【情報技術】 次世代暗号「ペアリング暗号」(278桁923ビット)を148日で解読 情報通信研究機構らチーム
154 :名無しのひみつ:2012/06/20(水) 10:34:39.39 ID:x3cpLANI
計算の困難さを利用する暗号方式はいずれ廃れる
新しい暗号方式を発見しないとなぁ
新しい暗号方式を発見しないとなぁ
155 :名無しのひみつ:2012/06/20(水) 10:36:38.64 ID:x3cpLANI
156 :名無しのひみつ:2012/06/20(水) 11:06:58.32 ID:+OMwSrsh
MS Private folder で十分だな
で、これが破られて俺たちの生活に影響有るの?
>>154
最悪の場合に解読できないと困るから暗号の強度を法律で規制したりするんだろ。
最悪の場合に解読できないと困るから暗号の強度を法律で規制したりするんだろ。
SSLヤバイ?
この程度の研究じゃ暗号破れたとは言えんな
>>162
てことは、ある鍵長のRSA暗号と同程度の安全性を持つように
楕円曲線暗号の鍵長を設定すると
けっきょく計算時間やワーキングメモリサイズや回路規模は同じくらいになるってこと?
小さいのはメモリに格納される鍵の長さだけ?
てことは、ある鍵長のRSA暗号と同程度の安全性を持つように
楕円曲線暗号の鍵長を設定すると
けっきょく計算時間やワーキングメモリサイズや回路規模は同じくらいになるってこと?
小さいのはメモリに格納される鍵の長さだけ?
>>163
安全性は同じだけど、計算コストや回路規模は複雑な演算をやってることから大きくなりがち
ただし、これからの研究で無視できるだけの差に縮まる可能性は多いにある
あと暗号ハードには鍵の他にも各種パラメータを初期値として与えるから、鍵長が縮むとかなりメモリ節約になる
安全性は同じだけど、計算コストや回路規模は複雑な演算をやってることから大きくなりがち
ただし、これからの研究で無視できるだけの差に縮まる可能性は多いにある
あと暗号ハードには鍵の他にも各種パラメータを初期値として与えるから、鍵長が縮むとかなりメモリ節約になる
>>164
そうだったのか・・・
>暗号ハードには鍵の他にも各種パラメータを初期値として与えるから、鍵長が縮むとかなりメモリ節約になる
あーなるほど
やっぱ暗号理論の教科書読んだだけで知ったかぶりしちゃだめだな
ちゃんとハード触らないとだめか
そうだったのか・・・
>暗号ハードには鍵の他にも各種パラメータを初期値として与えるから、鍵長が縮むとかなりメモリ節約になる
あーなるほど
やっぱ暗号理論の教科書読んだだけで知ったかぶりしちゃだめだな
ちゃんとハード触らないとだめか
166 :名無しのひみつ:2012/06/20(水) 21:05:12.43 ID:9K+x6w9U
>>161
加算や乗算に相当するペアリング演算自体が、ずいぶん複雑なのに、、、
しかも、ビット数が短いってのはこれまでRSAほどには真剣に攻撃されてないから
だったからだが、それはもはや過去の話になったってのが>>1
>>162
>同じ難易度の問題を用意する時鍵が短くて良いというのが正解
スレタイくらい見ろ
>>163
>てことは、ある鍵長のRSA暗号と同程度の安全性を持つように
>楕円曲線暗号の鍵長を設定すると
いまだに効率的なアルゴリズムが発見されてないからRSAより強力である可能性は0では
ないと言ってるだけであって、安全性を語れるレベルには至ってない
>ある鍵長のRSA暗号と同程度の安全性を持つように楕円曲線暗号の鍵長を設定する
なんてことは、安全性の評価がいいかげんなので、不可能
>>164
>あと暗号ハードには鍵の他にも各種パラメータを初期値として与えるから、鍵長が縮
>むとかなりメモリ節約になる
数Gバイトの不揮発性メモリがただ同然の現在に、数十Kビット程度のメモリ節約が何だっ
て?
w2.gakkai-web.net/gakkai/ieice/vol1no1pdf/vol1no1_051.pdf
にある「5.5放送暗号」は一瞬すごいと思ったが、「加入者数にかかわらず一定のビット長」
が大嘘で、各加入者は加入者の集合Sの情報を受け取らないといけないしねー
加算や乗算に相当するペアリング演算自体が、ずいぶん複雑なのに、、、
しかも、ビット数が短いってのはこれまでRSAほどには真剣に攻撃されてないから
だったからだが、それはもはや過去の話になったってのが>>1
>>162
>同じ難易度の問題を用意する時鍵が短くて良いというのが正解
スレタイくらい見ろ
>>163
>てことは、ある鍵長のRSA暗号と同程度の安全性を持つように
>楕円曲線暗号の鍵長を設定すると
いまだに効率的なアルゴリズムが発見されてないからRSAより強力である可能性は0では
ないと言ってるだけであって、安全性を語れるレベルには至ってない
>ある鍵長のRSA暗号と同程度の安全性を持つように楕円曲線暗号の鍵長を設定する
なんてことは、安全性の評価がいいかげんなので、不可能
>>164
>あと暗号ハードには鍵の他にも各種パラメータを初期値として与えるから、鍵長が縮
>むとかなりメモリ節約になる
数Gバイトの不揮発性メモリがただ同然の現在に、数十Kビット程度のメモリ節約が何だっ
て?
w2.gakkai-web.net/gakkai/ieice/vol1no1pdf/vol1no1_051.pdf
にある「5.5放送暗号」は一瞬すごいと思ったが、「加入者数にかかわらず一定のビット長」
が大嘘で、各加入者は加入者の集合Sの情報を受け取らないといけないしねー
167 :名無しのひみつ:2012/06/20(水) 21:42:27.21 ID:LfIFrCWs
俺のcorei7では、5桁のrarパスワード解析が限界。
7桁とかだと1年以上掛かるか。
7桁とかだと1年以上掛かるか。
>>166
>いまだに効率的なアルゴリズムが発見されてないからRSAより強力である可能性は0では
>ないと言ってるだけであって
否定が重なっていてちょっとわからなかったのですが
楕円曲線暗号とRSA暗号の安全性比較
http://jp.fujitsu.com/group/labs/downloads/techinfo/technote/crypto/eccvsrsa-20100820.pdf
によると、1024ビットRSAとGF(2^137)上の楕円曲線暗号が同じ程度の安全性をもつそうです
あと、中の人のtwitterでの見解によると
GF(3^193)上のペアリングが1024ビットと同じ程度の安全性をもつとのことです
>安全性を語れるレベルにない
とは、つまりどういうことなんでしょうか?
「現時点で考えられる安全性」ではダメなの?
>数Gバイトの不揮発性メモリ
あ、そういうのもあったか!
ガラケー使ってるから気付かなかった
ワンタイムパッドの鍵を不揮発メモリに保存する、というアイデアを前に聞いたことがあるな
>いまだに効率的なアルゴリズムが発見されてないからRSAより強力である可能性は0では
>ないと言ってるだけであって
否定が重なっていてちょっとわからなかったのですが
楕円曲線暗号とRSA暗号の安全性比較
http://jp.fujitsu.com/group/labs/downloads/techinfo/technote/crypto/eccvsrsa-20100820.pdf
によると、1024ビットRSAとGF(2^137)上の楕円曲線暗号が同じ程度の安全性をもつそうです
あと、中の人のtwitterでの見解によると
GF(3^193)上のペアリングが1024ビットと同じ程度の安全性をもつとのことです
>安全性を語れるレベルにない
とは、つまりどういうことなんでしょうか?
「現時点で考えられる安全性」ではダメなの?
>数Gバイトの不揮発性メモリ
あ、そういうのもあったか!
ガラケー使ってるから気付かなかった
ワンタイムパッドの鍵を不揮発メモリに保存する、というアイデアを前に聞いたことがあるな
暗号解くには、山感数アルゴリズムを作れば解読可能
感のいいやつにはバレバレだぜ
感のいいやつにはバレバレだぜ
>あ、そういうのもあったか!
なんで気が付かないの?
技術の進歩は状況も変化しているのに過去の常識でしか考えられない奴が
そういう使い方すら理解しようとしないのが未だにいるわけ。
なんで気が付かないの?
技術の進歩は状況も変化しているのに過去の常識でしか考えられない奴が
そういう使い方すら理解しようとしないのが未だにいるわけ。
ICカードの容量知ってるのかね…
そりゃあ、PCしか暗号使わないならRSAで充分だけどさ
あとこのニュースが破ってるペアリングは元々弱いことが知られてたペアリングだから、破られたところで何も変わらんよ
そりゃあ、PCしか暗号使わないならRSAで充分だけどさ
あとこのニュースが破ってるペアリングは元々弱いことが知られてたペアリングだから、破られたところで何も変わらんよ
>>170
日本語でおk
日本語でおk
173 :名無しのひみつ:2012/06/21(木) 11:22:34.99 ID:uaCtUcyI
>>168
>>安全性を語れるレベルにない
>とは、つまりどういうことなんでしょうか?
>「現時点で考えられる安全性」ではダメなの?
ダメだって実例がこれな
>>166
>しかも、ビット数が短いってのはこれまでRSAほどには真剣に攻撃されてないから
>だったからだが、それはもはや過去の話になったってのが>>1
>>安全性を語れるレベルにない
>とは、つまりどういうことなんでしょうか?
>「現時点で考えられる安全性」ではダメなの?
ダメだって実例がこれな
>>166
>しかも、ビット数が短いってのはこれまでRSAほどには真剣に攻撃されてないから
>だったからだが、それはもはや過去の話になったってのが>>1
ペをベに読み違えるだけで全く違うものになるこの不思議
>>173
GF(3^n) 上の超特異楕円曲線のηTペアリングは n = 97 では安全ではなく
RSA1024ビットと同程度の安全性をもたせるためには
(中の人によると)n > 193 程度にする必要があるが
そうすると計算時に埋め込む有限体が 193 * log_2(3)* 6 = 1836 ビットになり
もはやRSAよりビット数が短いということはない
ということか
他のペアリングや楕円曲線暗号にまで
いきなり話を広げてるように見えたから
最初理解できなかったよ
GF(3^n) 上の超特異楕円曲線のηTペアリングは n = 97 では安全ではなく
RSA1024ビットと同程度の安全性をもたせるためには
(中の人によると)n > 193 程度にする必要があるが
そうすると計算時に埋め込む有限体が 193 * log_2(3)* 6 = 1836 ビットになり
もはやRSAよりビット数が短いということはない
ということか
他のペアリングや楕円曲線暗号にまで
いきなり話を広げてるように見えたから
最初理解できなかったよ
>>175
朝鮮人の人?
朝鮮人の人?
177 :名無しのひみつ:2012/06/21(木) 16:08:51.49 ID:uaCtUcyI
ペアリングの利点はIDベース暗号、三者間鍵交換、ショート署名、タイムリリース暗号など様々な現在の暗号では使えないアプリケーションが考えられているところ
ただし、安全性の根拠にDLPが追加されるから、楕円曲線暗号に比べて安全性評価が難しいという欠点がある
ただし、どう転んでもRSAの安全性の根拠もDLPである以上、RSA未満の安全性になるということはあり得ない
なぜなら、ECDLPは適切な楕円曲線と初期パラメータを選ぶ限りほぼ間違いなくDLPより強いから
ただし、安全性の根拠にDLPが追加されるから、楕円曲線暗号に比べて安全性評価が難しいという欠点がある
ただし、どう転んでもRSAの安全性の根拠もDLPである以上、RSA未満の安全性になるということはあり得ない
なぜなら、ECDLPは適切な楕円曲線と初期パラメータを選ぶ限りほぼ間違いなくDLPより強いから
>>83
途中で太さが変化する棒だったら、暗号強度upだな
途中で太さが変化する棒だったら、暗号強度upだな
>>177
今回の攻撃が適用できるタイプの方式はダメになる可能性が高くなったとは言えるけど
そうじゃないタイプについても危険性が高くなったと言えるんですかね?
>>176
ヨダレ足らしながら煽ってやろうとしたら
興奮しすぎて日本語がめちゃくちゃになってることに気付かず
逆にやり返されて情けない反応しかできない>>170さん、どうか落ち着いてくださいな
俺が悪かったよ。謝るから。ゴメンゴメン
今回の攻撃が適用できるタイプの方式はダメになる可能性が高くなったとは言えるけど
そうじゃないタイプについても危険性が高くなったと言えるんですかね?
>>176
ヨダレ足らしながら煽ってやろうとしたら
興奮しすぎて日本語がめちゃくちゃになってることに気付かず
逆にやり返されて情けない反応しかできない>>170さん、どうか落ち着いてくださいな
俺が悪かったよ。謝るから。ゴメンゴメン
182 :名無しのひみつ:2012/06/21(木) 23:51:14.81 ID:sqfCllqy
RSAだって、運が悪ければさっと解けてしまう。
平均的な手間が大きいことでは、時々手間が嘘のように少ない場合が
起こることを排除できない。
平均的な手間が大きいことでは、時々手間が嘘のように少ない場合が
起こることを排除できない。
184 :名無しのひみつ:2012/06/22(金) 13:47:17.65 ID:Cv+kGSY8
>>178
>ただし、どう転んでもRSAの安全性の根拠もDLPである以上
えーと、、、
RSAとDLPの既知の危険性の根拠がNFSって話をどう曲解したらそこまで、、、
>RSA未満の安全性になるということはあり得ない
>なぜなら、ECDLPは適切な楕円曲線と初期パラメータを選ぶ限りほぼ間違いなくDLPより強いから
思い込みって、最強だよな
>ただし、どう転んでもRSAの安全性の根拠もDLPである以上
えーと、、、
RSAとDLPの既知の危険性の根拠がNFSって話をどう曲解したらそこまで、、、
>RSA未満の安全性になるということはあり得ない
>なぜなら、ECDLPは適切な楕円曲線と初期パラメータを選ぶ限りほぼ間違いなくDLPより強いから
思い込みって、最強だよな
>>184
論にすらならない批判とか、メンヘラの反応と同じだから。
論にすらならない批判とか、メンヘラの反応と同じだから。
ペヤング鬼熊卍暗号!!!
187 :名無しのひみつ:2012/06/23(土) 16:07:47.76 ID:hGVa9war
誰にも理解できない暗号はなににつかうんだよ
188 :名無しのひみつ:2012/06/23(土) 20:22:28.47 ID:1XtFc5MU
数学者だけ集めた暗号解読会社が有るが結構ローテクで解読しててビックリした事を覚えてる。
189 :名無しのひみつ:2012/06/24(日) 12:12:36.48 ID:4gRK6GIH
安全ですって専門家が保証してくれるときは、
実際には警戒すべきだ、の一例です。
安全だと思わせて採用させて、裏側では
解読ホイホイによって国家的利益を得ている
かもしれないから。
実際には警戒すべきだ、の一例です。
安全だと思わせて採用させて、裏側では
解読ホイホイによって国家的利益を得ている
かもしれないから。
190 :名無しのひみつ:2012/06/24(日) 14:24:41.94 ID:HpFa7RcS
>>185
論にならないって、これのこと?wwwwwwww
>なぜなら、ECDLPは適切な楕円曲線と初期パラメータを選ぶ限りほぼ間違いなくDLPより強いから
>ほぼ間違いなくDLPより強い
>ほぼ間違いなくDLPより強い
>ほぼ間違いなくDLPより強い
>RSAの安全性の根拠もDLPである
も、事実誤認だしなー
論にならないって、これのこと?wwwwwwww
>なぜなら、ECDLPは適切な楕円曲線と初期パラメータを選ぶ限りほぼ間違いなくDLPより強いから
>ほぼ間違いなくDLPより強い
>ほぼ間違いなくDLPより強い
>ほぼ間違いなくDLPより強い
>RSAの安全性の根拠もDLPである
も、事実誤認だしなー
この手の評価は思い込みが多く、2chで自身過剰な奴ほどソースなどない法則。
192 :名無しのひみつ:2012/06/24(日) 15:16:33.28 ID:htEu6xlm
時の汚い奴に筆と墨汁で紙に画数の多い漢字使ってDQN文章書かせろ。
おそらく読める奴はいないから。
おそらく読める奴はいないから。
ペヤング大盛り食ってきた
>>188
数学者は相手が本気で対策してるとソーシャルハックぐらいしかやることがないことを理解しているからローテクに走る
数学者は相手が本気で対策してるとソーシャルハックぐらいしかやることがないことを理解しているからローテクに走る
エニグマという小説で暗号解読の現場がローテクだったな
アランチューリングの弟子(架空の人物?)が主人公のやつ
アランチューリングの弟子(架空の人物?)が主人公のやつ
ローテクといっても当時はハイテクだろ。
ファインマンさんが原爆のための計算に使ったIBMのカード型計算機およびその運用方法とか。
ファインマンさんが原爆のための計算に使ったIBMのカード型計算機およびその運用方法とか。
解読技術に対して通信速度が追いつかいないんだよね
暗号を難読化するのは簡単だけど時間かかり過ぎて
レジが回らなくなってしまう
ipv6はよ
暗号を難読化するのは簡単だけど時間かかり過ぎて
レジが回らなくなってしまう
ipv6はよ
暗号がどんなに強かろうが、現実には暗号破るよりも、人間騙して機密盗む方が楽なんだよな。
いや、暗号が安全ってのは、無理矢理そういう状況を作るってことなのかも知らんけど
いや、暗号が安全ってのは、無理矢理そういう状況を作るってことなのかも知らんけど
それやると運用も恐ろしく困難になってしまうのがつらいところ
<丶`∀´> ピピーガガー,,第14号電文をお送りするニダ.183 769 470 427 559 ,,,,
解読:だれでもいいから早く米送れニダ <#`Д´ > かんしゃくおこる
解読:だれでもいいから早く米送れニダ <#`Д´ > かんしゃくおこる
>>15
数字だけだとそのくらいで、
英数字、大文字小文字区別がつくと累乗倍で計算量増えるよな。
英数字だと36^n(nは桁数)倍の、大小文字区別で52^n倍のパターンになるし。
まあ、完全にランダムな文字列という大前提でこのパターンなので、
単語やら何やらの推論アタックだと普通のパスワードは割りと簡単に破れるよね。
数字だけだとそのくらいで、
英数字、大文字小文字区別がつくと累乗倍で計算量増えるよな。
英数字だと36^n(nは桁数)倍の、大小文字区別で52^n倍のパターンになるし。
まあ、完全にランダムな文字列という大前提でこのパターンなので、
単語やら何やらの推論アタックだと普通のパスワードは割りと簡単に破れるよね。