- 1 名前:132人目の素数さん mailto:sage [05/03/08 16:01:22 ]
- 必要な基礎教養・教科書・就職・将来性等。
何でも語ってくだしゃれ。
前スレ
暗号数学について語ろう
science3.2ch.net/test/read.cgi/math/1088146349/
- 175 名前:132人目の素数さん [2005/06/18(土) 05:02:03 ]
- >>172
高次元の代数多様体を利用する暗号ってないのですか?
超楕円曲線暗号なんかは耳にしますが。
- 176 名前:132人目の素数さん mailto:sage [2005/06/18(土) 10:19:05 ]
- >>171
ある。それぞれ言語ごとにある。
ただ、個人的にはmpzは使いやすいとは思えない。
- 177 名前:132人目の素数さん mailto:sage [2005/06/18(土) 10:26:40 ]
- >>165
ポジティブに言えば安全性の証明に必要な仮定が他のに比べて弱い。
ネガティブに言えば安全性の責任を、出来る限りブロック暗号アルゴリズムに押し付けた。
IVは固定の値でどこかに書いてあった。
- 178 名前:132人目の素数さん [2005/06/18(土) 12:31:06 ]
- >>176
mpzかぁ、調べてみます。ちなみに開発環境はC++でっす。
Linux環境だとGMPが使えるんだけどなぁ・・・・。
- 179 名前:132人目の素数さん mailto:sage [2005/06/18(土) 12:50:17 ]
- >>174
ヴェイユ・ペアリングやテート・ペアリング。
今までの暗号プリミティブとは異なり双線型性を持つので、
今までのプリミティブでは実現できなかった暗号プロトコルが
実現できる。
- 180 名前:132人目の素数さん mailto:sage [2005/06/18(土) 12:52:59 ]
- >>175
超楕円の計算量 > 楕円の計算量。
かといって超楕円の方が安全って分けじゃない。
だから、超楕円は実用的じゃない。
- 181 名前:132人目の素数さん mailto:sage [2005/06/18(土) 12:58:46 ]
- >>175
理屈の上から言えば、全ての代数多様体上で暗号方式もどきを作ることができる。
しかし、ほとんどのものは多項式時間で暗号計算が終わらないので、
暗号方式として使えない。
楕円、超楕円なんかは多項式時間で暗号計算をできるアルゴリズムが
知られてるけど。
アーベル多様体を使った暗号とかもある。
- 182 名前:132人目の素数さん mailto:sage [2005/06/18(土) 18:46:21 ]
- (・∀・)つ◎ ドーナッツ!
- 183 名前:132人目の素数さん mailto:sage [2005/06/18(土) 22:39:22 ]
- >171
Windows上で,GMP, NTL(多倍長整数ライブラリ)を使う。
nhiro4.ld.infoseek.co.jp/gmp/
- 184 名前:132人目の素数さん mailto:sage [2005/06/19(日) 00:24:37 ]
- 東大と京大 暗号勉強するならどっちがいい?
(就職と学歴からみて)
- 185 名前:132人目の素数さん [2005/06/19(日) 21:03:33 ]
- >>183
ありがとうございます!!
- 186 名前:132人目の素数さん mailto:sage [2005/06/19(日) 23:29:58 ]
- >>184
NTT
- 187 名前:132人目の素数さん mailto:sage [2005/06/21(火) 15:23:40 ]
- >>184
どっちでもいい。まともな論文書け。勉強会も出とけ。
- 188 名前:132人目の素数さん mailto:sage [2005/06/21(火) 20:00:45 ]
- マスターカードのデータセンターでは顧客データの暗号化をやってなかったらしい。
理論だけ進んで、普及の方は全然なのか?
ちなみにOPERA8.01の対応セキュリティプロトコルは凄い。というかやっとAESが
お茶の間に?
- 189 名前:132人目の素数さん mailto:sage [2005/06/22(水) 00:22:16 ]
- >>188
その凄いプロトコルってなに?
TLSのAES対応なだけとか?
- 190 名前:132人目の素数さん mailto:sage [2005/06/22(水) 01:29:55 ]
- 他が他なだけにAES入っただけで目立つと。
- 191 名前:132人目の素数さん [2005/06/22(水) 22:18:43 ]
- age
- 192 名前:132人目の素数さん [2005/06/23(木) 02:00:19 ]
- 俺今旧帝大暗号設計のM1.
Dいこうかどうか激しく迷い始めた。
Dで代数曲線暗号って就職あるの?
- 193 名前:132人目の素数さん mailto:sage [2005/06/23(木) 18:15:15 ]
- このペアルック,いーべー
- 194 名前:132人目の素数さん mailto:sage [2005/06/26(日) 22:05:19 ]
- >>192
プログラム書けるならあるかも?それか大学に就職するか。
- 195 名前:132人目の素数さん mailto:sage [2005/06/26(日) 22:20:09 ]
- >>179
最近の研究はしらないけど、数年前は胡散くさかったな。
- 196 名前:132人目の素数さん mailto:sage [2005/06/28(火) 00:39:58 ]
- ペアリングを理解するのに必要な知識を習得するだけで人生終わりそうな希ガス
- 197 名前:132人目の素数さん [2005/06/28(火) 06:30:06 ]
- age
- 198 名前:132人目の素数さん mailto:sage [2005/06/28(火) 23:23:24 ]
- >>195
未だに胡散臭い。
でも、ペアリングを使った方式の効率 << 普通の方式の効率
なので、それでも認められつつある。
>>196
ペアリングを使ったプロトコルを作るだけなら、
ペアリングの知識はいらん。
そういうもんがあるって事を認めてやりさえすればOK。
ペアリング計算の効率化をやるんなら、
ちゃんと知ってなくちゃならんけど。
- 199 名前:132人目の素数さん mailto:sage [2005/06/29(水) 22:02:27 ]
- >>198
どういう点が胡散臭いのですか。
ベアリングの数学の詳細を理解するのにどれくらいかかりましたか。
私はまだ因子とかでうろうろしてます。
まとまったいい教科書がないので苦労してます。
因子の話は既に分かっているひとにしか通じないまた詳細を
省いて結果だけ書いていることが多いのでつまづきまくりです。
あんな話を理解できるひとはすごいですね。
- 200 名前:132人目の素数さん mailto:sage [2005/06/30(木) 00:56:17 ]
- >>199
>どの辺が胡散臭い
仮定が胡散臭い。
RSA仮定やDL仮定は見た目がきれいだけど、
ペアリング関係で使う仮定にはSDH仮定にしろLFSW仮定にしろ、
EBDH仮定にしろ見た目が汚い。
しかも論文によって様々な仮定が提案されてるし。
- 201 名前:132人目の素数さん mailto:sage [2005/07/02(土) 21:57:54 ]
- ペアリングの研究している人でペアリングの中身は本当は理解していない
人ているんだろうか。
やっぱり理解していないとなんか気持ち悪い気がしてなんとか理解しよう
としているのだが道は果てしなく長い。
- 202 名前:132人目の素数さん mailto:sage [2005/07/03(日) 00:06:34 ]
- >>201
そう?そんなに難しくないよ
”理解”ってどこまでを指しているのか知らないけど
普通に論文を書くレベルであれば、そんなに難しい
知識はいらないかと
定義(仮定)は定義(仮定)以外のなにものでもないし
それを受け入れることができれば、その後の論理展開は
そんなに難しいことではない
何に苦労してるの?具体的に教えて
- 203 名前:132人目の素数さん mailto:sage [2005/07/03(日) 03:14:22 ]
- >>202 さん
公式で e(aP,bQ)=e(P,Q)^ab の中身がどのように実現されているか知りたいのです。
その前に立ちはだかる壁として
多項式fの点Pにおける位数とか
Weil reciprocityとか
distortion mapとか
D=芭p<P> が主因子だったらなぜ 芭pP=O になるかとか
nは素数で
nが#E(Fq)を割り切って
nがq-1を割り切らず
nとqが互いに素なら
nがq^k - 1 を割り切るようなkがあって
n^2個の位数nの点を含む拡大体E(Fq^k)のねじれ点集合があるとかです。
どんな教科書で勉強したのでしょうか >>202 さんは?
暗号研究はこのあたりは知らなくてもできそうですが
数学の部分も理解しておきたいと思うのです。
- 204 名前:132人目の素数さん [2005/07/03(日) 03:34:40 ]
- age
- 205 名前:132人目の素数さん [2005/07/03(日) 15:18:52 ]
- 応用整数論のテキストにみんな書いてあるよ
- 206 名前:132人目の素数さん mailto:sage [2005/07/03(日) 23:23:48 ]
- >>203
あのね、定義をちゃんと追えばわかるんですよ。
>>205 にテキスト名があげられていますがちゃんと勉強しましょう。
楽して(最短距離で)理解しようとするからダメなのでは?
あなた、典型的なマニュアル世代の人間なのではないでしょうか。
線形代数も○○本とかマニュアルに頼っていたんでしょう。
研究者として生きていくのであれば、、、(残りは省略)
ISECとかSCISとかでいい発表をされることを期待しています。
がんばって。
- 207 名前:132人目の素数さん mailto:sage [2005/07/04(月) 00:43:26 ]
- うわ、高圧的。誰だ?これ。
- 208 名前:132人目の素数さん [2005/07/04(月) 20:38:53 ]
- 結局秘密鍵McEliece暗号の強度ってドウなのよ?
- 209 名前:132人目の素数さん mailto:sage [2005/07/07(木) 16:12:16 ]
- 良スレ保守
- 210 名前:132人目の素数さん [2005/07/09(土) 11:30:41 ]
- age
- 211 名前:132人目の素数さん mailto:sage [2005/07/09(土) 15:20:29 ]
- 究極の情報通信システムをめざして
nonfix.sakura.ne.jp/test/read.cgi/scs/
情報通信に関する理論的、技術的議論を目的とする掲示板です
- 212 名前:132人目の素数さん mailto:age [2005/07/10(日) 02:46:14 ]
- 2=1*2
- 213 名前:132人目の素数さん mailto:sage [2005/07/10(日) 23:21:27 ]
- 2+1=3
- 214 名前:132人目の素数さん mailto:sage [2005/07/11(月) 11:06:42 ]
- 2*1=√4
- 215 名前:132人目の素数さん mailto:sage [2005/07/13(水) 17:30:43 ]
- 【最新技術の落とし穴】静脈認証も安心できない? 大根で作った偽造指で認証に成功
news18.2ch.net/test/read.cgi/scienceplus/1120495199/
■情報法, サイバー法, ネットワーク法, 法情報学■
academy3.2ch.net/test/read.cgi/jurisp/1093283024/
第二次世界大戦と暗号
hobby7.2ch.net/test/read.cgi/army/1105569526/
- 216 名前:132人目の素数さん [2005/07/14(木) 19:29:27 ]
- age
- 217 名前:前スレ立て人 [2005/07/19(火) 18:45:39 ]
- 代数幾何の教科書にはgoppa符号についての章がありますが、
これをやれば就職できるんでしょうか。。。。。。。。。。。
当方宮廷M1です。。。。。。。。。。。。。。。。
- 218 名前:132人目の素数さん [2005/07/19(火) 19:45:08 ]
- 20枚の硬貨を投げたところ全部表が出た。なぜか?
(普通このような現象は起こらない)
誰か答えを教えてください。
統計の授業でやったので統計とか二項定理使うと思います。
- 219 名前:132人目の素数さん mailto:sage [2005/07/19(火) 19:51:04 ]
- >>218
(1/2)^20
の確率で起こることがたまたま起こっただけか、
投げ方やコインに問題があったのどちらか。
- 220 名前:132人目の素数さん mailto:sage [2005/07/19(火) 20:26:43 ]
- 両面表だった。
これでいいんじゃないの
- 221 名前:132人目の素数さん mailto:sage [2005/07/19(火) 20:40:23 ]
- >>219-220
数学の本質を見た。
前提条件がよくわからん。
- 222 名前:132人目の素数さん mailto:sage [2005/07/21(木) 08:14:39 ]
- >>218
そもそも、
> (普通このような現象は起こらない)
ということ自体が偽ではないかと。
例えば日本人全員が一斉にやれば、千人ぐらいは出てくる。
宝くじなんかよりも当たる確率高いんじゃないか?
試行回数が多かった、でいいと思うが。
- 223 名前:132人目の素数さん mailto:sage [2005/07/23(土) 21:23:58 ]
- >>218
思うに出題の意図は仮説検定しろって事じゃない?
表の出る確率が1/2じゃないという仮説を立てて、
それを検定する。
まぁ、もう仮説検定忘れちゃったんで
深く聞かれても分かんないけど。
- 224 名前:132人目の素数さん [2005/07/24(日) 17:47:10 ]
- age
- 225 名前:132人目の素数さん mailto:sage [2005/07/24(日) 18:44:41 ]
- でもさ、それって
2項分布上○○程度まれな出来事は、正規分布上どれくらいまれか、
ってわけわかめなことをやってるに過ぎないって事はないのか?
- 226 名前:132人目の素数さん [2005/07/24(日) 19:19:21 ]
- MSNのパスポートのパスワードって登録するとすぐ忘れて困るよね。
パスワードなしでやってもらいたい。
- 227 名前:132人目の素数さん [2005/07/24(日) 19:26:19 ]
- ホットメイルは1カ月アクセスなしで消滅するのも使えない。
- 228 名前:132人目の素数さん [2005/07/24(日) 20:05:05 ]
- MSN自体がエシュロンの工作だから。。。
- 229 名前:132人目の素数さん mailto:sage [2005/07/25(月) 08:52:38 ]
- MSNは、超巨大辞書攻撃用データベースなのか。
なかなか精度良さそうだな。
たいていの人は、どこかと同じパスワードをどこかで使ってるもんだろう。
そうしないと、226みたいなことになる。
- 230 名前:132人目の素数さん [2005/07/31(日) 21:41:45 ]
- さげ
- 231 名前:132人目の素数さん [2005/08/07(日) 08:26:42 ]
- 光通信量子暗号(Y-00)への攻撃は真の攻撃か?part II
○広田 修(玉川大)
- 232 名前:132人目の素数さん mailto:sage [2005/08/07(日) 13:52:14 ]
- 量子コンピュータ
science3.2ch.net/test/read.cgi/sci/1042199835/
↑住人がかぶってそう
>>231
・・・
- 233 名前:132人目の素数さん [2005/08/07(日) 18:57:53 ]
- "Workshop on Quantum Communication Theory and the Related Topics"
本会議は光通信量子暗号Y-00の有効性と発展状況およびこの新量子暗号の背後にある
量子通信理論を集中的に議論することを目的としています。Y-00の基礎に対する
無理解から来る種々のコメントに対する批判が展開されます。また単一光子量子暗号
(BB-84)のセキュリテイホールが紹介されます。
- 234 名前:132人目の素数さん [2005/08/08(月) 15:33:59 ]
- 今日、明日、明後日、中央大後楽園で暗号と数学のワークショプ、誰でも入れる、漏れの前の列に座ってるのはスクーフ?
- 235 名前:132人目の素数さん [2005/08/09(火) 22:55:08 ]
- 漏れの後ろにいたのは、フビライ。
- 236 名前:132人目の素数さん [2005/08/09(火) 22:56:06 ]
- 漏れの横にいたのは、轟鶏。
- 237 名前:132人目の素数さん [2005/08/14(日) 14:56:05 ]
- CRYPTO目前あげ
- 238 名前:238 mailto:sage [2005/08/14(日) 16:11:47 ]
- 2^3=8
- 239 名前:132人目の素数さん [2005/08/15(月) 03:58:21 ]
- >205
応用整数論のテキストって何?
- 240 名前:132人目の素数さん [2005/08/15(月) 07:32:16 ]
- SoftEtherのVPNの公開キー暗号をクラックするとか。。
- 241 名前:132人目の素数さん mailto:sage [2005/08/15(月) 12:46:10 ]
- そこはハッキングじゃないか?
- 242 名前:132人目の素数さん mailto:sage [2005/08/15(月) 13:03:56 ]
- (2,4) = (2)
- 243 名前:132人目の素数さん [2005/08/18(木) 00:36:15 ]
- クリープト参加者は何かネタ うpおねがい
- 244 名前:132人目の素数さん [2005/08/18(木) 01:47:58 ]
- SHA-1が63ビットになった件について。
- 245 名前:132人目の素数さん mailto:sage [2005/08/18(木) 10:04:29 ]
- なんで64bitじゃないの?
- 246 名前:132人目の素数さん mailto:sage [2005/08/18(木) 14:56:21 ]
- なぜ80bitじゃないの?と言う質問ならわかるが
64というのは余りにもあほすぎる。
ところで、ランダムオラクルモデルってもうだめなんですか?
- 247 名前:132人目の素数さん mailto:sage [2005/08/19(金) 19:45:09 ]
- 【量子】「量子暗号」実用化へ 10万倍の高速化に成功、盗聴防止等へ利用=NTTなど
news18.2ch.net/test/read.cgi/scienceplus/1124442917/
- 248 名前:132人目の素数さん [2005/08/21(日) 11:25:48 ]
- 単一光子量子暗号 (BB-84)にセキュリテイホールがあります。
- 249 名前:132人目の素数さん [2005/08/21(日) 23:20:38 ]
- >>246
仮定が非現実的なので実用的ではない。
安全性証明がないよりかはあった方がましなことは直感的に
理解できるけど「だからどうした」といわれるとちょっとつらい。
結局は開発者の自己満足でしかないと思われ。provableな暗号
プリミティブのことをオナニー暗号と称されるようになるまでには
そんなに時間がかからないだろう。
- 250 名前:132人目の素数さん [2005/08/21(日) 23:39:39 ]
- >>244-246
憶測でしかないので間違っていたら申し訳ないが
SHA-1の強度のことではないかと。2^69という数値だけが一人歩き
してたけどナイトセッションか何かでもっと効率的な攻撃法が
公開されたとか?
>>243
ナイトセッションのスピーカー(と思われる)二人は帰国後
すぐに報告すること
- 251 名前:132人目の素数さん [2005/08/21(日) 23:49:57 ]
- 帰国後危篤になりましたとさ。
( ´д)フプーッ
- 252 名前:250 [2005/08/22(月) 22:11:09 ]
- 自己フォローです。
やっぱ 2^63 まで下がったみたいですね。
シュナイアーのブログとか参考に。
あと、今 Cheju にいる方々も何か報告してください。
- 253 名前:132人目の素数さん [2005/08/23(火) 01:43:34 ]
- なにこの業界臭漂うスレは…
誰が書き込んでるか微妙なヒントくれないかな?
- 254 名前:132人目の素数さん [2005/08/23(火) 04:05:49 ]
- ランダムオラクルモデルは滅びぬ 何度でもよみがえるさ
ランダムオラクルの力こそ人類の夢だからだ!
- 255 名前:132人目の素数さん [2005/08/23(火) 04:25:29 ]
- >>249
ROMがだめでも、provable securityはだめとか言えるの?
オナニーと言えば電力攻撃とか故障利用攻撃とかでしょ
- 256 名前:249 mailto:sage [2005/08/25(木) 23:00:14 ]
- すまそ。ROMって何の略?
確かにオナニー系って結構あるなぁ。traitor tracing ってオナニー系?
- 257 名前:249 [2005/08/25(木) 23:14:59 ]
- さっき書いてから思ったんだけど、「研究してる」って時点でそのほとんどが
オナニー系になるのかもしれない。特に暗号屋だからというわけではなく、
どんな分野でもそうなる傾向にあるのではないかと。特にアカデミック方面は。
じゃあ、暗号理論の中でもどの分野が(オナニー系ではないという意味で)
メジャーなのか?と問われるとよくわからない。
誰か教えて!というか、コメントください。マジレス歓迎。
- 258 名前:132人目の素数さん [2005/08/26(金) 03:45:29 ]
- >>255
そうでもない。
ICカードの売り上げにも影響があるから。
サイドチャネルで破られるかもしれない、っていうカードと、
そうじゃない安全なカードがあります。
しかも値段は同じくらいです。
って言われたら、顧客は安全な方をほしがる。
- 259 名前:132人目の素数さん [2005/08/26(金) 09:34:00 ]
- >>258
サイドチャンネルに対して安全なんてのが
とんでも系なんじゃないかな。
- 260 名前:132人目の素数さん mailto:sage [2005/08/26(金) 20:00:51 ]
- 暗号研究の中で今旬で華やかな分野はどこですかね。
研究室選びで迷っています。
- 261 名前:132人目の素数さん [2005/08/27(土) 03:30:22 ]
- おまえみたいなヤシは、
暗号研究に来なくてよし。
- 262 名前:132人目の素数さん [2005/08/27(土) 16:52:10 ]
- >>260
いま旬で華やかな分野を聞いてどうすんの?
- 263 名前:132人目の素数さん [2005/08/27(土) 23:03:20 ]
- 大学院で、確率論専攻。
ふとした事から、特許事務所に入所。
数学専攻だったからと、暗号・数理ファイナンス系の仕事すべて任される。
(所内に、理解できるのは俺だけ)
仕事は、大学・メーカ・研究所から依頼された最新の発明を特許庁に
出願するための書類作り。
その書類の内容は、一言で言えば「整数論・代数学」そのもの。
特許庁の審査官がわかるように、「体」の定義らか書くことがある。
良かったら、特許庁の電子図書館に行って特許公報でも見てみて。
「暗号」で検索するとわんさか出てくるから。
この仕事面白いけど、学会の発表あるから早めに明細書書いてと言われた
日には、徹夜。(後、弁理士資格の勉強も大変)
- 264 名前:132人目の素数さん [2005/08/27(土) 23:10:22 ]
- ソフトイーサで13Mの画像データを送ったら37分もかかった。暗号化は
問題がある。
- 265 名前:132人目の素数さん [2005/08/27(土) 23:11:04 ]
- 画像データなんかこまぎれモザイクで送ればいいじゃないか。
- 266 名前:132人目の素数さん [2005/08/28(日) 01:23:34 ]
- ソフトイーサって対称鍵アルゴリズムRC4&MD5でしょ。
専門家で分析した人っていないの?
興味がそもそもないとか?
- 267 名前:132人目の素数さん [2005/08/28(日) 01:39:27 ]
- >>259
なぜ?
あれはあれで閉じた話だと思うよ。
っていうか、サイドチャネルって否定は多いんだな。
- 268 名前:132人目の素数さん mailto:sage [2005/08/29(月) 10:07:39 ]
- サイドチャンネル=万能
サイドチャンネルは滅びぬ 何度でもよみがえるさ
サイドチャンネルの力こそ人類の夢だからだ!
いま何度目の流行?
- 269 名前:132人目の素数さん mailto:sage [2005/08/29(月) 19:52:24 ]
- Universal Composability の適用は旬ですか?
- 270 名前:132人目の素数さん mailto:sage [2005/08/30(火) 19:25:53 ]
- >>268
ラピュタかよ。
あのセリフ、「何度でもよみがえる」って言ってる時点で一度はかならず滅ぶことを明示してるんだよね
- 271 名前:132人目の素数さん mailto:sage [2005/08/30(火) 19:34:39 ]
- 安全性の証明って読んで理解するの難しいですね。
確率論を復習しています。
- 272 名前:132人目の素数さん [2005/09/02(金) 22:59:46 ]
- これかぁ。盛り上がってるやつは。関係者,コメントお願い。
ttp://japan.cnet.com/news/sec/story/0,2000050480,20086898,00.htm
- 273 名前:132人目の素数さん [2005/09/03(土) 01:30:29 ]
- すみません、一応暗号初心者です。
ある暗号アルゴリズム?の安全性をCCAで評価したいのですが
具体的にCCAでの評価とはどういうことをやればいいのでしょうか?
- 274 名前:132人目の素数さん mailto:sage [2005/09/03(土) 10:29:43 ]
- >>269
どうなんでしょうねえ。
旬というならpairingのほうが旬といえるような気もしますが。
canettiの「Universally Composable Security〜」は読まれましたか?
上のほうでROMの話がされてますが
うちのボスによると
あれはあれで1つの手段だ
っていってました。ROMを好む査読者とかいるらしい。
>>272
今井先生と辻井先生の意見が対立してるって面白いですね。
うちのボスにきてみようっと。
- 275 名前:132人目の素数さん mailto:sage [2005/09/03(土) 11:01:09 ]
- >>273
IND-CCAを証明したいんですか?
それともNM-CCA?
あとCCA2じゃなしにCCAなんですか?
CCA2なら結局等価だからどっちでもいいけど。
たぶんIND-CCA2を証明したいんでしょう。
次のようなIND-CCA2ゲームを考えます。
まずencryptionスキームS=(gen,enc,dec)とchallenger C, adversary Fが与えられて
Cはkey generationであるgenを行って公開鍵eをFに渡す。
Fは任意の暗号文をCに送って対応する平文を得る。(繰り返して行える)
Fは二つの平文m_0,m_1を生成しCに渡す。
Cはランダムに0か1を選んで(これをbとする)m_bを暗号化し、
この暗号文c^*をFに渡す。
Fは再び任意の暗号文(ただしc^*とは異なる)をCに送って対応する平文を得る。(繰り返して行える)
得た情報を基にFは1ビットの情報b^*を出力する。
要するにFは暗号文c^*がm_0の暗号文かm_1の暗号文か推測する。
このゲームにおいてFの優位性は
Advantage(F)=|Pr[b=b^*]-1/2|で定義され、
このアドバンテージが無視できないほど大きいときFは攻撃に成功しているといえる。
どのようなFに対しても(といってもこの場合全て確率的多項式時間アルゴリズムであるが)
Cが勝利するときにIND-CCA2の意味で安全といえる。
とおおざっぱに書きましたがわかりました?
教科書読んだほうが早いと思うのですが。
暗号専攻の学生ですか?
|
 |
