- 1 名前:sage mailto:sage [04/06/30 02:30]
- -----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,E71BB607F6613D304DEE82D5B1DEDBFF
データの暗号化技術に関するスレ。ム板らしくコードも交えながらマターリと。
RSA スレは別にあるようなので、主にそれ以外の話題で。
関連スレは >>2-10 あたり
-----END RSA PRIVATE KEY-----
- 2 名前:sage mailto:sage [04/06/30 02:30]
- ********* 数学板 *********
暗号数学について語ろう
science3.2ch.net/test/read.cgi/math/1088146349/
素数判定は「決定的」多項式時間で可能
science3.2ch.net/test/read.cgi/math/1028813059/
P=NP問題について真面目に語るスレ
science3.2ch.net/test/read.cgi/math/1058932949/
********* 理系板 *********
【論理】情報理工学総合スレッド【アンチ?】
science3.2ch.net/test/read.cgi/rikei/1065961472/
量子コンピュータについて語るスレ
science3.2ch.net/test/read.cgi/rikei/1020566648/
********* 物理板 *********
量子コンピュータ
science3.2ch.net/test/read.cgi/sci/1042199835/
- 3 名前:デフォルトの名無しさん mailto:sage [04/06/30 02:30]
- 2
- 4 名前:sage mailto:sage [04/06/30 02:31]
- The International Association for Cryptologic Research (IACR)
www.iacr.org/
独立行政法人 情報処理推進機構 (IPA)
IPAトップ>セキュリティセンター
www.ipa.go.jp/security/index.html
arXiv.org Cryptography and Security Authors and titles for recent submissions
jp.arxiv.org/list/cs.CR/recent
- 5 名前:デフォルトの名無しさん mailto:sage [04/06/30 02:31]
- 4
- 6 名前:デフォルトの名無しさん mailto:sage [04/06/30 02:31]
- 6
- 7 名前:デフォルトの名無しさん mailto:sage [04/06/30 02:31]
- 7
- 8 名前:デフォルトの名無しさん mailto:sage [04/06/30 02:32]
- 8
- 9 名前:デフォルトの名無しさん mailto:sage [04/06/30 02:32]
- 9
- 10 名前:デフォルトの名無しさん mailto:sage [04/06/30 02:32]
- 10!!
- 11 名前:デフォルトの名無しさん mailto:sage [04/06/30 02:34]
- 思考回路はデバッグ寸前♪
- 12 名前:デフォルトの名無しさん mailto:sage [04/06/30 13:34]
- いますぐcore吐きたいよ♪
- 13 名前:前スレ927 mailto:sage [04/06/30 15:57]
- 前スレ927です
選択平文攻撃を対称鍵暗号方式で無視してもよければ
私が考えたアルゴリズムを公開したいと思うのですが・・・
前スレ927の質問↓
対称鍵暗号方式において
対称となる攻撃方法はなにでしょうか?
締め上げ攻撃・ブルーフォース攻撃・既知平文攻撃
などがあるのはわかるのですが、
選択平文攻撃は対称鍵暗号方式では無視してもよいのでしょうか?
- 14 名前:名無しさん@XEmacs mailto:sage [04/06/30 17:10]
- > 選択平文攻撃を対称鍵暗号方式で無視してもよければ
> 私が考えたアルゴリズムを公開したいと思うのですが・・・
無視しちゃダメ (差分解読法って知ってる?) だから、公開せんで
よろし。
別に煽ってるわけじゃないんだが、こんなことを聞かなきゃ分から
ない人間が考えた暗号アルゴリズムに意味がある可能性は限りなく
低いので。
♯そもそも、解読者としても一流の人間が検証しながら作ったアル
♯ゴリズム以外は役に立たないものと考えて間違いない。
- 15 名前:前スレ966-967 mailto:sage [04/06/30 19:52]
- >1乙
なんかテンプレぽく使われてて恥ずかしいや。
他に関連スレがあったら(この暗号解いてみろ→暗号文貼り付け系は除く)
張っていきましょう
>>12
そのcoreから危険な情報が外部に…
- 16 名前:デフォルトの名無しさん mailto:sage [04/06/30 20:36]
- すいません
差分解読と線形解読について解説した
書籍・webサイトを教えていただけませんか?
乱数についても知りたいと思っています。
一応「暗号技術大全」は購入してます。
あと、
「基本算法/基礎概念」「2基本算法/情報構造」
は買いでしょうか?
- 17 名前:デフォルトの名無しさん mailto:sage [04/07/01 10:10]
- >>1
(o^ー')b グッジョブ!
- 18 名前:デフォルトの名無しさん mailto:sage [04/07/01 14:20]
- >>16
日本語でってんじゃないなら
ttp://www.cs.technion.ac.il/~biham/publications.html
Eli Bihamのページ
Postscriptは根性でなんとか汁。
ttp://www.engr.mun.ca/~howard/Research/Papers/ldc_tutorial.html
差分・線形分析のチュートリアルだってさ。内容は未確認だけど。
一部間違いがあるんだってさ。"Errata"のとこはちゃんと見とけ。
- 19 名前:デフォルトの名無しさん [04/07/01 17:20]
- 暗号化手法の比較表を出してくれ、と言われたんですが、
どこかにAES、RC4、DES、TripleDESの、
・暗号化・複合化速度
・鍵生成速度
・暗号強度
についてまとめてある資料をご存知の方がいましたら教えていただけませんか?
お願いします。
- 20 名前:デフォルトの名無しさん mailto:sage [04/07/01 18:08]
- CRYPTRECの評価報告とか?
- 21 名前:19 mailto:sage [04/07/02 01:20]
- >>20
ありがとうございます。
探してみます。
- 22 名前:デフォルトの名無しさん mailto:sage [04/07/02 13:30]
- >>14
まあいいじゃないの。
基本的な考え方は優秀なのも出てくるかも知れんし。
そうでなくたって、分析入門者向けの練習台に(ry
- 23 名前:デフォルトの名無しさん mailto:sage [04/07/02 20:19]
- ショクニン(・∀・)ゲイー
- 24 名前:デフォルトの名無しさん mailto:sage [04/07/02 20:41]
- プログラミング関係の著作でおなじみ、結城浩さんのサイトにこんなのがありましたよ
ギコ猫と暗号技術入門
Giko Cat: A Cryptographer
www.hyuki.com/cr/cat_index.html
- 25 名前:デフォルトの名無しさん [04/07/02 21:02]
- internet.watch.impress.co.jp/cda/news/2004/06/29/3684.html
c4t.jp/technology/c4technology.html
これってどうなんでしょ?
- 26 名前:デフォルトの名無しさん mailto:sage [04/07/02 22:00]
- >>25
前スレで既出
>>853,>>855,>>856,>>857,>>858
- 27 名前:デフォルトの名無しさん mailto:sage [04/07/03 00:45]
- >>26
スレ汚し失礼しました。
素人としては、素直にAESが実装された暗号製品を
選ぶように心掛けます…
- 28 名前:デフォルトの名無しさん mailto:sage [04/07/03 11:02]
- 現役の日本製の暗号ってなくね?
ちゅうか日本の場合暗号に対する考えが甘いような気がすんですけど
- 29 名前:1 mailto:sage [04/07/03 11:23]
- あー、前スレの URL 張るの忘れてた。スマソ。
■暗号化スレ■
pc5.2ch.net/test/read.cgi/tech/1002736958/
- 30 名前:デフォルトの名無しさん mailto:sage [04/07/03 11:33]
- >>28
Camelliaとか結構良さげだけど、まだちょいと新しいかもな。
AESも似たようなもんではあるけど。
あと、乱数生成器はMUGIとか……。
>>29
重ねて乙
- 31 名前:デフォルトの名無しさん mailto:sage [04/07/03 13:17]
- >>28
今まで「水と安全はただ」であった日本なのに、
暗号なぞ必要であると思うわけないではないか。
- 32 名前:13 mailto:sage [04/07/03 17:36]
- もうすこしでプログラムが完成します。
選択平文に強くなるようなアルゴリズムは考えましたが、
候補が二つあり悩んでいます。
遅くとも明日には公開できると思います。
その際に、アルゴリズムの詳細について語らなきゃならんから
それを考えるとめんどくさ
どなたかプログラムをうpするとこ紹介してもらえませんか?
>>14さん
わたしのアルゴリズムは数学に基づいたものなので
差分に対する考慮はいらないかと思ったんです
ここのとこは、アルゴリズムを公開すれば分かってもらえると思います。
あと、66bitの秘密鍵を仕込んだ.exeを公開して
解読者には秘密鍵を当ててもらうことをかんがえています。
解読者は任意に平文を指定できます。
秘密鍵の値をeとすると0からe-1まで暗号化できるのですが、
0x0000000000000000-0xffffffffffffffff
までの平文に対して暗号文が出力されるようにすればいいのですよね?
- 33 名前:デフォルトの名無しさん mailto:sage [04/07/03 18:11]
- >>28
日本がどうこう以前にそもそも全部アメリカ産だし。
AESを「現役の暗号」に入れていいんなら
当然日本製の暗号もいくつか入ると思うんですけど
- 34 名前:デフォルトの名無しさん mailto:sage [04/07/03 19:52]
- >>32
秘密鍵を .exe に埋め込んだら絶対抜くやついるって。
俺みたいになー。
- 35 名前:32 mailto:sage [04/07/03 20:49]
- >>34
それが一番困ったとこなんです。
解読者は自由に暗号にアクセスできなくちゃいけないし
だからといって、こっちが勝手に平文を選んで解読者に渡すというのも
私としては納得いかないし、
どうだ!解読してみろと堂々と言いたいわけで。
なんかいい方法はありますか?
- 36 名前:デフォルトの名無しさん mailto:sage [04/07/03 20:57]
- >>35
ここかアプロダに平文を提示してもらって、
それを暗号化してアップすればいいのでは?
- 37 名前:36 mailto:sage [04/07/03 21:04]
- それじゃ面倒か。
好きなキーで好きな平文を暗号化できる実行ファイルを公開した上で
キーを秘密にした暗号文を提示して解析できるかでよいのでは。
- 38 名前:デフォルトの名無しさん mailto:sage [04/07/03 21:08]
- >>36
解読者は大量に平文→暗号文を入手できるとして
それでも秘密鍵が分からない
というのがよいアルゴリズムなわけですから、
私としては解読者が任意の平文→暗号文を選択できるようにしたいのです
それに、人によって欲しい平文→暗号文が違うとおもいます。
アプロダにアップする方法もありますが、
平文→暗号文を解読者が満足するまでうぷするのは
ファイルのサイズ的に無理があります。
そうなると.exeから抜かれるのもしょうがないかなと思います。
抜いただけの人はどうやって暗号を破ったのかの問いに対しては
ブルーフォースを行ったとしかいえないわけですから、
ブルーフォースで破られるのは問題ないかと
- 39 名前:デフォルトの名無しさん mailto:sage [04/07/03 21:11]
- >>37さんのいうようにキーを自由に扱えるようにした方法と
暗号文→平文を自由に扱える方法の両方でいきたいと思います。
- 40 名前:デフォルトの名無しさん mailto:sage [04/07/03 21:18]
- cgi形式にでもしてサーバーで公開したらいいんでないの
- 41 名前:デフォルトの名無しさん mailto:sage [04/07/03 21:41]
- なんでexeに話が飛んでるのか理解できないけど、
アルゴリズム公開して
実装コード見本、テストベクターも公開で
で復号へのkey challengeがまぁ普通じゃないの?
#exeなんて、気持ち悪くて動かす気にもならないです。(。∀゚)
- 42 名前:38 mailto:sage [04/07/03 23:15]
- とりあえず完成しました。
今からアルゴリズムの説明を考えてきます。
- 43 名前:デフォルトの名無しさん mailto:sage [04/07/04 03:22]
- ((@))
インド (・∀・)シーシーエーツー
- 44 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/04 15:17]
- アルゴリズム説明しますね。
プログラムは
do.sakura.ne.jp/~junkroom/cgi-bin/megabbs/readres.cgi?bo=lounge&vi=1088921677
に添付しています
私は何を公開したらいいでしょうか?
この暗号は数車(かずぐるま)といいます。
歯車が回っているのをイメージした時に思いついたので
このような名前になりました。
わかりづらかったら質問してください。
暗号化
素数^n(nは自然数)となるような数をいくつか用意します。
個人的にこの数を勝手に豆数(まめかず)と読んでいます。
豆数は素数^nとなる数です。
L=abcd(Lはabcdの最小公倍数)とする
(このときのLが秘密鍵です。)
ここでは仮に豆数をa,b,c,dとします。
(a,b,c,dは互いに素でなければなりません)
平文Mをa,b,c,dでそれぞれ割っていきます。
このときの余りをそれぞれa',b',c',d'とすると、
M=ax+a'=by+b'=cz+c'=dw+d'
(豆数a,b,c,dの余りで表現できる数は0からL-1です)
(x,y,z,wは0以上の整数、Mの範囲は0<=M<Lとする)
という関係が成り立ちます。
a,a',b,b',c,c',d,d'を用いて
C'=(((a')b+b')c+c')d+d'
(Mの範囲が0<=M<abcdのとき0<=C'<L)
となるようなC'を計算します。
- 45 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/04 15:18]
- 今度は
C'をaで割りそのときの商をaa,余りをa"
aaをbで割りそのときの商をbb,余りをb"
bbをcで割りそのときの商をcc,余りをc"
ccをdで割りそのときの商をdd,余りをd"(ddは常に0です)
とすると、このとき
C'=(((dd+d")c+c")b+b")a+a"
となります。
a,a",b,b",c,c",d,d"を用いて
C=aX+a"=bY+b"=cZ+c"=dW+d"(X,Y…同上)
となるCを求めます。
このときのCが暗号文です。
- 46 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/04 15:19]
- M→C'は問題ないと思いますのでC'→Cの求め方
label1:
cZ+c"=dW+d"…壱
となる最小の値を(cd)"とします。
壱を少し変形して
cZ-dW=d"-c"…弐
拡張ユークリッドの互除法を用いて
cZ'-dW'=1となるZ'またはW'を求めます。
両辺d"-c"倍してやって
c(Z'*(d"-c"))-d(W'*(d"-c"))=d"-c"…参
弐と参を比較して
Z=Z'*(d"-c") W=W'*(d"-c")
∴壱は
cd*Z_W+(cd)"=cZ+c"=dW+d"(Z_Wは0以上の整数)
と表されます。
今度は
cd*Z_W+(cd)"=bY+b"
となるような最小の値(bcd)"を求めます。
goto label1;
と、どんどん繰り返していってCが求めれます。
復号はこの逆を行えばいいわけです。
- 47 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/04 15:20]
- 豆数の並べ方に決まりがあります。
素数の小さい順に左から並べます。
つまり、
L=2800のとき
Lを素因数分解して
L=2^4*5^2*7^1
豆数を
2^4,5^2,7^1
とならべます。
今度はLを豆数の数で割ってやります。
ここでは3です。
豆数に右から順に0,1,2と割り振ってやって
2800%3≡1 2800/3=933
1番は5^2ですから
一番左は5^2になります
2^4,7^1と並びます
今度は933を2で割ります
933%2≡1
今度は1番目は2^4ですから
豆数は5^2,2^4とならび
最終的には
5^2,2^4,7^1と豆数は並びます。
そしてこの順に
a,b,cに豆数を代入していきます。
以上で説明は終わりです。
何か質問ありましたらどうぞ〜
あと、わたしが公開すべきものを指定してくださいな。
- 48 名前:デフォルトの名無しさん mailto:sage [04/07/04 15:48]
- 本質と関係ないところですまないが
引用符として用いられることの多い ' と " だと微妙に見にくかった
あと、 C'=(((a')b+b')c+c')d+d'
こういうのは * を省略してると解釈してOK?
そこで C'をaで割りそのときの商をaa,余りをa"
とか言われると新しくaaという変数を定義してんのかa*aなのか途中の式が見にくい
- 49 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/04 16:11]
- すんません
C'=(((a')b+b')c+c')d+d'
は*を省略してます
aaは新しく定義してます。
45 名前:梅どぶろく ◆21Da3ggG3M [sage] 投稿日:04/07/04 15:18
今度は
C'をaで割りそのときの商をaa,余りをa"
aaをbで割りそのときの商をbb,余りをb"
bbをcで割りそのときの商をcc,余りをc"
ccをdで割りそのときの商をdd,余りをd"(ddは常に0です)
とすると
' "についてはいい表記の仕方が分からなかったんです。
- 50 名前:デフォルトの名無しさん mailto:sage [04/07/04 16:34]
- 本筋と関係ないところでホントごめんな
- 51 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/04 17:42]
- P=ax+a'=by+b'=cz+c'=dw+d'
a=2,b=3,c=5,d=7,e=11,f=13・・・・としていって
P=2x+1=3y+2=5z+2=7w+6=11p+10=13q+6・・・
P<289となるようなPを求めれば
2・3・5・7・11・13で割り切れないのは保証されてるわけで、
素数生成に使えないかと思ってんですがいかがでしょうか?
まあ、この考えが
science3.2ch.net/test/read.cgi/math/1084794080/876
みたいな勘違いにつながったわけですが・・・
- 52 名前:デフォルトの名無しさん mailto:sage [04/07/04 17:56]
- >>51
ナンカエラーダッテ302Found
- 53 名前:デフォルトの名無しさん mailto:sage [04/07/04 18:55]
- あのさ、秘密鍵とか書いてあるけど、共通鍵暗号だよね?
鍵を素因数分解って、分解できなかったら、どうすんのさ?
鍵長が長くなると分解のコストも高いよね?
分解できても、少ない項だったら弱くね?説明見ても項数は可変ぽいし。
というか、種から鍵を生成するアルゴリズムが必要になってくるんじゃないの?
その場合、本当に鍵と言えるのは種の気もするけど…
あるビット列を鍵として、鍵が素数は不可なら、
素数は除外してBuruteForceが楽になるんだけど
#俺って暇人なだw
- 54 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/04 19:16]
- >>53
共通鍵です。
簡単に素因数分解できる鍵でOKかと
鍵を秘密に共有すれば
解読者が解読しようとしたらアルゴリズムへの攻撃か
鍵への攻撃なわけです。
ここでは、アルゴリズムは安全であると仮定して
鍵への攻撃のみを考えるとします。
ある鍵Kを66bit鍵としてAliceとBobが共有すれば
AliceとBobは素因数分解するのはKだけでよくて
Eveは66bitの鍵に対して素因数分解を行って
それから鍵の検証ができるわけで
ここで余分なコストが発生するかと思ってるんですが
>あるビット列を鍵として、鍵が素数は不可なら、
>素数は除外してBuruteForceが楽になるんだけど
ここんとこは大丈夫じゃないでしょうか?
合成数のほうが素数より圧倒的に多いわけですし、
EveがKを求めようとしていろいろと鍵を試していった場合、
Kの候補だとした数が素数だった場合泣けてくると思っています。
- 55 名前:デフォルトの名無しさん mailto:sage [04/07/04 19:34]
- >>54
"アルゴリズムへの攻撃"って何のこと?
- 56 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/05 19:59]
- >>55
たとえばC'を暗号文として扱うと
C'=(((a')b+b')c+c')d+d'
展開して
C'=a'bcd+b'cd+c'd+d'
a'はa周期ごとに0をとるから
その時のC'の値は
C'=b'cd+c'd+d' となり、
選択平文攻撃を用いてMの値に1ずつ加算して
それに対応したC'の値が何周期で
増減を繰り返しているかを見ればaの値がわかってしまいます。
さらに、
M2はbで割り切れ(b'=0)そのときのa'をA,c'をC,d'をDとし
M1+1=M2とするとき
C'1=A*bcd+(b-1)*cd+C*d+D
C'2=(A+1)*bcd+0*cd+(C+1)*d+(D+1)
C'2-C'1=bcd-(b-1)cd-d-1=cd-d-1
となり、差が極端に小さくなります。
(C+1,D+1が0になることは考慮していません)
この性質もまた選択平文攻撃の餌食となり
何周期ごとにC'2-C'1の差が小さくなるのか調べると
bの値がばれてしまいます。
- 57 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/05 20:00]
- (上のA,B,C,Dと以下のA,B,C,Dは関係ありません)
C'→Cの方法を
M→Cとして扱うと
Mをaで割りそのときの商をx,余りをA
Aをbで割りそのときの商をy,余りをB
Bをcで割りそのときの商をz,余りをC
Cをdで割りそのときの商をw,余りをD(wは常に0です)
とする。つまり、
M=ax+A,x=by+B,y=cz+C,z=dw+D
これを右から代入していって(wは常に0だから削除)
M=(((D)c+C)b+B)a+A
_=abcD+abC+aB+A
となります。
a,A,b,B,c,C,d,Dを用いて
C=ax+A=by+B=cz+C=dw+D
となるCを拡張ユークリッドの互除法により求める。
このCを暗号文とするとこれまた選択平文攻撃の餌食となります。
- 58 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/05 20:01]
- 以下証明
by+B=cz+C=dw+D
となる最小の値をVとする。このとき
C=(b*c*d)*v+V=ax+A(x,vは0以上の整数)
また、M0→C0,M0+1→C1,M0+2→C2とし、(M0を暗号化するとC0が得られるって事です)
M0をaで割りその時の余りをA0,M0+1をaで割りその時の余りをA0+1,
M0+2をaで割りその時の余りをA0+2,
(A0,A0+1,A0+2はaで割り切れないとする。割り切れるときは下で書いています)とすると
C0=bcd*v0+V=a*x0+A0
C1=bcd*v1+V=a*x1+(A0+1)
C2=bcd*v2+V=a*x2+(A0+2)
となります。
C1-C0=bcd(v1-v0)+V-V=a(x1-x0)+(A0+1)-A0
=bcd(v1-v0)=a(x1-x0)+1
C1-C0-1=a(x1-x0)
C2-C1=bcd(v2-v1)+V-V=a(x2-x1)+(A0+2)-(A0+1)
=bcd(v2-v1)=a(x2-x1)+1
C2-C1-1=a(x2-x1)
C1-C0,C2-C1の値にユークリッドの互除法・素因数分解を用いると
bcdについての情報が分かります。
更に、C1-C0-1,C2-C1-1も同様に
aについての情報を与えてしまいます。
- 59 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/05 20:02]
- 今度は
(A0,A0+1,A0+2はaで割り切れないとする****の割り切れる時の場合です)
M3をaで割りその時の余りをa-1とすると,M3+1をaで割った余りは0になります。
M3→C3,M3+1=M4→C4とする。
M3=a*x+(a-1),x=b*y+B,y=c*z+C,z=d*w+D
M4=a*x+(a-1)+1=a*x+a=a(x+1)
x+1=b*y+(B+1),y=c*z+C,z=d*w+D
(ここのx,y,z,wは同じ値です)
この時C3,C4は
C3=a*x3+(a-1)=b*y3+B=c*z3+C=d*w3+D
C4=a*x4+(0)=b*y4+(B+1)=c*z3+C=d*w4+D
C4-C3=a(x4-x3)-(a-1)=b(y4-y3)+1=c(z4-w4)=d(w4-w3)
C4-C3-1=a(x4-x3-1)=b(y4-y3)
∴C1-C0とC4-C3,C4-C3についてユークリッドの互除法・素因数分解を用いると
a*b,c*dについての情報が得られました。
上のような考慮事項があるので
M→C' C'→Cのように二段階の暗号化を行いました。
>>55
多分この暗号にはアルゴリズムへの攻撃はできなくなっていると思います。
上の二つの暗号化方法だとアルゴリズムへの攻撃が有効です。
アルゴリズムへの攻撃の大体の感じをつかめてもらえましたか?
>>all
もっと分かりやすく説明しろ!!!
ってとこがありましたら指摘をお願いします。
- 60 名前:デフォルトの名無しさん mailto:sage [04/07/05 20:27]
- 悪いけど、ここには個人で暗号検証できるような
能力だったり労力を裂いたりする人間はほとんどいないと思う。
公開しろって言ってた人間も、くれるものは貰っとくって精神だろうしな。
本気なら、本当に気長に待つしかなさげ。
- 61 名前:55 mailto:sage [04/07/05 20:47]
- あ,ごめん,質問が悪かったですね.
「鍵への攻撃」「アルゴリズムへの攻撃」という用語の定義がよくわかりません.
「アルゴリズムへの攻撃」=選択平分攻撃?
- 62 名前:デフォルトの名無しさん mailto:sage [04/07/05 20:50]
- 暗号系には昔から、おれのチンコを見てくれって香具師は、よく現れる。
大抵粗チンなので、放置が普通。
オナニーしたいのなら、別の場所がお勧め。
本番したいのなr(ry
釣られてるのは単に、このスレに暇な香具師が多いんだろ。
知識も何か変な風に覚えてるらしく、単語とか言葉の使い方変だし。
突っ込みどころも多いけど、それを説明するのも('A`)
- 63 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/05 22:27]
- >>62
そうですか・・・
自己満足ではなくほんとにいい考えだと思ったのですが・・・
>知識も何か変な風に覚えてるらしく、単語とか言葉の使い方変だし。
>突っ込みどころも多いけど、それを説明するのも('A`)
すいませんでした、どこが悪いかは分かりませんが
もっと勉強してみます。
暗号数学について語ろう
science3.2ch.net/test/read.cgi/math/1088146349/
にいってきます。
さよなら〜
- 64 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/05 22:44]
- >>62
釣りではないですよ、釣りにしては手が込みすぎてるじゃないですか
>知識も何か変な風に覚えてるらしく、単語とか言葉の使い方変だし。
ここのとこはここが変と大体の場所を指定していただければ自分で調べますので
箇条書きでいいんで書いてもらえませんか?
- 65 名前:55 mailto:sage [04/07/05 22:45]
- そしてまた>>62みたいなのも多いんだなこれが>暗号関係のスレ
- 66 名前:デフォルトの名無しさん mailto:sage [04/07/05 22:51]
- なんかよくわからんが彼は真剣だな。と言ってみるテスト
自分のWeb等で活動をしてみたらどうかと、何も2chにこだわらなくとも。と言ってみるテスト
- 67 名前:デフォルトの名無しさん mailto:sage [04/07/05 22:58]
- もっと言うと、日本よりも世界に向けて
テストしてもらうように誘って見たら。
英語なんて調べながらであれば書けるんだし、
きっと日本からのレスよりもくると思うよ。
海外にはアマの暗号マニアぐらいいっぱいいると思うし、
弱点も見つけてくれるかもよ。
#世界は広い、そして...日本はせまい。
- 68 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/05 23:03]
- >>61
鍵への攻撃はブルーフォース
アルゴリズムへの攻撃は>>56-59みたいに
数学的な特性を生かした攻撃ってことで
「平文と暗号文のペアを入手して
ある方程式を立てれば鍵をまったく知らずに
暗号文と平文のペアだけで鍵を求めれる」
この方程式・方法を見つけようとするのがアルゴリズムへの攻撃
と考えて一連の発言をしていました。
- 69 名前:デフォルトの名無しさん mailto:sage [04/07/06 00:54]
- 弱点といえるのかどうかわからんが、2点ほど。
まず>>54について
Eveが最初からしらみつぶしで攻撃する気なら、
素因数分解が必要になるのはBobだけじゃないか?
AliceもEveも"豆数"から作ればいいんだから。
(と言うか、>>44
>素数^n(nは自然数)となるような数をいくつか用意
するんじゃなかったっけ?)
これの元になる素数を見つける必要はあるが、
豆数が複数なら出てくる素数は2^33未満だし。
それから、M→C'とC→C'は簡単だから、
分析者が平文・暗号文のペアをいくつか持っている場合に限り、
中間値探索を使って暗号化・復号プロセスの面倒な部分(>>46)を避けて
鍵のチェックができるね。
どっか大ボケかましてたら優しく教えてください。
- 70 名前:69 mailto:sage [04/07/06 00:58]
- >豆数が複数なら出てくる素数は2^33未満だし。
当然、66ビット鍵の場合の話ですよダンナ。
- 71 名前:69 mailto:sage [04/07/06 01:36]
- あと、>>62の言うのは
>ブルーフォース
みたいな細かい点の話とか、
>秘密鍵
(この単語は、公開鍵暗号のプライベート鍵を指すことが多い。
共通鍵暗号なら共通鍵、共有鍵、または単に鍵と言う事が多い。
…気がする。)
>鍵への攻撃
(アルゴリズムの鍵スケジューリングを攻撃する分析法などと混乱しやすいと思われ。
しらみつぶしならしらみつぶしと書くのが得策かと。)
などという混乱を招く表現のことを指してるんじゃないか?
>>49
せっかく2ブロックに分かれてるんだから、
>>44を関数F、>>45-46を関数Gとして
C = G(K, F(K, M))
こうしといて、FとGの定義を別々に書いとけば
もっと見やすい表現を使えたかもしれないね。
以上。これだけのことで3レスも使っちゃってスマソ
- 72 名前:デフォルトの名無しさん mailto:sage [04/07/06 05:14]
- これ、Mは何bitなん?ブロック暗号なのかな?
- 73 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/06 07:06]
- >>72
Mは可変長です
いくらでも好きなように
暗号化するのがnビット毎の時
対称鍵をn+2ビットにすればOKです
ブロック暗号です。
- 74 名前:デフォルトの名無しさん mailto:sage [04/07/06 15:46]
-
>44の
> (x,y,z,wは0以上の整数、Mの範囲は0<=M<Lとする)
からして
鍵空間て 2^n < L <= 2^(n+2) の狭いのはどうなん?
あと、ブロック暗号なら、パディングをどうするのかと、
M=0の場合のCの検算をだしてみてくださいな。
- 75 名前:デフォルトの名無しさん mailto:sage [04/07/06 16:26]
- >>74
>あと、ブロック暗号なら、パディングをどうするのかと、
これは0〜2^nの値全てに
2^(n+1)の加算を行います
- 76 名前:デフォルトの名無しさん mailto:sage [04/07/06 17:16]
- いや、パディング判ってないしw
- 77 名前:69 mailto:sage [04/07/06 21:03]
- >>75
nはブロック長?だったらそれじゃうまくいかない。
平文の最上位ビットが0のとき、復号側が平文の長さを知らないと
平文とパディングビットの境目がわからなくなるよ。
ただ、ブロック長がnビット、
平文の長さがpビット(当然 n >= p)のとき、
加算する数を2^(p+1)にするとうまくいくと思う。
要するに、暗号化前に右からp+1ビット目、つまり
平文とパディングビットの境目に1を立て、
(n = pでなければ)それより左のビットには0を立てる。
そして復号後に
一番左にある1のビットと
(n = pでなければ)それより左のビット(すべて0のはず)を捨てる。
これでどうよ?
- 78 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/06 22:42]
- >>76>>77
>>75の
>これは0〜2^nの値全てに
>2^(n+1)の加算を行います
は間違いです。
正しくは↓↓↓
nビット毎に暗号化するとして(対象鍵はn+2ビット)
0〜2^n-1の値すべてに
2^nの加算を行います。
すると暗号化前の平文は
2^n〜2^(n+1)-1になります。
復号する時は
復号して出てきた値から2^nを減算してやればOKです。
- 79 名前:デフォルトの名無しさん mailto:sage [04/07/07 02:01]
- これは、最初の説明に無かったと思うんだけど、修正なの?
- 80 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/07 06:49]
- いえ、説明するの忘れてました
平文をnビットとするときに鍵長がn+1ビットだと
平文すべてに2^nを加算することができないわけで
(そうすると平文が2^n近くの時に鍵の値を超えてしまうわけです)
そういったことを考慮して鍵長はn+2ビットといっていました。
- 81 名前:デフォルトの名無しさん mailto:sage [04/07/07 07:46]
- 他に説明忘れはありませんか?
- 82 名前:デフォルトの名無しさん mailto:sage [04/07/07 08:56]
- 結局、パディングになってない訳だが?
これは、nビット暗号して、n+1ビット出力されるの?
鍵空間は 2^(n+1) <= L <= 2^(n+2) てのはどうなん?
- 83 名前:デフォルトの名無しさん mailto:sage [04/07/07 09:38]
- 少なくとも使いにくそうだけど、既存の暗号に対して
なにかメリットあるんですか?
- 84 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/07 15:45]
- メリットは暗号化毎のブロックの長さ・鍵の長さを
自由に選べるってとこでしょうか
数学的な暗号化方法だから
自分では線形攻撃や差分攻撃は意味がないと思っています。
あと、平文と暗号文だけから
鍵Lについての情報を得られるか、得られないかを
数学的に証明できると思っています。
どっちなのかはわかりません
もし仮に、数学的に平文と暗号文だけから
鍵Lについての情報が得られないと証明できれば
他のブロック暗号のように新しい解読方法が見つかって
既存の対象鍵暗号は弱いものになるかもしれない
なんてふうに悩まなくてもいいと思います。
- 85 名前:デフォルトの名無しさん mailto:sage [04/07/07 19:16]
- > メリットは暗号化毎のブロックの長さ・鍵の長さを
> 自由に選べるってとこでしょうか
実装する側、使う側するとメリットとは思えない。
むしろ、実装する側からすれば、デメリットかも。
暗号化毎ってなってるけど、ブロック長は鍵長に依存だよね。
鍵を選ぶみたいだし、弱い鍵生成を抑制するコードもくまないと使えない。
これじゃDESの時代に逆戻りみたいだ。
鍵長依存の任意のbit長で出力が1bit増えるなら、既存の暗号と置き換えるのも難しいし。
結局パディングもできないようだから、そこも気をつけないといけないし。
#パディングが何か判ってないって、既存の暗号がどんな物か調べて無い気がしてしょうがないのだけど。
いくらアルゴリズム部分が大丈夫と言っても、暗号全体として弱ければダメだよね。
他の攻撃方法も色々あると思うんだけど。
いくら鍵が大丈夫といっても、既知の情報から復号できてしまえば意味ないわけだし。
ム板で数学証明とかいっても無駄だと思うし。
- 86 名前:梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/07 21:01]
- >>85
>結局パディングもできないようだから、そこも気をつけないといけないし。
>#パディングが何か判ってないって、既存の暗号がどんな物か調べて無い気がしてしょうがないのだけど。
はい、そうですこちらが勝手に解釈して勝手なことを言っていました。
パディングってのは最終バイトが暗号化するブロックに足りない時に
最終バイトをどうやってブロックのバイトにするかってことでよろしいでしょうか?
これは、足りないバイト分0を後ろから足してやります。
このブロックを暗号化、
最後に何バイトがいらないバイトかを示した値を
暗号化してやればいいのではないでしょうか
- 87 名前:デフォルトの名無しさん mailto:sage [04/07/08 02:49]
- このページを読んでみるのはどう?
ttp://pgp.rasip.fer.hr/faqs/res/
本当に議論したいのなら、
usenetのnews groupのsci.cryptがいいかもね
- 88 名前:デフォルトの名無しさん mailto:sage [04/07/09 02:22]
- >>84
>数学的な暗号化方法だから
>自分では線形攻撃や差分攻撃は意味がないと思っています。
線形攻撃や差分攻撃が「より」適用しやすい、の間違いだな。
なぜ既存の共通鍵暗号アルゴリズムがたくさんラウンドがあったり、
Feistel構造やSPN構造を入れてるか分かってるのか?
>あと、平文と暗号文だけから
>鍵Lについての情報を得られるか、得られないかを
>数学的に証明できると思っています。
F(M,L)=C,F^{-1}(C,L)=Mって等式が成り立つんだから、数学的には情報を得られる。
鍵Lを使っても使わなくても暗号化したり復号したり出来るなら、得られないかもしれないが。
>>85
数学的に安全証明が出来るものをム板でさらに安全な実装を考えるってのは意味があると思う。
でも、『非』安全証明が出来るものを、実装でなんとかしようってのは、ちょっと不健全だな。
- 89 名前:デフォルトの名無しさん [04/07/11 22:48]
- DESについての質問です
UNIXのcrypt関数と同じことをする関数を作ろうとしているんですが、
saltでDES暗号の途中で使う転置表をかき混ぜるみたいなんですが、
どうかき混ぜるかわかりません。
知っているかたいたら教えてください。
- 90 名前:デフォルトの名無しさん [04/07/11 22:57]
-
全く関係ない話だが暗号を評価してもらうにはどうすればいい?
- 91 名前:デフォルトの名無しさん mailto:sage [04/07/11 22:59]
- 金を積む
- 92 名前:デフォルトの名無しさん mailto:sage [04/07/11 23:08]
- 有名どころを評価して弱点を見つければいい。
弱点を見つける方が弱点なく作るよりも何倍も難しいが、
少なくとも、それすら出来ない制作者の作ったものは、評価されんだろう。
- 93 名前:デフォルトの名無しさん mailto:sage [04/07/11 23:14]
- ごめん。逆だった。
×弱点を見つける方が弱点なく作るよりも何倍も難しいが、
○弱点を見つける方が弱点なく作るよりも何倍も易しいが、
- 94 名前:89 [04/07/11 23:17]
- 解決したからもういいです
- 95 名前:デフォルトの名無しさん [04/07/11 23:19]
- www.nikkansports.com/ns/baseball/mlb/kojima/mb-kojima23.html
- 96 名前:デフォルトの名無しさん mailto:ii [04/07/12 05:54]
- C4ってどう?誰か使ってる人いませんか?
- 97 名前:デフォルトの名無しさん mailto:sage [04/07/12 07:45]
- >>96
ほんの70ほど前のレスすら見つけられないあんたには
エニグマ暗号程度で十分です。
- 98 名前:デフォルトの名無しさん mailto:sage [04/07/12 10:35]
- >>96
このスレには、その話題に振りすぎる奴がいるな。
- 99 名前:デフォルトの名無しさん mailto:sage [04/07/12 18:38]
- C2ってどう? 誰か飲んだ人いませんか?
- 100 名前:デフォルトの名無しさん mailto:sage [04/07/12 19:50]
- 薄い。
薄まってカロリー半分、そりゃそうだ、って感じ
|
 |
