1. 博士の異常な暗号
また私は如何にして心配するのを止めてネットを愛するようになったか
2012/09/22 発表者:木下翔央

2. 今日のアジェンダ
暗号、その魅惑の技術と歴史
暗号がロマンチックであった時代
暗号がモダンに、洗練された時代
暗号の革命と芸術的美しさの時代
認証、その難題の試行と錯誤
相手に秘密を知られずに、許可を与える技術
改竄、その手口の傾向と対策
Webサービスに対する攻撃方法

3. 今日のアジェンダ
暗号、その魅惑の技術と歴史
暗号がロマンチックであった時代
暗号がモダンに、洗練された時代
暗号の革命と芸術的美しさの時代
認証、その難題の試行と錯誤
相手に秘密を知られずに、許可を与える技術
こ こ は ま た 今 度
改竄、その手口の傾向と対策
Webサービスに対する攻撃方法

4. 今日は
暗号の歴史と、現代の暗号を話します
歴史的に有名な暗号と、その攻撃方法などを
セットで
暗号の作り方に関する思想の変化なども伝え
つつ、今のネットを守っている暗号技術を紹
介します

5. その前に
知っておきたい言葉たち
平文………………暗号化される前の文章
暗号文……………暗号化された文章
…………………平文を暗号文に変換するための情報
アルゴリズム……平文を暗号文にする方法
復号………………暗号文を平文にすること（手段は様々）
XOR………………ビット計算のオセロみたいなもんです
素数………………1と、自身以外では割り切れない2以上の自然数

6. ロマンチックな暗号
暗号の歴史は紀元前にまで る
紙や羊皮紙に記述、もしくは口伝され
た暗号文を、人間が復号して平文を得
ていた時代の話

7. シーザー暗号：紀元前
ユリウス・カエサルが初めて軍事目的で使用
アルゴリズム：アルファベットの文字を、ある数
字分だけずらす
：ずらした数字
ENCRYPT
↓ Key:3
HQFUBSW

8. ブルートフォース攻撃
別名、総当たり攻撃
シーザー暗号に適用する場合、25通りの文字のス
ライドを全て試す
IRGVCTX JSHWDUY KTIXEVZ LUJYFWA MVKZGXB NWLAHYC
OXMBIZD PYNCJAE QZODKBF RAPELCG SBQFMDH
TCRGNEI UDSHOFJ VETIPGK WFUJQHL XGVKRIM
YHWLSJN ZIXMTKO AJYNULP BKZOVMQ CLAPWNR
DMBQXOS ENCRYPT FODSZQU GPETARV
全ての組み合わせを検証した結果、-3のスライドでENCRYPTが出現

9. 単一換字式暗号：9世紀ごろまで
シーザー暗号の拡張
一般的に言えば、シーザー暗号は単一換字式暗号の一種
アルゴリズム：特定のアルファベット
を、特定の一文字に変える
：変換表

10. 恐らく、世界で最も有名な単一換字式暗号
53‡‡†305))6*;4826)4‡.)4‡);806*;48†8
¶60))85;1‡(;:‡*8†83(88)5*†;46(;88*96
*?;8)*‡(;485);5*†2:*‡(;4956*2(5*—4)8
¶8*;4069285);)6†8)4‡‡;1(‡9;48081;8:8‡
1;48†85;4)485†528806*81(‡9;48;(88;4
(‡?34;48)4‡;161;:188;‡?;
黄金虫；エドガー・アラン・ポォ 1843 踊る人形：アーサー・コナン・ドイル 1903

11. 頻度分析法
アルファベットの出現頻度で平文を予測する技術
英文で最も登場頻度の高いアルファベットはE、続いてA,T,Iなど
英文で最も出現頻度の高い単語は、THE
そのほか、良く現れる単語を元に不明部分を埋めていく

12. ヴィジュネル暗号
15世紀頃に成立
魔方陣を使った暗号化技術
同じ単語を暗号化しても、同じ文字列が出現しな
いという特徴で、単一換字式暗号の弱点を克服
アルゴリズム：後述
：パスワード

13. ヴィジュネル暗号に使われる魔方陣
アルゴリズム：平文と の文字が交差する文字に置き換える
ENCRYPT
↓Key:CAT
GNVTYIV

14. 魔方陣の欠点
平文の長さに合わせて、パスワードを
何度も使うため、 の長さが弱点に
の長さが判明すると、単一換字式暗号と変わりが無く、頻度
分析で解読できる
また、数学的論理で解読が可能になっ
てしまった

15. モダンな暗号
機械、そしてコンピュータの出現
これまでとは比べものにならないほど
大量の計算を行える時代の到来
アルゴリズムに数学的側面が非常に強
くなっていく

16. エニグマ、そして紫
第二次世界大戦中に、枢軸軍が使用していた暗号
エニグマは暗号機の名前、パープルは米軍が日本
軍の暗号に付けたコードネーム
アルゴリズム：多重歯車と電気の制御が付いた、特殊
なタイプライター（仕組みが複雑なので詳細は略）
：事前に配布されていた符号本

17. 解読は、構造を知ること
エニグマやパープルは、非常に複雑な暗号
暗号のアルゴリズムがひたすらに複雑
解読よりも、暗号機そのものや を奪った方が楽だった
とはいえ、エニグマもパープルも、開戦前には既に連合軍に
よって解読されていた
パープルの解読は統計と数学を用いて行われたと言われてい
る

18. DES暗号
ブロック暗号という新しい考え
コンピュータによって実現した、高速な単純計
算を繰り返す暗号
アルゴリズム：XOR計算を使用した、単一換字
式暗号
：パスワード

19. XORのおさらい
Exclusive OR
排他的論理和
0 xor 0 -> 0 例えば
0 xor 1 -> 1 0 1 00 1 0 1 0 1 0 1
1 0 1 00 1 00 1 1 0
1 xor 0 -> 1
↓
1 xor 1 -> 0
1 1 1 0 1 1 1 00 1 1

20. ブルートフォース、再び
コンピュータの性能が飛躍的に向上
暗号化の性能が上がるだけでは無く、
総攻撃の力も圧倒的に強くなった
総当たり攻撃が、再び有効になってし
まった

21. 暗号化思想の変化
過去： とアルゴリズムは同じくらい重要な秘密
現在：アルゴリズムは公開し、強さを検証されるべ
き
アルゴリズムが解っても、 が解らなくては復
号化できないことが重要
DESは、強いアルゴリズムではなくなってしまった

22. で！
DESが安全では無くなり、早急に次の安全な暗号が必
要になった
アメリカ国立標準技術研究所が、結果をオープンにす
ることを条件に公募
また、低速なコンピュータでも容易に暗号化が可能で
あることを求められた
つまり、複雑な計算はできない

23. AES暗号
Advanced Encryption Standard
真名：Rijndael（ラインダール）
アルゴリズム：ビットの変換とシフト
を繰り返す
：パスワード

24. 新しい脅威
Rijndaelは、基本的に単純な代数的計算
しか行わないため、そのプロセスを全て
数式化できる可能性が指摘されている
もし可能であれば、今までの暗号には存
在しなかった全く新しい脆弱性となる

25. これまでの暗号
平文 暗号 暗号 平文
最大の問題とは？

26. をどうやって
安全に交換するの？

27. 芸術的な暗号
これまでの暗号の概念を根底から覆
す、全く新しい技術
これまでの暗号における、最大の問題
を解決することが可能に

28. 公開 暗号
暗号化の を公開する暗号
ただし、暗号化に使用する と復号化
に使用する は別物
従来の暗号の最大の弱点であった、
の共有問題を解決することが出来る！

29. 公開 暗号の特徴
平文 暗号 暗号 平文
平文を暗号化した では、暗号文を
平文に復号することができない！

30. RSA暗号
公開 暗号として、現在最も使用されている実装
その暗号の強度の保証に、素数のかけ算と素因数分解の不可逆性を
使用している
アルゴリズム：二つの素数を掛け合わせた巨大な合成数による剰余
計算
：二つの巨大な素数をp,qとし、N=pgとする
暗号 ：N、LCM(p-1,q-1)=Lと互いに素である2以上L未満の数
復号 ：N、DE mod L = 1 を満たす、2以上L未満の数D

31. RSA暗号の仕組み
暗号化
公開 ペアE,Nを使って次の計算をする
C = ME mod N
復号化
秘密 ペアD,Nを使って次の計算をする
M = CD mod N

32. なぜRSAは を公開できるのか
C= ME mod N
M= C D mod N
攻撃するには、公開 から秘密 を割り出すこと
が出来ればいい
EとNから、Dを求めることが可能か？
実はそれがメチャクチャ難しいことが、RSA
の安全性の根拠なのです

33. ペアのおさらい
N = pq （pとqは、巨大な素数）
L は p-1 と q-1 の最小公倍数
Eは 1 < E < Lとなる、EとLの最大公約数が1とな
る数字（互いに素）
Dは、1 < D < Lとなる、ED mod L = 1 を満たす
数

34. EとNからDを求めるには
C = ME mod Nを逆算する
この計算は、離散対数を求めるという非常に難しい問題
ED mod L = 1 を解く
しかし、Lは公開されていない（pとqがわからない）
Nからpとqを求める
二つの素数からなる合成数を素因数分解するとは難しい
一方向性関数という、逆算が困難な計算

35. を公開することによる問題
暗号化の は、誰もが知ることが可能
つまり、暗号の送信者へのなりすましが
可能である
Man in the Middle 攻撃という
どのようにして、送信者を保証するのか？

36. 公開 暗号の副産物
電子署名が可能になる
秘密 を公開する
方法：秘密 を公開し、公開 で任意の文字列を暗号化
する
誰でも復号出来るが、暗号化できるのは暗号 を
持っている人のみ
実際は、認証局と呼ばれる十分に信用できる組織が行う

37. 公開 暗号、その欠点
公開 暗号の致命的欠点
計算速度が、圧倒的に遅い
に用いられる素数の桁数が、文字通り桁違い
圧倒的な計算速度を誇るコンピュータですら、計算に時
間がかかる
それはつまり……
普通に平文を暗号化していては、とても実用に耐えない

38. Webで使われている暗号
ハイブリッド式暗号
通信の内容は、DES,AESで暗号化
その を、RSAで暗号化
公開 暗号で を安全に交換し、本
文は高速な暗号で保護する

39. 余談:絶対に解読不可能な暗号
原理的、論理的に100%解読が不可能な
暗号は存在するのか？
それはどんな暗号なのか？

40. One time pad 暗号
平文と同じ長さの を用意してXORを
かけることにより、原理的に解読が不
可能な暗号を創り出せる
致命的欠点： の生成と交換

41. 今日の話をもっと知るために
暗号技術入門
結城浩
暗号解読
サイモン・シン

42. Thank you!