■暗号技術【ROUNDsurea】■

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 2ch.scのread.cgiへ]
Update time : 04/10 11:04 / Filesize : 154 KB / Number-of Response : 591
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

■暗号技術【ROUNDsurea】■

1 名前：デフォルトの名無しさん mailto:sage [2007/05/28(月) 00:49:42 .net]: 前スレ
■暗号技術【ROUND2】■
pc11.2ch.net/test/read.cgi/tech/1088530204/

擬似乱数
pc11.2ch.net/test/read.cgi/tech/1146071975/
暗号数学について語ろう。ROUND 3
science6.2ch.net/test/read.cgi/math/1170938965/
素数判定は「決定的」多項式時間で可能
science6.2ch.net/test/read.cgi/math/1028813059/
【疑似】乱数をつくる【本物】
science6.2ch.net/test/read.cgi/denki/1074867250/
ＲＳＡ暗号　解読　助けてください！！
pc11.2ch.net/test/read.cgi/sec/1026903337/

お前らって本当に自分じゃ何もしないよな。
前スレ>>990->>994
罰としてスレタイで辱めてやる
331 名前：デフォルトの名無しさん mailto:sage [2011/12/30(金) 17:20:18.01 .net]: >>330
スルー対象の本人がこんなの貼り付けるってどういうことなの？
ここに居座るつもり？迷惑だけど

「スルー力検定」の受付がスタート
全日本通過技術検定協会が定めた「スルー力検定」ロゴ

　全日本通過技術検定協会は、物事をスルーできる力を客観的に測定する「スルー力
検定」を全国7都市で実施すると発表した。受講料は1級8,000円、2級5,000円。

　「スルー力（するーりょく）」とは、インターネット時代に必須とされる、物事をうまくやり
過ごしたり、見てみぬふりをするコミュニケーション技術。掲示板やブログ上での不快
なレスを読み飛ばすのはもちろん、上司や同僚からの仕事の依頼を何気なくかわす
など、ビジネスからプライベートまで幅広く応用できる。
332 名前：デフォルトの名無しさん mailto:sage [2011/12/30(金) 17:22:32.80 .net]: >>331
不合格ｗ
333 名前： ◆QZaw55cn4c mailto:sage [2011/12/30(金) 17:24:06.02 .net]: >>331
はい。不合格。
334 名前：デフォルトの名無しさん mailto:sage [2011/12/30(金) 17:32:18.70 .net]: スルーしても糞コテがいなくならないんだもん
黙ったままでいても糞コテには意味が無い
俺を黙らせるためにスルー力検定なんてもんを貼ってやがる

暗号に詳しくてもお前の態度が気に食わない、
理解できないようだから答えないんだよ
335 名前： ◆QZaw55cn4c mailto:sage [2011/12/30(金) 17:40:07.95 .net]: >>334
はい。不合格w

>>332
先をこされたか。
336 名前：デフォルトの名無しさん mailto:sage [2011/12/30(金) 17:58:34.45 .net]: コテがコテに批判的な人をスルーできないのは問題ないんだ
なんつーダブスタ
337 名前：デフォルトの名無しさん mailto:sage [2011/12/30(金) 18:10:53.67 .net]: 他人にはスルー力を強要するが自分はスルーしなくていいとか
人として駄目だろう
338 名前： ◆QZaw55cn4c mailto:sage [2011/12/30(金) 20:35:36.69 .net]: >>334
>暗号に詳しくてもお前の態度が気に食わない、
>理解できないようだから答えないんだよ

言うだけならかんたんだよ。詳しいというんだったら、その実力をみせてよ。

>>336-337
不合格w
339 名前：デフォルトの名無しさん mailto:sage [2011/12/30(金) 20:43:50.65 .net]: 　　　〃∩ ∧＿∧
　　　⊂⌒（　・ω・）　　はいはい不合格不合格
　　　　｀ヽ_っ⌒/⌒ｃ
　　　　　　　 ⌒ ⌒
340 名前：デフォルトの名無しさん [2012/01/10(火) 17:08:48.36 .net]: en.wikipedia.org/wiki/Mental_poker#A_non-shuffling_poker_protocol
* E(c1)E(c2) = E(c1 + c2)
* collisions must be detectable, without revealing the plaintext

シャッフルしない Mental Poker Protocol というのが、意味がわからないのだが・・・

それぞれのプレイヤーが暗号化した数字を出しあって、暗号化したまま足し算して、
カードの衝突があればもう一回って、そんな器用なことできるものなのか？
中身は分からないが、衝突は発見できる、って、そんな無茶な
341 名前：デフォルトの名無しさん mailto:sage [2012/01/11(水) 08:43:35.07 .net]: できるように暗号を設計するんだよ
なんにも考えてない暗号だったら無理だろうけどさ
342 名前：デフォルトの名無しさん mailto:sage [2012/01/13(金) 20:52:08.10 .net]: あの……落とし物ですよ？

　　　　　　　　 ∧__,,∧
　　　　　　　　（´・ω・`）
　　　　　　　　(つ夢と）
　　　　　　　　｀ｕ―ｕ´

　あなたのすぐ後ろにありましたよ？
343 名前：デフォルトの名無しさん mailto:sage [2012/01/20(金) 02:17:31.25 .net]: 和や積の準同型暗号自体なら
ElGamal暗号やPaillier暗号が昔から知られているよ
ttp://ja.wikipedia.org/wiki/%E6%BA%96%E5%90%8C%E5%9E%8B%E6%9A%97%E5%8F%B7

２つの暗号文から減算（または除算）した結果が
平文"0"（または"1"）の暗号文になっていれば
二つの暗号文の中の平文の同一性は判定できるんじゃね？
ダメかな？

>>340の参照元の論文
ttp://crypto.stanford.edu/~pgolle/papers/poker.pdf
だと，なんか分散計算でやってるみたい
３ページ目の最後の６行の理屈がどうしてもわからない・・・
344 名前：デフォルトの名無しさん mailto:age [2012/01/25(水) 20:28:04.22 .net]: hoshu
345 名前：デフォルトの名無しさん mailto:sage [2012/02/03(金) 07:42:13.98 .net]: アンゴーで飯を食うことはできるんか
346 名前：デフォルトの名無しさん [2012/02/12(日) 01:57:51.36 .net]: クラウドで暗号とか言ってるけど、安全なの？
cloud.watch.impress.co.jp/docs/news/20120210_511289.html
347 名前：デフォルトの名無しさん mailto:sage [2012/02/12(日) 03:02:00.72 .net]: >>346
みかかごときが暗号に詳しいわけないだろ
348 名前：デフォルトの名無しさん mailto:sage [2012/02/12(日) 07:16:33.19 .net]: みかか研といえば、FEALとかE2とか、国際的に通用する（前者は攻撃法を発見されてしまったが）
暗号で知られてるぞ。

現場のバカが泥をぬったくってくれてるがw
349 名前：デフォルトの名無しさん [2012/02/21(火) 20:10:19.76 .net]: だれか暗号といてくれ！！

m7752902780
q5670754954
w2654637406
q5286271066
m8125522416
a1926172574
x504148223
l9676431138
g5289793839
l5799859691
n5135660909
g5241613386
k4148674163
p2895427859
i4115643171
d6373795065

----------------------
a0c2e4g6 : aaaa
a0z1c2x3 : aaaa
p65e68t2o51d27n48u38n13 : corneria
x6136494262r7484725313x185670378k2531105274x7114948063 : venom
350 名前： ◆HR1gMcB9n7yt mailto:sage [2012/02/24(金) 17:48:11.73 .net]: >>349
解いてみた。
結果は先頭に#を付けて名前欄に書いておいたｗ
これって学校の課題とか？
351 名前：デフォルトの名無しさん mailto:sage [2012/02/24(金) 18:14:37.61 .net]: >>349
解けた！
ってかこれ暗号じゃないだろ
352 名前：デフォルトの名無しさん mailto:sage [2012/02/25(土) 10:48:26.50 .net]: アウィサムブラックホールって何さ？
353 名前： ◆HR1gMcB9n7yt mailto:sage [2012/02/25(土) 16:10:14.22 .net]: てす
354 名前： ◆HR1gMcB9n7yt mailto:sage [2012/02/26(日) 12:47:12.18 .net]: a we some blackhole
？？なんだこの符号化
355 名前：デフォルトの名無しさん mailto:sage [2012/02/26(日) 13:32:52.69 .net]: awe some blackhole
だろバカ
356 名前：デフォルトの名無しさん mailto:sage [2012/02/26(日) 14:47:07.60 .net]: おー寒っ
357 名前：デフォルトの名無しさん mailto:sage [2012/02/27(月) 01:14:31.07 .net]: awesome blackhole
だろ低能
358 名前：デフォルトの名無しさん [2012/02/28(火) 23:28:31.00 .net]: nintendoのＷＥＢ入社試験問題だね
359 名前：デフォルトの名無しさん mailto:sage [2012/03/05(月) 01:47:43.33 .net]: >>358
マジかよ・・・
検索エンジンに引っかからないし、難易度的に学校の課題とかかと思ったら
そういうことだったのか・・・
360 名前：デフォルトの名無しさん mailto:sage [2012/03/16(金) 11:10:09.01 .net]: 他者と通信する必要もなく個人で暗号化する場合って
公開鍵暗号方式って意味ある？
361 名前：デフォルトの名無しさん mailto:sage [2012/03/16(金) 13:36:01.46 .net]: 基本ないと思う。
何を暗号化するかによるけど有効な場合を示せるかも知れない。
362 名前：デフォルトの名無しさん mailto:sage [2012/03/16(金) 13:52:47.75 .net]: 電子「署名」だったらあるかも。
改竄される恐れがない秘密鍵を別媒体に持っていることが前提だけれど、
kernelとか好き勝手に入れ替えられると困るよね。
kernelに対して電子署名を検証できれば改竄されていないkernelって信用できる。

ううーん、、、
公開鍵「暗号」を使って『暗号化』が有効だと思える例は思いつかない。
ごめん。

うーん。
現在でも公開鍵暗号で『暗号化』するのって、
対象鍵暗号で使う「対象鍵」だもんね。
通信しないのであれば公開鍵暗号の旨味はないと思う。

電子[署名」なら考えれば良い例があるかもね。
363 名前：デフォルトの名無しさん mailto:sage [2012/03/16(金) 14:09:05.96 .net]: 個人でも暗号化するPCと複合化するPCを明確に分けれるとか。
364 名前：デフォルトの名無しさん mailto:sage [2012/03/16(金) 15:26:19.71 .net]: >>360
いちいちパスワードを入力しなくてすむ。
365 名前：デフォルトの名無しさん mailto:sage [2012/03/16(金) 19:05:39.42 .net]: 世界に自分ひとりしか存在しないなら、公開鍵暗号も秘密鍵暗号も無用の長物。
世界で自分以外の全てが敵なら、公開鍵暗号は無用の長物。秘密鍵暗号は有用。
世界に自分と、敵と、敵ではない誰かがいるなら、公開鍵暗号も有用。

「他者と通信する必要もなく個人で」という用途の中に家族とか友人とか
そういう緩めの第三者がいないなら、公開鍵暗号は意味ないだろうね。
366 名前：デフォルトの名無しさん mailto:sage [2012/03/16(金) 19:22:02.21 .net]: 味方でも見られたら恥ずかしいデータというのがあってだな。
367 名前：デフォルトの名無しさん mailto:sage [2012/03/16(金) 19:27:34.55 .net]: >>364
いや、公開鍵暗号でも公開鍵暗号の秘密鍵を守る必要があって、
そのために公開鍵暗号の秘密鍵を対象鍵暗号で暗号化して保存してるんだよ。
368 名前：デフォルトの名無しさん mailto:sage [2012/03/16(金) 19:29:37.30 .net]: その最後の対称鍵は暗号化しなくていいんですか？
369 名前：デフォルトの名無しさん mailto:sage [2012/03/16(金) 19:33:23.29 .net]: 暗号化って、通信中の解析が難しいってだけでしょ
わかってる人は、途中からやろうなんて考えないでしょう
370 名前：デフォルトの名無しさん mailto:sage [2012/03/16(金) 19:47:41.88 .net]: >>368
key = sha1(password)
decrypt(cipher, key)

みたいなことをして復号するから対象鍵(=key)暗号化しなくて大丈夫。
passwordが分からないと正しいkeyを生成できない。
371 名前：デフォルトの名無しさん mailto:sage [2012/03/16(金) 20:19:08.99 .net]: >>370
仮にそれを364が言った「いちいちパスワードを入力しなくてすむ」方法の中身だとして、
果たしてそれは秘密鍵暗号では不可能で公開鍵暗号でのみ特有な何かがあるのかな？

って言おうとしたら突っ込むべきところが違ってた。SHA-1は公開鍵暗号じゃねーよｗ
メッセージダイジェストとかハッシュ関数とかそういうカテゴリだ
372 名前：デフォルトの名無しさん mailto:sage [2012/03/16(金) 20:24:40.29 .net]: PCの盗難も考えると、最後の鍵はパスワードとして暗記するしかないと思う。
パスワードは強度を増そうと複雑にすると覚えらないし、
頻繁に変更すると忘れやすいし、ほんと困るね。
373 名前：デフォルトの名無しさん mailto:sage [2012/03/16(金) 20:28:31.72 .net]: >>371
374 名前：デフォルトの名無しさん mailto:sage [2012/03/17(土) 01:20:20.30 .net]: >>371
何を言ってるの…？
375 名前：デフォルトの名無しさん mailto:sage [2012/03/17(土) 02:03:43.64 .net]: >>371
>>371
>>371
376 名前：デフォルトの名無しさん mailto:sage [2012/03/23(金) 15:35:58.49 .net]: 酔っ払って書き込んだのかな
377 名前：デフォルトの名無しさん mailto:sage [2012/03/24(土) 00:28:54.15 .net]: 公開鍵暗号でゲームのデータの一部をエンコードしているよ。

データを吸い出すことは出来ても、チートデータは作りにくいはず。
378 名前：デフォルトの名無しさん mailto:sage [2012/03/24(土) 01:10:17.59 .net]: 通信対戦じゃなかったら意味なくね？
対象鍵暗号でも一緒じゃん。
公開鍵暗号である意味がない。
379 名前：デフォルトの名無しさん mailto:sage [2012/03/24(土) 07:57:29.87 .net]: >>378
対象鍵暗号じゃデコードルーチンと秘密鍵をユーザーがいくらでも
覗けるから、エンコードルーチンを簡単に作れてしまう。

これでは容易に改造可能。
目的はデータ秘匿ではなく改ざん防止。
380 名前：デフォルトの名無しさん mailto:sage [2012/03/24(土) 07:59:23.78 .net]: ちなみに対称ね
381 名前：デフォルトの名無しさん mailto:sage [2012/03/24(土) 10:04:44.76 .net]: 少なくともデータ比較での解析は無理で、アセンブラと暗号化の知識が必要となる。
382 名前：デフォルトの名無しさん mailto:sage [2012/03/24(土) 10:31:56.89 .net]: 数学的なお話しでは、
暗号化・復号の際の非対称性をうまく利用してるって話ね。
納得。ありがとう。

crackしようかと思った場合は暗号化方法を判断しないといけないわけですが、
これは各暗号化方法に固有の定数を見つけ出して当たりを付けてるんでしょうか？
もしそうなら、定数を適当に0xff辺りでxorして守っておいた方がいいのかなー？
と思ったので聞いてみました。
383 名前：デフォルトの名無しさん mailto:sage [2012/03/24(土) 11:14:33.71 .net]: >>382
暗号化方法が何かはコードを読むしか無いよね。
自分はオリジナルの式を使ってるから、文献をそのまま当てはめても、まず見つからないし。固有の定数も無い。

クラッカーがマシンコードを読めるのは当たり前として、秘密鍵(形式も秘密)とエンコードルーチンは
自分しか知らないから、データだけの改竄はまず無理。

とは言えマシンコードそのものを変えられて、改造データを暗号化することなく読み込んで
しまうようなクラックをされたらどうにもならないげどね。
その場合はプログラムに署名してOSや認証局に頼るしかない。
384 名前：デフォルトの名無しさん mailto:sage [2012/03/24(土) 14:25:26.95 .net]: もっと凄腕だと思って質問したんだけど、
もーいーや。
385 名前： ◆QZaw55cn4c mailto:sage [2012/03/24(土) 15:38:16.22 .net]: >>384
お前 ◆QZaw55cn4cか？toro.2ch.net/test/read.cgi/tech/1180280982/330
386 名前：デフォルトの名無しさん mailto:sage [2012/03/24(土) 16:34:12.84 .net]: いや違う
387 名前：デフォルトの名無しさん mailto:sage [2012/03/24(土) 23:03:49.37 .net]: ノートPCが盗まれたとき、ログインパスワードの強度が重要だと思うんだけど、
WindwosのNTLMv2認証って信用できるの？
388 名前：デフォルトの名無しさん mailto:sage [2012/03/24(土) 23:12:51.13 .net]: 盗まれる前提ならパスワードだけで防御するのが間違ってる
389 名前：デフォルトの名無しさん mailto:sage [2012/03/24(土) 23:18:08.70 .net]: 盗まれない前提ってアホかw
390 名前：デフォルトの名無しさん mailto:sage [2012/03/25(日) 01:19:01.76 .net]: NTLMv2認証の説明をざっと読んだ限りでは、ノートが盗まれたときのダメージを
左右する種類のものではないように思うんだけど。サーバからのチャレンジデータをどうこうらしいし。

WindowsならUltimateにしてBitlocker使うのが一番手っ取り早いんですかね？
391 名前：デフォルトの名無しさん mailto:sage [2012/03/25(日) 08:21:37.54 .net]: Windowsの暗号化ファイルシステムは、XPで、AES256+RSA1024。
しかし、ログインされると丸見え。
392 名前：デフォルトの名無しさん mailto:sage [2012/03/25(日) 09:23:48.32 .net]: なるほど、レスありがとうございます。。
つまりXP＋暗号化ファイルシステムのノートが盗まれた場合、
犯人のPCにノートPCから取り出したHDDを変換ケーブル等で繋いでもAES256+RSA1024が
破られない限りは大丈夫。
しかし、そのままノートをネットワークで犯人のPCで繋いでネットワークログオン(ここでNTLMv2？)が
成功するとファイルが丸見えになるということですね。それなら左右しまくりますね。
393 名前：デフォルトの名無しさん mailto:sage [2012/03/25(日) 13:45:34.73 .net]: ログインを成功させられるならネットワークいらねえよ
394 名前：デフォルトの名無しさん mailto:sage [2012/03/25(日) 14:34:56.77 .net]: いや、だからNTLMv2の安全性がどうこうの話になったんでしょ。
まあチャレンジレスポンスならヒントにはならなそうだけど。
パスワードがわかればネットワーク必要ないとかいうのは的外れ。
395 名前：デフォルトの名無しさん mailto:sage [2012/03/25(日) 17:40:07.97 .net]: ローカルログオンでもNTLMv2認証。
396 名前：デフォルトの名無しさん mailto:sage [2012/03/26(月) 21:47:22.06 .net]: NTLMv2はMD5だからもうダメだろう。
397 名前：デフォルトの名無しさん mailto:sage [2012/03/28(水) 23:41:27.37 .net]: ＞まあチャレンジレスポンスならヒントにはならなそうだけど。
チャレンジレスポンスは、これを使用したネットワーク認証の通信部分は強くなるが、他の面では弱くなるぜ？
この辺分かってないやつが多いが。
チャレンジレスポンスに対応してるってことは、盗まれた場合の強度は逆に弱くなっているということ。
なぜならパスワードデータベースにソルトが使えなくなるから。
398 名前：デフォルトの名無しさん mailto:sage [2012/03/28(水) 23:45:45.71 .net]: ＞パスワードがわかればネットワーク必要ないとかいうのは的外れ。

どういう意味か分からんが、盗まれたらオフラインでパスワードデータベースをクラックできる。
ネットワークは関係ないな。
で、このパスワードデータベースのクラックは、チャレンジレスポンスに対応してるせいで逆に楽になってるわけだよ、
399 名前：デフォルトの名無しさん mailto:sage [2012/03/28(水) 23:59:55.79 .net]: そこで生体認証ですよ。
400 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/03/29(木) 14:31:30.65 .net]: MD5ハッシュって破られてるんだっけ？
401 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/03/29(木) 19:24:25.04 .net]: 強衝突耐性については、だいぶ弱いとわかっている
402 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/03(火) 00:18:29.10 .net]: 新規に採用するのは非推奨、というあたりではないのん？
いや知らんけど
403 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/03(火) 08:02:20.07 .net]: 新規に採用するのにSHA2以外はありえんだろ。暗号学的強度が必要なら。
とは言え、ひところ危惧されたほどSHA1は弱くなかったということなので、
既にあるものまでなにがなんでもSHA2にしろ、というほどでもないかな。
404 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/03(火) 11:40:54.97 .net]: 使い所による。
署名のダイジェストとかに使うなら避けるべき。
パスワードハッシュとかなら別に好きにしろ。
まあパスワードハッシュなら本当はPBKDF2使うべきだが。
PBKDF2ならベースハッシュが多少弱くてもあんまり実害無い。
405 名前：営利利用に関するLR審議中＠詳細は自治スレへ [2012/04/03(火) 15:48:13.58 .net]: 一様かつ予測不能な乱数を生成したいので、メルセンヌ・ツイスタを使おうと思いました。

しかし、メルセンヌ・ツイスタは、一様な乱数を生成するものの、乱数の履歴から、
2^19937-1 のどこの地点から乱数を取ってきてるのか分かったら、次の乱数を予測
されてしまうので安全ではない、暗号学的ハッシュ関数を通す必要がある、らしいですね。

なるほどそういうものかと思って、SHA256 で切り刻むコードを書きました。
www.sourcepod.com/vupewt10-7054

しかし、これは安全なのですか？
ハッシュ操作してるとバレてるなら、攻撃者も同じように、メルセンヌツイスタの周期まるごと
SHA256でハッシュ化したデータを抱えて、いままでの数値の履歴から、結局、次の数値が
分かってしまうと思うのですが。

（ちなみに、本筋とは関係ないですが、単なる sfmt のコードはこれです。www.sourcepod.com/uhhyen53-7055 ）
406 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/03(火) 15:57:27.78 .net]: 僕は素人だけど、 2^19937-1 個のハッシュ値を丸ごと抱えるってなかなかできないと思うよ
407 名前：営利利用に関するLR審議中＠詳細は自治スレへ [2012/04/03(火) 16:39:49.02 .net]: >>405
しかし、それなら、同じ理由で素の 2^19937-1 の値使うことには問題なさそうに見えます

ja.wikipedia.org/wiki/%E3%83%A1%E3%83%AB%E3%82%BB%E3%83%B3%E3%83%8C%E3%83%BB%E3%83%84%E3%82%A4%E3%82%B9%E3%82%BF
> メルセンヌ・ツイスタは線形漸化式によって生成されるため、予測可能である

線形漸化式では暗号に使えないなら、どうすればいいんだろうか
408 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/03(火) 19:02:41.11 .net]: 予測可能の意味を、たぶん取りそこなってるのかな。

MTのナイーブな実装の場合、内部ビットの個数分（19937ビット）の出力列があれば、
その後の出力列が予測可能でしょ？

たとえば線形合同法 X(n+1) = (a*X(n)+b) mod p で、X(n) の情報があれば、
X(n+1) を予測可能であるように、全体の空間に比べてごくわずかな情報から、
次の数が予測可能である、ということを、この場合に「予測可能」と言うわけ。
409 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/03(火) 19:14:41.71 .net]: 生成した乱数列の羅列があればステータスを確定出来るんだろ？
ハッシュを通せば元の乱数列は不明だからステータスを確定出来ないだろ。
元の乱数が分からんと言うことは、周期分順に試していかないと、
どの部分か見つけられないって事。

全然違う。
410 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/03(火) 19:21:35.46 .net]: 極端に言うと例えば、

1から順の整数列が有るとする。
この整数列のあるところから開始する。
例えば123456789123456789だったとする。
当たり前だが予測できる。
ハッシュを取ってみる。
もう予測出来ないだろ。
元の値が123456789123456789だってことが分からないから。
これを調べるには、例えば1から順に全部ハッシュを取っていって、同じになるまで探さなきゃいけない。
411 名前：営利利用に関するLR審議中＠詳細は自治スレへ [2012/04/03(火) 20:05:37.02 .net]: >>408
ワタシは SFMT の内部構造は全く知らず、複雑でわからないんですが、ともかく、
内部ビットの個数分の出力さえあれば、総当りとかじゃなく、なにか逆算とかすれば、
内部ステータスが分かって、その後の出力も予測できるってことでしょうか。

コードで書いたとおり、256bit分の乱数を、sha256ダイジェスト生成API通して受け取った別物の256bitを乱数として
使えばよさそうですね。
412 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/03(火) 21:38:07.61 .net]: まあそういうこったね。

内部ビット数と同じとは限らず、周期よりずっと短いデータで内部状態を逆算できる場合も同じだね。

もっと直観的な説明でいくと、内部状態が結果列から逆算できる→予測できるってこと。
つまり一方向にしか導けない条件が必要であり、これってつまるところ暗号ハッシュと同等の性質をもつものしかダメってこと。
単なる乱数生成期で暗号ハッシュと同等の一方向性を持てるわけないよね。
413 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/03(火) 23:59:11.83 .net]: >>412
>>412
414 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/04(水) 01:48:22.01 .net]: 使う側が互換する共通のアルゴリズムで使用すれば確率的に破られる運命だろ。
アルゴリズムを検証できる環境そのものが複製できちゃえばいつかは解析される。

合理的な共通規格そのものが暗号が破られる原因である。非合理で他に類似性が
なければ非常に単純であってもそれを推測することすらできない。
手品とか種がばれれば非常に簡単なのに、分からない場合は絶対に解明できな
かったりする。
415 名前： ◆QZaw55cn4c mailto:sage [2012/04/04(水) 01:54:44.62 .net]: >>414
それは現代の暗号の考え方に反する。アルゴリズムを公開してもなお安全であることを追求する、のがポイントだ。
いいかえると、暗号の安全性が鍵の秘密にのみ依存するのが理想の暗号だ。
416 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/04(水) 03:18:50.66 .net]: 全てのセキュリティは鍵のみに宿る。

って一言で言えないのかしら。
417 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/04(水) 06:12:49.46 .net]: そうなったのは、暗号については過去2000年ぐらいの歴史のうち、たかだか最近100年のことだからな。
418 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/04(水) 11:13:56.70 .net]: だから何？
419 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/04(水) 12:04:24.71 .net]: 今世の中に存在するもので、100年以上昔に進歩が終わった技術で出来てるものなんてなかなか無いぜ。
420 名前： ◆QZaw55cn4c mailto:sage [2012/04/04(水) 12:13:38.36 .net]: >>417
過去の考え方や >>414 は安全を追求していない。内部造反者等も考慮しなければならない。

>>416
ナイスですね。
421 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/04(水) 12:23:59.15 .net]: www.math.sci.hiroshima-u.ac.jp/~m-mat/MT/faq.html
> 出力列を8ワードごとに切って、ハッシュ関数で 1ワードに圧縮して使う

というようなこと書かれてはいますが、sha256 をアルゴリズムとして使うぶんには
MTが生成した乱数 256bit をハッシュ化して出力した 256bit
これを予測できない乱数として使っていいですよね

コード -> pastebin.com/Qjuwy7r3
422 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/04(水) 13:08:33.86 .net]: 念のために元乱数列を多めにしといた方がベターだとは思うけど、悪くはないでしょ。
あと用途によってはストレッチングも検討。
423 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/04(水) 14:25:33.89 .net]: 別に圧縮は必要ない。
なんとなく、暗号ハッシュ自体の目的のイメージから、なんとなく圧縮って言ってしまっただけに見える。
まあどっちでも別に問題はない。
424 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/08(日) 17:41:48.19 .net]: PKCS#5って何のメリットがあるの？
これ使えばパスワードクラックに対して強くなるの？
425 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/08(日) 21:19:51.19 .net]: うん。
ブルーとフォースや辞書攻撃などをオフラインで実行された場合に、圧倒的に強くできる。
パスワードハッシュにも使える、これを使うとパスワードデータベースの耐性も簡単に上げられる。

よくパスワードハッシュで、MD5やSHA1は危ないからSHA2を使わないとダメダメとか分かった風なことを言ってるのを見るが、
パスワードハッシュの用途ではSHA2使ってもそれほどは耐性は上がらないことを理解してない。
耐性を上げるにはPBKDF2を使う、これで比較にならないほど上げることが出来る。
426 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/08(日) 23:45:33.20 .net]: 計算回数増やせば強くなるが、saltは飾りです。
427 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/09(月) 00:19:22.84 .net]: saltはテーブル化を防げればそれで十分役に立ってる。
428 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/09(月) 19:45:50.80 .net]: ていうか、それ単に最初からストレッチングを前提に設計されてんじゃん。
比較対象としてなんか違う。
429 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/09(月) 22:45:58.07 .net]: そりゃ耐パスワードクラックにはストレッチングこそ必要って話なんだから。
何が違うのかようわからん。
430 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/09(月) 22:49:02.23 .net]: おかしいのは、パスワードハッシュの耐性とか、やたらうるさくこだわりながら、
単にハッシュを一回かけるだけとかで、やたら気にしてるのはハッシュ関数の種類だけ
みたいなの。
突っ込みたくもなるわ。
431 名前：営利利用に関するLR審議中＠詳細は自治スレへ mailto:sage [2012/04/10(火) 20:27:41.23 .net]: saltの意義はいくら調べても分かりません。
どの説明もバレない前提の説明ばかり。
しかし、実装レベルの説明ではバレてもいいみたいこと書いてる。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef