暗号数学について語ろう。ROUND 3

1 名前：１３２人目の素数さん mailto:sage [2007/02/08(木) 21:49:25 ] 必要な基礎教養・教科書・就職・将来性等。 何でも語ってくだしゃれ。 前スレ 暗号数学について語ろう。ROUND 2 science5.2ch.net/test/read.cgi/math/1110265282/ 暗号数学について語ろう science3.2ch.net/test/read.cgi/math/1088146349/ 320 名前：１３２人目の素数さん mailto:sage [2007/08/15(水) 20:27:10 ] >>319 でも数理だけでは計算量の仮定なしには無理だね 321 名前：１３２人目の素数さん mailto:sage [2007/08/15(水) 20:31:03 ] >>320 情報理論的暗号は熱い分野だよ 322 名前：１３２人目の素数さん mailto:sage [2007/08/15(水) 21:19:01 ] >>319 ＞物理理論はモデルに対する理論であって、実験可能なモデルとの差が時々 ＞　　重大な問題を起こす。 情報セキュリティしか知らない側からすると、公開鍵・共通鍵暗号におけるsecurity proofの枠組みよりも そっちの方がはるかに堅牢というか現実により近い議論に見えるけど、そんなもんなのかね ＞数理だけで目標を達成する その「目標を達成した」と主張するための枠組みが まだ固まってないんじゃないかという不安みたいなものを常に抱えているのが 数理の世界というか証明可能安全性の世界だと思う 323 名前：１３２人目の素数さん mailto:sage [2007/08/15(水) 21:23:25 ] 見落としてた ＞離散系の数理理論は理論と実装に誤差がほとんど無いのが魅力。 そうなんですか こういうのも、言われてみないとなかなか気づかないもんですね 324 名前：１３２人目の素数さん mailto:sage [2007/08/15(水) 21:29:47 ] 暗号というのは、正規利用者が非正規利用者に対してあらかじめ持つ優位性を増幅する仕組みという理解でいいの？ 325 名前：１３２人目の素数さん mailto:sage [2007/08/16(木) 06:48:45 ] >323 >離散系の数理理論は理論と実装に誤差がほとんど無いのが魅力 んなわけない。例示してもらいたい。 326 名前：１３２人目の素数さん mailto:sage [2007/08/16(木) 08:11:07 ] > 物理が嫌いなわけ。 > > １． 理論的にきれいに証明しても、それを実験で構築できないから。 > 　　離散系の数理理論は理論と実装に誤差がほとんど無いのが魅力。 ヒント：サイドチャネル攻撃 理論マンセーな気持ちも分かるが、物理とは違って理論と実装との誤差がないと 言っているのは痛いと思われ 327 名前：１３２人目の素数さん [2007/08/16(木) 10:33:58 ] 最初の目的とずれちゃいました。すいません。 １． 現実には量子系は古典系と相互作用する。相互作用は理論的にはすべて 考慮できるが、それが現実の装置と対応するかはだれも解らない。 これで理論物理と実験物理に頻繁にギャップが起こる。 ２． 物理の世界で閉じていれば、たとえそうであっても、解釈の問題ですむ。 しかし、これがある技術的な機能を実現するミッションが与えられると、 理論の機能を現実化する必要がある。 ３． 量子系は対象となる自由度１の系をヒルベルト空間で記述する。 多自由度になればテンソル積ヒルベルト空間となる。原理的にはヒルベルト 空間で記述できる内は量子力学の範疇である。たとえ、decoherenceを考えたと しても。この上でデザインされた量子プロセッサー機能を現実に装置化すると しても、量子状態をどのような物理系で実現するかによって、構造や相互作用系 が全く異なる。したがって、ヒルベルト空間上で成立したとしても、それが 現実の装置になるという保証はゼロに近い。（ほとんどの論文が紙くずになる）。 これで首になった。 ４． 暗号系を考えよう。まずＡとＢとＥを想定する。情報はビットであり、 実在している。３者を納めたフレーム内で実在する１．０を使って暗号機能を 設計するとしよう。このフレーム内で設計されたものは、技術的難易度は千差万別 だろうが、１．０の実在を使って設計しているのだからかなりの確率で実現できる （１００％とは云わないが）。だからといって設計者の意図した安全性が 保証されているわけではない。 ５． 暗号では、このフレームの想定外も考慮することがある(サイド、タンパーなど)。 物理系で云うと外界との相互作用である。このときはどんなフレームワークにすべきかの 判断が難しい。これは統計力学のモデルと似てくるので、理論と実装の差はそう簡単には 埋まらないかもしれない。上記の物理よりはまし？・ ６． 以上より、物理系よりは、離散系の数理は紙くずが少なくなる。 暗号で物理屋を信じたらいかん。繰り返すが、数理だけでがんばろう。 328 名前：１３２人目の素数さん mailto:sage [2007/08/16(木) 11:09:53 ] そもそもEveはサイドチャネル攻撃もタンパリングも何やってもいいんだから それらの攻撃が「A、B、E三者を収めたフレームから外れる」という考え方はよくわからんね 329 名前：１３２人目の素数さん mailto:sage [2007/08/16(木) 12:20:15 ] >>327 >>324に対する答えはどうかな？ 物理でモデルと実装の間にずれがあるのは誰もが理解しているから モデルに限れば、物理的に可能なあらゆる状況が考慮に入っていると考えてよい だからこそ証明可能性がでてくる 厳密に証明可能になっているかどうかはわかってないが、今のところループホール がないだろうと思われている実装方法は知られている ただし技術的に未だ可能にはなっていない 現実の実装では、穴があり、想定外のアタックも否定はできないであろう 物理の場合、物理法則に安全性の基盤を求めることができるが、 数理の場合、計算量の仮定に頼るしか方法はないと思うが、いかがかな？ 330 名前：１３２人目の素数さん mailto:sage [2007/08/16(木) 12:30:34 ] > ２． 量子統計で学位取ったけど、量子と古典の境界でトラブルが続発で > 　　苦労した。この経験から、Shor-Preskillの量子鍵配送の安全性の証明に > 　　疑問あり。 そんなこと当たり前だろ？Shor-Preskillの証明なんて理想的な状態でしか成り立たんだろ 実際、光子数分割攻撃とかの実装レベルでの攻撃なんて見つかってるわけだし。 そんなん物理に依存してない話でも同じじゃん。敵対者が理想的にはCPAしかしない場合には 安全だけどCCAには安全でない暗号なんていくらでもあるわけだし。フレームワークを決めた内 では安全だけどそれ以外では安全かどうかもわからない、なんて話なんて物理云々いう以前の 問題だと思うんだが。 331 名前：１３２人目の素数さん mailto:sage [2007/08/16(木) 12:34:01 ] > ６． 以上より、物理系よりは、離散系の数理は紙くずが少なくなる。 > 暗号で物理屋を信じたらいかん。繰り返すが、数理だけでがんばろう。 とかいっちゃってるけどさー 素因数分解とか離散対数問題の効率の良いアルゴリズムとか 見つかっちゃったらどうすんの？ そもそも基本的な根拠（というか仮定）が経験則に基づいちゃってるのに。 332 名前：１３２人目の素数さん mailto:sage [2007/08/16(木) 13:47:32 ] 論理以外のことは考えなくてもいいから数理が楽でいいな、ぐらいの甘い考えのように思えるんだが。 数理は万能じゃないよね？例えば、数理だけでは真性乱数は作れないよね？ 333 名前：１３２人目の素数さん [2007/08/16(木) 15:48:05 ] いろいろコメント感謝です。 こんなに物理の重要性を主張されるとは思いませんでしたので参考になりました。 (嫌いなだけで、重要ではないとは云っていませんので) ３２４に対するコメントですか。 たしか、Masseyのプライベートランダマイゼーションの考え方に近いです。 共通鍵暗号において盗聴者に数理的なアクションを与える方式です。 相当、昔に提案されて、だれも追随していなのではないかなと思います。 334 名前：１３２人目の素数さん mailto:sage [2007/08/16(木) 17:13:03 ] >>333 暗号とはなんぞや？あなたの考えはどうなの？ 335 名前：222 mailto:sage [2007/08/16(木) 18:08:26 ] 今更読んで見ました。。すみません。。 >>303,304 ありがとう。 平文に、鍵から生成される乱数列(これが鍵から生成されるシード鍵？)を撹拌(=混ぜ合わせる)し暗号文を作る。 シード鍵の作り方は暗号技術によってjavaによる？計算式が決まっている (そのソースコードさえ公開されているが、平文と暗号文が分かっていてもソースコードが複雑すぎて計算式が導けない？(ランダムなども使っているんですかね。。)) が、256bitだと2の256乗通りあり、その中にも正解となってしまう例がいくつかあり、その場合さらに長い既知平文を試みる(←この「さらに長い既知平文を試みる」とはどのようにシード鍵を長くして試すのかとかかよくわかりません‥。 また、2の256乗通りのシード鍵とはどのような文字をどのように平文と組み合わせる(暗号文から取り除く)のでしょうか？公開されているソースコードから導くのか、計算式が分かっていないなら、でたらめな文字をでたらめに組み合わせるしかないと思うのですが‥。 でたらめに平文と組み合わせるor暗号文から取り除く？としてもなんか不可能なような気がします‥) ＞量子コンピュータが実現したとしても2の256乗、あるいは2の128乗の全数探索は、人類の存続の間には不可能 2の128乗は340澗(かん)、2の256乗は9999無量大数を越えていて(sonic64.com/2004-04-17.html)、この数字は量子コンピュータでさえ人類の存続している間には全数探索が無理な量なんですね。。 336 名前：１３２人目の素数さん [2007/08/16(木) 18:26:23 ] 何を言いたいかをくみ取って説明しています。質問者は全く暗号を 知らないと思いますが、正規利用者が非正規利用者に優位性を持てば （たとえばＳＮ）、証明可能な暗号を構成できるということをどこかで 聞いたのでしょう。ワイヤータップチャンネルモデルはその例でしょう。 共通鍵で証明可能な暗号構成の議論において、まず優位性を創世する 機構としてプライベートランダマイゼーションがあります。 これがどれだけ発展しているかは知りません。 （このような仕組みを持つ暗号があるのかというのが、正しい質問だと思いますが） コメントをしてほしいといわれた方は、この素人のような質問の中に何かを 感じられたのだと思います。 337 名前：222 mailto:sage [2007/08/16(木) 18:29:39 ] すみません、今305を読んだのですが、暗号化されたファイル自体を調べてもさっぱりわからないので、手入力の鍵の全数探索をするってことなのでしょうか。。(でもシード鍵は手入力の鍵ではなく乱数列のことなので違うはずですよね。。)　 もしそうなら、記号や全角文字を混ぜたとしても、そこから作るシード鍵は256bitなら2の256乗以上のものはダブリとしてシード鍵が作成される‥？(それも、どのようなシード鍵でどのような計算式で組み合わせるのかよくわかりません‥) でも、AESというのはすごいjavaのソースコードということはわかりました。素人にもわかるAESのソースコードの特徴的な性質みたいのあったら教えて欲しいです。。 また、手入力の鍵の全数探索が256bitで最大で2の256乗通りということなら、なるべく長めの鍵を設定した方が有効だと思いますが、半角、全角、記号など混ぜればもちろん(ソフトによっては)2の256乗通り以上できると思いますが、 それ以上のものはダブリとなる場合、正しい手入力の鍵でなくとも正しく復号できるものもあるということですよね‥？ (おそらくシード鍵は鍵から生成される乱数列のこと、とズバリ書いていらっしゃったので違うと思いますが。。)また、簡単な数字や半角英語などでは全数探索で「0」や「a」から順序通り解析していくなら比較的早く解読されてしまうと思いますが、 全角文字などをいれることによって、(漢字などは順序がある場合でも量が多いため、)全数探索で、2の256乗の進んだ場所になったりするのでしょうか？(全ての通りでみると2の256乗をゆうに越えると思うので。。) で、思うのですが、AES暗号もOTPのようにどの暗号でも解読できたことにして正解をなくせばいいのではないでしょうか。。 304に書いてある「同じ既知平文が現れれば、さらに長い既知平文を試みる。」というのは、全ラウンド解析されていないと、正しく出力されたということもわからないということかと思ったのですが‥。 (それともCRCみたいのが一致していれば正しく出力されたということがわかるのでしょうか？) 338 名前：222 mailto:sage [2007/08/16(木) 18:30:42 ] >>314 >３．４ 全体の7割くらいのラウンドが解析されたということになっていても、 簡単な構造の部分のみ解析されたということなのでしょうか？ 全てのラウンドは同じソースコードの繰り返し？とか思ったりしたのですが、 違うソースコードのラウンドもあったりするのですかね。。 とりあえず、今解析されているラウンドより1つ先のラウンドまで解析することは すごく計算が複雑になるのか、計算式を導く術がないのか、ということだと思いますが‥。 339 名前：１３２人目の素数さん mailto:sage [2007/08/16(木) 18:34:52 ] >>336 逆に、あなたはなんらの優位性もない状況（対称な状況）から、暗号のような優位性のある状況（非対称な状況）を 数理のみで証明可能な方法で作り出せると思いますか？ 340 名前：222 mailto:sage [2007/08/16(木) 19:34:29 ] とりあえずシード鍵の認識が間違えまくりみたいでした。。 www.hnes.co.jp/sol-pro/sol-pd-3sol/gaiyo/uni_e.jsp ＞ラウンド関数は本流と一時鍵生成部から成り、各々に拡大鍵を入力します(関数鍵とシード鍵)。 一時鍵生成部により一時鍵を作成し、本流に合流します。 ＞攻撃者は一時鍵生成部が本流より軽い構造のため一時鍵生成部を最初に攻撃すると考え、 仮に一時鍵が既知となってもシード鍵の候補が複数存在し、シード鍵から秘密鍵、 シード鍵から関数鍵を推定することが困難になることを期待しますています。 一時鍵生成部により作成される一時鍵は一番軽い構造だが、既知となってもシード鍵の候補が複数存在し、シード鍵から秘密鍵、関数鍵を推定することが困難になることを期待しますています。 シード鍵は手入力の鍵と近い存在(それが判明すれば解読されるという面でほぼ一緒？)なんですかね。 341 名前：222 mailto:sage [2007/08/16(木) 19:48:29 ] で、やはり2の256乗通りや、2の128乗通りというのは手入力の鍵の全数探索と同じ意味で、bit数活かしてより長く複雑なものにすれば、その暗号技術の全ラウンド解読されない限り、 2の128乗で340澗(かん)通り、2の256乗で9999無量大数越えの通りなので、人類の存続の間には答えは出ない、ということっすね。。。 ちなみに2^239で8834無量大数、2^240で17668無量大数(=限界越え)になるみたいです。(sonic64.com/2004-04-17.html ) 342 名前：222 mailto:sage [2007/08/16(木) 20:16:43 ] わけわかめちゃりーな。 ＞ 仮に一時鍵が既知となってもシード鍵の候補が複数存在し 一時鍵は簡単に既知になりやすいとして、「シード鍵の候補が複数存在し」というのは128bitで2の128乗ほどの数があるのか(256bitで2の256乗ほどの数があるのか)疑問です。 343 名前：１３２人目の素数さん [2007/08/16(木) 20:58:59 ] ３３９の質問に対して。 関心を持っていただけたでしょうか。 数理のみでは困難であることは解っていますが、まず数理だけでどこまで行けるか、 徹底的に調査することが肝要と思います(無駄に見えても）。安易に物理に手を出すのは、新しい 得策では無いと思うので。数理の限界を納得した上で、Masseyのアイデアを参考に統計力学の モデルを導入します。もし、高速性に問題があれば量子へと進めます。 だれもやったことのない学問への挑戦は周辺の学問をほぼ完璧に押さえながら 進む必要があると思います。 すでに似たような研究を量子でやっている方がいると聞いています。 344 名前：１３２人目の素数さん mailto:sage [2007/08/16(木) 21:18:00 ] >>343 量子も、理論だけやってる分には数理モデルの拡張にすぎないと思うんですけどね。 現代暗号の数理は多くの人がやっていて、その量子的拡張のほうがチャレンジングなテーマだとは思いますけど。 ただ、拡張すれば解決すると言うほど甘いテーマではないとは認識しています。 地道に着実にという態度は間違っているとはいいませんが、一歩間違えるとチャレンジから背を向ける態度に つながりかねないと思うので、心して研究に邁進してくださいな。 345 名前：１３２人目の素数さん mailto:sage [2007/08/16(木) 21:25:43 ] ＞でも、AESというのはすごいjavaのソースコードということはわかりました。 ＞全てのラウンドは同じソースコードの繰り返し？とか思ったりしたのですが、 ＞違うソースコードのラウンドもあったりするのですかね。。 ？？？ 346 名前：１３２人目の素数さん mailto:sage [2007/08/16(木) 21:29:41 ] 久しぶりに来たら、なんと、高校生か？ 夏休みだしな 347 名前：184 mailto:sage [2007/08/16(木) 22:27:13 ] >>337 そもそも暗号化に関わる部分は計算式だから、言語は関係ない。（チューリングマシン用の機械語だろうがLispだろうがFortranだろうが。勿論Cでも。） >>341 そもそも「無量大数」の定義そのものが複数ある上に、「無量」と「大数」が違う数を表していることがあるので 10の何乗か、と言うのを表すだけで十分じゃないかと。 ここは数学板だから対数計算くらいは殆どの人が出来てもいいので、書く必要性も無いと思うが。 >>346 222が高校生か否かは知らんが、俺はそれだ。 348 名前：１３２人目の素数さん mailto:sage [2007/08/16(木) 22:32:06 ] やっぱり高校生か 349 名前：１３２人目の素数さん mailto:sage [2007/08/17(金) 08:36:02 ] >>343 > 数理のみでは困難であることは解っていますが、まず数理だけでどこまで行けるか、 > 徹底的に調査することが肝要と思います(無駄に見えても）。安易に物理に手を出すのは、新しい > 得策では無いと思うので。 数理だけでどこまで行けるか徹底的に、とか仰られていますがそもそも立脚している点 が例えば一方向性関数の存在性仮定によっていることについてはどう思われている のでしょうか？安易に仮定を信じたままどんどん新しいプロトコルを作っていっても かまわないのでしょうか？ 個人的には暗号理論の方々が「証明可能安全性」という言葉を使っているのはおかしいと思ってます。 この辺りについてどう考えておられるかご意見を聞かせてもらえないでしょうか。 350 名前：１３２人目の素数さん [2007/08/17(金) 08:52:56 ] ３４４の忠告感謝します。 共通鍵暗号で優位性の無い状況から優位性を作り出す事による暗号は Y00プロトコルが代表例だと思います。変調方式と量子雑音を利用して ＡとＢがＥに対して優位性を作り出しています。これをAdvantage creation と読んでいるようです。MaurerらのAdvantage distillationは受動的ですが、 前者は能動的手法だと思います。前者はMasseyが数理的に試みてできなかった ことを、物理を使って実行しようとしているように見えます。面白いことに、 彼らは量子現象を使っていても、それを古典、さらに物理抜きとの関係を 調査しているように見えます。すなわち、暗号学のなかで、能動的にＥに 対して優位性をつくる方式の位置づけを探っているのかもしれません。 私はその逆をやっています。ＡとＢが数理的暗号アルゴリズム＋Ｅに対する アクションを数理的に構成できるか。また、なぜMasseyのアイデアのみでは 目的に到達できないのかを知りたいのです。そうすれば、なぜ量子が必要 なのか見えてくるかもしれません。 351 名前：１３２人目の素数さん mailto:sage [2007/08/17(金) 09:10:22 ] >>350 私は、計算量仮定なしには優位性のないところに優位性を作り出すことは無理だと思いますがね。 対称な状況を非対称にするためには、何かの明確な理由が必要だと思いますよ。 アプリオリな優位性の仮定＋物理法則から優位性を増幅することができるというのが量子暗号ですが、 それが正しいのかはよくわかりません。man in the middle攻撃を防ぐために、認証が必要で、通信のたびに 鍵を消費しなくてはなりませんが、生産が消費を上回るということになっていますが、確実なのかな？ 量子暗号の場合、アプリオリな優位性の仮定というのは外せません。ですから、無から有を生み出すと言う ことにはなっていませんが、鍵長を増やすと言ったように優位性の増幅にはなっています。 そのために物理法則が利用されているはずですが、なぜそうなるのか？数理にしても物理法則にしても、 万人に対称なものです。正規利用者のみならず、非正規利用者もそれを利用できます。対称なものから なぜ非対称を生み出す（増幅する）ことができるのか？私は答えを知りません。 352 名前：１３２人目の素数さん mailto:sage [2007/08/17(金) 10:09:04 ] > 私は、計算量仮定なしには優位性のないところに優位性を作り出すことは無理だと思いますがね。 > 対称な状況を非対称にするためには、何かの明確な理由が必要だと思いますよ。 ちょっと答えてもらいたいことと書かれていることがずれているんですが、計算量「仮定」という 点には何も違和感を感じないのですか？仮定ではなく証明するべき事由だと思うのですが、 そこを当たり前に仮定が必要と言ってしまうことに抵抗を感じます。 353 名前：１３２人目の素数さん mailto:sage [2007/08/17(金) 13:29:16 ] >>352 あなたはcomputational complexityの問題を全解決すると言うことを言っているのですか？ 354 名前：１３２人目の素数さん mailto:sage [2007/08/17(金) 20:53:37 ] >>353 そうです。私は暗号が専門ではないのですが、暗号理論の専門家が 次々とプロトコルに都合の良い計算量仮定を導入していることについて 非常に危ういものを感じています。この点についてはどう考えていますか？ 355 名前：１３２人目の素数さん [2007/08/18(土) 10:27:05 ] ３５０から続けます。部分的な見解ですが、以下のように思います。 個人的には全ての暗号は数理のみで構成されることが望ましい。 この立場から暗号の安全性証明の基準を再度まとめると、教科書的ですが以下のようになると思います 計算量的評価 １． 現在知られている攻撃に対して安全性が証明できる。（いつか、別の攻撃の出現があり得るので、 これで安全性証明可能な暗号と云うことは避ける） ２． あらゆる数理的な攻撃に対して安全であることが証明できる。(シード鍵の全数探索では解読可能であるが、 シュートカットは存在しない)。また、鍵の候補は絞れるが、それ以後は全数探索以外の解読が不可能を証明できる (定量的安全性が保証できる)。いずれかのとき安全性証明可能な暗号という。 情報理論的評価 １． シード鍵の全数探索でも鍵が一意に決定できない。無限の計算資産でも解読できないことになる。 上記の定量的評価は以下のように行われる。 （あ）ある有限の平文までは、解読できないことを保証できる能力の暗号 （い）いかなる長さの平文も、解読できないことを保証できる能力の暗号。 数理による暗号では、計算量的評価において１のケースが限界とされている。 この限界を克服するために物理法則に頼ろうとするのが、物理的暗号である。 （１） 量子鍵配送(BB84)＋One time pad （２） 量子ストリーム暗号(Y00) 前者は情報理論的評価の（い）の能力を目指す。なぜなら暗号化はOne time padであるから。 ここで、鍵を有限にしたら安全性は無くなる。後者は有限の長さの鍵しか持っていない。したがって、 普通の共通鍵暗号と同じ構造と考えて良く、計算量評価の２と情報理論的評価の（あ）を目指している。 前者は実用性がないので、ご自由にであるが、後者はAdvantage creationという新概念を導入しており 要注意である。両者とも、主張が正しいとして、なぜ数理でできないものが物理でできるのか。 数理的な暗号の信奉者としては、分析したくなるのは自然である。願わくは、これらが必要なくなる 数理的な暗号を作りたい。 356 名前：１３２人目の素数さん mailto:sage [2007/08/18(土) 15:36:58 ] >>307 >>315 >>319と読んできて この人の言う「物理的」「数理的」の範囲がいまいちわからない >>330 >>332に同意 357 名前：１３２人目の素数さん mailto:sage [2007/08/18(土) 16:04:10 ] 自分が好きなものが数理的でそうじゃないものが物理的なんでしょ 358 名前：１３２人目の素数さん mailto:sage [2007/08/18(土) 17:38:09 ] >>355 >要注意である。両者とも、主張が正しいとして、なぜ数理でできないものが物理でできるのか。 >数理的な暗号の信奉者としては、分析したくなるのは自然である。願わくは、これらが必要なくなる >数理的な暗号を作りたい。 量子暗号の場合、どの方法にしてもアプリオリな優位性（Advantage）を正規利用者が持っています。言い換えれば あらかじめ正規利用者と非正規利用者は対称な立場にないシナリオになっています。例えば、正規利用者はあらかじめ 有限長の鍵を共有しているとか、プロトコルにより正規利用者のみが測定装置の設定（基底の選択）を共有できるとか。 物理法則＋通信のみ（計算量の仮定なし）では０から優位性を作る（対称な状況を非対称な状況へ変える）ことはでき ないようです。そのような試みはすべて失敗しています。できることは、有限の優位性を拡大することだけのようです。 物理法則は誰に対しても平等で対称だから、無から非対称は作れないのでしょう。 なぜ物理法則の助けにより仮定なしに優位性を拡大できるのか、一般的な証明は知りません。ぜひ教えてください。 359 名前：１３２人目の素数さん [2007/08/18(土) 19:57:15 ] コメント感謝します。最初のコメントの意味が理解できず、返答できません でした。許してください。今回をふまえて前回のコメントが理解できました。 １． BB84の場合、別回線を前提とする一致プロトコル、プライバシーアンプ リフィケーションは確かに、最初の優位性に基づく優位性の増幅に対応ですね。 ２． Y00の場合、初期鍵による優位性があり、その優位性によってＥのＳＮを 劣化させる方式。したがって、これも一種の増幅と考えられます。 確かに彼らは初期鍵利得と云っていました。初期鍵利得を利用すればＡとＢの 通信のＳＮとＡとＥの通信路のＳＮに差がつけられる。その上で、情報理論 などを導入すれば何かができそうですね。 ３． 指摘のおかげで、理解が前進しました。もう少し時間をください。 考えてみます。物理系の原理が解明できれば、数理の道が開けるかも。 360 名前：１３２人目の素数さん mailto:sage [2007/08/18(土) 20:11:28 ] >>359 物理法則の助けにより優位性を拡大できるチャンスがあるのか、それは証明可能であるか？ 証明できたとして、その助けは物理法則である必要はあるか、数理的なもので代替できないか？ よい仕事ができることを期待しています。 361 名前：１３２人目の素数さん mailto:sage [2007/08/18(土) 20:13:41 ] 物理法則の助けにより優位性を拡大できるチャンスがあるのか、それを一般化し証明できるか？ 証明できたとして、その助けは物理法則である必要はあるか、数理的なもので代替できないか？ のほうがよいかな・・・ 362 名前：１３２人目の素数さん [2007/08/18(土) 21:38:07 ] このような課題は前途多難、承知です。そんなに簡単とは思っておりません。 私のように理学から来ると、暗号の世界は”いじめ”が目について、 不安がありましたが、貴方のような方がいらっしゃるのを知り、 日本も捨てたものでは無いなと感じました。いつか、進展したら助言を おねがいします。 363 名前：１３２人目の素数さん mailto:sage [2007/08/19(日) 00:50:47 ] 法則って言うのは証明しなくていいからな 数理でその自己体系を証明するって言うのはできない相談じゃないかなって思う・・・・・・・ 364 名前：１３２人目の素数さん mailto:sage [2007/08/19(日) 04:18:40 ] >>362 暗号の世界のいじめって何？全うな学問的な批判でなくて？ 暗号の世界って他人の作った暗号を攻撃することも仕事だから あなたの言う理学以上に批判・批評が乱れ飛んだりするかもしれないが それって安全な暗号を作るためには必要なことだと思う。 暗号業界って色々なバックグラウンドもった人の寄り合いだし、 あなたが物理が嫌いでそのグループの結果を叩いているように 他人とは違う方法論で研究してたら叩かれることも多々あるだろうよ。 365 名前：１３２人目の素数さん [2007/08/19(日) 21:58:28 ] 助言くださった方にしたがって、進めます。 一部：：数理系と物理系の基本モデル [A] 数理系の基本モデル シード鍵を共有するＡとＢの通信路と鍵を持たないＡとＥの通信路は理想型 （ノイズレス）であり差はない。ＡはＥに対して、Ｅが全数探索以外に鍵を特定 できない暗号化アルゴリズムの存在を証明できるか？(挑戦のため物理系を 分析する) *************** 共通鍵暗号の現状 既存の攻撃に対して安全性が証明可能。その条件下で安全性の指標あるいは 設計はシード鍵長によって実施。 １．ブロック暗号：：一般に鍵長と処理速度にトレードオフがある。 Gbit/sec対応では１２８ビット、２５６ビットなど ２．ストリーム暗号：：一般には同じであるが、トレードオフがない方式で あれば数千ビットまで可能。 しかし、鍵長は設計者の指標、ユーザーへの指標は等価安全性が推奨されて いる。到底、このような現状に満足できない。 366 名前：１３２人目の素数さん [2007/08/19(日) 22:01:25 ] [B] 物理系の基本モデル ＡとＢの通信路はＡとＥの通信路と特性が異なる。 １． ワイヤータップチャンネル：：ＡとＢの通信路のＳＮがＡとＥの通信路 のＳＮより優れているとき、共通鍵を使うことなく完全な秘匿通信が実現可能 である。（受動的な優位性の増幅） ２． 量子鍵配送(BB84)＋One time pad: ：ＡとＢの通信路のＳＮがＡとＥの ＳＮより悪い状況にある。安全な鍵配送によって真性乱数を伝送できれば、 それらを共通鍵としてOne time pad通信すれば、完全秘匿暗号が実現可能で ある。条件として鍵配送部で優位性の増幅が必要であり、鍵配送部が無条件 安全でなければならない。 ３． 量子ストリーム暗号(Y00)：：ＡとＢの通信路のＳＮがＡとＥのＳＮ より悪い状況にある。シード鍵による優位性を使ってＡとＢのＳＮをＡとＥ のＳＮより良くする（能動的に物理的な優位性を確立する）。 この優位性の確立の定性的、定量的なコントロールによって計算量評価に おける全数探索以外解無し、あるいは基底ランダム化の疑似乱数の１周期内 での情報理論的安全を目指す。 付録：：ＢＢ８４の光子通信＋一致プロトコルのみでは安全性を保証できない。 Ｙ００の基本モデルは優位性を確立するための基本であり、それだけで目標が 達成できるとは云っていない。両者がどのような一般化を持つことによって 目標を達成するのかを比較しながら分析し、公開して行く。 367 名前：１３２人目の素数さん mailto:sage [2007/08/19(日) 23:14:06 ] なりすまし（man-in-the-middle）攻撃も考慮してね 368 名前：１３２人目の素数さん mailto:sage [2007/08/20(月) 01:10:20 ] Y00の解説は面白いですね。でも、優位性を確保できたという証明はどうやって得るのかな？？ 369 名前：１３２人目の素数さん mailto:sage [2007/08/20(月) 01:13:35 ] Y00ってシード鍵は有限で使い回しだったと思うので、優位性の確立をどう論証できるのか興味 370 名前：１３２人目の素数さん mailto:sage [2007/08/20(月) 11:59:10 ] シード鍵による優位性を使ってＡとＢのＳＮをＡとＥのＳＮより良くする（能動的に物理的な優位性を確立する）。 というのは、たぶん古典でも可能なんじゃないかと思います。ただし、シード鍵は使い回しちゃだめでしょう。 そうなると、バーナム暗号と同じじゃないですか？ 量子だと鍵を使い回してもいいのでしょうか？そこがキーポイントじゃないでしょうか？ 371 名前：１３２人目の素数さん [2007/08/20(月) 20:40:29 ] 本日、三菱電機のＢＢ８４は安全ではないということを日経に自ら報道されていました。 少し検討しないと真意はわかりませんが、理論と実装の差の大きさの具現だと思います。 私が量子情報プロセッサーで味わった苦慮と同じ？　(数理暗号では理論と実装の差は 難しさはあっても、量子に比べれば天国です)　やっぱり、やめた方が良い。 ＢＢ８４の優位性の増幅とＹ００の違いを順次、分析したいと思いますが、 先にＹ００の質問があるようですので、簡単な回答のみ示します。 詳細は公開されている論文を勉強中ですのでもう少し時間をください。ＢＢ８４ と比較しながら優位性をキーとしてまとめます。 シード鍵は２５６ビット程度でＬＦＳＲによって長さ約２の２５６乗のＭ−系列に 伸長されます。このＭ系列が光信号（準巨視的量子状態）で定義されている基底を ランダムに選定する役割を持ちます。したがって、シード鍵は一切交換する必要は ありません。すなわち短いシード鍵によるストリーム暗号の形式を持っています。 鍵を知らないでそれらの量子状態を測定すればＳＮが極めて悪くなるように設計 されます。Ｂはシード鍵と同じＬＦＳＲを有しますので、ＳＮが通信のエネルギー損の 効果以外劣化しません。これによって優位性が作られます。形式はＬＦＳＲによる ストリーム暗号ですが、Ｅの測定値のＳＮの劣化によってＥがほしい情報が無くなって 行きます。これが基本モデルです。ＢＢ８４に対応させれば光子通信＋一致プロトコル の段階です。Ｅが被る量子雑音によってＥに対してのみ暗号が掛かっているともいえます。 不思議です。 372 名前：１３２人目の素数さん mailto:sage [2007/08/20(月) 20:41:33 ] Y00に関しては www.ipa.go.jp/security/fy18/reports/quantum/index.html の報告書の23ページ辺りから 373 名前：１３２人目の素数さん mailto:sage [2007/08/20(月) 21:08:30 ] >>371 同じ三菱の分析によると、 ＞鍵を知らないでそれらの量子状態を測定すればＳＮが極めて悪くなるように設計されます。 というのは間違いで、実は量子効果はほとんど無きに等しく、古典暗号の強度と差はないと言われています。 実際、Y00はアタックの分析が甘すぎると思う。批判に耳を傾ける態度がないし。 374 名前：１３２人目の素数さん [2007/08/20(月) 21:29:14 ] ネイチャーからアクセプト、ｷﾀーーーーーーーーーーーーー！！！！！！！ 俺の論文が１１月に掲載されるよ 『暗号学の不完全性定理』 要点は、「有効な攻撃法が存在しない暗号系の構築は不可能」 AESでもMistyでも、必ず意図しないバックドアが生じるってことよ おまえら、楽しみにしとけ 375 名前：１３２人目の素数さん mailto:sage [2007/08/20(月) 21:37:05 ] ガセネタ乙 376 名前：１３２人目の素数さん mailto:sage [2007/08/20(月) 21:43:50 ] >>374 神 ｷﾀ━━━━━━━━━(ﾟ∀ﾟ)━━━━━━━━━ !!!!! 377 名前：桃子ソロコンサート mailto:sage [2007/08/20(月) 22:20:05 ] 記念カキコ 378 名前：１３２人目の素数さん mailto:sage [2007/08/20(月) 22:43:48 ] ２ちゃんねらーからフィールズ賞が・・・ 379 名前：１３２人目の素数さん mailto:sage [2007/08/20(月) 22:49:19 ] >>374 日経の記者に連絡しますた 380 名前：１３２人目の素数さん mailto:sage [2007/08/20(月) 22:54:12 ] 記念パピコ！わーいわーい！ 381 名前：１３２人目の素数さん mailto:sage [2007/08/20(月) 22:56:27 ] なかなか面白いジョークだ 382 名前：１３２人目の素数さん mailto:sage [2007/08/20(月) 22:58:27 ] >>374 アンタは日本の宝だ。 383 名前：１３２人目の素数さん [2007/08/20(月) 23:00:03 ] ニュー速から来ますた 384 名前：１３２人目の素数さん mailto:sage [2007/08/21(火) 08:57:43 ] >>374 全世界の暗号学者涙目だな。 385 名前：１３２人目の素数さん mailto:sage [2007/08/21(火) 09:59:29 ] こういうNo-go定理が証明される可能性は否定しないが、constructiveな証明でない限り実害はないだろう どうせ、背理法で証明するんだろ 386 名前：１３２人目の素数さん mailto:sage [2007/08/21(火) 10:57:22 ] 世界の暗号界に激震。 こういうのは「・・・。最新号の学術雑誌ネイチャーに掲載される・・・」とか直前にやっと記事になるよね。 387 名前：１３２人目の素数さん mailto:sage [2007/08/21(火) 11:12:12 ] お前らきちんと数学について語れ 388 名前：１３２人目の素数さん mailto:sage [2007/08/21(火) 12:22:16 ] >>374 ＮＹタイムズに連絡しますた 389 名前：１３２人目の素数さん mailto:sage [2007/08/21(火) 16:00:40 ] 東スポに通報しますた 390 名前：１３２人目の素数さん [2007/08/21(火) 23:27:20 ] ノーベル賞級なのか？ 391 名前：１３２人目の素数さん mailto:sage [2007/08/21(火) 23:27:59 ] ペンタゴンに通報しますた 392 名前：１３２人目の素数さん mailto:sage [2007/08/21(火) 23:41:46 ] 今井秀樹先生に報告しますた 393 名前：１３２人目の素数さん mailto:sage [2007/08/21(火) 23:47:38 ] decryption oracle に質問しました 394 名前：１３２人目の素数さん mailto:sage [2007/08/22(水) 00:10:50 ] うんこ漏らしますた 395 名前：１３２人目の素数さん [2007/08/22(水) 00:36:07 ] よーし、パパは１１月号発売前に先にネット上で発表しちゃうぞー 396 名前：１３２人目の素数さん mailto:sage [2007/08/22(水) 14:37:31 ] うんこ漏らした件は内緒で(人∀・)ﾀﾉﾑ 397 名前：１３２人目の素数さん mailto:sage [2007/08/22(水) 19:14:46 ] 　 398 名前：１３２人目の素数さん [2007/08/22(水) 20:56:03 ] でもNatureっていうところがちょっと変だよなあ。 数学的な内容の論文で、本論文がいきなりNatureにのることってある？ 399 名前：１３２人目の素数さん [2007/08/22(水) 21:27:44 ] ぶっち切りに飛び抜けた論文だからなぁ 暗号で身を立てようとしてた俺の人生ｵﾜﾀ＼(＾o＾)／ SEでもやろっと 400 名前：１３２人目の素数さん mailto:sage [2007/08/22(水) 21:29:01 ] で、ｶﾞｾなんでしょ？ 401 名前：１３２人目の素数さん mailto:sage [2007/08/29(水) 00:27:18 ] H田くん、もう荒らすのはやめなさいって。みっともない。 402 名前：１３２人目の素数さん mailto:sage [2007/08/29(水) 02:04:15 ] >>374 暗号関係者、セキュリティ関係者は いつまでも仕事が続いていいじゃない。 いつまでも仕事があるってのはありがたいことじゃ。 403 名前：１３２人目の素数さん mailto:sage [2007/08/29(水) 02:56:04 ] >>401 吹いた。確かにこの人だね。 404 名前：１３２人目の素数さん [2007/08/29(水) 22:28:49 ] >>374 とうとう日本人がやってくれたか おじさん嬉しいよ 405 名前：１３２人目の素数さん [2007/08/30(木) 22:36:09 ] ３７１から続けます。ＢＢ８４の安全性の崩壊 １-１．ＢＢ８４における認証：助言いただいた方の指摘のように、この方式を開始する 際に認証のために初期鍵が必然的に必要になります。それ以後は配送鍵の一部をこれに 当てることによって、認証問題を解決可能ですが、ただでさえ鍵数が少ないのに、 さらに、これによって使える鍵がなくなります。 最初に初期鍵を共有しなければ、量子鍵配送が成立しないと云うことは、事前の 優位性が仮定されていることになります。この事実は、今後の理論展開に陰を 落とします。 １−２。盗聴者の情報量評価：最近の研究では、盗聴者の情報量による評価では ＢＢ８４＋One time padの安全性は全く保証されないことが指摘されています。 したがって、ＮＥＣが報道している成果は暗号機能としては全く意味がありません。 むしろ、完全にinsecureとなります。三菱の盗聴法の開発は本質ではありませんが、 この結果はＢＢ８４の実装的開発の基盤を破壊しそうです。 ２−１．Ｙ００は共通鍵暗号ですから、初期鍵による優位性を仮定しています。 その初期鍵の優位性を通信方式によって具体的な優位性を作り出します。この段階を 基本Ｙ００と呼び量子効果は小さいので、日本のグループが量子揺らぎ拡散写像の 概念を提唱し、その具体例としてＨ−Ｋ写像を開発しています。 ＢＢ８４の場合のシフト鍵段階が基本Ｙ００であり、一致プロトコルや秘匿増幅の ステップに対応するのがＨ−Ｋ写像になっています。 ２−２．先に述べたようにＢＢ８４では初期鍵が必要で、鍵拡張によって得られた 鍵系列による古典的なOne time padの安全性が担保されないのであれば、究極の 暗号に挑戦する上で、同じ初期鍵を持つ方式のＹ００の方の分析がより重要です。 これから、Ｈ−Ｋ写像によってどこまで証明されたかを調査してみます。 また、Mihaljevic(Physical Review A, 2007)がＨ−Ｋ写像よりさらにＹ００が 情報理論的安全性を持ち得ると主張していますので、これらの関係も注視します。 Ｙ００と数理暗号の関係が突破口かなと思います。 406 名前：１３２人目の素数さん [2007/08/31(金) 00:51:20 ] 唐突だけど 玉川大学の購買部で売っている大学ブランドのアイスクリームは ミルクの味が濃くてマジで美味しい。 暗号研究者の皆さんにも是非お勧めしたい逸品だよ。 407 名前：１３２人目の素数さん [2007/08/31(金) 00:53:21 ] ジ・エチレン・グリコール入り 408 名前：１３２人目の素数さん mailto:sage [2007/08/31(金) 01:01:30 ] >>405 なんか、Y00に肩入れしてるけど、Y00のほうがよいと考える理由がわからないな。 BB84がinsecureというのは、弱コヒーレント光を用いる実装での話だと思う。この場合、Decoy手法という方法で 安全性を高めることは可能という話にはなっているのでよろしく。 409 名前：１３２人目の素数さん mailto:sage [2007/08/31(金) 01:03:52 ] ＮＥＣが報道している成果っていうのは、いつの時点の話か知らんが、最近はDecoyで一番きつい条件で評価してるよ。 三菱の盗聴法の開発はよく知らんが、Decoyのバックドアという話かしらん？ 410 名前：１３２人目の素数さん mailto:sage [2007/08/31(金) 08:14:31 ] 東大のグループが言ってた Y00の安全性 = 内部で使われる疑似乱数生成器の安全性 てのはどうなった? 411 名前：１３２人目の素数さん [2007/08/31(金) 11:20:55 ] 質問に答えます。 １． デコイ法：これは２００３年、韓国のHwangによって提案されました。その目的は送信源が 単一の光子ではない場合でも、受信者のデータから、盗聴者が得たであろう情報量を推定する ためです。（もし、単一光子源が用意できるのであれば、漏洩情報量の推定は比較的簡単になります。） ２． いずれにしても、ＮＥＣの２００７年１月のJSTとの報道は、情報量の正確な推定が可能となった 事が新規性であり、その結果、定量的安全性を担保可能になったことを最大の成果としています。 しかし、今回のPhysical Review Letters(２００７年４月)の結果は、情報量がいくら小さくても、 ＢＢ８４＋One time padの安全性の定量的な評価はできないことを証明しています。したがって、 ＮＥＣの成果は無に帰したことになると思います。 ３． Ｙ００に好意的ではありません。物理系の暗号がきらいであっても真実を見極めるためには 相手方の成果を十分理解すべきと思い、調査しています。ＢＢ８４と同じように、いずれ、 安全性の極限を目指せば理論と実装のギャップに悩まされるのは確実と思っています。 ４． 東大グループとは（産総研＋三菱電機）ですか。その批判は基本Ｙ００が絶対安全では ないとの主張であったように思いますが、ＢＢ８４のシフト鍵のステップでは絶対安全では無いと 云っている事と等価あって、本質的なことでは無いと思います。基本Ｙ００に対する高速相関攻撃 （ＳＣＩＳ論文）も事前処理の複雑性を無視した議論のように見えます。先のMihaljevicの論文を見れば この事情はよくわかります。詳細が必要であれば別途報告します。 412 名前：１３２人目の素数さん mailto:sage [2007/08/31(金) 12:39:15 ] >>411 Physical Review Letters(２００７年４月)ってなに？ 413 名前：１３２人目の素数さん mailto:sage [2007/08/31(金) 12:40:20 ] ２があったとして、それはY00には何の影響も与えないの？なんで？ 414 名前：１３２人目の素数さん mailto:sage [2007/08/31(金) 12:45:58 ] PRL 98, 140502でいいかな？読んでみる。 415 名前：１３２人目の素数さん mailto:sage [2007/08/31(金) 13:02:15 ] とりあえず、相互情報量による評価は十分ではないとの主張らしく、QKDスキームそのものが破綻していると言っていない ようだが。。。。。 BB84は漏洩情報量を実験で評価し、A-BのA-EまたはB-Eに対する優位性を確立する。 Y00はその優位性は物理法則＆プロトコルにより確立する。 両者とも、相互情報量を基礎においてセキュリティを議論しているはずだから、相互情報量が指標にならないのなら共倒れ になりそうなもんだけど。もちろん、情報理論に基づく古典暗号もアウトだよね？ 416 名前：１３２人目の素数さん mailto:sage [2007/08/31(金) 13:03:59 ] ＞＞374 で暗号学は終了したんでしょ 417 名前：１３２人目の素数さん mailto:sage [2007/08/31(金) 17:46:18 ] >>411 専門の先生に伺ったのですが、JSTの安全性解析はAccessible informationを使わずに行われているそうです。 418 名前：１３２人目の素数さん [2007/09/01(土) 12:19:10 ] 質問に答えます。 １． Accessible information:量子状態が運んでいる古典情報について、 量子観測によって得られる情報量。Holevo-Hirotaグループによって種々の 基礎理論が開発されています。ＢＢ８４では盗聴者への漏洩情報量に対応 しますが、信号系が複雑になるため直接的な計算法が難しく、種々の上界の 計算によって評価します。ＮＥＣの評価法はこの上界を正確に求めることを 柱としています。その上界理論を用いて、（秘匿増強を経て）漏洩情報量を １／１２８におさえることができました。まさに、英国＋スイスのグループ の理論の範疇にあります。 ２． この理論的成果はＢＢ８４＋One time padに固有のものです。したがって、 Ｙ００や従来の情報理論的暗号には適用できません。 ３．これからＢＢ８４は弁明に追われることになります。一方、Ｙ００は 量子雑音効果を増幅する種々のアイデアが提案される可能性があります。 したがって、Ｙ００を侮ってはいけないのではないかと考えています。 早く、日本で数理暗号の世界へＹ００を取り込んで、その先を進めた方が 得策のようです。アメリカに先を越されたら、日本の損では。 暗号開発はこれまで暗号の発展に貢献してきた数理暗号の研究者に主導して もらい、物理暗号はその一部を担う形が形成できれば、両者にとって 好ましいと思っています。さらに調査を続けます。 419 名前：１３２人目の素数さん mailto:sage [2007/09/01(土) 13:27:06 ] >>418 １．ＪＳＴの成果はAccessible informationに基づいていません。それは他の基準に従って安全性を評価しています。 従って、Accessible informationのlocking propertyの影響は受けません。実際、指摘された論文では他の基準を 用いることを提案しています。また、Entanglement distillationを用いたShor-Preskilの証明も影響を受けないことは 指摘されています。 ２．安全性評価をAccsessible informationでもって行う限り、その評価の普遍性の疑義はBB84に限らず生じます。 Y00がAccesible informationでもって安全性を保証しているのであれば、それは問題です。 ３．指摘されているのは、Accessible informationを安全性評価に用いることへの疑義であり、BB84をはじめとする QKDスキームへの疑義ではありません。 あなたの根拠のない不公平な態度については大いに気になります。 はたからみていると、信用おけない人のように見えます。 420 名前：１３２人目の素数さん [2007/09/02(日) 08:06:41 ] 専門家の反論、ありがとうございます。正確に理解したいので、以下のことを教えてください。 １． 光子通信の位相誤り率のデータによって、漏洩情報量の上界を。。とありますが、 その漏洩情報量の定義と、位相誤り率の測定値とその上界を関係づける理論に関する文献を 教えてください。（ＮＥＣが採用している理論として）。 ２． ＮＥＣの実装実験によって生成された２Ｋビット毎秒の鍵は以下のどれに応用されるの でしょう。（１）One time pad, （２）AESなどの数理的共通鍵暗号 ３． 最終的に速度はどこまで可能かを情報理論的に示せるでしょうか。 ４． PRLの成果は量子鍵配送の原理的な欠点を与えるものではありません。 情報量を基準にしたＢＢ８４＋One time pad というシステムの欠陥を指摘しています。 すなわち盗聴による量子状態変化がＢにおいて検出可能なシステムにのみ有効であり、 システム全体の構成から盗聴の痕跡を隠せる量子操作が可能となることを示唆する ものと思います。しかし、それを克服する提案の評価基準(ノルム)は実験的には無理と 思います。 ５． Ｙ００や古典系の情報理論的暗号では盗聴者の検出は必要ありません。 ＥとＢは独立ですので、上記の理論の有効性を主張できません。しかし、これらにおいて、 情報量による評価が適切であるかどうかは、別問題です。個人的にはいずれにしても情報量 による評価は実用性に乏しいと思います。 ６． 不公平な態度であればお詫びします。 421 名前：１３２人目の素数さん mailto:sage [2007/09/02(日) 10:09:26 ] ＞システム全体の構成から盗聴の痕跡を隠せる量子操作が可能となることを示唆する ＞ものと思います。しかし、それを克服する提案の評価基準(ノルム)は実験的には無理と ＞思います。 その論文に、そのようなことが書いてありますか？ 根拠のない断定だと思います。 ＞５． Ｙ００や古典系の情報理論的暗号では盗聴者の検出は必要ありません。 検出は必要なくても、結局のところBB84と同様にAccessible informationのlocking propertyを使っています。 無関係ではありません。 422 名前：１３２人目の素数さん mailto:sage [2007/09/04(火) 14:39:21 ] 暗号関係の学生の人いる？ 423 名前：１３２人目の素数さん mailto:sage [2007/09/04(火) 15:43:43 ] >>374 まんせー 424 名前：１３２人目の素数さん [2007/09/10(月) 08:12:27 ] NECの量子暗号（量子鍵配送）の欠陥についての報告を続けます。 [A] NEC+JSTの報道の根拠になっている理論はM.H (Phys. Rev. A, 74, 2006, Phys. Rev. A, 76, 2007)です 。この内容を分析しましたので報告します。 1. 安全性の定義として、ＡとＥのAccessible information I(A,E)が極めて 小さいとき、量子鍵配送を安全と定義する　(式（１）： Shor-Preskillの定義を採用) 2. I(A,E)の計算が難しいので、その上界を与えるHolevo限界で評価する。 このHolevo限界の上界が存在し(定理３)、その上界は位相誤り率によって表現できる（補題２）。 3. 位相誤り率からＥが取得している乱数列の漏洩情報量ｔ（レニーエントロピー）が解る。 このｔを見積もることができるのが今回の主要成果。 4. 秘匿性増強によってｔ＋ｄを捨てれば、Ｅのビット当たりのI(A,E)< 1/(2^d)が保証できる。 これを基に実験で１ビット当たり、1/128を得た。 以上より、NEC+JSTの成果はKonigらの定理の範疇にあり、彼らのQKD +one time padの 安全性の根拠は無くなっています。残念ですが、新しい評価法を採用して、はじめから やり直す必要がありそうです。次はNECの生成鍵が真性乱数では無いことについて報告します。 425 名前：１３２人目の素数さん mailto:sage [2007/09/10(月) 08:33:09 ] いつから広Tスレに？ 426 名前：１３２人目の素数さん mailto:sage [2007/09/10(月) 10:41:10 ] ＞以上より、NEC+JSTの成果はKonigらの定理の範疇にあり、 だから、その論拠がないっていうの KonigはAccessible informationで評価するのは危ないっていっただけじゃないですか Holevo限界で評価しているのに、なんでKonigらの定理の範疇にあることになるの？ なんか、適当な理由をつけてダメってことにしたいという意図が見えるんですが BB84は絶対ダメでY00は良いなんていうことも根拠無く言い放ってるし 427 名前：１３２人目の素数さん [2007/09/10(月) 13:54:36 ] 仕事辞めたのは人間関係が原因か >　公安部の調べに、寺沢被告は「電車内で自爆テロを起こすため、ネットで製造方法を学び、 >爆発物を作った」と供述。都内の国立大を卒業後、専攻した暗号学を生かそうとして >通信会社に就職したが、人間関係が合わずに退職。 >スーパーや登録した人材派遣会社の紹介で職を転々としたが、長続きせず、社会に不満を抱き始めた。 www.sankei.co.jp/shakai/jiken/070910/jkn070910015.htm 428 名前：１３２人目の素数さん mailto:sage [2007/09/11(火) 14:59:11 ] >>424 正直言って、Konigらの定理ってよくわからないのですが、解説してもらえん？ 429 名前：１３２人目の素数さん [2007/09/11(火) 22:51:45 ] 途中でしたので続けます。 [B]。技術論としての量子鍵配送の欠陥 １．助言いただいた方が指摘したように、QKDには認証のため初期鍵を共有するという 前提条件がある。これは優位性の理論の限界といえる。 ２．初期鍵を持つQKDによって得られた鍵列を数理的な共通鍵暗号の鍵に使用することは 無意味である。すなわち、そのとき安全性は共通鍵暗号の安全性となり、また最初から 共通鍵を持つなら、その鍵ではじめからAES, MISTYなどの共通鍵暗号が実施できる。 ３．One time pad に用いるとすれば、高速性が必要である。しかし、鍵の生成の速度は ＡとＢの量子通信路のHolevo容量以上にはなり得ない。Holevo-Sohma-Hirotaの公式から、 微弱光による量子通信の速度は通常の通信より桁違いに遅いことがわかる。 すなわち、高効率な高速化は理論的にあり得ない。したがって、現実のNGNにおいて要求される性能を 理論上でも実現できない。 以上より、たとえ、理論上の理想的ＱＫＤ が実現できたとしても初期鍵を必要と するため、ハイブリッド暗号としての応用が期待できず、one time padとするためには 低速すぎるため、利用者の判断は厳しいものとなりそうです。これまで数理的共通鍵暗号 の研究者がなぜ上記のような欠陥を指摘できなかったのか不思議です。 Ｙ００に肩入れするつもりはありませんが、物理系の暗号の限界を歴史的な観点も含めて 精査することは数理的暗号を主役として暗号理論を発展させるためには必要不可欠と思います。 ＢＢ８４の欠陥のさらなる調査に続いてＹ００を調査します。今後、日本の研究者にも取材をお願いしたいと思います。 ＃Konigらの定理についての質問は、これまで説明した以上のものを求めていらっしゃる のであれば、少し時間をください。枠内で説明可能かを検討してみます。 430 名前：１３２人目の素数さん mailto:sage [2007/09/11(火) 22:59:34 ] すでに既知のことかと 431 名前：１３２人目の素数さん mailto:sage [2007/09/11(火) 23:37:30 ] locking propertyはまだ完全に解明されているわけではないみたい 結論付けるには早いのではないかと 432 名前：１３２人目の素数さん mailto:sage [2007/09/11(火) 23:47:08 ] 物理的暗号の限界もいいが、数理的暗号にも限界はある 物理的暗号に限界があるからといって、数理的暗号マンセーにはならない それぞれにはそれぞれのメリット・デメリットがある 433 名前：１３２人目の素数さん [2007/09/12(水) 12:05:51 ] ラインダールとAESって技術的に別物なんですか？ 434 名前：１３２人目の素数さん mailto:sage [2007/09/12(水) 12:27:36 ] ラインダールは人名です 435 名前：１３２人目の素数さん [2007/09/12(水) 13:53:56 ] Rijndael（ラインダール） dictionary.rbbtoday.com/Details/term2291.html ベルギーのJoan Daemen氏とVincent Rijmen氏によって開発された、共通鍵暗号方式（暗号化鍵と復号鍵が同一の暗号方式）で使用されるデータ暗号化アルゴリズムのことです。 436 名前：１３２人目の素数さん mailto:sage [2007/09/12(水) 14:10:23 ] >>433 ラインダールがAESに選定されたんだよ 437 名前：１３２人目の素数さん mailto:sage [2007/09/12(水) 15:07:23 ] >>436 ありがとうございます つまりラインダール=AESで、ランダイール暗号とは別にAES暗号というのは存在していないということなのでしょうか？ ランダイールができた数年あとにランダイールを元にAES暗号ができた、という話を聞いた記憶もあるのですが‥。 また、PGPとAESはどちらのほうが強い暗号技術でしょうか？ 一方向ハッシュ関数というのはどんな関数なのでしょうか？(これらの技術に使えますか？) 暗号技術入門(2003年出版)という本の、量子コンピュータの記述で、 1989年にアメリカで30cmの距離の量子暗号通信に成功した、 2002年に日本で87kmの距離の量子暗号通信に成功した、 という記述がありました また、量子論の粒子は同時に複数の状態を持つことが出来、1個の粒子で0と1の2通りの状態をまとめて計算できるなら 粒子を128個並べると2^128通りの状態をまとめて計算出来、超並列計算機の誕生となる 量子暗号が量子コンピュータよりも先に実用化されると、量子暗号を使って使い捨てパッドを構築し、完全な暗号技術が誕生する しかし量子コンピュータのほうが先に誕生すると、現在の暗号技術による暗号文は全て解読されてしまうことになる という記述がありました この本は少し微妙だったのですが、量子暗号と量子コンピュータの違いもよくわかりませんが、 復号化の計算量が格段にあがると同時に暗号化の計算量も格段にあがるということではないのでしょうか？ また、暗号と情報社会(1999年出版)という本のAESの記述で、 「量子コンピュータが30年〜50年後には実現されるとも予想されており、現在の延長線上で予想しえるのは2030年くらいまでであり、 それまでは鍵の長さを128ビットにしておけば鍵の総当り法で解かれることはまずないと断言できる。」 という記述がありました 量子暗号や量子コンピューターが実現されれば、(暗号以外のことでも)この世界にどのような変化を与えるのでしょうか？ 438 名前：１３２人目の素数さん mailto:sage [2007/09/12(水) 15:09:40 ] ここまで凄い教えて君は久しぶりに見た 439 名前：１３２人目の素数さん mailto:sage [2007/09/12(水) 15:47:53 ] ＮＰの問題のうちいくつかが量子アルゴリズムではＰに落ちる 440 名前：１３２人目の素数さん mailto:sage [2007/09/12(水) 16:01:29 ] NPの問題のうちいくつかが古典アルゴリズムではPに落ちる 441 名前：１３２人目の素数さん mailto:sage [2007/09/12(水) 16:10:08 ] ＮＰの問題のうちＰに落ちることが自明でないいくつかの問題が量子アルゴリズムではＰに落ちる 442 名前：436 [2007/09/12(水) 20:03:13 ] >>437 > ありがとうございます > つまりラインダール=AESで、ランダイール暗号とは別にAES暗号というのは存在していないということなのでしょうか？ > ランダイールができた数年あとにランダイールを元にAES暗号ができた、という話を聞いた記憶もあるのですが‥。 アメリカ政府が、それまでのDESに代わる、次世代標準暗号システムAES(advanced encryptopn system)を公募して、 数年のコンペティションの結果、ランダイールがAESに選定されたのよ 三菱のも良い線行ったんだけど、AESに落選した 443 名前：１３２人目の素数さん mailto:sage [2007/09/12(水) 20:21:58 ] ラインダールとランダイールは別物なんでしょうか？ 444 名前：１３２人目の素数さん [2007/09/12(水) 21:19:41 ] カタカナで比べても意味無いだろ 原語で比較しろよ 445 名前：１３２人目の素数さん mailto:sage [2007/09/12(水) 21:35:45 ] フランダースとフラダンスは別物なんでしょうか？ 446 名前：１３２人目の素数さん [2007/09/12(水) 23:06:31 ] >>437 AESは128ビットだけなのに対し、Rijndaelは192ビット 256ビットもあるから、そういう意味で二つを区別する こともある。 PGPは暗号化ソフトウェア、AESは暗号アルゴリズム。 つまりPGPみたいなソフトの部品としてAESがある。 実際にPGPはAESをサポートしてるし。 あとは…だんだん答えるの面倒になってきた…。 誰かかわりを。 447 名前：１３２人目の素数さん [2007/09/12(水) 23:07:53 ] >>442 三菱はAESに出してないよ。E2はNTTの単独応募。 NTTと三菱が共同開発したCamelliaは、 AES応募暗号じゃないし。 