■暗号技術【ROUND2】■

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 04/11 05:20 / Filesize : 230 KB / Number-of Response : 951
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

■暗号技術【ROUND2】■

1 名前：sage mailto:sage [04/06/30 02:30]: -----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,E71BB607F6613D304DEE82D5B1DEDBFF

データの暗号化技術に関するスレ。ム板らしくコードも交えながらマターリと。
RSA スレは別にあるようなので、主にそれ以外の話題で。

関連スレは >>2-10 あたり
-----END RSA PRIVATE KEY-----
2 名前：sage mailto:sage [04/06/30 02:30]: ********* 数学板 *********
暗号数学について語ろう
science3.2ch.net/test/read.cgi/math/1088146349/
素数判定は「決定的」多項式時間で可能
science3.2ch.net/test/read.cgi/math/1028813059/
P=NP問題について真面目に語るスレ
science3.2ch.net/test/read.cgi/math/1058932949/

********* 理系板 *********
【論理】情報理工学総合スレッド【ｱﾝﾁ?】
science3.2ch.net/test/read.cgi/rikei/1065961472/
量子コンピュータについて語るスレ
science3.2ch.net/test/read.cgi/rikei/1020566648/

********* 物理板 *********
量子コンピュータ
science3.2ch.net/test/read.cgi/sci/1042199835/
3 名前：デフォルトの名無しさん mailto:sage [04/06/30 02:30]: 2
4 名前：sage mailto:sage [04/06/30 02:31]: The International Association for Cryptologic Research (IACR)
www.iacr.org/

独立行政法人　情報処理推進機構　（IPA）
IPAトップ＞セキュリティセンター
www.ipa.go.jp/security/index.html

arXiv.org Cryptography and Security Authors and titles for recent submissions
jp.arxiv.org/list/cs.CR/recent
5 名前：デフォルトの名無しさん mailto:sage [04/06/30 02:31]: 4
6 名前：デフォルトの名無しさん mailto:sage [04/06/30 02:31]: 6
7 名前：デフォルトの名無しさん mailto:sage [04/06/30 02:31]: 7
8 名前：デフォルトの名無しさん mailto:sage [04/06/30 02:32]: 8
9 名前：デフォルトの名無しさん mailto:sage [04/06/30 02:32]: 9
10 名前：デフォルトの名無しさん mailto:sage [04/06/30 02:32]: 10!!
11 名前：デフォルトの名無しさん mailto:sage [04/06/30 02:34]: 思考回路はデバッグ寸前♪
12 名前：デフォルトの名無しさん mailto:sage [04/06/30 13:34]: いますぐcore吐きたいよ♪
13 名前：前スレ927 mailto:sage [04/06/30 15:57]: 前スレ927です
選択平文攻撃を対称鍵暗号方式で無視してもよければ
私が考えたアルゴリズムを公開したいと思うのですが・・・

前スレ927の質問↓
対称鍵暗号方式において
対称となる攻撃方法はなにでしょうか？

締め上げ攻撃・ブルーフォース攻撃・既知平文攻撃
などがあるのはわかるのですが、
選択平文攻撃は対称鍵暗号方式では無視してもよいのでしょうか？
14 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [04/06/30 17:10]: > 選択平文攻撃を対称鍵暗号方式で無視してもよければ
> 私が考えたアルゴリズムを公開したいと思うのですが・・・

無視しちゃダメ (差分解読法って知ってる？) だから、公開せんで
よろし。

別に煽ってるわけじゃないんだが、こんなことを聞かなきゃ分から
ない人間が考えた暗号アルゴリズムに意味がある可能性は限りなく
低いので。

♯そもそも、解読者としても一流の人間が検証しながら作ったアル
♯ゴリズム以外は役に立たないものと考えて間違いない。
15 名前：前スレ966-967 mailto:sage [04/06/30 19:52]: >1乙
なんかテンプレぽく使われてて恥ずかしいや。
他に関連スレがあったら（この暗号解いてみろ→暗号文貼り付け系は除く）
張っていきましょう

>>12
そのcoreから危険な情報が外部に…
16 名前：デフォルトの名無しさん mailto:sage [04/06/30 20:36]: すいません
差分解読と線形解読について解説した
書籍・webサイトを教えていただけませんか？
乱数についても知りたいと思っています。
一応「暗号技術大全」は購入してます。

あと、
「基本算法/基礎概念」「2基本算法/情報構造」
は買いでしょうか？
17 名前：デフォルトの名無しさん mailto:sage [04/07/01 10:10]: >>1
(o^ー')b ｸﾞｯｼﾞｮﾌﾞ!
18 名前：デフォルトの名無しさん mailto:sage [04/07/01 14:20]: >>16
日本語でってんじゃないなら

ttp://www.cs.technion.ac.il/~biham/publications.html
Eli Bihamのページ
Postscriptは根性でなんとか汁。

ttp://www.engr.mun.ca/~howard/Research/Papers/ldc_tutorial.html
差分・線形分析のチュートリアルだってさ。内容は未確認だけど。
一部間違いがあるんだってさ。"Errata"のとこはちゃんと見とけ。
19 名前：デフォルトの名無しさん [04/07/01 17:20]: 暗号化手法の比較表を出してくれ、と言われたんですが、
どこかにAES、RC4、DES、TripleDESの、
・暗号化・複合化速度
・鍵生成速度
・暗号強度
についてまとめてある資料をご存知の方がいましたら教えていただけませんか？
お願いします。
20 名前：デフォルトの名無しさん mailto:sage [04/07/01 18:08]: CRYPTRECの評価報告とか？
21 名前：19 mailto:sage [04/07/02 01:20]: >>20
ありがとうございます。
探してみます。
22 名前：デフォルトの名無しさん mailto:sage [04/07/02 13:30]: >>14
まあいいじゃないの。
基本的な考え方は優秀なのも出てくるかも知れんし。

そうでなくたって、分析入門者向けの練習台に（ry
23 名前：デフォルトの名無しさん mailto:sage [04/07/02 20:19]: ｼｮｸﾆﾝ（・∀・）ｹﾞｲｰ
24 名前：デフォルトの名無しさん mailto:sage [04/07/02 20:41]: プログラミング関係の著作でおなじみ、結城浩さんのサイトにこんなのがありましたよ

ギコ猫と暗号技術入門
Giko Cat: A Cryptographer

www.hyuki.com/cr/cat_index.html
25 名前：デフォルトの名無しさん [04/07/02 21:02]: internet.watch.impress.co.jp/cda/news/2004/06/29/3684.html
c4t.jp/technology/c4technology.html
これってどうなんでしょ？
26 名前：デフォルトの名無しさん mailto:sage [04/07/02 22:00]: >>25
前スレで既出

>>853,>>855,>>856,>>857,>>858
27 名前：デフォルトの名無しさん mailto:sage [04/07/03 00:45]: >>26
スレ汚し失礼しました。

素人としては、素直にAESが実装された暗号製品を
選ぶように心掛けます…
28 名前：デフォルトの名無しさん mailto:sage [04/07/03 11:02]: 現役の日本製の暗号ってなくね？

ちゅうか日本の場合暗号に対する考えが甘いような気がすんですけど
29 名前：1 mailto:sage [04/07/03 11:23]: あー、前スレの URL 張るの忘れてた。スマソ。

　■暗号化スレ■
　pc5.2ch.net/test/read.cgi/tech/1002736958/
30 名前：デフォルトの名無しさん mailto:sage [04/07/03 11:33]: >>28
Camelliaとか結構良さげだけど、まだちょいと新しいかもな。
AESも似たようなもんではあるけど。

あと、乱数生成器はMUGIとか……。

>>29
重ねて乙
31 名前：デフォルトの名無しさん mailto:sage [04/07/03 13:17]: >>28
今まで「水と安全はただ」であった日本なのに、
暗号なぞ必要であると思うわけないではないか。
32 名前：13 mailto:sage [04/07/03 17:36]: もうすこしでプログラムが完成します。
選択平文に強くなるようなアルゴリズムは考えましたが、
候補が二つあり悩んでいます。
遅くとも明日には公開できると思います。
その際に、アルゴリズムの詳細について語らなきゃならんから
それを考えるとめんどくさ
どなたかプログラムをうｐするとこ紹介してもらえませんか？

>>14さん
わたしのアルゴリズムは数学に基づいたものなので
差分に対する考慮はいらないかと思ったんです
ここのとこは、アルゴリズムを公開すれば分かってもらえると思います。

あと、66bitの秘密鍵を仕込んだ.exeを公開して
解読者には秘密鍵を当ててもらうことをかんがえています。
解読者は任意に平文を指定できます。
秘密鍵の値をeとすると0からe-1まで暗号化できるのですが、
0x0000000000000000-0xffffffffffffffff
までの平文に対して暗号文が出力されるようにすればいいのですよね？
33 名前：デフォルトの名無しさん mailto:sage [04/07/03 18:11]: >>28
日本がどうこう以前にそもそも全部アメリカ産だし。

AESを「現役の暗号」に入れていいんなら
当然日本製の暗号もいくつか入ると思うんですけど
34 名前：デフォルトの名無しさん mailto:sage [04/07/03 19:52]: >>32
秘密鍵を .exe に埋め込んだら絶対抜くやついるって。
俺みたいになー。
35 名前：32 mailto:sage [04/07/03 20:49]: >>34
それが一番困ったとこなんです。
解読者は自由に暗号にアクセスできなくちゃいけないし
だからといって、こっちが勝手に平文を選んで解読者に渡すというのも
私としては納得いかないし、
どうだ！解読してみろと堂々と言いたいわけで。

なんかいい方法はありますか？
36 名前：デフォルトの名無しさん mailto:sage [04/07/03 20:57]: >>35
ここかアプロダに平文を提示してもらって、
それを暗号化してアップすればいいのでは？
37 名前：36 mailto:sage [04/07/03 21:04]: それじゃ面倒か。
好きなキーで好きな平文を暗号化できる実行ファイルを公開した上で
キーを秘密にした暗号文を提示して解析できるかでよいのでは。
38 名前：デフォルトの名無しさん mailto:sage [04/07/03 21:08]: >>36
解読者は大量に平文→暗号文を入手できるとして
それでも秘密鍵が分からない
というのがよいアルゴリズムなわけですから、
私としては解読者が任意の平文→暗号文を選択できるようにしたいのです
それに、人によって欲しい平文→暗号文が違うとおもいます。
アプロダにアップする方法もありますが、
平文→暗号文を解読者が満足するまでうぷするのは
ファイルのサイズ的に無理があります。
そうなると.exeから抜かれるのもしょうがないかなと思います。

抜いただけの人はどうやって暗号を破ったのかの問いに対しては
ブルーフォースを行ったとしかいえないわけですから、
ブルーフォースで破られるのは問題ないかと
39 名前：デフォルトの名無しさん mailto:sage [04/07/03 21:11]: >>37さんのいうようにキーを自由に扱えるようにした方法と
暗号文→平文を自由に扱える方法の両方でいきたいと思います。
40 名前：デフォルトの名無しさん mailto:sage [04/07/03 21:18]: cgi形式にでもしてサーバーで公開したらいいんでないの
41 名前：デフォルトの名無しさん mailto:sage [04/07/03 21:41]: なんでexeに話が飛んでるのか理解できないけど、
アルゴリズム公開して
実装コード見本、テストベクターも公開で
で復号へのkey challengeがまぁ普通じゃないの？

#exeなんて、気持ち悪くて動かす気にもならないです。(｡∀ﾟ)
42 名前：38 mailto:sage [04/07/03 23:15]: とりあえず完成しました。
今からアルゴリズムの説明を考えてきます。
43 名前：デフォルトの名無しさん mailto:sage [04/07/04 03:22]: 　　（(＠)）
ｲﾝﾄﾞ (･∀･)ｼｰｼｰｴｰﾂｰ
44 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/04 15:17]: アルゴリズム説明しますね。
プログラムは
do.sakura.ne.jp/~junkroom/cgi-bin/megabbs/readres.cgi?bo=lounge&vi=1088921677
に添付しています
私は何を公開したらいいでしょうか？

この暗号は数車(かずぐるま)といいます。
歯車が回っているのをイメージした時に思いついたので
このような名前になりました。
わかりづらかったら質問してください。

暗号化
素数^n(nは自然数)となるような数をいくつか用意します。
個人的にこの数を勝手に豆数(まめかず)と読んでいます。
豆数は素数^nとなる数です。
L=abcd(Lはabcdの最小公倍数)とする
(このときのLが秘密鍵です。)
ここでは仮に豆数をa,b,c,dとします。
(a,b,c,dは互いに素でなければなりません)
平文Mをa,b,c,dでそれぞれ割っていきます。
このときの余りをそれぞれa',b',c',d'とすると、
M=ax+a'=by+b'=cz+c'=dw+d'
(豆数a,b,c,dの余りで表現できる数は0からL-1です)
(x,y,z,wは0以上の整数、Mの範囲は0<=M<Lとする)
という関係が成り立ちます。
a,a',b,b',c,c',d,d'を用いて
C'=(((a')b+b')c+c')d+d'
(Mの範囲が0<=M<abcdのとき0<=C'<L)
となるようなC'を計算します。
45 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/04 15:18]: 今度は
C'をaで割りそのときの商をaa,余りをa"
aaをbで割りそのときの商をbb,余りをb"
bbをcで割りそのときの商をcc,余りをc"
ccをdで割りそのときの商をdd,余りをd"(ddは常に0です)
とすると、このとき
C'=(((dd+d")c+c")b+b")a+a"
となります。
a,a",b,b",c,c",d,d"を用いて
C=aX+a"=bY+b"=cZ+c"=dW+d"(X,Y…同上)
となるCを求めます。
このときのCが暗号文です。
46 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/04 15:19]: M→C'は問題ないと思いますのでC'→Cの求め方

label1:
cZ+c"=dW+d"…壱
となる最小の値を(cd)"とします。
壱を少し変形して
cZ-dW=d"-c"…弐
拡張ユークリッドの互除法を用いて
cZ'-dW'=1となるZ'またはW'を求めます。
両辺d"-c"倍してやって
c(Z'*(d"-c"))-d(W'*(d"-c"))=d"-c"…参
弐と参を比較して
Z=Z'*(d"-c")　W=W'*(d"-c")
∴壱は
cd*Z_W+(cd)"=cZ+c"=dW+d"(Z_Wは0以上の整数)
と表されます。
今度は
cd*Z_W+(cd)"=bY+b"
となるような最小の値(bcd)"を求めます。
goto label1;
と、どんどん繰り返していってCが求めれます。

復号はこの逆を行えばいいわけです。
47 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/04 15:20]: 豆数の並べ方に決まりがあります。
素数の小さい順に左から並べます。
つまり、
L=2800のとき
Lを素因数分解して
L=2^4*5^2*7^1
豆数を
2^4,5^2,7^1
とならべます。
今度はLを豆数の数で割ってやります。
ここでは3です。
豆数に右から順に0,1,2と割り振ってやって
2800%3≡1　2800/3=933
1番は5^2ですから
一番左は5^2になります
2^4,7^1と並びます
今度は933を2で割ります
933%2≡1
今度は1番目は2^4ですから
豆数は5^2,2^4とならび
最終的には
5^2,2^4,7^1と豆数は並びます。
そしてこの順に
a,b,cに豆数を代入していきます。

以上で説明は終わりです。
何か質問ありましたらどうぞ～
あと、わたしが公開すべきものを指定してくださいな。
48 名前：デフォルトの名無しさん mailto:sage [04/07/04 15:48]: 本質と関係ないところですまないが
引用符として用いられることの多い　'　と　"　だと微妙に見にくかった

あと、　C'=(((a')b+b')c+c')d+d'　
こういうのは　*　を省略してると解釈してOK?
そこで　C'をaで割りそのときの商をaa,余りをa"
とか言われると新しくaaという変数を定義してんのかa*aなのか途中の式が見にくい
49 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/04 16:11]: すんません
C'=(((a')b+b')c+c')d+d'　
は*を省略してます
aaは新しく定義してます。

45 名前：梅どぶろく ◆21Da3ggG3M [sage] 投稿日：04/07/04 15:18
今度は
C'をaで割りそのときの商をaa,余りをa"
aaをbで割りそのときの商をbb,余りをb"
bbをcで割りそのときの商をcc,余りをc"
ccをdで割りそのときの商をdd,余りをd"(ddは常に0です)
とすると

'　"についてはいい表記の仕方が分からなかったんです。
50 名前：デフォルトの名無しさん mailto:sage [04/07/04 16:34]: 本筋と関係ないところでホントごめんな
51 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/04 17:42]: P=ax+a'=by+b'=cz+c'=dw+d'
a=2,b=3,c=5,d=7,e=11,f=13・・・・としていって
P=2x+1=3y+2=5z+2=7w+6=11p+10=13q+6・・・
P<289となるようなPを求めれば
2・3・5・7・11・13で割り切れないのは保証されてるわけで、
素数生成に使えないかと思ってんですがいかがでしょうか？

まあ、この考えが
science3.2ch.net/test/read.cgi/math/1084794080/876
みたいな勘違いにつながったわけですが・・・
52 名前：デフォルトの名無しさん mailto:sage [04/07/04 17:56]: >>51
ﾅﾝｶｴﾗｰﾀﾞｯﾃ302Found
53 名前：デフォルトの名無しさん mailto:sage [04/07/04 18:55]: あのさ、秘密鍵とか書いてあるけど、共通鍵暗号だよね？

鍵を素因数分解って、分解できなかったら、どうすんのさ？
鍵長が長くなると分解のコストも高いよね？
分解できても、少ない項だったら弱くね？説明見ても項数は可変ぽいし。

というか、種から鍵を生成するアルゴリズムが必要になってくるんじゃないの？
その場合、本当に鍵と言えるのは種の気もするけど…

あるビット列を鍵として、鍵が素数は不可なら、
素数は除外してBuruteForceが楽になるんだけど

#俺って暇人なだｗ
54 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/04 19:16]: >>53
共通鍵です。
簡単に素因数分解できる鍵でOKかと
鍵を秘密に共有すれば
解読者が解読しようとしたらアルゴリズムへの攻撃か
鍵への攻撃なわけです。
ここでは、アルゴリズムは安全であると仮定して
鍵への攻撃のみを考えるとします。
ある鍵Kを66bit鍵としてAliceとBobが共有すれば
AliceとBobは素因数分解するのはKだけでよくて
Eveは66bitの鍵に対して素因数分解を行って
それから鍵の検証ができるわけで
ここで余分なコストが発生するかと思ってるんですが

>あるビット列を鍵として、鍵が素数は不可なら、
>素数は除外してBuruteForceが楽になるんだけど

ここんとこは大丈夫じゃないでしょうか？
合成数のほうが素数より圧倒的に多いわけですし、
EveがKを求めようとしていろいろと鍵を試していった場合、
Kの候補だとした数が素数だった場合泣けてくると思っています。
55 名前：デフォルトの名無しさん mailto:sage [04/07/04 19:34]: >>54
"アルゴリズムへの攻撃"って何のこと？
56 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/05 19:59]: >>55
たとえばC'を暗号文として扱うと
C'=(((a')b+b')c+c')d+d'
展開して
C'=a'bcd+b'cd+c'd+d'
a'はa周期ごとに0をとるから
その時のC'の値は
C'=b'cd+c'd+d'　となり、
選択平文攻撃を用いてMの値に1ずつ加算して
それに対応したC'の値が何周期で
増減を繰り返しているかを見ればaの値がわかってしまいます。
さらに、
M2はbで割り切れ(b'=0)そのときのa'をA,c'をC,d'をDとし
M1+1=M2とするとき
C'1=A*bcd+(b-1)*cd+C*d+D
C'2=(A+1)*bcd+0*cd+(C+1)*d+(D+1)
C'2-C'1=bcd-(b-1)cd-d-1=cd-d-1
となり、差が極端に小さくなります。
(C+1,D+1が0になることは考慮していません)
この性質もまた選択平文攻撃の餌食となり
何周期ごとにC'2-C'1の差が小さくなるのか調べると
bの値がばれてしまいます。
57 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/05 20:00]: (上のA,B,C,Dと以下のA,B,C,Dは関係ありません)
C'→Cの方法を
M→Cとして扱うと
Mをaで割りそのときの商をx,余りをA
Aをbで割りそのときの商をy,余りをB
Bをcで割りそのときの商をz,余りをC
Cをdで割りそのときの商をw,余りをD(wは常に0です)
とする。つまり、
M=ax+A,x=by+B,y=cz+C,z=dw+D
これを右から代入していって(wは常に0だから削除)
M=(((D)c+C)b+B)a+A
_=abcD+abC+aB+A
となります。
a,A,b,B,c,C,d,Dを用いて
C=ax+A=by+B=cz+C=dw+D
となるCを拡張ユークリッドの互除法により求める。
このCを暗号文とするとこれまた選択平文攻撃の餌食となります。
58 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/05 20:01]: 以下証明
by+B=cz+C=dw+D
となる最小の値をVとする。このとき
C=(b*c*d)*v+V=ax+A(x,vは0以上の整数)
また、M0→C0,M0+1→C1,M0+2→C2とし、(M0を暗号化するとC0が得られるって事です)
M0をaで割りその時の余りをA0,M0+1をaで割りその時の余りをA0+1,
M0+2をaで割りその時の余りをA0+2,
(A0,A0+1,A0+2はaで割り切れないとする。割り切れるときは下で書いています)とすると
C0=bcd*v0+V=a*x0+A0
C1=bcd*v1+V=a*x1+(A0+1)
C2=bcd*v2+V=a*x2+(A0+2)
となります。
C1-C0=bcd(v1-v0)+V-V=a(x1-x0)+(A0+1)-A0
　　=bcd(v1-v0)=a(x1-x0)+1
C1-C0-1=a(x1-x0)
C2-C1=bcd(v2-v1)+V-V=a(x2-x1)+(A0+2)-(A0+1)
　　=bcd(v2-v1)=a(x2-x1)+1
C2-C1-1=a(x2-x1)
C1-C0,C2-C1の値にユークリッドの互除法・素因数分解を用いると
bcdについての情報が分かります。
更に、C1-C0-1,C2-C1-1も同様に
aについての情報を与えてしまいます。
59 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/05 20:02]: 今度は
(A0,A0+1,A0+2はaで割り切れないとする****の割り切れる時の場合です)
M3をaで割りその時の余りをa-1とすると,M3+1をaで割った余りは0になります。
M3→C3,M3+1=M4→C4とする。
M3=a*x+(a-1),x=b*y+B,y=c*z+C,z=d*w+D
M4=a*x+(a-1)+1=a*x+a=a(x+1)
　 x+1=b*y+(B+1),y=c*z+C,z=d*w+D
(ここのx,y,z,wは同じ値です)
この時C3,C4は
C3=a*x3+(a-1)=b*y3+B=c*z3+C=d*w3+D
C4=a*x4+(0)=b*y4+(B+1)=c*z3+C=d*w4+D
C4-C3=a(x4-x3)-(a-1)=b(y4-y3)+1=c(z4-w4)=d(w4-w3)
C4-C3-1=a(x4-x3-1)=b(y4-y3)
∴C1-C0とC4-C3,C4-C3についてユークリッドの互除法・素因数分解を用いると
a*b,c*dについての情報が得られました。

上のような考慮事項があるので
M→C'　C'→Cのように二段階の暗号化を行いました。

>>55
多分この暗号にはアルゴリズムへの攻撃はできなくなっていると思います。
上の二つの暗号化方法だとアルゴリズムへの攻撃が有効です。
アルゴリズムへの攻撃の大体の感じをつかめてもらえましたか？

>>all
もっと分かりやすく説明しろ！！！
ってとこがありましたら指摘をお願いします。
60 名前：デフォルトの名無しさん mailto:sage [04/07/05 20:27]: 悪いけど、ここには個人で暗号検証できるような
能力だったり労力を裂いたりする人間はほとんどいないと思う。
公開しろって言ってた人間も、くれるものは貰っとくって精神だろうしな。

本気なら、本当に気長に待つしかなさげ。
61 名前：55 mailto:sage [04/07/05 20:47]: あ，ごめん，質問が悪かったですね．
「鍵への攻撃」「アルゴリズムへの攻撃」という用語の定義がよくわかりません．
「アルゴリズムへの攻撃」＝選択平分攻撃？
62 名前：デフォルトの名無しさん mailto:sage [04/07/05 20:50]: 暗号系には昔から、おれのチンコを見てくれって香具師は、よく現れる。
大抵粗チンなので、放置が普通。

オナニーしたいのなら、別の場所がお勧め。
本番したいのなｒ（ｒｙ

釣られてるのは単に、このスレに暇な香具師が多いんだろ。

知識も何か変な風に覚えてるらしく、単語とか言葉の使い方変だし。
突っ込みどころも多いけど、それを説明するのも('A`)
63 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/05 22:27]: >>62
そうですか・・・
自己満足ではなくほんとにいい考えだと思ったのですが・・・

>知識も何か変な風に覚えてるらしく、単語とか言葉の使い方変だし。
>突っ込みどころも多いけど、それを説明するのも('A`)

すいませんでした、どこが悪いかは分かりませんが
もっと勉強してみます。

暗号数学について語ろう
science3.2ch.net/test/read.cgi/math/1088146349/
にいってきます。
さよなら～
64 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/05 22:44]: >>62
釣りではないですよ、釣りにしては手が込みすぎてるじゃないですか

>知識も何か変な風に覚えてるらしく、単語とか言葉の使い方変だし。
ここのとこはここが変と大体の場所を指定していただければ自分で調べますので
箇条書きでいいんで書いてもらえませんか？
65 名前：55 mailto:sage [04/07/05 22:45]: そしてまた>>62みたいなのも多いんだなこれが＞暗号関係のスレ
66 名前：デフォルトの名無しさん mailto:sage [04/07/05 22:51]: なんかよくわからんが彼は真剣だな。と言ってみるテスト

自分のWeb等で活動をしてみたらどうかと、何も２chにこだわらなくとも。と言ってみるテスト
67 名前：デフォルトの名無しさん mailto:sage [04/07/05 22:58]: もっと言うと、日本よりも世界に向けて
テストしてもらうように誘って見たら。

英語なんて調べながらであれば書けるんだし、
きっと日本からのレスよりもくると思うよ。

海外にはアマの暗号マニアぐらいいっぱいいると思うし、
弱点も見つけてくれるかもよ。

＃世界は広い、そして．．．日本はせまい。
68 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/05 23:03]: >>61
鍵への攻撃はブルーフォース
アルゴリズムへの攻撃は>>56-59みたいに
数学的な特性を生かした攻撃ってことで

「平文と暗号文のペアを入手して
ある方程式を立てれば鍵をまったく知らずに
暗号文と平文のペアだけで鍵を求めれる」
この方程式・方法を見つけようとするのがアルゴリズムへの攻撃
と考えて一連の発言をしていました。
69 名前：デフォルトの名無しさん mailto:sage [04/07/06 00:54]: 弱点といえるのかどうかわからんが、2点ほど。

まず>>54について
Eveが最初からしらみつぶしで攻撃する気なら、
素因数分解が必要になるのはBobだけじゃないか？
AliceもEveも"豆数"から作ればいいんだから。
（と言うか、>>44
＞素数^n(nは自然数)となるような数をいくつか用意
するんじゃなかったっけ？）

これの元になる素数を見つける必要はあるが、
豆数が複数なら出てくる素数は2^33未満だし。

それから、M→C'とC→C'は簡単だから、
分析者が平文・暗号文のペアをいくつか持っている場合に限り、
中間値探索を使って暗号化・復号プロセスの面倒な部分(>>46)を避けて
鍵のチェックができるね。

どっか大ボケかましてたら優しく教えてください。
70 名前：69 mailto:sage [04/07/06 00:58]: ＞豆数が複数なら出てくる素数は2^33未満だし。

当然、66ビット鍵の場合の話ですよダンナ。
71 名前：69 mailto:sage [04/07/06 01:36]: あと、>>62の言うのは

＞ブルーフォース
みたいな細かい点の話とか、

＞秘密鍵
　（この単語は、公開鍵暗号のプライベート鍵を指すことが多い。
　　共通鍵暗号なら共通鍵、共有鍵、または単に鍵と言う事が多い。
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　…気がする。）
＞鍵への攻撃
　（アルゴリズムの鍵スケジューリングを攻撃する分析法などと混乱しやすいと思われ。
　　しらみつぶしならしらみつぶしと書くのが得策かと。）
などという混乱を招く表現のことを指してるんじゃないか？

>>49
せっかく2ブロックに分かれてるんだから、
>>44を関数F、>>45-46を関数Gとして
C = G(K, F(K, M))
こうしといて、FとGの定義を別々に書いとけば
もっと見やすい表現を使えたかもしれないね。

以上。これだけのことで3レスも使っちゃってｽﾏｿ
72 名前：デフォルトの名無しさん mailto:sage [04/07/06 05:14]: これ、Mは何bitなん？ブロック暗号なのかな？
73 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/06 07:06]: >>72
Mは可変長です
いくらでも好きなように
暗号化するのがnビット毎の時
対称鍵をn+2ビットにすればOKです
ブロック暗号です。
74 名前：デフォルトの名無しさん mailto:sage [04/07/06 15:46]: >44の
> (x,y,z,wは0以上の整数、Mの範囲は0<=M<Lとする)
からして

鍵空間て　2^n　<　L　<=　2^(n+2)　の狭いのはどうなん？

あと、ブロック暗号なら、パディングをどうするのかと、
M=0の場合のCの検算をだしてみてくださいな。
75 名前：デフォルトの名無しさん mailto:sage [04/07/06 16:26]: >>74
>あと、ブロック暗号なら、パディングをどうするのかと、

これは0～2^nの値全てに
2^(n+1)の加算を行います
76 名前：デフォルトの名無しさん mailto:sage [04/07/06 17:16]: いや、パディング判ってないしｗ
77 名前：69 mailto:sage [04/07/06 21:03]: >>75
nはブロック長？だったらそれじゃうまくいかない。
平文の最上位ビットが0のとき、復号側が平文の長さを知らないと
平文とパディングビットの境目がわからなくなるよ。

ただ、ブロック長がnビット、
平文の長さがpビット（当然 n >= p）のとき、
加算する数を2＾（p+1）にするとうまくいくと思う。

要するに、暗号化前に右からp+1ビット目、つまり
平文とパディングビットの境目に1を立て、
（n = pでなければ）それより左のビットには0を立てる。
そして復号後に
一番左にある1のビットと
（n = pでなければ）それより左のビット（すべて0のはず）を捨てる。

これでどうよ？
78 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/06 22:42]: >>76 >>77

>>75の
>これは0～2^nの値全てに
>2^(n+1)の加算を行います

は間違いです。
正しくは↓↓↓
nビット毎に暗号化するとして(対象鍵はn+2ビット)
0～2^n-1の値すべてに
2^nの加算を行います。
すると暗号化前の平文は
2^n～2^(n+1)-1になります。
復号する時は
復号して出てきた値から2^nを減算してやればOKです。
79 名前：デフォルトの名無しさん mailto:sage [04/07/07 02:01]: これは、最初の説明に無かったと思うんだけど、修正なの？
80 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/07 06:49]: いえ、説明するの忘れてました
平文をnビットとするときに鍵長がn+1ビットだと
平文すべてに2^nを加算することができないわけで
(そうすると平文が2^n近くの時に鍵の値を超えてしまうわけです)
そういったことを考慮して鍵長はn+2ビットといっていました。
81 名前：デフォルトの名無しさん mailto:sage [04/07/07 07:46]: 他に説明忘れはありませんか？
82 名前：デフォルトの名無しさん mailto:sage [04/07/07 08:56]: 結局、パディングになってない訳だが？

これは、nビット暗号して、n+1ビット出力されるの？

鍵空間は　2^(n+1)　<=　L　<=　2^(n+2)　てのはどうなん？
83 名前：デフォルトの名無しさん mailto:sage [04/07/07 09:38]: 少なくとも使いにくそうだけど、既存の暗号に対して
なにかメリットあるんですか？
84 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/07 15:45]: メリットは暗号化毎のブロックの長さ・鍵の長さを
自由に選べるってとこでしょうか

数学的な暗号化方法だから
自分では線形攻撃や差分攻撃は意味がないと思っています。
あと、平文と暗号文だけから
鍵Lについての情報を得られるか、得られないかを
数学的に証明できると思っています。

どっちなのかはわかりません

もし仮に、数学的に平文と暗号文だけから
鍵Lについての情報が得られないと証明できれば
他のブロック暗号のように新しい解読方法が見つかって
既存の対象鍵暗号は弱いものになるかもしれない
なんてふうに悩まなくてもいいと思います。
85 名前：デフォルトの名無しさん mailto:sage [04/07/07 19:16]: > メリットは暗号化毎のブロックの長さ・鍵の長さを
> 自由に選べるってとこでしょうか

実装する側、使う側するとメリットとは思えない。
むしろ、実装する側からすれば、デメリットかも。
暗号化毎ってなってるけど、ブロック長は鍵長に依存だよね。

鍵を選ぶみたいだし、弱い鍵生成を抑制するコードもくまないと使えない。
これじゃDESの時代に逆戻りみたいだ。
鍵長依存の任意のbit長で出力が1bit増えるなら、既存の暗号と置き換えるのも難しいし。

結局パディングもできないようだから、そこも気をつけないといけないし。
#パディングが何か判ってないって、既存の暗号がどんな物か調べて無い気がしてしょうがないのだけど。

いくらアルゴリズム部分が大丈夫と言っても、暗号全体として弱ければダメだよね。
他の攻撃方法も色々あると思うんだけど。
いくら鍵が大丈夫といっても、既知の情報から復号できてしまえば意味ないわけだし。
ﾑ板で数学証明とかいっても無駄だと思うし。
86 名前：梅どぶろく ◆21Da3ggG3M mailto:sage [04/07/07 21:01]: >>85
>結局パディングもできないようだから、そこも気をつけないといけないし。
>#パディングが何か判ってないって、既存の暗号がどんな物か調べて無い気がしてしょうがないのだけど。
はい、そうですこちらが勝手に解釈して勝手なことを言っていました。
パディングってのは最終バイトが暗号化するブロックに足りない時に
最終バイトをどうやってブロックのバイトにするかってことでよろしいでしょうか？

これは、足りないバイト分0を後ろから足してやります。
このブロックを暗号化、
最後に何バイトがいらないバイトかを示した値を
暗号化してやればいいのではないでしょうか
87 名前：デフォルトの名無しさん mailto:sage [04/07/08 02:49]: このページを読んでみるのはどう？
ttp://pgp.rasip.fer.hr/faqs/res/
本当に議論したいのなら、
usenetのnews groupのsci.cryptがいいかもね
88 名前：デフォルトの名無しさん mailto:sage [04/07/09 02:22]: >>84

>数学的な暗号化方法だから
>自分では線形攻撃や差分攻撃は意味がないと思っています。

線形攻撃や差分攻撃が「より」適用しやすい、の間違いだな。
なぜ既存の共通鍵暗号アルゴリズムがたくさんラウンドがあったり、
Feistel構造やSPN構造を入れてるか分かってるのか？

>あと、平文と暗号文だけから
>鍵Lについての情報を得られるか、得られないかを
>数学的に証明できると思っています。

F(M,L)=C,F^{-1}(C,L)=Mって等式が成り立つんだから、数学的には情報を得られる。
鍵Lを使っても使わなくても暗号化したり復号したり出来るなら、得られないかもしれないが。

>>85
数学的に安全証明が出来るものをム板でさらに安全な実装を考えるってのは意味があると思う。
でも、『非』安全証明が出来るものを、実装でなんとかしようってのは、ちょっと不健全だな。
89 名前：デフォルトの名無しさん [04/07/11 22:48]: DESについての質問です

UNIXのcrypt関数と同じことをする関数を作ろうとしているんですが、
saltでDES暗号の途中で使う転置表をかき混ぜるみたいなんですが、
どうかき混ぜるかわかりません。
知っているかたいたら教えてください。
90 名前：デフォルトの名無しさん [04/07/11 22:57]: 全く関係ない話だが暗号を評価してもらうにはどうすればいい？
91 名前：デフォルトの名無しさん mailto:sage [04/07/11 22:59]: 金を積む
92 名前：デフォルトの名無しさん mailto:sage [04/07/11 23:08]: 有名どころを評価して弱点を見つければいい。
弱点を見つける方が弱点なく作るよりも何倍も難しいが、
少なくとも、それすら出来ない制作者の作ったものは、評価されんだろう。
93 名前：デフォルトの名無しさん mailto:sage [04/07/11 23:14]: ごめん。逆だった。

×弱点を見つける方が弱点なく作るよりも何倍も難しいが、
○弱点を見つける方が弱点なく作るよりも何倍も易しいが、
94 名前：89 [04/07/11 23:17]: 解決したからもういいです
95 名前：デフォルトの名無しさん [04/07/11 23:19]: www.nikkansports.com/ns/baseball/mlb/kojima/mb-kojima23.html
96 名前：デフォルトの名無しさん mailto:ii [04/07/12 05:54]: C4ってどう？誰か使ってる人いませんか？
97 名前：デフォルトの名無しさん mailto:sage [04/07/12 07:45]: >>96
ほんの70ほど前のレスすら見つけられないあんたには
エニグマ暗号程度で十分です。
98 名前：デフォルトの名無しさん mailto:sage [04/07/12 10:35]: >>96
このスレには、その話題に振りすぎる奴がいるな。
99 名前：デフォルトの名無しさん mailto:sage [04/07/12 18:38]: C2ってどう? 誰か飲んだ人いませんか?
100 名前：デフォルトの名無しさん mailto:sage [04/07/12 19:50]: 薄い。
薄まってカロリー半分、そりゃそうだ、って感じ
101 名前：デフォルトの名無しさん mailto:sage [04/07/12 20:35]: >>100
とても参考になりました。
102 名前：デフォルトの名無しさん mailto:sage [04/07/12 22:58]: O2ってどう? 誰か吸った人いませんか?
103 名前：デフォルトの名無しさん mailto:sage [04/07/13 07:01]: おれ毎日吸ってる
104 名前：デフォルトの名無しさん mailto:sage [04/07/13 07:38]: C4ってどう？
105 名前：デフォルトの名無しさん mailto:sage [04/07/13 08:31]: X線でも写りにくいし爆発力もなかなかなので、かなりいいですよ。
106 名前：デフォルトの名無しさん mailto:sage [04/07/13 08:43]: ネタスレになってんじゃねーか！
107 名前：デフォルトの名無しさん mailto:sage [04/07/13 10:06]: 暗号だよ。暗号。
108 名前：デフォルトの名無しさん mailto:sage [04/07/13 18:42]: >44
その暗号の最大の弱点は
キーLのビット数に比べて
素数分解が簡単になりすぎる事だろうね。
豆数の指数が全て１の場合でさえ
各々の素数は公開キーLの桁の１/4になってしまう。
RSAに代表される素因数分解に起因される暗号では
最低でも、素数の桁として２５６biｔは必要だろうから
公開キーとして1024bitだね。
で、これが、最低レベルの場合。
当然、豆数の指数を増やすと公開キーのサイズはどんどん増える訳で
（Lの桁　≒　aの桁＊指数 + bの桁＊指数 + cの桁＊指数 + dの桁＊指数）
他の共通キー暗号に比べればキーが巨大すぎる。
109 名前：デフォルトの名無しさん mailto:sage [04/07/13 18:47]: っと、失礼。
Lは小さくて問題ないみたいだね。
110 名前：デフォルトの名無しさん mailto:sage [04/07/13 19:31]: 釣りか？ｗ
日本語読めますかｗ
111 名前：デフォルトの名無しさん mailto:sage [04/07/13 21:33]: C4の自己評価書ってのを読んでみたんだけど、これってどうなの？

> C4-1 は，選択平文／選択暗号文攻撃に対して強い：
> 1) カオスの機能自身は一方向である．
> 2) 鍵の処理装置は一方向である．
> 3) 出力データは常に乱数である．
> 上記3 項目により，暗号化に利用した鍵を算出することは実際的でない．

ってあるけど、１～３までのどれも命題が真であることを示さないと
安全であることにはならないと思うんだが。
３）とか絶対に偽だし。疑似乱数だろう。
112 名前：デフォルトの名無しさん mailto:sage [04/07/13 22:24]: >>111
ばっかだな～
全部真に決まってるじゃないか
C4の世界でだけだけどな
113 名前：111 mailto:sage [04/07/13 22:59]: C4の世界でだけってことは…現実世界では安全かどうかなんか、知るかってことで…
そうか、C4に釣られたのか、読んだ時間無駄だっただけだったのかorz
114 名前：デフォルトの名無しさん mailto:sage [04/07/14 23:35]: >>111
別に擬似乱数だろうが真の乱数だろうが
暗号学的に必要な条件さえ満たしていれば構わないんじゃないの？
まあ証明や統計的な結果を示さないとしょうがないと思うけど。
115 名前：111 mailto:sage [04/07/15 08:20]: >>114
うん、分かってるつもり。
ただ、暗号の場合、乱数は統計的に安全だってのは余計危険だろ？
暗号学的に安全ってのがくせもので、カオスだから予想出来ない、安全なのだ！
って言われても使う気にも薦める気にもなれん。所詮数式だし。
それを解析しているのが自己評価書だと思って期待して読んだだけに
116 名前： ◆kkkkkkkkkg mailto:sage [04/07/15 14:09]: 亀レス失礼
shadowpenguin.org にあった解説がいちばんわかりやすかったんだがのう

>>89
拡大転置したE[1:48]に対して、
E[1:12] E[25:36] を Salt(12ビット)に応じて入れ替え。
E[13:24] E[37:48] はそのままでよい。
拡大鍵とXORする前に行う。

ex) Salt が 100 000 000 001 だったら、E[1]<->E[25] E[12]<->E[36] を行う。

教科書を見ずにうろ覚えで書いたのでウソついてたらｽﾏｿ

で、ﾄﾘｯﾌﾟでも探すのかい?
117 名前：デフォルトの名無しさん mailto:sage [04/07/15 16:06]: >>116
> shadowpenguin.org にあった解説がいちばんわかりやすかったんだがのう

webarchive.org にも残ってないんだよね。別にサイト閉じなくたっていいじゃんよ。

　詳しい解説を公開して、「このサイトがあれば安心」と油断させて
　おきながら、いきなりサイト閉じるのはテロに等しい行為だ!

と主張してみたりする。

まぁ、公開しようが公開取りやめようが本人の勝手なんだけれども。
118 名前：デフォルトの名無しさん [04/07/25 14:08]: はー、いろんなこと勉強しなきゃいけないから大変だー。
あらよっと。
119 名前：保守 [04/08/13 00:01]: OOスレに来るのはバカばっか。
一人消しても、また一人・・・
おまえらスライムか？
なんでOOPL扱えないくせに、OOについて語ってるんだよ。
Cでポリモーフィズムできるようになってから出直して来い。
Vectorなどのコンテナークラスは、オブジェクトを格納できるわけだけど、
明らかにポインタを格納するバグはでないだろ？

それから、最近2chのレベル低くなりすぎ。
数値計算やアルゴリズム、データ構造それから
少なくても、２つ以上の言語についてしっかり知っとけ。
OSやらハードウエアに関する本も少しは読め。
数学の本も少し読んどけ。

サーバーサイドプログラミングはレベル低い。これ事実。
覚える事はいっぱいあるかもしれないけどレベル低いんだよ。
DB周りは特に勘違いしてる奴が多い。
SQL使えるからなんだっつーの？
SQLサーバー自作してから言え。
サーバーサイドの奴は、少し視野を広げろ。

最後に、仕事でプログラムやってるやつは
趣味でなんか作れ。
120 名前：デフォルトの名無しさん mailto:sage [04/08/13 00:13]: 保守は良いんだけど、何でその内容なんだろう
121 名前：デフォルトの名無しさん mailto:sage [04/08/13 08:28]: >>119
最後に、保守カキコにふさわしい文章を選べ。
122 名前：デフォルトの名無しさん mailto:sage [04/08/13 11:47]: 内容はえらくまともだな。

> OSやらハードウエアに関する本も少しは読め。

少しじゃなくてしっかり読め。
123 名前：デフォルトの名無しさん [04/08/13 12:34]: バーナム暗号ってどうよ？
利点・欠点を語ってくれ
124 名前：デフォルトの名無しさん mailto:sage [04/08/13 12:45]: いやです
125 名前：デフォルトの名無しさん mailto:sage [04/08/13 13:07]: 利点は解読不可能ということが数学的に証明されている
欠点は平文と同じだけの乱数を用意しなくてはいけない
また、一度使った乱数を二度使ってはいけないので
鍵の配送が面倒。
126 名前：デフォルトの名無しさん mailto:sage [04/08/13 13:24]: 利点、高速で余分なメモリがいらない。アルゴリズムが簡単。乱数生成期を変えるだけでウリジナル。
欠点、共通鍵と同じ。乱数シードをどうやって渡すか。乱数ジェネレータがへぼいと駄目。
これで合ってる？
127 名前：デフォルトの名無しさん [04/08/13 17:04]: >>125
> 利点は解読不可能ということが数学的に証明されている
は、ワンタイムパッド暗号の方ですね。

なんでこれだけ他の共通鍵暗号に比べて、パフォーマンスもコストもいいのにそんなに使われないかって、
乱数のランダム性の研究に比べて、乱数の安全性の研究があまりにも進んでないからだと思われ。
プログラム作る側としてはとっても楽だけどｗ
128 名前：デフォルトの名無しさん mailto:sage [04/08/13 19:02]: >>119
禿堂
129 名前：デフォルトの名無しさん mailto:sage [04/08/18 12:51]: SHA-0、MD5、 MD4にコリジョン発見、reduced SHA-1も
slashdot.jp/articles/04/08/18/0257220.shtml?topic=28
130 名前：デフォルトの名無しさん mailto:sage [04/08/18 14:02]: あのーいつも思ってるんですが、
宝くじってありますよね
宝くじ本体(印刷してある紙)には
偽造技術がほとんど使われてなくて、
宝くじの下にある番号の羅列で
真贋チェックしていると思っています。
ほんでもって、番号はハッシュ関数で生成していると思うんですが、
はずれ宝くじ何枚くらいあれば
番号生成アルゴリズムをクラックすることが可能になりますか？
131 名前：デフォルトの名無しさん mailto:sage [04/08/18 16:25]: >>130
なぜ関数で生成していると思うの?
(疑似)乱数でいいじゃん。データベースに対応表を残しといてさ。
つーか俺が作るならそうするが。
132 名前：デフォルトの名無しさん mailto:sage [04/08/18 19:20]: そんな何枚も集めなくても、当たりくじ一枚あれば充分。
133 名前：デフォルトの名無しさん mailto:sage [04/08/18 20:15]: > 偽造技術がほとんど使われてなくて、
というのが、そもそも甘いんだろう。
134 名前：デフォルトの名無しさん mailto:sage [04/08/18 23:47]: >>131
DBに対応表を残すというのはかなり厳しいんじゃないでしょうか？
発行する枚数が膨大ですから、保存容量が莫大になると思います。

>>132
いや、当たりくじは番号の部分が隠されて公開されるじゃないですか
新潟に2億円の当たりくじが届いて公開された時も
番号の部分は黒塗りで隠されていました。

>>133
宝くじの紙を見るに
印刷技術で偽造を防止しようとしているとは思えません。
135 名前：132 mailto:sage [04/08/18 23:56]: >>134
自分が本物を持ってれば何も困らないが。
136 名前：デフォルトの名無しさん mailto:sage [04/08/19 00:39]: >>135
偽造しようってんですから
当たりくじは持ってないという前提です。
新聞などから得る当選番号と
大量のはずれくじから
偽造できるかという問題です。

もし、できるとしたらはずれくじの必要量は
どれくらいかと思ったんです。
137 名前：デフォルトの名無しさん mailto:sage [04/08/19 01:05]: よく観察すると、数字の部分は他と明らかにインクが違うね。
磁気インクとかなんか仕掛けがありそう。
簡単に偽造できるとは思えない。
138 名前：デフォルトの名無しさん mailto:sage [04/08/19 01:16]: >>137
一見すると、肖像画も無いし、お札よりも簡単そうだが、実は・・・というパターンかもしれない

>>134
1枚につき4バイトとすれば、10億枚でも高々4GB

それでも容量が足りないというならば、
数字全部を覚えておかず、桁半分は関数で生成し、半分はランダム生成。
これだけでも、解析はできなくなるし、必要な容量は半分になるし。
139 名前：デフォルトの名無しさん mailto:sage [04/08/19 01:25]: >>134
> DBに対応表を残すというのはかなり厳しいんじゃないでしょうか？
> 発行する枚数が膨大ですから、保存容量が莫大になると思います。

そんなにたいした容量でもないですよ。多く見積もっても1.2TBです。
しかし昔のことを考えると、関数で生成している可能性が高いですね。
140 名前：デフォルトの名無しさん mailto:sage [04/08/19 01:29]: お札と違って厳しいのは、50万円以上は身分証明書が必要なことです。
なので、本物と衝突した場合に追跡されるでしょう。
そう考えると、一部の売り場で交換出来る5万円以下が安全でしょうね。
141 名前：デフォルトの名無しさん mailto:sage [04/08/19 01:30]: >>139
1.2TBなら現実的ですね
秘密によるセキュリティーとかでしょうか？
宝くじの番号を生成する方法とか公開してないですよね？
とすれば、深読みするとクラックも可能だと思っています。
142 名前：デフォルトの名無しさん mailto:sage [04/08/19 06:12]: みずほ銀行に入社しる
143 名前：デフォルトの名無しさん mailto:sage [04/08/19 09:25]: 宝くじの偽造ってどういう犯罪になるんだろ？
144 名前：デフォルトの名無しさん mailto:sage [04/08/19 09:50]: 有価証券偽造
145 名前：デフォルトの名無しさん [04/08/21 20:09]: MD5もうだめぽ
保守
146 名前：デフォルトの名無しさん [04/08/28 07:40]: CRYPTO2004での例の発表に関するスレ

ψ【暗号ｱﾙｺﾞﾘｽﾞﾑ】重大な欠陥発見の報告相次ぐ＠ＰＣニュース
pc5.2ch.net/test/read.cgi/pcnews/1092820402/

【暗号】暗号ｱﾙｺﾞﾘｽﾞﾑに重大な欠陥発見の報告相次ぐ＠科学Ｎｅｗｓ＋
news16.2ch.net/test/read.cgi/scienceplus/1092876922/

暗号ｱﾙｺﾞﾘｽﾞﾑに重大な欠陥発見の報告相次ぐ＠セキュリティ
pc5.2ch.net/test/read.cgi/sec/1092804347/
147 名前：デフォルトの名無しさん [04/09/11 05:46:19]: 結局、技術的な話はなかなか出ないな。
148 名前：デフォルトの名無しさん mailto:sage [04/09/11 06:23:38]: 自分から振ろうぜ。
149 名前：デフォルトの名無しさん mailto:sage [04/09/16 16:55:02]: MD5の代わりに何を使用したらよいですか？
150 名前：デフォルトの名無しさん mailto:sage [04/09/16 20:46:51]: >>149
今のところ、SHA-256とか、もっとビット数があるのとか。

たぶん1～2年したら誰かがもっといいハッシュ関数を
作ると思うので、それまでのつなぎとしてだけど。
151 名前：デフォルトの名無しさん [04/09/18 16:25:18]: AとBがいて、
Aは、ある方法で暗号化したファイルを持っていて
Aは中身はみることはできません。
中身を見たいときは、Bに鍵を申請して
Bが鍵を貸してあげてはじめてファイルを見ることができます。
まとめますと、Bが許可をしない限りAはファイルを見ることが
出来ないっていうことをしたいのですが、
どのような方法が考えられるでしょうか？
わかる方、よろしくおねがいします。
152 名前：デフォルトの名無しさん mailto:sage [04/09/18 17:00:32]: BはAESでファイルを暗号化する。
Bは暗号化したファイルをwebやp2pなどで公開する。
ファイルの中身を読みたいAは暗号化したファイルを入手し
Bに対して鍵を送ってくれるよう依頼する。
Bは送ってもよいと判断したらAに鍵を送る。
鍵を受け取ったAはAESを使って複号化する。

というありきたりな手順ではだめ？
153 名前：デフォルトの名無しさん mailto:sage [04/09/18 17:24:13]: すみません。説明が足りませんでした。
暗号化するのはAになります。
Aが持っているファイルをAが暗号化して
Aが持っていることになります。
それを、AがBに見たいと言って、Bが鍵を貸してあげます。

はじめ私が考えたのは、Bが公開鍵、秘密鍵を作って
Bの公開鍵をAに送って、その鍵で暗号化して
復号化したいときは、Bに言ってBの秘密鍵を
借りるということを考えていましたが、
１．秘密の鍵をAが受け取ったらどんなものかわかってしまうので
2回は使えないこと。（受け取った鍵がどんなものAに知られない方法があればいいのですが）
２、公開鍵方式は、復号化に時間がかかること
がありまして、いろいろと考えております。
共通鍵を使った方法でいい方法はありますでしょうか。
154 名前：デフォルトの名無しさん mailto:sage [04/09/18 18:14:56]: >>153
共通鍵ブロック暗号で全体を暗号化した後に
最初の小さな部分を公開鍵で暗号化するようにすれば
とりあえず速さだけは改善
頭の小さな部分を復号できなきゃ全体を復号することはできない

鍵はその都度生成で我慢しる
やりたいことは分かるが、やりたいことの意味が分からん。
155 名前：デフォルトの名無しさん mailto:sage [04/09/18 19:05:53]: >>154
>共通鍵ブロック暗号で全体を暗号化した後に
>最初の小さな部分を公開鍵で暗号化
なるほどです。
やはり鍵は毎回作る必要がありますか。
的確なアドバイスありがとうございました。
156 名前：デフォルトの名無しさん mailto:sage [04/09/18 19:09:13]: ほんとに意味がわからんな。
157 名前：デフォルトの名無しさん mailto:sage [04/09/18 22:53:59]: ハイブリッドでいいやん

ハイブリッド　共通鍵　公開鍵

でぐぐってみな
158 名前：デフォルトの名無しさん mailto:sage [04/09/18 22:55:40]: >>157
本体の暗号化に共通鍵暗号のみを用いるハイブリッドで題意を満たせるか？
159 名前：デフォルトの名無しさん [04/09/18 23:08:36]: 結局上のMD5とかのハッシュのコリジョン云々って
とても便利な.zip MD5:bbfea44c601e38b5da2cf8b0e7282bbc
というファイルにウィルス仕込んで適当に調節して
同一MD5値にすることが簡単にできるのできないの?
160 名前：デフォルトの名無しさん mailto:sage [04/09/18 23:13:35]: >>159
簡単ならやってみてくれ
161 名前：デフォルトの名無しさん mailto:sage [04/09/18 23:18:58]: それを聞いているわけだが。
162 名前：デフォルトの名無しさん mailto:sage [04/09/18 23:24:02]: やってみれば分かる
163 名前：デフォルトの名無しさん mailto:sage [04/09/18 23:28:15]: お偉いさんによるとMD5の場合は数分で可能らしいが

問題のないzipファイルにはまずならないだろうな

有用なファイルのふりをしたゴミを作るのが簡単だったりするだけだと思われ
164 名前：デフォルトの名無しさん mailto:sage [04/09/19 00:21:34]: >>158
Aは
共通鍵暗号方式を使ってファイルFを暗号化する(暗号ファイルはF_C）。
共通鍵はk、kをBの公開鍵で暗号化する。
AはF_C, k_CをBに送る。
ファイルを復号したくなったら、Bにk_Cを秘密鍵で暗号化してもらって、
Bの公開鍵で復号してkを得る。

こんな感じでどう？
165 名前：デフォルトの名無しさん mailto:sage [04/09/19 00:51:25]: >>155
もう解決したのなら余計なお世話だけど
やりたいサービスの内容を書いてみたら。
暗号化ではなく認証に関わる問題のような気がするんだけど。
166 名前：デフォルトの名無しさん mailto:sage [04/09/19 01:01:58]: ローカルファイルのチートを防止したいのかね
167 名前：デフォルトの名無しさん mailto:sage [04/09/19 01:31:48]: >>166
そこで、ドングルですよ。
168 名前：デフォルトの名無しさん mailto:sage [04/09/19 01:48:01]: アプリごとにいちいちドングル挿してたら鈴なりになってしまうよｗ
169 名前：デフォルトの名無しさん mailto:sage [04/09/19 01:59:04]: >>168
それこそ究極のセキュリティ。
目立つし、簡単に持ち運びできなくなるし。
170 名前：デフォルトの名無しさん mailto:sage [04/09/19 01:59:08]: >>165
たとえば、Aで重要な書類を作成して
普段は、Bの公開鍵によって暗号化してAでも開けられず（Aが外部に漏らさないように）、
Bの許可（鍵に有効期限、回数を付ける。付け方は検討中です）によって開くこと
ができるという感じにしたいと思います。
Bはたくさんのクライアントを監視します。
今のところ、
”共通鍵ブロック暗号で全体を暗号化した後に
最初の小さな部分を公開鍵で暗号化”
がいいかもしれないと考えております。
認証もしますので、認証用の公開鍵、秘密鍵をA、Bともに作って
通信の部分も暗号化されます。
なにかアイディアがございましたら、よろしくお願いします。
171 名前：デフォルトの名無しさん mailto:sage [04/09/19 02:09:59]: >たとえば、Aで重要な書類を作成して
文書を作成するのは専用アプリで？それとも一般的なアプリ？

>普段は、Bの公開鍵によって暗号化してAでも開けられず
Aが編集終了後暗号化前にこっそりそのファイルをコピーしてとっておくことは可能？
172 名前：デフォルトの名無しさん mailto:sage [04/09/19 02:33:22]: >文書を作成するのは専用アプリで？それとも一般的なアプリ？
作成も開くのも専用のアプリを考えております。

>Aが編集終了後暗号化前にこっそりそのファイルをコピーしてとっておくことは可能？
　編集中にモニターを写メールで取ることもできるので、
　コピー不可は考えておりません。そこまで考えると写メールを
　使って撮影しないかどうか目の前で見張ってる必要も出てきてしまいますので
　編集中は、Aさんを信用することにします。
173 名前：デフォルトの名無しさん mailto:sage [04/09/19 02:56:35]: Ａが自分で「Ｂの権限に入る」ことをしないとＢの権限下にならないのか
それって結局、どっちの許可がないと作業中のファイルを
外に持ち出せないってことになるんだろね？
ファイル保存時に強制的に上の動作をとるような環境を実現できればいいのかな
174 名前：デフォルトの名無しさん mailto:sage [04/09/19 02:58:45]: だとしたらどうやっても無理な気が。
ローカルで暗号化ファイルを復号化する以上
その時点での暗号化ファイルを別の場所にコピーしておいて鍵を盗み見ておけば
それをいつでも展開できちゃうでしょ。
プログラムを解析されなければ安全だけどそれが期待できるなら
最初から共通鍵をバイナリに埋め込んでおくだけで十分だし。

現実的には下の二つくらいしかないと思うよ。
・ドキュメントを平文で保存して、Aが作業するPCのリムーバブルメディア（FDD,USB)を物理的に使用禁止にしてネットにもアクセス制限して他のPCへの転送を禁止する。
・サーバを別のところに立てて認証を行いAが編集するファイルをダウンロードしてオンメモリで編集してサーバに送信する。
175 名前：173 mailto:sage [04/09/19 03:05:24]: >>172
ああ、専用ソフトか。コピー可能というのは、作業中の書類を
Ｂの許可無しでいつでも再編集できるかたちで保存できる、ということ？
「どうせ写メールで撮影されるのだから、コピーを可能にしても同じこと
（Ａにできることは増えない）」の正確な意味がちょっとはっきりしないです
176 名前：デフォルトの名無しさん mailto:sage [04/09/19 13:57:43]: >その時点での暗号化ファイルを別の場所にコピーしておいて鍵を盗み見ておけば
>それをいつでも展開できちゃうでしょ。
>プログラムを解析されなければ安全だけどそれが期待できるなら
>最初から共通鍵をバイナリに埋め込んでおくだけで十分だし。
プログラムはたとえばどのような方法で解析されるのでしょうか？
共通鍵、公開鍵方式の暗号プログラムのソースコードがわかってしまい、
鍵の申請機能だけ無くしたソフトを作れてしまうということでしょうか？
177 名前：デフォルトの名無しさん mailto:sage [04/09/19 14:52:20]: そうじゃなくて危険人物Aが操作する危険な経路･場所であるPCに
Bの公開鍵と秘密鍵両方を結果的に通知してしかも利用するんだろ。
で、その危険なPCで改変されたかもしれない危険なプログラムが実行されて
Bの秘密鍵を出力してAが読み取ったらその時点でアウト。
178 名前：デフォルトの名無しさん mailto:sage [04/09/19 15:39:11]: 経路は、暗号化してあるので大丈夫としてよろしいでしょうか？
Bの秘密鍵を出力してAが読み取ってから、
再生はどのようにするのでしょうか？
認証用のAの公開鍵（Bの秘密鍵）←Bの秘密鍵を認証用のAの公開鍵で暗号化
このBから送られてきたデータの中から、暗号プログラムが
Bの秘密鍵を取り出した後に、危険なプログラムがBの秘密鍵を読み取る
ということでしょうか？

Bの秘密鍵が読み取れたとして、復号化のためのソフトは
どうするのでしょうか？
それも、危険なプログラムがするのでしょうか？

鍵の申請の機能を無くしたソフトではなくて
他にどのようなソフトでしょうか？
179 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [04/09/19 15:53:10]: >>170
> 今のところ、
> ”共通鍵ブロック暗号で全体を暗号化した後に
> 最初の小さな部分を公開鍵で暗号化”
> がいいかもしれないと考えております。

意外と正しく理解されてないっぽいんだけど、たとえば最もよく使
われるブロック暗号利用モードの CBC を用いる場合、そうやって最
初の k ブロックを隠蔽できたとしても、k+2 ブロック目以降は普通
に復号できてしまうので、この方式はあんましセキュアじゃない。
他の一般的モードにしても似たりよったり。

まぁ、MAC を併用して全体を SS 風に構成しちゃうって手はあるだ
ろうけどさ。

でも、それよりは使い捨ての共通鍵を B の公開鍵で暗号化して保存、
必要に応じてそいつを B に送って復号結果をもらう、という普通の
ハイブリッド型構成の方が良くね？

もっとも、MS の NGSCB 辺りが実現した後なら話は変わるかもしれ
んけど、いまどきの普通のプラットフォーム使う限りいずれにしろ
全然セキュアじゃないことは覚悟しとく必要がある。
180 名前：デフォルトの名無しさん mailto:sage [04/09/19 15:58:32]: Aが暗号化も復号も行う以上
共通鍵で暗号化したらその時点で開く鍵はAの手元に入ってしまってアレだわな
181 名前：デフォルトの名無しさん mailto:sage [04/09/19 16:21:44]: >>180
暗号化する前のファイルもAは持ってんだから・・・
182 名前：デフォルトの名無しさん mailto:sage [04/09/19 17:29:39]: >>178
共通鍵公開鍵暗号方式以前に暗号とはなんぞやってところから
おさらいしないと駄目だなこりゃ。根本的に設計（以前に考え方）がおかしい。
183 名前：デフォルトの名無しさん mailto:sage [04/09/19 18:34:40]: >>179
>kブロックを隠蔽できたとしても、k+2 ブロック目以降は普通
>に復号できてしまうので
ttp://www.h6.dion.ne.jp/~t-falcon/Lexicon/Encryption-Block-Mode-1.htm#CBC
このページに、「CBC は、復号化がランダムアクセスに適しています。
復号化はランダムに選択した着目ブロックに対して操作できます。
(一つ前の暗号文ブロックは必要です。)」
とあるんですが、
復号化のときはｋ番目の暗号ブロックを隠蔽しても、ｋ＋１やｋ＋８０番目の暗号ブロックがあれば、
ｋ＋２やK+８１番目の暗号ブロックは復号できてしまうんですね。
ん～、難しい。
184 名前：デフォルトの名無しさん mailto:sage [04/09/19 19:02:17]: 簡単に言えばドミノ倒しだな
一つのドミノを倒すこと(解読)ができれば
後のドミノを倒すことができる(あとの平文全てが分かる)
185 名前：デフォルトの名無しさん mailto:sage [04/09/19 20:22:12]: >>179
そこを暗号化したいとは一言も言ってないね。
しなくていいとも言ってないけど。
186 名前：デフォルトの名無しさん mailto:sage [04/09/19 21:12:08]: >>185
ｋ番目の暗号ブロックをBの公開鍵で暗号化するわけではないのですね。
いろいろとネットなどで資料をみているのですが、
どの部分をBの公開鍵で暗号化すれば、全体が復号できなくできる
のかよくわかりません。
よろしければご教授いただけますでしょうか。
-----------------------------------------------------------
違うと思うのですが、私が考えたのは
一つ置きに奇数番目の暗号ブロックをBの公開鍵で暗号化すれば
復号化出来なくなりそうですね。公開鍵での暗号化の時間を短縮できそうです。
187 名前：デフォルトの名無しさん mailto:sage [04/09/20 07:29:54]: >>186
共通鍵だけ暗号化すればいいじゃない

もしくは
C(n+1)=Mn xor Cn
てなかんじでどう？
188 名前：デフォルトの名無しさん mailto:sage [04/09/20 07:49:12]: ×　C(n+1)=Mn xor Cn
○　C(n+1)=M(n+1) xor Cn
C1は適当な乱数ってことで
189 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [04/09/20 09:53:27]: > ○　C(n+1)=M(n+1) xor Cn
> C1は適当な乱数ってことで

M_n = C_n xor C_{n-1} だから、暗号文だけから簡単に復号可能っ
てことになっちゃうけど。

そうじゃなくて暗号文ブロックだけじゃなく前の平文ブロックの内
容も連鎖させることで最初が分からない限り後続ブロックも復号不
能なようにしようってことなら、それは EPBC というあんまり一般
的じゃない利用モードだわな。こいつはたしか妙な特性が発見され
たため、あまり使われなくなったってことだったと思うけど。

まぁ他にも Rivest の All-or-nothing Encryption なんて scheme
もあるわけだが、結局のところ

>>187
> 共通鍵だけ暗号化すればいいじゃない

で何が不足なのか明確に示されない限り、こっち方面を突っ込んで
も得るところはないんじゃね？
190 名前：デフォルトの名無しさん mailto:sage [04/09/20 12:46:16]: >>187
>共通鍵だけ暗号化すればいいじゃない
そうですね。共通鍵を暗号化するのが一番よさそうですね。

>>189
>平文ブロックの内
>容も連鎖させることで最初が分からない限り後続ブロックも復号不
>能なようにしようってことなら、それは EPBC
なるほど、そういうこともできるんですね。

使い捨ての共通鍵を暗号化することにしたいと思います。
ありがとうございました。
191 名前：デフォルトの名無しさん mailto:sage [04/09/20 20:08:34]: 暗号なんていくら強度が高くなっても、結局ソーシャル的なミスで情報なんて漏れる
んだから意味無いよな。
192 名前：デフォルトの名無しさん mailto:sage [04/09/20 20:29:05]: つうかバイナリレベルのクラックは絶対ないって前提で作るなら
共通鍵埋め込んでそれ使っとけばいいのに。
193 名前：デフォルトの名無しさん mailto:sage [04/09/20 21:46:31]: >>191
まあ、しかしそれはこのスレでは関係ない話だ。
194 名前：デフォルトの名無しさん mailto:sage [04/09/21 18:24:14]: 俺は暗号に関してド素人だが言わせてもらう

何だこの意味不明なクソ設計は！
195 名前：デフォルトの名無しさん mailto:sage [04/09/21 18:26:30]: 何の話?
196 名前：デフォルトの名無しさん mailto:sage [04/09/21 22:54:50]: クソ設計とはいえ素人にはまず破れないだろうし
クラッカーが興味を引くデータとも限らないし。
まったく無価値とはいえないな。
197 名前：デフォルトの名無しさん [04/09/25 16:08:11]: C++用のECCライブラリ、お勧めはありませんか
Apacheライセンス程度でお願いします
198 名前：デフォルトの名無しさん mailto:sage [04/09/26 01:20:04]: Crypto++にいくつか入ってるようだ
199 名前：197 mailto:sage [04/09/26 13:02:11]: >>198
ありがとうございます。
大規模パッケージ系だと、けっこう入ってるようですね
フリーだと他に、LiNDAというパッケージもありました。
ttp://www.informatik.tu-darmstadt.de/TI/LiDIA/Welcome.html

ミニマムな実装で、ちょこちょこっと手軽に使えるのが理想なんですが、難しそうですね....orz
200 名前：デフォルトの名無しさん [04/09/26 17:02:35]: 　　　　　　　　　　　　　　　　　　　　　　　　 ,----、
　　　　　　　　　　　　　　　　　　　　　　　／　／＾ヽヽ
　　　　　　　　　　　　　　　　　　＿＿＿/ .　/　　　| |ヽ＿＿
　　　　　　　　　　　　　　　　　∩　＿_　ヽ＜(。)ヽ |..|.<ヽ＿ |
　　　　　　　　　　　　　　　　　.Ｕ＿￣　　　ヽ　　　| |　 .|＿_.|　　　　
　　　　　　　　　　　　　　　　　　　　｀---,l　ヽ　　.|/　./
　　　　　　　　　　　　　　　　　　　　　　ヽ　　　＼____／
　　　　　　　　　　　　　　　　　　　　　　/　／＼　　./
　　　　　　　　　　　　　　　　　　　　　 /／　| / ｀、/　　
　　　　　　　　　　　　　　　　　　　　　　￣~ |/　　　|
　　　　　　　　　　　　　　　　　　　　　　/⌒/　　／⌒＼
　　　　　　　　　　　　　　　　　＿／⌒/ （/___／/ 　´￣￣￣＼
　　　　　　　　　　　　　,--´￣　/　　　＿＿＿　　　　　　　　　＼
唯一神デオキシス様が華麗に200get!!皆の者俺にひれふせい！
デオキシスは神!!ノーマルフォルムは「攻守のバランスが取れている」!!DEOKISHISU is god!! DEOKISHISU　is god!!
＞ファイヤー　　　消防や厨房にまで使われない雑魚は引っ込んでな(ﾌﾟ
＞サンダー　　　　どんなに貴様がすばやくても俺を追い越すことは不可能だ!!(ﾌﾟﾌﾟﾌﾟ
＞フリーザー　　　一撃必中？心の目使った後逃げられなければな(ﾜﾗ
＞エンテイ　　　　おまえ伝説だったっけ？弱すぎてしらなかった（ｗ
＞スイクン　　　　強さもかっこよさも俺には勝てないってこった(ｹﾞﾗ
＞ライコウ　　　　お前は影が薄いんだよ(ﾌﾟｹﾞﾗ
＞レックウザ　　　レゴブロックがホウエン最強なんてこの世も末だな(ﾌﾟｹﾞﾗｯﾁｮ
＞ラティ兄妹　　　バトルタワーでﾜﾗﾜﾗ出てきてどこが伝説だ？(藁
＞レジ兄弟　　　　伝説でもない壷に負けてるし(ﾋﾟｯ
＞ミュウツー　　　フリーザのパクリは消えな(＾＾
＞ホウオウ　　　　攻撃高くても物理攻撃少ないじゃねーか(ｹﾞﾗｹﾞﾗ
＞ルギア　　　　　エアロブラスト以外はたいした技ないな(ﾌﾟｹﾞﾗｵﾌﾟｽ
悪タイプ様ツボツボ様テッカニン様カイオーガ様
すいません調子こいてました許してくださいおながいします
201 名前：デフォルトの名無しさん mailto:sage [04/09/26 20:45:20]: >>199
まあ学ぶのに良い機会だし、まったり作りな。
焦ったらすべて台無しになりかねない部分でもあるし。

×LiNDA
○LiDIA
202 名前：197 mailto:sage [04/09/27 16:15:37]: >>201
そうですね。streamにかませられたらうれしいなぁということで、そっちの方向で実装してみます。
ありがとうございます
203 名前：デフォルトの名無しさん mailto:sage [04/10/12 23:13:04]: dsaの公開鍵ってどこで手に入るんでしょうか？

認証機関が発行している公開鍵アルゴリズムでは
RSAの公開鍵しか見たことないんです。

DSAのg, p, y(=g^x mod p)を入手してみたいんです。
204 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [04/10/14 12:55:38]: > dsaの公開鍵ってどこで手に入るんでしょうか？

普通は手に入れるんじゃなくって自分で作るもん。

人のが欲しいんなら、たとえば PGP 鍵サーバでも漁ってみる。
205 名前：デフォルトの名無しさん mailto:sage [04/10/14 23:17:19]: >>204さんありがとうございます。
PGP鍵サーバから他人の公開鍵を手に入れることができました。
色々と手に入れて遊んでみます。
206 名前：デフォルトの名無しさん mailto:sage [04/10/15 11:43:14]: OpenSSLのツール群とかPGPとかGNUPGに
DSA署名の鍵生成コマンドがあったような
207 名前：デフォルトの名無しさん [04/10/17 00:45:57]: あげ
208 名前：デフォルトの名無しさん [04/10/21 07:17:13]: 北海道
209 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [04/10/21 14:59:58]: からお送りしますた。
210 名前：デフォルトの名無しさん mailto:sage [04/10/22 17:56:12]: Software Designの2004年11月号にCRYPTO2004のレポートがあった。
211 名前：デフォルトの名無しさん mailto:sage [04/10/22 23:11:02]: >>210
1年振りに SD 買ってみるか。
212 名前：デフォルトの名無しさん mailto:sage [04/10/23 14:55:08]: >>211
この前買ったのはCRYPTO 2003のレポートの回だったりしますか？
213 名前：デフォルトの名無しさん mailto:sage [04/11/08 00:48:08]: 【米大統領選】電子投票の激戦州で異様なブッシュ票［11/07
news19.2ch.net/test/read.cgi/newsplus/1099841009/

別にブッシュでもケリーでもいいけどさ、こういう電子投票への信用を
失わせるような真似はやめてくれ＞アメリカちゃん
214 名前：デフォルトの名無しさん [04/11/14 17:12:29]: >>211
買わなくてもここにある
h2np.net/docs/crypto2004.html
215 名前：デフォルトの名無しさん mailto:sage [04/11/14 19:01:34]: >>213
詳細は知らないけど、時間鍵って鍵を保管する信用機関がしっかりしてないと
駄目なんだろうな。
216 名前：213 mailto:sage [04/11/15 04:33:43]: >>215
なんか、集計結果を機械に表示させたらおかしかったんで
再度処理を行ったらちゃんと正しい結果が表示されたとか
そういうオペレーションの問題だったそうです
217 名前：デフォルトの名無しさん [04/11/17 09:19:23]: 公開鍵方式がよくわかりません。
誰か教えてください
218 名前：デフォルトの名無しさん mailto:sage [04/11/17 10:28:43]: >>217
情報処理技術者試験テキストでも読んでください。
219 名前：デフォルトの名無しさん mailto:sage [04/11/17 10:56:38]: 公開鍵方式の検索結果のうち日本語のページ約 39,000 件
220 名前：デフォルトの名無しさん mailto:sage [04/11/17 16:27:25]: >>217
共通の鍵を仲間内だけで共有する暗号運用方式。
安全な回線（携帯電話、E-mail等）で鍵を通知するのがポイント。
また、仲間に一人でも悪い奴がwいるとそいつが鍵を漏洩してしまい
暗号の価値が著しく低下するという欠点がある。
221 名前：デフォルトの名無しさん mailto:sage ガキは糞して寝てろ [04/11/17 23:28:47]: >>217
本とは秘密にするべき鍵を公開してしまう暗号。
暗号化に使う鍵を公開しちゃうってんだからすごいよね。
222 名前：デフォルトの名無しさん mailto:sage [04/11/18 12:25:47]: AliceちゃんとBobくんは交際を親に禁止されていてメールもできません。
共通の友達のCharlieくんにことづけて手紙をこっそりやりとりするのですが、
えちぃ手紙なのでCharlieくんにも読まれたくありません。

そんなAliceちゃんとBobくんですが、初めて出会ったときに(このとき二人は
一目惚れしたのですが、お付き合いすることになるとはまだわかりませんでした)
お互いに自分の公開鍵を書いた名刺を交換していました
(AliceちゃんとBobくんの名刺は数百KBを記憶できるICチップつきなのです)。

そこでAliceちゃんはBobくんへの想いを綴った手紙をBobくんの公開鍵で暗号化し、
Charlieくんに託します。Charlieくんは何が書いてあるかわからないながらも
手紙をBobくんに届けます。
Bobくんは無事にAliceちゃんの手紙を自分の暗号鍵で復号して、
二人の愛は深まるのでした。
223 名前：デフォルトの名無しさん mailto:sage [04/11/20 00:40:01]: 文書ファイルFとかのハッシュ値を取るときはどうしてるんしょうか？

sha-1とかだと入力値は512ビットなんですが、
ハッシュ値を取りたいファイルFは512ビットよりも大きいわけです。

これは、Fの頭から512ビット毎にハッシュ値を取り
そのハッシュ値全てをxorすることで
Fのハッシュ値ということにしているんでしょうか？
224 名前：デフォルトの名無しさん mailto:sage [04/11/20 04:33:12]: >>223
ファイルを512bitごとにブロックに区切り
まず固定の初期値160bit（IV値）と一番目のブロックを入力として160bitの出力を計算
次にその160bit出力と二番目のブロックを入力として160bitの出力を計算
・・・
これを最後のブロックまで繰り返す、そうです。
225 名前：デフォルトの名無しさん mailto:sage [04/11/20 08:28:05]: そんなの適当なSHA1なりMD5なりの使い方みりゃ嫌でもわかるわけだが
226 名前：デフォルトの名無しさん [04/11/22 15:07:25]
227 名前：デフォルトの名無しさん mailto:sage [04/11/22 15:58:35]: >>222
あらかじめ共通の秘密鍵を交換しておくのとどういう違いがあるの？
228 名前：デフォルトの名無しさん mailto:sage [04/11/22 16:14:51]: >>227 「どうやって安全に鍵を相手に渡すのか？」
ttp://c4t.jp/introduction/cryptography/cryptography02.html
229 名前：デフォルトの名無しさん mailto:sage [04/11/23 00:16:57]: >>227
親に報告したら烈火のごとく怒り出し、あの放蕩息子と会うことまかりならん!
と即座に連絡手段を失ったと思いねえ。
ついでに名刺に入れるICチップはコストが重要なのでCD-ROMと同様に作成時に
内容が固定されるという設定も追加しとく。
230 名前：デフォルトの名無しさん mailto:sage [04/12/06 23:45:40]: 保守します。
231 名前：デフォルトの名無しさん [04/12/10 14:51:33]: おらおらねたはないのか？
232 名前：デフォルトの名無しさん [04/12/10 15:53:45]: ネタになるかどうかわからんが俺メモも兼ねて。

Perlで書き下ろしたDESおよびCRYPT(3)の動作がよくわかるサンプルコード
user64.psychedance.com/2004/11/sample_des_cryp.html
233 名前：デフォルトの名無しさん [04/12/10 17:18:55]: サル並のIQでもわかる楕円曲暗号の仕組みについて解説してる
サイト下さい。
それと楕円曲暗号ってJDKライブラリぐらいしか使える汎用ライブラリってないですよね？
234 名前：デフォルトの名無しさん mailto:sage [04/12/10 18:21:40]: >>233
サル並みのIQでは
日常生活を送ることが困難であると思われますので、
楕円曲線暗号よりも医療機関への受診をお勧めいたします。

その後
ttp://www.faireal.net/articles/8/23/
こちらでもご参考ください。
235 名前：デフォルトの名無しさん [04/12/10 18:38:30]: ＞＞２３４
うおーサンクスコ
オナニーしながら読んでみるよ
236 名前：デフォルトの名無しさん mailto:sage [04/12/21 00:27:49]: 神戸は寒いだろうな…
237 名前：デフォルトの名無しさん mailto:sage [04/12/21 13:53:09]: 私は頭が寒いです。
238 名前：デフォルトの名無しさん mailto:sage [04/12/25 15:33:00]: blowfishについてなんですが、
Cのソースコード等はグーグルでよく見かけたのですが、
設計書を見つけることができませんでした。

どなたかpdf形式の設計書のある場所を
ご存知の方はおられませんか？
239 名前：デフォルトの名無しさん mailto:sage [04/12/25 20:04:22]: 本人のサイトにあったぞ
ttp://www.schneier.com/paper-blowfish-fse.html
240 名前：238 mailto:sage [04/12/25 21:42:27]: ありがとうございます。
>>239さんの紹介を元にblowfish作ってみます。
241 名前：デフォルトの名無しさん mailto:sage [05/01/04 16:39:48]: トリップ検索をするソフトの使用方法が詳しく載ったサイトを教えて栗
242 名前：デフォルトの名無しさん mailto:sage [05/01/04 17:43:40]: ぐぐれ
243 名前：デフォルトの名無しさん mailto:sage [05/01/04 22:17:46]: ぐぐり方の説明が詳しく載ったサイトを教えて栗
244 名前：デフォルトの名無しさん mailto:sage [05/01/04 22:45:57]: >>243
ぐぐれ
245 名前：243 mailto:sage [05/01/04 22:52:40]: 予想通りのレスありがとう
無視されたらどうしようかと考えてたよ
246 名前：デフォルトの名無しさん mailto:sage [05/01/04 23:09:58]: >>245
いやー、まいったなぁー。
ついうっかりはめられちゃったよー。
247 名前：デフォルトの名無しさん mailto:sage [05/01/05 00:11:34]: 乱数生成についてなんですが、
ソフトでの乱数はNG
物理乱数生成器を必要としています。

ttp://www.fdk.co.jp/whatsnew-j/release041005-j.html
物理乱数生成ＵＳＢモジュール「Random Streamer」

グーグルの検索で上のような乱数生成器を見つけました。

私が他にぼんやりと記憶している乱数生成器は
泡の動きを測定して乱数として出力するという
ラヴァランプなるものです。

ラヴァランプの情報又は
他の乱数生成器をご存知の方はおられませんか？

接続デバイスはUSB2.0対応を希望します。
248 名前：デフォルトの名無しさん mailto:sage [05/01/05 12:39:11]: >>240
blowfish.c で検索すれば出てくるし。
車輪はなるべく再発明しないこと
www.di-mgt.com.au/src/blowfish.txt
249 名前：デフォルトの名無しさん mailto:sage [05/01/05 14:09:35]: しかし車輪の仕組みを知ることは車輪を利用する上で役に・・・・立たないか
250 名前：デフォルトの名無しさん [05/01/11 15:50:17]: age
251 名前：デフォルトの名無しさん [05/01/14 00:32:54]: SCIS参加者点呼age
252 名前：デフォルトの名無しさん [05/01/17 01:10:08 ]: 暗号とはちょっと違うのですが、
MD5のハッシュ関数に関する話はここで良いのですか?
253 名前：デフォルトの名無しさん mailto:sage [05/01/17 01:14:48 ]: >>249
C言語の仕組みを知ることはC言語を利用する上で役につだろ
254 名前：デフォルトの名無しさん mailto:sage [05/01/17 02:03:42 ]: >>252
よりふさわしいスレがあるわけでもないからここでいいよ。
255 名前：デフォルトの名無しさん mailto:sage [05/01/17 02:13:50 ]: >>249
役に立つに決まっているだろう。
車を引いて重い荷物を運ぶという発想すら浮かばないに違いない。
256 名前：252 [05/01/17 02:41:11 ]: Windows用のアプリでMD5ハッシュを使おうと思っています。
MS製等で一般的に認知されているMD5ハッシュ作成APIという物はあるのでしょうか?
自作しても良いのですが仕事で使用するので信頼できる物があればそれを使用したいと思っています。

調べた限りではソースや個人が作ったシェアウェアのDLLはあったのですが、
そのまま使っても良いのか悩んでいます。
257 名前：デフォルトの名無しさん mailto:sage [05/01/17 03:58:42 ]: MD5は時代遅れSHA1使え。
MS謹製の物は.NET Framework版のみ。
C/C++&Win32の物はたぶんない。
BSDLなOpenSSLのソース落として使うのが無難。
258 名前：デフォルトの名無しさん mailto:sage [05/01/17 04:12:11 ]: MD5はどこにでもあるから適当なもの使え。
OpenSSLはBSDLといっても宣伝条項つきなのでやめた方がいい。
259 名前：デフォルトの名無しさん mailto:sage [05/01/17 04:40:06 ]: .NET Frameworkの適当な言語でDLL作って
それをC/C++から呼ぶ事はできますか？
260 名前：デフォルトの名無しさん mailto:sage [05/01/17 04:40:44 ]: >>256
別に.NetじゃなくてもMS謹製のCryptAPIなるものがある。ハッシュなら↓あたり参照。
msdn.microsoft.com/library/default.asp?url=/library/en-us/seccrypto/security/data_hashes.asp

>MS謹製の物は.NET Framework版のみ。
>C/C++&Win32の物はたぶんない。
煽りっぽくてアレだけど、知らないことは書かないほうが・・・
信じちゃう人もいるかもしれないし。
261 名前：デフォルトの名無しさん mailto:sage [05/01/17 10:16:27 ]: 最強にして最後の暗号はXOR
262 名前：デフォルトの名無しさん mailto:sage [05/01/17 10:37:18 ]: というかCryptAPIの知名度が低すぎ
最初のリリースのときもひっそり登場してたし
なんでだろ？
263 名前：デフォルトの名無しさん mailto:sage [05/01/17 11:40:38 ]: きっと著作権絡みだ
問題があるに違いない
264 名前：デフォルトの名無しさん mailto:sage [05/01/17 12:05:07 ]: 問題なのかどうかはわからないけど、
Windows Media とかのコンテンツ暗号化みたいな Kernel mode 使った奴と違って
単なるdllでの実装だから、クライアントサイドでは容易に cheat 可能ってあたりが
一般配布用AP作る人にとっては使いにくいところではあるよね。
265 名前：252 [05/01/17 12:30:11 ]: みなさん有り難う！！
CryptAPIを使ってみます。
266 名前：デフォルトの名無しさん mailto:sage [05/01/17 15:04:37 ]: >>256
私が作ったものでよければあげるよ
ソースつきで。

MD5はつくってないけど。
267 名前：266 mailto:sage [05/01/17 15:09:39 ]: sha-1, sha-128, sha-384, sha-512
作ってる
糞コードでも起こらないでね
糞コードだったら自分で改造してね。
商用でもOK
268 名前：デフォルトの名無しさん mailto:sage [05/01/18 11:50:39 ]: >>266
信頼性を求めているのに、信頼性のないソースを提供してどうする。
269 名前：デフォルトの名無しさん mailto:sage [05/01/18 14:33:59 ]: >>253
C言語の仕組み？機械語に翻訳する仕組みか？
C言語を普通に使うだけなら無用
270 名前：デフォルトの名無しさん mailto:sage [05/01/18 15:05:17 ]: だから自分で改造したらいいじゃないかと。
ソースつけるんだから。
商用もOKよと。

ただ、私のコードでは世間に出回っているのよりはるかに低速なので
マさんに高速化の方法を教えてもらいたいということなのです。
271 名前：デフォルトの名無しさん mailto:sage [05/01/18 15:44:08 ]: >>270
MD5 のソースなんて RFC にすら載ってるじゃん。
なんでわざわざ改造しなきゃならんのだ。
272 名前：270 mailto:sage [05/01/18 16:28:17 ]: しつれいしました。
273 名前：デフォルトの名無しさん mailto:sage [05/01/18 17:36:39 ]: 暗号周りのルーチンを自分で書いて使うやつの気が試練
274 名前：デフォルトの名無しさん mailto:sage [05/01/18 18:02:21 ]: 勉強
275 名前：デフォルトの名無しさん mailto:sage [05/01/18 21:04:06 ]: 勉強のために書くのはいいけど、それを使うのはどうなのよ、という、
276 名前：デフォルトの名無しさん mailto:sage [05/01/18 21:29:30 ]: クラックの勉強だってば
277 名前：デフォルトの名無しさん mailto:sage [05/01/20 10:13:58 ]: www.itmedia.co.jp/enterprise/articles/0501/20/news020.html
WordとExcelの暗号化手法に脆弱性

eprint.iacr.org/2005/007.pdf
The Misuse of RC4 in Microsoft Word and Excel
278 名前：デフォルトの名無しさん mailto:sage [05/01/20 13:18:14 ]: 初期化ベクタが常に同じだとなんで解読できるんだろう…。
279 名前：デフォルトの名無しさん mailto:sage [05/01/20 14:21:16 ]: 初期ベクタは隠さないからね。
暗号文の頭にそのままの形で置かれる。
IV CBC 初期ベクトル
くらいでぐぐってみなよ。
280 名前：278 mailto:sage [05/01/20 16:06:26 ]: 要は WEP の問題 (bb.watch.impress.co.jp/column/shimizu/2003/08/05/) と
同じで、ストリーム生成の鍵の一部である iv が固定だと、鍵 k の推測がしやすく
なる。ある Word・Excel ファイル (iv が全て同じ) の過去に修正したファイル
全てが残ってたりすると、もう最高。

ってことであってる?
281 名前：デフォルトの名無しさん mailto:sage [05/01/20 16:15:07 ]: >>269
むしろ、C言語だからこそ必要な気もするがスレ違いかも。
282 名前：デフォルトの名無しさん mailto:sage [05/01/21 18:51:20 ]: >>277
Bugtraqの投稿へのリプライ
ttp://www.securityfocus.com/archive/1/386794
Windows NTのSyskeyという機能に関して，1999年に同じミスが報告されているそうです．
なぜかどこのニュースサイトにも載ってなかったんで，一応
（ここはそういうスレッドじゃないけど）
283 名前：デフォルトの名無しさん mailto:sage [05/01/21 18:52:55 ]: Windows NT's SYSKEY Feature
ttp://www.bindview.com/Support/RAZOR/Advisories/1999/adv_WinNT_syskey.cfm
284 名前：デフォルトの名無しさん mailto:sage [05/01/24 21:35:20 ]: 「オレオレ証明書」ってネーミング、いいねえ
285 名前：デフォルトの名無しさん mailto:sage [05/01/24 21:54:28 ]: 高知県の扱いがもはやあれだなｗ
286 名前：285 mailto:sage [05/01/25 00:27:31 ]: しまった！
ここ高木先生のスレッドじゃなかった。
誤爆すまそｗ
287 名前：デフォルトの名無しさん mailto:sage [05/01/26 00:47:23 ]: >>24のギコ猫と暗号技術入門でも出てますね
288 名前：デフォルトの名無しさん mailto:sage [05/01/26 23:06:44 ]: wikipediaの暗号理論の項目も
ちょっとずつ充実してきましたね
著者の皆さん乙
289 名前：橋の科学館 mailto:sage [05/01/29 13:39:49 ]: 暗号数学について語ろう
science3.2ch.net/test/read.cgi/math/1088146349/
もよろしく
290 名前：デフォルトの名無しさん mailto:sage [05/01/29 15:00:43 ]: >289
(・∀・)帰れ!!
291 名前：116 ◆No1111111k mailto:sage [05/01/29 16:38:38 ]: >>289
そのスレはときどき巡回してまつ。
ただ、ウチとは領域が違うのでついてけないケド。

>>232 thx
292 名前：デフォルトの名無しさん mailto:sage [05/01/29 23:29:57 ]: ブログサイトでも、暗号や情報セキュリティ関連の用語が
キーワード登録され始めてますね
293 名前：デフォルトの名無しさん mailto:sage [05/01/30 06:35:47 ]: AESの強度ってどのくらいなんでしょうか？
2001年頃にDESに変わる暗号としてAESが出てきたのですが．．。
DESよりかは強力だとしても現在のコンピュータの計算能力が相当向上しているし、
以前は手軽にできなかった分散コンピューティングも個人でできる規模になってきましたし．．。
それに新しいだけにその安全性が未知のような気がしています。
AESを詳しく解説している、どこか良いサイトか書籍はありませんでしょうか？
294 名前：デフォルトの名無しさん mailto:sage [05/01/30 07:47:24 ]: AESの評価プラットホームが、
* IBM PC互換機, CPU Pentium Pro 200Mhz, メモリ64MB
* Windows 95, Borland C++ 5.0コンパイラ, JDK 1.1
ってなんか現在の状況ではこころもと無い気がする。
295 名前：デフォルトの名無しさん mailto:sage [05/01/30 09:45:59 ]: >>294
こころもと無いとは何故？？
296 名前：デフォルトの名無しさん mailto:sage [05/01/30 12:44:24 ]: >>295
そのマシン環境でのブルートフォース結果等を基準として
見ているって事でそう言いました。
297 名前：デフォルトの名無しさん mailto:sage [05/01/30 13:26:04 ]: なら自分で試してみるのが一番だな
298 名前：デフォルトの名無しさん mailto:sage [05/01/30 14:07:12 ]: >>297
とても参考になりました
299 名前：デフォルトの名無しさん mailto:sage [05/01/31 14:41:40 ]: >>293
AESCracker
300 名前：デフォルトの名無しさん mailto:sage [05/02/01 22:03:57 ]: >>294
そりゃ暗号・復号アルゴリズムの速度やメモリ使用量を評価するための環境だろうよ。

暗号強度はマシン速度が 100倍になろうが 1000倍になろうが 1万倍になろうが
ビクともしないよ。
301 名前：デフォルトの名無しさん mailto:sage [05/02/02 09:35:25 ]: >>294

今のコンピューターアーキテクチャーだと、地上の全てのエネルギーと太陽のエネルギーを計算機の計算に利用しても
ブルートフォースが出来ない、っていう熱量限界の話もあるらしい。
計算機の発展よりも、まずは解読アルゴリズムの発展を心配すべきだな。
302 名前：デフォルトの名無しさん mailto:sage [05/02/02 15:53:09 ]: ちょっと古いけど
ITmedia エンタープライズ：米研究者、イモビライザーのクラック方法を発見
www.itmedia.co.jp/enterprise/articles/0501/31/news071.html
slashdot.jp：認証用RFIDタグの暗号が破られ、なりすましの危険性が実証
slashdot.jp/article.pl?sid=05/01/31/2230251

ソース
Analysis of the Texas Instruments DST RFID
rfidanalysis.org/
（QuickTime動画有り）
303 名前：デフォルトの名無しさん mailto:sage [05/02/02 16:03:35 ]: >>301
じゃNondeterministic Turing Machine使えばいいじゃん。
304 名前：デフォルトの名無しさん [05/02/02 20:31:09 ]: 熱量限界の話だけど
たしか0～2^128まで
カウントすることすら不可能だったと思う。

0,1,2,3,4,・・・・・・・・,(2^128)-3,(2^128)-2,(2^128)-1,(2^128)

こんな感じ
305 名前：デフォルトの名無しさん mailto:sage [05/02/02 21:47:36 ]: >>304
どーゆーこと?
306 名前：デフォルトの名無しさん mailto:sage [05/02/02 22:33:20 ]: >>305
「暗号技術大全」
7.1 熱力学的限界

によれば、
・熱力学の第二法則により、情報を表現するためには一定量のエネルギーが必要
・ある系の状態が1bit変化したときにも、それを記録するために最低でもXXXのエネルギーが必要(物理法則が否定されない限りこれを下回れない)
・太陽のエネルギー全部(YYY)をとってきて、ビットカウンタを回すのに使ったとして、一年間のエネルギーで187bit分回せる(YYY / XXX ≒ 2 ** 187)計算になる
・理想状態でもこれだから、太陽のエネルギーのごくごく一部しか使わず(yyy ≪≪≪≪ YYY)、カウンタを回す以外にも様々な計算をする(xxx ≫≫≫≫≫ XXX)場合、計算量(yyy / xxx)は理想状態と比べてすごく小さい
・というわけで、128bitくらいあれば、しらみつぶし攻撃に対しては、どんなにコンピュータが速くなっても永久に安全だろう
というお話。
307 名前：305 mailto:sage [05/02/02 22:53:33 ]: >>306
> 「暗号技術大全」
持ってた。読んでみた。

RC5-72 なんかは 72bit だからまだ何とかなってるけど、128 だの 256 だの
になったら、もうお手上げってことでしょ。なんか冗談っぽいんだけど、ほんまなんかね。

たとえば石油 1ガロンからとれるエネルギーでは何 bit まわせるんだろう。
308 名前：デフォルトの名無しさん mailto:sage [05/02/03 01:12:54 ]: > なんか冗談っぽいんだけど、ほんまなんかね。
対数スケールを甘く見たらあかん。
72が73に増えただけで2倍だ。
72が128に増えたら約72京倍だ。
コンピュータが1000倍速くなっても全然足りない。
309 名前：305 mailto:sage [05/02/03 09:45:16 ]: >>308
いや、計算量は確かにそうなんだけど、熱力学的に～って言われるとピンとこない。
310 名前：デフォルトの名無しさん mailto:sage [05/02/03 16:23:42 ]: 要するにエントロピーだろ？
311 名前：デフォルトの名無しさん mailto:sage [05/02/03 21:45:50 ]: >>310
違うだろ。
312 名前：デフォルトの名無しさん mailto:sage [05/02/04 15:40:17 ]: なけなしのガソリン1リットルで車で地球一周できるかどうか計算してみたらムリですた

てな感じだろ
313 名前：デフォルトの名無しさん mailto:sage [05/02/04 15:49:57 ]: >>312
E=mc^2・・・
314 名前：デフォルトの名無しさん mailto:sage [05/02/04 16:04:57 ]: >>306
多世界解釈派の漏れにはそんなの何でもないこと。

鍵が間違っていたら爆死する装置（誤動作の確率2のマイナス128乗以上）を作成して、
適当にランダムな鍵を入力するだけ。鍵が間違っていた世界は漏れにとっては消滅
するので、生き残りの「漏れ」は正しい鍵を手にできる。
315 名前：デフォルトの名無しさん mailto:sage [05/02/04 16:30:05 ]: 生き残りでないの「漏まえ」はどうなる？
316 名前：デフォルトの名無しさん mailto:sage [05/02/04 16:32:18 ]: 汚まえな。
317 名前：デフォルトの名無しさん mailto:sage [05/02/04 16:35:12 ]: >>314
確率が1を超えてますが
318 名前：デフォルトの名無しさん mailto:sage [05/02/04 16:37:16 ]: >>317
2^(-128)
319 名前：デフォルトの名無しさん mailto:sage [05/02/04 16:43:25 ]: orz
なぜかディスプレイがいかれた
320 名前：デフォルトの名無しさん mailto:sage [05/02/05 17:01:04 ]: そこで Closed Timelike Curves コンピュータの出番ですよ。
ttp://homepage3.nifty.com/iromono/hardsf/ctccomp.html
321 名前：デフォルトの名無しさん mailto:sage [05/02/05 20:02:42 ]: McEliece暗号を秘密鍵にするのってどうよ？
322 名前：デフォルトの名無しさん mailto:sage [05/02/05 20:03:17 ]: McEliece暗号を秘密鍵にするのってどうよ？
323 名前：デフォルトの名無しさん mailto:sage [05/02/07 10:00:29 ]: McEliece暗号を秘密鍵にするのってどうよ？
324 名前：デフォルトの名無しさん mailto:sage [05/02/07 18:57:21 ]: McEliece暗号を秘密鍵にするのってどうよ？
325 名前：デフォルトの名無しさん mailto:sage [05/02/07 20:44:38 ]: うんこ
326 名前：デフォルトの名無しさん mailto:sage [05/02/08 04:33:32 ]: >>306
しらみつぶしっていうと確かに膨大な時間がかかるわけだが、
そんなの理論上の確率の問題であって、
何十台ものマシンを並列に稼働させてランダムブルートフォースを
かけた場合に偶然にも見つかる事もありうるって事でしょ。
327 名前：326 mailto:sage [05/02/08 04:38:10 ]: あとさ～、あるデータを暗号化した後にさ～
チェックサムとかさ～なんかそんなもん暗号化したデータに付与するのあるじゃん？
あれってさ～キーの手がかりを与えてねーか？(キーの検索に手がかりを与えてるって事)
そんなチェックサムいらね～と思うけどほんとのところど～なのよ？
328 名前：326 mailto:sage [05/02/08 04:48:18 ]: ちなみにブルートフォースの目的って全てしらみつぶしにする事が目的ではなくて、
キーを見つける事だよ？
329 名前：デフォルトの名無しさん mailto:sage [05/02/08 08:53:00 ]: >>326
「偶然にみつかる確率」を減らすために充分な長さの鍵長の話をしているのに
「偶然にみつかるから可能性があるからダメ」じゃ会話になってないと思うのですが。

>>327
普通はチェックサムもまとめて暗号化すると思うのだけれど、
チェックサムが暗号化されていないなら解読結果の成否チェックが楽になるね。
330 名前：デフォルトの名無しさん mailto:sage [05/02/08 08:55:44 ]: >>326
確率の問題。
2^128≒10^38
秒速1兆個のキーを解析できるマシンを1兆台。これでもかなり無理があるが、
それを1兆秒、およそ32500年間回したとしても、キーが見つかる確率は、まだ確率100分の1以下。
331 名前：329 mailto:sage [05/02/08 08:59:03 ]: >>329
解読結果の成否チェックが楽になるとい意味では暗号化されていても一緒か、失礼。
332 名前：デフォルトの名無しさん mailto:sage [05/02/08 16:28:37 ]: >>326
可能性が0ではないというのは確かに正しいが
簡単に試算してみれば、考慮するのが如何に馬鹿馬鹿しいか分かる
短いレスが数個に分かれてるあたり、脊髄反射であることが伺える
333 名前：デフォルトの名無しさん mailto:sage [05/02/08 17:01:02 ]: >>326
暗号の世界での「安全」の意味を勘違いしたね？

現実的な時間と予算内に現実的な確率で解(鍵や平文の全部または一部)が得られることがない、
という意味で、絶対に解が得られることはない、という意味ではないよ。
334 名前：a mailto:a [05/02/08 19:51:32 ]: っくりわれめ女子小学生の動画をシーザー暗号で送ってください。age
335 名前：デフォルトの名無しさん mailto:sage [05/02/08 19:55:35 ]: >>334
0シーザーでいいですか。
336 名前：a mailto:sage [05/02/08 20:13:30 ]: uuencode して、から、シーザーでおながいします。
暗号化されたままのものを、uudecodeしたら、quick timeでerror
が出たので、大丈夫だと思います。
337 名前：デフォルトの名無しさん mailto:sage [05/02/09 02:44:38 ]: >>334
いえ、一方向暗号で送ります。
338 名前：デフォルトの名無しさん mailto:age [05/02/09 13:48:01 ]: 池沼晒しあげ
339 名前：デフォルトの名無しさん mailto:sage [05/02/09 16:25:37 ]: >>336
どうぞ。
1d472d2063421064bfbb05f4fbc6146a
340 名前：デフォルトの名無しさん mailto:sage [05/02/09 20:19:25 ]: >>339
すげっ！
いいのかこれさらしても
341 名前：デフォルトの名無しさん mailto:sage [05/02/11 04:05:51 ]: 「セキュリティは製品じゃない、プロセスだ。」
342 名前：デフォルトの名無しさん mailto:sage [05/02/11 16:10:00 ]: OpenPGPに設計上の脆弱性
slashdot.jp/security/05/02/11/074257.shtml?topic=28
343 名前：デフォルトの名無しさん mailto:sage [05/02/11 16:17:23 ]: >>342の脆弱性って>>327が言ってたチェックサムみたいな奴？
344 名前：デフォルトの名無しさん mailto:sage [05/02/11 22:07:39 ]: Rijndael使ってみたいけどS-Boxで躓いてしまった
ごめんね。ママ初めての暗号だから、ごめんね
345 名前：デフォルトの名無しさん mailto:sage [05/02/11 22:10:23 ]: mikata.curiocube.com/oop/part1/ch09_nonull.html
346 名前：デフォルトの名無しさん mailto:sage [05/02/11 23:10:43 ]: Hash! Hash!
347 名前：デフォルトの名無しさん mailto:sage [05/02/11 23:24:20 ]: >>344
0xF*0xFの表作ってあとは上位ビットと下位ビットをごにょごにょしたら良いんじゃね？
348 名前：a mailto:s [05/02/15 13:19:19 ]: 岡山の
本屋さんは
悠々自適な生活でうらやましい
349 名前：デフォルトの名無しさん mailto:sage [05/02/15 15:01:36 ]: 意味わからんじゃが
350 名前：a mailto:s [05/02/15 21:31:48 ]: 岡村隆史って休日は
本を読んだりして
悠々としているらしいよ
351 名前：デフォルトの名無しさん mailto:sage [05/02/15 21:56:38 ]: はぁ？
しったかぶってんじゃねーよ
ねるぽ
352 名前：デフォルトの名無しさん mailto:sage [05/02/16 05:37:48 ]: >348 >350-351
よくわからんがよそでやってくれ
353 名前：デフォルトの名無しさん mailto:sage [05/02/16 19:49:03 ]: >>325解読してから逝ってね
354 名前：デフォルトの名無しさん mailto:sage [05/02/16 20:18:19 ]: >>353
わけわからん
355 名前：デフォルトの名無しさん mailto:sage [05/02/16 20:20:25 ]: >>354
だからMcEliece暗号を秘密鍵で使ったらどうよ？
ってこと。
356 名前：デフォルトの名無しさん mailto:sage [05/02/16 20:29:03 ]: フルバージョンのSHA-1にコリジョン発見
slashdot.jp/articles/05/02/16/0725239.shtml?topic=28
357 名前：デフォルトの名無しさん mailto:sage [05/02/16 20:33:44 ]: かなり強力だとは思うのだが・・・
秘密鍵McEliece暗号。
358 名前：デフォルトの名無しさん mailto:sage [05/02/16 20:42:55 ]: >>321,324 & >>355
自分でやってみれば良いではないか
359 名前：デフォルトの名無しさん mailto:sage [05/02/16 20:57:03 ]: もちろんやってますが。
くそ扱いされるのは腑に落ちない・・・
360 名前：デフォルトの名無しさん mailto:sage [05/02/16 21:23:55 ]: >>353
「解読」って・・・あんな露骨な縦読みで・・・
いいからよそでやっててくれ

アンカーまで付け間違えてるし
361 名前：デフォルトの名無しさん mailto:sage [05/02/16 23:25:46 ]: まぁ enigma 解読でもそうだったように、暗号解読においては平文に
書かれているないようを推測したり理解したりすることは非常に
重要ってことで。
362 名前：デフォルトの名無しさん mailto:sage [05/02/18 12:07:12 ]: ちと内容が古いかもしれんが歴史を学ぶって事で

DESをクラック
www.genpaku.org/crackdes/cracking-desj.html
363 名前：デフォルトの名無しさん mailto:sage [05/02/18 12:28:10 ]: >>362
>われわれは、アメリカ政府官僚が意図的にDES暗号の強さについて誤解するよう
>にしむけているのだと考える。その狙いは：
>　　* 市民たちにDESを使い続けさせて、政府機関が市民たちを盗聴できるようにする。
>　　* 政府が解読に苦労するような、DESよりもっと強力な暗号規格が広がるのを防ぐ。
>　　* DESの輸出可能性を取引材料としてちらつかせる。これは政府にとってはコストが
>　　　　ほとんどないけれど、価値があると思われている。
>　　* 議員や大統領など、政策立案者たちに、法執行機関が暗号化データでとても困っていて、
>　　　　それを解読する現実的な方法がないと思わせることで、キーリカバリなどのとんでもない手法を採択させる。
十分ありそうな事だな
364 名前：デフォルトの名無しさん mailto:age [05/02/22 19:56:06 ]: あげ
365 名前：デフォルトの名無しさん mailto:sage [05/02/22 22:57:53 ]: 暗号通信などに用いられる「SHA-1」の攻撃を容易にする研究が公表
internet.watch.impress.co.jp/cda/news/2005/02/22/6541.html
366 名前：デフォルトの名無しさん mailto:sage [05/02/22 23:12:41 ]: >>356
と同じ件?
367 名前：デフォルトの名無しさん [05/02/22 23:46:21 ]: 暗号通信などに用いられる「SHA-1」の攻撃を容易にする研究が公表

サンフランシスコで開催中の「RSA Conference」の
パネルディスカッションにおいて、
認証やデジタル署名などに用いられるハッシュ関数「SHA-1」に対して、
中国の研究者グループが攻撃に要する時間を
大幅に短縮する方法を発見したことが明らかにされた。
SHA-1は、原文から160ビットのハッシュ値を作成する関数で、
通信を暗号化するIPSecなどで広く用いられている。
ハッシュ値は原文のダイジェストにあたるため、
ハッシュ値から原文を復元することは不可能だが、
あるハッシュ値と同じハッシュ値を持つ原文が作成できれば、
文書やプログラムの偽装が可能となる危険性がある。
中国の研究者グループは、こうしたハッシュ値の「衝突」の探索について、
総当たり方式では2の80乗回の試行が必要であるのに対して、
2の69 乗回以下の試行で行なえる方法を発見したとして、
配布しているサマリーではSHA-0と58ステップの
SHA-1について衝突の実例を示している。
368 名前：デフォルトの名無しさん mailto:sage [05/02/22 23:59:00 ]: なにもコピペしなくてもリンク先読めばいいのでは思うのだが．．
369 名前：デフォルトの名無しさん mailto:sage [05/02/23 09:10:59 ]: 「文書やプログラムの偽装」ってなんじゃ？
370 名前：デフォルトの名無しさん mailto:sage [05/02/23 12:25:04 ]: 読んで字のごとくだろ
371 名前：デフォルトの名無しさん mailto:sage [05/02/23 15:07:26 ]: いや、この文脈で「偽装」って言葉はほとんど聞かないから
気になったの。
まあマスコミなんて（ｒｙ
372 名前：デフォルトの名無しさん mailto:sage [05/02/23 15:10:31 ]: じゃあなんて書くんだよ
373 名前：デフォルトの名無しさん mailto:sage [05/02/23 15:12:17 ]: >>371
「（デジタル署名された）文書やプログラムの○○」と書くなら、何にするべき？
374 名前：デフォルトの名無しさん mailto:sage [05/02/24 11:54:44 ]: 改竄
375 名前：デフォルトの名無しさん mailto:sage [05/02/24 16:03:35 ]: 「改竄」だと主旨と合わない気がする。
376 名前：371 mailto:sage [05/02/24 17:06:41 ]: >>372-373
む，言われてみると「偽装」という表現が
一言で表すにはぴったりのような気がしてきました・・・
impressの中の人よ，すまなかった
377 名前：デフォルトの名無しさん mailto:sage [05/02/24 18:26:01 ]: ・・・
378 名前：デフォルトの名無しさん mailto:sage [05/02/26 00:08:08 ]: users72.psychedance.com/test/read.cgi/2chdown/1098790648/309
に紹介されてる
trip.psychedance.com/yGAhoNiShI/PdNfvnVSDj76OoQ6svqsFw
ってどういう暗号化方式なの？
379 名前：デフォルトの名無しさん mailto:sage [05/02/26 01:46:27 ]: ぶらくらはやめれ
380 名前：デフォルトの名無しさん mailto:sage [05/03/05 08:44:14 ]: セキュリティは製品じゃないプロセスだ
381 名前：デフォルトの名無しさん mailto:sage [05/03/12 01:31:44 ]: 暗号数学について語ろう。ROUND 2
science3.2ch.net/test/read.cgi/math/1110265282/l50
382 名前：デフォルトの名無しさん [05/03/17 14:10:25 ]: Linux で書いてるプログラムの中で、ファイルのMD5値を求めたい
のですが、なんという名前のライブラリにMD5値を計算する関数は
入っているのですか？
383 名前：デフォルトの名無しさん mailto:sage [05/03/17 14:38:40 ]: md5.h
md5.c
crypto/*
384 名前：デフォルトの名無しさん mailto:sage [05/03/17 18:38:43 ]: シリアルキー解析集「ALTEA」
大好評発売中！

openuser10.auctions.yahoo.co.jp/jp/user/dancexxx1960?

市販SOFTやオンラインSOFTのパスワード集です。
オークション関係から画像・OS・表計算・CAD・・・・etc
国内・国外のあらゆる分野のSoftを解析済です。

これを初めて手にされた時には、驚愕される事でしょう。
そして・・・手当たり次第にインストールを始める筈ですｗ
パソコンをご使用の方なら、必ず！満足されると思います。

解析結果のデータベースには１５，０００点を越えるパスワードが入ってます。
このパスワード集から検索するだけで、登録や制限解除が出来てしまいます。
シェアウェアを購入して、正規登録したのと同じ状態になります。
余りにもデータが多すぎる為、辞書引のようなパスワード検索SOFTで提供します。

シェアウェア以外にもパッケージ版をVectorなどでオンライン販売してるSOFTにも
多数対応しています。これらをダウンロードして無期限に試用する事も可能です(^^;

WindowsXPやOfficeなどのCDキー（プロダクトキー）ジェネレーターを使えば複数のパソコンに
インストールする事も可能です。デスクトップとノートPCなど2台以上持ってる場合は特に有効ですね。

オンラインSOFTを購入した経験は有りますか？
ありとあらゆる分野の優れたSOFTが、数多くありますよね。
しかし、ほとんどが試用期間や機能制限をして、「気に入ったら購入してください」です。

もう少し使いたいが使用期限切れで、削除・・・再インストールを繰り返していませんか？
385 名前：デフォルトの名無しさん mailto:sage [05/03/20 20:00:54 ]: >>306
の計算量はよくわからないけど
ja.wikipedia.org/wiki/永久機関
に類似した機関が宇宙空間のどこかで実現できたら
面白いと思う。
386 名前：デフォルトの名無しさん [int 2ch ＝05/04/02(土) 13:21:47 ]: 俺は人類最強の男というコピーに引かれ
人類最強になるためにはどうすればよいのか考えた
人類最強なのだからどんなこともできる
手始めに全裸で姉の部屋にアンゲロ、アンゲロとつぶやきながら飛び込む
タンスをこじ開けブラジャーを腰に巻きパンティーを頭にかぶる
姉が呆然としながら見てくるが人類最強なので気にしない
姉のベッドに潜りこみ「幸せだから！幸せだから！」と絶叫
姉は無言で部屋から立ち去る
だがまだ最強には不十分
次は妹の部屋にムッシュムッシュと叫びながら飛び込む
妹は着がえをしている最中だったが人類最強なので無視
半裸で逆立ちをしながら
「俺に充電しろ！！俺に充電しろ！！」と絶叫
妹は大泣きで退散
確実に人類最強に近づく
開脚後転でトイレに飛び込み便座を外し首に掛ける
ゾンビの真似をしながら母の部屋に突撃
タンスを開けると一枚の写真発見
死んだ親父が俺を抱いている写真発見
俺は泣いた

神の暗号の解き方で説いてみて
なにかでてきますよ
387 名前：デフォルトの名無しさん [2005/04/06(水) 11:15:21 ]: １．あるシステム固有の情報ファイルのバイトコードを16進数の0x00から0xFFの値で取り出す。
２．プログラム言語にある乱数出力というものを使って、0x00から0xFF個の一意な乱数値を取り出す。
３．１で取り出した0x00～0xFFまでの値を２で出力させた乱数値の出力された順番とで置換させ、暗号化ファイルを作成。
４．２で作成した複合化テーブルの情報を持つ複合化モジュールと暗号化ファイルをいっしょに保管。
５．実行時は、複合化モジュールからプログラムが開始され、暗号化ファイルは内部で複合化されることで機能する。

....問題は、４で作成した複合化モジュールが解読される事だと思うのですが、どうでしょう？
388 名前：デフォルトの名無しさん [2005/04/06(水) 11:38:51 BE:115689986-#]: >>387 で、なにをしたいのだ？
389 名前：デフォルトの名無しさん [2005/04/06(水) 12:20:25 ]: 置換暗号は暗号に使う数列をもっと長くしないとダメじゃない？
256個じゃすぐに解かれちゃいそう。
390 名前：デフォルトの名無しさん mailto:sage [2005/04/09(土) 03:03:21 ]: 難しい話はいいから、車検証のＱＲコードの暗号を解いてくれ
391 名前：デフォルトの名無しさん mailto:sage [2005/04/15(金) 02:16:45 ]: 以下のサイトの、
www.coins.tsukuba.ac.jp/~yas/coins/dsys-2002/2003-03-04/
>暗号技術を甘く見たグループ
> * 日本政府
> * NTT
> * パチンコ・カード
にちょっと笑った。
392 名前：デフォルトの名無しさん mailto:sage [2005/04/15(金) 02:24:07 ]: >>389
てゆうか置換暗号はどこまで行っても置換暗号なわけで。あまり役に立たないと思う。
393 名前：デフォルトの名無しさん [2005/04/15(金) 11:10:57 ]: ワンタイム・パッド方式だって置換暗号でしょ。
暗号表が無限長だったら置換暗号でも十分。
394 名前：デフォルトの名無しさん mailto:sage [2005/04/15(金) 11:28:04 ]: 自分だけが使う暗号なら適当な乱数列でも生成してワンタイムパッドがいちばん安心だよなぁ。
適当な乱数列なんてどうやって生成するのかわからないが。
別の文章との差分を鍵にするっていうのもいいかな。
まあいずれにしろ鍵の管理は大変になりそうだが。
395 名前：デフォルトの名無しさん mailto:sage [2005/04/15(金) 19:38:50 ]: 適当なseed値のrandの出力でいいじゃん
396 名前：デフォルトの名無しさん mailto:sage [2005/04/15(金) 19:56:42 ]: >>393
そんなのじゃ全然使い道がないではないかw
”無限長”って、いったい何？
それは「ファンタジー暗号」だよきっと。
397 名前：デフォルトの名無しさん mailto:sage [2005/04/15(金) 20:22:27 ]: >>396
要は送受信双方でリアルタイムに好きなだけ同じ
乱数列が作れればよい。

そしてそれは量子暗号通信で実用化されつつある
398 名前：デフォルトの名無しさん mailto:sage [2005/04/15(金) 21:21:48 ]: 量子暗号かよ。
399 名前：デフォルトの名無しさん mailto:sage [2005/04/15(金) 21:29:19 ]: 量子暗号が可能なマシンはどこで買えますか？
400 名前：デフォルトの名無しさん mailto:sage [2005/04/21(木) 20:08:29 ]: 余談だが
量子通信では直接任意のビットを相手に送れる訳ではない。

エンタングルメント（量子絡み合い）で結び付けられた
離れた２地点で同じ乱数を生成できるというのがミソ。
これは量子力学の不確定性原理に基づく「本物」の乱数だ。

これを利用して並行する別の通常回線で
ワンタイム・パッド暗号（スクラッチパッドとも言う）で送信する
というのが量子暗号通信の原理だ。

ところでこの
エンタングルメントは間に第三の観測者(装置)が挟まると壊れてしまう。

そうすると生成される乱数は一致しなくなるが
これはプロトコルの工夫で検出できる。

これが「盗聴不可能」と言われるゆえんだ。

エンタングルメントの安定性や速度にまだ問題があるから
実用化されてはいないが
すくなくとも｢ファンタジー」からは脱していると思うよ。
401 名前：デフォルトの名無しさん mailto:sage [2005/04/21(木) 21:27:42 ]: 量子暗号に詳しく無いんで聞きたいのだが、
２点間でのセッションが確立した場合はそりゃ最高な強度の暗号通信になるが、
セッションが確立する前は相手が本物かどうかってどうやって証明するのさ？
402 名前：デフォルトの名無しさん mailto:sage [2005/04/21(木) 21:51:27 ]: そこでPKIですよ
403 名前：デフォルトの名無しさん mailto:sage [2005/04/22(金) 23:42:11 ]: おサルさんに返答させて相手が本物かどうか当てる有名なテストですね
404 名前：初心者（免罪符） [2005/04/26(火) 10:05:53 ]: md5とか色んな暗号化方式でハッシュ値を生成するアルゴリズムが
できれば日本語で載ってるサイトはありませんか？教えてくださいお願いします
405 名前：デフォルトの名無しさん [2005/04/26(火) 10:21:24 ]: テレビ欄のＧコードってハッシュなのかな？
406 名前：デフォルトの名無しさん mailto:sage [2005/04/26(火) 10:36:20 ]: >>405
ハッシュってのは一方向関数。つまりハッシュ値から元に復元はできない。よってGコードはハッシュではない。
Gコードなんてうまく細工したただの圧縮なんじゃない？
407 名前：デフォルトの名無しさん mailto:sage [2005/04/26(火) 10:59:42 ]: >>406
ウソいっちゃいかん。
情報量を保つ必要がないから大抵は一方向になってるだけ。
408 名前：初心者（免罪符） mailto:sage [2005/04/26(火) 14:39:21 ]: ttp://www.geocities.co.jp/SiliconValley-Oakland/8878/lab17/lab17.html
ここにあるmd5のソースって

＞strncpy((char *)padding_message, (char *)pstring, copy_len);
ここでｽﾀｲﾙｷｬｽﾄしてるから制御文字含んだファイルのハッシュ値が合わなくない？
409 名前：デフォルトの名無しさん mailto:sage [2005/04/26(火) 14:45:42 ]: 質問自体は暗号と関係ないな。
まずは自分で実験してからC言語の質問スレへでもどうぞ。
410 名前：初心者（免罪符） mailto:sage [2005/04/26(火) 14:47:25 ]: いや実験したんだって。途中いろいろと書き換えてるから確信ないので訊いてるんですが何か？
411 名前：デフォルトの名無しさん mailto:sage [2005/04/26(火) 15:02:18 ]: >>410
> 途中いろいろと書き換えてるから確信ない

そういうのは実験とは言わん罠。少なくとも理系では言わない。
412 名前：デフォルトの名無しさん mailto:sage [2005/04/26(火) 15:24:15 ]: vector辺りに行って適当なフリー祖父と落として故意。
413 名前：406 mailto:sage [2005/04/26(火) 16:32:59 ]: >>407
一方向じゃないならハッシュとは呼ばないだろ。それじゃただの符号化。
414 名前：初心者（免罪符） mailto:sage [2005/04/26(火) 16:44:41 ]: やっぱり俺の思った通りだったぜ（ﾌﾟｹﾞﾗﾁｮﾌｗｗｗｗｗｗｗｗｗ
415 名前：デフォルトの名無しさん mailto:sage [2005/04/26(火) 16:47:25 ]: 電話番号の先頭20桁を取り出したものもハッシュ値だ。
416 名前：デフォルトの名無しさん mailto:sage [2005/04/26(火) 17:08:44 ]: 一方向じゃないならハッシュとは呼ばないだろ。それじゃただの符号化。
一方向じゃないならハッシュとは呼ばないだろ。それじゃただの符号化。
一方向じゃないならハッシュとは呼ばないだろ。それじゃただの符号化。

ﾊｹﾞﾜﾛｽwww
417 名前：406 mailto:sage [2005/04/26(火) 17:39:09 ]: >>416
符号化と言ったのはちょっと違ったかもしれんが、ハッシュの定義自体はあってると思うけど？
418 名前：デフォルトの名無しさん mailto:sage [2005/04/26(火) 19:32:19 ]: >>417
全然あってない。
419 名前：デフォルトの名無しさん mailto:sage [2005/04/26(火) 20:17:02 ]: だいじぇすと
420 名前：デフォルトの名無しさん [2005/04/26(火) 20:28:43 ]: 暗号を使う際に併用するハッシュ関数は一方向性が必要とされる。
他にも非衝突性も必要。

ハッシュ関数はある規則にしたがってある数値を変換したもの。
h(M)=M+1
こんなhもハッシュ関数となる。

>406は暗号で使うハッシュ関数と世間一般で使うハッシュ関数の区別がついていないと思われ。
421 名前：406 mailto:sage [2005/04/26(火) 22:28:55 ]: >>420
>>h(M)=M+1
これじゃ全ての関数=ハッシュ関数ということにならないか？
422 名前：デフォルトの名無しさん mailto:sage [2005/04/26(火) 22:34:49 ]: すべての値はハッシュ値として使えると言う意味で「なる」。
# 引数を取りその引数に一意に対応する値を返すのであれば
それが実用に耐えるかどうかは別の話。
423 名前：406 mailto:sage [2005/04/26(火) 22:39:42 ]: なるほど。理解した。
424 名前：デフォルトの名無しさん mailto:sage [2005/04/26(火) 23:40:44 ]: 俺すげぇ事思いついた
ファイルの内容をすべてハッシュとすれば
f(x)=x
衝突なくなるんじゃね？すごくね？
425 名前：デフォルトの名無しさん mailto:sage [2005/04/27(水) 00:00:20 ]: >>424
あたまいいでちゅねー。
426 名前：デフォルトの名無しさん mailto:sage [2005/04/27(水) 00:40:37 ]: 逆に
f(x)=0
とすれば絶対にもとのデータを復元できなくなるんじゃね？すごくね？
しかも1通りしかないんだから、1ビットも送信する必要がない。
427 名前：デフォルトの名無しさん mailto:sage [2005/04/27(水) 01:36:35 ]: >>420
嘘つけ。一万歩譲ったとして、それは超広義のハッシュ関数。

「暗号の代数理論」にはこうある。

ハッシュの大雑把な定義は以下の通り。l個の記号の集合から k 個の記号の集合
への関数 H(x) がハッシュ関数であるとは、任意の x について H(x) を計算する
のは容易であるが、次のような性質を持つときである。
　1) 同じ H(x) を与える 2つの異なる x の値を見出すことを実行できない ("衝突耐性"), かつ
　2) H の像の中の y を与えられて、H(x)=y であるような x を見出すことを実行できない ("原像耐性").
428 名前：427 mailto:sage [2005/04/27(水) 01:38:12 ]: つーか、「hash」しないのものはハッシュ関数とは言わん。
429 名前：デフォルトの名無しさん mailto:sage [2005/04/27(水) 01:46:44 ]: hash関数を作ったとして、衝突耐性や原像耐性はどうやって検証するんですか
430 名前：デフォルトの名無しさん mailto:sage [2005/04/27(水) 02:42:01 ]: だからそれは「一方向」ハッシュ関数だと何度言わせれば・・・
431 名前：デフォルトの名無しさん mailto:sage [2005/04/27(水) 02:54:12 ]: >>430
ここは暗号技術スレですが。
432 名前：デフォルトの名無しさん mailto:sage [2005/04/27(水) 09:37:03 ]: だけど元々のハッシュの意味が生きている計算機科学の中の一分野だからねえ。
実際「一方向ハッシュ関数」と明示する人の方がほとんどでしょ。
ハッシュテーブルすら自分で実装できないおこちゃまは知らんけど。
433 名前：デフォルトの名無しさん mailto:sage [2005/04/27(水) 11:34:35 ]: ハッシュる、ハッシュる。
434 名前：デフォルトの名無しさん mailto:sage [2005/04/27(水) 12:37:12 ]: ハッシュ関数の中で、(略)の性質を持つものは暗号技術に利用される。←正しい
(略)の性質を持つ関数をハッシュ関数という。←間違い

暗号技術を論じている中でハッシュという用語を用いたとき、暗黙に(略)の性質を
仮定するのは構わんと思うが、勝手にハッシュの定義まで変えてしまうのは迷惑。
435 名前：デフォルトの名無しさん [2005/04/30(土) 13:47:12 ]: >>429
数学的に証明するんじゃなかったっけ？
436 名前：デフォルトの名無しさん [2005/04/30(土) 13:50:54 ]: CRC32とMD4って、どっちが耐衝突性に優れてますか？
まあMD5やSHA1が使える状況ならそっちにしますが。
437 名前：デフォルトの名無しさん mailto:sage [2005/04/30(土) 13:59:52 ]: CRCは無いに等しいだろ。MD4も容易にコリジョンを発生させられる。
どっちがましかといえばMD4だろうけどどっちも優れてはいない。
438 名前：デフォルトの名無しさん [2005/04/30(土) 14:10:54 ]: そりゃ32bitだし理屈は判るけど、
なんでもかんでもMD5とかだと遅くなるし
439 名前：デフォルトの名無しさん mailto:sage [2005/04/30(土) 19:58:18 ]: 32bitとか64bitとかケチらずにもっと多くのビットをさいたらどうよ。
440 名前：デフォルトの名無しさん mailto:sage [2005/04/30(土) 22:00:58 ]: ファイルの一意性を扱うバックアップソフトみたいなソフトを作ってて、
パフォーマンスもある程度重視してるだから、衝突が起きた時点で
初めてより精度の高い奴使いたいんだよね。
まあ二度手間といわれればそうなんだけど。
441 名前：デフォルトの名無しさん mailto:sage [2005/04/30(土) 22:02:54 ]: してるだから→してるから
442 名前：デフォルトの名無しさん mailto:sage [2005/04/30(土) 22:14:09 ]: 一次ハッシュ->ファイルサイズ
二次ハッシュ->MD5
以上。
443 名前：デフォルトの名無しさん mailto:sage [2005/04/30(土) 22:47:58 ]: いや、もちろんファイルサイズを最初に見てるけど、
それだけでは頻繁に衝突するんだよね。
444 名前：デフォルトの名無しさん mailto:sage [2005/04/30(土) 23:01:50 ]: 問答無用で全ファイルのデータ舐めるのと
衝突上等でサイズだけ見るのとでどっちが速いかなんて
実測して統計データとって見ないとわからないだろ。

ただサイズの衝突がよくあるといっても
後者のやり方の方が結果として計算量とディスクIOが少ないと
予想するからそう提案しただけ。
445 名前：デフォルトの名無しさん mailto:sage [2005/04/30(土) 23:29:40 ]: うん、ありがと。
446 名前：デフォルトの名無しさん mailto:sage [2005/05/01(日) 16:53:53 ]: SHA512 使え
www.emit.jp/sha/sha.html
447 名前：デフォルトの名無しさん [2005/05/01(日) 18:31:28 ]: sha1の512倍の性能か！！
448 名前：デフォルトの名無しさん [2005/05/01(日) 20:14:35 ]: （　´ﾟдﾟ｀）えーーー
449 名前：デフォルトの名無しさん mailto:sage [2005/05/01(日) 20:28:27 ]: 結局サイズが同じ大きなファイルが結構あるので、
先頭4096バイトだけのチェックを加えました。

一次ハッシュ　ファイルサイズ
二次ハッシュ　先頭4096バイトまでのMD5
三次ハッシュ　フルサイズのMD5
450 名前：デフォルトの名無しさん mailto:sage [2005/05/01(日) 21:00:06 ]: お、頭いいね
451 名前：デフォルトの名無しさん mailto:sage [2005/05/02(月) 11:19:47 ]: >>449
それなら二次ハッシュにCRCとかの処理軽いやつを使った方がいいんでない？　どうせCRC32なら衝突確率は42億分の1だし
452 名前：デフォルトの名無しさん mailto:sage [2005/05/02(月) 14:24:49 ]: >>451
ファイル全部のCRC? ファイルアクセスの遅さが効いてくるから別に嬉しくないだろ。
大きいファイルほど、そんなことするなら最初からMD5を計算する方がマシ。

小さいファイルや先頭4096バイトだけの計算ならCRCだろうがMD5だろうが
大して変わらんから意味がない。
453 名前：451 mailto:sage [2005/05/10(火) 08:30:43 ]: >>452
2次にCRCで3次にMD5って意味です。
2次にMD5使うのはちょっと重そうかなと思ったんだけど・・大して変わらないと言われればそれまでです。まあ実装者の気分次第ですね。
454 名前：デフォルトの名無しさん mailto:sage [2005/05/10(火) 15:01:08 ]: sha512使っとけ。
コリジョンのことを考えればこっちの方が速度面でも効果的。
455 名前：デフォルトの名無しさん mailto:sage [2005/05/10(火) 23:08:21 ]: >>454
opensslで簡単にベンチマーク取れるから試してみろ。
SHA1でさえMD5より3倍遅い。
456 名前：デフォルトの名無しさん [2005/05/11(水) 00:27:06 ]: 安全性 > 速度

金言ここにおいておきますね。
457 名前：デフォルトの名無しさん mailto:sage [2005/05/11(水) 01:54:27 ]: >>456
いや、コリジョンなんてそう起こらないし...
この前のコリジョンの発表、何か勘違いしてない?
458 名前：デフォルトの名無しさん mailto:sage [2005/05/11(水) 07:58:41 ]: つうかそれ以前にsha512のが速いと454がきっぱり言い切ってるわけだが。
459 名前：デフォルトの名無しさん mailto:sage [2005/05/11(水) 15:01:37 ]: adlerって使える？
460 名前：デフォルトの名無しさん mailto:sage [2005/05/11(水) 17:20:30 ]: コンピュータ暗号の基礎を学べる本を紹介してください
461 名前：デフォルトの名無しさん mailto:sage [2005/05/11(水) 18:17:23 ]: 暗号技術大全かアリス買っとけ
462 名前：デフォルトの名無しさん mailto:sage [2005/05/11(水) 23:36:05 ]: これか！
www.amazon.co.jp/exec/obidos/ASIN/4001140470/
463 名前：デフォルトの名無しさん mailto:sage [2005/05/12(木) 23:13:20 ]: 暗号技術大全は高いよ
なぜか近所の図書館にあったりして謎だ
464 名前：デフォルトの名無しさん mailto:sage [2005/05/12(木) 23:43:31 ]: きっと近所にすごい発火ーがいて借りてるんだよ
465 名前：デフォルトの名無しさん mailto:sage [2005/05/13(金) 10:47:32 ]: 本物の刃火ーは知の富豪者だが貧民生活者でもある。
466 名前：デフォルトの名無しさん mailto:sage [2005/05/13(金) 15:26:56 ]: 共通鍵暗号、ハッシュ関数の強度に疑問を投げかける研究報告
internet.watch.impress.co.jp/cda/event/2005/05/13/7582.html
467 名前：デフォルトの名無しさん [2005/05/13(金) 20:10:57 ]: すんません、
OpenSSLで使われてる暗号って何ですか？
SHA1？
468 名前：デフォルトの名無しさん mailto:sage [2005/05/14(土) 04:26:56 ]: 大抵の暗号は実装されてる。ついでにいうとSHA1は暗号ではない。
469 名前：デフォルトの名無しさん [2005/05/14(土) 07:25:18 ]: OpenSSLはなんであんなにわかり肉印ですか？
なんか証明書のディレクトリきめ打ちで糞っぽいし。
最初アホかと思いました。
今でも思ってますけど。
470 名前：デフォルトの名無しさん mailto:sage [2005/05/14(土) 07:36:53 ]: ソースからビルドしたまえ。
インターフェースがアホというのは同意。
471 名前：デフォルトの名無しさん [2005/05/14(土) 08:18:17 ]: OpenSSLじゃなくて
オナニーSSLに改名したらどうかね
472 名前：デフォルトの名無しさん [2005/05/14(土) 08:20:54 ]: i222-150-10-238.s02.a005.ap.plala.or.jp/
ぷぇぷｗぷぷおｋぷぷぷおｋぷぷぷおｋぷぷぷおｋぷぷぷ
ぷぷぷおｋぷぷぷぷぇぷｗぷみぷぷｗぷｗみぷぷｗぷｗ
ぷぷぷｗぷｗぷぷｗぷぷｗぷｗぷｗっうぇぷぷぷ
473 名前：デフォルトの名無しさん mailto:sage [2005/05/15(日) 07:21:43 ]: 「Intel Pentium 4のHyper-Threading機能に脆弱性が存在する」というニュースが
あちこちで話題になってますね。
ちょっと調べてみましたが、キャッシュ攻撃とか
キャッシュミス攻撃とかいう手法だそうで。
ここ最近のSCISでも、いくつか発表がありますね。
474 名前：デフォルトの名無しさん mailto:sage [2005/05/15(日) 10:55:16 ]: >「Intel Pentium 4のHyper-Threading機能に脆弱性が存在する」というニュースが
そういうの"タイミングアタック"っていうらしいな。
475 名前：デフォルトの名無しさん [2005/05/15(日) 12:43:14 ]: OpenSSL分かりにくいって？
証明書のディレクトリ決め打ちっていうのはないでしょ？
柔軟性のために分かりにくいと言うんなら
勉強足りないと思うよ
476 名前：デフォルトの名無しさん mailto:sage [2005/05/17(火) 22:42:30 ]: ハッシュが衝突した場合ファイルが上書きされてしまう危険性のある
アプリってありなのか？
上の方のバックアップネタを眺めててちょっと気になった。
上のアプリがそうなのかどうかは知らないけど。
477 名前：デフォルトの名無しさん mailto:sage [2005/05/17(火) 23:08:40 ]: 納得して使うならいいんじゃない？
まあもし衝突したらよっぽど運が悪かったんだろうよ。
MD5クラスの衝突を心配するなら完全一致比較した方が良いだろうし。
作為的に同一サイズのMD5衝突ファイルが作れるツールが出来たらヤバイね。
478 名前：デフォルトの名無しさん mailto:sage [2005/05/18(水) 01:25:20 ]: ヤバイどころじゃねぇって
479 名前：デフォルトの名無しさん mailto:sage [2005/05/18(水) 14:55:13 ]: 暗号化ZIPファイルをCプログラムから作成する方法を教えてください
480 名前：デフォルトの名無しさん mailto:sage [2005/05/18(水) 14:56:34 ]: そこはかとなくスレ違い
481 名前：デフォルトの名無しさん mailto:sage [2005/05/18(水) 21:19:54 ]: MD5のコリジョン頻度ってどのくらいなんでしょうか？
平文（原文）のサイズ等と相関あるのでしょうか。

与えられたMD5を得る、衝突する平文を任意の数得られるアルゴリズムは存在するのでしょうか。
存在するとしたら、その衝突する原文が存在しうる全てを導出可能なのでしょうか？
482 名前：名無しさん＠ＸＥｍａｃｓ mailto:sage [2005/05/19(木) 12:58:28 ]: 突っ込むとこ多過ぎなんだけど、釣りなのか？

とりあえず、

> 与えられたMD5を得る

と言ってる時点でそれは衝突ではない。
483 名前：デフォルトの名無しさん mailto:sage [2005/05/19(木) 17:47:46 ]: おまいらさ、MD5のコリジョンとか言ってるけどよ、コリジョンがあった無かったよりも、
データを改窮してオリジナルデータと同じハッシュ値を生成できることが脅威なんじゃないのか？
要するにさ、任意のハッシュ値を自在に作成できるかどうかって事だよ。

できんのかそれ？
484 名前：Hash - then - Signな署名 mailto:sage [2005/05/19(木) 19:55:30 ]: コリジョンは脅威ですよ
485 名前：デフォルトの名無しさん mailto:sage [2005/05/19(木) 20:29:17 ]: >>484
詳しく！
486 名前：デフォルトの名無しさん mailto:sage [2005/05/19(木) 20:31:51 ]: >>484
だから、そのコリジョンを制御して脅威になりえる例をぷりーず。
487 名前：デフォルトの名無しさん mailto:sage [2005/05/19(木) 20:54:21 ]: 衝突するのを前提で作られてるわけですが
488 名前：デフォルトの名無しさん mailto:sage [2005/05/19(木) 21:01:24 ]: >>483
それはまだ見つかってない。
ただし同一ハッシュを生成する二つの（たぶん意味のない）データを
発生する方法は見つかってる。
これを悪用するのは難しいと思うが。
489 名前：デフォルトの名無しさん mailto:sage [2005/05/19(木) 21:06:25 ]: ハッシュ値が等しくなるデータ(A, B)を容易に生成できた場合
ファイルに署名 := ファイルのハッシュ値を取って，その値に署名
みたいな署名方式だと，Aの署名を署名生成オラクルに作ってもらえば
オラクルに要求していないBの署名も手に入ることになる．
はい，選択文書攻撃成功

ハッシュ値は1024bitもないというツッコミはまた別の話
490 名前：484,489 mailto:sage [2005/05/19(木) 21:09:47 ]: >>487
そうです．問題なのはそれが簡単に見つけられるかということです．
491 名前：デフォルトの名無しさん mailto:sage [2005/05/19(木) 21:19:44 ]: 簡単に見つけられるようなもんを、みんな使ってるとでも思っているのか？
492 名前：デフォルトの名無しさん mailto:sage [2005/05/19(木) 21:24:28 ]: 偽の実行可能なﾃﾞｰﾀができなけりゃ大丈夫と思ってる俺はかなりいい加減
493 名前：デフォルトの名無しさん mailto:sage [2005/05/19(木) 21:40:36 ]: 簡単に見つかったら衝突前提で作られてるとはいえないわけですが
494 名前：デフォルトの名無しさん mailto:sage [2005/05/19(木) 21:57:23 ]: >>493
そうでしたか．
>>483の問いに「コリジョンを容易に生成できたとして，脅威になるのか」
が含まれていると思ったんで，>>484では>>489の意味で
＞コリジョンは脅威
と言ったんですが
（コリジョンが存在すること自体が脅威である，という意味ではない）
舌足らずですいません
495 名前：デフォルトの名無しさん mailto:sage [2005/05/20(金) 11:07:18 ]: >>476
plan9のファイルシステム
496 名前：デフォルトの名無しさん mailto:sage [2005/05/22(日) 20:47:46 ]: >>489の話が全然現実的で無い件について
497 名前：デフォルトの名無しさん mailto:sage [2005/05/22(日) 23:28:11 ]: >>496
ハッシュ関数の衝突困難性は、暗号・署名の安全性に
深く結び付いているってことです
498 名前：デフォルトの名無しさん mailto:sage [2005/05/23(月) 01:24:51 ]: 恐らく、>>483が言いたかったのは、
>容易に生成できた場合
↑この瞬間が脅威になるんじゃないのって事を言いたかったと思ふ
499 名前：デフォルトの名無しさん mailto:sage [2005/05/23(月) 23:01:38 ]: そりゃ脅威だろ
つうか役にたたないだろそんなハッシュ
500 名前：デフォルトの名無しさん mailto:sage [2005/05/24(火) 02:45:09 ]: >>499
えーと、>>483で
「一方向性を破られるのは脅威だが、それに比べると衝突困難性を破られるのは
そんなに脅威とは思えない。あるハッシュ関数の衝突困難性が破られ
コリジョンが制御可能（コリジョンを起こす入力の組を容易に求められる）に
なったとき、こんな脅威が起きるという例を具体的に出してほしい」
と言ってると思ったんで、その脅威の例を説明してみたんです。
ですので、>>491や>>493が何に突っ込んでいるのか正直よく分かりません。

「衝突困難性を満たさないハッシュ関数は、セキュリティ上こういう問題がある
（だからそういう意味でも実用的とはいえない）」と言っているのであって
「実用的なハッシュ関数とはいっても、中には衝突困難性を満たさないものがある」
なんてことは一言もいってないのですが
501 名前：デフォルトの名無しさん mailto:sage [2005/05/24(火) 02:48:57 ]: あ、>>500=>>489です
わかりにくくてすいません
502 名前：デフォルトの名無しさん mailto:sage [2005/05/24(火) 03:30:52 ]: >思ったんで
思い違いだと思ふ
MD5に弱衝突耐性に問題はないのかと聞いてるだけ。
503 名前：デフォルトの名無しさん mailto:sage [2005/05/24(火) 10:53:41 ]: すると>>486はどういう意味の質問だったんだろう？
504 名前：デフォルトの名無しさん mailto:sage [2005/05/25(水) 22:47:11 ]: >490 で言い切らなかったもんだから >491 >493 が補強しただけだと思う。
言わんとするところはみんな同じだろ？
505 名前：デフォルトの名無しさん [2005/05/29(日) 01:01:43 ]: 自プログラムで IVが必要なアルゴリズム使うときは
>>279 が言うようにファイルヘッダに置くのが一般的?
opensllコマンドとかたぶんそーなってるっぽいが。
506 名前：デフォルトの名無しさん mailto:sage [2005/05/29(日) 03:12:41 ]: >>504
なるほど了解です
長々と引っ張ってしまってすいませんでした
507 名前：デフォルトの名無しさん mailto:sage [2005/05/30(月) 12:17:20 ]: ｵｰﾌﾟﾝｽﾙﾙ!
508 名前：デフォルトの名無しさん mailto:sage [2005/06/04(土) 15:13:46 ]: DVDの暗号（鍵?）が解読されてしまった経緯について詳細にまとめてあるサイトがあったら教えてください。
509 名前：デフォルトの名無しさん mailto:sage [2005/06/04(土) 18:58:30 ]: 馬鹿がいた。それが大きなヒントになった。
510 名前：デフォルトの名無しさん [2005/06/21(火) 12:57:23 ]: opensslで作成したPEM形式の秘密鍵ファイルから
個別に値（n, e, d, p, q, dmp1, dmq, iqmp）を抽出するプログラムを作りたいのですが、
どのようなルールで出力されるんでしょうか。
手作業でそれぞれの値を抽出してみたんですが、
デリミタがどういうルールで設定されているのかイマイチ分かりませんでした。
511 名前：デフォルトの名無しさん [2005/06/21(火) 17:36:23 ]: >>1
RSAスレってどこにあるんだ？
512 名前：デフォルトの名無しさん mailto:sage [2005/06/21(火) 20:53:13 ]: >>510
PEM_read_RSAPrivateKey でいいじゃん。
513 名前：510 mailto:sage [2005/06/21(火) 20:57:20 ]: >>512
.net だったんでしばらくあがいてたんですが、
どうにもこうにもいかなかったんで libleay32.dll 経由でやることにしました。
有難うございます。
514 名前：デフォルトの名無しさん mailto:sage [2005/06/21(火) 21:29:59 ]: 多倍長整数ライブラリを完成させるプログラム力って
情報工学科学部生の何回生くらいで身につけることが可能でしょうか。
515 名前：デフォルトの名無しさん mailto:sage [2005/06/21(火) 21:34:37 ]: できる奴は小学生。できない奴は一生無理。
授業の課題として出るかどうかってことなら、大学1～3年くらいじゃん?

あと、情報工学科はプログラム力を付けるところじゃないよ。
516 名前：デフォルトの名無しさん mailto:sage [2005/06/21(火) 21:37:53 ]: メモリ効率を気にしないなら簡単に作れる
517 名前：デフォルトの名無しさん mailto:sage [2005/06/22(水) 10:05:11 ]: 速度もな。

自分で下手な独自実装してもバグはありまくりだし遅いしでロクなものに
ならないだろうから、本を見て実装するよし。

たしかfairealでjavascriptによる実装をやってなかったっけ?
518 名前：デフォルトの名無しさん [2005/07/13(水) 14:05:50 ]: age
519 名前：デフォルトの名無しさん mailto:sage [2005/07/20(水) 00:06:30 ]: 【認証局】SSLに関するスレ１枚目【ぼろ儲け】
pc8.2ch.net/test/read.cgi/mysv/1071339107/
520 名前：デフォルトの名無しさん mailto:sage [2005/07/20(水) 11:34:16 ]: 秘密鍵をアプリに持たせて、ファイル関係を暗号化しておきたい場合
逆アセンブルや解析されても比較的強い鍵の保持の仕方ってどういうのがあるの？
521 名前：デフォルトの名無しさん mailto:sage [2005/07/20(水) 11:42:13 ]: ここに書いた時点で強くなくなっちゃうな。
522 名前：デフォルトの名無しさん mailto:sage [2005/07/20(水) 12:54:58 ]: 鍵を構成するビットを一つのまとまった個所に置くんじゃなくて分散させるとか
多重暗号化するとか暗いかな
523 名前：デフォルトの名無しさん mailto:sage [2005/07/20(水) 19:25:05 ]: >>520
公開鍵暗号系で、公開鍵のみをプログラムに持たせておく。
524 名前：デフォルトの名無しさん mailto:sage [2005/07/20(水) 20:08:25 ]: 復号だけならな。
525 名前： mailto:sage [2005/07/20(水) 23:27:07 ]: 国産暗号アルゴリズム「Camellia」がインターネットの標準暗号規格に採用
internet.watch.impress.co.jp/cda/news/2005/07/20/8483.html
526 名前：デフォルトの名無しさん mailto:sage [2005/07/31(日) 21:41:29 ]: あげ
527 名前：デフォルトの名無しさん mailto:sage [2005/07/31(日) 22:10:49 ]: >>525
ソースコード読んだけど、これx64とかMMXで容易に64ビット化できそう
SSE2だと逆に遅くなりそう。
528 名前：デフォルトの名無しさん mailto:sage [2005/07/31(日) 23:29:00 ]: ×64ビット化できそう
○高速化できそう

暗号強度落としてどうすんねorz
529 名前：デフォルトの名無しさん mailto:sage [2005/07/31(日) 23:37:23 ]: わろす
530 名前：デフォルトの名無しさん mailto:sage [2005/08/01(月) 04:26:45 ]: デジタル放送の「コピーワンス」が運用見直しへ
pc8.2ch.net/test/read.cgi/pcnews/1122616804/
531 名前：デフォルトの名無しさん mailto:sage [2005/08/03(水) 13:58:38 ]: CipherSaber
532 名前：デフォルトの名無しさん mailto:sage [2005/08/19(金) 05:30:34 ]: keyとなるファイル(ある程度の大きさ、とりあえず1024byte以上)を使って
メルセンヌ・ツイスターを初期化し、nビット毎に乱数との差分を出力する。

簡単な暗号として考えたんだけど、これはどのくらい安全？
keyファイルは見つからないという前提で。
533 名前：デフォルトの名無しさん mailto:sage [2005/08/19(金) 20:39:16 ]: 飾りをとると要するに
(値, 位置) から一意に定まる値への写像
だろ? あまり安全とは思えんが。
534 名前：デフォルトの名無しさん [2005/08/20(土) 01:09:39 ]: 共通鍵暗号方式と公開鍵暗号方式、一般に同一ビット数であれば
暗号強度が高いのはどっちでしょううか？
535 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 01:12:41 ]: 一緒だ
536 名前：デフォルトの名無しさん [2005/08/20(土) 01:13:42 ]: >>535
それは無いと思うから質問してます。
537 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 01:21:27 ]: >>536
何故ですか？
そう思う理由を言ってよ。
何となくとか言うなよ。
538 名前：デフォルトの名無しさん [2005/08/20(土) 01:25:55 ]: >>537
試験問題の選択問題に、その選択しがないからであります。
539 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 01:32:19 ]: >>538
その問題には適用する状況は書いてないの？
540 名前：デフォルトの名無しさん [2005/08/20(土) 01:35:48 ]: >>539
問題文全文を転載します。
以下の文章は、暗号化方式について述べたものだ。空欄には「高い」「低い」「長い」「短い」のいずれかが入る
適切なものを選べ

暗号化を行う場合、利用するビット数が増えるほど一般に暗号強度が（1）と言われる。ただし、暗号強度は利用する暗号方式によっても変化する。
一般に同一ビット数であれば、共通鍵暗号方式は公開鍵暗号方式よりも暗号強度は（2）。
また、共通鍵暗号方式は公開鍵暗号方式よりも暗号化に要する時間が（3）。

1と3はあっさり分かったのですが、2だけが分からなかったのです。
541 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 01:39:04 ]: 高いだろ
542 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 01:39:26 ]: ブルートフォースアタックに対して同等の強さを持つ鍵長の比較
対象暗号　　　公開鍵暗号
　128bit　　　　　　2304bit
　112bit　　　　　　1792bit
　 80bit　　　　　　768bit
　 64bit　　　　　　512bit
543 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 01:39:31 ]: >>540
56bitの共通鍵≒384bitの公開鍵
544 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 01:41:57 ]: 訂正：対象暗号→対称暗号
545 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 01:44:37 ]: 要するに高いで正解だな。
公開鍵の方がbit数が高いというデータが目の前にあるだろ？
546 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 02:32:37 ]: 実際のものを思い浮かべれば言いやん
秘密鍵はＺＩＰ暗号化
公開鍵はＡＰＯＰ認証
ＺＩＰパスワードはブルートフォースでほぼ鍵が見つかる。
ＡＰＯＰは途中を傍受したとしても解読不可能
547 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 03:04:08 ]: >>546
('Ａ`;)ｵﾏｲ…
548 名前：532 mailto:sage [2005/08/20(土) 03:32:59 ]: >>533
xorならokですか？ってそういう問題じゃないですよね…

暗号文と鍵ファイルが１対１の関係であればかなり安全なんじゃないかと思うんです。
問題は複数のファイルを同一の鍵で暗号化した時なんですが、これは何とかなりそうです。
549 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 06:02:35 ]: >>542
それぞれの暗号アルゴリズムによってこんな数値いくらでも変わってくると思いますが。
550 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 13:51:15 ]: >>549
アリスか暗号技術大全[Schneier 1996]に文句いいなさい
551 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 14:02:07 ]: >>542-543
その「公開鍵暗号」ってRSAに限った話だね。
楕円曲線暗号だともっと短くなる。

1024ビット鍵のRSA暗号と同じ強度が160ビット鍵の楕円曲線暗号で実現できる、
なんて売り文句もある。
552 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 15:03:51 ]: どっちにしろ共通鍵のほうがbit数が少なくて済む罠
553 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 16:35:42 ]: そういえばAESが解かれた話はまだ聞きませんね。
554 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 17:54:58 ]: 解かれたらまた選定やり直し
ってかわざわざコンペして選んだんだから問題があればその過程で
よってたかってつつかれてる筈で、こんなに早く解かれたら
暗号研究者は揃いも揃って何をやってたんだバカヤロって話になる
555 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 20:32:05 ]: >>553
これ↓は？　「AES 解読」でぐぐってトップだったんだけど。
ttp://internet.watch.impress.co.jp/www/article/2002/0917/aes.htm
556 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 21:12:35 ]: どんな暗号でも逆算は存在するんだろうな
557 名前：デフォルトの名無しさん mailto:sage [2005/08/20(土) 23:59:40 ]: 不可逆暗号化してOCR
558 名前：デフォルトの名無しさん mailto:sage [2005/09/13(火) 07:36:24 ]: ttp://takagi-hiromitsu.jp/diary/20050903.html#f02
オレオレ証明書の分類
559 名前：デフォルトの名無しさん mailto:sage [2005/09/15(木) 09:45:07 ]: AESって使うのにライセンス料とかかかる？
560 名前：デフォルトの名無しさん mailto:sage [2005/09/15(木) 10:38:41 ]: 無料かつ誰でも自由に使える標準暗号の制定
という理念でAES候補が決定された。

AES使用にライセンス料はかからないし
誰かに許可を求める必要はない。
561 名前：デフォルトの名無しさん mailto:sage [2005/09/15(木) 23:50:28 ]: 許し屋マスオみたいだな
562 名前：デフォルトの名無しさん mailto:sage [2005/09/16(金) 18:38:25 ]: >>560
反政府組織も使っていいんだっけ?
563 名前：デフォルトの名無しさん mailto:sage [2005/09/16(金) 21:14:41 ]: >562
お前さんからは危険なにおいがぷんぷんするな
そんな質問したら怖くて誰も答えんよ。
564 名前：デフォルトの名無しさん mailto:sage [2005/09/17(土) 13:14:54 ]: 【生体認証戦国時代】NTTグループが佐賀県庁の全職員端末に指紋認証システム導入　静脈認証に対抗？【個人情報】
news19.2ch.net/test/read.cgi/newsplus/1126919499/
【地域】海外の特殊プリンターを取り寄せ，紙幣のホログラムまで偽造-40歳男を再逮捕へ：大阪府警
news19.2ch.net/test/read.cgi/newsplus/1126808208/
565 名前：デフォルトの名無しさん mailto:sage [2005/09/18(日) 12:11:08 ]: 【暗号/霧霞】三菱電機組込用暗号ｱﾙｺﾞﾘｽﾞﾑ小型版"BRUME"と高速版"BROUILLARD"開発
news18.2ch.net/test/read.cgi/scienceplus/1126595662/
【eTRON】大日本印刷、eTRON仕様の高速セキュリティﾓｼﾞｭｰﾙ「SECURETRON32-B」を開発
news18.2ch.net/test/read.cgi/scienceplus/1126596160/
【研究】タイピングの「音」でパスワードを「盗聴」…新たなセキュリティ危機が出現
news19.2ch.net/test/read.cgi/newsplus/1126709557/
566 名前：デフォルトの名無しさん [2005/09/22(木) 16:27:26 ]: 保守
567 名前：デフォルトの名無しさん [2005/10/01(土) 15:10:17 ]: あげ
568 名前：デフォルトの名無しさん mailto:sage [2005/10/04(火) 03:06:30 ]: フリーソフトでアタッシェケースってのがあるがAESなのね。
なのでCamelliaで作ってみようと思うが
特許は無償開放されているようだが実際使って大丈夫なのだろうか？
メモリも暗号化したほうがいいよな・・・うーん。
569 名前：デフォルトの名無しさん mailto:sage [2005/10/04(火) 10:02:39 ]: 何かが怪しいセキュアコンピューティング
Bruce Schneier
2005/09/21
ttp://japan.cnet.com/column/pers/story/0,2000050150,20087408,00.htm
570 名前：デフォルトの名無しさん mailto:sage [2005/10/04(火) 15:01:50 ]: >568
大丈夫じゃないの？
特許を無償で使っていいってことは勝手に使っていいよってことでしょ？
だめならお金を取りますっていうと思う。

と>568のレスを見て思った。

メモリの暗号化というのはよくわかりませんが・・・
571 名前：570 mailto:sage [2005/10/04(火) 15:07:41 ]: Camelliaの公式HP見つけた。
ここ読めばいいんじゃね？法律とか難しいことはよくわかんね。

ttp://info.isl.ntt.co.jp/crypt/camellia/index.html
572 名前：デフォルトの名無しさん mailto:sage [2005/10/05(水) 07:16:21 ]: >>570-571
お手数おかけしてスマソ。そのページその他もろもろ見てあります。
ttp://info.isl.ntt.co.jp/crypt/info/chiteki.html

やるならフリーソフトだけど、こういう話もあるし・・・
ttp://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010418/1/?ST=itpro_print

せっかくだからCamellia普及の一歩になればと思うし
高速化その他もろもろもチャレンジしてみたいのだけれども。
ＡＥＳの条件に特許フリーと著作権フリーがあったと思うが
そこまでではないようだし、微妙にグレーかなぁと。

いっそのことWindowsに組み込まれて誰でも自由に使えれば
それにこしたことはないんだけどね。暗号化や解凍がすぐ出来れば・・・
ＩＥ７向けに売り込んでる最中っぽいけどね。
573 名前：デフォルトの名無しさん mailto:sage [2005/10/05(水) 07:38:30 ]: ITProの方は読んだけどなんとも中途半端な無償公開だねぇ・・・。
574 名前：デフォルトの名無しさん mailto:sage [2005/10/05(水) 12:59:59 ]: AESそのものが選りすぐりの一品だからなあ。
Camelliaが非常に優れているか、AESに致命的な問題でもない限り
普通は乗り換える理由がないよ。
575 名前：デフォルトの名無しさん mailto:sage [2005/10/05(水) 13:20:58 ]: AESの利用を縛る条文について詳しく
576 名前：デフォルトの名無しさん mailto:sage [2005/10/05(水) 13:42:53 ]: うっかり、自分で最適化したら、
NTTが「いらっさーい」と待ってるかも知れないってこと？ｗ
577 名前：デフォルトの名無しさん mailto:sage [2005/10/05(水) 16:04:02 ]: TWOFISHが…好きです……
578 名前：デフォルトの名無しさん mailto:sage [2005/10/05(水) 17:02:56 ]: > ＡＥＳの条件に特許フリーと著作権フリーがあったと思うが

放棄だったかもしれないぞ。
フリー（権利は持ったまま利用は無償）と
放棄（権利から何から一切合財放棄）は、全然違うから注意。
579 名前：デフォルトの名無しさん mailto:sage [2005/10/05(水) 17:11:58 ]: > ＡＥＳの条件に特許フリーと著作権フリーがあったと思うが

放棄だったかもしれないぞ。
フリーと放棄は、全然違うから注意。
580 名前：デフォルトの名無しさん [2005/11/04(金) 09:49:00 ]: 【社会】最新型電子ロック搭載の車が相次いで盗難　イモビライザー破りか？
news19.2ch.net/test/read.cgi/newsplus/1131062136/
581 名前：デフォルトの名無しさん [2005/11/13(日) 07:21:56 ]: Windows で crypt() 関数を使うのに、
一番手っ取り早い方法って何でしょう？
582 名前：デフォルトの名無しさん mailto:sage [2005/11/13(日) 10:02:04 ]: cygwin
583 名前：デフォルトの名無しさん mailto:sage [2005/11/16(水) 04:50:45 ]: >>581
昔、2chのトリップクラック情報サイトで移植版が掲載されていたのを見た覚えがある。
その線で探せるんじゃない？
584 名前：デフォルトの名無しさん mailto:sage [2005/11/17(木) 22:34:41 ]: >>581
ufc crypt でぐぐれ
utripper にもソース同梱されてる

手っ取り早いのは>>582の言うとおりcygwin
585 名前：デフォルトの名無しさん [2005/12/26(月) 05:54:07 ]: 【数学】43番目のメルセンヌ素数が発見される【GIMPS】
news18.2ch.net/test/read.cgi/scienceplus/1135522516/
586 名前：初心者 [2006/01/03(火) 21:08:37 ]: =fcdc3abf25f3e04a2424a82e29afabd2
誰かこの暗号が解ける人居ませんか？
詳しい人に言わせりゃもの凄く簡単な暗号らしいんですけど。
587 名前：デフォルトの名無しさん [2006/01/03(火) 22:02:45 ]: 16進数→ascii
588 名前：デフォルトの名無しさん mailto:sage [2006/01/04(水) 05:47:06 ]: >>587
ありがとうございます。
けど違うみたいでした…
頑張って自分で調べてみます。
お手数かけました。
589 名前：デフォルトの名無しさん [2006/01/12(木) 19:54:46 ]: すみません、質問になってしまうのですが
最近楕円Cramer-Shoup暗号というのを知って
Ｃ言語で実装しようと思っているのですがいまいち理解できません。
Cramer-Shoup暗号は実装済みなのですが、これを楕円化すればいいのでしょうか？
その場合、乗法を加法にする（例：g^x→g*x）以外にやるべきことは
なにかあるでしょうか？
自分で調べたことは有限体上の乗法群における要素を
楕円曲線上の有限可換群の要素に変える、というのがありましたが
具体的にどうやっていいのかわかりません。
よろしければ教えていただけないでしょうか？
590 名前：デフォルトの名無しさん [2006/01/16(月) 08:44:36 ]: ゲームのリソースの保護のような、プログラム中に復号化鍵を隠すような方法ってどんなのがあるんだ？
まあ、ここで言ってしまったら鍵を隠す方法ではなくなるかもしれんが。
591 名前：デフォルトの名無しさん mailto:sage [2006/01/16(月) 19:33:39 ]: コードにアクセスできる以上、復号鍵を絶対に秘匿することは不可能だが
可読性を下げるためにオススメなのは

「復号鍵を定数でデコーダループに組み入れ定数展開」

ではないかな。
592 名前：デフォルトの名無しさん [2006/01/16(月) 23:02:22 ]: もうひとつ聞くけど、暗号化したプログラム本体をリソースとして別のexeに組み込んで、
そのexeが動的に復号化して本体を実行するというようなものはどうやって行ってるの？
windowsアプリのexeを、別のアプリからfopen()などを使ってメモリ上に読み込めてもそこから実行に移す方法が分からない。
593 名前：デフォルトの名無しさん mailto:sage [2006/01/17(火) 06:35:07 ]: >>592
自己展開してるんじゃないの？
通常はWindows OSがやってくれるローディングを自前ですれば
実行可能な状態を整えてメモリに展開できる。
594 名前：デフォルトの名無しさん mailto:sage [2006/01/17(火) 12:50:36 ]: メモリ上に展開した後に、その中のmain関数の場所が分かれば(*ptrmain)()とかやって実行を移せると思うんだけど、
そのアドレスが分からない。展開したメモリの最初のアドレスではないと思うし。
595 名前：デフォルトの名無しさん mailto:sage [2006/01/17(火) 15:28:33 ]: >>594
そういう情報はexeやdllのヘッダにちゃんと書いてありますよ。
596 名前：デフォルトの名無しさん mailto:sage [2006/01/17(火) 20:10:38 ]: main関数のアドレスは書いてないけどね。
597 名前：デフォルトの名無しさん mailto:sage [2006/01/17(火) 21:14:48 ]: つ[upx]
598 名前：デフォルトの名無しさん [2006/01/21(土) 23:14:40 ]: 三菱が九月に開発したBRUMEだけどアルゴリズムは公開しないのかな？
霞みたいな構造しているんだろうが、実際の所はどうなんだ？
Sボックスはガロア体の合成体で、鍵スケジュールはシフトとXOR？
599 名前：デフォルトの名無しさん mailto:sage [2006/01/21(土) 23:22:09 ]: 普通にデバッガ通してメモリダンプかな。

manifestの埋め込まれたEXEをupxかけると起動すらできなくなりました。
逆に、パッキングした状態でサマリが合うようにできれば、アンパッキング防止として使える？
600 名前：デフォルトの名無しさん mailto:sage [2006/01/21(土) 23:28:25 ]: >>598
どうだろね。
オープンになったCamelliaですらフリーのサンプルコードの１つもオープンソース陣営から出てきてないからな。
莫大な金かけて開発した暗号をタダで手放すほど企業はお人よしじゃないでしょ。
601 名前：デフォルトの名無しさん mailto:sage [2006/01/21(土) 23:43:40 ]: CamelliaはCのサンプルコードが提供されてるから遊んでみたけど、簡単に公開できないよね。
NTTとなにやら契約しないといけないみたいで
602 名前：デフォルトの名無しさん mailto:sage [2006/01/24(火) 13:37:45 ]: >>599
upxってリソースをいじってしまうんでなかったっけ。
リソースそのまま残しておくオプションとかあった希ガス
603 名前：デフォルトの名無しさん [2006/01/24(火) 21:10:15 ]: Windowsが持っているCryptAPIというライブラリを
使えば公開鍵を利用するプログラムを作れるのでしょうか?

公開鍵・秘密鍵の生成と、それを使った暗号・復号だけが
できればよくて、証明書とか検証とかは必要ないのです。
604 名前：デフォルトの名無しさん mailto:sage [2006/01/24(火) 21:41:04 ]: 単に NSS とかを組み込んだだけと違うの?
605 名前：デフォルトの名無しさん mailto:sage [2006/01/25(水) 11:07:11 ]: >>599
ふつうにできてるよ。manifest（XPｽﾀｲﾙ？）込みのupx圧縮。
606 名前：デフォルトの名無しさん [2006/01/25(水) 22:29:46 ]: rijndaelでjpeg画像を暗号化したときに、(jpegを暗号化したものだと知られれば)JFIF...といったヘッダの部分が
攻撃者に知られるけど、こういう場合は既知平文攻撃をされるの？
あと、この問題はどれぐらい深刻？
607 名前：デフォルトの名無しさん [2006/01/25(水) 23:06:01 ]: >こういう場合は既知平文攻撃をされるの？
される。でも、ほとんど手がかりにはならない。なんだったら定型ヘッダを除いて
暗号化すればよい。

>あと、この問題はどれぐらい深刻？
相手として誰を想定しているかによるけど、この質問をしたところから考えて、
あなたがばれたらまずいと思っている人間に解読はまず不可能。
心配する必要はない。
608 名前：デフォルトの名無しさん mailto:sage [2006/01/30(月) 16:02:31 ]: >>603
いまなら、.Net Frameworkの Managed暗号クラス使うのがいいんじゃね?
CryptAPIとか、ライブラリとかインストールする必要ないみたいだし。
609 名前：デフォルトの名無しさん mailto:sage [2006/02/03(金) 23:33:34 ]: 【ギリシャ】首相らに大規模盗聴、携帯１００台にスパイウェア…「外国の情報機関？」
news19.2ch.net/test/read.cgi/newsplus/1138897567/

17 名前：名無しさん＠６周年投稿日： 2006/02/03(金) 22:46:58 ID:B3bTDceG0
■The World
　www.theworld.org/latesteditions/02/20060202.shtml
　www.theworld.org/wma.php?id=020211

・首相、閣僚を含む　ほ　と　ん　ど　全　て　の　政治指導者、軍隊・警察の幹部等の携帯電話が盗聴される。

・極めて洗練された盗聴工作。Vodaphoneのメインフレームにスパイウェアをインストール。通話が別の携帯電話に転送、記録される。

・「電話盗聴は現在も行われているのでは？」と危惧する政府関係者も。

・誰の仕業か不明。昨年３月に判明してから調査を継続しているが未だに判明せず。

・盗聴対象者から見て産業スパイとは考え難い。西側情報機関の活動。オリンピック期間中のセキュリティ・チェックが目的？
610 名前：デフォルトの名無しさん [2006/02/15(水) 23:05:19 ]: 仮に鍵が0～255の256通りしかない共通鍵暗号アルゴリズムがあるとして、
乱数で鍵を生成するとき、20でも157でも234でも一様に鍵が生成されるべきだと思うんだけど、
0,1,2,...の順でブルートフォースアタックされたら小さい数の鍵が先に解読されてしまう。

当然、乱数は一様に生成されるほうがいいんだよな？
611 名前：デフォルトの名無しさん [2006/02/16(木) 00:15:32 ]: 一様に生成されない乱数ってなんか矛盾してる希ガス
612 名前：デフォルトの名無しさん mailto:sage [2006/02/16(木) 00:33:25 ]: やっぱブルートフォースって小さいほうからやるものなの？
ループは大きいほうから減算していったほうが速いらしいじゃん
613 名前：・∀・）っ-○●◎- ◆Pu/ODYSSEY mailto:sage [2006/02/16(木) 00:39:12 ]: ループが減算のほうが早い云々は、

i++
temp = 100 - i ;
if ( temp == 0 ) {}

i--;
if ( i == 0 ) {}

のほうが１命令分速いっていう理屈。
暗号の総当りの高速化は１クロック２クロック速いとかそんなこと問題じゃないくらい
暗号化自体に膨大な計算量がかかるのです。
614 名前：デフォルトの名無しさん mailto:sage [2006/02/16(木) 03:44:38 ]: >>611
ja.wikipedia.org/wiki/%E3%83%A9%E3%83%B3%E3%83%80%E3%83%A0
ja.wikipedia.org/wiki/%E4%B9%B1%E6%95%B0
615 名前：デフォルトの名無しさん [2006/02/17(金) 23:05:52 ]: IT系ニュースサイトにRSA Conference 2006の記事がいろいろ出てますね
616 名前：デフォルトの名無しさん [2006/02/18(土) 18:49:43 ]: Diffie-Hellman鍵交換でAES用の128bitの鍵を共有しようと思うんだけど、
（ソフトに内蔵する）gとpに
www.dns.net/dnsrd/rfc/rfc2539.html
のA.2. Well-Known Group 2: A 1024 bit primeをそのまま使ったらいいの？
617 名前：デフォルトの名無しさん mailto:sage [2006/02/19(日) 14:47:29 ]: つ[擬似乱数生成器]
つ[ミラーラビン法]
618 名前：デフォルトの名無しさん [2006/02/22(水) 01:22:38 ]: サイコロって真の乱数生成機として十分？（速度が遅いのは除いて）
619 名前：デフォルトの名無しさん mailto:sage [2006/02/22(水) 03:17:27 ]: たいていの製品(安物)は重心がずれていたり、
1と6の面が若干大きかったりする
620 名前：デフォルトの名無しさん mailto:sage [2006/02/22(水) 06:46:54 ]: 618が百回振って、トリビアを作れ。
621 名前：デフォルトの名無しさん mailto:sage [2006/02/22(水) 08:55:34 ]: >>619
そこで「世界最速のサイコロ」ですよ
622 名前：デフォルトの名無しさん mailto:sage [2006/02/22(水) 23:41:42 ]: 量子コンピュータでサイコロ振れば
623 名前：デフォルトの名無しさん [2006/02/25(土) 04:41:10 ]: 新型イモビライザー破りのＲＶ窃盗団を初摘発
live22x.2ch.net/test/read.cgi/news/1140807016/
624 名前：デフォルトの名無しさん mailto:sage [2006/02/28(火) 03:55:11 ]: ENFOPOL
625 名前：デフォルトの名無しさん mailto:sage [2006/02/28(火) 21:18:04 ]: サイコロでは無く人間の投げ方がランダムなのだ
626 名前：デフォルトの名無しさん mailto:sage [2006/03/15(水) 18:20:34 ]: 暗号技術大全って共通暗号鍵方式についてどれくらい書いてある？
627 名前：デフォルトの名無しさん mailto:sage [2006/03/17(金) 00:26:17 ]: >>626
本屋で見てみろよ。そのぐらいは店主も許してくれるぞ。
628 名前：デフォルトの名無しさん mailto:sage [2006/03/17(金) 04:48:30 ]: 数学を専攻していて暗号関係の職に就きたいと思ってるんですが、どんな事をやってるんでしょうか？
実際に企業で働いてる方お願いします。
629 名前：デフォルトの名無しさん [2006/03/17(金) 06:43:52 ]: KDDIがやらかしたな
630 名前：デフォルトの名無しさん mailto:sage [2006/03/17(金) 19:51:00 ]: もっと、人間的な職業に就きなよ。
631 名前：デフォルトの名無しさん mailto:sage [2006/03/17(金) 23:03:15 ]: >630 研究してる感じなんですか？
人間的でない方が嬉しいです。
632 名前：デフォルトの名無しさん mailto:sage [2006/03/17(金) 23:27:41 ]: 給料は安いのに残業時間だけは人一倍長い
633 名前：デフォルトの名無しさん mailto:sage [2006/03/18(土) 00:08:21 ]: >632 やりがいはあるんですかね？
論文のようなものも書いたりするんですか？
634 名前：http://www.vector.co.jp/soft/win95/util/se072729.html mailto:http://www.microsoft.com/japan/windowsxp/64bit/default.mspx [2006/03/18(土) 19:26:21 ]: 64bitに対応したトリップ検索プログラムありますか？

TextSS　のWindowsXP(Professional)64bit化おながいします

もしくは64bitにネイティブ対応したテキスト置換ソフトありますか？
635 名前：デフォルトの名無しさん mailto:sage [2006/03/18(土) 19:37:47 ]: 氏ね
636 名前：デフォルトの名無しさん mailto:sage [2006/03/19(日) 00:35:17 ]: >>633
まずはこんなところで聞かないで企業さんのところへ行って話を聞いておいで
あと、新人社員って言うのは大抵は雑用が仕事のメインになる
自分で第一目標にこぎつけるまでやる気出さないとダメよ

続きは就職板な
637 名前：デフォルトの名無しさん mailto:sage [2006/03/19(日) 06:02:29 ]: >636 ありがとうございます
就職板に暗号関係のスレありましたっけ？
いってみます
638 名前：デフォルトの名無しさん mailto:sage [2006/03/19(日) 18:44:27 ]: CRYPTOに来てるような企業を対象にすれば？
おまいがその部署に入れるかどうか分からんが
639 名前：デフォルトの名無しさん mailto:sage [2006/03/19(日) 19:46:01 ]: >638 なるほど。非常に参考になります。

指導教官には日本ではあまり力をいれてない分野と言われたのですが、数学を活かせるしこれからの時代ｾｷｭﾘﾃｨの重要性は益々大切になってくると個人的には思ってるので、小さな所でもいいのでそのような所で働きたいです。
640 名前：デフォルトの名無しさん [2006/03/20(月) 00:01:31 ]: 誰か暗号化関数作ってくれ！
キャラクタずらすやつ以外で。
641 名前：デフォルトの名無しさん mailto:sage [2006/03/20(月) 00:13:47 ]: キャラクタひっくり返すやつでいいか?
642 名前：デフォルトの名無しさん mailto:sage [2006/03/20(月) 00:34:34 ]: #include <iostream>
#include<stdio.h>
#include <windows.h>

#define SHIFT_VALUE (500)

int main()
{

char str[]="感ず感じもＯＫ？なのかなWea小列滑稽殺傷件方法決定鴈時";

printf("元:%s\n",str);

for(int i=0;str[i]!='\0';i++)
str[i]+=SHIFT_VALUE;

printf("暗号化:%s\n",str);

for(int i=0;str[i]!='\0';i++)
str[i]-=SHIFT_VALUE;

printf("復元:%s\n",str);

return 0;
}
自分で作ってみました、簡単に見破られそう＞＜
643 名前：デフォルトの名無しさん mailto:sage [2006/03/20(月) 00:35:34 ]: ＞＞６４１
見破られないならＯＫです＞＜
644 名前：デフォルトの名無しさん mailto:sage [2006/03/20(月) 02:03:59 ]: つーか、シーザーだな
645 名前：デフォルトの名無しさん mailto:sage [2006/03/20(月) 07:39:45 ]: #define SHIFT_VALUE (512)
646 名前：デフォルトの名無しさん mailto:sage [2006/03/20(月) 08:52:47 ]: ＞＞６４４
シーザーって何ですか？
シーザーサラダが出てきました＞＜
maple.doshisha.ac.jp/etc/caesar/index.html

＞＞６４５
それは秘密にしといてください＞＜
647 名前：デフォルトの名無しさん mailto:sage [2006/03/20(月) 21:18:04 ]: ttp://ja.wikipedia.org/wiki/%E3%82%B7%E3%83%BC%E3%82%B6%E3%83%BC%E6%9A%97%E5%8F%B7
648 名前：デフォルトの名無しさん [2006/03/24(金) 17:37:07 ]: MD5のリサーチペーパーを書いているのですが、
MD5で得られるハッシュ値を10桁くらいにして、コリジョンを調べるアプリとかってないですかね？
649 名前：デフォルトの名無しさん mailto:sage [2006/03/24(金) 18:39:27 ]: 総当りでループぶんまわすコード書けばいいんじゃないの？
650 名前：デフォルトの名無しさん mailto:sage [2006/04/13(木) 22:30:58 ]: 国産暗号「Camellia」がオープンソースに
www.itmedia.co.jp/news/articles/0604/13/news097.html
www.ntt.co.jp/news/news06/0604/060413a.html
ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━!!!!!
651 名前：デフォルトの名無しさん mailto:sage [2006/04/14(金) 13:45:01 ]: >>650
修正BSDライセンスとGPLのデュアルライセンスな件について
652 名前：デフォルトの名無しさん mailto:sage [2006/04/15(土) 06:53:38 ]: >>650
TrueCryptにつっこんでベンチマーク実行してみたんだけど、
スループットがTwofishの半分くらいしか出なかった。Serpentより遅いなんて。
最適化の余地があるのか、これが実力なのか、何かの間違いなのか・・・
ちょっと悲しい
653 名前：デフォルトの名無しさん [2006/04/21(金) 20:47:18 ]: >>647
見れないぞ？
654 名前：デフォルトの名無しさん mailto:sage [2006/04/21(金) 21:30:27 ]: 見れるけど？
655 名前：デフォルトの名無しさん [2006/04/25(火) 20:03:48 ]: 見れた。
ウィキペディアはたまに鯖が糞重くてブラウザが死んだみたいになるから困る。
656 名前：デフォルトの名無しさん [2006/04/29(土) 23:52:03 ]: >>650
NTTのCamelliaんとこ
変わったなあ。
以前のやる気のなさと大違い。
本気で普及させる気のようだ。
657 名前：・∀・）っ-○●◎ [2006/04/30(日) 00:01:47 ]: MMX/SSE2でチューニングしてみようぜ。
てか、テーブル展開しすぎ。
658 名前：デフォルトの名無しさん mailto:sage [2006/04/30(日) 00:18:40 ]: アマゾンで大好評だった暗号入門秘密の国のアリスは糞本だったorz
659 名前：デフォルトの名無しさん [2006/04/30(日) 00:33:30 ]: >>652
ソース嫁
660 名前：・∀・）っ-○●◎ ◆Pu/ODYSSEY [2006/04/30(日) 00:36:22 ]: DESより速いみたいなこと書いてあるがBitslice DESよりは余裕で遅い
661 名前：デフォルトの名無しさん mailto:sage [2006/04/30(日) 00:38:20 ]: >>659
読めば何かわかるかな？どうすれば速くなりそう？
ほとんどテーブル参照なんだけど
662 名前：・∀・）っ-○●◎ [2006/04/30(日) 00:43:38 ]: テーブルサイズが大きいと、L2のレイテンシが大きいAthlonなんかではネックになりかねない。

元のソースと読み比べてみるとわかるかも。
テーブルサイズ小さくしてpshufwとかの攪拌命令で広げるようにすればよさげ。
663 名前：デフォルトの名無しさん [2006/04/30(日) 01:59:28 ]: これの暗号解ける方いませんか？
homepage3.nifty.com/catfood/up/src/up5052.zip
664 名前：デフォルトの名無しさん mailto:sage [2006/04/30(日) 02:16:05 ]: >>663
スレ違い
失せろ、ｶｽ
665 名前：デフォルトの名無しさん [2006/04/30(日) 04:18:43 ]: >>656
DL数は数日で数千だって　（←どこかで読んだが何千かは忘れた。）

つい最近Camelliaチップも発表されたらしい。かなりいけてるらしいが。
666 名前：・∀・）っ-○●◎ [2006/04/30(日) 04:30:06 ]: S-Boxが入力8bitの出力8bitだからbitslice DESみたいに論理演算に展開する
アプローチは使えないっぽい。
せめて4～5bit単位ならVPERMとかSSE4の新命令pshufbで並列化しまくりなんだが
667 名前：デフォルトの名無しさん mailto:sage [2006/04/30(日) 05:17:09 ]: Camellia_FeistelのUとDの計算は、mmx使えば半分の命令で済むかな？
やるなら関数全部asmで書かないと効果薄い？
668 名前：・∀・）っ-○●◎ [2006/04/30(日) 05:36:03 ]: Camellia_Feistel(xx,kk,oo) マクロなら、64bitのレジスタがあればたしかに半分にできると思う。
でも一番実行クロック食うのってテーブル参照のロードレイテンシな気がするんだけど。

テーブルを束ねて参照回数を減らす手もあるけどテーブルがキャッシュに収まらなくなるので
逆にレイテンシ伸びる希ガス。

例えばpextrw eax, mm0で16bitずつ抽出してal と ahで分けることで8bitずつの値になる。
AESのASMコードがこんな感じのことやってた。Camelliaでも大体似たような
ことやればいいと思うよ。
まぁフルにASMで書けば扱えるレジスタの制約が多少緩くなるけど、インラインasmで十分だと思う。
669 名前：デフォルトの名無しさん [2006/04/30(日) 05:51:16 ]: >>665
>DL数は数日で数千だって

* 初日で2000ダウンロード

>つい最近Camelliaチップも発表されたらしい。

　Camellia LSIは，NTTが開発した共通鍵暗号アルゴリズムのCamellia」（カメリア）の
暗号化/復号処理用の専用チップ。最大の特徴は，パッケージ・サイズが8mm角
（1円玉上に四つ載せられる大きさ）と非常に小さく，また消費電力も最大0.3Wととても
少ない点。それでいながら200Mビット/秒のスループットで暗号化処理が行えるという。

　同社によれば，「米国の標準暗号AESでは，暗号化と復号に別の回路が必要なため，
最低でもこの2倍ほどのチップ・サイズになってしまう。消費電力やパフォーマンスの
面でもCamellia LSIに大きく分がある」

itpro.nikkeibp.co.jp/article/NEWS/20060427/236512/
670 名前：デフォルトの名無しさん mailto:sage [2006/04/30(日) 08:05:12 ]: SCISでもCamelliaの実装に関する発表がいくつかあるね
671 名前：デフォルトの名無しさん mailto:sage [2006/04/30(日) 08:59:13 ]: >>668
ありがとう。MMX使うインラインasmでちょっとやってみたけど
10%くらいしか高速化できなかった・・・。書き方が悪いんだろうなorz
SBOXのテーブルって全部で4kしかないでしょ？L2には乗ってるような
672 名前：デフォルトの名無しさん [2006/06/19(月) 22:40:31 ]: ふと思ったのですが、
高bit暗号をかけても、低bit暗号を複数かけても暗号強度はかわらないってことはありませんか？
たとえば128bitRSAで暗号化するのと、64bitRSAで暗号化したものを、さらにもう一度別の鍵の64bitRSAで暗号化するような。
２つの暗号が同時に見つからないといけないので、暗号検索にかかる処理量は128bitと同じくらいになるような気がするんですけど・・・

素人考えかもしれないですがどうなのでしょうか？
673 名前：デフォルトの名無しさん mailto:sage [2006/06/19(月) 22:59:01 ]: >>672
暗号による。しかし普通は鍵長を長くする方が有利。
例えば鍵の長さの二乗の時間で解ける暗号があったとする。
32bit の鍵で2回暗号化すると、32*32 + 32*32 = 2048 の時間で解ける。
64bit の鍵で1回暗号化すると、64*64 = 4096 の時間で解ける。
674 名前：デフォルトの名無しさん mailto:sage [2006/06/19(月) 23:07:21 ]: >>672
条件によってはYes。例えば：

弱：1, 2, ... N回目の暗号化の鍵が独立でない
強：1, 2, ... N回目の暗号化の鍵が独立である

弱：複数回掛けると前段の影響で逆に解読の手がかりを残すアルゴリズム
強：複数回掛けても前段の影響を受けないアルゴリズム

弱：x回目(x≠N)の解読が正しいか(部分的にでも)判定できる
強：N回目を解くまで解読が正しいか(部分的にでも)判定できない

弱：鍵のbit数に対して暗号化ブロックサイズが小さい
強：鍵のbit数に対して暗号化ブロックサイズが大きい

などなど。本当にYesかどうかはアルゴリズムやパラメータや利用モードによるので一概には言えない。
675 名前：672 mailto:sage [2006/06/19(月) 23:18:56 ]: >>673
レスありがとうございます。

私が考えてるのはちょっと違いまして、
673さんの例でいうと、32bitの暗号解読を１つめの鍵を検索して、
もし正しい鍵を使って解読しても2つめの鍵で暗号化されているので、正しい鍵を見つけたのかどうか判定できないのではないか？ということです。

つまり１つめの鍵を見つけて、次の鍵を探すという処理ができないので、
（1つめの鍵を見つける時間）*（２つめの鍵を見つける時間）
つまり足し算ではなくて掛け算にならないかなぁ・・・・と思ったわけです。

でてきた解読データが「さらに暗号化されたデータ」でも、解除が成功したと判定できるものなんでしょうか？
676 名前：デフォルトの名無しさん mailto:sage [2006/06/19(月) 23:25:41 ]: >でてきた解読データが「さらに暗号化されたデータ」でも、解除が成功したと判定できるものなんでしょうか？
現在実用されている現代暗号方式なら、まず間違いなく「できない」と言い切っていいと思う。
677 名前：672 mailto:sage [2006/06/19(月) 23:30:24 ]: >>674
レスありがとうございます。

４つの差はなんとなくわかりました。
RSAでのプログラムを組んでいたのですが、高次になるとあまりにも素数発見に時間がかかり、
鍵生成できないのでなんとかならないかと考えてました。
この場合、「指数」「法」「素数」を変えれば鍵が独立で、前後の影響をうけず、途中までの解読が正しいかを判定できないと
いうことが知りたいんですよんね・・・・
678 名前：デフォルトの名無しさん mailto:sage [2006/06/20(火) 01:05:00 ]: ハイブリット暗号？
679 名前：672 mailto:sage [2006/06/20(火) 03:53:17 ]: >>678
私へのレスかな？
秘密鍵を使うわけではないのでハイブリッド暗号ではありません
「ジャンボ宝くじ」に対する「ロト６」みたいなものかな？素人なので専門用語はちょっとわかりません・・・

>>674
レス674の４つめの暗号化するブロックサイズですが、
暗号化キーのビット幅が小さくなっても、暗号化が局所的にならないように
それぞれの暗号化に対して、対象ブロックをずらしていく（ビットシフト）や複数ビットを１ビットと見立てて暗号化するなどして、
前後のブロックとからめて暗号化してゆけば、１つの高bitキーと同じようなブロックサイズを維持できて、
暗号化強度も上がるんじゃないかと思いました。
逆に解読の手がかりも残りにくくなり、数学的にも指数の連立方程式となって難しくなると思います。
680 名前：デフォルトの名無しさん mailto:sage [2006/06/20(火) 05:57:12 ]: RSAは準指数だから、
例え（1つめの鍵を見つける時間）*（２つめの鍵を見つける時間）になったとしても、
（1つめの鍵を+aビット）したもので抑えられる。aを30だとすると、
鍵が1024ビットになってもaは変わらない。
1024ビットの鍵を重ねても実は1100ビットの鍵1つの方が圧倒的に難しい。

暗号を重ねるというトピックでは、
Double-DESの解読で、平文と暗号文の両方から中間文を生成すると
通常のDESと同じ計算量で解けてしまうというのがある。
だからTriple-DESにする必要があった。
同様に4重-DESはTriple-DESと同じ強度。
681 名前：デフォルトの名無しさん mailto:sage [2006/06/21(水) 01:36:07 ]: >>672は暗号についてもうちょっと調べたほうが良いんじゃない？
>679で君が言ってることはブロック暗号のモードのひとつに過ぎないぞ
682 名前：672 mailto:sage [2006/06/21(水) 03:35:30 ]: >>680
すっと考えていたのですが、勘違いであるらしいと気づいてきました。

検索側の計算量が指数的に増えるというのは、
（たとえば64→128bitにする場合）2^64→2^128 となるわけではなく、
2^(64bitであらわされる数)→2^(128bitであらわされる数) およそ 2^(2^64)→2^(2^128)のように増えるということみたいですね。
はじめ 2^64 とか思っていたので、(2^64)*(2^64)=2^128じゃないかなどと思っていました・・・・

２段階に暗号をかぶせる場合、平文と暗号文での比較で解けてしまうというのは気づいていました。
メモリがたくさん用意できれば、予想された暗号キー分の解読テーブルを作って比較すれば、
(2^64)*(2^64)ではなく、(2^64)+(2^64)+(テーブル比較時間)になってしまうと思ってました。
やはり暗号を重ねるなら３重以上が必要なんですね

>>681
たしかにここに書き込んでいると知識不足が恥ずかしくなってきました。
ブロック暗号についてぐぐってみましたら確かに私は同じことを言ってるみたいです。
（しかも見た所どのアルゴリズムもCPU演算的に有利そう・・・）

現時点での標準的なPCの処理能力で、アプリに暗号強度として必要十分でかつ現実的な時間で実現したかったのですが、
もっときちんとした勉強が必要そうですね・・・・
683 名前：デフォルトの名無しさん [2006/06/25(日) 17:46:38 ]: Cから直接OpenSSLのAPIを使うソフトを作らなきゃいけないのですが、
OpenSSLのAPIリファレンスのようなものが見つかりません。(オライリー
の本のサイトに、BIO関係だけはあるのですが…)

探し方が悪いのでしょうが、英文でも和文でも構いませんので、ご存じの
方いらっしゃいましたら、URLを教えていただけると助かります。
684 名前：デフォルトの名無しさん mailto:sage [2006/06/25(日) 18:49:21 ]: 本買ったほうが早いと思うけど。

OpenSSL―暗号・PKI・SSL/TLSライブラリの詳細―
www.amazon.co.jp/exec/obidos/ASIN/4274065731/

sslのリンク紹介
www.infoscience.co.jp/technical/openssl/related/

個人的にはwebだけで済まそうとせずに、きちんと本を買って勉強して欲しい。
685 名前：683 mailto:sage [2006/06/25(日) 19:18:42 ]: >>684
レスありがとうございます。
説明が足りなくて済みません。
その本にも公式サイトにも、まとまった情報が無いので困ってるのです ^ ^;
ちなみに、以下の本は所有していますが、いずれにもバラバラに部分的
な情報しか記述されていないのです。圧縮処理などの都合で、すでに
入出力をまとめたクラスが存在するので、可能であれば、BIOを使わずに
OpenSSLにアクセスしたいのです。

・OpenSSL -暗号・PKI・SSL/TLSライブラリの詳細
・C/C++セキュアプログラミングクックブック(1～3)
・マスタリングTCP/IP SSL/TLS編

いずれにもリファレンスっぽいのはありませんでした。TT
686 名前：デフォルトの名無しさん mailto:sage [2006/06/25(日) 21:46:50 ]: SuicaとかFelica系ICカードって暗号まだDESか3DESてｗ
ttp://ja.wikipedia.org/wiki/Felica
それこそCamelliaにでもしたほうがいいんじゃね？

あとAES決めるときに、Feistel構造だとだめって話があったけど
多分アメリカの軍部の暗号関連の人がFeistel構造について”何か”を発見したからじゃないかな？
ラインデールがSPN構造だから採用されたっていうのもあると思うし。
687 名前：デフォルトの名無しさん mailto:sage [2006/06/25(日) 21:52:42 ]: Feistelって単純な構造だから何かがあるような事はないと思う。
SPNに何かを発見したんじゃないの？軍部の人間としては強力
な暗号よりかは弱い暗号を使って欲しいだろうし。
688 名前：デフォルトの名無しさん mailto:sage [2006/06/26(月) 18:16:04 ]: しかし、Felica。市販されてる非接触の受け側、アレ買えば勝手に決済とか可能なのかね。
ノーパソにUSBでつないで、満員電車にでも乗り込めば金取り放題になっちまうのかね。
689 名前：デフォルトの名無しさん mailto:sage [2006/06/26(月) 18:19:36 ]: >>685

BIOを使わないで OpenSSLにアクセスするって、かなり初歩的なことしかできない気がするけど。
ソケットを attach して使えないこともないけど。
BIO使わず、認証の正当性をどうやって監査するのかと。
690 名前：デフォルトの名無しさん mailto:sage [2006/06/26(月) 20:55:31 ]: [AES] 攻撃:52 素早さ:90 防御:75 命中:41 運:28 HP:168
[Camellia] 攻撃:53 素早さ:51 防御:96 命中:44 運:57 HP:182

AES vs Camellia 戦闘開始！！
[AES]の攻撃 HIT [Camellia]は1のダメージを受けた。
[Camellia]の攻撃 HIT [AES]は18のダメージを受けた。
[AES]の攻撃 HIT [Camellia]は1のダメージを受けた。
[Camellia]の攻撃 HIT [AES]は65のダメージを受けた。
[AES]の攻撃 HIT [Camellia]は1のダメージを受けた。
[Camellia]の攻撃 HIT [AES]は11のダメージを受けた。
[AES]の攻撃 HIT [Camellia]は1のダメージを受けた。
[Camellia]の攻撃 HIT [AES]は37のダメージを受けた。
[AES]の攻撃 HIT [Camellia]は1のダメージを受けた。
[Camellia]の攻撃 HIT [AES]は15のダメージを受けた。
[AES]の攻撃 HIT [Camellia]は41のダメージを受けた。
[Camellia]の攻撃 HIT [AES]は1のダメージを受けた。
[AES]の攻撃 HIT [Camellia]は2のダメージを受けた。
[Camellia]の攻撃 HIT [AES]は35のダメージを受けた。
[Camellia]が[AES]を倒しました(ラウンド数：7)。
魔法のＭＤ５ - ＭＤ５バトル www.newspace21.com/mix/btl.php
691 名前：デフォルトの名無しさん mailto:sage [2006/06/27(火) 20:19:45 ]: >>685
SSLeay Programmer Reference とかじゃダメなの？
大して変ってないでしょ。たぶん。
692 名前：デフォルトの名無しさん mailto:sage [2006/07/05(水) 02:35:14 ]: >>686
大事なとこは3-DESだから
まあいいんじゃない？
あのころは過渡期だし。

これから変わるでしょ？
693 名前：デフォルトの名無しさん [2006/07/12(水) 02:47:38 ]: すいません全然分かってないのでご教授願いたいのですが、

DESを用いて暗号を作っていますが、
与える平文の文字コードが異なるのに暗号結果が同じになってます。

これはどういうことでしょうか？
694 名前：デフォルトの名無しさん mailto:sage [2006/07/12(水) 12:36:45 ]: >>693
復号できるの?
695 名前：デフォルトの名無しさん mailto:sage [2006/07/12(水) 23:24:35 ]: 何で実装してるんだよ。
どうせ文字列で読み込んでから暗号化とかしてんだろ。
696 名前：デフォルトの名無しさん mailto:sage [2006/07/13(木) 00:47:12 ]: 読み込んだデータをデバッグライトすれば答えが出てくるね
697 名前：デフォルトの名無しさん mailto:sage [2006/07/13(木) 04:09:02 ]: >>693 が天才的な暗号を開発したことについて
698 名前：693 [2006/07/13(木) 11:35:44 ]: javaで暗号化してPHPのmcryptで復号してます。

文字列で読み込んでから暗号化すると
文字コードは意識しなくていいのでしょうか？
699 名前：デフォルトの名無しさん mailto:sage [2006/07/13(木) 12:29:14 ]: どんなコード書いてんのか知らんけど、
エンコーディングを自動判別とかして文字列にしてるんなら、
その時点でデータは同一になってるだろ。

ファイルのバイトデータを直接暗号化したら、もちろんそうはならない。
700 名前：693 [2006/07/13(木) 22:02:18 ]: java側で暗号列のバイトデータを書き出してPHP側で復号してます。
701 名前：デフォルトの名無しさん mailto:sage [2006/07/14(金) 00:48:00 ]: >>700
指摘されてんのはそこじゃなくて
ファイルをメモリに読み込むところ、暗号化する前。
java.lang.Stringの内部表現はUnicodeとかそういう
702 名前：デフォルトの名無しさん [2006/07/17(月) 00:43:20 ]: フリーのファイル暗号化ツール 2MB
pc7.2ch.net/test/read.cgi/software/1129719565/l50

この2-3日のところｵﾓﾛｽ
703 名前：デフォルトの名無しさん [2006/08/06(日) 14:04:16 ]: 暗号化して保存しているデータを、自分で復号して使うソフトってありますよね。
たとえば、ブラウザがＷＥＢアプリのＩＤ・パスワードを保存してくれる機能とか。
ユーザにパスワードを入力させて、それが秘密鍵になっているというならわかる
んですが、ブラウザの機能だとユーザには何も入力させていないようです。
こういう場合、そのデータをどうやって暗号化/復号しているのでしょうか？
ソフト埋め込みの秘密鍵を使っているのでしょうか？
704 名前：デフォルトの名無しさん mailto:sage [2006/08/06(日) 19:40:23 ]: 例えばユーザ透過なファイルの暗号化機能とかどうやってると思う？
705 名前：デフォルトの名無しさん mailto:sage [2006/08/08(火) 15:52:16 ]: なんでもかんでも「鍵」を元にして
暗号化されているという考えはいかがなものか。
706 名前：デフォルトの名無しさん mailto:sage [2006/08/09(水) 11:40:04 ]: でも、近代の暗号は大体が鍵を必要とするだろ。
707 名前：デフォルトの名無しさん mailto:sage [2006/08/10(木) 00:00:21 ]: 一口に鍵の生成といっても色々あるわけで
必ずしもユーザが鍵を入力する必要はないわけで
708 名前：デフォルトの名無しさん [2006/08/19(土) 16:22:02 ]: 秘密鍵McEliece暗号
G：ゴッパ符号の生成行列
H:検査行列
P：ランダムな置換行列
秘密鍵ｆは符号の生成多項式。
e：重みd以下ｄ/２以上の平文
d：符号の最小距離
c:暗号文
r:乱数
ｆからGを生成。

暗号化
g:c=(rG+eP)H
復号化
g^{-1}(c)=eP(P^{-1})=e
709 名前：デフォルトの名無しさん [2006/08/19(土) 17:29:25 ]: 暗号化ZIPの暗号について調べています。
以下の./の書き込みによると、既知平文攻撃によって容易に破ることが可能だということなのですが、
話に出てくるその論文に心当たりがある方はおりませんでしょうか。
またパスワード解析には、Pikazipのような総当りのものしか私は知りませんが、
既知平文攻撃によって攻撃するツールは作られているのでしょうか。
ttp://slashdot.jp/comments.pl?sid=244266&op=&threshold=-1&commentsort=3&mode=thread&pid=706434
710 名前：デフォルトの名無しさん [2006/08/19(土) 23:22:30 ]: Pika Zip
711 名前：蕪木ら某 ◆Googl8RmwA mailto:sage [2006/08/20(日) 01:04:42 ]: >>709
www.google.com/search?q=A+Known+Plaintext+Attack+on+the+PKZIP+Stream+Cipher&lr=
????
712 名前：デフォルトの名無しさん mailto:sage [2006/08/23(水) 05:46:05 ]: ﾎﾟｺｰﾝ
713 名前：デフォルトの名無しさん [2006/08/23(水) 20:14:58 ]: (･∀･)ﾔｺﾋﾞﾔｰﾝ!
714 名前：デフォルトの名無しさん [2006/08/30(水) 20:33:48 ]: 梅どぶろくがなぜあそこまでこのスレの歓心を得たのか？
それ以来過疎スレに。
715 名前：デフォルトの名無しさん [2006/09/02(土) 18:48:48 ]: 【ネット】「セキュリティなしの無線LANは危険」、米カリフォルニア州でラベル貼付を義務付け
news19.2ch.net/test/read.cgi/newsplus/1157055242/l50

うぇぇ～っぷ
716 名前：デフォルトの名無しさん [2006/09/18(月) 10:41:15 ]: ところで公開鍵方式で楕円曲線暗号を搭載した暗号ソフトを公開しようと思うんだが
誰か興味ある？探してもなかったので。
因みに秘密鍵暗号はオリジナル。
今まで暗号ソフトってベクターでも少なかったのはどうして？
717 名前：デフォルトの名無しさん mailto:sage [2006/09/18(月) 11:26:43 ]: 特許に気をつけてね。コーディングは書籍見てやってみたけど、
ちょっと実用的な速度にあげるまで暇は無かった。
718 名前：デフォルトの名無しさん [2006/09/18(月) 11:52:16 ]: イアン・ブラケの楕円曲線暗号をそのまま実装したんですが。
CM法を使って曲線を生成して素体だけ使って鍵交換しています。
RFCの曲線やSEC？の公開されている曲線がデフォルトです。
公開されている情報を基に作られています。
しかし、自分のやっていることが特許に抵触しているかどうかがわかりません。
本を参考にやってみただけです。そういうのは公開してもいいのでは？
また超楕円ならいいのでしょうか？
719 名前：デフォルトの名無しさん mailto:sage [2006/09/18(月) 11:54:45 ]: あいにくと、特許はその実装にまで影響する場合があるんだな
よく調べた方がいいよ
720 名前：デフォルトの名無しさん [2006/09/18(月) 12:01:19 ]: 特許に抵触するとどうなるんでしょうか？
特許に抵触するかどうかの判断は誰がするんでしょうか？
721 名前：デフォルトの名無しさん mailto:sage [2006/09/18(月) 12:44:18 ]: >>720
それくらい自分で調べろ
基本だ
722 名前：デフォルトの名無しさん [2006/09/18(月) 13:22:38 ]: 知ってるなら教えればいいのに、このケチ！
723 名前：デフォルトの名無しさん mailto:sage [2006/09/18(月) 13:27:33 ]: 大抵は特許を持ってる企業の法務部が見つけると請求してくる。
webで公開するもしくは販売する場合、アクセスできる国全ての特許で一つでも
あると、ダウンロード数などに応じてしゃれにならない金額を請求されることもある。
ソフトの場合実装に応じてなので、疑わしい場合にも調査されることが多いとは思われるが、
特に楕円暗号の場合には書籍すらでているのに対応するソフトウェアが少ないことからも
推して知るべしな状況ではなかろうか？

ちなみに公開されていて、安易な方法だからといって、実装したときに特許が絡むというのは
いくらでもある。特許をとっているからこそ企業秘密を論文などで公開することができる。
724 名前：デフォルトの名無しさん mailto:sage [2006/09/18(月) 16:03:17 ]: どうせ国内で成立してない特許だから無視してても逮捕とかはされないよ

無視する→アメリカで訴えられる→こっちは日本にいるので当然無視する
→アメリカで有罪が確定するけど別に問題ない

ただし入国禁止になるけどｗ
725 名前：デフォルトの名無しさん [2006/09/19(火) 04:04:33 ]: 認証に使う暗号の強度を上げたいと考えています。

MD5やSHA-1のような不可逆関数はいくつかあると思うんですが、どれも
関数を特定してのブルートフォースアタックには弱いですよね。

乱数を生成する時に利用するようなシードが指定できればどの関数で暗号
化したのか特定できないので、ブルートフォースアタックにも強いかな？
と思いましたが、調べた限り（Webでですが）、そんな機能はないっぽいです。

なにかうまい方法はないでしょうか？よろしくお願いします。
726 名前：デフォルトの名無しさん mailto:sage [2006/09/19(火) 05:07:05 ]: >>725
よくわからないけど普通にソルトをかけるのではダメすか？
727 名前：デフォルトの名無しさん [2006/09/19(火) 09:17:25 ]: >>723
RFCにあるような内容でも実装すると罪なの？
確かに楕円曲線は特許の地雷原だという話をOpenSSLのメーリングリストでは
よくみかけたけど。でもヨーロッパには普通に楕円のフリーソフトがあります。
ミラクルとかがそう。ないのは日本だけ。
728 名前：デフォルトの名無しさん [2006/09/19(火) 09:20:26 ]: 楕円曲線なんて日本人の発明でもないのによく特許とるきになった
もんだ世日本企業。その割には話題が下火だけどね。
729 名前：デフォルトの名無しさん mailto:sage [2006/09/19(火) 09:38:08 ]: >>725
シードをブルートフォースアタックする手間が増えるだけ

ブルートフォースアタックへの対抗は、
ビット長のより長いアルゴリズムを採用するのが常道じゃないか？
730 名前：デフォルトの名無しさん mailto:sage [2006/09/19(火) 15:23:53 ]: >>727
ヨーロッパではソフトウェア特許は成立しないから。
731 名前：デフォルトの名無しさん [2006/09/19(火) 20:15:36 ]: いいソフトがあるのにそれが共有されないのは不幸なことだ。
732 名前：デフォルトの名無しさん mailto:sage [2006/09/19(火) 20:27:05 ]: なにを言ってるんだ
特許は発明を使ってくださいという事じゃないか
対価を出すだけで努力の結晶を使えるんだぞ
733 名前：デフォルトの名無しさん mailto:sage [2006/09/20(水) 01:16:59 ]: >>727
RFCは技術の仕様をまとめてあるだけだよ
「こんな感じで実装してね」って書いてあるだけで特許は捨ててない
734 名前：デフォルトの名無しさん [2006/09/20(水) 03:02:34 ]: FreeSWANはどうなるのさ？フリーソフトだし対価払ってないよ？
作者が払ってるの？
735 名前：デフォルトの名無しさん mailto:sage [2006/09/20(水) 07:34:28 ]: >>734
www.toad.com/gnu/netcrypt.html
736 名前：デフォルトの名無しさん mailto:sage [2006/10/13(金) 12:16:48 ]: ランダムアクセスされるデータをバイト単位で暗号化することを考えています。

鍵と先頭からのオフセットを渡せば、乱数が得られて、
しかも、暗号学的に安全な擬似乱数生成アルゴリズム
というものは存在するのでしょうか？
737 名前：デフォルトの名無しさん mailto:sage [2006/10/13(金) 15:52:48 ]: 全部そうですが
738 名前：デフォルトの名無しさん mailto:sage [2006/10/13(金) 20:40:17 ]: >>737
あれ？私の理解が間違ってますかね？

例えば、線形合同法は乱数Xn+1を得るのに、Xnが必要。
n=10000の乱数を得るためには、10000回の計算が必要です。
ランダムアクセスなので、その後に、n=5000の乱数を得ることもあるのですが、
それには、また5000回の計算が必要になります。

そこで、鍵とnを渡せば、高速に乱数が得られるアルゴリズムは存在しないかと。
739 名前：デフォルトの名無しさん mailto:sage [2006/10/13(金) 21:08:25 ]: ＞鍵とnを渡せば、高速に乱数が得られるアルゴリズムは存在しないかと。

乱数かどうかはともかく、暗号目的であれば鍵とnを連結したものを鍵として鍵とnを
（良い暗号で）暗号化したもののダイジェスト（先頭バイトとか）が要件を満たすのでは？

でもふつうはそういう用途ではブロック暗号を使うでしょう。
（適当なチャンク単位でストリーム暗号を用いても良いですが）
740 名前：デフォルトの名無しさん mailto:sage [2006/10/13(金) 21:43:47 ]: >>739
なるほどぉ。高速ではなさそうですが、要件は満たせそうです。

> でもふつうはそういう用途ではブロック暗号を使うでしょう。

バイト単位、ランダムアクセス、キャッシュ不可、という状況ですので
どうしてもブロック暗号が採用できないのです。
741 名前：デフォルトの名無しさん mailto:sage [2006/10/13(金) 21:49:01 ]: 普通に 64bit (8バイト) 毎にブロック暗号を使うケースと比べて、
8倍遅いだけですもんね。大したことないか。
742 名前：デフォルトの名無しさん mailto:sage [2006/10/13(金) 22:18:59 ]: たしかに。
で、「この暗号化アルゴリズムは？」という問いにはどう答えるのが適切でしょうか？
743 名前：デフォルトの名無しさん mailto:sage [2006/10/14(土) 01:00:26 ]: 高速かどうかってことしか見てない時点で、キモ女決定だな。
744 名前：デフォルトの名無しさん mailto:sage [2006/10/14(土) 06:16:56 ]: >>743
そうなんですか？高速さの優先順位が高いことは多いと思いますけどね。
高速なCPUなら100Mbytes/sec以上で暗号処理をしたいところです。

アルゴリズム名は、鍵とnの暗号化をAESでした場合、
「この暗号化はAES」と呼べば、怒るともいれば、納得する人もいそうですね。
745 名前：デフォルトの名無しさん mailto:sage [2006/10/14(土) 06:32:40 ]: ( ﾟдﾟ)ﾎﾟｶｰﾝ
746 名前：デフォルトの名無しさん mailto:sage [2006/10/14(土) 06:49:42 ]: >>744
君の妄想はとてもキモイから、もう来なくていいよ。
747 名前：デフォルトの名無しさん mailto:sage [2006/10/14(土) 11:47:48 ]: あ、そっか。わかりました。現実的な話が不得意な人だったんですね。
でもヒントを頂いてありがとうございます。
後はどうにでもできますので、これ以上問いつめないから安心してください。
748 名前：デフォルトの名無しさん mailto:sage [2006/10/14(土) 14:58:43 ]: >>740
>バイト単位、ランダムアクセス、キャッシュ不可、という状況ですので
>どうしてもブロック暗号が採用できないのです。

どうして何も考えずに否定するのでしょう。簡単な例を作ってみましょうか。
A,A^(-1)を8*8の行列対とする。
kバイト目の復号化は、k/8から8バイトを取り出しA^(-1)をかけてk%8+1バイト目が求めるバイトの値。
kバイト目の暗号化は、k/8から8バイトを取り出しA^(-1)をかけてk%8+1バイト目を書き換えてからAをかけて8バイト書き込み。
749 名前：デフォルトの名無しさん mailto:sage [2006/10/14(土) 17:59:38 ]: >>747は妄想性人格障害の自覚がないまま自殺したのであった…
750 名前：デフォルトの名無しさん mailto:sage [2006/10/14(土) 19:22:15 ]: >>748
>kバイト目の復号化は、k/8から8バイトを取り出しA^(-1)をかけてk%8+1バイト目が求めるバイトの値。

データのアクセスは上位の別プログラムが行い、そのプログラムの修正は不可だとしてくださいな。
そこに暗号化フィルタを追加したいという訳です。つまり8バイトを取り出すのが不可なのです。
751 名前：デフォルトの名無しさん mailto:sage [2006/10/15(日) 16:30:38 ]: >>750
プログラム改変せずにどうやって暗号化フィルタを追加するんだよ。
プログラムと暗号化の対象をHDDとするとこの間のどこかでフックするしかないのでは。
暗号化対象がメモリなら厳しそうだがHDDなら仮想ディスクみたいなものだしなんとかなるでしょう。
でも、フックできるなら748のようにデータをいじることも可能だよね。
フックのためのプログラムは別プロセスだし。
752 名前：デフォルトの名無しさん mailto:sage [2006/10/15(日) 17:08:07 ]: > プログラム改変せずにどうやって暗号化フィルタを追加するんだよ。

オマエ完全にスレ違いなんだよ。
しかもレベルが低いんだよお前。
753 名前：デフォルトの名無しさん mailto:sage [2006/10/15(日) 17:11:16 ]: >>752
完全にスレ違いってことはないだろ。
ただ、レベルが低いのは認める。
754 名前：デフォルトの名無しさん mailto:sage [2006/10/15(日) 17:36:59 ]: どうせ話題ないくせに
755 名前：デフォルトの名無しさん [2006/10/22(日) 11:26:54 ]: 求む！
暗号解読
おまいらならできない？

【予約】PC用ワンセグチューナー【発売延期】
pc8.2ch.net/test/read.cgi/hard/1160755126/
756 名前：デフォルトの名無しさん mailto:sage [2006/10/22(日) 14:21:44 ]: >>755
ワンセグなんて画質の悪いもの、現状では解読する価値なしだろ
757 名前：デフォルトの名無しさん mailto:sage [2006/10/22(日) 14:43:14 ]: >>756
つかえない奴はいらねぇ
758 名前：デフォルトの名無しさん mailto:sage [2006/10/22(日) 14:57:59 ]: >>756
メリットはあると思うけどなぁ。
759 名前：デフォルトの名無しさん mailto:sage [2006/10/22(日) 15:13:54 ]: おれは>>756に賛成だが？
760 名前：755 mailto:あげ [2006/10/22(日) 22:57:41 ]: そっかー皆、興味ないかぁー

暗号解除できれば、録画したものを他のPCで見ることが出来るし、
出先からストリーム再生も可能だろう。
あとEPG情報や字幕、データ放送も取得できる。

というメリットがあるかな。
761 名前：デフォルトの名無しさん mailto:sage [2006/10/22(日) 23:35:27 ]: そんなことして本当にうれしいのか？
762 名前：デフォルトの名無しさん mailto:sage [2006/10/22(日) 23:48:18 ]: >>760
君の要望程度なら、DVDより次の次世代メディアでやった方が、
画像が綺麗だし満足は大きいだろう。
>>761
うれしいのは、盗聴とかウイルスとか深いところにいる人たちじゃないかな…
763 名前：760 mailto:sage [2006/10/23(月) 00:08:01 ]: >>762
USBチューナが壊れたり無くなったら再生できなくなるんですよ。
DVDならソフト買えばいいじゃん。
ハイビジョンはまだPCチューナがでてないですから
こっちは強固だけど、ワンセグ自体は大元にはスクランブル掛かっていないしね。

まぁ、純粋に興味もっただけなので自分でやりますわ
764 名前：デフォルトの名無しさん mailto:sage [2006/10/23(月) 06:56:15 ]: >>755のスレッドより
====================
5:天ぷらマン :2006/10/14(土) 02:19:57 ID:ITJtqlhh [sage]
《ワンセグの基礎知識》
[D-pa] 社団法人地上デジタル放送推進協会
www.d-pa.org/1seg/index.html
↑ここのQ&Aは熟読して来る事。話はそれからだ
ワンセグ - Wikipedia
ja.wikipedia.org/wiki/%E3%83%AF%E3%83%B3%E3%82%BB%E3%82%B0
Ｑ■画質が悪いしカクカクなんですが・・・
Ａ■元々320x180ドット/15fpsの動画をH.264圧縮で送ってるんで、
QVGAな携帯以上の画面に拡大しても、モザイク状に粗くなるだけ。
スポーツなど動きの早いシーンではカクカクなのがあたりまえ。
規格の時点で、VCDやようつべ以下の画質と心得るべし。
====================
うーん・・・
どんな暗号技術や符号技術が使われてるのかは興味があるな
765 名前：デフォルトの名無しさん mailto:sage [2006/10/23(月) 15:06:55 ]: そこらへんって独自暗号じゃなくて確立された暗号使ってるだろうから企画書読めば終りじゃないの？
766 名前：デフォルトの名無しさん mailto:sage [2006/10/23(月) 15:20:22 ]: それ以前にワンセグは暗号化されてないしなぁ・・・
767 名前：デフォルトの名無しさん mailto:sage [2006/10/23(月) 15:30:23 ]: >>765 >>766
念のためだけど、此処でいっているのは、放送波の規格の暗号でなくて、
バッファローが独自に掛けている暗号ね。知られた暗号だろうし、
USB内蔵の8ビット？CPUでできる程度のことだから何とかならない？ってな話。
カノープスがMVTXシリーズでデジタル放送録画したときも暗号化しているね。
似たようなもん。
768 名前：デフォルトの名無しさん mailto:sage [2006/10/23(月) 15:45:17 ]: >>767
あまえがやれよ！！
769 名前：デフォルトの名無しさん mailto:sage [2006/10/23(月) 15:45:21 ]: 発見、こんなところでやってたｗ＜ワンセグ
暗号化されてないストリームなら供給できるぞ。
比較にはなるだろう。
チューナは品薄で手に入らなくてね・・orz
770 名前：デフォルトの名無しさん mailto:sage [2006/10/24(火) 05:14:25 ]: 自作自演で暴言吐くようなバカの話聞けるかっての。
771 名前：デフォルトの名無しさん mailto:sage [2006/10/24(火) 07:55:34 ]: >>770
お兄さん、意味不明ですよ？
人間不信に陥ってんじゃない？

つ精神科
772 名前：デフォルトの名無しさん mailto:sage [2006/10/24(火) 10:03:50 ]: 正直、771の方が過剰反応してて、病院にいけって感じ。
773 名前：デフォルトの名無しさん mailto:sage [2006/10/24(火) 10:51:12 ]: 自作自演？誰が？
774 名前：デフォルトの名無しさん mailto:sage [2006/10/24(火) 11:01:10 ]: >>772
俺=>>770に言ったことに口答えするなってこと？ｗ
775 名前：デフォルトの名無しさん mailto:sage [2006/10/24(火) 11:15:46 ]: ジャイヤンばっか
776 名前：デフォルトの名無しさん mailto:sage [2006/10/24(火) 12:56:09 ]: >>769 >>771 >>773
いいからもう帰れ
777 名前：デフォルトの名無しさん mailto:sage [2006/10/24(火) 23:43:00 ]: 反応しなきゃいけない理由があったってことだわなｗ
778 名前：デフォルトの名無しさん [2006/10/25(水) 00:20:48 ]: 複合結果が検証できない不明の暗号データを解読することは不可能。
そのぐらい理解しておけ。
779 名前：デフォルトの名無しさん mailto:sage [2006/10/25(水) 08:39:00 ]: 検証できる結果はあるみたいだお？
780 名前：デフォルトの名無しさん mailto:sage [2006/10/25(水) 12:05:55 ]: >>778 人に文句つける文章を書くときくらい、誤字がないかチェックしようよ。
781 名前：デフォルトの名無しさん mailto:sage [2006/10/26(木) 10:46:42 ]: ↑
結果が真か偽か判定できないんじゃ解読は無理だろ。
解読できたからといってそれが真か偽か判定できないのだから。
782 名前：デフォルトの名無しさん mailto:sage [2006/10/26(木) 13:21:58 ]: >>780

文章は書くものだと。
783 名前：デフォルトの名無しさん mailto:sage [2006/10/26(木) 16:26:45 ]: 同一性が確認できなければ、どんな技術つかっても無駄だろ。
784 名前：デフォルトの名無しさん mailto:sage [2006/10/26(木) 16:45:44 ]: 真データは腐るほどあります。
100%あっているのでその辺の心配はないですぅ
785 名前：デフォルトの名無しさん mailto:sage [2006/10/27(金) 00:40:42 ]: >>784
真データは腐るほどあるから。ドキュメントが画像になったりするわけだな？ｗ
786 名前：デフォルトの名無しさん mailto:sage [2006/10/27(金) 11:39:44 ]: ワンセグの件ですが、
pc8.2ch.net/test/read.cgi/hard/1160755126/422-
辺りからその辺の話題があります。
ファイルもまだ活きているみたいです。
787 名前：デフォルトの名無しさん [2006/11/06(月) 12:51:20 ]: Zebedeeってどうよ？
788 名前：デフォルトの名無しさん [2006/11/08(水) 03:28:54 ]: MSNって暗号化できるの？
789 名前：デフォルトの名無しさん mailto:sage [2006/11/10(金) 19:14:52 ]: 日本発次世代暗号方式「Camellia」、OpenSSL Projecrtが採用
opentechpress.jp/news/06/11/09/0853237.shtml
790 名前：デフォルトの名無しさん mailto:sage [2006/11/11(土) 01:58:15 ]: Cameliaの周辺特許(あるかないか知らないが)にも抵触しない実装の
ソースがオープンソースで手に入るということ?
しかしOpenSSLはライセンスがあれなんだよな、宣伝条項つきなんだよなあ。
791 名前：デフォルトの名無しさん mailto:sage [2006/11/11(土) 09:39:33 ]: Camellia 特許でググったら
ttp://www.ntt.co.jp/news/news06/0604/060413a.html
ttp://info.isl.ntt.co.jp/crypt/info/chiteki.html

Camelliaそのものじゃなくて、高速化の工夫とか、ハードウェア実装法とかは
（他の企業や大学によるものも含めて）特許があるかもしれないですね
特許の電子検索っていまいちよくわからん
792 名前：デフォルトの名無しさん [2006/11/17(金) 05:47:41 ]: 計算量理論を使って完全秘匿な暗号を効率的に実現する方法ある？
793 名前：デフォルトの名無しさん mailto:sage [2006/11/17(金) 06:53:30 ]: P=NPでなければ鍵長の指数時間かかることが証明されている暗号とかならあるけど
ぶっちゃけ暗号に計算量理論は使いモノにならん。理論的な話が知りたければ数学板にでも行け
794 名前：デフォルトの名無しさん mailto:sage [2006/11/17(金) 20:51:42 ]: >>792
完全な秘匿の定義しだいだが、現行で使われているRSA-OAEPとかは、
基本的には、情報論的ではなく、計算量的に安全なのばっかでしょ。
大きい素数同士の素因数分解は一般に計算量が大きいっていう仮定。
（ハッシュがランダムオラクルっていう仮定も使っているんだけど。）
795 名前：デフォルトの名無しさん mailto:sage [2006/11/17(金) 22:27:59 ]: ﾍﾟｱﾘﾝｸﾞ!(･∀･)つ◎
796 名前：デフォルトの名無しさん mailto:sage [2006/11/18(土) 01:23:06 ]: 共通鍵暗号では>>794みたいに互いに帰着させて安全性を保証してるものもあるけど
秘密鍵暗号では指数オーダーが少しでも低くなると「破られた」と見なされるから
秘密鍵暗号に使える安全性の証明は俺の知る限りない
797 名前：デフォルトの名無しさん mailto:sage [2006/11/19(日) 07:18:37 ]: >>796
確か、カメリアかミスティだったか、そんな感じの呼び名の国産の秘密鍵暗号方式は、
アルゴリズムの構造から、desとかを破ったような攻撃方法に対して、強いということが証明できてるらしい、
って聞いた。。記憶があいまい＆うろ覚えなので間違っててもご容赦を…。
798 名前：デフォルトの名無しさん [2006/11/19(日) 11:47:00 ]: それって量子計算機が発明されたから計算量理論が無意味になったって
いいたいの？
量子計算機でも実現できる計算力は高々クラスexpでしょ？それとも量子計算機
って非決定性チューリング機械なの？それでどこまで計算できるか知らないけど。
もしクラスexpだったら離散対数問題は解けるけどNP完全問題はまだ解けないこと
になるから安全なのでは？
また暗号ではないけど完全秘匿を実現するプロトコルは知られてますよね？
799 名前：デフォルトの名無しさん [2006/11/19(日) 12:00:21 ]: なんでも量子通信ではシャノン限界を突破する情報量が転送できる
らしくって暗号やってた数学者は物理学者に水をさされた感じがする。
800 名前：デフォルトの名無しさん [2006/11/19(日) 12:13:02 ]: 量子計算機が出てきたから皆暗号理論から逃げちゃった？
801 名前：デフォルトの名無しさん mailto:sage [2006/11/19(日) 14:01:18 ]: >>798
NP完全問題はクラスEXPに属する
たいして知らないなら書きこまないほうが馬鹿を晒さなくて済むと思うぞ
802 名前：デフォルトの名無しさん [2006/11/19(日) 16:07:03 ]: ＞NP完全問題はクラスEXPに属する
どこにそれが書いてあるのか教えてエロイ人！
803 名前：デフォルトの名無しさん mailto:sage [2006/11/19(日) 16:53:24 ]: どこに書いてあるもなにもNP⊆EXPは自明だろ・・・NPの定義をよく読め
804 名前：デフォルトの名無しさん mailto:sage [2006/11/19(日) 18:01:09 ]: >>802
つen.wikipedia.org/wiki/EXPTIME
805 名前：デフォルトの名無しさん [2006/11/19(日) 19:09:07 ]: BPQとNPの関係さえまだ明らかでないんですねえ・・・
806 名前：デフォルトの名無しさん [2006/11/19(日) 19:33:56 ]: 離散対数問題はBQPに含まれると考えていいんですよね？
807 名前：デフォルトの名無しさん mailto:sage [2006/11/20(月) 00:34:44 ]: >>806
Yes.
en.wikipedia.org/wiki/Quantum_computer#Quantum_computing_in_computational_complexity_theory
808 名前：デフォルトの名無しさん mailto:sage [2006/11/22(水) 08:45:16 ]: >>797
共通鍵暗号の証明可能安全性は、
「ある攻撃」に対する証明でしかないです。
具体的に言うと、差分攻撃と線形攻撃。

その他の攻撃(高階差分攻撃や補間攻撃等)に対する耐性は、
「現在のところ破られていない」
という程度に過ぎない。
CRYPTRECレポートを読めば、そういう風に書いてある。

#実装攻撃は別。対策していないデバイスでの電力攻撃やキャッシュ攻撃等では解読は可能。
809 名前：デフォルトの名無しさん mailto:sage [2006/11/25(土) 00:36:29 ]: WindowsのCryptAPIとOpenSSLライブラリって、RSA暗号の互換性ないの？
WindowsのCryptGenKeyでキー作って、CryptExportKeyで公開鍵取り出して
その公開鍵をOpenSSLのRSA構造体のeとnに入れて、
RSA_public_encryptして暗号文を作ったのだが、
その暗号文が、CryptAPIのCryptDecryptで復号化できないのだが。
基本的なアルゴリズムは同じだと思うが、
もしかして、鍵のフォーマットなんかが違ったりする？
結構調べたんだが、それ系の解説サイトがないんだよな。
810 名前：デフォルトの名無しさん [2006/11/25(土) 00:37:29 ]
811 名前：デフォルトの名無しさん mailto:sage [2006/11/25(土) 06:09:33 ]: >>809
そんなものどちらかが意識して合わせようとしなければ合うわけないじゃん。
812 名前：デフォルトの名無しさん mailto:sage [2006/11/25(土) 11:25:41 ]: エスパーならできる。
あとはそのエスパーを探してくるだけ
813 名前：デフォルトの名無しさん mailto:sage [2006/11/25(土) 19:00:41 ]: >>808
補間や高階差分に配慮してないけどなんか安全っぽい
って風にみえますが・・・
完全な保障ができないだけで、全く配慮されてない訳じゃないんでは
814 名前：デフォルトの名無しさん [2006/11/25(土) 20:04:25 ]: いずれにしても離散対数問題と素因数分解問題に基づいた暗号は量子計算機の登場で
１００年も持たないってことでお陀仏なんでしょ？その方がもっと暗号にとっては
危機的な状況だと思うのだが。
だからここはやはりMcElieceを！
815 名前：デフォルトの名無しさん mailto:sage [2006/11/27(月) 06:34:35 ]: >>814
すこし上のレスぐらい見ろよ
816 名前：デフォルトの名無しさん [2006/11/27(月) 07:52:46 ]: OpenSSLも楕円曲線も量子計算機のせいであぼーん
817 名前：デフォルトの名無しさん mailto:sage [2006/11/27(月) 18:11:54 ]: 物理板や技術系板と違ってここでは量子コンピュータの影響は切実なんだな。
818 名前：デフォルトの名無しさん mailto:sage [2006/11/28(火) 01:18:51 ]: >>809
少なくとも、CryptAPIのRSA鍵は、リトルエンディアンで格納されてるけど、そのヘンは確認している？
819 名前：デフォルトの名無しさん mailto:sage [2006/11/28(火) 16:28:31 ]: 量子コンピュータで暗号作らねばな
820 名前：デフォルトの名無しさん mailto:sage [2006/11/28(火) 18:58:36 ]: 量子暗号
821 名前：ミッション [2006/11/30(木) 14:23:00 ]: Coe ☆ is †

この暗号解けたら　
動画あげちゃる！！！
822 名前：ミッション [2006/11/30(木) 14:30:54 ]: Coe ☆ is †

この暗号解けたら　
動画あげちゃる！！！
823 名前：デフォルトの名無しさん [2006/11/30(木) 19:41:25 ]: 物理は嫌いなのよ！
824 名前：デフォルトの名無しさん mailto:sage [2006/11/30(木) 20:53:00 ]: 量子暗号は都市レベルで成功したってニュースあるし大丈夫じゃね？
825 名前：デフォルトの名無しさん mailto:sage [2006/12/02(土) 01:11:28 ]: 量子暗号は中継技術が開発中でインターネットでの使用を目指しているらしい。
だが、量子暗号はプログラム板としては板違いだな。
826 名前：bigginer mailto:test [2006/12/02(土) 16:18:25 ]
827 名前：デフォルトの名無しさん mailto:sage [2006/12/04(月) 23:54:00 ]: tp://web1.nazca.co.jp/himajinn13sei/8.zip

なんかどっかで見たことがあるようなアルゴなんだが、
こんなのに似たの無かったっけ?
828 名前：デフォルトの名無しさん mailto:sage [2006/12/05(火) 16:34:35 ]: >>827
*CH
C(0)=(C(0)+C(1)) Mod CH(0)
C(1)=(C(1)-C(2)+CH(1)) Mod CH(1)
C(2)=(C(2)+C(3)) Mod CH(2)
C(3)=(C(3)-C(4)+CH(3)) Mod CH(3)
C(4)=(C(4)+C(5)) Mod CH(4)
C(5)=(C(5)-C(6)+CH(5)) Mod CH(5)
C(6)=(C(6)+C(7)) Mod CH(6)
C(7)=(C(7)-C(0)+CH(7)) Mod CH(7)
C(0)=(C(0)-C(1)+CH(8)) Mod CH(8)
C(1)=(C(1)+C(2)) Mod CH(9)
C(2)=(C(2)-C(3)+CH(10)) Mod CH(10)
C(3)=(C(3)+C(4)) Mod CH(11)
C(4)=(C(4)-C(5)+CH(12)) Mod CH(12)
C(5)=(C(5)+C(6)) Mod CH(13)
C(6)=(C(6)-C(7)+CH(14)) Mod CH(14)
C(7)=(C(7)+C(0)) Mod CH(15)
return
*CHが平文で*Cが暗号文ですか。復号化はどうするんだろう。CH[i]=0になったらどうするんだろう。
829 名前：デフォルトの名無しさん mailto:sage [2006/12/09(土) 12:26:09 ]: 平分・暗号・鍵

の関係がよく分からないな。
最初に定義しとけよ。馬鹿
830 名前：デフォルトの名無しさん mailto:sage [2006/12/09(土) 15:12:33 ]: はいはい、お帰りはあちらｗ
831 名前：デフォルトの名無しさん mailto:sage [2006/12/10(日) 22:49:57 ]: 早いところワンセグチューナの暗号解いて他のPCでも見れるようにしておくれよ。
832 名前：デフォルトの名無しさん mailto:sage [2006/12/11(月) 03:01:04 ]: >>831
ワンセグは画質面で資料的価値が無い。
地デジどころかアナログにすら勝てるわけ無いのに。
価値の無いものに対してリソースを注ぎ込む人がいるのかどうか。
どうみても暗号を解くならば地デジ優先です。
833 名前：デフォルトの名無しさん mailto:sage [2006/12/11(月) 12:56:08 ]: 地デジキャプチャできるカードの単品販売は無い。
ごく一部のメーカPCのセット販売のみ。
そんな需要の無いところでやっても意味なさそうだな。

DTCPもCPRMも突破できてないから無理だろうけどなｗ
834 名前：デフォルトの名無しさん mailto:sage [2006/12/11(月) 13:10:12 ]: >>831
ｵﾏｴ馬鹿だなぁ、ﾌﾟﾗｲﾄﾞばっか高いこいつらがやるわけ無いじゃないか。
「需要がないからやらない」≒「スキル無いからできない」だ
835 名前：デフォルトの名無しさん mailto:sage [2006/12/11(月) 13:13:26 ]: つーか欲しいと思う人が作ればいいだけ
836 名前：デフォルトの名無しさん mailto:sage [2006/12/13(水) 12:12:06 ]: DRM関係のスレッド探してみたよ
DRM解除その3
pc7.2ch.net/test/read.cgi/software/1158467067/
Windows Media DRM について語るスレ
pc8.2ch.net/test/read.cgi/avi/1126625766/
iTunesのDRMを解除して他のフォーマットに変換しる
music5.2ch.net/test/read.cgi/mdis/1126196732/

おまけ
DRM解除ソフト作者へのインタビュー
japanese.engadget.com/2006/09/26/engadget-interview-wm-drm-viodentia/
837 名前：デフォルトの名無しさん mailto:sage [2006/12/20(水) 09:56:48 ]: 分散コンピューティングでみんなでDESの不動点探そうぜ
(ある1つ以上の平文について暗号化したら平文と同じ文が出力される鍵)
838 名前：・∀・）っ-○◎●創聖のダンゴリオン ◆DanGorION6 mailto:sage [2006/12/20(水) 23:48:21 ]: いまさらDESかよ
839 名前：ニュース速報＋ [2006/12/21(木) 02:26:30 ]: ニュース速報＋板
ttp://news19.2ch.net/newsplus/

【技術】FeliCaの暗号が破られた？――ソニーは「事実無根だ」と完全否定
ttp://news19.2ch.net/test/read.cgi/newsplus/1166623782/
840 名前：デフォルトの名無しさん mailto:sage [2006/12/21(木) 03:41:15 ]: FeliCaはトリプルDESですね
841 名前：・∀・）っ-{}@{}@{}@ mailto:sage [2006/12/21(木) 19:44:31 ]: MISTY最強
842 名前：デフォルトの名無しさん mailto:sage [2006/12/30(土) 04:25:20 ]: 【外人gj】AACS DRMのクラックに成功、次世代DVDのripが可能に
anime.2ch.net/test/read.cgi/news/1167284836/
843 名前：デフォルトの名無しさん mailto:sage [2007/01/04(木) 10:23:54 ]: >>837
平文 0x0000000000000000
鍵 0x0000000000000000
そして鍵は56bitに縮約されるためその際に捨てられるbitは
立っていても良いのでその組み合わせ分だけの鍵は存在出来る
さらに都合の悪いことに/etc/passwdファイルの中身の
暗号文の生成には平文が 0x0000000000000000 でパスワードを鍵として(ry
844 名前：デフォルトの名無しさん mailto:sage [2007/01/04(木) 18:45:09 ]: Sboxがあるから鍵0でもどっかで必ずbit立つんじゃね？
だから0は不動点じゃない
845 名前：デフォルトの名無しさん mailto:sage [2007/01/06(土) 00:26:28 ]: さーてどこから始めよう
DESの鍵空間は広大だわ
846 名前：デフォルトの名無しさん mailto:sage [2007/01/06(土) 20:43:49 ]: 結局bitの入れ替えとローテーションしかやってない訳だろ。
bit間の演算は存在しない。これは重要な事実だ。
つまり多段で複雑な演算の様に見えているが、
組み合わせ回路だけで構成可能ということ。
そこで入力bit列→出力bit列の対応表に還元して考えてみると、
bit単位での不動点は存在しても平文の不動点は存在しないことは明白。
847 名前：デフォルトの名無しさん [2007/01/13(土) 13:59:49 ]: bit
848 名前：デフォルトの名無しさん [2007/01/14(日) 11:01:31 ]: 同じパスワードから、常に同じ公開鍵(RSAでn=512bit)ペアを生成したいのですが、
生成に使う素数をp,qとすると
1. p = パスワードのsha256ハッシュとする。
2. pの最上位と最下位のbitを1にする。
3. pが素数かどうか判定し、そうでなければ素数になるまでpに2を足しつづける。
4. qについてはパスワードをビット反転したものをsha256ハッシュして計算を始める。

素数判定の方法が同じなら同じ鍵が生成されると思いますが、
問題点があれば指摘してもらえませんか？
849 名前：デフォルトの名無しさん mailto:sage [2007/01/14(日) 11:23:59 ]: 256ビットの整数が素数かどうかの判定に時間がかかりそうだなおい。
2の常用対数が0.3くらいだから77桁位か?
850 名前：デフォルトの名無しさん mailto:sage [2007/01/14(日) 11:30:55 ]: >>849
確立判定なら何とでもなる範囲。
だが、その時使う乱数によって非素数が素数と判定された場合、少し厄介。
851 名前：デフォルトの名無しさん mailto:sage [2007/01/21(日) 18:29:58 ]: >>848

問題点１
A, B両氏のパスワードがかぶった場合にまずい事になる。
A pass="aaa"
B pass="bbb"
と入力した場合二人の公開鍵が一緒になるが問題はないのか？

また、問題点2
C pass="aaa"
D pass="~a~a~a"(~aは'a'のビット反転をした値)
の時、パスワードが違うにもかかわらず公開鍵が一緒になる。
（∵pq=qp)

こんな簡単な問題も自分で見つけれない人間は、そもそもセキュリティに
手を出そうとしてはいけない。

>同じパスワードから、常に同じ公開鍵(RSAでn=512bit)ペアを生成したい
こんなのは無謀です。
852 名前：デフォルトの名無しさん mailto:sage [2007/01/23(火) 19:08:35 ]: >>851
書く前に読もうな？
256bitのハッシュ取るんだから元データが24bitとか32bitとかそこらなら衝突する可能性は皆無じゃないのか？
32byte文字列は256bit鍵空間に比べ随分小さいが、ハッシュを使う以上32byte以上の大きさのデータも扱えるから
問題ないだろ。

ただ、俺ならbit反転なんて楽な方法取らずにbit単位で規則的入れ替えするがな。
完全な素数かどうかの判定に随分時間がかかると思うが。
853 名前：デフォルトの名無しさん mailto:sage [2007/01/23(火) 21:23:16 ]: おおーい、>>848はどうしたー？
また問題点見つけたから、書こうかと思ったんだが
851に対する意見がないのでどうしようか迷ってんだけど。
854 名前：デフォルトの名無しさん mailto:sage [2007/01/23(火) 21:55:04 ]: >>852

>256bitのハッシュ取るんだから元データが24bitとか32bitとかそこらなら衝突する
>可能性は皆無じゃないのか？

あほちゃう？文字数で言えば3文字か4文字だぞ。webでパスワードを設定
する場合に最低でも6～8文字は設定してくれちゅうとこがほとんどだのに。
それと、sha256とかほとんどの一方向性ハッシュ関数は入力信号の最小単
位が1bitなんですけど。

>ハッシュを使う以上32byte以上の大きさのデータも扱える

こんな事言ってて恥ずかしくない？
sha256の仕様書を教えておくから勉強してこいよ。
csrc.nist.gov/publications/fips/fips180-2/fips180-2withchangenotice.pdf

>ただ、俺ならbit反転なんて楽な方法取らずにbit単位で規則的入れ替えするがな。
>完全な素数かどうかの判定に随分時間がかかると思うが。

どっかの誰かが入力したパスと、どっかの誰かの入力したパスを規則的入れ替え
たものがかぶったら・・・。とかってことまで考えが及ばないの？

だから、もしするんならpassをハッシュしたものをh_passとおいて、
pの元種h_pは、h_passの最下位ビットを0にしたもの
qの元種h_qは、h_passの最下位ビットを1にしたもの
っていう風にして、h_p, h_qをsha256に食わす。

848の言葉で言うなら、新しく生成されたハッシュをパスワードのsha256ハッシュとするんでしょ。

んっと、あと
p, qが素数の時p'=(p-1)/2, q'=(q-1)/2を満たすp', q'も素数でないとやばいよん。
理由とかは数学的な話なので、ここでは詳しく書かないけど。
855 名前：848 mailto:sage [2007/01/24(水) 18:33:12 ]: >>851
問題点２は理解できたのですが、
pass="aaa"とpass="bbb"から出来る鍵が一緒になるというのはどういうことなのでしょうか。

完全な素数判定は困難なので、
フェルマーテストのような擬素数判定で十分だと考えています。

誰でも編集できる環境にあるファイルに対して簡単に追加できる
2chのトリップのようなものを考えているので、
乱数ジェネレータで事前に生成した鍵を使うのは不便です。
人間の考えるパスだし少々の衝突は仕方ないと考えています。
856 名前：デフォルトの名無しさん mailto:sage [2007/01/24(水) 19:25:47 ]: >>848, >851

問題点１
A, B両氏のパスワードがかぶった場合にまずい事になる。
A pass="aaa"
B pass="aaa"
と入力した場合二人の公開鍵が一緒になるが問題はないのか？

ごめん、↑に訂正だわ。
857 名前：856 mailto:sage [2007/01/24(水) 19:35:31 ]: >>855
同じパスから同じ公開鍵ができなければならない理由がいまいち分からないが、
要は、簡単に乱数が生成できれば言い訳ね。

擬似乱数
pc8.2ch.net/test/read.cgi/tech/1146071975/
このスレの48から頑張ってググりな

48 ：デフォルトの名無しさん：2006/05/04(木) 14:37:16
>>47
そんなの Windows なら CryptGenRandom 、Unix系なら /dev/urandom を使う・・・て
　　のが常識では？
858 名前：848 mailto:sage [2007/01/24(水) 20:12:42 ]: > 同じパスから同じ公開鍵ができなければならない理由
秘密鍵で署名したファイルの末尾に公開鍵を追加したものをうｐして見せるような状況を想定しています。
ファイルをダウンロードしたら、裏方でファイル末尾の公開鍵を使って署名を検証します。
そして公開鍵の末尾数バイトをbase64したものをトリップとしてユーザーに表示します。

つまりランダム要素なしに同じトリップパスから
同じ公開鍵ペアが生成できないとトリップにならないんです。
…わかりにくい説明ですみません。

2chで、「名前#トリップパス」という名前で書いたとき、
「名前◆なんたら」のなんたらがいつでも同じでないといけないのと同じ理由なんですが。
859 名前：デフォルトの名無しさん mailto:sage [2007/01/24(水) 21:01:29 ]: >>848
そもそも署名がなんのためにあるか分かってる?
860 名前：848 mailto:sage [2007/01/24(水) 21:14:45 ]: メッセージ作成者の証明、改ざん防止、否認防止じゃないんですか？
861 名前：デフォルトの名無しさん mailto:sage [2007/01/24(水) 21:36:59 ]: 一緒に公開鍵もついてたら改ざんできるじゃん
て思ったけど公開鍵のハッシュで投稿者を同一視したいってことだから関係ないのね

ところでなんで今からRSA使うの?
ElGamalの方が簡単だし、楕円曲線上の群にすれば準指数アルゴリズムも知られてない
上のやりかただとパスワードのハッシュが違っても生成される素数が同じになる可能性があるよ
862 名前：848 mailto:sage [2007/01/24(水) 22:01:25 ]: RSAは資料が多く、多倍長整数演算を実装すればそれで完成という感じなのですが、
楕円曲線Elgamalは資料が少なくて内容がさっぱりつかめないんです。

ハッシュが同じでも素数が同じになるというのは
２つのパスワードのハッシュがそれぞれ20と22だと、
生成される素数がどちらも23になるというようなことでしょうか。
863 名前：デフォルトの名無しさん mailto:sage [2007/01/24(水) 23:37:22 ]: >>862
>ハッシュが同じでも素数が同じになるというのは
>２つのパスワードのハッシュがそれぞれ20と22だと、
>生成される素数がどちらも23になるというようなことでしょうか。
そうそう。ハッシュ値->素数が単射ならまあよいかもしれない。
aと~aのsha256ハッシュ値に関連性が無ければだけど、たぶんないでしょう
で、ハッシュ値->素数の単射を考えるのは大変なのでもっと簡単な暗号の方
がいいんじゃないかと思ったんだけど

パスワードのハッシュかかぶったらなんていいだしたら
UNIXのログインシステム自体否定することになると思う
864 名前：デフォルトの名無しさん mailto:sage [2007/01/25(木) 18:50:36 ]: 公開コンペ
865 名前：デフォルトの名無しさん [2007/02/01(木) 00:19:12 ]: www.dotup.org/uploda/www.dotup.org17506.zip.html
JavaScriptでテキストを簡単に暗号化できるスクリプト組んでみた。
866 名前：デフォルトの名無しさん mailto:sage [2007/02/01(木) 11:23:25 ]: FDiVqcgvuVgDxiOTPHGOXBPvlQQraSm+OHEV1LTP
bQQ=
867 名前：デフォルトの名無しさん mailto:sage [2007/02/11(日) 03:00:43 ]: CryptoAPIを使用して、「.crt」拡張子のファイルから署名値を取り出す方法ってどなたかわかりませんか？
868 名前：デフォルトの名無しさん [2007/02/11(日) 07:33:44 ]: 2種類のハッシュ関数の対を使えばパスワード衝突の問題は回避されると思われ。
md5+sha256
とか。クローフリーペアを使うというか。
869 名前：デフォルトの名無しさん mailto:sage [2007/02/12(月) 00:38:10 ]: >>865
JavaScriptで作られたRSA暗号プログラムって知ってる？
妖精現実ってサイトにあるよ
870 名前：デフォルトの名無しさん [2007/02/14(水) 05:04:11 ]: rubyで作った楕円曲線暗号のプログラムを公開しています。
871 名前：デフォルトの名無しさん mailto:sage [2007/02/14(水) 21:59:42 ]: HD DVDとBlu-rayの暗号化がついに完全突破されました
ttp://gigazine.net/index.php?/news/comments/hd_dvdblu_ray/
872 名前：・∀・）っ-○◎●創聖のダンゴリオン ◆DanGorION6 mailto:sage [2007/02/14(水) 23:51:23 ]: 次は忌まわしきHDCPの復号だな
873 名前：デフォルトの名無しさん [2007/02/17(土) 18:13:55 ]: ほしゅ
874 名前：デフォルトの名無しさん [2007/02/20(火) 20:08:39 ]: ところで岡本栄司の「暗号理論入門」の表紙って何の暗号なんだろう
875 名前：デフォルトの名無しさん [2007/02/25(日) 05:51:45 ]: リング署名って参加者が誰かもわからないようになってるの？
876 名前：デフォルトの名無しさん mailto:sage [2007/03/14(水) 23:16:23 ]: 量子コンピュータで全ての暗号は解読可能です
すでに16qubitの超高性能な量子コンピュータは商用として生産されています。
この超高性能を使えば人工知能や、温暖化の解決、将来の予測など
なんでも可能です。
16qubitで世界の全てのコンピューターを上回る性能があります。
877 名前：デフォルトの名無しさん [2007/03/15(木) 03:52:40 ]: >>876
また量子信者かよ。信仰もほどほどにしておけ。
そんな暗号と因数分解以外できないトランジスタレベルの素材が
実用になるわけないだろ。
878 名前：デフォルトの名無しさん [2007/03/15(木) 23:50:53 ]: いくら量子暗号でも、man in the middle 攻撃にはやられてしまうと思うのですが、
どうなのですか？
879 名前：デフォルトの名無しさん mailto:sage [2007/03/16(金) 05:13:07 ]: あーはいはい
AESを解読して論文を発表してからまたどうぞ
880 名前：デフォルトの名無しさん [2007/03/16(金) 18:13:42 ]: gpgで３DESって、どうやって３つのキーを指定してるんだろうか？
キーは１つしか聞かれないのに、
881 名前：・∀・）っ-○◎● mailto:sage [2007/03/16(金) 22:16:14 ]: 9文字以上なら分割して2個のキーとして見なす、とか。
882 名前：デフォルトの名無しさん mailto:sage [2007/03/17(土) 01:58:59 ]: 頭の悪い奴が覚えられない文字数のキーなど意味がなく、その文字数が必要と
いうのならば、それ以上の文字数でも同じだろう。
つまりフラッシュメモリなどに記録して鍵として持ち歩けばいいだけ。
キーのアルゴリズム自体をフラッシュメモリで独自に選んだものを保存して
おけば、解読などありえないわけで。複雑な暗号も必要はなくなる。
暗号が解読されるとか騒いで複雑にするのは、単に仕組みが公開されている
からであり、仕組み自体が個人が選ぶユニークなものであれば、複雑な暗号
技術など不用。
解読されるのは全て同じ仕組みにするからであり、全て別の仕組みにすれば
解読などありえない。コンピュータウイルスが寄生するのと同じで
確率的に寄生できるところだけを寄生するだけ。暗号も確実に解読できる
ところだけ解読するだけ。
問題は運用にある、人間に問題がある。
どんな完璧な仕組みでも人間が問題でトラブル訳だ。理屈に支配されている
オマイには理解できないだろうけどな。
883 名前：デフォルトの名無しさん mailto:sage [2007/03/17(土) 09:39:23 ]: どこを何読みすれば>882を解読できるんだか
884 名前：デフォルトの名無しさん mailto:sage [2007/03/19(月) 10:10:02 ]: 一つのキーから必要なぶんだけバイト列を派生させるのが普通だろ
885 名前：デフォルトの名無しさん mailto:sage [2007/03/22(木) 14:46:23 ]: 計算そのものに対する暗号というのはあるんでしょうか
こんな感じの

・関数fを鍵kで暗号化する。関数f',g,hを生成。
・文"123"にgを適用する。文"abc"を生成。
・"abc"にf'を適用。文"xyz"を生成。
・"xyz"にhを適用。文"126"を生成。f("123")="456"であった。
・このとき、f',g,hを手に入れても、f("123")が"456"になることはわかるが、
それがどのような計算によってそうなったのかはわからない
886 名前：デフォルトの名無しさん [2007/03/22(木) 20:19:35 ]: 勉強し直し
887 名前：デフォルトの名無しさん mailto:sage [2007/03/23(金) 22:23:37 ]: 単位ゲートあたりの処理が世界最速の共通鍵ブロック暗号「CLEFIA」
slashdot.jp/security/article.pl?sid=07/03/23/075253&from=rss
888 名前：デフォルトの名無しさん mailto:sage [2007/03/25(日) 06:49:00 ]: 産総研：広報記事他　抜本的なフィッシング詐欺防止技術を開発
www.aist.go.jp/aist_j/new_research/nr20070323/nr20070323.html
889 名前：デフォルトの名無しさん mailto:sage [2007/03/25(日) 08:59:08 ]: >>885
関数をブラックボックスだと考えれば
自分がどんだけアホな質問してるかわかるぞ
890 名前：デフォルトの名無しさん mailto:sage [2007/03/25(日) 15:22:39 ]: >>>888
どんな画期的なのかと思ったじゃねーか。
891 名前：デフォルトの名無しさん mailto:sage [2007/03/27(火) 18:34:20 ]: OpenSSL(v0.9.8e)でWindows Mobile 5.0(CPU Armv4i)用のバイナリビルドしたいんだけど
誰かやり方知ってる？
デフォルトのmakeファイルじゃWCE1.1～4.2までしかサポートしてない希ガス
892 名前：デフォルトの名無しさん mailto:sage [2007/03/31(土) 21:15:25 ]: デフォルトのmakeファイルを書き換えれば？
893 名前：デフォルトの名無しさん mailto:sage [2007/04/02(月) 13:38:47 ]: >>892
サンクスです　既成の情報があればと期待したのだけれど…手作業で直します
894 名前：デフォルトの名無しさん [2007/04/03(火) 18:45:20 ]: 行列演算を使った非果敢な計算ならありえます。
>885
895 名前：デフォルトの名無しさん [2007/04/03(火) 18:46:01 ]: 暗号メールの匿名サーバを公開したいんだけどどうよ？
896 名前：デフォルトの名無しさん [2007/04/03(火) 18:51:13 ]: ユーザは公開鍵をサーバに登録する。
ユーザごとに公開鍵は管理される。
サーバには暗号化されたメールしか保存されない。
またウェブメールなので読む場所に関わらずＳＳＬを通して安全な
端末上で登録者本人のみが閲覧可能なメール。
メールにヘッダーを付け、ヘッダが無い平文は自動的に公開鍵で
暗号化される。ヘッダがあるものについてはそのまま保存される。
ＧＰＧやＰＧＰとは互換性が無い。
897 名前：デフォルトの名無しさん mailto:sage [2007/04/03(火) 21:23:41 ]: どうやって復号するんでつか？
898 名前：デフォルトの名無しさん mailto:sage [2007/04/04(水) 05:47:42 ]: 素数を１から計算していると時間がかかるので
素数のDBみたいなものを作ろうと思うのですが、これってやるとなると
ものすごい記録容量が必要ですよね？
そこで、素数を見つけたらそのハッシュを記録するようにして、
DBにハッシュ値を記録しておくようにすれば、容量の問題も随分と
少なくてすむと思うのですが。
素数の桁数を２００桁から２５０桁まで・・みたいに最初からある程度範囲を絞っておいて、DBに記録しておけば
いいのかなー？と、漠然と考えています。
実際に使う場合は乱数で適当な数値を発生させて、そのハッシュ値を求め、
DBから同じハッシュ値があるか求め、ハッシュ値がDBにあったなら、本当に素数かを計算する・・
こんな手順でやろうかと思うのですが、もっといい方法や「根本的に無理・ダメ」という意見ございませんか？
ハッシュがぶつかることもあるかと思うのですが、その辺はまだどうしたらよいかは考えていません。
何か良い案がありましたら教えていただけたらと思いまして。。
899 名前：デフォルトの名無しさん mailto:sage [2007/04/04(水) 06:57:43 ]: 250桁の数値の中に素数がいくつあるのか知らんけど、
ハッシュの桁数にもよるが、事実上ほとんど全部出てきてしまうんじゃないの？
つまり意味なしと思われる。
900 名前：デフォルトの名無しさん mailto:sage [2007/04/04(水) 07:11:42 ]: ハッシュ32ビットでも最低でも2Gの容量が必要。
つまり10進数でならせいぜい10桁少々程度のハッシュしか覚えとけないだろう。
901 名前：デフォルトの名無しさん mailto:sage [2007/04/04(水) 07:15:30 ]: 対象となるハッシュ値が疎になるならもっと容量少なくてすむが、
多分そうはならない。
902 名前：デフォルトの名無しさん [2007/04/04(水) 08:13:53 ]: １番目の素数を記録させる
２番目以降はインデックスと次の素数までの差を記録する（素数自体よりは小さい値）
３番目
・・・
でいいんじゃない？
903 名前：デフォルトの名無しさん [2007/04/04(水) 08:28:31 ]: >897
使用者の秘密鍵は安全な端末か、ICカードの中にあり本人しか
利用できないものと仮定する。
クライアントからSSLを通して秘密鍵を送る。
送った秘密鍵はサーバに残らないとする。
秘密鍵を使ってサーバ上の暗号メールを解読する。
読みたい画面がSSLを通して読める。
ログアウト時に再び暗号化して保存しておく。
904 名前：デフォルトの名無しさん mailto:sage [2007/04/04(水) 08:41:07 ]: >>902
250桁の数値に素数がいくつあるとおもってんだ
905 名前：デフォルトの名無しさん mailto:sage [2007/04/04(水) 08:43:50 ]: >>903
専用の端末やICカードやらとにかくハードがいるなら、
専用クライアントソフトでもあんまり変わらんのじゃないか？

秘密鍵を送信するってのはちょっとなー
普通はやらないだろ。
906 名前：デフォルトの名無しさん [2007/04/04(水) 08:53:27 ]: サーバから暗号文を送信して、クライアントでメール利だを起動して読む
みたいな？
907 名前：デフォルトの名無しさん [2007/04/04(水) 09:00:18 ]: 何なくても本人だって分かる仕組みがないと不便ですね復号。
908 名前：デフォルトの名無しさん [2007/04/04(水) 20:08:02 ]: >>898
このスレに、「暗号」の二文字が入っているのが分からないのか？
「数学」であればお前さんのいう方法でもいいだろうけど、

nの付近の素数の密度は約1/log(n)だぞん。
つまり、n/(logn)の素数があるわけだ。

素数200桁だとして、640bit。

2^640 / log640 = 2 ^ 640 / 9 = 2 ^ 641個素数がある

記憶メモリ、どれだけ必要なんだよ。

ある範囲だけ素数を調べるにしても、暗号には使えないよな。
909 名前：898 mailto:sage [2007/04/05(木) 02:25:38 ]: お付き合いくださった方々どうもありがとうございます。
「ハッシュ値を記憶する」というアイデアはいけるかも！
っと思ったのですが、見事にアイデア倒れだったようですね＾＾；
どうもご迷惑をかけました。
910 名前：デフォルトの名無しさん mailto:sage [2007/04/05(木) 19:37:26 ]: >>908
もちつけ
話が矛盾だらけだぞ
911 名前：デフォルトの名無しさん mailto:sage [2007/04/06(金) 02:07:52 ]: 200桁の数値を記録するのに必要なbit数は
200Log10/Log2≒664
より素数ひとつあたり84byte必要であるとする。

素数の数は200桁まででは
10^200/200Log10=10^198/2Log10≒10^198/4.6≒2.17*10^197
よりおよそ2.17*10^197個（≒1.3*2^315）である。

84*1.3≒109より
必要な容量はおよそ
109*2^315Byte=109*2^275TB

相当な容量が必要である。

計算間違ってたらゴメン。
912 名前：デフォルトの名無しさん mailto:sage [2007/04/06(金) 02:18:09 ]: うん？そもそもハッシュ値がDBにあったところで、どうやってもとの数を割り出すんだ？
913 名前：912 mailto:sage [2007/04/06(金) 02:19:12 ]: 読解不足だった。放っておいてくれ。
914 名前：デフォルトの名無しさん mailto:sage [2007/04/06(金) 02:21:52 ]: ハッシュ値もとめて照合するより、64bitくらいの数までなら32bitまでの素数のリスト作っておいて、
片っ端から割ったほうが速いんじゃないかって思ったんだが、どうだろうか？
素数のリストは素数一個に4byte使って無駄だらけな保存しても4GBには収まったはず。
915 名前：デフォルトの名無しさん mailto:sage [2007/04/06(金) 03:16:57 ]: 4GBのディスク読み出すのに何分かかると思ってんだ。
916 名前：デフォルトの名無しさん mailto:sage [2007/04/06(金) 04:10:33 ]: 15分もあれば読み込み終わるでしょ。
強い暗号化を施すのに掛ける時間に比べたらまだ少ないほうだと感じるが、どうか。
917 名前：デフォルトの名無しさん mailto:sage [2007/04/06(金) 06:54:05 ]: 強い暗号化？
918 名前：デフォルトの名無しさん mailto:sage [2007/04/06(金) 07:20:42 ]: 読み出すだけなら10秒もかからん気がする。
919 名前：デフォルトの名無しさん mailto:sage [2007/04/06(金) 08:57:09 ]: すげーディスクだなおい。
最近はそんな早いのか？
920 名前：デフォルトの名無しさん mailto:sage [2007/04/06(金) 12:48:33 ]: >>918
単位に注意ｗ

4GBを10秒弱で読み込むディスクがあったら、是非ベンチマークで他の人の上を行ってくれ。
1MBあたり3ms未満とか、メモリ確保の速度ですか？
921 名前：916 mailto:sage [2007/04/06(金) 13:33:29 ]: >>917
すまん、「強い」ではなく「処理の重い」
RSAとかの、素数を使う公開鍵暗号の事な。

あー、ハイブリッド式のやつなら処理の重さはあんまり関係ないか。
922 名前：デフォルトの名無しさん mailto:sage [2007/04/06(金) 22:38:13 ]: RSAでの暗号化でいつ素数判定を使うんでつか？
923 名前：デフォルトの名無しさん mailto:sage [2007/04/06(金) 22:39:55 ]: ＞15分もあれば読み込み終わるでしょ。
＞強い暗号化を施すのに掛ける時間に比べたらまだ少ないほうだと感じるが、どうか。
RSAでの暗号化は15分以上かかるのか？
924 名前：デフォルトの名無しさん mailto:sage [2007/04/06(金) 22:41:05 ]: さっさと楕円曲線暗号に移行しよう。
925 名前：デフォルトの名無しさん mailto:sage [2007/04/06(金) 22:42:42 ]: あとRSAで長いデータを暗号化するメリットがない。
926 名前：・∀・）っ-○◎● mailto:sage [2007/04/06(金) 22:58:00 ]: >>924
特許の地雷原へようこそ
927 名前：デフォルトの名無しさん mailto:sage [2007/04/06(金) 23:12:54 ]: ああそうか、楕円暗号ってそっちがやばいんだっけ…
928 名前：・∀・）っ-○◎● mailto:sage [2007/04/06(金) 23:18:13 ]: 古典的な実装の基本特許はとっくに切れてるけどね
ElGamal暗号なんかはGnuPGとかに使われてるし
929 名前：デフォルトの名無しさん mailto:sage [2007/04/07(土) 07:35:08 ]: perlで使えるcryptのdesについてなんですが、
8バイトある第一引数がdesの64bit暗号化データ、２バイトのsaltが５６bit暗号キーと対応すると考えてよいのでしょうか？
その場合、cryptのdesは56bitの暗号キーを使うと聞いたのですが、のこりの40bitはどうなっているのでしょうか？
930 名前：・∀・）っ-○◎● mailto:sage [2007/04/07(土) 09:37:38 ]: 違う。第一引数がキーで、1バイトあたり下位7ビットだけを使う。

DESでいうプレーンテクストは最初0固定で、改変DEAを25回重ねがけする
（暗号化64ビットに対して更に暗号化をかける）。

saltは12ビットを抽出して拡大転置テーブルの改変を行うもの。
".."を指定すれば通常のDESと同じになるけど。
931 名前：デフォルトの名無しさん mailto:sage [2007/04/07(土) 09:58:05 ]: どうでもいいがなんでコテハンなんだ？
932 名前：・∀・）っ-○◎● mailto:sage [2007/04/07(土) 10:07:33 ]: VIPではよくあること
933 名前： ◆tAo.kQ2STk mailto:sage [2007/04/07(土) 13:47:35 ]: あれ？ダンゴリオンってVIPPERだっけ？

ところで911は俺だが、計算間違ってないよな？
934 名前：デフォルトの名無しさん mailto:sage [2007/04/07(土) 13:53:22 ]: しかし実際、RSAはもう限界が見えてるし、
早くなんとかなってほしいもんだ。
って今どういう状況か全然知らんけど。
935 名前：・∀・）っ-○◎● mailto:sage [2007/04/07(土) 13:54:18 ]: そのコテ名初めて出たのって間違いなくVIPだ

たぶんあってるj
936 名前：デフォルトの名無しさん mailto:sage [2007/04/07(土) 14:18:12 ]: >920
すまん早すぎた。2分ぐらいかかるな。
937 名前： ◆tAo.kQ2STk mailto:sage [2007/04/07(土) 21:43:33 ]: >>936
ちなみに。

NTFSで色々試してみたら、FILE_FLAG_NO_BUFFERINGフラグをつけて1MB単位で読み込むだけなら1秒掛からなかった・・・。
4KB単位でも3秒強ってところかな。 ←原因は最適化が弱い言語でのループ
つけなければ、4KB単位で15秒程、1MB単位で18秒弱。
API先で仮想キャッシュ（実体は普通のメモリ）を使ってるせいで遅くなってると見た。

4GBを超えると色々制限が掛かってくるかもしれない。その場合に割合遅くなるかも。
938 名前：デフォルトの名無しさん mailto:sage [2007/04/07(土) 22:27:09 ]: ４GBを1秒で読めるといってるように見えるのは気のせいだろうか…
939 名前：デフォルトの名無しさん mailto:sage [2007/04/07(土) 22:34:56 ]: 現在のメモリ帯域って8.5GB/Sとかだよね、確か。
940 名前：デフォルトの名無しさん mailto:sage [2007/04/07(土) 22:35:23 ]: >>930
サンクス。
ソースあたらないとわからないようですね。
941 名前：デフォルトの名無しさん mailto:sage [2007/04/08(日) 06:22:37 ]: PCじゃないアーキテクチャで
メモリの読み出しとか整数論関連の計算やアルゴリズム実行が速いハードウェアを作ろう！
942 名前：デフォルトの名無しさん [2007/04/08(日) 11:23:28 ]: fpga
943 名前：デフォルトの名無しさん mailto:sage [2007/04/08(日) 14:00:36 ]: >>941
ハードウェア板に行ってくれ。
944 名前：・∀・）っ-○◎● mailto:sage [2007/04/08(日) 16:06:36 ]: >>939
DDR2 533MHｚならそうだね
XDR　DRAMなら25.6GB/secはいく。
945 名前：デフォルトの名無しさん mailto:sage [2007/04/08(日) 23:51:07 ]: おおう、もうそんなに速いのか、すげーなぁ…
946 名前：デフォルトの名無しさん mailto:sage [2007/04/19(木) 12:44:53 ]: MD5完全に＼(^o^)／ｵﾜﾀ
947 名前：デフォルトの名無しさん mailto:sage [2007/04/19(木) 14:44:04 ]: 前から終わってる
948 名前：・∀・）っ-○◎● mailto:sage [2007/04/19(木) 21:09:45 ]: DES終わってるのに未だにFelicaとかで使われてるぜ
949 名前：デフォルトの名無しさん [2007/04/19(木) 21:45:11 ]: >>948
Felica に使われてんのって 3DES じゃなかった？
950 名前：デフォルトの名無しさん mailto:sage [2007/04/19(木) 22:19:57 ]: 相互認証が、ね

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef