暗号数学について語ろう。ROUND 2

必要な基礎教養・教科書・就職・将来性等。
何でも語ってくだしゃれ。

前スレ
暗号数学について語ろう
http://science3.2ch.net/test/read.cgi/math/1088146349/

乙一

>>1
乙です。
皆さんはどのような参考書を利用されましたか？
是非教えてください。私は暗号関係の知識が全くないので
今は『図解雑学　暗号理論　伊藤正史＝著』を読んでいるところです。

まいとう本は参考書ではない。
タイトルにあるとおり素人さん向き雑学の読み物。

不思議の国のアリス
暗号技術大全

これくらいが良書でお薦めだな。

暗号技術のことではないけど
暗号界の生い立ちみたいなのが書いてあるのが
暗号化-プライバシーを救った反逆者たち
だな。
暗号化も読んだほうがいいかもね。

暗号技術大全は翻訳品質よくないと思うので、
Applied Cryptographyを読んだほうがいいかも。
少なくとも、暗号技術大全を読むとき、横においておくべき。

個人的には
岡本 栄司,"暗号理論入門",共立出版,2002
あたりが、情報系大学生が暗号を勉強するのにいい感じだと思う。
漏れは、古い人なので、
池野 信一他,"現代暗号理論",電子情報通信学会,1986
で勉強したが、さすがにいくらなんでも古すぎ。
2000~2002くらいにブロック暗号業界はドラスティックに動いたので、
できればそれが反映された本がいいんだけどねぇ。

梅どぶろくは生きてますよ〜

今はポーカープロトコルを使って
麻雀をできるようにしようとプログラムを組んでおります。

すみませんが教えてください。
ポーカープロトコルやマルチパーティープロトコルについて
詳しく書いてある論文や書籍はどんなものがありますか？

DESはﾀﾞﾒと言われてますが3-DESはまだまだ現役のようですね。
では、AESも3-AESにしたら鉄壁に堅くなるのでしょうか？
あと、AESで暗号化後にCamelliaでまた暗号化したら超堅いでしょうか？
(実装はきちんとしてて、ﾊﾟｽﾜｰﾄﾞもきちんとしたものを利用するとします。)
ﾄﾞ素人らしいﾊﾞｶ質問だと思いますが、素朴な疑問というやつです。お願いします。

7>>
以前、ポーカープロトコルをまねて、麻雀プロトコルを作ったことがあります。
結論としては、二人以上の結託を防ぐのは困難って話になった様な気がします。

なによりも、問題なのはちゃんとゲームとしてOKなプロトコルを作ったところで、
別の通信路で結託されると、まずいんですよ。
麻雀のルールそのものの問題なので、どうしようもないんじゃなかったかなぁ。と。

3-DESは通常のDESの三倍遅いです。
(工夫すればちょっとだけ早くなるけど)
3-DESの強度はそれなりですが、もともと遅いDESの3倍遅いので、
かなり遅いです。
所詮、AESができるまでのつなぎ規格です。

AESを3-AESにすれば、おそらく強度は増すと推測されます。
ただ、現状AES単独で強度は充分とされており、3-AESで達成できる強度は
オーバースペックといえるでしょう。
また、3-AESは通常のAESより3倍遅いわけで、3倍遅くなるデメリットと
強度が増すことによるメリットを比較すれば単独で利用するでしょう。
単独の強度だけ考えても全く意味はないわけです。

2種類の暗号を使う話はまた別問題として話があります。
中間一致攻撃という手法を使えば、攻撃の手間はそんなに増えないので、
期待したほどの強度はないことになります。

また、2種類の暗号を使った場合、一般に強度は強度が低いほうの暗号に引っ張られるとされています。
どちらが弱いかはわかりませんが:-)　超堅くはならないと思われ。


あと、堅い-堅くない(やわらかい)　ではなく、 強い-弱いを使うことが多いかな。

>>3
岡本龍明，山本博資「現代暗号」産業図書

プログラム技術
■暗号技術【ROUND2】■
http://pc5.2ch.net/test/read.cgi/tech/1088530204/
セキュリティ
ＲＳＡ暗号　解読　助けてください！！
http://pc5.2ch.net/test/read.cgi/sec/1026903337/
暗号アルゴリズムに重大な欠陥発見の報告相次ぐ
http://pc5.2ch.net/test/read.cgi/sec/1092804347/
科学ニュース+
【暗号】暗号アルゴリズムに重大な欠陥発見の報告相次ぐ
http://news18.2ch.net/test/read.cgi/scienceplus/1092876922/
通信技術（名無しで書くとホスト名出ます）
暗号技術は変わるのか？
http://pc5.2ch.net/test/read.cgi/network/981732339/
数学
P=NP問題について真面目に語るスレ
http://science3.2ch.net/test/read.cgi/math/1058932949/
理論計算機科学スレ
http://science3.2ch.net/test/read.cgi/math/1102118040/

DTV
MS Windows Media PlayerのDRM（暗号化）2
http://pc5.2ch.net/test/read.cgi/avi/1107556060/

>>9
別の通信路で結託というのは
「通し」のことですよね。

別の通信路での通信を妨げることは不可能ですので
通し対策はしません。

ただ、P2P技術を応用すればサーバー等がいらなくなるので
結構自由に利用できるようになると思っています。

支社対抗〜〜大会とか。
会社対抗戦とかを開いてもらえるのではないかと思っています。

図解雑学　暗号理論　伊藤正史＝著
↑
こんなの読んでるようじゃダメだな（藁）

実際のRSA暗号の２つの素数の作り方って
次々に乱数を発生させて、その乱数がフェルマーの小定理の組み合わせで
確率的に十分であればそれを選択する。
ということで良いでしょうか？

(p-1)/2が素数かも一応調べといてな。

素数判定はミラー・ラビン判定が主流。
ぐぐってみな。

あ、レスが増えてる。嬉しいです。

>>5
>>6さんも言っていますが、アマゾンのレビューによればあまりいい日本語訳ではないようですね。
いろいろな日本語の本を読んである程度の学術用語を身につけてから原著に当たってみようと思います。

>>15
僕のような初心者にはいい本だと思います。今日はDESのところを読みました。
排他的論理和が意外なところで役に立っているのですね。

とりあえず>>6さんか>>11さんが薦めてくださった本を見比べて、
直感で気に入った方を読んでみます。
読み終わったらまた来ますんで、よろしくお願いします。

>>10
ご教示ありがとうございました。
その後、"triple AES"をGoogle等で検索してみました。やっぱり既にやってるひといるん
ですね。
無意味に強く(?)、顕著に遅い、ということは理解しましたが、出てきた事例を読んでて、
ついニコニコしてしまいました。

暗号についてはプロになろうとは思わないし、そもそもなれないでしょうが、参考文献を
手にとってみようと思います。

こんなののことか?

http://www.remotedatabackups.com/security/encryption.htm

これは3DESを言い間違えてるだけだよ。図にDESって書いてあるだろ。
鍵長も128bitだと言ってるし。

Since AES with a single key is not sufficiently secure for secure applications,
it can be made more secure by encrypting multiple times with different keys simultaneously.

って、完全にDESの間違いだな。

そもそもAESは元々長い鍵長を選択できるつくりだから、
仮に強度を更に上げたいとしても、3DESみたいにする必要はないのさ。

>>18

>>18が何をしたいのかによるけど、
暗号を1から学びたいなら、
スティンソンの「暗号理論の基礎」がよいよ。
読みやすいし、丁寧に書かれてる。
出版されたのが他の本より新しいだけあって、
書き方が洗練されてるし、進んだ話題についてふれてる。
暗号だけじゃなく署名、ゼロ知識、秘密分散など幅広く扱われてるし。
8000円近くするけど、値段分の価値はある。
強くお薦め。

>>21
まあ新しい方なんだけど、翻訳がちょっとね。

>>21
今日いろいろと書店で見比べてみました。
ぱっと見は「暗号理論の基礎」が一番印象が良かったです。
即買いしました。三、四月をかけて読んでみます。
目標は夏休みまでに最先端の論文が読めるようになることです。
僕の進学する大学院には暗号系の先生がいないようなので、
それまで気長にアドバイスをして下さい。お願いします。

中古自動車のデジタル式表示の距離計は暗号を利用していて改竄不可能なはずなのに改竄されて
高値で販売されてたって話を見ました。その記事にはメーカーの担当者のコメント
「いたちごっこです。」てなもんが出てたんですが、まあいたちごっこにしても、
本格的な暗号を採用すればそうそう簡単には追いつかれないはずですよね？
実装に問題があったと考えるべきなんでしょうか？
それとも実は表沙汰になってないけど解読法が発見されてるんでしょうか？
これだけでは何ともコメントしようがないと思いますが、賑やかしとして。

流石にメーターに何百ビットもの鍵を使って暗号化を施しているわけではなかろう。

http://tmp4.2ch.net/test/read.cgi/tubo/1106724297/421

マクドナルドは最低！地元に出来たので始めて逝ったのだが

店に入っても、「いらっしぃませ！」の一言もない!!!!!空いてるテーブル
に座って、30分も待ったんだが、オーダーを聞きに来ない!!!しまいには
マネジャーとか言う店員が「お客様、ご注文はなさらないんですか？」

（ﾟдﾟ）ﾊｧ?　おめぇーーーが、俺様にオーダー聞きにこねぇーんだろ！

速攻で帰りました。　気分悪い！ﾌﾟﾝｽｶﾌﾟﾝｽｶ

>>26
解決いたしました。。。

>>24
そういう「暗号」は、ホントは暗号じゃないんだけどね。
シークレットコードとか、スクランブルとかいうのも一緒。
そういうのと、「暗号学的な暗号」が一緒くたにされない
ようにしないとね。

>>29
暗号数学をやってるとスクランブルの理論も理解しやすいということはあるでしょうか？

集合(F,+,*)が体であるとは、以下の条件を満たすことである。
+,*はF上の二項演算とする。
任意のa∈F,b∈Fに対して、a+b=b+a,a*b=b*a.
任意のa∈F,b∈F,c∈Fに対して、(a+b)+c=a+(b+c),(a*b)*c=a*(b*c).
ある0∈Fが存在して、任意のa∈Fに対して、a+0=0+a=a.
ある1∈Fが存在して、任意のa∈Fに対して、a*1=1*a=a.
任意のa∈Fに対して、あるb∈Fが存在して、a+b=b+a=0.(0は上記の性質を満たすものである。)
任意のa∈F-{0}に対して、あるb∈F-{0}が存在して、a*b=b*a=1.(1は上記の性質を満たすものである。)
任意のa∈F,b∈F,c∈Fに対して、a*(b+c)=(a*b)+(a*c),(a+b)*c=(a*c)+(b*c).
集合(F,+,*)が体であるとは、以下の条件を満たすことである。
+,*はF上の二項演算とする。
任意のa∈F,b∈Fに対して、a+b=b+a,a*b=b*a.
任意のa∈F,b∈F,c∈Fに対して、(a+b)+c=a+(b+c),(a*b)*c=a*(b*c).
ある0∈Fが存在して、任意のa∈Fに対して、a+0=0+a=a.
ある1∈Fが存在して、任意のa∈Fに対して、a*1=1*a=a.
任意のa∈Fに対して、あるb∈Fが存在して、a+b=b+a=0.(0は上記の性質を満たすものである。)
任意のa∈F-{0}に対して、あるb∈F-{0}が存在して、a*b=b*a=1.(1は上記の性質を満たすものである。)
任意のa∈F,b∈F,c∈Fに対して、a*(b+c)=(a*b)+(a*c),(a+b)*c=(a*c)+(b*c).
集合(F,+,*)が体であるとは、以下の条件を満たすことである。
+,*はF上の二項演算とする。
任意のa∈F,b∈Fに対して、a+b=b+a,a*b=b*a.
任意のa∈F,b∈F,c∈Fに対して、(a+b)+c=a+(b+c),(a*b)*c=a*(b*c).
ある0∈Fが存在して、任意のa∈Fに対して、a+0=0+a=a.
ある1∈Fが存在して、任意のa∈Fに対して、a*1=1*a=a.
任意のa∈Fに対して、あるb∈Fが存在して、a+b=b+a=0.(0は上記の性質を満たすものである。)
任意のa∈F-{0}に対して、あるb∈F-{0}が存在して、a*b=b*a=1.(1は上記の性質を満たすものである。)
任意のa∈F,b∈F,c∈Fに対して、a*(b+c)=(a*b)+(a*c),(a+b)*c=(a*c)+(b*c).

俺の大学生活で最も印象に残ってるエピソードを語ろう。
某日の夜、俺はネットで購入した「ダッチワイフ」と初めて交わった。
あまりの気持ち良さに連続射精で体力の限界に達してしまい
逝くと同時に挿入したままワイフに覆いかぶさった状態で
眠ってしまった。

今朝、いつものように母親が俺を起こしに来た時、間一髪
布団でワイフを隠したんだが、ワイフの長い髪が布団からはみ出し
明らかに２人分の膨らみを帯びた布団を見て、
母親「だ、だ、誰？」
俺「と、友達…」
母親「お父さーん！お父さーん！」
３０秒後、父親に布団をめくりあげられ、素っ裸でワイフを
紹介する事になった…。

母親「何よこの人形！　友達だって言ってたじゃないの！」
俺「だ、だから　友ダッチ・・・」

>>17
pが素数ならば(p-1)/2は素数ではないと
思いますけど。タイプミスですか？

p = 47;
q=(p-1)/2 =(47-1)/2 = (46)/2=23;
???

>>34
すみません。条件が抜けていました。
素数pが十分に大きい時には(p-1)/2は素数ではない、です。

p=
d35f10566abf3d77319d7c6a47e780fe25b210189d9b36a6cdfee01aca78ed7d
56fcfcbd47115682282f7de7e796182b0b9ee914f2a8b338ed1ea1c7dc778598
2ce1ed8a2506a6eb91052c08834ad3b3dca4e7cf2bbcb2e6a2855d3c568191f4
0a6813358c516ea5c2790c8ccecaea225d2a4c396c24b8803b10c92a6e005033
q=(p-1)/2=
69af882b355f9ebb98cebe3523f3c07f12d9080c4ecd9b5366ff700d653c76be
ab7e7e5ea388ab411417bef3f3cb0c1585cf748a7954599c768f50e3ee3bc2cc
1670f6c512835375c882960441a569d9ee5273e795de59735142ae9e2b40c8fa
0534099ac628b752e13c8646676575112e95261cb6125c401d88649537002819
p=
c0a063b851e014f3fa9bd424a10ad682fdc5794675405bd99f5700c99cac03cd
5add17fc412efce0395d77bd555f88e20c37e1a08e6b90dff6593ffbaeb85b59
b9afaa9aaa081df61db3a64b01f8b77447c7e0273f2ecf028140892a766298cb
39db50eb4e80aca5cad1dc869aed28edc82af60ce536150650ff1667264d68fb
q=(p-1)/2=
605031dc28f00a79fd4dea1250856b417ee2bca33aa02deccfab8064ce5601e6
ad6e8bfe20977e701caebbdeaaafc471061bf0d04735c86ffb2c9ffdd75c2dac
dcd7d54d55040efb0ed9d32580fc5bba23e3f0139f97678140a044953b314c65
9ceda875a7405652e568ee434d769476e4157b06729b0a83287f8b339326b47d
p=
ccef0255da901488ce3b3fa9bb663f0ba2c57af36d44c65293aa30ca0d6eaa39
2cde5375361259f3c776acf86fc5c37c2dc63d809d5a0c53c284bb16b5279312
82e18f1d69c371a82259b613dfe81aebc1843728c1b4d82fdc58ba686f0a4e83
b3e6482530d5e395eb00ef708dd431f09388b79b6a0593a8e9cc4541ded5c333
q=(p-1)/2=
6677812aed480a44671d9fd4ddb31f85d162bd79b6a2632949d5186506b7551c
966f29ba9b092cf9e3bb567c37e2e1be16e31ec04ead0629e1425d8b5a93c989
4170c78eb4e1b8d4112cdb09eff40d75e0c21b9460da6c17ee2c5d3437852741
d9f32412986af1caf58077b846ea18f849c45bcdb502c9d474e622a0ef6ae199

？？？

>>35
そろそろ揚げ足をとるのは止めてください・・。
Riemann予想を仮定すると、ある正の数Cが存在して、
すべての素数p(>C)に対し、(p-1)/2は素数にならない。
私の言いたかったことはそういうことです。

アンカーは>>36の間違いです。

mと2m+1がともに素数となるものをソフィー・ジェルマン素数という。
無数に存在するかどうかは未解決問題のはず。

>>39
よく読んでください。
Riemann予想を仮定しています。

>>37
揚げ足も糞も、いい加減な発言を繰り返してるのはあなた。

>>33>>35の時点でおかしい。暗号に使う大きさの数の話をしているのに
十分大きいpを持ち出して「タイプミスですか」と来たもんだ。話にならない。

あと、リーマン予想は肯定的に解決されるとは思われるが未解決には
違いないので、>>39は何も間違っていない。

せっかく雰囲気のいいスレなんだから、駄々こねて荒らすなよ。

√４５４５１９１９＝６７４１.・・・

>>34>>39
勉強になりました。

そもそもRiemann予想⇒Sophie German素数は有限個という話自体聞いたことが無いが？
どの論文にそんな話が出てきたんだ？

本屋で暗号関係を眺めていると「櫻井幸一」の名がやたらと目につくのだが
この人って研究集会ではほんと見ないよね、新しい結果を出しているようでも
なさそうだし、でも九大の教授になれたんだよね、どういうこと？

究極の暗号　電文は意味なし、送る時刻で解読。

なんの釣りだろう・・・

46のことね

>>47
ステガノグラフィっぽいね

>>47
やり方（アルゴリズム）がばれたら終了〜って感じだけど。

実は>>1-50の書き込み時間に暗号が

ニートを減らすためには、女性の性の解放を食い止めるしかない。
性の開放が進むから、男性たちは、仕事ではないく、ナンパにいそしむようになった。
出世してモテるのが、本来あるべき姿です。
にもかかわらず、最近の女性は、ナンパにかんたんい引っかかる。
中村俊介のような美男子ならば、簡単に股を開く。
腹が立つ。
女性の性の解放を食い止めない限り、
今後もニートは増えてくる。
女性の性の自由化が、労働意欲を消滅させた。
成功して女にモテたい、という気持ちを失わせた。
成功しなくても、女とセックスできる時代になったことが、
ニートを生んだ最大の要因なのです。

Re:>52 女達は女性が弱い社会が作られようとしても果たして平気なのだろうか？女性に力を与えてもろくなことにならないみたいなんだけど。女性はもう少し頭を鍛えるべきだ。

最強の暗号文２　電文いみなし　そう画数が暗号

最凶の暗号文　平文をそのまま伝送　解読なし

よく使われる暗号　本心と逆のことを書く

Re:>56 何の暗号だよ？

あす攻撃するー＞あすは攻撃しない
今日はやめとくー＞きょうやる
かわいいよー＞そんなことはない
今日は忙しいー＞わけないだろ

本屋で暗号関係を眺めていると「櫻井幸一」の名がやたらと目につくのだが
この人って研究集会ではほんと見ないよね、新しい結果を出しているようでも
なさそうだし、でも九大の教授になれたんだよね、どういうこと？

日本軍暗号隊長？

暗号に書いても、衛星で電子信号は探知されてるから、書き込む前に
読まれてるよ。。。

切り込み隊長は、誰デスカ？？？

>>59
海外で活躍してたとか？存在すら知られていない機関で極秘扱の研究で凄いとか？
何だろう。

ＩＢＭ，クレイ？ＦＢＩ，ＣＩＡ？ＤＯＤ？

第1人者なら防衛庁の暗号部に所属がある？ばればれじゃないの？

でも変換機にロジアナ仕掛けられたらいっぱつだからね。ROMサイズの
ロジアナとか出てるんじゃない？

やっぱお勧めは>>11と、
http://www.amazon.co.jp/exec/obidos/ASIN/4431708642/

著者、訳者とも超有名だし。
数学専攻の人はせめてこれくらい読んで欲しい。

>>67
それと
http://www.amazon.co.jp/exec/obidos/ASIN/4431710256/249-2050765-2832369
どっち買おうか検討中なんですが、こっちはどうなんでしょう？

>>68
英語版を持ってるけど、これもいい本だよねえ。
ゴールドライヒよりも、この本の方がお勧めだと思う。

>>67は実は概論っぽくて、自分で他の教科書とか論文を
調べないと理解できないと思う。
完全版は
http://www.amazon.co.jp/exec/obidos/ASIN/0521791723/
http://www.amazon.co.jp/exec/obidos/ASIN/0521830842/
で、こっちは読めばわかるようになってるけど、量が膨大。
著者のホームページに行くと、古いバージョンが転がってる
からチェックしてみるといいかも。

急にスレのレベルが下がってきたな・・・

あれっ、零時以降に書き込みがあったのか
失礼しました>>67-69

>>69
情報�dクス
>>68の買ってみます

桜井幸一の名前がついたペーパーなら
SCISやらなんやらでぱらぱらみかけるけどね。
http://itslab.csce.kyushu-u.ac.jp/~sakurai/theory-j.html
にはLNCSやら査読付論文がはいってるけど。


IEICEの総合大会にも名前はありました。

究極の認証システム　透かし彫り認証システム

個人的な感想だが，Goldreichのテキストは相当計算量理論に
重点を置いているので，暗号理論一般を勉強したい人向けではないな．

本当にコアな計算論的暗号理論やる人は一度通読すれば相当な力が
つくのは間違いない．

応用数論のおまけに暗号数学が乗ってるよ

アーベル賞 ： 津川光太郎 ＝ Ｐｅｔｅｒ Ｄ． Ｌａｘ
http://science3.2ch.net/test/read.cgi/math/1111320908/

こないだうちのコンビニにヤクザが来たんだよ。
レジ打ちするとき、会計が８９３円でおもいっきし笑っちった。
そのヤクザはメチャクチャ俺のこと睨みながら１００３円出したんだけど、
そしたらお釣りが１１０円でさらに爆笑

究極の暗号　イースター島の古代文字で会話

究極の暗号　古代マヤ文明の文字で会話

『風の谷のナウシカ』に出てくる文字というか言語はまだ解読されてないらしい

本屋で暗号関係を眺めていると「○○」の名がやたらと目につくのだが
新しい結果を出しているようでも
なさそうだし、でも○大の教授になれたんだよね、どういうこと？

それぞれのボスに置き換えて考えてみよう！！

Moreno[Algebraic curves over finite fields]を大学院のセミナーで使うぞ。
Goppa codes and modular curves が５章の内容で、なんか面白そう

暗号文って1字欠けると修復できないところが、、、

そんなことない。誤り訂正できるように現代の暗号は作られてる

>>85
代表的な暗号方式(RSA、ElGamal)にはそんな機能無い。
まぁ、暗号化した後誤り訂正符号で符号化する事で、
そういう機能追加できるけど。

>>84
ストリーム暗号の場合は、一字欠けても、他の文字に影響しない。
平文を乱数列とxorしているだけだから。

ちょいミスった。
乱数列→疑似乱数列

378bq
n6q3
nq346qm4
q45qqn
q36n9ssne
q34se331.
wn/asd09[
aq49a2

RSA暗号の２つの素数をミラー・ラビンテストで乱数から判定した後、鍵ペアを作成する訳だが、
ここで指定する公開鍵値はどのような値を推奨するのかよく分からん。
素数(p, q)として(p-1, q-1）の最小公倍数と素である値だから偶数は除くとして
フェルマー数などの素数を指定しない場合、どんなメリットが考えられる？
たとえば某オープンソース（OpenSSHなんだけどね）は公開鍵値に素数でない値35を指定しているが
何を意図しているものなんだろう？。

公開鍵は素数じゃないよ。n=pqだから、その例ではp=5、q=7
ということなんだろ。その数字は、考え方を説明するための
サンプルとして使われてるんだと思うぞ。

昔から、RSA暗号の話をすると、フェルマー数とかメルセンヌ数
が云々って香具師が沸いて出てくるんだが、全然関係ない話
なんだけどね。

うーん　サンプルではないんだけど。
ちなみにそのオープンソースが使っている別のオープンソースは
RSA公開鍵値にフェルマー数（F4）を使ってる。

>89の言う公開鍵値はRSA暗号での公開鍵のeのことでしょ

nはp, qの積だからほっといて
eは0が多いほうが暗号化・署名の検証が速いのさ。

e1=(1000000000000000000000000000000001)2
e2=(0111111111111111111111111111111111)2

としたときにe2乗するよりもe1乗したほうが速いでしょ

eはLCD(p-1, q-1)と素になりやすくビット値0が多い数が推奨されてる。
んで、e=0x10001とかが多いわけ。

その辺はopensslのソースがわかりやすい

Fn = 2^(2^n) + 1 の形は高速bit演算に都合が良いということね。　なるほど。
それで公開鍵eが35であった場合、bit値1が多いからフェルマー数と比較して遅く、
しかもこの場合 LCD（p-1, q-1)と素にならない確率が高いから、素数（p, q)を作成するところからやり直す必要があるのですね。
従って、e=35はとても推奨するRSA公開鍵ではないと理解しました。

いや、35=0x23=(00100011)2　だと
乗剰余が7回で少ないでしょ。
いくらフェルマー数だからっつっても
0x10001だと33回乗剰余しなくちゃいけないわけで
署名の検証・暗号化が高速なのは35のほうが高速。

でもいくら高速だっていっても35だと
>LCD（p-1, q-1)と素にならない確率が高いから、
>素数（p, q)を作成するところからやり直す
こういう短所があるから35はお勧めできない。

さらに、M^e(M>1)が法nより小さいと暗号化の意味を成さないから
eとして小さすぎる値はお勧めできない。

暗号を破るのはかんたん、贈ったやつをしめたらいい

暗号をかく乱するウイルス作ったらＤＯＤに消されるよ。

>>95

>さらに、M^e(M>1)が法nより小さいと暗号化の意味を成さないから
>eとして小さすぎる値はお勧めできない。

昔はe=3なんてのもあったんだよね。今は使われないけど。
平文が小さすぎるとかそういうのは、OAEPとかを使ってカバーするのが一般的だけど。

きのうエルガマル暗号の原理について一応理解したけど、
この暗号系では電子署名ってできないんですか?

送信者側の公開カギを（α’、β’）秘密カギをｌ’（β’＝α’＾ｌ’）
受信者側の公開カギを（α、β）秘密カギをｌ（β＝α＾ｌ）、
送信すべき平文をｍとすると、署名なしで
送信したいなら（ｍβ＾ｒ、α＾ｒ）を送信するんですけど、
送信者がその前に電子署名を入れる場合はｍをどうすればいいのやら。。。。。。

うえのｒは、適当に乱数を発生させて用います。

離散対数問題の難しさを用いたデジタル署名方式としてはエルガマル方式は基本的である。
これを改良したものをDSA（米国デジタル署名標準）という。

http://itpro.nikkeibp.co.jp/free/ITPro/Security/20050401/158327/
　SHA-1が攻撃に敗れ去ってしまった。ラウンド数を減らしたバージョンや
アルゴリズムを単純化させた簡易バージョンではない。
“本物”のSHA-1が破られたのだ。

本場の人の意見聞きたいです。

エルガマル署名はエルガマル暗号とは微妙に手法が違う（基本は一緒だが)
暗号理論入門とかに乗ってるので是非読むべし。

RSA暗号の鍵長bitって法nが表現できる最小bitのこと？
もし、1024bit鍵長ということで128byteの平文データを暗号化した場合 n=pqだから数値によっては
法nを超えて暗号化不可ということにならないですか。
それとも暗号化時には上位桁部にパディングが入るから（128 - 11 byte）だから問題にならないということですか。

あなたの言葉で言えば
法nを超えないと暗号にならないよん。

別に自分の言葉にそれほどこだわってないので、
正しい言葉で言ってみて下さい。

C≡M^e(mod n)とする。

C' = M^e(nを法としていない点に注意)としたときに
C' < nだとnを法としても
C'≡C
でただ単にある数をべき乗しただけ。
log(M)C=eをMについてとけば良いだけの話になってしまう。

C' > nとなったときに初めて
log(M)C=eをMについて解くことが困難となる。

後は誰か詳しい人負かしました。

>>104が何を質問しているのかよくわからないけど、もし
「1024bitのRSA暗号方式では、1024bitより大きい平文データを
どうやって暗号化するの？」
て聞いているんだとしたら、回答は
「平文を長さ1024bitの複数のブロックに分割して、それぞれのブロックを暗号化する」
です。

＞上位桁部にパディング
をする場合は、暗号化できる平文の長さが1024bitから
( 1024 - パディング長さ )bitに短くなってしまうので、むしろ
大丈夫ではなくなるような

分かりずらい質問ですいません。
OpenSSLのソースを見ていてそのあたりがわからなかったんで質問してみた訳なんですが、
1024bit鍵長では素数p,gの有効bitがそれぞれ最大512bitで作成されているようですね。
p,gはもともと乱数なんで、 たとえば平文1024bitが全て1であったら、（つまり全て0xff）だったら
かなりの確率で失敗すると思えました。（法nよりたぶん大きいので）
それでその後どうするべきかとの疑問でしたが、
調べてみたら、単に（平文＋パディング）サイズを見て法nを超えたら入力エラーなんですね。
このあたりはなんとか自力で分かりそうです。　ありがとうございました。

＞後は誰か詳しい人負かしました。
なんの勝負？

×負かしました。
○任しました。
だと思うよ。

>>108
その方法は非効率的。
1024ビットよりも長いメッセージを暗号化したい場合は、
公開鍵暗号(RSA)と共通鍵暗号を組み合わせて行う。
公開鍵暗号方式で乱数を暗号化し、
その乱数を鍵だと思って平文を
(任意ビット暗号化可能な)共通鍵暗号方式で暗号化する。

>>109
そもそも、SSLの公開鍵暗号で「何を送るか?」
ってことを考えれば、1024bitもデータは送らないことがわかるはず。

>>111
単純にハイブリッドな暗号方式を作るのなら、これが正解。
RSA暗号についての単純な理論上の話なら、108も間違いではない。
実装サイズとかいろいろ考える要素はあるけどね。

鍵長（法n）が1024bitであれば暗号文サイズは、平文サイズにかかわらず、
おおむね1024bit。（mod n なので）
RSA署名データも鍵長1024bitではサイズ1024bitでは？

(´･∀･｀)ﾍｰ

>>111
> その方法は非効率的。
> (任意ビット暗号化可能な)共通鍵暗号方式で暗号化する。

俺上の人じゃないけど、自分でつくったRSAの暗号化の
スループットは0.1mbit/秒だった。共通鍵方式(AES)だと
30mbit/秒でたから111のいうことはもっともだと思う。

公開鍵暗号方式により通信相手と共通の値（マスターシークレット）を作成し、
ここから、共通鍵暗号の鍵とIV、MACシークレットを作成するというハイブリッド方式は、
かなり当たり前というか、SSL通信の仕様です。

>>113
暗号なのに、元に戻らなくてもいいのか…？

>>116

たしかにそうだが、
104がいうような、128byteのみの通信ならば...
ハイブリッドにするか、分割してRSAのどちらが効率的かは、微妙。
速度はハイブリッドの方がおそらく速い(鍵の初期化コストを同評価するかは微妙)
が、実装性からすると、同じ暗号器を2回使って連結するだけの後者の方が容易。

もっとも、そんなニッチな状況はあんまり考えないな。
公開鍵暗号は116が言うように、共通鍵暗号で暗号化するためのデータを送ると言ってもいい。

共通鍵暗号と速度が変わらないような公開鍵暗号が出てきたらどうなるかわかんないよね。
ntruってどうなったんだっけ？

ちょっと離れた分野のスレ
ソフトウェア板
【セキュリティ】暗号化仮想ドライブ作成ソフト
http://pc8.2ch.net/test/read.cgi/software/1081671146/
フリーのファイル暗号化ツール
http://pc8.2ch.net/test/read.cgi/software/1010994083/
ハードウェア板
指紋認証Fingerprint Reader
http://pc8.2ch.net/test/read.cgi/hard/1101524805/
【ThinkPad】セキュリティチップ【NetVista】
http://pc8.2ch.net/test/read.cgi/hard/1057534501/
Webプログラミング板
セキュリティースレッド
http://pc8.2ch.net/test/read.cgi/php/995032597/
画像認証システム
http://pc8.2ch.net/test/read.cgi/php/1093846675/
SSLの使い方
http://pc8.2ch.net/test/read.cgi/php/1016169881/

暗号解読読んだんですが、あまり理解出来ませんでした(T_T)そんな俺は問題外ですかね？

★ICチップ埋込型カード [Suica] 議論スレ★
http://pc8.2ch.net/test/read.cgi/tech/1040697063/

ゼミで代数関数体のほんよんでます（Ｍ1）。最終的に代数曲線暗号
につながるらしいです。これって就職できるんでしょうか?

別に本の中身とか関係ないでしょ．
まあどこに就職するかにも拠るけど．

師匠の政治力が一番重要かも。
業界で有名な先生ならコネもすごいし。

CRYPTRECの委員会に名前を並べているクラスなら、
かなりいいところいけると思うよ。
ただし、師匠に嫌われたり見捨てられたりしなければ　だが。

IBE：Identity Base Encryptionってどういう仕組み？

Identity-Basedだな

記事が間違ってたようだな。　検索しても、ロジックについて説明してるもんがないね。

>>127
原論文
http://eprint.iacr.org/2001/090

age

辻井・岡本「暗号のすべて」電波新聞社
一般向けな装丁と内容の濃さのギャップがすごい

>>117
復号できねー理由とは？

暗号で有名な人は国内だとどこにいますか？東大とか？

東大・横国・NTT・東工大

>>132 >>133
あと
　アカデミック：茨城大（ｼｰﾏｸ）
　コーポレート：三菱（ｻﾌﾞｰﾝ）
アカデミックにIISECが入らねぇところがミソ

>>134
ｻﾌﾞｰﾝってなに？差分？
それをいうなら線形じゃない？

>> 135
すまそ。ｾｹｰﾝ でした

素朴な疑問。
AESのパディングって何をつめてるんですか？？
０パディング？？

全部0をパディングしたら、どこまでが元の平文か分からんでしょ。
いろいろあるけど、例えば0で埋めて最後のオクテットに入れた数を入れる、とか。
FIPS197に書いてあったかどうかは知らない。
調べて分かったら教えて>>137

>>137
0パディングがISO（番号わすれた）に書いてあったはず。
どこまで平文かを確認できる方法はいろいろあるけどPKCS#5とかを参照してね。
ただデメリットがあって平文がブロック長の倍数だと、暗号文が1ブロック分
長くなってしまう。
アプリケーションに応じて（平文の長さ情報が不変かどうか，ヘッダで別途
送られるかどうか）使い分けるべし。

>>139
実際は、ブロック長の倍数よりもちょっと少ないぐらいから１ブロック分長くなるね。
そうか。AESではパディングの方法を決めてないんだな。
ハッシュ関数は全部決まってるから、同じように一つに決まってると思ってた。
よく考えれば暗号化モードだって一つに決まってないんだから当然か。

DH鍵合意を利用したポーカープロトコルって
暗合家さんの間では既出ですか？

age

最初のポーカープロトコル出たのもう20年近く(?)昔だしね…。
DLベースのものが知られてても不思議じゃないし、
提案方式が知られてないものでも、自明あつかいされかねない。
(いいかたキツいかも知れないけど)。

もちろん、従来方式に比べて劇的に効率がよくなるのなら別だけど。

新しい成果を出すには、新しい論文を読まないと。

インターネット上で見つけた論文読もうとしても
ID, password を入力しないといけなかったり、
会費を払う必要があったりで論文を入手できません・・・

すみませんがこの問題が困難か教えてもらえませんでしょうか。

公開情報
素数 p((p-1)/2も素数であるように選ぶ)
素数pの原始根gn n∈{1,2,........52}

秘密情報
乱数x (GCD(x, p-1)=1となるように選ぶ)

問題
ランダムに並べてある
gn^x mod p n∈{1,2,........52}を渡されたときに、
gn^x mod p n∈{1,2,........52}の値から
原始根gn n∈{1,2,........52}を決定できるか否か。

gnの取りかたがマズイ。
位数(p-1)/2の元にすべき。
原始元じゃなく。

gnの位数が(p-1)/2なら、
DDH仮定のもと、識別不能。

>インターネット上で見つけた論文読もうとしても

http://eprint.iacr.org/ や、
http://citeseer.ist.psu.edu/ から探せば無料。

プロトコルの安全性証明で使われてるシミュレータの概念がよくわからないのですが，
何かお勧めの文献あれば教えてください

>>146

暗号プロトコルの安全性証明ってのは大体以下のようになってる。
で、この証明中のBの事をシミュレータと呼ぶ。

定理；
問題Xが困難なとき方式Yの安全である。

証明：
今Yが安全でないと仮定する。
すると仮定によりYの安全性を破る事ができる機械Aが存在する。
Aをサブルーチンとして用いる機械Bで、問題Xを解く事ができるものを作る。

(中略)

よってBは問題Xを解く事ができる。
これは問題Xが困難である事に矛盾。
証明終。

>>146

次に「(中略)」の部分をも少し詳しく。
これを見れば、分かるように、BはUやVの行動をシミュレートしてる分けだ。
だからBをシミュレータと呼ぶ。

(中略の部分の詳細)
Bは次のように動作する。
まずデータ***にそっくりなにせのデータ○○○を作り、
***の代わりに○○○をAに入力する。
するとAは動作を始め、ユーザUにデータ×××を要求する。
Bは×××にそっくりなデータ□□□を作り
×××の代わりに□□□をAに入力する。

するとAは動作を始め、ユーザVにデータ☆☆☆を要求する。
Bは☆にそっくりなデータ★★★を作り
☆☆☆の代わりに★★★をAに入力する。

最終的にAは方式Yを破り、＠＠＠を出力する。
Bは＠＠＠を加工して△△△を作る。
△△△は問題Xの解である。

>するとAは動作を始め、ユーザVにデータ☆☆☆を要求する。

あ、すいません。ここの部分

>するとAは、ユーザVにデータ☆☆☆を要求する。

のミスです。

ﾄｰﾘｶｴﾙｰｰﾅﾗ（・∀・）ｲﾝﾊﾞｰﾀｰ♪

>>147から一連の人
サンクスです。
意味は大体わかりました。普通の証明方法なんですね。
オラクルとどう使い分けるのかとか教えていただければありがたいです。
それと"rewind"も言ってることは分かるけど、どう使うものなのかと。

シミュレータを使って証明をformallyに書き直せといわれてますので
どう書くとformallyなんだかなぁと困ってました。



そういえば、Angel（？）なんて謎の概念も出てきてましたね

>145さん
ありがとうございます。
紹介してくださったサイトは知りませんでした。
ちょっと調べてきます。

>>152
>オラクルとどう使い分けるのかとか教えていただければありがたいです。

オラクル.......暗号プロトコルの安全性定義で出てくる概念。
シミュレート...暗号プロトコルの安全性証明で出てくる概念。

例えば署名方式の安全性の定義では、
攻撃者は「署名オラクル」にアクセスする事が許されている。
攻撃者が署名オラクルに平文Mを投げると、
署名オラクルはMに対する署名文Sを攻撃者に送り返してくれる。
攻撃者が、平文・署名文ペア(M',S')でM'を署名オラクルに送信した事がないものを
出力することに成功すれば、攻撃者の勝ちとする。
攻撃者が勝つ確率がnegligibleなとき、署名方式は安全であるという。

前述のようにシミュレータBは攻撃者Aをサブルーチンとして用いて問題Xを解く。
シミュレータBが攻撃者Aを走らせると、攻撃者Aは署名オラクルにメッセージMを送ってくる。
そこでシミュレータBは署名文Sをなんとかして作り、署名オラクルのふりをして署名文
SをAに送り返す必要がある。

>シミュレータを使って証明をformallyに書き直せといわれてますので
>どう書くとformallyなんだかなぁと困ってました。

1. まず方式の安全性定義を調べ、攻撃者はどのようなオラクルにアクセスする事が
許されているのかを知る。
2. シミュレータを構成する。(>>147-149のように書けばOK)。
2.1 シミュレータが、攻撃者に入力するデータ(普通は公開鍵)にそっくりなものを
どのように作るのかを記述する。
2.2 シミュレータが各オラクルをどのようにシミュレートするのかを全て記述する。
2.3 攻撃者が出力したデータを使って、シミュレータが問題Xを解く方法を記述する。
2.4 シミュレータが問題Xを解く事ができる確率がnon negligibleである事を証明する。

詳しく説明していただきカタジケナイですm(_ _)m

>>147-149と>>154-155をあわせて考えると、
例えば署名方式S_aがあって、S_a安全性が問題P_bに依存しているとすると
S_aを破るものがオラクルA、P_bを解けるものがシミュレータBというように
使えば良いということですね？

ありがとうございました。
なんだかすっきりしましたよ。

>>156
S_aを破る攻撃者が利用できる機能（関数）がオラクル

S_aを適応的選択文書攻撃で破る攻撃者をAとすると
Aは「署名生成オラクル」や「ハッシュ値計算オラクル」を使えることになる。
S_aを既知文書攻撃で破る攻撃者をBとすると、Bは署名生成オラクルを使えない。
AやBは確率的アルゴリズムとして定式化される。

CamelliaのHPがきれいになったね。
いろんな前進があったようで。

http://info.isl.ntt.co.jp/crypt/camellia/index.html

>> 158
でも開発メンバーの所属が変わったことが書かれてないなぁ

ttp://info.isl.ntt.co.jp/crypt/camellia/intro.html
このページの下のほうにある開発者って間違い？

>> 160
今は違う人がいますねぇ

まぁ、落ち着け。
AES（米国政府標準）
SEED（韓国政府標準）
Camellia（国産暗号）
のISOから一つのアルゴリズムを選ばないといけないんだから、
漏れたちが攻撃すべき、守るべきなのは、どれか議論するまでもないだろう。

SEED評価がPDFで読めるようになってるが、かなりぼろ糞。
学生の論文指導みたいな雰囲気で興味深かった。

内容面も論文作法も…。
でも一応SEEDは安全ではあるらしい。

ttp://www.ibaraki.ac.jp/cgi-bin/info_view.cgi?number=1116995440

茨城大学で開発されて米国標準技術局(NIST)に採用されたというCMACとは
具体的にはどういう所が画期的なんでしょう。
HMACと違ってハッシュの代わりに既存のCBCモードのブロック暗号を用いるとしたら、
MACは最終ブロックと連鎖ブロックとのXOR演算結果と秘密鍵の組み合わせということですかね・・
このときIV値は何を指定するのでしょう（秘密鍵？）
詳細知ってる人教えてください。

楕円曲線暗号の就職状況はどうなんでしょう？

金融関係と迷っているんですが…

アクチュアリ採用なら金融いっとけ。
消費者金融ならしらん。

そもそも楕円曲線暗号が売りで就職なんてできるのか？
SEになって楕円曲線高速演算ライブラリを作る、とかなら話は分かる気がするが。

金融に行けばいいじゃん

√(169) = 13

活気付け

今素数判定の研究やってるんだけど
windowsの開発環境で多倍長整数使えるようなライブラリってあったっけ？

>>166
楕円曲線暗号の高速化の研究→斜陽の分野。
(暗号学自身が斜陽って話もあるけど、
中でも楕円曲線暗号の高速化はそろそろネタ切れ)。

最近はペアリングが流行だから、
ペアリング計算の高速化を研究したいって言えば、
数年は重宝される。

数年って短いな…

ペアリングってなんですか？
無知ですいません、純粋数学からのくらがえなので。

>>172
高次元の代数多様体を利用する暗号ってないのですか？
超楕円曲線暗号なんかは耳にしますが。

>>171
ある。それぞれ言語ごとにある。
ただ、個人的にはmpzは使いやすいとは思えない。

>>165
ポジティブに言えば安全性の証明に必要な仮定が他のに比べて弱い。
ネガティブに言えば安全性の責任を、出来る限りブロック暗号アルゴリズムに押し付けた。
IVは固定の値でどこかに書いてあった。

>>176
mpzかぁ、調べてみます。ちなみに開発環境はC++でっす。
Linux環境だとGMPが使えるんだけどなぁ・・・・。

>>174
ヴェイユ・ペアリングやテート・ペアリング。
今までの暗号プリミティブとは異なり双線型性を持つので、
今までのプリミティブでは実現できなかった暗号プロトコルが
実現できる。

>>175
超楕円の計算量 ＞ 楕円の計算量。
かといって超楕円の方が安全って分けじゃない。
だから、超楕円は実用的じゃない。

>>175
理屈の上から言えば、全ての代数多様体上で暗号方式もどきを作ることができる。
しかし、ほとんどのものは多項式時間で暗号計算が終わらないので、
暗号方式として使えない。
楕円、超楕円なんかは多項式時間で暗号計算をできるアルゴリズムが
知られてるけど。
アーベル多様体を使った暗号とかもある。

（･∀･）つ◎ ﾄﾞｰﾅｯﾂ!

>171
Windows上で，GMP, NTL(多倍長整数ライブラリ)を使う。
http://nhiro4.ld.infoseek.co.jp/gmp/

東大と京大 暗号勉強するならどっちがいい？
(就職と学歴からみて)

>>183
ありがとうございます！！

>>184
NTT

>>184
どっちでもいい。まともな論文書け。勉強会も出とけ。

マスターカードのデータセンターでは顧客データの暗号化をやってなかったらしい。
理論だけ進んで、普及の方は全然なのか？
ちなみにOPERA8.01の対応セキュリティプロトコルは凄い。というかやっとAESが
お茶の間に？

>>188
その凄いプロトコルってなに？
TLSのAES対応なだけとか？

他が他なだけにAES入っただけで目立つと。

age

俺今旧帝大暗号設計のＭ1．
Ｄいこうかどうか激しく迷い始めた。
Ｄで代数曲線暗号って就職あるの?

このペアルック，いーべー

>>192
プログラム書けるならあるかも？それか大学に就職するか。

>>179
最近の研究はしらないけど、数年前は胡散くさかったな。

ペアリングを理解するのに必要な知識を習得するだけで人生終わりそうな希ガス

age

>>195
未だに胡散臭い。
でも、ペアリングを使った方式の効率 << 普通の方式の効率
なので、それでも認められつつある。


>>196
ペアリングを使ったプロトコルを作るだけなら、
ペアリングの知識はいらん。
そういうもんがあるって事を認めてやりさえすればOK。

ペアリング計算の効率化をやるんなら、
ちゃんと知ってなくちゃならんけど。

>>198
どういう点が胡散臭いのですか。
ベアリングの数学の詳細を理解するのにどれくらいかかりましたか。
私はまだ因子とかでうろうろしてます。
まとまったいい教科書がないので苦労してます。
因子の話は既に分かっているひとにしか通じないまた詳細を
省いて結果だけ書いていることが多いのでつまづきまくりです。
あんな話を理解できるひとはすごいですね。

>>199

>どの辺が胡散臭い
仮定が胡散臭い。
RSA仮定やDL仮定は見た目がきれいだけど、
ペアリング関係で使う仮定にはSDH仮定にしろLFSW仮定にしろ、
EBDH仮定にしろ見た目が汚い。
しかも論文によって様々な仮定が提案されてるし。

ペアリングの研究している人でペアリングの中身は本当は理解していない
人ているんだろうか。
やっぱり理解していないとなんか気持ち悪い気がしてなんとか理解しよう
としているのだが道は果てしなく長い。

>>201
そう？そんなに難しくないよ
”理解”ってどこまでを指しているのか知らないけど
普通に論文を書くレベルであれば、そんなに難しい
知識はいらないかと
定義（仮定）は定義（仮定）以外のなにものでもないし
それを受け入れることができれば、その後の論理展開は
そんなに難しいことではない

何に苦労してるの？具体的に教えて

>>202 さん
公式で e(aP,bQ)=e(P,Q)^ab の中身がどのように実現されているか知りたいのです。
その前に立ちはだかる壁として

多項式fの点Pにおける位数とか
Weil reciprocityとか
distortion mapとか
D=�芭p<P> が主因子だったらなぜ �芭pP=O になるかとか

nは素数で
nが#E(Fq)を割り切って
nがq-1を割り切らず
nとqが互いに素なら
nがq^k - 1 を割り切るようなkがあって
n^2個の位数nの点を含む拡大体E(Fq^k)のねじれ点集合があるとかです。

どんな教科書で勉強したのでしょうか >>202 さんは？
暗号研究はこのあたりは知らなくてもできそうですが
数学の部分も理解しておきたいと思うのです。

age

応用整数論のテキストにみんな書いてあるよ

>>203
あのね、定義をちゃんと追えばわかるんですよ。

>>205 にテキスト名があげられていますがちゃんと勉強しましょう。
楽して（最短距離で）理解しようとするからダメなのでは？

あなた、典型的なマニュアル世代の人間なのではないでしょうか。
線形代数も○○本とかマニュアルに頼っていたんでしょう。

研究者として生きていくのであれば、、、（残りは省略）
ISECとかSCISとかでいい発表をされることを期待しています。
がんばって。

うわ、高圧的。誰だ?これ。

結局秘密鍵McEliece暗号の強度ってドウなのよ？

良スレ保守

age

究極の情報通信システムをめざして
http://nonfix.sakura.ne.jp/test/read.cgi/scs/
情報通信に関する理論的、技術的議論を目的とする掲示板です

2=1*2

2+1=3

2*1=√4

【最新技術の落とし穴】静脈認証も安心できない? 大根で作った偽造指で認証に成功
http://news18.2ch.net/test/read.cgi/scienceplus/1120495199/
■情報法, サイバー法, ネットワーク法, 法情報学■
http://academy3.2ch.net/test/read.cgi/jurisp/1093283024/
　　　　第二次世界大戦と暗号　　　
http://hobby7.2ch.net/test/read.cgi/army/1105569526/

age

代数幾何の教科書にはgoppa符号についての章がありますが、
これをやれば就職できるんでしょうか。。。。。。。。。。。
当方宮廷M１です。。。。。。。。。。。。。。。。

20枚の硬貨を投げたところ全部表が出た。なぜか？
(普通このような現象は起こらない)

誰か答えを教えてください。
統計の授業でやったので統計とか二項定理使うと思います。

>>218
(1/2)^20
の確率で起こることがたまたま起こっただけか、
投げ方やコインに問題があったのどちらか。

両面表だった。
これでいいんじゃないの

>>219-220
数学の本質を見た。

前提条件がよくわからん。

>>218

そもそも、
> （普通このような現象は起こらない）
ということ自体が偽ではないかと。

例えば日本人全員が一斉にやれば、千人ぐらいは出てくる。
宝くじなんかよりも当たる確率高いんじゃないか？
試行回数が多かった、でいいと思うが。

>>218
思うに出題の意図は仮説検定しろって事じゃない？
表の出る確率が1/2じゃないという仮説を立てて、
それを検定する。

まぁ、もう仮説検定忘れちゃったんで
深く聞かれても分かんないけど。

age

でもさ、それって
２項分布上○○程度まれな出来事は、正規分布上どれくらいまれか、
ってわけわかめなことをやってるに過ぎないって事はないのか？

MSNのパスポートのパスワードって登録するとすぐ忘れて困るよね。
パスワードなしでやってもらいたい。

ホットメイルは1カ月アクセスなしで消滅するのも使えない。

ＭＳＮ自体がエシュロンの工作だから。。。

MSNは、超巨大辞書攻撃用データベースなのか。
なかなか精度良さそうだな。
たいていの人は、どこかと同じパスワードをどこかで使ってるもんだろう。
そうしないと、226みたいなことになる。

さげ

光通信量子暗号(Y-00)への攻撃は真の攻撃か？part II
○広田　修（玉川大）

量子コンピュータ
http://science3.2ch.net/test/read.cgi/sci/1042199835/
↑住人がかぶってそう

>>231
・・・

"Workshop on Quantum Communication Theory and the Related Topics"

本会議は光通信量子暗号Y-00の有効性と発展状況およびこの新量子暗号の背後にある
量子通信理論を集中的に議論することを目的としています。Y-00の基礎に対する
無理解から来る種々のコメントに対する批判が展開されます。また単一光子量子暗号
(BB-84)のセキュリテイホールが紹介されます。

今日、明日、明後日、中央大後楽園で暗号と数学のワークショプ、誰でも入れる、漏れの前の列に座ってるのはｽｸｰﾌ？

漏れの後ろにいたのは、フビライ。

漏れの横にいたのは、轟鶏。

CRYPTO目前あげ

2^3=8

>205
応用整数論のテキストって何？

SoftEtherのVPNの公開キー暗号をクラックするとか。。

そこはハッキングじゃないか？

(2,4) = (2)

クリープト参加者は何かネタ うｐおねがい

SHA-1が63ビットになった件について。

なんで64bitじゃないの？

なぜ80bitじゃないの？と言う質問ならわかるが
64というのは余りにもあほすぎる。
ところで、ランダムオラクルモデルってもうだめなんですか？

【量子】「量子暗号」実用化へ　10万倍の高速化に成功、盗聴防止等へ利用＝NTTなど
http://news18.2ch.net/test/read.cgi/scienceplus/1124442917/

単一光子量子暗号 (BB-84)にセキュリテイホールがあります。

>>246
仮定が非現実的なので実用的ではない。
安全性証明がないよりかはあった方がましなことは直感的に
理解できるけど「だからどうした」といわれるとちょっとつらい。

結局は開発者の自己満足でしかないと思われ。provableな暗号
プリミティブのことをオナニー暗号と称されるようになるまでには
そんなに時間がかからないだろう。

>>244-246
憶測でしかないので間違っていたら申し訳ないが
SHA-1の強度のことではないかと。2^69という数値だけが一人歩き
してたけどナイトセッションか何かでもっと効率的な攻撃法が
公開されたとか？

>>243
ナイトセッションのスピーカー（と思われる）二人は帰国後
すぐに報告すること

帰国後危篤になりましたとさ。
(　´д)ﾌﾌﾟｰｯ

自己フォローです。
　やっぱ 2^63 まで下がったみたいですね。
　シュナイアーのブログとか参考に。

あと、今 Cheju にいる方々も何か報告してください。

なにこの業界臭漂うスレは…
誰が書き込んでるか微妙なヒントくれないかな？

ランダムオラクルモデルは滅びぬ　何度でもよみがえるさ
ランダムオラクルの力こそ人類の夢だからだ！

>>249
ROMがだめでも、provable securityはだめとか言えるの？
オナニーと言えば電力攻撃とか故障利用攻撃とかでしょ

すまそ。ＲＯＭって何の略？

確かにオナニー系って結構あるなぁ。traitor tracing ってオナニー系？

さっき書いてから思ったんだけど、「研究してる」って時点でそのほとんどが
オナニー系になるのかもしれない。特に暗号屋だからというわけではなく、
どんな分野でもそうなる傾向にあるのではないかと。特にアカデミック方面は。

じゃあ、暗号理論の中でもどの分野が（オナニー系ではないという意味で）
メジャーなのか？と問われるとよくわからない。

誰か教えて！というか、コメントください。マジレス歓迎。

>>255
そうでもない。
ICカードの売り上げにも影響があるから。

サイドチャネルで破られるかもしれない、っていうカードと、
そうじゃない安全なカードがあります。
しかも値段は同じくらいです。
って言われたら、顧客は安全な方をほしがる。

>>258
サイドチャンネルに対して安全なんてのが
とんでも系なんじゃないかな。

暗号研究の中で今旬で華やかな分野はどこですかね。
研究室選びで迷っています。

おまえみたいなヤシは、
暗号研究に来なくてよし。

>>260
いま旬で華やかな分野を聞いてどうすんの？

大学院で、確率論専攻。
ふとした事から、特許事務所に入所。
数学専攻だったからと、暗号・数理ファイナンス系の仕事すべて任される。
（所内に、理解できるのは俺だけ）

仕事は、大学・メーカ・研究所から依頼された最新の発明を特許庁に
出願するための書類作り。
その書類の内容は、一言で言えば「整数論・代数学」そのもの。
特許庁の審査官がわかるように、「体」の定義らか書くことがある。
良かったら、特許庁の電子図書館に行って特許公報でも見てみて。
「暗号」で検索するとわんさか出てくるから。

この仕事面白いけど、学会の発表あるから早めに明細書書いてと言われた
日には、徹夜。（後、弁理士資格の勉強も大変）

ソフトイーサで１３Ｍの画像データを送ったら37分もかかった。暗号化は
問題がある。

画像データなんかこまぎれモザイクで送ればいいじゃないか。

ソフトイーサって対称鍵アルゴリズムRC4&MD5でしょ。
専門家で分析した人っていないの？
興味がそもそもないとか？

>>259
なぜ？
あれはあれで閉じた話だと思うよ。

っていうか、サイドチャネルって否定は多いんだな。

サイドチャンネル＝万能

サイドチャンネルは滅びぬ　何度でもよみがえるさ
サイドチャンネルの力こそ人類の夢だからだ！

いま何度目の流行？

Universal Composability の適用は旬ですか？

>>268
ラピュタかよ。
あのセリフ、「何度でもよみがえる」って言ってる時点で一度はかならず滅ぶことを明示してるんだよね

安全性の証明って読んで理解するの難しいですね。
確率論を復習しています。

これかぁ。盛り上がってるやつは。関係者，コメントお願い。
ttp://japan.cnet.com/news/sec/story/0,2000050480,20086898,00.htm

すみません、一応暗号初心者です。
ある暗号アルゴリズム？の安全性をＣＣＡで評価したいのですが
具体的にＣＣＡでの評価とはどういうことをやればいいのでしょうか？

>>269
どうなんでしょうねえ。
旬というならpairingのほうが旬といえるような気もしますが。
canettiの「Universally Composable Security〜」は読まれましたか?

上のほうでROMの話がされてますが
うちのボスによると
あれはあれで1つの手段だ
っていってました。ROMを好む査読者とかいるらしい。

>>272
今井先生と辻井先生の意見が対立してるって面白いですね。
うちのボスにきてみようっと。

>>273
IND-CCAを証明したいんですか?
それともNM-CCA?
あとCCA2じゃなしにCCAなんですか?
CCA2なら結局等価だからどっちでもいいけど。
たぶんIND-CCA2を証明したいんでしょう。

次のようなIND-CCA2ゲームを考えます。
まずencryptionスキームS=(gen,enc,dec)とchallenger C, adversary Fが与えられて
Cはkey generationであるgenを行って公開鍵eをFに渡す。
Fは任意の暗号文をCに送って対応する平文を得る。（繰り返して行える）
Fは二つの平文m_0,m_1を生成しCに渡す。
Cはランダムに0か1を選んで（これをbとする）m_bを暗号化し、
この暗号文c^*をFに渡す。
Fは再び任意の暗号文（ただしc^*とは異なる）をCに送って対応する平文を得る。（繰り返して行える）
得た情報を基にFは1ビットの情報b^*を出力する。
要するにFは暗号文c^*がm_0の暗号文かm_1の暗号文か推測する。

このゲームにおいてFの優位性は
Advantage(F)=|Pr[b=b^*]-1/2|で定義され、
このアドバンテージが無視できないほど大きいときFは攻撃に成功しているといえる。
どのようなFに対しても（といってもこの場合全て確率的多項式時間アルゴリズムであるが）
Cが勝利するときにIND-CCA2の意味で安全といえる。

とおおざっぱに書きましたがわかりました?
教科書読んだほうが早いと思うのですが。
暗号専攻の学生ですか?

このスレｲｲ！
専門家が答えてくれてますね。

専門家じゃない私が答えてもいいですか？

新量子暗号「Ｙ−００」は旧式並み？　安全性否定論文で大論争

　今井教授は、総務省の暗号技術検討会の座長を務め、Ｙ−００を支持する辻井重男・情報セキュリティ大学院大学学長も、
同検討会の顧問。学会の権威が真っ向から意見対立した格好だ。

Ｙ−００の実用化を目指す研究者、企業のコメントは次の通り。

広田修・玉川大学教授「九月十六日、電子情報通信学会情報セキュリティ研究会（東京都港区の機械振興会館）において、
再度、彼らの論拠は全くの誤りであることを発表する」

辻井重男・情報セキュリティ大学院大学学長「Ｙ−００に対してはわが国でも理解者が増えつつある。一部で、
理解が進んでいないのは残念だが、いずれ分かってもらえるものと期待している」

松下電器産業「論文の発表前なのでよく分からない」

彼らの論拠は全くの誤りなんでつか？？

それとも「Ｙ−００」は、旧式並みなんでつか？？
ということは、量子暗号として研究する価値がないってことでつか？？
これがホントなら、当事者達はオマンマ食い上げになってしまいまつね。

海外ではY00は安全じゃないってことで、
殆ど相手にされてないんだけどな。
日本の一部に熱狂的な信者がいるだけで。

>>267

>っていうか、サイドチャネルって否定は多いんだな。

問題設定がてきとーだからだと思う。

「サイドチャネルから漏れる情報Ａからより重要な情報Ｂが計算できてしまう」
って結果が意味あるためには、実際に
「情報Ａを得るのは容易だけど情報Ｂを得るのは難しい」
って実装が存在しなきゃいけないわけで、そんな都合のいい実装ってあまりないだろうなって思うことが多い。
大抵の場合は情報Ａが漏れてるような実装は、
情報Ｂも簡単に得られちまうんじゃないか？

また、そういう恣意的なモデル上で「安全」ってのはどれだけ意味があるだろうかと思う。
実装を直すのではなく方式を変えることにより情報Ａを漏れなくしても、
その実装は肝心の情報Ｂが漏れてることが多くの場合だと思う。

>>281
ソースキボンヌ

　
　　 　||￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣||
　　　　|| 　　　　　　　　　　　　　 　 ∧_∧　　って事でよろしいか？？
　　　　|| Y00 <・・・・・< BB84 　 ＼　(ﾟДﾟ,,)
　　　　||＿＿＿＿＿＿＿＿＿＿＿＿＿⊂⊂ |
　　∧ ∧　　　 ∧ ∧　　　 ∧ ∧　　　 |￣￣￣￣|
　 (　　∧ ∧　(　　 ∧ ∧　(　　∧ ∧　|　　　　　　|
〜（＿(　　∧ ∧ __(　　∧ ∧__(　　 ∧ ∧￣￣￣
　　〜（＿(　　∧ ∧＿(　　∧ ∧＿(　　 ∧ ∧
　　　　〜（＿(　 　,,)〜（＿(　 　,,)〜（＿(　 　,,)
　　　　　　〜（＿__ﾉ　　〜（＿__ﾉ 　　〜（＿__ﾉ

画像を高速で送れる暗号方式は？

Y-00旧式並み派
今井教授　東京大学　産総研　三菱電機
-----------------------
Y-00すっごい派
辻井学長　広田教授　松下電器産業　日立製作所

誰かもっと詳しく完成させて。

Y-00に関する一連の論文は、arXivのプレプリントサーバで読めますね
情報科学じゃなくて物理学のカテゴリにリンクがあるはず

>>286
数学板は最近つまならい個人ネタが多くなってるから
このスレにもそういう空気が流れ込んできそうで、やだなあ

いままでずっとageできてた。
失礼しました。

旧式並派の主張は対称鍵は量子ゆらぎを利用して作るが、
作るのは対称鍵だけであって、通信する際に送る暗号文の暗号強度は
対称鍵暗号化アルゴリズムに依存しているってことですよね。

結局はハイブリッド方式で、現在は公開鍵暗号が担っている対称鍵保護を
量子ゆらぎによる対称鍵保護に変えただけじゃないんでしょうか？

まちがってますかね？
こんな理解でいいんなら旧式並派に加わりますが。

　ミミ彡ﾐミﾐ彡彡ミミﾐﾐ
,,彡彡彡ミﾐﾐ彡彡彡彡彡彡
ﾐﾐ彡彡ﾞﾞﾞﾞﾞ""""""""ヾ彡彡彡
ミミ彡ﾞ　　　　　　　　　ﾐﾐ彡彡
ﾐミ彡ﾞ　＿　　　　＿ 　 ﾐﾐミ彡
ﾐミ彡 '´￣ヽ　　'´￣｀ ,|ミﾐ彡
ﾐﾐ彡　￣ﾟ￣'　〈￣ﾟ￣ .|ﾐミ彡
　彡|　　 　　|　　 　 　 |ﾐ彡
　彡|　　　´-し｀〉　　／|ﾐ|ﾐ　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　 ゞ|　 　　　､,!　　　　 |ソ　　＜　 Y-00プロトコルは、
　　　ヽ　'´￣￣￣`ﾉ /　　　　　|　古典的なストリーム暗号と等価ということでよろしいか？？
　　　 ,.|＼､　 　　' ／|､　　　　　＼
￣￣| ｀＼.`──'´／ |￣￣｀　　　　　
　　　 ＼　~＼,,／~　 /　　
　　　　　＼／▽＼／

首相は暗号のことより選挙がんばってくださいよ。

Y00プロトコル、マンセー

　　|┃　　　 |　　　 │　　　┃|　　／　　　／　／　　 　（　 ／　 ノ⌒)
　　|┗━━┷━━┷━━┛|　／　 　 　／　／　／ 　/ / 　 （　,／
　　|──────────,ﾉ＼＿＿_ノヽ /⌒⌒｀ヽ/ ./　　/ /
　　|─────────／''''''　　　''''''::::::＼　　　_　＼ 　 / /
　　|　〇　　　　　　　　　　/（●）,　 　 ､（●）､.|　　 / ＼　ヽ'　/
　　|＿＿＿＿＿＿＿＿/　　 ,,ﾉ(､_, )ヽ､,,　.::::|　.／＼__.＼__ノ
　　 │　　　│[=.=］｜　|　　｀ -=ﾆ=- '　　.::::/／
　　 └──┴──┴─ヽ、＿ ｀ﾆﾆ´　 .::::ノ
　　　　　／　　　　　　＼／／　￣￣￣/ /
　　　　／　 　　　 　　／／ 　 　 　 　 / /
　　　／　　 　 　　　 （_/　 ＼ 　 　 　/ /
　　／　　　　　　 　　 　　 ＼　　 （_/

＞＞275さん
暗号については本当に初心者なので
せっかくいただいたアドバイスも
なかなか理解不能で…
昨日今日と色々勉強しています。
教科書を読んだ方がいいとのことでしたが
オススメの教科書ありますでしょうか？
またわかりやすいインターネットのサイトがあれば
教えていただけないでしょうか？

>292
275とは別人だけど、論文読んだ方が早いよ。
証明の方法やら手順を学ぶんなら実地が一番いいと思う。

>>292
理解不能ということは
NM,IND,CCA,CCA2,確率的多項式時間アルゴリズム
などなどがわからないということですか?
どこまでわかっててどこがわからないのかもう少し
明確にして欲しいです。

293がいっているように論文を読むほうがよりいいですね。
教科書にはあまりIND-CCAゲームの話はのってないかも。
日本語で基礎的な教科書であれば
オーム社の「情報セキュリティ」
産業図書の「現代暗号」あたりが無難ではないでしょうか。

論文を読むとなるとどれがいいのかなあ。
CRYPTO98のCramer-Shoup暗号の論文とかかな?
この暗号はIND-CCA2なんで証明がのっているでしょう。
ちなみに「Modern Cryptography」という教科書にも証明はのってます。
インターネットでいいサイトは知らないです。

個人的な興味なんだけど
まわりに質問できる人がいない環境の人が
なぜCCAの証明をしたいのか激しく疑問だ。
どうでもいいことだけど。

>>294さん
文章わかりにくくてすみませんでした。
暗号については完全初心者です。
IND-CCAという攻撃方法があると思っていたくらいです。
正しくは攻撃条件なんですね。
数学的知識はそこいらの高校生並みです。
この数日で公開鍵暗号方式やNM,IND,CCA,CCA2については
ほぼ理解できました。
確率的多項式時間アルゴリズムはちょっと理解できませんでしたが・・

IND-CCA2については295さんの説明で概要（アルゴリズム？）が
わかってきましたので現在CRYPTO98のCramer-Shoup暗号の論文読んで
証明方法勉強してます。
難しい・・・

ちなみに自分現在フリーターに近いです^^;
本格的にセキュリティ系の職につきたいのですがその勉強段階で
質問できる人がまわりにおらず独学です。
いままで怠けた分のツケがまわってきてるだけなので必死にやらないと・・

>295 (292)
あと、CRYPTO98のCramer-Shoup読んだらEurocrypt 2002の方も。
CRYPTO98版Cramer-Shoup暗号の拡張になっていたり。

なんだかんだでやさしいスレッドですね。

だいぶ上のほうの話なんですけど、
>>200がpairingが胡散臭いっていってて、
その根拠が仮定の見た目が汚いからっていってるのが少し気になります。
確かに比較すると見た目は汚いけど
だからといって胡散臭いというのは
少し?という感じです。

200はpairingの理論は欠陥があると思っているのでしょうか?
それで胡散臭いと思っているのなら
何か理論的な根拠をお持ちだと思うので
それをぜひ教えて欲しいです。
煽りじゃなしに、純粋に興味です。

広く認められているから正しいとは
もちろんいえないことは十分わかっています。
しかしそれに異を唱えるのであれば
それなりの理論的根拠を示して欲しいです。
200がまだ見ているかどうかはわかりませんが
ぜひ意見をいただきたいです。

すばらしい業績は見た目が美しいもの。

RSA暗号なんかでも
暗号化
C ≡ M ^ e (mod n)
復号
M' ≡ C ^ e (mod n)

こんなにシンプル。

暗復号が汚い暗号はあまり使われないでしょ。
人間の感覚的に美しいものはいい案であることが多いが、
人間の感覚的に汚いものは胡散臭いことが多い。

見た目がキレイな式を生み出すためには血と汗と涙が不可欠ですよ

Pairing ベースでも
BLS Short Signatures なんかは結構美しくないですか。

署名
σ ← H(M)^x
検証
e(σ, g2) =? e(H(M), y)

Pairing が胡散臭いのは見た目の美しさどうこうよりも、
その歴史の浅さに起因するのではないでしょうか。
安全性の根拠を
効率的な解き方が「今のところ」見つかっていない問題
に帰着している以上、
20年以上経って未だ革新的な解法の見つからない RSA なんかに比べて
ぽっと出の Pairing が胡散臭く感じられるのは当然だと思います。

　　　∧＿∧
　　 （　´Д｀） ＜　＞暗号業界のみなさーん、お茶が入りましたよ〜
　　／　　　 ＼
　　|　l　　 　l　| 　　　 ..,. ., .,
　　|　|　　　 | _|｡.:_:：゜｡-.;.:゜｡:.:;。
　　ヽ ＼_　.｡'ﾟ/　　　`｡:､｀；゜:;.::.｡:.:。
　　 /＼_ﾝ∩ｿ＼　　　 ::..゜:: ﾟ｡:.:.::.。.｡:.
.　 /　 /`ｰ'ｰ'＼ ＼　　゜: ::..゜:: ﾟ｡:.:.:，｡:.:.
　〈 　く　　　　　/　/　::..゜:: ﾟ｡:.:.:，.:.:.:｡:.:，
.　 ＼　L　　　./　/　＿::..゜:: ﾟ｡:.:.:，.:.:，.:.:.:，
　 　　〉　）　 （　.::旦旦旦旦旦旦旦旦旦旦旦旦旦旦旦旦旦旦.
　　 （_,ノ　　　 .`ー'旦旦旦旦旦旦旦旦旦旦旦旦旦旦旦旦旦旦.

業界と言えるほど広いのか？

>>298
では逆に私たちを納得させるpairingがいいという「理論的根拠」を提示
してくださいな．

シンプルかどうかは関係ないと思う。まずはうちらを納得させることが
できるかどうかにかかってます（もちろんシンプルに越したことはないんだが）

>>304
正直な話、私にはpairingの理論的正しさはわかりません。
だからこそ、最近急速に注目を集めているにもかかわらず
胡散臭いといわれることの理論的根拠を知りたかったのです。
だって「シンプルじゃないから」って理由になるんですか?
pairingに限らずなんでもそうだと思うんですよ、
「シンプルじゃないからダメ」っていわれてみなさん
納得できますか?
まあ、それで納得できるといわれれば私が悪いんでしょうが…

暗号理論を研究する教授の給料　>　暗号理論が生み出す経済性

宮廷大学院M1です。
algebraic function fields and codes
全然わかりません。代わりの本・予備知識などアドバイスはいただけないでしょうか？

宮廷大学院M1です。
algebraic function fields and codes
全然わかりません。代わりの本・予備知識などアドバイスはいただけないでしょうか？

>>286
Y-00旧式並み派
今井教授　東京大学　産総研　三菱電機
＋日本以外の国全部

>>309
てゆーか、「旧式並み」という言葉を使って時点で素人

　　　　　　　　　　　　　　　　　__,,,,＿
　　　　　 　 　 　　　　　　 ／´　　 　 ￣｀ヽ,
　 　 　 　 　 　　　　　　 / 〃　 _,ｧ---‐一ﾍヽ
　　　　　　　　 　　　　　i　　／´　　　　　　 ﾘ}
　　　　　　　　　　 　 　 | 　 〉. 　 -‐　　 '''ｰ {!
　　　　　　　　　　 　 　 | 　 |　　 ‐ｰ　 くー　|
　　 　 　 　 　 　　　　　ﾔヽﾘ　´ﾟ　 ,ｒ "_,,>､ ﾟ'｝
　　　　　　　　　　　　　 ヽ_｣ 　 　 ト‐＝‐ｧ'　!
　　　　　　　　　　　　　　 ゝ i、 　 ` ｀二´' 丿
　　　　　　　　 　 　 　 　 　 ｒ|､｀ '' ー--‐ｆ´
　　　　　　
　　皇太子様がY00プロトコルに興味を持たれました。

アホ！“様”なんて付けるな！！！

様じゃなくて殿下にすべきだよ

　　　 　 　 　　　　　　 ／´　　 　 ￣｀ヽ,
　 　 　 　 　 　　　　　　 / 〃　 _,ｧ---‐一ﾍヽ
　　　　　　　　 　　　　　i　　／´　　　　　　 ﾘ}
　　　　　　　　　　 　 　 | 　 〉. 　 -‐　　 '''ｰ {!
　　　　　　　　　　 　 　 | 　 |　　 ‐ｰ　 くー　|
　　 　 　 　 　 　　　　　ﾔヽﾘ　´ﾟ　 ,ｒ "_,,>､ ﾟ'｝
　　　　　　　　　　　　　 ヽ_｣ 　 　 ト‐＝‐ｧ'　!
　　　　　　　　　　　　　　 ゝ i、 　 ` ｀二´' 丿
　　　　　　　　 　 　 　 　 　 ｒ|､｀ '' ー--‐ｆ´
　　　　　　
　　皇太子電荷がY00プロトコルに興味を持たれました。

今週末に反論2回目があるけど聞きにいく香具師いる？朝一だからなぁ。

ところで
ttp://www.tamagawa.ac.jp/SISETU/GAKUJUTU/pderc/rqcs/
[23] 東大・産業技術総合研究所・三菱電機による玉川大学の
新量子暗号である”光通信量子暗号Y-00”への批判の論文は
全くの誤りであり、単に玉川大学プロジェクトへの妨害で有る
ことが実証されました。

はちょっとやりすぎかな？こんなの書いてるからゴシップっぽく
報道されてしまう。

>>315
でも英語版のHPには、一切そういうこと書かないんだよな。
そういうところはちゃっかりしている。

自分らのクビがかかってるから、
Y00プロトコル必死だなw

(1) 10:20-10:45 光通信量子暗号(Y-00)への攻撃は真の攻撃か？part II 広田　修（玉川大）

　「東大・産業技術総合研究所・三菱電機による玉川大学の
　　新量子暗号である”光通信量子暗号Y-00”への批判の論文は
　　全くの誤りであり、単に玉川大学プロジェクトへの妨害で有る　」

　か否かを確認してきておくれぇ〜。

>>315
ｲﾀﾀﾀﾀ

/::::::::ﾉ""'''''‐‐-‐'''" 　　　ヽ:;::|
　|::::::::::| 　 　　 　　　　　　 　.|ﾐ|
　|::::::::::| 　 　　 　　　　　　 　.|ﾐ|
　|::::::::|　　　 ,,,,,,, ﾉ　ヽ,,,,,　　 |ﾐ|　
　 |彡|.　　'''""" 　　　"""''　.|/
　/⌒|　　-=・=‐,　　 =・=- 　|　　　
　| （　　　　"''''"　　 | "''''"　 |
　 ヽ,,　　　　　　　　 ヽ　　　 .|
　 　 |　　　　　　 ^-^　　　　 |
.＿／|　 　　　-==＝=-　　　| Y00プロトコルをあきらめない！！
::;/:::::::|＼. 　　　"'''''''"　　　/
/:::::::::::|.　＼　.,_＿＿__,,,.／::＼

ニイタカヤマニ　ノボッテオリテコイ

>>318
で、どうだったの？
報告キボン

Y-00光通信暗号は、どうなりましたか？？？
あきらめなくて済みそうでしょうか？？

http://www.dff.jp/
クリックで救える命があるから、
一日一回クリックして下さい。一日一膳さえも
食えない香具師がいるから、一日一善と思って
クリックして下さい。おながいします。
４６４９

ソフトウェア板のフリーの暗号ソフトのスレッドに出ていたサイトにトリプルDESは解読されたと書いてありました。本当だと思いますか？

こんな恐ろしいスレでそんな質問をするなんて・・・
(((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

http://pcweb.mycom.co.jp/news/2005/07/21/003.html

Y-00 推進派の発表に関して

>>318
マジレスです。研究会聞きました。
率直な意見を書きます。「Y-00 推進派を相手にしてはいけない」が
私の結論です。

※私は当事者との利害関係はありません。ただし暗号分野にいる人間です。

* プレゼンでは常に攻撃的
日本の暗号学界（学会ではない）を馬鹿にする発言が多かった
* 人の話を聞かないという割には自分も全く聞かない
* 議論にならないことは本人も認めている
* 日本はもういいよ だからアメリカでやっているという発言があった

以上に加え、論文で決着をつけることになりましたが、議論しないと
どちらか正しかったか（最終的にはどちらも折れることはありえない）
が明確にならない（推進派が負けを認めて”すみませんでした”論文を
書くとは思えない）ので、いわゆる「終了」がいいと思います。

今福さんも大人になろうよ。発表者のあんな精神狂態もとい精神状態で
きちんとした回答など得られるはずはないでしょう。白黒つけたいのは
わかりますし、皆もそれを望んでいるのですが、収束の方向に行くとは
思えないです。それなら悔しい気持ちはわかるけど「相手にしない」の
が最善の策ではないかと思いました。

>>328
お弟子さんたちが可哀想っす。(T-T)

自らのクビがかかってるから、
弟子、師匠共々、Y00プロトコル必死だなw

　　　　＼　　　　 毛　 　　 　 ／
　　腿　　＼＿　　|　　　＿／
　　　　　　　 　 彡彡彡
　　　　　　　 　 ミミミミ　ｸﾘﾄﾘｽ
　　　　　　　　 ﾐﾐﾐﾐ ／￣￣￣￣
　　　　　　　　 ﾉ　σ ヽ　尿道
　　　　　　　／　/ ﾟヽ￣￣￣￣
大陰唇　／　／／＼＼　＼　
￣￣￣￣ 　（　(´･ω･`) ── 知らんがな
　 　　　　＼　＼＼／／　／
　　 　 　 　 ` 　 ＼／　　'
＼　　　　　　　　 ＊──アナル
　 ＼＿＿＿＿_／＼＿＿＿＿_／

【IT】大学のIC学生証を共通仕様へ 技術普及団体が呼びかけ
http://news19.2ch.net/test/read.cgi/newsplus/1127031345/

>>328

* 議論にならないことは本人も認めている

っていうのは、どういうことなんでしょうか？？

>>330
某先生も、もともといい仕事してるんだから、
こんなことで波風立てなくても食っていけただろうに、
と思うんだが。

>>333
ディスカッションしてもログが残らないので論文（や残る形の何か）で
やり取りしないといけない

Y-00推進派の論文を(Yuen先生のものさえ)ちゃんと読んでいないので話にならない

というのが混ざってしまったようだ

>>328
私も当事者との利害関係はありませんが、それだけの理由では、
相手にしてはいけないことの理由にならないのでは？
発言がどうとかより、真実がどうなのかを皆で確認することが
重要だと思うな。研究会って本来そういう場ではないでしょうか？

結局、Y-00光通信暗号はどうなんだろうなぁ。
古典的なストリーム暗号と等価なのかそうでないのか。
発表者のあんな精神狂態では、議論にならないってことなのでしょうかね。

　Ｙ００をお迎えに上がりました
＼＿＿　 ＿＿＿＿＿＿＿＿＿
　 　　　V
　 　　　　　　　 　　　　凸＼＿＿＿＿＿＿＿＿_／,凸、
　　　　　　　　　　　ノ´⌒｀ヽ三三三三三三三i三.ノ´⌒｀ヽ、
　　　　　　　　　[二ノ´金｀ヽ二]二二二二二二i仁ノ´劵｀ヽニフ
　　　　　　　　 　　,.-┴―┬┴┐鬨鬩鬨鬩鬨鬨鬩鬨
　 　 　 　 　 　　／ΛΛ //ΛΛ||L匳匳||卅||匳匯||匳||
　　　　　　 　／＿(ﾟдﾟ_//_ﾟДﾟ,,)| |丗卅丗卅丗卅丗卅丗
　　_,,,.-―''''"_,,,.-―''''"|コ￣　∪i　￣￣￣￣￣￣￣￣￣|
　i゛(}[王i王]I()0コ ―― |―――=|――――――――――〕
　|_∈口∋￣_l＿ｌ⌒ｌ ノ 　 　 　 ノ　　　　　　＿＿＿ｌ⌒ｌ＿ソ
　　￣￣`ー'￣　`ー'￣￣￣￣ ￣￣￣￣`ー'　　 `ー'

http://www.tamagawa.ac.jp/SISETU/GAKUJUTU/pderc/rqcs/
東大・産業技術総合研究所・三菱電機によるNorthwestern大学/玉川大学の新量子暗号である
”光通信量子暗号Y-00”への批判の論文は全くの誤りであることを日米同時に実証

>>336
336さんはこれまでの「生」の議論を聞いたことありますか？
あなたの意見は正しいと思いますが、第３者から見ても常識を
逸脱したディスカッションを行っているのですよ。それでも
真実を追求したいですか？

前提というかバックグラウンドが違うのでお互いの主張を聞き
入れられない状況に陥っていて収拾がつかないのですよ。

似たような事例を想起してしまいました。
"TAO TIME CRYPTREC" でググったら何か出ますか？

ホットメールのパスワードをロストした。放置するしかない。
やったらパスワードばかり作らせる使い勝手の悪いサイトだ。

　本稿で、今井グループ、松井グループの執拗な批判は論理的に誤りであることを説明した。
　彼らが本当に実質的な暗号を目指す志があるのであれば、量子暗号＝量子鍵配送＋One time pad
　という呪縛から解放される必要がある。

　光通信量子暗号(Y-00)への攻撃は真の攻撃か？part IIより


だってさ。

本当に量子通信が行われているのは、両陣営の間かも。

CSSの参加料金割り引きの期限は22日ですね。
早く料金振り込まないと。
つーかまだ申し込んでなかった・・・

最近ペアリングを用いたプロトコルに関する論文をよく目にする様になりましたが、
これは一大ブームだと考えて宜しいのでしょうか？

暗号に詳しい方のレスをお待ちしています。

　ま　た　ペ　ア　リ　ン　グ　か　っ　！　！　！

>>346
もう少し詳しくお聞かせ下さい。

当方、ブッロク暗号を研究している者です。
今からペアリング関連に移ろうかと思っているのですが、
未来はないのですか？

>347
ド ブッロク暗号・・・
ちょっと懐かしい。

　　.,.．-──- ､
　 ／.: : : : : : : : : : ＼
,/.: : : : : : : : : : : : : : ヽ
.!::: : : : :,-…-…-ミ: : : :',
{::: : : : :i　'⌒'　 '⌒'i: : : :}
.{:: : : : : |　 ｪｪ　 ｪｪ |: : : :}
{ : : : : :|　　　,.、 　 |:: : :;!　
ヾ: : :: :i　 r‐-ﾆ-┐| : :ﾉ
　 ゞイ !　ヽ 二ﾞノ ｲ′
// ,,r'´⌒ヽｰ一'´ 　　　　　　　　　　　　　　　　　　　　　l⌒＼　　
　　 ／　　　　ヽ　　　　　　 ri/ 彡 　　　　　　　　　　　　ｌ　　 ヽ　 　　ヘ
　 /　　 i　　　　ﾄ､　　　__,,,丿)／　　　　　　　　　　　　／　　　　`ー´　 l 　
　|　　　 !　　 　 ）｀Y'''"　ヽ,,／ 　　　　　　　　　　　　/　　　　○　　　 `ヽ 　
　 ! l　 　|　　　く,,　　　,,,ィ'"　　　　　　　　　　　　　　l　　　　　　　　　　0l　Ｙ００
　 ヽヽ 　ゝ　　　 !￣!~〜､ 　　　　　　　　　　　　， ;, ヽ-､,,..　　,.　　Д　ﾉ 　　
　　ヽ　　／￣""'''⌒￣"^'''''ー--､　　　　　．; '，;:；;.,:：’:.,`'''"':;,,,_､;-''"
　　　Y'´　　　　　　　　　　／　　　 """''''〜--､　，:.,：:;,　　:;":;.,`‘:;，;　.　. ,
　　　（　　　　　　丿　　,,;;''　　....::::::::::: ::::r''''""￣""ヽ　’　; ., : ．　;," ;，　。
　　　 ゝ 　　ー--､,,,,,___　　　 　　::: ::,,,,,ｰ｀''''''⌒''ｰイ　;:　　; , 　 ;　 . ,
　　　　ヽ　　　　　　＼　￣""'''""￣　rw'"ヾ,;:/"'''ヾ、　. , ;　; " ; 、
　　　　　ヽ　　　　　　 ヽ 　　　　　　 /　　　　　　　 ﾍ　 .　、 ; ;　　　 . ,:　　　;
　　　　　　ヽ　　丿　　　）　　　　　　l　　,　　　:,　　 l　　　；　　　　　　　　　,
　　　　　　　ゝ　　　 　　!,　 　 　 　 l　　i'　　　 l　　 l ,　　 ;
　　　　　　　　!　　　　　|.　 　 　 　 l　　|　　　　l　　 l
　　　　　　　　| 　　　　,;;},　　 　 　 l:　　i　　　　i　　 l
　　　　　 　 　 |ﾉ　　　　|,　　　　　 ゝ　 |　　　　l　　.l
　　　　　　　　 {　　　　　|　　　　 （,＿:ノ　　　　ヾ､＿）､　
　　　　　　　　 〈　　　　.ﾉ　　　　/　　　　 　ｨ:､　　　　ﾉ

スレの流れとずれてるけど…

>>282
はげしく同意。
でも説明がはげしく分かりにくい。

「サイドチャンネルＡは開いてるけどチャンネルＢは閉じてる」とかいう
都合がいいような特殊な実装、ＨＷを仮定しているってことね。

ＹＢＢのトリオモデムの無線ＬＡＮは暗号化なしでつなげるデフォルト使用です。
無線ＬＡＮを傍受して表示するＹ−ケーブルＬＡＮを作れば丸見えです。
いいのかな？あんなんで？

ttp://japan.cnet.com/news/sec/story/0,2000050480,20087578,00.htm
IPAが世界初の暗号解読に成功--100億年かかるところを20秒で

情報処理推進機構（IPA）は9月26日、無線通信に使われる暗号「Toyocrypt」の
解読に成功したことを発表した。

Toyocryptは、2000年に東洋通信機が開発した暗号であり、2000年当時は「解
読するのに100億年かかる」といわれ、実質永久に解けない暗号とされていた。
しかし、2002年頃から「代数的攻撃法」と呼ばれる手法を用いれば、理論的には
解読可能とされ、暗号の国際的な学術会議で実際に解読できるかどうか議論
の対象となっていた。

「IPA-SMWはストリーム暗号以外にも対応可能」と言う杉田誠・IPA研究員IPAは、
暗号の安全性を評価手法を開発する目的で携帯電話などの無線通信に使われ
る「ストリーム暗号」の一種であるToyocryptを解読するプロジェクトを2004年に立
ち上げた。プロジェクトでは暗号解読のための「IPA-SMW」というプログラムを開
発し、IPAが運用する暗号研究専用のグリッドコンピュータに実装し、Toyocryptの
解読に挑戦してきた。なお、暗号解読に用いたグリッドコンピュータは、周波数2GHz
のCPU128個で構成されている。

暗号解読プロジェクトは、9月20日にToyocryptを27分間で解読することに成功した。
プロジェクトのリーダーである杉田誠・IPA研究員によれば「9月26日現在、約20秒
台で解読できるようになっている」という。

IPAと同様にコンピュータを使ってToyocryptを解読しようとする試みは「フランスや
イギリス、ベルギー、アメリカの民間企業や研究機関でも進められている」（杉田氏）
が、実際に解読できたのはIPAが世界で初めてという。

今回のプロジェクトには杉田氏の他に、IPAの「スーパー・クリエータ」に認定された
光成滋生氏と渡辺秀行が参加した。光成氏と渡辺氏は、杉田氏が開発した解読手
法をコンピュータ・プログラミングに落とし込む作業をしている。

IPAでは今後、ストリーム暗号の一種であり、PCと周辺機器とを無線でデータ通信
するBluetoothに用いられる暗号「EO」をIPA-SMWで解読できるかどうか検証してい
くとしている。また、電子政府の情報セキュリティを保持するための「電子政府推奨
暗号」に含まれる128ビットブロック暗号「AES」に対しても、IPA-SMWで解読できる
かどうか検証していく方針を明らかにしている。

東洋株暴落ですか？

＞解読するのに100億年かかる
「億年とか平気で出てくる。億年て。小学生でも言わねぇよ、最近。」

【IT】IPAが暗号技術Toyocryptを世界で初めて解読、今後はAESやE0の安全性評価も
http://live14.2ch.net/test/read.cgi/wildplus/1127739640/

"CRYPTREC Report 2004 の公開"
ttp://www.ipa.go.jp/security/enc/CRYPTREC/fy16/cryptrec20050421_report01.html
のページで平成17年3月付で公開されている
"「CRYPTREC Report 2004 暗号技術監視委員会報告書」 (PDFファイル: 604KB)"
ttp://www.ipa.go.jp/security/enc/CRYPTREC/fy16/documents/C04_WAT_FINAL.PDF
の13-14ページに，ストリーム暗号に対する代数的攻撃（Algebraic attack）の動向が記載されてますね．
具体的なことは論文読まないとﾜｶﾝﾈ

ttps://www.ipa.go.jp/security/enc/pressrelease/press_IPA-SMW_20050926.html
に詳しく書いてあるね。

　IPA-SMWは、同機グレブナー基底探索プログラムとして従来の世界最高速を
しのぐ高速化を達成したプログラムです。
　本IPA-SMWのソースコードは、下記のサイトで公開しております。

URL：http://www.ipa.go.jp/security/fy16/development/crypt_stream/

　なお、IPA-SMWはIPAの立ち上げたプロジェクトで開発したプログラムで、
開発者の杉田（Sugita）、光成（Mitsunari）、渡辺（Watanabe）の頭文字をとっ
て名づけました。

>>354
概数も知らない方ですか

>>353
> 東洋株暴落ですか？

投資家はToyocryptが東洋のものと認識できないと思われ
でも一瞬下がったな。

でも、セイコーエプソン株式会社との水晶事業統合のプレスリリース
があってすごい勢いで株価上昇してる。16%upってすごくない？

ttp://imailab-www.iis.u-tokyo.ac.jp/scis06/

今年も参加するぞっと。

age

Toyocryptの記事、週刊アスキーのトップにものってるなーー
その前に、S田氏の笑ってる顔写真UPが載ってて、そちらのほうが不思議。
「解読するのに100億年かかる」って書かれると、すごいことみたいに勘違いしそう。
東洋通信機株は、エプソントヨコムに社名変更したから上がったんでしょう？

乱数スレ
http://science4.2ch.net/test/read.cgi/math/1126350979/
書籍『Winnyの技術』について語れ
http://pc8.2ch.net/test/read.cgi/tech/1128763394/

暗号に詳しい方々はUSBメモリのfile暗号化に何を使っていますか？

暗号プログラムを誰かに作らせて仲間内で使いまわし。

シーザー暗号で十分

秘密鍵McEliece暗号なら安全でつか？

c4 cipher

orz

ネタも使い回し、といったところですかな

死国

>>371
ちんちん電車にみんな乗るのね

横ハメ座長きもい

age

今日の懇親会の報告しる

とりあえず、論文賞は

一般: 1B-4、5C-5、8A-3
学生: 5A-1 or 2、6A-4、8A-4、8B-3

だったんじゃないかな (メモ取ったわけじゃないんで間違ってるかもしれんし、
学生の一個めはベイジアンフィルタというキーワードしか記憶に残ってない)。

実は学生論文賞はもう一件あったんだけど、発表者懇親会不出席のため対象外
とされたという…。いや、まぁ、論文賞審査対象として懇親会参加が明示され
てるんでしょうがないっちゃしょうがないんだけど、ほんとに剥奪されるとは
思わんかった。

で、来年は時代祭の時期に京都らすぃ。CSEC&ISEC で企画中の国際 WS との連
続開催を目論んでるそうな。

いきなりですが、問題です。
どなたかスルーせずにお分かりの方、お助けください。
よろしくお願いいたします

（問題）公開鍵e=11によるn=403=13・31を法とするＲＳＡ暗号系は、
暗号化変換
　　　Ｚ/n−＞Ｚ/n；Ｐ mod n ―＞Ｐ^e mod n
で与えられる。
（１）整数ｄでＰ^(ed)≡Ｐ(mod n)が全ての整数Ｐに対して成立するもの
（秘密鍵d）を求めよ。
（２）n=343=7^3とすると、公開鍵e>1による暗号化変換には問題があるが、
その理由を述べよ。

>>377
まず
Ｐ^Ｘ≡Ｐ(mod n)が全ての整数Ｐに対して成立する
ようなＸがどういう数かわかりますか？

ed=1 mod Φ(pq)
11d=1 mod(13-1)*(31-1)=mod360
11d=360n+1=8n+1=0 mod 11
n=4
11d=360*4+1=1441
d=111

ed=1 mod Φ(pq)
11d=1 mod(13-1)*(31-1)=mod360
11d=360n+1=8n+1=0 mod 11
n=4
11d=360*4+1=1441
d=131

7^3->(p,q)<>1

>（１）整数ｄでＰ^(ed)≡Ｐ(mod n)が全ての整数Ｐに対して成立するもの
（秘密鍵d）を求めよ。

d=11

>（２）n=343=7^3とすると、公開鍵e>1による暗号化変換には問題があるが、
その理由を述べよ。

平文が7の倍数のとき、暗号文がすべて0になってしまう。

>>376
5A-2 みたいだね。後はあってる。

さ=Z　ぬ=ｗ　し=ｌ　せ=ｎ　の=ｙ　う=ｃ　き=ｇ　く=ｈ　い=ｂ　た=ｐ
す=ｍ　お=e　あ=a　ち=ｑ　か=ｆ　ね=ｘ　つ=ｒ　え=ｄ　こ=ｊ　そ=o
こ=ｊ　な=u な=u と=ｔ　て=ｓ　に=ｖ　け=ｌ

この暗号を解いてもらえませんか？

>>384
暗号文がない罠

>>386
そういう暗号文の罠

ちょっと待ってくれ、
俺たちはとんでもない思い違いをしていたようだ。
まずはこの「平仮名-英字対応表」を見てくれ。
『あ=a, い=b, う=c, ..., ね=x, の=y, は=z』
問題文の中でこの規則に従っているものを除去すると
『さ=Z け=l』
これをローマ字表記に変換すると
『SA KE』
ここで「さ」には大文字 Z が割り当てられていたことを
思い出せ。これは対応する SA を大文字のまま残すことを
指示していると考えるのが当然だ。
残る KE だが、"E" を "3" の「鏡像」と捉えれば、
これは "K" を 3 つずらした後、左右を逆転、つまり
K → L → M → N
SA N
N SA――『NSA』

つまりこれは俺たちに送られた… NSA からの挑戦状だったんだよ！！！

NO SUCH EGENCY

>>384
良く見ると全角文字と半角文字が入ってる。
これが関係あるんだろうか？

正直このスレの住人に>384のような暗号の話をしてもらいたくない。
AESやCamelliaの解読方法について語らって欲しい。

age

【IT】モデル検査手法を使ったウィンドウズの安定性を高めるデバイスドライバー検証ツールStatic Driver Verifier
http://news18.2ch.net/test/read.cgi/scienceplus/1132239328/

Eurocrypt投稿組お疲れ様です。
さてはてacceptされるのかねえ。

今年度のスケジュール
後は適当に埋めて

2005
12/04 Asiacrypt2005
12/09 SCIS submission

2006
01/17 SCIS2006
01/20 PKC Notification
02/10 Eurocrypt2006 Notification
02/23 Crypto submission
03/05 TCC2006

>>388
君は何を言っているのかね

NO SUCH AGENCY
の間違いですた。

mu9shu が絶望的につまらない件

某所でなにげにNSAの便箋をみかけてびっくりしますた

age

>>400

代数曲面暗号ってどうよ。
http://www.toshiba.co.jp/rdc/rd/detail_j/0502_06.htm

暗号なんてな、システムの中のごくごく一部の話。

>401
SCIS2005を読んだが安全性証明が無かった.
まだ出来てないらしい.

>>402
だから何？「ごくごく一部」が組み合わさって
システムが作られているわけだけど。

うわーん。SCIS2006の投稿登録忘れてたyo 締切過ぎちゃった。
どうにかしてもぐりこめる方法ない？

暗号なんて終わった分野だよ。

>>406
そう思うならやらなきゃいいじゃん。

>>405
まずは主催側にメールを直接書いて泣きつく、
というのは自分もよくやる手だな。
最終的に電話でお願いするところまでやる
覚悟があればどうにでもなる。

…とはいえ、実行委員の顔ぶれを見ると、怖い先生も
混じってるからちょっと注意が必要だなあ。

>>405
>>408さんの言う通り、まずは事務局に連絡してみましょう

> …とはいえ、実行委員の顔ぶれを見ると、怖い先生も
> 混じってるからちょっと注意が必要だなあ。

誰のこと？

俺だよ、俺

>>405
俺を舐めんなよ

嵐の後の静けさ

嵐って何を指してんの？

SCISの締め切りじゃね？

age

Asiacrypt 2005では？

１月広島で行った方がいい店、教えてくらはい。
お好み焼きとか牡蠣がいいな。

某大御所の部屋とか？

>> 419
それは店じゃないだろ

どこでどうやって寝ているんだろう。

188

http://imailab-www.iis.u-tokyo.ac.jp/scis06/
プログラムも出て, 17日には始まる.

>>423
大事なニュースあったらここにも書いてちょうだいね。

部屋いつも滅茶苦茶にされてるし

Design Wave マガジン2006年2月号
特集2
LSIを“盗聴”から守る
〜暗号回路へのサイドチャネル攻撃とその対策〜
ttp://www.cqpub.co.jp/dwm/

飛行機よりも新幹線の方が速いという、
不思議な立地なんだよな

どこから来るのかによる。

初日終わってから何も予定ないけど、オフ会やる？

お好み焼き食べたいじゃけんのう(･д･)ｼﾞｬｹﾝﾉｳ･･･

お好み焼き食べてきたよ！

おまいらいまどこにいますか。

PCの前にいますよ

落し物がいくつかあるようです
時間割表のところに張り紙があったよ

(･∀･)ｸｴ!ﾉﾒ!ｳﾀｴ!

ナイトセッション

【紙屋町】広島B級グルメ巡り【八丁堀】
http://food6.2ch.net/test/read.cgi/jfoods/1102161584/

色紙もらったんだけど
どのように活用したらいいか
おしえてください

大根食べた？

ここでＳＣＩＳの論文賞予想をしないか

投票忘れてた・・・

あの論文賞ってデキレースではないの？

>>442
デキレースって事はないが、

1. 主催者の受賞率がなぜか高い
2. 座長には座長専用投票用紙が与えられている。

私は運営側に回ったことはない人間ですが
ﾃﾞｷﾚｰｽではないと信じています

たとえそのような疑惑が付き纏うことがあったとしても
やはり権威のある賞だと思います

>たとえそのような疑惑が付き纏うことがあったとしても
これは、発表でいう捏造みたいなものだからあってはならないことだと思う。

権威ってのとは違うわな…
そもそも査読も何にも無い研究会だし

>>445
意味がわからん
疑惑は「ねたみ」みたいなものからも発生してしまうこともあるんだけど
それさえ無くせと言っているのか？

あの賞を修士の学生として取ると就職で有利ですか．

人事にはわからないでしょうが
担当部署ではYESだとおもいます

なので就職で有利といわれると
NOになってしまうかもしれません

ただしこれは
企業にかなり依存すると思います
人材に口の出せるところと
そうでないところはあるためです

うちは口をはさめないので
残念ながらあまり影響しないのではないかと推測します

でもやっぱ取った人材が欲しいのは担当者レベルでいうと
事実だと思います

なのでがんばって来年は取ってください

994

http://jvsc.jst.go.jp/live/angou/index.htm
ちと強引？

age

CRYPTO age

>>453
日本時間10時までだ．ｶﾞﾝｶﾞﾚ!

ＣＲＹＰＴＯに投稿するなんてすごいですね．
そんな結果が僕もほしい

まったくだ

おつかれさんでしたー

【物理/IT】今、見ちゃいけない量子の情報――量子検査による反事実量子計算
http://news18.2ch.net/test/read.cgi/scienceplus/1140900706/

4+5=9

暗号の説き方ｷﾎﾞﾝﾇ

>>459
おなぬーですか？

>>461
ﾜﾛﾀ

最近は内輪ネタばかりで、なんのことやらさっぱりわからんな

459 → しごく → オナニー → おなぬー
これ一体どこの輪の内輪よ！？

金があったら三輪車だな。

age

【通信/暗号】ナチスのエニグマ暗号、分散型コンピューティングで解読
http://news18.2ch.net/test/read.cgi/scienceplus/1141536328/

KDDI研、携帯向け高速暗号アルゴリズム「K2」を共同開発
http://www.itmedia.co.jp/enterprise/mobile/articles/0603/14/news070.html

AESより10倍速くてしかも安全というのはすごいですね。
国を挙げて取り組んだAESがKDDI一社に完敗！

＞国を挙げて取り組んだAES

AES(Rijndael)の開発者は二人じゃなかったっけ

AESはアメリカ政府のプロジェクトでしょ。
世界中から暗号をあつめて、いちばん安全で効率いいやつを選んだ。
この発表でわかることは、KDDIの技術力が世界のどの研究機関も凌駕するってこと。

安全性ってのは叩かれまくって初めて分かるものなわけで。

「第三者機関の評価でAESと同等の安全性」だそうだが。
断言している以上はなんか根拠があるんでしょう。

とりあえずISEC行く香具師はレポきぼんぬ。

ついでにういろうと味噌カツ買ってきてねー(･∀･)

>>468
K2はｽﾄﾘｰﾑ暗号なんだからAESより速いのは当たり前では?
>>472
ECRYPTとかに提案しているの?

いまでもストリームのほうが速いの？

ストリーム暗号は結局どれもこれも駄目になって、ストリーム暗号駄目説が広まってるとか聞いたことあるが。

Ｋ２は大丈夫なのかな？

HIME is slashdotted !!
ttp://slashdot.jp/security/article.pl?sid=06/03/21/1228252

1ｹﾞﾄした香具師はどこの学生さん？ 申告汁

>>3
ところでその本、
素数が無限に存在することの証明間違ってるね。
「最大の素数を仮定し、それよりも小さい全てのの素数の積を取り、
それに１を加えたものは仮定したものよりも大きい素数になり前提と矛盾する」
なんて素人みたいな論法使ってた。

例えば、RSA暗号は素因数分解の困難性がそのまま解読の困難性の根拠になってるけど、
これ別に実証されたわけでもなんでもなくて、それどころか
「素因数分解は困難である」と言う命題そのものが偽である可能性だってあるわけで。
（多項式オーダーの素数判定アルゴリズムだって発見されたわけだし）
ということは、RSAはいつ破られるかもわからないどころかすでに破られていたとしてもおかしくないような
あやふやな根拠を元に運用されてるわけで。
RSAに限らず、「暗号が破られたことを察知する」ようなテクニックなんかはどうなんでしょ？
数学の話題じゃない？

>481
>例えば、RSA暗号は素因数分解の困難性がそのまま解読の困難性の根拠になってるけど、
"そのまま"ってことは, 同値か下から困難性を抑えてるよな. 是非, 論文にしてくれ.

某所には1024ビット素因数分解機が存在しているらしいぞ。

>>480
格別素人みたいな論法とも思えないが。
ギリシア時代から知られている証明の途中をちょっと端折っただけだし。

玄人はどうやって証明するんだろうｗ
他に何か証明する意図が無ければ
ユークリッド言論の証明で済ませるのはごく当たり前だと思うけど

>>485
垢抜けているのはオイラーの証明か。
調和級数の発散性を使うやつ。

垢抜けた証明なんぞいくらでもある。
でも、>>480のが一番理解しやすい。

>>489
×オイラー
○オイレル

>>485
フェルマー数を使うのが直接的でいい

図解雑学の本で級数使って解かれたりしても
何だか違うと思うけどなあ

>>488
特別あつらえの馬鹿

>484-485
はしょり過ぎだろう.
p_1 p_2 … p_r + 1が合成数の場合を考えてないんだから.

p_1からp_rで全ての素数をつくしているなら
ｐ_1 p_2・・・p_r + 1 が合成数ではありえないのは自明、という立場でしょ。
別に端折り「すぎ」とは思えないが

>>492
http://images-jp.amazon.com/images/P/4061498274.09.LZZZZZZZ.jpg

Notes on the ECRYPT Stream Cipher project (eSTREAM)
http://cr.yp.to/streamciphers.html

>>495
eSTREAM
http://en.wikipedia.org/wiki/ESTREAM

unco shitai!

√(49)=7

√4^√9=8

暗号アルゴリズムに重大な欠陥発見の報告相次ぐ
http://pc8.2ch.net/test/read.cgi/sec/1092804347/
88:名無しさん＠お腹いっぱい。 :2006/03/19(日) 16:39:57
3DESの解読に必要な計算量ってDESの3倍?3乗倍?
誰か説明して。

500 円玉　　ワンコイン定食〜

暗号に力を入れてる大企業ってNTT、日立、三菱電機、東芝ですよね？
どれかに就職したいんですが、これらの企業の暗号分野における特色の違いを知りたいです

どなたか分かる方お願いします。

>>501
富士通、NECもやってる。

あとIBMとKDDIも入れてやれよ

RSA securityとかVerisignとかCerticomとかGemplusとかfrance telecomとかもいれてやれよ。

ATR

NTRU

DoCoMo (USA DoCoMoも) とSonyも.

Camelliaの普及、急加速！！

おっと 暴BM を忘れてるがな

■暗号技術【ROUND2】■
http://pc8.2ch.net/test/read.cgi/tech/1088530204/l50

乱数スレ
http://science4.2ch.net/test/read.cgi/math/1126350979/
【疑似】乱数をつくる【本物】
http://science4.2ch.net/test/read.cgi/denki/1074867250/
乱数
http://science4.2ch.net/test/read.cgi/sim/1100375806/

ＲＳＡな会議ですよ、おくさん

また今年も安延くんですよ
だれか突っ込んでやれよ

>>512
今年は衣装普通だったな
インド関連の扮装を期待していたんだが

暗号学者や研究者・学生と一般人との
暗号に関する認識ギャップは大き過ぎ！

暗号理論関係者の広報努力不足しすぎ。
行政もか。

暗号に限った話ではないな。

>>514
そうか？
他の理論系分野が大概30年後ぐらい未来の技術について研究している事に比べたら
暗号理論分野はかなりギャップは低いほうだと思うが

PKIなんてユーザに存在自体が認知されていないよね
もったいない

>>516
禿同

>>514
認識が違うってたとえばどういうこと？

プログラム板
擬似乱数
http://pc8.2ch.net/test/read.cgi/tech/1146071975/

CRYPTREC REPORT 2005が公開されてますね
http://cryptrec.jp/topics/cryptrec_20060424_c05report.html

ハッシュ関数の安全性、暗号利用モード・MAC、疑似乱数検定法の仕様に関する調査報告付き

勉強になるわー

●素数判別法発見●核攻撃システムから個人の銀行預金まで全ての暗証番号が無効、世界パニック●

現代の暗号の基礎となっている、ハッシュ関数の逆関数を
現実時間で解を求める方法を、アメリカのＤ．Ｒ．シース博士が
発見。これにより、現在ほとんどすべての暗号が数ヶ月以内に
解読可能になる恐れが出てきた。
この発見をしたＤ．Ｒシース博士は、アメリカのＣＩＡによって
既に超法規的に拘束（一説には既に殺害されている）が、
一部の解法を記したメモが既にイスラエルに流出しているという。

現在米軍は不測の事態にそなえ、準戦争体制をとり、
既に偶発核戦争防止のための協議に入っているという。
博士の殺害について各国から非難の声が上がっているが、
政府は、「世界平和上、真にやむをえない、極めて特殊な超法規的措置である」
という声明を出している。
流出したメモは解法の一部だけしかなかったが、これを
スタンフォード大学の数理学者が米軍の厳重な監視下で分析作業
をしたところ、現時点では学者としての直感的ではあるが、
博士は真に解法を発見しただろうと予想しているという。
博士は既に殺害されているが、周辺メモなどから、実際に
逆関数が導出可能であることが示されれば、世界中の数理学者の
補足研究により、数ヶ月以内に世界中で解法が発見されるだろうと
いうことです。

>>13
醤油、じゃなくてソースは？

まちがえた
>>521
ソースは？

オリジナルには日付けが入ってたと思うけどネタの鮮度が低くなるから削ったのか？

暗号理論、整数論などが社会の中でどれだけ重要な役割を果たしているかを
一般人に効率的効果的に理解させるために作られた【教材】の一種かしらん？

>>516

暗号も20〜30年くらいでない？
1976年(1974だっけ?)には考案されいたRSAが今ごろやっと普及した事を考えれば。

素因数分解問題とか離散対数問題って、本当にスーパーコンピューター使っても多項式時間では解けないの？

スーパーコンピュータを使うことと多項式時間で解けることの間には
何も関連もないだろｗ
多項式時間ってどういう意味か分かってんのかな

●素数判別法発見●暗号無効、世界パニック●
現代の暗号の基礎となっている、ハッシュ関数の逆関数を
現実時間で解を求める方法を、アメリカのＤ．Ｒ．シース博士が
発見。これにより、現在ほとんどすべての暗号が数ヶ月以内に
解読可能になる恐れが出てきた。
この発見をしたＤ．Ｒシース博士は、アメリカのＣＩＡによって
既に超法規的に拘束（一説には既に殺害されている）が、
一部の解法を記したメモが既にイスラエルに流出しているという。

現在米軍は不測の事態にそなえ、準戦争体制をとり、
既に偶発核戦争防止のための協議に入っているという。
博士の殺害について各国から非難の声が上がっているが、
政府は、「世界平和上、真にやむをえない、極めて特殊な超法規的措置である」
という声明を出している。
流出したメモは解法の一部だけしかなかったが、これを
スタンフォード大学の数理学者が米軍の厳重な監視下で分析作業
をしたところ、現時点では学者としての直感的ではあるが、
博士は真に解法を発見しただろうと予想しているという。
博士は既に殺害されているが、周辺メモなどから、実際に
逆関数が導出可能であることが示されれば、世界中の数理学者の
補足研究により、数ヶ月以内に世界中で解法が発見されるだろうと
いうことです。

しつこい

>>527
多項式時間で解けない、っていう数学的証明はできていない。
もしかしたら解けるかもしれない可能性は残ってる。

暗号化および複合に関する数学的説明をしてくださいな。

・鍵
たぬきの絵を文章の最後に入れる。

・暗号化
文章のところどころに"た"を入れる。

・復号化
暗号文から"た"を外す。

素因数分解の研究が卒論のテーマになったんだけど
なんていう本読めばいいか教えてほしい。
自分は数学的知識を持ち合わせてなくて一般数体篩法がわからないんだorz
基礎から勉強しなきゃならん

>>533
で、平文に含まれていた“た”はどうなるんだ？

>>535
「た」の無い文章を書く。

・鍵
たぬきの絵を文章の最後に入れる。

・暗号化
文章の"た"を"にょ"に変える。
文章のところどころに"た"を入れる。


・復号化
暗号文から"た"を外し、我慢して読む。

・鍵
たぬきの絵を文章の最後に入れる。

・暗号化
AESで暗号化する。ただし鍵はたぬき。

・複合化
AESで復号する。

>>538
日本人ならCamelliaだろ

現代の暗号って高度なんですね

>>534
CRYPTREC | 技術報告書
ttp://www.cryptrec.jp/estimation.html
立教大学　木田先生のサイトのページ
ttp://www.rkmath.rikkyo.ac.jp/~kida/bunkai.htm

>>541
木田先生というとBASICのかたですね。懐かしい。

>>541
せっかく教えてもらったのに悪いんだけどその木田先生のページ見て
分からないからここに書き込んだんです。ごめん。
才能ないから諦めるべきなのかな・・・

ESIGN署名について、以下の検証方法が正しい証明を知りたいのですが
どなたか証明手順や参考文献などを教えてください。

http://www.math.s.chiba-u.ac.jp/~matsu/gpg/gpg-a1.html#esign

>544
署名生成アルゴリズムで, x, w, yは計算してるが, sを作ってない.
分かりづらいので, 仕様書を読んだ方が良いと思う.
http://info.isl.ntt.co.jp/crypt/archive/index.html#esign

>>545
助かりました。ありがとうございます！

みかかの関連企業などが優秀な人材を集めて作った暗号システムが
中国人の暗号解読屋によって解読されて困ったという話をよく聞くのですね.
たしかパチンコのカードだったかハイウェイカードだったか，そのあたりですが
これはどうなんでしょう．

だれかご存知のひといますか．

それと自分暗号解読がちょっと必要になりまして，以前ちょっと勉強したり
解読ソフト使ったりしたのですが，うまくいかなかったので，一般的な解法を
研究しようとおもうのです．
数学で言えばどのへんでいくのがうまくいくでしょうか．

暗号解読といったって、対称鍵暗号のブロック暗号・ストリーム暗号
公開鍵暗号、プロトコルに対する攻撃・・・
などなど幅広いので質問者がある程度範囲を狭めてくれると答えやすいね。

>>５４８
どうも
RC４はweakIVを攻めるというのはわかっているのですが，それでは４０bit
まででもなかなかなんです．

辞書式は，辞書の整備がたいへんでとてもとても．
考えられるかぎりのパスワード生成規則をいれればつかえるのでしょうけど．

その延長上です．数学はフーリエ変換のプランシュレルの定理くらいなら
わかります．

どうも〜〜すいません
誰かわかる人教えてほしいんですけど、、、平文の集合M＝｛ｍ１、ｍ２・・・ｍｎ｝
暗文のしゅう集合C＝｛ｃ１、ｃ２・・・ｃｎ｝で鍵K＝｛K１、ｋ２・・・ｋｔ｝
をCからMへの全単射の集合でｔ＜ｎであるならば　K（C）not= M　
となることを証明せよ。をわかりやすく教えてほしいのですが〜・・・

＞K（C）not= M

って何？

れすつかん．Wikipediaでべんきょうしよう．Wikiなかなかいいですよ．

ところで，ｄｖｄの話は有名ですが，日本のデジタル放送のシステムも破られた
とのことです．
職人さんには，敬意を表しますね.

暗号解読こそ，まさにキング　オブ　ホビーですな．

551の内容がわからんから、説明してくれれば

550の内容がわからんので説明・・・

RC4ってソースコード自体はOpenSSLとかから手に入るけど
ドキュメントはどっかに公開されているんだっけ。

>>555
CRYPTREC報告書とか推奨暗号リストを見たら？

説明不足ですまん。
アルゴリズム仕様の書かれたドキュメントのこと

K（C）=/= M

のＫ（Ｃ）は何？

ああなるほど、Ｋ（Ｃ）＝｛Ｋｉ（ｃｊ）｝という意味か

Ｋ（Ｃ）＝｛ｋｉ（ｃｊ）：i,j=1・・・ｎ｝ならK（C）= M　になるんじゃないか？

>>555
元々はアルゴリズム秘密の暗号だったから、
公式のドキュメントっていうのはなかったはず。
ただ後付でどこかで、仕様書っぽいものを
公開している可能性はある。

Arcfour

現在旧帝Ｍ2暗号設計。就職先無いから、外部発表の時、
はっぴょうが終わってから「私に就職先をください！」
と企業関係者に絶叫する予定。。。。。。。。。。。。。。

>>563
積極的にアピールするのはいいと思うけど、
絶叫までいっちゃうと逆効果では？
なんていうか企業では、
そういう空回り系の人は敬遠されると思う。

>563
暗号専門にやってても就職先無いわけ？
俺も暗号関係の仕事に就きたいのに・・・

はい、現在無い内定のうんこです。

暗号系の専門家が絶叫してはまずいわなww

暗号で絶叫するべし！

「ｖｖっヴぁ」→（復号）「セックスしたい！」

「0110011110100111010111001100011100001！」→（復号）「就職したい！」

>>569
32442512！

してこい

せめて15分は気付かないで欲しかったな…(;σ_σ)

ってか、みんな一瞬で気づいたけど
あえて書き込まなかっただけかも

もはや暗号ではないということで(σ_σ)ﾉ

小学生だったあの頃を思い出す暗号だな＞あかさたな

>>550
問題の意味も分からんけど、答えを書いてくれたらわかると思うので、答えを書いてほしいのだが

>>563，565
泥棒がいるからこそ，警察官の求職もある

暗号を解読するひとがどんどんでてくれば，就職先はみつかる
まず自分からいろいろ解読してみたら
法に触れないように注意して

↑の”求職”は”採用”のあやまり

あ！ASIACRYPT投稿〆切が1週間伸びましたよ。奥さん。
IACR主催なのに珍しいですね。

>>520のCRYPTREC Report 2005 暗号技術監視委員会報告書の改訂版が出てますね．
最後のページに４項目の変更点が載ってました．
ttp://www.cryptrec.jp/topics/cryptrec_20060525_c05report.html

age

359

あげ

暗号ってここ数年、停滞してない？

>>75
> 個人的な感想だが，Goldreichのテキストは相当計算量理論に
> 重点を置いているので，暗号理論一般を勉強したい人向けではないな．
>
> 本当にコアな計算論的暗号理論やる人は一度通読すれば相当な力が
> つくのは間違いない．

もろに遅レスなんだけど、計算論的暗号理論　ではない　暗号の研究分野
って具体的にどういう分野なのか、だれか偉い人教えてください。
揚げ足取りとかじゃなくて、素人なので、本当に気になるので・・

計算量的な安全性の世界で議論している人が
みんな計算複雑さの理論の深いところまで理解しているかというと、そういうわけでもない
確率的検査証明だの、P≠NP証明に関する各種数理的アプローチだの
たくさんの計算複雑さのクラスの特徴付けとその階層関係だのはよくわからん・・・
もちろんわかってる人もたくさんいる・・・

情報量ベースの暗号は解けないことがほぼ証明されてる

>>586
詳しくはないけど、Maurerとかがやってる内容がそれではないかと。
あと、Wegman-Carterの認証方式とか。

量子暗号との関係が強いよね。

>>587
> 計算量的な安全性の世界で議論している人
っていうのは、暗号の世界の中で大多数を占めてるのでしょうか？
それとも、暗号の世界の中でもごく一部で、理論寄りってな感じの人たち？

>>589
レスサンクス
Wegman-Carterでググッたらがホワイトペーパーが出てきたけど、
たしかに計算量理論ていうよりは確率に近いような感じですね。なんとなく

bk3yb@4tes@hdw

>>590
安全性を素因数分解や離散対数問題の難しさに帰着させるのが計算量的な安全性
攻撃者はセキュリティパラメータの多項式時間で動作するチューリングマシンとして定式化される

あ、別に入力はセキュリティパラメータじゃないのか

どなたか、以下のＰＤＦドキュメントの２．１章にある
θ(theta)に対応する Inverse theta を解ける方いないですか？
あるいは、参考になるサイトを教えてください
http://homes.esat.kuleuven.be/~cosicart/pdf/VR-9700.PDF

よくよく読んでみたら、 Inverse thetaが書いてありますた。

We choose
c(x) = 2x 1x x1x x2 3x x3 :
This determines d(x) uniquely.
d(x) = Ex 9x xDx x2 Bx x3

いやぁ、ここ数日で有限体だの、GF(2^m)だの　いろいろ勉強しました。
つまり、d(x)ってのは、c(x)の乗法逆元ってやつなんですよね？　たぶん。

とりあえず、
http://homes.esat.kuleuven.be/~rijmen/downloadable/square/byte.c
などをもとに
試行錯誤の結果　復号化できるようになったんですが、
ひとつわからないことがあります。

それは、掛算です。
x*2mod(1+X4)
の計算を以下のようにしています。
#define ROOT 0x1f5U
word16 xtime(word16 x) {
x <<= 1;
if (0 != (x&0x100)) x ^= ROOT;
return x;
}
どうしてROOT(0x1F5)をXORする必要があるのか　さっぱりわからないです。
どなたか教えてください。

http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf
のSec4.2.1によれば、0x1F5じゃなくて0x005をXORすればいいように思うんだけど
わけわからないびょん・・・

あっ　0x005じゃおかしいですね。　　あたま　こんがらがってきたびょんｏｒｚ

どっか就職さき無い?（ワラ

ちょっとお聞きしたいのですが。

暗号化の乱数生成にランダムオラクルモデルを使っている公開鍵暗号系に対する
IND-CPA攻撃を考えて、この攻撃が多項式時間で終了するアルゴリズムを仮定します。
このアルゴリズムでは、第三者に平文m0,m1を渡してそのどちらかの
暗号文cを受け取り、その暗号文がどちらの暗号文かを多項式時間で判定するすると思いますが、
このとき、第三者がどちらかの平文を暗号化をする際にランダムオラクル
にアクセスした記録は、攻撃するアルゴリズムがアクセスするランダムオラクルに
残っているんでしょうか？？つまり、第三者がアクセスするオラクルとアルゴリズムが
アクセスするオラクルは同じですか？

あ、、、ひょっとして、第三者に当たるのがchallengerというヤツで、
ランダムオラクルは全てこのchallengerが担当してくれるのでしょうか？
ということは、m0かm1を暗号化した時の記録はランダムオラクルに残っていますよね？

>>601-602
IND-CPAのゲームでは、攻撃者もchallengerも同じオラクルにアクセスします

「オラクルへのリクエストを記録する」というのは
シミュレータがオラクルとchallengerをシミュレートする
（攻撃者にとっては通常のIND-CCAゲームの環境に見える）
ときの話ですね
シミュレータはオラクルへの入力Xをオラクルのふりをして受けとり
出力Yを自分で作成し（本物のオラクルを使ってもよい）、(X, Y)を記録し、Yを返します

このとき「challengerのオラクルへのアクセス」では
challengerをシミュレートするシミュレータ自身がオラクルへの入力Xを作り
さらにシミュレータ自身がXに対する返り値Yを用意し
(X, Y)をオラクルの入出力として記録する
という処理が行われます

>>603
大変助かりました。ありがとうございました。

人の能力を読む脳を悪用する奴を潰せ。

>>605
死ね

暗号理論やりはじめた人間ですが、現実的にはありえない仮定があんまりないような、
実用的な理論の研究って、今盛んなのは何ですか？ID-based？

昔だったら暗号屋は完成すると消されていた・・・

talk:>>605-606 人の脳を読む能力を悪用する奴を潰せ。

人の脳を読む能力を悪用する奴を潰せ。

>>607
Universal Composability：UC

>597-599
有限体だから.

http://itpro.nikkeibp.co.jp/article/NEWS/20060718/243617/
NECは2006年7月18日，個人情報を隠したまま認証を受けられるようにする
“グループ署名”のためのアルゴリズムが実用化フェーズに入ったと発表した。
公開鍵暗号方式の一種である楕円曲線暗号方式で用いる適切な曲線を発見したことにより，
「世界最小のデータ長（1700ビット強）と計算量」（NEC）になったとしている。
同社では，今後2年以内に製品やサービスに実装する。

>612
Furukawa-Imai方式かなあ

の改良じゃねーの

>612-614
そんな条件を満たす曲線ってあるの？構成できるの？
っていう声に応えて
曲線を実際に構成できました
っていう話に聞こえました。あってる？

もともとグループ署名ってのは効率が悪い。
そこで Boneh-Boyen-ShachamがCRYPTO'04で
Short Group Signature を提案した。（ただしJoinの効率は悪い）
この方式よりさらに署名長が短くて高速なのが
Furukawa-Imai方式。

研究会のプレゼンは聴いてないので憶測で書くけど
（この発表がFurukawa-Imaiの改良だと仮定して）
Furukawa-Imai方式は、前提としている楕円曲線が
本当に存在するどうか不明だった。
そこで実際に曲線を構成して、実現可能であることを示した。
という話だったのでしょう。

だから615の理解でいいと思う。

でもBoyen-Watersが今年のEuroで
Compact Group Signatures Without Random Oracles
を提案しているんだよなあ。
この方式とFrukawa-Imai方式の比較はどうなってんだろ?

打倒スタンフォード大学！！！！

突然、すみませんが、
暗号を学ぶにはどこの大学がいいですか？
5、6校教えて下さい。
一応、情報系の学科がいいです。
お願いします。

横国、東大、中央、酒田短期

>618
東大、京大、東工大、電通大、横国
横国だけはやってることの毛色が少し違う気がするが。
九州と茨城は弟子を育てる気が感じられない。
（個人的な意見なので真偽は自分で確かめてください）
新しいところでは埼玉とか首都大。
首都大は数学よりな気もするけど

>>619-620
ありがとうございます。

グループ署名について質問があります。
ペアリングを使った方式だとメンバーの結託攻撃は
ないのですか。
つまり結託してグループマネージャーの秘密情報が
分かったりしないのですか。
グループ署名の一般的な制限と仕様を教えてほしいのですが。

茨城の暗号の先生て放置プレイ系なの？確か有名な人だよね。

573

いきなりですが・・・問題がわかりません。

ネットワーク上でアリスとボブが二人で協力してランダムビットを生成したい。
以下のようにすることにした。
１．アリスとボブはそれぞれランダムビットa,bを選ぶ
２．それぞれa,bを相手に贈る
３．a EXOR bを生成したランダムビットとする

この方法でランダムビットを生成することができるか？できなければ問題点を
指摘し、修正方法を示せ。

元ネタ、もしくは一瞬でわかる人がいたらお願いします。。。

>>1
この分野を知っていれば、公務員試験に有利だ。

>>625
問題の意図がわからん。
Diffie-Hellman鍵交換の説明に似ている気もするが。

>>625
意図が読みづらいけど、二人で乱数を作れればいいっていうプロトコルなんだから、
相手から来た値が信用できる値であることを証明しないとだめだよね。
それを考える問題なんじゃない？

>625
コイン投げプロトコルでぐぐる.
2でアリスとボブがa, bをそれぞれ送るんだけど, 同時に送ることは出来ない点を考えれ.
(プロトコルの都合上, アリスがボブにaを送った後, ボブがアリスにbを送ることになる)

ますますわからん

>>629
「アリスとボブが協力して」といってるからな．
敵対者は第３者であることを想定してるっぽいけどな．

その上で出題の意図が分からん．やっぱ鍵共有か？
ただ協力して乱数共有するだけだったらアリスがボブに
乱数送ればいいからな．

今年も中央大学でやるのね
http://www.21coe.chuo-u.ac.jp/security/index.html

>625の2.-3.を具体的に書くと, 以下.

1. アリスがランダムに選んだ a をボブに送る
2. ボブがランダムに選んだ b をアリスに送る
3. それぞれ a EXOR b を計算する

この場合, ボブは出力の a EXOR b を偏らせることが出来る.
ボブが a を見てから b を決められる点が問題なので, コミットメントを使ってごにょごにょする..

>631
その方法はアリスが悪者だった場合にダメ

>>632
これってどのくらい意義があります？
自分は今年から暗号始めた駆け出しのひよっこなんですが、暗号はもちろん、
セキュリティ全般にも興味があるので、こういうのは積極的に参加したいとは
思うんですが、これ結構時間喰いますよね。。

以前参加された方いらっしゃったら感想教えていただけると助かります。おながいします。

素数判定がＰ、ＲＳＡは崩れた、無線ＬＡＮも携帯もつつぬけ。

>>635
釣りにマジレスするのも何だが、判定と計算は違うよ。

>>635
携帯はもともとそこそこの強度にしてあるんじゃないの？
高額の機器を使えば盗聴もできる程度の強度。
(GSMについては数年前にこの話出てた。)

無線LANはどうなんだろう。

WEPはごみだけど、WAPなら

WPAだったか。

2010問題って何が問題なの？
桁数を増やせばいいだけじゃないの？

>>640
それがSHA-1やSHA-2にも当てはまるとでも？

>>641
SHA-10やSHA-20にすれば良い。

そもそもMDやらSHAの基本設計に問題がある可能性があるから、そのうち
ハッシュ関数も公募するんじゃなかったっけ？

APOPってMD5使ってるとどこかに書いてあったけど、
いまでもそうなんですか？

秘密ｶｷﾞMcEliece暗号ってどうなのー？！

たいした論文なくない？

安全性証明付き秘密鍵暗号ってないの？＞McEliece

秘密鍵McElieceなら暗号化速度もブロック暗号とストリーム暗号の中間くらいの速さなので、専用ハードを作れば毎秒1ギガビットの速さで暗号化できるという報告もある。

特別規制がかかっているわけでもないのにこんなに素晴らしい方法を
どうしてみんな使おうとしないのかわからん。
自分で使う分には快適だが。

>>648
もしよければ、ソースを教えていただけますか？
ＰＫＣとePrintにある論文なら読みましたが、鍵サイズが妙にでかいし、
実験データもなんか胡散臭いデータだったと記憶しているので・・・。

あ、失礼、、、秘密鍵McElieceでしたか、、、、何か論文ありましたっけ？

自分でやった実験結果しかないです。

因みに家で使っているソースはブルドックの中濃です。

秘密鍵にするというのは、もともと公開鍵が符号の生成行列だからでかい
のであって、生成多項式自体は小さいので最初から秘密鍵暗号で使うのが
よろしいかと思ったのです。この場合128ビットでも164ビットでも192ビット
でも好きな規約多項式を秘密鍵に選べるので鍵の洗濯プロセスが簡単で、
しかもこれといって弱い鍵もないので非常に鍵選択が容易です。
暗号文をシンドロームとして記録すれば、冗長性のない暗号が作れます。（符号化率1）
平分をエラーとしてランダムに埋め込むことで実現されます。
原理は簡単です。念のために置換行列で平分をランダムにスクランブル
させるのもいいかもしれません。暗号化の速さは平文のビット数の自乗に
比例します。線形時間ではないですが、デュアルコアプロセッサを使えば
並列処理が可能になるので線形時間まで落とせる可能性があります。

考えられる攻撃法は、Sudanのリスト復号法の拡張が考えられます。
このためエラービットとして平文を選択する場合、バイト誤り訂正をする
と仮定して、最小距離付近までのバイト数（エラーの数、ベクトルの重み）
を取るのが最も難しくなると思われます。
鍵生成が容易なので複数の鍵を同時に使ってストリーム暗号のようにブロック
毎に議事乱数を使ってランダムに鍵を使い分けるという方法も考えられます。

公開鍵を用いた実験結果はフランスの研究機関INRIA（Project Code）が
詳しく出しています。

秘密鍵暗号として使うアイデアは、フェンラオ復号法で有名なRaoが考えました。
訂正限界以上のベクトルを混ぜ、その復号にシンドロームとエラーパターンの対応表
を作っておき復号を高速にするというものでしたが、これは多表式暗号に通じるもの
で符号が持っている計算量的困難性とは全く無関係な方式です。
この方法には実効性のない解読法が提案されています。（事実上解読困難）
この攻撃に対する改良が非線形符号を使うというものがありますが、どのような
符号を使って効率化するかは未発表のようです。
自分自身としてはアーベル群符号（代数群の群環のイデアル）なんかを考え中です。

ここから話は非線形符号の構成という問題になるわけですが、ごく初期の段階で
構成論的問題が解決されています。（２元二次元符号の場合）
ここではいかにして暗号用の非線形符号を構成するかというオリジナル技の
研究というテーマになるわけですが、群環という代数学の専門分野での話し
になるのでちょっと説明は割愛させてもらいますが、構成には代数曲線の
（・ゞ・）ヤコビヤーン！
も使えたりして暗号数学としてはかなり面白そうです。

もし使途の目的が暗号そのものにあるのであれば、代数群と符号を直結、
特許促進プログラムを送り込むことが出来ます、が・・・
同時に他の研究者にもネタをばらすことになります。
どちらが先に問題を解くか、勝負だな。
ハイ。
そのプロジェクト間に合うんでしょうね？カスパーまで犯られたら終わりなのよ？
・・・約束は、守るわ。

このスレで
(･∀･)ﾔｺﾋﾞﾔｰﾝ
に遭遇するとは・・・

(D∀H)ﾃﾞｨﾌｨｰﾍﾙﾏｰﾝ

秘密鍵McEliece暗号
G：ゴッパ符号の生成行列
H:検査行列
P：ランダムな置換行列
秘密鍵ｆは符号の生成多項式。
e：重みd以下ｄ/２以上の平文
d：符号の最小距離
c:暗号文
r:乱数
ｆからGを生成。

暗号化
g:c=(rG+eP)H
復号化
g^{-1}(c)=eP(P^{-1})=e

キーを変えないと同じ文字列はいつも同じ暗号文になってしまう

Pがランダムなので一応ランダムに。符号長４０９６の場合、ｄバイトの平文を
暗号化すると仮定して4096_C_d個の暗号文ができる。
rGは出力に無関係なのでいらないかも。

置換行列Pは固定じゃなくて、ブロックごとに変わるランダム系列ということで。

Pを取ってしまうと確かに確率的暗号ではなくなる。
しかしフリーで出回っている秘密鍵暗号で確率的暗号なんてあるの？

(･∀･)ﾔｺﾋﾞﾔｰﾝ!
は代数曲線暗号ではすでに常識だから、一応暗号数学なのでは？

秘密鍵McEliece暗号 （修正版）
H：ゴッパ符号の検査行列
P_j：ランダム系列の置換行列
秘密鍵ｆは符号の生成多項式。
e：重みd以下ｄ/２以上の平文
d：符号の最小距離
c:暗号文

鍵生成
ｆからHを生成
暗号化
g:c=ePH
復号化
g^{-1}(c)=eP(P^{-1})=e

因みにこの方法で電子書名を作るというのがあった気が・・・

McElieceってみんな本気で取り組んだら、一気に崩れそうだからなぁ。興味ないわ。

1976年に登場して以来、いまだ破られていない暗号のひとつ。
カルフォルニア工科大がMITに対抗して考案した公開鍵暗号のひとつ。
安全性は証明済み。
しかしいまだかつて解読に成功したものはいない。

どうして誰も本気で取り組まないの？

数論系じゃないから？
日本の暗号界は数論オタばっかりでツマラン。
数学がバレエだとすれば暗号は新体操だ！
いかにして斬新なアイデアで暗号を作るかが醍醐味なのだ！

(((･∀･)))ﾌﾟﾙﾌﾟﾙﾌﾟﾙｰﾊﾞﾌﾞﾙｾｷｭﾘﾃｨｰ

行列ってところが信用ならないんでしょ。数論よりも、ある日突然ぽっくり、みたいな？
安全って言ったって、プリミティブにはかなりたくさんの攻撃方法が存在しているわけだしさぁ。
回避はできるとはいえ、あぶねぇっていう印象はぬぐえないんじゃないのかなぁ。

アフィン暗号と勘違いしてない？＞行列
少なくとも数論系のほうが安全だと？

McEliece系は一方向性置換になっているから安全！
NP完全問題を使っているから安全！

(▼д▼)ｸﾞﾚﾙﾅｰ ｷﾃｲ

暗号スレなのに暗号ネタが何もないなんて・・・

いろんな攻撃法が発案されているにもかかわらずことごとく回避できるというのは暗号設計が如何に柔軟性にとんでいるかという証拠だ。

改良型McElieceはOAEPだしインドCCA2だよ。

PKCのあの改良は、他の改良と比べてどういう風に意義があるのかよくわからない。。
もちろん俺がバカだからだが・・・やれやれ。

最初は適応的選択平文攻撃を最強の攻撃とみなして５種類の攻撃に
耐えられれば安全とみなされていたけど、最近になって暗号強度の定義
が厳密化されるに従っていろんな脆弱性がこれまで安全とみなされて
いたRSAとかも含む暗号にも弱点があるとわかった。それで安全性の定義
の研究を進めていって新たな攻撃にも対応できるように修正していった
経緯はRSAもMcElieceも同じという感じで。詳しくは教科書論文嫁。
日本語にはいいのが余りないけど、GoldreihのFoundation of Cryptography
は結構いいかも。英語版で上下分冊。

時間はただ流れているわけじゃないわ。
安全性の定義も常に進歩しているのよ。

いや、もちろんそれは知ってますが、IND-CCAの改良型McElieceの意義がわからないという
疑問です。

再送攻撃や改ざん攻撃に強くなったとかSemantically　Secureであるだったと思うが。

認証方式に使うのに１ビットも情報を漏らさないとか。

インドの山奥で修行して〜

ｲﾝﾄﾞ…(･д･)ﾇﾑ…

K高専の者です。卒研で楕円曲線暗号やっていて院はどこに行こうか迷って
いるのですが、楕円曲線暗号が盛んな国立大学はどこですか？

どこでも変わらないから、さっさと修了してNTT行けｗ



>>620

論文を読むって言う考えが少しでもあるなら、日本人の実績くらいわかると思うんだが。

数えるくらいしかないね。

むしろ数学専攻に行けばいいんじゃないか？

3.3.1.2 Niederreiter 公開鍵暗号
鍵生成: 以下の三つの行列H、S、P を生成する。
H: 2 元(n, k) 線形符号のn × (n − k) パリティ検査行列
S: (n − k) × (n − k) のランダムな正則行列
P: n × n のランダムな置換行列
H、S、P を掛け合わせてH 生成する。
H = PHS (3.7)
そして、H で訂正できる誤りのシンボル数をt とする。
秘密鍵: (S,H, P)
公開鍵: (H, t)
暗号化: 平文mを重みt のn 次元ベクトルとする。暗号文c は以下により計算される。
c = mH (3.8)
復号: 平文m は以下により求まる。まず、S の逆行列S−1 を暗号文に掛ける。
cS−1 = (mP)H (3.9)
この値cS−1 はH を用いて得られるシンドロームと等しいため、H に対応する誤り
訂正アルゴリズムEC をcS−1 に適用することでmP が得られる。
mP = EC(cS−1) (3.10)
このmP に対してP の逆行列P−1 を掛けることで平文mは求まる。
m = (mP)P−1 (3.11)

ということは厳密には秘密鍵Niederreiter暗号になるのか・・・

ｲﾏｲﾀﾝがパクってくれたようです。
ttp://imailab-www.iis.u-tokyo.ac.jp/MegroCrypt06/05privac.pdf

あのー、どなたかWEB上で輪講を一緒にしてくれる方いらっしゃいませんか？
どういう形かはまだ未定ですが、面白そうだと思う方がもしいらっしゃれば是非。

具体的に読みたいテキストは決まっているのですか？

数理科学
2006年9月号　No.519

特集 : ランダムネス― その美しさ，おもしろさ，不思議さ ―
特集 ランダムネスのおもしろさ 渡辺　治
ランダムネスを定義する 渡辺　治
乱数発生　ランダムネスを作る可能性，不可能性，妥協 松本　眞
暗号論的擬似乱数 小柴　健史
ランダムネスを計算へ 岩間　一雄
エクスパンダーとランダムネスの節約・除去 垂井　淳
ランダムネスと芸術 林　正樹
ファイナンス現象におけるランダムネス 新井　拓児
自然界に現れるランダムネス 田口　善弘
圧縮度に基づいた汎用な類似度測定法 P.Vitanyi　渡辺　治

名著に親しむ 特集から広がる読書案内
　　　ランダムネスって素晴らしい 伊東　利哉

http://www.saiensu.co.jp/sk.htm

これってただの読み物でしょ？＞数理科学

>>698
面白そうな特集。情報感謝。松本ってMTの松本先生だよね。

>>699
そうとも限らない。上の記事のタイトル見ても分かるが専門的なところまで
書いてる記事もかなりある。

>>700
はいそうです。MTって書いてもわかんない香具師覆い鴨。

小柴先生以外おでわかんないや。暗号屋じゃないならどこに
居る人たちでつか？

>>701

このスレはアホが多すぎるようやな。
もう一回頭冷やして出直してこいや。
渡辺治先生は東工大屈指の計算機科学者。
計算量理論の構造的研究における第一人者。
岩間先生は京大電子工学教授で論理回路の第一人者。

そうカリカリしなさんな
頭冷やして冷やして

工学部って馬鹿が多いよな。
時々凄く優秀なのも居るが。

>>704

理学部に崩れが多いことは巷であまりにも有名や。

>>702
で？
ランダムネスに長けた人なの？

ランダム性と計算複雑性にはどんな関係があるの？

ランダム性＝不規則
複雑性＝規則がある
もし複雑すぎて乱数と計算量的に識別困難であれば計算量的ランダム性がある、でいいの？

情報理論的乱数にはどこまで近づけるの？

チャイティンの定義で言えばパソコンで実現できる程度の乱数は、そのプログラムの長さに比例した複雑性しかもちえないことになるけど。

だから本質的に情報理論的乱数と計算理論的乱数は違うということに。

cf.
ゴールドライヒ: 現代暗号・擬似乱数
Complexity of Infomation Theory: MIT Press

Complexity of Infomation theory :Caltech Press
Hardness and Randomness :MIT

of -> in
and -> vs

>>701
伊東先生も元々暗号系の人だよ。
最近は計算量理論よりになって暗号やってないみたいだけど。

伊藤センセって暗号やってたのか、、、、、知らなかった

居途鵜？

チャイティン かあ。大昔あの人の本勉強してLispのインタープリターまで作ったけど、
結局、挫折した。algorithmic randomnessは具体的な計算が本質的に不可能
というのが痛くて、自分の仕事として応用するネタが見つからなかった。

あの本では確か本質的に解がランダムになるdiophantine方程式を具体的に
構成するってのがある意味応用だったっけ。その後これはすごいって応用例は
でたのかな。

レベルの低い板！

応用かあ・・・
ラン趨勢の本質の側面に関する議論なのかと。
応用したいなら有限群の方が沢山あると思うけど。

>>719
レベルの高い書き込みキボン

暗号初めて半年のガキなんですが、UCって今から一ヶ月で理解できますか？
どんな予備知識が必要なのか、よければご教授ください。
里帰り中のため質問できる人がいなくてどうしたものかと・・・。

レベルの高い書き込み
暗号文が公開されているとする。
匿名の通信者2名PとVがいるものとする。
秘密鍵McEliece暗号を使った場合、暗号文と2者間の間でゼロ知識証明プロトコル
を構成できるか。出来ない場合は理由も示せ。
同一条件でゼロ知識アーギュメントは可能か不可能なら理由も示せ。

暗号文と→暗号文を用いて

UCってユニバーサル何たらの略でいいの？

チャイティンの定義が理論的なものなので、実用的に使いやすくしたのが
ゴールドライヒの計算量的乱数性でしょ？今のところ最新のもの。
しかし計算量的安全性にはNTTなど日本から疑問の声が上がっている。（らしい）

ヒント；鍵が共有されている場合、お互いに誰かわからないまま通信相手が暗号文の作者であることを確信することが出来るような方法。
またはその暗号文が自分宛であるかどうかを確かめる方法。

追加：対話に参加しているものだけが
鍵を持たない第三者には識別不可能になるように。

日本は暗号研究のレベルが低いからちょっとがんばればすぐに新記録が出せる。
世界のレベルは新体操と同じくらい開きがあるので。
海外では一流の数学者や物理学者が暗号を研究しているが、日本は崩れが研究しているので
そんなに強敵がいない。
カバエバと村田由加里くらいの差がある。

計算量には変動がありすぎてバブリーなので、電子遺言とかには使えない。
100年たっても暗号強度が保障できないとだめ！って言ってるんだよね。＞NTT

>あの本では確か本質的に解がランダムになるdiophantine方程式を具体的に
構成するってのがある意味応用だったっけ。その後これはすごいって応用例は
でたのかな。
ランダムな楕円曲線の構成に使えるんじゃないですか？

>>729

暗号の数学理論に興味があったので、
「暗号の代数理論」（N.コブリッツ著）
を買ったのですが、
この著者は世界レベルの研究者と言えるんですか？

>732
N. Koblitzは楕円曲線暗号の創始者 (Millerも同時期)
http://www.math.washington.edu/~koblitz/

そーそー海外の研究者は日本人見たく視野が狭くない。
幅広くいろんな暗号を紹介している。
ﾔｺﾋﾞﾔｰﾝの計算方法を最初に初等的に紹介したのもこの本が最初だし。

し，紹介？
研究じゃなくて紹介なのか・・・それが視野の広さなのか・・・

>>723
すんません自分のレベルの低さが分かりました。
とりあえずコピーしといて現代暗号読み終わったら参考文献読んで
挑戦しまっす。

>>732

回答いただきまして有難うございます。

第４章の最初で今井ー松本暗号系（隠れ単項式暗号）が取り上げられていますが、
現在、この暗号の評価はどうなっているのでしょうか？

公開鍵暗号を構成する手法を幅広く検証しているといえる。

>737
4章の続きに元々の今井・松本暗号への攻撃が載っていた筈です.
改良方式もポツポツ出たけど, それも今一だったかと.

暗号強度評価の仕方について詳しく載っているホームページを
教えてください。お願いします

安全な暗号を設計する〜強度評価の問題〜はエネルギー問題と同じくらい
人類永遠のテーマになりそうな悪寒。
まだ真性乱数は存在するかという問いのほうが想像しやすい。

今日９月１日の日経朝刊に
不治痛の素因数分解の記事が載ってましたね

ソースはどこだろう？

>742
富士通のサイトにある.
http://pr.fujitsu.com/jp/news/2006/09/1-3.html

サンクス！423ビットをひと月かあ。

【科学】暗号解読マシンが可能に？　１２８けたの素因数分解が可能なコンピューターを開発
http://news19.2ch.net/test/read.cgi/newsplus/1157107175/

富士通、専用ハードによる素因数分解に世界で初成功
http://slashdot.jp/science/06/09/01/1640213.shtml

感想：よくわかってないのに，とりあえず「こんなのたいしたことない」と
切って捨てたがる人が多すぎ

そら、暗号知らなければ因数分解できるのがすごいとは微塵も思わないでしょｗ
まぁ、少しはそのすごさを知ろうとしろ、って思うけどさ。

秘密鍵McElieceがすごいとは微塵も思わないでしょｗ
少しはすごさを素人しろって思うけどさ。

AESの代わり暗いには使えて欲しいもんだが。

ところで、秘密鍵暗号に対する攻撃の計算量的評価はされているのでしょうか。
具体的に56ビットのDESを線形解読法にかけた場合の計算量とか、消費するメモリ
の量で攻撃の強度という新たな指標ができると思うのですが。

>>749

君の着想は独創的だ。
うまくいけば○○指標の名が世界中に広がるであろう。

こらこらｗ

今の暗号は理論的な解読法が存在するだけで危険とか言われて研究が
止まるけど、実際にその攻撃をかけた場合に実時間で解ける範囲が鍵の
ビット長に比例していることを考えると、具体的な攻撃実効性の評価を
行うための目安が無いことに気づいたのです。

解読データとして何台のパソコンでどのくらいの時間で解いたという記録
はあるんですが、個々のデータがばらばらで比較できない。

秘密鍵暗号は公開鍵暗号と違って計算量的一方向性を使っていない設計
が多いので攻撃法に対する安全性で比較するしか今のところ思いつかない。

100年以内に解読可能なビット数が一番少ない暗号が安全という言い方が
したい。攻撃シミュレーションモデルを秘密鍵暗号にも適用した場合、
鍵の長さに対して100年以内に解読できる可能性が何％とかそういう言い方
になると思う。50%に固定すれば鍵のビット比が求まるという感じ。
弾道弾の精度と同じですね。

暗号理論には定義の研究というテーマもあるのでこういう未開拓な部分が
まだたくさんあると思われ。

min{攻撃法1O(n)、攻撃法2O(n)、攻撃法3O(n)、...}

攻撃の効率という面で、攻撃法の強度評価は暗号の安全性の評価には
欠かせないように思えるけどそんな論文見たことないし、聞いたことも無い。

暗号理論は妄想だからね

Mixiの社長の親父は暗号学者らしい。

ミクシィのババ抜き合戦は見ものだけどｗ

そもそも安全であることの証明はほとんど無理だからね
極論で言えば攻撃方法がまだ見つかっていないことにしか安全性の根拠がない

今の共通鍵暗号系の暗号学的な安全性って、全数鍵探索よりも
効率のいいアルゴリズムがあるか否かっていうことでしょ？極論でもなんでもなく。

破るまでの現実的な時間は、
MD5が8時間
SHA-1が4年
ということを聞いたけど、今はこれぐらい？
（今の自分が持ってるPCの性能で
細かい事は抜きでね)

>>761

>>760（＆暗号学者の何割か）的には
・全数探索より効率のいいアルゴリズムが「今見つかっていない」
ではなく
・全数探索より効率のいいアルゴリズムが（ある条件のもとで）存在しない
に、安全性の根拠をおきたいのではないかと。

(((･∀･)))ﾌﾟﾙﾌﾟﾙﾌﾟﾙ…

>>763
カオス鍵暗号とかだと、(全数探索より効率がいいけど)あるレベルよりも効率がいいアルゴリズムが
存在しないことが保証されてるよ。つまりある程度の鍵の長さを使えば将来的にも一定レベルの安全性が保証されている

単に安全性に証明がついている公開鍵暗号を秘密鍵にする
ってだけでは安全性の証明にならないの？
例えばNiederreiter暗号を秘密鍵にするとか。
実装したらAESより4.7倍遅かったけど。
後暗号化するとき何メガもメモリが必要なのがちょっと心配。
昔のパソコンだと暗号化できないかも。

>>765
Niederreiterに安全性の保障はない

McElieceと本質的に等価という証明がある。
なので安全。

安全性のレベルというか精度についての保証がないから
どのくらいの鍵長にすればどのくらいの安全性が保障されてるのかというのが言えない

>>766
SD問題（シンドローム復号問題）と同程度に困難性（NP困難）な
暗号として知られている。

>>769
多項式時間で解けないということしか保証されてない

鍵を56ビットにすれば知られている最も効率的な攻撃法でも
2^72の演算が必要になるらしい。
128、192、256ビットにすれば天文学的計算量。

"知られている"というところがポイントです

RSAでは準指数的時間の計算量を持つ解読方法が存在することが知られているが、
NP困難な問題は準指数的ですらないことを意味するのでは？

要するにNiederreiter暗号がSD問題と等価であることを証明すればいいわけだ。
そういえばフランスの研究者が激しくやっていたような気がする。
エコールノルマルの教授。だれだっけ・・・ジャック･スターンだったかな。

指数時間でしか解けないというだけでは安全性のバウンドが求められない
その具体的な係数の下限まで必要

多項式時間では絶対に解けないことが知られている、で十分？
そういうアルゴリズムは存在しないと。
巡回セールスマン問題と同じタイプだと。

>>775
暗号の持ちえる強度を厳密に計算理論的に計算しようとするとそういう
評価が必要になるのかなあ。そこまでする気はないけど。

RSAでなくてラビン暗号ならそういう厳密な下限評価は知られてるの？

アドルマンが具体的にアルゴリズムの係数の下限までやっていた気がする。

超楕円で素数判定した灯台なら知ってるはず。

係数までわかってないとどこまで危険という底が見えないから不安なのね。

ｹﾞｰﾏｰ(ﾟдﾟ) vs ｲﾍﾞﾝﾀｰ(▼∀▼)

　γ~三ヽ
　(三彡０ﾐ)
　 （ﾟдﾟ)　ｲﾝﾄﾞ　　　　　　(ｰдｰ)ﾇﾑﾑ…

McElieceには特許がありますが、Niederreiterも特許なんでしょうか？

さぁて、誰かにCRYPT2006の論文紹介をここでやってもらおうか

CRYPTO2006な

じゃあまずは>>786からだな。盛り上げてくれ！

276

共通キーを用いる暗号化アルゴリズムで無意味な文字列Aを暗号化し、新たな文字列Bを生成したとき、
暗号化された文字列Bから共通キーもしくは元の文字列Aを知る事はできますか？

元の文字列が意味のあるものだったら、
「暗号化された文字列Cに〜〜〜という操作を加えた結果意味のある文字列Dが生成できた為、Cの元の文字列はDだ」
といえるけど、そうじゃないと総当りしても元の文字列をそれと認識できずにスルーしてしまいそうで。

秘密鍵暗号は非線形変換で暗号文全体が群構造を持たないようにするのが大切らしい。

文字列に意味がある・意味がないって
どの部分で定義されてるんだろう

>>791
脳科学の話をしようとしてますか？

んなわけないでしょ明らかに

みさくら語において重要なのは伝えたい内容は文の内容ではなく雰囲気であるということだ

これかｗ
http://ex13.2ch.net/test/read.cgi/gline/1067589613/210

NISTでAHSコンテスト？

日本の暗号学者がんがってね

http://www.csrc.nist.gov/pki/HashWorkshop/timeline.html
これか…さすが２ちゃんは情報が早いな。
日本から出すとしたらNTTとかかな？

日欧で勝つより格段に効果あるから日本勢頑張れ

>>797
海外勢では大学の研究者もかなりいたと思うが、東大等はあきまへんのん？
NTT、三菱等のグループに参加？　自分たちはコンペに出ない？評価される
側には立たない？

>>799
今井秀樹研が中央大に移っちゃって、
東大には今は暗号バリバリの研究室がないからねえ。
情報セキュリティっていうくくりならまだしも。

それでも公開鍵系ならまだなんとかなるかも知れないが、
共通鍵系となると東大という線はかなりうすいと思う。

京都

京大で暗号やってる人ってだれかいたっけ？

いや、今週は京都旅行の時期だから、つい

>802
岡本・真鍋のNTT組。
もろに暗号じゃなくても数論アルゴリズムやっている人はいたっけか?

だとするとやっぱりNTTが中心になる可能性が高いような

>>804
その人らはNTT社員だしなぁ。数論系は数理解析研究所のほうでやってたような気がするけど
あそこのセミナーにはついていけなかったんでわからん。

>802
H先生がF大に移られてからは細々か
U先生はどうなん？

ていうか灯台鏡台で暗号を専門とする研究室がないということは、日本では
暗号は正式な学問としてみなされていないことになるよね。

NTTって関連会社多いけど、どこで暗号扱ってんの？

>>808
昔あった、日本政府・企業連合とIBMとの戦いを思い出したよ。

>>808
いや、暗号とか情報セキュリティを専門とする研究室が無い
とまでは言ってない。
松浦研究室もあるし、岡本龍明さんも連携教授？だったりするし。
他にもサブのテーマで暗号をやっているところは沢山ある。

だけど暗号アルゴリズムそのものの、しかも共通鍵系のアルゴ
リズムを専門的にやっているところが無いなあという話。
暗号プロトコルとか数論に近い方になると話はまた別だし。

Gregory J. Chaitin定義のランダム性をベースにした暗号などはありますか？

東海道新幹線が停まったー！

>>813
運転再開したけど　まにあわねぇ

2時開始になったよ

くすぶってる研究者は何人かでチーム作って世界デビューを狙ったらいいのに。

そもそもそういうことやる素質が無いから、くすぶってるんだよ

NTTはカオス暗号に力入れてる。というかカオス暗号では成果を出してる

どんな成果？

http://www.oklab.ice.uec.ac.jp/scis2007/
2007年 暗号と情報セキュリティシンポジウム
(SCIS2007)開催案内
(Symposium on Cryptography and Information Security)

参加する

今年はハウステンボスでやるのか。経費で行こうかな・・・

>>821
本当だ。
だれが選んだんだろう？

700

ハウステンボスのホテル事情を知ってる人、報告願う。
だって経費じゃ落ちないくらい高そうじゃん。

科研費でハウステンボスですか

age

電子貨幣って使われてるの?

webmoney, edy,

>>828
それらは電子貨幣ではなくてクレジットカード。
数MBのお金のファイルをやり取りしているわけではないからね。

お金のファイルがなぜ数MBになるんだ？

莫大な桁数なんだろう

ハウステンボスＪＲ・ＡＮＡホテルなら、
おれは株主様なのでそんなに高く感じないが。

よくわかんないけど、ハウステンボスって会社更生法適用されてるぐらいだから
会場代は安く済んだんじゃないの？ホテル代はわからんこど

自分が未熟なのはあるんですが、Goldreichが単独で書いてるものって
全然理解できないんですが。読みにくい部類に入ります？自分には理解不能な英語です。

たいして意味のない話ですんません。

英語としてはわかりやすいと思う。暗号の本だし。例も豊富だし。
今アーギュメントって奴を読んでます。完全秘匿プロトコル！

いや別にfoundations of cryptoのことではないっす。あれは読んだことないので。

ゴールドライヒの何の本？

``Modern Cryptography, Probabilistic Proofs and Pseudorandomness''?

和訳本持ってるけど、一章はいろんな分野の論文見て勉強した後に読んだらなんとかわかった
勉強する前に読んでもチンプンカンプンだった

2日は電通大でJANT研究集会がありますね
http://ntw.e-one.uec.ac.jp/jant/program16.html

横浜のヤクザ林一家林組は､経営しているカラオケ屋バンガーローハウス中華街店で、
カラオケをしている時に機械を使い脳に電波ではいり、人をもて遊んでいる
だれにもばれないとおもってやりたい放題。そして気づかれないように思考盗聴、自殺、突然死、、マインドコントロール、誰かをずっと好きにさせる、思ったことを行動させるなど。
痛みやいやがらせや声を聞かせることもできる。
中国人でヤクザという少数派

たまたまWikipediaでリベストを検索したら，こんな記述があったよ
http://ja.wikipedia.org/wiki/%E3%83%AD%E3%83%8A%E3%83%AB%E3%83%89%E3%83%BB%E3%83%AA%E3%83%99%E3%82%B9%E3%83%88

>2006年9月25日、リベストは新たな発明 ThreeBallot voting system（ThreeBallot投票システム）を発表した。
>これは投票者が誰に投票したかというプライバシーを保護しつつ正しく投票数をカウントできる画期的な投票システムである。
>また、重要な点はこの投票システムが暗号技術に依存していない点である。

The ThreeBallot Voting System
ttp://theory.csail.mit.edu/%7Erivest/Rivest-TheThreeBallotVotingSystem.pdf
ThreeBallot Voting System の一般人向け解説
http://rangevoting.org/Rivest3B.html

SCISの締め切り、なんで早まってるんだろうな？
正直きびしいよ…

つーか出張・・・

日本語で公開鍵暗号スキームの安全性証明についてきちんと書かれているサイトおしえてください。

>845
去年の5月にあったらしいISECの講演会
http://www.ieice.org/~isec/event/event050517d.html

とりあえず1の概要と2の公開鍵暗号の証明可能安全性を見ると良いと思う
足りない分は教科書でも読んで

IND-CCA2とかの初めの論文とかでいいのでは。どれだか知りませんけど。

懇談会の費用高すぎです。学生は来るなということでしょうか。

科研費から出して貰えば？

懇談会は出してくれないんですって　意味わかんないっす

>>843
志村ー、締め切り、締め切り

>>848
まあ、そうだろうな。交通費が出るだけでもいいじゃないか。東日本のおじちゃんは
九州に行くのはとても大変なんだぞ。

一般 学生
参加費 20,000円 12,000円
懇親会費 10,000円 8,000円

＜ハウステンボスの入場料に関する注意＞
SCIS2007参加者は別途入場券を購入することなく，ハウステンボスへ入場
することが可能です． ただし，そのために入場ゲートを制限しますので，入場
ゲート場所をご確認の上ご来場下さい．

>懇談会は出してくれないんですって　意味わかんないっす
これ普通なんじゃないか？

必携参加なら費用をくださいということです。。

^と&しか使わない行列演算って省略できないの？
例えばベクトルv=(m1,m2,m3,m4),
行列A＝((a1,b1,c1,d1)(a2,b2,c2,d2)(a3,b3,c3,d3)(a4,b4,c4,d4))
とする。
v*A1=(m1&a1)^(m2&a2)^(m3&a3)^(m4&a4)=(m1^m2^m3^m4)&(a1^a2^a3^a4)
つまりm=(m1^m2^m3^m4),a=(a1^a2^a3^a4) <=> m&a
ｎ次元ベクトル演算は、ｖにｎ回の排他的論理和を施したものと、
Aの列ベクトルの排他的論理和をあらかじめ計算しておくことで
行列演算がO(n^2)->O(n)になるのでは？

>>832
おでもそう思う。

論文賞取ったらチャラになりますよ。>848
ガンガレ！

学生だけで裏懇親会でもやったら？

>>856
重要な意見。
学生中心で裏懇親会企画し親分たちも引っ張りこんでしまえ。

でもたしかに、SCISってオッサンの研究会になっちゃってるかもなあ。

懇親会で、恒例の某氏の寒いジョークプレゼンを聞くよりも、
裏懇親会のほうが楽しいかも。

スミソニアンで昔の新聞の記事欄を暗号解析してＫＧＢの指令を
読み解くとポロニウムをもられてしまう

>>859
懇親会でジョークプレゼンなんてあったっけ？
>>858
そう？おっさん（おばはん）より学生の方が発表数多いっしょ。

ナイトセッション?

>859 = 853 = 850
研究室を特定しますた！

「暗いと不平を言うよりも、すすんであかりをつけましょう」

>>863
残念ながら、その等式は間違ってます

>>862
そう。それそれ。

ハウステンボスでも行ってくればいいじゃん

ゴチャゴチャ言ってないで、netで会場候補検索して予算とかメニューとか住所とか調べて
参加可能性あるやつに声かければいいのに。

>>867
じゃあやって

>>868
だって俺小学生だもん。

【IT】傍受・なりすましが不可能な次世代無線LANが登場、高知県庁で実験[06/12/08]
http://news18.2ch.net/test/read.cgi/bizplus/1165765594/

さて、締め切りすぎましたけど、みなさん調子のほどはいかがでしたか

第7回代数幾何・数論及び符号・暗号研究集会
12/20（水）〜12/22（金）
東京大学　大学院　数理科学研究科　大講義室（駒場）
参加無料．事前申込不要．
http://nicosia.is.s.u-tokyo.ac.jp/jsiam-fais/2006-daisu-fugo-ango.pdf

有限体上の曲線はGF(256)でq+1+g*2*sqrt(q)個の点を持つはずですが以下の曲線を調べるとそれ以上出てきます。
C:y^8+x^8+x^2y^6+xy^7+x^7y=0
GF2上で既約です。これってどういうこと？

＃C=2041＞256+1+21*2*16＝929？

>>872
あんま興味ないなぁ。この前千葉大でやってたのが面白そうだったのに、
忙しくていけなかったんですよね。他に暗号理論の公開講座ないかなぁ。

The Kryptos Code
Left Side


E M U F P H Z L R F A X Y U S D J K Z L D K R N S H G N F I V J
Y Q T Q U X Q B Q V Y U V L L T R E V J Y Q T M K Y R D M F D
V F P J U D E E H Z W E T Z Y V G W H K K Q E T G F Q J N C E
G G W H K K ? D Q M C P F Q Z D Q M M I A G P F X H Q R L G
T I M V M Z J A N Q L V K Q E D A G D V F R P J U N G E U N A
Q Z G Z L E C G Y U X U E E N J T B J L B Q C R T B J D F H R R
Y I Z E T K Z E M V D U F K S J H K F W H K U W Q L S Z F T I
H H D D D U V H ? D W K B F U F P W N T D F I Y C U Q Z E R E
E V L D K F E Z M O Q Q J L T T U G S Y Q P F E U N L A V I D X
F L G G T E Z ? F K Z B S F D Q V G O G I P U F X H H D R K F
F H Q N T G P U A E C N U V P D J M Q C L Q U M U N E D F Q
E L Z Z V R R G K F F V O E E X B D M V P N F Q X E Z L G R E
D N Q F M P N Z G L F L P M R J Q Y A L M G N U V P D X V K P

D Q U M E B E D M H D A F M J G Z N U P L G E W J L L A E T G
E N D Y A H R O H N L S R H E O C P T E O I B I D Y S H N A I A
C H T N R E Y U L D S L L S L L N O H S N O S M R W X M N E
T P R N G A T I H N R A R P E S L N N E L E B L P I I A C A E
W M T W N D I T E E N R A H C T E N E U D R E T N H A E O E
T F O L S E D T I W E N H A E I O Y T E Y Q H E E N C T A Y C R
E I F T B R S P A M H N E W E N A T A M A T E G Y E E R L B
T E E F O A S F I O T U E T U A E O T O A R M A E E R T N R T I
B S E D D N I A A H T T M S T E W P I E R O A G R I E W F E B
A E C T D D H I L C E I H S I T E G O E A O S D D R Y D L O R I T
R K L M L E H A G T D H A R D P N E O H M G F M F E U H E
E C D M R I P F E I M E H N L S S T T R T V D O H W ? O B K R
U O X O G H U L B S O L I F B B W F L R V Q Q P R N G K S S O
T W T Q S J Q S S E K Z Z W A T J K L U D I A W I N F B N Y P
V T T M Z F P K W G D K Z X T J C D I G K U H U A U E K C A R

Right Side

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D
A K R Y P T O S A B C D E F G H I J L M N Q U V W X Z K R Y P
B R Y P T O S A B C D E F G H I J L M N Q U V W X Z K R Y P T
C Y P T O S A B C D E F G H I J L M N Q U V W X Z K R Y P T O
D P T O S A B C D E F G H I J L M N Q U V W X Z K R Y P T O S
E T O S A B C D E F G H I J L M N Q U V W X Z K R Y P T O S A
F O S A B C D E F G H I J L M N Q U V W X Z K R Y P T O S A B
G S A B C D E F G H I J L M N Q U V W X Z K R Y P T O S A B C
H A B C D E F G H I J L M N Q U V W X Z K R Y P T O S A B C D
I B C D E F G H I J L M N Q U V W X Z K R Y P T O S A B C D E
J C D E F G H I J L M N Q U V W X Z K R Y P T O S A B C D E F
K D E F G H I J L M N Q U V W X Z K R Y P T O S A B C D E F G

L E F G H I J L M N Q U V W X Z K R Y P T O S A B C D E F G H
M F G H I J L M N Q U V W X Z K R Y P T O S A B C D E F G H I
N G H I J L M N Q U V W X Z K R Y P T O S A B C D E F G H I J
O H I J L M N Q U V W X Z K R Y P T O S A B C D E F G H I J L
P I J L M N Q U V W X Z K R Y P T O S A B C D E F G H I J L M
Q J L M N Q U V W X Z K R Y P T O S A B C D E F G H I J L M N
R L M N Q U V W X Z K R Y P T O S A B C D E F G H I J L M N Q
S M N Q U V W X Z K R Y P T O S A B C D E F G H I J L M N Q U
T N Q U V W X Z K R Y P T O S A B C D E F G H I J L M N Q U V
U Q U V W X Z K R Y P T O S A B C D E F G H I J L M N Q U V W
V U V W X Z K R Y P T O S A B C D E F G H I J L M N Q U V W X
W V W X Z K R Y P T O S A B C D E F G H I J L M N Q U V W X Z
X W X Z K R Y P T O S A B C D E F G H I J L M N Q U V W X Z K
Y X Z K R Y P T O S A B C D E F G H I J L M N Q U V W X Z K R
Z Z K R Y P T O S A B C D E F G H I J L M N Q U V W X Z K R Y
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D

https://www.cia.gov/cia/information/tour/kryptos_code.html

Maj. Heyman Breaker (USMC)Jan 24 2005, 11:11 AM
It's been nearly 15 years since Sanborn installed the 12-foot-
high, verdigrised copper, granite and wood sculpture inscribed
with four encrypted messages at the CIA's Langley, Virginia,
headquarters in 1990. And it's been seven years since anyone
made progress at cracking its code. The CIA's top analysts
haven't been able to carck it, see what you can do....

The following four blocks are as directly transcribed from
the statue, and in order 1-4

http://en.wikipedia.org/wiki/Kryptos

Solution 4
Part 4 remains publicly unsolved.

「Felicaの暗号が破られた」とかいう噂話をネットで見かけたけど
何がどう破られたのか、具体的な内容が全然わからん

やっぱサイドチャネルかな？

元々は最近○ニーを出た人による釣りだったと
いうオチで収束しつつありますよ。

ソース出せよ>886

>>884
既存の広く使われてるのを使ってるんじゃなかった？
だからもし破られたというのなら、世界的に大問題になるはず。
ことはFelicaにとどまらない。

楕円曲線暗号の暗号化の部分で
c2=M+rY　（M:平文　Y:公開鍵）
の加算ってどうやって計算しているのでしょうか？
具体例は
(0,1) + (5,2) = (10,8)
こんな感じです。

|A')ノ http://ja.wikipedia.org/wiki/%E6%A5%95%E5%86%86%E6%9B%B2%E7%B7%9A

楕円加算なんですね。
ありがとうございました。

福岡かー、とおいよな〜。
仙台、福岡って辺鄙なところで開催するのが流行ってるの？
東京、大阪あたりで開催する事ってないの？
今回は2万打して論文だけ買うわ。

東京や大阪だと日帰り出張になっちゃうぢゃないか

福岡は充分栄えてますよ

|A')ノ　長崎

・青春18きっぷ
・長距離バス

さすがに長崎はありえない。新幹線つかっても片道7時間超える・・・

新幹線が駄目なら飛行機を使えば良いじゃない。

プログラム来たね。
なんか多くない？

こんな暗号だめですか？
128ビット素数Pを秘密鍵にする。
120ビット平文M
120ビットの乱数Rとします。
更に、256ビット乱数R2を使って暗号化は、
暗号文C=(P*M+R)^R2
復号化M=((C^R2)-(C^R2)%P)/P
こんなのだめですか？

日帰りが駄目なら旅行を兼ねればいいじゃない。

平方非剰余問題のゼロ知識対話証明のプロトコルについて教えてください(>_<)

>901
http://wwwmayr.in.tum.de/konferenzen/Jass05/courses/1/papers/vyahhi_paper.pdf

>>899
パッと見、遅くて使えなそう。

>902
どうもありがとうございます！助かりました！

>902
目を通してみたんですが、『ωがプロトコルで決められた通りに作られていること』を示している(と思われる)部分で、ajとbjを求めて、この組をＡに送る意図がわかりません…。
あと、その後のベクトルvを決定した後に、検証者Ｂがどうやって証明者Ａに『ωがプロトコルで決められた通りに作られていること』を納得させているのかもわかりません。
よろしければ教えていただきたいですf^_^;

>899
一瞬、梅どぶろくが再来したのかと思った。

>>905
もっと考えましょう。人に教わらないとわからないような内容ではないですよ。

大学院では暗号理論を学ぼうと思ってるのですが、
海外の院だったらどこが有名なのでしょうか？

楕円曲線の加法群について質問します。
もしか法が成り立つなら乗算表も作れるはずです。
2P*3P=6P
2P+3P=5P
P+P=2P
P*P=？
という感じで途中でわからなくなってしまいました。
どなたか教えてください。

>909
群の勉強しなおして来い。
2P+3Pは (P+P) + (P+P+P) なので5Pなんだが。
そもそもどうやって2P*3Pを定義したんだ?

乗法群は加法群の変形で作れると書いてあったので、自分で定義してみました。
イメージが違うのであればどうすれば乗法群に変形できるのか教えてください。
Zp上では普通に積が定義できますけれど、楕円曲線も同じようには行かないの
でしょうか？群の位数は素数の巡回群としてください。

楕円曲線から群環F[E]を作りそのイデアルを考えたいと思っています。

群環の定義
E={P1,P2,P3,P4,P5}（有限巡回群）
F=Z/7（有限体）
E is Elliptic curve over Z/7 then
α1,α2...、β1,β2...∈F,χ,ξ∈E
x=Σαχ
y=Σβξ
という5次元ベクトル空間を定義する。
ベクトルx,yに対して積を定義する。
x*y=Σαβχξ
こうして有限群から構成された環を群環という。
群は有限群なら何でもいいはず。群環はイデアルを持つ。
元となる群がアーベル群なら構成される群環も可換であり巡回群であれば
そのイデアルも巡回群の性質を持つ。

加群と乗法群の違い。
単位元の代わりに０、aの逆元の代わりに−a

加法群に対しては群環は定義されないのですか？

関連スレ紹介


暗号、通信傍受、情報戦など合わせて、総合スレとして再出発

[諜報・防諜]インテリジェンス総合1[情報機関]
ttp://hobby9.2ch.net/test/read.cgi/army/1167797915/

「楕円曲線暗号　イアン・F・ブラケ」に標数２の実例が載っていなかった
ので実例(P+Qに至るまで)を挙げてみてもらえますか？お願いします。
E:Y^2 + XY = X^3 + a2X^2 + a6

ttp://www.secg.org/index.php?action=secg,docs_draft

量子計算機があるから数論系の暗号は100年もたない。
今後のことを考えたら離散対数系の暗号はあまりお勧めしない。

>>919
> 量子計算機があるから

ないよ。あと１億年たっても実用化できない。
量子コンピュータなんてものは売名＆予算獲得のためのコケオドシに過ぎんよ。

>>919
バカ ｷﾀｺﾚ!!

NSAにもNASAにもNAISA

>>920
物理的な根拠あって言ってるの？
一億年ってことはないと思うが。
15年では無理かもしれんが、50年たったらさすがにできてるでしょ。

量子計算機の動作時間で測れば、離散対数問題は多項式時間で解くことができるというだけのことで。
100年後とかその時代の、古典的計算機（どんな素子で動いているのか知らないが）ではまず解けないとされるサイズの離散対数問題を、量子計算機を使えば実時間で解くことができるかというと、また別の話。

増殖型ナノマシンコンピュータ

量子コンピュータは理論的に実用化不可能、という物理学者が多数派ですよ。

>>926
7ビット量子コンピュータはすでに作られてるんだが、そのことについて物理学者は何と言っているんだい？

>>926
２０年以内には、とかの制限付きの予測だとおもうが。
１億年たっても不可能って言いきる物理学者には会ったことない。

７ビット量子コンピュータって何かのギャグですか？
それが「実用化」なんですかｗｗｗ

古典コンピュータになおすと128ビットCPU相当になるからそこそこだろ

>>929
＞それが「実用化」なんですかｗｗｗ

>>927は別に
「7ビット量子コンピュータは既に作られてるんだから、量子コンピュータは実用化されているといってよい」
なんてことは主張してないと思うんだが

ところで>>926の「多数の物理学者」って、例えばどんな人達？
量子計算機についてははほとんど知らないので、参考までに具体名を教えてくれ

おやおや、答えられずに逃亡ですか？＞926

珍しく殺伐としているなｗ

SCIS前だから、みんなピリピリしてんだろう。
やっぱり、ボスの叱りが怖いんだよ。。。。
助けて、ﾏﾏﾝ

皆さんはどのような参考書を利用されましたか？

foundations of cryptography

eprint

根本的な間違いを見つけてしまった。発表どうしよう・・・

おまえは俺か

あるあるｗ

自慢の結果が既に証明されていたのを見つけてしまったけど見なかったフリｗ

自白しちゃえばok

ＳＣＩＳの論文賞ってどうすれば取れますか

組織票

カナダ産オマール海老

>>938何日目かだけ教えてくれ

>>946
つぶしにかかられるから嫌。
恐ろしい研究室もあるし。

ちうことで、次スレのタイトル候補を挙げていこうか

暗号数学について語ろう。3DES

が一番オチもひねりもなく暗号数学者らしいのかな？

いまいちだが、

暗号数学について語ろう。Alice, Bob, Carol Company

奇抜な案として

暗号数学について語ろう。三井　実

だな。

どれもつまんね

ROUNDのままで良いじゃん。

俺もそう思う

何か進展あったー？
どうでもいいギャグどうだったー？

暗号の未来について考えるヲネエ

おつかれさんでやんした

ＳＣＩＳの思い出を書いてください。

938はどうだったのかな？

>>956
問題の箇所はもうどうしようもないので周辺の結果を繋ぎ合わせて発表
おかげでタイトルと内容が微妙に違うことになったけどキニシナイｗ

特定できませんですた。
ある日の午後に狙いを定めていたんだけどな・・・

初参加の学生です。
暗号理論で食べていくのは厳しいけど、セキュリティ屋としてがんばりたいと思いました。
本当に楽しかったです。もっと勉強がんばります。

ナイトセッション最高でした。

ナントカ白書の暗号解読の話が面白かった

通商白書だね　ナイトセッションすごい人多かったね

通商白書だね　ナイトセッションすごい人多かったね

>956
>タイトルと内容が微妙に違う
お前は俺か

タイトルと内容が微妙に違う・・・そういう講演を聴いたかも。
質疑で突っ込まれてたっけｗ　ま、これ以上は言わないでおくか。

初参加だったが楽しかった

次回以降もっと懇親会の参加費が安くなりますように…

>>947
潰しにかかってるんじゃなくて熱心なだけだよ

放射性崩壊を利用した本物の乱数をネット上で手に入れよう
http://news21.2ch.net/test/read.cgi/scienceplus/1170330094/

東大とNECが絶対に解読不可能な
暗号システムを作ったことが
科学新聞に載っていた

バーナム暗号なら昔からありますよ

>>919の
量子計算機があるから数論系の暗号は100年もたない。

じゃなく

量子暗号があるから数論系の暗号は100年もたない。

だったら正しいと思う。ホントに。

バーナム暗号て「実際には」どのくらい昔からあったんだろう。

いろは歌の謎とか、シェークスピアの暗号とか、信じる？
信じるなら、その頃からあった。

古書の原文を、この行は3文字飛ばしで、この行は2文字飛ばしで逆から読んで、この行からこの行までは斜めにズラシて、
なんとか意味のある言葉を導き出して、
「＊＊＊の謎」って本書くと、一儲けできるよ。

ははは、そんなのありますねｗ

700

次スレは！

月の裏には地球に住むある一人の人物の脳波を解析するための
自己増殖型大規模並列計算機があるという

字刷れ立てました。

暗号数学について語ろう。ROUND 3
http://science5.2ch.net/test/read.cgi/math/1170938965/

二年六時間。

age

おーい

だれかー

いるかー

もうすこしでー

しゅーりょー

だなー

あーあーあー

さげーて

どうした
さるさん規制に引っかかったかｗ

test

そおーと

>>988
そうだよ

でも復活したんだよ

オレは１０００番がほしいんだよ

あともうちょっと

ウヒヒヒヒ

ジャマはしないでくれよな

エヘヘ

あーあーあー

おまいら次スレ立ててから埋めろよ

おまえもなー

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。