/01/31 22:32:53 ]: セキュリティ板
ＲＳＡ暗号　解読　助けてください！！
pc5.2ch.net/test/read.cgi/sec/1026903337/
科学ニュース+板
【暗号】暗号アルゴリズムに重大な欠陥発見の報告相次ぐ
news18.2ch.net/test/read.cgi/scienceplus/1092876922/
895 名前：１３２人目の素数さん mailto:sage [05/01/31 22:37:19 ]: >>891
あっ、本人が降臨してる。準備及び講演、乙でした。

来年はどこで開催になるのかなあ。
896 名前：１３２人目の素数さん mailto:sage [05/02/01 03:01:33 ]: スレの伸びがはやいね。
ナイトセッションだけで、講演のほうはあまり語られないね。
897 名前：１３２人目の素数さん mailto:sage [05/02/01 08:47:56 ]: 2chですから
898 名前：y_ikeda mailto:sage [05/02/01 09:10:45 ]: >>895
来年はSCE&東大主催で東京近辺だといううわさが>SCIS
まあ、今回の舞子も、実は鴨川(千葉)とか淡路島とかの候補もあった訳で、
実際には3月ISECあたりの会議で承認されるまでは不明。

講演の話といえば、
「今年はサイドチャネル攻撃が多いねぇ。」
という話をしてました。私もサイドチャネルで発表していたので、人のことは言えませんが
:-)

面白そうだった、というよりインパクト的な話ですが、
徳島大学の人が発表してたWEPの話が印象的でした。
っていうか、それくらいしか聞いてなかったり(をい)
899 名前：１３２人目の素数さん mailto:sage [05/02/02 18:09:04 ]: Wikipedia 暗号理論
ja.wikipedia.org/wiki/%E6%9A%97%E5%8F%B7%E7%90%86%E8%AB%96
900 名前：１３２人目の素数さん mailto:sage [05/02/04 22:13:35 ]: WEPの話聞き逃したorz
901 名前：１３２人目の素数さん mailto:sage [05/02/04 22:25:50 ]: 富士通さんおつかれさまでした。来年は東大とソニーだし東日本の開催じゃないの。

WEPってどの話？
902 名前：１３２人目の素数さん mailto:sage [05/02/05 00:29:13 ]: 灯大の人がした鍵更新のタイミングの話じゃないの？->WEP

徳島大でWEPの公演した人いないっぽいんだけど・・・
903 名前：１３２人目の素数さん mailto:sage [05/02/05 00:50:30 ]: どれのことだろう。。。。
それにしても予稿集が４冊もあるって信じ難い。
内容見ながら探すのも一苦労だよ。
もって帰ってくるのも重たかったよ。OTL
904 名前：１３２人目の素数さん mailto:sage [05/02/05 00:53:34 ]: 新幹線の車内にIPAの袋がｲﾊﾟｰｲ
905 名前：１３２人目の素数さん mailto:sage [05/02/05 01:06:52 ]: 来年は予稿集６冊かな
906 名前：１３２人目の素数さん mailto:sage [05/02/05 02:19:37 ]: WEPの話って
4D2共通鍵セッションの一番最後のやつじゃないですかぁ？
907 名前：１３２人目の素数さん mailto:sage [05/02/05 09:31:21 ]: >>903
CD-R→index.htmlから[ctrlf+F]で検索。

予稿集から探すのはネタだと信じたい
908 名前：１３２人目の素数さん mailto:sage [05/02/05 14:24:48 ]: 会場では予稿集つかってたよ。ドライブもってってなかったし。
909 名前：１３２人目の素数さん mailto:sage [05/02/05 14:30:23 ]: あ、これか。4D2の最後の「Most IVs of FMS Attack-Resistant WEP....」
発表者が徳島大学だ。
最終日の最終セッションの最終発表か。
聞いた人だいぶ少なかっただろうな。かくいう自分もうわなにをするやめあｓｄｆｆｈｊｋ
910 名前：１３２人目の素数さん mailto:sage [05/02/05 19:08:25 ]: >>904
あれIPAにせずにどこかの企業名入れて広告料取ればよいのにな
数十万円の赤でてるんならそれぐらいやったらよいのに
911 名前：１３２人目の素数さん mailto:sage [05/02/06 01:30:14 ]: 最終日早めに帰って観光してたゴメンナサイ。
912 名前：１３２人目の素数さん mailto:sage [05/02/06 12:07:13 ]: 帰りに、山陽電車の舞子公園駅にも一つ捨てられてました。
CD-ROMだけ入ってなかった(w

IPAからは袋の提供だけだったんだよね。
　広告料=袋の代金
になってる。
最初は運営の片方のF社っていう話もあったみたいだけど、
それでも、それ以上のお金は出してくれそうになかったらしい。

ちなみに、赤字の原因は
一昨年並みの料金に設定したが、予想よりも多くの投稿者があったので、
予稿集の印刷代が膨れ上がった
って感じです。来年は仙台の時なみの値段になりそうな予感。

WEPの話はナイトセッションでも触れられていたので、
もうちょっと知ってる人がいるかなと思ってたんですが。
ISEC(京大)でもうちょっと進んだ話やるそうなのでそっちで聞くのもありかと。
913 名前：１３２人目の素数さん mailto:sage [05/02/06 13:39:51 ]: 投稿者の数により代金を変更するというのは
色々と問題があるのだろうか
914 名前：１３２人目の素数さん mailto:sage [05/02/06 13:48:32 ]: MS Windows Media PlayerのDRM（暗号化）2
pc5.2ch.net/test/read.cgi/avi/1107556060/

これってどうなんですか？
○DRMの解除はできるのか？
○DRMされたwmvフアイル→AVI・mpegファイルなどに変換方法など

なんか簡単に解読できるそうなんですが・・・
鍵に対する攻撃が功を奏したわけですよね。
915 名前：１３２人目の素数さん mailto:sage [05/02/07 00:11:32 ]: >>912
ホテルの部屋にも「忘れ物」としていくつか届いていたらしい。
…駅においていった奴はちょっとどうかと思うが。
916 名前：１３２人目の素数さん mailto:sage [05/02/07 00:25:23 ]: IPAがｲﾊﾟｰｲ
917 名前：１３２人目の素数さん mailto:sage [05/02/07 00:52:07 ]: CRYPTO 2005 の締切まで一週間ですよ。
このスレの住人で投稿するヤシっている？
918 名前：１３２人目の素数さん mailto:sage [05/02/07 02:22:41 ]: >>913
申し込みしておいて原稿落とす香具師いるし・・・
919 名前：いち参加者 mailto:sage [05/02/07 06:35:01 ]: 裏方の皆さん本当にお疲れ様でした
920 名前：１３２人目の素数さん mailto:sage [05/02/08 00:47:45 ]: >>918
裏方さんですヵ。
921 名前：１３２人目の素数さん mailto:sage [05/02/09 09:51:25 ]: 落とした本人だったりして（ｗ
922 名前：１３２人目の素数さん mailto:sage [05/02/10 23:40:57 ]: >917
規模が違いすぎるがISECが締め切り10日前かよ・・・やべぇ
923 名前：y_ikeda mailto:sage [05/02/12 17:58:10 ]: ISECって22日じゃなかったっけ？
っていうか、まだ手をつけてないです。本格的にやう゛ぁい
924 名前：１３２人目の素数さん mailto:sage [05/02/13 02:19:18 ]: CSEC（阪大）も同じ頃に〆切り。
925 名前：１３２人目の素数さん mailto:sage [05/02/16 18:20:58 ]: ttp://www.schneier.com/blog/archives/2005/02/sha1_broken.html
February 15, 2005

SHA-1 Broken

SHA-1 has been broken. Not a reduced-round version.
Not a simplified version. The real thing.

The research team of Xiaoyun Wang, Yiqun Lisa Yin, and Hongbo Yu (mostly from Shandong University in China)
have been quietly circulating a paper announcing their results:

* collisions in the the full SHA-1 in 2**69 hash operations,
much less than the brute-force attack of 2**80 operations based on the hash length.

* collisions in SHA-0 in 2**39 operations.

* collisions in 58-round SHA-1 in 2**33 operations.

This attack builds on previous attacks on SHA-0 and SHA-1,
and is a major, major cryptanalytic result.
It pretty much puts a bullet into SHA-1 as a hash function for digital signatures
(although it doesn't affect applications such as HMAC where collisions aren't important).

The paper isn't generally available yet.
At this point I can't tell if the attack is real,
but the paper looks good and this is a reputable research team.

More details when I have them.
926 名前：１３２人目の素数さん mailto:sage [05/02/16 19:44:56 ]: Eurocrypt 2005の採録論文リストがアップロードされてるな
ttp://www.brics.dk/eurocrypt05/acceptedpapers.html
927 名前：１３２人目の素数さん mailto:sage [05/02/16 20:25:57 ]: Eurocrypt 2005 にもハッシュコリジョンの話出てるね。
前回のCryptoのランプセッションの話だろうか。

Collisions of SHA-0 and Reduced SHA-1
Eli Biham and Rafi Chen and Antoine Joux and Patrick Carribault and William Jalby and Christophe Lemuet
(Technion and DGA and Bull and UVSQ)
928 名前：１３２人目の素数さん [05/02/19 07:40:02 ]: age
929 名前：１３２人目の素数さん [05/02/20 01:00:42 ]: >>925
これが本当だと、MD5もSHA-1も終わったってこと？

次は何を使うの？

素人だから、賢いひとの言う通り、流されていく～
930 名前：１３２人目の素数さん [05/02/20 02:27:11 ]: tbsで暗号の映画やってるぞ
931 名前：１３２人目の素数さん mailto:sage [05/02/21 01:39:56 ]: sha-256とかじゃないの
932 名前：１３２人目の素数さん [05/02/21 19:23:09 ]: Reduced SHA-1だから，Full round SHA-1はまだまだ健在．
933 名前：１３２人目の素数さん [05/02/21 20:04:04 ]: え？FULLの方だって聞いたよ。要確認ね。

あっしはSHA256に乗り換えよう。周囲にもそう言おう。
934 名前：１３２人目の素数さん [05/02/22 08:53:16 ]: >>929
MD5が終わってるなんて何年も前からアングラ界では言われていたが
935 名前：１３２人目の素数さん mailto:sage [05/02/22 10:14:07 ]: アングラどころか表の世界でもとっくに既出
936 名前：１３２人目の素数さん mailto:sage [05/02/22 23:14:50 ]: Brokenという言葉は誤解を生みやすいよな。
バースデー攻撃よりも若干効率的な衝突の発見法が見つかれば、
暗号理論的にはBrokenなんだが、実際にSHA-1の実装された
システムがそれで破れる訳じゃないからね。

だから、SHA-1使ってる人が、今すぐ何かせにゃならんという
訳ではないと思う。これからシステム作る人は、
まあ避けた方がいいんだろうけどね。
937 名前：１３２人目の素数さん mailto:sage [05/02/23 00:11:50 ]: バースデー攻撃によるコリジョン生成と
任意のハッシュ値のコリジョン生成とでは
今回のSHA-160の場合
ビット数にしてどれくらいの難易度の差があるのでしょうか？
938 名前：１３２人目の素数さん mailto:sage [05/02/23 03:42:28 ]: ナイトセッションネタだけど、HIMEっていう歌手グループは実在してて、CDも出てるらしい。
www.amazon.co.jp/exec/obidos/ASIN/B00005EQMR/
939 名前：１３２人目の素数さん mailto:sage [05/02/23 15:09:35 ]: ナパームDES
940 名前：１３２人目の素数さん mailto:sage [05/02/23 18:48:42 ]: >>938
金太　マスカット　ナイフで切る　とかいうやつだっけ。

どっちも、姫なのかハイムなのか分からんな。
941 名前：１３２人目の素数さん mailto:sage [05/02/24 14:54:25 ]: 素数p,qでn=pqとしてnは100桁で
2次ふるい法使ったらだいたい今はどのぐらいの
時間で分解できますかね
942 名前：１３２人目の素数さん mailto:sage [05/02/24 16:29:29 ]: まず、素数p, 素数pの原始根要素であるg1,g2を用意する。
そして(p-1)と互いに素である乱数xを用意する。

そんでもって、
Y≡g1^x(mod p)
Z≡g2^x(mod p)
としたときに
Y, Z, g1, g2, pを渡されて
Y, Zとg1, g2の関係を見破ることは困難ですか？

pについてはこれがpだと教えてもらえる。
g1, g2についても、こっちがg1でこっちがg2と教えてもらえる。
Y, Zももらえるが、どっちがYでどっちがZなのかは教えてもらえない。
乱数xは全く教えてもらえない。

こんな条件なんですが・・・
943 名前：１３２人目の素数さん mailto:sage [05/02/24 22:23:44 ]: うおー、なんかぐぐってたら暗号の良スレ発見。
今は132人目の素数さんにもどってしまった白シャツ氏が惜しい。
来年度から暗号専攻の一学生でした。
944 名前：１３２人目の素数さん [05/02/25 08:03:33 ]: age
945 名前：１３２人目の素数さん [05/03/01 15:01:35 ]: ISEC!
946 名前：１３２人目の素数さん mailto:sage [05/03/02 12:39:23 ]: >>945
京大オフその２ですな

その１はこっち
ntw.e-one.uec.ac.jp/jant/2005-spring-JSIAM.html
947 名前：１３２人目の素数さん mailto:sage [05/03/02 20:06:54 ]: >>941
www.asahi-net.or.jp/~KC2H-MSM/mathland/matha1/bench1.htm
ここ見ると（hh:mm:ss:ss は dd:hh:mm:ss の間違いとして）、
Pentium III 650MHz のＰＣで１年くらいじゃないかな
948 名前：１３２人目の素数さん mailto:sage [05/03/03 03:32:02 ]: NTTが幹事なんだね。
949 名前：暗号初心者 [05/03/03 21:09:34 ]: いま修士１年で、来年NTTの研究部門に就職したいと思っています。
暗号の知識は全くといっていい程ありません。
どういったことを勉強すれば良いのですか？
オススメの本がございましたら、是非ともご教授下さい。
今後のために、コテハンで行かせてもらいます。
950 名前：暗号初心者 mailto:sage [05/03/03 21:13:52 ]: みなさまのご助言に従い、今年１年勉強して行くことに決めました。
どうか暖かいご支援、お願いします。
951 名前：１３２人目の素数さん mailto:sage [05/03/03 23:36:28 ]: 4分18秒の間に何が・・・
952 名前：１３２人目の素数さん mailto:sage [05/03/03 23:41:08 ]: １行目は
みなさまのご助言に従いながら今年１年勉強して行くことに決めました。
という意味か。
953 名前：１３２人目の素数さん mailto:sage [05/03/04 00:12:04 ]: ていうか釣りか？
954 名前：951 mailto:sage [05/03/04 00:28:26 ]: 実は僕も修士一年で暗号研究職に興味があるのですが、
この分野、研究所の方々が欲しがっているのは
数学科（専攻）出の学生なのでしょうか。
便乗質問でごめんなさい。
955 名前：暗号初心者 mailto:sage [05/03/04 09:17:25 ]: >>949の文章を読み直していたら、気分が乗ってきました。

>>952
その通りです。舌足らずな日本語ですみませんでした。

>>953
かなり真面目に考えています。

>>954
そうですか。お互い頑張りましょうね。
それと、>>949の学年は誤解の招き易い言い方をしてしまいました。
四月から新修士１年という意味です。

このスレには暗号解読の話がほとんど出て来ないのですが、それはマイナーな分野だからということですか？
私の予定は、まず楕円暗号を勉強し、それから解読の研究を行おうと思っているのですが、もっと他の道の方がいいですか？
とりあえず最終目標は来年の就職活動で研究職をゲットすることです。よろしくお願いします。
956 名前：１３２人目の素数さん mailto:sage [05/03/04 10:59:17 ]: >>954の方
と
>>暗号初心者さん
お二人は暗号セキュリティ専攻の修士ですか？
それとも独学で暗号をされるのでしょうか？
私も四月からM1です。一応暗号セキュリティ専攻です。
957 名前：１３２人目の素数さん mailto:sage [05/03/04 19:23:15 ]: > このスレには暗号解読の話がほとんど出て来ないのですが、それはマイナーな分野だからということですか？

暗号解読は、暗号アルゴリズムの評価をする際には絶対必要なことだから、マイナーということはない。
このスレでどうかは関係ないだろ。

それから、楕円暗号じゃなくて楕円【曲線】暗号な。
958 名前：暗号初心者 mailto:sage [05/03/04 21:36:54 ]: >>956
僕の進学する大学院にはそのような講座がありません。
院試が終わってしばらくしてから漠然と暗号関連に興味を持ち始めたので、後悔しています。
専門は一応、整数論ということになっています。
まあ、地方国立大学なので、進んだことは全然知りません。
お互い頑張りましょうね。そちらの方が環境は良さそうですが。。。

>>957
そうなんですか。無知ですみません。
ただいろいろな報告集を眺めている限り、解読ネタはあまり見当たらなく、
新しいプロトコルについての話題が圧倒的多数だったので、解読系の研究は
どちらかと言えばマイナーなのかな、と思った次第です。
959 名前：１３２人目の素数さん mailto:sage [05/03/05 00:16:53 ]: 私も大学院に入ってから暗号の勉強を始めました。
4月でM2になります。
ストリーム暗号の勉強してます。

暗号業界狭いからこれだけで身元がばれる！？
960 名前：１３２人目の素数さん mailto:sage [05/03/05 00:25:52 ]: 候補者7名から5名にまで縛りますた。
961 名前：暗号初心者 [05/03/06 01:18:37 ]: あんまり人がいないみたいですね。残念です。
962 名前：１３２人目の素数さん mailto:sage [05/03/06 20:43:52 ]: もともと業界人口が多くないからね。
963 名前：１３２人目の素数さん [05/03/06 21:12:37 ]: そうなんですか。最近、暗号関係の本が専門書も一般向けも多く見かけるので
急成長した広い業界と思ってました。
964 名前：１３２人目の素数さん mailto:sage [05/03/06 23:10:33 ]: 少なくとも一般向けの解説書を読んでるのは業界関係者ではないと思う。
専門書は元々いっぱい出てるけど、書店には並ばないよ。
965 名前：１３２人目の素数さん mailto:sage [05/03/07 01:16:00 ]: 暗号の研究はこれから先細りだよ。
企業はどんどん撤退してるし、大学で今
暗号理論やってる人も、先が無いと思ってる。

暗号にこだわらずに、情報セキュリティ全般に幅を広げれば
まだまだやることはたくさんあるけど。
966 名前：１３２人目の素数さん mailto:sage [05/03/07 03:03:25 ]: >>965
そりゃ言い過ぎ。「どんどん撤退」ってどこのことだ?

まあ、一社一暗号なんていう時代じゃないんで、
「新しいアルゴリズム作りました」なんてのは
あんまり受けなくなってきてるは確かだけど、
学会参加者数は毎年記録更新だし、裾野は
広がってきてるよ。
967 名前：１３２人目の素数さん [05/03/07 08:03:49 ]: 暗号アルゴリズムはRijndael、Camelliaなどいくつかに落ち着いてきたんだろうけど、
気になるのは、世の中で意外に利用が広がってないように感じること。わしは素人だから、
知らん領域多くて、お前の知らんところで利用が広がってるんじゃ、って事かも知れんし、
それならそれでありがたいことなんだけど、例えばブラウザの暗号アルゴリズム設定を
見ると、RC4、3DES、RC2だったりして、ｱﾚﾚ？Rijndaelは？Camelliaは？って驚く。
RC2なんてﾀﾞﾒだって聞いてるんだけど。細かいこと言えばRC4も弱いと聞いてる。

暗号関係者には、【啓蒙活動】や【普及】でもっと活躍して欲しい。

素人からのお願いでした。
968 名前：KingMathematician ◆5lHaaEJjC. [05/03/07 09:02:17 ]: 暗号は専門外だ。
969 名前：BlackLightOfStar ◆ifsBJ/KedU [05/03/07 16:00:02 ]: Re:>968 お前誰だよ？
970 名前：１３２人目の素数さん [05/03/07 16:39:58 ]: Re:>969 必死だなｗ
971 名前：１３２人目の素数さん mailto:sage [05/03/07 16:50:15 ]: 何気に活気付いてますね
972 名前：BlackLightOfStar ◆ifsBJ/KedU [05/03/07 17:08:17 ]: Re:>970 お前に何が分かるというのか？
973 名前：１３２人目の素数さん mailto:sage [05/03/07 17:25:51 ]: まともに進行してるスレは荒らさないって程度の分別はある奴と思ってたが・・・。
974 名前：KingMathematician ◆5lHaaEJjC. [05/03/07 19:03:30 ]: Re:>972 ”必死だな”と分かったんだ。
975 名前：BlackLightOfStar ◆ifsBJ/KedU [05/03/07 19:11:35 ]: Re:>974 それでお前誰だよ？
976 名前：１３２人目の素数さん mailto:sage [05/03/07 21:07:22 ]: 次スレの季節となりました。
テンプレの草案です。

タイトル：暗号数学について語ろう。標数2

必要な基礎教養・教科書・就職・将来性等。
何でも語ってくだしゃれ。

前スレ
暗号数学について語ろう
science3.2ch.net/test/read.cgi/math/1088146349/
977 名前：１３２人目の素数さん mailto:sage [05/03/07 21:39:47 ]: 標数２じゃなくて２重鍵キボン
978 名前：１３２人目の素数さん mailto:sage [05/03/07 22:02:09 ]: 標数2というのもちと偏ってるが、なかなか中立的なのはないねえ。
2ビット目とか、2ラウンド目とかいうのも偏ってるし。
979 名前：１３２人目の素数さん mailto:sage [05/03/07 22:43:18 ]: NTTで暗号やりたいなら博士課程まで行った学生が有利らしいが。
980 名前：１３２人目の素数さん mailto:sage [05/03/07 23:04:55 ]: 標数だと4スレ目で困るし。
981 名前：１３２人目の素数さん mailto:sage [05/03/07 23:17:21 ]: ４ヌレまで続くかどうかはわからんが
982 名前：１３２人目の素数さん mailto:sage [05/03/07 23:36:38 ]: じゃあ種数ってことで。
それでも4以上は困る？
983 名前：１３２人目の素数さん mailto:sage [05/03/07 23:58:58 ]: 3スレ目は
3DESだろう、やっぱり。
984 名前：１３２人目の素数さん [05/03/08 00:48:12 ]: いまだに現役、遅いけど堅実、3DES
賛成！
985 名前：１３２人目の素数さん [05/03/08 01:01:25 ]: ◆27Tn7FHaVYは死ね、くたばれ、消えろ、潰れろ、馬鹿、あほ、間抜け、ドジ、ガラクタ、クズ、最低以下の下劣、下等種族、下衆野郎、腐れ外道、
邪道、外道、非道、ウジ虫、害虫、ガン細胞、ウィルス、ばい菌、疫病神、病原体、汚染源、公害、ダイオキシン、有毒物質廃棄物、発ガン物質、猛毒、毒物、
ダニ、ゴキブリ、シラミ、ノミ、毛虫、蠅、蚊、掃き溜め、汚物、糞、ゲロ、ほら吹き、基地害、デタラメ、穀潰し、ろくでなし、夏厨、ヤクザ者、社会の敵、犯罪者、反乱者、前科者、
インチキ、エロ、痴漢、ゴミ虫、毒虫、便所コオロギ、詐欺師、ペテン師、危険分子、痴呆、白痴、悪霊、怨霊、死神、貧乏神、奇天烈、変人、
毒ガス、サリン、糞豚、豚野郎、畜生、鬼畜、悪鬼、邪気、邪鬼、クレイジー、ファッキン、サノバビッチ、小便、便所の落書き、不要物、障害物、
邪魔者、不良品、カビ、腐ったミカン、腐乱、腐臭、落伍者、犯人、ならず者、チンカス、膿、垢、フケ、化膿菌、放射能、放射線、異端者、妄想、邪宗、異教徒、
恥垢、陰毛、ケダモノ、ボッコ、ろくでなし、ヒ素、青酸、監獄、獄門、さらし首、打ち首、戦犯、絞首刑、斬首、乞食、浮浪者、ルンペン、不良品、規格外、欠陥品、不要物、
埃、塵埃、インチキ、居直り、盗人、盗賊、残酷、冷酷、薄情者、クソガキ、ファッキン、有害物質、発ガン物質、誇大妄想狂、アホンダラ、怠け者無能、無脳、
脳軟化症、思考停止、人格障害、極道息子、見栄っ張り、不良、イカレ、狼藉者、放蕩息子、道楽息子、迷惑、厄介者、異端者、タリバン、オサマ・ビン・ラディン、テロリスト、
チェチェン、嘘つき、不正、叩き上げ、ケチ、裏切り者、ムネヲ、抵抗勢力、悪性新生物、原爆を落とした奴、アルカイダ、宮崎勤、吉岡（旧姓：宅間）守、朝鮮将校、乞食、
知覚的障害者、邪教祖、DQN、覚せい剤、エイズウイルス、SARS、テロリスト、荒らし部隊、アーレフ（旧：オウム真理教）、精神年齢3歳、3審は必要なし、
金正日、宇田川慶一、奥田碩、おおさか人、上新庄、あう使い、放射性廃棄物、割れたコップ、血歯死者、廣嶋死者、パナウェーブ研究所、
白血病の原因、ハイブリッドカーの排気ガス、IQ10！
そして、この板に書き込む権利も価値もないクズ
986 名前：１３２人目の素数さん [05/03/08 01:54:08 ]: >>985 さん、一体何があったのですか？
987 名前：１３２人目の素数さん mailto:sage [05/03/08 02:18:48 ]: じゃあ2スレ目はdouble DESかい。
一応、特殊な用途ならばありえるのだけど。
いや、スレタイに使うにゃマイナーすぎるなあ。
988 名前：１３２人目の素数さん mailto:sage [05/03/08 04:45:34 ]: 12
989 名前：１３２人目の素数さん [05/03/08 09:36:49 ]: >>976, ... >>987
知識がないんで意味はわからんが楽しそうな会話だ。
990 名前：１３２人目の素数さん mailto:sage [05/03/08 15:39:00 ]: RC2
3DES
blue force

毎回同じ系統じゃなくて
違ってもいいじゃん
991 名前：１３２人目の素数さん mailto:sage [05/03/08 15:42:28 ]: RC2専用のスレと思われんかな
992 名前：１３２人目の素数さん mailto:sage [05/03/08 15:44:53 ]: 無難なところで
ROUND 2
はどうだい？
993 名前：１３２人目の素数さん mailto:sage [05/03/08 15:52:40 ]: 二百五十六日。
994 名前：１３２人目の素数さん mailto:sage [05/03/08 15:58:11 ]: どうすんだ。もう。誰か好きなやつで立てちゃえよ
995 名前：１３２人目の素数さん mailto:sage [05/03/08 16:00:19 ]: ROUND 2でいってみます。
996 名前：１３２人目の素数さん mailto:sage [05/03/08 16:02:23 ]: 立てました。
移動よろしくです。

暗号数学について語ろう。ROUND 2
science3.2ch.net/test/read.cgi/math/1110265282/
997 名前：１３２人目の素数さん mailto:sage [05/03/08 18:20:46 ]: 埋めときますね。
998 名前：１３２人目の素数さん mailto:sage [05/03/08 18:21:33 ]: うめといえば
999 名前：ダメーテル mailto:sage [05/03/08 18:22:12 ]: ９９９ゲット
1000 名前：１３２人目の素数さん mailto:sage [05/03/08 18:22:53 ]: 梅どぶろくはどうなった？
1001 名前：１００１ [Over 1000 Thread]: このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef