著者
服部 充洋 廣瀬 勝一 吉田 進
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. ISEC, 情報セキュリティ (ISSN:09135685)
巻号頁・発行日
vol.104, no.422, pp.85-91, 2004-11-09
参考文献数
9

SHA-OのメッセージスケジュールにはGF(2)上の16次原始多項式が用いられている.GF(2)上の16次原始多項式は全部で2048個存在する.各多項式を用いてメッセージスケジュールを構成することにより,2048個のSHA-O variantが構成される.本稿ではこれらのSHA-O variantsに対しCRYPTO'98で提案されたChabaud-Joux攻撃を適用する.そして,いくつかのvariantsが攻撃に耐性を持つこと,元のSHA-Oが必ずしも攻撃に耐性をもたないことを示す.また最も攻撃に弱いvariantにおけるcollisionを示す.これらの結果はChabaud-Joux攻撃を何ら改良することなくそのまま適用することにより得られる.
著者
福島 茂之 廣瀬 勝一 池田 克夫
雑誌
全国大会講演論文集
巻号頁・発行日
vol.55, pp.120-121, 1997-09-24

今日, 情報ネットワークの普及・拡大にともなって, 遠隔会議のような電子会議が行われるようになってきている. 遠隔会議では, 参加者が直接顔を合わせないため, 匿名で会議を行うごとが可能となる. 参加者が匿名で会議を行うことの利点は, 地位や人間関係にとらわれることなく, 自由に討論できることである. 一方, 匿名であることを悪用して, 会議の進行を妨げる発言をするなどの不正の行われる可能性があるという欠点もある. 本研究では, 暗号技術を利用して, 安全な匿名会議を可能とするシステムを提来する.
著者
岡部 寿男 宮崎 修一 廣瀬 勝一
出版者
京都大学
雑誌
萌芽研究
巻号頁・発行日
2005

物理的に離れた場所にいるプレイヤがネットワーク上で対戦ゲームを行う環境構築の基盤を作ることが本研究の目標である。信頼できるサーバを用意することにより容易に実現できるが、サーバ自身の不正やサーバの負荷を考え、サーバなしのいわゆるpeer-to-peer型の環境を対象とする。そのような条件下で、対戦相手の不正を如何に防御するかを考察するのが、本研究の目的である。これまでの研究において、順序機械を用いてゲームを形式的に定義し、その定式化の汎用性を示すとともに、具体的ゲーム(軍人将棋)に対して計算量の削減を行いJaval.4を使って実装した。本年度は、その関連研究として、プライバシーを確保したまま二者間で情報をやりとりし、所望の計算結果(主に認証、認可)を得るためのプロトコルの研究を行った。本研究では、基盤となる認証体系としてShibbolethを仮定し、その上で「マジックプロトコル」と呼ばれる暗号技術を利用して所望のプロトコルを実現する方法を提案した。以下に例を2つ挙げる。例えば、年齢制限のあるWebコンテンツの閲覧の為には、利用者は制限年齢より上であることを証明すれば良く、自分の年齢そのものはできるだけ公開したくない。また、サービス提供側も、年齢制限がどこにあるのかを公開したくない場合がある。このような状況で、お互いに自分の秘密情報を公開しないまま、結果となる判定だけは正しく行いたいという要求が生じるが、これを、Yaoの金持ち比べプロトコル(2人の参加者が、自分の所持金を相手に知らせずに、どちらが金持ちかを正しく判定するプロトコル)を用いて解決した。また、例えば、会社の採用の条件として、大学時代に科目Aの単位を取得しているという条件を課している場合、会社はそれがどの科目であるかを明かさずに、また、大学側は、その科目A以外の単位取得状況は知らせずに、学生が科目Aの単位を取得しているか否かのみを、会社が知るという要求が考えられる。この問題は、紛失通信というプロトコルを応用することにより解決した。
著者
廣瀬 勝一 桑門 秀典
出版者
一般社団法人情報処理学会
雑誌
情報処理学会研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
巻号頁・発行日
vol.2008, no.71, pp.221-228, 2008-07-17

本稿では,ブロック暗号を用いた MMO 圧縮関数と MDP 定義域拡大より構成されるハッシュ関数 MDP-MMO の証明可能安全性を論じる。また理想暗号モデルを仮定して, MDP-MMC がランダムオラクルとの識別不能性 (indifferentiability) を満たすことを示す.次に,MDP で使用きれる置換に関する関連鍵攻撃の下でブロック暗号が擬似ランダム置換であれば,MDP-MMO を用いて構成される HMAC が擬似ランダム関数であることを示す.なお,HMAC に関する結果は,(Eiv(K?opad)?K?opad)??Eiv(K?ipad)?K?ipad) が擬似ランダムビット列生成器であるという仮定も要求する.ここで,E はブロック暗号,IV は MDP-MMO で定められた初期値,opad と ipad は HMAC で定められた系列である.この仮定は,E のブロック暗号としての擬似ランダム性により保証きれないものの,実現可能性の観点からは妥当であると考えられる.This article discusses the provable security of a hash function using a block cipher. It assumes the construction using the Matyas-Meyer-Oseas (MMO) scheme for the compression function and the Merkle-Damgard with a permutation (MDP) for the domain extension transform. It is shown that this kind of hash function, MDP-MMO, is indifferentiable from the variable-input-length random oracle in the ideal cipher model. It is also shown that HMAC using MDP-MMO is a pseudorandom function if the underlying block cipher is a pseudorandom permutation under the related-key attack with respect to a permutation used in MDP. Actually, the latter result also assumes that the following function is a pseudorandom bit generator: (Eiv(K竓賓pad)竓必竓賓pad)竏」竏」Eiv(K竓品pad)竓必竓品pad), where E is the underlying block cipher, IV is the fixed initial value of MDP-MMO, and opad and ipad are the binary strings used in HMAC. This assumption still seems reasonable for actual block ciphers, though it cannot be implied by the pseudorandomness of E as a block cipher. The results of this article imply that the security of a hash function may be reduced to the security of the underlying block cipher to more extent with the MMO compression function than with the Davies-Meyer (DM) compression function, though the DM scheme is implicitly used by the widely used hash functions such as SHA-1 and MD5.
著者
廣瀬 勝一 桑門 秀典
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. ISEC, 情報セキュリティ (ISSN:09135685)
巻号頁・発行日
vol.108, no.162, pp.87-94, 2008-07-17

本稿では,ブロック暗号を用いたMMO圧縮関数とMDP定義域拡大より構成されるハッシュ関数MDP-MMOの証明可能安全性を論じる.まず,理想暗号モデルを仮定して,MDP-MMOがランダムオラクルとの識別不能性(indifferentiability)を満たすことを示す.次に,MDPで使用される置換に関する関連鍵攻撃の下でブロック暗号が擬似ランダム置換であれば,MDP-MMOを用いて構成されるHMACが擬似ランダム関数であることを示す.なお,HMACに関する結果は,(E_<IV>(K &oplus; opad) &oplus; K &oplus; opad)∥(E_<IV>(K &oplus; ipad) &oplus; K &oplus; ipad)が擬似ランダムビット列生成器であるという仮定も要求する.ここで,Eはブロック暗号,IVはMDP-MMOで定められた初期値,opadとipadはHMACで定められた系列である.この仮定は,Eのブロック暗号としての擬似ランダム性により保証されないものの,実現可能性の観点からは妥当であると考えられる.