448 名前：１３２人目の素数さん [2007/09/13(木) 00:08:50 ] >>442 ×　advanced encryptopn system ○　Advanced Encryption Standard 449 名前：１３２人目の素数さん [2007/09/13(木) 00:18:10 ] >>437 PGP: RSAとDH/DSSを使って暗号化するんだけど、素人が自分でやるのメンドイから、 簡単にやれる、それ専用の暗号化アプリ作って売り出した人がいたのよ。 その暗号化アプリの商品名がPGP。 450 名前：１３２人目の素数さん mailto:sage [2007/09/13(木) 10:52:54 ] >>424 Kronigの定理なんて言って、それを根拠にしようとしているみたいだが、そんな定理はどこにもない Kronigは、一部の情報量のメジャーにはlocking propertyがあるから、それでもって安全性を評価することは よくないと主張しただけだろ KronigのＤ論読んでみろ その話は例としてあげる程度の小さなトピック扱いだ Kronigは具体的にバックドアを与えたわけではないし、locking propertyは結構昔からある概念のようだが、 まだよくわかっていると言えるほど議論が進んでいないようだ 451 名前：１３２人目の素数さん mailto:sage [2007/09/16(日) 21:47:37 ] WindowsVistaからSSLの最優先暗号がAES-128に変わってたの知ってた？ でも、なんでAES-256より優先なんだろ。 452 名前：１３２人目の素数さん [2007/09/17(月) 00:19:34 ] 商業的価値が高い。 サーバの負担が軽くなる。以上 453 名前：１３２人目の素数さん mailto:sage [2007/09/17(月) 01:43:21 ] 一般的な商業的価値から言えば、鍵長が大きいほど安全＝高価値と 言えるのでは？ サーバ側が負担ならサーバ側の責任でその暗号を落とすと思うけど。 Vistaの場合、サーバが安全な暗号が使える環境を提供していたとしても Vista側の都合で、AES-256bitよりも128bitをデフォルトで優先してしまう訳で、 そこが不可解と思う。 確かにMSの商業的ポリシーと言ってしまえばそれまでなんだけどね。 454 名前：１３２人目の素数さん [2007/09/17(月) 03:47:47 ] >一般的な商業的価値から言えば、鍵長が大きいほど安全＝高価値と >言えるのでは？ それは確かにそうなんだけど、過剰防衛ってとこかな？鍵長256bitのrijndaelは。 現状の暗号に対する攻撃研究・計算資源の観点から考えると。 採算度外視の軍事目的・外交機密保持目的なら鍵長256bitの対称鍵暗号使うんだろうけど。 455 名前：１３２人目の素数さん mailto:sage [2007/09/18(火) 09:28:17 ] 256使わないのはアメ政府の圧力 456 名前：１３２人目の素数さん mailto:sage [2007/09/18(火) 15:57:57 ] Kronigの議論って全く納得できないよ ロックする鍵とロックされたデータを区別しなくていいの？ 両者は対等の関係（対称的）とはとても思えないんだが・・・・ 457 名前：１３２人目の素数さん [2007/09/24(月) 10:55:36 ] 以下を参考にしてください。(海外取材のため遅れました) [C] BB84の実験系での欠陥 １．Renner, Gisinら、及びKonig, Maurerらの理論の根底にあるのはパラメータ推定 プロトコルの測定結果（古典量）のみでprovable securityを達成できないと云うことです （ＥとＢの相関がone time pad実行時にＥにもメリットを与える）。それに代わって実際 伝送された量子状態と理想の量子状態の誤差を評価とすることによってprovableになることを 証明しました。東工大グループは、すでにこの路線の意味を説明しながら (Phys. Rev. A. 76, Sept, 2007)、鍵速度の改善法を議論しています。 ２．NEC+JSTが採用する情報量評価に基づく路線の危険性は暗号理論の歴史において以前より 警告されていました。暗号理論を良く理解している東工大グループは時代の流れに沿っている と思います。しかし、この新評価法によって、量子状態レベルで誤差が極小であれば、生成鍵 はいかなる応用にも安全であるという、ユーザーには解りにくいprovableになってしまいました。 ３．すなわち、実際の実験系で送受信の量子状態を同定することは困難です。東工大グループは Bell状態を使ったentanglement distillation protocolを想定していますが、現実には Fock stateを生成できません。微弱なcoherent stateで近似するならvan Enk-Hirotaの coherent stateのエンタングルメント理論(Phys.Rev.A, 2001)が必要になります。また 現実のファイバ:CP map, 量子測定:POVMは実験でその精度を保証するのは困難です。 すべてのデバイスに近似が入った場合、上記の評価基準は意味不明になります。 ４．次は、連続量による量子鍵配送はさらに問題があることを報告します。結局、 量子情報科学は社会に何も持たらすことなく消えるのではないかと予想しています。 458 名前：１３２人目の素数さん mailto:sage [2007/09/24(月) 11:17:19 ] >>457 実験系での欠陥の話にはなってないですね 安全性評価の根拠をどこに求めるかという理論の話に終始しています ＞測定結果（古典量）のみでprovable securityを達成できない Konig, Maurerらはここまで言ってないわけですが、Renner, Gisinらが言ってるんですか？ 理想状態との比較で安全性を評価するという方法は、もっとも確実な方法かもしれませんが、 その評価には測定結果（古典量）を使うのではないのですか？ JSTが評価に用いているホレボー情報量はlockableではない（観測基底によらない）ようですが、 それではいけないという話があるんでしょうか？ 459 名前：１３２人目の素数さん [2007/09/24(月) 17:59:09 ] 残念ですが、誤解ではないかと思います。 １． 測定結果（古典量）のみでprovable securityを達成できない。 M.Ben-Orら, Rennerらの結果から演繹できます。東工大グループの論文にも 簡単なコメントがあります。 ２．古典量を使いますが、その前提として量子状態レベルの保証が必要です。 ３．M.H(Phys. Rev. A, 74, 2006)のSection IIIとsection VIをお読みくだ さい。Holevo情報量はaccessible informationの上界です。　 (アメリカ＋カナダの取材でも確認しております)。 全部の草稿が完成すれば公開しますので、またご意見をお聞かせくだ さい。 460 名前：１３２人目の素数さん mailto:sage [2007/09/24(月) 21:50:04 ] >>459 １、２の意味が分かりませんが、その人たちは量子暗号を否定しているのですか？東工大のグループは鍵生成速度を 向上する方法を提示したと言っていましたが、矛盾してますね あなたの理解はバイアスがかかっていると思っているので、各論文のレファレンスを示してください あと、あなたの勝手ではありますが、その草稿はしかるべき論文誌になさった方が実り多いと思います 461 名前：１３２人目の素数さん mailto:sage [2007/09/24(月) 21:52:47 ] ＞演繹できます ってことは、あなたの演繹なんですよね？ こうなると、きちんと論文としてまとめていただかないと議論は無理だと思いますよ 462 名前：１３２人目の素数さん mailto:sage [2007/09/24(月) 21:55:09 ] ＞量子状態レベルの保証 こういう言葉も、それが何を意味しているのか詳しい説明が必要です 例えばトモグラフィックな手法などによる、完全な状態同定のことなのかな？ 463 名前：１３２人目の素数さん mailto:sage [2007/09/24(月) 22:27:35 ] >>459 ホレボー情報量がaccessible informationの上界であることは知っていますが、３で何を言いたいの？ 464 名前：１３２人目の素数さん mailto:sage [2007/09/24(月) 22:33:37 ] >>459 ＞東工大グループの論文にも簡単なコメントがあります。 どこにあるのか分からない・・・・・ そんなこと主張している論文にはとても見えない・・・・ 465 名前：１３２人目の素数さん [2007/09/29(土) 17:30:19 ] 量子鍵配送（量子暗号）の理論の方向が変わったことをご存じないようなので以下に説明します。 １． Shor-Preskill, Lo,などの量子鍵配送の理論はＥの情報量が極小になることによってその 安全性が保証されている。しかし、その評価ではQKD + applicationsにおいて安全性を定量化 できないことが多くの研究者によって指摘された（２００１〜２００２）。 ２． Ben-Or, Mayers（２００２）は古典系のCanetti（２００１）のUniversal composability の概念「理想系の鍵列と実際の鍵列の差によって定量化」を量子版に一般化することを試み、 理想系のランダム量子状態列と実系の量子状態列のトレースノルムを極小にすることで安全性 の定量化を定義した。 ３． Renner, Gisinら（２００５）は、そのトレースノルムが極小であれば、量子版の レニーエントロピーが定義でき、それに基づき秘匿増強プロトコルなどによって、応用に 利用できる鍵生成が可能であることを示した。（一見、いままでのプロトコルが有効に 感じられるが、安全性は量子状態のノルムが極小であることが前提となる）。 ４． 実験屋は量子レベルで自己のシステムの量子状態列が理想系との誤差が極小であることを 実証しない限り、定量的な安全性を主張できない。 ５． Ｅの情報量を極小にする従来の理論体系では、量子レベルで保証する必要はなく、 測定値に基づくプロトコルで安全性を定量化できるという実験屋には都合の良い利点があった。 しかし、それは意味を失った。今後は、量子レベルで保証をしてから、全てのプロトコル を実施する必要がある。私が挫折した量子処理プロセッサーの実験より難しい実験が必要と思う。 学問としての量子暗号研究を否定するつもりはありませんが、ＮＥＣのように実用化を主張するのは 賛成できません（ＮＥＣ＋ＮＩＣＴ、ＮＥＣ＋ＪＳＴ，ＮＥＣ＋ＩＮＱＩＥは広範な実社会で数年以内 に商用可能となるものに対する国庫助成ですか？、あるいは基礎研究ですか？）． 466 名前：１３２人目の素数さん mailto:sage [2007/09/29(土) 22:23:02 ] >>465 安全性の証明が、Universal composabilityに基づくものにシフトしているらしいのはわかります。 質問ですが、量子レベルの実証や保証ということの内容と、測定値に基づくプロトコルで安全性を定量化ということの内容の 違いは何ですか？何を保証することを求めていますか？ それらはどちらも実験に基づいて行う事柄であることではあるのですよね？ 実用化研究に関しては、世界各国でそれを名乗って研究が行われています。実験が理論をフォローアップできていないので しょうが、理論がどうするべきだという指針を示すべきでしょうね。 467 名前：１３２人目の素数さん mailto:sage [2007/09/29(土) 22:25:14 ] もう一つ質問ですが、ベルの不等式に基づく、エンタングルした系を用いた量子暗号の場合はどうなりますか？ 468 名前：１３２人目の素数さん mailto:sage [2007/09/30(日) 08:05:22 ] >>465 事実と私見はきちんと分離して書いてよ 469 名前：１３２人目の素数さん mailto:sage [2007/09/30(日) 09:24:56 ] ＞その評価ではQKD + applicationsにおいて安全性を定量化できない ってどいうこと？ 470 名前：１３２人目の素数さん mailto:sage [2007/10/02(火) 13:50:08 ] >>465 私が聞いた話と大分違うようです。 Universal composable securityが量子暗号の標準的セキュリティ基準となっていることは事実だと思われます。 それは、考えているプロトコルを上位レイヤーのアプリケーションの一部として用いる場合に、そのプロトコル の安全性を保証する基準と言うことですね。 量子通信にはSuperadditivityという古典にはない特異な性質があるため、その性質を考慮した安全性評価を 行わなければ、他のアプリケーションとの組み合わせにおいてフローが生じるおそれがあるということが根底 にあるようです。 Konigの論文は、例は適当であるとは思いませんが、そのようなフローの可能性を例示したものでしょう。 量子鍵配布はUniversal composable secureであることが証明されていると聞きました。ただし、その安全性評価 は厳しくなっており、鍵長に応じて妥当なスケーリングを行うか、ホレボー情報量のようなSuperadditivityの効果 を含んだ、nonlockableな情報量で評価する必要があると言うことのようです。 また、Universal composable securityによって所要のセキュリティを持つ最終鍵レートは変化したりすることはあ るが、物理的プロトコルやポストプロセスの方法には変化は要しないそうです。 なお、JSTの評価はnonlockableなホレボー情報量を用いた評価なんだそうです。 私の印象では、認証による鍵消費あるいは安全性劣化のおそれを除けば、どこにも量子鍵配布を否定するよう な決定的悪材料はないように思えたのですが、認識の違いがあれば教えてください。 471 名前：１３２人目の素数さん mailto:sage [2007/10/02(火) 13:55:41 ] 長文書いてる奴はバカですか 472 名前：１３２人目の素数さん mailto:sage [2007/10/02(火) 19:31:17 ] ＞量子論の粒子は同時に複数の状態を持つことができ、 1個の粒子で0と1の2通りの状態をまとめて計算できるなら 粒子を128個並べると2^128通りの状態をまとめて計算でき 超並列計算機の誕生となる というのはいつ頃誕生しそうなのですか？ 電子1個の体積は未だに測定できないみたいですが‥ www.geocities.jp/hiroyuki0620785/k0dennsikotai/17cm.htm 473 名前：１３２人目の素数さん [2007/10/02(火) 22:25:43 ] ４７０で質問いただきありがたいですが、あまりにもすごい論理なので、 とても私には答えられません。専門用語を並べる前に、その一つ一つの 意味を勉強されると良いと思います。また、人が言っているというのでは無く 自身で論文を読んで、自分で確認することが大事です。 もし、ＮＥＣ＋ＪＳＴがこの程度だとすれば、理論を理解せず実験を進めている という印象を与えます。（私は彼らは立派な物理の研究者だと思っています） これからも、少しずつ報告しますので、内容の確認を試してみてください。 474 名前：１３２人目の素数さん [2007/10/02(火) 23:10:24 ] 確かに理解力弱すぎるね。 475 名前：１３２人目の素数さん mailto:sage [2007/10/02(火) 23:31:53 ] >>473 え？ ＞(海外取材のため遅れました) ＞(アメリカ＋カナダの取材でも確認しております)。 って、取材したり論文を読むのは、人が言っているというのとそんなに違いますかね？ 論文のほうは実際に読んでみようとは思っていますが、ＱＫＤに致命的な問題があるとか、プロトコルを変更する 必要があるという話は知らないですね。 もしそんなことがあるなら、耳にしてもいいと思いますが。 あなたの悲観的感想の理由は明確ではない（おそらくご自分でもまとめ切れていない）と思います。 質問にも答えて頂けていないし、自分で情報収集して判断することにします。 476 名前：１３２人目の素数さん [2007/10/03(水) 10:09:00 ] 大学の教員ではないので、論理の添削をする能力が無く、適切な返答が できないのはごめんなさい。取材（インタビュー）は仕事ですので、 なれていますが、話のみでは誤解や聞き漏らしがあるので、出典などを確認 することによって、まとめています。質問された内容は、今後どのように まとめればよいかを考えるために吟味させてください。 477 名前：１３２人目の素数さん mailto:sage [2007/10/03(水) 12:00:33 ] >>476 論文に書いてあるとおりの論理ではないかもしれませんが、Composable securityが量子において特に重要である 理由はSuperadditivityにあるという理解は間違ってはいないだろうと思っています。 私の今の問題意識は、あなたが示唆するようにComposable securityが実験を難しくするというのは事実か否かです。 「量子レベルの保証」の意味を知る必要があると思っています。 478 名前：472 mailto:sage [2007/10/03(水) 18:18:14 ] 返信プリーズ 結局量子暗号ができれば、今存在する暗号技術は全て解読され、さらに限りなく解読不能に近い完全暗号（OTP？）がでるのですか？ でもOTPは長い鍵を暗記する以外に保存方法がないので無理な話なんすかね‥？ 479 名前：１３２人目の素数さん mailto:sage [2007/10/04(木) 05:10:41 ] >>478 >結局量子暗号ができれば、今存在する暗号技術は全て解読され ちがいます >さらに限りなく解読不能に近い完全暗号（OTP？）がでるのですか？ ちがいます >でもOTPは長い鍵を暗記する以外に保存方法がないので無理な話なんすかね‥？ ちがいます 480 名前：１３２人目の素数さん mailto:sage [2007/10/04(木) 08:52:50 ] >>479 すみません、ちょっと違かったです‥ 量子暗号ができると、量子暗号を使って使い捨てパッドを構築し、完全な暗号技術ができる 量子コンピュータができると、現在の暗号技術による暗号文は全て解読されてしまう と2003年の本に書かれていました 暗号解読 サイモンシン(2001年)にも似たようなことが書いてあった気が‥ 電子とか光子とか量子とかよくわからないんですが、今のPCの通信やデータ保存に使われているのは基本的に電子ですか？ 光回線とかも聞きますが、そういうのは光子使ってるんすかね‥(違かったらすみません‥) 量子技術は既にあるとか言ってる人もいますが、上記のようなことまでできる量子技術はまだ誕生してないんですよね？ 上のようなことができる量子技術や量子コンピュータはいつ頃誕生しそうなのでしょうか？ また、 ・量子暗号誕生→現在の暗号技術による暗号文は全て解読される ・量子コンピュータ誕生→完全な暗号技術ができる というのは正しいのでしょうか？ 完全な暗号技術というのがよくわかりません。 もしOTPだとすれば、長い鍵は暗記はできないのでデータとして保存するしかなく、その保存したものに鍵を付けるとしても暗記できるくらいの短い鍵しか付けられないので実用性はないということなのでしょうか？ 全然わからめ‥。 量子技術誕生→ ・総当りで試していく解析スピードがものすごく(数億倍くらい？)早くなる？　 ・高度な暗号アルゴリズムが誕生する？　 ・ビット的にはどうなる？暗号ソフトは256bitでパスワード32文字までとかですが、256万bitになったりするとかそういうことでしょうか？(違うと思う‥)　そしたらパスワードは32万文字まで‥。　 それでもパスワードを「b925b925b925‥」とか規則性持たせて32万文字まで埋めても解読されてしまいますよね？　完全な乱数で長いパスワードでも暗記できないし‥。 そもそも電子とか電気とか、そういうのを使ってどうやってデータを保存しているか、送信(通信？)しているか、計算しているか、とかさっぱり知りません。 どなたかアフォな俺にわかりやすく教えてやってください‥。 481 名前：１３２人目の素数さん [2007/10/04(木) 10:16:31 ] アフォ過ぎるからやだ 482 名前：１３２人目の素数さん mailto:sage [2007/10/04(木) 18:34:15 ] 夏 休 み 始 ま っ た な 483 名前：１３２人目の素数さん [2007/10/04(木) 22:37:47 ] >>482 1文字ずつでおｋ >>480 ログ嫁。 OTPは量子がどうとかは関係無い上に、随分昔からある技術。実用的じゃないが。 ＞量子暗号ができると、量子暗号を使って使い捨てパッドを構築し、完全な暗号技術ができる 量子に関する技術を用いれば、OTP用の鍵が生成できるって話だな。 ＞量子コンピュータができると、現在の暗号技術による暗号文は全て解読されてしまう 飛躍しすぎだろう。RSAを解くのにかかる時間が短縮されるって程度だと思ってるが。 そもそも、「(OTPを除く暗号に対し)鍵に関する情報が全く無いとき、その暗号は本当に解けないのか？」という問いに対して 「有限の時間で解くことは可能だが、非常に長い時間がかかる」が正しい解答であって。 ＞電子とか光子とか量子とかよくわからないんですが、今のPCの通信やデータ保存に使われているのは基本的に電子ですか？ 100パーセント再利用された電子を使って通信を行っています。というジョークが通じるだろうか？ データ保存は媒体に因る。例えば、FDは電磁誘導を起こして読み込み、永久磁石と電磁石を使って書き込む。 ＞光回線とかも聞きますが、そういうのは光子使ってるんすかね‥(違かったらすみません‥) 光を使ってるんだと思うんだが？ 484 名前：１３２人目の素数さん mailto:sage [2007/10/04(木) 22:38:27 ] #sage忘れｽﾏｿ ＞・総当りで試していく解析スピードがものすごく(数億倍くらい？)早くなる？ ムーアの法則参照。放っておいてもIntelのおじさんががんばるから速くなる。 それと、3GHzのCPUもがんばれば8GHzで動作する。あと、解析速度はアルゴリズムにも依存する。 ＞・高度な暗号アルゴリズムが誕生する？ 計算方法と実際の機械は別だろう。Windowsだって最初はエミュレータ上で動く。 ＞そもそも電子とか電気とか、そういうのを使ってどうやってデータを保存しているか、送信(通信？)しているか、計算しているか、とかさっぱり知りません。 調べろ。どっちみち阿呆なお前さんには理解しないほうがいい内容。 電子でどうやってデータを保存したりするかについては半導体の仕組みから学んでいただきたい。 送信はただ単に回路を引っ張ってつなげてるだけと考えてもおｋ。特にお前さんみたいな阿呆にとっては。 計算方法？ja.wikipedia.org/wiki/%E5%8A%A0%E7%AE%97%E5%99%A8 これ見て理解できなければ諦めていただきたい。 485 名前：１３２人目の素数さん [2007/10/04(木) 23:04:39 ] ４７７の感想 超加法性：古典情報の量子状態による伝送において、符号と量子一括測定を 組み合わせたとき、n次拡大通信路容量が1次のn倍より大きくなることがある。 この効果は、古典情報に対する量子測定の量子利得であり、定量的に極めて 小さく、実用的な量子利得とはなりません（NICTのグループはこの効果が 光通信の未来に期待できるとしていますが、定量的な意味において根拠が ありません） また、この効果は量子鍵配送の安全性に関係はありません。量子鍵配送の安全性は、 これまで報告のように量子情報を定量化する概念(忠実度など)によって担保されて います。NICTがミスリードしている原因がこのことによる可能性があり調査の対象 として興味あります。 仮説を立てて研究するのは自由ですが、多くの研究者が年代を重ねて成果を 議論しているのですから、まず、その成果を理解してからにすべきであると 思います。 486 名前：１３２人目の素数さん mailto:sage [2007/10/04(木) 23:59:28 ] このスレを「定量的」で検索すると 「定量的」の意味がわからなくなる 487 名前：１３２人目の素数さん mailto:sage [2007/10/05(金) 00:13:10 ] > また、この効果は量子鍵配送の安全性に関係はありません。 いやおおありだからcomposabilityを気にしたりするんだろ？ > 量子鍵配送の安全性は、これまで報告のように量子情報を定量化する概念(忠実度など)によって担保されて います。 ABEの閉じた系内でのfidelityやtrace distanceの評価だけだと不十分だからcomposabilitiyを考えるわけで。ひょっとしてそれだけで十分だと思ってた？ > 仮説を立てて研究するのは自由ですが、多くの研究者が年代を重ねて成果を > 議論しているのですから、まず、その成果を理解してからにすべきであると > 思います。 ああまさに理解してから一丁前の御託並べるべきだと思うわ 488 名前：１３２人目の素数さん mailto:sage [2007/10/05(金) 00:24:19 ] >>485 いくつかの論文を読んでいますが、鍵配布プロトコルのアプリケーションにおいて仮にｍ個の鍵がわかってしまった ようなことがあったとき、その影響が単にｍ個の鍵だけの問題にとどまらず、ｍ＋１、ｍ＋２、・・・の鍵の解読につな がる可能性が、超加法性によりありうるということが問題であると書かれています。 また、Universal Composabilityを導入することにより、超加法性を活用した量子一括測定攻撃に対する安全性も保証 できるとされています。 これは私自身の感想ですが、量子鍵配布プロトコルは単独で利用されることはなく、常にメッセージ認証プロトコル プロトコルと組み合わせて利用されることからも、Composabilityの保証は確かに重要なことと思います。 超加法性と量子暗号の安全性、特にUniversal Composabilityとは無関係という判断のほうがミスリードだと思います。 私は。 489 名前：１３２人目の素数さん [2007/10/05(金) 09:34:45 ] コメントありがとうございます。 主張したいことは、解りますが、超加法性は評価法に対する数学的な性質であって、 量子一括測定の現象ではありません。量子一括測定による量子効果は量子状態を coherentに処理することによる量子雑音の軽減効果です。これらを同一視した議論の ように思います。あなたが量子一括測定そのものを超加法性と定義するのであれば、 そのような視点で考えてみましょう。まず、その点を教えてください。 490 名前：１３２人目の素数さん mailto:sage [2007/10/05(金) 12:52:47 ] >>489 順次送付されるｍ量子ビットへの個別攻撃を考えてみましょう。盗聴者は一つ一つの量子ビットからIの情報を得ることが 可能とします。このとき、ｍ量子ビットへの個別攻撃によって得られる情報は高々ｍＩです。 量子一括攻撃で期待することは何でしょうか？それは、ｍ量子ビットをまとめて測定することにより、ｍＩ以上の情報を得る ということに他なりません。 これは、まさに超加法性の定義そのものです。 491 名前：１３２人目の素数さん mailto:sage [2007/10/05(金) 13:02:31 ] ホロデッキらは、情報量のlockingという性質は、Superadditivityの一種であると言っています。その根拠は、このような性質は 古典情報にはなく、量子情報特有の性質だからです。 Kronigらの指摘した件は、アクセシブル情報量におけるlockingがccomposable securityを脅かす可能性があるということであり、 超加法性と密接に関係しあっているわけです。 492 名前：１３２人目の素数さん mailto:sage [2007/10/05(金) 14:26:22 ] >>489 > 超加法性は評価法に対する数学的な性質であって、量子一括測定の現象ではありません。 量子一括測定の現象です。 493 名前：１３２人目の素数さん mailto:sage [2007/10/05(金) 20:24:56 ] >>485 NiCTで研究されたのは、コヒーレント状態という古典情報に近い状態に関する超加法性ですが、それだけがすべてでは ありません。 一般に、ｍ個の独立な系（全系の状態は個々の系の直積状態）を用いて符号を構成した場合に、それぞれの系を個 に観測して得られる情報の和よりも、ｍ個の独立な系を一括測定して得られる情報が多い場合、超加法性と呼びます。 個々の系の状態はコヒーレント状態には限りません。例えば任意の量子ビット状態でも構いません。 494 名前：１３２人目の素数さん mailto:sage [2007/10/06(土) 00:35:39 ] >>483,484 ども。 >OTPは量子がどうとかは関係無い上に、随分昔からある技術。実用的じゃないが。 量子技術の記事に「量子暗号を使って使い捨てパッドを構築すれば、完全暗号ができる」と書いてあったのですが。 もちろんOTPは昔からある技術で実用的じゃないのは知っていますよ。 >量子に関する技術を用いれば、OTP用の鍵が生成できるって話だな。 完全な乱数が作れる、というだけなのでしょうか？ いろんな暗号の本には、「量子暗号が確立されれば完全暗号が誕生する」とあるみたいですが… >>量子コンピュータができると、現在の暗号技術による暗号文は全て解読されてしまう >飛躍しすぎだろう。RSAを解くのにかかる時間が短縮されるって程度だと思ってるが。 >そもそも、「(OTPを除く暗号に対し)鍵に関する情報が全く無いとき、その暗号は本当に解けないのか？」という問いに対して >「有限の時間で解くことは可能だが、非常に長い時間がかかる」が正しい解答であって。 「量子コンピュータができると、現在の暗号技術による暗号文は全て解読されてしまう」と書いてある 暗号技術入門(2003年出版)という本に文句言ってくれ…。暗号解読にも同じこと書いてあったけど。 光の技術は光(光子)の集合をまとめて扱う(0か1の情報を符号化させる)が、 量子の技術は光子1個に対して0か1の情報を与える。 まだ光の信号でさえデータの保存などできないが、光の信号でデータを保存できるようになれば今の数万倍のデータ量が扱えるようになり、 さらに光の粒子の性質を使った「量子コンピュータ」が開発されれば今の100億倍のデータ量が扱える、とありました。 blog.goo.ne.jp/liberty7jp/e/2d6e24795ab81b61023f0276fc3d83d6 処理スピードや通信スピードについてはよくわからないですが、おそらくデータ量の性能と同じように光の10万倍の性能(今の100億倍の性能)になるんですよね…。 今の100億倍の性能になっても、 >RSAを解くのにかかる時間が短縮されるって程度 なのでしょうか？ 量子コンピューターが誕生するのはまだまだ先の話だと思いますが…。 495 名前：１３２人目の素数さん mailto:sage [2007/10/06(土) 00:37:05 ] >そもそも、「(OTPを除く暗号に対し)鍵に関する情報が全く無いとき、その暗号は本当に解けないのか？」という問いに対して >「有限の時間で解くことは可能だが、非常に長い時間がかかる」が正しい解答であって。 これはなんか処理スピードなどについて何にも吟味してない人が書いてるようなことに思えます…。 >FDは電磁誘導を起こして読み込み、永久磁石と電磁石を使って書き込む。 どうも。 ハードディスクやフラッシュメモリは電気信号を電磁信号に置き換えて記録、 CDやDVDは電気信号を光学信号に置き換えて記録しているみたいですね。 >>光回線とかも聞きますが、そういうのは光子使ってるんすかね‥(違かったらすみません‥) >光を使ってるんだと思うんだが？ 光通信の「光」は電気信号を「光」の明滅信号にして送っている。とのことでした。 光子が使われているかは微妙なところだが、光子を生成したり解析しているわけではない。とのことでした。 >>・総当りで試していく解析スピードがものすごく(数億倍くらい？)早くなる？ >ムーアの法則参照。放っておいてもIntelのおじさんががんばるから速くなる。 >解析速度はアルゴリズムにも依存する。 ムーアの法則(www.openhard.co.jp/moore.htm ) >半導体集積チップに集積したトランジスタ数は、2年（18ヶ月）毎に約2倍になる >そろそろこの法則が崩れる時が近づいてきているかもしれません。インテル社の最新テクノロジーでは、ゲート酸化膜の厚さが、分子３個分しかない 「ムーアの法則は10年後、15年後に行き詰る」--ムーア氏が指摘 japan.cnet.com/news/ent/story/0,2000056022,20356692,00.htm >今やそれらの絶縁層は5分子層ほどの薄さだ。「1分子層以上に薄くすることは不可能であり、5分子層以上に薄くすることも実際（事実上）不可能だ」（Moore氏） >研究者らが3次元積層チップを作れば、エレクトロニクス産業のさらなる発展も可能だと指摘 >3次元積層チップでは、トランジスタを別のトランジスタの上に積み重ねることができる >Moore氏は別の講演で、ムーアの法則はいずれ失速するか、頭打ちになる可能性もあるとの見通しを示した。 496 名前：１３２人目の素数さん mailto:sage [2007/10/06(土) 00:39:06 ] このムーアの法則というのも電気信号での話ですよね…。近い将来でパソコンの処理や通信やデータなどに関わるのは、 光や量子などではなくムーアの法則だ、ということでしょうか…？ 自分は一応、書いた通り、量子技術ができたあとの「解析スピード」についてだったのですが…。 497 名前：１３２人目の素数さん mailto:sage [2007/10/06(土) 00:39:47 ] >>高度な暗号アルゴリズムが誕生する？ >計算方法と実際の機械は別だろう。Windowsだって最初はエミュレータ上で動く。 そうなんですか‥。でも今の暗号アルゴリズムのままでは量子技術が誕生するとOTP以外は全て解読されてしまうのですよね？ これは総当りの解析スピードが数億倍になるから、ということなのでしょうか。 実用性のある量子技術が誕生すると、暗号アルゴリズム自体の解読にも役立つということはないのでしょうか？ 暗号アルゴリズム自体の解読や、新たな暗号アルゴリズムの作成は、人間の頭で考えることがベースで、例え量子コンピュータのようなものすごい高性能なパソコンが誕生したとしてもそれを有効に使うことは難しいということでしょうか？ >>そもそも電子とか電気とか、そういうのを使ってどうやってデータを保存しているか、送信(通信？)しているか、計算しているか、とかさっぱり知りません。 >調べろ。どっちみち阿呆なお前さんには理解しないほうがいい内容。 >電子でどうやってデータを保存したりするかについては半導体の仕組みから学んでいただきたい。 >送信はただ単に回路を引っ張ってつなげてるだけと考えてもおｋ。特にお前さんみたいな阿呆にとっては。 >計算方法？ja.wikipedia.org/wiki/%E5%8A%A0%E7%AE%97%E5%99%A8 これ見て理解できなければ諦めていただきたい。 すみません、書き込んだときちょっと投げ遣りでしたw イメージとしては基本的に、今現在パソコンのデータや通信で主に使われている電気信号を (「電気信号の集合体」自体には今の技術では記憶できないため)電磁信号か光学信号に置き換えて記録し、 それらのデータは全て完全に0と1の情報のみで構成・保存されていて、膨大なオンオフ(1か0)の切り替えを 同時並列処理で高速に行うことにより処理している、という感じらしいですね。 通信はとてつもなく速いモールス信号(モールス信号=信号の長短、デジタル信号=電気信号の？オンオフ)のようなイメージだと教えていただきました。 498 名前：１３２人目の素数さん mailto:sage [2007/10/06(土) 01:15:58 ] また暗号と関係ない話をし始めたか そろそろ圧縮とプログラムがどうのこうの語り出すぞ 499 名前：１３２人目の素数さん mailto:sage [2007/10/06(土) 09:02:54 ] >>494 横レス失礼 >>478は「量子暗号が実現されて初めてOTPが実現されるのか」と質問し >>483が「OTP自体は量子暗号に関係なく昔から存在する技術」と解答してるようにしか見えないんだが >>494は何に引っかかっているんだ？ ＞量子技術の記事に「量子暗号を使って使い捨てパッドを構築すれば、完全暗号ができる」と書いてあったのですが。 ＞もちろんOTPは昔からある技術で実用的じゃないのは知っていますよ。 と言ってるけど ・その「量子技術の記事」に書いてある「完全暗号」とはOTPのことであり 　　その記事を「量子暗号が実現すればそれを使って『初めて』OTPが実現できる」と解釈するのは間違いである。 　　 てことは一連のやりとりを見れば俺でもわかるぞ 500 名前：１３２人目の素数さん mailto:sage [2007/10/06(土) 09:09:50 ] ん？>>494がバカってことでFA？ 501 名前：１３２人目の素数さん mailto:sage [2007/10/06(土) 09:22:29 ] 根本的にまったくわかってないのに自分の理解の範囲を超えたことを教えてもらおうとしてる しかも自分で勉強しようとしない。足し算引き算の概念すらわかってないのに積分を教えろとうるさい 502 名前：１３２人目の素数さん [2007/10/06(土) 13:23:19 ] 繰り返しになりますが、超加法性は量子一括測定と符号の選定により情報量 評価関数等が加法性を超えることです。同じ量子一括測定でも、符号の選定が まずければ超加法性は観測されません。どのような評価関数であっても 量子一括測定は必要条件であって、十分条件ではありません。 ここでは、どちらでも構いませんが、それで、あなたの云う超加法性が 安全性の定量化にどのような意味を持つのでしょうか。 これまで、量子一括測定により得られうる情報をいかに小さくするかという問題として、 プロトコルが開発されました。しかし、それを小さくしたからと云って、安全性は 担保されないというのが、ここで報告している内容です。 503 名前：483 mailto:sage [2007/10/06(土) 13:46:12 ] >>494 ＞量子の技術は光子1個に対して0か1の情報を与える。 「二重スリットの実験」と「シュレディンガーの猫」について熟考してこい。 光子は複数の状態を同時に保持できる。 今の技術では、光子1個に対して13bit程度の情報を与えることが出来るらしい。 今家庭で主に使われているメモリの技術は電気回路の一種「双安定マルチバイブレータ」を応用した奴かと。 ＞量子コンピューターが誕生するのはまだまだ先の話だと思いますが…。 もう既に誕生している。実用化はまだ。 ＞処理スピードや通信スピードについてはよくわからないですが、おそらくデータ量の性能と同じように光の10万倍の性能(今の100億倍の性能)になるんですよね…。 通信速度は根本的に光速度に制限される。 処理速度はそもそも原理が違うから比較が出来ない。素因数分解とデータ検索に限れば、劇的に速くなる。 ＞そうなんですか‥。でも今の暗号アルゴリズムのままでは量子技術が誕生するとOTP以外は全て解読されてしまうのですよね？ 素因数分解が困難であることをアルゴリズムの強度の保障としている暗号は、現実的な時間で解読されてもおかしくない。 でも別の方法でアルゴリズムの強度を保障しているアルゴリズムも相当な数ある筈。 ＞暗号アルゴリズム自体の解読や、新たな暗号アルゴリズムの作成は、人間の頭で考えることがベースで、 暗号アルゴリズムは解読ではなく解析と言うと思うのだが。 どちらにしろ殆どの暗号は（例外は知らないが）数論（離散数学やら群論やら）使って作られてるから、人間の頭で考えることがベースだと思う。 ＞例え量子コンピュータのようなものすごい高性能なパソコンが誕生したとしてもそれを有効に使うことは難しいということでしょうか？ どの程度使いまわせれば「有効に使用する」に該当するかにもよると思うが、一般にハードウェアの技術が向上するとソフトウェアの実行ステップは増大する。 Lisp言語のアイデアを受け継いだプログラミング言語達の歴史を見るとよくわかる。 ＞すみません、書き込んだときちょっと投げ遣りでしたw ふざけるな。 504 名前：１３２人目の素数さん mailto:sage [2007/10/06(土) 15:04:03 ] >>502 プロトコルは、量子一括測定により得られうる情報を極小化するような最適化などいっさいされていません。 それは発見的に見つけられた方法で、とりあえず個別攻撃に対する安全性はありそうなものが発見されました。 それは量子一括測定によるゲインが大きくなるようにも小さくなるようにも、符号は最適化されていません。 言えることは、順次送られる状態は完全に独立だと言うことだけです。 特定のプロトコルに対して有効な量子一括測定のconstructionは見つかってないと思います。（私の無知もあるかもしれません） 言い換えれば十分条件についてはほとんど何も分かっていません。 だからといって、量子一括攻撃が無効であるという証明は誰もできません。 そこで、暗号では最悪のシナリオを考えて安全性を定義すべきであり、従って量子一括攻撃を受けても安全なレベルのサービスを 提供できるように設計しようというのが量子暗号のシナリオです。 量子一括攻撃を受けたときに起こりうる安全性の低下分を見込んだ形で安全性を評価しようと言うのが、composabilityのひとつの 意義であると思われます。（それだけではなくもっと深いねらいもあるんじゃないかと勘ぐってますが） 今までのあなたとの議論で、量子暗号についてのあなたの断定の信頼性については概ね判断できました。 いろいろと面白い話を知ることができたし、その中には昔からの私の根本的疑問に抵触するものもあり、勉強する楽しさを久々に 感じました。勉強しても直接的には役に立たないのが悲しいですが・・・・・ とりあえず感謝してます。引き続き、この話については勉強を深めていこうと思っています。 505 名前：１３２人目の素数さん mailto:sage [2007/10/07(日) 09:07:35 ] >>503 ありがとうございます ちょっと荒らしっぽくなりますが、かなり阿呆的にまとめてみます。 2重スリットの実験 2つのスリットを用意して電子を飛ばす。 大量の電子を飛ばすとスクリーンには干渉縞ができる→電子は波？ (「干渉縞」は、2つの波「山と山」「谷と谷」が重なっているところは、お互いに強め合って明るくなり、波の「山と谷」が重なっているところは打ち消しあって暗くなる」) 電子1個を飛ばすとスクリーンに点が映り、2つのスリットにそれぞれ電子通過を測定するセンサを設置すると、必ずどちらか一方のスリットしか反応しない→電子は粒子？ 電子1個を飛ばす作業を繰り返しても、干渉縞を形成していく→なんで粒子を1個ずつ飛ばしても干渉縞になるのか。 コペンハーゲン解釈 →電子はスクリーンに到達して観測される前は「波」であり、波である電子は2つのスリットを同時に通り抜けることができ、干渉縞を作ることができる。ただし、この「波」の正体は「粒子がどこで観測されるかの確率の波」である。 電子がスクリーンに到達して、観測されると電子は「粒子」になる。言い換えると、電子は「観測される前は波であり、観測されると粒子になる」ということを意味する。 www.h5.dion.ne.jp/~terun/doc/slit5.html 「電子を観測する」ということは、電子に光などの他の物質をぶつけたりしてその位置を調べるということである。したがって、電子の軌道は「観測の影響」によって大きく変えられてしまう。 そうなると、この2重スリットの実験はぶち壊しになり、干渉縞は消えてしまう。（観測によって、電子を弾き飛ばされてしまうため） 電子に何も影響を与えずに、観測できる方法があれば良いのだが、それは原理的に不可能である。 コペンハーゲン解釈 ja.wikipedia.org/wiki/%E3%82%B3%E3%83%9A%E3%83%B3%E3%83%8F%E3%83%BC%E3%82%B2%E3%83%B3%E8%A7%A3%E9%87%88 量子の運動を観測するには光子等を観測対象に衝突させる必要がある。しかし、詳細な観測をしようとすると、観測対象の運動量を大きく変えてしまい、実験環境に致命的影響を与えてしまう。 506 名前：１３２人目の素数さん mailto:sage [2007/10/07(日) 09:08:36 ] その結果、観測の影響がない自然な状態での現象を継続的に観測することが不可能となる。また、一点に収束した状態でしか観測結果が得られないため、波動関数の広がりを直接的に観測することはできない。 よって、波動関数が収縮する過程を実験で直接的に観測することは原理的に不可能である 本当に影響与えないように観測する方法はないのか。時間と空間。ここが次の段階でのミソではないか。 パイロット解釈 →パイロットウェーブという「未知の波」があって、それが粒子の行き先に影響を与えているのではないか。 (波動関数が粒子を表す部分と波を表す部分に展開されており、電子は粒子で、それがパイロットウエーブという波乗って運動しているので、波動性が観測されると理解できるのではないか。) →二個以上の粒子の運動を想定すると古典力学にない非局所的長距離相関が強く現れることが分かり、現在では完全な下火となっている。 多世界解釈 1957年 →シュレディンガーの猫の思考実験に基づいて、「電子も猫も、あらゆるミクロの物質は可能性のまんまで、重なり合って多重に存在している」が量子力学の結論なら、「猫を観測している人間」もミクロの物質で作られているのだから量子力学を適用すべきで、 人間も「複数の状態の重ね合わせ」として存在していることになるのではないか。 猫に「生きている状態」と「死んでいる状態」の重なり合った状態があるのなら、人間も「生きている猫を見ている状態」と「死んでいる猫を見ている状態」として、同時に存在しているのではないか。 「1個の原子」が「ここにあるかも、あっちにあるかも」という可能性が重なり合った「波のような存在」であるというコペンハーゲン解釈が正しいのなら、 人間も含めてすべての物質（宇宙）も「あらゆる可能性が重なり合った波のような存在」と考えることができるのではないか。 「見ている人間が、多重に存在する」ということは、「自分がいる世界」が多重に存在しているということであり、つまり「多世界」が存在しているという結論になる。 →科学理論としての必要性に乏しいため下火となっている。 (あっても進展性のない仕方ない理論「役に立たないため下火」とも。→ www.h5.dion.ne.jp/~terun/doc/tasekai5.html ) 507 名前：１３２人目の素数さん mailto:sage [2007/10/07(日) 09:09:10 ] www.h5.dion.ne.jp/~terun/doc/neko3.html ＞ミクロの物質が、別のミクロの物質と、力の作用を起こしても、状態は確定しない ＝「原子Ｘと原子Ｙ」の２つで構成されている分子は、スリットのある壁に向かって飛んでいるときに2つの原子の間に「力の相互作用（重力や電磁気力）常にかかっている。 「それらのミクロの物質をつなぎとめて、分子として存在し続けている」ので、「すべての力＝電磁気力、重力、弱い力、強い力」が常に分子の中で生じていることになる。 それなのに、「干渉縞が発生する」＝「ミクロの物質」のあいだに「力の相互作用」が起きてもミクロの物質の位置は決定されない。 内部で力の働く分子でも他の粒子と同じようにスクリーンに干渉縞を作る。 両方の状態が存在しているというシュレディンガーの猫についてで、フォン・ノイマン博士は「シュレーディンガー方程式」という数式で物質の状態が確定するような答えを導き出せないことを数学的に証明した。 →2つの状態が存在していることは数学的に証明されている。＝コペンハーゲン解釈の証明のヒントに通ずる？ ４つの力 www.h5.dion.ne.jp/~terun/doc/yon.html 以下テキトー。 粒子の軌跡は波でもない気がする。時間概念の超越した波？ 光の速度は例え観測者が動きながら測定しても常に一定(=時間を超越している)、に似ている感じで。 とりあえず3通りくらい。 過去に通り抜けた、粒子の波の干渉が残っている。→過去に依存 時間を超越して、粒子は未来を予測して事前に結果に沿って干渉を起こしている。→未来に依存 粒子の波に時間は関係ない。→時間超越の考えを連想させられることは騙し？ でも、ウラシマ効果(＝高速で動く物体は、寿命が長くなる＝時間の進み方が遅くなる)は科学的に立証されているので、時間超越も視野にいれるべきではないか。 粒子1つは2つのスリットを同時に通れない、ってセンサの測定結果が出ているのに、2つのセンサ同時に通っている、という「コペンハーゲン解釈」が支持されているのがよくわからん。 →「シュレーディンガー方程式」で物質の状態が確定するような答えを導き出せない、と数式で立証されたり、センサと粒子に働く力やセンサの正確性に信用性がないから‥？ 508 名前：１３２人目の素数さん mailto:sage [2007/10/07(日) 09:09:46 ] シュレディンガーさんが作った波動方程式 →波動関数とか波動方程式とかについてまだよく調べてません。式が成立しているということは、やはり時間は超越していないかな‥(これに関しての式かは知らないけど) 今の状況では量子技術ができても、今の暗号アルゴリズムは全て解析されるというだけで、 OTP以外の実用性のある(暗号アルゴリズム＆)完全暗号がでるというわけではないのでしょうか？ 解析の精度・スピードがものすごく向上するのと同時に、暗号化のときに「解析のために必要な計算量をものすごく増やすようにできる」ということでもないのでしょうか？ 「量子暗号が確立されれば完全暗号が誕生する」というのは、いったい何であるのか。実用性がないのなら暗号化については今と何ら変わらないということでしょうか？ 総当りで解析していけば解けるという暗号アルゴリズムである限りは量子暗号がでれば全て解読される？(「素因数分解」のもの以外はそうでもないということを返信して頂いてましたが‥) (2段階式とかで、間違ったパスをいれると一定時間入力不可能になる、とかあればいいと思いましたが、（電子や光子自身に時間の制御はできないと思うし←プログラムの問題だから電子や光子なんて関係ないですよね‥、かなり馬鹿)、難しいのですかね？) ＞光子は複数の状態を同時に保持できる。今の技術では、光子1個に対して13bit程度の情報を与えることが出来るらしい。 「量子論の粒子は同時に複数の状態を持つことが出来、1個の粒子で0と1の2通りの状態をまとめて計算できるなら粒子を128個並べると2^128通りの状態をまとめて計算出来、超並列計算機の誕生となる」 のことですね。 今では電子1個は0か1の片方の状態しか保持できませんが、もし光子1個が0〜9、a〜cなどの13bitの状態を同時に保持できるとなると、今の100億倍どころではなく、比べ物にならないほど性能は向上しそうですね。。 でも全ての光子に13bitの状態を同時に持たせて、全ての光子を有効に使う(制御する)のは難しいとは思いますが。。 粒子を128個並べると2^128どころか、13^128ですし‥。 509 名前：１３２人目の素数さん mailto:sage [2007/10/07(日) 09:10:54 ] ＞処理スピードや通信スピードについてはよくわからないですが、おそらくデータ量の性能と同じように光の10万倍の性能(今の100億倍の性能)になるんですよね…。 ＞通信速度は根本的に光速度に制限される。 ＞処理速度はそもそも原理が違うから比較が出来ない。素因数分解とデータ検索に限れば、劇的に速くなる。 なるほど。ただの阿呆かもなんですが、光速度とは1秒間に地球7周半の光速度のことではなく、今現在の光回線の速度でしょうか‥？ 処理速度が劇的に速くなるのはいいですね。(どんなことに有効活用されるのかなどよくわかりませんが‥。数日間パソコンつけっぱなしで膨大な作業しなければならない、ということなどにはかなり時間短縮できて、よさそうではありますね。) ＞素因数分解が困難であることをアルゴリズムの強度の保障としている暗号は、現実的な時間で解読されてもおかしくない。 ＞でも別の方法でアルゴリズムの強度を保障しているアルゴリズムも相当な数ある筈。 素因数分解で強度を主張している暗号アルゴリズムのものは、現実的な時間で解読される可能性があり、 他のアルゴリズムのものは量子コンピュータがでても解読できないものがあるということでしょうか？(本などには「全て解析される」とは書いてあるみたいですが‥) AESなどは、関連鍵攻撃により256bitの9/14ラウンド目まで、選択平文攻撃により192bitの8/12ラウンド目まで、128bitの7/10ラウンド目まで解読可能とありますが、量子コンピュータの誕生により解析されてしまいますかね？ 510 名前：１３２人目の素数さん mailto:sage [2007/10/07(日) 09:11:29 ] ＞どちらにしろ殆どの暗号は（例外は知らないが）数論（離散数学やら群論やら）使って作られてるから、人間の頭で考えることがベースだと思う。 ありがとうございます。暗号アルゴリズムが、ただ単に計算量を増やせば(早く)解けるというもの(「素因数分解」や「通常のパスワード入力のもの？」)なら、量子コンピュータの誕生で早く解読できると思うのですが、 (専用アプリにドロップするだけで復号化できるものなどは実用性に欠けると思うのですが)(繰り返しになりますが)パスワードの入力で総当りで解けるようなものだとすれば、量子コンピュータで(既存のものは全て)解読できると言われていると思うのですが、 そんなことはないのでしょうか？頭のいい人が新たな暗号アルゴリズムを作れば‥という感じなのでしょうか。量子コンピュータの誕生で、暗号化する側と解析する側でどちらが有利になるんでしょうか。 自分が思うに、ものすごく長いパスワード(しかしそのほとんどは単純)で、「○文字目に○の文字を挿入」というのだけ暗記しておけば、総当りで難しくなるのでは、と思ったのですが、そんなことないのですかね‥ (完全に正しい鍵を入力しないと全く無反応でヒントのくれないような暗号アルゴリズムで‥。)　でもやはり総当りでも相当時間掛かると思うので、全角や記号を混ぜておけば、解読は難しいのですかね。 今思ったのは、5回入力を間違えたら自動で完全に削除される暗号化ファイルがあったら面白いかななどと思いましたが、そのファイルをたくさんコピーされたらあんま意味ないですね‥。笑 511 名前：１３２人目の素数さん mailto:sage [2007/10/07(日) 11:11:41 ] ＞今では電子1個は0か1の片方の状態しか保持できませんが、もし光子1個が0〜9、a〜cなどの13bitの状態を同時に保持できるとなると、今の100億倍どころではなく、比べ物にならないほど性能は向上しそうですね。。 ＞でも全ての光子に13bitの状態を同時に持たせて、全ての光子を有効に使う(制御する)のは難しいとは思いますが。。 ＞粒子を128個並べると2^128どころか、13^128ですし‥。 bit表記について何か勘違いしていないか。ここで言う13bitてのは2進法で13桁の数字（4096種類）を識別できるっていう話であって。 光子1個が0、1の情報を13種類同時に維持できる→log2(2^13)bit=13bit ＞光速度 299792458[m/s]の方の光速度。 通信は「送信→（伝達）→受信→反応→送信」のサイクルだから、根本的な限界がある。 ただ、光を使う場合は電気抵抗を考えなくていいから中継（アンプ）の数が少なくて済み、その分高速になる。 ＞素因数分解で強度を主張している暗号アルゴリズムのものは、現実的な時間で解読される可能性があり、 ＞他のアルゴリズムのものは量子コンピュータがでても解読できないものがあるということでしょうか？(本などには「全て解析される」とは書いてあるみたいですが‥) 「現実的な時間で」が抜けている。「完全な暗号」（OTPとか）以外は、いづれも有限の時間で解くことは可能。 量子コンピュータは素因数分解を高速に行えるとの話だが、足し算やら剰余算やらの他の演算の速度については何も言っていない。 ただ、並列演算できるから、もし重ね合わせが128bit分出来る上に、基本的な演算の速度が同じなら、 並列化できる演算(総当りとか。)の速度が128倍になっても不思議ではない。 >>510 もう少しまとめてくれ。読めない。 512 名前：１３２人目の素数さん mailto:sage [2007/10/07(日) 11:16:36 ] >>505-510 分かりきってることずらずら書くのやめようか。 513 名前：１３２人目の素数さん [2007/10/07(日) 12:08:59 ] 量子鍵配送プロジェクトのなすべき課題 スイスの理論グループの主張を要約すれば以下のようになります。 量子鍵配送は結局、量子を用いても完全な無条件安全を達成できず、その安全性を 定量的に評価する方法は以下のような形式になる。 １．安全性の保証は古典系の評価法に類似した形で実施する。 (古典)　真性乱数と多項式時間で区別できない疑似乱数系列は計算量的安全な疑似 乱数と評価する。 (量子)　真性乱数に対応する理想的な量子状態列に対して実際に使用された量子状態列 のトレースノルム差をeとすることが可能であれば、1-eの確率で、適切な鍵共有プロトコル で配送された鍵の安全性が保証される。 ２． 実験系でどの程度まで実現可能かは今後の研究によるが、他の暗号系より優れて いるためには、eが10^(-20)程度であるとすれば、実現不可能である。 これまで報告してきたように、QKDは認証鍵が必要であるため、鍵を送って従来の暗号に 使用するハイブリッドは無意味であるので、QKD+One time padを目指すことになります。 その際の課題は、前述の安全性の評価の実験的検証とギガビット級の高速化です。 それが実現できないのであれば、現代社会の技術として市場は無いと思います。 これから、Ｙ００の調査を開始します。 514 名前：１３２人目の素数さん mailto:sage [2007/10/07(日) 12:23:39 ] >>513 とりあえず、その主張の論文はリファーしてください。 「完全な無条件安全」の定義が書いてないのでよくわかりませんが、古典暗号にはない「証明可能な安全性」は得られるという ことは問題ないのですよね。 １→数年前から、ABEの３体系の満たす条件にシフトしており、それがComposable securityという形で統一されたという感じですね。 ＞他の暗号系より優れているためには、eが10^(-20)程度であるとすれば、実現不可能である。 他の暗号系が何なのか、実現不可能な根拠は何なのか書いてないのでまったく評価不能です。 Ｙ００の調査を始める前に、今まで書かれてきた様々な理論はＹ００をカバーしているかどうかについて見解をください。 私の見解では、それらの理論は特定にプロトコルに依存しない、一般的な形で表現されているように思います。 そうすると、それらの根拠でもってＢＢ８４プロトコルを拒否するのであればＹ００も自動的に拒否されるべきでしょう。 515 名前：１３２人目の素数さん mailto:sage [2007/10/07(日) 13:11:25 ] >>513 それと、確認ですが、２はスイスの理論グループ（ジュネーブ大？）の主張ではなく、あなたの主張ですよね？ あなたは自己の主張を他人の主張にすり替えて書くクセがあるようなので、十分注意して書いてくださいね。 516 名前：１３２人目の素数さん mailto:sage [2007/10/07(日) 13:49:39 ] >>505-510 「量子計算機で簡単に解かれてしまうのは、素因数分解の困難さを安全性の根拠にした暗号方式」 「他の暗号方式に対しては、従来の解読方法より劇的に高速化するような 量子計算機用のアルゴリズムはまだ存在しない」 これだけのことなのに、なんでいつまでたっても理解できないの？ 517 名前：１３２人目の素数さん [2007/10/07(日) 21:12:56 ] >>516 離散対数問題はまだ解かれてないと考えていいの？ 有限体上での話と、楕円曲線上での話、どちらも大丈夫？ 518 名前：sage [2007/10/08(月) 00:22:20 ] >>517 Z_p^* 上の離散対数問題もShorのアルゴリズムで解ける. 楕円曲線上の離散対数問題には直接適用はできないが Boneh-Liptonの拡張アルゴリズムで結局解ける. "Quantum cryptanalysis of hidden linear functions" CRYPTO'95参照. 隠れ部分群問題の枠組みで全部捉えられるようだ. だから理論的にはShorのアルゴリズムによって ほとんどの暗号は破れることになる. そういった事情から最短ベクトル格子問題 に基づくものを研究している人たちがいる. NP困難な問題に基づくものはつくれそうにないから ほどほどの難しさのものの中で, いい問題を探しているらしい. 519 名前：１３２人目の素数さん mailto:sage [2007/10/08(月) 00:25:13 ] やっちまった. 名前にsageといれるアホな俺orz 520 名前：１３２人目の素数さん mailto:sage [2007/10/08(月) 12:38:50 ] >>518 >理論的にはShorのアルゴリズムによって ほとんどの暗号は破れることになる "ほとんど"の暗号が解けるという根拠が知りたいな ちなみにNP困難問題に基づく暗号なんて数多く存在するわけだが。 521 名前：１３２人目の素数さん [2007/10/08(月) 13:30:05 ] ５１４，５１５のコメントありがとうございます。 (a)スイスの理論グループの論文と関係するもの列挙します。参考にしてください。 1. R.Renner, N.Gisin, B.Kraus, Physical Review A 72, 012332, 2005 2. R.Konig, R.Renner, A.Bariska, U.Maurer, Physical Review Letters, 98, 140502, 2007 ３．R.Renner, and R.Konig, Proc. of second Theory of cryptography conference, TCC 2005. 4. R.Renner, Ph.D thesis (quant-ph/0512258) 5. B.Kraus, C.Branciard, R.Renner, Physical Review A, 75, 012316, 2007. 6. S.Watanabe, R.Matsumoto, T.Uyematsu, Physical Review A, 76, 032312, 2007. (b) 古典暗号には無い証明付き安全性は理論上可能です。しかし、量子版のコルモゴロフ距離 （トレースノルム）を実験で保証できるとは思いません。 スイスの理論結果によって、これまでの日本の実験研究の成果は安全性を担保していません。 これは数年前から解っていたのもかかわらず、NiCTのミスリードによって日本のグループは 正直さを失っています。（原理的な点を議論中なのに、なぜすぐ商用化可能というのか わかりません。） ( c) ＢＢ８４対Ｙ００の確執は興味あります。現時点ではＹ００がどのような理論に 立脚しているかは正確には理解していません。私の目的は、この記述を始めた最初に述べたように、 物理暗号の弱点を解明することによって、数理的暗号の発展を促すことにあります。したがって、 いずれＹ００も欠点が示されると思います。 522 名前：１３２人目の素数さん mailto:sage [2007/10/08(月) 14:27:56 ] >>521 文献リスト、ありがとうございました。 ＞量子版のコルモゴロフ距離（トレースノルム）を実験で保証できるとは思いません。 なぜそう思うのかは、私には不思議です。 アンサンブルさえあれば、密度行列もチャンネルも実験的に評価可能だし、仮定（もちろん妥当な）を置けば、その評価は 簡略化可能です。 もちろん評価のためには、測定装置の精度を保証する必要はありますが。 それが実験で押さえられないということを主張している人たちはいないと思います。あなたを除けば。 暗号というものは、コストとパフォーマンスである安全性のバランスによってその実用性が決まるものです。 究極の安全性のみがその価値を決めるものではありません。 盗聴者に任意のリソースを許すだけではなく、コストとのバランスを考えてリソース制限を課するようなシナリオは、実用的状況 ではあり得ると考えられていると思います。 そのような仮定があったとしても、量子暗号は安全性の証明可能であるということに価値があるのだと思われていると思います。 ところで、今までフォローされているような理論がＹ００をカバーしているというのは思い違いでした。 Ｙ００は独自に、同じような安全性を証明していくことが必要だと思いますが、ほとんど誰も取り組んでいないと思います。 ＞物理暗号の弱点を解明することによって、数理的暗号の発展を促す という売り文句は簡単に言えます（実用化という文言と同様ですね）。でも、全く根拠薄弱です。 それぞれはかなり独立性の高いものと思います。 523 名前：１３２人目の素数さん mailto:sage [2007/10/08(月) 14:59:14 ] >>521 例えば、5の文献の要約を読むと、弱コヒーレント光を用いた、いわゆる実用的システムにおいても、安全性が 保証できるとしか読めないわけです。どの論文にも、悲観的なことはこれっぽっちも書いてないように思うのです。 これはもちろん、彼らが自ら自分の飯の種を奪うようなことはしないという側面もあるとは思われますが、 それらの論文を根拠にして否定してかかっているのはとても疑問です。 彼らの鍵蒸留のみに着目した証明は、量子数理的には面白いとは思いますが、そこからは否定的結論は出て こないと思いますよ。 それよりも、鍵蒸留とメッセージ認証の組み合わせでどうなるかを、理論家にはもっと真剣に考えてもらいたいと 思います。論文を見ていると、意図的かどうかわかりませんが、この辺結構軽視してるように思っています。 524 名前：１３２人目の素数さん [2007/10/08(月) 15:06:02 ] 　　　　　　　　 ﾊ,,ﾊ　 　　　　　 　 ('(ﾟ∀ﾟ∩_　おいらをどこかのスレに送って！ 　　　　　　／ヽ 　 〈／＼　お別れの時にはお土産を持たせてね！ 　　　　 ／|￣￣￣|.＼／ 　　　 　 　| 　　　　|／ 　　　　　　 ￣￣￣ 現在の所持品： 金属バット、ビール瓶、嘘の診断書、SCIS2007論文集x8部 525 名前：１３２人目の素数さん mailto:sage [2007/10/08(月) 18:05:52 ] >>520 Shorのアルゴリズムで素因数分解問題と離散対数問題が 解けるということはそれらを安全性の根拠にしている 暗号は理論的に多項式時間で破れる. DDHとかCDHとか, 強RSAなどを仮定して構成されているものも同様. だからほとんどといったのだが, 納得できず? だいたい多くは離散対数か素因数分解だよね. >NP困難問題に基づく暗号 言葉足らずだった. NP困難に基づいてかつ実用的な暗号ね. NP困難に基づくものってだいたい使いづらい気がする. OTUとかはナップザック問題に基づいているけど帰着ないし. 526 名前：１３２人目の素数さん [2007/10/08(月) 18:53:13 ] そこで、梅(ry 527 名前：１３２人目の素数さん mailto:sage [2007/10/08(月) 21:10:02 ] >>526 うー、懐かしい。 528 名前：１３２人目の素数さん mailto:sage [2007/10/08(月) 21:43:54 ] >>525 > 言葉足らずだった. NP困難に基づいてかつ実用的な暗号ね. > NP困難に基づくものってだいたい使いづらい気がする. > OTUとかはナップザック問題に基づいているけど帰着ないし. そもそも「基づく」って言葉の意味が曖昧だな。NP困難な問題に基づく暗号ってのは ナップザック問題などのNP困難問題を変形して暗号に利用している。だからその暗号を 解読する問題がNP困難であるとは通常証明されていないし、そもそもそういう暗号系は 現在のところ存在しない。そのためにナップザック暗号はことごとく攻撃されてきたという 歴史があるわけだ。ナップザック系で生き残ってるのってChor-RivestとOTUぐらいか？ 実際、解読がそんなに難しい暗号はできないと多くの研究者が無理だと考えている。 例えば一方向性関数でさえ（non-adaptive blackbox reduction で）NP困難ベースなものが できれば coAM が NP に入ったりするという結果があったりする。 529 名前：１３２人目の素数さん mailto:sage [2007/10/08(月) 23:25:28 ] m9（＾Д＾）ｷﾞｬｯﾌﾟｰ　問題 530 名前：１３２人目の素数さん mailto:sage [2007/10/09(火) 05:36:09 ] AESが量子計算機で解けるとは初耳だ 531 名前：１３２人目の素数さん mailto:sage [2007/10/09(火) 07:46:16 ] >>528 すまん. おれが言いたかったのはこれだ. >実際、解読がそんなに難しい暗号はできないと多くの研究者が無理だと考えている。 >例えば一方向性関数でさえ（non-adaptive blackbox reduction で）NP困難ベースなものが >できれば coAM が NP に入ったりするという結果があったりする。 正確に書けなくて悪い. 532 名前：１３２人目の素数さん mailto:sage [2007/10/09(火) 08:21:48 ] (▼д▼)ﾅﾁｭﾗﾙ･ﾎﾞｰﾝ･Proofs 533 名前：１３２人目の素数さん [2007/10/21(日) 10:50:18 ] nature発売は何時〜？ 534 名前：１３２人目の素数さん [2007/10/23(火) 23:09:20 ] >>533 ９月ごろだったかこの掲示板で暗号の不完全性定理みたいなものを ｎａｔｕｒｅ１１月号で発表するなんて書き込みを見かけたけど どうなったのだろうか。 535 名前：１３２人目の素数さん mailto:sage [2007/10/25(木) 19:18:59 ] >>534 >>374 結局載るのだろうか？ (今現在、10月までの情報のみ。)www.natureasia.com/japan/biotechnology/highlights/index.php?showyears=2007 536 名前：１３２人目の素数さん [2007/10/25(木) 20:08:39 ] Natureは、Nature Photonicsとかに分冊されちゃったの？ それとも依然としてNatureはある？ 537 名前：１３２人目の素数さん [2007/10/29(月) 19:44:54 ] 英語版には掲載されてるね 538 名前：１３２人目の素数さん [2007/10/31(水) 08:45:20 ] cssあげ 539 名前：１３２人目の素数さん [2007/10/31(水) 14:34:49 ] >>535 １１月号に「暗号の不完全性定理」が出ていたかどうか教えてくれ。 540 名前：１３２人目の素数さん [2007/10/31(水) 19:25:58 ] 出てた 541 名前：１３２人目の素数さん [2007/10/31(水) 21:08:46 ] 日本数学界の勝利！！ 542 名前：１３２人目の素数さん mailto:sage [2007/10/31(水) 21:43:13 ] （そのネタいつまで引っ張りつづけるんだろう・・・） 543 名前：１３２人目の素数さん [2007/11/15(木) 10:39:32 ] Nature高いよ 544 名前：１３２人目の素数さん mailto:sage [2007/11/16(金) 11:14:27 ] イスラエル人研究者、Windowsの乱数発生機能のメカニズムを解読 www.technobahn.com/cgi-bin/news/read2?f=200711131555 eprint Cryptanalysis of the Random Number Generator of the Windows Operating System Leo Dorrendorf and Zvi Gutterman and Benny Pinkas eprint.iacr.org/2007/419 545 名前：１３２人目の素数さん mailto:sage [2007/11/20(火) 06:51:43 ] フランスの「人間計算機」、200桁の数字の13乗根の暗算で72.438秒の世界記録 www.afpbb.com/article/environment-science-it/science-technology/2312334/2356257 【11月16日 AFP】「人間計算機」の異名を持つフランス人男性、 アレクシ・ルメール（Alexis Lemaire、27）さんが15日、 米ニューヨーク（New York）のニューヨーク科学館（New York Hall of Science）で、 200桁の数字の13乗根を計算機を使わずに72.438秒で解いて自身の持つ世界記録を更新した。 　ルメールさんは、パリ（Paris）近郊のランス（Reims）の出身で、 人工知能学を専攻する博士課程の学生だ。自分では数学オタクと思わないというが、 わずか1分強で、ある数字の13乗根、2397兆2076億6796万6701を暗算で解いた。 546 名前：１３２人目の素数さん mailto:sage [2007/11/20(火) 12:31:32 ] 2397兆2076億6796万6701の13乗でさえ暗算できないorz 547 名前：１３２人目の素数さん mailto:sage [2007/11/21(水) 07:06:13 ] >>546 13乗っていうと大体86332348800352843610126990022313468510477370930755992152681390347795323097511687170057636480807271413833247121705763111108558415623458020018525612852897226196105357173387251523920946707380414694987101位か。 13乗根は15.2424325331246525130253573831354089855まで暗算できたけどもう面倒。 548 名前：１３２人目の素数さん [2007/11/21(水) 22:36:57 ] 英語の暗算は日本語で言う筆算じゃねーの？ 549 名前：１３２人目の素数さん mailto:sage [2007/11/22(木) 00:04:50 ] バイオハザードのキャンペーンしてて一つも無かった。 代わりにサントラ借りてきた。 550 名前：１３２人目の素数さん mailto:sage [2007/11/22(木) 00:05:29 ] 誤爆です。 551 名前：１３２人目の素数さん [2007/11/24(土) 22:25:30 ] 【スマップ】仲居君、帽子のまま食事で高級フランス料理店から追い出される【下品】 tmp6.2ch.net/test/read.cgi/cat/1189449535/ 552 名前：１３２人目の素数さん [2007/12/06(木) 14:30:08 ] 電気機械学科だったのになぜか暗号扱う研究室に配属されちゃったんだが 暗号も数学も(プログラムも)初心者の俺がCで卒論用にカスタマイズしたプログラム作るのは可能だろうか。 扱うのはRSA、RC4、RC5、AES、ECCあたりなのだが…。 なんかお勧めの参考書(？)とか論文あったら教えてくれまいか。 一応読んだのはApplied Cryptography(John Wiley & Sons, Inc)とか 暗号理論入門(シュプリンガー・ジャパン)とかデス。 553 名前：１３２人目の素数さん [2007/12/06(木) 23:32:49 ] >>552 www.amazon.co.jp/dp/4797317027/ 他にもたくさんあると思ふ 554 名前：reminder mailto:sage [2007/12/07(金) 00:07:34 ] 12/11 計算世界観ワークショップ#2: 暗号理論@東工大 compview.titech.ac.jp/office-pub/kickoff#ws-crypto 12/12 IPA暗号フォーラム2007秋@文京区 www.ipa.go.jp/security/event/2007/crypt-forum/ 12/14 SCIS〆切り scis2008.cs.dm.u-tokai.ac.jp/ 555 名前：552 [2007/12/07(金) 10:22:30 ] >>553 ふむふむなるほど。 暗号理論のプログラム実装に特化した本もあるのですね。 全く考えが及びませんでした…。 早速購入してみたいと思います。 素早いご返答、痛み入ります。ありがとうございます。 556 名前：１３２人目の素数さん [2007/12/10(月) 20:07:40 ] どうやら、フィールズ賞に＞＞374 が決まったようだ 557 名前：１３２人目の素数さん [2007/12/11(火) 21:32:17 ] >>556 真面目に検索してしまった、私に謝れ。 558 名前：１３２人目の素数さん mailto:sage [2007/12/11(火) 22:27:14 ] 同じようなネタならグレゴリーが「セクシーな数学」とかいう本出してる 559 名前：１３２人目の素数さん mailto:sage [2007/12/13(木) 11:21:35 ] 暗号やってる某メーカーの研究所に話を聞きに行ったら、実は暗号やってるのは私一人だけとか言われたｗ 大企業でHPとかで成果宣伝してる割には意外と個人の力に頼った分野なのねｗ 560 名前：１３２人目の素数さん [2007/12/13(木) 20:25:33 ] >>559 HPで暗号研究の成果を宣伝していて 大企業なのに研究者一人…そんな会社あるかなあ？ HTMNN…あたりだとたくさんいるし。 この特定のタイプの暗号の研究をやってるのは 社内で自分一人って言ったんじゃ？ 561 名前：１３２人目の素数さん [2007/12/13(木) 20:31:33 ] T社ならそういう可能性あるかな。 でもあそこもたくさんいたような…。 562 名前：１３２人目の素数さん [2007/12/13(木) 20:44:01 ] 皆様の知恵を拝借させて下さい。 暗号系の授業の内容なので、ここで聞かさせて頂きます。 大学の期末の過去問でこんな問題が出ました。 自分の学籍番号（例：０４ＩＥ１２３）のASCIIコードの５６ビット列に、ちょうど６０ビット長になるように、 “1111”（オール1）の４ビットを付加した６０ビット列を、 ＭＤ５でハッシュ化した結果を、１６進３２桁で表示せよ。 以上が問題です。 自分の考えでは04IE123を二進8桁のASCIIコードに直し、7文字*8桁で56桁になります。 そしてそれの後ろに1111を付加する事により60桁の二進数が出来ます。 そして、それをMD5にした物が答えとなるのですが、何度やっても答えが一致しません。 ちなみにMD5のチェックはttp://phpspot.net/php/pg%82l%82c%82T%83n%83b%83V%83%85%8Cv%8EZ%83c%81%5B%83%8B.html　ここで行いました。 答えはB6759DA95E49B7200D76223C23130E65みたいなのですが、どうやっても出ません。 やり方間違っているのでしょうか？ 分かる方よろしく御願いいたします。 563 名前：１３２人目の素数さん mailto:sage [2007/12/13(木) 20:50:17 ] 1オクテット列単位 564 名前：562 mailto:sage [2007/12/13(木) 21:05:38 ] >>563 どういう事でしょうか？ 与えられた04IE0123の1文字ずつをASCIIで1オクテット単位に直していくと １オクテットが８桁なので8桁*7文字で56桁に直すと 00110000 00110100 01001001 01000101 00110001 00110010 00110011の56桁が得られます。 これに1111を付加する事により00110000 00110100 01001001 01000101 00110001 00110010 00110011 1111が得られます。 これをMD5にかけてもb8a8572fd44af77ce2dac3626592c4c2というMD5になってしまいます。 またスペースを全部詰めても>>562で書いたB6759DA95E49B7200D76223C23130E65になってしまいます。 何か根本的にやり方を間違ってる気がしてなりません。 565 名前：１３２人目の素数さん mailto:sage [2007/12/13(木) 21:59:54 ] めんどくせーカスだなぁ。 web、フリーソフトなどで扱うのは、1オクテット列が基本だろ？つまり半端は扱えないわけだ。 しかし、60bitだと7.5オクテット列なわけで、半端が出る。 よって、フリーソフトなどで世に出回っているmd5sumチェックツールなんかは役に立たないんだ。 M　D　5　の　仕　様　書　を　読　ん　で　、　自　分　で　実　装　し　ろ と教授は言ってるわけだ。 プログラムの宿題を数学板に持ち込んでくんじゃねぇ!!! 566 名前：562 mailto:sage [2007/12/13(木) 23:12:10 ] >>565 丁寧にどうもです。 すごいよく分かりました。 ちなみにプログラムの講義ではなくMD5 RSA DESなどの暗号処理のでした。 567 名前：１３２人目の素数さん mailto:sage [2007/12/14(金) 00:10:20 ] なんか、RSA以外は既に廃れたものを授業で取り上げてるんだなぁ 568 名前：１３２人目の素数さん [2007/12/15(土) 15:27:06 ] 教科書に載ってるのを中心にやるからだろうな。 先生自身が暗号の専門家とは限らんし。 569 名前：１３２人目の素数さん [2007/12/15(土) 22:26:36 ] 非対策暗号鍵について ＜情報セキュリティ・・・その７＞ 情報の盗聴や漏えい対策として、最も有効的な手段は、と聞かれると「暗号化」ではないかと思います。 ネットワーク上で盗聴されたとしても、暗号化しておけば盗聴者にその内容を知られることはまずないと考えます。 また、暗号化についても二つの方式があります。以下にその方式を簡単ではありますが、説明いたします。 （１）共通かぎ暗号方式 暗号化かぎと復号かぎに同一のかぎを用いる方式で、秘密かぎ暗号方式とよばれることもあります。 （２）公開かぎ暗号方式 異なる二つのかぎを持ち、一方を公開するが、もう一方は秘密にします。 公開かぎによって暗号化された情報は、それと対になっている秘密かぎでしか平文に戻せません。 非対策かぎ暗号方式とも呼ばれています。 両者とも使い方に合わせて、暗号方式を決めれば良いのではないかとピカは思います。 この暗号化は少し難しい印象を受け、ピカも悪戦苦闘しています。皆さんもピカのようにならないように頑張って行きましょう。 ピカはこの暗号化技術を理解しないと前に進めない気持ちになっております・・・。 pika1.cocolog-nifty.com/pika/2007/12/post_a051.html 570 名前：１３２人目の素数さん mailto:sage [2007/12/15(土) 23:09:51 ] 非対策、とな？ ふーむ、さうでつか。 571 名前：１３２人目の素数さん mailto:sage [2007/12/18(火) 06:52:51 ] 【IT】日立と東京理科大とNTTコム、多様かつ大量データの安全な流通・保存技術を開発［07/12/17］ news24.2ch.net/test/read.cgi/bizplus/1197863566/ 日経プレスリリース release.nikkei.co.jp/detail.cfm?relID=177639&lindID=1 572 名前：１３２人目の素数さん mailto:sage [2007/12/22(土) 20:06:53 ] ＳＣＩＳ皆参加する？ 573 名前：１３２人目の素数さん mailto:sage [2007/12/28(金) 19:19:50 ] simasu 574 名前：１３２人目の素数さん [2008/01/08(火) 12:00:47 ] 初歩的な質問なんだけど、 線形解読法などを使えば副鍵のあるビットの排他的論理和が求められるじゃない。 例えばDESに線形解読法を適用して、K(1)+K(3)=1 （K(1),K(3)はある段の副鍵の第1ビット、 第３ビット）となったとしてここからどうやってK(1),K(3)を求めるのかな？ 教科書等を見てもそこで話が終わっているのだけど。 575 名前：１３２人目の素数さん [2008/01/08(火) 12:02:02 ] age 576 名前：１３２人目の素数さん mailto:sage [2008/01/08(火) 14:58:27 ] >>574 総当たりじゃないの？ 577 名前：１３２人目の素数さん [2008/01/08(火) 20:59:07 ] >>574 そういう関係式をたくさん求めたあとに、 それをみたす鍵の範囲内で全数探索、だったと思う 578 名前：１３２人目の素数さん [2008/01/09(水) 22:22:56 ] >>576 >>577 やっぱりここからは全数探索ですか。 上の例で言えばK(1)が決まればK(3)は自動的に決まるから、 全数探索で調べる範囲がK(1),K(3)の両方から、どちらか一方になって、 狭くなったという理解でよいのでしょうか？ 579 名前：１３２人目の素数さん [2008/01/10(木) 00:10:48 ] >>578 そうでつ 580 名前：１３２人目の素数さん [2008/01/10(木) 21:16:06 ] すでに似た質問があったらすみません… 私は経済系の学部で数学は高校生レベルなのですが、最近暗号数学に興味を持ち本格的に勉強したいなと思いました。 ですがどこから勉強したらいいのか分からなくて困ってます。 とりあえず整数論や群から始めてみようと思うのですが…他にどんなことが必要でしょうか…？ 581 名前：１３２人目の素数さん mailto:sage [2008/01/10(木) 21:43:19 ] 確かに群論とか整数論の基礎が全然わからないと話にならないけど まずはまともな暗号数学の教科書を読んで分からないところが出てきたら 適時必要分野を勉強しなおす感じでいいんじゃないの？ 582 名前：１３２人目の素数さん mailto:sage [2008/01/10(木) 22:58:40 ] >>581 レスありがとうございます。 分かりました。そんな感じでやっていこうと思います。 583 名前：１３２人目の素数さん mailto:sage [2008/01/10(木) 23:12:24 ] 一口に暗号数学といっても分野や方向性によって必要な知識が違うからな それに整数論をまじめにやろうとするとそれだけで一生が終りそうな気がするｗ 584 名前：１３２人目の素数さん [2008/01/11(金) 00:06:58 ] >>581 禿同。 整数論よりも、計算量理論の話の方が重要だったりする。 まあ計算量理論もいきなり深入りすると大変なことになっちゃうが。 585 名前：１３２人目の素数さん mailto:sage [2008/01/11(金) 22:00:40 ] >>578 制約条件によって鍵空間の次元が減少してるんだから、確実に探しやすくはなってる 586 名前：１３２人目の素数さん mailto:sage [2008/01/22(火) 17:17:12 ] みんな、配布されたマイカップ使おうぜ。 587 名前：１３２人目の素数さん mailto:sage [2008/01/23(水) 17:26:30 ] いいなー宮崎はあったかそうで 588 名前：１３２人目の素数さん [2008/01/24(木) 20:09:01 ] ナイトセッションあげ 589 名前：１３２人目の素数さん mailto:sage [2008/01/25(金) 22:43:25 ] というか、交通の便が悪すぎﾜﾛｽ < SCIS 590 名前：１３２人目の素数さん mailto:sage [2008/01/26(土) 01:00:43 ] 蓋つきマグの原価は？ 591 名前：１３２人目の素数さん mailto:sage [2008/02/02(土) 22:23:25 ] 結婚式で41人食中毒＝リゾート施設シーガイア−宮崎 headlines.yahoo.co.jp/hl?a=20080202-00000095-jij-soci 　宮崎市は2日、市内の大型リゾート施設「シーガイア」で行われた結婚式で、 洋風会席料理を食べた5〜85歳の男女41人が下痢や嘔吐（おうと）などの症状を 訴え、患者ら19人からノロウイルスを検出したと発表した。いずれも軽症で、 快方に向かっている。市は食品衛生法に基づき、同日から4日まで厨房（ちゅうぼう）を 営業停止処分とした。(時事通信) これは・・・SCISの直後だな･･･ｺﾞｸﾘ 592 名前：１３２人目の素数さん [2008/02/07(木) 20:02:42 ] 初歩的な質問ですみません。 ブロック暗号のCFBモードでよく 「伝送中にビットの欠落が起きて同期がずれても、しばらくすると回復する。」 とありまずが、いまいち理解できません。 同期がずれれば、たとえレジスタの外に欠落ブロックが出されても その後の同期はずれたままのような気がするのですが。 また同期が回復するのはkビットCFBモードのうちｋ＝1の場合だけでしょうか？ 593 名前：１３２人目の素数さん mailto:sage [2008/02/07(木) 23:54:40 ] >>592 ttp://www.ecom.jp/qecom/about_wg/wg05/cr-swg/code2-1.html ↑このページの下の方にあるCFBモードの図が分かりやすいかと。 ビットの欠落が発生して送信側と受信側のレジスタ（シフトレジスタ）の 値が変わってしまったとしても、暗号文が送受信双方のレジスタに順次 入力されれば、いずれは同一の値になるため、kのビット数とは関係なく、 暗号同期がとれます。 594 名前：592 [2008/02/08(金) 23:26:32 ] >>593 回答ありがとうございます。 でも「kのビット数とは関係なく、暗号同期がとれます。」というのは納得 できません。 ビットの欠落が起きるとレジスタに入るビットが送信側と受信側で異なると 思います。 ｋ＝２の場合で、例えば、 10 10 10…という暗号文（左が先頭）が1ビット欠落すると 受信側のレジスタに入るのは01 01 0…となってしまい同期回復できないのでは ないでしょうか？ 595 名前：１３２人目の素数さん mailto:sage [2008/02/09(土) 00:34:20 ] >>594 ビットの欠落で送受信間でレジスタの値が異なった状態になっても、 その後、正しいデータが入れば、また同じ値に戻ります。 長くなるので６ビットのレジスタ（左シフト）で考えると <送>　　　　　　 　　　<受> 111101　← 10　　　　111101　← 1x　　（受信側１ビット欠落） 110110　　　　..　　　　111011　　　　　　（送受信で違う値になった） 上の状態からまた同じデータが入り始めると‥‥ 110110　← 10　,　　　111011　← 10 011010　← 11　,　　　101110　← 11 101011　← 01　,　　　111011　← 01 101101　← 00　,　　　101101　← 00　（送受信が同じになった＝同期回復） 110100　← 01　,　　　110100　← 01 このようにちゃんと同期回復します。 596 名前：１３２人目の素数さん mailto:sage [2008/02/09(土) 17:18:24 ] RSA challenge ってどうして終わっちゃったんだよ 597 名前：592 [2008/02/10(日) 13:56:28 ] >>595 その解説なんですが、 <受> 111101　← 1x　　（受信側１ビット欠落） 111011 ではなく、xにはつぎのビット列の1ビット目が入って （実際、ビット列は連続して送られてくるはずだから） <受> 111101　← 11 110111 となり、以下受信側と送信側で異なるビット列が入ることになってしまうのでは？ レジスタがビットの欠落によって2ビットシフトから1ビットシフトに 切り替わるのは不自然だと思います。 また、ビットの欠落がおきてもビットの区切りが守られるのであれば ECBモード等の他の利用モードでも同期誤りは回復すると思われます。 598 名前：１３２人目の素数さん mailto:sage [2008/02/10(日) 19:45:39 ] うっぜー 世界中のエロい人が有効だっつってんだから、有効に決まってんだろ 599 名前：１３２人目の素数さん mailto:sage [2008/02/11(月) 19:01:32 ] >>592 ＞また同期が回復するのはkビットCFBモードのうちｋ＝1の場合だけでしょうか？ 岡本，山本「現代暗号」 岡本栄司「暗号理論入門 [第2版]」 にはそう書いてありました． （K=1のとき自己同期式ストリーム暗号になる） 「通信路で生じたエラーが復号結果に及ぼす影響が特定範囲内にとどまる」話と 混ざってるような気がする． >>598 (ﾟДﾟ)･･･ 600 名前：１３２人目の素数さん mailto:sage [2008/02/12(火) 04:34:21 ] >>597 >ECBモード等の他の利用モードでも同期誤りは回復すると思われます。 これは違うとおもふ 601 名前：１３２人目の素数さん mailto:sage [2008/02/13(水) 13:05:00 ] 公開鍵暗号について知恵を貸してください。 数バイト〜数十バイトのデータ列(以降平文)を暗号化して A->B に受け渡す 方法を検討しています。成果はフリーソフトとして公開する予定です。 要件1は以下の通り: ・Aは不特定多数。任意の短い平文をBの公開鍵を用い暗号化。 ・平文はあまり規則性がない。 ・暗号文は公衆に晒される。いわゆるスレに貼るみたいなイメージ。 ・もちろん復号は B のみが可能とする。 ・公開可能なものは、Bの公開鍵、および暗号化/復号のプログラム全部。 以上の要件を満たすアルゴリズムはRSAしか知りません。 ただ、暗号文を長くしたくないため、RSA-1024 とかを用いたくありません。 (Base64でも暗号文が最短170文字になってしまう) そのため、さらに要件2を挙げてみます。 ・短い平文に対し、暗号文の長さをなるべく短くできる。 ・鍵長は長くなっても構わない。短さを要求するのは暗号文のみ。 ・公衆に晒された暗号文を数十年オーダーで秘匿可能(そこそこの強度) ・もちろん秘密鍵が割られると、公衆に晒された暗号文が 　すべて解読されてしまうので、秘密鍵も割りにくい。 楕円曲線暗号を検討してみましたが、鍵交換・鍵配送には 使えそうですが、メッセージの伝送にはそのまま使えそうにありませんでした。 要件2まで満たすアルゴリズムをご存知ないですか? ちなみに EC-RSAを調べようとしましたがまだ理解できません。 602 名前：１３２人目の素数さん mailto:sage [2008/02/14(木) 06:20:12 ] そういうツールを何故今から作ろうと思うのか。 突っ込み待ちなのは分かるけど。 603 名前：１３２人目の素数さん [2008/02/16(土) 15:21:01 ] 暗号文を短くするには強度を妥協するしかありません 諦めてください 604 名前：１３２人目の素数さん mailto:sage [2008/02/21(木) 02:46:08 ] 数十年オーダーとか言ってる時点で無謀すぎ。現在の実用的暗号にそこまで理論的強度はない 20年前には因数分解が量子コンピュータで高速に解けることすら分かってなかったのに 605 名前：１３２人目の素数さん [2008/02/21(木) 21:25:55 ] 初歩的な質問なんですが、線形解読法という場合、 「線形」はどのような意味で使っているんでしょうか？ DESのSboxは非線形だ、とか良く聞くんですが数学の線形・非線形という 言葉の使い方と同じなんでしょうか？ 606 名前：１３２人目の素数さん mailto:sage [2008/02/21(木) 22:29:02 ] 暗号は数学じゃないのか・・・ 607 名前：１３２人目の素数さん [2008/02/22(金) 20:17:55 ] >>606 いやそういう意味ではなくて 数学での線形性とはベクトル空間の写像ｆについて f(ax+by)=af(x)+bf(y)が成り立つことだと思いますが、 暗号の場合、ｆやx,y,+に相当するものが何なのか、を聞きたくて。 608 名前：１３２人目の素数さん mailto:sage [2008/02/22(金) 23:31:35 ] それに相当するのは「愛」と「夢」だな 609 名前：１３２人目の素数さん [2008/02/25(月) 01:43:16 ] ゼミで暗号理論ってのをやってるんですが、面接の時とかに面接官に説明する時、どうやって説明すればいいんですか？ どなたか簡潔にまとめていただけないでしょうか？どういう内容でどういう事の役に立つのか等です よろしくお願いします 610 名前：１３２人目の素数さん mailto:sage [2008/02/25(月) 02:10:37 ] >>609 私は暗号理論に学んでいます。 簡単に説明すると素数について学んでいます。 素数の理論は例えばコンピュータの内部を作るとき等に応用され その中でもとりわけパスワードの作成等と関わって来ます。 つまり、コンピュータと素数の理論は密接に関わっています。 等とでも言えば良いんじゃないか？ これで分からない面接官はいないと思うが。 611 名前：１３２人目の素数さん [2008/02/25(月) 04:35:34 ] >>610 609です わかりやすい説明どうもありがとうございます 好きです 612 名前：１３２人目の素数さん mailto:sage [2008/02/25(月) 20:39:00 ] >>611 ネットショッピングのときのパスワード認証とか、 スイカとか携帯の偽造防止とかに役立ってるとかの 応用例も付け加えるとウケがいいかも。 613 名前：１３２人目の素数さん [2008/02/26(火) 01:09:47 ] >>612 なるほど！そうすれば相手も実感がわきますね 再びお礼申し上げます 614 名前：１３２人目の素数さん mailto:sage [2008/03/01(土) 14:51:24 ] >>612 応用例重要ですね。 誰にどう役に立つか、自分はどういう場面で貢献できるかなんか 説明するとよさそうですね。 (数学オタクと思われてしまうと、相手によっては大損。) 615 名前：１３２人目の素数さん mailto:sage [2008/03/02(日) 02:33:46 ] >>614 社会人になったらいろんな人種に自分の仕事の重要性を 説明できなきゃならないからね。 最悪なのは「自分のやってることは高度だから、素人への 説明は無理」っていう態度で、却って自分の余裕のなさ、 つまり頭の悪さを露呈してることになる。 むしろ面接官がみてるのは、相手の知識レベルに合わせた 説明ができる柔軟性だったりする。 616 名前：１３２人目の素数さん mailto:sage [2008/03/03(月) 16:31:17 ] ここにいる人たちって学部生なの？院生なの？ 617 名前：１３２人目の素数さん mailto:sage [2008/03/06(木) 15:51:56 ] >>616 おすすめ２ちゃんねるから考えると、 ひろみちゅｱﾝﾁで夫とｾｯｸﾙばっかりしている主婦ｼﾞｬﾏｲｶ? 618 名前：１３２人目の素数さん [2008/03/17(月) 21:03:40 ] RSAよりElgamal暗号の方が強いと思いますが この考えは間違っていますでしょうか その理由は 素因数分解には数体篩法とか効率的なアルゴリズムがあるけど DH問題は全数探索しかないからです どうか教えてください 619 名前：１３２人目の素数さん [2008/03/17(月) 23:18:10 ] ElGamal暗号では、平文mを暗号化する度に、rを変えなければ、暗号系の安全は保てない。 以上。 620 名前：１３２人目の素数さん mailto:sage [2008/03/18(火) 02:13:39 ] >>618 RSA仮定とDDH仮定は一概に比較できませんが、 それらの仮定が成り立つという前提であれば、ElGamal暗号の方がRSA暗号よりも安全性は強い。 OW-CPA,IND-CPAで検索するといいよ。 621 名前：１３２人目の素数さん mailto:sage [2008/03/18(火) 07:39:56 ] >>620 ありがとうございます DHはIND-CPAなんですね よく分かりました 622 名前：１３２人目の素数さん mailto:sage [2008/03/19(水) 04:18:29 ] >>618 DH問題も効率的なアルゴリズムが存在して準指数時間。 今のところ楕円曲線系は指数時間アルゴリズムしか知られていない。 623 名前：１３２人目の素数さん [2008/03/19(水) 22:58:51 ] >>622 楕円曲線上での離散対数問題は強いということですね ありがとうございます 624 名前：１３２人目の素数さん [2008/03/20(木) 20:05:21 ] 16歳のセアラ、読んだ？ blog.search.goo.ne.jp/search_goo/result/?ts=all&tg=&st=&dc=&dp=&da=&MT=16%BA%D0%A4%CE%A5%BB%A5%A2%A5%E9%A4%AC%C4%A9%A4%F3%A4%C0%C0%A4%B3%A6%BA%C7%B6%AF%A4%CE%B0%C5%B9%E6 625 名前：１３２人目の素数さん [2008/04/09(水) 22:28:21 ] ちょっと質問したいのですが、下記のような手順を踏む暗号方式のことをなんと言うのでしょうか？ １、Ａは送信物に鍵ＡをかけてＢに渡す。 ２、Ｂは受け取った送信物に、鍵ＢをかけてＡに返す。 ３、Ａは返ってきた送信物の鍵Ａを外して再びＢに送る。 ４、Ｂは鍵Ｂを外して送信物を開く。 調べてみて、Diffie-Hellman鍵共有というのがそうかもと思うのですが、よくわかりません。 わかる方いましたら、どうかご教授ねがいます。 626 名前：１３２人目の素数さん mailto:sage [2008/04/09(水) 23:26:35 ] >625 Diffie-Hellman(-Merkle)鍵共有の場合は 1. Aはxを選び g^x をBに送る 2. Bはyを選び, g^y をAに送る 3. お互い g^{xy} を計算し、共有する なので、その例えには当て嵌まらない。 そういうタイプの暗号方式を何と言うかは他の人に任せた。 627 名前：１３２人目の素数さん mailto:sage [2008/04/10(木) 00:08:29 ] >>625 単純に考えると、 鍵Ａに対してはＡが最初に送ったものを平文とみなすとＢが送り返す文が暗号文であり 鍵Ｂに対してはＡが最後に送ったものを平文とみなすとＢが送り返した文が暗号文なので、 結局どちらの鍵についても毎回平文と暗号文のペアを垂れ流し続けることになり 暗号が破られるリスクが非常に高くなるのではないかと。 なので、実際には使われていないのではないかと想像。 628 名前：１３２人目の素数さん mailto:sage [2008/04/10(木) 10:07:41 ] >>627 OW-CPA 安全ぐらい満たしてる暗号方式だろ、常識的に考えて まぁ、おれも>>625の暗号方式がなんていうか知らないが 629 名前：１３２人目の素数さん [2008/04/10(木) 21:03:31 ] 二重南京錠方式のことですね 630 名前：１３２人目の素数さん mailto:sage [2008/04/11(金) 10:24:44 ] >>625 この単純な方式が暗号として成立するという話があるのですか？ 631 名前：１３２人目の素数さん mailto:sage [2008/04/11(金) 11:04:10 ] 「二重南京錠方式」じゃググってもヒットしないので、 「二重南京錠方式　解読」でググったら 72.14.235.104/search?q=cache:N5YcEA11jr8J:homepage2.nifty.com/st_reguls/reguls/book/b_2711.html+%E4%BA%8C%E9%87%8D%E5%8D%97%E4%BA%AC%E9%8C%A0%E6%96%B9%E5%BC%8F%E3%80%80%E8%A7%A3%E8%AA%AD&hl=ja&ct=clnk&cd=1 というサイトがヒットしました。 どうも公開鍵の原理に関する説明で、「暗号解読」の中に出てくるたとえ話らしいですね。 632 名前：１３２人目の素数さん mailto:sage [2008/04/12(土) 04:22:56 ] 日伊の研究者らが発案、ベンチャー企業を設立 「解読不能は数学的に証明済み」、RSAを超える新暗号方式とは 2008/04/11 ttp://www.atmarkit.co.jp/news/200804/11/cab.html んー、びみょーな感じがする。 633 名前：１３２人目の素数さん mailto:sage [2008/04/12(土) 14:41:25 ] 有限長の(鍵+関数)長だと関数の種類も有限だから、理論的に解読不能にはならんだろ、これ・・・ 634 名前：１３２人目の素数さん [2008/04/12(土) 17:13:47 ] 素人想像ではOTPの応用みたいなもんじゃないのか？ ＞　「学会で発表をして名誉だけを受けるという選択肢もありましたが、われわれは会社にしました」（大矢教授）。 なんで学会と会社が二者択一になるんだろう。 RSAの開発者は学会でも会社でも成功させているのに。 635 名前：１３２人目の素数さん mailto:sage [2008/04/12(土) 18:11:40 ] 知的所有権の問題だろ 636 名前：１３２人目の素数さん mailto:sage [2008/04/12(土) 21:07:57 ] 俺は学会で安全性が確認されてる製品買うお 637 名前：１３２人目の素数さん mailto:sage [2008/04/12(土) 23:41:37 ] 関数が無限にあるから解読不可能ｗ チャイティンに聞かせてやりたいｗ 638 名前：１３２人目の素数さん mailto:sage [2008/04/14(月) 12:23:06 ] 理科大って馬鹿なの？ 639 名前：１３２人目の素数さん mailto:sage [2008/04/15(火) 04:13:27 ] 学部長がこれ？ 640 名前：１３２人目の素数さん mailto:sage [2008/04/15(火) 10:07:56 ] “解読不能”の新暗号の記事について、いつくかのお詫び 2008/04/14 www.atmarkit.co.jp/news/200804/14/weekly.html やっぱ色々叩かれたみたいだね、>>632の記事 嘘くさいことこの上ないし 641 名前：１３２人目の素数さん mailto:sage [2008/04/15(火) 12:27:41 ] 記事書いた人も馬鹿まる出し 642 名前：１３２人目の素数さん [2008/04/15(火) 17:21:07 ] age 643 名前：１３２人目の素数さん [2008/04/15(火) 21:03:23 ] お、CAB方式とやらはOTPも使えるのか もう他の暗号なんて不要だな 暗号専門家は今すぐ別分野に転向したほうがいい 644 名前：１３２人目の素数さん mailto:sage [2008/04/15(火) 22:09:46 ] > 原理的で包括的な特許が取得できるならそれでいいのですが、無数にある個別の > アルゴリズムのすべてで特許を取得しなければならないのだとすると、ある程度は > 実装で先行してから公開しないと大手企業に実装競争で負けてしまう。 無数にあるというアルゴリズムを公開もせずに特許が取れるなら、 今後出てきたアルゴリズムは、全部このおっさんの物になるだろうが。ｗｗ 645 名前：１３２人目の素数さん mailto:sage [2008/04/15(火) 22:21:51 ] >>644 だから、実際はそうではないから すぐに実装に着手するために会社にした ．．．っていう文脈ぐらい読めんのか 646 名前：１３２人目の素数さん mailto:sage [2008/04/15(火) 23:26:07 ] >>645 アルゴリズムが無数にあるから安全だと主張してるんだよ？ それを個別に特許をとる必要があるというのはおかしいだろ。 それなら有限個とは言っても、１つのアルゴリズムでユーザが 関数を自由に変更できる三菱のBRUMEやBROUILLARDの方が 数段上。 647 名前：１３２人目の素数さん [2008/04/16(水) 00:30:07 ] > 大手企業に実装競争で負けてしまう。 大手企業が実装すると本気で思っているのだろうか。 じゃあなんで今、宣伝じみた記事を書かせたのかな？ 648 名前：自転車操業 [2008/04/16(水) 01:09:07 ] とんでもビックリさんはどこの業界にもおるもんやな。 ひとつのアルゴリズムで無限個の関数を自在に操れる訳ないやろ。 649 名前：１３２人目の素数さん mailto:sage [2008/04/16(水) 03:53:48 ] 万能TMはひとつのアルゴリズムで無限個の関数を自在に操れるぜ 650 名前：１３２人目の素数さん [2008/04/16(水) 06:02:32 ] ttp://www.youlost.mine.nu/RC7/ftp-box/img20080416045613.jpg どうしても解らないので 教えていただけないでしょうか？ 651 名前：１３２人目の素数さん mailto:sage [2008/04/16(水) 06:37:12 ] あまりに激しく勘違いしてて吹いた 652 名前：１３２人目の素数さん [2008/04/16(水) 06:42:49 ] 大矢さんて昔からこういう人だよ。 いまは理科大の学部長やってんの？ まぁ、話半分で人を騙す技術だけは一流政治屋さん並みだな。 味方につけるといいよ。 653 名前：１３２人目の素数さん [2008/04/16(水) 10:13:22 ] >>652 結局この人、@ITの記者呼んで何がしたかったんだろうね。 654 名前：１３２人目の素数さん mailto:sage [2008/04/19(土) 00:50:10 ] 訂正がいろいろ入ってるね。 www.atmarkit.co.jp/news/200804/11/cab.html ・初出時、理論発見者が大矢教授単独だったように書かれていた個所がありましたが、 ローマII大学のアカルディ教授との共同研究の成果です。本文を訂正しました。 ・初出時、会社の起業メンバーに大矢教授が含まれるという表現がありましたが、 会社設立は入山博士らによるものです。・・・・・ 655 名前：１３２人目の素数さん [2008/04/19(土) 07:58:25 ] >>654 トカゲの尻尾きり？ 656 名前：１３２人目の素数さん mailto:sage [2008/04/21(月) 15:40:22 ] いざとなったら責任逃れに必死かよ。情けないなぁ。 657 名前：1stVirtue ◆.NHnubyYck [2008/04/21(月) 17:34:56 ] しかしいざとなってからではもう遅い。 658 名前：１３２人目の素数さん [2008/04/22(火) 16:17:53 ] 宣伝のつもりが叩かれて大慌て 部下になすりつけて逃亡www 659 名前：１３２人目の素数さん mailto:sage [2008/04/22(火) 21:41:55 ] 資金集めの宣伝だったのに 660 名前：１３２人目の素数さん [2008/04/24(木) 18:11:03 ] www.atmarkit.co.jp/news/200804/11/cab.html >【追記】（2008年4月21日） >続報記事掲載は5月半ばを予定しております。 ふーん 661 名前：１３２人目の素数さん mailto:sage [2008/04/24(木) 22:43:12 ] 今んとこフリーの最強はAESでOK？ 662 名前：１３２人目の素数さん mailto:sage [2008/04/26(土) 00:44:56 ] 大きな脆弱性が見つかっていないので共通鍵暗号のAESは安全。 最強とは何を意味するのか分からんが、鍵長が大きいほど暗号強度は高い。 663 名前：１３２人目の素数さん mailto:sage [2008/04/26(土) 13:13:07 ] ワンタイムパッドが最強 664 名前：１３２人目の素数さん mailto:sage [2008/04/27(日) 11:28:26 ] つ 「鍵配送問題」 665 名前：１３２人目の素数さん mailto:sage [2008/04/27(日) 15:42:39 ] 今のネットで鍵配送が問題になることあんの？ 666 名前：１３２人目の素数さん mailto:sage [2008/04/28(月) 00:39:24 ] >>665 どうやって鍵配送すんだよボケ 667 名前：１３２人目の素数さん mailto:sage [2008/04/28(月) 19:40:50 ] 鍵の配送方法は無限に存在するので理論的に解読不可能です 668 名前：１３２人目の素数さん mailto:sage [2008/04/28(月) 19:55:13 ] 天災現る 669 名前：１３２人目の素数さん mailto:sage [2008/04/28(月) 20:25:43 ] >>667 だからどうやって配送すんだよ 無限にあるなら一例あげろよ 670 名前：１３２人目の素数さん mailto:sage [2008/04/28(月) 20:27:27 ] ここは宅配便で 671 名前：１３２人目の素数さん mailto:sage [2008/04/29(火) 02:39:18 ] >>669 >>632 672 名前：１３２人目の素数さん mailto:sage [2008/05/03(土) 09:43:59 ] 国立情報学研究所が暗号数学の権威なの？東大？ 673 名前：１３２人目の素数さん mailto:sage [2008/05/04(日) 19:31:45 ] カオス暗号ならNTT 674 名前：１３２人目の素数さん mailto:sage [2008/05/06(火) 13:06:05 ] M女史はもうNTTじゃないよね? 675 名前：１３２人目の素数さん mailto:sage [2008/05/06(火) 13:52:49 ] See RFC 4132 or RFC 4312 . 676 名前：１３２人目の素数さん [2008/05/07(水) 01:08:52 ] age 677 名前：１３２人目の素数さん mailto:sage [2008/05/14(水) 10:17:51 ] 検知力テスト（2008年5月12日） Most Effective Antivirus Tools Against New Malware Binaries ttp://mtc.sri.com/live_data/av_rankings/ Rank Detects Missed Product 1st 95% 77 Ikarus 2nd 93% 133 AntiVir (優) 3rd 92% 148 BitDefender (優) 4th 92% 152 Webwasher-Gateway 5th 90% 185 AVG (優) 6th 88% 212 CAT-QuickHeal 7th 87% 238 F-Secure 8th 87% 241 Norman 9th 86% 248 Kaspersky (良) 10th 83% 311 ClamAV 11th 83% 321 Sophos 12th 83% 322 Microsoft (可) 13th 82% 331 Avast (可) 14th 80% 368 eTrust-Vet 15th 80% 369 VirusBuster 16th 79% 382 TheHacker 17th 79% 387 DrWeb 18th 78% 416 F-Prot 19th 77% 429 AhnLab-V3 20th 75% 468 Symantec (不可) 21st 73% 511 Rising 22nd 72% 529 VBA32 23rd 70% 566 Fortinet 24th 70% 568 Panda 25th 69% 572 McAfee 26th 67% 623 NOD32v2 (Joke!) 678 名前：１３２人目の素数さん [2008/05/16(金) 12:10:11 ] もう5月半ばなんだが CAB方式（笑）の続報まだ？ 679 名前：１３２人目の素数さん [2008/05/16(金) 18:21:39 ] 暗号素人（せいぜいシャノン、エニグマ、DES、SSL、AES公開鍵暗号方式までを知識として知っている程度）の俺でも あの記事には全力で突っ込まざるを得なかった。 一級釣り師の称号を進呈したい。 680 名前：１３２人目の素数さん mailto:sage [2008/05/16(金) 21:41:59 ] 既に暗号有識者との対談が行われたようだ 既存の暗号技術についてはやはり知識が乏しいようで 『そんな古い知識を溜め込んでいるだけでは新しい技術は生まれない』 だとか 『CAB方式がすべてのパソコンに導入される日は遠くない』 などの名言多数 681 名前：１３２人目の素数さん mailto:sage [2008/05/17(土) 09:47:56 ] ＠ITに記事が載るのは「5月半ば」？ 682 名前：１３２人目の素数さん mailto:sage [2008/05/20(火) 17:22:26 ] この人が一体何を言っているのかさっぱり分かりません どなたかおいらに解説してください ttp://www.j-tokkyo.com/2003/G09C/JP2003-345248.shtml 683 名前：１３２人目の素数さん mailto:sage [2008/05/20(火) 21:48:50 ] 鍵配送はCAB方式を使えばいいんですね、わかります。 684 名前：１３２人目の素数さん mailto:sage [2008/05/21(水) 13:01:35 ] 線形解読法でS_boxの線形近似のやり方がわかりません･･･ どなたか指南していただけませんか？ 線形解読法の論文を読んだのですが、平文の一部分を取り出して解読できるのかもよく分からないんですが･･･ 685 名前：１３２人目の素数さん mailto:sage [2008/05/23(金) 16:05:51 ] 良く分からんが、CAB暗号って擬似乱数生成してるだけじゃね？ 情報理論的に安全でもないようだし、解読不可能はないんじゃないかな。 686 名前：１３２人目の素数さん [2008/05/23(金) 21:13:16 ] CAB方式は現代の錬金術 687 名前：１３２人目の素数さん mailto:sage [2008/05/24(土) 00:08:41 ] pc11.2ch.net/test/read.cgi/tech/1180280982/139-141 688 名前：１３２人目の素数さん mailto:sage [2008/05/25(日) 19:57:28 ] >>681 そろそろ5月も終わるわけだが・・・ 689 名前：１３２人目の素数さん [2008/05/29(木) 22:19:54 ] クリプトベーシック株式会社のHP，キャッシュでしか見られないね 690 名前：１３２人目の素数さん mailto:sage [2008/05/30(金) 20:53:54 ] >>689 「高速かつ低負荷で暗号化・復合化を実現できる」 ここは笑うところか。 691 名前：１３２人目の素数さん [2008/05/30(金) 22:57:51 ] 続報は結局無理だったか 記者はCAB方式などと馬鹿げた記事を削除して辞めろ 692 名前：１３２人目の素数さん mailto:sage [2008/05/30(金) 23:33:18 ] 実現できたら、シャノンは驚いて生き返るだろう。 693 名前：１３２人目の素数さん [2008/05/31(土) 00:56:12 ] 事業計画書が・・・涙をさそう。 10年でまーけっとの1割を目指すとか。 694 名前：１３２人目の素数さん [2008/06/01(日) 01:40:59 ] >>693 SASC2008のどの発表のこと指してるの？ 695 名前：１３２人目の素数さん mailto:sage [2008/06/01(日) 16:07:56 ] >>691 こういう記事はあとあとまで残してこそ意義がある。 苦い過去の一ページとして。 第二第三......のCompJapanとして語り継がねばなるまい。 696 名前：１３２人目の素数さん mailto:sage [2008/06/03(火) 07:59:32 ] www.nikkeibp.co.jp/news/it08q2/573193/ 最近の流行か 697 名前：１３２人目の素数さん mailto:sage [2008/06/03(火) 23:22:40 ] venturewatch.jp/img/article_img/20080514_zu.jpg > 異なる地点で同じ鍵を次々に生成し消去（蒸発）させる > ＝鍵の搬送問題がない上に処理速度も速く、第三者盗聴が不可能 鍵を生成する安全なアルゴリズムと、２者間で鍵を同期するための情報を 安全に送る方法が必要になると思うけど、そこが「非公開の当社独自方式」 だから安全というのかな？ 698 名前：１３２人目の素数さん [2008/06/04(水) 08:17:22 ] アルゴリズムと鍵はDVDに焼いて 西濃運輸によって配送されるため安全です 699 名前：１３２人目の素数さん [2008/06/04(水) 08:29:18 ] 中年だと思ってない中年じじー死ね 中年だと思ってない中年じじー死ね 中年だと思ってない中年じじー死ね 中年だと思ってない中年じじー死ね 中年だと思ってない中年じじー死ね 中年だと思ってない中年じじー死ね 中年だと思ってない中年じじー死ね 中年だと思ってない中年じじー死ね その老いたすがた気持ち悪すぎ その老いたすがた気持ち悪すぎ その老いたすがた気持ち悪すぎ その老いたすがた気持ち悪すぎ 700 名前：１３２人目の素数さん mailto:sage [2008/06/04(水) 08:54:45 ] 俺も企業立ち上げようかな。 ランダムで生成したダミー公開鍵をくっつけて、 本体は鍵もクソもなくただビット反転させるだけ。 売り文句は「超高速！」「超安全！」 「公開鍵方式は鍵を使って暗号化する」という常識を逆手に取った詐欺だな。 701 名前：１３２人目の素数さん [2008/06/04(水) 15:03:16 ] わしはＲＳＡ暗号や楕円曲線暗号など広く実用化された暗号以外は学習しておらん。 ＣＡＢ方式が先行きわしに認知されることがあるか試金石やな。 期待は薄そうやが。 702 名前：１３２人目の素数さん [2008/06/04(水) 15:05:23 ] ＞10年でまーけっとの1割を目指すとか。 マーケットの１割をＣＡＢ方式が確保したらこれについて勉強してみようとおもう。 703 名前：１３２人目の素数さん [2008/06/04(水) 16:14:28 ] >「非公開の当社独自方式」だから安全というのかな？ 総務省やＣＳＫなどへの品実績があるから安全ということなんだろうね。 安全性についての検証を採用企業はどう考えているのだろうか。 704 名前：１３２人目の素数さん mailto:sage [2008/06/04(水) 18:41:54 ] >>700 んー、cryptMT(メルセンヌツイスタを応用したストリーム暗号）はいいかもしれません。 705 名前：１３２人目の素数さん mailto:sage [2008/06/04(水) 18:47:46 ] メルセンヌツイスタはあかんやろJK。 706 名前：１３２人目の素数さん [2008/06/04(水) 19:11:01 ] MTは開発者が暗号には適さないと公言しているから無理じゃない？ それにしても暗号ブーム来てるな 707 名前：１３２人目の素数さん mailto:sage [2008/06/04(水) 23:55:13 ] www.math.sci.hiroshima-u.ac.jp/~m-mat/MT/CRYPTMT/index-jp.html そのまま使ってはダメです。 MTの驚異的な周期の長さ、高次元での特性の良さは魅力的。 708 名前：自転車操業 [2008/06/05(木) 16:46:25 ] 松本対スタはクヌースも絶賛や。 709 名前：１３２人目の素数さん [2008/06/07(土) 11:21:18 ] ひっぱるなあ 【追記】（2008年6月6日） 追加取材を5月29日に行いました。続報記事を予定していましたが、 以下の理由で続報記事の掲載を延期させていただきます。 理由の1つは同席する予定だった暗号研究者が欠席したためです。 その結果、当記事作成に当たった編集部の西村が単独で追加の取材を 行う形となりました。追加取材の場では、再度、CAB暗号方式の概要 および現在進めている安全性検証について話を聞きました。 また、ビジネス面での進捗や情報の公開準備についても確認しました。 クリプト・ベーシック社が特許申請を今後3カ月程度をめどに行う予定で 弁理士と検討を進めていること、それに引き続き早ければ年内から 年明けにも、いずれかの学会で学会発表を行う予定もあることが判明しました。 このため、最短で3カ月、最長でも2年程度で、CAB暗号方式のアルゴリズムに 関する情報がオープンとなることが分かりました（特許庁に出願した特許申請は、 出願から1年半後に公開特許公報に掲載されて、パブリックになります）。 実装のオープンソース化も視野に入れているとのことです。 以上のことから、肝心の発明部分が非公開の状態のままにさらなる追加取材を 行うよりも、専門家が客観的判断を下せるだけの十分な情報が公開された段階で、 追加取材および記事掲載を行うべきと判断いたしました。 今後もクリプト・ベーシック社の情報公開準備に関する進捗については、 随時同社に問い合わせ、このページに追記していきます。 710 名前：１３２人目の素数さん mailto:sage [2008/06/07(土) 13:12:33 ] ISECかSCISでやってくれｗ 711 名前：１３２人目の素数さん mailto:sage [2008/06/07(土) 17:06:24 ] >>706 そろそろ新たな公開鍵式暗号がでてきてもいいころなんですが。 712 名前：１３２人目の素数さん mailto:sage [2008/06/07(土) 19:50:39 ] ペアリング暗号みたいに今までできなかったことができるようにならないと、 新しい公開鍵暗号が提案されても、見向きもされないかもな。 713 名前：自転車操業 [2008/06/08(日) 01:17:59 ] >最短で3カ月、最長でも2年程度で、CAB暗号方式のアルゴリズムに >関する情報がオープンとなる 楽しみにしてるデ。究極の暗号というふれこみなんやろ。 専門家による解説が出るのは年明けぐらいになるんかな。 714 名前：自転車操業 [2008/06/08(日) 01:21:08 ] ＲＳＡで初等整数論、楕円暗号では楕円曲線について勉強するはめになったが、 ＣＡＢは何の数学が関係しているのやろか。 715 名前：自転車操業 [2008/06/08(日) 01:52:01 ] 内容が明らかになったら、 数セミにＣＡＢ暗号の数学について特集記事を書いてくれ。 716 名前：自転車操業 [2008/06/08(日) 02:47:33 ] >これをOVアルゴリズムといいます． >しかし，NP=Pと結論するのはこのOVアルゴリズムを >チューリング機械の枠組みで構築せねばなりません． ＮＰ≠Ｐの可能性が高いのにＯＶアルゴリズム（量子アルゴリズム）を 決定性多項式時間アルゴリズムで記述するという試みは無茶なんちゃうか。 717 名前：自転車操業 [2008/06/08(日) 02:50:28 ] いずれにせよ、大矢先生の研究内容からして ＣＡＢ暗号は量子計算、カオス、計算量理論あたりが かんでおるのかな。 718 名前：１３２人目の素数さん mailto:sage [2008/06/08(日) 03:48:56 ] ＮＰ≠Ｐならば決定性多項式時間で解けないと証明された 多項式時間量子アルゴリズムは存在しないぞ 719 名前：自転車操業 [2008/06/08(日) 22:10:09 ] 　　・ＲＳＡ暗号をしのぐＣＡＢ暗号 　　・Ｐ＝ＮＰの証明 近いうちに大矢教授は歴史に残る研究成果をあげるということなんやな。 720 名前：１３２人目の素数さん [2008/06/08(日) 22:29:44 ] 量子PCようの新しい暗号ができたす 721 名前：自転車操業 [2008/06/08(日) 22:53:09 ] 大矢研のＵＲＬをお気に入りに入れたデ。 ＣＡＢ暗号アルゴリズムが公表されても ＮＰ完全問題を解く決定性多項式時間アルゴリズムが見出されても これでＯＫや。 722 名前：１３２人目の素数さん mailto:sage [2008/06/09(月) 00:46:32 ] あまりにもつっこみどころが多すぎて、 リアルタイムで見れたことを感謝したくなる。 人生には余興が必要だ。 723 名前：自転車操業 [2008/06/09(月) 01:00:29 ] 大矢研のＨＰに 「我々は，量子コンピュータからの出力を 　別のカオス力学を応用した増幅器への入力とした 　新しい量子アルゴリズムを提唱しています． 　我々は，それを用いることでＮＰ完全問題の一つであるSAT問題が， 　入力サイズの多項式時間で解くことが出来ることを示しました」 これメチャクチャすごい研究成果やんか。 ショアーのアルゴリズムの発見に匹敵するで。 いよいよ日本人研究者で初のチューリング賞受賞ちゃうか。 724 名前：自転車操業 [2008/06/09(月) 01:14:31 ] ＞理由の1つは同席する予定だった暗号研究者が欠席したためです。 そりゃそうやろ。 ＣＡＢ暗号みたいな究極の暗号が出回ったら 暗号研究者も仕事無くなるし困るわな。 それに特許を押えてぼろ儲けされたらおもろないもんな。 725 名前：自転車操業 [2008/06/09(月) 01:28:33 ] 主たる研究業績 量子力学系の相互エントロピー定式化， 30年来の難問であるNP完全問題を解くアルゴリズムの数理の確立， 新たな複雑さの理論として情報力学の提唱と それによる様々な分野（物理，情報，生命）の統合など． 研究論文100編以上． この研究業績は超天才ならではやろ。 ＮＰ完全問題を解くのに近似アルゴリズムやら確率アルゴリズムやら いろいろ研究してきたわけやが全部徒労にオワリそうやな。 大矢教授がＰ＝ＮＰを証明してミレニアム問題にかかった１億円も ごっそりいただきということになるんやろうな。 726 名前：自転車操業 [2008/06/09(月) 01:49:49 ] くだらん因縁ばかりつけて喜んでいるいるこのスレの連中に いい研究ができるわけないわな。 人の粗探しばかりしていると天に見放されるやろ。 大矢教授＞＞＞＞＞＞＞＞＞＞このスレの粘着 727 名前：自転車操業 [2008/06/09(月) 03:05:33 ] ゼロ知識証明が提唱された当初もすぐには理解されんかったみたいやし、 それと同じことがＣＡＢ暗号でも起きているんやろうな。 古臭い暗号知識にしがみついている連中には大矢先生の斬新なアイデアを 理解するには相当な月日を要するやろ。 728 名前：自転車操業 [2008/06/09(月) 03:10:31 ] 世の中の暗号がＣＡＢ一色になるのが見ものや。 数年後にはそうなってるのとちゃうか。 そのときは暗号の研究者はかぎなくゼロにあるやろうな。 まあ計算量の研究者は別ネタでやっていきよるやろうけどな。 729 名前：１３２人目の素数さん mailto:sage [2008/06/09(月) 06:41:23 ] シャノンに始まる既存の理論は、多くの人間により繰り返し検証されてきました。 これをまったくぶち壊す、もとい超越するというのであれば、その内容を論文で発表すればいいだけなんです。 まちがいなくチューリング賞、あるいはもしかすると、フィールズ賞が手に入るでしょう。 それができないのは、どうしてなんでしょうか？ 730 名前：１３２人目の素数さん mailto:sage [2008/06/09(月) 07:55:42 ] P=NP って山口人生先生が既に解決してたんじゃなかったっけ? 731 名前：１３２人目の素数さん mailto:sage [2008/06/09(月) 17:36:01 ] >>723-728 お、ついにご当人ご光臨かw 732 名前：１３２人目の素数さん mailto:sage [2008/06/09(月) 18:49:52 ] 単なる釣り師さんだろ 733 名前：１３２人目の素数さん [2008/06/09(月) 21:33:50 ] ・大矢教授の研究成果 - OVアルゴリズムは SAT (つまり任意のNP問題) を多項式時間で解く - CAB暗号は解読不可能 ・簡単な観察 - 全ての暗号解読問題はNP（探索）問題． （復号鍵があれば容易に復号できないといけないので） 　 　∩＿＿＿∩　　 　　　　　　 　　 | ノ＼　　　　 ヽ　 　　　　　　 　　/　　●゛　　● |　　　　 　　　 　 |　∪　　( _●_)　ミ　 ！？ 　彡､　　　|∪|　　 |　　　 　　　 /　　　　 ∩ノ ⊃　 ヽ (　 ＼　／ ＿ノ　|　 | .＼　“　　／＿＿|　 | 　　＼ ／＿＿＿ ／ 734 名前：１３２人目の素数さん mailto:sage [2008/06/10(火) 00:56:28 ] >>733 クマーの着眼点すばらしすｗｗｗｗ 735 名前：１３２人目の素数さん [2008/06/10(火) 03:16:25 ] 論文を読んだかぎり OVアルゴリズムは初歩的な勘違いの結果でしかないように見える。 よって、ｸﾏｰの指摘はあたらず、CABの信憑性は高い。 736 名前：１３２人目の素数さん mailto:sage [2008/06/10(火) 03:50:52 ] 眉がつばだらけなんだけど、、、。 737 名前：１３２人目の素数さん mailto:sage [2008/06/10(火) 03:55:18 ] 実際の教授なの？ それにしては、まがいものの臭いがする。宣伝なんか後でいいんじゃないの。 実際の正しい理論ならば、、、 738 名前：１３２人目の素数さん mailto:sage [2008/06/10(火) 03:58:53 ] 決定的多項式時間では記述できない理論だったりして、、、。 739 名前：１３２人目の素数さん mailto:sage [2008/06/10(火) 12:15:02 ] >>733 「矛盾」の故事を思い出した。 740 名前：１３２人目の素数さん mailto:sage [2008/06/10(火) 22:08:34 ] もしかして！！ CAB暗号は復号鍵があれば容易に復号できるとは限らないのでは？！ 741 名前：１３２人目の素数さん mailto:sage [2008/06/11(水) 18:59:32 ] ΩΩ Ω　＜　な、なんだってー 742 名前：１３２人目の素数さん [2008/06/12(木) 02:02:24 ] �� 743 名前：１３２人目の素数さん mailto:sage [2008/06/15(日) 18:57:23 ] >>733 この発想は凄いｗｗｗ 744 名前：自転車操業 [2008/06/21(土) 03:47:22 ] 何か７３３見てるとわしがだまされてたみたいやな。 745 名前：745 mailto:sage [2008/06/26(木) 20:01:30 ] 暗号化ソフトというものは個人でも開発出来るものなのでしょうか。 746 名前：１３２人目の素数さん mailto:sage [2008/06/26(木) 20:50:14 ] 個人でも出来ます。 （；´Д｀）作り方はご自分で調べてください。 747 名前：１３２人目の素数さん mailto:sage [2008/06/26(木) 21:36:45 ] シーザー暗号なら、すごく簡単だな。 748 名前：１３２人目の素数さん mailto:sage [2008/06/26(木) 21:52:42 ] >>745 単純な暗号なら可能 749 名前：１３２人目の素数さん mailto:sage [2008/06/27(金) 11:46:59 ] 暗号化のアルゴリズムを自分で考えようというのは無謀だな。 既存のアルゴリズムを使ったソフトを作るのは、暗号の扱い方の基本さえ 押さえておけばたいしたことはない。 750 名前：745 mailto:sage [2008/06/27(金) 12:51:51 ] みなさん、返信ありがとうございました。 751 名前：自転車操業 [2008/06/27(金) 21:12:48 ] 暗号なんてものはひとつええのがあればいいんや。 暗号なんてのは計算量理論の専門家が理論の有用性をちらつかせる程度の存在や。 752 名前：１３２人目の素数さん mailto:sage [2008/06/27(金) 21:48:25 ] そもそもウェブ上にソースコードがゴロゴロ転がってないか？ RSA ソース とかでぐぐってみたらボロボロ引っかかるぞ 753 名前：１３２人目の素数さん mailto:sage [2008/06/27(金) 23:19:58 ] そういえばCRYPTO 2008のプログラムが公開されてるね。参加する人いる？ www.iacr.org/conferences/crypto2008/program.html 754 名前：１３２人目の素数さん mailto:sage [2008/06/28(土) 18:32:03 ] >>753 ぜひ参加して潜入レポート書いてくれ。 755 名前：自転車操業 [2008/06/29(日) 00:38:24 ] わしが証明付き一方向性関数を発見したら ＣＲＹＰＴＯの講演に招待してもらえるかのう。 756 名前：自転車操業 [2008/06/29(日) 01:02:52 ] わしがマイナス知識証明プロトコルを発明したら ＣＲＹＰＴＯで特別講演をすることになるんやろうな。 ゴールドおばさんもびっくりするやろうな。 757 名前：自転車操業 [2008/06/29(日) 01:32:10 ] 格子の被覆半径を計算する問題がＮＰに属することをわしが証明したら、 ＣＲＹＰＴＯで特別講演することになるんやろうな。 758 名前：自転車操業 [2008/06/29(日) 01:46:37 ] わしが任意定数の因子内でＳＶＰの近似することがＮＰ困難であることを 証明したらＳＴＯＣあたりで特別講演することになるんやろうな。 Ａｊｔａｉも腰をぬかすやろうな。 759 名前：自転車操業 [2008/06/29(日) 02:00:09 ] 平均的に破るのがＮＰ困難な一方向関数を構成して Ｐ≠ＮＰを証明したらミレニアム問題解決で一億円いただきやな。 760 名前：自転車操業 [2008/06/29(日) 02:42:10 ] わしは怪物ランドのおやじだぞ〜。 わしの論文一本で一本で暗号界はひっくり返るぞ〜 761 名前：１３２人目の素数さん mailto:sage [2008/06/29(日) 17:46:26 ] 「自転車操業のオヤジで学ぶ計算量理論講座」 やってくれ 762 名前：自転車操業 [2008/06/29(日) 19:41:52 ] >>761 わしは自転車操業でヤバイ状態なんやから人に教えられる身分やあらへん。 計算量理論の偉い先生方が東大、東工大、京大あたりにおられるから そこらで勉強しなはれ。 763 名前：自転車操業 [2008/06/29(日) 19:52:02 ] 急にマジレスするのもなんやが、計算量理論でも暗号理論でもそれなりの業績を挙げている 研究室で勉強するのが一番エエ。 不思議と一流の先生のお弟子さんから一流の研究者が生まれているのが現状や。 何か一流の仕事をする上で必要な作法みたいなもんが学べるのとちゃうか。 764 名前：自転車操業 [2008/06/30(月) 00:00:14 ] 実際のところ、CRYPTO 2008に参加するぐらいの研究室におらんとあかんのちゃうか。 まあ２ちゃんでうろうろしてるのは概ね冴えん連中やからわしも含めて縁は無いのやろうけどナ。 765 名前：１３２人目の素数さん mailto:sage [2008/06/30(月) 12:46:55 ] >>763 自転車操業の人はそんな研究室出身(あるいは在学中)だと予想 766 名前：１３２人目の素数さん mailto:sage [2008/06/30(月) 14:40:03 ] >>764 ついでに。わざとらしく大阪弁を使っているので、本当はそうでは ないのだろう。学生さんではなく、酔っ払って勢いで書いた助教さん ではないかと予想。案外♀だとか？ 767 名前：１３２人目の素数さん mailto:sage [2008/06/30(月) 15:45:47 ] そうではないらしい。 京大工学部OBの４０代後半の自営業のおやじさん。 自転車操業中の自営業って、想像が付かない。 金は入ってくるが、ほとんど出て行くらしい。 その繰返しで安定した生活はおくれていないが、 暇な時間はあるみたい。 768 名前：１３２人目の素数さん [2008/07/01(火) 02:26:17 ] Ｆランク大の教員だろ。 定員割れをおこして最近は経営が大変らしいからな。 研究室の運営が資金難　⇔　自転車操業の自営業 概ねこんなところだろう。 769 名前：１３２人目の素数さん [2008/07/01(火) 04:07:50 ] 　　　　　　　　　　■毎日新聞廃刊か■ ★祭り★ 「日本の母は息子の性処理係」毎日新聞が捏造記事28 human7.2ch.net/test/read.cgi/ms/1214832924/ ★祭り★ 【毎日新聞】ネット上に変態報道の処分と無関係の社員を誹謗中傷する書き込み→名誉棄損で法的措置を取る方針★ mamono.2ch.net/test/read.cgi/newsplus/1214841614/ オカルト板hobby11.2ch.net/test/read.cgi/occult/1214826821/　 英語板 academy6.2ch.net/test/read.cgi/english/1213971760/ 大規模OFF sports11.2ch.net/test/read.cgi/offmatrix/1214614538/ YouTube板　pc11.2ch.net/test/read.cgi/streaming/1214375128/ ニュー速 namidame.2ch.net/test/read.cgi/news/1214798343/ 医者 society6.2ch.net/test/read.cgi/hosp/1210492753/ マスコミ society6.2ch.net/test/read.cgi/mass/1214603376/ 司法 society6.2ch.net/test/read.cgi/court/1214621509/ 【毎日新聞】　iチャネル解約スレ　【変態報道】 hobby11.2ch.net/test/read.cgi/keitai/1214802475/ ▼iチャネル解約方法 ｉモードのｉメニューから料金＆お申込・設定を選択 ４のオプション設定のｉチャネル設定から解約可能 解約理由を告げたい場合は携帯から151にダイヤル ▼解約後の料金について パケホーダイなどとは異なり、解約した場合はその月のiチャネル利用料金は日割りになります。 解約したその月に再契約も可能です。追加料金も発生しません。 ｉチャネルの解約は日本人(あなた)を馬鹿にしている毎日新聞社への直接的抗議に繋がります ちなみに解約には5分とかかりません 770 名前：１３２人目の素数さん [2008/07/01(火) 21:45:25 ] >>768 違うんだなあ、これが。 崩れの墓場スレでおなじみの人なんだ。 京大から50キロ離れた所にいるらしい。 京野菜栽培か、自転車関連なら朝は早いが 豆腐屋か、新聞屋か？ まさか競輪場の予想屋か？うーん、わからん。 771 名前：１３２人目の素数さん mailto:sage [2008/07/03(木) 18:05:11 ] なんか数学板の他のスレにいる変な人達がこっちに流入してきたね 772 名前：自転車操業 [2008/07/10(木) 23:22:56 ] >>770 わしの仕事は個人情報やから言えんわな。 でもな数学版に張り付いているんやから数学に関係している仕事や。 773 名前：１３２人目の素数さん mailto:sage [2008/07/18(金) 13:49:47 ] >>772 「数学に関係している仕事」なら、塾の自営で決まりですかね。 孤軍奮闘するものの少子化で自転車操業になってしまった、とか。 売れそうな本を書いて印税収入を得るってのはどうですか？ 774 名前：１３２人目の素数さん [2008/07/19(土) 00:48:28 ] ＞「数学に関係している仕事」なら、塾の自営で決まりですかね。 これは個人情報やからノーコメントやな。 >売れそうな本を書いて印税収入を得るってのはどうですか？ これええな。 実はわしもこの線を狙ってはおるんやが。 どこかのえらい先生との共著で稼がしてもらいたいもんやな。 775 名前：これからの投稿締め切り mailto:sage [2008/07/19(土) 22:14:52 ] 08/20 INSCRYPT 09/03 EUROCRYPT 09/14 ASIACCS 09/24 PKC 09/30 TCC 10/17 FC 10/20 SEC 11/24 FSE 776 名前：１３２人目の素数さん mailto:sage [2008/07/19(土) 22:23:34 ] >>775 9月10月は大きな会議が固まってるなー 777 名前：Z [2008/08/05(火) 22:00:25 ] ２つの公開鍵で暗号化した暗号文の足し算例えば公開鍵k1とk2で暗号化した 暗号文Ek1(M1)、Ek2(M2)があるときEk1(M1)+Ek2(M2)の足し算をk1の秘密鍵 で復号するとM1だけ復号して取り出せるのでしょうか？ 778 名前：１３２人目の素数さん mailto:sage [2008/08/05(火) 23:00:14 ] 暗号文を最後に公開鍵で符号多重化しておけば取り出せる 779 名前：Z [2008/08/06(水) 01:51:27 ] 勉強不足なんですけど符号多重化とはなんでしょうか？例があったらうれしいです。 780 名前：１３２人目の素数さん mailto:sage [2008/08/15(金) 20:50:52 ] >>779 符号多重で検索すれば例がいっぱい出てくるよ 781 名前：１３２人目の素数さん [2008/08/28(木) 02:16:09 ] 一応保守 782 名前：１３２人目の素数さん mailto:sage [2008/08/28(木) 15:17:34 ] >>763 計算量理論でも暗号理論でもそれなりの業績を挙げている 研究室 例えばどこなのでしょうか？学部一年なので今後の参考にしたいと思います． 783 名前：１３２人目の素数さん mailto:sage [2008/08/29(金) 02:42:05 ] 東工大のワタナベ 784 名前：１３２人目の素数さん [2008/09/03(水) 00:32:54 ] >783 だれそれ？ 785 名前：１３２人目の素数さん mailto:sage [2008/09/03(水) 10:33:21 ] >>784 渡辺治 最近は暗号の研究やってないっぽいけどなぁ 786 名前：１３２人目の素数さん [2008/09/13(土) 00:29:44 ] ＩＳＥＣあげ 787 名前：１３２人目の素数さん mailto:sage [2008/10/11(土) 00:03:08 ] みんなどうやって勉強・研究を進めてるの？ やっぱ論文読むしかないんだろうけど…。 788 名前：１３２人目の素数さん [2008/10/22(水) 18:33:26 ] 暗号界に革命を起こす超理論の件、何か続報ないですか？ 789 名前：１１７ [2008/10/22(水) 18:36:01 ] 因数分解教えてください。 まず （３X�Aー１）（X＋２） このXの係数が3のときはどうやるんですか？ �Aは2乗という意味です X＝エックス 誰か本当お願いします 790 名前：１３２人目の素数さん [2008/10/22(水) 19:38:42 ] >>789 掲示板への数学記号の書き方に関する説明がどこかにあるから、まずそれを見て、 一般的な書き方に則ったかたちで書いたほうがいいと思う。 誰にもわかりやすいし、正確に伝わるからね。 回答も得やすいはず。 791 名前：１３２人目の素数さん mailto:sage [2008/10/22(水) 19:43:40 ] >>789 [数学　記号　書き方　掲示板]を検索するとたぶんヒットする 792 名前：１３２人目の素数さん mailto:sage [2008/10/22(水) 20:35:26 ] >>789 マルチ 793 名前：１３２人目の素数さん mailto:sage [2008/10/22(水) 22:14:13 ] >788 10/15に出てるよ www.atmarkit.co.jp/news/200804/11/cab.html 【追記】（2008年10月15日） クリプト・ベーシック社に問い合わせたところ、現在数社と契約し、暗号アルゴリズムを 組み込んだ製品のテストおよびデバッグを行っている最中との回答が得られました。 製品完成時にパートナー企業と共同で特許取得を計画しており、来年初頭をめどに出願、 アルゴリズム公開もその時期を考えているとのことでした。この予定通りに進めば、 追加取材は2009年初頭に行います。 794 名前：１３２人目の素数さん mailto:sage [2008/10/22(水) 22:31:45 ] 公開が待ち遠しいね 学会もこの話題で持ちきりになるんだろうな！！ ﾋｬｯﾎｰ 795 名前：１３２人目の素数さん mailto:sage [2008/10/23(木) 22:59:17 ] というか製品完成してから特許取得とかありえないだろ、常考 796 名前：１３２人目の素数さん [2008/10/23(木) 23:55:21 ] 完成時に出願 ワラタ 797 名前：１３２人目の素数さん [2008/10/24(金) 21:03:28 ] 戦略上、後回しにしたり、あえて申請しなかったりもあるわけだけど、 暗号の場合はそうでもないの？ 798 名前：１３２人目の素数さん mailto:sage [2008/10/24(金) 23:13:16 ] snake oilの香りが・・・ え、バラジクロロベンゼン？ 799 名前：１３２人目の素数さん mailto:sage [2008/10/25(土) 00:51:55 ] 何ができたら製品なんでしょう…？ 800 名前：１３２人目の素数さん mailto:sage [2008/10/25(土) 00:52:52 ] ん…何か日本語おかしいな 何ができたら製品完成になるんでしょう？ 801 名前：１３２人目の素数さん [2008/10/25(土) 16:22:36 ] ォィォィ anchorage.2ch.net/test/read.cgi/bizplus/1223949125/206 802 名前：１３２人目の素数さん mailto:sage [2008/10/26(日) 03:07:01 ] >>797 万が一誰かに先に出願されちゃったらパーになるのに？ 803 名前：１３２人目の素数さん mailto:sage [2008/10/26(日) 06:45:12 ] >>802 だれも思いつかなければ問題なし。 804 名前：１３２人目の素数さん [2008/10/26(日) 23:31:22 ] おそくてスンマソン internet.watch.impress.co.jp/cda/news/2008/10/14/21162.html www.itmedia.co.jp/news/articles/0810/14/news020.html 805 名前：１３２人目の素数さん mailto:sage [2008/10/28(火) 15:01:29 ] >>802 そうですよ。でも知財戦略の話では必ず登場することですね。 806 名前：１３２人目の素数さん mailto:sage [2008/10/29(水) 04:31:43 ] 戦略（笑） 807 名前：１３２人目の素数さん mailto:sage [2008/12/03(水) 16:24:52 ] 451 808 名前：１３２人目の素数さん mailto:sage [2008/12/07(日) 11:24:27 ] PKCの論文リスト www.ics.uci.edu/~pkc09/accepted.html 明日からAsiacrypt。 www.ics.mq.edu.au/conferences/asiacrypt2008/ 809 名前：１３２人目の素数さん [2008/12/10(水) 19:10:35 ] こんなん見つけた science6.2ch.net/test/read.cgi/math/1225034422/ 810 名前：１３２人目の素数さん mailto:sage [2008/12/10(水) 23:52:33 ] ひさびさにこのスレに来た 大矢さんがどうなったか気になったけど別に大したことはなかったぜ。 811 名前：自転車操業 [2008/12/14(日) 15:37:13 ] 究極の暗号はどうなったんや。 812 名前：自転車操業 [2008/12/14(日) 15:40:49 ] 暗号屋さんは景気よろしいでっか。 わしはどうにかこうにか年を越せそうやが、 来年は仕事があるかどうかわからん。 813 名前：自転車操業 [2008/12/14(日) 15:46:11 ] わしをクリプト・ベーシック社京都支店の店長にしてくれんやろか。 814 名前：１３２人目の素数さん [2008/12/14(日) 21:34:14 ] HDMIのクラッキングはどうやるのですか？ 815 名前：１３２人目の素数さん [2008/12/14(日) 21:46:15 ] Niels Ferguson broke HDCP in 2001 too, but didn't release his findings in fear of being Skylaroved :( Read more: www.wired.com/news/politics/0,1283,46091,00.html 816 名前：１３２人目の素数さん [2008/12/14(日) 21:51:34 ] The Digital Millennium Copyright Act basically says let's make everyone pretend that our digital rights management systems are stronger than they really are." The legal reach of the act remains unclear, and Ferguson is still exploring his legal situation. 最強の暗号は破ったら逮捕すると法に書けばいいいってことか。 817 名前：１３２人目の素数さん [2008/12/14(日) 21:53:10 ] Now that I've taught myself Verilog and have an FPGA development board running an integer factorization algorithm 24/7 in order to crack the RSA-704 challenge number, I've been looking for a new hobby project. Breaking HDCP seems like an ideal challenge. FPGA's running at 100MHz with a million "logic units" are affordable by the average person these days (I have two of them). Add a gigabyte or so of RAM and an FPGA could easily capture the entire HDCP handshake between any two devices and then offload it to a larger general purpose computer to make sense of the exchange and strip out the "secret" keys. Sounds like a fun project! :-) 818 名前：１３２人目の素数さん [2008/12/14(日) 21:55:57 ] 4 8 15 16 23 42. Send that handshake number to your HDCP device and *poof*, open access, let's bet on it. 819 名前：１３２人目の素数さん [2008/12/14(日) 21:58:33 ] en.wikipedia.org/wiki/RSA_numbers この割り算できた人手を上げて！ 820 名前：１３２人目の素数さん [2008/12/14(日) 21:59:39 ] RSA-704 has 212 decimal digits and has not been factored so far; a cash prize of US$30,000 was previously offered for a successful factorization. RSA-704 = 74037563479561712828046796097429573142593188889231289084936232638972765034 02826627689199641962511784399589433050212758537011896809828673317327310893 0900552505116877063299072396380786710086096962537934650563796359 821 名前：１３２人目の素数さん [2008/12/14(日) 22:01:48 ] RSA-2048 has a length of 2048 bits (617 decimal digits). It is the largest of the RSA numbers and carried the largest cash prize for its factorization, US$200,000. The largest factored RSA number is 663 bits long (200 decimal digits), and the RSA-2048 may not be factorizable for many years to come, unless considerable advances are made in integer factorization or computational power in the near future. 822 名前：１３２人目の素数さん [2008/12/14(日) 22:02:37 ] RSA-2048 = 25195908475657893494027183240048398571429282126204032027777137836043662020 70759555626401852588078440691829064124951508218929855914917618450280848912 00728449926873928072877767359714183472702618963750149718246911650776133798 59095700097330459748808428401797429100642458691817195118746121515172654632 28221686998754918242243363725908514186546204357679842338718477444792073993 42365848238242811981638150106748104516603773060562016196762561338441436038 33904414952634432190114657544454178424020924616515723350778707749817125772 46796292638635637328991215483143816789988504044536402352738195137863656439 1212010397122822120720357 823 名前：１３２人目の素数さん [2008/12/15(月) 03:56:39 ] RSA challenge って、もうやってないだろう 824 名前：自転車操業 [2008/12/15(月) 16:17:08 ] 来年初頭のアルゴリズム公開を楽しみにしてるデ。 もっとも職安通いで忙しくなってそうな頃やな。 825 名前：１３２人目の素数さん mailto:sage [2008/12/16(火) 18:47:08 ] ttp://techon.nikkeibp.co.jp/article/NEWS/20081215/162869/ ソニーと名古屋大学，次期標準を狙う次世代ハッシュ関数アルゴリズムを開発 826 名前：１３２人目の素数さん [2008/12/16(火) 23:43:40 ] 現在標準のハッシュ関数アルゴリズムについて どなたか教えていただけるでしょうか。 827 名前：１３２人目の素数さん mailto:sage [2008/12/18(木) 13:46:25 ] >>826 現在のNISTご推奨はSHA-1を除くSHA ttp://csrc.nist.gov/groups/ST/toolkit/secure_hashing.html 828 名前：１３２人目の素数さん [2008/12/19(金) 21:32:49 ] 乱数＝前にでた数から次の数が導出できない。＝＞でも小数点にしたらある実数に収束する。 e、πでもいい。 829 名前：１３２人目の素数さん mailto:sage [2008/12/19(金) 22:21:04 ] 先生！SCISにCAB暗号がありm www 830 名前：１３２人目の素数さん [2008/12/20(土) 14:35:14 ] 新しい暗号をおもいついた １　任意の超越数をキーにする ２　電文の出てくる文字の順番をn ３　文字のアルファベットの順位をm ４　超越数のn番め小数からm個を新しい電文とする 831 名前：１３２人目の素数さん [2008/12/20(土) 14:44:09 ] これだとおなじeでも毎回別の文字に変わる。 ただ文章はいつも最初の文字が同じになり、最初の文字列の長さがアルファベットによって 毎回変わる。だから、別の超越数で２回目のサイファーをかけるといい。 832 名前：１３２人目の素数さん [2008/12/20(土) 14:47:08 ] それでもサバンなら繰り替えされる小数第ｎ位の最初の数列を見抜いてしまう。 そこで、さらに数字を２＾nこづつシャッフルする。 サバンはあなどれない。 833 名前：１３２人目の素数さん [2008/12/20(土) 14:52:31 ] RSAでもおなじで電文の最初を多数比較すると使っているキーがばれてしまう。 だから毎回素数を変えるかキーをかえなければ意味がない。 とくに多頻出文字は統計とればすぐばれる。 834 名前：１３２人目の素数さん mailto:sage [2008/12/20(土) 15:20:57 ] ? 835 名前：１３２人目の素数さん [2008/12/20(土) 16:27:38 ] Optimal Asymmetric Encryption Padding 836 名前：１３２人目の素数さん mailto:sage [2008/12/21(日) 10:47:14 ] >>829 どれ？？ scis2009.ynu.ac.jp/program.html 837 名前：１３２人目の素数さん mailto:sage [2008/12/21(日) 16:14:13 ] >829, >836 ないってことを言ってるんじゃないかしら 838 名前：１３２人目の素数さん [2008/12/21(日) 18:41:14 ] あと言う一字をエンサイファーすると、どの方式でもいつもおなじ文字になる。 だからあたまにランダムな電文をくっつけてからえんさいふぁーするけど、 統計されたらあたまのランダムな文字数がばれてしまう。 理想なのはおなじ生電文が毎回！ランダムな暗号文にかわること。 統計解析されない暗号方式 839 名前：１３２人目の素数さん mailto:sage [2008/12/22(月) 20:01:33 ] そこでprobabilistic encryptionですよ 840 名前：自転車操業 [2008/12/23(火) 01:45:14 ] 来年も仕事は継続になったんやが発注量がガタ減りや。 これではＫＵＮＵＴＨの乱数の本は給付金が出ないと買えんな。 841 名前：自転車操業 [2008/12/23(火) 01:52:19 ] ＳＣＩＳ２００９を見ておっても京都の企業や大学の発表は少ないようやな。 842 名前：１３２人目の素数さん mailto:sage [2008/12/23(火) 01:52:22 ] >>838 鍵交換さえうまくいけば、MTの乱数とxor でいいかと思っていましたが、どうしてそれじゃだめなんでしょうか？ 843 名前：１３２人目の素数さん mailto:sage [2008/12/23(火) 01:52:58 ] >>840 やっぱり線形合同の説明が大半だったらやだな。 844 名前：自転車操業 [2008/12/23(火) 02:06:57 ] >>843 やっぱり内容が古いみたいやな。 でも数学の問題を作成するネタぐらいにはなるやろ。 現代的な乱数生成器についての本でないとあかんな。 845 名前：自転車操業 [2008/12/23(火) 02:12:45 ] ＞統計解析されない暗号方式 こんな暗号見つかったらおもろいな。 暗号が統計解析困難であることの証明とか実に興味深いわ。 846 名前：自転車操業 [2008/12/23(火) 02:20:38 ] それにしてもわしは否定的結果に興味がわくタイプやな。 計算不可能性、計算量の下界、解読不可能な暗号・・。 847 名前：１３２人目の素数さん mailto:sage [2008/12/23(火) 03:32:01 ] >>846 P not NPとか 848 名前：自転車操業 [2008/12/23(火) 15:26:17 ] >>847 もちろんＰ＝ＮＰ？問題も含まれるけどな。 ＮＰ完全問題だけでなくいろいろなクラスの完全問題の下界に関心があるんや。 近似困難性の話題とかもそうやな。 849 名前：１３２人目の素数さん mailto:sage [2008/12/23(火) 15:38:14 ] >>845 量子暗号 カオス暗号 850 名前：自転車操業 [2008/12/23(火) 15:50:09 ] >>849 量子暗号やカオス暗号についてわかりやすく解説した入門書やＨＰがあったら 教えてもらえんやろか。 851 名前：１３２人目の素数さん mailto:sage [2008/12/23(火) 16:17:02 ] NP完全問題に帰着できる暗号もあるし ここら辺のものはP=NP出ない限り多項式時間では敗れない 852 名前：自転車操業 [2008/12/25(木) 00:02:21 ] 量子計算機でも多項式時間で解けない公開鍵暗号を東工大の某先生が発表してはる。 853 名前：自転車操業 [2008/12/25(木) 00:06:02 ] そういや例の大矢研のＨＰに量子暗号やカオス暗号が出てたかな。 この方面の著作物もあるしこの先生、真面目なのかどうかようわからん。 854 名前：１３２人目の素数さん [2008/12/25(木) 00:15:17 ] マイクロアレイのDNAパソコンだと数分で解析されるよ。 855 名前：自転車操業 [2008/12/25(木) 00:23:12 ] >>854 ＤＮＡコンピュータ　＞＞　量子コンピュータ　　？ 856 名前：自転車操業 [2008/12/25(木) 01:06:41 ] 量子コンピュータは素因数分解や離散対数問題など数論系問題がお得意やし。 ＤＮＡコンピュータは部分集合和問題のような組み合わせ問題がお得意やし、 一概には比較でけんな。 857 名前：自転車操業 [2008/12/25(木) 01:09:53 ] 格子理論を核にした暗号が最強なんやろうか。 こんなところで聞かんでもええ。 電通大のＯ先生に聞いたら一発わかるからな。 858 名前：自転車操業 [2008/12/25(木) 01:12:33 ] 電通大のＯ先生はＳＣＩＳ２００９にも発表をいっぱいしてはる一人者やからな。 こんなクソすれの住人に聞かんでもわかることや。 859 名前：自転車操業 [2008/12/25(木) 01:29:44 ] 当分、仕事も暇そうやし、「暗号理論のための格子の数学」でも読もうかと思ってるんや。 この本はＬＬＬアルゴリズムについて知りたくて買ったのやが、 格子における平均の場合と最悪の場合についてのＡｊａｔａｉの研究もおもろそうや。 暇つぶし読んで見ることにするわ。 860 名前：自転車操業 [2008/12/25(木) 01:38:42 ] 平均的計算量あたりでわからんことがあっても大丈夫や。 こんなクソすれで聞かんでも東工大のＷ先生に聞けば一発やしな。 なにせＷ先生は計算理論研究の一人者やからな。 このスレの崩れとは段違いやろ。 861 名前：自転車操業 [2008/12/25(木) 01:41:40 ] ＫＡＲＰ先生の京都での講演が聞けなくて残念やったな。 ＬＩＳＰのマッカシーの講演は２０年ほど前に聞きにいったのやが。 862 名前：１３２人目の素数さん mailto:sage [2008/12/25(木) 02:42:09 ] >>852 それはガゼなのでは？ 863 名前：自転車操業 [2008/12/25(木) 13:45:19 ] >>862 T.Okamoto,K.Tanaka,S.Uchiyama: Quantum Public-Key Cryptosystems,Proceedings of CRYPTO 2000,pp.147-165,2000 864 名前：１３２人目の素数さん mailto:sage [2008/12/25(木) 17:56:28 ] Karp て Rabin-Karp String Search Algorithm の Karp さん？ 他にもっと有名なもんがあると思うが自分が親しみがあるのはこれ。 865 名前：１３２人目の素数さん mailto:sage [2008/12/25(木) 23:45:03 ] 日記だか愚痴だか分からん戯言はブログでも用意してそっちで垂れ流せよ、おっさん 866 名前：１３２人目の素数さん [2008/12/28(日) 10:58:00 ] 代数的ステップは無理だけど、確率的には一瞬だからDNApcは画期的だよ。 モンテカルロでといてもいい。 867 名前：１３２人目の素数さん mailto:sage [2008/12/28(日) 11:18:23 ] (1,5),(7,1),(1,4),(9,1),(3,2),(5,4) 868 名前：１３２人目の素数さん mailto:sage [2008/12/28(日) 16:21:58 ] モンテカルロと同じことしてるだけなんだから全然画期的じゃねーよ 869 名前：１３２人目の素数さん mailto:sage [2009/01/07(水) 00:39:44 ] スレチな感じだけど、修士で暗号の研究って可能なのかな？ 最近暗号理論に興味を持って本気で研究してみたいと思ってるんだけど もう結構やり尽くされてる感があってどうにも不安が… 870 名前：１３２人目の素数さん mailto:sage [2009/01/07(水) 00:56:19 ] もう無理ですね 暗号なんて煮詰まった分野もう何もやる事ない 871 名前：１３２人目の素数さん mailto:sage [2009/01/07(水) 13:37:44 ] 煮詰まってるか？ AES に AHS と、大物の募集こそ終わってしまったが、ストリーム暗号とか まだまだこれからだろ。 872 名前：１３２人目の素数さん mailto:sage [2009/01/08(木) 01:37:47 ] 修士での所属先の研究室が暗号分野で成果（論文誌や国内外での発表）を コンスタントに出してれば可能だろう。 そうでなく、単独で一から勉強始めると相当きついのは間違いない 873 名前：１３２人目の素数さん mailto:sage [2009/01/08(木) 15:54:10 ] 869じゃないけど 情報系の学生が暗号理論の研究することは可能？ 暗号とかって数学系の人がやるものらしいけど 874 名前：１３２人目の素数さん mailto:sage [2009/01/08(木) 23:33:23 ] >>873 暗号で使われる数学は、それほど難しくないと思う。 取り組みたいテーマ、トピックにもよるだろうけど。 大学によっては工学部でネットワークに関する研究やってるような研究室で 暗号をやってるとこもあるのでは？ 875 名前：１３２人目の素数さん [2009/01/10(土) 05:03:33 ] SHA-3が最終決着するのは2012年なんですね。 AESのときみたいにドラマはあるのかな？ 876 名前：873 mailto:sage [2009/01/10(土) 21:00:02 ] >>874 レスさんくす いろいろ調べてみるよ 877 名前：１３２人目の素数さん mailto:sage [2009/01/10(土) 22:40:05 ] SHA-3の前にSHA-2はどうなったのだ。 そもそもSHA-2の何が問題でSHA-3公募に至ったのか教えてくれ。 これでは証明書ハッシュに今のSHA-2を使ったら、 2012年以降はこの証明書は脆弱性有りになってしまうではないか。 878 名前：１３２人目の素数さん mailto:sage [2009/01/11(日) 20:40:26 ] SHA-1に対する攻撃法が発見されてるんで、SHA-2に対する攻撃の発見も ありうる、とNISTは考えているらしい。 > 2012年以降はこの証明書は脆弱性有りになってしまうではないか。 いやその考え方はおかしい。 879 名前：１３２人目の素数さん mailto:sage [2009/01/12(月) 20:31:55 ] >>878 考え方がどの様におかしいか説明してくれ。 NISTでは、2012年位までの近い将来にSHA-2に脆弱性が見つかる可能性が 濃厚ということを見込んでいるのではないのか。 880 名前：１３２人目の素数さん mailto:sage [2009/01/12(月) 21:37:28 ] >>877,879　素人目にもおかしいこと書いてるよ。 881 名前：１３２人目の素数さん mailto:sage [2009/01/12(月) 21:55:01 ] 具体的になにがおかしいか言ってみてね。 882 名前：１３２人目の素数さん mailto:sage [2009/01/12(月) 23:55:04 ] 複数の人間に間違いを指摘されたら自分が間違っているのかもしれないと考えて 自分が書き込んだ内容を見直すのが普通だと思うけどね 883 名前：１３２人目の素数さん mailto:sage [2009/01/13(火) 11:28:08 ] 脆弱性というものは、ありなしの2値で決まるものではない。 ハッシュ関数については、その強度は（脆弱性が見つかってない場合）誕生日攻撃に おける期待値が50%になる空間の大きさに依る。脆弱性が見つかった場合は、その 攻撃の方式如何により、より狭い空間に対する攻撃で衝突が発見せらる事と成る。 その狭くなったぶんだけ、弱くなったと考えられる。 繰り返すが、脆弱性というものは、ありなしの2値で決まるものではない。 884 名前：１３２人目の素数さん mailto:sage [2009/01/13(火) 21:51:10 ] 変なこと言うなあ。 >その狭くなったぶんだけ、弱くなったと考えられる。 それを脆弱性が有ると言っているのだが・・？ 暗号でもそうだけど開発後の検討や攻撃アルゴリズムの発見によって 不具合が見つかることは良くあること。 こういう場合、その暗号アルゴリズムは脆弱性有りという。 ハッシュアルゴリズムでも、例えばコリジョン発生が 2~160 で設計されているのに2~159以下で見つかったとしたら、 それは脆弱性有りと言う以外ない。 証明書についてはSHA-2が脆弱性の可能性有りで出てしまって、 その後の本当の脆弱性発覚にて回収（後始末）作業が心配だったので 書いた訳なのだが、そこらへんが引っかかっているのかね。 885 名前：１３２人目の素数さん mailto:sage [2009/01/13(火) 23:21:24 ] 883の突っ込みが無用な混乱を招いている。 878が言いたいのは、そういうことではないと思われる。 （別人ならね） 886 名前：１３２人目の素数さん mailto:sage [2009/01/14(水) 06:02:02 ] >885 883さんも884さんもそんなに的外れなことを書いていらっしゃるとは 思わないのですが、、、 >883 なんで50%なのか教えてください 887 名前：１３２人目の素数さん mailto:sage [2009/01/15(木) 03:10:30 ] 横レスだけど、>>877の ＞2012年以降はこの証明書は脆弱性有りになってしまうではないか。 を最初に見たとき、なんというか 「NISTはSHA-3が決定すると、SHA-2はもう時代遅れだから使うなという勧告を出し PKI運用者はそれに従って一斉にSHA-2利用を廃止するはずだ。 だからSHA-2を使った証明書は2012年以降は使えなくなっちゃうよ」 みたいなことを考えてるのかと思ったよ。 >>884を読むと 「NISTがSHA-3の選考を始めたのは、ひょっとしてSHA-2に何か問題が発見されたからか？ もしそうだとすると、今SHA-2を証明書に使うと、将来的にヤバいんじゃね？」 てことだよね。 >>877で「2012年」とか書いたのが混乱のもとなんじゃね？ 何か問題があるなら、2010年や2009年から脆弱性ありになるかもしれないじゃん 888 名前：１３２人目の素数さん mailto:sage [2009/01/15(木) 10:09:36 ] いずれSHA-1(あるいはSHA-2シリーズ)も 今のMD5みたいにボロボロになるのだろうか？ 衝突は2^80よりだいぶ小さく発見できるらしいが、 他の性質は現在どうなのかね？ 889 名前：１３２人目の素数さん mailto:sage [2009/01/17(土) 12:36:21 ] 特許公開まだ？ 890 名前：１３２人目の素数さん [2009/01/17(土) 19:39:32 ] >クリプト・ベーシック社に問い合わせたところ、現在数社と契約し、 >暗号アルゴリズムを組み込んだ製品のテストおよびデバッグを行っている >最中との回答が得られました。 >製品完成時にパートナー企業と共同で特許取得を計画しており、 >来年初頭をめどに出願、アルゴリズム公開もその時期を考えているとの >ことでした。この予定通りに進めば、追加取材は2009年初頭に行います。 まだかなー 2009年はCAB方式の1年になりそうだ 891 名前：１３２人目の素数さん mailto:sage [2009/01/17(土) 21:34:52 ] >>887 >だからSHA-2を使った証明書は2012年以降は使えなくなっちゃうよ 実質的にそういう類の可能性も含めて現在のSHA-2にどんな問題があるのか 教えてくれと言ったつもりなのだが。 要するにSHA-2には今の所、特に脆弱性の可能性も無く。 SHA-3については将来の予備ということでとりあえず2012年位までに NISTで標準化するということで理解した。 892 名前：１３２人目の素数さん mailto:sage [2009/01/18(日) 16:10:49 ] >>891 > 要するにSHA-2には今の所、特に脆弱性の可能性も無く。 だから0か1かの話じゃないっつーに。 で、盤石だっつーんなら（SHA512まで用意されてるというのに）AHS募集なんか するわけねーだろ。NSAの考えることだから詳細はわからんが。 893 名前：１３２人目の素数さん mailto:sage [2009/01/18(日) 16:11:58 ] >>892 > だから0か1かの話じゃないっつーに。 0か1かじゃないのは証明されてないものについてはなんでもそうだけど。 894 名前：１３２人目の素数さん mailto:sage [2009/01/18(日) 20:38:01 ] >>892 「脆弱性」の定義にこだわっているのか？ 色々解釈はあるだろうが、ここでは「脆弱性」=「後から見つかった予期しない欠陥」の 意味で言っている。 895 名前：１３２人目の素数さん [2009/01/19(月) 05:00:17 ] 今ある発泡酒のキャンペーンで２０００円当たるくじやってて サイト上でシリアル番号いれて当否決めるんだけど、 これシリアル解読できたら、無限に応募できるよなあ。 javascriptでやってるみたいだけど、、 896 名前：サッフォー ◆RWbI2.Pg1I mailto:sage [2009/01/19(月) 09:23:48 ] RSA公開暗号鍵 897 名前：１３２人目の素数さん [2009/02/02(月) 15:54:29 ] 　ところでこの話はどうなった？ 　　↓ 　www.atmarkit.co.jp/news/200804/11/cab.html 898 名前：１３２人目の素数さん mailto:sage [2009/02/02(月) 19:00:02 ] >>897 記事が出た当初は会社のサイトもあったようだけど、 今じゃ↓こんな状態だからねぇ。 cryptobasic.co.jp/ 899 名前：１３２人目の素数さん [2009/02/07(土) 09:41:26 ] まだかよ 900 名前：１３２人目の素数さん mailto:sage [2009/02/08(日) 21:49:25 ] 二年。 901 名前：１３２人目の素数さん [2009/02/14(土) 00:25:30 ] 完全な暗号なんて存在しえない。 暗号といえども被造物。 神以外に完全な存在などない。 902 名前：１３２人目の素数さん [2009/02/14(土) 00:36:43 ] ＮＰ完全問題が多項式時間で解けないであろうことも同様。 実用的な範囲の問題がコンピュータプログラムで処理できるなら プログラムが神の御前で誇ることになろう。 それは神の良しちするところではない。 903 名前：１３２人目の素数さん mailto:sage [2009/02/14(土) 01:14:52 ] 量子は神なのっ！！！ 904 名前：１３２人目の素数さん mailto:sage [2009/02/14(土) 01:15:29 ] どうでもいい話だな。 905 名前：１３２人目の素数さん mailto:sage [2009/02/14(土) 08:51:31 ] >>903 りょうこ、帰ってきてくれ 906 名前：１３２人目の素数さん mailto:sage [2009/02/26(木) 18:34:26 ] @ITの記事 > 追加取材は2009年初頭に行います。 初頭っていつまでだろうな？ 907 名前：１３２人目の素数さん mailto:sage [2009/02/26(木) 22:50:03 ] 俺が@ITの責任者ならこんな馬鹿げた取材をした記者など即刻クビにするね 更新を待つだけ無駄だ 908 名前：１３２人目の素数さん mailto:sage [2009/02/28(土) 08:38:29 ] ヒジュラ暦2009年=西暦2570年 909 名前：１３２人目の素数さん [2009/03/03(火) 23:34:08 ] age 910 名前：１３２人目の素数さん [2009/03/04(水) 07:13:39 ] 初頭っていつだよ 待ってらんねーよ 911 名前：１３２人目の素数さん [2009/03/04(水) 10:17:03 ] 暗記数学について語ろう。 912 名前：１３２人目の素数さん mailto:sage [2009/03/06(金) 23:58:04 ] それは数学じゃなくて数が苦 913 名前：１３２人目の素数さん mailto:sage [2009/03/13(金) 20:36:17 ] 追加取材は 914 名前：１３２人目の素数さん mailto:sage [2009/04/04(土) 12:54:23 ] どう考えても「2009年初頭」は過ぎたわけだが。 915 名前：１３２人目の素数さん mailto:sage [2009/04/04(土) 19:54:34 ] もし本当に記事に書かれている通りなら、 日本だけじゃなく、全世界で騒いでるはずだと思うけどな。 916 名前：１３２人目の素数さん mailto:sage [2009/04/06(月) 23:44:10 ] 暗号界の最先端の情報がほしい場合どこの論文を購読すればよいか国内・国外で教えてほしいです。 あと、どこの学会に所属したらよいのかも教えてほしいです。 自分はとりあえず、英語は問題なく読めます。 このスレの方はどこの学会所属なんでしょうか？ 917 名前：１３２人目の素数さん [2009/04/07(火) 08:00:30 ] ttp://cryptobasic.co.jp/ もう見れないんだけど・・ 918 名前：１３２人目の素数さん [2009/04/07(火) 09:03:55 ] CABｵﾜﾀ＼(^o^)／ 919 名前：１３２人目の素数さん mailto:sage [2009/04/07(火) 09:35:01 ] >>916 俺は暗号が専門じゃないけど、 国内だと情報処理学会のコンピュータセキュリティ研究会と 電子情報通信学会の情報セキュリティ研究会が、暗号も扱ってる。 国際学会は IACR www.iacr.org/ 920 名前：１３２人目の素数さん [2009/04/09(木) 01:23:44 ] 数学の素養がない人間は暗号研究やめたら？ 921 名前：１３２人目の素数さん [2009/04/09(木) 08:37:29 ] 誰にいってんだ 922 名前：１３２人目の素数さん [2009/04/09(木) 09:27:54 ] 自己批判ですね、分かります。 923 名前：１３２人目の素数さん [2009/04/09(木) 14:55:45 ] 特許公開まだ？ 924 名前：１３２人目の素数さん [2009/04/13(月) 12:44:12 ] 初頭っていつ？ 925 名前：１３２人目の素数さん [2009/04/13(月) 19:17:05 ] Cayley-Purser暗号は実用レベルで使われているのか？ 926 名前：１３２人目の素数さん mailto:sage [2009/04/14(火) 01:28:48 ] >925 それはアタックされているのでダメ。 参考: cryptome.info/flannery-cp.htm 927 名前：１３２人目の素数さん [2009/04/16(木) 12:27:02 ] 初頭は来たか？ 928 名前：１３２人目の素数さん [2009/04/26(日) 10:16:01 ] SSLバージョン2が危険な理由って何？ 数学的に証明された論文ってある？ 929 名前：１３２人目の素数さん mailto:sage [2009/04/28(火) 21:40:13 ] SSLv2脆弱性とかでググると出てくるよ。 暗号アルゴリズムではなくSSLv2という通信プロトコルの欠陥を突く攻撃が 可能ということなので、数学的証明の対象からはちょっと外れる気がする。 930 名前：１３２人目の素数さん mailto:sage [2009/04/28(火) 23:37:00 ] まあ、プロトコルを数学的に証明したいってな話も盛り上がっているから、 その辺を勉強するのは悪くないのはないかと思われ。 931 名前：１３２人目の素数さん mailto:sage [2009/04/29(水) 16:02:39 ] 安全であることの証明ならまだしも、 危険であることの数学的証明って何さ。 安全を定義して、反例一個書いて終わり？ 932 名前：１３２人目の素数さん [2009/04/29(水) 20:01:32 ] >>931 攻撃が可能であることを示す。 線形攻撃が可能であることをDESに対して示したように。 933 名前：１３２人目の素数さん [2009/04/29(水) 20:42:41 ] 素数p, 原始根gが与えられている時に x y X(≡g^x) Y(≡g^y) (mod p)も与えられ、 X+Y≡g^z mod p を満たすzを求めたいのですが、難しいです。 どうしたらよいのでしょうか？ 934 名前：１３２人目の素数さん mailto:sage [2009/04/30(木) 12:51:40 ] DLP>=933の問題 だけど、実際にはDLP=933の問題の証明ができなかったとしても、 DLP並に難しいんじゃね？ 935 名前：１３２人目の素数さん [2009/04/30(木) 19:45:06 ] g^x + 1 ≡ g^w (mod p) xが与えられた時に上式を満たすwを見つけることも同様にDLP並に難しいですよね。 936 名前：１３２人目の素数さん [2009/04/30(木) 20:36:44 ] やはり学会で発表されないような暗号は眉唾だったんだね。 937 名前：１３２人目の素数さん [2009/04/30(木) 20:38:27 ] 今、暗号学会で一番注目されている研究成果て何になるの？ 938 名前：１３２人目の素数さん [2009/04/30(木) 21:25:15 ] 楕円曲線じゃねーの？ それか今後注目が集まると目されているAHSじゃないかな？ 939 名前：１３２人目の素数さん [2009/04/30(木) 22:26:23 ] ＡＨＳは聞いたこともないな。 それにしてもこのスレは知らん専門用語が多すぎる。 線形攻撃？ＤＬＰ？ 線形代数が攻撃の役に立つのか？ 940 名前：１３２人目の素数さん [2009/04/30(木) 22:34:35 ] ここはいつから釣りスレになったクマ 地デジカの影響クマ？ 　 　∩＿＿＿∩　　 　　　　　　｜ 　　 | ノ＼　　　　 ヽ　 　　　　　　| 　　/　　●゛　　● |　　　　 　　　| 　 |　∪　　( _●_)　ミ　 　　　　　j 　彡､　　　|∪|　　 |　　　 　線形代数が攻撃の役に立つのか？ /　　　　 ∩ノ ⊃　 ヽ　　 Ｊ (　 ＼　／ ＿ノ　|　 | .＼　“　　／＿＿|　 | 　　＼ ／＿＿＿ ／ 941 名前：１３２人目の素数さん [2009/04/30(木) 22:42:56 ] >>940 ＞ここはいつから釣りスレになったクマ おれのせいかもしれん。 942 名前：１３２人目の素数さん mailto:sage [2009/05/08(金) 13:31:24 ] 2009年初頭マダー 943 名前：１３２人目の素数さん mailto:sage [2009/05/08(金) 17:51:50 ] >また、ビジネス面での進捗や情報の公開準備についても確認しました。 >クリプト・ベーシック社が特許申請を今後3カ月程度をめどに行う予定で >弁理士と検討を進めていること、それに引き続き早ければ年内から >年明けにも、いずれかの学会で学会発表を行う予定もあることが判明しました。 もう学会で発表されてるのかもしれん。 学会参加者いないの ？ 944 名前：１３２人目の素数さん mailto:sage [2009/05/08(金) 20:03:37 ] どこの脳内学会？ 945 名前：１３２人目の素数さん [2009/05/09(土) 08:07:47 ] 暗号スペシャリストのおまえらに聞きたい たとえば50文字のパスワードと5文字を10回繰り返すパスワードでは強度が違う？ 違うとすればどのくらい違う？ ランダムな50文字を覚えるのは大変だけど、5文字なら覚えやすい。 946 名前：１３２人目の素数さん mailto:sage [2009/05/09(土) 13:00:46 ] まけぇことはいいんだよ！ 947 名前：１３２人目の素数さん mailto:sage [2009/05/09(土) 13:43:13 ] 【事故】「スーパーマンになりたい」児童6歳梅干し食べすぎ、塩分の過剰摂取で死亡 gimpo.2ch.net/test/read.cgi/news7/1241596875/ 948 名前：１３２人目の素数さん mailto:sage [2009/05/09(土) 19:15:05 ] >>945 攻撃側がその事実を知っているかどうかによる。 攻撃側がその事実を知っている（あるいは何らかの方法で察知可能）であれば、 5文字×10回のパスワードは5文字ぶんの強度しかない。 一般論として、そういう弱いパスワードは使うべきではないけどね。 949 名前：１３２人目の素数さん [2009/05/09(土) 22:55:36 ] >>948 もちろん知らない場合の話だよ 950 名前：１３２人目の素数さん mailto:sage [2009/05/09(土) 23:03:39 ] お前がここに漏らした時点で弱くなった。 951 名前：１３２人目の素数さん mailto:sage [2009/05/09(土) 23:04:12 ] だったらaaaaaaaa・・・でも安全と言えるぞ なぜ5文字にこだわる？ 攻撃者の用いる総当たりのアルゴリズム次第の話になるから 質問の内容はあまり意味がない 一般的には危険と言えるがどれぐらい危険なのかなんて調べようがない 952 名前：１３２人目の素数さん [2009/05/09(土) 23:19:46 ] >>951 だから例えばだよ 10文字×5回でもいいし 7文字×7回＋1文字でもいい こうやって憶えやすくしたときの強度はどうなのかなと 仮に5文字×10回反復の強度がランダム25文字と同等だとしても、 25文字憶えるのだってかなり難しい（俺にはまず無理ｗ）から、 5文字×10回方式にはじゅうぶんに価値が有る 953 名前：１３２人目の素数さん [2009/05/10(日) 11:31:37 ] アルゴリズムを特定しないなら最も弱い場合は5文字ランダムと同等です。 入力する手間のぶんだけ無駄ですね。諦めて5文字のまま使いましょう。 954 名前：１３２人目の素数さん [2009/05/10(日) 15:43:55 ] >>953 ＞最も弱い場合は5文字ランダムと同等です ということは反復することに意味がないような解読アルゴリズム（当方ど素人により この用語を正確に知りませんが言いたいことは伝わると期待します）が存在すると いうことだよね その場合は当然5文字ランダムと同等かもしれない だけど、その解読アルゴリズムが複数ある（これも当方ど素人により知りませんが >>951>>953からは複数あると読める）解読アルゴリズムのうちで最強であるならともかく、 そうでないならばその解読アルゴリズムが必ずしも使われるとは限らないのだから、 反復することに意味はあるといえるはずでは？ 955 名前：１３２人目の素数さん [2009/05/10(日) 16:15:11 ] その解読アルゴリズムが必ずしも使われないとは限らないのだから、 反復することに意味がないといえるはずでは？ これに反証できるのなら>>954自体にも同様の方法で反証する事が可能になる。 つまり素人以前の問題で論理的におかしい事を言っている。 あくまでアルゴリズム次第。強いとか弱いとか議論しても意味がない。 諦めて5文字のまま使いましょう。 956 名前：１３２人目の素数さん [2009/05/10(日) 16:33:14 ] >>955 ＞その解読アルゴリズムが必ずしも使われないとは限らないのだから、 ＞反復することに意味がないといえるはずでは？ それを言うならこうでは？ 　その解読アルゴリズムが必ずしも使われないとは限らないのだから、 　反復することに意味があるといえないはずでは？ で、その設問は間違ってると思うんだが まあ頭悪いんでよく解らないんだけど、 ＞あくまでアルゴリズム次第。強いとか弱いとか議論しても意味がない。 アルゴリズムによっては文字数が多いよりも少ない方がより強度が高い ということがあるのかな？ ちょっと信じがたいけど仮にあるとして、そういう例が確率的に、 文字数が少ないよりも多いほうが強度が高い例と同等に使用されるなら あなたの言う通りかもしれないが 957 名前：１３２人目の素数さん [2009/05/10(日) 16:53:27 ] >アルゴリズムによっては文字数が多いよりも少ない方がより強度が高い >ということがあるのかな？ 当然ある 諦めて5文字のまま使いましょう 958 名前：１３２人目の素数さん [2009/05/10(日) 17:23:37 ] へえ〜、それは驚いた、そうなんだ（厭味じゃなくて本当に感心してます） でも、しつこくて悪いんだが、だとすると、パスワードを長くする意味が無いことになってしまうのでは？ 反復方式じゃなくて普通の意味のパスワードでも それはいくらなんでもおかしいでしょう 辞書攻撃に備えるために何語でパスワード（フレーズ）を作ればいいか、という問題なら、 攻撃に使われる辞書しだいだから何語でも同じ、と論理的には言えるだろうけど （ただし手に入りやすい辞書と手に入りにくい辞書という差が存在すれば、現実には何語でも 同じとは言えないはずだが）、パスワードの長さがどうでもいいということにはならないでしょう 頓珍漢なこと言ってたらスルーしてください 959 名前：１３２人目の素数さん mailto:sage [2009/05/10(日) 23:30:35 ] 冗長な鍵だと暗号文にクセが出るようなアルゴリズムもある、ってだけの話 （この場合、鍵長が短い方が強度が高くなる場合も当然出てくる） 頓珍漢というか、何言われてるのかも理解できてないみたいだから 解読以前に暗号化の基礎から勉強した方がいいと思われ

---

---

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef