勉強会 #6

Transcript

1. σδλϧॺ໊ 2 2018/5/25 ϒϩοΫνΣʔϯษڧձ #6 Seiko Netsu 1

2. ͸͡Ίʹ ࠓճͷษڧձͰ͸ɺ͍͔ͭ͋͘Δσδλϧॺ໊ʹ͍͓ͭͯ࿩͠͠·͢ɻ લ൒Ͱ͸֤छσδλϧॺ໊ͷ؆୯ͳ঺հɺޙ൒Ͱ͸RSAॺ໊ͱSchnorrॺ໊ͷ ΞϧΰϦζϜʹ͍ͭͯղઆ͠·͢ɻ·ͨSchnorrॺ໊ɺLamportॺ໊ͱϒϩο ΫνΣʔϯͱͷؔΘΓʹ͍ͭͯ΋঺հ͠·͢ɻ ࢿྉͷ४උʹ͋ͨͬͯ͸ɺҎԼͷॻ੶ɾWebΛࢀߟʹ͍͖ͤͯͨͩ͞·ͨ͠ɻ ɾ҉߸ٕज़ͷ͢΂ͯʢIPUSIRON ஶʣ ɾ҉߸ٕज़ೖ໳ʢ݁৓ ߒ

   ஶʣ ɾͼΓ͋ΔͷݚڀϊʔτʢSchnorrॺ໊ʣ ɾγϡϊΞॺ໊͕ϏοτίΠϯͷεέʔϥϏϦςΟ໰୊ʹ༩͑ΔӨڹ ɾྔࢠίϯϐϡʔλ࣌୅ʹ΋༗ޮͳϥϯϙʔτॺ໊͸ͲΜͳ࢓૊Έ͔ ʢ໺ޱ༔ل༤ ஶʣ 2

3. લɹ൒ 1. ֤छσδλϧॺ໊ΞϧΰϦζϜͷ঺հ ɾRSAॺ໊ ɾElGamalॺ໊ ɾSchnorrॺ໊ ɾDSAॺ໊ ɾECDSAॺ໊ʢପԁۂઢDSAʣ ɾLamportॺ໊ 2.

   Schnorrॺ໊ͱϏοτίΠϯ 3. Lamportॺ໊͸ϒϩοΫνΣʔϯʹ࢖ΘΕΔ͔ 3

4. ޙɹ൒ 4. RSAॺ໊ͷΞϧΰϦζϜ 5. Schnorrॺ໊ͷΞϧΰϦζϜ 4

5. ɾRSAॺ໊ ɾDSAॺ໊ ɾECDSAॺ໊ʢପԁۂઢDSAʣ ɾSchnorrॺ໊ ɾElGamalॺ໊
 ɾLamportॺ໊ ୅දతͳσδλϧॺ໊ DSSʢDigital Signature Standardʣ:σδλϧॺ໊ඪ४

   FIPS PUB 186-4 5

6. RSAॺ໊ Rivest, Shamir, AdlemanʹΑͬͯRSA҉߸ͱಉ࣌ʹఏ Ҋ͞Ε͍ͯͨσδλϧॺ໊ɻσδλϧॺ໊ͷΞΠσΟ Ξࣗମ͸Diffiem, HellmanʹΑͬͯఏএ͞Ε͍͕ͯͨɺ ͦΕΛ࠷ॳʹ۩ମԽͨ͠ͷ͕RSAॺ໊ɻγϯϓϧͳσ δλϧॺ໊ɺ͋ΒΏΔ߈ܸʹରͯ͠੬ऑɻ
 ྺ࢙తͳܦҢΜΛ஌Γ͍ͨํ͸ɺʮ҉߸ղಡʢ্ɾ

   ԼʣʯΛͥͻɻ 6

7. ElGamalॺ໊ ɾ1984೥ʹElGamalʹΑͬͯఏҊ͞Εͨ཭ࢄର਺໰୊ ʹجͮ͘σδλϧॺ໊ɻ
 ɾ௚઀߈ܸ΍ط஌ϝοηʔδ߈ܸʹରͯ͠੬ऑͰ͋Γɺ ElGamalॺ໊͕ͦͷ··࢖༻͞ΕΔ͜ͱ͸ͳ͍ɻ → վྑ൛Ͱ͋ΔDSAॺ໊͕DSSʢDigital Signature StandardʣͷҰͭͱͯ͠ීٴ ҉߸ٕज़ͷ͢΂ͯ

   7.8ষ ࢀߟ(p.535) Taher Elgamal (1955 ʙ) 7

8. Schnorrॺ໊ ɾ཭ࢄରର਺໰୊Λར༻ͨ͠σδλϧॺ໊ɻ ɾSchnorrͷূ໌ϓϩτίϧ※1 + ϋογϡؔ਺ɹͰߏ੒ɻ ɾൃ໌ऀͷSchnorrࣗ਎͕औಘͨ͠ಛڐʹΑΓ2008೥·Ͱ อޢ͞Ε͍ͯͨɻ ɾSchnorrॺ໊͸ɺͦͷଞͷॺ໊ํࣜʹൺ΂ͯॺ໊͕ίϯ ύΫτͰɺݱࡏΑΓ΋ॺ໊ݕূͷεϐʔυ͕଎͍ɻ →BitcoinͰͷԠ༻͕ظ଴

   ҉߸ٕज़ͷ͢΂ͯ 7.9ষ ࢀߟ(p.547) Claus P. Schnorr (1943 ʙ) ※1: ҉߸ٕज़ͷ͢΂ͯ 9.1.5ষ ࢀߟ(p.643 8

9. DSAॺ໊ ɾถࠃඪ४ٕज़ݚڀॴʢNISTʣʹΑΓఏҊ͞Εͨσδ λϧॺ໊ɻRSAॺ໊ɺECDSAॺ໊ͱฒΜͰɺDSS ʢDigital Signature StandardʣͷҰͭɻ ɾElGamalॺ໊ͷॺ໊αΠζ͕খ͘͞ͳΔΑ͏ʹɺ Schnorrॺ໊ͷٕ๏Λ༻͍ͯվྑͨ͠ํࣜɻ ҉߸ٕज़ͷ͢΂ͯ 7.10ষ

   ࢀߟ(p.554) 9

10. ECDSAॺ໊ʢପԁۂઢDSAॺ໊ʣ ɾପԁۂઢ҉߸ɿପԁۂઢͱݺ͹ΕΔۂઢΛ༻͍ͨ҉ ߸ɻ ɾDSAʹ͍ͭͯɺପԁۂઢ҉߸Λ༻͍ΔΑ͏ʹͨ͠ม छ͕ECDSAॺ໊ɻ ɾପԁۂઢ҉߸͸ɺRSAʹൺ΂ͯ୹͍伴Ͱ΋ಉͩ͡ ͚ͷڧ͞Λ࣋ͭɻ
 Ex. 224ʙ255Ϗοτ௕ͷ伴Λ࣋ͭପԁۂઢ҉߸͸ɺ 2048Ϗοτ௕ͷ伴Λ࣋ͭRSA҉߸ͱಉ౳ͷڧ͞ɻ


    
 ɾৄࡉ͸ɺୈ5ճษڧձࢿྉʢࢁຊ܅୲౰ʣ E: y2 = ax3 + bx2 + cx + d a = 1, b = 0, c = -2, d = 4 10

11. Lamportॺ໊ɿྔࢠ଱ੑ͋Γʂ ɾྔࢠίϯϐϡʔλͷొ৔ͰɺRSAΛ͸͡Ίͱ͢Δ҉߸ٕज़͕ةݥʹࡽ͞ΕΔ ɹˠ ྔࢠ଱ੑΛ࣋ͬͨ҉߸ٕज़͕ඞཁ ɹˠ Lamportॺ໊͸େن໛ͳϋογϡؔ਺Λ༻͍ͨྔࢠ଱ੑΛ࣋ͬͨσδλϧॺ໊ ɹˠ Ұํ޲ϋογϡؔ਺Λ256ରͷཚ਺ʢ512ݸͷཚ਺ʣʹରͯ͠࢖༻ɻ ɾྔࢠίϯϐϡʔλͱ͍͑Ͳɺ૯౰ͨΓ߈ܸʹ͸͕͔͔࣌ؒΔɻ
 


    
 ϝϦοτɿߴ଎ɺ҆શɺ؆қͳߏ଄ɺ σϝϦοτɿॺ໊αΠζʢେʣɺϫϯλΠϜʢ܁Γฦ͠࢖͑ͳ͍ʣ ࢀߟɿhttps://diamond.jp/articles/-/143803 11

12. લɹ൒ 1. ֤छσδλϧॺ໊ΞϧΰϦζϜͷ঺հ ɾRSAॺ໊ ɾElGamalॺ໊ ɾSchnorrॺ໊ ɾDSAॺ໊ ɾECDSAॺ໊ʢପԁۂઢDSAʣ ɾLamportॺ໊ 2.

    Schnorrॺ໊ͱϏοτίΠϯ 3. Lamportॺ໊͸ϒϩοΫνΣʔϯʹ࢖ΘΕΔ͔ 12

13. Schnorrॺ໊ͱϏοτίΠϯ ɾϏοτίΠϯͰ͸ɺϒϩοΫʹه࿥͞ΕΔtxσʔλΛͰ͖Δ͚ͩখ͘͞ ͠ɺଟ͘ͷtxΛҰͭͷϒϩοΫʹऩΊΑ͏ͱ͍ͯ͠ΔʢϒϩοΫαΠζҾ͖ ্͛ɺSegwit, Lightning Network…ʣɻ
 ɾECDSAॺ໊Λར༻ͯ͠࡞੒͞Εͨॺ໊σʔλ΋ϒϩοΫʹه࿥͞ΕΔ σʔλͷҰͭɻͳΜͱ͔͜ΕΛখ͘͞ग़དྷͳ͍͔ʁ γϡϊΞॺ໊͕ϏοτίΠϯͷεέʔϥϏϦςΟ໰୊ʹ༩͑Δিܸ εέʔϥϏϦςΟ໰୊

    Schnorrॺ໊ͷ׆༻ ɾSchnorrॺ໊͸ɺͦͷଞͷॺ໊ํࣜʹൺ΂ͯॺ໊͕ίϯύΫτ͔ͭॺ໊ݕ ূͷεϐʔυ͕଎͍ɻ
 ɾಛʹෳ਺ਓͷॺ໊Λඞཁͱ͢ΔϚϧνγάʹΑΔૹۚͷσʔλαΠζΛେ ෯ʹ࡟ݮͰ͖Δɻ 13

14. ɾSchnorrॺ໊Ͱ͸ɺෳ਺ͷॺ໊σʔλΛͻͱͭͷॺ໊σʔλʹ·ͱΊΔ͜ͱ͕Ͱ͖ Δ͜ͱ͕ϙΠϯτɻ ɾݱࡏͷBitcoinͰ͸ɺෳ਺ͷΞυϨε͔ΒҰͭͷΞυϨεʹૹۚ͢ΔࡍɺͦΕͧΕ ͷॺ໊͕ඞཁͱͳΔɻ ɾ·ͨϚϧνγάΛར༻͢Δ৔߹΋ɺෳ਺ͷॺ໊͕ඞཁͱͳΔɻྫ͑͹2-of-3 ͷΑ ͏ͳ৔߹ʹ͸2ͭͷॺ໊͕ඞཁɻ ɹˠ Schnorrॺ໊Ͱɺෳ਺ͷॺ໊ΛҰͭʹ·ͱΊΒΕΕ͹༰ྔͷઅ໿ʹͳΔɻ 14

15. Lamportॺ໊͸ϒϩοΫνΣʔϯ ʹ࢖ΘΕΔ͔ ɾLamportॺ໊ͷྔࢠ଱ੑ͸ັྗతɻ͔͠͠໰୊͸ॺ໊ͷσʔλαΠζɻ ɾECDSAॺ໊ʢBitcoin, EthereumͰݱࡏ࢖༻ʣͱൺֱͯ͠Lamportॺ໊ͷαΠ ζ͸େ͖͍ɻ ɾECDSAॺ໊ɿެ։伴ʢ33 bytesʣɺॺ໊ʢ73 bytesʣ ɾLamportॺ໊ɿެ։伴ʢ16

    KBʣɺॺ໊ʢ8 KBʣ Lamportॺ໊ͷެ։伴ͱॺ໊͸ɺECDSAॺ໊ΑΓ213ഒʢ106 bytes vs 24 KBʣ େ͖͍ɻެ։伴ͱॺ໊ͱ͸ϒϩοΫνΣʔϯͷτϥϯβΫγϣϯʹऔΓࠐ·ΕΔ ͷͰɺϒϩοΫαΠζͷංେԽΛੜͤ͡͞Δɻ →εέʔϥϏϦςΟ໰୊ʹٯߦ͢ΔྲྀΕɻ 15

16. ޙɹ൒ 4. RSAॺ໊ͷΞϧΰϦζϜ 5. Schnorrॺ໊ͷΞϧΰϦζϜ 16

17. RSAॺ໊ੜ੒ΞϧΰϦζϜ ॺ໊ = ϝοηʔδd mod N ެ։伴 e,Nɺൿີ伴 d, ϝοηʔδ

    m, ॺ໊ σ ͱ͢Δͱ ɾॺ໊͸ϝοηʔδmΛd৐ͯ͠mod NΛͱͬͨ΋ͷɻγϯϓϧʂ ɾϙΠϯτ͸ɺൿີ伴dΛ஌Βͳ͍ਓ͸σΛੜ੒Ͱ͖ͳ͍ɻ mɿॺ໊Λߦ͍͍ͨϝοηʔδɺdɿൿີ伴 e, Nɿެ։伴ɹσɿిࢠॺ໊σʔλ ※ N͸ೋͭͷେ͖ͳૉ਺ p,q Λ͔͚ͨ΋ͷ N = p×q 17

18. RSAॺ໊ݕূΞϧΰϦζϜ ॺ໊͔Βಘͨϝοηʔδ = ॺ໊e mod N ެ։伴 e,Nɺൿີ伴 d, ϝοηʔδ

    m, ॺ໊ σ ͱ͢Δͱ ɾݕূऀ͸ɺެ։伴 e, N ͱॺ໊ σͷ৘ใ͔ΒɺϝοηʔδmΛ෮ݩͰ͖Δ ɾॺ໊ͱҰॹʹఴ෇͞Ε͍ͯΔϝοηʔδmͱൺֱ͢Δ͜ͱͰɺॺ໊ͷਖ਼౰ੑΛ֬ೝ 18

19. ଘࡏʢજࡏʣతِ଄ ॺ໊ର৅͕ҙຯͷͳ͍ʢϥϯμϜͳʣϝοηʔδm’ͩͱͯ͠΋ɺ ਖ਼͍͠σδλϧॺ໊σ’Λ࡞ΕΔ͔ʁ >>> YESʂʂσδλϧॺ໊ʹର͢ΔڴҖʹͳΔΒ͍͠… 1. ߈ܸऀ͸ϥϯμϜʹॺ໊σʔλσ’ΛબͿ 2. ϥϯμϜͳϝοηʔδm’ Λެ։伴(e,

    N) ͔Βܭࢉ
 → m’ = σ’e mod N ,Λܭࢉ 3. ݕূऀʹm’, σ, (e,N)ΛૹΔ
 →ݕূऀ͸ݕূ͸੒ޭͯ͠͠·͏ 19

20. Schnorrॺ໊ɿه߸ͷఆٛ ه߸ͷఆٛ H(x), H(x//y) …… ϋογϡؔ਺ pɿૉ਺ɻҎ߱ɺ͢΂ͯͷࣜ͸࠷ޙʹ p Ͱׂͬͨ༨ΓΛܭࢉ͍ͯ͠Δͱղऍ͢Δ qɿq|p-1Λຬͨ͢ɺૉ਺qΛબ୒͍ͯ͠Δ

    gɿ੔਺ɻgq = 1 mod p Λຬͨ͢ xɿൿີ伴 yɿެ։伴ʢy = gx mod pʣ mɿॺ໊Λߦ͍͍ͨϝοηʔδ tɿॺ໊ʹඞཁͳཚ਺ s, hɿిࢠॺ໊σʔλ σʢs,hʣ 20

21. Schnorrॺ໊ͷ௚ײతཧղ H(x//y)͸ɺx,yΛҾ਺ͱ͢Δϋογϡؔ਺ m͸ॺ໊͢Δϝοηʔδ y͸ެ։伴ͱͳΔ੔਺ s,h͕γϡϊΞॺ໊Ͱܭࢉ͢΂͖σδλϧॺ໊σʔλʢΞϧΰϦζϜͷग़ྗ஋σ(s,h)ʣ ࣜͷ྆ลΛݟΔͱh͕྆ํʹؚ·Εͨʮࣗݾݴٴܕʯͷࣜͱͳ͍ͬͯΔɻ ϋογϡؔ਺HͷҰํ޲ੑΛߟ͑Δͱɺೖྗͷ”h”ͱग़ྗͷ”h”͕Ұக͢ΔΑ͏ʹ ม਺ϖΞ(s,h)ͷ஋ΛબͿͷ͸ࠔ೉ɻ Λຬͨ͢ ΛٻΊΑ͏ʂ

    21

22. ม਺ϖΞ(s,h)ͷબͼํ ࣮͸ɺൿີ伴xΛ஌͍ͬͯΔͱɺ͜ͷม਺ϖΞʢs,hʣΛٻΊΔ͜ͱ͕Ͱ͖Δɻ ϙΠϯτ͸ެ։伴y͕ɺൿີ伴 xͱ੔਺gΛ༻͍ͯɹy = gx ͱදͤΔ͜ͱɻ ᶃॺ໊ʹඞཁͳཚ਺t (= s

    - xh) ΛઌʹܾΊΔɻ ᶄ h = H(m//gt) ΑΓɺh͕ٻ·Δɻ ᶅ ॺ໊ऀʹͱͬͯط஌ͷt, h,x ΑΓ s ͕ٻ·Δɻ ᶆॺ໊σʔλσ = (s,h)ͷม਺ϖΞΛಘΔɻ ม਺ϖΞ(s,h)ΛܭࢉͰ͖Δͷ͸ɺൿີ伴xΛ͍࣋ͬͯΔਓ͚ͩʂ ॺ໊ͱͯ͠੒Γཱͭɻ 22

23. Schnorrॺ໊ͷΞϧΰϦζϜ sͰ͸ͳ͘xͱࢥΘΕΔɻ y = gx mod p sk = x

    23

24. KeyGen:伴ੜ੒ΞϧΰϦζϜ ஫ɿಈ࡞4ɿsͰ͸ͳ͘xͱࢥΘΕΔɻy = gx mod p, sk = x ͱ͠ͳ͍ͱͭͭ͡·͕߹Θͳ͍ɻ

    ൿີ伴xͱެ։伴y 24

25. ॺ໊ੜ੒ΞϧΰϦζϜ 1. ద౰ͳཚ਺ t Λੜ੒͢Δ 2. h = H(m//r) =

    H(m//gt) Λܭࢉ͢Δ(r = gt mod p) 3. 2ͰٻΊͨhΛར༻ͯ͠ɺs = t + xh mod pΛܭࢉ͢Δ 4. ٻΊͨ(h,s)Λσδλϧॺ໊ͷग़ྗͱ͢Δ pΛ͋Δڊେͳૉ਺ͱ͠ɺgΛpͱޓ͍ʹૉͳ੔਺ͱ͢Δɻ m͸ॺ໊ϝοηʔδͱ͠ɺxΛൿີ伴ɺyΛެ։伴ͱ͢Δɻ H( )͸ϋογϡؔ਺Ͱ͋Γɺͦͷग़ྗ͕hͰ͋Δɻ 25

26. ॺ໊ݕূΞϧΰϦζϜ 1. r’ = gsy-h mod p Λܭࢉ͢Δ 2. h’

    = H(m//r’) Λܭࢉ ͢Δ 3. h’ = h Λ֬ೝɻ੒Γཱͭ৔߹͸1Λग़ྗ͠ɺ੒Γཱͨͳ͍৔߹͸0Λग़ྗ ༩͑ΒΕͨॺ໊Λݕূ͢Δʹ͸ Λܭࢉ͠ɺh’ͱh͕Ұக͢Δ͔Λ֬ೝ͢Ε͹Α͍ɻͳ͓ɺg, ॺ໊σʔλ(s,h), ެ։伴y ͸ݕূऀʹͱͬͯط஌Ͱ͋Δɻ 26