暗号数学について語ろう
1 :132人目の素数さん:
必要な基礎教養・教科書・就職・将来性等。
何でも語ってくだしゃれ。
何でも語ってくだしゃれ。
|
|
|
2 :132人目の素数さん:04/06/25 16:01
2
3 :132人目の素数さん:04/06/25 16:34
楕円離散対数(翻訳書が沢山出ている)
4 :132人目の素数さん:04/06/25 17:37
有限体の理論
素因数分解のアルゴリズム
素因数分解のアルゴリズム
5 :132人目の素数さん:04/06/25 21:29
5
6 :132人目の素数さん:04/06/25 22:16
形を変えた数論スレになる予感
7 :132人目の素数さん:04/06/25 23:12
7
8 :132人目の素数さん:04/06/26 08:07
8
9 :132人目の素数さん:04/06/26 08:39
近い将来、誤り訂正符号や隠し署名技術と融合するであろう。
10 :132人目の素数さん:04/06/26 10:00
公開鍵暗号のしくみとは?
11 :132人目の素数さん:04/06/26 18:07
数論スレ賛成。
12 :132人目の素数さん:04/06/26 22:14
>> 10
解を計算して得るのにかかる時間が、
暗号化とある情報を知っている場合の復号の場合は、現実的な時間で、
正面から復号したときには、非現実的な時間になる。
解を計算して得るのにかかる時間が、
暗号化とある情報を知っている場合の復号の場合は、現実的な時間で、
正面から復号したときには、非現実的な時間になる。
13 :132人目の素数さん:04/06/27 00:23
9
14 :132人目の素数さん:04/06/27 17:27
>>10>>12
具体的に、有名な例を3つ挙げると、
RSA暗号:素数p, qを取り、M=pqとし、sをφ(M)=(p-1)(q-1)と互いに素な整数とする。
このとき、s*t≡1(mod φ(M))となる整数tが存在する。そして、
m=n^sならばm^t≡n^{st}≡n(mod M)が成り立つが、Mとsからtを計算するのは難しい
(Mを素因数分解すればφ(M)が計算できるが、これが難しい為)。
そこで(M, s)を公開しておけば、誰でもm=n^sによってn(mod M)を暗号化できるが、
tを知らなければ復号するのは難しくなるという仕組み。
離散対数暗号:素数pと(g, p)となる整数g, および任意の整数xをとる。外部には
pおよび(g, g^x)(mod p)を公開する。g, g^xをそれぞれs乗することでg^s, g^{sx}を
得ることができ、これから任意の整数n≠0に対して(n*g^{sx}, g^s)(mod p)を簡単に得ることが
できる。これを送信する。xを知っていれば、n*g^{sx}*(g^s)^{-x}=nなので簡単にnを得ることが出来るし、
sを知っていればn*g^{sx}*(g^x)^{-s}=nなのでやはり簡単にnを得ることが出来るが、
公開された情報(p, g, g^x)および送信された情報(n*g^{sx}, g^s)からsやxを得るのは
難しいので、復号が難しいという仕組み。
一般に(g, g^s)(mod p)から、sを求める問題を離散対数問題という。
もっとも最近は準指数時間でこの問題を解くアルゴリズムが出来ている。
Elgamal暗号:上記の離散対数暗号がZ/pZの乗法群を用いたのに対し、
有限体上の楕円曲線の点のなす群を用いる暗号。特殊な曲線を除いては、
この暗号を破る効率的なアルゴリズムは知られていない。
具体的に、有名な例を3つ挙げると、
RSA暗号:素数p, qを取り、M=pqとし、sをφ(M)=(p-1)(q-1)と互いに素な整数とする。
このとき、s*t≡1(mod φ(M))となる整数tが存在する。そして、
m=n^sならばm^t≡n^{st}≡n(mod M)が成り立つが、Mとsからtを計算するのは難しい
(Mを素因数分解すればφ(M)が計算できるが、これが難しい為)。
そこで(M, s)を公開しておけば、誰でもm=n^sによってn(mod M)を暗号化できるが、
tを知らなければ復号するのは難しくなるという仕組み。
離散対数暗号:素数pと(g, p)となる整数g, および任意の整数xをとる。外部には
pおよび(g, g^x)(mod p)を公開する。g, g^xをそれぞれs乗することでg^s, g^{sx}を
得ることができ、これから任意の整数n≠0に対して(n*g^{sx}, g^s)(mod p)を簡単に得ることが
できる。これを送信する。xを知っていれば、n*g^{sx}*(g^s)^{-x}=nなので簡単にnを得ることが出来るし、
sを知っていればn*g^{sx}*(g^x)^{-s}=nなのでやはり簡単にnを得ることが出来るが、
公開された情報(p, g, g^x)および送信された情報(n*g^{sx}, g^s)からsやxを得るのは
難しいので、復号が難しいという仕組み。
一般に(g, g^s)(mod p)から、sを求める問題を離散対数問題という。
もっとも最近は準指数時間でこの問題を解くアルゴリズムが出来ている。
Elgamal暗号:上記の離散対数暗号がZ/pZの乗法群を用いたのに対し、
有限体上の楕円曲線の点のなす群を用いる暗号。特殊な曲線を除いては、
この暗号を破る効率的なアルゴリズムは知られていない。
15 :132人目の素数さん:04/06/27 19:51
>>14
この説明だと
離散対数暗号→離散対数暗号=Elgamal暗号
Elgamal暗号→楕円Elgamal暗号
じゃないの。
なんかの本でこの説明(ていうか誤植?)みたことあるんですよね。
調べてみます。
この説明だと
離散対数暗号→離散対数暗号=Elgamal暗号
Elgamal暗号→楕円Elgamal暗号
じゃないの。
なんかの本でこの説明(ていうか誤植?)みたことあるんですよね。
調べてみます。
16 :15:04/06/27 21:55
>>15
スマソ、ソースわかりませんでした。
多分立ち読みして買わなかった本と思われ。
>>9
近い将来といわず、既にあると思うが。
McEliece暗号なんかは符号関係あるらしいと聞きましたけど
どうなんでしょうか?
スマソ、ソースわかりませんでした。
多分立ち読みして買わなかった本と思われ。
>>9
近い将来といわず、既にあると思うが。
McEliece暗号なんかは符号関係あるらしいと聞きましたけど
どうなんでしょうか?
17 :132人目の素数さん:04/06/28 00:24
素体上の離散対数暗号 = ElGamal暗号でしょう。
でも、ElGamal暗号って、Diffie-Hellman鍵交換方式と本質的に全く同じことをやってるよね。
でも、ElGamal暗号って、Diffie-Hellman鍵交換方式と本質的に全く同じことをやってるよね。
18 :15:04/06/28 00:34
>>17
同意。
Elgamal暗号は(ワンタイム鍵共有+暗号文送信)を
同時にするってのがポイントだと思う。
暗号化効率が1/2だけど、乱数が毎回入るんで
RSAとは安全性のモデルが本質的に違うんですよね。
そういう意味でRSA-OAEPみたいなのが話が出てくるんでしょうけど。
同意。
Elgamal暗号は(ワンタイム鍵共有+暗号文送信)を
同時にするってのがポイントだと思う。
暗号化効率が1/2だけど、乱数が毎回入るんで
RSAとは安全性のモデルが本質的に違うんですよね。
そういう意味でRSA-OAEPみたいなのが話が出てくるんでしょうけど。
19 :132人目の素数さん:04/06/28 13:26
10
20 :132人目の素数さん:04/06/28 18:28
楕円曲線が使えるなら、アーベル多様体も使えそうだ。
decode 長くなりそう。
decode 長くなりそう。
21 :15:04/06/28 22:37
>>20
コブリッツが超楕円曲線での暗号ってのを提案してます。
それでやるとCantorのアルゴリズムで加算するんで遅かったんですが、
ハーレー(つづりがわからん)の改良方式でやると結構速くできます。
さらに種数3や11でやったらそれぞれ法が59ビット、30ビットで
楕円曲線の場合と安全性が同等になるといわれてます。
59だと64ビットレジスタに、30だと32ビットレジスタに乗るので、
多倍長演算無しで計算可能なんで楕円曲線とタメはれるくらい
速くなってるらしいです。
長文失礼
コブリッツが超楕円曲線での暗号ってのを提案してます。
それでやるとCantorのアルゴリズムで加算するんで遅かったんですが、
ハーレー(つづりがわからん)の改良方式でやると結構速くできます。
さらに種数3や11でやったらそれぞれ法が59ビット、30ビットで
楕円曲線の場合と安全性が同等になるといわれてます。
59だと64ビットレジスタに、30だと32ビットレジスタに乗るので、
多倍長演算無しで計算可能なんで楕円曲線とタメはれるくらい
速くなってるらしいです。
長文失礼
22 :132人目の素数さん:04/06/28 22:51
量子コンピュータ時代に生き残る公開鍵方式は
なんだろう
なんだろう
23 :132人目の素数さん:04/06/28 22:52
>>21
それぐらいは長文のうちに入らん。気にすんな。
それぐらいは長文のうちに入らん。気にすんな。
24 :15:04/06/28 23:14
>>22
みかかの量子公開鍵暗号ってのがあります。
あれは量子コンピュータでしかCodecができないんですが。
基本的には積和型の暗号系が耐性あると言われてるが......疑問です。
>>23
サンクス
みかかの量子公開鍵暗号ってのがあります。
あれは量子コンピュータでしかCodecができないんですが。
基本的には積和型の暗号系が耐性あると言われてるが......疑問です。
>>23
サンクス
25 :132人目の素数さん:04/06/28 23:30
26 :132人目の素数さん:04/06/28 23:59
NP完全な問題を解くのは、量子計算機でも難しい(はず)。
だから、ナップザック問題を、綺麗に暗号に出来れば生き残れる(はず)。
そもそも、死んでいるというつっこみはなしの方向で。
だから、ナップザック問題を、綺麗に暗号に出来れば生き残れる(はず)。
そもそも、死んでいるというつっこみはなしの方向で。
27 :132人目の素数さん:04/06/29 00:08
将来のコンピュータはnapzak()とかいう関数が標準装備されたりするのかな。
ちょと楽しみだ。
ちょと楽しみだ。
28 :132人目の素数さん:04/06/29 00:09
そして暗号化することをナップザックに詰める(napzaking)というようになるのだ。
29 :132人目の素数さん:04/06/29 00:12
>>26
解読問題がNP完全になるような暗号はあんまり実用的じゃないという話があるらしい.
解読問題がNP完全になるような暗号はあんまり実用的じゃないという話があるらしい.
30 :132人目の素数さん:04/06/29 00:36
31 :15:04/06/29 00:37
32 :15(以下「白シャツ」となのる):04/06/29 00:44
ところでみなさんは数学科の人?
漏れは本来電電板or情報システム板に居るべきなんですが。
漏れは本来電電板or情報システム板に居るべきなんですが。
33 :132人目の素数さん:04/06/29 00:49
俺は本来シャア専用板or半角二次元板にいるべき人間
34 :132人目の素数さん:04/06/29 00:55
>>30
元々の論文は
G. Brassard, "Relativized Cryptography", FOCS'79
なんだけども,
O. Goldreich and S. Goldwasser,
"On the possibility of basing Cryptography on the assumption that P neq NP"
にそれに関する議論が載ってる.ちなみにこの論文はGoldreichのホームページから手に入るよ.
元々の論文は
G. Brassard, "Relativized Cryptography", FOCS'79
なんだけども,
O. Goldreich and S. Goldwasser,
"On the possibility of basing Cryptography on the assumption that P neq NP"
にそれに関する議論が載ってる.ちなみにこの論文はGoldreichのホームページから手に入るよ.
35 :白シャツ:04/06/29 01:01
>>33
そういう意味なら漏れも旧シャア板か喪板かもな。
ところでPとかNPとかってチューリングマシンで考えてって
ことなんで、NPが量子チューリングマシンではPで解けるぜ
ってのがショアーのアルゴリズムなんだと思うんだがどうよ。
そういう意味なら漏れも旧シャア板か喪板かもな。
ところでPとかNPとかってチューリングマシンで考えてって
ことなんで、NPが量子チューリングマシンではPで解けるぜ
ってのがショアーのアルゴリズムなんだと思うんだがどうよ。
そうか今は新旧わかれてるんだったな。
ここ数年いってないな。久しぶりに旧シャアいってみるかな。
スレ違いsage
ここ数年いってないな。久しぶりに旧シャアいってみるかな。
スレ違いsage
37 :132人目の素数さん:04/06/29 01:34
38 :白シャツ:04/06/29 02:31
>>37
はしょりすぎました、すまそ。
35で言いたかったのは
素因数分解はチューリングマシンを前提としたモデルの上では
準指数時間アルゴリズムしか知られていないが、量子チューリン
グマシン上では多項式時間で解けるアルゴリズムがあるってのが
Shorの主張かと思うということ。
それとShorのアルゴリズムは素因数分解アルゴリズムで
離散対数問題がShorのアルゴリズムに帰着できると
証明されているってことでよろしいか?
実際に量子コンピュータが出来たとして
Shorアルゴリズムは出来ませんでしたなんて
オチはないだろうな、なんて期待してるんですが。
はしょりすぎました、すまそ。
35で言いたかったのは
素因数分解はチューリングマシンを前提としたモデルの上では
準指数時間アルゴリズムしか知られていないが、量子チューリン
グマシン上では多項式時間で解けるアルゴリズムがあるってのが
Shorの主張かと思うということ。
それとShorのアルゴリズムは素因数分解アルゴリズムで
離散対数問題がShorのアルゴリズムに帰着できると
証明されているってことでよろしいか?
実際に量子コンピュータが出来たとして
Shorアルゴリズムは出来ませんでしたなんて
オチはないだろうな、なんて期待してるんですが。
>素因数分解はチューリングマシンを前提としたモデルの上では
>準指数時間アルゴリズムしか知られていないが、量子チューリン
>グマシン上では多項式時間で解けるアルゴリズムがあるってのが
>Shorの主張かと思うということ。
これはその通り.
>それとShorのアルゴリズムは素因数分解アルゴリズムで
>離散対数問題がShorのアルゴリズムに帰着できると
>証明されているってことでよろしいか?
これはちょっと言い方が気持ち悪いんだが,大筋で正しい.
>実際に量子コンピュータが出来たとして
>Shorアルゴリズムは出来ませんでしたなんて
>オチはないだろうな、なんて期待してるんですが。
これについては同じ意見を持ってる計算機科学者,物理学者が多くいるらしく,
S. Aaronson, "Multilinear Formulas and Skepticism of Quantum Computing"
ttp://jp.arxiv.org/abs/quant-ph/0311039
に面白いことが書いてある.
>準指数時間アルゴリズムしか知られていないが、量子チューリン
>グマシン上では多項式時間で解けるアルゴリズムがあるってのが
>Shorの主張かと思うということ。
これはその通り.
>それとShorのアルゴリズムは素因数分解アルゴリズムで
>離散対数問題がShorのアルゴリズムに帰着できると
>証明されているってことでよろしいか?
これはちょっと言い方が気持ち悪いんだが,大筋で正しい.
>実際に量子コンピュータが出来たとして
>Shorアルゴリズムは出来ませんでしたなんて
>オチはないだろうな、なんて期待してるんですが。
これについては同じ意見を持ってる計算機科学者,物理学者が多くいるらしく,
S. Aaronson, "Multilinear Formulas and Skepticism of Quantum Computing"
ttp://jp.arxiv.org/abs/quant-ph/0311039
に面白いことが書いてある.
40 :132人目の素数さん:04/06/29 04:15
量子コン使ってShorのアルゴリズムで15が
素因数分解できたって話が何年か前に
無かったっけ?
素因数分解できたって話が何年か前に
無かったっけ?
41 :白シャツ:04/06/29 13:58
>>39
フォローさんくす
>これはちょっと言い方が気持ち悪いんだが,大筋で正しい.
スマソ
漏れは>>32 で言ってるように「工」の人なんで
それに関しては勘弁or訂正をきぼんぬ
>>40
IBMかどこかが「15が因数分解できる量子コンピュータ」を造った
って話だったと思う
今はまだ物理やさん,素子やさんの玩具だと漏れは思っている
フォローさんくす
>これはちょっと言い方が気持ち悪いんだが,大筋で正しい.
スマソ
漏れは>>32 で言ってるように「工」の人なんで
それに関しては勘弁or訂正をきぼんぬ
>>40
IBMかどこかが「15が因数分解できる量子コンピュータ」を造った
って話だったと思う
今はまだ物理やさん,素子やさんの玩具だと漏れは思っている
42 :132人目の素数さん:04/06/30 18:20
43 :白シャツ:04/07/01 01:28
>>42
ネタに困った符号やさんが暗号に飛びついて
いろいろと提案なさってたりします。
ところで>>9の
「隠し署名技術」ってのはいわゆる「ブラインド署名」のこと?
そうなら公開鍵暗号の応用なんだけど。
それともステガノグラフィーとか電子透かしとかそっち系ですか?
ネタに困った符号やさんが暗号に飛びついて
いろいろと提案なさってたりします。
ところで>>9の
「隠し署名技術」ってのはいわゆる「ブラインド署名」のこと?
そうなら公開鍵暗号の応用なんだけど。
それともステガノグラフィーとか電子透かしとかそっち系ですか?
44 :132人目の素数さん:04/07/01 02:44
45 :132人目の素数さん:04/07/01 09:51
>44電子投票、電子現金
46 :132人目の素数さん:04/07/01 13:58
ブラインド署名って、署名する人が署名する内容を知ることが出来ないってやつだよね?
いわゆる、「公証」に使えるのかな?
電子投票や電子マネーにどうやって使うんだ???
もっと都合いいアルゴリズムありそうに思うんだが…。
いわゆる、「公証」に使えるのかな?
電子投票や電子マネーにどうやって使うんだ???
もっと都合いいアルゴリズムありそうに思うんだが…。
47 :白シャツ:04/07/01 21:56
>>44
>誤り訂正符号と一緒に出てきてるんだから、電子透かしの方じゃない?
そうですね、たしかに。
電子透かしで暗号関係の話題だと、
「結託攻撃」に対する耐性があるかどうかってことが一番ホットかな?
>誤り訂正符号と一緒に出てきてるんだから、電子透かしの方じゃない?
そうですね、たしかに。
電子透かしで暗号関係の話題だと、
「結託攻撃」に対する耐性があるかどうかってことが一番ホットかな?
48 :白シャツ:04/07/01 22:06
>>45>>46
おっしゃるとおりです。
電子署名や電子マネーは複数の暗号方式や署名方式の組み合わせで
実現するんで、ブラインド署名はその要素のひとつになります。
他には多重署名だとか、検証者指定署名とか、わけわからなくなってしまう。
そういうのの組み合わせでいろいろやるんですよ。
ちなみにそうとうややこしい応用署名方式とおもわれるのが、
グループ署名、リング署名だと思う。
それでこういうのの組み合わせのフレームワークが
公開鍵基盤(PKI)てことになるんです。
詳しくは検索してみてね。
おっしゃるとおりです。
電子署名や電子マネーは複数の暗号方式や署名方式の組み合わせで
実現するんで、ブラインド署名はその要素のひとつになります。
他には多重署名だとか、検証者指定署名とか、わけわからなくなってしまう。
そういうのの組み合わせでいろいろやるんですよ。
ちなみにそうとうややこしい応用署名方式とおもわれるのが、
グループ署名、リング署名だと思う。
それでこういうのの組み合わせのフレームワークが
公開鍵基盤(PKI)てことになるんです。
詳しくは検索してみてね。
49 :132人目の素数さん:04/07/02 07:28
50 :白シャツ:04/07/02 23:09
>>49
>PKIはもう一つ下のレイヤじゃないかな。
そうかもしれない。でも漏れには正直言ってどこで
レイヤ切れてるのかわからない。まだ策定中って感じかな?
>「この公開鍵は本当に○○のものである」と社会的に保証するためのインフラだよね。
そうですね。ある公開鍵で暗号化したものを復号できるのは
「対になる秘密鍵を知っている」人でしかないからね。
このあたりを社会的にでなく担保するような技術として
ID-Based暗号とか、バイオメトリクスとかあるけど、
実用上はどうなのかなぁと思う。
>PKIはもう一つ下のレイヤじゃないかな。
そうかもしれない。でも漏れには正直言ってどこで
レイヤ切れてるのかわからない。まだ策定中って感じかな?
>「この公開鍵は本当に○○のものである」と社会的に保証するためのインフラだよね。
そうですね。ある公開鍵で暗号化したものを復号できるのは
「対になる秘密鍵を知っている」人でしかないからね。
このあたりを社会的にでなく担保するような技術として
ID-Based暗号とか、バイオメトリクスとかあるけど、
実用上はどうなのかなぁと思う。
51 :132人目の素数さん:04/07/05 12:28
age
52 :梅どぶろく ◆21Da3ggG3M :04/07/05 22:35
■暗号技術【ROUND2】■
http://pc5.2ch.net/test/read.cgi/tech/1088530204/44
↑からやってきました
私が考えた暗号なのですが検証してみてもらえませんか?
http://do.sakura.ne.jp/~junkroom/cgi-bin/megabbs/readres.cgi?bo=lounge&vi=1088921677&res=2&fi=no
にプログラムをアップしています。
http://pc5.2ch.net/test/read.cgi/tech/1088530204/44
↑からやってきました
私が考えた暗号なのですが検証してみてもらえませんか?
http://do.sakura.ne.jp/~junkroom/cgi-bin/megabbs/readres.cgi?bo=lounge&vi=1088921677&res=2&fi=no
にプログラムをアップしています。
53 :梅どぶろく ◆21Da3ggG3M :04/07/05 22:35
この暗号は数車(かずぐるま)といいます。
歯車が回っているのをイメージした時に思いついたので
このような名前になりました。
わかりづらかったら質問してください。
暗号化
素数^n(nは自然数)となるような数をいくつか用意します。
個人的にこの数を勝手に豆数(まめかず)と読んでいます。
豆数は素数^nとなる数です。
L=abcd(Lはabcdの最小公倍数)とする
(このときのLが秘密鍵です。)
ここでは仮に豆数をa,b,c,dとします。
(a,b,c,dは互いに素でなければなりません)
平文Mをa,b,c,dでそれぞれ割っていきます。
このときの余りをそれぞれa',b',c',d'とすると、
M=ax+a'=by+b'=cz+c'=dw+d'
(豆数a,b,c,dの余りで表現できる数は0からL-1です)
(x,y,z,wは0以上の整数、Mの範囲は0<=M<Lとする)
という関係が成り立ちます。
a,a',b,b',c,c',d,d'を用いて
C'=(((a')b+b')c+c')d+d'
(Mの範囲が0<=M<abcdのとき0<=C'<L)
となるようなC'を計算します。
歯車が回っているのをイメージした時に思いついたので
このような名前になりました。
わかりづらかったら質問してください。
暗号化
素数^n(nは自然数)となるような数をいくつか用意します。
個人的にこの数を勝手に豆数(まめかず)と読んでいます。
豆数は素数^nとなる数です。
L=abcd(Lはabcdの最小公倍数)とする
(このときのLが秘密鍵です。)
ここでは仮に豆数をa,b,c,dとします。
(a,b,c,dは互いに素でなければなりません)
平文Mをa,b,c,dでそれぞれ割っていきます。
このときの余りをそれぞれa',b',c',d'とすると、
M=ax+a'=by+b'=cz+c'=dw+d'
(豆数a,b,c,dの余りで表現できる数は0からL-1です)
(x,y,z,wは0以上の整数、Mの範囲は0<=M<Lとする)
という関係が成り立ちます。
a,a',b,b',c,c',d,d'を用いて
C'=(((a')b+b')c+c')d+d'
(Mの範囲が0<=M<abcdのとき0<=C'<L)
となるようなC'を計算します。
54 :梅どぶろく ◆21Da3ggG3M :04/07/05 22:36
今度は
C'をaで割りそのときの商をaa,余りをa"
aaをbで割りそのときの商をbb,余りをb"
bbをcで割りそのときの商をcc,余りをc"
ccをdで割りそのときの商をdd,余りをd"(ddは常に0です)
とすると、このとき
C'=(((dd+d")c+c")b+b")a+a"
となります。
a,a",b,b",c,c",d,d"を用いて
C=aX+a"=bY+b"=cZ+c"=dW+d"(X,Y…同上)
となるCを求めます。
このときのCが暗号文です。
C'をaで割りそのときの商をaa,余りをa"
aaをbで割りそのときの商をbb,余りをb"
bbをcで割りそのときの商をcc,余りをc"
ccをdで割りそのときの商をdd,余りをd"(ddは常に0です)
とすると、このとき
C'=(((dd+d")c+c")b+b")a+a"
となります。
a,a",b,b",c,c",d,d"を用いて
C=aX+a"=bY+b"=cZ+c"=dW+d"(X,Y…同上)
となるCを求めます。
このときのCが暗号文です。
55 :梅どぶろく ◆21Da3ggG3M :04/07/05 22:37
M→C'は問題ないと思いますのでC'→Cの求め方
label1:
cZ+c"=dW+d"…壱
となる最小の値を(cd)"とします。
壱を少し変形して
cZ-dW=d"-c"…弐
拡張ユークリッドの互除法を用いて
cZ'-dW'=1となるZ'またはW'を求めます。
両辺d"-c"倍してやって
c(Z'*(d"-c"))-d(W'*(d"-c"))=d"-c"…参
弐と参を比較して
Z=Z'*(d"-c") W=W'*(d"-c")
∴壱は
cd*Z_W+(cd)"=cZ+c"=dW+d"(Z_Wは0以上の整数)
と表されます。
今度は
cd*Z_W+(cd)"=bY+b"
となるような最小の値(bcd)"を求めます。
goto label1;
と、どんどん繰り返していってCが求めれます。
復号はこの逆を行えばいいわけです。
label1:
cZ+c"=dW+d"…壱
となる最小の値を(cd)"とします。
壱を少し変形して
cZ-dW=d"-c"…弐
拡張ユークリッドの互除法を用いて
cZ'-dW'=1となるZ'またはW'を求めます。
両辺d"-c"倍してやって
c(Z'*(d"-c"))-d(W'*(d"-c"))=d"-c"…参
弐と参を比較して
Z=Z'*(d"-c") W=W'*(d"-c")
∴壱は
cd*Z_W+(cd)"=cZ+c"=dW+d"(Z_Wは0以上の整数)
と表されます。
今度は
cd*Z_W+(cd)"=bY+b"
となるような最小の値(bcd)"を求めます。
goto label1;
と、どんどん繰り返していってCが求めれます。
復号はこの逆を行えばいいわけです。
56 :梅どぶろく ◆21Da3ggG3M :04/07/05 22:38
豆数の並べ方に決まりがあります。
素数の小さい順に左から並べます。
つまり、
L=2800のとき
Lを素因数分解して
L=2^4*5^2*7^1
豆数を
2^4,5^2,7^1
とならべます。
今度はLを豆数の数で割ってやります。
ここでは3です。
豆数に右から順に0,1,2と割り振ってやって
2800%3≡1 2800/3=933
1番は5^2ですから
一番左は5^2になります
2^4,7^1と並びます
今度は933を2で割ります
933%2≡1
今度は1番目は2^4ですから
豆数は5^2,2^4とならび
最終的には
5^2,2^4,7^1と豆数は並びます。
そしてこの順に
a,b,cに豆数を代入していきます。
以上で説明は終わりです。
何か質問ありましたらどうぞ〜
あと、わたしが公開すべきものを指定してくださいな。
素数の小さい順に左から並べます。
つまり、
L=2800のとき
Lを素因数分解して
L=2^4*5^2*7^1
豆数を
2^4,5^2,7^1
とならべます。
今度はLを豆数の数で割ってやります。
ここでは3です。
豆数に右から順に0,1,2と割り振ってやって
2800%3≡1 2800/3=933
1番は5^2ですから
一番左は5^2になります
2^4,7^1と並びます
今度は933を2で割ります
933%2≡1
今度は1番目は2^4ですから
豆数は5^2,2^4とならび
最終的には
5^2,2^4,7^1と豆数は並びます。
そしてこの順に
a,b,cに豆数を代入していきます。
以上で説明は終わりです。
何か質問ありましたらどうぞ〜
あと、わたしが公開すべきものを指定してくださいな。
57 :梅どぶろく ◆21Da3ggG3M :04/07/05 22:39
P=ax+a'=by+b'=cz+c'=dw+d'
a=2,b=3,c=5,d=7,e=11,f=13・・・・としていって
P=2x+1=3y+2=5z+2=7w+6=11p+10=13q+6・・・
P<289となるようなPを求めれば
2・3・5・7・11・13で割り切れないのは保証されてるわけで、
素数生成に使えないかと思ってんですがいかがでしょうか?
まあ、この考えが
http://science3.2ch.net/test/read.cgi/math/1084794080/876
みたいな勘違いにつながったわけですが・・・
a=2,b=3,c=5,d=7,e=11,f=13・・・・としていって
P=2x+1=3y+2=5z+2=7w+6=11p+10=13q+6・・・
P<289となるようなPを求めれば
2・3・5・7・11・13で割り切れないのは保証されてるわけで、
素数生成に使えないかと思ってんですがいかがでしょうか?
まあ、この考えが
http://science3.2ch.net/test/read.cgi/math/1084794080/876
みたいな勘違いにつながったわけですが・・・
58 :梅どぶろく ◆21Da3ggG3M :04/07/05 22:40
たとえばC'を暗号文として扱うと
C'=(((a')b+b')c+c')d+d'
展開して
C'=a'bcd+b'cd+c'd+d'
a'はa周期ごとに0をとるから
その時のC'の値は
C'=b'cd+c'd+d' となり、
選択平文攻撃を用いてMの値に1ずつ加算して
それに対応したC'の値が何周期で
増減を繰り返しているかを見ればaの値がわかってしまいます。
さらに、
M2はbで割り切れ(b'=0)そのときのa'をA,c'をC,d'をDとし
M1+1=M2とするとき
C'1=A*bcd+(b-1)*cd+C*d+D
C'2=(A+1)*bcd+0*cd+(C+1)*d+(D+1)
C'2-C'1=bcd-(b-1)cd-d-1=cd-d-1
となり、差が極端に小さくなります。
(C+1,D+1が0になることは考慮していません)
この性質もまた選択平文攻撃の餌食となり
何周期ごとにC'2-C'1の差が小さくなるのか調べると
bの値がばれてしまいます。
C'=(((a')b+b')c+c')d+d'
展開して
C'=a'bcd+b'cd+c'd+d'
a'はa周期ごとに0をとるから
その時のC'の値は
C'=b'cd+c'd+d' となり、
選択平文攻撃を用いてMの値に1ずつ加算して
それに対応したC'の値が何周期で
増減を繰り返しているかを見ればaの値がわかってしまいます。
さらに、
M2はbで割り切れ(b'=0)そのときのa'をA,c'をC,d'をDとし
M1+1=M2とするとき
C'1=A*bcd+(b-1)*cd+C*d+D
C'2=(A+1)*bcd+0*cd+(C+1)*d+(D+1)
C'2-C'1=bcd-(b-1)cd-d-1=cd-d-1
となり、差が極端に小さくなります。
(C+1,D+1が0になることは考慮していません)
この性質もまた選択平文攻撃の餌食となり
何周期ごとにC'2-C'1の差が小さくなるのか調べると
bの値がばれてしまいます。
59 :梅どぶろく ◆21Da3ggG3M :04/07/05 22:40
(上のA,B,C,Dと以下のA,B,C,Dは関係ありません)
C'→Cの方法を
M→Cとして扱うと
Mをaで割りそのときの商をx,余りをA
Aをbで割りそのときの商をy,余りをB
Bをcで割りそのときの商をz,余りをC
Cをdで割りそのときの商をw,余りをD(wは常に0です)
とする。つまり、
M=ax+A,x=by+B,y=cz+C,z=dw+D
これを右から代入していって(wは常に0だから削除)
M=(((D)c+C)b+B)a+A
_=abcD+abC+aB+A
となります。
a,A,b,B,c,C,d,Dを用いて
C=ax+A=by+B=cz+C=dw+D
となるCを拡張ユークリッドの互除法により求める。
このCを暗号文とするとこれまた選択平文攻撃の餌食となります。
C'→Cの方法を
M→Cとして扱うと
Mをaで割りそのときの商をx,余りをA
Aをbで割りそのときの商をy,余りをB
Bをcで割りそのときの商をz,余りをC
Cをdで割りそのときの商をw,余りをD(wは常に0です)
とする。つまり、
M=ax+A,x=by+B,y=cz+C,z=dw+D
これを右から代入していって(wは常に0だから削除)
M=(((D)c+C)b+B)a+A
_=abcD+abC+aB+A
となります。
a,A,b,B,c,C,d,Dを用いて
C=ax+A=by+B=cz+C=dw+D
となるCを拡張ユークリッドの互除法により求める。
このCを暗号文とするとこれまた選択平文攻撃の餌食となります。
60 :梅どぶろく ◆21Da3ggG3M :04/07/05 22:41
以下証明
by+B=cz+C=dw+D
となる最小の値をVとする。このとき
C=(b*c*d)*v+V=ax+A(x,vは0以上の整数)
また、M0→C0,M0+1→C1,M0+2→C2とし、(M0を暗号化するとC0が得られるって事です)
M0をaで割りその時の余りをA0,M0+1をaで割りその時の余りをA0+1,
M0+2をaで割りその時の余りをA0+2,
(A0,A0+1,A0+2はaで割り切れないとする。割り切れるときは下で書いています)とすると
C0=bcd*v0+V=a*x0+A0
C1=bcd*v1+V=a*x1+(A0+1)
C2=bcd*v2+V=a*x2+(A0+2)
となります。
C1-C0=bcd(v1-v0)+V-V=a(x1-x0)+(A0+1)-A0
=bcd(v1-v0)=a(x1-x0)+1
C1-C0-1=a(x1-x0)
C2-C1=bcd(v2-v1)+V-V=a(x2-x1)+(A0+2)-(A0+1)
=bcd(v2-v1)=a(x2-x1)+1
C2-C1-1=a(x2-x1)
C1-C0,C2-C1の値にユークリッドの互除法・素因数分解を用いると
bcdについての情報が分かります。
更に、C1-C0-1,C2-C1-1も同様に
aについての情報を与えてしまいます。
by+B=cz+C=dw+D
となる最小の値をVとする。このとき
C=(b*c*d)*v+V=ax+A(x,vは0以上の整数)
また、M0→C0,M0+1→C1,M0+2→C2とし、(M0を暗号化するとC0が得られるって事です)
M0をaで割りその時の余りをA0,M0+1をaで割りその時の余りをA0+1,
M0+2をaで割りその時の余りをA0+2,
(A0,A0+1,A0+2はaで割り切れないとする。割り切れるときは下で書いています)とすると
C0=bcd*v0+V=a*x0+A0
C1=bcd*v1+V=a*x1+(A0+1)
C2=bcd*v2+V=a*x2+(A0+2)
となります。
C1-C0=bcd(v1-v0)+V-V=a(x1-x0)+(A0+1)-A0
=bcd(v1-v0)=a(x1-x0)+1
C1-C0-1=a(x1-x0)
C2-C1=bcd(v2-v1)+V-V=a(x2-x1)+(A0+2)-(A0+1)
=bcd(v2-v1)=a(x2-x1)+1
C2-C1-1=a(x2-x1)
C1-C0,C2-C1の値にユークリッドの互除法・素因数分解を用いると
bcdについての情報が分かります。
更に、C1-C0-1,C2-C1-1も同様に
aについての情報を与えてしまいます。
61 :梅どぶろく ◆21Da3ggG3M :04/07/05 22:42
今度は
(A0,A0+1,A0+2はaで割り切れないとする****の割り切れる時の場合です)
M3をaで割りその時の余りをa-1とすると,M3+1をaで割った余りは0になります。
M3→C3,M3+1=M4→C4とする。
M3=a*x+(a-1),x=b*y+B,y=c*z+C,z=d*w+D
M4=a*x+(a-1)+1=a*x+a=a(x+1)
x+1=b*y+(B+1),y=c*z+C,z=d*w+D
(ここのx,y,z,wは同じ値です)
この時C3,C4は
C3=a*x3+(a-1)=b*y3+B=c*z3+C=d*w3+D
C4=a*x4+(0)=b*y4+(B+1)=c*z3+C=d*w4+D
C4-C3=a(x4-x3)-(a-1)=b(y4-y3)+1=c(z4-w4)=d(w4-w3)
C4-C3-1=a(x4-x3-1)=b(y4-y3)
∴C1-C0とC4-C3,C4-C3についてユークリッドの互除法・素因数分解を用いると
a*b,c*dについての情報が得られました。
上のような考慮事項があるので
M→C' C'→Cのように二段階の暗号化を行いました。
>>all
自分自身で読み返してみて分かりづらいと思っています。
もっと分かりやすく説明しろ!!!
ってとこがあると思いますので指摘をお願いします。
(A0,A0+1,A0+2はaで割り切れないとする****の割り切れる時の場合です)
M3をaで割りその時の余りをa-1とすると,M3+1をaで割った余りは0になります。
M3→C3,M3+1=M4→C4とする。
M3=a*x+(a-1),x=b*y+B,y=c*z+C,z=d*w+D
M4=a*x+(a-1)+1=a*x+a=a(x+1)
x+1=b*y+(B+1),y=c*z+C,z=d*w+D
(ここのx,y,z,wは同じ値です)
この時C3,C4は
C3=a*x3+(a-1)=b*y3+B=c*z3+C=d*w3+D
C4=a*x4+(0)=b*y4+(B+1)=c*z3+C=d*w4+D
C4-C3=a(x4-x3)-(a-1)=b(y4-y3)+1=c(z4-w4)=d(w4-w3)
C4-C3-1=a(x4-x3-1)=b(y4-y3)
∴C1-C0とC4-C3,C4-C3についてユークリッドの互除法・素因数分解を用いると
a*b,c*dについての情報が得られました。
上のような考慮事項があるので
M→C' C'→Cのように二段階の暗号化を行いました。
>>all
自分自身で読み返してみて分かりづらいと思っています。
もっと分かりやすく説明しろ!!!
ってとこがあると思いますので指摘をお願いします。
62 :132人目の素数さん:04/07/05 23:23
>>52-61
ざっと見た感じ、これは対称鍵暗号だよね?
んでもって、とてつもなく、暗号・復号にかかるコストが高いよね?
質問としては、
・これをどうして欲しいのか?
ってのが最初なんだけど…。
例えば、
これこれアルゴリズムを考えました。
既存のアルゴリズムに比べて、段違いに遅くて、いいところがありませんが、
誰か一緒に検討してください!って言うならそういえば、暇な人が手伝ってくれるかもよ?
既存のアルゴリズムよりもこの点において優れてる!っていうところが一点でもなければ、
ちょっと僕は、手伝えません。すみません。
ざっと見た感じ、これは対称鍵暗号だよね?
んでもって、とてつもなく、暗号・復号にかかるコストが高いよね?
質問としては、
・これをどうして欲しいのか?
ってのが最初なんだけど…。
例えば、
これこれアルゴリズムを考えました。
既存のアルゴリズムに比べて、段違いに遅くて、いいところがありませんが、
誰か一緒に検討してください!って言うならそういえば、暇な人が手伝ってくれるかもよ?
既存のアルゴリズムよりもこの点において優れてる!っていうところが一点でもなければ、
ちょっと僕は、手伝えません。すみません。
63 :梅どぶろく ◆21Da3ggG3M :04/07/05 23:42
>>62
>・これをどうして欲しいのか?
んっと仮に実際に使った時に攻撃の対象となる
脆弱性があるのか知りたいのです。
>んでもって、とてつもなく、暗号・復号にかかるコストが高いよね?
そうなんですか、既存の対称鍵アルゴリズムについての
コストとかは知らないんです。
>既存のアルゴリズムよりもこの点において優れてる!
1・
対称鍵暗号方式にしては数少ない
数学的アルゴリズムに基づいた暗号化方式である
まーここがコストの増大を引き起こしていると思ってます。
2・
対称鍵の長さ・暗号化毎のブロックが可変長である
ってとこじゃないでしょうか
ブロックをnビット毎に区切って暗号化する場合
対称鍵をn+2ビットとして選べばOKです。
64ビット毎に区切って暗号化してもいいし
極端な話71ビット毎や93ビット毎に区切って暗号化してもいいわけです。
>・これをどうして欲しいのか?
んっと仮に実際に使った時に攻撃の対象となる
脆弱性があるのか知りたいのです。
>んでもって、とてつもなく、暗号・復号にかかるコストが高いよね?
そうなんですか、既存の対称鍵アルゴリズムについての
コストとかは知らないんです。
>既存のアルゴリズムよりもこの点において優れてる!
1・
対称鍵暗号方式にしては数少ない
数学的アルゴリズムに基づいた暗号化方式である
まーここがコストの増大を引き起こしていると思ってます。
2・
対称鍵の長さ・暗号化毎のブロックが可変長である
ってとこじゃないでしょうか
ブロックをnビット毎に区切って暗号化する場合
対称鍵をn+2ビットとして選べばOKです。
64ビット毎に区切って暗号化してもいいし
極端な話71ビット毎や93ビット毎に区切って暗号化してもいいわけです。
64 :白シャツ:04/07/06 00:49
CRTって知ってる?
中国人の剰余定理ってやつなんですけど。
それと、多次(高次?)剰余暗号とかそういう系とかもあるしなぁ。
とりあえず検討してみますか。
中国人の剰余定理ってやつなんですけど。
それと、多次(高次?)剰余暗号とかそういう系とかもあるしなぁ。
とりあえず検討してみますか。
65 :白シャツ:04/07/06 01:20
公開鍵暗号なんだが
>>64 の多次(高次?)剰余暗号は指数部でこういうのやってるから
ちょっと違った。積和型暗号とかそういう系か?
離散対数を利用した公開鍵暗号系について 森井昌克、笠原正雄
電子情報通信学会論文誌 J71-D,2,pp.448-453
みたいなのがある。実用性無いけどね。
>>64 の多次(高次?)剰余暗号は指数部でこういうのやってるから
ちょっと違った。積和型暗号とかそういう系か?
離散対数を利用した公開鍵暗号系について 森井昌克、笠原正雄
電子情報通信学会論文誌 J71-D,2,pp.448-453
みたいなのがある。実用性無いけどね。
66 :132人目の素数さん:04/07/06 02:00
>>64
あなた、いい人だねぇ…。
64の気概とどぶろくさんの真剣さに感心して63にマジレスすると…
>1・
>対称鍵暗号方式にしては数少ない
>数学的アルゴリズムに基づいた暗号化方式である
すまん、本当にわからない。
数学的アルゴリズムってどこのことを言ってるの?
もし、暗号文と平文が簡単な数式で表される関係を持つという意味なら、
申し訳ないが、これが一番の弱点じゃないかと思う。
公開鍵暗号の安全性証明と勘違いしてない?
Lの作り方から考えても、既存の公開鍵暗号よりもパフォーマンスが悪いと思うよ。
全く話は別で、
もし、何らかの命題を示して、それに証明を付けようと思っているなら、
ここの板の人はとても役に立つかもしれないよ。
>2・
>対称鍵の長さ・暗号化毎のブロックが可変長である
>ってとこじゃないでしょうか
ストリーム暗号というのを、調べてみてください。
まぁ、もし、可変長のアルゴリズムを実装しようとしたら、
鍵生成の部分だけで、投げるだろうな。
あなた、いい人だねぇ…。
64の気概とどぶろくさんの真剣さに感心して63にマジレスすると…
>1・
>対称鍵暗号方式にしては数少ない
>数学的アルゴリズムに基づいた暗号化方式である
すまん、本当にわからない。
数学的アルゴリズムってどこのことを言ってるの?
もし、暗号文と平文が簡単な数式で表される関係を持つという意味なら、
申し訳ないが、これが一番の弱点じゃないかと思う。
公開鍵暗号の安全性証明と勘違いしてない?
Lの作り方から考えても、既存の公開鍵暗号よりもパフォーマンスが悪いと思うよ。
全く話は別で、
もし、何らかの命題を示して、それに証明を付けようと思っているなら、
ここの板の人はとても役に立つかもしれないよ。
>2・
>対称鍵の長さ・暗号化毎のブロックが可変長である
>ってとこじゃないでしょうか
ストリーム暗号というのを、調べてみてください。
まぁ、もし、可変長のアルゴリズムを実装しようとしたら、
鍵生成の部分だけで、投げるだろうな。
67 :132人目の素数さん:04/07/06 02:07
カオス力学系の離散モデルを使って、疑似乱数を発生させて、
それとの排他的論理和を平文との間で取ってからDESのような
ブロック暗号化を施せば、十分に強いという。
両端でのカオス力学系は最初にだけ初期値を一致させておく
必要があるのが欠点だけども。
それとの排他的論理和を平文との間で取ってからDESのような
ブロック暗号化を施せば、十分に強いという。
両端でのカオス力学系は最初にだけ初期値を一致させておく
必要があるのが欠点だけども。
68 :白シャツ:04/07/06 03:23
>>65
>あなた、いい人だねぇ…。
新規参入者に優しくしないとタマが尽きます。
どぶろくさん、SCISとかで発表してみたら。
たぶんこれはダメだろうけど、ラインデールも
散々蹴られまくったけど、AES取れたことだし、
もうちょっとひねってがんがれ。
てことで詳細の検討はしてないけど、
とりあえず眠いのでインプレッションだけ書いて寝る。
M→C’の写像って単なるシフトじゃないかな。
議論を簡単にするためにL=abの場合で考えてみる。
それとこういう場合aやbはbase(基数)という。
a,bが素数冪ならLCM(a,b)=abは自明だな。
M mod L を2次元の平面上の点(a',b')で表しているんだと分かるわな。
C'=(a')b+b'だったら下の図みたいにならない?
b'
0----------→b
|
a'| .M=(a',b')
| .C'=(a'+1,b')
↓
a
>あなた、いい人だねぇ…。
新規参入者に優しくしないとタマが尽きます。
どぶろくさん、SCISとかで発表してみたら。
たぶんこれはダメだろうけど、ラインデールも
散々蹴られまくったけど、AES取れたことだし、
もうちょっとひねってがんがれ。
てことで詳細の検討はしてないけど、
とりあえず眠いのでインプレッションだけ書いて寝る。
M→C’の写像って単なるシフトじゃないかな。
議論を簡単にするためにL=abの場合で考えてみる。
それとこういう場合aやbはbase(基数)という。
a,bが素数冪ならLCM(a,b)=abは自明だな。
M mod L を2次元の平面上の点(a',b')で表しているんだと分かるわな。
C'=(a')b+b'だったら下の図みたいにならない?
b'
0----------→b
|
a'| .M=(a',b')
| .C'=(a'+1,b')
↓
a
69 :白シャツ:04/07/06 03:36
>>68
しまった、専用エディタでやらんとダメだった。
でもだいたいわかるよね。
ついでに>>63
>1・
>対称鍵暗号方式にしては数少ない
>数学的アルゴリズムに基づいた暗号化方式である
秘密鍵暗号もね、そうとう裏では数学考えてるらしいよ。
たとえばF_2の拡大体の性質を考慮して設計されているわけで、
だからこそM菱松井氏がDESの(ある意味意図的な)欠点を
叩く攻撃ができたりしたわけで、>>66さんも言ってることに
同意。松井さんみたいな神じゃなくても分かるからさ。
>2・
>対称鍵の長さ・暗号化毎のブロックが可変長である
>ってとこじゃないでしょうか
普通の平文って大きいからハッシュ取って一定サイズに
(小さく)するでしょ。それでも都合悪かったら(小さい場合は)
パディングするし。
しまった、専用エディタでやらんとダメだった。
でもだいたいわかるよね。
ついでに>>63
>1・
>対称鍵暗号方式にしては数少ない
>数学的アルゴリズムに基づいた暗号化方式である
秘密鍵暗号もね、そうとう裏では数学考えてるらしいよ。
たとえばF_2の拡大体の性質を考慮して設計されているわけで、
だからこそM菱松井氏がDESの(ある意味意図的な)欠点を
叩く攻撃ができたりしたわけで、>>66さんも言ってることに
同意。松井さんみたいな神じゃなくても分かるからさ。
>2・
>対称鍵の長さ・暗号化毎のブロックが可変長である
>ってとこじゃないでしょうか
普通の平文って大きいからハッシュ取って一定サイズに
(小さく)するでしょ。それでも都合悪かったら(小さい場合は)
パディングするし。
70 :白シャツ:04/07/06 03:47
>>68
あくまで見た感じのインプレッションなんで
詳細に検討した結果ではありません。
間違ってたらスマソ。
それと>>69の
>普通の平文って大きいからハッシュ取って一定サイズに
>(小さく)するでしょ。それでも都合悪かったら(小さい場合は)
は間違い。最近署名とか認証に凝ってるんで非可逆が
デフォになってました。スマソ
あくまで見た感じのインプレッションなんで
詳細に検討した結果ではありません。
間違ってたらスマソ。
それと>>69の
>普通の平文って大きいからハッシュ取って一定サイズに
>(小さく)するでしょ。それでも都合悪かったら(小さい場合は)
は間違い。最近署名とか認証に凝ってるんで非可逆が
デフォになってました。スマソ
71 :梅どぶろく ◆21Da3ggG3M :04/07/06 07:08
対称鍵暗号です。
公開鍵ではありません
勘違いした方がおられましたら失礼しました
公開鍵ではありません
勘違いした方がおられましたら失礼しました
72 :白シャツ:04/07/06 13:12
>>71
いやいや,みんなわかっていると思う.
ただ,アイデア的に公開鍵に近いというように思うから.
それと,>>68で言ったことが正しい場合には,
この暗号は高次化したカエサル暗号って感じになるんでは
ないかと思うんですが.そのあたりどうなのかなと.
いやいや,みんなわかっていると思う.
ただ,アイデア的に公開鍵に近いというように思うから.
それと,>>68で言ったことが正しい場合には,
この暗号は高次化したカエサル暗号って感じになるんでは
ないかと思うんですが.そのあたりどうなのかなと.
73 :梅どぶろく ◆21Da3ggG3M :04/07/06 15:04
これは数車とは全くの別口の話です。
RSAへの攻撃についてです。(以下、すべてmod n)
C=M^e
M=e^d
C^d=(M^e)^d=M^(ed)=M^1=M
こうですよね?
んで、最初にMの値として秘密鍵dを暗号化したら
どうかってのを考えたんです。
すると、
M=d
C=d^e
C^d=(d^e)^d=d^(ed)=d^1=d
これの意味するところは
(d^e)^d=d
(d^d)^e=d
つまり、p,qの素因数を行わずに
dの値を求めることができる!!!
もっと賢くやると、公開鍵eを暗号化してやります。
省略して書くと
(e^e)^d=e^(ed)=e^1=e
E=e^eとするとき
Eの値は簡単に求めれますから
E^d=e
となるdについて求めればいいことになります。
もう既出でしょうか?
私は聞いたことがなかったので書いてみたのですが・・・
結構すごいことじゃないですか?
RSAへの攻撃についてです。(以下、すべてmod n)
C=M^e
M=e^d
C^d=(M^e)^d=M^(ed)=M^1=M
こうですよね?
んで、最初にMの値として秘密鍵dを暗号化したら
どうかってのを考えたんです。
すると、
M=d
C=d^e
C^d=(d^e)^d=d^(ed)=d^1=d
これの意味するところは
(d^e)^d=d
(d^d)^e=d
つまり、p,qの素因数を行わずに
dの値を求めることができる!!!
もっと賢くやると、公開鍵eを暗号化してやります。
省略して書くと
(e^e)^d=e^(ed)=e^1=e
E=e^eとするとき
Eの値は簡単に求めれますから
E^d=e
となるdについて求めればいいことになります。
もう既出でしょうか?
私は聞いたことがなかったので書いてみたのですが・・・
結構すごいことじゃないですか?
74 :梅どぶろく ◆21Da3ggG3M :04/07/06 15:07
M=e^d ×
M=C^d ○
M=C^d ○
75 :132人目の素数さん:04/07/06 15:29
>>68
>M→C’の写像って単なるシフトじゃないかな。
ここはそうだと思います。
ただ、下の図の
>C'=(a'+1,b')
はどうでしょうか?
C'=(a'+X、b') (Xは整数)
じゃないでしょうか?
b'
0----------→b
|
a'| .M=(a',b')
| .C'=(a'+1,b')
↓
a
>>72
>この暗号は高次化したカエサル暗号って感じになるんでは
ここんとこはそうかなーと思いますが、もう少し考えてみます。
>M→C’の写像って単なるシフトじゃないかな。
ここはそうだと思います。
ただ、下の図の
>C'=(a'+1,b')
はどうでしょうか?
C'=(a'+X、b') (Xは整数)
じゃないでしょうか?
b'
0----------→b
|
a'| .M=(a',b')
| .C'=(a'+1,b')
↓
a
>>72
>この暗号は高次化したカエサル暗号って感じになるんでは
ここんとこはそうかなーと思いますが、もう少し考えてみます。
76 :梅どぶろく" ◆rM4QWlepe6 :04/07/06 15:38
たびたびすんません
もっと賢くやると、公開鍵eを暗号化してやります。
省略して書くと
(e^e)^d=e^(ed)=e^1=e
E=e^eとするとき
Eの値は簡単に求めれますから
E^d(mod n)=e
となるdについて求めればいいことになります。
もっと賢くやると、公開鍵eを暗号化してやります。
省略して書くと
(e^e)^d=e^(ed)=e^1=e
E=e^eとするとき
Eの値は簡単に求めれますから
E^d(mod n)=e
となるdについて求めればいいことになります。
>>73
>最初にMの値として秘密鍵dを暗号化したら
>つまり、p,qの素因数を行わずにdの値を求めることができる!!!
dを暗号化したんだから,復号したらdが出てくる.
>>76
>E^d(mod n)=e
>となるdについて求めればいいことになります。
「なにを求めたい」のかいまいちわからないけど,
N (秘密の2素数の積 )と e が与えられたとき
(A^e)^x = A (mod N) を満たす x を求めるのが難しいってのが
RSA暗号方式の安全性の根拠です.
向こうのスレ見て思ったんだけど,暗号方式への攻撃モデルとか
一度本で読んどいた方がいいよ.例えば
岡本(龍明),山本「現代暗号」産業図書,1997
岡本栄司「暗号理論入門 第2版」共立,2002
>最初にMの値として秘密鍵dを暗号化したら
>つまり、p,qの素因数を行わずにdの値を求めることができる!!!
dを暗号化したんだから,復号したらdが出てくる.
>>76
>E^d(mod n)=e
>となるdについて求めればいいことになります。
「なにを求めたい」のかいまいちわからないけど,
N (秘密の2素数の積 )と e が与えられたとき
(A^e)^x = A (mod N) を満たす x を求めるのが難しいってのが
RSA暗号方式の安全性の根拠です.
向こうのスレ見て思ったんだけど,暗号方式への攻撃モデルとか
一度本で読んどいた方がいいよ.例えば
岡本(龍明),山本「現代暗号」産業図書,1997
岡本栄司「暗号理論入門 第2版」共立,2002
78 :梅どぶろく ◆21Da3ggG3M :04/07/06 21:42
80 :梅どぶろく ◆21Da3ggG3M :04/07/06 22:47
>>79
ですね、
いける!と思いついてその考えがいかによく思えても
最低数時間はたってから
もう一度その考えについて疑心的になって考えなければいけない
ってことが教訓になりました。
いい薬になりました
ですね、
いける!と思いついてその考えがいかによく思えても
最低数時間はたってから
もう一度その考えについて疑心的になって考えなければいけない
ってことが教訓になりました。
いい薬になりました
81 :白シャツ:04/07/06 22:54
>77
>>E^d(mod n)=e
>>となるdについて求めればいいことになります。
>
>「なにを求めたい」のかいまいちわからないけど,
DLP解いたらRSA解けるっていいたいんだと思う。
漏れも昔似たいようなこと聞いて叩かれたことあったんですは。
DLPは解けないって怒られた。
認めたくないものだな、若さゆえの過ちとはって感じだった。
それと、>>80はもしかして高校生?
>>E^d(mod n)=e
>>となるdについて求めればいいことになります。
>
>「なにを求めたい」のかいまいちわからないけど,
DLP解いたらRSA解けるっていいたいんだと思う。
漏れも昔似たいようなこと聞いて叩かれたことあったんですは。
DLPは解けないって怒られた。
認めたくないものだな、若さゆえの過ちとはって感じだった。
それと、>>80はもしかして高校生?
82 :梅どぶろく ◆21Da3ggG3M :04/07/06 23:02
いんや違います
二浪して大学いけなくて専門学校いって
三年次編入を狙っているものです。
拡張ユークリッドの互除法やフェルマーの小定理なんかを
好奇心に任せて勉強しています。
独学だからいまいち効率が悪い・・・
今度夏休みになるんですが、
暗号関係で整数論に関するいい本を紹介していただけませんか?
二浪して大学いけなくて専門学校いって
三年次編入を狙っているものです。
拡張ユークリッドの互除法やフェルマーの小定理なんかを
好奇心に任せて勉強しています。
独学だからいまいち効率が悪い・・・
今度夏休みになるんですが、
暗号関係で整数論に関するいい本を紹介していただけませんか?
83 :梅どぶろく ◆21Da3ggG3M :04/07/06 23:06
現代暗号・確率的証明・擬似乱数
O. ゴールドライヒ (著),
はアマゾンで注文して今届くのを待ってる途中です
乱数についても興味があったのでこの本を選びました
O. ゴールドライヒ (著),
はアマゾンで注文して今届くのを待ってる途中です
乱数についても興味があったのでこの本を選びました
84 :白シャツ:04/07/06 23:20
>>82
>いんや違います
>二浪して大学いけなくて専門学校いって
>三年次編入を狙っているものです。
どこ受けるの?
まずはその対策のほうが先だと思う。
>独学だからいまいち効率が悪い・・・
漏れもほぼ独学だったし、わかります。
4回生なってから某教科書よまされたしな。
その本がろくでもなかったから(翻訳が)。
>今度夏休みになるんですが、
>暗号関係で整数論に関するいい本を紹介していただけませんか?
まともな本は無い、と言いたい。
嘘書いてある本多いし、良い本あったら漏れも欲しいぐらい。
今までに何読んだかとりあえず教えてくださいな。
それと、>>68でいった
>M mod L を2次元の平面上の点(a',b')で表しているんだと分かるわな。
は言ってる(漏れの言いたい)意味わかる?
数学の人には怒られるかもしれんけど(訂正よろしく)
>いんや違います
>二浪して大学いけなくて専門学校いって
>三年次編入を狙っているものです。
どこ受けるの?
まずはその対策のほうが先だと思う。
>独学だからいまいち効率が悪い・・・
漏れもほぼ独学だったし、わかります。
4回生なってから某教科書よまされたしな。
その本がろくでもなかったから(翻訳が)。
>今度夏休みになるんですが、
>暗号関係で整数論に関するいい本を紹介していただけませんか?
まともな本は無い、と言いたい。
嘘書いてある本多いし、良い本あったら漏れも欲しいぐらい。
今までに何読んだかとりあえず教えてくださいな。
それと、>>68でいった
>M mod L を2次元の平面上の点(a',b')で表しているんだと分かるわな。
は言ってる(漏れの言いたい)意味わかる?
数学の人には怒られるかもしれんけど(訂正よろしく)
85 :132人目の素数さん:04/07/06 23:34
>>83
その本って確か計算量理論の本のはずだけど。
整数論の方面を勉強したくて買ったんだとしたら、
まったく違う分野であることを覚悟しておいた方がいい。
>暗号関係で整数論に関するいい本を紹介していただけませんか?
Koblitz の "A Course in Number Theory" なんかどうだろう。
既読の可能性が高そうだけど。
その本って確か計算量理論の本のはずだけど。
整数論の方面を勉強したくて買ったんだとしたら、
まったく違う分野であることを覚悟しておいた方がいい。
>暗号関係で整数論に関するいい本を紹介していただけませんか?
Koblitz の "A Course in Number Theory" なんかどうだろう。
既読の可能性が高そうだけど。
86 :132人目の素数さん:04/07/06 23:35
ごめん。本のタイトルが途中で切れてる。
"A Course in Number Theory and Cryptography"
"A Course in Number Theory and Cryptography"
87 :白シャツ:04/07/06 23:45
88 :63 ◆oYI7WOcH/A :04/07/07 00:39
>>52-61
ここに書いてあることが全てなら、この暗号系、一瞬で解けちゃうんじゃない?
選択平文攻撃に対する耐性の考察が書いてあるぐらいだから、この攻撃使ってもいいんでしょ?
まず、「Mの範囲は0<=M<Lとする」からMを0に取ろう。で、実際計算してみてちょうだいな。
「M=ax+a'=by+b'=cz+c'=dw+d'」だから、a',b',c',d'は、a,b,c,dの値に関係なく、全部0だ。
そしたら、C'=(((a')b+b')c+c')d+d'=0だ。
だんだん、きな臭くなってきたね。
C'=0ならば、それをなんで割っても商も余りも全部0だよね。
つまり、a'',b'',c'',d''はみんな0になるわけだ。
「C=aX+a"=bY+b"=cZ+c"=dW+d"」が「C=aX=bY=cZ=dW」こんなんになってしまう。
つまり、Cは、aの倍数でもありbの倍数でもありcの倍数でもありdの倍数でもある。
それって、つまり、対称鍵「L」のことだよね。
暗号文に鍵が出てきちゃまずいよね、さすがに。
これで、どっかで計算間違いしてたら恥ずかしいな(w
ここに書いてあることが全てなら、この暗号系、一瞬で解けちゃうんじゃない?
選択平文攻撃に対する耐性の考察が書いてあるぐらいだから、この攻撃使ってもいいんでしょ?
まず、「Mの範囲は0<=M<Lとする」からMを0に取ろう。で、実際計算してみてちょうだいな。
「M=ax+a'=by+b'=cz+c'=dw+d'」だから、a',b',c',d'は、a,b,c,dの値に関係なく、全部0だ。
そしたら、C'=(((a')b+b')c+c')d+d'=0だ。
だんだん、きな臭くなってきたね。
C'=0ならば、それをなんで割っても商も余りも全部0だよね。
つまり、a'',b'',c'',d''はみんな0になるわけだ。
「C=aX+a"=bY+b"=cZ+c"=dW+d"」が「C=aX=bY=cZ=dW」こんなんになってしまう。
つまり、Cは、aの倍数でもありbの倍数でもありcの倍数でもありdの倍数でもある。
それって、つまり、対称鍵「L」のことだよね。
暗号文に鍵が出てきちゃまずいよね、さすがに。
これで、どっかで計算間違いしてたら恥ずかしいな(w
>>83の本は原著のダイジェスト版の方を訳したものなんだよね。
すでに一通りの知識を持っている人が、知らない分野を学ぶ取っ掛かりを掴むには
いいかも知れないけど
、あれで乱数や計算複雑さの理論を勉強するのは無理だと思う。
数論の本…むしろ代数学の本から読んでいった方が進みやすいんでないかい?
すでに一通りの知識を持っている人が、知らない分野を学ぶ取っ掛かりを掴むには
いいかも知れないけど
、あれで乱数や計算複雑さの理論を勉強するのは無理だと思う。
数論の本…むしろ代数学の本から読んでいった方が進みやすいんでないかい?
90 :白シャツ:04/07/07 02:16
>>88
>「C=aX+a"=bY+b"=cZ+c"=dW+d"」が「C=aX=bY=cZ=dW」こんなんになってしまう。
>つまり、Cは、aの倍数でもありbの倍数でもありcの倍数でもありdの倍数でもある。
>それって、つまり、対称鍵「L」のことだよね。
C=0は?
>「C=aX+a"=bY+b"=cZ+c"=dW+d"」が「C=aX=bY=cZ=dW」こんなんになってしまう。
>つまり、Cは、aの倍数でもありbの倍数でもありcの倍数でもありdの倍数でもある。
>それって、つまり、対称鍵「L」のことだよね。
C=0は?
91 :白シャツ:04/07/07 02:30
>>87
>その本がろくでもなかったから(翻訳が)。
って言ったのは誤解を招いたかも。コブリッツのほうね。
>>89
> >>83の本は原著のダイジェスト版の方を訳したものなんだよね。
そうだったんですか。買おうどうか検討して止めた覚えがある。
それと、ひとつ思い出したが、以下の本は「工学」の人にはお勧めかも。
木田祐司・牧野潔夫 UBASICによるコンピュータ整数論
92 :37:04/07/07 05:22
>>89
俺は暗号プロパーではないが概ね>>89さんの意見に同意だ.
Goldreich本でも
>現代暗号・確率的証明・擬似乱数
>O. ゴールドライヒ (著),
はどう読んでも暗号初学者向けではない.そもそもPCPって暗号的な応用ってどんなんがあるんでしょ?
計算量理論的な深い部分で関連があるとは思うが,直接的な応用ってあんまり思いつかないな.
むしろ計算量的暗号理論(擬似乱数含む)の入門書としては
Foundations of Cryptography: Basic Tools
O. Goldreich
をオススメする.最近続刊も出たことだし.
俺は暗号プロパーではないが概ね>>89さんの意見に同意だ.
Goldreich本でも
>現代暗号・確率的証明・擬似乱数
>O. ゴールドライヒ (著),
はどう読んでも暗号初学者向けではない.そもそもPCPって暗号的な応用ってどんなんがあるんでしょ?
計算量理論的な深い部分で関連があるとは思うが,直接的な応用ってあんまり思いつかないな.
むしろ計算量的暗号理論(擬似乱数含む)の入門書としては
Foundations of Cryptography: Basic Tools
O. Goldreich
をオススメする.最近続刊も出たことだし.
>>92
あーそれそれ、元になった本はそれです。
続編の原稿を自サイトで公開して修正意見を募ったという…
(それでも売れるんだろな)
PCP…ゼロ知識系の、ブラックボックスやオラクルを使用した
計算やプロトコルのモデルがどーたらこーたら…とか?
あーそれそれ、元になった本はそれです。
続編の原稿を自サイトで公開して修正意見を募ったという…
(それでも売れるんだろな)
PCP…ゼロ知識系の、ブラックボックスやオラクルを使用した
計算やプロトコルのモデルがどーたらこーたら…とか?
94 :梅どぶろく ◆21Da3ggG3M :04/07/07 06:52
>>88>>90
大丈夫です心配要りません
nビット毎に暗号化するとして(対象鍵はn+2ビット)
0〜2^n-1の値すべてに
2^nの加算を行います。
すると暗号化前の平文は
2^n〜2^(n+1)-1になります。
復号する時は
復号して出てきた値から2^nを減算してやればOKです。
あと、
平文をnビットとするときに鍵長がn+1ビットだと
平文すべてに2^nを加算することができないわけで
(そうすると平文が2^nの値近くの時に鍵の値を超えてしまうわけです)
そういったことを考慮して鍵長はn+2ビットにしました。
平文の値としてL-1を与えてやると暗号文もL-1になります。
大丈夫です心配要りません
nビット毎に暗号化するとして(対象鍵はn+2ビット)
0〜2^n-1の値すべてに
2^nの加算を行います。
すると暗号化前の平文は
2^n〜2^(n+1)-1になります。
復号する時は
復号して出てきた値から2^nを減算してやればOKです。
あと、
平文をnビットとするときに鍵長がn+1ビットだと
平文すべてに2^nを加算することができないわけで
(そうすると平文が2^nの値近くの時に鍵の値を超えてしまうわけです)
そういったことを考慮して鍵長はn+2ビットにしました。
平文の値としてL-1を与えてやると暗号文もL-1になります。
95 :63 ◆oYI7WOcH/A :04/07/07 09:33
>>90
>C=0は?
うん、それも考えたんだけど、MもC'も取りうる範囲が書いてあるのに、
Cは書いてないから、これもC = 0 mod Lで C=nLも仕様の範囲内じゃない?
と、言おうとしたんだが、
>M→C'は問題ないと思いますのでC'→Cの求め方
の中での計算方式に従うと、C=0しか取れないな。
計算方法例だと思って読んでなかったよ。しょぼーん。
まぁ、M=0を入れるとC=0が返ってくるってのは、かなり問題があるが。
>C=0は?
うん、それも考えたんだけど、MもC'も取りうる範囲が書いてあるのに、
Cは書いてないから、これもC = 0 mod Lで C=nLも仕様の範囲内じゃない?
と、言おうとしたんだが、
>M→C'は問題ないと思いますのでC'→Cの求め方
の中での計算方式に従うと、C=0しか取れないな。
計算方法例だと思って読んでなかったよ。しょぼーん。
まぁ、M=0を入れるとC=0が返ってくるってのは、かなり問題があるが。
96 :63 ◆oYI7WOcH/A :04/07/07 09:45
97 :63 ◆oYI7WOcH/A :04/07/07 10:08
で、 >>94 、そんなのどこに書いてあったんだ?
もしかして、
>M→C'は問題ないと思いますので
の一行に、>>94のような変換ぐらいがあるのは予測しろ!
って思いが込められてるのか?
それ以前に、
>>53の
>(x,y,z,wは0以上の整数、Mの範囲は0<=M<Lとする)
と
>>94
>すると暗号化前の平文は
>2^n〜2^(n+1)-1になります
は、矛盾してるんだが、仕様としてこれでいいのか?
>大丈夫です心配要りません
って、吊られてたのか!!!
もしかして、
>M→C'は問題ないと思いますので
の一行に、>>94のような変換ぐらいがあるのは予測しろ!
って思いが込められてるのか?
それ以前に、
>>53の
>(x,y,z,wは0以上の整数、Mの範囲は0<=M<Lとする)
と
>>94
>すると暗号化前の平文は
>2^n〜2^(n+1)-1になります
は、矛盾してるんだが、仕様としてこれでいいのか?
>大丈夫です心配要りません
って、吊られてたのか!!!
98 :白シャツ:04/07/07 12:06
>>93
>PCP…ゼロ知識系の、ブラックボックスやオラクルを使用した
>計算やプロトコルのモデルがどーたらこーたら…とか?
アノ本そういうこと書いてあるんだ。買う。
暗号の応用にはあんまり意味無いんだけど、
”バカ査読者のご機嫌伺い”には役に立つ。
などと愚痴ってみる。
>>95
「C=aX=bY=cZ=dW」
のもっとも自明な解がC=0じゃないのと思ったんだけど、
やっぱりそういうようになるのね、仕様では。
>でも、際限なく増えていくので、これはあんまり良くないな。
そうだったのか。ちゃんと読んでないんで
R_Lで4次元の巡回シフトみたいなことするんだと
思ってたけど、ちゃんと読んでみないとだめですね。
>PCP…ゼロ知識系の、ブラックボックスやオラクルを使用した
>計算やプロトコルのモデルがどーたらこーたら…とか?
アノ本そういうこと書いてあるんだ。買う。
暗号の応用にはあんまり意味無いんだけど、
”バカ査読者のご機嫌伺い”には役に立つ。
などと愚痴ってみる。
>>95
「C=aX=bY=cZ=dW」
のもっとも自明な解がC=0じゃないのと思ったんだけど、
やっぱりそういうようになるのね、仕様では。
>でも、際限なく増えていくので、これはあんまり良くないな。
そうだったのか。ちゃんと読んでないんで
R_Lで4次元の巡回シフトみたいなことするんだと
思ってたけど、ちゃんと読んでみないとだめですね。
99 :梅どぶろく ◆21Da3ggG3M :04/07/07 14:57
>>97
すみませんです。
>>94見たいな事はどこにも書いてありません。
強いて言うなら私の脳内には書いてありました。
>それ以前に、
>>>53の
>>(x,y,z,wは0以上の整数、Mの範囲は0<=M<Lとする)
>と
>>>94
>>すると暗号化前の平文は
>>2^n〜2^(n+1)-1になります
>は、矛盾してるんだが、仕様としてこれでいいのか?
んっとですね、
>>(x,y,z,wは0以上の整数、Mの範囲は0<=M<Lとする)
は、アルゴリズムを数学的に考えた場合には
0<=M<Lの範囲で取れます。
M=0のときC=0になったり
M=L-1のときC=L-1になったりするので
実装しようとしたら>>94のように
平文として使えるMの範囲を絞ってやるということです。
余りとかはこっちでは増加してるけど
こっちでは0になったぞ見たいにぐちゃぐちゃなのが理想なんですが、
Mの値が最小の基数よか小さいときは
a',b',c',d'が単調に増加のみをしてしまうってのがあったので
すべての平文に2^nを加算することにしました。
>って、吊られてたのか!!!
釣ってるつもりはありませんでした。
すみませんです。
>>94見たいな事はどこにも書いてありません。
強いて言うなら私の脳内には書いてありました。
>それ以前に、
>>>53の
>>(x,y,z,wは0以上の整数、Mの範囲は0<=M<Lとする)
>と
>>>94
>>すると暗号化前の平文は
>>2^n〜2^(n+1)-1になります
>は、矛盾してるんだが、仕様としてこれでいいのか?
んっとですね、
>>(x,y,z,wは0以上の整数、Mの範囲は0<=M<Lとする)
は、アルゴリズムを数学的に考えた場合には
0<=M<Lの範囲で取れます。
M=0のときC=0になったり
M=L-1のときC=L-1になったりするので
実装しようとしたら>>94のように
平文として使えるMの範囲を絞ってやるということです。
余りとかはこっちでは増加してるけど
こっちでは0になったぞ見たいにぐちゃぐちゃなのが理想なんですが、
Mの値が最小の基数よか小さいときは
a',b',c',d'が単調に増加のみをしてしまうってのがあったので
すべての平文に2^nを加算することにしました。
>って、吊られてたのか!!!
釣ってるつもりはありませんでした。
100 :63 ◆oYI7WOcH/A :04/07/07 16:36
>>99
分かった、じゃあ、ここは脳内仕様を採用しよう。
でも、さすがにこれ以上脳内仕様ですと言われたら考える気も起こらなくなるから、
今脳内にある仕様をまず提示してね。
まず、アルゴリズムとしては、かなり問題があるってことは、自分で認めてるからいいよね?
ある特定の値を与えたら、全然暗号にならないってのは、アルゴリズムとしてはダメだ。
まぁ、これは、DESなんかでも、特定の弱い鍵ってのがあってそれを排除せねばならんが、
こっちは、平文だから、さらに厳しいな。
だから、これは理論じゃなくて、実装ベースで考えるってことでいいよね?
つまり、アルゴリズムの欠陥を、実装する際の条件付加で補おうってこと。
それなら、以下のことは、最低限提案者が与えないと。
・nの推奨パラメータ
・nが与えられたときのLを生成する確率的アルゴリズム
・推奨パラメータNにおける暗号化速度(Mbps)
・推奨パラメータNにおける使用するRAMメモリ量
Lが2^(n+2)の全てを取れるわけではないから、鍵生成アルゴリズムはとても重要だな。
後半の二つは、参考のため、2chではぼこぼこに言われている日本製の対称鍵暗号Camelliaで、
128bit鍵でPen3 650MHz で250〜300Mbpsで仕様RAMが32byte程度だね。
頑張れ〜
分かった、じゃあ、ここは脳内仕様を採用しよう。
でも、さすがにこれ以上脳内仕様ですと言われたら考える気も起こらなくなるから、
今脳内にある仕様をまず提示してね。
まず、アルゴリズムとしては、かなり問題があるってことは、自分で認めてるからいいよね?
ある特定の値を与えたら、全然暗号にならないってのは、アルゴリズムとしてはダメだ。
まぁ、これは、DESなんかでも、特定の弱い鍵ってのがあってそれを排除せねばならんが、
こっちは、平文だから、さらに厳しいな。
だから、これは理論じゃなくて、実装ベースで考えるってことでいいよね?
つまり、アルゴリズムの欠陥を、実装する際の条件付加で補おうってこと。
それなら、以下のことは、最低限提案者が与えないと。
・nの推奨パラメータ
・nが与えられたときのLを生成する確率的アルゴリズム
・推奨パラメータNにおける暗号化速度(Mbps)
・推奨パラメータNにおける使用するRAMメモリ量
Lが2^(n+2)の全てを取れるわけではないから、鍵生成アルゴリズムはとても重要だな。
後半の二つは、参考のため、2chではぼこぼこに言われている日本製の対称鍵暗号Camelliaで、
128bit鍵でPen3 650MHz で250〜300Mbpsで仕様RAMが32byte程度だね。
頑張れ〜
101 :梅どぶろく ◆21Da3ggG3M :04/07/07 20:37
>>100
すいません、大幅な仕様変更があります。
ですが、これ以上の変更はありません。
んっと、今まで考えていて思いついたのですが、
Diffie-Hellman鍵交換プロトコルで二つの鍵A,Bを交換します。
そしてgcd(A,B)=Gを求めます。
A/G,B*Gをそれぞれa,bとしてL=a*bとなります。
このときはgcd(a,b)=1となります。
Lのビット数をNとするとき
(N-2)/8バイト毎に暗号化して
Mに2^(N-2)を加算してM'としてやります。
a,bの二つを使って
M'=ax+a'=by+b'
・・・・・・以下略・・・・・
としていったらどうでしょうか?
AliceとBobはいちいちLを素因数分解をしなくてもよく
A,Bの最大公約数をユークリッドの互除法で求めてやればいいわけです。
Lを素因数分解する必要もありません。
ですが、Eveは鍵候補L'を素因数分解していく必要があります。
そしてL'の基数の数がm個であるとき
{Σ(k=1,m/2) (mCk)}*2通りの組み合わせを考えなくてはなりません。
(*2の意味はa,bの順序をどうするかで2通りあるからです)
これだと、仮にEveが鍵候補L'を素因数分解していって
基数全てを求めても簡単にはa,bを求めれません。
基数の数が少ない時、個々の素数の値が大きくなります。
基数の数が多いと{Σ(k=1,m/2) (mCk)}*2の組み合わせが多くなります。
すいません、大幅な仕様変更があります。
ですが、これ以上の変更はありません。
んっと、今まで考えていて思いついたのですが、
Diffie-Hellman鍵交換プロトコルで二つの鍵A,Bを交換します。
そしてgcd(A,B)=Gを求めます。
A/G,B*Gをそれぞれa,bとしてL=a*bとなります。
このときはgcd(a,b)=1となります。
Lのビット数をNとするとき
(N-2)/8バイト毎に暗号化して
Mに2^(N-2)を加算してM'としてやります。
a,bの二つを使って
M'=ax+a'=by+b'
・・・・・・以下略・・・・・
としていったらどうでしょうか?
AliceとBobはいちいちLを素因数分解をしなくてもよく
A,Bの最大公約数をユークリッドの互除法で求めてやればいいわけです。
Lを素因数分解する必要もありません。
ですが、Eveは鍵候補L'を素因数分解していく必要があります。
そしてL'の基数の数がm個であるとき
{Σ(k=1,m/2) (mCk)}*2通りの組み合わせを考えなくてはなりません。
(*2の意味はa,bの順序をどうするかで2通りあるからです)
これだと、仮にEveが鍵候補L'を素因数分解していって
基数全てを求めても簡単にはa,bを求めれません。
基数の数が少ない時、個々の素数の値が大きくなります。
基数の数が多いと{Σ(k=1,m/2) (mCk)}*2の組み合わせが多くなります。
102 :梅どぶろく ◆21Da3ggG3M :04/07/07 20:39
>>100
>・nの推奨パラメータ
>・推奨パラメータNにおける暗号化速度(Mbps)
>・推奨パラメータNにおける使用するRAMメモリ量
これは今から実際にプログラムを組んで考えて見ます。
a,bは小さい数で個数が多いほうより
a,bはとても大きい数で個数は2つくらいのほうが
効率がいいとかまだ分かりませんので
あと、一応イメージとしてはnは1024ビット超とか考えています。
処理速度が遅くなるかもしれませんが、
一度に暗号化できるビット数も増えるわけです。
色々実験してみます。
>・nが与えられたときのLを生成する確率的アルゴリズム
これは改良した方法で大丈夫ではないでしょうか?
>・nの推奨パラメータ
>・推奨パラメータNにおける暗号化速度(Mbps)
>・推奨パラメータNにおける使用するRAMメモリ量
これは今から実際にプログラムを組んで考えて見ます。
a,bは小さい数で個数が多いほうより
a,bはとても大きい数で個数は2つくらいのほうが
効率がいいとかまだ分かりませんので
あと、一応イメージとしてはnは1024ビット超とか考えています。
処理速度が遅くなるかもしれませんが、
一度に暗号化できるビット数も増えるわけです。
色々実験してみます。
>・nが与えられたときのLを生成する確率的アルゴリズム
これは改良した方法で大丈夫ではないでしょうか?
103 :白シャツ:04/07/07 23:00
>>75
M→C'の写像ですが、一般のMの場合、
(a',b'c',d')→(a'+1,b'+1c'+1,d')
ですね、やっぱり。ただし
a',b',c',d'が0だったりするときは少々違うんですが。
詳細は考えてみて。
それで、a'とかがa-1とかだと途中でa'+1=0になるんで
ややこしくなるんです。
M ∈Z/LZ
↓
(a',b'c',d')∈Z/aZ×Z/bZ×Z/cZ×Z/dZ
ただし、a'∈Z/aZ,b'∈Z/bZ,c'∈Z/cZ,d'∈Z/dZ
で書いてることに注意してください。
言い方がウソと言われるかもしれんが。
今日は、次にC'→Cを考える予定。
M→C'の写像ですが、一般のMの場合、
(a',b'c',d')→(a'+1,b'+1c'+1,d')
ですね、やっぱり。ただし
a',b',c',d'が0だったりするときは少々違うんですが。
詳細は考えてみて。
それで、a'とかがa-1とかだと途中でa'+1=0になるんで
ややこしくなるんです。
M ∈Z/LZ
↓
(a',b'c',d')∈Z/aZ×Z/bZ×Z/cZ×Z/dZ
ただし、a'∈Z/aZ,b'∈Z/bZ,c'∈Z/cZ,d'∈Z/dZ
で書いてることに注意してください。
言い方がウソと言われるかもしれんが。
今日は、次にC'→Cを考える予定。
104 :63 ◆oYI7WOcH/A :04/07/07 23:02
今、気がついたんだが、63はどぶろくだなぁ…(w
ホントは62だが、まぁ、これから変えるのもなんなんで。
>>101
>Diffie-Hellman鍵交換プロトコルで二つの鍵A,Bを交換します。
>そしてgcd(A,B)=Gを求めます。
>A/G,B*Gをそれぞれa,bとしてL=a*bとなります。
これなんだが、あんまりよくないんじゃないかな。
まず、狙った範囲のLを出すのが難しいんじゃない?
DH鍵交換してみたはいいが、AとBがとても大きな因数を持ってたりどっちかが極端に小さかったりしたら、DHをやり直すの?
もしかして、鍵交換終えるまで、Nがいくつにならないか分かりません、とかいう新手の仕様か?
少なくとも、これでは実装出来ないと思うよ。
特に凄まじく弱い鍵が排除しないという仕様なら、そういう風に判断するが。
例えば、1024bitで4つに分けたとしたら、DHで交換するのは、256bit程度でしょ?
これは、離散対数問題が困難とは言い切れない程度になるな。
もっと大きな値で交換して、ハッシュかなんかで変換して、っていうのなら、ちゃんとそう書かなきゃ。
もう脳内は勘弁してね。
なので、
>>・nが与えられたときのLを生成する確率的アルゴリズム
>これは改良した方法で大丈夫ではないでしょうか?
は、全然大丈夫ではないと思います。
ホントは62だが、まぁ、これから変えるのもなんなんで。
>>101
>Diffie-Hellman鍵交換プロトコルで二つの鍵A,Bを交換します。
>そしてgcd(A,B)=Gを求めます。
>A/G,B*Gをそれぞれa,bとしてL=a*bとなります。
これなんだが、あんまりよくないんじゃないかな。
まず、狙った範囲のLを出すのが難しいんじゃない?
DH鍵交換してみたはいいが、AとBがとても大きな因数を持ってたりどっちかが極端に小さかったりしたら、DHをやり直すの?
もしかして、鍵交換終えるまで、Nがいくつにならないか分かりません、とかいう新手の仕様か?
少なくとも、これでは実装出来ないと思うよ。
特に凄まじく弱い鍵が排除しないという仕様なら、そういう風に判断するが。
例えば、1024bitで4つに分けたとしたら、DHで交換するのは、256bit程度でしょ?
これは、離散対数問題が困難とは言い切れない程度になるな。
もっと大きな値で交換して、ハッシュかなんかで変換して、っていうのなら、ちゃんとそう書かなきゃ。
もう脳内は勘弁してね。
なので、
>>・nが与えられたときのLを生成する確率的アルゴリズム
>これは改良した方法で大丈夫ではないでしょうか?
は、全然大丈夫ではないと思います。
105 :白シャツ:04/07/07 23:07
>>101
>Diffie-Hellman鍵交換プロトコルで二つの鍵A,Bを交換します。
これ意味がわからない。どういうこと?
ていうか何がしたい?
>>103
>ただし、a'∈Z/aZ,b'∈Z/bZ,c'∈Z/cZ,d'∈Z/dZ
これは方式で定義してありましたね。
>Diffie-Hellman鍵交換プロトコルで二つの鍵A,Bを交換します。
これ意味がわからない。どういうこと?
ていうか何がしたい?
>>103
>ただし、a'∈Z/aZ,b'∈Z/bZ,c'∈Z/cZ,d'∈Z/dZ
これは方式で定義してありましたね。
107 :梅どぶろく ◆21Da3ggG3M :04/07/08 00:18
>>104
>まず、狙った範囲のLを出すのが難しいんじゃない?
>DH鍵交換してみたはいいが、AとBがとても大きな因数を持ってたり
>どっちかが極端に小さかったりしたら、DHをやり直すの?
今実験中です。
どっちかが極端に小さければa'+1=0になる回数が多くなるわけです。
そうすれば解読するのに邪魔になると思うんですが、
なんだったらデフォルトで2,3は基数に含めるなどとしてもいいわけで
>Diffie-Hellman鍵交換プロトコルで二つの鍵A,Bを交換します。
>これ意味がわからない。どういうこと?
>ていうか何がしたい?
D-H鍵交換プロトコルを二回繰り返すってことです。
省略した説明でごめんなさい。
>もっと大きな値で交換して、ハッシュかなんかで変換して、っていうのなら、ちゃんとそう書かなきゃ。
そこまで考えていませんでした。
>もう脳内は勘弁してね。
大丈夫です。もう脳内の考えは出しつくしました
新しい考えが出てくる可能性はありますけど
>まず、狙った範囲のLを出すのが難しいんじゃない?
>DH鍵交換してみたはいいが、AとBがとても大きな因数を持ってたり
>どっちかが極端に小さかったりしたら、DHをやり直すの?
今実験中です。
どっちかが極端に小さければa'+1=0になる回数が多くなるわけです。
そうすれば解読するのに邪魔になると思うんですが、
なんだったらデフォルトで2,3は基数に含めるなどとしてもいいわけで
>Diffie-Hellman鍵交換プロトコルで二つの鍵A,Bを交換します。
>これ意味がわからない。どういうこと?
>ていうか何がしたい?
D-H鍵交換プロトコルを二回繰り返すってことです。
省略した説明でごめんなさい。
>もっと大きな値で交換して、ハッシュかなんかで変換して、っていうのなら、ちゃんとそう書かなきゃ。
そこまで考えていませんでした。
>もう脳内は勘弁してね。
大丈夫です。もう脳内の考えは出しつくしました
新しい考えが出てくる可能性はありますけど
108 :白シャツ:04/07/08 00:32
>>106 とりあえず本屋でもう一回立ち読みします。
>>107
>D-H鍵交換プロトコルを二回繰り返すってことです。
L=abcdでa,b,c,dは素数の冪だったんでしょ。
A,Bを交換ってだからA,Bは何?
とりあれず出来たLの条件は最初のでOKなの?
>>107
>D-H鍵交換プロトコルを二回繰り返すってことです。
L=abcdでa,b,c,dは素数の冪だったんでしょ。
A,Bを交換ってだからA,Bは何?
とりあれず出来たLの条件は最初のでOKなの?
109 :63 ◆oYI7WOcH/A :04/07/08 01:49
ちなみに、DHは鍵交換ではなく、鍵共有だな。
だから、>>105,108のような疑問がわいてくる。
まぁ、とりあえず、仕様が固まったら教えてね。
上の推奨パラメータとそのパフォーマンスも。
既存の100倍ぐらいパフォーマンスと安全性が悪くても、考えてみるよ。
でも残念ながら一般的な解読法を適用した場合に、10^2倍ぐらい簡単に解けるし、
必要なメモリ量(ハードウェア実装したときは、基盤の規模に直結する)は、10^3倍ぐらいかかるし、
同じデータを暗号化するのに10^4倍ぐらい時間がかかると思う。
このめちゃくちゃな予想を、「よく」裏切るような実験データを期待してるよ。
だから、>>105,108のような疑問がわいてくる。
まぁ、とりあえず、仕様が固まったら教えてね。
上の推奨パラメータとそのパフォーマンスも。
既存の100倍ぐらいパフォーマンスと安全性が悪くても、考えてみるよ。
でも残念ながら一般的な解読法を適用した場合に、10^2倍ぐらい簡単に解けるし、
必要なメモリ量(ハードウェア実装したときは、基盤の規模に直結する)は、10^3倍ぐらいかかるし、
同じデータを暗号化するのに10^4倍ぐらい時間がかかると思う。
このめちゃくちゃな予想を、「よく」裏切るような実験データを期待してるよ。
110 :白シャツ:04/07/08 02:12
>>109
いや、DHで鍵共有するとして、
>そしてgcd(A,B)=Gを求めます。
>A/G,B*Gをそれぞれa,bとしてL=a*bとなります。
となってます。a,bが異なる素数の冪なるようにするなら
p,qを素数として
A=p^x*q^y, B=q^z かつ y<=Z じゃないとダメですよね。
そうなるとp,qが最初から双方でわからないとダメでしょ。
意味わからん。
私も人のこと言えませんが、>>63 -1さんも奇特な人ですね。
あと>>77さんも。このスレ現状4人で回ってるような。
いや、DHで鍵共有するとして、
>そしてgcd(A,B)=Gを求めます。
>A/G,B*Gをそれぞれa,bとしてL=a*bとなります。
となってます。a,bが異なる素数の冪なるようにするなら
p,qを素数として
A=p^x*q^y, B=q^z かつ y<=Z じゃないとダメですよね。
そうなるとp,qが最初から双方でわからないとダメでしょ。
意味わからん。
私も人のこと言えませんが、>>63 -1さんも奇特な人ですね。
あと>>77さんも。このスレ現状4人で回ってるような。
111 :63 ◆oYI7WOcH/A :04/07/08 03:11
>>110
例のアレだ。仕様変更。固まるまで待ってやれ。
奇特っていうか、暇なんだよね。トルネコ3のあいまに見てる。
何を血迷ったか、暗号解読コンテスト!とか銘打って、Certicomみたいに賞金かけたり何かしないかなぁ〜なんて。
もう少し人間的な生活をせねば。
>>どぶろく
ちなみにやろうとしているのは、どぶろく暗号(勝手に命名)がいかに「ダメ」かってのを、
・誰もがなっとく出来る理由付きで
・自分が苦労せず(計算したり査読したりせず)
・最終的にはどぶろく自身の手で
示そうってこと。
何の理由も示さず「そんなんダメだ」っていう嫌な大人は嫌いでしょ?
悪気は…ある。楽しんでるからね。だから、指示に従う必要は全くないよ。
でも、どれも妥当(そうに見えるでしょ?)な指示・情報開示要求だから
「誰にも見向きもされないから絶対に安全な暗号」になりかねんが。
なはは、それはそれですごいかもしれん。
例のアレだ。仕様変更。固まるまで待ってやれ。
奇特っていうか、暇なんだよね。トルネコ3のあいまに見てる。
何を血迷ったか、暗号解読コンテスト!とか銘打って、Certicomみたいに賞金かけたり何かしないかなぁ〜なんて。
もう少し人間的な生活をせねば。
>>どぶろく
ちなみにやろうとしているのは、どぶろく暗号(勝手に命名)がいかに「ダメ」かってのを、
・誰もがなっとく出来る理由付きで
・自分が苦労せず(計算したり査読したりせず)
・最終的にはどぶろく自身の手で
示そうってこと。
何の理由も示さず「そんなんダメだ」っていう嫌な大人は嫌いでしょ?
悪気は…ある。楽しんでるからね。だから、指示に従う必要は全くないよ。
でも、どれも妥当(そうに見えるでしょ?)な指示・情報開示要求だから
「誰にも見向きもされないから絶対に安全な暗号」になりかねんが。
なはは、それはそれですごいかもしれん。
112 :白シャツ:04/07/08 03:38
>>111
仕様変更待ってたら暇つぶしができないじゃないですか(w
暇ってわりにはやけにお詳しいようですね。
ところで、
>>55 のC'→Cのアルゴリズムどおりにやると
Cは0<=C<Lでおさまるのか気になるんですが、どうなってるの?
>>96
>Cの値が一定にならない確率暗号みたいな仕様を目指しているのかなと思ってた。
>でも、際限なく増えていくので、これはあんまり良くないな。
ってことなんで気になって。
これ解析する気はないし。どぶろく氏に宿題。
普通に考えたらCRTで終わりなんだけど。
仕様変更待ってたら暇つぶしができないじゃないですか(w
暇ってわりにはやけにお詳しいようですね。
ところで、
>>55 のC'→Cのアルゴリズムどおりにやると
Cは0<=C<Lでおさまるのか気になるんですが、どうなってるの?
>>96
>Cの値が一定にならない確率暗号みたいな仕様を目指しているのかなと思ってた。
>でも、際限なく増えていくので、これはあんまり良くないな。
ってことなんで気になって。
これ解析する気はないし。どぶろく氏に宿題。
普通に考えたらCRTで終わりなんだけど。
113 :132人目の素数さん:04/07/08 03:51
114 :63 ◆oYI7WOcH/A :04/07/08 04:37
>>112
>Cは0<=C<Lでおさまるのか気になるんですが、どうなってるの?
それは、mod Lで考えればいいんじゃない?
一意性は保証されてるんだから影響を与えないでしょ。
ここは、数学家さんが考えることであって、暗号屋さんが考えることではない。
有名どころの対称鍵暗号アルゴリズムで確率暗号って聞いたことがない。
まぁ、実用上、データサイズが増えるのはよろしくないし、圧縮も効かないから扱いにくいんだろうなぁ。
公開鍵暗号系みたいに、扱うデータサイズが極小ならいいけど。
モードをECB以外にすれば、確率暗号が期待する効果を発揮出来るし。
サイズを大きくすることを上回るメリットが見えない。
折角、Mの取る範囲を制限してるんだから、完全性を判別出来るプロトコルもあれば面白いな。
今、暗号鍵とサブ鍵みたいなのがあって、
暗号鍵を知っていれば、勿論解読出来る。
サブ鍵を知っていれば、その暗号文が、(でたらめな値ではなく)正当な暗号文であるかどうかを判別出来る。
っていう系を作ることが出来れば面白いかなっと思ったが、一瞬で出来てしまった。
暇つぶしにはならんなぁ。
そもそもCRTがなぜChineseなのかが気になってしょうがない。
「昔の中国では、軍隊で人を綺麗に並べるときに使ったらしいよ」
と聞いて、そのときは、すごーいと思ったが、よく考えたら、CRTの言いたいことが、
なぜ、綺麗に並べるときに使えるのかがわからん・・・。
>Cは0<=C<Lでおさまるのか気になるんですが、どうなってるの?
それは、mod Lで考えればいいんじゃない?
一意性は保証されてるんだから影響を与えないでしょ。
ここは、数学家さんが考えることであって、暗号屋さんが考えることではない。
有名どころの対称鍵暗号アルゴリズムで確率暗号って聞いたことがない。
まぁ、実用上、データサイズが増えるのはよろしくないし、圧縮も効かないから扱いにくいんだろうなぁ。
公開鍵暗号系みたいに、扱うデータサイズが極小ならいいけど。
モードをECB以外にすれば、確率暗号が期待する効果を発揮出来るし。
サイズを大きくすることを上回るメリットが見えない。
折角、Mの取る範囲を制限してるんだから、完全性を判別出来るプロトコルもあれば面白いな。
今、暗号鍵とサブ鍵みたいなのがあって、
暗号鍵を知っていれば、勿論解読出来る。
サブ鍵を知っていれば、その暗号文が、(でたらめな値ではなく)正当な暗号文であるかどうかを判別出来る。
っていう系を作ることが出来れば面白いかなっと思ったが、一瞬で出来てしまった。
暇つぶしにはならんなぁ。
そもそもCRTがなぜChineseなのかが気になってしょうがない。
「昔の中国では、軍隊で人を綺麗に並べるときに使ったらしいよ」
と聞いて、そのときは、すごーいと思ったが、よく考えたら、CRTの言いたいことが、
なぜ、綺麗に並べるときに使えるのかがわからん・・・。
115 :梅どぶろく ◆rM4QWlepe6 :04/07/08 09:46
すいません、全くの別口ですが、
GCD(a, n) = G(G≠1)
のとき
ax-ny=1を満たす
x,yを求めるのは難しいですか?
GCD(a, n) = G(G≠1)
のとき
ax-ny=1を満たす
x,yを求めるのは難しいですか?
116 :梅どぶろく ◆21Da3ggG3M :04/07/08 09:46
↑は私です。
トリップ間違えました。
すいません。
トリップ間違えました。
すいません。
117 :132人目の素数さん:04/07/08 10:03
118 :梅どぶろく ◆21Da3ggG3M :04/07/08 12:43
>>117
・・・
存在しないじゃないですか!!
ものすごーーーーく難しいっていったら
難しいけど、求めることはできると思って
考えていったら
GCD(a,n)=G(G≠1)のとき
G(Ax-Ny)=1とあらわせて
Gは整数であるから
x,yは存在しない・・・
やられました。
・・・
存在しないじゃないですか!!
ものすごーーーーく難しいっていったら
難しいけど、求めることはできると思って
考えていったら
GCD(a,n)=G(G≠1)のとき
G(Ax-Ny)=1とあらわせて
Gは整数であるから
x,yは存在しない・・・
やられました。
119 :63 ◆oYI7WOcH/A :04/07/08 14:07
120 :白シャツ:04/07/08 22:13
114>>
>>Cは0<=C<Lでおさまるのか気になるんですが、どうなってるの?
>それは、mod Lで考えればいいんじゃない?
脳内仕様の確認したかっただけです。
仕様はどうなった?>どぶろく氏
L=abcdなの? 途中からL=abになってるけど。
検証の手間がかかるし後者の方が楽だけど。
零元の処理とか。
>一意性は保証されてるんだから影響を与えないでしょ。
>ここは、数学家さんが考えることであって、暗号屋さんが考えることではない。
数学家さんは最初から気にしないと思う。剰余類にはいってれば一緒だし。
ていうか、数学家さんって居なくなった?
>有名どころの対称鍵暗号アルゴリズムで確率暗号って聞いたことがない。
鍵共有で乱数つっこんで使い捨てにしたら
良いってことじゃないかな?
>そもそもCRTがなぜChineseなのかが気になってしょうがない。
孫子算経に載ってたらしい。孫子が考えたかどうかは謎だけど。
>>Cは0<=C<Lでおさまるのか気になるんですが、どうなってるの?
>それは、mod Lで考えればいいんじゃない?
脳内仕様の確認したかっただけです。
仕様はどうなった?>どぶろく氏
L=abcdなの? 途中からL=abになってるけど。
検証の手間がかかるし後者の方が楽だけど。
零元の処理とか。
>一意性は保証されてるんだから影響を与えないでしょ。
>ここは、数学家さんが考えることであって、暗号屋さんが考えることではない。
数学家さんは最初から気にしないと思う。剰余類にはいってれば一緒だし。
ていうか、数学家さんって居なくなった?
>有名どころの対称鍵暗号アルゴリズムで確率暗号って聞いたことがない。
鍵共有で乱数つっこんで使い捨てにしたら
良いってことじゃないかな?
>そもそもCRTがなぜChineseなのかが気になってしょうがない。
孫子算経に載ってたらしい。孫子が考えたかどうかは謎だけど。
121 :梅どぶろく ◆21Da3ggG3M :04/07/08 23:09
>>120>>114
すいませんです。
一人で実験してみたのですが、
大きな数a,bのとき
やたら下位ビットが規則的に並んでいます。
これはあきらかな弱点です。
お恥ずかしい話ではありますが、
最初どおりa,b,c,dとして
基数は複数用いるということでお願いします。
>>112
問題なしです
0<=C<Lに収まります。
C=ax+a'=by+b'=cz+c'=dw+d'
CはCをa,b,c,dで割った時の余りとして表現されています。
a,b,c,dの余りで表現できるのはabcd-1までです。
んんっとここが、最大の弱点であるわけです。
攻撃者は選択平文攻撃ででてきた
Cの最大値より大きい値が鍵Lと予想できます。
すいませんです。
一人で実験してみたのですが、
大きな数a,bのとき
やたら下位ビットが規則的に並んでいます。
これはあきらかな弱点です。
お恥ずかしい話ではありますが、
最初どおりa,b,c,dとして
基数は複数用いるということでお願いします。
>>112
問題なしです
0<=C<Lに収まります。
C=ax+a'=by+b'=cz+c'=dw+d'
CはCをa,b,c,dで割った時の余りとして表現されています。
a,b,c,dの余りで表現できるのはabcd-1までです。
んんっとここが、最大の弱点であるわけです。
攻撃者は選択平文攻撃ででてきた
Cの最大値より大きい値が鍵Lと予想できます。
122 :梅どぶろく ◆21Da3ggG3M :04/07/08 23:24
>>115の発言についてですが、
公開鍵について考えていました。
C=E*M(mod n)
M=D*C(mod n)
M=E*D*M(mod n)={E*D(mod n)}+M(mod n)
=M(mod n)
とするにはE*D(mod n)≡1にすればいい。
Eが求まるときにDを求めるのは簡単、
しかし、E,nの分かる解読者にとっても簡単
(E*D)^x≡(E^x)*(D^x)≡1 (mod n)として、
e=E^x,d=D^x(mod n)がgcd(e,n)≠1となるようにすれば
解読者はeの値からdの値を求めるのが難しい!
やった、新しい公開鍵暗号ができたんじゃないかしら
とおもって、>>115>>118のような発言にいたりました。
まあ結局は>>118にあるように無理だったんですが・・・
公開鍵について考えていました。
C=E*M(mod n)
M=D*C(mod n)
M=E*D*M(mod n)={E*D(mod n)}+M(mod n)
=M(mod n)
とするにはE*D(mod n)≡1にすればいい。
Eが求まるときにDを求めるのは簡単、
しかし、E,nの分かる解読者にとっても簡単
(E*D)^x≡(E^x)*(D^x)≡1 (mod n)として、
e=E^x,d=D^x(mod n)がgcd(e,n)≠1となるようにすれば
解読者はeの値からdの値を求めるのが難しい!
やった、新しい公開鍵暗号ができたんじゃないかしら
とおもって、>>115>>118のような発言にいたりました。
まあ結局は>>118にあるように無理だったんですが・・・
123 :梅どぶろく ◆21Da3ggG3M :04/07/08 23:26
私ごときが言うのもなんですが、
あらためてRSAのすごさを認識しました。
あらためてRSAのすごさを認識しました。
124 :白シャツ:04/07/08 23:46
>>121
>大きな数a,bのとき
>やたら下位ビットが規則的に並んでいます。
>これはあきらかな弱点です。
Why?
>問題なしです
>0<=C<Lに収まります。
>C=ax+a'=by+b'=cz+c'=dw+d'
>CはCをa,b,c,dで割った時の余りとして表現されています。
>a,b,c,dの余りで表現できるのはabcd-1までです。
0<=C<Lで一意に表現可能であるのは最初からわかっている。
C=ax+a'=by+b'=cz+c'=dw+d'を満たすCは無数に存在するけど。
>>55のアルゴリズムで0<=C<LなるCが求まるかが問題。
普通はCRTで計算するのはわかった?
>んんっとここが、最大の弱点であるわけです。
>攻撃者は選択平文攻撃ででてきた
>Cの最大値より大きい値が鍵Lと予想できます。
どういうこと?
>>122
RSAの指数部みてみなよ。
>大きな数a,bのとき
>やたら下位ビットが規則的に並んでいます。
>これはあきらかな弱点です。
Why?
>問題なしです
>0<=C<Lに収まります。
>C=ax+a'=by+b'=cz+c'=dw+d'
>CはCをa,b,c,dで割った時の余りとして表現されています。
>a,b,c,dの余りで表現できるのはabcd-1までです。
0<=C<Lで一意に表現可能であるのは最初からわかっている。
C=ax+a'=by+b'=cz+c'=dw+d'を満たすCは無数に存在するけど。
>>55のアルゴリズムで0<=C<LなるCが求まるかが問題。
普通はCRTで計算するのはわかった?
>んんっとここが、最大の弱点であるわけです。
>攻撃者は選択平文攻撃ででてきた
>Cの最大値より大きい値が鍵Lと予想できます。
どういうこと?
>>122
RSAの指数部みてみなよ。
125 :梅どぶろく ◆21Da3ggG3M :04/07/09 00:21
>>124
>>>55のアルゴリズムで0<=C<LなるCが求まるかが問題。
求まらなかったらmod Lすればいいので問題なし
>>>122
>RSAの指数部みてみなよ。
いや、何百桁もある数を何百桁乗もしているのは分かっています。
仮に、おまえもどんなのでもいいから公開鍵暗号を作ってみろ
といわれても、わたしにはできません。
それに、RSAは他の公開鍵についての情報がまったくなく
0から作り上げた暗号としてとてもすごいと思っています。
私が考える場合は既存の公開鍵暗号を参考にすることもできるわけです。
それでも、橋にも棒にもかからない不可能を証明できるような暗号しかできないのです。
>>んんっとここが、最大の弱点であるわけです。
>>攻撃者は選択平文攻撃ででてきた
>>Cの最大値より大きい値が鍵Lと予想できます。
>どういうこと?
0<=C<Lですから、適当にMを代入して出てきた
Cより小さい値は絶対Lにならないってことです。
ランダムにMを代入してみてCを集めていくと・・・
Lの候補がすこし絞れてしまう・・・
なんてことになると思ってますがどうでしょうか?
>>>55のアルゴリズムで0<=C<LなるCが求まるかが問題。
求まらなかったらmod Lすればいいので問題なし
>>>122
>RSAの指数部みてみなよ。
いや、何百桁もある数を何百桁乗もしているのは分かっています。
仮に、おまえもどんなのでもいいから公開鍵暗号を作ってみろ
といわれても、わたしにはできません。
それに、RSAは他の公開鍵についての情報がまったくなく
0から作り上げた暗号としてとてもすごいと思っています。
私が考える場合は既存の公開鍵暗号を参考にすることもできるわけです。
それでも、橋にも棒にもかからない不可能を証明できるような暗号しかできないのです。
>>んんっとここが、最大の弱点であるわけです。
>>攻撃者は選択平文攻撃ででてきた
>>Cの最大値より大きい値が鍵Lと予想できます。
>どういうこと?
0<=C<Lですから、適当にMを代入して出てきた
Cより小さい値は絶対Lにならないってことです。
ランダムにMを代入してみてCを集めていくと・・・
Lの候補がすこし絞れてしまう・・・
なんてことになると思ってますがどうでしょうか?
126 :白シャツ:04/07/09 00:48
>>125
>求まらなかったらmod Lすればいいので問題なし
えと、それは良いのだけど、CRTは調べた?
>いや、何百桁もある数を何百桁乗もしているのは分かっています。
>仮に、おまえもどんなのでもいいから公開鍵暗号を作ってみろ
>といわれても、わたしにはできません。
そういうことではなく、RSAの指数部は>>122のアイデアと一緒。
RSAとてそういう単純なことなんで
コロンブスの卵は偉大だが、がんがれってこと。
>それに、RSAは他の公開鍵についての情報がまったくなく
>0から作り上げた暗号としてとてもすごいと思っています。
DHってかわいそうだと思いませんか?
本来もっと評価されても良いはず。
>ランダムにMを代入してみてCを集めていくと・・・
>Lの候補がすこし絞れてしまう・・・
>なんてことになると思ってますがどうでしょうか?
その攻撃に意味があるのかどうかわからないんですが。
>求まらなかったらmod Lすればいいので問題なし
えと、それは良いのだけど、CRTは調べた?
>いや、何百桁もある数を何百桁乗もしているのは分かっています。
>仮に、おまえもどんなのでもいいから公開鍵暗号を作ってみろ
>といわれても、わたしにはできません。
そういうことではなく、RSAの指数部は>>122のアイデアと一緒。
RSAとてそういう単純なことなんで
コロンブスの卵は偉大だが、がんがれってこと。
>それに、RSAは他の公開鍵についての情報がまったくなく
>0から作り上げた暗号としてとてもすごいと思っています。
DHってかわいそうだと思いませんか?
本来もっと評価されても良いはず。
>ランダムにMを代入してみてCを集めていくと・・・
>Lの候補がすこし絞れてしまう・・・
>なんてことになると思ってますがどうでしょうか?
その攻撃に意味があるのかどうかわからないんですが。
127 :梅どぶろく ◆21Da3ggG3M :04/07/09 01:05
>>>121
>>大きな数a,bのとき
>>やたら下位ビットが規則的に並んでいます。
>>これはあきらかな弱点です。
>Why?
http://do.sakura.ne.jp/~junkroom/cgi-bin/megabbs/readres.cgi?bo=lounge&vi=1088921677
に実験結果をupしてます
見てみてください。
以下一例
3e-3d
=1631f819d3e2bfe8-1631f819898f0764
=4A53B884
3d-3c
=1631f819898f0764-1631f8193f3b4ee0
=4A53B884
54e-54d
=92dbb8db5c15831-92dbb8d6b6d9fad
=4A53B884
ってなるんですがだめですよね?
>>大きな数a,bのとき
>>やたら下位ビットが規則的に並んでいます。
>>これはあきらかな弱点です。
>Why?
http://do.sakura.ne.jp/~junkroom/cgi-bin/megabbs/readres.cgi?bo=lounge&vi=1088921677
に実験結果をupしてます
見てみてください。
以下一例
3e-3d
=1631f819d3e2bfe8-1631f819898f0764
=4A53B884
3d-3c
=1631f819898f0764-1631f8193f3b4ee0
=4A53B884
54e-54d
=92dbb8db5c15831-92dbb8d6b6d9fad
=4A53B884
ってなるんですがだめですよね?
128 :白シャツ:04/07/09 01:21
>>127
聞き方がまずかった。
何がやりたくて何をやったかサッパリわからない。
結果だけ出されてもわからないでしょ。
それと、M→C'は平文に制限のあるカエサル暗号みたいだから、
この部分を真カエサル暗号にしてC'→Cでカエサル暗号を強化
しました、みたいなのを提案するとずっと受けは良いと思うんだがどうよ?
まぁ次回作のプランってことでよいか。
聞き方がまずかった。
何がやりたくて何をやったかサッパリわからない。
結果だけ出されてもわからないでしょ。
それと、M→C'は平文に制限のあるカエサル暗号みたいだから、
この部分を真カエサル暗号にしてC'→Cでカエサル暗号を強化
しました、みたいなのを提案するとずっと受けは良いと思うんだがどうよ?
まぁ次回作のプランってことでよいか。
129 :梅どぶろく ◆21Da3ggG3M :04/07/09 01:29
130 :63 ◆oYI7WOcH/A :04/07/09 02:26
131 :白シャツ:04/07/09 02:41
132 :132人目の素数さん:04/07/09 07:07
数学も流行病に侵されるようになったんだね。
暗号の数理も、今のように大勢が群がってやらねばならないような
分野なんかじゃ無いはずだ。細く長く根気良く続けるのならともかく。
暗号の数理も、今のように大勢が群がってやらねばならないような
分野なんかじゃ無いはずだ。細く長く根気良く続けるのならともかく。
133 :63 ◆oYI7WOcH/A :04/07/09 16:59
>>132
数学者が群がっているわけではないのが、救いかな。
確かに、情報セキュリティのかけらも分かってない数学者が、
実用性のないイタい暗号系を作っているが、まぁ、もう、ブームは過ぎたと思うよ。
またすぐに流行とは無縁な世間から隔絶された数学の世界に戻るよ。
数学者が群がっているわけではないのが、救いかな。
確かに、情報セキュリティのかけらも分かってない数学者が、
実用性のないイタい暗号系を作っているが、まぁ、もう、ブームは過ぎたと思うよ。
またすぐに流行とは無縁な世間から隔絶された数学の世界に戻るよ。
134 :白シャツ:04/07/09 20:10
135 :132人目の素数さん:04/07/09 23:50
もうお嫁に行けない!
136 :梅どぶろく ◆21Da3ggG3M :04/07/10 15:46
>何がやりたくて何をやったかサッパリわからない。
>結果だけ出されてもわからないでしょ。
やりたかったのは
巨大な互いに素である数の積をLとした時に
平文と暗号文の間になんらかの関係があるか調べたかったのです。
そして実験をしてみて
暗号文には偏りが生じていると思いました。
>why?
暗号では雪崩効果が必要と読みました。
差が一定なのも問題だと思っています。
どこかで差が変わると思うのですが
そこを攻撃されるとLの要素であるa,bが推測されやすくなると思います。
>結果だけ出されてもわからないでしょ。
やりたかったのは
巨大な互いに素である数の積をLとした時に
平文と暗号文の間になんらかの関係があるか調べたかったのです。
そして実験をしてみて
暗号文には偏りが生じていると思いました。
>why?
暗号では雪崩効果が必要と読みました。
差が一定なのも問題だと思っています。
どこかで差が変わると思うのですが
そこを攻撃されるとLの要素であるa,bが推測されやすくなると思います。
137 :132人目の素数さん:04/07/10 18:18
やっぱりある程度の数学的素養がないと辛いんでないかな。
遠回りのようだけど代数系の基礎から一通りやったほうがいいかも
遠回りのようだけど代数系の基礎から一通りやったほうがいいかも
138 :132人目の素数さん:04/07/10 19:06
どぶろくさんへ質問
>C'=(((dd+d")c+c")b+b")a+a"
>となります。
>a,a",b,b",c,c",d,d"を用いて
>C=aX+a"=bY+b"=cZ+c"=dW+d"(X,Y…同上)
>となるCを求めます。
X, Y, Z,, Wの求め方が同上では分かりません
ここもそこまでの部分と同じように文章にしてください
>C'=(((dd+d")c+c")b+b")a+a"
>となります。
>a,a",b,b",c,c",d,d"を用いて
>C=aX+a"=bY+b"=cZ+c"=dW+d"(X,Y…同上)
>となるCを求めます。
X, Y, Z,, Wの求め方が同上では分かりません
ここもそこまでの部分と同じように文章にしてください
139 :132人目の素数さん:04/07/10 19:17
もう一個質問
>cZ+c"=dW+d"…壱
>となる最小の値を(cd)"とします。
最小となる「何の」値を(cd)''とするのですか?
他の最小とかいてある部分も。
読み解く必要が無いような記述でお願いします。
>cZ+c"=dW+d"…壱
>となる最小の値を(cd)"とします。
最小となる「何の」値を(cd)''とするのですか?
他の最小とかいてある部分も。
読み解く必要が無いような記述でお願いします。
>cZ+c"=dW+d"…壱
>となる最小の値を(cd)"とします
これって
等式 壱:cZ+c''=dW+d'' を満たすようなZ,Wを
cZ+c'' (=dW+d'') が最小になるようにとり、
またそのときの cZ+c'' (=dW+d'') の値を (cd)'' とする
ということでいいかな?てことは
>C=aX+a"=bY+b"=cZ+c"=dW+d"
>となるCを求めます
ってのは、これらの等式が成りたつようなX,Y,Z,Wを
Cが最小になるようにとるってことでいい?
そうなら、a,a'',・・・,d,d''からC,X,Y,Z,Wを求めるということかい?
どちらにせよ「X,Y…同上」の何が同上か分からん・・・
>となる最小の値を(cd)"とします
これって
等式 壱:cZ+c''=dW+d'' を満たすようなZ,Wを
cZ+c'' (=dW+d'') が最小になるようにとり、
またそのときの cZ+c'' (=dW+d'') の値を (cd)'' とする
ということでいいかな?てことは
>C=aX+a"=bY+b"=cZ+c"=dW+d"
>となるCを求めます
ってのは、これらの等式が成りたつようなX,Y,Z,Wを
Cが最小になるようにとるってことでいい?
そうなら、a,a'',・・・,d,d''からC,X,Y,Z,Wを求めるということかい?
どちらにせよ「X,Y…同上」の何が同上か分からん・・・
連続ですまんが>140は違うみたいね
142 :梅どぶろく ◆21Da3ggG3M :04/07/10 23:04
>X, Y, Z,, Wの求め方が同上では分かりません
>ここもそこまでの部分と同じように文章にしてください
ほんとすいません求め方が同じというわけではなく
M=ax+a'=by+b'=cz+c'=dw+d'
(豆数a,b,c,dの余りで表現できる数は0からL-1です)
(x,y,z,wは0以上の整数、Mの範囲は0<=M<Lとする)
C=aX+a"=bY+b"=cZ+c"=dW+d"(X,Y…同上)
は、上にあるようにX,Y,Z,Wの範囲が同上(X,Y,Z,Wは0以上の整数)
といいたかったのです。
レスをまたがってしまってすみません
>最小となる「何の」値を(cd)''とするのですか?
最小となる正の数を(cd)"とする
です。
>ここもそこまでの部分と同じように文章にしてください
ほんとすいません求め方が同じというわけではなく
M=ax+a'=by+b'=cz+c'=dw+d'
(豆数a,b,c,dの余りで表現できる数は0からL-1です)
(x,y,z,wは0以上の整数、Mの範囲は0<=M<Lとする)
C=aX+a"=bY+b"=cZ+c"=dW+d"(X,Y…同上)
は、上にあるようにX,Y,Z,Wの範囲が同上(X,Y,Z,Wは0以上の整数)
といいたかったのです。
レスをまたがってしまってすみません
>最小となる「何の」値を(cd)''とするのですか?
最小となる正の数を(cd)"とする
です。
a,b,c,dは最初に用意しておく
Mが与えられたとする
a', b', c', d', x, y, z, w は M, a, b, c, d から計算で求まる
C' は a, b, c, d, a', b', c', d' から計算で求まる
aa, a'', bb, b'', cc, c'', dd, d'' は C', a, b, c, d, から 計算で求まる
C は a, a'', b, b'', c, c'', d, d'', X, Y, Z, W, から計算で求まる
けど X, Y, Z, W の求め方や条件が不明
X, Y, Z, Wの条件は0以上の整数というだけなら
Cは一意に定まらないけどそれでもいいということ?
Mが与えられたとする
a', b', c', d', x, y, z, w は M, a, b, c, d から計算で求まる
C' は a, b, c, d, a', b', c', d' から計算で求まる
aa, a'', bb, b'', cc, c'', dd, d'' は C', a, b, c, d, から 計算で求まる
C は a, a'', b, b'', c, c'', d, d'', X, Y, Z, W, から計算で求まる
けど X, Y, Z, W の求め方や条件が不明
X, Y, Z, Wの条件は0以上の整数というだけなら
Cは一意に定まらないけどそれでもいいということ?
144 :132人目の素数さん:04/07/10 23:46
>最小となる正の数を(cd)"とする です。
というか、最小となる正の数が
Zのことなのか、Wのことなのか、cZ+c''のことなのかということです
例えば「等式※ 2*s+3=3*u+5となる最小の(1以上の)整数をRとします」といった場合、
この等式を満たすs,tの組は(4, 2), (7, 4), (10, 6), ・・・とありますが、
最小といっているので多分ペア(4, 2)に関係あるということまでは分かりますが、
Rがsである4なのか、tである2なのか、2*s+3(=3*u+5)である11なのか
どれを指しているのかわからないということです
Rが※となる最小のsなら4だし、最小のtなら2、最小の2*s+3なら11と分かります
というか、最小となる正の数が
Zのことなのか、Wのことなのか、cZ+c''のことなのかということです
例えば「等式※ 2*s+3=3*u+5となる最小の(1以上の)整数をRとします」といった場合、
この等式を満たすs,tの組は(4, 2), (7, 4), (10, 6), ・・・とありますが、
最小といっているので多分ペア(4, 2)に関係あるということまでは分かりますが、
Rがsである4なのか、tである2なのか、2*s+3(=3*u+5)である11なのか
どれを指しているのかわからないということです
Rが※となる最小のsなら4だし、最小のtなら2、最小の2*s+3なら11と分かります
145 :梅どぶろく ◆21Da3ggG3M :04/07/10 23:50
C=aX+a"=bY+b"=cZ+c"=dW+d"(X,Y,Z,Wは0以上の整数)
となる最小の正の数Cを求めます。
cZ+c"=dW+d"
となる最小の正の数を(cd)"とすると
(c*d)V+(cd)"=cZ+c"=dW+d"
となります。今度は
bY+b"=(c*d)V+(cd)"
となる最小の正の数を(bcd)"とすると
aX+a"=(b*c*d)U+(bcd)"
・・・以下同じ・・・
拡張ユークリッドの互除法を繰り返していけばOK
となる最小の正の数Cを求めます。
cZ+c"=dW+d"
となる最小の正の数を(cd)"とすると
(c*d)V+(cd)"=cZ+c"=dW+d"
となります。今度は
bY+b"=(c*d)V+(cd)"
となる最小の正の数を(bcd)"とすると
aX+a"=(b*c*d)U+(bcd)"
・・・以下同じ・・・
拡張ユークリッドの互除法を繰り返していけばOK
146 :132人目の素数さん:04/07/10 23:53
147 :梅どぶろく ◆21Da3ggG3M :04/07/10 23:53
>例えば「等式※ 2*s+3=3*u+5となる最小の(1以上の)整数をRとします」といった場合、
>この等式を満たすs,tの組は(4, 2), (7, 4), (10, 6), ・・・とありますが、
この等式を満たす最小の正の数です。
等式※なら私が言っている最小の正の数は11となります。
>この等式を満たすs,tの組は(4, 2), (7, 4), (10, 6), ・・・とありますが、
この等式を満たす最小の正の数です。
等式※なら私が言っている最小の正の数は11となります。
148 :梅どぶろく ◆21Da3ggG3M :04/07/10 23:54
>>146さん
そうです、その通りです。
そうです、その通りです。
149 :138=144=146:04/07/10 23:56
ども、読んでみます
およ?
S=cZ+c"=dW+d" となる最小の正の数 S を (cd)'' とする
(つまりSが最小になるようにZ, Wをとったとする)と、結局
(cd)''=cZ+c''=dW+d''
だよね? じゃあ
(c*d)V+(cd)"=cZ+c"=dZ+d''
の(c*d)Vは c, d not= 0 だからV=0じゃないの?
S=cZ+c"=dW+d" となる最小の正の数 S を (cd)'' とする
(つまりSが最小になるようにZ, Wをとったとする)と、結局
(cd)''=cZ+c''=dW+d''
だよね? じゃあ
(c*d)V+(cd)"=cZ+c"=dZ+d''
の(c*d)Vは c, d not= 0 だからV=0じゃないの?
Vは>145の記法ね
>55の記法ではZ_W
>55の記法ではZ_W
152 :132人目の素数さん:04/07/11 00:18
質問ばかりですまんですけど、
今度は細かいことではなくて大雑把に聞きたいんですけど、
a, b, c, dそれぞれでMを割り、式を比較してというような操作が繰り返されますよね?
なぜa〜dの4つであり、a, b, cの3つや、a〜eの5つではないのでしょうか?
4で暗号として十分であるのか、また3では問題があるのか?等を聞いてみたいです。
今度は細かいことではなくて大雑把に聞きたいんですけど、
a, b, c, dそれぞれでMを割り、式を比較してというような操作が繰り返されますよね?
なぜa〜dの4つであり、a, b, cの3つや、a〜eの5つではないのでしょうか?
4で暗号として十分であるのか、また3では問題があるのか?等を聞いてみたいです。
153 :132人目の素数さん:04/07/11 00:43
ぶっちゃAが旅をした。
最初に寄ったのはK町にいるぶっちゃBの家。そこでの賄いはキャベツ3つ。
次に寄ったのはF市にいるぶっちゃIの家。そこではベッドを4つ借りて就寝。
翌日になり、初めに寄ったのはL村のぶっちゃWの家。そこでは8台のテレビで映画鑑賞をした。
この後、ぶっちゃAはどこへ行ってどんな事をするでしょうか?
最初に寄ったのはK町にいるぶっちゃBの家。そこでの賄いはキャベツ3つ。
次に寄ったのはF市にいるぶっちゃIの家。そこではベッドを4つ借りて就寝。
翌日になり、初めに寄ったのはL村のぶっちゃWの家。そこでは8台のテレビで映画鑑賞をした。
この後、ぶっちゃAはどこへ行ってどんな事をするでしょうか?
154 :梅どぶろく ◆21Da3ggG3M :04/07/11 00:48
そうですよ
そこでは(cd)"を求めるのを何度も繰り返して
Cを求めるのが目的ですから。
M=ax+a'=by+b'=cz+c'=dw+d'
のとき、a,a',b,b',c,c',d,d'と
拡張ユークリッドを用いてMを求めた時に
M=(a*b*c*d)*T+M
となります。
このとき当然T=0となります。
だからV=0でも問題ありません。
そこでは(cd)"を求めるのを何度も繰り返して
Cを求めるのが目的ですから。
M=ax+a'=by+b'=cz+c'=dw+d'
のとき、a,a',b,b',c,c',d,d'と
拡張ユークリッドを用いてMを求めた時に
M=(a*b*c*d)*T+M
となります。
このとき当然T=0となります。
だからV=0でも問題ありません。
155 :梅どぶろく ◆21Da3ggG3M :04/07/11 00:50
別に4つでなくてもかまいません。
ただの例示として示しただけですから。
深読みのしすぎでつ
ただの例示として示しただけですから。
深読みのしすぎでつ
う〜ん、次ステップで分からなくなりました。
@ bY+b"=(c*d)V+(cd)" となる最小の正の数 bY+b'' を (bcd)" とすると
から始めて
C bY+b"=(c*d)V+(cd)"=(b*c*d)U+(bcd)" (Uは0以上の整数)
となる表示を求めるんでしょうけど出来ません。
55の場合Z, Wともこれから求める値であったのに対して、
今回はVは既に定まったあたいであり、欲しい値はUだけですよね?
この@〜C部分を>55形式で書いていただけませんか?
@ bY+b"=(c*d)V+(cd)" となる最小の正の数 bY+b'' を (bcd)" とすると
から始めて
C bY+b"=(c*d)V+(cd)"=(b*c*d)U+(bcd)" (Uは0以上の整数)
となる表示を求めるんでしょうけど出来ません。
55の場合Z, Wともこれから求める値であったのに対して、
今回はVは既に定まったあたいであり、欲しい値はUだけですよね?
この@〜C部分を>55形式で書いていただけませんか?
157 :梅どぶろく ◆21Da3ggG3M :04/07/11 01:43
いえ、Vは変わります。
たとえば、a=2,b=3,c=5のときabc-1=29
つまり、0-29をa',b',c'であらわせるわけです
23=2x+1=3y+2=5z+3です
3y+2=5z+3となる最小の正の数は8です。
8=15w+8でw=0ですが、
2x+1=15w+8となる最小の正の数を求めるときには
w=1です。
これは23となり元に戻りました。
たとえば、a=2,b=3,c=5のときabc-1=29
つまり、0-29をa',b',c'であらわせるわけです
23=2x+1=3y+2=5z+3です
3y+2=5z+3となる最小の正の数は8です。
8=15w+8でw=0ですが、
2x+1=15w+8となる最小の正の数を求めるときには
w=1です。
これは23となり元に戻りました。
158 :132人目の素数さん:04/07/11 03:07
>>157
すみませんが、157の例のa,b,c等が>156のb,c,dのどれに対応しているのでしょうか?
>55ではlabel間を繰り返すように書いてありますが、再帰処理を行う場合、
1ループ目で求めた値を2ループ目の初期値としてセットし、
2ループ目で求めた値を3ループ目の初期値としてセットし、
と繰り返して最終値を求めていきますよね。
今回の場合まず最初に、cZ+c"=dW+d" となる最小のcZ+c''の値を(cd)''として
cd*Z_W+(cd)"=cZ+c"=dW+d" という表示 (つまり整数Z_W) を求め、
次にこの表示 (つまりZ_W) を利用し、cd*Z_W+(cd)"=bY+b" となるような最小の値を(bcd)"として、
bY+b"=cd*Z_W+(cd)"=bcd*Y_Z_W+(bcd)" という表示 (つまり整数Y_Z_W)を求めて
と繰り返していくのではないのですか?
あと、違うとは思いますが、
>55の「となる最小の値を(cd)"とします」は
「となる最小の値を(cd)"をこれから求めていきます」ではないですよね
すみませんが、157の例のa,b,c等が>156のb,c,dのどれに対応しているのでしょうか?
>55ではlabel間を繰り返すように書いてありますが、再帰処理を行う場合、
1ループ目で求めた値を2ループ目の初期値としてセットし、
2ループ目で求めた値を3ループ目の初期値としてセットし、
と繰り返して最終値を求めていきますよね。
今回の場合まず最初に、cZ+c"=dW+d" となる最小のcZ+c''の値を(cd)''として
cd*Z_W+(cd)"=cZ+c"=dW+d" という表示 (つまり整数Z_W) を求め、
次にこの表示 (つまりZ_W) を利用し、cd*Z_W+(cd)"=bY+b" となるような最小の値を(bcd)"として、
bY+b"=cd*Z_W+(cd)"=bcd*Y_Z_W+(bcd)" という表示 (つまり整数Y_Z_W)を求めて
と繰り返していくのではないのですか?
あと、違うとは思いますが、
>55の「となる最小の値を(cd)"とします」は
「となる最小の値を(cd)"をこれから求めていきます」ではないですよね
159 :132人目の素数さん:04/07/11 03:15
あかん駄目だ、他力本願でいきますが、
63さん、白シャツさんは >55 のC'⇒C の手続きわかります?
お分かりでしたら教えていただけませんか?
63さん、白シャツさんは >55 のC'⇒C の手続きわかります?
お分かりでしたら教えていただけませんか?
160 :白シャツ:04/07/11 07:15
161 :白シャツ:04/07/11 07:37
162 :名無しさん@そうだ選挙に行こう:04/07/11 08:17
中国剰余定理だ。まあ意味は同じだが。
数学科なら群論の初歩で必ずやるから
絶対に知ってる
数学科なら群論の初歩で必ずやるから
絶対に知ってる
163 :63 ◆oYI7WOcH/A :04/07/11 12:54
>159
>>55は、おそらくプログラムを日本語に変換しようとしたみたいだけど、
プログラム2日本語がうまくいってないみたいだね。
だから、本質的なことを話すと、
C=aX+a"=bY+b"=cZ+c"=dW+d"となるCをどんな方法でもいいから(mod L)で適当に求めてやればいい。
a,b,c,dが互いに素なので、ちゃいにーずな剰余の定理からC→C'が1対1で置換されることが保証される。
その「どんな方法でも」のうちの一つが55だから、もっと自由に計算していい。
>>55は、おそらくプログラムを日本語に変換しようとしたみたいだけど、
プログラム2日本語がうまくいってないみたいだね。
だから、本質的なことを話すと、
C=aX+a"=bY+b"=cZ+c"=dW+d"となるCをどんな方法でもいいから(mod L)で適当に求めてやればいい。
a,b,c,dが互いに素なので、ちゃいにーずな剰余の定理からC→C'が1対1で置換されることが保証される。
その「どんな方法でも」のうちの一つが55だから、もっと自由に計算していい。
164 :名無しさん@そうだ選挙に行こう:04/07/11 14:15
>160, >163
ありがとうございます、そういうことならOKです
ただ>55を売りにしているように思ったので、
それなら>55を読み解く必要があるのかなと思ったので・・・
ありがとうございます、そういうことならOKです
ただ>55を売りにしているように思ったので、
それなら>55を読み解く必要があるのかなと思ったので・・・
165 :白シャツ:04/07/11 14:40
「〜となるような〜を求めます」みたいな書き方があるんで、
>>163のように「Cをどんな方法でもいいから」
どんな方法で求めるかわからない。
ということで>>55はアルゴリズムとして読めない、読み解けない。
>>164と同様に読み解こうと試みましたがあきらめました。
CRT知っているなら>>55よりむしろ>>53,>>54の暗号方式を
もっと売りになっている”数学的な”理解が
できているはずなんじゃないかなと。
>>163のように「Cをどんな方法でもいいから」
どんな方法で求めるかわからない。
ということで>>55はアルゴリズムとして読めない、読み解けない。
>>164と同様に読み解こうと試みましたがあきらめました。
CRT知っているなら>>55よりむしろ>>53,>>54の暗号方式を
もっと売りになっている”数学的な”理解が
できているはずなんじゃないかなと。
166 :名無しさん@そうだ選挙に行こう:04/07/11 15:23
しかし>55に新規性がないとなると、この暗号って
仮に64bitを暗号化しても64bit以上になる可能性もありそうだし、
複雑度も豆数の数に依存してそうだし、
ループ発生と豆数選択の兼ね合いが難しそうなというか
面倒くさいのに割にあわないって感じがするんですが・・・
>53-54という本筋を特許化して公開せずに
出されたCだけをみて解けといわれれば何ですが
公開されると結局、平分をシフトして、CRTで分散化しているって感じしか・・・
ここイメージだけですので無視してください、多分理解できてないな。
仮に64bitを暗号化しても64bit以上になる可能性もありそうだし、
複雑度も豆数の数に依存してそうだし、
ループ発生と豆数選択の兼ね合いが難しそうなというか
面倒くさいのに割にあわないって感じがするんですが・・・
>53-54という本筋を特許化して公開せずに
出されたCだけをみて解けといわれれば何ですが
公開されると結局、平分をシフトして、CRTで分散化しているって感じしか・・・
ここイメージだけですので無視してください、多分理解できてないな。
167 :63 ◆oYI7WOcH/A :04/07/11 15:42
>>166
>面倒くさいのに割にあわないって感じがするんですが・・・
うん、それは分かってるんだよね。
でも、考案者はそれが分かってないみたいだから、
パフォーマンスを測定してごらん、って言ったら、実装している途中に、
なんかよくわからんが、理論的にも致命的な欠陥があるらしい、ってのが分かってきたってとこ。
(L=a,bにしたら、すごく値が偏ったんだっけ?)
理論的にどこが、ってのは、まだ仕様が固まってないので(固まっていたからどうということでもないけれど)
考える気も起こらんってのが現状かな。
>面倒くさいのに割にあわないって感じがするんですが・・・
うん、それは分かってるんだよね。
でも、考案者はそれが分かってないみたいだから、
パフォーマンスを測定してごらん、って言ったら、実装している途中に、
なんかよくわからんが、理論的にも致命的な欠陥があるらしい、ってのが分かってきたってとこ。
(L=a,bにしたら、すごく値が偏ったんだっけ?)
理論的にどこが、ってのは、まだ仕様が固まってないので(固まっていたからどうということでもないけれど)
考える気も起こらんってのが現状かな。
168 :白シャツ:04/07/11 16:37
>>68で言ったようにL=abだと一般の場合に
M→C'の写像が、(a',b')→(a'+1,b')になる。
さらにC'→Cの写像が、(a'+1,b')→(a'+1,b'-1)になる。
となるとM→Cは、(a',b')→(a'+1,b'-1)なので単なるカエサル暗号。
偏りがあるといいよりC-M const.は自明じゃない?
M→C'の写像ですが、一般のMの場合、
(a',b'c',d')→(a'+1,b'+1c'+1,d')
M→C'の写像が、(a',b')→(a'+1,b')になる。
さらにC'→Cの写像が、(a'+1,b')→(a'+1,b'-1)になる。
となるとM→Cは、(a',b')→(a'+1,b'-1)なので単なるカエサル暗号。
偏りがあるといいよりC-M const.は自明じゃない?
M→C'の写像ですが、一般のMの場合、
(a',b'c',d')→(a'+1,b'+1c'+1,d')
169 :白シャツ:04/07/11 16:45
L=abcdの場合にもM→C'はカエサル暗号だったけど、
C'→Cが剰余だけでなく商を用いていたので独自性があった。
L=abcdのときdd=0だったように、L=abの時にbb=0になるんで、
「商を用いていた」の独自性がなくなったんでしょう。
>>168も含めて詳細の検討はしてないので、
間違ってるかもしれないけど。
L=abcdのときのC'→Cがどういう写像か検討するのは
面白そうだけどまだよくわからない。
C'→Cが剰余だけでなく商を用いていたので独自性があった。
L=abcdのときdd=0だったように、L=abの時にbb=0になるんで、
「商を用いていた」の独自性がなくなったんでしょう。
>>168も含めて詳細の検討はしてないので、
間違ってるかもしれないけど。
L=abcdのときのC'→Cがどういう写像か検討するのは
面白そうだけどまだよくわからない。
170 :白シャツ:04/07/11 16:46
>>168の下2行コピペのゴミです。
無視してください。スマソ
無視してください。スマソ
>>167
なるほどそういうことでしたか。
途中参加ではレス100以上は追いきれなくて・・・
>L=a,b
2つでは駄目でしょうね
かといって最低いくつあればともいえないですね
増やせば自分の首も締めそうだし
暗号化されたCがいくら長くなろうが、公倍数でループしそうな・・・
公約数(素因数)発見以上の何物でもないような・・・
新しい暗号理論を既存理論の組み合わせで総当り的に見つけようとしているような
作っていったら上手い暗号理論が見つかったってのは、
結局のところ総当りで暗号解読しようかといってるような気がするなぁ
堅牢な概念を考えて、理論武装するために付け加えていく手法の方が・・・
と言葉濁してしばし静観
なるほどそういうことでしたか。
途中参加ではレス100以上は追いきれなくて・・・
>L=a,b
2つでは駄目でしょうね
かといって最低いくつあればともいえないですね
増やせば自分の首も締めそうだし
暗号化されたCがいくら長くなろうが、公倍数でループしそうな・・・
公約数(素因数)発見以上の何物でもないような・・・
新しい暗号理論を既存理論の組み合わせで総当り的に見つけようとしているような
作っていったら上手い暗号理論が見つかったってのは、
結局のところ総当りで暗号解読しようかといってるような気がするなぁ
堅牢な概念を考えて、理論武装するために付け加えていく手法の方が・・・
と言葉濁してしばし静観
172 :63 ◆oYI7WOcH/A :04/07/11 17:19
>168
ごめん、そんな話もあったね。差がConstならConstなんじゃない?
どぶろくは、下位ビットが揃うって言ってたけど、
二つとも本当だとしたら、かなりだめだめかもね。
ごめん、そんな話もあったね。差がConstならConstなんじゃない?
どぶろくは、下位ビットが揃うって言ってたけど、
二つとも本当だとしたら、かなりだめだめかもね。
173 :白シャツ:04/07/11 20:12
174 :白シャツ:04/07/13 14:20
175 :梅どぶろく ◆21Da3ggG3M :04/07/13 20:33
パフォーマンスを公開してみろといわれて
暗号化速度を測定してみたところ
18.6KB/sでした。
250Mbpsなんて無理です。
私の考えた暗号はだめだめでした。
仮に発表して実装してもらっても遅すぎて使い物になりません
2chの方たちに暇つぶしのネタを与えただけでした。
また色々と考えて出直してきます。
暗号化速度を測定してみたところ
18.6KB/sでした。
250Mbpsなんて無理です。
私の考えた暗号はだめだめでした。
仮に発表して実装してもらっても遅すぎて使い物になりません
2chの方たちに暇つぶしのネタを与えただけでした。
また色々と考えて出直してきます。
176 :63 ◆oYI7WOcH/A :04/07/13 21:25
> 18.6KB/sでした。
> 250Mbpsなんて無理です。
> 同じデータを暗号化するのに10^4倍ぐらい時間がかかると思う。
の予想が、かなりタイトに当たってるね。
まぁ、これは、ある程度予想されたことだからしょうがない。
ただ、遅いのを悲観するだけだと、従来の路線の後追いでしかなくなるから、
どうせこれだけ複雑な式変換をやるんだから、ただ暗号化だけではなく
何か別の要素を加えると、もうちょっといいのが出来るかも知れないよ。
例えば、対称鍵暗号なのに、完全には元に戻ってないとか。
(データに影響しない部分に、電子透かしが入ってるとか…)
なんか面白いかもしれないねぇ。
やってみよ。
> 250Mbpsなんて無理です。
> 同じデータを暗号化するのに10^4倍ぐらい時間がかかると思う。
の予想が、かなりタイトに当たってるね。
まぁ、これは、ある程度予想されたことだからしょうがない。
ただ、遅いのを悲観するだけだと、従来の路線の後追いでしかなくなるから、
どうせこれだけ複雑な式変換をやるんだから、ただ暗号化だけではなく
何か別の要素を加えると、もうちょっといいのが出来るかも知れないよ。
例えば、対称鍵暗号なのに、完全には元に戻ってないとか。
(データに影響しない部分に、電子透かしが入ってるとか…)
なんか面白いかもしれないねぇ。
やってみよ。
177 :白シャツ:04/07/13 23:38
公開鍵暗号考えてみたら?
今回のはアイデア的に
どっちかというとそっちむきだと思いますが。
今回のはアイデア的に
どっちかというとそっちむきだと思いますが。
178 :梅どぶろく ◆21Da3ggG3M :04/07/14 15:38
公開鍵暗号ですか〜
憧れの暗号化方式です。
また色々と考えてきます。
憧れの暗号化方式です。
また色々と考えてきます。
179 :白シャツ:04/07/14 21:43
>>178
編入試験対策の方は順調?
編入試験対策の方は順調?
180 :梅どぶろく ◆21Da3ggG3M :04/07/14 22:47
いえ、まったくしてません
私の専門学校からだと基本情報技術者の資格を取れば
専門学校から大学に推薦してもらえるそうなので
推薦してもらって入ろうかと思ってます。
私の専門学校からだと基本情報技術者の資格を取れば
専門学校から大学に推薦してもらえるそうなので
推薦してもらって入ろうかと思ってます。
181 :白シャツ:04/07/15 00:00
182 :132人目の素数さん:04/07/15 08:56
>暗号とかやってる研究室のある大学に推薦してもらえるの?
希望としては横浜国立なんですが
やっぱ勉強して一般入試で入らないとだめですか・・・
一応推薦では岐阜と思ってるんですが
大学院にすすんでそれから暗号の研究室ってのは
無理ですかねぇ・・・
希望としては横浜国立なんですが
やっぱ勉強して一般入試で入らないとだめですか・・・
一応推薦では岐阜と思ってるんですが
大学院にすすんでそれから暗号の研究室ってのは
無理ですかねぇ・・・
>>182
>大学院にすすんでそれから暗号の研究室
いや、それでも全然OKだと思うよ。
ただ、ム板の暗号スレにもあったけど、暗号アルゴリズムの研究以外にも
情報セキュリティには色々な研究分野があるし、情報系の他の分野にも
数理的な分野はたくさんあるんで、学部のうちは代数系や計算機科学、ネットワーク等の
基礎知識を広く浅く勉強しつつ、いろんな分野に興味を持って覗いてみるのもいいと思う。
(院に進学する頃には違う分野のことが面白くなってるかも)
>大学院にすすんでそれから暗号の研究室
いや、それでも全然OKだと思うよ。
ただ、ム板の暗号スレにもあったけど、暗号アルゴリズムの研究以外にも
情報セキュリティには色々な研究分野があるし、情報系の他の分野にも
数理的な分野はたくさんあるんで、学部のうちは代数系や計算機科学、ネットワーク等の
基礎知識を広く浅く勉強しつつ、いろんな分野に興味を持って覗いてみるのもいいと思う。
(院に進学する頃には違う分野のことが面白くなってるかも)
184 :132人目の素数さん:04/07/15 16:09
もし数学系に編入するならもうちょっと数学独自の言い回しに気を配ったほうがいいのでは?
>53 〜見る限り、必要なことを後出しにして書いているので、そういうのが訓練されていないと思う
数学の内容どうこうは別として、書き方・伝え方は殴り書きだとしてもこれではというレベル
まず>137さんの言うように基礎をやりながらそういうのも覚えたほうがいいと思う
誤解を与えずに伝えるため、また自分の考えを伝えるための書き方や読み方も一種の訓練で、
凡才な人(ほとんどの人)は、1年目に基礎の授業の問題回答やレポートなど体で覚えるから
天才のことは知らない
編入して来て大学院とかも知り合いにもいるから、自分次第なんでしょうけど
専門学校からの編入は知らないし、いま学校でどんな勉強してるかもわからないので
>53 〜見る限り、必要なことを後出しにして書いているので、そういうのが訓練されていないと思う
数学の内容どうこうは別として、書き方・伝え方は殴り書きだとしてもこれではというレベル
まず>137さんの言うように基礎をやりながらそういうのも覚えたほうがいいと思う
誤解を与えずに伝えるため、また自分の考えを伝えるための書き方や読み方も一種の訓練で、
凡才な人(ほとんどの人)は、1年目に基礎の授業の問題回答やレポートなど体で覚えるから
天才のことは知らない
編入して来て大学院とかも知り合いにもいるから、自分次第なんでしょうけど
専門学校からの編入は知らないし、いま学校でどんな勉強してるかもわからないので
185 :白シャツ:04/07/15 21:47
>>182
>希望としては横浜国立なんですが
松本先生のところ?
>一応推薦では岐阜と思ってるんですが
>大学院にすすんでそれから暗号の研究室ってのは
>無理ですかねぇ・・・
これは別の大学の院に行くこと前提ってことですか?
>希望としては横浜国立なんですが
松本先生のところ?
>一応推薦では岐阜と思ってるんですが
>大学院にすすんでそれから暗号の研究室ってのは
>無理ですかねぇ・・・
これは別の大学の院に行くこと前提ってことですか?
186 :梅どぶろく ◆21Da3ggG3M :04/07/15 22:27
>>185
>松本先生のところ?
そうです。松本先生のところで研究してみたいと思ってます。
>これは別の大学の院に行くこと前提ってことですか?
そうですが、編入試験があって推薦もあってとなると
編入可能の大学には暗号関係の院がなかったんです。
別の大学の院にいくって前提では受け悪いですか?
>松本先生のところ?
そうです。松本先生のところで研究してみたいと思ってます。
>これは別の大学の院に行くこと前提ってことですか?
そうですが、編入試験があって推薦もあってとなると
編入可能の大学には暗号関係の院がなかったんです。
別の大学の院にいくって前提では受け悪いですか?
187 :白シャツ:04/07/15 23:38
>>186
>そうです。松本先生のところで研究してみたいと思ってます。
まともに暗号やってるところってあんまりないし、
悪い選択ではないと思う。
>>183のような「暗号以外のセキュリティ分野」もやってるね。
>別の大学の院にいくって前提では受け悪いですか?
誰に対する受け?
問題があるとすると、暗号やってる院にすんなり
入れるかどうか、or院に入った後で暗号関係の研究室に
配属されるかどうかでしょうか。
>そうです。松本先生のところで研究してみたいと思ってます。
まともに暗号やってるところってあんまりないし、
悪い選択ではないと思う。
>>183のような「暗号以外のセキュリティ分野」もやってるね。
>別の大学の院にいくって前提では受け悪いですか?
誰に対する受け?
問題があるとすると、暗号やってる院にすんなり
入れるかどうか、or院に入った後で暗号関係の研究室に
配属されるかどうかでしょうか。
188 :63 ◆oYI7WOcH/A :04/07/16 00:57
岐阜大にも情報数学から暗号の研究をやっている集団はいるよ。
基礎研究というよりは、応用分野で提携して…っての方だけど。
ム板から来たってことは、基礎研究より、そういう方が向いてるんではないかと勝手に思ったんだが。
もし、本気で対称鍵暗号を設計しようと思ってるなら、絶対に回路設計の知識は持っておかないとだめかも。
特にユビキタスに向かっている今、小さいサイズでハードウェア実装出来るってのは必要条件になりつつある。
ただし、これで職に就くのは、ハードだよ。日本中探して一年に一人いるかいないかだろう。
基礎研究というよりは、応用分野で提携して…っての方だけど。
ム板から来たってことは、基礎研究より、そういう方が向いてるんではないかと勝手に思ったんだが。
もし、本気で対称鍵暗号を設計しようと思ってるなら、絶対に回路設計の知識は持っておかないとだめかも。
特にユビキタスに向かっている今、小さいサイズでハードウェア実装出来るってのは必要条件になりつつある。
ただし、これで職に就くのは、ハードだよ。日本中探して一年に一人いるかいないかだろう。
189 :132人目の素数さん:04/07/16 01:12
素数を求める回路を教えてください
190 :132人目の素数さん:04/07/16 02:55
暗号もいいが認証もいい
191 :132人目の素数さん:04/07/16 10:53
192 :白シャツ:04/07/16 11:01
193 :132人目の素数さん:04/07/16 20:45
符号理論ってもう華がないですか?
194 :132人目の素数さん:04/07/16 23:47
そもそも華あったの?
195 :白シャツ:04/07/17 00:19
196 :132人目の素数さん:04/07/17 05:47
マクスウェルのおかげです
197 :132人目の素数さん:04/07/17 08:52
47氏のおかげだったり?
198 :白シャツ:04/07/17 15:23
漏れの指導教官は符号→セキュリティと鞍替えしてきた。
符号教えてくれと頼んだんだけど教えてくれなかったので
ピーターソンの教科書借りて勝手に勉強中。
全然わからないんすけど。
符号教えてくれと頼んだんだけど教えてくれなかったので
ピーターソンの教科書借りて勝手に勉強中。
全然わからないんすけど。
199 :132人目の素数さん:04/07/17 17:05
200 :白シャツ:04/07/17 17:17
201 :KingOfMathKingdom ◆NlBVr1vWAA :04/07/17 17:19
チューリングとナッシュだったらどっちが暗号解読力があっただろうか?
202 :132人目の素数さん:04/07/18 05:58
203 :梅どぶろく ◆21Da3ggG3M :04/07/18 16:41
新しい暗号を考えました。
今回は公開鍵暗号です。
a<n,x<n
E=a*x mod n
とする
gcd(a,n)=1,gcd(x,n)=1
かつ
a*(E^Y)>n,x*(E^Y)>n
となるように適当にYを決めておく
Aliceは公開鍵eをつくるために
以下の計算をする
e1=a*(E^Y) mod n
e2=x*(E^Y) mod n
公開鍵は
e1,e2,n
Aliceは秘密鍵dをつくるために
以下の計算をする
d*(E^Y)=1 (mod n)
つまり、
d=E^(-Y) (mod n)
秘密鍵は
a,x,d
今回は公開鍵暗号です。
a<n,x<n
E=a*x mod n
とする
gcd(a,n)=1,gcd(x,n)=1
かつ
a*(E^Y)>n,x*(E^Y)>n
となるように適当にYを決めておく
Aliceは公開鍵eをつくるために
以下の計算をする
e1=a*(E^Y) mod n
e2=x*(E^Y) mod n
公開鍵は
e1,e2,n
Aliceは秘密鍵dをつくるために
以下の計算をする
d*(E^Y)=1 (mod n)
つまり、
d=E^(-Y) (mod n)
秘密鍵は
a,x,d
204 :梅どぶろく ◆21Da3ggG3M :04/07/18 16:42
M1,M2<a かつM1,M2<xとなるように
M1,M2を決める
(Bobはa,xの大きさが分からないので
暗号化できる平文Mの大きさをAliceに聞いておく)
暗号化
C=(M1*e1)-(M2*e2) (mod n)
(C>nとなるようにする)
復号
M'=C*d
=(M1*e1-M2*e2)*(E^(-Y))
=(M1*(a*(E^Y))-M2*(x*(E^Y))*(E^(-Y))
=(E^Y)*((M1*a)-(M2*x))*(E^(-Y))
=(E^Y)*(E^(-Y))*((M1*a)-(M2*x))
=1*((M1*a)-(M2*x))
=(M1*a)-(M2*x) (全てmod n)
CRTより
M'=(M1*a)-(M2*x)
を満たすM1,M2を求める
∴平文M1,M2が求められた
補足
復号した時
(M1*a)-(M2*x) < n
でないとまずいので
nのビット数をNとすると
a,xのビット数はN/2より小さくなければならない。
M1,M2個々のビット数はN/2より小さいけれど、
一度に二つ平文を送れるので
大体一度に送れる平文はNビット位になる
M1,M2を決める
(Bobはa,xの大きさが分からないので
暗号化できる平文Mの大きさをAliceに聞いておく)
暗号化
C=(M1*e1)-(M2*e2) (mod n)
(C>nとなるようにする)
復号
M'=C*d
=(M1*e1-M2*e2)*(E^(-Y))
=(M1*(a*(E^Y))-M2*(x*(E^Y))*(E^(-Y))
=(E^Y)*((M1*a)-(M2*x))*(E^(-Y))
=(E^Y)*(E^(-Y))*((M1*a)-(M2*x))
=1*((M1*a)-(M2*x))
=(M1*a)-(M2*x) (全てmod n)
CRTより
M'=(M1*a)-(M2*x)
を満たすM1,M2を求める
∴平文M1,M2が求められた
補足
復号した時
(M1*a)-(M2*x) < n
でないとまずいので
nのビット数をNとすると
a,xのビット数はN/2より小さくなければならない。
M1,M2個々のビット数はN/2より小さいけれど、
一度に二つ平文を送れるので
大体一度に送れる平文はNビット位になる
205 :梅どぶろく ◆21Da3ggG3M :04/07/18 16:44
安全性
離散対数問題に基づいている(んだと思う)
盗聴者Eveがわかるのは
e1,e2,n
e1*e2=(a*(E^Y)*)(x*(E^Y))
=(a*x)*((E^Y)*(E^Y))
=E*(E^(2Y))
=E^(2Y+1) (全てmod n)
e1,e2からE^Y,E,a,xのどれかを求めるのは困難(だと思う)
長所
暗号化速度が超高速
modを毎回するとしても演算がたったの6回ですむ
復号速度も速いとは思いますが、
どれくらいの演算で復号できるかは知りません。
短所
署名ができない
暗号文はNビット
送れる平文は約Nビットなのに
公開鍵が2Nビットと長い
秘密鍵も3Nビットと長い
これで説明は終わりです。
結構いいと自分では思っていますが、
前科があるのでいまいち自信がもてません。
どうでしょうか?
離散対数問題に基づいている(んだと思う)
盗聴者Eveがわかるのは
e1,e2,n
e1*e2=(a*(E^Y)*)(x*(E^Y))
=(a*x)*((E^Y)*(E^Y))
=E*(E^(2Y))
=E^(2Y+1) (全てmod n)
e1,e2からE^Y,E,a,xのどれかを求めるのは困難(だと思う)
長所
暗号化速度が超高速
modを毎回するとしても演算がたったの6回ですむ
復号速度も速いとは思いますが、
どれくらいの演算で復号できるかは知りません。
短所
署名ができない
暗号文はNビット
送れる平文は約Nビットなのに
公開鍵が2Nビットと長い
秘密鍵も3Nビットと長い
これで説明は終わりです。
結構いいと自分では思っていますが、
前科があるのでいまいち自信がもてません。
どうでしょうか?
206 :梅どぶろく ◆21Da3ggG3M :04/07/18 16:47
207 :梅どぶろく ◆21Da3ggG3M :04/07/18 17:17
すいません
>>203は
gcd(a,n)=1,gcd(x,n)=1
かつ
a*(E^Y)>n,x*(E^Y)>n
となるように適当にYを決めておく
に
gcd(((E^Y)mod n),n)=1
を追加させてください。
>>203は
gcd(a,n)=1,gcd(x,n)=1
かつ
a*(E^Y)>n,x*(E^Y)>n
となるように適当にYを決めておく
に
gcd(((E^Y)mod n),n)=1
を追加させてください。
208 :63 ◆oYI7WOcH/A :04/07/18 18:10
楽しいから付き合うけど、もう少し、伝え方を練習した方がいいね。
で、いきなり、いちゃもん。
> CRTより
> M'=(M1*a)-(M2*x)
> を満たすM1,M2を求める
とあるけど、CRTが適用出来るかどうか分からない。
具体的には、a,xが互いに素か分からない。
(a,xが保証されているのは、nと互いに素なだけじゃないかな?)
それとも、復号したものが元の平文に戻らないかも知れないって暗号ですか?
で、いきなり、いちゃもん。
> CRTより
> M'=(M1*a)-(M2*x)
> を満たすM1,M2を求める
とあるけど、CRTが適用出来るかどうか分からない。
具体的には、a,xが互いに素か分からない。
(a,xが保証されているのは、nと互いに素なだけじゃないかな?)
それとも、復号したものが元の平文に戻らないかも知れないって暗号ですか?
209 :梅どぶろく ◆21Da3ggG3M :04/07/18 18:34
210 :63 ◆oYI7WOcH/A :04/07/18 18:53
一般性を失うことなく a < x と出来る。
その上で、
M1*M2 < a^2 < nでなくてはならない。
∵
C=(M1*e1)-(M2*e2) (mod n)より、
暗号として表現出来るのは最大n通りだから、
一対一の暗号文である以上、平文(の組み合わせ)も最大n通り。
しかも、最後の方を見ると、だいたいa,xが同じ桁程度の数を取るみたいだから、
E = a * x mod nってのが、限りなくmodを使っている意味がなくなると思うんだけど。
ん?それ以前にe1とe2が近い値になったときに、暗号化出来ない平文が飛躍的に増えるんじゃないか?
今の段階では、平文の約半分が暗号化出来ないと思うが。
まず、e1とe2の選び方を工夫しなきゃ、こういう状況がもっと増える。
例えば、E_1 = max(e1,e2), E_2 = min(e1,e2)にした方が、取れない平文の数は減るだろう。
んんん?もっと大きな穴がある気がするぞ。
その上で、
M1*M2 < a^2 < nでなくてはならない。
∵
C=(M1*e1)-(M2*e2) (mod n)より、
暗号として表現出来るのは最大n通りだから、
一対一の暗号文である以上、平文(の組み合わせ)も最大n通り。
しかも、最後の方を見ると、だいたいa,xが同じ桁程度の数を取るみたいだから、
E = a * x mod nってのが、限りなくmodを使っている意味がなくなると思うんだけど。
ん?それ以前にe1とe2が近い値になったときに、暗号化出来ない平文が飛躍的に増えるんじゃないか?
今の段階では、平文の約半分が暗号化出来ないと思うが。
まず、e1とe2の選び方を工夫しなきゃ、こういう状況がもっと増える。
例えば、E_1 = max(e1,e2), E_2 = min(e1,e2)にした方が、取れない平文の数は減るだろう。
んんん?もっと大きな穴がある気がするぞ。
211 :63 ◆oYI7WOcH/A :04/07/18 19:26
凄く概略を言うね。
まず、拡張ユークリッドの互除法でe1^{-1} \pmod nを求める。
これは、(a * E^y)^{-1}でそれぞれnと互いに素だから、a^{-1} * (E^y)^{-1} \pmod nとなる。
これをCにかけると、
C=(M1 * a - M2 * x) * E^y \pmod n だから、
C*e1^{-1} = M1 - M2 * x * a^{-1} \pmod nになるんじゃない?
公開鍵暗号なんだから、選択平文攻撃は誰にでも出来る。
M2を少しずつずらせば、x,aが求まると思うんだけど。
全然違ってたらごめん。
まず、拡張ユークリッドの互除法でe1^{-1} \pmod nを求める。
これは、(a * E^y)^{-1}でそれぞれnと互いに素だから、a^{-1} * (E^y)^{-1} \pmod nとなる。
これをCにかけると、
C=(M1 * a - M2 * x) * E^y \pmod n だから、
C*e1^{-1} = M1 - M2 * x * a^{-1} \pmod nになるんじゃない?
公開鍵暗号なんだから、選択平文攻撃は誰にでも出来る。
M2を少しずつずらせば、x,aが求まると思うんだけど。
全然違ってたらごめん。
212 :63 ◆oYI7WOcH/A :04/07/18 19:36
うーん、逆元が必ず存在するとは限らないね。
nは素数だとは書いてないのね。
連続書き込みすんまそん。
nは素数だとは書いてないのね。
連続書き込みすんまそん。
213 :梅どぶろく ◆21Da3ggG3M :04/07/18 19:45
>>210
>E = a * x mod nってのが、限りなくmodを使っている意味がなくなると思うんだけど。
説明する時に(ax)のタイプはめんどくさかったのでEにまとめました。
あと、公開鍵生成の説明の時分かりやすいと思いました。
>ん?それ以前にe1とe2が近い値になったときに、暗号化出来ない平文が飛躍的に増えるんじゃないか?
これは増えません。
e1,e2が同じならだめですが異なれば問題ありません。
細かいことですが、
>短所
>署名ができない
>暗号文はNビット
>送れる平文は約Nビットなのに
>公開鍵が2Nビットと長い
>秘密鍵も3Nビットと長い
短所
署名ができない
暗号文はNビット
送れる平文は約Nビットなのに
公開鍵が3Nビットと長い ←ここ修正
秘密鍵も3Nビットと長い
復号は
a*d1-x*d2=1となる
d1,d2をあらかじめ求めておけば
4回の演算ですみます。
>E = a * x mod nってのが、限りなくmodを使っている意味がなくなると思うんだけど。
説明する時に(ax)のタイプはめんどくさかったのでEにまとめました。
あと、公開鍵生成の説明の時分かりやすいと思いました。
>ん?それ以前にe1とe2が近い値になったときに、暗号化出来ない平文が飛躍的に増えるんじゃないか?
これは増えません。
e1,e2が同じならだめですが異なれば問題ありません。
細かいことですが、
>短所
>署名ができない
>暗号文はNビット
>送れる平文は約Nビットなのに
>公開鍵が2Nビットと長い
>秘密鍵も3Nビットと長い
短所
署名ができない
暗号文はNビット
送れる平文は約Nビットなのに
公開鍵が3Nビットと長い ←ここ修正
秘密鍵も3Nビットと長い
復号は
a*d1-x*d2=1となる
d1,d2をあらかじめ求めておけば
4回の演算ですみます。
214 :梅どぶろく ◆21Da3ggG3M :04/07/18 19:55
>>212
nが素数でも問題ないと思います
x * a^{-1}は
e1=a*(E^Y) mod n
e2=x*(E^Y) mod n
ですから、
e2/e1=(x*(E^Y))*(a*(E^-Y))
=x*(a^-1)*(E^Y)*(E^-Y)
=x*(a^-1)*1
=x*(a^-1)
で簡単に求まりますが、
これからE,a,x,E^Yのどれかを求めるのは難しいはずです。
nが素数でも問題ないと思います
x * a^{-1}は
e1=a*(E^Y) mod n
e2=x*(E^Y) mod n
ですから、
e2/e1=(x*(E^Y))*(a*(E^-Y))
=x*(a^-1)*(E^Y)*(E^-Y)
=x*(a^-1)*1
=x*(a^-1)
で簡単に求まりますが、
これからE,a,x,E^Yのどれかを求めるのは難しいはずです。
215 :63 ◆oYI7WOcH/A :04/07/18 20:13
ん〜外したか。
> C=(M1*e1)-(M2*e2) (mod n)
> (C>nとなるようにする)
の両方が正しいなら、そんなCは存在しないよね?
拡大解釈して、右辺のmod nを取る前にC'>nにして、それをmod nをしたものをCとすると
どぶろく脳内を推測して読んだんだけど、どうやら外したらしい。
> C=(M1*e1)-(M2*e2) (mod n)
> (C>nとなるようにする)
の両方が正しいなら、そんなCは存在しないよね?
拡大解釈して、右辺のmod nを取る前にC'>nにして、それをmod nをしたものをCとすると
どぶろく脳内を推測して読んだんだけど、どうやら外したらしい。
216 :梅どぶろく ◆21Da3ggG3M :04/07/18 20:58
>>215
> C=(M1*e1)-(M2*e2) (mod n)
> (C>nとなるようにする)
(M1*e1)-(M2*e2)>nとなるようにする
です。
ほんとすいません
ばれては困るのは
E^Y,a,xでした。
Eがばれても
(E^Y)^2がわかるだけで
E^Yにはたどり着けません。
(Yを適当に大きな数にする)
> C=(M1*e1)-(M2*e2) (mod n)
> (C>nとなるようにする)
(M1*e1)-(M2*e2)>nとなるようにする
です。
ほんとすいません
ばれては困るのは
E^Y,a,xでした。
Eがばれても
(E^Y)^2がわかるだけで
E^Yにはたどり着けません。
(Yを適当に大きな数にする)
217 :132人目の素数さん:04/07/18 21:17
どぶさんへ
nは素数じゃなくてもいいの?
nは素数じゃなくてもいいの?
218 :63 ◆oYI7WOcH/A :04/07/18 21:18
ん?そうだとすると、やはり、取れない平文がたくさん出てくるよ。
例えば、e1<e2なら、M1より大きなM2は絶対に取れない。
凄くゆるゆるの評価をしていてもこんな感じだけど。
例えば、e1<e2なら、M1より大きなM2は絶対に取れない。
凄くゆるゆるの評価をしていてもこんな感じだけど。
219 :梅どぶろく ◆21Da3ggG3M :04/07/18 21:21
220 :梅どぶろく ◆21Da3ggG3M :04/07/18 21:25
221 :63 ◆oYI7WOcH/A :04/07/18 21:31
だから、それが脳内仕様なんだって、、、
問題ないです、ってありまくりだよ?
C<0だと、C+nをしても、C>nにはならないと思う。
お願いだから、そのときはさらにnを足しますとか言わないでね…。
問題ないです、ってありまくりだよ?
C<0だと、C+nをしても、C>nにはならないと思う。
お願いだから、そのときはさらにnを足しますとか言わないでね…。
222 :梅どぶろく ◆21Da3ggG3M :04/07/18 21:51
> C=(M1*e1)-(M2*e2) (mod n)
> (C>nとなるようにする)
(M1*e1)-(M2*e2)>nとなるようにする
です。
ほんとすいません
(M1*e1)-(M2*e2)>n
のときに
C=(M1*e1)-(M2*e2) (mod n)
(M1*e1)-(M2*e2)をmod nして
C<0なら
C+nをします。
(M1*e1)-(M2*e2) (mod n)
をしたあとにC<0であっても、
-n<C<0
Cの範囲は↑ですから、
C+nをすると
-n+n<C+n<0+n⇔0<C+n<n
一回nを加算すればOK
> (C>nとなるようにする)
(M1*e1)-(M2*e2)>nとなるようにする
です。
ほんとすいません
(M1*e1)-(M2*e2)>n
のときに
C=(M1*e1)-(M2*e2) (mod n)
(M1*e1)-(M2*e2)をmod nして
C<0なら
C+nをします。
(M1*e1)-(M2*e2) (mod n)
をしたあとにC<0であっても、
-n<C<0
Cの範囲は↑ですから、
C+nをすると
-n+n<C+n<0+n⇔0<C+n<n
一回nを加算すればOK
223 :63 ◆oYI7WOcH/A :04/07/18 22:47
余計、意味が通じなくなった。
必死に説明しているところ悪いけど、
(M1*e1)-(M2*e2)>nとなるようにする
(C>nとなるようにする)
の二行を消すだけでいいんじゃないの?
少なくとも上の説明だと、C>nにはなってないよ。
全然OKじゃない。
必死に説明しているところ悪いけど、
(M1*e1)-(M2*e2)>nとなるようにする
(C>nとなるようにする)
の二行を消すだけでいいんじゃないの?
少なくとも上の説明だと、C>nにはなってないよ。
全然OKじゃない。
224 :132人目の素数さん:04/07/18 22:57
相手をすることが必ずしも親切なことにはならないという好例
225 :132人目の素数さん:04/07/18 23:46
まさしく >184 だな
226 :梅どぶろく ◆21Da3ggG3M :04/07/18 23:46
>(M1*e1)-(M2*e2)>nとなるようにする
>(C>nとなるようにする)
>
>の二行を消すだけでいいんじゃないの?
いえ、Cは(M1*e1)-(M2*e2)>nをmod nした結果です。
(M1*e1)-(M2*e2)>nは消してはいけません
(M1*e1)-(M2*e2)<nだと
仮に、e1<e2とするとき
mod e2で
(M1*e1)-(M2*e2) (mod e2)
=(M1*e1) (mod e2) - (M2*e2)mod e2
=(M1*e1) (mod e2)
e1,e2が分かっているので
M1も求めれてしまいます。
M1が分かればM2が分かります。
∴(M1*e1)-(M2*e2)>n
の必要があります。
e1,e2のビット数は大体nと同じくらいになるので
M1*a>nとなるようにM1の下限を決めてやれば大丈夫
もし、どうしても
C=(M1*e1)-(M2*e2) mod nが嫌なら
C=(M1*e1)+(M2*e2) mod nにすればよいです。
ただ、
M'=(M1*a)+(M2*x) (全てmod n)
となり、M2が負数として符号が反転した状態で出てきて、
気持ち悪いので
C=(M1*e1)-(M2*e2) mod n
としてマイナスにしただけです。
(これは仕様変更ではありません。)
(あくまでも説明のために書いただけです。)
>(C>nとなるようにする)
>
>の二行を消すだけでいいんじゃないの?
いえ、Cは(M1*e1)-(M2*e2)>nをmod nした結果です。
(M1*e1)-(M2*e2)>nは消してはいけません
(M1*e1)-(M2*e2)<nだと
仮に、e1<e2とするとき
mod e2で
(M1*e1)-(M2*e2) (mod e2)
=(M1*e1) (mod e2) - (M2*e2)mod e2
=(M1*e1) (mod e2)
e1,e2が分かっているので
M1も求めれてしまいます。
M1が分かればM2が分かります。
∴(M1*e1)-(M2*e2)>n
の必要があります。
e1,e2のビット数は大体nと同じくらいになるので
M1*a>nとなるようにM1の下限を決めてやれば大丈夫
もし、どうしても
C=(M1*e1)-(M2*e2) mod nが嫌なら
C=(M1*e1)+(M2*e2) mod nにすればよいです。
ただ、
M'=(M1*a)+(M2*x) (全てmod n)
となり、M2が負数として符号が反転した状態で出てきて、
気持ち悪いので
C=(M1*e1)-(M2*e2) mod n
としてマイナスにしただけです。
(これは仕様変更ではありません。)
(あくまでも説明のために書いただけです。)
227 :梅どぶろく ◆21Da3ggG3M :04/07/19 07:05
|(M1*e1)-(M2*e2)|>nは消してはいけません
絶対値(M1*e1)-(M2*e2)絶対値>nは消してはいけません
が正確です。
絶対値(M1*e1)-(M2*e2)絶対値>nは消してはいけません
が正確です。
228 :132人目の素数さん:04/07/19 12:42
>222,226 :意味不明
L=(M1*e1)-(M2*e2) とするとき、
1. n < L
2. 0 <= L <=n
3. L < 0
のそれぞれの場合におけるその暗号化Cを提示してください
1は C=L mod n だとして、2と3は?
>(M1*e1)-(M2*e2)>nとなるようにする (C>nとなるようにする)
> Cは(M1*e1)-(M2*e2)>nをmod nした結果です。
「C=(M1*e1)-(M2*e2) mod n」は、次のどっちの意味?
1. C と (M1*e1)-(M2*e2) は n を法として合同
2. C は (M1*e1)-(M2*e2) を n で割った余り
L=(M1*e1)-(M2*e2) とするとき、
1. n < L
2. 0 <= L <=n
3. L < 0
のそれぞれの場合におけるその暗号化Cを提示してください
1は C=L mod n だとして、2と3は?
>(M1*e1)-(M2*e2)>nとなるようにする (C>nとなるようにする)
> Cは(M1*e1)-(M2*e2)>nをmod nした結果です。
「C=(M1*e1)-(M2*e2) mod n」は、次のどっちの意味?
1. C と (M1*e1)-(M2*e2) は n を法として合同
2. C は (M1*e1)-(M2*e2) を n で割った余り
229 :132人目の素数さん:04/07/19 12:48
>228 の後半書き直し+α
>(M1*e1)-(M2*e2)>nとなるようにする (C>nとなるようにする)
> Cは(M1*e1)-(M2*e2)>nをmod nした結果です。
「C=(M1*e1)-(M2*e2) (mod n)」は、次のどっちの意味?
1. C と (M1*e1)-(M2*e2) は n を法として合同
2. C は (M1*e1)-(M2*e2) を n で割った余り
あと
「X = 2 (mod 5)」なるXを挙げてください。
「Y = 8 (mod 5)」なるYを挙げてください。
>(M1*e1)-(M2*e2)>nとなるようにする (C>nとなるようにする)
> Cは(M1*e1)-(M2*e2)>nをmod nした結果です。
「C=(M1*e1)-(M2*e2) (mod n)」は、次のどっちの意味?
1. C と (M1*e1)-(M2*e2) は n を法として合同
2. C は (M1*e1)-(M2*e2) を n で割った余り
あと
「X = 2 (mod 5)」なるXを挙げてください。
「Y = 8 (mod 5)」なるYを挙げてください。
230 :梅どぶろく ◆21Da3ggG3M :04/07/19 18:45
|(M1*e1)-(M2*e2)|>nが正しいとわかりました。
ですから、>>299さんの質問は
L=(M1*e1)-(M2*e2) とするとき、
1. n < |L |
2. 0 <= |L |<=n
について答えます。
1.については省略です。
2.については
M1,M2の平文のビット数をNとおきます。
a,xのビット数はN+2とします。
nは2(N+2)+1=2N+5ビットとします。
Mの表す値は0〜(2^N)-1です。
M全てに2^Nを加算してやると
Mの表す値が2^N〜(2^(N+1))-1になります。
e1,e2のビット数も大体2N+5ビットになります。
Lのビット数を計算してやると
L(bit)=((N)+(2N+5))+1
=3N+6≒3N
これらより、2.については考える必要はありません。
>「C=(M1*e1)-(M2*e2) (mod n)」は、次のどっちの意味?
> 1. C と (M1*e1)-(M2*e2) は n を法として合同
1.の意味です。
Cが負の場合を考えたくなかったので、
>「X = 2 (mod 5)」なるXを挙げてください。
X=5k+2(kは整数、負でもOKです。)
>「Y = 8 (mod 5)」なるYを挙げてください。
Y=5j+3(jは整数、負でもOK)
何か落とし穴でもあるのかな?
ですから、>>299さんの質問は
L=(M1*e1)-(M2*e2) とするとき、
1. n < |L |
2. 0 <= |L |<=n
について答えます。
1.については省略です。
2.については
M1,M2の平文のビット数をNとおきます。
a,xのビット数はN+2とします。
nは2(N+2)+1=2N+5ビットとします。
Mの表す値は0〜(2^N)-1です。
M全てに2^Nを加算してやると
Mの表す値が2^N〜(2^(N+1))-1になります。
e1,e2のビット数も大体2N+5ビットになります。
Lのビット数を計算してやると
L(bit)=((N)+(2N+5))+1
=3N+6≒3N
これらより、2.については考える必要はありません。
>「C=(M1*e1)-(M2*e2) (mod n)」は、次のどっちの意味?
> 1. C と (M1*e1)-(M2*e2) は n を法として合同
1.の意味です。
Cが負の場合を考えたくなかったので、
>「X = 2 (mod 5)」なるXを挙げてください。
X=5k+2(kは整数、負でもOKです。)
>「Y = 8 (mod 5)」なるYを挙げてください。
Y=5j+3(jは整数、負でもOK)
何か落とし穴でもあるのかな?
231 :梅どぶろく ◆21Da3ggG3M :04/07/19 18:52
暗号化の演算回数は6回で間違いありません。
復号についてですが、6回の演算でした。
暗号化・復号ともに演算は6回ですみます。
e1,e2の値からa,x,E^Yいずれかの値を求めるのは困難である。
といってもいいと思いますが、みなさんはどうでしょうか?
2chは公共の場として認められているのでしょうか?
特許は放棄しようと思ってるんですが、
今から誰かが特許を申請しても無効になりますよね?
復号についてですが、6回の演算でした。
暗号化・復号ともに演算は6回ですみます。
e1,e2の値からa,x,E^Yいずれかの値を求めるのは困難である。
といってもいいと思いますが、みなさんはどうでしょうか?
2chは公共の場として認められているのでしょうか?
特許は放棄しようと思ってるんですが、
今から誰かが特許を申請しても無効になりますよね?
232 :132人目の素数さん:04/07/19 19:18
>230
>2.については
>・・・
>これらより、2.については考える必要はありません。
そのようなビット数の制限は>203以降公式な仕様として書かれてはいないと思いますが
制限しないといけないならそれは仕様として記述すべき事では?
実際、M1*e1-M2*e2 < n となるような a, x, ・・・, M1, M2 ってとれますよね?
例えば↓とか。
a=7, x=11, n=13, E=12, Y=2, e1=7, e2=11, M1=4, M2=2
>2.については
>・・・
>これらより、2.については考える必要はありません。
そのようなビット数の制限は>203以降公式な仕様として書かれてはいないと思いますが
制限しないといけないならそれは仕様として記述すべき事では?
実際、M1*e1-M2*e2 < n となるような a, x, ・・・, M1, M2 ってとれますよね?
例えば↓とか。
a=7, x=11, n=13, E=12, Y=2, e1=7, e2=11, M1=4, M2=2
233 :132人目の素数さん:04/07/19 19:19
234 :132人目の素数さん:04/07/19 20:31
>>233
一応聞いておくと、>204にあるビット数云々は復号時のことで、暗号時には関係ないことで良いよね?
>232の例で M1=6, M2=2 とすると、M1*e1-M2*e2=20 > n で、C=20 (mod n)となる。
そこでこのM1, M2を、AさんはC=20で、BさんはC=33として、Kさんに送りつけたとして、
KさんはA, Bから送られてきたCの値は違うが、共に同じM1=6, M2=2って分かるの?
今気付いたが、>232の例だと d=1 とできるな。けどビット数問題にひっかかるのかな。
一応聞いておくと、>204にあるビット数云々は復号時のことで、暗号時には関係ないことで良いよね?
>232の例で M1=6, M2=2 とすると、M1*e1-M2*e2=20 > n で、C=20 (mod n)となる。
そこでこのM1, M2を、AさんはC=20で、BさんはC=33として、Kさんに送りつけたとして、
KさんはA, Bから送られてきたCの値は違うが、共に同じM1=6, M2=2って分かるの?
今気付いたが、>232の例だと d=1 とできるな。けどビット数問題にひっかかるのかな。
235 :132人目の素数さん:04/07/19 20:43
特許はこの間似たようなシチュエーションでの問題をTVでやっていて、
仮に>203-204どぶさんの暗号法を私が特許申請すると、
私の特許になるという話だったと思いますが・・・
はっきり覚えていないので、嘘言ってるかもしれません。
仮に>203-204どぶさんの暗号法を私が特許申請すると、
私の特許になるという話だったと思いますが・・・
はっきり覚えていないので、嘘言ってるかもしれません。
236 :梅どぶろく ◆21Da3ggG3M :04/07/19 21:14
>>232の例で M1=6, M2=2 とすると、M1*e1-M2*e2=20 > n で、C=20 (mod n)となる。
>そこでこのM1, M2を、AさんはC=20で、BさんはC=33として、Kさんに送りつけたとして、
>KさんはA, Bから送られてきたCの値は違うが、共に同じM1=6, M2=2って分かるの?
nは一体いくつなんでしょうか?
nからeの値が変わるので大丈夫だとは思います。
>そこでこのM1, M2を、AさんはC=20で、BさんはC=33として、Kさんに送りつけたとして、
>KさんはA, Bから送られてきたCの値は違うが、共に同じM1=6, M2=2って分かるの?
nは一体いくつなんでしょうか?
nからeの値が変わるので大丈夫だとは思います。
237 :132人目の素数さん:04/07/19 21:23
238 :梅どぶろく ◆21Da3ggG3M :04/07/19 21:33
>AさんはC=20で、BさんはC=33
ここのところが分かりませんでした。
nが一つであればCが二つにはならないと思います。
ここのところが分かりませんでした。
nが一つであればCが二つにはならないと思います。
239 :132人目の素数さん:04/07/19 21:54
>>238
何故2つにならないの?
2つになると思ったので、わざわざ>299の質問したのだけど・・・
M1*e1-M2*e2 > n のときは C = M1*e1-M2*e2 (mod n) である。
M1*e1-M2*e2 = 6*7-2*11 = 20 だから C = 20 (mon n) である。
>230で言われたように、これはCと20はnを法として合同という事であるから、
Cとしては、7, 20, 33, 46, 59, ・・・をとることができる。
ただC>nでないといけないとのことなので、Cは 20, 33, 46, 59, ・・・ としてよいことになる。
仮にこの暗号を使って、或るグループのリーダーKが、
メンバーA,Bが正式会員であることを調べるため、
そのメンバーの証拠 M1=6, M2=2 を送るように要請したとき、
Aはそのコードを C=20 で、Bは C=33 として送ってきた。
こういうストーリー。
何故2つにならないの?
2つになると思ったので、わざわざ>299の質問したのだけど・・・
M1*e1-M2*e2 > n のときは C = M1*e1-M2*e2 (mod n) である。
M1*e1-M2*e2 = 6*7-2*11 = 20 だから C = 20 (mon n) である。
>230で言われたように、これはCと20はnを法として合同という事であるから、
Cとしては、7, 20, 33, 46, 59, ・・・をとることができる。
ただC>nでないといけないとのことなので、Cは 20, 33, 46, 59, ・・・ としてよいことになる。
仮にこの暗号を使って、或るグループのリーダーKが、
メンバーA,Bが正式会員であることを調べるため、
そのメンバーの証拠 M1=6, M2=2 を送るように要請したとき、
Aはそのコードを C=20 で、Bは C=33 として送ってきた。
こういうストーリー。
240 :梅どぶろく ◆21Da3ggG3M :04/07/19 22:07
241 :梅どぶろく ◆21Da3ggG3M :04/07/19 22:10
C>nは間違いです。
正確には
|(M1*e1)-(M2*e2)|>n
です。
t=(M1*e1)-(M2*e2)とおくと
|t|>n
C=t (mod n)
です。
正確には
|(M1*e1)-(M2*e2)|>n
です。
t=(M1*e1)-(M2*e2)とおくと
|t|>n
C=t (mod n)
です。
242 :132人目の素数さん:04/07/19 22:17
>>241
そういうこと?もう情報が散らばりすぎだよ・・・
そういうこと?もう情報が散らばりすぎだよ・・・
243 :132人目の素数さん:04/07/19 22:31
>>242
ちょっとまった、C=t (mod n)なんでしょ?
だから C=20 (mod 13) だろうが、C=7 (mod 13)だろうが、C=33 (mod 13)だろうが、
>230でいってるように「C=L (mon n)」は、「CとLはnを法として合同」なんだから、
Cとして7でも20でも33でもいいのでは?
合同だとC<nである必要はないよね。
>240で突然 「33≡7 (mod 13) 」な風に合同の記号「≡」をもってくるのは卑怯だなぁ
≡と=がごちゃ混ぜになってると思って>229の質問したのにさ・・・
結局>230の回答に間違いありでしょ?だって
>>「X = 2 (mod 5)」なるXを挙げてください。
>X=5k+2(kは整数、負でもOKです。)
って書いているし。
ちょっとまった、C=t (mod n)なんでしょ?
だから C=20 (mod 13) だろうが、C=7 (mod 13)だろうが、C=33 (mod 13)だろうが、
>230でいってるように「C=L (mon n)」は、「CとLはnを法として合同」なんだから、
Cとして7でも20でも33でもいいのでは?
合同だとC<nである必要はないよね。
>240で突然 「33≡7 (mod 13) 」な風に合同の記号「≡」をもってくるのは卑怯だなぁ
≡と=がごちゃ混ぜになってると思って>229の質問したのにさ・・・
結局>230の回答に間違いありでしょ?だって
>>「X = 2 (mod 5)」なるXを挙げてください。
>X=5k+2(kは整数、負でもOKです。)
って書いているし。
244 :132人目の素数さん:04/07/19 22:34
245 :132人目の素数さん:04/07/19 22:38
分かると思うけど、>>243 内の >242 は >241 の間違いね
246 :132人目の素数さん:04/07/19 23:02
誰かまとめてやれよ
訓練なしに一朝一夕で出来るようにはならんだろ
訓練なしに一朝一夕で出来るようにはならんだろ
247 :梅どぶろく ◆21Da3ggG3M :04/07/19 23:21
C = t mod n
t=59,n=37のとき
C=59 mod 37 = 22
で、Cは一つの値を取るといいたいんです。
t=59,n=37のとき
C=59 mod 37 = 22
で、Cは一つの値を取るといいたいんです。
248 :132人目の素数さん:04/07/19 23:22
といって>246がやらないのは面倒くさいのと、
根が深そうということが分かってるからでしょ?
ココ見てる人は皆同じ気持ちだと思うよ。
>184では数学に関して言ったけど、システム開発やプログラミング関連の仕事だと、
提出されてきた仕様がこれなら、その会社とは一切取引しないなぁ。
だって行き当たりばったりでバグ取りするの目に見えてるし、
テストしんどそうだし、発見したバグも認めてくれないさそうだし。
根が深そうということが分かってるからでしょ?
ココ見てる人は皆同じ気持ちだと思うよ。
>184では数学に関して言ったけど、システム開発やプログラミング関連の仕事だと、
提出されてきた仕様がこれなら、その会社とは一切取引しないなぁ。
だって行き当たりばったりでバグ取りするの目に見えてるし、
テストしんどそうだし、発見したバグも認めてくれないさそうだし。
249 :132人目の素数さん:04/07/19 23:29
>>247
>232でn=13といってるんだけど・・・
>232, >239の設定のもとで話をしているのなら
nをそんなコロコロとと変えたらダメでしょ?
>229の
>「C=(M1*e1)-(M2*e2) (mod n)」は、次のどっちの意味?
> 1. C と (M1*e1)-(M2*e2) は n を法として合同
> 2. C は (M1*e1)-(M2*e2) を n で割った余り
に対して、>230で1だと回答したけど2な訳ですよね?
1の合同だと一意に定まらない
>Cは一つの値を取るといいたいんです
にはどうすればいいのかまず考えないと・・・
>232でn=13といってるんだけど・・・
>232, >239の設定のもとで話をしているのなら
nをそんなコロコロとと変えたらダメでしょ?
>229の
>「C=(M1*e1)-(M2*e2) (mod n)」は、次のどっちの意味?
> 1. C と (M1*e1)-(M2*e2) は n を法として合同
> 2. C は (M1*e1)-(M2*e2) を n で割った余り
に対して、>230で1だと回答したけど2な訳ですよね?
1の合同だと一意に定まらない
>Cは一つの値を取るといいたいんです
にはどうすればいいのかまず考えないと・・・
250 :132人目の素数さん:04/07/19 23:32
251 :132人目の素数さん:04/07/20 00:01
252 :梅どぶろく ◆21Da3ggG3M :04/07/20 00:11
ごめんなさい、数学の厳密ないいまわしはわかりません。
私の考えは2.だったようです。
大学の数学的な素養がぜんぜんありません。
まとめについては私でよければ明日行います。
私の考えは2.だったようです。
大学の数学的な素養がぜんぜんありません。
まとめについては私でよければ明日行います。
253 :梅どぶろく ◆21Da3ggG3M :04/07/20 00:16
>>251
暗号の本質と関係ねぇだろーが
ねちねちうるせぇんだよ(#゚Д゚)ゴルァ!!
ってちょっぴり思ってた
まあ、私の説明が分かりにくいから
色々と突っ込まれてるんだろう
もっと人に分かりやすい説明を考えます。
あと、SICSにもメールしてみた。
暗号の本質と関係ねぇだろーが
ねちねちうるせぇんだよ(#゚Д゚)ゴルァ!!
ってちょっぴり思ってた
まあ、私の説明が分かりにくいから
色々と突っ込まれてるんだろう
もっと人に分かりやすい説明を考えます。
あと、SICSにもメールしてみた。
254 :132人目の素数さん:04/07/20 00:25
本質的な説明を後出しするのは数学的素養とかそういうこと以前の問題
255 :251:04/07/20 00:39
おいまて、ホントにそう思ってるのか?
暗号の本質って、まさにそのみみっちぃー所だぞ?
細かいところを無視すれば、だいたい安全なものなんて誰でも作れる。
そういう細かいところを気にしなくていいんなら、セキュリティやってる人なんてみんな失業だろう。
暗号の本質って、まさにそのみみっちぃー所だぞ?
細かいところを無視すれば、だいたい安全なものなんて誰でも作れる。
そういう細かいところを気にしなくていいんなら、セキュリティやってる人なんてみんな失業だろう。
256 :132人目の素数さん:04/07/20 00:51
>私の説明が分かりにくいから色々と突っ込まれてるんだろう
悪いけどそんなレベルでは・・・
>暗号の本質と関係ねぇだろーが ねちねちうるせぇんだよ(#゚Д゚)ゴルァ!!
言いたいことは分かる・・・けど、それは数学してない人が数学語るときの言い訳です。
本質に入る前にこの程度のことを突っ込まれると、次からは相手にしてもらえない世界かも。
(↑読んでムカッとくるなら図星)
>252
最低、合同、剰余、最小正剰余くらいは調べてからにしてください。
悪いけどそんなレベルでは・・・
>暗号の本質と関係ねぇだろーが ねちねちうるせぇんだよ(#゚Д゚)ゴルァ!!
言いたいことは分かる・・・けど、それは数学してない人が数学語るときの言い訳です。
本質に入る前にこの程度のことを突っ込まれると、次からは相手にしてもらえない世界かも。
(↑読んでムカッとくるなら図星)
>252
最低、合同、剰余、最小正剰余くらいは調べてからにしてください。
257 :梅どぶろく ◆21Da3ggG3M :04/07/20 00:59
258 :132人目の素数さん:04/07/20 01:14
まとめる時に最低限気にして欲しいこと
・値を厳密に評価してから正確に書く。
数式の表現方法が分からないなら、文章でも構わないから、
絶対に、曖昧に適当に書くな。
・細かい途中式はいらん。
途中式を見せられないと計算出来ない人はそんなレス読んでない。
どうしても気になるなら暗号的に重要な変換の部分だけ書く。
・何かを適用するなら、ちゃんとその定義にあってるかどうかを確かめろ。
例えば、離散対数問題の困難性の定義からは、オレにはこの暗号の安全性は示せない。
むしろ、示せないことを証明出来そうな気がする。
・値を厳密に評価してから正確に書く。
数式の表現方法が分からないなら、文章でも構わないから、
絶対に、曖昧に適当に書くな。
・細かい途中式はいらん。
途中式を見せられないと計算出来ない人はそんなレス読んでない。
どうしても気になるなら暗号的に重要な変換の部分だけ書く。
・何かを適用するなら、ちゃんとその定義にあってるかどうかを確かめろ。
例えば、離散対数問題の困難性の定義からは、オレにはこの暗号の安全性は示せない。
むしろ、示せないことを証明出来そうな気がする。
259 :132人目の素数さん:04/07/20 01:44
数学もそうだけど、細かいこと書けない(できない)と特許とれないよ
特許申請した人に聞いたが、この文書じゃ門前払いらしい。
特許とりたいのなら、そちらも調べたほうがいいと思う。
それ以前に特許とりたいのなら、ココで明かしたらダメかもね。
悪いがそんな心配する必要はないと思うけど。
特許申請した人に聞いたが、この文書じゃ門前払いらしい。
特許とりたいのなら、そちらも調べたほうがいいと思う。
それ以前に特許とりたいのなら、ココで明かしたらダメかもね。
悪いがそんな心配する必要はないと思うけど。
>>257
工学部の実験レポートで叩き込まれるのは、まさにその
「○○を曖昧さ無く記述して他人に伝える能力」だったりします。
数式+文章で説明するのが不得意なら、Experimentというか
プログラムコードっぽく記述してみたら?
工学部の実験レポートで叩き込まれるのは、まさにその
「○○を曖昧さ無く記述して他人に伝える能力」だったりします。
数式+文章で説明するのが不得意なら、Experimentというか
プログラムコードっぽく記述してみたら?
261 :白シャツ:04/07/20 17:03
盛り上がってますね
>>258
離散対数問題に最初から帰着していないので,
証明も何も
「C=(M1*e1)-(M2*e2) (mod n)」
なる不定方程式が解ければ終わりといえば良いのでは?
この議論がありませんよね.
秘密鍵を求めろというのならば離散対数云々になるけれど,
暗号攻撃という観点からは秘密鍵がわからなくても
平文が求まればOKなのです.
ディオファントス不定方程式だたっけ?
LLLアルゴリズム等の既定縮小アルゴリズムで
平文の候補がしぼりこめるので,あとはその中から
全数探索で平文みつかりました,
みたいな感じで終わった暗号がたくさんあります.
この暗号もそういうのに似た系統だと思うよ.
正直言って前作の方がオリジナリティあっておもしろかったかも.
>>258
離散対数問題に最初から帰着していないので,
証明も何も
「C=(M1*e1)-(M2*e2) (mod n)」
なる不定方程式が解ければ終わりといえば良いのでは?
この議論がありませんよね.
秘密鍵を求めろというのならば離散対数云々になるけれど,
暗号攻撃という観点からは秘密鍵がわからなくても
平文が求まればOKなのです.
ディオファントス不定方程式だたっけ?
LLLアルゴリズム等の既定縮小アルゴリズムで
平文の候補がしぼりこめるので,あとはその中から
全数探索で平文みつかりました,
みたいな感じで終わった暗号がたくさんあります.
この暗号もそういうのに似た系統だと思うよ.
正直言って前作の方がオリジナリティあっておもしろかったかも.
262 :白シャツ:04/07/20 17:14
263 :258:04/07/20 17:25
いや、その
> 「C=(M1*e1)-(M2*e2) (mod n)」
> なる不定方程式が解ければ終わり
っていうのが、どれぐらい難しい問題なのかが分からないだろ?
もしかすると、なんらかの形の離散対数問題を解くのと同値だったり、それ以上に難しいかも知れない。
離散対数問題に帰着しているようにはどうやっても見えないが、
正確に分かりやすく書けっていう流れになっている時に適当なことを書くとまずいんじゃないか?
適当じゃないっていうなら、この問題が簡単に解けるってことを示してやれよ。それが、この暗号の解法になる。
多分、法e2(ただしe2 < e1)のもとでCを考えるんだな。
C+kn = (M1*e1)-(M2*e2)のkがどれぐらいか一つずつ変えていけば線形に変化するから分かる気がする。
勿論、後ろ三行は独り言で、正確じゃないかもしれない。
> 「C=(M1*e1)-(M2*e2) (mod n)」
> なる不定方程式が解ければ終わり
っていうのが、どれぐらい難しい問題なのかが分からないだろ?
もしかすると、なんらかの形の離散対数問題を解くのと同値だったり、それ以上に難しいかも知れない。
離散対数問題に帰着しているようにはどうやっても見えないが、
正確に分かりやすく書けっていう流れになっている時に適当なことを書くとまずいんじゃないか?
適当じゃないっていうなら、この問題が簡単に解けるってことを示してやれよ。それが、この暗号の解法になる。
多分、法e2(ただしe2 < e1)のもとでCを考えるんだな。
C+kn = (M1*e1)-(M2*e2)のkがどれぐらいか一つずつ変えていけば線形に変化するから分かる気がする。
勿論、後ろ三行は独り言で、正確じゃないかもしれない。
264 :132人目の素数さん:04/07/20 17:27
数学なんて虚無の世界......
数字なんて所詮人が作ったもの........
人間か作ったものに人間が研究を重ねたって
所詮人間を超えられないよ.......
aa.....
空しい。。。。。
数字なんて所詮人が作ったもの........
人間か作ったものに人間が研究を重ねたって
所詮人間を超えられないよ.......
aa.....
空しい。。。。。
265 :132人目の素数さん:04/07/20 17:28
超える必要など無い。
限りなく近づく。そう、極限を目指すのだ。
限りなく近づく。そう、極限を目指すのだ。
266 :132人目の素数さん:04/07/20 17:31
数学って極めれば人間になるんだ・・・。
頑張ってみよう。
頑張ってみよう。
267 :132人目の素数さん:04/07/20 17:34
極限を目指せば目指すほど
現実社会との剥離が激しくなるのです
現実社会との剥離が激しくなるのです
268 :白シャツ:04/07/20 17:56
>>263
確かに適当なこといってますね.
あなたの言うことは正しい.
仕様がまとまってないので解析しにくいので
あくまで感想です.まぁそういう本質的な部分に
行く前に穴が見つかるかもしれませんが.
>> 「C=(M1*e1)-(M2*e2) (mod n)」
>> なる不定方程式が解ければ終わり
>っていうのが、どれぐらい難しい問題なのかが分からないだろ?
>もしかすると、なんらかの形の離散対数問題を解くのと同値だったり、
>それ以上に難しいかも知れない。
ということを議論していませんよという指摘です.
一般の不定方程式を解くことと,離散対数問題が
どちらが難しいかの議論は困難です.なんせ解が不定なんで
解の空間から当たり(平文)を特定するのが難しくなります.
ただし,解の空間に平文が一様に存在するならという仮定があればですが.
ただし,暗号なんで一意に復号する必要があるので
平文が存在する空間になんらかの制限,というか偏りがあって,
あっさり出ちゃうことが多い.ナップザック系の暗号の敗因は
そこです.
確かに適当なこといってますね.
あなたの言うことは正しい.
仕様がまとまってないので解析しにくいので
あくまで感想です.まぁそういう本質的な部分に
行く前に穴が見つかるかもしれませんが.
>> 「C=(M1*e1)-(M2*e2) (mod n)」
>> なる不定方程式が解ければ終わり
>っていうのが、どれぐらい難しい問題なのかが分からないだろ?
>もしかすると、なんらかの形の離散対数問題を解くのと同値だったり、
>それ以上に難しいかも知れない。
ということを議論していませんよという指摘です.
一般の不定方程式を解くことと,離散対数問題が
どちらが難しいかの議論は困難です.なんせ解が不定なんで
解の空間から当たり(平文)を特定するのが難しくなります.
ただし,解の空間に平文が一様に存在するならという仮定があればですが.
ただし,暗号なんで一意に復号する必要があるので
平文が存在する空間になんらかの制限,というか偏りがあって,
あっさり出ちゃうことが多い.ナップザック系の暗号の敗因は
そこです.
269 :白シャツ:04/07/20 17:56
>>268 の続き
ということで,ナップザック系というか積和系の暗号の場合,
数学的にその議論を行うのは困難なので計算機回して攻撃してみました
というような論文が結構あります.ということで,解法を示せとなると,
実際計算機を回すことになるんですぐにはできませんし,あんまり
やる気もないです.まず理論的に方式に穴がないことが確認されて,
どぶろく氏が本気で研究会などで発表する気があるなら
そういう議論が必要になるので多少は手伝ってもよいと思うが.
関連するような文献さがしてさらしたらたら納得ですか?
例えば,東芝の清水氏が昔そういうことをやってられました.
ダウソできるやつがあるかしらべてみませう.
ということで,ナップザック系というか積和系の暗号の場合,
数学的にその議論を行うのは困難なので計算機回して攻撃してみました
というような論文が結構あります.ということで,解法を示せとなると,
実際計算機を回すことになるんですぐにはできませんし,あんまり
やる気もないです.まず理論的に方式に穴がないことが確認されて,
どぶろく氏が本気で研究会などで発表する気があるなら
そういう議論が必要になるので多少は手伝ってもよいと思うが.
関連するような文献さがしてさらしたらたら納得ですか?
例えば,東芝の清水氏が昔そういうことをやってられました.
ダウソできるやつがあるかしらべてみませう.
270 :132人目の素数さん:04/07/20 18:07
>>263
今の段階では、何をしなければいけないかが分かっていないようだし、とりあえず
・Xは〜を満たす値とする、 ただし、そのようなXが存在するかは証明が必要
・〜するには〜なX, Yを求めれば良い、ただし、そのようなXが求められるかは証明が必要
のような感じで証明や説明は別途するあればもいいのじゃないかな。示すこと以前に、
1.記号の意味 (mod)
2.X=Y などの記述が、定義なのか方程式なのか
3.値のとり得る範囲 ( C>n )
4.値の満たすべき条件 ( a:素数、gcd(a,n)=1 )
5.一意性、存在性、アルゴリズムなど、何を証明し何を具体的に求める必要があるかの提示
を順番にはっきりさせる段階だと思うんだけど
そうしないと、話進める前に完全に「と」化してしまい、元も子もなくなる
今の段階では、何をしなければいけないかが分かっていないようだし、とりあえず
・Xは〜を満たす値とする、 ただし、そのようなXが存在するかは証明が必要
・〜するには〜なX, Yを求めれば良い、ただし、そのようなXが求められるかは証明が必要
のような感じで証明や説明は別途するあればもいいのじゃないかな。示すこと以前に、
1.記号の意味 (mod)
2.X=Y などの記述が、定義なのか方程式なのか
3.値のとり得る範囲 ( C>n )
4.値の満たすべき条件 ( a:素数、gcd(a,n)=1 )
5.一意性、存在性、アルゴリズムなど、何を証明し何を具体的に求める必要があるかの提示
を順番にはっきりさせる段階だと思うんだけど
そうしないと、話進める前に完全に「と」化してしまい、元も子もなくなる
271 :白シャツ:04/07/20 18:09
とりあえずこんなのがあった.
多分,日本応用数理学会の研究会でのOHPだと思うので
概要がわかるぐらいのものと思うけど.
ttp://ntw.e-one.uec.ac.jp/jant/006-shimizu.pdf
多分,日本応用数理学会の研究会でのOHPだと思うので
概要がわかるぐらいのものと思うけど.
ttp://ntw.e-one.uec.ac.jp/jant/006-shimizu.pdf
272 :白シャツ:04/07/20 18:15
>>270
うん,同意.安全性の詳細な検討などは
どぶろく氏にまとめてもらったやつを
「聞いてもらえる書き方」にブラッシュアップさせてから
あということでよろしいか?
個人的には前作のC'→Cをもうちょっとつっこんで考えたい
ところだったし,そっちやってます.ああいう発想の写像って
あんまりないと思うので,どうなってるのか気になるんです.
うん,同意.安全性の詳細な検討などは
どぶろく氏にまとめてもらったやつを
「聞いてもらえる書き方」にブラッシュアップさせてから
あということでよろしいか?
個人的には前作のC'→Cをもうちょっとつっこんで考えたい
ところだったし,そっちやってます.ああいう発想の写像って
あんまりないと思うので,どうなってるのか気になるんです.
273 :白シャツ:04/07/20 18:25
>>253
ところで,SICSに連絡って何?
ぐぐったら岡山のセキュリティやさんみたいな会社でてきたけど,
そういうこと? それともSCIS事務局か?
それと本気で発表する気なら暗号学者っぽい人に連絡して
弟子入りするのがよいかもしれないよ.
正直言ってここだと実は「エライ先生」あいてに
失礼なこといってるかもしれないと密かに恐れてるんだけど(w
ところで,SICSに連絡って何?
ぐぐったら岡山のセキュリティやさんみたいな会社でてきたけど,
そういうこと? それともSCIS事務局か?
それと本気で発表する気なら暗号学者っぽい人に連絡して
弟子入りするのがよいかもしれないよ.
正直言ってここだと実は「エライ先生」あいてに
失礼なこといってるかもしれないと密かに恐れてるんだけど(w
274 :132人目の素数さん:04/07/20 18:52
275 :白シャツ:04/07/20 23:50
276 :梅どぶろく ◆21Da3ggG3M :04/07/21 00:47
全部で12レスあります。
1/12
気になることがみつかったので
安全性のところで気になることを書いています。
C+kn = (M1*e1)+(M2*e2)
についても私なりの考えを書いています。
公開鍵暗号です。
以下説明
a<n,x<n
かつ
gcd(a,x)=1
gcd(a,n)=1
gcd(x,n)=1
gcd(e,n)=1
かつ
a*e>n
x*e>n
となるように適当にeを決める
最初の説明ではe=(ax)^Y mod n
と書いていましたがeは別にaxのべき乗でなくても
gcd(e,n)=1を満たせばいいと分かりました。
これにより余計に、a,x,eのどれかを求めるのが
難しくなっていると思います
1/12
気になることがみつかったので
安全性のところで気になることを書いています。
C+kn = (M1*e1)+(M2*e2)
についても私なりの考えを書いています。
公開鍵暗号です。
以下説明
a<n,x<n
かつ
gcd(a,x)=1
gcd(a,n)=1
gcd(x,n)=1
gcd(e,n)=1
かつ
a*e>n
x*e>n
となるように適当にeを決める
最初の説明ではe=(ax)^Y mod n
と書いていましたがeは別にaxのべき乗でなくても
gcd(e,n)=1を満たせばいいと分かりました。
これにより余計に、a,x,eのどれかを求めるのが
難しくなっていると思います
277 :梅どぶろく ◆21Da3ggG3M :04/07/21 00:47
2/12
Aliceは公開鍵をつくるために
以下の計算をする
e1=a*e mod n
e2=x*e mod n
公開鍵は
e1,e2,n 3Nビット
Aliceは秘密鍵dをつくるために
以下の計算をする
d*e=1 (mod n)
つまり、
d=e^-1 (mod n)
また、a,xより
a*d1-x*d2=1となる
自然数で最小のd1,d2を求めておく
秘密鍵は
a,x,d,d1,d2 4Nビット
Aliceは公開鍵をつくるために
以下の計算をする
e1=a*e mod n
e2=x*e mod n
公開鍵は
e1,e2,n 3Nビット
Aliceは秘密鍵dをつくるために
以下の計算をする
d*e=1 (mod n)
つまり、
d=e^-1 (mod n)
また、a,xより
a*d1-x*d2=1となる
自然数で最小のd1,d2を求めておく
秘密鍵は
a,x,d,d1,d2 4Nビット
278 :梅どぶろく ◆21Da3ggG3M :04/07/21 00:48
3/12
復号する際に
(a*M1)+(x*M2)<nでないと
平文・暗号文が一意に決まらないので
(a*M1)+(x*M2)<nである必要がある。
a<xのとき
暗号化できる平文の範囲は
0<=M<=a-1だから、
(a*(a-1))+(x*(a-1))<n
⇔(a+x)*(a-1)<nを満たすようにnを求めればよい
(Bobはa,xの大きさが分からないので
暗号化できる平文Mの大きさをAliceに聞いておく)
暗号化
C=(M1*e1)+(M2*e2)
_=e*((a*M1)+(x*M2)) (mod n) (-から+に変更)
((M1*e1)+(M2*e2)>nとなるようにする)
この条件については補足で書いてます。
復号する際に
(a*M1)+(x*M2)<nでないと
平文・暗号文が一意に決まらないので
(a*M1)+(x*M2)<nである必要がある。
a<xのとき
暗号化できる平文の範囲は
0<=M<=a-1だから、
(a*(a-1))+(x*(a-1))<n
⇔(a+x)*(a-1)<nを満たすようにnを求めればよい
(Bobはa,xの大きさが分からないので
暗号化できる平文Mの大きさをAliceに聞いておく)
暗号化
C=(M1*e1)+(M2*e2)
_=e*((a*M1)+(x*M2)) (mod n) (-から+に変更)
((M1*e1)+(M2*e2)>nとなるようにする)
この条件については補足で書いてます。
279 :梅どぶろく ◆21Da3ggG3M :04/07/21 00:48
4/12
最初は-にしていましたが復号して
M'=(M1*a)-(M2*x)が
-n<(M1*a)-(M2*x)<0のときに
t=(M1*a)-(M2*x)とすると
当然tは負の値ですが、
常に正になるようにt+nすると
M'=t+nで復号してもM1,M2の値がきちんと戻りませんでした。
tのままで復号すれば平文を得ることができましたが、
tの値が負の場合も考えると
Aliceはどの時にM'=t-nとして、
どのときにM'=tのままで復号するか判断できません。
tの値を負のままで伝えるということも考えましたが、
Eveに余計な情報を与えるだけなので、止めにしました。
C=(M1*e1)+(M2*e2)ならM'=(M1*a)+(M2*x)は
常に0<=M'<nとなる((a*M1)+(x*M2)<nとなるようにnの値を決めていることに注意)ので
復号した際にもきちんと平文を求めることができました
最初は-にしていましたが復号して
M'=(M1*a)-(M2*x)が
-n<(M1*a)-(M2*x)<0のときに
t=(M1*a)-(M2*x)とすると
当然tは負の値ですが、
常に正になるようにt+nすると
M'=t+nで復号してもM1,M2の値がきちんと戻りませんでした。
tのままで復号すれば平文を得ることができましたが、
tの値が負の場合も考えると
Aliceはどの時にM'=t-nとして、
どのときにM'=tのままで復号するか判断できません。
tの値を負のままで伝えるということも考えましたが、
Eveに余計な情報を与えるだけなので、止めにしました。
C=(M1*e1)+(M2*e2)ならM'=(M1*a)+(M2*x)は
常に0<=M'<nとなる((a*M1)+(x*M2)<nとなるようにnの値を決めていることに注意)ので
復号した際にもきちんと平文を求めることができました
280 :梅どぶろく ◆21Da3ggG3M :04/07/21 00:49
5/12
復号
M'=C*d (mod n)
=e*((a*M1)+(x*M2))*d (mod n)
=ed*((M1*a)+(M2*x)) (mod n)
=(a*M1)+(x*M2) (ここでmod nは必要ない)
(a*M1)+(x*M2)>nとなるときは
きちんとM'が求めれないから、
上のほうで(a*M1)+(x*M2)<nとなるようにnの値を求めた
M1=(M'*d1) mod x
M2=a-((M'*d2) mod a)
∴平文M1,M2が求められた
復号
M'=C*d (mod n)
=e*((a*M1)+(x*M2))*d (mod n)
=ed*((M1*a)+(M2*x)) (mod n)
=(a*M1)+(x*M2) (ここでmod nは必要ない)
(a*M1)+(x*M2)>nとなるときは
きちんとM'が求めれないから、
上のほうで(a*M1)+(x*M2)<nとなるようにnの値を求めた
M1=(M'*d1) mod x
M2=a-((M'*d2) mod a)
∴平文M1,M2が求められた
281 :梅どぶろく ◆21Da3ggG3M :04/07/21 00:49
6/12
補足
復号した時
M'=(M1*a)+(M2*x) < n
でないとまずいので
nのビット数をNとすると
a,xのビット数はN/2より小さくなければならない。
M1,M2個々のビット数はN/2より小さいけれど、
一度に二つ平文を送れるので
大体一度に送れる平文はNビット位になる
正確には・・・
M1,M2のビット数をbとする。
M1,M2が小さな値の時に
e*((a*M1)+(x*M2))<nとなるのを防ぎたいので
a,xのビット数を(b+2ビット)として、
M1,M2で表現できる値は
0<=M1,M2<=(2^b)-1だから
↑のときM1,M2に2^bを加算してやって
2^b<=M1,M2<=(2^(b+1))-1としてやれば
e*((a*M1)+(x*M2))<nとなる心配はなくなる
復号する時は出てきたM1,M2から2^bを減算してやればよい
補足
復号した時
M'=(M1*a)+(M2*x) < n
でないとまずいので
nのビット数をNとすると
a,xのビット数はN/2より小さくなければならない。
M1,M2個々のビット数はN/2より小さいけれど、
一度に二つ平文を送れるので
大体一度に送れる平文はNビット位になる
正確には・・・
M1,M2のビット数をbとする。
M1,M2が小さな値の時に
e*((a*M1)+(x*M2))<nとなるのを防ぎたいので
a,xのビット数を(b+2ビット)として、
M1,M2で表現できる値は
0<=M1,M2<=(2^b)-1だから
↑のときM1,M2に2^bを加算してやって
2^b<=M1,M2<=(2^(b+1))-1としてやれば
e*((a*M1)+(x*M2))<nとなる心配はなくなる
復号する時は出てきたM1,M2から2^bを減算してやればよい
282 :梅どぶろく ◆21Da3ggG3M :04/07/21 00:50
7/12
M1,M2はb+1ビット、a,xはb+2ビットだから
M1*aのビットは(b+1)+(b+2)
これと、M2*xもあるから
(M1*a)+(M2*x)のビットは(2b+3)+1=2b+4ビット
つまり、(M1*a)+(M2*x)は最大で2b+4ビットになる
∴n>2^(2b+5)であればよい
これらより、nは2b+5ビットになる
一度に送れる平文は2bビットだから
2bビット毎に平文を暗号化する場合暗号文は2b+5ビットになる
例 M1,M2それぞれが64ビット(一度に送れる平文は128ビット)だとすると
暗号文は2*64+5=133ビットになります。
e*((a*M1)+(x*M2))<nについて
上の方法により
(a*M1)+(x*M2)<nのとき
左辺は2b+4ビット
eはビット数がnと同じでgcd(e,n)=1になるように選べばいいから
e*((a*M1)+(x*M2))のビット数は
(2b+5)+(2b+4)=4b+9≒4b
だから、e*((a*M1)+(x*M2))<nの心配をする必要はない
M1,M2はb+1ビット、a,xはb+2ビットだから
M1*aのビットは(b+1)+(b+2)
これと、M2*xもあるから
(M1*a)+(M2*x)のビットは(2b+3)+1=2b+4ビット
つまり、(M1*a)+(M2*x)は最大で2b+4ビットになる
∴n>2^(2b+5)であればよい
これらより、nは2b+5ビットになる
一度に送れる平文は2bビットだから
2bビット毎に平文を暗号化する場合暗号文は2b+5ビットになる
例 M1,M2それぞれが64ビット(一度に送れる平文は128ビット)だとすると
暗号文は2*64+5=133ビットになります。
e*((a*M1)+(x*M2))<nについて
上の方法により
(a*M1)+(x*M2)<nのとき
左辺は2b+4ビット
eはビット数がnと同じでgcd(e,n)=1になるように選べばいいから
e*((a*M1)+(x*M2))のビット数は
(2b+5)+(2b+4)=4b+9≒4b
だから、e*((a*M1)+(x*M2))<nの心配をする必要はない
283 :梅どぶろく ◆21Da3ggG3M :04/07/21 00:50
8/12
安全性
解読する時の鍵の候補はa,xのビット数に基づく
e1,e2からa,x,eを求めようとする時は
離散対数問題に基づいている(んだと思う)
盗聴者Eveがわかるのは
e1,e2,n
e1*e2=(a*e)*(x*e)
=(a*x)*(e^2) (全てmod n)
e2/e1=(a*e)/(x*e)
=x*(a^-1) (全てmod n)
e1,e2からe,a,xのどれかを求めるのは困難
安全性
解読する時の鍵の候補はa,xのビット数に基づく
e1,e2からa,x,eを求めようとする時は
離散対数問題に基づいている(んだと思う)
盗聴者Eveがわかるのは
e1,e2,n
e1*e2=(a*e)*(x*e)
=(a*x)*(e^2) (全てmod n)
e2/e1=(a*e)/(x*e)
=x*(a^-1) (全てmod n)
e1,e2からe,a,xのどれかを求めるのは困難
284 :梅どぶろく ◆21Da3ggG3M :04/07/21 00:51
9/12
今日思いついたのですが、
Eveは
e1=a'*e' (mod n)となる任意の数a'を決める。
それに対応するe'も
e'=e1*(a')^-1 (mod n)
で求まる。
e2=x'*e'だから
x'=e2*(e')^-1
e'*d'=1 (mod n)
となるd'は
d'=(e')^-1 (mod n)
整理すると
e1=a'*e' (mod n)
e2=x'*e' (mod n)
e'*d'=1 (mod n)
C=(e1*M1)+(e2*M2)
=e'*((a'*M1)+(x'*M2)) (mod n)
m=d*C
=(a'*M1)+(x'*M2) (mod n)
Eveはa',x'が分かるからM1,M2も求めれる・・・
ここの所はすごく重要だと思います。
(a'+x')*(a'-1)<nを満たすa',x'が存在することは確かです。
ですが、↑を満たすa',x'のペアは非常に少ないです。
また、Mの取れる範囲が非常に小さいので、
M1,M2に2^bを加算すれば問題ないと思っています。
今日思いついたのですが、
Eveは
e1=a'*e' (mod n)となる任意の数a'を決める。
それに対応するe'も
e'=e1*(a')^-1 (mod n)
で求まる。
e2=x'*e'だから
x'=e2*(e')^-1
e'*d'=1 (mod n)
となるd'は
d'=(e')^-1 (mod n)
整理すると
e1=a'*e' (mod n)
e2=x'*e' (mod n)
e'*d'=1 (mod n)
C=(e1*M1)+(e2*M2)
=e'*((a'*M1)+(x'*M2)) (mod n)
m=d*C
=(a'*M1)+(x'*M2) (mod n)
Eveはa',x'が分かるからM1,M2も求めれる・・・
ここの所はすごく重要だと思います。
(a'+x')*(a'-1)<nを満たすa',x'が存在することは確かです。
ですが、↑を満たすa',x'のペアは非常に少ないです。
また、Mの取れる範囲が非常に小さいので、
M1,M2に2^bを加算すれば問題ないと思っています。
285 :梅どぶろく ◆21Da3ggG3M :04/07/21 00:52
10/12
例
a=113,x=167,n=58061
e=37480,e1=54848,e2=46623
とするとき
(a'+x')*(a'-1)<nを満たすa',x'のペアは
2<=a'<=58060
a≠a',x≠x'のときに
(a',x',M_max)=
(2,52412,1)(3,20557,2)(7,9259,6)(9,3610,8)
(20,1571,19)(51,1103,50)(370,33,32)
(740,66,65)(26425,3,2)(28162,1,0)
10個ありました。
a=113でaは7ビットだから使用されるM(=M1,M2+64)の値は
0+2^6<M<48+2^6⇔64<M<112(0<=M1,M2<=48)
(740,66,65)のみ平文が0,1のとききちんと復号できる。
これはあくまでもa,xが小さいときの値です。
実際に使うとしたら128ビットぐらいにはなると思いますから、
(a'+x')*(a'-1)<nを満たす
a',x'を求めるのは困難です。
M1,M2が上の例では0,1だったら一応復号できますが、
M1,M2についてEveは知らないので
M1,M2が10や25だった時、間違った値を復号してしまっても
その間違った平文が間違っているのかあっているのか判断がつきません。
∴仮に(a'+x')*(a'-1)<nを満たすa',x'を求めたとしても
復号文が本当に平文と一致するのか分からない。
実際はa,xの値として同じくらいのビット数を使用するので
鍵は、そこから正しい鍵か判断できると思います。
例
a=113,x=167,n=58061
e=37480,e1=54848,e2=46623
とするとき
(a'+x')*(a'-1)<nを満たすa',x'のペアは
2<=a'<=58060
a≠a',x≠x'のときに
(a',x',M_max)=
(2,52412,1)(3,20557,2)(7,9259,6)(9,3610,8)
(20,1571,19)(51,1103,50)(370,33,32)
(740,66,65)(26425,3,2)(28162,1,0)
10個ありました。
a=113でaは7ビットだから使用されるM(=M1,M2+64)の値は
0+2^6<M<48+2^6⇔64<M<112(0<=M1,M2<=48)
(740,66,65)のみ平文が0,1のとききちんと復号できる。
これはあくまでもa,xが小さいときの値です。
実際に使うとしたら128ビットぐらいにはなると思いますから、
(a'+x')*(a'-1)<nを満たす
a',x'を求めるのは困難です。
M1,M2が上の例では0,1だったら一応復号できますが、
M1,M2についてEveは知らないので
M1,M2が10や25だった時、間違った値を復号してしまっても
その間違った平文が間違っているのかあっているのか判断がつきません。
∴仮に(a'+x')*(a'-1)<nを満たすa',x'を求めたとしても
復号文が本当に平文と一致するのか分からない。
実際はa,xの値として同じくらいのビット数を使用するので
鍵は、そこから正しい鍵か判断できると思います。
286 :梅どぶろく ◆21Da3ggG3M :04/07/21 00:52
11/12
C+kn = (M1*e1)+(M2*e2) について
これについては私も分かっていました。
ですが、kの値が分からなければどうしようもありません。
たとえばt=k-100のとき
C+(k-100)n = (M1'*e1)+(M2'*e2)
↑となるM1',M2'が求めれてしまいます。
↑にn加算していって
その都度M1',M2'を求めていったとしても
毎回毎回M1',M2'が求めれてしまうのですから
どのM1',M2'が本当のM1,M2か判断がつきません。
∴C+kn = (M1*e1)+(M2*e2)から
M1,M2を求めるのは不可能だと判断しました。
平文→暗号文の膨らみ具合
一度に送れる平文をNとすると
暗号文はN+5ビットになる
C+kn = (M1*e1)+(M2*e2) について
これについては私も分かっていました。
ですが、kの値が分からなければどうしようもありません。
たとえばt=k-100のとき
C+(k-100)n = (M1'*e1)+(M2'*e2)
↑となるM1',M2'が求めれてしまいます。
↑にn加算していって
その都度M1',M2'を求めていったとしても
毎回毎回M1',M2'が求めれてしまうのですから
どのM1',M2'が本当のM1,M2か判断がつきません。
∴C+kn = (M1*e1)+(M2*e2)から
M1,M2を求めるのは不可能だと判断しました。
平文→暗号文の膨らみ具合
一度に送れる平文をNとすると
暗号文はN+5ビットになる
287 :梅どぶろく ◆21Da3ggG3M :04/07/21 00:53
12/12
長所
暗号化速度が超高速
modを毎回するとしても演算がたったの6回ですむ
復号は
a*d1-x*d2=1となる
d1,d2をあらかじめ求めておけば
7回の演算ですみます。(4回から7回に訂正です)
短所
署名ができない
暗号文はNビット
送れる平文は約Nビットなのに
公開鍵が3Nビットと長い
秘密鍵も4Nビットと長い
長所
暗号化速度が超高速
modを毎回するとしても演算がたったの6回ですむ
復号は
a*d1-x*d2=1となる
d1,d2をあらかじめ求めておけば
7回の演算ですみます。(4回から7回に訂正です)
短所
署名ができない
暗号文はNビット
送れる平文は約Nビットなのに
公開鍵が3Nビットと長い
秘密鍵も4Nビットと長い
288 :132人目の素数さん:04/07/21 00:56
さて、可燃物が投下されました。
正直どこがわかりやすくなったのかがいまいちわからんのだが。
正直どこがわかりやすくなったのかがいまいちわからんのだが。
289 :132人目の素数さん:04/07/21 01:02
これが大学のレポートなら読まれずに捨てられても文句言えない
290 :132人目の素数さん:04/07/21 01:07
まず、a,x,nの定義が再帰的になってる。
291 :白シャツ:04/07/21 01:08
とりあえず読んでみようかと思えるようにはなったかもしんない。
といいながら質問なんですが、
M1,M2は何?
平文なんだろうけど、2つの平文を送るってことなのか、
ある平文MからM1とM2を作るってことなのか?
まぁそれぐらいは分かれって言われるかもしれないけど、
特にコメントあります?
それと、計算量評価に関しては言いたいことはあるんだけど、
先送りにします。
短所の
>暗号文はNビット
>送れる平文は約Nビットなのに
>公開鍵が3Nビットと長い
>秘密鍵も4Nビットと長い
は気にするほどでない(というか悪いわけではないと思う)。
もっと驚異的(w
なものでも信学論に採録されてる論文はある。
といいながら質問なんですが、
M1,M2は何?
平文なんだろうけど、2つの平文を送るってことなのか、
ある平文MからM1とM2を作るってことなのか?
まぁそれぐらいは分かれって言われるかもしれないけど、
特にコメントあります?
それと、計算量評価に関しては言いたいことはあるんだけど、
先送りにします。
短所の
>暗号文はNビット
>送れる平文は約Nビットなのに
>公開鍵が3Nビットと長い
>秘密鍵も4Nビットと長い
は気にするほどでない(というか悪いわけではないと思う)。
もっと驚異的(w
なものでも信学論に採録されてる論文はある。
292 :白シャツ:04/07/21 01:11
>>289-290
印刷するのもうちょっと待つほうが良いかな?
印刷するのもうちょっと待つほうが良いかな?
293 :132人目の素数さん:04/07/21 01:15
自分がこれなら読めるって判断したのなら印刷すればいいんじゃない?
少なくとも私には無理なので、まとまるのを待ちます。
少なくとも私には無理なので、まとまるのを待ちます。
294 :白シャツ:04/07/21 01:22
295 :63 ◆oYI7WOcH/A :04/07/21 02:00
> a*d1-x*d2=1となる
> 自然数で最小のd1,d2を求めておく
が、曖昧。
d1が最小になるのか、d1+d2の和が最小になるのか、d1*d2が最小になるのか、etc.
どういう解釈も出来る。どれでもいいのか?
> 自然数で最小のd1,d2を求めておく
が、曖昧。
d1が最小になるのか、d1+d2の和が最小になるのか、d1*d2が最小になるのか、etc.
どういう解釈も出来る。どれでもいいのか?
296 :132人目の素数さん:04/07/21 02:31
また見つかった。今度は致命的かな。
>>282
> e*((a*M1)+(x*M2))<nについて
> 上の方法により
> (a*M1)+(x*M2)<nのとき
> 左辺は2b+4ビット
> eはビット数がnと同じでgcd(e,n)=1になるように選べばいいから
> e*((a*M1)+(x*M2))のビット数は
> (2b+5)+(2b+4)=4b+9≒4b
> だから、e*((a*M1)+(x*M2))<nの心配をする必要はない
とあるが、これは、まったく意味のない議論をしている。
確かに、最後の一行は正しいが、そんなの誰も心配してない。
本当に心配をしなくてはいけないのは、
(M1*e1)+(M2*e2) < nのはずだ。
≡と=の違いをさんざん言われてるのにな。。。
>>282
> e*((a*M1)+(x*M2))<nについて
> 上の方法により
> (a*M1)+(x*M2)<nのとき
> 左辺は2b+4ビット
> eはビット数がnと同じでgcd(e,n)=1になるように選べばいいから
> e*((a*M1)+(x*M2))のビット数は
> (2b+5)+(2b+4)=4b+9≒4b
> だから、e*((a*M1)+(x*M2))<nの心配をする必要はない
とあるが、これは、まったく意味のない議論をしている。
確かに、最後の一行は正しいが、そんなの誰も心配してない。
本当に心配をしなくてはいけないのは、
(M1*e1)+(M2*e2) < nのはずだ。
≡と=の違いをさんざん言われてるのにな。。。
297 :132人目の素数さん:04/07/21 02:33
>>279
>tのままで復号すれば平文を得ることができましたが
この一文がすごく引っかかる(他もだけど)
これを読む限りmoduloってコンピュータのmod演算に任せきりで
自分で理解できていないと思いませんか?>ALL
>tのままで復号すれば平文を得ることができましたが
この一文がすごく引っかかる(他もだけど)
これを読む限りmoduloってコンピュータのmod演算に任せきりで
自分で理解できていないと思いませんか?>ALL
298 :132人目の素数さん:04/07/21 02:35
だから群論の基礎からやったほうがいいって
299 :白シャツ:04/07/21 02:44
300 :132人目の素数さん:04/07/21 05:30
一応まとめてみたが・・・
a, x, n e は>276とし、以下「s mod t」は「sをtで割った余りv、但し0<=v<t」としてみる
e1 は a*e mod n とする
e2 は x*e mod n とする
d は d*e=1 (mod n) を満たすdで 0<=d<n なるものとする
d1, d2 は a*d1-x*d2=1となる自然数で最小のd1,d2とする
(d1, d2の最小の意味が不明、d1, d2をどのように求めるか不明←私だけ?)
平文M1, M2は、(a*M1)+(x*M2)<n となるようにとる
((a*M1)+(x*M2)>0は? M1, M2 >0 は?不明)
(与えられたa,x,n に対して平文として取れるM1, M2はどのくらいあるのか不明←重要では?)
MはM1, M2を文字列と見たときのそれらの連結?
(定義不明、しかし↑だとM=10010のとき、M1=110、M2=010と出来ないよね)
a, x, n e は>276とし、以下「s mod t」は「sをtで割った余りv、但し0<=v<t」としてみる
e1 は a*e mod n とする
e2 は x*e mod n とする
d は d*e=1 (mod n) を満たすdで 0<=d<n なるものとする
d1, d2 は a*d1-x*d2=1となる自然数で最小のd1,d2とする
(d1, d2の最小の意味が不明、d1, d2をどのように求めるか不明←私だけ?)
平文M1, M2は、(a*M1)+(x*M2)<n となるようにとる
((a*M1)+(x*M2)>0は? M1, M2 >0 は?不明)
(与えられたa,x,n に対して平文として取れるM1, M2はどのくらいあるのか不明←重要では?)
MはM1, M2を文字列と見たときのそれらの連結?
(定義不明、しかし↑だとM=10010のとき、M1=110、M2=010と出来ないよね)
M1, M2の暗号文Cは
・(M1*e1)+(M2*e2) mod n ?
・C≡(M1*e1)+(M2*e2) mod n を満たすC ?
(補足と(M1*e1)+(M2*e2)>n がポイントらしいが不明、前者でも後者でM'の定義から問題ないはず)
(当然一意性等も不明)
Cの復号文M'は C*d (mod n) とする
M'=(a*M1)+(x*M2)となるので、
M'から平文は次のようにして得られる (未確認)
M1=(M'*d1) mod x
M2=a-((M'*d2) mod a)
・(M1*e1)+(M2*e2) mod n ?
・C≡(M1*e1)+(M2*e2) mod n を満たすC ?
(補足と(M1*e1)+(M2*e2)>n がポイントらしいが不明、前者でも後者でM'の定義から問題ないはず)
(当然一意性等も不明)
Cの復号文M'は C*d (mod n) とする
M'=(a*M1)+(x*M2)となるので、
M'から平文は次のようにして得られる (未確認)
M1=(M'*d1) mod x
M2=a-((M'*d2) mod a)
a=7, x=11, n=13, e=12^2=144 とすると、
e1=7, e2=11, d=1, d1=8, d2=5 となる
M1*e1+M2*e2>n となる M1, M2>0 は (M1, M2)=(0, 0), (1, 0), (0, 1) のみ
仮にM1=1, M2=0とすると、M1*e1+M2*e2=7
よってCの候補は7, 20, 33, 46, ・・・
Cとしてどれを用いても、M'=7
このとき、
(M'*d1 mod x)=(56 mod 11)=1 = M1
(a-(M'*d2 mod a))=(7-(7 mod 7))=(7-0)=7 ≠ M2 ??
e1=7, e2=11, d=1, d1=8, d2=5 となる
M1*e1+M2*e2>n となる M1, M2>0 は (M1, M2)=(0, 0), (1, 0), (0, 1) のみ
仮にM1=1, M2=0とすると、M1*e1+M2*e2=7
よってCの候補は7, 20, 33, 46, ・・・
Cとしてどれを用いても、M'=7
このとき、
(M'*d1 mod x)=(56 mod 11)=1 = M1
(a-(M'*d2 mod a))=(7-(7 mod 7))=(7-0)=7 ≠ M2 ??
nを変えてみた
a=7, x=11, n=31, e=12^2=144とすると、e1=16, e2=3, d=14, d1=8, d2=5
M1=1, M2=3とすると、M1*e1+M2*e2=25
このときCの候補は25, 56, 87, 118, ・・・
Cとしてどれを用いても、M'=9
このとき、
(M'*d1 mod x)=(72 mod 11)=6 ≠ M1 ??
(a-(M'*d2 mod a))=(7-(45 mod 7))=(7-3)=4 ≠ M2 ??
例1,2共に M1, M2 が元通りにならない・・・計算間違えてるかなぁ、間違えてるかも・・・
a=7, x=11, n=31, e=12^2=144とすると、e1=16, e2=3, d=14, d1=8, d2=5
M1=1, M2=3とすると、M1*e1+M2*e2=25
このときCの候補は25, 56, 87, 118, ・・・
Cとしてどれを用いても、M'=9
このとき、
(M'*d1 mod x)=(72 mod 11)=6 ≠ M1 ??
(a-(M'*d2 mod a))=(7-(45 mod 7))=(7-3)=4 ≠ M2 ??
例1,2共に M1, M2 が元通りにならない・・・計算間違えてるかなぁ、間違えてるかも・・・
304 :132人目の素数さん:04/07/21 05:39
>>299
訳分からなくなってきたので
とりあえず突っ走って自分用(スミマセン)に
とりあえず>300-303と纏め+例を書いてみました。
がっ、もとに〜戻らないのは〜何故〜
確認はしてみましたが計算間違いの可能性有り・・・かな
訳分からなくなってきたので
とりあえず突っ走って自分用(スミマセン)に
とりあえず>300-303と纏め+例を書いてみました。
がっ、もとに〜戻らないのは〜何故〜
確認はしてみましたが計算間違いの可能性有り・・・かな
305 :梅どぶろく ◆21Da3ggG3M :04/07/21 07:33
>>291
M1,M2と分けているのは
たとえば平文が
01101011 01000111のとき
M1=01101011
M2=01000111
として分割して送ります。
一度に違った任意の平文を二つ送れます。
>>295
a*d1-x*d2=1となる自然数で最小のd1,d2とする
d1,d2は拡張ユークリッドで求めます。
>>296
e1=a*e
e2=x*eより
(M1*e1)+(M2*e2)
=(M1*a*e)+(M2*x*e)
=e*((M1*a)+(M2*x))
e*((a*M1)+(x*M2))<n
の心配がなければ
(M1*e1)+(M2*e2) < n
の心配もいらない
M1,M2と分けているのは
たとえば平文が
01101011 01000111のとき
M1=01101011
M2=01000111
として分割して送ります。
一度に違った任意の平文を二つ送れます。
>>295
a*d1-x*d2=1となる自然数で最小のd1,d2とする
d1,d2は拡張ユークリッドで求めます。
>>296
e1=a*e
e2=x*eより
(M1*e1)+(M2*e2)
=(M1*a*e)+(M2*x*e)
=e*((M1*a)+(M2*x))
e*((a*M1)+(x*M2))<n
の心配がなければ
(M1*e1)+(M2*e2) < n
の心配もいらない
306 :梅どぶろく ◆21Da3ggG3M :04/07/21 07:33
>>301
M1, M2の暗号文Cは
・(M1*e1)+(M2*e2) mod n
です。
割った余りです。
合同というわけではありません。
>>302>>303
nが下の説明の
(a+x)*(a-1)<nを満たしていません。
a<xのとき
平文M1,M2の取れる最大値はa-1
M'=(M1*a)+(M2*x)
a,xともM1はa<M1<xのときもOKだけど
Bobはa,xについて知るわけないから
0<=M1,M2<aが保証されるようにすればよい
M'=(M1*a)+(M2*x)
M1,M2の最大値はa-1だから
M'_max=((a-1)*a)+((a-1)*x)
=(a+x)*(a-1)
∴(a+x)*(a-1)<n
を満たすようにnを決めればよい
M1, M2の暗号文Cは
・(M1*e1)+(M2*e2) mod n
です。
割った余りです。
合同というわけではありません。
>>302>>303
nが下の説明の
(a+x)*(a-1)<nを満たしていません。
a<xのとき
平文M1,M2の取れる最大値はa-1
M'=(M1*a)+(M2*x)
a,xともM1はa<M1<xのときもOKだけど
Bobはa,xについて知るわけないから
0<=M1,M2<aが保証されるようにすればよい
M'=(M1*a)+(M2*x)
M1,M2の最大値はa-1だから
M'_max=((a-1)*a)+((a-1)*x)
=(a+x)*(a-1)
∴(a+x)*(a-1)<n
を満たすようにnを決めればよい
307 :白シャツ:04/07/21 10:14
疑問を羅列してみる。
nって何?
eの条件って、a*e>n、x*e>n 以外ないの?
整数kを適当に選らんで当たりのkを引きあてたら
GCD(e1+k*n,e2+k*n)=e
じゃないの?
nって何?
eの条件って、a*e>n、x*e>n 以外ないの?
整数kを適当に選らんで当たりのkを引きあてたら
GCD(e1+k*n,e2+k*n)=e
じゃないの?
308 :132人目の素数さん:04/07/21 11:03
>306
なんでnの条件がe1やらdを計算したあとの
>278 3/12になってから出てくるんだよ・・・
なんでnの条件がe1やらdを計算したあとの
>278 3/12になってから出てくるんだよ・・・
309 :296:04/07/21 12:33
>>304
> e1=a*e
> e2=x*eより
どこにそんなの書いてあるんだよ。
e1=a*e mod n
e2=x*e mod n
だろ?
その上で、e*((a*M1)+(x*M2)) < n ならば (M1*e1)+(M2*e2) < nが本当に言えるか考えてみろ。
復号しても元に戻らないか、あっさりと平文が出てくる暗号文続出だがいいんだな?
> e1=a*e
> e2=x*eより
どこにそんなの書いてあるんだよ。
e1=a*e mod n
e2=x*e mod n
だろ?
その上で、e*((a*M1)+(x*M2)) < n ならば (M1*e1)+(M2*e2) < nが本当に言えるか考えてみろ。
復号しても元に戻らないか、あっさりと平文が出てくる暗号文続出だがいいんだな?
310 :132人目の素数さん:04/07/21 13:23
311 :白シャツ:04/07/21 13:37
>>309
>その上で、e*((a*M1)+(x*M2)) < n ならば (M1*e1)+(M2*e2) < n
>が本当に言えるか考えてみろ。
>>276 に a*e>n、x*e>n とある.
a<n,x<nともかいてある.ここではa,xあるいはM1,M2がすべて正整数と仮定する.
e*((a*M1)+(x*M2))=a*e*M1+x*e*M2>(M1+M2)*n>=n
故にe*((a*M1)+(x*M2)) < nは偽.
a,xあるいはM1,M2がすべて正整数(ていうか自然数か?)だったら,
「e*((a*M1)+(x*M2)) < n ならば (M1*e1)+(M2*e2) < n」
は常に真?
>その上で、e*((a*M1)+(x*M2)) < n ならば (M1*e1)+(M2*e2) < n
>が本当に言えるか考えてみろ。
>>276 に a*e>n、x*e>n とある.
a<n,x<nともかいてある.ここではa,xあるいはM1,M2がすべて正整数と仮定する.
e*((a*M1)+(x*M2))=a*e*M1+x*e*M2>(M1+M2)*n>=n
故にe*((a*M1)+(x*M2)) < nは偽.
a,xあるいはM1,M2がすべて正整数(ていうか自然数か?)だったら,
「e*((a*M1)+(x*M2)) < n ならば (M1*e1)+(M2*e2) < n」
は常に真?
312 :132人目の素数さん:04/07/21 13:37
>>310
そうです、ありがとう^^
そうです、ありがとう^^
313 :白シャツ:04/07/21 13:46
314 :132人目の素数さん:04/07/21 13:47
>>311
なんで、そんな意味不明な議論をしてるの?って言おうと思ったら、自分が間違えてた。
>その上で、e*((a*M1)+(x*M2)) < n ならば (M1*e1)+(M2*e2) < n
じゃなくて、どぶろくの言い方を引用するなら
>その上で、e*((a*M1)+(x*M2)) < n の心配がないならば (M1*e1)+(M2*e2) < n の心配がない
だな。そして、これは真偽不定。
ちなみに、311は、「AならばB」は、そもそもAでないから、全体がTrueっていう意味のない議論だな。
なんで、そんな意味不明な議論をしてるの?って言おうと思ったら、自分が間違えてた。
>その上で、e*((a*M1)+(x*M2)) < n ならば (M1*e1)+(M2*e2) < n
じゃなくて、どぶろくの言い方を引用するなら
>その上で、e*((a*M1)+(x*M2)) < n の心配がないならば (M1*e1)+(M2*e2) < n の心配がない
だな。そして、これは真偽不定。
ちなみに、311は、「AならばB」は、そもそもAでないから、全体がTrueっていう意味のない議論だな。
315 :白シャツ:04/07/21 13:52
316 :梅どぶろく ■21Da3ggG3M:04/07/21 14:02
いやー、大量大量。爆釣だこりゃ
317 :132人目の素数さん:04/07/21 14:10
>>305
> たとえば平文が
> 01101011 01000111のとき
> M1=01101011
> M2=01000111
> として分割して送ります。
いや、だから、M2の頭の「0」が消えるのでは?
M1, M2共に8ビットだって分かっていれば良いけど、けどM1, M2って本来ただの数字なんでしょ?
分割の仕方は規定されていないから、別の人は M1=0110101101 M2=000111 で送るかもしれない
>一度に違った任意の平文を二つ送れます
ここはメリットのようにかいてるけど、2つに分けて暗号化するよう定義しただけで、
それに1つしか送らなくても良い場合でも2つ送らないといけないし、
3つ以上のの文は同時に送れないから強調しないほうが良い(してはいけない)。
そこを強調すると、自分では計算高く言ったつもりでも、他人からは浅はかと思われるよ。
> たとえば平文が
> 01101011 01000111のとき
> M1=01101011
> M2=01000111
> として分割して送ります。
いや、だから、M2の頭の「0」が消えるのでは?
M1, M2共に8ビットだって分かっていれば良いけど、けどM1, M2って本来ただの数字なんでしょ?
分割の仕方は規定されていないから、別の人は M1=0110101101 M2=000111 で送るかもしれない
>一度に違った任意の平文を二つ送れます
ここはメリットのようにかいてるけど、2つに分けて暗号化するよう定義しただけで、
それに1つしか送らなくても良い場合でも2つ送らないといけないし、
3つ以上のの文は同時に送れないから強調しないほうが良い(してはいけない)。
そこを強調すると、自分では計算高く言ったつもりでも、他人からは浅はかと思われるよ。
318 :132人目の素数さん:04/07/21 14:11
319 :132人目の素数さん:04/07/21 14:22
■と◆
320 :梅どぶろく ◆21Da3ggG3M :04/07/21 15:02
>>307
>eの条件って、a*e>n、x*e>n 以外ないの?
gcd(e,n)=1です。
>整数kを適当に選らんで当たりのkを引きあてたら
>GCD(e1+k*n,e2+k*n)=e
>じゃないの?
e1=a*e-n*p
e2=x*e-n*q
とできます。
p≠qですからちがうと思います。
>>309
すいません、mod nが抜けてました。
eの条件はgcd(e,n)=1だけですから
eのビット数をnと同じくらいのビットにすれば
e*((a*M1)+(x*M2)) > n はいえます。
>eの条件って、a*e>n、x*e>n 以外ないの?
gcd(e,n)=1です。
>整数kを適当に選らんで当たりのkを引きあてたら
>GCD(e1+k*n,e2+k*n)=e
>じゃないの?
e1=a*e-n*p
e2=x*e-n*q
とできます。
p≠qですからちがうと思います。
>>309
すいません、mod nが抜けてました。
eの条件はgcd(e,n)=1だけですから
eのビット数をnと同じくらいのビットにすれば
e*((a*M1)+(x*M2)) > n はいえます。
321 :白シャツ:04/07/21 15:18
>>320
>>eの条件って、a*e>n、x*e>n 以外ないの?
>gcd(e,n)=1です。
それは>>276に書いてあるんでそういうこと聞いてるのではない.
>e1=a*e-n*p
>e2=x*e-n*q
>とできます。
>p≠qですからちがうと思います。
a<n,x<n,e<nでe1,e2をそのようにとれるようなeって
どうやって決めるの?
>>eの条件って、a*e>n、x*e>n 以外ないの?
>gcd(e,n)=1です。
それは>>276に書いてあるんでそういうこと聞いてるのではない.
>e1=a*e-n*p
>e2=x*e-n*q
>とできます。
>p≠qですからちがうと思います。
a<n,x<n,e<nでe1,e2をそのようにとれるようなeって
どうやって決めるの?
322 :白シャツ:04/07/21 15:21
323 :白シャツ:04/07/21 15:47
>>397 で言った
>GCD(e1+k*n,e2+k*n)=e
は誤爆ですね.もともと考えていたのは
>>320 でどぶろく氏がいってるやつを叩く方法.
GCD(e1+p*n,e2+q*n)=e
になるような(p,q)が簡単に決まらないのかなと.
これが安全になるようなeの条件が知りたい.
とか思ってるうちにp=qじゃねーのと勘違いしました.スマソ.
>GCD(e1+k*n,e2+k*n)=e
は誤爆ですね.もともと考えていたのは
>>320 でどぶろく氏がいってるやつを叩く方法.
GCD(e1+p*n,e2+q*n)=e
になるような(p,q)が簡単に決まらないのかなと.
これが安全になるようなeの条件が知りたい.
とか思ってるうちにp=qじゃねーのと勘違いしました.スマソ.
324 :白シャツ:04/07/21 15:57
漏れもどぶろく並にダメ書き込み連発してるな(w
投稿前に入念な査読をせねば.
投稿前に入念な査読をせねば.
325 :白シャツ:04/07/21 16:07
326 :132人目の素数さん:04/07/21 16:08
327 :132人目の素数さん:04/07/21 16:20
316=318の夏厨
誰も構ってくれないんで一人で壊れだすの図>>326
誰も構ってくれないんで一人で壊れだすの図>>326
328 :132人目の素数さん:04/07/21 16:27
だああああああ。
>>320
> eのビット数をnと同じくらいのビットにすれば
> e*((a*M1)+(x*M2)) > n はいえます。
だから、それは、296で言ってるっつーの。
e*((a*M1)+(x*M2)) > nが言えて何が嬉しい?
そりゃ、おまえ、暗号化するやつが、秘密鍵まで知ってるぞ。
どぶろくが言いたかったのは、(M1*e1)+(M2*e2) > n だろ?
話にならん。
こんなん考えてるより
・数式を正しく理解出来ない。
・数式を正しく表現出来ない。
・人の話をそもそも聞いていない。
の三拍子揃った人でも受け入れてくれる暗号のえらい先生を捜す方がいいんじゃないか?
むかつくと思うが、それなら余計、もうちょっと基礎からなんとかしろ。
言っておくが、これは些細な問題じゃない。
きちんと数式を評価出来てないために起こる、暗号系の穴を指摘しているんだ。
>>320
> eのビット数をnと同じくらいのビットにすれば
> e*((a*M1)+(x*M2)) > n はいえます。
だから、それは、296で言ってるっつーの。
e*((a*M1)+(x*M2)) > nが言えて何が嬉しい?
そりゃ、おまえ、暗号化するやつが、秘密鍵まで知ってるぞ。
どぶろくが言いたかったのは、(M1*e1)+(M2*e2) > n だろ?
話にならん。
こんなん考えてるより
・数式を正しく理解出来ない。
・数式を正しく表現出来ない。
・人の話をそもそも聞いていない。
の三拍子揃った人でも受け入れてくれる暗号のえらい先生を捜す方がいいんじゃないか?
むかつくと思うが、それなら余計、もうちょっと基礎からなんとかしろ。
言っておくが、これは些細な問題じゃない。
きちんと数式を評価出来てないために起こる、暗号系の穴を指摘しているんだ。
329 :素人な達人:04/07/21 16:30
ってかわかんねぇ。
330 :梅どぶろく ◆rM4QWlepe6 :04/07/21 16:31
>>328
>e*((a*M1)+(x*M2)) > nが言えて何が嬉しい?
(M1*e1)+(M2*e2) > nが言えるからうれしい
だってさeはnと同じビット数としてとるんだよ?
a,xはnの半分くらいのビット数だから
問題ないよ
自分で考えてみて
>e*((a*M1)+(x*M2)) > nが言えて何が嬉しい?
(M1*e1)+(M2*e2) > nが言えるからうれしい
だってさeはnと同じビット数としてとるんだよ?
a,xはnの半分くらいのビット数だから
問題ないよ
自分で考えてみて
331 :132人目の素数さん:04/07/21 16:37
もう一度だけ言う。
e1 ≠ a * e
e2 ≠ x * e
であり、なおかつ、
e*((a*M1)+(x*M2)) > n
から
(M1*e1)+(M2*e2) > n
が言えると、主張するんだな?
e1 ≠ a * e
e2 ≠ x * e
であり、なおかつ、
e*((a*M1)+(x*M2)) > n
から
(M1*e1)+(M2*e2) > n
が言えると、主張するんだな?
332 :331:04/07/21 16:54
と、思ったら、330のトリップ変わってるじゃないか。
すまん、どぶろく、別人だったら誤爆した。
328と今までの流れを読んでも間違いに気が付いていないなら、諦めるところだったが、
別人なら、しょうがない。すまんかった。
釣られちまったよ。。。orz
すまん、どぶろく、別人だったら誤爆した。
328と今までの流れを読んでも間違いに気が付いていないなら、諦めるところだったが、
別人なら、しょうがない。すまんかった。
釣られちまったよ。。。orz
333 :白シャツ:04/07/21 17:09
334 :梅どぶろく ◆21Da3ggG3M :04/07/21 19:09
>>332>>333
本物です。typoしちゃったんです。
>>331
>e1 ≠ a * e
>e2 ≠ x * e
>であり、なおかつ、
>e*((a*M1)+(x*M2)) > n
>から
>(M1*e1)+(M2*e2) > n
>が言えると、主張するんだな?
言えますよ。ビット数で考えてみてください。
e<nでe,nのビット数をNとします。
e1=a*e mod n
e2=x*e mod n
だから、e1,e2もNビットにできます。
というか、e1,e2がNビットになるようにeを調節する
C=e*((a*M1)+(x*M2)) mod nと変形できる
=(e mod n)*(((a*M1)+(x*M2)) mod n)
ここで、(a*M1)+(x*M2) について考える
(a*M1)+(x*M2)<nとなるようにnを選んでいる
>>282の1-7行辺りより
a,x,M1,M2 とnのビット数の比は約1:2
∴a,x,M1,M2≒(1/2)Nビット
(a*M1)+(x*M2) は約Nビットとなる
e<n,(a*M1)+(x*M2)<nだから
(e mod n)*(((a*M1)+(x*M2)) mod n)
=e*((a*M1)+(x*M2))
eはNビット,(a*M1)+(x*M2)は約(1/2)Nビットだから
e*((a*M1)+(x*M2))は約(3/2)Nビットとなる
これはnのビット数Nより大きい
∴(M1*e1)+(M2*e2) > n
本物です。typoしちゃったんです。
>>331
>e1 ≠ a * e
>e2 ≠ x * e
>であり、なおかつ、
>e*((a*M1)+(x*M2)) > n
>から
>(M1*e1)+(M2*e2) > n
>が言えると、主張するんだな?
言えますよ。ビット数で考えてみてください。
e<nでe,nのビット数をNとします。
e1=a*e mod n
e2=x*e mod n
だから、e1,e2もNビットにできます。
というか、e1,e2がNビットになるようにeを調節する
C=e*((a*M1)+(x*M2)) mod nと変形できる
=(e mod n)*(((a*M1)+(x*M2)) mod n)
ここで、(a*M1)+(x*M2) について考える
(a*M1)+(x*M2)<nとなるようにnを選んでいる
>>282の1-7行辺りより
a,x,M1,M2 とnのビット数の比は約1:2
∴a,x,M1,M2≒(1/2)Nビット
(a*M1)+(x*M2) は約Nビットとなる
e<n,(a*M1)+(x*M2)<nだから
(e mod n)*(((a*M1)+(x*M2)) mod n)
=e*((a*M1)+(x*M2))
eはNビット,(a*M1)+(x*M2)は約(1/2)Nビットだから
e*((a*M1)+(x*M2))は約(3/2)Nビットとなる
これはnのビット数Nより大きい
∴(M1*e1)+(M2*e2) > n
335 :梅どぶろく ◆21Da3ggG3M :04/07/21 19:11
(M1*e1)+(M2*e2) > n
(M1*e1)は(1/2)Nビット数とNビット数の積だから
(3/2)Nビットになる
(M1*e1)は(1/2)Nビット数とNビット数の積だから
(3/2)Nビットになる
336 :132人目の素数さん:04/07/21 19:17
お願いだから、どっかにHTMLで成形してUPしておくれやっし
337 :132人目の素数さん:04/07/21 19:22
338 :132人目の素数さん:04/07/21 19:38
出たよ、脳内仕様変更
>>320にははっきりと
> eの条件はgcd(e,n)=1だけですから
と書いてある。
でも334では、
> だから、e1,e2もNビットにできます。
> というか、e1,e2がNビットになるようにeを調節する
と書いてある。
こういうのをeの条件って言うんだ、わからんのか。
ちなみにランダムにeを取ったときに条件を満たすeが取れる確率はちゃんと評価したか?
限りなく1に近いなら、まだ許そう。ざっと見積もって1/16だぞ?
こんな特殊な条件を
> 自分で考えてみて
の一言ですませる気だったのか。
しかも、何事もなかったように「言えますよ」とはなぁ…。
さらに、脳内仕様変更をいつものこととしてそれを受け入れても、334の式変形は間違ってる。
C=e*((a*M1)+(x*M2)) mod nと変形できる
=(e mod n)*(((a*M1)+(x*M2)) mod n)
ではない。
C=e*((a*M1)+(x*M2)) mod nと変形できる
=((e mod n)*(((a*M1)+(x*M2)) mod n) mod n)
だ。だから、それ以降の証明も本質的なところで大嘘になっている。
お願いだから、誰かも言っていたが、せめて自分の使っている式の意味ぐらい理解してから書いてくれ。
>>320にははっきりと
> eの条件はgcd(e,n)=1だけですから
と書いてある。
でも334では、
> だから、e1,e2もNビットにできます。
> というか、e1,e2がNビットになるようにeを調節する
と書いてある。
こういうのをeの条件って言うんだ、わからんのか。
ちなみにランダムにeを取ったときに条件を満たすeが取れる確率はちゃんと評価したか?
限りなく1に近いなら、まだ許そう。ざっと見積もって1/16だぞ?
こんな特殊な条件を
> 自分で考えてみて
の一言ですませる気だったのか。
しかも、何事もなかったように「言えますよ」とはなぁ…。
さらに、脳内仕様変更をいつものこととしてそれを受け入れても、334の式変形は間違ってる。
C=e*((a*M1)+(x*M2)) mod nと変形できる
=(e mod n)*(((a*M1)+(x*M2)) mod n)
ではない。
C=e*((a*M1)+(x*M2)) mod nと変形できる
=((e mod n)*(((a*M1)+(x*M2)) mod n) mod n)
だ。だから、それ以降の証明も本質的なところで大嘘になっている。
お願いだから、誰かも言っていたが、せめて自分の使っている式の意味ぐらい理解してから書いてくれ。
339 :梅どぶろく ◆21Da3ggG3M :04/07/21 19:42
openofficeの数式エディターでupしようと思います。
使い方勉強してくるのでupはしばしお待ちください。
使い方勉強してくるのでupはしばしお待ちください。
340 :132人目の素数さん:04/07/21 19:47
eもそうだけど、Mはどうなんだ?
>>300
>平文M1, M2は、(a*M1)+(x*M2)<n となるようにとる
>((a*M1)+(x*M2)>0は? M1, M2 >0 は?不明)
>(与えられたa,x,n に対して平文として取れるM1, M2はどのくらいあるのか不明←重要では?)
>>300
>平文M1, M2は、(a*M1)+(x*M2)<n となるようにとる
>((a*M1)+(x*M2)>0は? M1, M2 >0 は?不明)
>(与えられたa,x,n に対して平文として取れるM1, M2はどのくらいあるのか不明←重要では?)
341 :132人目の素数さん:04/07/21 19:52
342 :132人目の素数さん:04/07/21 19:57
むしろ、>>63の
> a*d1-x*d2=1となる
> 自然数で最小のd1,d2を求めておく
が、曖昧。
d1が最小になるのか、d1+d2の和が最小になるのか、d1*d2が最小になるのか、etc.
どういう解釈も出来る。どれでもいいのか?
が気になる。これが分かれば、いまんところ、仕様を補完出来るんだが。
> a*d1-x*d2=1となる
> 自然数で最小のd1,d2を求めておく
が、曖昧。
d1が最小になるのか、d1+d2の和が最小になるのか、d1*d2が最小になるのか、etc.
どういう解釈も出来る。どれでもいいのか?
が気になる。これが分かれば、いまんところ、仕様を補完出来るんだが。
343 :132人目の素数さん:04/07/21 20:02
344 :梅どぶろく ◆21Da3ggG3M :04/07/21 20:08
>>338
一応>>282の18行目に書いておりますが、
条件は一気に最初に書くようにしたほうがいいですね。
いきなり条件だけ書いても意味がわからないと思ったので
途中途中で条件書いてました。
今度からは条件を一気に最初に書いておいて
この条件についてはどこそこに説明書いてます。
って表記するようにします。
>C=e*((a*M1)+(x*M2)) mod nと変形できる
> =((e mod n)*(((a*M1)+(x*M2)) mod n) mod n)
>だ。だから、それ以降の証明も本質的なところで大嘘になっている。
すいません、式変形は>>388さんの式が正しいです。
でも、eがe<nでnと同じビット数を取るときは
>(M1*e1)+(M2*e2) > n
>(M1*e1)は(1/2)Nビット数とNビット数の積だから
>(3/2)Nビットになる
つまり、(M1*e1)+(M2*e2) > n
で納得していただけますよね?
>>340>>341
>>281の「正確には・・・」
を見てやっておくんなまし
一応>>282の18行目に書いておりますが、
条件は一気に最初に書くようにしたほうがいいですね。
いきなり条件だけ書いても意味がわからないと思ったので
途中途中で条件書いてました。
今度からは条件を一気に最初に書いておいて
この条件についてはどこそこに説明書いてます。
って表記するようにします。
>C=e*((a*M1)+(x*M2)) mod nと変形できる
> =((e mod n)*(((a*M1)+(x*M2)) mod n) mod n)
>だ。だから、それ以降の証明も本質的なところで大嘘になっている。
すいません、式変形は>>388さんの式が正しいです。
でも、eがe<nでnと同じビット数を取るときは
>(M1*e1)+(M2*e2) > n
>(M1*e1)は(1/2)Nビット数とNビット数の積だから
>(3/2)Nビットになる
つまり、(M1*e1)+(M2*e2) > n
で納得していただけますよね?
>>340>>341
>>281の「正確には・・・」
を見てやっておくんなまし
345 :梅どぶろく ◆21Da3ggG3M :04/07/21 20:10
346 :132人目の素数さん:04/07/21 20:11
Mも(M1*e1)+(M2*e2) > n じゃなきゃいかんから、
>320, >334, >338 で話題になってるeの条件によるんだよな
結局値のとる範囲が後出しされてるんだよな
プログラミングなるんなら最初に宣言したり、どの範囲でOKか意識するはずなのに
上手く動いてから、後付けで仕様のほうをブツにあわせていくタイプか?
>320, >334, >338 で話題になってるeの条件によるんだよな
結局値のとる範囲が後出しされてるんだよな
プログラミングなるんなら最初に宣言したり、どの範囲でOKか意識するはずなのに
上手く動いてから、後付けで仕様のほうをブツにあわせていくタイプか?
347 :132人目の素数さん:04/07/21 20:13
348 :132人目の素数さん:04/07/21 21:32
>>344
悪いが、まだおかしい。
> 一応>>282の18行目に書いておりますが、
っていうのは、
> eはビット数がnと同じでgcd(e,n)=1になるように選べばいいから
のことだよな?
e1,e2がNビットになるようにeを調節するんであって、
eをnとビット数が同じになるようにしたからと言って、
e1とe2がNビットになるわけではないぞ。
だから、
> eがe<nでnと同じビット数を取るときは
> >(M1*e1)+(M2*e2) > n
> >(M1*e1)は(1/2)Nビット数とNビット数の積だから
> >(3/2)Nビットになる
> つまり、(M1*e1)+(M2*e2) > n
> で納得していただけますよね?
は、納得出来ない。(と、いうより、間違っている)
明らかに、e,e1,e2を混同している。
自分で作った変数ぐらい面倒見て下さい。
悪いが、まだおかしい。
> 一応>>282の18行目に書いておりますが、
っていうのは、
> eはビット数がnと同じでgcd(e,n)=1になるように選べばいいから
のことだよな?
e1,e2がNビットになるようにeを調節するんであって、
eをnとビット数が同じになるようにしたからと言って、
e1とe2がNビットになるわけではないぞ。
だから、
> eがe<nでnと同じビット数を取るときは
> >(M1*e1)+(M2*e2) > n
> >(M1*e1)は(1/2)Nビット数とNビット数の積だから
> >(3/2)Nビットになる
> つまり、(M1*e1)+(M2*e2) > n
> で納得していただけますよね?
は、納得出来ない。(と、いうより、間違っている)
明らかに、e,e1,e2を混同している。
自分で作った変数ぐらい面倒見て下さい。
349 :白シャツ:04/07/21 21:50
>>339
できればoooだけじゃなくてpdfもあるとうれしい。
oooでコンバートできるよね。TeXで作りやがれとまでは言わないし。
oooとか入れるの面倒くさい人多いでしょ。
ふつうはPS,PDFぐらいじゃないと読んでもらえないし。
できればoooだけじゃなくてpdfもあるとうれしい。
oooでコンバートできるよね。TeXで作りやがれとまでは言わないし。
oooとか入れるの面倒くさい人多いでしょ。
ふつうはPS,PDFぐらいじゃないと読んでもらえないし。
350 :132人目の素数さん:04/07/21 21:56
TeXで書いた。pdfにもなってる。だれか、あげるところ用意して。
でも、やっぱり、
>>345の
拡張ユークリッドの互除法により
a*d1-x*d2=1となる
自然数で最小のd1とd2を求めておく
の意味が分からない。「自然数で最小の」はd1にかかってるの?d2はなんでもいいのか???
でも、やっぱり、
>>345の
拡張ユークリッドの互除法により
a*d1-x*d2=1となる
自然数で最小のd1とd2を求めておく
の意味が分からない。「自然数で最小の」はd1にかかってるの?d2はなんでもいいのか???
351 :白シャツ:04/07/21 22:04
商と剰余を混同してないかな?
それでサイズの押え方がおかしいとか
それでサイズの押え方がおかしいとか
352 :132人目の素数さん:04/07/21 22:13
ところで拡張ユークリッドの互除法ってなーに?
普通のユークリッドの互除法とどう違うの?
普通のユークリッドの互除法とどう違うの?
353 :132人目の素数さん:04/07/21 22:37
354 :132人目の素数さん:04/07/21 22:51
355 :白シャツ:04/07/21 23:04
356 :白シャツ:04/07/22 01:12
核融合に閃光花火投下するぐらいかもしれないけど
>>334 後半部分から抜粋
>(a*M1)+(x*M2) は約Nビットとなる
>e<n,(a*M1)+(x*M2)<nだから
>(e mod n)*(((a*M1)+(x*M2)) mod n)
>=e*((a*M1)+(x*M2))
>eはNビット,(a*M1)+(x*M2)は約(1/2)Nビットだから
一番上と一番下で言ってること違わない?
>>334 後半部分から抜粋
>(a*M1)+(x*M2) は約Nビットとなる
>e<n,(a*M1)+(x*M2)<nだから
>(e mod n)*(((a*M1)+(x*M2)) mod n)
>=e*((a*M1)+(x*M2))
>eはNビット,(a*M1)+(x*M2)は約(1/2)Nビットだから
一番上と一番下で言ってること違わない?
357 :白シャツ:04/07/22 01:42
計算しましょう。
>>320の表記にしたがって
e*a=e1+n*p
e*x=e2+n*q とする
e*((a*M1)+(x*M2))=e*a*M1+e*x*M2
=(e1+n*p)*M1+(e2+n*q)*M2=(M1*e1+M2*e2)+(M1*p+M2*q)*n
ではない?
>>334で
>∴(M1*e1)+(M2*e2) > n
なのはn,e1,e2がNビット(ただしe1<n,e2<n)、
M1,M2がN/2ビットとの条件からでしょう。
>>320の表記にしたがって
e*a=e1+n*p
e*x=e2+n*q とする
e*((a*M1)+(x*M2))=e*a*M1+e*x*M2
=(e1+n*p)*M1+(e2+n*q)*M2=(M1*e1+M2*e2)+(M1*p+M2*q)*n
ではない?
>>334で
>∴(M1*e1)+(M2*e2) > n
なのはn,e1,e2がNビット(ただしe1<n,e2<n)、
M1,M2がN/2ビットとの条件からでしょう。
358 :梅どぶろく ◆21Da3ggG3M :04/07/22 05:47
>eはNビット,(a*M1)+(x*M2)は約(1/2)Nビットだから
これはこっちが間違ってます。
(a*M1)+(x*M2)は約Nビットだから
こっちが正しいです。
約(1/2)Nビットなのはa,x,M1,M2のビット数です。
これはこっちが間違ってます。
(a*M1)+(x*M2)は約Nビットだから
こっちが正しいです。
約(1/2)Nビットなのはa,x,M1,M2のビット数です。
359 :132人目の素数さん:04/07/22 06:30
a,bが互いに素な正の整数のとき
整数x,yがax−by=1を満たしているならxが増えればyも増えるので
0≦x,0≦y,ax−by=1という条件を満たすもので
xが最小になるものとyが最小になるものとx+yが最小になるものと
xyが最小になるものは全て同じ。
整数x,yがax−by=1を満たしているならxが増えればyも増えるので
0≦x,0≦y,ax−by=1という条件を満たすもので
xが最小になるものとyが最小になるものとx+yが最小になるものと
xyが最小になるものは全て同じ。
360 :梅どぶろく ◆21Da3ggG3M :04/07/22 09:08
具体例で説明します。
ここでは、e1,e2の大きさや
(e1*M1)+(e2*M2)>nは考慮していません。
Aliceはまず、gcd(a,x)=1となるa,xを適当に決める
ここでは
a=113,x=167とします。
つぎに、
(a-1)*(a+x)<n かつ gcd(a,n)=1 gcd(x,n)=1
となるようにnを決めます。
ここでは、(113-1)*(113+167)=31360<nとなる
nとしてn=58061にします。
gcd(e,n)=1となるようにeを決めます。
ここではeとしてe=37480を選びます。
次に公開鍵を作ります。
e1=a*e mod n
=113*37480 mod 58061
=54848
e2=x*e mod n
=167*37480 mod 58061
=46633
今度は秘密鍵を作ります。
e*d=1 mod n
37480*d = 1 mod 58061
となるdはd=30702となります。
a*d1-x*d2=1
113*d1-167*d2=1となる
自然数で最小のd1,d2のペアは
(d1,d2)=(34,23)になります。
ここでは、e1,e2の大きさや
(e1*M1)+(e2*M2)>nは考慮していません。
Aliceはまず、gcd(a,x)=1となるa,xを適当に決める
ここでは
a=113,x=167とします。
つぎに、
(a-1)*(a+x)<n かつ gcd(a,n)=1 gcd(x,n)=1
となるようにnを決めます。
ここでは、(113-1)*(113+167)=31360<nとなる
nとしてn=58061にします。
gcd(e,n)=1となるようにeを決めます。
ここではeとしてe=37480を選びます。
次に公開鍵を作ります。
e1=a*e mod n
=113*37480 mod 58061
=54848
e2=x*e mod n
=167*37480 mod 58061
=46633
今度は秘密鍵を作ります。
e*d=1 mod n
37480*d = 1 mod 58061
となるdはd=30702となります。
a*d1-x*d2=1
113*d1-167*d2=1となる
自然数で最小のd1,d2のペアは
(d1,d2)=(34,23)になります。
361 :梅どぶろく ◆21Da3ggG3M :04/07/22 09:10
公開鍵は
n=58061 e1=54848 e2=46623
秘密鍵は
a=113 x=167 d=30702 d1=34 d2=23
になります。
BobはAliceから公開鍵を聞きました。
平文として
(M1,M2)=(104,76)を送ってみます。
暗号化の式は
C=(e1*M1)+(e2*M2) mod n
C=(54848*104)+(46623*76) mod 58061
=14214+2387 mod 58061
=16601
BobはAliceに暗号文16601を送ります。
復号の式は
M'=C*d mod nだから
=16601*30702 mod 58061
=24444
M1=M'*d1 mod xより
M1=24444*34 mod 167
=104
M2=a-(M'*d2 mod a)より
M2=113-(24444*23 mod 113)
=113-(37)
=76
∴Aliceは
平文(M1,M2)=(104,76)を得ることができました。
n=58061 e1=54848 e2=46623
秘密鍵は
a=113 x=167 d=30702 d1=34 d2=23
になります。
BobはAliceから公開鍵を聞きました。
平文として
(M1,M2)=(104,76)を送ってみます。
暗号化の式は
C=(e1*M1)+(e2*M2) mod n
C=(54848*104)+(46623*76) mod 58061
=14214+2387 mod 58061
=16601
BobはAliceに暗号文16601を送ります。
復号の式は
M'=C*d mod nだから
=16601*30702 mod 58061
=24444
M1=M'*d1 mod xより
M1=24444*34 mod 167
=104
M2=a-(M'*d2 mod a)より
M2=113-(24444*23 mod 113)
=113-(37)
=76
∴Aliceは
平文(M1,M2)=(104,76)を得ることができました。
362 :132人目の素数さん:04/07/22 11:13
363 :梅どぶろく ◆21Da3ggG3M :04/07/22 12:44
梅暗号の安全性の証明を
一般化するとこんな感じかな?
A=a*k mod n
X=x*k mod n
としてA,Xが与えられるときに
gcd(a,x)=1,gcd(a,n)=1,gcd(x,n)=1
かつ
a<x
かつ
(a-1)*(a+x)<nを満たす
a,xを求めるのは困難か否か?
(a=1,2は除く)
梅暗号としては
A=a*k mod n
X=x*k mod n
としてA,Xが与えられるときに
gcd(a,x)=1,gcd(a,n)=1,gcd(x,n)=1
かつ
a<x
かつ
M_min*(a+x)<n M_max*(a+x)<n
かつ
M_min<a,x M_max<a,x を満たす
a,xを求めるのは困難か否か?
(※このレス中で出てくる数はすべて自然数です)
一般化するとこんな感じかな?
A=a*k mod n
X=x*k mod n
としてA,Xが与えられるときに
gcd(a,x)=1,gcd(a,n)=1,gcd(x,n)=1
かつ
a<x
かつ
(a-1)*(a+x)<nを満たす
a,xを求めるのは困難か否か?
(a=1,2は除く)
梅暗号としては
A=a*k mod n
X=x*k mod n
としてA,Xが与えられるときに
gcd(a,x)=1,gcd(a,n)=1,gcd(x,n)=1
かつ
a<x
かつ
M_min*(a+x)<n M_max*(a+x)<n
かつ
M_min<a,x M_max<a,x を満たす
a,xを求めるのは困難か否か?
(※このレス中で出てくる数はすべて自然数です)
364 :梅どぶろく ◆21Da3ggG3M :04/07/22 12:48
>>348
ううう、>>334の12-16行目辺りを見て下さい。
>e<nでe,nのビット数をNとします。
>e1=a*e mod n
>e2=x*e mod n
>だから、e1,e2もNビットにできます。
>というか、e1,e2がNビットになるようにeを調節する
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ううう、>>334の12-16行目辺りを見て下さい。
>e<nでe,nのビット数をNとします。
>e1=a*e mod n
>e2=x*e mod n
>だから、e1,e2もNビットにできます。
>というか、e1,e2がNビットになるようにeを調節する
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
365 :梅どぶろく ◆21Da3ggG3M :04/07/22 12:53
なんどもすいません。
>というか、e1,e2がNビットになるようにeを調節する
これは、eの値を調節するのであってビット数を調節するわけではありません。
あくまでも、eのビット数はNのままで2^(N-1)〜(2^N)-1の間の値を
e1,e2がNビットとなるようにとるってことです。
>というか、e1,e2がNビットになるようにeを調節する
これは、eの値を調節するのであってビット数を調節するわけではありません。
あくまでも、eのビット数はNのままで2^(N-1)〜(2^N)-1の間の値を
e1,e2がNビットとなるようにとるってことです。
366 :132人目の素数さん:04/07/22 13:03
ホント何度も何度もすいません。
>>363の
>A=a*k mod n
>X=x*k mod n
>としてA,Xが与えられるときに
これは
A=a*k mod n
X=x*k mod n
としてA,X,nが与えられるときに
こっちに修正です。
>>363の
>A=a*k mod n
>X=x*k mod n
>としてA,Xが与えられるときに
これは
A=a*k mod n
X=x*k mod n
としてA,X,nが与えられるときに
こっちに修正です。
367 :132人目の素数さん:04/07/22 13:25
最初に与えたeを後で調整し直すのは感心せん
数学的にも実用的にも
数学的にも実用的にも
368 :132人目の素数さん:04/07/22 18:21
そろそろこのアルゴリズムに対する攻撃をしてもいい?
369 :梅どぶろく ◆21Da3ggG3M :04/07/22 18:22
>>368
じゃんじゃんお願いします。
じゃんじゃんお願いします。
370 :132人目の素数さん:04/07/22 18:39
まず、どこかに言って発表しようって言うぐらいなら、当然先行研究に、目を通すぐらいのことはしてるって仮定する。
だから、公開鍵暗号に対するチャレンジについて一つずつ見ていこう。
参考文献として、
M.Bellare A,Desai D.Pointcheval P.Rogway
Relations Among Notions of Security for Public-key Encryption Schemes 2001.
をあげておく。ちょっと古いけど、まぁ、いいだろう。
定義についておかしいなと思ったときは、随時上を参照してくれ。
まず、
Semantic Secureについて。わかりやすく言うと、平文の一部がばれたことが、全体がばれることにつながらないかって感じ。
これは、どぶろく暗号CPAに対しても、弱い。
具体的には、M1がばれるとM2がばれる。これは、まずい。
例えば、
M1="私の名前は"
M2="梅どぶろくです"
となるということが、何らかの形で分かれば、
同じように流れている暗号文に対して、M1="私の名前は"を当てはめればM2が分かってしまう。
「そんなこと滅多に起こるもんじゃない!」
なんて考えない方がいい。実際、ヘッダーデータのように決まり文句が付いていないデータを探す方が困難だ。
だから、ヘッダーデータは分かっている(=M1がばれている)という状況はしょっちゅう起こる。
また、これをアプリケーションの実装でなんとかするのは無理だ。
もしあったら申告して下さい。それを打ち破れる反例を出します。
SS-CPA, SS-CCA1, SS-CCA2に関しては、安全でないことが示された。
この参考文献の定義ではSSとNMが同値のようだから、
NM-CPA, NM-CCA1, NM-CCA2に関しても安全でないことが示されたみたいだな。
だから、公開鍵暗号に対するチャレンジについて一つずつ見ていこう。
参考文献として、
M.Bellare A,Desai D.Pointcheval P.Rogway
Relations Among Notions of Security for Public-key Encryption Schemes 2001.
をあげておく。ちょっと古いけど、まぁ、いいだろう。
定義についておかしいなと思ったときは、随時上を参照してくれ。
まず、
Semantic Secureについて。わかりやすく言うと、平文の一部がばれたことが、全体がばれることにつながらないかって感じ。
これは、どぶろく暗号CPAに対しても、弱い。
具体的には、M1がばれるとM2がばれる。これは、まずい。
例えば、
M1="私の名前は"
M2="梅どぶろくです"
となるということが、何らかの形で分かれば、
同じように流れている暗号文に対して、M1="私の名前は"を当てはめればM2が分かってしまう。
「そんなこと滅多に起こるもんじゃない!」
なんて考えない方がいい。実際、ヘッダーデータのように決まり文句が付いていないデータを探す方が困難だ。
だから、ヘッダーデータは分かっている(=M1がばれている)という状況はしょっちゅう起こる。
また、これをアプリケーションの実装でなんとかするのは無理だ。
もしあったら申告して下さい。それを打ち破れる反例を出します。
SS-CPA, SS-CCA1, SS-CCA2に関しては、安全でないことが示された。
この参考文献の定義ではSSとNMが同値のようだから、
NM-CPA, NM-CCA1, NM-CCA2に関しても安全でないことが示されたみたいだな。
371 :132人目の素数さん:04/07/22 18:51
次に、Indistinguishabilityについて。
これは、二つの都合の良い平文を用意して、そのうちのどちらかを暗号化したデータをもらい、そのデータの復号文は
最初に用意した平文のうちどちらかを当てるってチャレンジ。
当たる確率が1/2に限りなく近いのが、いい暗号といえる。
これもCPAに対して弱いことが言える。
M1=a,M2=bのペアとM1=a,M2=b+1のペアを暗号化させれば、
Cの差がe2 < nなのでe2 か n - e2になり、どちらか特定出来る。
よって、
IND-CPA, IND-CCA1, IND-CCA2に対しても弱いことが示された。
これは、二つの都合の良い平文を用意して、そのうちのどちらかを暗号化したデータをもらい、そのデータの復号文は
最初に用意した平文のうちどちらかを当てるってチャレンジ。
当たる確率が1/2に限りなく近いのが、いい暗号といえる。
これもCPAに対して弱いことが言える。
M1=a,M2=bのペアとM1=a,M2=b+1のペアを暗号化させれば、
Cの差がe2 < nなのでe2 か n - e2になり、どちらか特定出来る。
よって、
IND-CPA, IND-CCA1, IND-CCA2に対しても弱いことが示された。
372 :132人目の素数さん:04/07/22 18:56
ちなみに、Indistinguishabilityは、どういう状況を想定しているかというと、
例えば信任選挙のようなもの。
ある人が、賛成に入れたか反対に入れたかを暗号用公開鍵を知ることなく知りたい、というような状況。
(有権者でない人(外国人スパイ)が、誰が、賛成したのか、反対したのかを知りたいというような状況?)
まぁ、どぶろく暗号の場合、確率暗号じゃないから、取りうる値の範囲が狭かったら一瞬でCPAの餌食だけどな。
例えば信任選挙のようなもの。
ある人が、賛成に入れたか反対に入れたかを暗号用公開鍵を知ることなく知りたい、というような状況。
(有権者でない人(外国人スパイ)が、誰が、賛成したのか、反対したのかを知りたいというような状況?)
まぁ、どぶろく暗号の場合、確率暗号じゃないから、取りうる値の範囲が狭かったら一瞬でCPAの餌食だけどな。
373 :132人目の素数さん:04/07/22 19:05
最後に、OneWayness
暗号文から平文が分からないっていう最も基本的な所で、
これが、あっさり言えないなんてなったらつまらんから、普通は最後に評価する。
多分、上でどぶろくがやっていた安全性評価ってのはここのことだろう。
これの安全性を示す前に、確認しておきたいことがある。
CCA(選択暗号文攻撃)を行なっているときに、あるCに対して与えたM1,M2の範囲を満たさないM1とM2が出てきた場合、
復号oracleはなんて答えるんだ?
この仕様を見ると、無理矢理範囲を満たさないM1,M2を平文として返すようにしか見えないんだが。
暗号文から平文が分からないっていう最も基本的な所で、
これが、あっさり言えないなんてなったらつまらんから、普通は最後に評価する。
多分、上でどぶろくがやっていた安全性評価ってのはここのことだろう。
これの安全性を示す前に、確認しておきたいことがある。
CCA(選択暗号文攻撃)を行なっているときに、あるCに対して与えたM1,M2の範囲を満たさないM1とM2が出てきた場合、
復号oracleはなんて答えるんだ?
この仕様を見ると、無理矢理範囲を満たさないM1,M2を平文として返すようにしか見えないんだが。
374 :白シャツ:04/07/22 21:48
ところでまとめてUPするという話はどうなった?
375 :梅どぶろく ◆21Da3ggG3M :04/07/22 22:14
>>370
>だから、ヘッダーデータは分かっている(=M1がばれている)という状況はしょっちゅう起こる。
だったら、ヘッダーを暗号化しなけりゃ良いじゃん と思った。
つーか、受信者もどの公開鍵暗号方式・鍵で暗号化しているのか知ってなきゃいかんから
ヘッダーを暗号化されても困ると思う。
どの公開鍵暗号方式・鍵で暗号化しているのかわかっていればヘッダーをつける必要もない
>Semantic Secureについて。
>わかりやすく言うと、平文の一部がばれたことが、
>全体がばれることにつながらないかって感じ。
>これは、どぶろく暗号CPAに対しても、弱い。
>具体的には、M1がばれるとM2がばれる。これは、まずい。
たしかにそうなんですよね。M1全てがばれればM2もばれます。
これは、ある値を暗号化したいときに
奇数番目にあるビットはM1に、
偶数番目にあるビットはM2に、
という風に割り振れば解決できます。
こっちの方が本質の問題
M1,M2の一部は共に半分以上分かっているときに平文M1,M2がばれるかどうか
↑のときはどうでしょうか?
>だから、ヘッダーデータは分かっている(=M1がばれている)という状況はしょっちゅう起こる。
だったら、ヘッダーを暗号化しなけりゃ良いじゃん と思った。
つーか、受信者もどの公開鍵暗号方式・鍵で暗号化しているのか知ってなきゃいかんから
ヘッダーを暗号化されても困ると思う。
どの公開鍵暗号方式・鍵で暗号化しているのかわかっていればヘッダーをつける必要もない
>Semantic Secureについて。
>わかりやすく言うと、平文の一部がばれたことが、
>全体がばれることにつながらないかって感じ。
>これは、どぶろく暗号CPAに対しても、弱い。
>具体的には、M1がばれるとM2がばれる。これは、まずい。
たしかにそうなんですよね。M1全てがばれればM2もばれます。
これは、ある値を暗号化したいときに
奇数番目にあるビットはM1に、
偶数番目にあるビットはM2に、
という風に割り振れば解決できます。
こっちの方が本質の問題
M1,M2の一部は共に半分以上分かっているときに平文M1,M2がばれるかどうか
↑のときはどうでしょうか?
376 :梅どぶろく ◆21Da3ggG3M :04/07/22 22:14
>>371>>372
>また、これをアプリケーションの実装でなんとかするのは無理だ。
>もしあったら申告して下さい。それを打ち破れる反例を出します。
これは平文をいくらか乱数で埋めることで解決できませんか?
というか、梅暗号の場合そうしないといけないんです。
一度に送れる平文は少なくなりますが・・・
平文→暗号文は平文に対して乱数を64ビット程度埋める予定です。
つまり、一度に暗号化する平文の量が多ければ多いほど、膨らみ率は小さくなります。
>ある人が、賛成に入れたか反対に入れたかを暗号用公開鍵を知ることなく知りたい、というような状況。
矛盾してますよ。下のほうでは暗号用公開鍵を知らないといっているのに
上のほうではM1,M2を暗号化できるといっている。
暗号用公開鍵を知っているのかしらないのかどっちなんですか?
>CCA(選択暗号文攻撃)を行なっているときに、
>あるCに対して与えたM1,M2の範囲を満たさないM1とM2が出てきた場合、
>復号oracleはなんて答えるんだ?
C>nとなるCを与えても、
C mod n
の値を復号するのと同じことになるので
考慮する必要ないと思います。
C<nならM1,M2の範囲を満たすM1,M2がでてきますので・・・
>M1,M2の範囲を満たさないM1とM2が出てきた場合、
これは絶対にありません。100%です。断言します。
M1=M'*d1 mod x
M2=a-(M'*d2 mod a)
です。
mod a,xがあるので大丈夫です。
377 :梅どぶろく ◆21Da3ggG3M :04/07/22 22:19
378 :白シャツ:04/07/22 22:34
>>377
そもそもここ見てる人が東京の人とは限らんが、
良い日を選んだな。
ここへ行け
ttp://www.21coe.chuo-u.ac.jp/security/event/20040806-0808/200408.htm
そもそもここ見てる人が東京の人とは限らんが、
良い日を選んだな。
ここへ行け
ttp://www.21coe.chuo-u.ac.jp/security/event/20040806-0808/200408.htm
379 :白シャツ:04/07/22 22:39
>>378
念のために言っておくけど、漏れが行くかどうかは未定。
だれか聞いてくれる暇な人がいるかもしれないと言う事。
「読める状態の何か」を作って配らせてもらうことぐらいは
頼めるんじゃない?
許可されるかどうかは聞いてみないとわからんけどね。
念のために言っておくけど、漏れが行くかどうかは未定。
だれか聞いてくれる暇な人がいるかもしれないと言う事。
「読める状態の何か」を作って配らせてもらうことぐらいは
頼めるんじゃない?
許可されるかどうかは聞いてみないとわからんけどね。
380 :132人目の素数さん:04/07/22 23:09
>>375
> だったら、ヘッダーを暗号化しなけりゃ良いじゃん と思った。
なんか、大きな勘違いをしているとおもうんだが…。
どぶろくの中のヘッダーデータというのは、暗号方式を規定したものだけでしかないようだが、
もっと一般的なものであることは、文章を読めば分かると思うんだが…。むしろ、暗号方式を規定したヘッダなんてどこにもかいとらん。
Macバイナリにしかり、Bitmapのヘッダにしかり、TCPのコネクションをはる初期化プロトコルにしかり。
それとも、決まり文句が入っている平文は、暗号化しないで下さい、って暗号なの?
それって、実用として全く使えないな。
> だったら、ヘッダーを暗号化しなけりゃ良いじゃん と思った。
なんか、大きな勘違いをしているとおもうんだが…。
どぶろくの中のヘッダーデータというのは、暗号方式を規定したものだけでしかないようだが、
もっと一般的なものであることは、文章を読めば分かると思うんだが…。むしろ、暗号方式を規定したヘッダなんてどこにもかいとらん。
Macバイナリにしかり、Bitmapのヘッダにしかり、TCPのコネクションをはる初期化プロトコルにしかり。
それとも、決まり文句が入っている平文は、暗号化しないで下さい、って暗号なの?
それって、実用として全く使えないな。
381 :132人目の素数さん:04/07/22 23:15
「あいつは必ずメールの末尾に署名いれてくるから、他のところに出してるメールも同じだろう。」
ということですな。
確かに、それが弱点となってしまうようでは実用として使えないな。
ということですな。
確かに、それが弱点となってしまうようでは実用として使えないな。
382 :梅どぶろく ◆21Da3ggG3M :04/07/22 23:16
>>380
ヘッダーについては勘違いしてた。
暗号の種類を記したものだけだと思ってた。
ヘッダーについては、
ヘッダーをM1,M2に交互に割り振れば大丈夫でしょう。
M1,M2の平文が共に半分以上分かっている時に
M1,M2が求められるのか?
ヘッダーの問題については↑の問題を考える必要があります。
考えてみてください。
ヘッダーについては勘違いしてた。
暗号の種類を記したものだけだと思ってた。
ヘッダーについては、
ヘッダーをM1,M2に交互に割り振れば大丈夫でしょう。
M1,M2の平文が共に半分以上分かっている時に
M1,M2が求められるのか?
ヘッダーの問題については↑の問題を考える必要があります。
考えてみてください。
383 :132人目の素数さん:04/07/22 23:29
>>376
>また、これをアプリケーションの実装でなんとかするのは無理だ。
>もしあったら申告して下さい。それを打ち破れる反例を出します。
これは平文をいくらか乱数で埋めることで解決できませんか?
というか、梅暗号の場合そうしないといけないんです。
こういう仕様変更は、弱点を指摘される前に言ってね。
そんなのばっかりで、ちょっとうんざりしてるんで。
で、具体的には、どういう乱数で埋めるの?
>また、これをアプリケーションの実装でなんとかするのは無理だ。
>もしあったら申告して下さい。それを打ち破れる反例を出します。
これは平文をいくらか乱数で埋めることで解決できませんか?
というか、梅暗号の場合そうしないといけないんです。
こういう仕様変更は、弱点を指摘される前に言ってね。
そんなのばっかりで、ちょっとうんざりしてるんで。
で、具体的には、どういう乱数で埋めるの?
384 :白シャツ:04/07/22 23:30
385 :梅どぶろく ◆21Da3ggG3M :04/07/22 23:39
>>383
仕様変更というか実装を考慮した時には
乱数で埋めなきゃいけないってことなんですけど。
数学的な問題と実装についての問題は分けて考えてもらえませんか?
M1全てが分かればM2が分かる
これはM1,M2に平文のビットを交互に割り振ればいい
↑のようなやり取りはあくまで、実装についてです。
数学的な問題ではありません。
ここでは、実装についても考慮する必要があるんでしょうか?
実装についての問題ならどうとでもなります。
それに対応する解決方法もたくさん考えられているわけですから
実装ならプログラム板向けだと思いますが?
>で、具体的には、どういう乱数で埋めるの?
M1,M2の先頭に乱数をつけてやればいいと思います。
何度も書いてますが、
M1,M2の平文が共に半分以上分かっている時に
M1,M2が求められるのか?
これについて答えてください。
仕様変更というか実装を考慮した時には
乱数で埋めなきゃいけないってことなんですけど。
数学的な問題と実装についての問題は分けて考えてもらえませんか?
M1全てが分かればM2が分かる
これはM1,M2に平文のビットを交互に割り振ればいい
↑のようなやり取りはあくまで、実装についてです。
数学的な問題ではありません。
ここでは、実装についても考慮する必要があるんでしょうか?
実装についての問題ならどうとでもなります。
それに対応する解決方法もたくさん考えられているわけですから
実装ならプログラム板向けだと思いますが?
>で、具体的には、どういう乱数で埋めるの?
M1,M2の先頭に乱数をつけてやればいいと思います。
何度も書いてますが、
M1,M2の平文が共に半分以上分かっている時に
M1,M2が求められるのか?
これについて答えてください。
386 :梅どぶろく ◆21Da3ggG3M :04/07/22 23:46
387 :132人目の素数さん:04/07/22 23:50
うん、だから、M1とかM2のビットを交互とか全く関係なく
M1が分かればM2が分かる
ってのは暗号数学的に致命的なんじゃないの?
と、指摘している。
もし、数学的にこの問題を解決するなら、Cの構造を変えるしかないんじゃない?
> M1,M2の平文が共に半分以上分かっている時に
> M1,M2が求められるのか?
これが、ビットを割り振った実装上の問題でしょ?
ちなみに、これが求まるかどうかには私は興味はありません。
他の所から攻撃するんで。
M1が分かればM2が分かる
ってのは暗号数学的に致命的なんじゃないの?
と、指摘している。
もし、数学的にこの問題を解決するなら、Cの構造を変えるしかないんじゃない?
> M1,M2の平文が共に半分以上分かっている時に
> M1,M2が求められるのか?
これが、ビットを割り振った実装上の問題でしょ?
ちなみに、これが求まるかどうかには私は興味はありません。
他の所から攻撃するんで。
388 :梅どぶろく ◆21Da3ggG3M :04/07/22 23:57
>>387
>M1が分かればM2が分かる
>ってのは暗号数学的に致命的なんじゃないの?
これは
RSA暗号は巨大な素数の合成数p*qが簡単に素因数分解できれば問題だ
ってのは暗号学的に問題なんじゃないの?
と言っていることと似ていると思います。
これも確かに問題ですが、
じゃあ具体的にどうやって簡単に素因数分解するの?
と聞きたくなります
M1が分かればM2が分かります。
確かにこれは致命的です。
具体的にはどうやってM1がわかるのでしょうか?
教えてください。
>M1が分かればM2が分かる
>ってのは暗号数学的に致命的なんじゃないの?
これは
RSA暗号は巨大な素数の合成数p*qが簡単に素因数分解できれば問題だ
ってのは暗号学的に問題なんじゃないの?
と言っていることと似ていると思います。
これも確かに問題ですが、
じゃあ具体的にどうやって簡単に素因数分解するの?
と聞きたくなります
M1が分かればM2が分かります。
確かにこれは致命的です。
具体的にはどうやってM1がわかるのでしょうか?
教えてください。
389 :132人目の素数さん:04/07/22 23:58
>>376
> 矛盾してますよ。下のほうでは暗号用公開鍵を知らないといっているのに
> 上のほうではM1,M2を暗号化できるといっている。
> 暗号用公開鍵を知っているのかしらないのかどっちなんですか?
これは、残念ながら矛盾してません。
> これは、二つの都合の良い平文を用意して、そのうちのどちらかを暗号化したデータをもらい、
> そのデータの復号文は最初に用意した平文のうちどちらかを当てるってチャレンジ。
上の方ってこれのことだと思うけど、「暗号化したデータをもらい」であって、
攻撃者が暗号化するとはどこにも書いてません。
そもそも、自分が暗号化したなら、どっちがもとの文かなんて分かるに決まってるだろ(w
もうちょっと、参考文献を書いている学者さんたちを信じてあげて下さい。
> 矛盾してますよ。下のほうでは暗号用公開鍵を知らないといっているのに
> 上のほうではM1,M2を暗号化できるといっている。
> 暗号用公開鍵を知っているのかしらないのかどっちなんですか?
これは、残念ながら矛盾してません。
> これは、二つの都合の良い平文を用意して、そのうちのどちらかを暗号化したデータをもらい、
> そのデータの復号文は最初に用意した平文のうちどちらかを当てるってチャレンジ。
上の方ってこれのことだと思うけど、「暗号化したデータをもらい」であって、
攻撃者が暗号化するとはどこにも書いてません。
そもそも、自分が暗号化したなら、どっちがもとの文かなんて分かるに決まってるだろ(w
もうちょっと、参考文献を書いている学者さんたちを信じてあげて下さい。
390 :白シャツ:04/07/22 23:59
>>386 私じゃなく>>350の偉い人に言ってください。
それと、
> M1,M2の平文が共に半分以上分かっている時に
> M1,M2が求められるのか?
は>>387に同意で興味なし。でも半分もわかってるなら
「全数探索」とか「有意な情報からの残り部分の推測」
で逝ってしまうと悲しい。
それと、
> M1,M2の平文が共に半分以上分かっている時に
> M1,M2が求められるのか?
は>>387に同意で興味なし。でも半分もわかってるなら
「全数探索」とか「有意な情報からの残り部分の推測」
で逝ってしまうと悲しい。
391 :梅どぶろく ◆21Da3ggG3M :04/07/23 00:02
>>390
>でも半分もわかってるなら
>「全数探索」とか「有意な情報からの残り部分の推測」
>で逝ってしまうと悲しい。
これは全ての公開鍵暗号について言えることであって
梅暗号だけに言えることではないので
なんとも返答のしようがありません。
梅暗号だけの欠点について言って下さい。
梅暗号だけに欠点があればそれについて知りたいんです。
お願いします。
>でも半分もわかってるなら
>「全数探索」とか「有意な情報からの残り部分の推測」
>で逝ってしまうと悲しい。
これは全ての公開鍵暗号について言えることであって
梅暗号だけに言えることではないので
なんとも返答のしようがありません。
梅暗号だけの欠点について言って下さい。
梅暗号だけに欠点があればそれについて知りたいんです。
お願いします。
392 :132人目の素数さん:04/07/23 00:19
ちょっと、冷静になって考えてみよう。
なぜ、どぶろくは、半分のビットが分かったときの仮定を考えたの?
それは、M1がパターン化されている文章で分かってしまったときでも、
ビットを分散して割り振っているから半分しか分からないぞ!っていう思考じゃなかったの?
もし、違うかったら、数学的になぜ半分わかったという仮定をしたのかを教えて下さい。
でも、一般的な最近の公開鍵暗号は、ビットの半分がばれるなんてことはない。
SSが言えるように設計されてるから、ビットの一部分でも分かるのは、全体を解読するのと同様に設計されてる。
だから、
>>390の
>でも半分もわかってるなら
>「全数探索」とか「有意な情報からの残り部分の推測」
>で逝ってしまうと悲しい。
は、この暗号特有の弱点と言えると思うよ。
なぜ、どぶろくは、半分のビットが分かったときの仮定を考えたの?
それは、M1がパターン化されている文章で分かってしまったときでも、
ビットを分散して割り振っているから半分しか分からないぞ!っていう思考じゃなかったの?
もし、違うかったら、数学的になぜ半分わかったという仮定をしたのかを教えて下さい。
でも、一般的な最近の公開鍵暗号は、ビットの半分がばれるなんてことはない。
SSが言えるように設計されてるから、ビットの一部分でも分かるのは、全体を解読するのと同様に設計されてる。
だから、
>>390の
>でも半分もわかってるなら
>「全数探索」とか「有意な情報からの残り部分の推測」
>で逝ってしまうと悲しい。
は、この暗号特有の弱点と言えると思うよ。
393 :白シャツ:04/07/23 00:28
>>391
暗号理論といってもいろいろな分野やレイアがある。
実用段階に近いほうではINDだとかSSを議論する必要は当然ある。
規格化とか標準化とかそういう場合ね。
プリミティブの部分でやってる、数学よりの人にとっては、
SSやINDの耐性を示せればベターだけど、それが無いと世に出しては
いけないというわけではない。そもそもIND-CCA2耐性を持つ新しい
公開鍵暗号なんて出来ればCRYPTOでも簡単にアクセプトだろう。
これは個人的な意見であって、異論は必ずあることはわかって言ってる。
新しい暗号考えました→暗号解析の人に攻撃される→改良する
みたいになるよ。現状はまだそういうレベルに達していない。
そこで、「暗号数学」的には数学的に議論をしたいところだけど、
梅暗号の最大の欠点は考案者が自分の暗号方式を他人に伝えられないこと。
方式がきっちりフィックスしてすべての情報がそろわないと議論できない。
試験問題を解いてたら途中で変更されたら嫌でしょ。
暗号理論といってもいろいろな分野やレイアがある。
実用段階に近いほうではINDだとかSSを議論する必要は当然ある。
規格化とか標準化とかそういう場合ね。
プリミティブの部分でやってる、数学よりの人にとっては、
SSやINDの耐性を示せればベターだけど、それが無いと世に出しては
いけないというわけではない。そもそもIND-CCA2耐性を持つ新しい
公開鍵暗号なんて出来ればCRYPTOでも簡単にアクセプトだろう。
これは個人的な意見であって、異論は必ずあることはわかって言ってる。
新しい暗号考えました→暗号解析の人に攻撃される→改良する
みたいになるよ。現状はまだそういうレベルに達していない。
そこで、「暗号数学」的には数学的に議論をしたいところだけど、
梅暗号の最大の欠点は考案者が自分の暗号方式を他人に伝えられないこと。
方式がきっちりフィックスしてすべての情報がそろわないと議論できない。
試験問題を解いてたら途中で変更されたら嫌でしょ。
394 :132人目の素数さん:04/07/23 00:37
>>385
あ、そうだったのか。すまん。
>>63で言ってた
> んっと仮に実際に使った時に攻撃の対象となる
> 脆弱性があるのか知りたいのです。
と、同じだと思ってた。
実際に使うことのないつもりのない自慰暗号だったら大丈夫、安全だよ。
僕にはM1も求まらない。攻撃しないから。
あ、そうだったのか。すまん。
>>63で言ってた
> んっと仮に実際に使った時に攻撃の対象となる
> 脆弱性があるのか知りたいのです。
と、同じだと思ってた。
実際に使うことのないつもりのない自慰暗号だったら大丈夫、安全だよ。
僕にはM1も求まらない。攻撃しないから。
395 :白シャツ:04/07/23 00:47
396 :132人目の素数さん:04/07/23 01:16
>376 これは平文をいくらか乱数で埋めることで解決できませんか?
>382 ヘッダーをM1,M2に交互に割り振れば大丈夫でしょう。
について、
>382
> ↑のようなやり取りはあくまで、実装についてです。
> 数学的な問題ではありません。
> ここでは、実装についても考慮する必要があるんでしょうか?
って、乱数を組み込むという操作(暗号化)や入れ替えると操作(暗号化)を入れなければ
解読されやすいなら、その時点でその暗号はダメじゃんか
それって実装段階でなく、理論段階での仕様だと思うが
君のほうが実装段階と理論段階を混ぜて逃げていないか?
大体乱数入った文をどうやって解読するんだ?
>382 ヘッダーをM1,M2に交互に割り振れば大丈夫でしょう。
について、
>382
> ↑のようなやり取りはあくまで、実装についてです。
> 数学的な問題ではありません。
> ここでは、実装についても考慮する必要があるんでしょうか?
って、乱数を組み込むという操作(暗号化)や入れ替えると操作(暗号化)を入れなければ
解読されやすいなら、その時点でその暗号はダメじゃんか
それって実装段階でなく、理論段階での仕様だと思うが
君のほうが実装段階と理論段階を混ぜて逃げていないか?
大体乱数入った文をどうやって解読するんだ?
397 :132人目の素数さん:04/07/23 10:27
> 275
白シャツがLLLを適用してくれる期待age
白シャツがLLLを適用してくれる期待age
398 :白シャツ:04/07/23 11:15
>>397
それ以前にこの暗号がちゃんと動くかもわからんし、
仕様をフィックスしてほしい。
正直言って適当に言ってるんで適用可能かどうか考えてないよん。
ただ、LLLをやって評価されている暗号ってのが梅暗号とアイデア的に
似てたりするんで、そういった。どぶろくは離散対数問題に帰着すると
主張しているが、それは秘密鍵特定の困難さと思われる。
平文は秘密鍵がわからなくても求まる可能性があるということを
まずどぶろくに認識してもらいたいんだな。
ある意味これはナップザック系の暗号だよと。
PARI/GPかRISA/ASIRなんかで出来るはずなんで
ちょっとLLL勉強しようかなと思ったりしてる。
基本的にはグラムシュミット正規直交化のすごい版だと思うんだけど、
難しそうね。詳しい人に聞いてみる予定。
とか言いながらも昨日買ったLEI代数の入門本が気になる。
それ以前にこの暗号がちゃんと動くかもわからんし、
仕様をフィックスしてほしい。
正直言って適当に言ってるんで適用可能かどうか考えてないよん。
ただ、LLLをやって評価されている暗号ってのが梅暗号とアイデア的に
似てたりするんで、そういった。どぶろくは離散対数問題に帰着すると
主張しているが、それは秘密鍵特定の困難さと思われる。
平文は秘密鍵がわからなくても求まる可能性があるということを
まずどぶろくに認識してもらいたいんだな。
ある意味これはナップザック系の暗号だよと。
PARI/GPかRISA/ASIRなんかで出来るはずなんで
ちょっとLLL勉強しようかなと思ったりしてる。
基本的にはグラムシュミット正規直交化のすごい版だと思うんだけど、
難しそうね。詳しい人に聞いてみる予定。
とか言いながらも昨日買ったLEI代数の入門本が気になる。
399 :白シャツ:04/07/23 15:07
放置するのも無責任なんだが, 現状では梅暗号のアタックはできないので
似たのが無いか調べてみた.
>>65と同じグループの
Title:A New Product-Sum Public-Key Cryptosystem Using Message Extension
Author:Kiyoko KATAYANAGI,Yasuyuki MURAKAMI,Masao KASAHARA
ttp://search.ieice.org/2001/files/e000a10.htm#e84-a,10,2482
なんだけど梅暗号が完成するとこれになるのか?
自称「八重桜暗号」なんで丁度良いかと(w
ちなみ三青水さんもこれの解析してたような気がする.
こういう系統すきなところとなると他には,
小木木先生のところと, 木木木杉先生のところぐらい.
三青水さんは木木先生グループのはずだし.
木公本先生のところより, 木木先生のところとか
目指した方がよいんじゃない? >どぶろく
似たのが無いか調べてみた.
>>65と同じグループの
Title:A New Product-Sum Public-Key Cryptosystem Using Message Extension
Author:Kiyoko KATAYANAGI,Yasuyuki MURAKAMI,Masao KASAHARA
ttp://search.ieice.org/2001/files/e000a10.htm#e84-a,10,2482
なんだけど梅暗号が完成するとこれになるのか?
自称「八重桜暗号」なんで丁度良いかと(w
ちなみ三青水さんもこれの解析してたような気がする.
こういう系統すきなところとなると他には,
小木木先生のところと, 木木木杉先生のところぐらい.
三青水さんは木木先生グループのはずだし.
木公本先生のところより, 木木先生のところとか
目指した方がよいんじゃない? >どぶろく
400 :132人目の素数さん:04/07/23 15:59
なんか角の三等分家に対して議論してるみたいな状態だな
401 :梅どぶろく ◆21Da3ggG3M :04/07/24 01:35
ttp://up.isp.2ch.net/up/02f997132edc.pdf
にpdf形式のファイルをアップしました。
もし、ダウンロードできなかった人がいたら言ってください。
またupします。
上のほうにある返答については明日になってからです。
ファイル作っててくたびれました。
にpdf形式のファイルをアップしました。
もし、ダウンロードできなかった人がいたら言ってください。
またupします。
上のほうにある返答については明日になってからです。
ファイル作っててくたびれました。
402 :132人目の素数さん:04/07/24 03:01
>>401
乙カレー
乙カレー
403 :132人目の素数さん:04/07/24 11:54
余計なお世話だが、本名は書かないほうが・・・
404 :梅どぶろく ◆21Da3ggG3M :04/07/26 19:47
405 :132人目の素数さん:04/07/27 22:37
> 梅どぶろくさんへ
あなたは、暗号の仕様というのを何か勘違いなさっていると思います。
仕様とは、曖昧なところがあってはいけません。
上の書き込みを拝見したところ、乱数を入れたり、
平文を並べ替えたりというのが暗号の仕様ではなく、
実装上の仕様だとおっしゃっているように、見えますが、
もし、そうだとすると、実装の数だけ暗号文が出来る、
互換性の全くない暗号ツール群が出来てしまいます。
仕様とは、同じ仕様を使って同じ入力が与えられれば、同じ出力が出るように書かれるべきです。
実装上の仕様というのは、途中で使う関数をどう設計するのかであるとか、
いつの段階で、乱数を生成したり破棄したりするのか等を規定するものであって、
勝手に入力値を入れ替えたり、乱数を付けたりするものではありません。
老婆心ながら、一言申し上げさせて頂きました。失礼します。
あなたは、暗号の仕様というのを何か勘違いなさっていると思います。
仕様とは、曖昧なところがあってはいけません。
上の書き込みを拝見したところ、乱数を入れたり、
平文を並べ替えたりというのが暗号の仕様ではなく、
実装上の仕様だとおっしゃっているように、見えますが、
もし、そうだとすると、実装の数だけ暗号文が出来る、
互換性の全くない暗号ツール群が出来てしまいます。
仕様とは、同じ仕様を使って同じ入力が与えられれば、同じ出力が出るように書かれるべきです。
実装上の仕様というのは、途中で使う関数をどう設計するのかであるとか、
いつの段階で、乱数を生成したり破棄したりするのか等を規定するものであって、
勝手に入力値を入れ替えたり、乱数を付けたりするものではありません。
老婆心ながら、一言申し上げさせて頂きました。失礼します。
406 :132人目の素数さん:04/07/28 16:29
407 :132人目の素数さん:04/07/28 17:08
哲厨うぜ
PDFファイル取り逃したー
409 :132人目の素数さん:04/07/28 18:33
27日は過ぎ去ったわけだが
410 :梅どぶろく ◆21Da3ggG3M :04/07/28 23:53
>>392
>なぜ、どぶろくは、半分のビットが分かったときの仮定を考えたの?
>それは、M1がパターン化されている文章で分かってしまったときでも、
>ビットを分散して割り振っているから半分しか分からないぞ!っていう思考じゃなかったの?
そげです。
>だから、
>>>390の
>>でも半分もわかってるなら
>>「全数探索」とか「有意な情報からの残り部分の推測」
>>で逝ってしまうと悲しい。
>は、この暗号特有の弱点と言えると思うよ。
ここはM2を乱数rにしたら解決できると思います。
暗号の弱点を実装で補うと・・・
適応的選択暗号文攻撃(CCA)
むむう、↑についても考える必要はあるんですよね?
梅暗号は公開鍵暗号といっても署名・認証が行えないので
考えなくても良いんじゃないかと思ってるんですが、
>>396
>って、乱数を組み込むという操作(暗号化)や入れ替えると操作(暗号化)を入れなければ
>解読されやすいなら、その時点でその暗号はダメじゃんか
>それって実装段階でなく、理論段階での仕様だと思うが
>君のほうが実装段階と理論段階を混ぜて逃げていないか?
これは理論ですね。理論の欠点を実装で補っていました。
>大体乱数入った文をどうやって解読するんだ?
いや、解読できなければ問題ありません。
復号の時は上位〜ビットは乱数だから
と教えておいてもらえば乱数を取り除いて平文を得ることができます。
>なぜ、どぶろくは、半分のビットが分かったときの仮定を考えたの?
>それは、M1がパターン化されている文章で分かってしまったときでも、
>ビットを分散して割り振っているから半分しか分からないぞ!っていう思考じゃなかったの?
そげです。
>だから、
>>>390の
>>でも半分もわかってるなら
>>「全数探索」とか「有意な情報からの残り部分の推測」
>>で逝ってしまうと悲しい。
>は、この暗号特有の弱点と言えると思うよ。
ここはM2を乱数rにしたら解決できると思います。
暗号の弱点を実装で補うと・・・
適応的選択暗号文攻撃(CCA)
むむう、↑についても考える必要はあるんですよね?
梅暗号は公開鍵暗号といっても署名・認証が行えないので
考えなくても良いんじゃないかと思ってるんですが、
>>396
>って、乱数を組み込むという操作(暗号化)や入れ替えると操作(暗号化)を入れなければ
>解読されやすいなら、その時点でその暗号はダメじゃんか
>それって実装段階でなく、理論段階での仕様だと思うが
>君のほうが実装段階と理論段階を混ぜて逃げていないか?
これは理論ですね。理論の欠点を実装で補っていました。
>大体乱数入った文をどうやって解読するんだ?
いや、解読できなければ問題ありません。
復号の時は上位〜ビットは乱数だから
と教えておいてもらえば乱数を取り除いて平文を得ることができます。
411 :梅どぶろく ◆21Da3ggG3M :04/07/28 23:53
>>399白シャツさん
このレスを見て逃げていました。
紹介されたurlの簡単な説明文みたいなとこで
Chinese remainder theoremの文字があって
梅暗号が完成すると八重桜になるといっている
もしかして、二つはかぶってるというか、私のほうがぱくり?
↑のように考えていて怖くて紹介されたとこは読めませんでした。
勇気を出してみてみたら
似てるけど公開鍵の数とかなんか違うし、まあ大丈夫か
という感じで元気が出てきましたのでまた出てきました。
>>455
いま、仕様を固めています。
梅暗号の概要を実装したプログラムをupする予定です。
CUIなので使いづらいですが、
大体こんな感じの暗号なのかと感じることはできると思います。
>>409
私の脳内ではずっと26日なので問題ありません。
このレスを見て逃げていました。
紹介されたurlの簡単な説明文みたいなとこで
Chinese remainder theoremの文字があって
梅暗号が完成すると八重桜になるといっている
もしかして、二つはかぶってるというか、私のほうがぱくり?
↑のように考えていて怖くて紹介されたとこは読めませんでした。
勇気を出してみてみたら
似てるけど公開鍵の数とかなんか違うし、まあ大丈夫か
という感じで元気が出てきましたのでまた出てきました。
>>455
いま、仕様を固めています。
梅暗号の概要を実装したプログラムをupする予定です。
CUIなので使いづらいですが、
大体こんな感じの暗号なのかと感じることはできると思います。
>>409
私の脳内ではずっと26日なので問題ありません。
412 :132人目の素数さん:04/07/29 00:21
>>410
>大体乱数入った文をどうやって解読するんだ?
>いや、解読できなければ問題ありません。
>復号の時は上位〜ビットは乱数だから
>と教えておいてもらえば乱数を取り除いて平文を得ることができます。
そうあれは、前者の解読≠アタックではなく、後者の解読=復号の意味で書いたのです
で復号者に対して、その「上位*ビットは乱数だよ」はどうやって送るの?
1.梅暗号? 2.それとも平文のEメール?
1だとそれが解読されにくくするため、「上位〜」を知らせるのに乱数入り梅暗号を使うと堂々巡りする
2だと、乱数を使っている意味がまったくない
>大体乱数入った文をどうやって解読するんだ?
>いや、解読できなければ問題ありません。
>復号の時は上位〜ビットは乱数だから
>と教えておいてもらえば乱数を取り除いて平文を得ることができます。
そうあれは、前者の解読≠アタックではなく、後者の解読=復号の意味で書いたのです
で復号者に対して、その「上位*ビットは乱数だよ」はどうやって送るの?
1.梅暗号? 2.それとも平文のEメール?
1だとそれが解読されにくくするため、「上位〜」を知らせるのに乱数入り梅暗号を使うと堂々巡りする
2だと、乱数を使っている意味がまったくない
413 :132人目の素数さん:04/07/29 00:21
>私の脳内ではずっと26日なので問題ありません。
駄目だ。こいつとはもう関わりたくない。数学的な不備なら
とことんまで指摘するけど、自分から言い出した期限を
破っておいてこの言い草は人間的にどうよ?俺はもう降りるよ。
相手にするのが馬鹿馬鹿しい。
駄目だ。こいつとはもう関わりたくない。数学的な不備なら
とことんまで指摘するけど、自分から言い出した期限を
破っておいてこの言い草は人間的にどうよ?俺はもう降りるよ。
相手にするのが馬鹿馬鹿しい。
414 :白シャツ:04/07/29 00:38
>>411
八重桜の公開鍵ベクトルの次元が2の場合を書き下して検討してみた?
上位互換だったら即氏。だれもパクリとかは思わないでしょう。
わざわざあんなのパクっても(以下自主規制)
>>413
自分の信用をもっとも簡単に失う方法だね。
匿名掲示板ではナンデモありかもしれんが、
彼は>>401で本名さらしてしまった。
本名かどうかは検証不可能だけどね。
八重桜の公開鍵ベクトルの次元が2の場合を書き下して検討してみた?
上位互換だったら即氏。だれもパクリとかは思わないでしょう。
わざわざあんなのパクっても(以下自主規制)
>>413
自分の信用をもっとも簡単に失う方法だね。
匿名掲示板ではナンデモありかもしれんが、
彼は>>401で本名さらしてしまった。
本名かどうかは検証不可能だけどね。
415 :132人目の素数さん:04/07/29 00:58
>私の脳内ではずっと26日なので問題ありません。
お前は糞以下だ。
お前は糞以下だ。
416 :梅どぶろく ◆21Da3ggG3M :04/07/29 15:55
みなさんすいませんでした。
>私の脳内ではずっと26日なので問題ありません。
これは冗談で言ったつもりでした。
気分を害された方失礼しました。
今度からはこのような不謹慎なことは言いませんので
許してください。
すいませんでした。
>私の脳内ではずっと26日なので問題ありません。
これは冗談で言ったつもりでした。
気分を害された方失礼しました。
今度からはこのような不謹慎なことは言いませんので
許してください。
すいませんでした。
PDFファイルの再うpはないのかな?
418 :梅どぶろく ◆21Da3ggG3M :04/07/30 22:55
ttp://49uper.com:8080/img-s/1539.zip
へ再アップしました。
へ再アップしました。
受け取りました.というか名前は別に書かなくてもいいですよ.
フリーメールのアカウントとって,メールアドレスだけ書いておけばいいのでは?
パッと身しか出来ないけど,セキュリティパラメータ(通常kで表す)が
どれで,各処理の中身とどう関連するのかがいまいちわからないや.
フリーメールのアカウントとって,メールアドレスだけ書いておけばいいのでは?
パッと身しか出来ないけど,セキュリティパラメータ(通常kで表す)が
どれで,各処理の中身とどう関連するのかがいまいちわからないや.
420 :梅どぶろく ◆21Da3ggG3M :04/08/02 13:27
完成した!
いままで梅暗号を作っていました。
プログラムとソースを公開します。
使ってみてください。
あくまで、実際に暗号化・復号が行える
ということが分かる程度です。
乱数の生成なんかは乱暴です。
落とせなかった人はいってください。
再アップします。
ttp://up.isp.2ch.net/up/bf2d15cf4ca5.zip
いままで梅暗号を作っていました。
プログラムとソースを公開します。
使ってみてください。
あくまで、実際に暗号化・復号が行える
ということが分かる程度です。
乱数の生成なんかは乱暴です。
落とせなかった人はいってください。
再アップします。
ttp://up.isp.2ch.net/up/bf2d15cf4ca5.zip
421 :132人目の素数さん:04/08/02 16:34
orz
420にあうように誰かエロい人、418を書き直して
420にあうように誰かエロい人、418を書き直して
422 :白シャツ:04/08/02 23:23
>>421
ソースみたけど、鍵とかのサイズが決まっただけであんまり欲しい情報入ってないよね。
平文の入れ替えとか乱数入れるとか、ここで書き込まれていたそういう仕様はどうなりました?
それと、仕様が決まれば実装して実験するぐらいはここ読んでる人だたら
出来ると思うんだけど。あ、それとアルゴリズムのチェック用には
数学用のスクリプト言語みたいなのでやっちゃう方が良くない?
高速化とか気にしない段階だったらあんまり意味ないと思う。
mpz_で書いてるからそういうの考えてないでしょ。
本気でやるならmpn_で書かないとダメといわれたことがある。
漏れもmpz_しか使ったこと無いからあんまり言えないんだけどね。
UBASICとかPARI/GPとかRISA/ASIRとかいろいろあるでしょ。
数学家さんでもそういうのだと使ってる人多いと思うよ。
Mapleとか使えなんていわないからさぁ。
ソースみたけど、鍵とかのサイズが決まっただけであんまり欲しい情報入ってないよね。
平文の入れ替えとか乱数入れるとか、ここで書き込まれていたそういう仕様はどうなりました?
それと、仕様が決まれば実装して実験するぐらいはここ読んでる人だたら
出来ると思うんだけど。あ、それとアルゴリズムのチェック用には
数学用のスクリプト言語みたいなのでやっちゃう方が良くない?
高速化とか気にしない段階だったらあんまり意味ないと思う。
mpz_で書いてるからそういうの考えてないでしょ。
本気でやるならmpn_で書かないとダメといわれたことがある。
漏れもmpz_しか使ったこと無いからあんまり言えないんだけどね。
UBASICとかPARI/GPとかRISA/ASIRとかいろいろあるでしょ。
数学家さんでもそういうのだと使ってる人多いと思うよ。
Mapleとか使えなんていわないからさぁ。
423 :白シャツ:04/08/02 23:29
>>422
>高速化とか気にしない段階だったらあんまり意味ないと思う。
>mpz_で書いてるからそういうの考えてないでしょ。
スマソ、GMPのことね。
鍵とかのサイズが決まってるけど、あれはどうやって決まったわけ?
とりあえず適当に選びましたってことでしょうか。
>高速化とか気にしない段階だったらあんまり意味ないと思う。
>mpz_で書いてるからそういうの考えてないでしょ。
スマソ、GMPのことね。
鍵とかのサイズが決まってるけど、あれはどうやって決まったわけ?
とりあえず適当に選びましたってことでしょうか。
424 :132人目の素数さん:04/08/02 23:45
32167976543216575761321303216489732401579451603031657576789812332665122546598798732132103214567
は素数ですか?
は素数ですか?
425 :梅どぶろく ◆21Da3ggG3M :04/08/02 23:59
>>442
すいません。
平文の入れ替えは無しです。
乱数を入れるのは
M1,M2としていたのを
平文Mと乱数rにしました。
既存の対称鍵暗号で64bitごとに暗号化しているので
rは64bitもあれば十分と思いました。
M2を乱数rにかえてaとxのビット差を大きくし、
平文・暗号文のふくらみ率を小さくしました
1088/1024≒1.0625
暗号化は
C=(e1*M)+(e2*r) mod n
です。
復号は
M'=d*C mod n
=d*e*(a*M+x*r) mod n
M=(M'*d1) mod x
です。
復号が4回の演算で行えるようになりました。
一度に暗号化する平文を8192bitとか16384bitにすれば
暗号化速度がもっともっと速くなると思います。
とりあえず1024bitもあれば十分かと。
すいません。
平文の入れ替えは無しです。
乱数を入れるのは
M1,M2としていたのを
平文Mと乱数rにしました。
既存の対称鍵暗号で64bitごとに暗号化しているので
rは64bitもあれば十分と思いました。
M2を乱数rにかえてaとxのビット差を大きくし、
平文・暗号文のふくらみ率を小さくしました
1088/1024≒1.0625
暗号化は
C=(e1*M)+(e2*r) mod n
です。
復号は
M'=d*C mod n
=d*e*(a*M+x*r) mod n
M=(M'*d1) mod x
です。
復号が4回の演算で行えるようになりました。
一度に暗号化する平文を8192bitとか16384bitにすれば
暗号化速度がもっともっと速くなると思います。
とりあえず1024bitもあれば十分かと。
426 :白シャツ:04/08/03 00:10
>>425
>平文の入れ替えは無しです。
>乱数を入れるのは
>M1,M2としていたのを
>平文Mと乱数rにしました。
>既存の対称鍵暗号で64bitごとに暗号化しているので
>rは64bitもあれば十分と思いました。
では>>421さんのおっしゃるように仕様をPDFに反映してね
>一度に暗号化する平文を8192bitとか16384bitにすれば
>暗号化速度がもっともっと速くなると思います。
>とりあえず1024bitもあれば十分かと。
速度というのはそういうことでは無いと思うのだけど。
やったとしてもたぶん遅くなると思う。
>平文の入れ替えは無しです。
>乱数を入れるのは
>M1,M2としていたのを
>平文Mと乱数rにしました。
>既存の対称鍵暗号で64bitごとに暗号化しているので
>rは64bitもあれば十分と思いました。
では>>421さんのおっしゃるように仕様をPDFに反映してね
>一度に暗号化する平文を8192bitとか16384bitにすれば
>暗号化速度がもっともっと速くなると思います。
>とりあえず1024bitもあれば十分かと。
速度というのはそういうことでは無いと思うのだけど。
やったとしてもたぶん遅くなると思う。
427 :132人目の素数さん:04/08/03 01:03
>>424
321679765432165757613213032164897324015794516030316
57576789812332665122546598798732132103214567 mod 3 = 0
321679765432165757613213032164897324015794516030316
57576789812332665122546598798732132103214567 mod 3 = 0
428 :梅どぶろく ◆21Da3ggG3M :04/08/03 01:19
429 :132人目の素数さん:04/08/03 08:33
仕様書とプログラムって、相違点がある場合はどちらを優先するものなのですか?
430 :132人目の素数さん:04/08/03 08:49
431 :132人目の素数さん:04/08/03 09:52
>>429
自分が使う側になって考えてみるべき
一般的には最初に仕様書ありきで、
実装中の仕様不備発見や改良案が浮かべば仕様検討、
改定した仕様に従って実装を続ける
商用大規模開発をA社発注、B社受注でおこなうとき、
要求はA社、仕様書はB社、実装はB社からアウトソーシングする
アウトソーシング先から「仕様がおかしかったので、不備部分はうまい具合に実装しておきました」
と言われたらおかしいでしょ
>430をやって許されるのは、非商用(大学とか)の場合
小規模開発や自社開発の場合も外にはバレないだろうが良くはない
つくりたい物がはっきりしてるなら仕様書くらい書けるはず
「書かない」と「書けない」は違う
自分が使う側になって考えてみるべき
一般的には最初に仕様書ありきで、
実装中の仕様不備発見や改良案が浮かべば仕様検討、
改定した仕様に従って実装を続ける
商用大規模開発をA社発注、B社受注でおこなうとき、
要求はA社、仕様書はB社、実装はB社からアウトソーシングする
アウトソーシング先から「仕様がおかしかったので、不備部分はうまい具合に実装しておきました」
と言われたらおかしいでしょ
>430をやって許されるのは、非商用(大学とか)の場合
小規模開発や自社開発の場合も外にはバレないだろうが良くはない
つくりたい物がはっきりしてるなら仕様書くらい書けるはず
「書かない」と「書けない」は違う
432 :132人目の素数さん:04/08/03 19:28
768755431457657534487763215469843243165987441478561569642434875434143347878097324326569324378708564215656976232126579077623670965314559775424356907765324354597234570867524323667074324587097956424254598795642434598780665243
433 :132人目の素数さん:04/08/03 20:09
特定の数のならびが多すぎ
一本指で叩いてるのか?w
つまらん
一本指で叩いてるのか?w
つまらん
434 :梅どぶろく ◆21Da3ggG3M :04/08/03 22:55
76875543145765753448776321546984324
31659874414785615696424348754341433
47878097324326569324378708564215656
97623212657907762367096531455977542
43569077653243545972345708675243236
67074324587097956424254598795642434
598780665243 mod 97 = 0
31659874414785615696424348754341433
47878097324326569324378708564215656
97623212657907762367096531455977542
43569077653243545972345708675243236
67074324587097956424254598795642434
598780665243 mod 97 = 0
435 :梅どぶろく ◆21Da3ggG3M :04/08/03 22:58
436 :132人目の素数さん:04/08/03 23:35
一人しかいなかったのか?
437 :132人目の素数さん:04/08/03 23:43
>> 435
> 自分の信用をもっとも簡単に失う方法だね。
あれが実名なら、編入先の教授は嫌だろうねぇ。
もし、漏れが受け入れる立場ならこいつの発言見てたら絶対に断るよ。
ちなみに二つとも素数ではないことだけは確か。
具体的な素因数は2chレベルではもとまらんだろう。
> 自分の信用をもっとも簡単に失う方法だね。
あれが実名なら、編入先の教授は嫌だろうねぇ。
もし、漏れが受け入れる立場ならこいつの発言見てたら絶対に断るよ。
ちなみに二つとも素数ではないことだけは確か。
具体的な素因数は2chレベルではもとまらんだろう。
438 :132人目の素数さん:04/08/03 23:44
439 :132人目の素数さん:04/08/04 00:32
UBASICで計算した結果
32167976543216575761321303216489732401579451603031657576789812332665122546598798732132103214567
=3^3*C93
768755431457657534487763215469843243165987441478561569642434875434143347878097324326569324378708564215656976232126579077623670965314559775424356907765324354597234570867524323667074324587097956424254598795642434598780665243
=3^3*89*7867*16561*1251707*C204
(C93, C204は10^7までの範囲に素因数なし)
32167976543216575761321303216489732401579451603031657576789812332665122546598798732132103214567
=3^3*C93
768755431457657534487763215469843243165987441478561569642434875434143347878097324326569324378708564215656976232126579077623670965314559775424356907765324354597234570867524323667074324587097956424254598795642434598780665243
=3^3*89*7867*16561*1251707*C204
(C93, C204は10^7までの範囲に素因数なし)
440 :白シャツ:04/08/04 01:35
>>439
10^7までっていうことはテーブル使って試行割り算してるんですよね。
UBASICだったらECMが実装されてませんでしたか?
>>91の本についてたのにはECMあるんだけど、あれは特別なのかな。
10^7までっていうことはテーブル使って試行割り算してるんですよね。
UBASICだったらECMが実装されてませんでしたか?
>>91の本についてたのにはECMあるんだけど、あれは特別なのかな。
>>437
本人が冗談で書いたって言ってるし、大体暗号のことも、このスレで自分が
何を質問されているのか、何を要求されているのかってことも、まだよく
わかってないように見えるから、自分的にはあんまり気にならなかったよ。
期限内に提出したとしても、記述の曖昧さは変わらなかっただろうし。
てかまたDLできねえ・・・(現在携帯からカキコ)
本人が冗談で書いたって言ってるし、大体暗号のことも、このスレで自分が
何を質問されているのか、何を要求されているのかってことも、まだよく
わかってないように見えるから、自分的にはあんまり気にならなかったよ。
期限内に提出したとしても、記述の曖昧さは変わらなかっただろうし。
てかまたDLできねえ・・・(現在携帯からカキコ)
442 :132人目の素数さん:04/08/04 01:53
プログラムを使っていて正しく暗復号出来ない平文を発見しますた!
443 :132人目の素数さん:04/08/04 02:22
ああいう場面で冗談を言う事自体が非常識かと。
ちゃんと謝罪したから反省してるのかと思いきや、
今度は名無しで荒らしてるし。真面目に数学の話を
する気があるとはとてもとても。
ちゃんと謝罪したから反省してるのかと思いきや、
今度は名無しで荒らしてるし。真面目に数学の話を
する気があるとはとてもとても。
444 :白シャツ:04/08/04 03:01
32167976543216575761321303216489732401579451603031657576789812332665122546598798732132103214567
=3^3
*259956881
*862935673569527
*33505539576299688421735663
*158512538998972445625528303384598776196000541
PARI/GPでfactor()やって、
70分ぐらい待ってたらでました。
=3^3
*259956881
*862935673569527
*33505539576299688421735663
*158512538998972445625528303384598776196000541
PARI/GPでfactor()やって、
70分ぐらい待ってたらでました。
445 :132人目の素数さん:04/08/04 03:12
>>440
数体篩法は木田氏のサイトから落とせたが、ECMは見つからなかった。
あ、それからC93, C204はC94, C205の間違いですた。失礼。
>>444
キタ━━━━━(゚∀゚)━━━━━!!!
数体篩法は木田氏のサイトから落とせたが、ECMは見つからなかった。
あ、それからC93, C204はC94, C205の間違いですた。失礼。
>>444
キタ━━━━━(゚∀゚)━━━━━!!!
446 :白シャツ:04/08/04 03:14
447 :白シャツ:04/08/04 03:20
>>445
ECMの部分のライセンスしらべてみます。
あるいはダウソできるところを探すか。
>>432はこんな方法では厳しいと思うので、
ECMか数体篩やらないとダメそうですね。
とりあえずECMやってダメっぽかったらあきらめるか。
それとも立教大チームに頼む?(w
ECMの部分のライセンスしらべてみます。
あるいはダウソできるところを探すか。
>>432はこんな方法では厳しいと思うので、
ECMか数体篩やらないとダメそうですね。
とりあえずECMやってダメっぽかったらあきらめるか。
それとも立教大チームに頼む?(w
448 :132人目の素数さん:04/08/04 03:23
mathematica使えば?
449 :白シャツ:04/08/04 03:39
>>445
木田先生のサイトの
「一般的な応用プログラム」ubapl96.lzhに入ってました。
>>448
誰もが買えるという値段じゃないと思いますが。
個人だと20マソとかするんじゃなかったっけ?
木田先生のサイトの
「一般的な応用プログラム」ubapl96.lzhに入ってました。
>>448
誰もが買えるという値段じゃないと思いますが。
個人だと20マソとかするんじゃなかったっけ?
450 :132人目の素数さん:04/08/04 03:44
>>439のC205の分解も終了
768755431457657534487763215469843243165987441478561569642434875434143347878097324326569324378708564215656976232126579077623670965314559775424356907765324354597234570867524323667074324587097956424254598795642434598780665243
=3^3*89*7867*16561*1251707
*6020414544349
*12198688540659043
*2671139064951542099966004054646162959839073916176596776854493343396709794565808
46895071862292626583677038451344216647471687661615162545270142712791901947647971
24165525116390887
768755431457657534487763215469843243165987441478561569642434875434143347878097324326569324378708564215656976232126579077623670965314559775424356907765324354597234570867524323667074324587097956424254598795642434598780665243
=3^3*89*7867*16561*1251707
*6020414544349
*12198688540659043
*2671139064951542099966004054646162959839073916176596776854493343396709794565808
46895071862292626583677038451344216647471687661615162545270142712791901947647971
24165525116390887
451 :132人目の素数さん:04/08/04 08:44
大学(に行ってる人)の端末に入ってないかなと
暫く行かない私は無理ですが
暫く行かない私は無理ですが
452 :132人目の素数さん:04/08/04 09:41
453 :白シャツ:04/08/04 19:12
>>453
「16歳のセアラが挑んだ世界最強の暗号」(ノンフィクション)
って本の中でセアラが実際にMathematica使ってるけど。
最終的な実用段階は別として、
試行錯誤の段階では手軽にできていいんじゃね?
使いなれてないとかえって面倒かもしれんが、
選択肢としては不自然でもないだろ。
「16歳のセアラが挑んだ世界最強の暗号」(ノンフィクション)
って本の中でセアラが実際にMathematica使ってるけど。
最終的な実用段階は別として、
試行錯誤の段階では手軽にできていいんじゃね?
使いなれてないとかえって面倒かもしれんが、
選択肢としては不自然でもないだろ。
455 :132人目の素数さん:04/08/05 11:42
>>454
Mathematicaの素因数分解って、どういう方法が実装されてるの?
関数一個で数体ふるいとかやってくれたら、便利だな。
でも、20万もライセンス料払って使ってるマシンなら、
こんな所に適当に書き込まれた数を素因数分解するより他にすることあるだろw
Mathematicaの素因数分解って、どういう方法が実装されてるの?
関数一個で数体ふるいとかやってくれたら、便利だな。
でも、20万もライセンス料払って使ってるマシンなら、
こんな所に適当に書き込まれた数を素因数分解するより他にすることあるだろw
456 :白シャツ:04/08/05 18:43
>>454
Mathematica使える人は使えば良いし、選択肢として不自然でないというのはそのとおりです。
ただ、誰もが持っているor気軽に入手できるソフトでは無いと思う、高いし。
数値計算、数式処理、可視化みたいなところが強いって話らしい。
あくまで汎用数学用ソフトであって、何にでも使えるんだろうけど、
すべての数学分野で最高のパフォーマンスを発揮するというわけではない。
実際、数論関係に使うとなると自分でプログラムしないといけない部分が多いよ。
いろんなソフト使っておいしい所取りすれば良いと考えれば、
暗号てのはMathematicaの使用例としてオイシイところでは無いと思うだけです。
Mathematica使える人は使えば良いし、選択肢として不自然でないというのはそのとおりです。
ただ、誰もが持っているor気軽に入手できるソフトでは無いと思う、高いし。
数値計算、数式処理、可視化みたいなところが強いって話らしい。
あくまで汎用数学用ソフトであって、何にでも使えるんだろうけど、
すべての数学分野で最高のパフォーマンスを発揮するというわけではない。
実際、数論関係に使うとなると自分でプログラムしないといけない部分が多いよ。
いろんなソフト使っておいしい所取りすれば良いと考えれば、
暗号てのはMathematicaの使用例としてオイシイところでは無いと思うだけです。
457 :132人目の素数さん:04/08/05 21:01
Mathematicaって昔からあんなに高いの?
458 :132人目の素数さん:04/08/05 21:32
PARI-GPは数論関連の関数は豊富なので使える。
もっとも、素数に関連する研究がしたいなら、自分でアルゴリズムを理解して
プログラミングできるくらいでないとだめだろ。
(最近は素数判定や素因数分解のツールが出回って、素人でも素数探しが
できるようになってしまっているが…)
もっとも、素数に関連する研究がしたいなら、自分でアルゴリズムを理解して
プログラミングできるくらいでないとだめだろ。
(最近は素数判定や素因数分解のツールが出回って、素人でも素数探しが
できるようになってしまっているが…)
459 :450:04/08/05 23:03
460 :132人目の素数さん:04/08/05 23:28
>>459
factorint(n,{flag=0}): factors the integer n using a
combination of the Pollard Rho method (with modifications due to
Brent), Lenstra's ECM (with modifications by Montgomery),
and MPQS (the latter adapted from the LiDIA code with the kind
permission of the LiDIA maintainers),
factorint(n,{flag=0}): factors the integer n using a
combination of the Pollard Rho method (with modifications due to
Brent), Lenstra's ECM (with modifications by Montgomery),
and MPQS (the latter adapted from the LiDIA code with the kind
permission of the LiDIA maintainers),
>>456
そのへんは好みの問題もあるし、絶対いいとまでは言わないでおく。
私自身もMathematicaで数論的なものをいじったことはないので強く主張できなかったり。
Mathematicaがえらく高価だというのはその通りなので、octaveを紹介したつもり。
そのへんは好みの問題もあるし、絶対いいとまでは言わないでおく。
私自身もMathematicaで数論的なものをいじったことはないので強く主張できなかったり。
Mathematicaがえらく高価だというのはその通りなので、octaveを紹介したつもり。
462 :白シャツ:04/08/08 19:58
>>378 見に行ってきた生スクーフみてきた。
漏れの語学力では何言ってるかわからなかった。
まぁ日本語で講演されててもわからないだろうがな(W
>>461
わかっていると思うけどMathematicaの批判しているのではないので、
念のため。漏れも大学のサイトライセンスで使えたんだけど、
出ちゃったら使えなくなるのでちょっと遊んだだけでやめました。
まぁやる内容的にPARI/GPでやる方が楽だったりしたのもあるんだけど。
>>461は何に使ってるの?
使い勝手とかの感想とかあったらキボンヌ。
漏れの語学力では何言ってるかわからなかった。
まぁ日本語で講演されててもわからないだろうがな(W
>>461
わかっていると思うけどMathematicaの批判しているのではないので、
念のため。漏れも大学のサイトライセンスで使えたんだけど、
出ちゃったら使えなくなるのでちょっと遊んだだけでやめました。
まぁやる内容的にPARI/GPでやる方が楽だったりしたのもあるんだけど。
>>461は何に使ってるの?
使い勝手とかの感想とかあったらキボンヌ。
464 :梅どぶろく ◆21Da3ggG3M :04/08/10 00:27
>>441さん
記述曖昧でしたか、
曖昧でないようによく考えたつもりでした。
ここのとこが分らないというのがあれば言ってください。
曖昧じゃないように書きますので。
>>442さん
存在しない暗号文というのがあります。
存在しない暗号文でも復号してしまうので
送信者には平文のハッシュ値を一緒に送ってもらう必要があります。
>>443さん
すいません。
真面目に数学的な話をしたいと思っています。
荒らしてるつもりはありませんでした。
記述曖昧でしたか、
曖昧でないようによく考えたつもりでした。
ここのとこが分らないというのがあれば言ってください。
曖昧じゃないように書きますので。
>>442さん
存在しない暗号文というのがあります。
存在しない暗号文でも復号してしまうので
送信者には平文のハッシュ値を一緒に送ってもらう必要があります。
>>443さん
すいません。
真面目に数学的な話をしたいと思っています。
荒らしてるつもりはありませんでした。
465 :梅どぶろく ◆21Da3ggG3M :04/08/10 00:28
>>446さん
存在しない暗号文C'を復号→M,rを得る
M,rを暗号化→Cを得る(C'にはならない)
Cを復号→M,rを得る
こんな流れだと一意復号できません。
ですが、復号しようにも存在しない暗号文C'の場合は
平文・乱数からC'にすることができないので
一意復号を考える場合には無視していてもいいと思います。
ただ、秘密鍵について知ろうとしたときに
存在しない暗号文C'を復号させることで
秘密鍵を知ることができてしまうので
暗号文と平文のハッシュ値をもらうようにして
復号文のハッシュ値と平文のハッシュ値が一致するか
チェックするようにしないといけないです。
↑についてはまたpdfにまとめてupします。
このあいだupしたものと同じですが
暇な方は↓を改造(M,rを7・8bitくらいで)して
ttp://up.isp.2ch.net/up/f34a15cf39e7.zip
暗号文の初期値に対して1を加算した暗号文を
何個か復号して、平文Mの差とxについて比較してみてください。
そしたら上で言ったことが大体分かると思います。
>>463さん取れましたか?
存在しない暗号文C'を復号→M,rを得る
M,rを暗号化→Cを得る(C'にはならない)
Cを復号→M,rを得る
こんな流れだと一意復号できません。
ですが、復号しようにも存在しない暗号文C'の場合は
平文・乱数からC'にすることができないので
一意復号を考える場合には無視していてもいいと思います。
ただ、秘密鍵について知ろうとしたときに
存在しない暗号文C'を復号させることで
秘密鍵を知ることができてしまうので
暗号文と平文のハッシュ値をもらうようにして
復号文のハッシュ値と平文のハッシュ値が一致するか
チェックするようにしないといけないです。
↑についてはまたpdfにまとめてupします。
このあいだupしたものと同じですが
暇な方は↓を改造(M,rを7・8bitくらいで)して
ttp://up.isp.2ch.net/up/f34a15cf39e7.zip
暗号文の初期値に対して1を加算した暗号文を
何個か復号して、平文Mの差とxについて比較してみてください。
そしたら上で言ったことが大体分かると思います。
>>463さん取れましたか?
466 :132人目の素数さん:04/08/10 01:19
467 :132人目の素数さん:04/08/10 10:54
468 :白シャツ:04/08/10 20:26
>>464-465
>>442
では
>プログラムを使っていて正しく暗復号出来ない平文を発見しますた!
とかいてある。「平文」を発見したそうなんだけど。
一意復号できない平文が存在することはないのですね。
>>442
では
>プログラムを使っていて正しく暗復号出来ない平文を発見しますた!
とかいてある。「平文」を発見したそうなんだけど。
一意復号できない平文が存在することはないのですね。
469 :梅どぶろく ◆21Da3ggG3M :04/08/10 21:56
>>466さん
意味合いは分かってもらえましたでしょうか?
どういう風に表現したらいいのかよくわかりません
>>467さん
その通りです。
>>468さん
公開鍵・秘密鍵と平文・乱数を聞いてみないと分かりません。
ですが、
平文・乱数の範囲をきちんと守れば
一意復号できない平文はないはずです。
意味合いは分かってもらえましたでしょうか?
どういう風に表現したらいいのかよくわかりません
>>467さん
その通りです。
>>468さん
公開鍵・秘密鍵と平文・乱数を聞いてみないと分かりません。
ですが、
平文・乱数の範囲をきちんと守れば
一意復号できない平文はないはずです。
470 :白シャツ:04/08/10 22:45
ところで前から気になっていたんだが、
署名、認証が出来ないと書いてあるけど何故?
署名、認証が出来ないと書いてあるけど何故?
471 :132人目の素数さん:04/08/10 22:58
むしろ、署名・認証が出来ないからCCAの考察をする必要がない、の理由が分からん。
署名や認証って、RSAみたいな逆に使うって手法しかないと思ってるのかな。
署名や認証って、RSAみたいな逆に使うって手法しかないと思ってるのかな。
472 :白シャツ:04/08/11 00:18
>>471
なるほどね。
メッセージ復元型署名を実現しようと思うと
梅署名公開鍵(梅暗号秘密鍵)から
梅署名秘密鍵(梅暗号公開鍵)が容易に求まるということか。
復号できなくてもよいからM1,M2の出来損ないから
正当性の検証を証明できればそれでよいんだから、
d1,d2とnだけ公開する署名スキーム考えれば良いよね。
このまま適用しようするとだけだとダメだろうけど。
なるほどね。
メッセージ復元型署名を実現しようと思うと
梅署名公開鍵(梅暗号秘密鍵)から
梅署名秘密鍵(梅暗号公開鍵)が容易に求まるということか。
復号できなくてもよいからM1,M2の出来損ないから
正当性の検証を証明できればそれでよいんだから、
d1,d2とnだけ公開する署名スキーム考えれば良いよね。
このまま適用しようするとだけだとダメだろうけど。
473 :132人目の素数さん:04/08/11 00:36
「復号することなく」その暗号文が本当に正当な暗号文であることを確認出来る
というのが出来れば、ちょっと面白そうだな。
そういうの他にあるっけ?
復号する途中に正当性をチェックする暗号はいっぱいあるが、
誰にでも検証出来たり、もっと厳しくある鍵を知っていたら検証は、出来る(復号は出来ない)みたいなやつは
今、ぴんと思い浮かばない。
誰か教えて〜
というのが出来れば、ちょっと面白そうだな。
そういうの他にあるっけ?
復号する途中に正当性をチェックする暗号はいっぱいあるが、
誰にでも検証出来たり、もっと厳しくある鍵を知っていたら検証は、出来る(復号は出来ない)みたいなやつは
今、ぴんと思い浮かばない。
誰か教えて〜
474 :白シャツ:04/08/11 01:00
>>473
>「復号することなく」その暗号文が本当に正当な暗号文であることを確認出来る
>というのが出来れば、ちょっと面白そうだな。
誤解招くような表現だったかな。
署名の話なんで(メッセージ、署名文)を送って、
検証できれば署名文からメッセージ出てこなくてもOKってことなんだけど。
たとえば、シュノア署名とか。
>誰にでも検証出来たり、もっと厳しくある鍵を知っていたら検証は、
>出来る(復号は出来ない)みたいなやつは今、ぴんと思い浮かばない。
似たようなのはISECかSCISだったかで聞いたことあるよ。
階層型暗号とかそういうやつだったと思うんだけど。
漏れは現在なんちゃって署名屋さんなんであんまり詳しくないです。
誰かエロい先生、教えて〜。
>「復号することなく」その暗号文が本当に正当な暗号文であることを確認出来る
>というのが出来れば、ちょっと面白そうだな。
誤解招くような表現だったかな。
署名の話なんで(メッセージ、署名文)を送って、
検証できれば署名文からメッセージ出てこなくてもOKってことなんだけど。
たとえば、シュノア署名とか。
>誰にでも検証出来たり、もっと厳しくある鍵を知っていたら検証は、
>出来る(復号は出来ない)みたいなやつは今、ぴんと思い浮かばない。
似たようなのはISECかSCISだったかで聞いたことあるよ。
階層型暗号とかそういうやつだったと思うんだけど。
漏れは現在なんちゃって署名屋さんなんであんまり詳しくないです。
誰かエロい先生、教えて〜。
475 :白シャツ:04/08/11 09:49
送信相手の公開鍵で暗号化したメッセージ
+暗号文に対する自分の電子署名
でだいたい同じことが出来て、>>474で言ってたやつは
多少計算量や暗号文+署名合計のサイズが良くなる程度のメリットしか無かったんで、
まじめに考えるの止めたんだった。
むしろマルチキャストでそういうことできる様に
したいと検討するのが面白そうです。
+暗号文に対する自分の電子署名
でだいたい同じことが出来て、>>474で言ってたやつは
多少計算量や暗号文+署名合計のサイズが良くなる程度のメリットしか無かったんで、
まじめに考えるの止めたんだった。
むしろマルチキャストでそういうことできる様に
したいと検討するのが面白そうです。
476 :132人目の素数さん:04/08/11 11:58
あ、そうか。確かに、鍵が必要なら簡単にできるな。
むしろ、鍵情報を一切知らない人がその暗号の正当性(正しく平文を暗号化したものである)
を検証出来る方が難しいんだな。
マルチキャストと公開鍵暗号は、逆の思想だから、一緒に使うのはちょっと厳しそうかな。
共有鍵を作って、RSA署名のように秘密鍵で暗号化して特定のフッターを付け、作った共有鍵でカプセルのように包む。
受け取った人は、公開鍵で復号して、フッターを確認すれば、それを取り除いて共有鍵でさらに復号する。
白シャツがいったことが正しく理解出来ていれば、これでうまくいくと思うんだが。
むしろ、鍵情報を一切知らない人がその暗号の正当性(正しく平文を暗号化したものである)
を検証出来る方が難しいんだな。
マルチキャストと公開鍵暗号は、逆の思想だから、一緒に使うのはちょっと厳しそうかな。
共有鍵を作って、RSA署名のように秘密鍵で暗号化して特定のフッターを付け、作った共有鍵でカプセルのように包む。
受け取った人は、公開鍵で復号して、フッターを確認すれば、それを取り除いて共有鍵でさらに復号する。
白シャツがいったことが正しく理解出来ていれば、これでうまくいくと思うんだが。
477 :白シャツ:04/08/11 18:28
>>476
>むしろ、鍵情報を一切知らない人がその暗号の正当性(正しく平文を暗号化したものである)
>を検証出来る方が難しいんだな。
公開鍵使わずにとなると、何をもって正当かの定義によるよね。
単にメッセージダイジェストとかつけるというものから、
もっと厳しいものまで考えられるし。
>マルチキャストと公開鍵暗号は、逆の思想だから、一緒に使うのはちょっと厳しそうかな。
>共有鍵を作って、RSA署名のように秘密鍵で暗号化して特定のフッターを付け、作った共有鍵でカプセルのように包む。
>受け取った人は、公開鍵で復号して、フッターを確認すれば、それを取り除いて共有鍵でさらに復号する。
>白シャツがいったことが正しく理解出来ていれば、これでうまくいくと思うんだが。
残念ながら結託攻撃に対する耐性を考えないといけないのよ。
これが非常に厳しい。
>むしろ、鍵情報を一切知らない人がその暗号の正当性(正しく平文を暗号化したものである)
>を検証出来る方が難しいんだな。
公開鍵使わずにとなると、何をもって正当かの定義によるよね。
単にメッセージダイジェストとかつけるというものから、
もっと厳しいものまで考えられるし。
>マルチキャストと公開鍵暗号は、逆の思想だから、一緒に使うのはちょっと厳しそうかな。
>共有鍵を作って、RSA署名のように秘密鍵で暗号化して特定のフッターを付け、作った共有鍵でカプセルのように包む。
>受け取った人は、公開鍵で復号して、フッターを確認すれば、それを取り除いて共有鍵でさらに復号する。
>白シャツがいったことが正しく理解出来ていれば、これでうまくいくと思うんだが。
残念ながら結託攻撃に対する耐性を考えないといけないのよ。
これが非常に厳しい。
478 :132人目の素数さん:04/08/11 19:28
>>477
メッセージダイジェストを付けるというのは、攻撃者が簡単に、それっぽい暗号文に偽装出来ちゃわない?
整理すると、
ある検証者が、そのデータが、ある暗号スキームを用いて暗号化されたデータなのか、ただの乱数列なのかを判定出来るプロトコルを考える。
・ みんなは、暗号化に使った鍵に関連する情報は知っている。
(例えば、鍵のダイジェストとか。直接、鍵の情報は知らない。)
・ みんなは、平文に関する情報は平文が取りうる範囲程度しか知らない。
・ 検証者は、そのデータを復号出来るとは限らない。
・ 適当に乱数を持ってきても暗号文だと判定される確率は限りなく低い。
こんな感じ。
攻撃者としては、鍵のダイジェストから元の鍵でなんらかの平文を暗号化した「暗号文」ってのを偽造したい。
誰か、うまい方法教えてくれ〜
>> 残念ながら結託攻撃に対する耐性を考えないといけないのよ。
そうだな、確かに結託するといろんなところが破綻する。
問題としてはどこを守るのかと、誰を信じるかだな。シナリオごとに違うんじゃない?
例えば、全員が結託してもプロトコルが崩壊しない(全員が不正者であると見抜ける)、とかを考えれば凄いな(w
プロトコルvs参加者みたいな。むしろ、暗号の世界じゃなくて他でやってくれと(ry
メッセージダイジェストを付けるというのは、攻撃者が簡単に、それっぽい暗号文に偽装出来ちゃわない?
整理すると、
ある検証者が、そのデータが、ある暗号スキームを用いて暗号化されたデータなのか、ただの乱数列なのかを判定出来るプロトコルを考える。
・ みんなは、暗号化に使った鍵に関連する情報は知っている。
(例えば、鍵のダイジェストとか。直接、鍵の情報は知らない。)
・ みんなは、平文に関する情報は平文が取りうる範囲程度しか知らない。
・ 検証者は、そのデータを復号出来るとは限らない。
・ 適当に乱数を持ってきても暗号文だと判定される確率は限りなく低い。
こんな感じ。
攻撃者としては、鍵のダイジェストから元の鍵でなんらかの平文を暗号化した「暗号文」ってのを偽造したい。
誰か、うまい方法教えてくれ〜
>> 残念ながら結託攻撃に対する耐性を考えないといけないのよ。
そうだな、確かに結託するといろんなところが破綻する。
問題としてはどこを守るのかと、誰を信じるかだな。シナリオごとに違うんじゃない?
例えば、全員が結託してもプロトコルが崩壊しない(全員が不正者であると見抜ける)、とかを考えれば凄いな(w
プロトコルvs参加者みたいな。むしろ、暗号の世界じゃなくて他でやってくれと(ry
479 :大学への名無しさん:04/08/11 20:21
数学って解かなくても何度も読めば良いのでは?
http://school4.2ch.net/test/read.cgi/kouri/1092221749/l50
ご意見お待ちしております。
あくまでも大学受験レベルですが。
http://school4.2ch.net/test/read.cgi/kouri/1092221749/l50
ご意見お待ちしております。
あくまでも大学受験レベルですが。
480 :白シャツ:04/08/11 22:46
>>478
>メッセージダイジェストを付けるというのは、攻撃者が簡単に、それっぽい暗号文に偽装出来ちゃわない?
基本的にこれは安全という前提で議論している、プロトコル屋さんの場合は。
MDはメッセージのハッシュ値だからハッシュ関数がうまく出来ていることが前提です。
ハッシュ関数の研究だけでも1分野できるぐらい重いテーマなんですよね。
ただ、MDつけるというと復号できることが前提になるかもしれないので、
続きに議論されている内容とはちょっと違いますね。
>メッセージダイジェストを付けるというのは、攻撃者が簡単に、それっぽい暗号文に偽装出来ちゃわない?
基本的にこれは安全という前提で議論している、プロトコル屋さんの場合は。
MDはメッセージのハッシュ値だからハッシュ関数がうまく出来ていることが前提です。
ハッシュ関数の研究だけでも1分野できるぐらい重いテーマなんですよね。
ただ、MDつけるというと復号できることが前提になるかもしれないので、
続きに議論されている内容とはちょっと違いますね。
481 :白シャツ:04/08/11 23:00
>>480の続き
暗号文を復号せずに暗号化されていることを示す問題ですね。
漏れは勉強不足なんで調べないとわからないけど、
従来無ければ面白いテーマかもしれない。
>・ みんなは、暗号化に使った鍵に関連する情報は知っている。
> (例えば、鍵のダイジェストとか。直接、鍵の情報は知らない。)
公開鍵暗号の場合だと鍵のダイジェストではなくむしろ
暗号化鍵そのもの、受信者の公開鍵を使うのが現実的じゃないかな。
受信者、送信者の(公開鍵、秘密鍵)組を
(Pr,Sr),(Ps,Ss)として、メッセージをM,乱数をRとします。
暗号文C=enc(M,R,Pr)と署名sig(C,R,Pr,Ss)の関連を
Pr,Psを使って検証できるようにするみたいな感じ?
暗号文を復号せずに暗号化されていることを示す問題ですね。
漏れは勉強不足なんで調べないとわからないけど、
従来無ければ面白いテーマかもしれない。
>・ みんなは、暗号化に使った鍵に関連する情報は知っている。
> (例えば、鍵のダイジェストとか。直接、鍵の情報は知らない。)
公開鍵暗号の場合だと鍵のダイジェストではなくむしろ
暗号化鍵そのもの、受信者の公開鍵を使うのが現実的じゃないかな。
受信者、送信者の(公開鍵、秘密鍵)組を
(Pr,Sr),(Ps,Ss)として、メッセージをM,乱数をRとします。
暗号文C=enc(M,R,Pr)と署名sig(C,R,Pr,Ss)の関連を
Pr,Psを使って検証できるようにするみたいな感じ?
482 :132人目の素数さん:04/08/11 23:03
スマソ、議論がかみ合ってなかった。
復号しないのに、メッセージダイジェストが確認出来るって前提だったから、
(暗号文)+(暗号文のダイジェスト)って送るのかと思った。そりゃ簡単に偽造できるわーというような。
(平文)+(平文のダイジェスト)の全体を暗号化すれば、確かに、復号出来れば完全性は確認出来る。
でも、それが出来ないから、ちょっと難しいのかな、と。
ハッシュ関数が安全でなくなったら(一方向性が言えない、衝突困難性が言えない)、世の中困るんで、
勘弁して欲しいでつ。
復号しないのに、メッセージダイジェストが確認出来るって前提だったから、
(暗号文)+(暗号文のダイジェスト)って送るのかと思った。そりゃ簡単に偽造できるわーというような。
(平文)+(平文のダイジェスト)の全体を暗号化すれば、確かに、復号出来れば完全性は確認出来る。
でも、それが出来ないから、ちょっと難しいのかな、と。
ハッシュ関数が安全でなくなったら(一方向性が言えない、衝突困難性が言えない)、世の中困るんで、
勘弁して欲しいでつ。
483 :132人目の素数さん:04/08/11 23:11
>>481
> 公開鍵暗号の場合だと鍵のダイジェストではなくむしろ
> 暗号化鍵そのもの、受信者の公開鍵を使うのが現実的じゃないかな。
これは、考えたんだけど、そうすると攻撃者の、「暗号文っぽい文の偽造」が極めて簡単になってしまわない?
> 暗号文C=enc(M,R,Pr)と署名sig(C,R,Pr,Ss)の関連を
> Pr,Psを使って検証できるようにするみたいな感じ?
だと、やっぱり、攻撃者は、RとPrをしれるからC'= enc(M' , R, Pr)ってのを偽造出来てしまう。
M≠M'は復号出来ない以上、検証のしようがない。
> 公開鍵暗号の場合だと鍵のダイジェストではなくむしろ
> 暗号化鍵そのもの、受信者の公開鍵を使うのが現実的じゃないかな。
これは、考えたんだけど、そうすると攻撃者の、「暗号文っぽい文の偽造」が極めて簡単になってしまわない?
> 暗号文C=enc(M,R,Pr)と署名sig(C,R,Pr,Ss)の関連を
> Pr,Psを使って検証できるようにするみたいな感じ?
だと、やっぱり、攻撃者は、RとPrをしれるからC'= enc(M' , R, Pr)ってのを偽造出来てしまう。
M≠M'は復号出来ない以上、検証のしようがない。
484 :白シャツ:04/08/11 23:12
>>480 さらに続き
>そうだな、確かに結託するといろんなところが破綻する。
>問題としてはどこを守るのかと、誰を信じるかだな。シナリオごとに違うんじゃない?
同意。そこが社会的に信用できるかの問題。
最終的に自分以外信用できないという仮定で安全ってのが理想。
>例えば、全員が結託してもプロトコルが崩壊しない(全員が不正者であると見抜ける)、とかを考えれば凄いな(w
>プロトコルvs参加者みたいな。むしろ、暗号の世界じゃなくて他でやってくれと(ry
Authorityは別にして参加者結託を数学的に難しくするのは
暗号の世界でも考えられてるんじゃない?
結託不能は厳しいけど、結託閾値を上げてやるみたいなことは
やってる人結構いるんじゃないかな。分野にもよるだろうけど。
>そうだな、確かに結託するといろんなところが破綻する。
>問題としてはどこを守るのかと、誰を信じるかだな。シナリオごとに違うんじゃない?
同意。そこが社会的に信用できるかの問題。
最終的に自分以外信用できないという仮定で安全ってのが理想。
>例えば、全員が結託してもプロトコルが崩壊しない(全員が不正者であると見抜ける)、とかを考えれば凄いな(w
>プロトコルvs参加者みたいな。むしろ、暗号の世界じゃなくて他でやってくれと(ry
Authorityは別にして参加者結託を数学的に難しくするのは
暗号の世界でも考えられてるんじゃない?
結託不能は厳しいけど、結託閾値を上げてやるみたいなことは
やってる人結構いるんじゃないかな。分野にもよるだろうけど。
485 :白シャツ:04/08/11 23:19
>>483
梅暗号だったら乱数が復号できるけど、
普通の確率暗号だと乱数がわからないものもあるので、
その場合はメッセージ差し替えは難しいと思う。
でも同様に目的の復号せずに検証ってのも難しいと
予想できるけどね。それと>>481でいってた奴だと、
送信者の秘密鍵が署名の方に入ってるんで、
問題の難しさがまたわからなくなります。
受信者が攻撃すると仮定するとさらにややこしいかも。
梅暗号だったら乱数が復号できるけど、
普通の確率暗号だと乱数がわからないものもあるので、
その場合はメッセージ差し替えは難しいと思う。
でも同様に目的の復号せずに検証ってのも難しいと
予想できるけどね。それと>>481でいってた奴だと、
送信者の秘密鍵が署名の方に入ってるんで、
問題の難しさがまたわからなくなります。
受信者が攻撃すると仮定するとさらにややこしいかも。
486 :白シャツ:04/08/11 23:33
読み直すと、なんかいろいろな部分で
議論がかみあってないようなところがありますね。
ちゃんと整理してから書かないと。スマソ>allとか言いながら約1名と予想してますが
このテーマ面白いかもしれない。とりあえずサーヴェイしてみる価値ありそうですね。
でも、本気でやってSCISあたりで発表したら漏れが特定されかねないな(w
>>479はいったいどうしてここに貼ったのかわからん。
スルーされるの見えてるだろうに、と釣られてしまった。
議論がかみあってないようなところがありますね。
ちゃんと整理してから書かないと。スマソ>allとか言いながら約1名と予想してますが
このテーマ面白いかもしれない。とりあえずサーヴェイしてみる価値ありそうですね。
でも、本気でやってSCISあたりで発表したら漏れが特定されかねないな(w
>>479はいったいどうしてここに貼ったのかわからん。
スルーされるの見えてるだろうに、と釣られてしまった。
487 :132人目の素数さん:04/08/11 23:52
488 :白シャツ:04/08/12 00:10
>>487
暗号業界狭いので>>273で書いてますようにエロイ先生相手に
適当な事言ってる可能性があるのが怖いのですが、
会っている可能性は極めて高いかと思います。
でも漏れはペェペェですのでどうかなとは思いますけど(w
現状では共同研究ってところまで考える場合ではないので、
本気でやることになりそうな場合にはリアルで探りが入ることに
なるかもしれないと考えておきます(w
ただ、上が仲悪い可能性が..........
暗号業界狭いので>>273で書いてますようにエロイ先生相手に
適当な事言ってる可能性があるのが怖いのですが、
会っている可能性は極めて高いかと思います。
でも漏れはペェペェですのでどうかなとは思いますけど(w
現状では共同研究ってところまで考える場合ではないので、
本気でやることになりそうな場合にはリアルで探りが入ることに
なるかもしれないと考えておきます(w
ただ、上が仲悪い可能性が..........
489 :132人目の素数さん:04/08/12 06:09
Elgamal暗号について幾つか質問です。
・Elgamal暗号は単にDH鍵共有方式によって共有した鍵を使った共通鍵暗号による暗号方式である、という理解で正しいでしょうか?
・Elgamal暗号による”認証”はありますか?
・Elgamal暗号は単にDH鍵共有方式によって共有した鍵を使った共通鍵暗号による暗号方式である、という理解で正しいでしょうか?
・Elgamal暗号による”認証”はありますか?
490 :132人目の素数さん:04/08/12 06:14
>>489訂正
”認証”じゃなくて”署名”でした。
”認証”じゃなくて”署名”でした。
491 :132人目の素数さん:04/08/12 12:07
> ・ElGamal暗号は単にDH鍵共有方式によって共有した鍵を使った共通鍵暗号による暗号方式である、という理解で正しいでしょうか?
正しいです。だから、特許もDH鍵共有方式がそのまま使われたという話もあります。
> ・Elgamal暗号による”認証”はありますか?
「暗号」による「認証」はありませんが、ElGamalによるElGamal署名はありますし、ちょっと改良したDSA署名などは、とてもよく使われています。
正しいです。だから、特許もDH鍵共有方式がそのまま使われたという話もあります。
> ・Elgamal暗号による”認証”はありますか?
「暗号」による「認証」はありませんが、ElGamalによるElGamal署名はありますし、ちょっと改良したDSA署名などは、とてもよく使われています。
492 :132人目の素数さん:04/08/15 05:09
質問です。
encrypt は暗号化でいいんですが、
decrypt は復号?復号化?
復号化は日本語として変ですが、符号理論などでは符号化の反対として定着しているらしいです。
日本語で書かれた論文では、どうなっているのでしょうか?
encrypt は暗号化でいいんですが、
decrypt は復号?復号化?
復号化は日本語として変ですが、符号理論などでは符号化の反対として定着しているらしいです。
日本語で書かれた論文では、どうなっているのでしょうか?
493 :132人目の素数さん:04/08/15 05:20
復号する・復号時・復号処理
復号化する・復号化時・復号化処理
論文中で統一されていれば、どっちでもいいかな。
復号化する・復号化時・復号化処理
論文中で統一されていれば、どっちでもいいかな。
SCIS2004だとほとんど「復号」ですね。
495 :白シャツ:04/08/15 22:47
ちょっと違うがこんなのあった。
秘密鍵暗号の暗号文を復号せずに検証するってかんじかな?
アブストさらっと見てとりあえず落としただけなんでまだ読んでない。
ttp://eprint.iacr.org/2004/028.pdf
公開鍵暗号だと>>481で言ってたのでたぶんOKだと思う。
PKIの応用例とかにそういうかんじのが出てるみたい。
ただし、情報処理技術者試験SSの参考書に適当に
書いてある奴なんであんまり信用してないけどね。
秘密鍵暗号の暗号文を復号せずに検証するってかんじかな?
アブストさらっと見てとりあえず落としただけなんでまだ読んでない。
ttp://eprint.iacr.org/2004/028.pdf
公開鍵暗号だと>>481で言ってたのでたぶんOKだと思う。
PKIの応用例とかにそういうかんじのが出てるみたい。
ただし、情報処理技術者試験SSの参考書に適当に
書いてある奴なんであんまり信用してないけどね。
496 :132人目の素数さん:04/08/16 02:30
>>495
ん?これって、public key encrypted messageの認証をしようとしてるんじゃない?
アブストラクトの一行目に「an asymmetrically encrypted ciphertext」って書いてあるんだが。
むしろ、ad hocのグループに対称鍵を共有させるkey agreementの方が難しそうだな。
ん?これって、public key encrypted messageの認証をしようとしてるんじゃない?
アブストラクトの一行目に「an asymmetrically encrypted ciphertext」って書いてあるんだが。
むしろ、ad hocのグループに対称鍵を共有させるkey agreementの方が難しそうだな。
497 :白シャツ:04/08/16 03:01
>>496
オオボケでした、スマソ。
>アブストラクトの一行目に「an asymmetrically encrypted ciphertext」って書いてあるんだが。
symmetrically encrypted ciphertext とおもてたようだ。
というか、条件反射的にそう思い込んでたのかも。
>むしろ、ad hocのグループに対称鍵を共有させるkey agreementの方が難しそうだな。
ってどういうことでしょうか?
ID-Based encryptionとかの
Trusted Authority無し版でしょうか?
それともDH鍵共有みたいなのをn人(n>2)でやるということ?
オオボケでした、スマソ。
>アブストラクトの一行目に「an asymmetrically encrypted ciphertext」って書いてあるんだが。
symmetrically encrypted ciphertext とおもてたようだ。
というか、条件反射的にそう思い込んでたのかも。
>むしろ、ad hocのグループに対称鍵を共有させるkey agreementの方が難しそうだな。
ってどういうことでしょうか?
ID-Based encryptionとかの
Trusted Authority無し版でしょうか?
それともDH鍵共有みたいなのをn人(n>2)でやるということ?
498 :132人目の素数さん:04/08/16 11:45
>>497
ID-Basedってライセンス使うコンテンツ保護のやつだよね?
TAなしでどうやってやるんだろう。うぉー、勉強することで一杯だ。
想定しているのは、後のDH鍵共有をn人でやるっていうもの。
これも、内部不正者とか結託とかの問題が熱い。
考えれば考えるほど、対称鍵暗号使いながら、メッセージを認証するって難しい気がしてきた。
ID-Basedってライセンス使うコンテンツ保護のやつだよね?
TAなしでどうやってやるんだろう。うぉー、勉強することで一杯だ。
想定しているのは、後のDH鍵共有をn人でやるっていうもの。
これも、内部不正者とか結託とかの問題が熱い。
考えれば考えるほど、対称鍵暗号使いながら、メッセージを認証するって難しい気がしてきた。
499 :白シャツ:04/08/16 17:49
>>497
>ID-Basedってライセンス使うコンテンツ保護のやつだよね?
一概にそうとは言えないけれど、応用考えるとそっち方面にいくよね。
もともとは公開鍵取りに行ったりする予備通信を不要にして、
IPアドレスなりメアドなり既存の情報から鍵を作れないかってことだったと思う。
>TAなしでどうやってやるんだろう。うぉー、勉強することで一杯だ。
いまのところ出来てないよ。
実現する方法を提案、もしくは不可能なことを証明できれば神かも。
>想定しているのは、後のDH鍵共有をn人でやるっていうもの。
ad hocで鍵共有という状況を考えると、ワンタイムキーが効率よく共有できれば
>これも、内部不正者とか結託とかの問題が熱い。
とか考えなくても使えるんじゃないかな。
今後はそういう「使い捨て前提簡易暗号」みたいなのが面白いかと個人的には思ってる。
>考えれば考えるほど、対称鍵暗号使いながら、メッセージを認証するって難しい気がしてきた。
結局ハイブリッド型暗号にならざるを得ないだろうけど、
トレードオフポイントを対称鍵の方にどこまで持っていけるかってことになるのかな。
これは面白そうだけど、本気でやると茨の道が見えてますね。
どうやったらよいのだろう。
>ID-Basedってライセンス使うコンテンツ保護のやつだよね?
一概にそうとは言えないけれど、応用考えるとそっち方面にいくよね。
もともとは公開鍵取りに行ったりする予備通信を不要にして、
IPアドレスなりメアドなり既存の情報から鍵を作れないかってことだったと思う。
>TAなしでどうやってやるんだろう。うぉー、勉強することで一杯だ。
いまのところ出来てないよ。
実現する方法を提案、もしくは不可能なことを証明できれば神かも。
>想定しているのは、後のDH鍵共有をn人でやるっていうもの。
ad hocで鍵共有という状況を考えると、ワンタイムキーが効率よく共有できれば
>これも、内部不正者とか結託とかの問題が熱い。
とか考えなくても使えるんじゃないかな。
今後はそういう「使い捨て前提簡易暗号」みたいなのが面白いかと個人的には思ってる。
>考えれば考えるほど、対称鍵暗号使いながら、メッセージを認証するって難しい気がしてきた。
結局ハイブリッド型暗号にならざるを得ないだろうけど、
トレードオフポイントを対称鍵の方にどこまで持っていけるかってことになるのかな。
これは面白そうだけど、本気でやると茨の道が見えてますね。
どうやったらよいのだろう。
500 :132人目の素数さん:04/08/16 18:45
> ワンタイムキーが効率よく共有できれば、
っていうのが難しいんだよな。効率よく共有と、安全に共有は、どっちもまだまだだかと。
ハイブリッド暗号にするのは、それでいいことにしよう。
おそらく、解読よりも圧倒的に検証の方が回数が多いから、検証が対称鍵の解読で出来ればいいのかな。
もしくは、それに準ずる計算速度で出来る演算で検証したいな。
たくさんのクライアントが、一台のサーバーにメッセージを送りつけ、
通常時は、サーバーは、メッセージの正当性を確認するだけにする。
なんか問題が起きたときに、クライアントは、サーバーに残されたデータと秘密鍵を検証者に送る。
信頼出来るサーバーログの生成とかに使えないかな。
いわゆるブラインド署名を、超高速に検証出来るようなモデルとかを考えると応用用途はいっぱいありそう。
っていうのが難しいんだよな。効率よく共有と、安全に共有は、どっちもまだまだだかと。
ハイブリッド暗号にするのは、それでいいことにしよう。
おそらく、解読よりも圧倒的に検証の方が回数が多いから、検証が対称鍵の解読で出来ればいいのかな。
もしくは、それに準ずる計算速度で出来る演算で検証したいな。
たくさんのクライアントが、一台のサーバーにメッセージを送りつけ、
通常時は、サーバーは、メッセージの正当性を確認するだけにする。
なんか問題が起きたときに、クライアントは、サーバーに残されたデータと秘密鍵を検証者に送る。
信頼出来るサーバーログの生成とかに使えないかな。
いわゆるブラインド署名を、超高速に検証出来るようなモデルとかを考えると応用用途はいっぱいありそう。
501 :梅どぶろく ◆21Da3ggG3M :04/08/16 20:55
あのう、今まで梅署名について考えていて、
きちんとしたのができたのですが、
ここに公開させてもらってもいいでしょうか?
スレの流れ的に怒られますか?
きちんとしたのができたのですが、
ここに公開させてもらってもいいでしょうか?
スレの流れ的に怒られますか?
502 :132人目の素数さん:04/08/16 21:23
すまん、
問題ないんじゃない?の誤字だ。
意味が逆になってしもた
問題ないんじゃない?の誤字だ。
意味が逆になってしもた
504 :白シャツ:04/08/16 23:45
☆ チン
☆ チン 〃 ∧_∧ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ヽ ___\(\・∀・)< 梅署名マダー?
\_/⊂ ⊂_)_ \____________
/ ̄ ̄ ̄ ̄ ̄ ̄ ̄/|
|  ̄  ̄ ̄ ̄ ̄ ̄ ̄:| |
| 555 蓬莱 .|/
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
☆ チン 〃 ∧_∧ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ヽ ___\(\・∀・)< 梅署名マダー?
\_/⊂ ⊂_)_ \____________
/ ̄ ̄ ̄ ̄ ̄ ̄ ̄/|
|  ̄  ̄ ̄ ̄ ̄ ̄ ̄:| |
| 555 蓬莱 .|/
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
505 :白シャツ:04/08/16 23:58
506 :132人目の素数さん:04/08/17 00:39
>>505
>つまり対称鍵暗号に匹敵するぐらい速い非対称鍵暗号が
>出来ないかってことですか?
ではないです。
検証が出来ればいいだけなので、復号が出来る必要はない。
例えばMACなんかは、対称鍵暗号や、ハッシュ関数で実現出来るわけで。
>つまり対称鍵暗号に匹敵するぐらい速い非対称鍵暗号が
>出来ないかってことですか?
ではないです。
検証が出来ればいいだけなので、復号が出来る必要はない。
例えばMACなんかは、対称鍵暗号や、ハッシュ関数で実現出来るわけで。
507 :梅どぶろく ◆21Da3ggG3M :04/08/17 00:39
508 :梅どぶろく ◆21Da3ggG3M :04/08/17 00:51
アップしたpdfですが下のほうでmod nが抜けていました。
全ての計算にmod nが必要ですので脳内補完お願いします。
全ての計算にmod nが必要ですので脳内補完お願いします。
509 :132人目の素数さん:04/08/17 02:28
細かいことは全部抜きにして署名生成に必要なべき乗の回数が6回、検証で2回か。
ちょっと計算コストが大きすぎるな。既存の倍以上かかるだろう。
かといって、安全性があがっているわけでもなく。
あ、本当に書いてあることが全部正しいとするならば、
この署名は、簡単に偽造出来るな。
攻撃方法は、仕様がfixしてからにするわ。
ちょっと計算コストが大きすぎるな。既存の倍以上かかるだろう。
かといって、安全性があがっているわけでもなく。
あ、本当に書いてあることが全部正しいとするならば、
この署名は、簡単に偽造出来るな。
攻撃方法は、仕様がfixしてからにするわ。
510 :白シャツ:04/08/17 03:05
>>506
了解です。そういうことね。
ところで>>500の
>おそらく、解読よりも圧倒的に検証の方が回数が多いから、検証が対称鍵の解読で出来ればいいのかな。
対称鍵の解読ってのがよくわからないのですが、
これはどういうことですか?
漏れ的には(というか一般的に)鍵の解読=鍵特定(すなわちアタック)
見たいな印象があるんですが。
対称鍵で何かを暗号化してチャレンジ&レスポンスのやりとりで認証?
了解です。そういうことね。
ところで>>500の
>おそらく、解読よりも圧倒的に検証の方が回数が多いから、検証が対称鍵の解読で出来ればいいのかな。
対称鍵の解読ってのがよくわからないのですが、
これはどういうことですか?
漏れ的には(というか一般的に)鍵の解読=鍵特定(すなわちアタック)
見たいな印象があるんですが。
対称鍵で何かを暗号化してチャレンジ&レスポンスのやりとりで認証?
511 :白シャツ:04/08/17 03:18
512 :梅どぶろく ◆21Da3ggG3M :04/08/17 18:46
ttp://page.freett.com/umedoblock/index.html
↑に今までupしたものをまとめましたので
落としてください。
えっと、いいにくいんですが
初期の梅署名については簡単に偽造ができましたので、
新しく考えて全く違った署名方法になりました。
507を落とされた方はお手数ですが
もう一度上記のurlから落としてください。
↑に今までupしたものをまとめましたので
落としてください。
えっと、いいにくいんですが
初期の梅署名については簡単に偽造ができましたので、
新しく考えて全く違った署名方法になりました。
507を落とされた方はお手数ですが
もう一度上記のurlから落としてください。
513 :白シャツ:04/08/18 00:00
nは本当に素数でよいんだな?
514 :132人目の素数さん:04/08/18 00:08
ここ素人ばっかだな。
515 :梅どぶろく ◆21Da3ggG3M :04/08/18 13:56
素数ということでお願いします。
516 :132人目の素数さん:04/08/18 15:56
517 :132人目の素数さん:04/08/18 18:05
518 :132人目の素数さん:04/08/18 18:19
ψ【暗号アルゴリズム】重大な欠陥発見の報告相次ぐ
http://pc5.2ch.net/test/read.cgi/pcnews/1092820402/
http://pc5.2ch.net/test/read.cgi/pcnews/1092820402/
519 :132人目の素数さん:04/08/18 21:42
520 :白シャツ:04/08/18 22:06
正直言ってこういう言い方は悪いかもしれないけど、
デファクトスタンダードが氏んでくれると
新規参入者のチャンスが増えると思います。
でもハッシュの設計とかはあんまり興味なかったりする。
準同型が好き(w
>>515
オイラーの定理って知ってるよね。三角形のやつじゃないよ(w
デファクトスタンダードが氏んでくれると
新規参入者のチャンスが増えると思います。
でもハッシュの設計とかはあんまり興味なかったりする。
準同型が好き(w
>>515
オイラーの定理って知ってるよね。三角形のやつじゃないよ(w
521 :白シャツ:04/08/18 22:12
Antoine Jouxといえば、3者間鍵共有の人ですよね。
>>498で話題になってたn人DH鍵共有のn=3の場合のやつ。
>>498で話題になってたn人DH鍵共有のn=3の場合のやつ。
522 :132人目の素数さん:04/08/18 22:53
衝突困難性は、結構危ないのは間違いない。MD5なんかは、前にも見つかってたしな。
でも、衝突させられて、さらに有意なものを作ろうとするとやっぱ難しいな。
>> 521
それ、最近読んだんだったw
さらに、それを多人数に拡張して、やろうとしてたやつもあった。
でも、衝突させられて、さらに有意なものを作ろうとするとやっぱ難しいな。
>> 521
それ、最近読んだんだったw
さらに、それを多人数に拡張して、やろうとしてたやつもあった。
523 :132人目の素数さん:04/08/18 23:04
>>522
前にも見つかっていたのはMD4の間違いじゃないか?
前にも見つかっていたのはMD4の間違いじゃないか?
524 :132人目の素数さん:04/08/18 23:23
スマソ。MD5の圧縮関数を用いて衝突を起こすだな。これは、ずいぶん昔かも。
ちなみに今回のSHA-1も、関数そのものじゃないんでしょ?
ちなみに今回のSHA-1も、関数そのものじゃないんでしょ?
525 :132人目の素数さん:04/08/18 23:34
度々スマソ
SHA-1の低ラウンド版で衝突が起こせた、ってのがホントみたいだな。
SHA-1の低ラウンド版で衝突が起こせた、ってのがホントみたいだな。
526 :梅どぶろく ◆21Da3ggG3M :04/08/19 00:01
527 :132人目の素数さん:04/08/19 00:02
スラドでも話題になってたな.CRYPTOに参加してる人が現地からカキコしてたりしてた.
ランプセッションは大盛り上がりだった様子.
ランプセッションは大盛り上がりだった様子.
528 :梅どぶろく ◆21Da3ggG3M :04/08/19 00:03
r^n mod n ≠r
でした、失礼しました。
でした、失礼しました。
529 :132人目の素数さん:04/08/19 19:10
http://slashdot.jp/article.pl?sid=04/08/18/0257220
への書き込みからすると、MD4、MD5はヤバイということのようですが、
MD5同様、広く利用されているSHA-1の方はどうなんでしょう?
SHA-1も安心は出来ないとなると、現時点では何があるのでしょうか?
への書き込みからすると、MD4、MD5はヤバイということのようですが、
MD5同様、広く利用されているSHA-1の方はどうなんでしょう?
SHA-1も安心は出来ないとなると、現時点では何があるのでしょうか?
530 :132人目の素数さん:04/08/19 22:20
1年ぐらい前からMD5を破ることが出来るってのは示唆されてたんだがな。
まさか数分とは…
まさか数分とは…
531 :白シャツ:04/08/19 22:36
即座に偽造可能とかみたいに致命的というわけじゃないんだし、
だましだまし今あるの使ってその間に新しいの探すしかないわな。
規格やさんや実装やさんが大変になるかもしれないが。
実はホントにヤバいけど黙らされてるとかないよね。
だましだまし今あるの使ってその間に新しいの探すしかないわな。
規格やさんや実装やさんが大変になるかもしれないが。
実はホントにヤバいけど黙らされてるとかないよね。
532 :白シャツ:04/08/19 22:44
533 :132人目の素数さん:04/08/19 22:52
534 :132人目の素数さん:04/08/19 23:29
ロシアとか中国とか、この辺凄そう!!
>>531
私にはどう考えても致命的にしか思えないんだが。
私にはどう考えても致命的にしか思えないんだが。
536 :白シャツ:04/08/20 21:08
>>535
「ハッシュ関数」として致命的という意味ではそう思います。
ただ、アプリケーションにハッシュを使ってるような場合に
すべて使用停止しないと危険というわけではなく、
より安全と思われるハッシュを探す時間稼ぎするぐらいは
大丈夫じゃないかという意味で言ってます。
逆関数が見つかったとかなら有意な電子署名の偽造とか簡単にできるでしょうけど。
ハッシュ関数でコリジョンが起こっても安全であることが証明可能な
電子署名方式とかそういうのあるのかな?
「ハッシュ関数」として致命的という意味ではそう思います。
ただ、アプリケーションにハッシュを使ってるような場合に
すべて使用停止しないと危険というわけではなく、
より安全と思われるハッシュを探す時間稼ぎするぐらいは
大丈夫じゃないかという意味で言ってます。
逆関数が見つかったとかなら有意な電子署名の偽造とか簡単にできるでしょうけど。
ハッシュ関数でコリジョンが起こっても安全であることが証明可能な
電子署名方式とかそういうのあるのかな?
いわゆる``Standard Model''での証明とかかな?
>>537
>いわゆる``Standard Model''での証明とかかな?
Standard Modelってどういうことですか?
漏れが勉強してないのはわかってるんですが、
検索したらえらいことになっちゃいました。
>いわゆる``Standard Model''での証明とかかな?
Standard Modelってどういうことですか?
漏れが勉強してないのはわかってるんですが、
検索したらえらいことになっちゃいました。
540 :梅どぶろく ◆21Da3ggG3M :04/08/22 17:15
>>532
そうでふ、素因数分解されると困ります。
やはり、大きな素数を作らないといけないですか。
梅署名では、法とする数nとある数の平方根r(=R^1/2)が素である時に、
rを示すことなくRの平方根を知っていると証明できるのですが、
なにか暗号的に意味のあることですか?
あと、他の方法でRの平方根を知っていると証明できたりしますか?
そうでふ、素因数分解されると困ります。
やはり、大きな素数を作らないといけないですか。
梅署名では、法とする数nとある数の平方根r(=R^1/2)が素である時に、
rを示すことなくRの平方根を知っていると証明できるのですが、
なにか暗号的に意味のあることですか?
あと、他の方法でRの平方根を知っていると証明できたりしますか?
>>539
サンクス。そういうことですか。
コリジョンが起こると仮定すると
よりStandard Modelより弱い仮定?
>>540
大きくても素因数分解されやすい素数はある。
こういう場合はCo-Sophie Germain素数の積を使うのが一般的。
q=2p+1がともに素数のときpをSophie Germain素数、
q=をCo-Sophie Germain素数と言う。
ただし後者の呼称はあんまり一般的じゃないかもしれない。
サンクス。そういうことですか。
コリジョンが起こると仮定すると
よりStandard Modelより弱い仮定?
>>540
大きくても素因数分解されやすい素数はある。
こういう場合はCo-Sophie Germain素数の積を使うのが一般的。
q=2p+1がともに素数のときpをSophie Germain素数、
q=をCo-Sophie Germain素数と言う。
ただし後者の呼称はあんまり一般的じゃないかもしれない。
542 :白シャツ:04/08/23 19:23
>梅署名では、法とする数nとある数の平方根r(=R^1/2)が素である時に、
>rを示すことなくRの平方根を知っていると証明できるのですが、
>なにか暗号的に意味のあることですか?
>あと、他の方法でRの平方根を知っていると証明できたりしますか?
ZKIPじゃないの。
>rを示すことなくRの平方根を知っていると証明できるのですが、
>なにか暗号的に意味のあることですか?
>あと、他の方法でRの平方根を知っていると証明できたりしますか?
ZKIPじゃないの。
543 :132人目の素数さん:04/08/29 16:21
841
544 :132人目の素数さん:04/09/05 07:01
418
545 :132人目の素数さん:04/09/07 04:46
ん?ここって止まったの?
546 :白シャツ:04/09/08 22:32
547 :梅どぶろく ◆21Da3ggG3M :04/09/08 23:47
いや、生きてますよ。
今は
ttp://www.jpo.go.jp/tetuzuki/ryoukin/genmensochi.htm
を見て、学生だと審査量とか免除されるらしいから
特許出してみてやろうと思ってるんです。
他のネタを今特許用にどう書いたらいいのか
ttp://www.isokanet.com/tokususu/
ここ見たり、web巡り中です。
HPには載ってないネタです。
特許出願してみて先願権確保できたらupするつもりですが
一ヶ月以上かかりそう・・・
今は
ttp://www.jpo.go.jp/tetuzuki/ryoukin/genmensochi.htm
を見て、学生だと審査量とか免除されるらしいから
特許出してみてやろうと思ってるんです。
他のネタを今特許用にどう書いたらいいのか
ttp://www.isokanet.com/tokususu/
ここ見たり、web巡り中です。
HPには載ってないネタです。
特許出願してみて先願権確保できたらupするつもりですが
一ヶ月以上かかりそう・・・
548 :白シャツ:04/09/09 20:14
特許だと「暗号化装置」として書くと通りやすいんだっけ?
どこかの研究会で発表とかはしないの?
フレッシュマンセッションとかあるところが吉か
どこかの研究会で発表とかはしないの?
フレッシュマンセッションとかあるところが吉か
おぉ、うごいてましたか。
ぽつぽつと見てたんですが、どうなったのかな、って思ってました。
ぽつぽつと見てたんですが、どうなったのかな、って思ってました。
550 :梅どぶろく ◆21Da3ggG3M :04/09/11 22:45:32
えっと、すいません質問があります。
ある巨大な素数p,qの積nを法とするときに
2次合同式の解を求めることは困難、
pを法とする2次合同式の解を求めることは簡単、
ってことでいいんでしょうか?
ラビン暗号なんか
M^2+bM-C=0 mod n
の解Mを求めることが困難だから成り立っていると思うんですが、
x^2+bx-k=0 mod n
未知数はxのみのとき
上式を満たすxを求めることは困難ってことでいいですか?
んで、nが値の分かっている素数の時なら、xを求めることは困難ではない
これであってますか?
ある巨大な素数p,qの積nを法とするときに
2次合同式の解を求めることは困難、
pを法とする2次合同式の解を求めることは簡単、
ってことでいいんでしょうか?
ラビン暗号なんか
M^2+bM-C=0 mod n
の解Mを求めることが困難だから成り立っていると思うんですが、
x^2+bx-k=0 mod n
未知数はxのみのとき
上式を満たすxを求めることは困難ってことでいいですか?
んで、nが値の分かっている素数の時なら、xを求めることは困難ではない
これであってますか?
551 :132人目の素数さん:04/09/11 23:47:44
? >nが値の分かっている素数の時
n=pq
n=pq
552 :梅どぶろく ◆21Da3ggG3M :04/09/11 23:53:35
すいません、
× >nが値の分かっている素数の時
○ んで、法とする素数pの値が分かっている時なら、
xを求めることは困難ではない
これであってますか?
訂正しました。
× >nが値の分かっている素数の時
○ んで、法とする素数pの値が分かっている時なら、
xを求めることは困難ではない
これであってますか?
訂正しました。
553 :132人目の素数さん:04/09/12 02:05:06
マッタリしてるんで、どぶろくさんに平行して素人がネタ投入します。
2chでの公開鍵暗号
2chで特定の相手にだけ(以下略
トリップつかってどうにかできませんか?
(トリップの詳しい生成方法知らないですが・・・・。
2chでの公開鍵暗号
2chで特定の相手にだけ(以下略
トリップつかってどうにかできませんか?
(トリップの詳しい生成方法知らないですが・・・・。
554 :132人目の素数さん:04/09/12 18:41:46
トリップは非可逆圧縮のMD5なので、無理なのでは。
555 :132人目の素数さん:04/09/12 18:44:20
複合が_ですか
556 :白シャツ:04/09/12 19:48:40
557 :白シャツ:04/09/12 20:01:02
558 :白シャツ:04/09/12 20:04:39
>>553
どこぞに自分の公開鍵さらして書き込んだメッセージに対する
電子署名を毎回つければある意味可能なんだろうけど
これだとやってる意味が違うしなぁ。
>>556で考えてると言ったのは公開鍵さらさないでもどうにか
ならないかなと、そういうやつです。
どこぞに自分の公開鍵さらして書き込んだメッセージに対する
電子署名を毎回つければある意味可能なんだろうけど
これだとやってる意味が違うしなぁ。
>>556で考えてると言ったのは公開鍵さらさないでもどうにか
ならないかなと、そういうやつです。
559 :132人目の素数さん:04/09/12 20:06:33
こういうブームは、いずれ過ぎ去る。
560 :132人目の素数さん:04/09/12 20:14:36
情報セキュリティ大学院大学ってどうなの?
教授陣のレベルとか?
教授陣のレベルとか?
561 :132人目の素数さん:04/09/12 23:50:54
一方向生還数じゃしょうがないなぁ
562 :白シャツ:04/09/13 00:57:48
>>560
「暗号数学」って分野(有田先生,松尾先生)に限ればレベル高いと思うよ。
他は知らないのでなんともいえない。
代数曲線暗号やるのならお勧めですね。
ていうか漏れも事情や経済的なものが許せば弟子入りしたいぐらいなんだけど、リジェクトされるだろな(w
もっと勉強してきやがれと言われるだろう。
「暗号数学」って分野(有田先生,松尾先生)に限ればレベル高いと思うよ。
他は知らないのでなんともいえない。
代数曲線暗号やるのならお勧めですね。
ていうか漏れも事情や経済的なものが許せば弟子入りしたいぐらいなんだけど、リジェクトされるだろな(w
もっと勉強してきやがれと言われるだろう。
563 :132人目の素数さん:04/09/13 15:56:36
一方向性関数以外の暗号原理って無いの?
564 :132人目の素数さん:04/09/13 19:35:01
「暗号原理」ってのが何のことか分からないけど
計算量的困難性に基づく暗号方式の他に
情報理論的な安全性に基づく暗号方式というものがあります
計算量的困難性に基づく暗号方式の他に
情報理論的な安全性に基づく暗号方式というものがあります
565 :132人目の素数さん:04/09/14 08:05:23
仕事で暗号に関するプログラミングをしております。
どなたか、DESのソースコードが載っているサイトをご存知のかた
いらっしゃいませんか?
緊急で取り寄せる必要がありまして(^^;
よろしくお願いします。
どなたか、DESのソースコードが載っているサイトをご存知のかた
いらっしゃいませんか?
緊急で取り寄せる必要がありまして(^^;
よろしくお願いします。
>>565
喪前、それを商売にしててそのぐらいの
情報収集ができないならやめたほうがいいぞ。
http://www.cr0.net:8040/code/crypto/des/
3DESのコードと書いてあるが、普通のDESも含まれてる。
残念ながらライセンスはGPLだけどな。
喪前、それを商売にしててそのぐらいの
情報収集ができないならやめたほうがいいぞ。
http://www.cr0.net:8040/code/crypto/des/
3DESのコードと書いてあるが、普通のDESも含まれてる。
残念ながらライセンスはGPLだけどな。
>>565
もっとライセンスのゆるいライブラリを見つけてやったぞ。
http://www.eskimo.com/~weidai/cryptlib.html
ぐぐったら普通に大量にヒットするじゃねぇか。
釣りか?俺は釣られたのか?負け犬?
負け犬上等。煽り師よりましさ。こんちくしょう。
もっとライセンスのゆるいライブラリを見つけてやったぞ。
http://www.eskimo.com/~weidai/cryptlib.html
ぐぐったら普通に大量にヒットするじゃねぇか。
釣りか?俺は釣られたのか?負け犬?
負け犬上等。煽り師よりましさ。こんちくしょう。
568 :白シャツ:04/09/14 18:36:23
569 :132人目の素数さん:04/09/16 02:08:02
570 :132人目の素数さん:04/09/16 07:37:08
>>569
わかりません
わかりません
571 :132人目の素数さん:04/09/21 08:34:28
293
572 :132人目の素数さん:04/09/22 19:29:45
暗号理論を勉強したいのですが、何かお勧めの本はないでしょうか?
当方、暗号については素人です。
当方、暗号については素人です。
573 :132人目の素数さん:04/09/22 20:10:10
暗号技術大全でぐぐってみよう
574 :白シャツ:04/09/23 23:32:03
秘密の国のアリスってどう?
漏れは立ち読みして買おうかどうか検討中なんだけど。
漏れは立ち読みして買おうかどうか検討中なんだけど。
575 :132人目の素数さん:04/09/24 13:55:12
今学部3回生で楕円曲線(暗号)をやってる研究室に行こうか迷ってる。
本当は学部卒業したら就職しようか名とか思ってたけど。
この研究室行って院行って暗号に関係する仕事につけたらそれもいいなとか思ってる
のだが…
暗号を修士までやって、職につけますかね?
簡単に調べてみたら、日本で暗号開発してるのはNTT,日立、三菱、(ソニー)
くらいなもんで、厳しそうだ。
本当は学部卒業したら就職しようか名とか思ってたけど。
この研究室行って院行って暗号に関係する仕事につけたらそれもいいなとか思ってる
のだが…
暗号を修士までやって、職につけますかね?
簡単に調べてみたら、日本で暗号開発してるのはNTT,日立、三菱、(ソニー)
くらいなもんで、厳しそうだ。
576 :132人目の素数さん:04/09/24 14:28:07
577 :132人目の素数さん:04/09/24 14:55:47
>>576
サンクス。一応聞きに行って。返事は「就職?暗号?……どうだろう」っておい!!
まったく参考になりませんでした。
教授のHPには楕円曲線の研究してるって書いてあって、で、暗号もやってると記述が。
それで期待して聞きに行ったのだが。そっちのほうはやはりぜんぜん疎いらしい。
教授が言うのは他大学の研究室(暗号を専門で研究してる)にいけば職には就けるだろうと。
が、なんかあやしい。
サンクス。一応聞きに行って。返事は「就職?暗号?……どうだろう」っておい!!
まったく参考になりませんでした。
教授のHPには楕円曲線の研究してるって書いてあって、で、暗号もやってると記述が。
それで期待して聞きに行ったのだが。そっちのほうはやはりぜんぜん疎いらしい。
教授が言うのは他大学の研究室(暗号を専門で研究してる)にいけば職には就けるだろうと。
が、なんかあやしい。
578 :白シャツ:04/09/24 18:54:09
579 :132人目の素数さん:04/09/24 21:45:02
580 :白シャツ:04/09/24 22:44:42
>>579
宮地先生は厳しいらしいよ、それとJAISTの環境も。
覚悟&実力があれば大丈夫だけど。
入学は簡単かもしれないけど、入ってから希望の研究室に
配属されるかどうかが問題なので配属決める試験が本当の入試らしい
宮地先生は厳しいらしいよ、それとJAISTの環境も。
覚悟&実力があれば大丈夫だけど。
入学は簡単かもしれないけど、入ってから希望の研究室に
配属されるかどうかが問題なので配属決める試験が本当の入試らしい
581 :132人目の素数さん:04/09/24 23:13:38
582 :132人目の素数さん:04/09/24 23:17:27
宮地研から修士卒で三菱の研究者になった人がいまつ。
俺はJAISTじゃないですが。。。。。
俺はJAISTじゃないですが。。。。。
583 :132人目の素数さん:04/09/24 23:19:44
実際国立大学で暗号研究してるとこ少ないんだよね。
私大ならたくさんあるんだけど。
私大ならたくさんあるんだけど。
584 :132人目の素数さん:04/09/24 23:25:47
東大の今井(秀樹)先生って、暗号の研究してなかった?
暗号が主じゃなかったとは思うけど…
暗号が主じゃなかったとは思うけど…
585 :白シャツ:04/09/24 23:27:31
586 :白シャツ:04/09/24 23:37:05
587 :132人目の素数さん:04/09/25 11:30:34
ほとんど希望の研究室に行けるみたいだよ。
単位落としてても熱意で入ったってやつ知ってる。
単位落としてても熱意で入ったってやつ知ってる。
588 :132人目の素数さん:04/09/25 11:40:23
589 :白シャツ:04/09/25 12:26:51
590 :132人目の素数さん:04/09/25 12:32:02
>>588
いろいろ情報どうもです。
さすがに工学部の院試をパスする自信はないな。
数学科から暗号やるのって結構厳しそう。
大体なぜ暗号やってる研究室を工学部に置くのか…
情報ならまだ分からなくもないが。ああ、数学科においてくれ、どうせなら。
いろいろ情報どうもです。
さすがに工学部の院試をパスする自信はないな。
数学科から暗号やるのって結構厳しそう。
大体なぜ暗号やってる研究室を工学部に置くのか…
情報ならまだ分からなくもないが。ああ、数学科においてくれ、どうせなら。
591 :132人目の素数さん:04/09/25 12:32:29
しくった。>>589でした。
592 :白シャツ:04/09/25 12:50:14
>>590
数学の人は、暗号に手出すと異端みたいな扱いされるから。
でも数学科で代数やってるところに入って、
個人的に暗号もやってますみたいな人は結構いるのでそういう方向を考えられたら?
>>583 で国立って書いてあったから言ってなかったけど、
都立の中村先生はこんなのやってられます。
http://ntw.e-one.uec.ac.jp/jant/jant-aim.html
結構力いれてられますよ。
数学の人は、暗号に手出すと異端みたいな扱いされるから。
でも数学科で代数やってるところに入って、
個人的に暗号もやってますみたいな人は結構いるのでそういう方向を考えられたら?
>>583 で国立って書いてあったから言ってなかったけど、
都立の中村先生はこんなのやってられます。
http://ntw.e-one.uec.ac.jp/jant/jant-aim.html
結構力いれてられますよ。
593 :132人目の素数さん:04/09/25 13:09:05
マジサンクスです。白シャツさん。
俺も3回生になって就職か院か迷ってて…
なぜなら数学科で院いったらおしまいみたく言われてたのでやっぱ就職かなと。
けど、数学使う職なんかそうそうあるわけじゃなく調べてたら暗号が熱い事を発見。
この一月暗号関係のこと調べまくってました。
ああ、いまさらながら応用数学科みたいなところ行ってたほうが良かったかなと
ちょっと後悔してます。
俺も3回生になって就職か院か迷ってて…
なぜなら数学科で院いったらおしまいみたく言われてたのでやっぱ就職かなと。
けど、数学使う職なんかそうそうあるわけじゃなく調べてたら暗号が熱い事を発見。
この一月暗号関係のこと調べまくってました。
ああ、いまさらながら応用数学科みたいなところ行ってたほうが良かったかなと
ちょっと後悔してます。
594 :132人目の素数さん:04/09/25 13:35:38
学部卒だろうが修士卒だろうが、新卒だと就職は余裕。
595 :132人目の素数さん:04/09/25 13:44:20
九大工学部の暗号系研究室(システム情報科学府情報工学専攻)に行くのに必要なもの
1.英語(TOEICで代用可)
2.電磁気学or計算機工学(コンピュータアーキテクチャ、コンパイラ、OS論、データベース、アルゴリズムとデータ構造の6題中4題)
3.数学(線形代数、ベクトル解析、常微分方程式、複素積分、ブール代数の5題中4題)
4.電気回路or離散数学(グラフ理論、集合論など)
5.情報工学(情報理論、言語理論・アルゴリズム論、ディジタル信号処理、通信伝送、電磁波、プログラミング論の6題中2題)
英語・数学は当たり前にできるだろう。2番でベクトル解析+αでできる電磁気学を取って、
4番で離散数学を取って(数学科ならそれぐらいできるだろ)、5番は情報理論は簡単にできるだろうし、言語理論(オートマトン)は
数学科でもやってるだろうから、この教科を取る、と決めていけばムリな話じゃないような気がする。
1.英語(TOEICで代用可)
2.電磁気学or計算機工学(コンピュータアーキテクチャ、コンパイラ、OS論、データベース、アルゴリズムとデータ構造の6題中4題)
3.数学(線形代数、ベクトル解析、常微分方程式、複素積分、ブール代数の5題中4題)
4.電気回路or離散数学(グラフ理論、集合論など)
5.情報工学(情報理論、言語理論・アルゴリズム論、ディジタル信号処理、通信伝送、電磁波、プログラミング論の6題中2題)
英語・数学は当たり前にできるだろう。2番でベクトル解析+αでできる電磁気学を取って、
4番で離散数学を取って(数学科ならそれぐらいできるだろ)、5番は情報理論は簡単にできるだろうし、言語理論(オートマトン)は
数学科でもやってるだろうから、この教科を取る、と決めていけばムリな話じゃないような気がする。
596 :白シャツ:04/09/25 18:01:02
JAISTだと面接だけだろ
597 :132人目の素数さん:04/09/25 19:26:21
スレ立て人です。
大阪大学理学部数学科大学院 鈴木穣研究室にごうかくしました。
http://www.math.sci.osaka-u.ac.jp/~suzuki/suzuki-home.html
来春からここに行きます。
この人はどうなんでしょうか。就職できんかったらヤバイ。
大阪大学理学部数学科大学院 鈴木穣研究室にごうかくしました。
http://www.math.sci.osaka-u.ac.jp/~suzuki/suzuki-home.html
来春からここに行きます。
この人はどうなんでしょうか。就職できんかったらヤバイ。
598 :132人目の素数さん:04/09/25 20:04:37
だから新卒だったら余裕だって。
よほどのドキュンじゃなければ。
よほどのドキュンじゃなければ。
599 :白シャツ:04/09/25 21:34:27
>>598に同意
あとはノーコメント
あとはノーコメント
600 :132人目の素数さん:04/09/25 22:29:16
601 :132人目の素数さん:04/09/25 22:52:08
602 :白シャツ:04/09/25 22:54:46
カタリなわけ?
って釣られたのか
って釣られたのか
603 :白シャツ:04/09/25 23:04:18
>就職というのは、研究職ですか?それともSEや文系就職も含めて?
マジレスしとくと後者。文系就職はないだろうけど。
マジレスしとくと後者。文系就職はないだろうけど。
604 :132人目の素数さん:04/09/26 00:31:50
605 :597:04/09/26 00:47:13
606 :白シャツ:04/09/26 00:49:36
607 :597:04/09/26 01:08:45
阪大助教授ならめちゃくちゃいいじゃない。
608 :132人目の素数さん:04/09/26 02:05:55
>>606
鋭いにゃーーー。
鋭いにゃーーー。
609 :白シャツ:04/09/26 02:36:22
あんまり仕切るのとか良くないと思うけどこの話題はもうヤバイのでやめましょう。
それに、匿名性が保てなくなりかねない。
>>597に言っておくと、
狭い世界とはいえ派閥抗争みたいなのがあるので、
お互いいろいとと言いたいことはあったりするんです。
誰と誰が友好的で、誰がそうでないかとかは
なんとなくわかるようになるから、自分にとって誰と
付き合うのが得になるのかを考えておかないと不幸になるよ。
どこの世界でもあることだろうけど。
とりあえず安全そうなところだけ言っとくと、
東大政権(w、横国、三浦さんって感じでしょうか?
それに、匿名性が保てなくなりかねない。
>>597に言っておくと、
狭い世界とはいえ派閥抗争みたいなのがあるので、
お互いいろいとと言いたいことはあったりするんです。
誰と誰が友好的で、誰がそうでないかとかは
なんとなくわかるようになるから、自分にとって誰と
付き合うのが得になるのかを考えておかないと不幸になるよ。
どこの世界でもあることだろうけど。
とりあえず安全そうなところだけ言っとくと、
東大政権(w、横国、三浦さんって感じでしょうか?
>>601 >>605
つーか、就職とか学閥とか以前に、これから配属される研究室の先生のことを2chで
「どうなんですか」「どうかなと思う」とか書くのは、それこそ根本的に「どうかな」と・・・
ま、それだけ数学板は2chの中でもマターリ穏やかな板だってことでしょうね
つーか、就職とか学閥とか以前に、これから配属される研究室の先生のことを2chで
「どうなんですか」「どうかなと思う」とか書くのは、それこそ根本的に「どうかな」と・・・
ま、それだけ数学板は2chの中でもマターリ穏やかな板だってことでしょうね
611 :白シャツ:04/09/26 13:21:46
612 :132人目の素数さん:04/09/26 17:40:58
持ち直してるとはいえ今の時代研究職につくのはかなり難しいとおもう。
企業の研究者の人とかと話してるとそんな話良く出る。
俺は興味なさそうな振りして全神経を耳に集中して聞いてるけど。
企業の研究者の人とかと話してるとそんな話良く出る。
俺は興味なさそうな振りして全神経を耳に集中して聞いてるけど。
613 :132人目の素数さん:04/09/26 19:32:53
つ、釣りじゃないですよ・・・
そうか、釣りだと思われてたのか・・・
そうか、釣りだと思われてたのか・・・
614 :132人目の素数さん:04/09/26 20:48:28
俺は整数論を専攻していて暗号も少しやってますよってな研究室に行った。
けど暗号仕事にするなんて不可能に近いって事が分かった。
まずなれん。よっぽど才能があって、努力しないと無理だと思った。
俺は修士まで行って結局SE内定。ああ悲し。
けど暗号仕事にするなんて不可能に近いって事が分かった。
まずなれん。よっぽど才能があって、努力しないと無理だと思った。
俺は修士まで行って結局SE内定。ああ悲し。
615 :132人目の素数さん:04/09/26 21:52:43
616 :白シャツ:04/09/26 22:13:53
617 :梅どぶろく ◆21Da3ggG3M :04/09/27 16:52:41
618 :132人目の素数さん:04/09/27 19:26:57
>>590
もし君が純粋数学しか勉強してないのなら他学科の研究室に行くのはしんどいぞ。
よほど覚悟していかないと痛い目を見る。正直情報とかの暗号研究室では純粋数学
なんてあまり役にたたんよ。つまり、情報系の人でも理解できるレベルのものしか扱わない。
けど、プログラミングの技術は結構なレベルのものが当たり前に使われている。
俺は純粋数学も情報も両方やってる大学から来たからまだましだが。
実際M1の1学期に簡単な暗号かじったようなプログラム組まされるしな。
余裕があるなら学部のプログラミング入門みたいな講義を取っておく事を激しく進める。
もし君が純粋数学しか勉強してないのなら他学科の研究室に行くのはしんどいぞ。
よほど覚悟していかないと痛い目を見る。正直情報とかの暗号研究室では純粋数学
なんてあまり役にたたんよ。つまり、情報系の人でも理解できるレベルのものしか扱わない。
けど、プログラミングの技術は結構なレベルのものが当たり前に使われている。
俺は純粋数学も情報も両方やってる大学から来たからまだましだが。
実際M1の1学期に簡単な暗号かじったようなプログラム組まされるしな。
余裕があるなら学部のプログラミング入門みたいな講義を取っておく事を激しく進める。
619 :白シャツ:04/09/27 20:03:24
>>617
見に行くだけなら誰でも入れるし、
(有料とかのとこもあるだろうが)
発表の資格とかもあんまり聞いたことは無い。
査読つきとかなら通らないとダメだけど。
まぁあんまり前例ないと思うのでどうなるかわからないけど。
見に行くだけなら誰でも入れるし、
(有料とかのとこもあるだろうが)
発表の資格とかもあんまり聞いたことは無い。
査読つきとかなら通らないとダメだけど。
まぁあんまり前例ないと思うのでどうなるかわからないけど。
620 :132人目の素数さん:04/09/28 00:13:23
まぁ、暗号数学、は、代数学をはじめとする、数学と情報の複合みたいな、情報科学っていう学問を確立してるよね。
まだ暗号は数学に近い気がするけどね。
自分は情報の方から符号を専攻しています。
情報科学は、数学をライブラリとしてしか見てないような気もします。
自分は、純粋数学からのアプローチは憧れに似た感情を抱きますね。
符号理論を語るスレ
http://science3.2ch.net/test/read.cgi/math/1091824983/
こっちのスレもちっとは面倒みてやってください( ´Д`)
近しい分野だと思いますので。
まだ暗号は数学に近い気がするけどね。
自分は情報の方から符号を専攻しています。
情報科学は、数学をライブラリとしてしか見てないような気もします。
自分は、純粋数学からのアプローチは憧れに似た感情を抱きますね。
符号理論を語るスレ
http://science3.2ch.net/test/read.cgi/math/1091824983/
こっちのスレもちっとは面倒みてやってください( ´Д`)
近しい分野だと思いますので。
621 :白シャツ:04/09/28 00:26:51
符号理論は勉強したいのだけど、
ていうかしないといけないのだけど、難しいよね。
なんというか、感覚的につかめない、みたいな。
ていうかしないといけないのだけど、難しいよね。
なんというか、感覚的につかめない、みたいな。
622 :名無しさん@XEmacs:04/09/28 13:17:41
>>619
> (有料とかのとこもあるだろうが)
つーことは、白シャツ氏は ISEC メインなのか?
情処の CSEC では研究会登録会員以外は聴講でも有料。ただし、
ISEC は参加・聴講とも原則学会会員のみじゃなかったか?
> 発表の資格とかもあんまり聞いたことは無い。
> 査読つきとかなら通らないとダメだけど。
発表資格とは意味合いが違うかもしれんが、CSEC/ISEC ともに発表
は主催学会会員のみだろう。で、会員になるには紹介者がいなきゃ
ダメだから、それなりのコネは必要、と。
そういや、もうすぐ CSS だが、いっそ、この手のシンポジウムの方
が簡単かもしれんな。これなら大抵非会員でも OK だろう。暗号/セ
キュリティを掲げた SCIS/CSS 以外でも、DiCoMo や SITA みたいに
セキュリティ系のセッション含みなのもあるし、大概は地方開催な
ので適当に近場のを探すこともできるし。
> (有料とかのとこもあるだろうが)
つーことは、白シャツ氏は ISEC メインなのか?
情処の CSEC では研究会登録会員以外は聴講でも有料。ただし、
ISEC は参加・聴講とも原則学会会員のみじゃなかったか?
> 発表の資格とかもあんまり聞いたことは無い。
> 査読つきとかなら通らないとダメだけど。
発表資格とは意味合いが違うかもしれんが、CSEC/ISEC ともに発表
は主催学会会員のみだろう。で、会員になるには紹介者がいなきゃ
ダメだから、それなりのコネは必要、と。
そういや、もうすぐ CSS だが、いっそ、この手のシンポジウムの方
が簡単かもしれんな。これなら大抵非会員でも OK だろう。暗号/セ
キュリティを掲げた SCIS/CSS 以外でも、DiCoMo や SITA みたいに
セキュリティ系のセッション含みなのもあるし、大概は地方開催な
ので適当に近場のを探すこともできるし。
623 :白シャツ:04/09/28 16:24:12
>>622
ISECメインですよ.
CSECは微妙に方向性が違うのでISEC/CSEC共催とかのときに行くことあるぐらい.
建前は別にして研究会なんて実際には誰でも入れてくれるでしょ.
情処は入場料が有料で予稿がもらえるんじゃなかった?
信学は入場料タダで予稿が有料.
シンポジウムだと今から狙うなら時期的にSCISですね.
ISECメインですよ.
CSECは微妙に方向性が違うのでISEC/CSEC共催とかのときに行くことあるぐらい.
建前は別にして研究会なんて実際には誰でも入れてくれるでしょ.
情処は入場料が有料で予稿がもらえるんじゃなかった?
信学は入場料タダで予稿が有料.
シンポジウムだと今から狙うなら時期的にSCISですね.
624 :梅どぶろく ◆21Da3ggG3M :04/09/28 18:45:51
んでは、scisに参加することを夢見てバイトに励むことにします。
なんか発表できるようなネタをがんばって考えます。
なんか発表できるようなネタをがんばって考えます。
625 :白シャツ:04/09/29 00:21:48
626 :名無しさん@XEmacs:04/09/29 13:20:40
>>623
> ISECメインですよ.
> CSECは微妙に方向性が違うのでISEC/CSEC共催とかのときに行くことあるぐらい.
微妙とゆーか、相当とゆーか。
今年 7 月の共催研究会は 2 パラレルセッションでほぼ CSEC/ISEC
に分離しちゃってたから、共催の意味は薄れたかもね。
> 建前は別にして研究会なんて実際には誰でも入れてくれるでしょ.
まぁ、そうなんだろうけど、やったことないから知らない。有料/無
料と予稿の有無はおっしゃる通りですね。
> シンポジウムだと今から狙うなら時期的にSCISですね.
締切がおそらく 12 月下旬なので、ネタ仕込みから始めるとなると
結構厳しいかもね。
>>625
> SCISは専門学校生って学生料金で行けるんだろうか?
行けるんじゃないの?今年のでは『社会人学生は一般として参加し
る』とは言ってたみたいだけど。
> ISECメインですよ.
> CSECは微妙に方向性が違うのでISEC/CSEC共催とかのときに行くことあるぐらい.
微妙とゆーか、相当とゆーか。
今年 7 月の共催研究会は 2 パラレルセッションでほぼ CSEC/ISEC
に分離しちゃってたから、共催の意味は薄れたかもね。
> 建前は別にして研究会なんて実際には誰でも入れてくれるでしょ.
まぁ、そうなんだろうけど、やったことないから知らない。有料/無
料と予稿の有無はおっしゃる通りですね。
> シンポジウムだと今から狙うなら時期的にSCISですね.
締切がおそらく 12 月下旬なので、ネタ仕込みから始めるとなると
結構厳しいかもね。
>>625
> SCISは専門学校生って学生料金で行けるんだろうか?
行けるんじゃないの?今年のでは『社会人学生は一般として参加し
る』とは言ってたみたいだけど。
627 :白シャツ:04/09/29 15:09:11
>>626
>微妙とゆーか、相当とゆーか。
本音では相当、建前で微妙といわないといけない(w
>締切がおそらく 12 月下旬なので、
>ネタ仕込みから始めるとなると結構厳しいかもね。
現在ネタ考え中です。いつもギリギリで大変なことになるんだよね。
>『社会人学生は一般として参加しる』とは言ってたみたいだけど。
安い通信制の大学に籍だけ置いて元が取れるかどうかって話があった(w
>微妙とゆーか、相当とゆーか。
本音では相当、建前で微妙といわないといけない(w
>締切がおそらく 12 月下旬なので、
>ネタ仕込みから始めるとなると結構厳しいかもね。
現在ネタ考え中です。いつもギリギリで大変なことになるんだよね。
>『社会人学生は一般として参加しる』とは言ってたみたいだけど。
安い通信制の大学に籍だけ置いて元が取れるかどうかって話があった(w
628 :132人目の素数さん:04/09/30 19:43:14
「さちとにく」
を解読してください
を解読してください
630 :132人目の素数さん:04/10/01 09:31:13
>>629
オミゴト
オミゴト
631 :白シャツ:04/10/01 17:05:16
私が>>600で言葉足らずだったばっかりに申し訳ないです>白シャツさん
633 :597=601:04/10/01 19:19:01
635 :梅どぶろく ◆21Da3ggG3M :04/10/01 22:43:31
社会人になったことはないので社会人学生にはならないと思いますが
scisに参加申し込みする時に主催者の方に聞いてみます。
>>631さん
・・・そのエロイ人も2c・・・
今考えている署名方法があります。
もしも、以下の問題が困難であれば公開したいと思っています。
素数p、基数a、べき乗数x、g=gcd(p-1,x-1)とする。
Y=a^(g*r) mod p
としてa, p, x, Y, gが与えられた時に
a^r mod n を求めるのは困難ですか?
(g≠2とします。)
scisに参加申し込みする時に主催者の方に聞いてみます。
>>631さん
・・・そのエロイ人も2c・・・
今考えている署名方法があります。
もしも、以下の問題が困難であれば公開したいと思っています。
素数p、基数a、べき乗数x、g=gcd(p-1,x-1)とする。
Y=a^(g*r) mod p
としてa, p, x, Y, gが与えられた時に
a^r mod n を求めるのは困難ですか?
(g≠2とします。)
636 :白シャツ:04/10/01 22:47:12
>>604のエロい人に釣られてしまったのがまずかった。
研究会で吊られてキマス(w
>>633 こっちの筋からそちらの研究室にリークされることは
ないのでそれは大丈夫だけど、誰が見てるかわからないってことで、
>>597は気をつけた方が良いかも。
研究会で吊られてキマス(w
>>633 こっちの筋からそちらの研究室にリークされることは
ないのでそれは大丈夫だけど、誰が見てるかわからないってことで、
>>597は気をつけた方が良いかも。
637 :597=601:04/10/01 22:57:09
>>all
了解。
了解。
638 :白シャツ:04/10/01 22:58:38
では、その様子を隅の方で眺めながらニヤニヤさせて頂こうと思います
640 :白シャツ:04/10/02 00:33:47
式が気持ち悪いので書き直してよい?
>素数p、基数a、べき乗数x、g=gcd(p-1,x-1)とする。
aをgにして欲しい、それとこのときはbaseとか言わずに
どういう数なのかだけ言って。むしろgenerator
同様にxも何かわからない
のでコメントをつけて。gは使ったのでa=gcd(p-1,x-1)にしましょうか。
>Y=a^(g*r) mod p
>としてa, p, x, Y, gが与えられた時に
>a^r mod n を求めるのは困難ですか?
>(g≠2とします。)
n,rも何かコメントを。
この問題は設定がどうなっているかわからないけど
難しいかどうか考えるのが難しいかもしれない。
匿名性が無いんだなぁ(w
>素数p、基数a、べき乗数x、g=gcd(p-1,x-1)とする。
aをgにして欲しい、それとこのときはbaseとか言わずに
どういう数なのかだけ言って。むしろgenerator
同様にxも何かわからない
のでコメントをつけて。gは使ったのでa=gcd(p-1,x-1)にしましょうか。
>Y=a^(g*r) mod p
>としてa, p, x, Y, gが与えられた時に
>a^r mod n を求めるのは困難ですか?
>(g≠2とします。)
n,rも何かコメントを。
この問題は設定がどうなっているかわからないけど
難しいかどうか考えるのが難しいかもしれない。
匿名性が無いんだなぁ(w
641 :白シャツ:04/10/02 00:41:24
642 :132人目の素数さん:04/10/02 00:42:50
パスワードのいらない暗号は無いのだろうか?
643 :132人目の素数さん:04/10/02 00:43:39
クレタ語を話すやつがいたら、、、、
644 :白シャツ:04/10/02 00:57:34
>>640続き
p:素数
g:( )を満たす整数
r:( )を満たす整数 乱数?
n:( )を満たす整数 pがらみの合成数?
x:( )を満たすような冪乗数?
a=gcd(p-1,x-1)
Y=g^(a*r) mod p
とする。
a, p, x, Y, gが与えられた時に
y=g^r mod nを求める問題
このテンプレの( )を埋めて>どぶろく
それとこの場合、aがわかっているならg^r mod p
もわかるのでは?
p:素数
g:( )を満たす整数
r:( )を満たす整数 乱数?
n:( )を満たす整数 pがらみの合成数?
x:( )を満たすような冪乗数?
a=gcd(p-1,x-1)
Y=g^(a*r) mod p
とする。
a, p, x, Y, gが与えられた時に
y=g^r mod nを求める問題
このテンプレの( )を埋めて>どぶろく
それとこの場合、aがわかっているならg^r mod p
もわかるのでは?
645 :梅どぶろく ◆21Da3ggG3M :04/10/02 23:27:31
>>635で最後にmod nとなっているのはmod pの間違いです。
すいませんでした。
p:素数
g:任意の数を選びます。
条件は特にないです。
DH鍵共有で使うgと同じということで。
x:gcd((x-1),(p-1))≠1
かつ
gcd((x-1),(p-1))≠2を満たす数
a:gcd((x-1),(p-1))
r:乱数です。この値は秘密です。
求める必要はないと思います。
n:必要でないです。・・・
Y=g^(a*r) mod p
とする。
p, x, Y, gが与えられた時に
y=g^r mod pを求める問題
すいませんでした。
p:素数
g:任意の数を選びます。
条件は特にないです。
DH鍵共有で使うgと同じということで。
x:gcd((x-1),(p-1))≠1
かつ
gcd((x-1),(p-1))≠2を満たす数
a:gcd((x-1),(p-1))
r:乱数です。この値は秘密です。
求める必要はないと思います。
n:必要でないです。・・・
Y=g^(a*r) mod p
とする。
p, x, Y, gが与えられた時に
y=g^r mod pを求める問題
646 :梅どぶろく ◆21Da3ggG3M :04/10/02 23:29:06
具体的に書くと
p=71, x=21, g=2, a=gcd(20,70)=10として
Y=2^(10*r) mod 71が与えられた時に
y=2^r mod p の値が求まるかということです。
p-1とaが素ではないので
yを求めることが困難ではないのかと思っているんですが
どうなんでしょうか?
p=71, x=21, g=2, a=gcd(20,70)=10として
Y=2^(10*r) mod 71が与えられた時に
y=2^r mod p の値が求まるかということです。
p-1とaが素ではないので
yを求めることが困難ではないのかと思っているんですが
どうなんでしょうか?
647 :FM東京:04/10/03 02:20:50
>>646
xって書くから判りにくくなるんですよ。
p:素数、g (Z/pZ)^*のgenerator, a整数 st. a|p-1
で
Y=g^(a*r) mod p (r:乱数たぶんp-1と素)が与えられた時、
y=g^r mod p がわかるか?
っていいたいんでしょ???
で、これは、f(t)=t^a-Y \in Fp[x]を解けばいいんで、
O(a^3 log^3 p)くらい?で解けますよね(ちゃんと見積もっていません)。
だから、aが小さければ、解ける。
一方で、この解は必ずa個出てくるはずなので、解くのは困難になる
(はずだ)けども、
aが大きかったら、解がたくさん(a個)在りすぎて何かに使えるようには見えない
にやーー。
xって書くから判りにくくなるんですよ。
p:素数、g (Z/pZ)^*のgenerator, a整数 st. a|p-1
で
Y=g^(a*r) mod p (r:乱数たぶんp-1と素)が与えられた時、
y=g^r mod p がわかるか?
っていいたいんでしょ???
で、これは、f(t)=t^a-Y \in Fp[x]を解けばいいんで、
O(a^3 log^3 p)くらい?で解けますよね(ちゃんと見積もっていません)。
だから、aが小さければ、解ける。
一方で、この解は必ずa個出てくるはずなので、解くのは困難になる
(はずだ)けども、
aが大きかったら、解がたくさん(a個)在りすぎて何かに使えるようには見えない
にやーー。
648 :白シャツ:04/10/03 03:14:58
Y=g^(a*r)=(g^r)^a=y^a mod p
でaは公開されてるx,pから計算できる。
あとはオイラーで終了
でaは公開されてるx,pから計算できる。
あとはオイラーで終了
649 :132人目の素数さん:04/10/03 05:54:54
前にも誰か書いてたが、梅どぶは代数・初等整数論をいちからやり直せ。
話はそれからだろ。
話はそれからだろ。
650 :梅どぶろく ◆21Da3ggG3M :04/10/03 12:18:21
>>647-649さん
Y=y^a mod p
としてY, a, pが与えられた時に
aと(p-1)は互いに素ではありません。
オイラー関数は
aと(p-1)が互いに素の時に
a*s+(p-1)*t=1を解いて
y=Y^s mod p
でyが解けるということだと理解したのですが、
(p-1)がaで割り切れる時もyは求めれるのでしょうか?
>>647さん
乱数rは(p-1)と互いに素でない値を任意に選べるとしたら
yを求めることは困難だといってもいいですか?
Y=y^a mod p
としてY, a, pが与えられた時に
aと(p-1)は互いに素ではありません。
オイラー関数は
aと(p-1)が互いに素の時に
a*s+(p-1)*t=1を解いて
y=Y^s mod p
でyが解けるということだと理解したのですが、
(p-1)がaで割り切れる時もyは求めれるのでしょうか?
>>647さん
乱数rは(p-1)と互いに素でない値を任意に選べるとしたら
yを求めることは困難だといってもいいですか?
651 :FM東京:04/10/04 01:29:52
上のp=71の場合で説明するね。
(Z/71Z)^* の中で、g=7 は原始根です。
それで、例えば、乱数r=13として、y=g^r=7^13 mod 71=28
a=10 | 70=p-1 として、Y=y^a=28^10 mod 71=30
とするでしょ。
ところが、t=2,10,21,28,34,37,43,50,61,69(10=a個)
に対して t^10=Y mod 71 が成り立つの。
だから、Yが判っただけでは、yは復元できないって事。
それが判った上で、Yが判ったとき、y^a=Y mod p なるyを
一つ求めよって問題と思うと、aが小さかった時には簡単に解ける
とか、もっと他に、(p-1)/aが小さい時にも簡単に解けるとか、
ちゃんと調べてないけど、aや(p-1)/aを因数分解したとき、小さな
素因子しかでない時は多分簡単に解けそうな気がするとかいえるん
ですね。
だから、この問題にしても、難しい場合はかなり限られてくるんだよ。
それで、限られた場合がホントに難しいか?解けないか?っていわれて
も今の所わからないだけかもしれないから、なんとも言えないんだよなー。
一般に、n乗写像 n: (Z/pZ)^* --> (Z/pZ)^*
の逆象の個数は gcd(n,p-1) ですよ。(上の群が巡回群だから)
(Z/71Z)^* の中で、g=7 は原始根です。
それで、例えば、乱数r=13として、y=g^r=7^13 mod 71=28
a=10 | 70=p-1 として、Y=y^a=28^10 mod 71=30
とするでしょ。
ところが、t=2,10,21,28,34,37,43,50,61,69(10=a個)
に対して t^10=Y mod 71 が成り立つの。
だから、Yが判っただけでは、yは復元できないって事。
それが判った上で、Yが判ったとき、y^a=Y mod p なるyを
一つ求めよって問題と思うと、aが小さかった時には簡単に解ける
とか、もっと他に、(p-1)/aが小さい時にも簡単に解けるとか、
ちゃんと調べてないけど、aや(p-1)/aを因数分解したとき、小さな
素因子しかでない時は多分簡単に解けそうな気がするとかいえるん
ですね。
だから、この問題にしても、難しい場合はかなり限られてくるんだよ。
それで、限られた場合がホントに難しいか?解けないか?っていわれて
も今の所わからないだけかもしれないから、なんとも言えないんだよなー。
一般に、n乗写像 n: (Z/pZ)^* --> (Z/pZ)^*
の逆象の個数は gcd(n,p-1) ですよ。(上の群が巡回群だから)
652 :白シャツ:04/10/04 17:18:58
そうかa|p-1なのか。ちゃんと考えてなかった、スマソ。
それと、>>645でgが任意に成っているが、gやg^rの位数も考えないとダメでは?
そういう意味では
>乱数rは(p-1)と互いに素でない値を任意に選べるとしたら
とするのもあまりよろしくないような。
それと、>>645でgが任意に成っているが、gやg^rの位数も考えないとダメでは?
そういう意味では
>乱数rは(p-1)と互いに素でない値を任意に選べるとしたら
とするのもあまりよろしくないような。
653 :梅どぶろく ◆21Da3ggG3M :04/10/05 01:07:04
ttp://page.freett.com/umedoblock/index.html
↑に私が言っている署名方法とおまけをupしました。
四代目でいっている弐の部分のことです。
おまけは
案外他の人が先に発表しちゃってるんじゃないか
と思っているんですがどうでしょうか?
四代目・おまけのどちらかでもscisで発表する価値のあるものですか?
↑に私が言っている署名方法とおまけをupしました。
四代目でいっている弐の部分のことです。
おまけは
案外他の人が先に発表しちゃってるんじゃないか
と思っているんですがどうでしょうか?
四代目・おまけのどちらかでもscisで発表する価値のあるものですか?
654 :132人目の素数さん:04/10/05 15:50:14
39 名前:132人目の素数さん 投稿日:04/10/03 09:26:00
マトソン・ソロモンの限界を導いた、マトソンさんとソロモンさんのフルネーム知りませんか?
だれか答えてやってください( ´Д`)
マトソン・ソロモンの限界を導いた、マトソンさんとソロモンさんのフルネーム知りませんか?
だれか答えてやってください( ´Д`)
655 :名無しさん@XEmacs:04/10/06 17:15:50
>>653
> 四代目・おまけのどちらかでもscisで発表する価値のあるものですか?
四代目ってのは ElGamal 署名を下手に複雑化しただけにしか見えな
いんだが。同一者による二つの署名 (s_1,t_1) と (s_2,t_2) があ
れば、(s_1+s_2, t_1・t_2) が h(M_1) + h(M_2) というハッシュ値
を持つメッセージに対する有効な署名になっちゃうんじゃないかと
思うんだが、これは明らかな欠点じゃないか?
おまけに関しては、前提として p_k、P、L (は lcm(p_1-1,…) の間
違いなんだろうがそれはおいとくとして) を知ることができるのが
誰なのかが不明なのでコメントしづらいが、もし p_k が公開情報だっ
たとすると、メッセージを中途で奪取可能な攻撃者 eve の存在が懸
念される環境では使いものにならんな。
> 四代目・おまけのどちらかでもscisで発表する価値のあるものですか?
四代目ってのは ElGamal 署名を下手に複雑化しただけにしか見えな
いんだが。同一者による二つの署名 (s_1,t_1) と (s_2,t_2) があ
れば、(s_1+s_2, t_1・t_2) が h(M_1) + h(M_2) というハッシュ値
を持つメッセージに対する有効な署名になっちゃうんじゃないかと
思うんだが、これは明らかな欠点じゃないか?
おまけに関しては、前提として p_k、P、L (は lcm(p_1-1,…) の間
違いなんだろうがそれはおいとくとして) を知ることができるのが
誰なのかが不明なのでコメントしづらいが、もし p_k が公開情報だっ
たとすると、メッセージを中途で奪取可能な攻撃者 eve の存在が懸
念される環境では使いものにならんな。
656 :梅どぶろく ◆21Da3ggG3M :04/10/06 21:31:22
PとLはみんなが知ることができます。
DH鍵共有では任意の平文(鍵)を送ることはできませんでしたが、
これだと、任意の平文(鍵)を送ることができます。
利点は、
手元にあるファイルがあるとした場合に、
DFだと鍵を共有して、それからその共通鍵で暗号化をするわけですが、
この方法だと、任意の鍵で暗号化したファイルを用意しておいて、
あとから、暗号化に使った鍵を送ることができます。
通信を送る前にファイルを暗号化できるわけです。
この方法だと攻撃者eveが存在するとだめですが、
DH鍵共有でも「中間者攻撃」には弱いので
この弱点はしょうがないと思っています。
DH鍵共有の進化版ということで、
四代目については考えてみます。
DH鍵共有では任意の平文(鍵)を送ることはできませんでしたが、
これだと、任意の平文(鍵)を送ることができます。
利点は、
手元にあるファイルがあるとした場合に、
DFだと鍵を共有して、それからその共通鍵で暗号化をするわけですが、
この方法だと、任意の鍵で暗号化したファイルを用意しておいて、
あとから、暗号化に使った鍵を送ることができます。
通信を送る前にファイルを暗号化できるわけです。
この方法だと攻撃者eveが存在するとだめですが、
DH鍵共有でも「中間者攻撃」には弱いので
この弱点はしょうがないと思っています。
DH鍵共有の進化版ということで、
四代目については考えてみます。
657 :名無しさん@XEmacs:04/10/07 12:43:26
>>656
> DH鍵共有では任意の平文(鍵)を送ることはできませんでしたが、
> これだと、任意の平文(鍵)を送ることができます。
それは単に普通の公開鍵暗号系ってことだよね。D&H の variation
である ElGamal でも普通にできてることだし。
> この方法だと攻撃者eveが存在するとだめですが、
> DH鍵共有でも「中間者攻撃」には弱いので
> この弱点はしょうがないと思っています。
No. D&H ならば証明書により鍵の正当性を保証する等で、MITM 攻
撃に対する耐性を持つように構成することが可能だが、この方式で
はどうやっても不可能。そもそも個人鍵を一切曝せないんだから。
あと、Alice の鍵 (a,A) がある程度永続性のあるものだとすると、
Alice と通信可能な相手は誰でも Alice を復号 oracle として使う
ことで任意のメッセージを復号可能ということにもなる。
> DH鍵共有では任意の平文(鍵)を送ることはできませんでしたが、
> これだと、任意の平文(鍵)を送ることができます。
それは単に普通の公開鍵暗号系ってことだよね。D&H の variation
である ElGamal でも普通にできてることだし。
> この方法だと攻撃者eveが存在するとだめですが、
> DH鍵共有でも「中間者攻撃」には弱いので
> この弱点はしょうがないと思っています。
No. D&H ならば証明書により鍵の正当性を保証する等で、MITM 攻
撃に対する耐性を持つように構成することが可能だが、この方式で
はどうやっても不可能。そもそも個人鍵を一切曝せないんだから。
あと、Alice の鍵 (a,A) がある程度永続性のあるものだとすると、
Alice と通信可能な相手は誰でも Alice を復号 oracle として使う
ことで任意のメッセージを復号可能ということにもなる。
658 :梅どぶろく ◆21Da3ggG3M :04/10/07 22:04:04
659 :白シャツ:04/10/08 00:26:23
>>658
n=2にするとどうなるのだろうか、などと言ってみる
n=2にするとどうなるのだろうか、などと言ってみる
660 :名無しさん@XEmacs:04/10/08 12:21:03
もうしばらく付きあってみるか。
>>658
> おまけを改良して公開鍵暗号として使えるようにしました。
普通の公開鍵暗号なら one-way で済むところを 3-way も必要とす
る非効率性はおいとくとしても、全然「公開鍵暗号として使えるよ
うに」なってない。
Eve が自分の (e,E) を使って Bob の代わりを演じたらどうなるね?
最後のとこがちょっと変わるだけで y^B は何の役にも立ってないっ
しょ?
あと、M=1 で最初のメッセージを送れば秘密の筈の y の値も分かっ
ちゃうしなぁ。
というくらいのことに自分で気付けないようでは、暗号方式を考案
しようなんて夢のまた夢って感じだぁな。
B.S. の言葉を送っとこう (from "A Self-Study Course in
Block-Cipher Cryptanalysis"):
"The only way to become a good alogrithm designer is to be a
good cryptanalyst"
新しいアルゴリズムを考えること自体は一向に構わんのだけど、公
開 (さらにはどっかで発表) しようとかいうなら、ちゃんと自分で
行なった検討の過程も示すこと。安全性に関する証明付きならより
better (というか、いまどきなんらかの形での証明抜きでは研究会
であっても相手にされ難いと思う)。
>>658
> おまけを改良して公開鍵暗号として使えるようにしました。
普通の公開鍵暗号なら one-way で済むところを 3-way も必要とす
る非効率性はおいとくとしても、全然「公開鍵暗号として使えるよ
うに」なってない。
Eve が自分の (e,E) を使って Bob の代わりを演じたらどうなるね?
最後のとこがちょっと変わるだけで y^B は何の役にも立ってないっ
しょ?
あと、M=1 で最初のメッセージを送れば秘密の筈の y の値も分かっ
ちゃうしなぁ。
というくらいのことに自分で気付けないようでは、暗号方式を考案
しようなんて夢のまた夢って感じだぁな。
B.S. の言葉を送っとこう (from "A Self-Study Course in
Block-Cipher Cryptanalysis"):
"The only way to become a good alogrithm designer is to be a
good cryptanalyst"
新しいアルゴリズムを考えること自体は一向に構わんのだけど、公
開 (さらにはどっかで発表) しようとかいうなら、ちゃんと自分で
行なった検討の過程も示すこと。安全性に関する証明付きならより
better (というか、いまどきなんらかの形での証明抜きでは研究会
であっても相手にされ難いと思う)。
661 :梅どぶろく ◆21Da3ggG3M :04/10/11 11:37:38
662 :132人目の素数さん:04/10/11 21:38:31
MD5って一方方向関数つって最近bit数がでかくなってきたからチェックサムなら
まだしももとのデータを推測するのは素人からすると無理じゃないかって思うんだけど
最近脆弱性が見つかったって言うし。簡単に大まかに説明してくれるえりゃーい人いませんか?
まだしももとのデータを推測するのは素人からすると無理じゃないかって思うんだけど
最近脆弱性が見つかったって言うし。簡単に大まかに説明してくれるえりゃーい人いませんか?
663 :132人目の素数さん:04/10/12 08:33:46
MD5って暗号ではなくて符号では?
664 :132人目の素数さん:04/10/12 22:03:38
素因数分解の困難性を賭けにしたのが
RSAセキュリティー社の懸賞なんですが、
離散対数問題の困難性を賭けにしている懸賞問題ってありますか?
RSAセキュリティー社の懸賞なんですが、
離散対数問題の困難性を賭けにしている懸賞問題ってありますか?
665 :名無しさん@XEmacs:04/10/13 18:02:55
> 離散対数問題の困難性を賭けにしている懸賞問題ってありますか?
とりあえず、certicom がやってる。
とりあえず、certicom がやってる。
666 :132人目の素数さん:04/10/14 12:38:23
>>665
情報ありがとうございます。
情報ありがとうございます。
667 :132人目の素数さん:04/10/15 19:19:10
>>662 同じチェックサムを簡単に生成できるんじゃないの
668 :132人目の素数さん:04/10/17 00:44:58
DESのアルゴリズムを見たんだけど、プログラムを多少組んだ経験
があれば誰でもプログラミングできそうだけど。
なんでそんなものに輸出規制なんてあるの?
素人の質問で悪いんだけど。
があれば誰でもプログラミングできそうだけど。
なんでそんなものに輸出規制なんてあるの?
素人の質問で悪いんだけど。
669 :白シャツ:04/10/17 18:50:12
情報セキュリティアドミニストレータ試験を受けてきますた(藁
落ちたらネタにされるな。通ってもネタにされるんだろうな。
落ちたら午前問題足霧なんだけどね。
ちなみに暗号の知識とかほとんど要りませんでした
>>668
昔アメリカが軍事利用に転用される恐れのある製品扱いにしてたからでしょ。
今は大丈夫になったんだっけ?
落ちたらネタにされるな。通ってもネタにされるんだろうな。
落ちたら午前問題足霧なんだけどね。
ちなみに暗号の知識とかほとんど要りませんでした
>>668
昔アメリカが軍事利用に転用される恐れのある製品扱いにしてたからでしょ。
今は大丈夫になったんだっけ?
670 :132人目の素数さん:04/10/17 18:55:02
2chのIDからIPを計算してください。
671 :132人目の素数さん:04/10/17 19:43:35
MD5は同じダイジェストを出力する異なる入力を見つけられるが、
任意のダイジェストを出すような入力をうまいこと作れるわけではないってのが現状でいいのでつか?
任意のダイジェストを出すような入力をうまいこと作れるわけではないってのが現状でいいのでつか?
672 :白シャツ:04/10/19 00:48:26
673 :132人目の素数さん:04/10/19 01:22:22
超楕円暗号ってDQN?
674 :名無しさん@XEmacs:04/10/19 13:55:47
明日から CSS なわけだが無事行けるんだろうか。台風多過ぎ。
>>669
> >>668
> 昔アメリカが軍事利用に転用される恐れのある製品扱いにしてたからでしょ。
米以外にも多くの国 (含: 日本) が、ね。かつてはココム、いまは
ワッセナー協約で。
> 今は大丈夫になったんだっけ?
そっちの方はここんとこしばらくフォローしてないから確実じゃな
いけど、2000 年前後に勝手にがしがし制限緩和した結果、米からの
輸出は事実上自由になってる筈。
日本なんぞはワッセナーに厳格に従ってるもんだから、逆に米より
制限が厳しくなっちゃって、普通に輸入可能な Windows2K を載っけ
た PC を日本からは輸出できないー、なんつー悲喜劇が繰り広げら
れてたこともあったようだが、その辺りの事情はあんま変わってな
いんだろーなー、きっと。
>>669
> >>668
> 昔アメリカが軍事利用に転用される恐れのある製品扱いにしてたからでしょ。
米以外にも多くの国 (含: 日本) が、ね。かつてはココム、いまは
ワッセナー協約で。
> 今は大丈夫になったんだっけ?
そっちの方はここんとこしばらくフォローしてないから確実じゃな
いけど、2000 年前後に勝手にがしがし制限緩和した結果、米からの
輸出は事実上自由になってる筈。
日本なんぞはワッセナーに厳格に従ってるもんだから、逆に米より
制限が厳しくなっちゃって、普通に輸入可能な Windows2K を載っけ
た PC を日本からは輸出できないー、なんつー悲喜劇が繰り広げら
れてたこともあったようだが、その辺りの事情はあんま変わってな
いんだろーなー、きっと。
675 :白シャツ:04/10/19 21:34:26
>>674
>明日から CSS なわけだが無事行けるんだろうか。台風多過ぎ。
がんばって台風と戦ってきてくださいね。
>そっちの方はここんとこしばらくフォローしてないから確実じゃな
>いけど、2000 年前後に勝手にがしがし制限緩和した結果、米からの
>輸出は事実上自由になってる筈。
FreeBSDのnonUSが無くなったのがそのころでしたね。
>明日から CSS なわけだが無事行けるんだろうか。台風多過ぎ。
がんばって台風と戦ってきてくださいね。
>そっちの方はここんとこしばらくフォローしてないから確実じゃな
>いけど、2000 年前後に勝手にがしがし制限緩和した結果、米からの
>輸出は事実上自由になってる筈。
FreeBSDのnonUSが無くなったのがそのころでしたね。
676 :名無しさん@XEmacs:04/10/21 09:05:05
> >明日から CSS なわけだが無事行けるんだろうか。台風多過ぎ。
> がんばって台風と戦ってきてくださいね。
つーこって、いま会場から。あとは今日帰れるかどうかなんだが、
この分ならなんとかなりそうな希ガス。
> FreeBSDのnonUSが無くなったのがそのころでしたね。
カナダをベースとしてるので自由に暗号が輸出できるのだ、とか威
張ってた OpenBSD の立場がなくなったのも、ね。
いまだにウェブサイトには誇らしげに書いてるんだけど。
> がんばって台風と戦ってきてくださいね。
つーこって、いま会場から。あとは今日帰れるかどうかなんだが、
この分ならなんとかなりそうな希ガス。
> FreeBSDのnonUSが無くなったのがそのころでしたね。
カナダをベースとしてるので自由に暗号が輸出できるのだ、とか威
張ってた OpenBSD の立場がなくなったのも、ね。
いまだにウェブサイトには誇らしげに書いてるんだけど。
677 :白シャツ:04/10/21 22:18:09
>>676
おつかれさまです。
>カナダをベースとしてるので自由に暗号が輸出できるのだ、とか威
>張ってた OpenBSD の立場がなくなったのも、ね。
Openはいまだにセキュアだって威張ってるんですか?
でも可用性がなくなっては意味無いんですよね。
情報セキュリティアドミニストレータ試験のテキストに
しつこく書いてあった(w
昔はPGPとかで印刷したら輸出可能って謎の話がありましたね。
おつかれさまです。
>カナダをベースとしてるので自由に暗号が輸出できるのだ、とか威
>張ってた OpenBSD の立場がなくなったのも、ね。
Openはいまだにセキュアだって威張ってるんですか?
でも可用性がなくなっては意味無いんですよね。
情報セキュリティアドミニストレータ試験のテキストに
しつこく書いてあった(w
昔はPGPとかで印刷したら輸出可能って謎の話がありましたね。
678 :132人目の素数さん:04/10/21 22:54:25
せっかく暗号に載せてもWMDみたいなガセネタだと。。。さびしいものがあり。。
679 :132人目の素数さん:04/10/23 22:21:49
暗号で使われる擬似乱数列生成器の周期ってどれぐらいなんですかね?
680 :132人目の素数さん:04/10/23 22:29:20
24くらい
681 :132人目の素数さん:04/10/23 23:28:17
2^128以上だと安心って聞いたことあるけど
682 :132人目の素数さん:04/10/25 17:42:56
量子暗号って解読は出来なくても、簡単に通信妨害できるんじゃ
ないんですかね?
ないんですかね?
683 :132人目の素数さん:04/10/26 00:12:00
うんそう
684 :exploit:04/10/26 13:15:14
CSS2004の論文賞って誰が取ったの?サイトには情報ないけど.
685 :132人目の素数さん:04/10/31 18:08:07
345
686 :132人目の素数さん:04/10/31 18:38:25
>>685
(゚Д゚)ハァ?
(゚Д゚)ハァ?
687 :132人目の素数さん:04/11/01 03:50:36
>685-686
685は数学板に居付いてる数字age荒らし
ネタがないけどageて保守したい人らしい
685は数学板に居付いてる数字age荒らし
ネタがないけどageて保守したい人らしい
688 :132人目の素数さん:04/11/04 09:24:42
ム板
■暗号技術【ROUND2】■
http://pc5.2ch.net/test/read.cgi/tech/1088530204/
RSA暗号 解読 助けてください!!
http://pc5.2ch.net/test/read.cgi/sec/1026903337/
素数 "列挙" アルゴリズムを極めるスレ
http://pc5.2ch.net/test/read.cgi/tech/1018657457/
科学ニュース+
暗号アルゴリズムに重大な欠陥発見の報告相次ぐ
http://pc5.2ch.net/test/read.cgi/sec/1092804347/
数学板
素数判定は「決定的」多項式時間で可能
http://science3.2ch.net/test/read.cgi/math/1028813059/
■暗号技術【ROUND2】■
http://pc5.2ch.net/test/read.cgi/tech/1088530204/
RSA暗号 解読 助けてください!!
http://pc5.2ch.net/test/read.cgi/sec/1026903337/
素数 "列挙" アルゴリズムを極めるスレ
http://pc5.2ch.net/test/read.cgi/tech/1018657457/
科学ニュース+
暗号アルゴリズムに重大な欠陥発見の報告相次ぐ
http://pc5.2ch.net/test/read.cgi/sec/1092804347/
数学板
素数判定は「決定的」多項式時間で可能
http://science3.2ch.net/test/read.cgi/math/1028813059/
689 :132人目の素数さん:04/11/06 19:42:22
暗号数学に未来はあるのか?
案外、今から暗号数学を始めた人が一線に立てるころには
ブームは終わってそうな予感。
案外、今から暗号数学を始めた人が一線に立てるころには
ブームは終わってそうな予感。
690 :132人目の素数さん:04/11/06 19:46:31
量子力学勉強しなきゃ
691 :白シャツ:04/11/07 09:50:05
692 :白シャツ:04/11/07 10:02:16
「梅どぶろく」は既に暗号業界では有名人になっているヨウデスタ
とりあえず>>1と>>77は気をつけろよ次に吊られる候補だし。
まぁ>>1は本人が気をつけても大前健一を釣って間接的に釣ろうという
プランがあるよだしな。ただ、そういう悪人には天誅が落ちるんだな
エロDATA株大暴落とかな
それと、匿名掲示板でこういう内輪ネタは良い子のみんなは真似しちゃだめだよ
とりあえず>>1と>>77は気をつけろよ次に吊られる候補だし。
まぁ>>1は本人が気をつけても大前健一を釣って間接的に釣ろうという
プランがあるよだしな。ただ、そういう悪人には天誅が落ちるんだな
エロDATA株大暴落とかな
それと、匿名掲示板でこういう内輪ネタは良い子のみんなは真似しちゃだめだよ
693 :白シャツ:04/11/07 10:09:34
(゚3゚)キニシナイ!
695 :132人目の素数さん:04/11/08 00:57:32
ガウスが01で作ったとかれてないアナグラムの事は皆知ってる?
(実質的内容はガウス自身が書き残してるんだが)
(実質的内容はガウス自身が書き残してるんだが)
696 :132人目の素数さん:04/11/08 00:59:55
知らにゃい
教えてたもれ
教えてたもれ
697 :白シャツ:04/11/08 13:13:43
どこで見たんだっけか、確かクラインの「19世紀の数学」だったか。
ガウスは小惑星の軌道計算で有名になった訳だが、その次の小惑星についても
計算した訳です。その時の木星と土星のなんだか忘れたがなんかがほぼ整数比に
なる訳ですよ。この事実をアナグラムにしました。このアナグラムの内容は
ガウス自身が手紙かなにかで明かしてる訳ですが、一方アナグラム自身の方は
解かれてないんです。
そんな様な話。
ガウスは小惑星の軌道計算で有名になった訳だが、その次の小惑星についても
計算した訳です。その時の木星と土星のなんだか忘れたがなんかがほぼ整数比に
なる訳ですよ。この事実をアナグラムにしました。このアナグラムの内容は
ガウス自身が手紙かなにかで明かしてる訳ですが、一方アナグラム自身の方は
解かれてないんです。
そんな様な話。
699 :132人目の素数さん:04/11/09 08:49:30
700 :132人目の素数さん:04/11/09 19:11:00
ユークリッドの互除法を用いて、最大公約数を求める場合、いったい何回ぐらい割り算を
実行すればよいのか おしえてください
実行すればよいのか おしえてください
701 :132人目の素数さん:04/11/09 19:58:40
5かいくらい
702 :132人目の素数さん:04/11/09 19:59:12
20%くらいじゃないの?
703 :132人目の素数さん:04/11/09 20:31:38
最大公約数を求める数p,qを共にnビットとするとき、
0.843*n+1.470回くらい
0.843*n+1.470回くらい
704 :白シャツ:04/11/09 21:04:34
705 :132人目の素数さん:04/11/11 01:46:45
>700
Knuthの準数値算法にのってる
Knuthの準数値算法にのってる
706 :132人目の素数さん:04/11/11 07:48:20
707 :白シャツ:04/11/11 09:20:01
>>705
くぬぅすはサイエンス社が出してくれなくなってたんだけど、
アスキーが最近になって出してくれるようになったんだな。
ソースコード入りのCDROMがおまけで付くのだが
お値段が倍になってしまったorz
くぬぅすはサイエンス社が出してくれなくなってたんだけど、
アスキーが最近になって出してくれるようになったんだな。
ソースコード入りのCDROMがおまけで付くのだが
お値段が倍になってしまったorz
708 :白シャツ:04/11/11 09:28:40
709 :132人目の素数さん:04/11/11 11:52:06
暗号の方式って、標準が独占してしまう寡占の状態が実態だから、
もちろん研究でつぎつぎと新方式を提案してくれてもいいのだが、
あまたある提案のうちで現実的に実用されるのはほんの一握り。
一旦ソフトなり回路がLSIでなり出来てしまうと、それが普通に、
あるいは大量に使用されるとデファクトスタンダードになる。
必ずしも優れたものが競走に勝つというものでもない。
暗号というものは、情報を伝達する経路での通信に使われるもの
(記録して後で読む場合も一種の通信と見なせる)だから、
マーケットシェアが高ければそれだけ有利になる。どんなにより
優れた方式があっても、相手する通信の反対側の端点が違う方式で
あれば、どうにもならない。シェアが高いとますます有利だということ。
商業ソフトと同様に極めて高度に政治的なものだということだよ。
もちろん軍事用とか本当に価値の高い内容の秘匿、付加価値の高い情報の
暗号化というすき間商売であれば、むしろデファクトとは違う方式でない
ことで、専用のハードなりソフトを、殿様商売としてふっかけて売るという
ことは可能だろう。
論文を書くために研究し提案しても、現実に採用されることは稀であろう。
もちろん研究でつぎつぎと新方式を提案してくれてもいいのだが、
あまたある提案のうちで現実的に実用されるのはほんの一握り。
一旦ソフトなり回路がLSIでなり出来てしまうと、それが普通に、
あるいは大量に使用されるとデファクトスタンダードになる。
必ずしも優れたものが競走に勝つというものでもない。
暗号というものは、情報を伝達する経路での通信に使われるもの
(記録して後で読む場合も一種の通信と見なせる)だから、
マーケットシェアが高ければそれだけ有利になる。どんなにより
優れた方式があっても、相手する通信の反対側の端点が違う方式で
あれば、どうにもならない。シェアが高いとますます有利だということ。
商業ソフトと同様に極めて高度に政治的なものだということだよ。
もちろん軍事用とか本当に価値の高い内容の秘匿、付加価値の高い情報の
暗号化というすき間商売であれば、むしろデファクトとは違う方式でない
ことで、専用のハードなりソフトを、殿様商売としてふっかけて売るという
ことは可能だろう。
論文を書くために研究し提案しても、現実に採用されることは稀であろう。
710 :白シャツ:04/11/11 20:52:51
711 :132人目の素数さん:04/11/11 23:14:46
それが我が大学内で評価の高い論文なのである。
712 :132人目の素数さん:04/11/11 23:23:56
喪毎らRIMSの研究集会には参加しますたか?
713 :132人目の素数さん:04/11/15 15:15:25
いつの間にかものすごく落ちてるな。何があったんだ?
714 :白シャツ:04/11/15 17:41:03
>>713
このスレ、ネタが無いとホントに誰も書かないから。
このスレ、ネタが無いとホントに誰も書かないから。
715 :1:04/11/15 18:16:14
じゃあげ。
716 :132人目の素数さん:04/11/15 19:09:28
717 :白シャツ:04/11/15 22:30:34
>>716
>数学板ってこんなに回転速かったっけ?
アフォが一人で荒らしたりしてるんじゃない?
>ところで、先週のRIMSの研究会はどうでつたか?
マジレスしとくと先週はISEC(月、火ね)が阪大であったので、
暗号屋さんはそっち行ってるんではないでしょうか?
>数学板ってこんなに回転速かったっけ?
アフォが一人で荒らしたりしてるんじゃない?
>ところで、先週のRIMSの研究会はどうでつたか?
マジレスしとくと先週はISEC(月、火ね)が阪大であったので、
暗号屋さんはそっち行ってるんではないでしょうか?
718 :132人目の素数さん:04/11/16 02:33:38
612A
719 :132人目の素数さん:04/11/16 20:44:09
>>718
(゚Д゚)ハァ?
(゚Д゚)ハァ?
720 :132人目の素数さん:04/11/16 20:44:42
721 :名無しさん@Linuxザウルス:04/11/16 21:34:08
(´ー`)
中大のチョウ先生ってどうなの?
なんか難しいことやってそうですよね。
中大のチョウ先生ってどうなの?
なんか難しいことやってそうですよね。
722 :白シャツ:04/11/16 21:51:32
>>721
こういうのってまたトラップくさい話題なんですが、
特に問題になるような話題は出てこない先生だと思いまつ。
すなわちトラップにはなりにくいと思われ。
といっておくので詳しい人コメントしてください。>弟子の人
こういうのってまたトラップくさい話題なんですが、
特に問題になるような話題は出てこない先生だと思いまつ。
すなわちトラップにはなりにくいと思われ。
といっておくので詳しい人コメントしてください。>弟子の人
723 :132人目の素数さん:04/11/17 00:06:48
612Aって某所の部屋番号じゃん...偶然かな。
724 :132人目の素数さん:04/11/17 09:23:02
725 :白シャツ:04/11/17 12:10:07
>>724
そいつと自称DQNの人とは別人だな。
自称DQNの人の関係者(下っ端)かもしれないけどね、
おぼれかかってる人は。
>>ていうか,発表してるものってあってるの?
とりあえず>>721の先生の関係者(?)あたってください。
楕円と同程度まで速くなってるらしいよ。
そいつと自称DQNの人とは別人だな。
自称DQNの人の関係者(下っ端)かもしれないけどね、
おぼれかかってる人は。
>>ていうか,発表してるものってあってるの?
とりあえず>>721の先生の関係者(?)あたってください。
楕円と同程度まで速くなってるらしいよ。
726 :132人目の素数さん:04/11/17 14:31:02
>>725
白シャツ ∈ 辻井重男研究室?
白シャツ ∈ 辻井重男研究室?
727 :名無しさん@Linuxザウルス:04/11/17 20:31:41
( ̄ー ̄)ニヤリッ
なんか白シャツって中大関係者っぽいんだよね。
チョウ研ですか?
なんか白シャツって中大関係者っぽいんだよね。
チョウ研ですか?
728 :名無しさん@Linuxザウルス:04/11/18 00:31:41
(((;゚Д゚))ガクガクブルブル
あれ?
ビンゴだったの?もしかして。
あれ?
ビンゴだったの?もしかして。
729 :白シャツ:04/11/18 00:47:25
730 :名無しさん@Linuxザウルス:04/11/18 08:08:15
731 :名無しさん@Linuxザウルス:04/11/18 08:13:08
(⊃д`)
なんかカリキュラムとかショボすぎ。
ヘビーマン関係者ばかりだし。
ヘビーマンまだ引退しないのかよ。
そこまでボスで居続けたいのか?哀れだよ。
なんかカリキュラムとかショボすぎ。
ヘビーマン関係者ばかりだし。
ヘビーマンまだ引退しないのかよ。
そこまでボスで居続けたいのか?哀れだよ。
732 :白シャツ:04/11/18 08:16:53
733 :名無しさん@Linuxザウルス:04/11/18 08:22:14
( ´_ゝ`)フーン
伊原康隆先生が中大数学に来たのも
ヘビーマンのコネ?
ヘビーマンの数学力ってどのくらいあるの?>白シャツ
ヘビーマンって共著書きまくりだけど、どれくらい関与
してるの?>白シャツ
無差別に共著しすぎじゃない?>白シャツ
ああやって水増しするとなんか得することあんのか?>白シャツ
伊原康隆先生が中大数学に来たのも
ヘビーマンのコネ?
ヘビーマンの数学力ってどのくらいあるの?>白シャツ
ヘビーマンって共著書きまくりだけど、どれくらい関与
してるの?>白シャツ
無差別に共著しすぎじゃない?>白シャツ
ああやって水増しするとなんか得することあんのか?>白シャツ
734 :132人目の素数さん:04/11/18 08:46:19
「代数幾何学」京都大学学術出版会
廣中平祐 講義 森重文 記録
川口周・丸山正樹・森脇淳 編
これをありがたがって買ってそう。
もちろん積ん読なわけだが。
廣中平祐 講義 森重文 記録
川口周・丸山正樹・森脇淳 編
これをありがたがって買ってそう。
もちろん積ん読なわけだが。
735 :132人目の素数さん:04/11/18 09:35:50
超楕円暗号に未来はあるのでしょうか?
RIMSの研究集会で、どなたかが最近の展望をお話されたそうですが、
それを聴講された方の感想も聞きたいです。よろしくお願いします。
RIMSの研究集会で、どなたかが最近の展望をお話されたそうですが、
それを聴講された方の感想も聞きたいです。よろしくお願いします。
736 :132人目の素数さん:04/11/18 17:07:06
ヘビーマンって誰?
737 :132人目の素数さん:04/11/18 21:06:26
白シャツ,やっぱり君はヘビーマン関係しゃなんですね.
ぱたっと登場しなくなったのがその証拠ですね.
ヘビーマン
ぱたっと登場しなくなったのがその証拠ですね.
ヘビーマン
違いますよ
わたしはライトマンの寒毛医者ですよ。
わたしはライトマンの寒毛医者ですよ。
739 :132人目の素数さん:04/11/18 21:24:33
S氏粘着の次はT氏粘着の登場ですか
なんかげんめつだなー>暗号屋さん達
なんかげんめつだなー>暗号屋さん達
740 :白シャツ:04/11/18 22:12:47
荒らすのは結構ですがここの怖さを知らないようですね
741 :132人目の素数さん:04/11/19 08:32:38
何がこわいの?
742 :132人目の素数さん:04/11/19 12:57:05
>>741
数学板が使っているサーバーの上位に行ってみ。
数学板が使っているサーバーの上位に行ってみ。
743 :132人目の素数さん:04/11/19 14:37:12
>>742
・・・。2chと中大とはどういう関係なの?
・・・。2chと中大とはどういう関係なの?
744 :132人目の素数さん:04/11/19 16:28:32
>>742
意味不明なんだけど。
意味不明なんだけど。
745 :132人目の素数さん:04/11/24 20:03:09
暗号っていっても数論方式だけじゃない。
処理速度で云えば符号理論に端を発するMcEliece暗号なんかもある。
暗号文が2倍に増大する欠点と公開鍵が4メガもあるのが難点だが。
そこでこれを秘密鍵暗号として使ってみるとどうだろう。
安全性も証明可能だし、処理能力もある。
処理速度で云えば符号理論に端を発するMcEliece暗号なんかもある。
暗号文が2倍に増大する欠点と公開鍵が4メガもあるのが難点だが。
そこでこれを秘密鍵暗号として使ってみるとどうだろう。
安全性も証明可能だし、処理能力もある。
746 :132人目の素数さん:04/11/25 01:05:20
825
747 :132人目の素数さん:04/11/25 02:22:24
748 :白シャツ:04/11/25 08:50:50
749 :132人目の素数さん:04/11/25 10:54:04
DL出来ないんですが、激しく安全ということで?
証明されたのは最近なんだ・・・。
オリジナルではなくてそれに近い暗号の証明なら知ってますが。
ランダム線型符号のとか。検査行列が(I|R),Rはランダム。
それに付随する線型符号がランダム線型符号。
エラーの重みと計算量の関係について論じたものとか。
頑張って実装してみまつ。
証明されたのは最近なんだ・・・。
オリジナルではなくてそれに近い暗号の証明なら知ってますが。
ランダム線型符号のとか。検査行列が(I|R),Rはランダム。
それに付随する線型符号がランダム線型符号。
エラーの重みと計算量の関係について論じたものとか。
頑張って実装してみまつ。
750 :白シャツ:04/11/25 20:59:09
751 :白シャツ:04/11/25 23:23:21
752 :747:04/11/26 01:20:53
>>748
紹介サンクス。まだアブストしか読んでないんだが、known attackに
対しては安全、と書いてあるような気が…何か計算量的に難しい問題
から暗号系への攻撃に帰着が与えられてるんじゃないわけですか?
紹介サンクス。まだアブストしか読んでないんだが、known attackに
対しては安全、と書いてあるような気が…何か計算量的に難しい問題
から暗号系への攻撃に帰着が与えられてるんじゃないわけですか?
753 :白シャツ:04/11/26 08:16:35
754 :132人目の素数さん:04/11/26 12:58:16
ヘビーマンには政治力で,電子マネーとか強力に推進して
ほしいんだけど.
ほしいんだけど.
755 :132人目の素数さん:04/11/27 00:28:02
何気に良スレだが、基本的にsage進行の方がいい気がする。
数学系には暗号数学には興味ない人多いし、
興味ある人はsage進行でも読むだろ。
数学系には暗号数学には興味ない人多いし、
興味ある人はsage進行でも読むだろ。
じゃあsageで。
そろそろSCIS申し込まないとダメですな。
30日までだったし。
そろそろSCIS申し込まないとダメですな。
30日までだったし。
757 :132人目の素数さん:04/11/28 20:08:42
超楕円暗号ってどこかに実装例ないですか?
シグマリオンで動くの実装した香具師が居るらしいのだが、
公開されてるかは知りません。
漏れも探してみますが、
誰かエロい人ご存知でしたらら教えやがってくださいませ。
公開されてるかは知りません。
漏れも探してみますが、
誰かエロい人ご存知でしたらら教えやがってくださいませ。
759 :132人目の素数さん:04/11/29 06:37:36
素因数分解問題、離散対数問題が、
どの計算量クラスに属するのかと思って検索していると、
共にNP問題であるということは分かったのですが、
大抵その前後に書いてあるNP問題の定義が、
NP問題=解の検証が多項式時間で出来る”決定問題”
な風になってなってます。
これは、素因数分解・離散対数問題が
NP問題に多項式時間還元可能な問題だと思っていいのでしょうか
どの計算量クラスに属するのかと思って検索していると、
共にNP問題であるということは分かったのですが、
大抵その前後に書いてあるNP問題の定義が、
NP問題=解の検証が多項式時間で出来る”決定問題”
な風になってなってます。
これは、素因数分解・離散対数問題が
NP問題に多項式時間還元可能な問題だと思っていいのでしょうか
760 :132人目の素数さん:04/11/29 08:02:31
>759の要点を絞って書きます。
決定問題と言ったときの素因数分解問題って、
(入力) 自然数n
(出力) YES <= nを割り切るx (0<x<n)が”明示的に提示できる”
なる問題と思っていいのですか?
決定問題と言ったときの素因数分解問題って、
(入力) 自然数n
(出力) YES <= nを割り切るx (0<x<n)が”明示的に提示できる”
なる問題と思っていいのですか?
761 :名無しさん@XEmacs:04/11/29 18:56:57
>>756
> そろそろSCIS申し込まないとダメですな。
申し込んでみたんだが、Charset=ISO-2022-JP 指定かつ Shift_JIS
な内容の確認メールが戻って来た。
ダメじゃん。(´・ω・`)
> そろそろSCIS申し込まないとダメですな。
申し込んでみたんだが、Charset=ISO-2022-JP 指定かつ Shift_JIS
な内容の確認メールが戻って来た。
ダメじゃん。(´・ω・`)
762 :132人目の素数さん:04/11/29 21:50:15
>>759
そもそも、素因数分解問題ってNP問題なの?
多項式時間で表せるってことを、インドの数学者が証明した!って二、三年ほど前に言ってなかったっけ?
まぁ、多項式時間で云々とはいえ、まったく実用的なオーダーではないけれど。
そもそも、素因数分解問題ってNP問題なの?
多項式時間で表せるってことを、インドの数学者が証明した!って二、三年ほど前に言ってなかったっけ?
まぁ、多項式時間で云々とはいえ、まったく実用的なオーダーではないけれど。
763 :132人目の素数さん:04/11/29 22:03:31
素数判定は「決定的」多項式時間で可能
http://science3.2ch.net/test/read.cgi/math/1028813059/
http://science3.2ch.net/test/read.cgi/math/1028813059/
764 :132人目の素数さん:04/11/29 22:04:14
765 :132人目の素数さん:04/11/29 22:06:59
767 :132人目の素数さん:04/12/03 15:57:14
楕円曲線暗号について解説している本を教えていただけませんか?
できれば日本語がいいのですが・・・
できれば日本語がいいのですが・・・
768 :sage:04/12/03 17:59:02
そのものズバリの本がピアソンからでてます。
769 :132人目の素数さん:04/12/03 18:21:53
「楕円曲線」とつけとけば売れるので
整数論の本に一章だけ追加して本の題名を〜と楕円曲線暗号
なんてしてる便乗本もある。
整数論の本に一章だけ追加して本の題名を〜と楕円曲線暗号
なんてしてる便乗本もある。
770 :132人目の素数さん:04/12/03 19:02:09
>>768
あれ漏れも買ったけどチュートリアル的な本なんで
勉強のきっかけ探す本になるような気がする。
書いてあることはそういうことなのかってわかるけど、
実際納得いくまで考え出すと全然わからなくなってしまうんですは。
まぁ辞書にすればよいのか、参考文献検索は重要だし。
それで参考文献見てさらにわからなくなってアボーン
漏れが勉強不足だからというのは自明なんだろうが、
あの本の数学の人の評価ってどうなんでしょう?
あれ漏れも買ったけどチュートリアル的な本なんで
勉強のきっかけ探す本になるような気がする。
書いてあることはそういうことなのかってわかるけど、
実際納得いくまで考え出すと全然わからなくなってしまうんですは。
まぁ辞書にすればよいのか、参考文献検索は重要だし。
それで参考文献見てさらにわからなくなってアボーン
漏れが勉強不足だからというのは自明なんだろうが、
あの本の数学の人の評価ってどうなんでしょう?
773 :132人目の素数さん:04/12/04 16:17:09
>>771
手っ取り早く実装してしまいたい技術者向けとある。
関数体ふるいとかはかなりツボなんですが。
種数2の超楕円のヤコビヤーン(・∀・)!!を使った
素数判定なんてのも実は持っているんですが。
手っ取り早く実装してしまいたい技術者向けとある。
関数体ふるいとかはかなりツボなんですが。
種数2の超楕円のヤコビヤーン(・∀・)!!を使った
素数判定なんてのも実は持っているんですが。
>手っ取り早く実装してしまいたい技術者向けとある。
割り切ってしまえばよいのでしょうけど、
中身が気になってしまうんでおあずけ状態にされるんですよ。
漏れは工学の人としてはよろしくないかもしんない。
割り切ってしまえばよいのでしょうけど、
中身が気になってしまうんでおあずけ状態にされるんですよ。
漏れは工学の人としてはよろしくないかもしんない。
775 :132人目の素数さん:04/12/05 05:23:07
age
776 :132人目の素数さん:04/12/05 14:32:13
ナイジェル・スマートとかの本ですか?
どうせやるならさープログラムまで載せろよって思わん?
どうせやるならさープログラムまで載せろよって思わん?
777 :132人目の素数さん:04/12/05 15:18:22
>>776
「JAVAアルゴリズム」とかにはあったような。
>>774
Z[x]でxがイデアルであることを示してください。
突然ですが天下りの式を使うことは出来ても示すのが出来ないので、
理学には向いてないのかなと。
「JAVAアルゴリズム」とかにはあったような。
>>774
Z[x]でxがイデアルであることを示してください。
突然ですが天下りの式を使うことは出来ても示すのが出来ないので、
理学には向いてないのかなと。
>「JAVAアルゴリズム」とかにはあったような。
詳細キボンヌ。
>Z[x]でxがイデアルであることを示してください。
>突然ですが天下りの式を使うことは出来ても示すのが出来ないので、
>理学には向いてないのかなと。
なんだかよくわかりませんが
工学向きってことでFA?
詳細キボンヌ。
>Z[x]でxがイデアルであることを示してください。
>突然ですが天下りの式を使うことは出来ても示すのが出来ないので、
>理学には向いてないのかなと。
なんだかよくわかりませんが
工学向きってことでFA?
779 :132人目の素数さん:04/12/05 22:49:18
素因数分解・離散対数計算がある仮定の下で準指数時間で出来るというのは
良く知られてるけど、数学的に厳密な証明はまだ得られてないのでしょうか?
「数体ふるい法を使えば準指数時間で出来る」という風に多くの本や論文に
書いてあるけど、厳密な証明はお目にかかったことがない。
良く知られてるけど、数学的に厳密な証明はまだ得られてないのでしょうか?
「数体ふるい法を使えば準指数時間で出来る」という風に多くの本や論文に
書いてあるけど、厳密な証明はお目にかかったことがない。
現在知られているアルゴリズムを評価すると
準指数オーダーの計算量がかかるってだけで、
もっと速いアルゴリズムがあるかどうかはわからんってことでしょ。
準指数オーダーの計算量がかかるってだけで、
もっと速いアルゴリズムがあるかどうかはわからんってことでしょ。
781 :132人目の素数さん:04/12/06 19:21:14
782 :132人目の素数さん:04/12/06 19:40:36
783 :132人目の素数さん:04/12/06 19:44:36
>準指数オーダーで終了するということの数学的証明はあるか?
準指数オーダー以下にはゼッタイならない!という証明?
準指数オーダー以下にはゼッタイならない!という証明?
784 :132人目の素数さん:04/12/06 19:57:40
違う
785 :132人目の素数さん:04/12/06 21:02:04
ナイトセッションに梅どぶろくが出てきて
漫談するに期待age
漫談するに期待age
786 :132人目の素数さん:04/12/06 21:56:09
そんな勇気ありません。
787 :梅どぶろく ◆21Da3ggG3M :04/12/06 22:12:05
懇親会は何日の何時から開始でしょうか?
できれば何時くらいに終わるのかも教えてもらいたいです。
できれば何時くらいに終わるのかも教えてもらいたいです。
789 :132人目の素数さん:04/12/07 22:49:22
>>788さん
ありがとうございます。
ではその日に行くことにします。
できれば全ての日に出席したいのですが、
ホテル代はないし学校欠席扱いになるので
いつが懇親会の日なのか知りたかったです。
SCISで会いましょう。
ありがとうございます。
ではその日に行くことにします。
できれば全ての日に出席したいのですが、
ホテル代はないし学校欠席扱いになるので
いつが懇親会の日なのか知りたかったです。
SCISで会いましょう。
791 :132人目の素数さん:04/12/08 00:26:16
やべっ参加申し込みしようっと。
日帰り可能です。
隣の県ですから。
学校に粘ってみます。
隣の県ですから。
学校に粘ってみます。
793 :132人目の素数さん:04/12/13 15:03:51
616e676f75
^
0901140700
^
0901140700
794 :132人目の素数さん:04/12/13 22:11:53
age
情報セキュリティアドミニストレータ試験合格してしまいました。
特にメリットありませんが。
特にメリットありませんが。
796 :132人目の素数さん:04/12/18 19:47:41
>>795
忘却転送について説明してください。
忘却転送について説明してください。
797 :132人目の素数さん:04/12/18 20:36:04
漏れも解説聞きたい.
799 :132人目の素数さん:04/12/18 21:36:35
1/2の確率でなんたらかんたら
800 :132人目の素数さん:04/12/18 21:36:57
忘却送信とちゃうけ
801 :132人目の素数さん:04/12/18 22:42:04
定着した邦訳がないから英語で書いたほうがいいかも。
oblivious transfer ね。
oblivious transfer ね。
802 :132人目の素数さん:04/12/19 00:25:55
__、--..、、
_<⌒ヽミヽ ヾ !'⌒≧_
,Z´r;=-‐- 、ヾ 〃′≦
7,"/ __‐ 、`ー-'⌒ヾ.7
! l ー‐- 、ヽ._`ー'´, u ! r'⌒
.l !!L、u __\  ̄ 〆"T ( 制
l.r‐、ヽ 、‐。‐-、V/∠==、| ) 裁
,' |.l´! | u`ミ≡7@ )゚=彡 ! ( っ
/,' l.l_|⊥%ニニソ(@ *; )ー-*| ) :
,/〃',ゝ|/>rーrーrゞr<二二フ ∠、 !
∠ -:/ ト ヒ'土土土十┼┼ヲ;! `ー-‐'´
 ̄:::l:::::::|、 !lヽ~U ~ __ ̄ ̄.ノl
::::::::l:::::::| \. ヽ.ll ヽ、 ___'/l/`iー- >>796がネタ振りしたのに
::::::::l::::::::ト、. \ \. ll ll ll ll /:::::l::::::: レスしない>>797-801
:::::::::l::::::::| \ \ `ヽ、 ll ll/!:::::::!:::::: 制裁……!
::::::::::l::::::::| \ \ /`ヽ' |:::::::l::::::::
:::::::::::l::::::::| \. `/ / |:::::::l::::::::
_<⌒ヽミヽ ヾ !'⌒≧_
,Z´r;=-‐- 、ヾ 〃′≦
7,"/ __‐ 、`ー-'⌒ヾ.7
! l ー‐- 、ヽ._`ー'´, u ! r'⌒
.l !!L、u __\  ̄ 〆"T ( 制
l.r‐、ヽ 、‐。‐-、V/∠==、| ) 裁
,' |.l´! | u`ミ≡7@ )゚=彡 ! ( っ
/,' l.l_|⊥%ニニソ(@ *; )ー-*| ) :
,/〃',ゝ|/>rーrーrゞr<二二フ ∠、 !
∠ -:/ ト ヒ'土土土十┼┼ヲ;! `ー-‐'´
 ̄:::l:::::::|、 !lヽ~U ~ __ ̄ ̄.ノl
::::::::l:::::::| \. ヽ.ll ヽ、 ___'/l/`iー- >>796がネタ振りしたのに
::::::::l::::::::ト、. \ \. ll ll ll ll /:::::l::::::: レスしない>>797-801
:::::::::l::::::::| \ \ `ヽ、 ll ll/!:::::::!:::::: 制裁……!
::::::::::l::::::::| \ \ /`ヽ' |:::::::l::::::::
:::::::::::l::::::::| \. `/ / |:::::::l::::::::
803 :132人目の素数さん:04/12/19 00:48:10
マジレスするとこの時期(あと一週間)はみんな忙しいんだよ。
漏れもちゃんと説明できるほど詳しくないしな、もぐりだし>漏れ
暇だったら調べたらよいんだけどな。
ていうかoblivious transfer だったのね。
漏れもちゃんと説明できるほど詳しくないしな、もぐりだし>漏れ
暇だったら調べたらよいんだけどな。
ていうかoblivious transfer だったのね。
805 :132人目の素数さん:04/12/19 16:54:52
24日の五時まではまってくれってことか?
でも、それから郵送じゃ間にあわねぇorz
でも、それから郵送じゃ間にあわねぇorz
807 :132人目の素数さん:04/12/19 19:35:12
今回は原稿の締め切り等、かなり厳密らしいので
早め早めに作業した方がいいですね
早め早めに作業した方がいいですね
808 :132人目の素数さん:04/12/20 02:42:08
良スレの皆さんこんばんわ。
突然で申し訳ないのですが、
以前トリップ生成規則を解明するスレ、なんて内容のスレがあったと
思うんですがどこ言ったか覚えてらっしゃらないですか?
突然で申し訳ないのですが、
以前トリップ生成規則を解明するスレ、なんて内容のスレがあったと
思うんですがどこ言ったか覚えてらっしゃらないですか?
809 :132人目の素数さん:04/12/20 23:37:03
SCIS2005暫定版プログラムが出てるよ。orz
810 :132人目の素数さん:04/12/21 00:26:39
早め早めに・・・
811 :132人目の素数さん:04/12/21 09:19:47
>779
素因数分解を行う準指数時間が存在することは構成的に証明されている。
それこそKnuth本に載ってるよ。Dixonのアルゴリズムがそうだ。
素因数分解を行う準指数時間が存在することは構成的に証明されている。
それこそKnuth本に載ってるよ。Dixonのアルゴリズムがそうだ。
812 :名無しさん@XEmacs:04/12/21 21:21:35
813 :132人目の素数さん:04/12/22 00:55:30
SCIS、発表件数多杉。面白そうなのが被ってるし。
明日祝日だし今日中に振り込んどかないとまずそうなんで、
あわてて参加費振り込んできますた。マダの香具師はお忘れなく。
あわてて参加費振り込んできますた。マダの香具師はお忘れなく。
815 :名無しさん@XEmacs:04/12/22 15:59:56
ん?参加/懇親会の申込期限は 12/24 だけど、振込は 1/7 までで
OK の筈では?
♯25 と 27 はほぼ参加確定したんで懇親会も参加に登録変更してみ
♯たんだけど、確認メールの文字コードが正しくなってたのね。
OK の筈では?
♯25 と 27 はほぼ参加確定したんで懇親会も参加に登録変更してみ
♯たんだけど、確認メールの文字コードが正しくなってたのね。
申し込みページみてみたら振込予定日1月7日選択肢あった.
漏れの自爆みたいね.
漏れの自爆みたいね.
818 :132人目の素数さん:04/12/27 22:16:47
241
819 :132人目の素数さん:04/12/29 12:35:30
(´゜┏⊇┓゜`)
oblivious transferですが、
とりあえずこれの66ページ(pdfでいうと67ページ)に
簡単な説明が書いてありますな。これの場合「量子」がついてますけど。
http://www.ipa.go.jp/security/fy12/report/ryoushi.pdf
とりあえずこれの66ページ(pdfでいうと67ページ)に
簡単な説明が書いてありますな。これの場合「量子」がついてますけど。
http://www.ipa.go.jp/security/fy12/report/ryoushi.pdf
821 :132人目の素数さん:05/01/01 09:59:14
昨日振り込み完了しました。
参加はスーツ着用ですか?
私服はだめでしょうか?
参加はスーツ着用ですか?
私服はだめでしょうか?
スーツ着用の義務はありません。
しかし冠位十二階ってあるでしょ。
エロさでシャツの色が決まってます。
入門者は白から始まって、
http://pcweb.mycom.co.jp/news/2003/06/05/21cl.jpg
が一番高い位の色。
しかし冠位十二階ってあるでしょ。
エロさでシャツの色が決まってます。
入門者は白から始まって、
http://pcweb.mycom.co.jp/news/2003/06/05/21cl.jpg
が一番高い位の色。
823 :132人目の素数さん:05/01/01 22:41:40
age
824 :132人目の素数さん:05/01/02 11:43:15
初心者は白シャツを着ていくのですか?
それとも会場の入り口で白シャツが配られるのですか???
それで白シャツが名前に・・・
納得
それとも会場の入り口で白シャツが配られるのですか???
それで白シャツが名前に・・・
納得
明日こそ本当に振込み期限ですな。
827 :132人目の素数さん:05/01/11 22:17:39
プログラムの正式版が出ましたね。本当の締め切り(印刷に出す日)はこの日だったのかな?
828 :132人目の素数さん:05/01/14 00:32:01
楕円曲線暗号において
DH鍵共有やElgamal暗号の特許は無効ですか?
楕円曲線暗号でDH鍵共有により
鍵交換するアプリ作りたいんですが特許が問題になるかなと
疑問に思ってました。
DH鍵共有やElgamal暗号の特許は無効ですか?
楕円曲線暗号でDH鍵共有により
鍵交換するアプリ作りたいんですが特許が問題になるかなと
疑問に思ってました。
829 :132人目の素数さん:05/01/14 00:35:25
830 :132人目の素数さん:05/01/14 00:36:59
831 :132人目の素数さん:05/01/16 18:39:45
楕円曲線暗号でのDH鍵共有に
新しく特許が与えられると思っていたんですが、
違いますか?
楕円曲線と有限体での計算は違うのではないですか?
新しく特許が与えられると思っていたんですが、
違いますか?
楕円曲線と有限体での計算は違うのではないですか?
833 :132人目の素数さん:05/01/20 18:13:07
どこまでの範囲で保護された特許があるのかは知らないけど、
あったとしても標準化されようとしているということは、無償使用許諾が出てるってことだと思う。
ただ、計算の高速化手法とかは、ガチガチの特許だらけだから、そっちに注意すべきかと。
あったとしても標準化されようとしているということは、無償使用許諾が出てるってことだと思う。
ただ、計算の高速化手法とかは、ガチガチの特許だらけだから、そっちに注意すべきかと。
そういうのってプログラム板の人の方が詳しいんじゃないでしょうか?
むこうはあんまり見てないので良く分からないけど。
むこうはあんまり見てないので良く分からないけど。
835 :132人目の素数さん:05/01/21 01:12:24
実際のアルゴリズムに対しては
計算機科学とか情報工学の人の方が詳しいでしょう。
ただ、一般のプログラマーが、そういうことに
詳しいかどうかはまた別の話でしょうね。
計算機科学とか情報工学の人の方が詳しいでしょう。
ただ、一般のプログラマーが、そういうことに
詳しいかどうかはまた別の話でしょうね。
836 :sage:05/01/24 21:43:00
とうとう明日ですね2005
837 :132人目の素数さん:05/01/24 21:44:40
まちがえた。。。。
名前欄に・・・・
皆様失礼しました。
名前欄に・・・・
皆様失礼しました。
838 :132人目の素数さん:05/01/24 23:39:21
暗号って大泉さんがサイコロ振って決めるんじゃないんですか?
839 :132人目の素数さん:05/01/25 14:23:52
これ、どこでオフやるの?
840 :132人目の素数さん:05/01/25 14:37:41
京都寺町
舞子の大阪王将じゃないの?
ところで、梅どぶろくは来ているのか、
というか実在しているのかという話になっていましたが。
ところで、梅どぶろくは来ているのか、
というか実在しているのかという話になっていましたが。
842 :132人目の素数さん:05/01/26 00:48:56
食べ物屋がないー!
843 :132人目の素数さん:05/01/26 00:52:14
京都の寺町通り、信長書店前
神戸到着しました。
ただいまファミレスで時間をつぶしております。
懇親会にも参加させていただきます。
実際に出会ってもからかわないでくださいね。
ただいまファミレスで時間をつぶしております。
懇親会にも参加させていただきます。
実際に出会ってもからかわないでくださいね。
潜入成功でございます。
846 :132人目の素数さん:05/01/26 11:40:15
847 :132人目の素数さん:05/01/26 13:28:51
今日の懇親会の会場はどう?
848 :132人目の素数さん:05/01/26 14:04:13
>>846
京都寺町秀吉書房前到着。やれやれ。
京都寺町秀吉書房前到着。やれやれ。
849 :132人目の素数さん:05/01/26 14:05:35
ホテルの会場ABCをつなげて懇親会を行なうらしいです。
850 :132人目の素数さん:05/01/26 14:10:18
京都大学全学暗号解読評議会連合寺町支部暗号解読推進委員会名誉議長桜どぶろくってお前のことか?
全然違いますよ。
852 :132人目の素数さん:05/01/26 17:57:29
今日の懇親会の会場でオフ会な.
場所はどこがいいかのぉ.
場所はどこがいいかのぉ.
853 :132人目の素数さん:05/01/26 18:16:58
梅どぶが、梅の木を振り回してるところに集合、かな。
それぐらい仕込んで来てるんだろ?>どぶろく
それぐらい仕込んで来てるんだろ?>どぶろく
んなあほな
馬鹿だと思われてしまうじゃないですか
誰か見破ってください
馬鹿だと思われてしまうじゃないですか
誰か見破ってください
855 :132人目の素数さん:05/01/26 19:12:58
>馬鹿だと思われてしまうじゃないですか
warota
さすが、どぶろくだな。
warota
さすが、どぶろくだな。
白シャツさんが見つからない憎しみage
857 :宴会中:05/01/26 23:01:59
白シヤツが梅をさがしてたぞ
858 :132人目の素数さん:05/01/26 23:03:01
揚げ物(゚д゚)ウマー
憎しみのとこは忘れて下さいな
今は帰りのバス待ちです。
ううーん、私の名札をみて(・∀・)ニヤニヤした人が
何人かいたような気がしたのですが
わかりましたか?
そうだとしたらなんか悔しいな
今は帰りのバス待ちです。
ううーん、私の名札をみて(・∀・)ニヤニヤした人が
何人かいたような気がしたのですが
わかりましたか?
そうだとしたらなんか悔しいな
漏れがというよりいろいろな人々が探していたわけでだな、
いろいろな人々というのが怖すぎるわけでだな、
漏れ及びそれ以下のショボい連中だけでなく
エロいリアル暗号学者の面々までもが探していたってことですな。
いろいろな人々というのが怖すぎるわけでだな、
漏れ及びそれ以下のショボい連中だけでなく
エロいリアル暗号学者の面々までもが探していたってことですな。
861 :FM東京:05/01/27 00:42:22
あのーすいません
エロイリアル暗号学者の方々にまで
探される理由が思いつかないのですが・・・
でもエロイリアル暗号学者さんは
何名かじかに見学させていただきました。
今回は参加してみて良かったです。
次の暗号学会はいつ頃でしょうか?
エロイリアル暗号学者の方々にまで
探される理由が思いつかないのですが・・・
でもエロイリアル暗号学者さんは
何名かじかに見学させていただきました。
今回は参加してみて良かったです。
次の暗号学会はいつ頃でしょうか?
FM東京さん
四つ目の16:35-18:15のときに
二階ロビーにいませんでしたか?
寝ていた坊主頭見つけたとしたら
それが私です。
四つ目の16:35-18:15のときに
二階ロビーにいませんでしたか?
寝ていた坊主頭見つけたとしたら
それが私です。
864 :132人目の素数さん:05/01/28 12:33:42
ナイトセショッンはどうだった?
865 :132人目の素数さん:05/01/28 20:53:01
ジャンケンすぐ負けちまった。
もらった人うらやましすぎ。
もらった人うらやましすぎ。
866 :132人目の素数さん:05/01/29 09:58:02
『初期ロットは嫌だ(爆)』
#こんな所にSCISスレがあったとは
#こんな所にSCISスレがあったとは
SCISスレではないんですが、
SCISがこのスレのオフに何故かなっていただけです。
日本語版ePrintとして機能するぐらい謎のスレになってますよ、ここは。
SCISがこのスレのオフに何故かなっていただけです。
日本語版ePrintとして機能するぐらい謎のスレになってますよ、ここは。
869 :132人目の素数さん:05/01/29 23:49:52
866はもしかしてPSP初期ロットが嫌だった人ですか。
そろそろヤバくなってきたので、というか匿名性が無いので(w
132人目の素数さんにもどります。
あとは任せた>大前先生の弟子になる人
132人目の素数さんにもどります。
あとは任せた>大前先生の弟子になる人
871 :132人目の素数さん:05/01/30 00:44:33
ジャンケン2回目で負けた。PSPを攫っていった最終勝利者は
ゲームしたことない人だった。
ゲームしたことない人だった。
872 :132人目の素数さん:05/01/30 01:21:50
梅どぶろくもだけど、白シャツってだれのことなんだろうという
話題にもなってたよ。なんとなく知っている人は知っていそうだった。
話題にもなってたよ。なんとなく知っている人は知っていそうだった。
873 :132人目の素数さん:05/01/30 01:34:07
ナイトセッション面白かった人とそうじゃない人がいたね
ちなみに白シャツの話は軽く話題になってた
ちなみに白シャツの話は軽く話題になってた
874 :132人目の素数さん:05/01/30 01:47:09
ナイトセッションかー
来年は見に行こうかな
来年は見に行こうかな
875 :132人目の素数さん:05/01/30 02:06:54
うん、面白い人のはとことん面白かった。
前半のCFPはともかく、後半のトークは玉石混合だった。
なんか長いだけで要領を得ず司会からストップかけられた人もいたね。
前半のCFPはともかく、後半のトークは玉石混合だった。
なんか長いだけで要領を得ず司会からストップかけられた人もいたね。
876 :132人目の素数さん:05/01/30 03:17:00
ナイトセッションのプログラムは掲載されてないのか。
さらなる詳細きぼんぬ。
さらなる詳細きぼんぬ。
877 :132人目の素数さん:05/01/30 18:33:23
初めて書き込みます。
Rabin暗号において素因数分解が難しいと仮定して
1.既知文書攻撃で選択的偽造に対して安全
2.選択文書攻撃により完全解読される
この2つを証明しようと考えてみたのですが、よく解りませんでした。
お暇でしたら手ほどきお願いします。
Rabin暗号において素因数分解が難しいと仮定して
1.既知文書攻撃で選択的偽造に対して安全
2.選択文書攻撃により完全解読される
この2つを証明しようと考えてみたのですが、よく解りませんでした。
お暇でしたら手ほどきお願いします。
878 :132人目の素数さん:05/01/30 18:41:18
この分野って、まったくの素人が独学で勉強して立ち上げたってほんと?
市民運動かなにかの人
市民運動かなにかの人
879 :132人目の素数さん:05/01/30 18:48:26
PGP を開発したフィル島ー満あたりの話と混乱してるに一票。
880 :132人目の素数さん:05/01/30 20:03:15
日本ではじめたのってだれ。
881 :132人目の素数さん:05/01/30 20:05:36
いないはず
882 :132人目の素数さん:05/01/30 20:26:58
時間T(k)で,確率L(k)以上で C から M を求められる受動的攻撃の
確率的多項式時間アルゴリズム A が存在したと仮定する.
x をランダムに選び,y ← x^2 (mod N)を計算し,(y, N) を A に入力すれば
確率 L(k) で w^2=y (mod N)である w が出力される.w ≠ x である確率は 1/2.
この手続きを B(k) 回繰り返せば,確率 L(k) * [1-(1/2)^{B(k)}] で
条件を満たす w が求められる.このとき GCD(x-w,N)は N の素因数 p または q となる.
つまり時間T(k)*B(k),確率L(k)*(1-(1/2)^{B(k)})以上で
k bitの数の素因数分解を行うアルゴリズムが構成できることになる.
よって,k bitの素因数分解を時間G(k),確率ε(k)以上で行う確率的多項式時間
アルゴリズムが存在しないのであれば、Rabin暗号を確率ε(k)/[1-(1/2)^{B(k)}]以上
時間G(k)/B(k)で破る受動攻撃は存在しないことになる.
攻撃者がもし復号オラクルを使えるなら,それを用いて上の手続きを行えば
秘密鍵が手に入る,てことで選択暗号文攻撃の存在は明らか.
確率的多項式時間アルゴリズム A が存在したと仮定する.
x をランダムに選び,y ← x^2 (mod N)を計算し,(y, N) を A に入力すれば
確率 L(k) で w^2=y (mod N)である w が出力される.w ≠ x である確率は 1/2.
この手続きを B(k) 回繰り返せば,確率 L(k) * [1-(1/2)^{B(k)}] で
条件を満たす w が求められる.このとき GCD(x-w,N)は N の素因数 p または q となる.
つまり時間T(k)*B(k),確率L(k)*(1-(1/2)^{B(k)})以上で
k bitの数の素因数分解を行うアルゴリズムが構成できることになる.
よって,k bitの素因数分解を時間G(k),確率ε(k)以上で行う確率的多項式時間
アルゴリズムが存在しないのであれば、Rabin暗号を確率ε(k)/[1-(1/2)^{B(k)}]以上
時間G(k)/B(k)で破る受動攻撃は存在しないことになる.
攻撃者がもし復号オラクルを使えるなら,それを用いて上の手続きを行えば
秘密鍵が手に入る,てことで選択暗号文攻撃の存在は明らか.
883 :132人目の素数さん:05/01/30 20:33:29
レスありがとうございました。
参考にさせていただきます。
参考にさせていただきます。
ナイトセショーンのひとつ.発表者とblog作成者は一緒かどうかはわからん
ttp://www.doblog.com/weblog/myblog/6435/779796#779796
ttp://www.doblog.com/weblog/myblog/6435/779796#779796
885 :132人目の素数さん:05/01/30 23:26:11
>>883
あ,ごめん.w≠xとなる確率が1/2じゃなくて,w≠±xとなる確率が1/2でした.
評価式は,岡本,山本「現代暗号」,産業図書,1997.の116ページを
見ながら(論文読まずに勝手に)考えたから,間違ってるかもしれません.
試行を一回だけやって,素因数分解に成功する確率をε*(1/2)としてもいいのかなー?
あ,ごめん.w≠xとなる確率が1/2じゃなくて,w≠±xとなる確率が1/2でした.
評価式は,岡本,山本「現代暗号」,産業図書,1997.の116ページを
見ながら(論文読まずに勝手に)考えたから,間違ってるかもしれません.
試行を一回だけやって,素因数分解に成功する確率をε*(1/2)としてもいいのかなー?
886 :FM東京:05/01/30 23:55:32
>>862 863
ISEC
http://www.ieice.org/ken/program/index.php?tgid=ISEC&lang=jpn
京大3/17--18か。多分いかないけど。。。
二日目午後は、僕とか、白シャツさんとかは、セッション聞いていて
ロビーにいたのは別人だよ。
それだけ、この板の話題してる人が多いということ。
ISEC
http://www.ieice.org/ken/program/index.php?tgid=ISEC&lang=jpn
京大3/17--18か。多分いかないけど。。。
二日目午後は、僕とか、白シャツさんとかは、セッション聞いていて
ロビーにいたのは別人だよ。
それだけ、この板の話題してる人が多いということ。
887 :132人目の素数さん:05/01/31 00:00:06
故釜賀先生とか。
888 :132人目の素数さん:05/01/31 00:09:12
いきなりPSP1台じゃんけんプレゼントが実行されたのはすごかったな。
ナイトセッションが最も盛り上がった瞬間じゃなかろうか。
来年はなにが出てくるだろうか。
ナイトセッションが最も盛り上がった瞬間じゃなかろうか。
来年はなにが出てくるだろうか。
889 :132人目の素数さん:05/01/31 00:51:26
SCIS効果でスレの伸びがはやいですね
来年は印刷機が出てくるという噂があった。
>>884
発表者ですが、同一人物ですがなにか?
一応、かのblog書いたのは1ヶ月ほど前の話だったので、
「椿姫」の話とかは実は直前に考えたネタだったり。
一個前の発表(個人情報のやつ)で会場が沸いてたので、
とにかくクールダウンしないかどうかヒヤヒヤですた。
来年も出そうと思ってまつが...
発表者ですが、同一人物ですがなにか?
一応、かのblog書いたのは1ヶ月ほど前の話だったので、
「椿姫」の話とかは実は直前に考えたネタだったり。
一個前の発表(個人情報のやつ)で会場が沸いてたので、
とにかくクールダウンしないかどうかヒヤヒヤですた。
来年も出そうと思ってまつが...
892 :132人目の素数さん:05/01/31 22:16:41
893 :132人目の素数さん:05/01/31 22:30:50
なんか人がたくさん集まってるみたいだから、2ch内の関連リンクの再掲
数学板
P=NP問題について真面目に語るスレ
http://science3.2ch.net/test/read.cgi/math/1058932949/
理論計算機科学スレ
http://science3.2ch.net/test/read.cgi/math/1102118040/
理系板
【論理】情報理工学総合スレッド【アンチ?】
http://science3.2ch.net/test/read.cgi/rikei/1065961472/
通信技術板(名無しで書くとホスト名がでる)
暗号技術は変わるのか?
http://pc5.2ch.net/test/read.cgi/network/981732339/
数学板
P=NP問題について真面目に語るスレ
http://science3.2ch.net/test/read.cgi/math/1058932949/
理論計算機科学スレ
http://science3.2ch.net/test/read.cgi/math/1102118040/
理系板
【論理】情報理工学総合スレッド【アンチ?】
http://science3.2ch.net/test/read.cgi/rikei/1065961472/
通信技術板(名無しで書くとホスト名がでる)
暗号技術は変わるのか?
http://pc5.2ch.net/test/read.cgi/network/981732339/
894 :132人目の素数さん:05/01/31 22:32:53
セキュリティ板
RSA暗号 解読 助けてください!!
http://pc5.2ch.net/test/read.cgi/sec/1026903337/
科学ニュース+板
【暗号】暗号アルゴリズムに重大な欠陥発見の報告相次ぐ
http://news18.2ch.net/test/read.cgi/scienceplus/1092876922/
RSA暗号 解読 助けてください!!
http://pc5.2ch.net/test/read.cgi/sec/1026903337/
科学ニュース+板
【暗号】暗号アルゴリズムに重大な欠陥発見の報告相次ぐ
http://news18.2ch.net/test/read.cgi/scienceplus/1092876922/
895 :132人目の素数さん:05/01/31 22:37:19
896 :132人目の素数さん:05/02/01 03:01:33
スレの伸びがはやいね。
ナイトセッションだけで、講演のほうはあまり語られないね。
ナイトセッションだけで、講演のほうはあまり語られないね。
897 :132人目の素数さん:05/02/01 08:47:56
2chですから
>>895
来年はSCE&東大主催で東京近辺だといううわさが>SCIS
まあ、今回の舞子も、実は鴨川(千葉)とか淡路島とかの候補もあった訳で、
実際には3月ISECあたりの会議で承認されるまでは不明。
講演の話といえば、
「今年はサイドチャネル攻撃が多いねぇ。」
という話をしてました。私もサイドチャネルで発表していたので、人のことは言えませんが
:-)
面白そうだった、というよりインパクト的な話ですが、
徳島大学の人が発表してたWEPの話が印象的でした。
っていうか、それくらいしか聞いてなかったり(をい)
来年はSCE&東大主催で東京近辺だといううわさが>SCIS
まあ、今回の舞子も、実は鴨川(千葉)とか淡路島とかの候補もあった訳で、
実際には3月ISECあたりの会議で承認されるまでは不明。
講演の話といえば、
「今年はサイドチャネル攻撃が多いねぇ。」
という話をしてました。私もサイドチャネルで発表していたので、人のことは言えませんが
:-)
面白そうだった、というよりインパクト的な話ですが、
徳島大学の人が発表してたWEPの話が印象的でした。
っていうか、それくらいしか聞いてなかったり(をい)
899 :132人目の素数さん:05/02/02 18:09:04
900 :132人目の素数さん:05/02/04 22:13:35
WEPの話聞き逃したorz
901 :132人目の素数さん:05/02/04 22:25:50
富士通さんおつかれさまでした。来年は東大とソニーだし東日本の開催じゃないの。
WEPってどの話?
WEPってどの話?
902 :132人目の素数さん:05/02/05 00:29:13
灯大の人がした鍵更新のタイミングの話じゃないの?->WEP
徳島大でWEPの公演した人いないっぽいんだけど・・・
徳島大でWEPの公演した人いないっぽいんだけど・・・
903 :132人目の素数さん:05/02/05 00:50:30
どれのことだろう。。。。
それにしても予稿集が4冊もあるって信じ難い。
内容見ながら探すのも一苦労だよ。
もって帰ってくるのも重たかったよ。OTL
それにしても予稿集が4冊もあるって信じ難い。
内容見ながら探すのも一苦労だよ。
もって帰ってくるのも重たかったよ。OTL
904 :132人目の素数さん:05/02/05 00:53:34
新幹線の車内にIPAの袋がイパーイ
905 :132人目の素数さん:05/02/05 01:06:52
来年は予稿集6冊かな
906 :132人目の素数さん:05/02/05 02:19:37
WEPの話って
4D2共通鍵セッションの一番最後のやつじゃないですかぁ?
4D2共通鍵セッションの一番最後のやつじゃないですかぁ?
907 :132人目の素数さん:05/02/05 09:31:21
908 :132人目の素数さん:05/02/05 14:24:48
会場では予稿集つかってたよ。ドライブもってってなかったし。
909 :132人目の素数さん:05/02/05 14:30:23
あ、これか。4D2の最後の「Most IVs of FMS Attack-Resistant WEP....」
発表者が徳島大学だ。
最終日の最終セッションの最終発表か。
聞いた人だいぶ少なかっただろうな。かくいう自分もうわなにをするやめあsdffhjk
発表者が徳島大学だ。
最終日の最終セッションの最終発表か。
聞いた人だいぶ少なかっただろうな。かくいう自分もうわなにをするやめあsdffhjk
910 :132人目の素数さん:05/02/05 19:08:25
911 :132人目の素数さん:05/02/06 01:30:14
最終日早めに帰って観光してたゴメンナサイ。
912 :132人目の素数さん:05/02/06 12:07:13
帰りに、山陽電車の舞子公園駅にも一つ捨てられてました。
CD-ROMだけ入ってなかった(w
IPAからは袋の提供だけだったんだよね。
広告料=袋の代金
になってる。
最初は運営の片方のF社っていう話もあったみたいだけど、
それでも、それ以上のお金は出してくれそうになかったらしい。
ちなみに、赤字の原因は
一昨年並みの料金に設定したが、予想よりも多くの投稿者があったので、
予稿集の印刷代が膨れ上がった
って感じです。来年は仙台の時なみの値段になりそうな予感。
WEPの話はナイトセッションでも触れられていたので、
もうちょっと知ってる人がいるかなと思ってたんですが。
ISEC(京大)でもうちょっと進んだ話やるそうなのでそっちで聞くのもありかと。
CD-ROMだけ入ってなかった(w
IPAからは袋の提供だけだったんだよね。
広告料=袋の代金
になってる。
最初は運営の片方のF社っていう話もあったみたいだけど、
それでも、それ以上のお金は出してくれそうになかったらしい。
ちなみに、赤字の原因は
一昨年並みの料金に設定したが、予想よりも多くの投稿者があったので、
予稿集の印刷代が膨れ上がった
って感じです。来年は仙台の時なみの値段になりそうな予感。
WEPの話はナイトセッションでも触れられていたので、
もうちょっと知ってる人がいるかなと思ってたんですが。
ISEC(京大)でもうちょっと進んだ話やるそうなのでそっちで聞くのもありかと。
913 :132人目の素数さん:05/02/06 13:39:51
投稿者の数により代金を変更するというのは
色々と問題があるのだろうか
色々と問題があるのだろうか
914 :132人目の素数さん:05/02/06 13:48:32
MS Windows Media PlayerのDRM(暗号化)2
http://pc5.2ch.net/test/read.cgi/avi/1107556060/
これってどうなんですか?
○DRMの解除はできるのか?
○DRMされたwmvフアイル→AVI・mpegファイルなどに変換方法など
なんか簡単に解読できるそうなんですが・・・
鍵に対する攻撃が功を奏したわけですよね。
http://pc5.2ch.net/test/read.cgi/avi/1107556060/
これってどうなんですか?
○DRMの解除はできるのか?
○DRMされたwmvフアイル→AVI・mpegファイルなどに変換方法など
なんか簡単に解読できるそうなんですが・・・
鍵に対する攻撃が功を奏したわけですよね。
915 :132人目の素数さん:05/02/07 00:11:32
916 :132人目の素数さん:05/02/07 00:25:23
IPAがイパーイ
917 :132人目の素数さん:05/02/07 00:52:07
CRYPTO 2005 の締切まで一週間ですよ。
このスレの住人で投稿するヤシっている?
このスレの住人で投稿するヤシっている?
918 :132人目の素数さん:05/02/07 02:22:41
>>913
申し込みしておいて原稿落とす香具師いるし・・・
申し込みしておいて原稿落とす香具師いるし・・・
裏方の皆さん本当にお疲れ様でした
920 :132人目の素数さん:05/02/08 00:47:45
>>918
裏方さんですヵ。
裏方さんですヵ。
921 :132人目の素数さん:05/02/09 09:51:25
落とした本人だったりして(w
922 :132人目の素数さん:05/02/10 23:40:57
>917
規模が違いすぎるがISECが締め切り10日前かよ・・・やべぇ
規模が違いすぎるがISECが締め切り10日前かよ・・・やべぇ
ISECって22日じゃなかったっけ?
っていうか、まだ手をつけてないです。本格的にやう゛ぁい
っていうか、まだ手をつけてないです。本格的にやう゛ぁい
924 :132人目の素数さん:05/02/13 02:19:18
CSEC(阪大)も同じ頃に〆切り。
925 :132人目の素数さん:05/02/16 18:20:58
ttp://www.schneier.com/blog/archives/2005/02/sha1_broken.html
February 15, 2005
SHA-1 Broken
SHA-1 has been broken. Not a reduced-round version.
Not a simplified version. The real thing.
The research team of Xiaoyun Wang, Yiqun Lisa Yin, and Hongbo Yu (mostly from Shandong University in China)
have been quietly circulating a paper announcing their results:
* collisions in the the full SHA-1 in 2**69 hash operations,
much less than the brute-force attack of 2**80 operations based on the hash length.
* collisions in SHA-0 in 2**39 operations.
* collisions in 58-round SHA-1 in 2**33 operations.
This attack builds on previous attacks on SHA-0 and SHA-1,
and is a major, major cryptanalytic result.
It pretty much puts a bullet into SHA-1 as a hash function for digital signatures
(although it doesn't affect applications such as HMAC where collisions aren't important).
The paper isn't generally available yet.
At this point I can't tell if the attack is real,
but the paper looks good and this is a reputable research team.
More details when I have them.
February 15, 2005
SHA-1 Broken
SHA-1 has been broken. Not a reduced-round version.
Not a simplified version. The real thing.
The research team of Xiaoyun Wang, Yiqun Lisa Yin, and Hongbo Yu (mostly from Shandong University in China)
have been quietly circulating a paper announcing their results:
* collisions in the the full SHA-1 in 2**69 hash operations,
much less than the brute-force attack of 2**80 operations based on the hash length.
* collisions in SHA-0 in 2**39 operations.
* collisions in 58-round SHA-1 in 2**33 operations.
This attack builds on previous attacks on SHA-0 and SHA-1,
and is a major, major cryptanalytic result.
It pretty much puts a bullet into SHA-1 as a hash function for digital signatures
(although it doesn't affect applications such as HMAC where collisions aren't important).
The paper isn't generally available yet.
At this point I can't tell if the attack is real,
but the paper looks good and this is a reputable research team.
More details when I have them.
926 :132人目の素数さん:05/02/16 19:44:56
Eurocrypt 2005の採録論文リストがアップロードされてるな
ttp://www.brics.dk/eurocrypt05/acceptedpapers.html
ttp://www.brics.dk/eurocrypt05/acceptedpapers.html
927 :132人目の素数さん:05/02/16 20:25:57
Eurocrypt 2005 にもハッシュコリジョンの話出てるね。
前回のCryptoのランプセッションの話だろうか。
Collisions of SHA-0 and Reduced SHA-1
Eli Biham and Rafi Chen and Antoine Joux and Patrick Carribault and William Jalby and Christophe Lemuet
(Technion and DGA and Bull and UVSQ)
前回のCryptoのランプセッションの話だろうか。
Collisions of SHA-0 and Reduced SHA-1
Eli Biham and Rafi Chen and Antoine Joux and Patrick Carribault and William Jalby and Christophe Lemuet
(Technion and DGA and Bull and UVSQ)
928 :132人目の素数さん:05/02/19 07:40:02
age
929 :132人目の素数さん:05/02/20 01:00:42
930 :132人目の素数さん:05/02/20 02:27:11
tbsで暗号の映画やってるぞ
931 :132人目の素数さん:05/02/21 01:39:56
sha-256とかじゃないの
932 :132人目の素数さん:05/02/21 19:23:09
Reduced SHA-1だから,Full round SHA-1はまだまだ健在.
933 :132人目の素数さん:05/02/21 20:04:04
え?FULLの方だって聞いたよ。要確認ね。
あっしはSHA256に乗り換えよう。周囲にもそう言おう。
934 :132人目の素数さん:05/02/22 08:53:16
>>929
MD5が終わってるなんて何年も前からアングラ界では言われていたが
MD5が終わってるなんて何年も前からアングラ界では言われていたが
935 :132人目の素数さん:05/02/22 10:14:07
アングラどころか表の世界でもとっくに既出
936 :132人目の素数さん:05/02/22 23:14:50
Brokenという言葉は誤解を生みやすいよな。
バースデー攻撃よりも若干効率的な衝突の発見法が見つかれば、
暗号理論的にはBrokenなんだが、実際にSHA-1の実装された
システムがそれで破れる訳じゃないからね。
だから、SHA-1使ってる人が、今すぐ何かせにゃならんという
訳ではないと思う。これからシステム作る人は、
まあ避けた方がいいんだろうけどね。
バースデー攻撃よりも若干効率的な衝突の発見法が見つかれば、
暗号理論的にはBrokenなんだが、実際にSHA-1の実装された
システムがそれで破れる訳じゃないからね。
だから、SHA-1使ってる人が、今すぐ何かせにゃならんという
訳ではないと思う。これからシステム作る人は、
まあ避けた方がいいんだろうけどね。
937 :132人目の素数さん:05/02/23 00:11:50
バースデー攻撃によるコリジョン生成と
任意のハッシュ値のコリジョン生成とでは
今回のSHA-160の場合
ビット数にしてどれくらいの難易度の差があるのでしょうか?
任意のハッシュ値のコリジョン生成とでは
今回のSHA-160の場合
ビット数にしてどれくらいの難易度の差があるのでしょうか?
938 :132人目の素数さん:05/02/23 03:42:28
939 :132人目の素数さん:05/02/23 15:09:35
ナパームDES
940 :132人目の素数さん:05/02/23 18:48:42
941 :132人目の素数さん:05/02/24 14:54:25
素数p,qでn=pqとしてnは100桁で
2次ふるい法使ったらだいたい今はどのぐらいの
時間で分解できますかね
2次ふるい法使ったらだいたい今はどのぐらいの
時間で分解できますかね
942 :132人目の素数さん:05/02/24 16:29:29
まず、素数p, 素数pの原始根要素であるg1,g2を用意する。
そして(p-1)と互いに素である乱数xを用意する。
そんでもって、
Y≡g1^x(mod p)
Z≡g2^x(mod p)
としたときに
Y, Z, g1, g2, pを渡されて
Y, Zとg1, g2の関係を見破ることは困難ですか?
pについてはこれがpだと教えてもらえる。
g1, g2についても、こっちがg1でこっちがg2と教えてもらえる。
Y, Zももらえるが、どっちがYでどっちがZなのかは教えてもらえない。
乱数xは全く教えてもらえない。
こんな条件なんですが・・・
そして(p-1)と互いに素である乱数xを用意する。
そんでもって、
Y≡g1^x(mod p)
Z≡g2^x(mod p)
としたときに
Y, Z, g1, g2, pを渡されて
Y, Zとg1, g2の関係を見破ることは困難ですか?
pについてはこれがpだと教えてもらえる。
g1, g2についても、こっちがg1でこっちがg2と教えてもらえる。
Y, Zももらえるが、どっちがYでどっちがZなのかは教えてもらえない。
乱数xは全く教えてもらえない。
こんな条件なんですが・・・
943 :132人目の素数さん:05/02/24 22:23:44
うおー、なんかぐぐってたら暗号の良スレ発見。
今は132人目の素数さんにもどってしまった白シャツ氏が惜しい。
来年度から暗号専攻の一学生でした。
今は132人目の素数さんにもどってしまった白シャツ氏が惜しい。
来年度から暗号専攻の一学生でした。
944 :132人目の素数さん:05/02/25 08:03:33
age
945 :132人目の素数さん:05/03/01 15:01:35
ISEC!
946 :132人目の素数さん:05/03/02 12:39:23
947 :132人目の素数さん:05/03/02 20:06:54
>>941
http://www.asahi-net.or.jp/~KC2H-MSM/mathland/matha1/bench1.htm
ここ見ると(hh:mm:ss:ss は dd:hh:mm:ss の間違いとして)、
Pentium III 650MHz のPCで1年くらいじゃないかな
http://www.asahi-net.or.jp/~KC2H-MSM/mathland/matha1/bench1.htm
ここ見ると(hh:mm:ss:ss は dd:hh:mm:ss の間違いとして)、
Pentium III 650MHz のPCで1年くらいじゃないかな
948 :132人目の素数さん:05/03/03 03:32:02
NTTが幹事なんだね。
949 :暗号初心者:05/03/03 21:09:34
いま修士1年で、来年NTTの研究部門に就職したいと思っています。
暗号の知識は全くといっていい程ありません。
どういったことを勉強すれば良いのですか?
オススメの本がございましたら、是非ともご教授下さい。
今後のために、コテハンで行かせてもらいます。
暗号の知識は全くといっていい程ありません。
どういったことを勉強すれば良いのですか?
オススメの本がございましたら、是非ともご教授下さい。
今後のために、コテハンで行かせてもらいます。
みなさまのご助言に従い、今年1年勉強して行くことに決めました。
どうか暖かいご支援、お願いします。
どうか暖かいご支援、お願いします。
951 :132人目の素数さん:05/03/03 23:36:28
4分18秒の間に何が・・・
952 :132人目の素数さん:05/03/03 23:41:08
1行目は
みなさまのご助言に従いながら今年1年勉強して行くことに決めました。
という意味か。
みなさまのご助言に従いながら今年1年勉強して行くことに決めました。
という意味か。
953 :132人目の素数さん:05/03/04 00:12:04
ていうか釣りか?
実は僕も修士一年で暗号研究職に興味があるのですが、
この分野、研究所の方々が欲しがっているのは
数学科(専攻)出の学生なのでしょうか。
便乗質問でごめんなさい。
この分野、研究所の方々が欲しがっているのは
数学科(専攻)出の学生なのでしょうか。
便乗質問でごめんなさい。
>>949の文章を読み直していたら、気分が乗ってきました。
>>952
その通りです。舌足らずな日本語ですみませんでした。
>>953
かなり真面目に考えています。
>>954
そうですか。お互い頑張りましょうね。
それと、>>949の学年は誤解の招き易い言い方をしてしまいました。
四月から新修士1年という意味です。
このスレには暗号解読の話がほとんど出て来ないのですが、それはマイナーな分野だからということですか?
私の予定は、まず楕円暗号を勉強し、それから解読の研究を行おうと思っているのですが、もっと他の道の方がいいですか?
とりあえず最終目標は来年の就職活動で研究職をゲットすることです。よろしくお願いします。
>>952
その通りです。舌足らずな日本語ですみませんでした。
>>953
かなり真面目に考えています。
>>954
そうですか。お互い頑張りましょうね。
それと、>>949の学年は誤解の招き易い言い方をしてしまいました。
四月から新修士1年という意味です。
このスレには暗号解読の話がほとんど出て来ないのですが、それはマイナーな分野だからということですか?
私の予定は、まず楕円暗号を勉強し、それから解読の研究を行おうと思っているのですが、もっと他の道の方がいいですか?
とりあえず最終目標は来年の就職活動で研究職をゲットすることです。よろしくお願いします。
956 :132人目の素数さん:05/03/04 10:59:17
957 :132人目の素数さん:05/03/04 19:23:15
> このスレには暗号解読の話がほとんど出て来ないのですが、それはマイナーな分野だからということですか?
暗号解読は、暗号アルゴリズムの評価をする際には絶対必要なことだから、マイナーということはない。
このスレでどうかは関係ないだろ。
それから、楕円暗号じゃなくて楕円【曲線】暗号な。
暗号解読は、暗号アルゴリズムの評価をする際には絶対必要なことだから、マイナーということはない。
このスレでどうかは関係ないだろ。
それから、楕円暗号じゃなくて楕円【曲線】暗号な。
>>956
僕の進学する大学院にはそのような講座がありません。
院試が終わってしばらくしてから漠然と暗号関連に興味を持ち始めたので、後悔しています。
専門は一応、整数論ということになっています。
まあ、地方国立大学なので、進んだことは全然知りません。
お互い頑張りましょうね。そちらの方が環境は良さそうですが。。。
>>957
そうなんですか。無知ですみません。
ただいろいろな報告集を眺めている限り、解読ネタはあまり見当たらなく、
新しいプロトコルについての話題が圧倒的多数だったので、解読系の研究は
どちらかと言えばマイナーなのかな、と思った次第です。
僕の進学する大学院にはそのような講座がありません。
院試が終わってしばらくしてから漠然と暗号関連に興味を持ち始めたので、後悔しています。
専門は一応、整数論ということになっています。
まあ、地方国立大学なので、進んだことは全然知りません。
お互い頑張りましょうね。そちらの方が環境は良さそうですが。。。
>>957
そうなんですか。無知ですみません。
ただいろいろな報告集を眺めている限り、解読ネタはあまり見当たらなく、
新しいプロトコルについての話題が圧倒的多数だったので、解読系の研究は
どちらかと言えばマイナーなのかな、と思った次第です。
959 :132人目の素数さん:05/03/05 00:16:53
私も大学院に入ってから暗号の勉強を始めました。
4月でM2になります。
ストリーム暗号の勉強してます。
暗号業界狭いからこれだけで身元がばれる!?
4月でM2になります。
ストリーム暗号の勉強してます。
暗号業界狭いからこれだけで身元がばれる!?
960 :132人目の素数さん:05/03/05 00:25:52
候補者7名から5名にまで縛りますた。
961 :暗号初心者:05/03/06 01:18:37
あんまり人がいないみたいですね。残念です。
962 :132人目の素数さん:05/03/06 20:43:52
もともと業界人口が多くないからね。
963 :132人目の素数さん:05/03/06 21:12:37
そうなんですか。最近、暗号関係の本が専門書も一般向けも多く見かけるので
急成長した広い業界と思ってました。
急成長した広い業界と思ってました。
964 :132人目の素数さん:05/03/06 23:10:33
少なくとも一般向けの解説書を読んでるのは業界関係者ではないと思う。
専門書は元々いっぱい出てるけど、書店には並ばないよ。
専門書は元々いっぱい出てるけど、書店には並ばないよ。
965 :132人目の素数さん:05/03/07 01:16:00
暗号の研究はこれから先細りだよ。
企業はどんどん撤退してるし、大学で今
暗号理論やってる人も、先が無いと思ってる。
暗号にこだわらずに、情報セキュリティ全般に幅を広げれば
まだまだやることはたくさんあるけど。
企業はどんどん撤退してるし、大学で今
暗号理論やってる人も、先が無いと思ってる。
暗号にこだわらずに、情報セキュリティ全般に幅を広げれば
まだまだやることはたくさんあるけど。
966 :132人目の素数さん:05/03/07 03:03:25
>>965
そりゃ言い過ぎ。「どんどん撤退」ってどこのことだ?
まあ、一社一暗号なんていう時代じゃないんで、
「新しいアルゴリズム作りました」なんてのは
あんまり受けなくなってきてるは確かだけど、
学会参加者数は毎年記録更新だし、裾野は
広がってきてるよ。
そりゃ言い過ぎ。「どんどん撤退」ってどこのことだ?
まあ、一社一暗号なんていう時代じゃないんで、
「新しいアルゴリズム作りました」なんてのは
あんまり受けなくなってきてるは確かだけど、
学会参加者数は毎年記録更新だし、裾野は
広がってきてるよ。
967 :132人目の素数さん:05/03/07 08:03:49
暗号アルゴリズムはRijndael、Camelliaなどいくつかに落ち着いてきたんだろうけど、
気になるのは、世の中で意外に利用が広がってないように感じること。わしは素人だから、
知らん領域多くて、お前の知らんところで利用が広がってるんじゃ、って事かも知れんし、
それならそれでありがたいことなんだけど、例えばブラウザの暗号アルゴリズム設定を
見ると、RC4、3DES、RC2だったりして、アレレ?Rijndaelは?Camelliaは?って驚く。
RC2なんてダメだって聞いてるんだけど。細かいこと言えばRC4も弱いと聞いてる。
暗号関係者には、【啓蒙活動】や【普及】でもっと活躍して欲しい。
素人からのお願いでした。
968 :KingMathematician ◆5lHaaEJjC. :05/03/07 09:02:17
暗号は専門外だ。
969 :BlackLightOfStar ◆ifsBJ/KedU :05/03/07 16:00:02
Re:>968 お前誰だよ?
970 :132人目の素数さん:05/03/07 16:39:58
Re:>969 必死だなw
971 :132人目の素数さん:05/03/07 16:50:15
何気に活気付いてますね
972 :BlackLightOfStar ◆ifsBJ/KedU :05/03/07 17:08:17
Re:>970 お前に何が分かるというのか?
973 :132人目の素数さん:05/03/07 17:25:51
まともに進行してるスレは荒らさないって程度の分別はある奴と思ってたが・・・。
974 :KingMathematician ◆5lHaaEJjC. :05/03/07 19:03:30
Re:>972 ”必死だな”と分かったんだ。
975 :BlackLightOfStar ◆ifsBJ/KedU :05/03/07 19:11:35
Re:>974 それでお前誰だよ?
976 :132人目の素数さん:05/03/07 21:07:22
次スレの季節となりました。
テンプレの草案です。
タイトル:暗号数学について語ろう。標数2
必要な基礎教養・教科書・就職・将来性等。
何でも語ってくだしゃれ。
前スレ
暗号数学について語ろう
http://science3.2ch.net/test/read.cgi/math/1088146349/
テンプレの草案です。
タイトル:暗号数学について語ろう。標数2
必要な基礎教養・教科書・就職・将来性等。
何でも語ってくだしゃれ。
前スレ
暗号数学について語ろう
http://science3.2ch.net/test/read.cgi/math/1088146349/
977 :132人目の素数さん:05/03/07 21:39:47
標数2じゃなくて2重鍵キボン
978 :132人目の素数さん:05/03/07 22:02:09
標数2というのもちと偏ってるが、なかなか中立的なのはないねえ。
2ビット目とか、2ラウンド目とかいうのも偏ってるし。
2ビット目とか、2ラウンド目とかいうのも偏ってるし。
979 :132人目の素数さん:05/03/07 22:43:18
NTTで暗号やりたいなら博士課程まで行った学生が有利らしいが。
980 :132人目の素数さん:05/03/07 23:04:55
標数だと4スレ目で困るし。
981 :132人目の素数さん:05/03/07 23:17:21
4ヌレまで続くかどうかはわからんが
982 :132人目の素数さん:05/03/07 23:36:38
じゃあ種数ってことで。
それでも4以上は困る?
それでも4以上は困る?
983 :132人目の素数さん:05/03/07 23:58:58
3スレ目は
3DESだろう、やっぱり。
3DESだろう、やっぱり。
984 :132人目の素数さん:05/03/08 00:48:12
いまだに現役、遅いけど堅実、3DES
賛成!
賛成!
985 :132人目の素数さん:05/03/08 01:01:25
◆27Tn7FHaVYは死ね、くたばれ、消えろ、潰れろ、馬鹿、あほ、間抜け、ドジ、 ガラクタ、クズ、最低以下の下劣、下等種族、下衆野郎、 腐れ外道、
邪道、外道、非道、ウジ虫、害虫、ガン細胞、ウィルス、ばい菌、疫病神、 病原体、汚染源、公害、ダイオキシン、有毒物質廃棄物、発ガン物質、猛毒、毒物、
ダニ、ゴキブリ、シラミ、ノミ、毛虫、蠅、蚊、掃き溜め、汚物、 糞、ゲロ、ほら吹き、基地害、デタラメ、穀潰し、ろくでなし、夏厨、ヤクザ者、社会の敵、犯罪者、反乱者、前科者、
インチキ、エロ、痴漢、ゴミ虫、毒虫、便所コオロギ、詐欺師、ペテン師、危険分子、痴呆、白痴、 悪霊、怨霊、死神、貧乏神、奇天烈、変人、
毒ガス、サリン、糞豚、豚野郎、畜生、鬼畜、悪鬼、邪気、邪鬼、クレイジー、 ファッキン、サノバビッチ、小便、便所の落書き、不要物、障害物、
邪魔者、不良品、カビ、腐ったミカン、腐乱、腐臭、落伍者、犯人、ならず者、チンカス、膿、垢、フケ、化膿菌、放射能、放射線、異端者、妄想、邪宗、異教徒、
恥垢、陰毛、ケダモノ、ボッコ、ろくでなし、ヒ素、青酸、監獄、獄門、さらし首、打ち首、戦犯、絞首刑、斬首、乞食、浮浪者、ルンペン、不良品、規格外、欠陥品、不要物、
埃、塵埃、インチキ、居直り、盗人、盗賊、残酷、冷酷、薄情者、クソガキ、ファッキン、有害物質、 発ガン物質、誇大妄想狂、アホンダラ、怠け者無能、無脳、
脳軟化症、思考停止、人格障害、極道息子、見栄っ張り、不良、イカレ、狼藉者、放蕩息子、道楽息子、迷惑、厄介者、異端者、タリバン、オサマ・ビン・ラディン、テロリスト 、
チェチェン、嘘つき、不正、叩き上げ、ケチ、裏切り者、ムネヲ、抵抗勢力、悪性新生物、原爆を落とした奴、アルカイダ、宮崎勤、吉岡(旧姓:宅間)守、朝鮮将校、乞食、
知覚的障害者、邪教祖、DQN、覚せい剤、エイズウイルス、SARS、テロリスト、荒らし部隊、アーレフ(旧:オウム真理教)、精神年齢3歳、3審は必要なし、
金正日、宇田川慶一、奥田碩、おおさか人、上新庄、あう使い、放射性廃棄物、割れたコップ、血歯死者、廣嶋死者、パナウェーブ研究所、
白血病の原因、ハイブリッドカーの排気ガス、IQ10!
そして、この板に書き込む権利も価値もないクズ
邪道、外道、非道、ウジ虫、害虫、ガン細胞、ウィルス、ばい菌、疫病神、 病原体、汚染源、公害、ダイオキシン、有毒物質廃棄物、発ガン物質、猛毒、毒物、
ダニ、ゴキブリ、シラミ、ノミ、毛虫、蠅、蚊、掃き溜め、汚物、 糞、ゲロ、ほら吹き、基地害、デタラメ、穀潰し、ろくでなし、夏厨、ヤクザ者、社会の敵、犯罪者、反乱者、前科者、
インチキ、エロ、痴漢、ゴミ虫、毒虫、便所コオロギ、詐欺師、ペテン師、危険分子、痴呆、白痴、 悪霊、怨霊、死神、貧乏神、奇天烈、変人、
毒ガス、サリン、糞豚、豚野郎、畜生、鬼畜、悪鬼、邪気、邪鬼、クレイジー、 ファッキン、サノバビッチ、小便、便所の落書き、不要物、障害物、
邪魔者、不良品、カビ、腐ったミカン、腐乱、腐臭、落伍者、犯人、ならず者、チンカス、膿、垢、フケ、化膿菌、放射能、放射線、異端者、妄想、邪宗、異教徒、
恥垢、陰毛、ケダモノ、ボッコ、ろくでなし、ヒ素、青酸、監獄、獄門、さらし首、打ち首、戦犯、絞首刑、斬首、乞食、浮浪者、ルンペン、不良品、規格外、欠陥品、不要物、
埃、塵埃、インチキ、居直り、盗人、盗賊、残酷、冷酷、薄情者、クソガキ、ファッキン、有害物質、 発ガン物質、誇大妄想狂、アホンダラ、怠け者無能、無脳、
脳軟化症、思考停止、人格障害、極道息子、見栄っ張り、不良、イカレ、狼藉者、放蕩息子、道楽息子、迷惑、厄介者、異端者、タリバン、オサマ・ビン・ラディン、テロリスト 、
チェチェン、嘘つき、不正、叩き上げ、ケチ、裏切り者、ムネヲ、抵抗勢力、悪性新生物、原爆を落とした奴、アルカイダ、宮崎勤、吉岡(旧姓:宅間)守、朝鮮将校、乞食、
知覚的障害者、邪教祖、DQN、覚せい剤、エイズウイルス、SARS、テロリスト、荒らし部隊、アーレフ(旧:オウム真理教)、精神年齢3歳、3審は必要なし、
金正日、宇田川慶一、奥田碩、おおさか人、上新庄、あう使い、放射性廃棄物、割れたコップ、血歯死者、廣嶋死者、パナウェーブ研究所、
白血病の原因、ハイブリッドカーの排気ガス、IQ10!
そして、この板に書き込む権利も価値もないクズ
986 :132人目の素数さん:05/03/08 01:54:08
987 :132人目の素数さん:05/03/08 02:18:48
じゃあ2スレ目はdouble DESかい。
一応、特殊な用途ならばありえるのだけど。
いや、スレタイに使うにゃマイナーすぎるなあ。
一応、特殊な用途ならばありえるのだけど。
いや、スレタイに使うにゃマイナーすぎるなあ。
988 :132人目の素数さん:05/03/08 04:45:34
12
989 :132人目の素数さん:05/03/08 09:36:49
990 :132人目の素数さん:05/03/08 15:39:00
RC2
3DES
blue force
毎回同じ系統じゃなくて
違ってもいいじゃん
3DES
blue force
毎回同じ系統じゃなくて
違ってもいいじゃん
991 :132人目の素数さん:05/03/08 15:42:28
RC2専用のスレと思われんかな
992 :132人目の素数さん:05/03/08 15:44:53
無難なところで
ROUND 2
はどうだい?
ROUND 2
はどうだい?
993 :132人目の素数さん:05/03/08 15:52:40
二百五十六日。
994 :132人目の素数さん:05/03/08 15:58:11
どうすんだ。もう。誰か好きなやつで立てちゃえよ
995 :132人目の素数さん:05/03/08 16:00:19
ROUND 2でいってみます。
996 :132人目の素数さん:05/03/08 16:02:23
997 :132人目の素数さん:05/03/08 18:20:46
埋めときますね。
998 :132人目の素数さん:05/03/08 18:21:33
うめといえば
999ゲット
1000 :132人目の素数さん:05/03/08 18:22:53
梅どぶろくはどうなった?
1001 :1001:
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
もう書けないので、新しいスレッドを立ててくださいです。。。