「証明可能安全」は万能薬にあらず

スポンサーリンク

概要

• 論文の詳細を見る

• 共通鍵暗号方式の差分解読法[2]や線形解読法[3]に対する安全性の評価尺度として、証明可能安全性」という慨念が導入されている[5][6]。この尺度は、これらの解読法に対して暗号方式が一定以上の強さを持つことを保証するものである。また、この尺度は、暗号アルゴリズム中において部品となる局所的関数の結合構造が全体の安全性にどのように寄与しているのかを知る上で便利な概念であり、暗号アルゴリズム設計者にとって有益な慨念である。しかし、この慨念を用いる場合にはいくつか注意すべき点がある。第一に、この尺度による評価は必ずしもタイトではないということである。多くの場合、線形解読法や差分解読法に対する実際の強度はこの尺度による評価を大幅に上回る傾向にある。したがって、この尺度の大小を比較して複数の暗号方式の安全性を比較することにはあまり意味がない。第二に、この尺度はあくまでも線形解読法や差分解読法に対する強度を保証するものであって、他の解読法に対する強度まで保証するものではない。「証明可能安全性」という命名のせいで、ともすればこの尺度によってある暗号方式の安全性が完全に保証されたかのごとくに考えてしまいがちであるが、その考えは正しくない。本稿は、後者の誤解を解くために改めて共通鍵暗号の「証明可能安全性」とはどのようなものであるかについて述べ、かなり高い「証明可能安全性」を持つにもかかわらず容易に破られてしまう暗号方式の例を具体的に示すことによって、「証明可能安全」である暗号方式は必ずしも安全ではないことを再確認する。

• 社団法人電子情報通信学会の論文
• 1997-03-06

著者

• 宮野 浩

  通信・放送機構 横浜リサーチセンター

• 宮野 浩

  通信・放送機構

関連論文

• 現代暗号 岡本龍明, 山本博資(共著): "シリーズ/情報科学の数学 現代暗号", 産業図書(1997-06); A5判, 定価(本体3,800円+税)
• CRYPTO'96報告
• k互換なセパレータの族について
• k互換なセパレータの族について
• k互換なセパレータの族について
• 疑似k-time署名
• 「証明可能安全」は万能薬にあらず
• 加法の線形近似確率の加算数依存性について
• 加法の差分特性の加算数依存性

スポンサーリンク