著者

桑門 秀典

出版者

神戸大学

雑誌

奨励研究(A)

巻号頁・発行日

2000

---

サブリミナルチャネルを用いると,ディジタル署名の中に秘密情報を隠すことができる.署名者はその秘密情報の存在を第三者に知られることなしに送信できるので,悪用される可能性がある.しかし,もし秘密情報が存在する場合,そのディジタル署名を中継する者が,その秘密情報を破壊するような操作が可能であれば,全てのデータにその操作を施すことによってサブリミナルチャネルによる通信を防止することができる.このような操作が可能であるようなディジタル署名方式を開発し,実用化の検討を行うことが本研究の目的である.1.提案するディジタル署名方式の効率の向上:合成数を法とする平方根を求める困難さに安全性の根拠をおく使い捨て型ディジタル署名を基にして,サブリミナルチャネルの悪用を防止できるディジタル署名方式を考案した.この方式は,極めて効率が良く,現在の計算機上での実装も容易である.一般的に自己ランダム帰着という性質をみたす問題の中で,一方向性をもつ問題を利用した使い捨て型ディジタル署名は,効率が良く,かつサブリミナルチャネルの悪用を防止できるディジタル署名方式に変換できることがわかった.2.提案方式の安全性の検討:提案方式の安全性は,妥当な計算量的困難性な仮定に基づいている.悪意のある署名者が秘密情報をディジタル署名に隠したとしても,それが受信者に伝わる確率は,無視できる程小さいことがわかった.3.提案方式の実用化の検討:提案方式の実装は容易であり,計算に要する時間も短い.ただし,転送すべきデータが比較的多いので,低速なネットワークでは支障がでる可能性がある.しかし,近年の高速ネットワークの整備を考慮すれば,この欠点はあまり問題にならないと考えられる.

著者

廣瀬 勝一 桑門 秀典

出版者

一般社団法人情報処理学会

雑誌

情報処理学会研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)

巻号頁・発行日

vol.2008, no.71, pp.221-228, 2008-07-17

---

本稿では,ブロック暗号を用いた MMO 圧縮関数と MDP 定義域拡大より構成されるハッシュ関数 MDP-MMO の証明可能安全性を論じる。また理想暗号モデルを仮定して, MDP-MMC がランダムオラクルとの識別不能性 (indifferentiability) を満たすことを示す.次に,MDP で使用きれる置換に関する関連鍵攻撃の下でブロック暗号が擬似ランダム置換であれば,MDP-MMO を用いて構成される HMAC が擬似ランダム関数であることを示す.なお,HMAC に関する結果は,(Eiv(K?opad)?K?opad)??Eiv(K?ipad)?K?ipad) が擬似ランダムビット列生成器であるという仮定も要求する.ここで,E はブロック暗号,IV は MDP-MMO で定められた初期値,opad と ipad は HMAC で定められた系列である.この仮定は,E のブロック暗号としての擬似ランダム性により保証きれないものの,実現可能性の観点からは妥当であると考えられる.This article discusses the provable security of a hash function using a block cipher. It assumes the construction using the Matyas-Meyer-Oseas (MMO) scheme for the compression function and the Merkle-Damgard with a permutation (MDP) for the domain extension transform. It is shown that this kind of hash function, MDP-MMO, is indifferentiable from the variable-input-length random oracle in the ideal cipher model. It is also shown that HMAC using MDP-MMO is a pseudorandom function if the underlying block cipher is a pseudorandom permutation under the related-key attack with respect to a permutation used in MDP. Actually, the latter result also assumes that the following function is a pseudorandom bit generator: (Eiv(K竓賓pad)竓必竓賓pad)竏」竏」Eiv(K竓品pad)竓必竓品pad), where E is the underlying block cipher, IV is the fixed initial value of MDP-MMO, and opad and ipad are the binary strings used in HMAC. This assumption still seems reasonable for actual block ciphers, though it cannot be implied by the pseudorandomness of E as a block cipher. The results of this article imply that the security of a hash function may be reduced to the security of the underlying block cipher to more extent with the MMO compression function than with the Davies-Meyer (DM) compression function, though the DM scheme is implicitly used by the widely used hash functions such as SHA-1 and MD5.

著者

廣瀬 勝一 桑門 秀典

出版者

一般社団法人電子情報通信学会

雑誌

電子情報通信学会技術研究報告. ISEC, 情報セキュリティ (ISSN:09135685)

巻号頁・発行日

vol.108, no.162, pp.87-94, 2008-07-17

---

本稿では,ブロック暗号を用いたMMO圧縮関数とMDP定義域拡大より構成されるハッシュ関数MDP-MMOの証明可能安全性を論じる.まず,理想暗号モデルを仮定して,MDP-MMOがランダムオラクルとの識別不能性(indifferentiability)を満たすことを示す.次に,MDPで使用される置換に関する関連鍵攻撃の下でブロック暗号が擬似ランダム置換であれば,MDP-MMOを用いて構成されるHMACが擬似ランダム関数であることを示す.なお,HMACに関する結果は,(E_<IV>(K &oplus; opad) &oplus; K &oplus; opad)∥(E_<IV>(K &oplus; ipad) &oplus; K &oplus; ipad)が擬似ランダムビット列生成器であるという仮定も要求する.ここで,Eはブロック暗号,IVはMDP-MMOで定められた初期値,opadとipadはHMACで定められた系列である.この仮定は,Eのブロック暗号としての擬似ランダム性により保証されないものの,実現可能性の観点からは妥当であると考えられる.

著者

桑門 秀典 田中 初一

出版者

一般社団法人情報処理学会

雑誌

情報処理学会研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)

巻号頁・発行日

vol.2002, no.68, pp.239-244, 2002-07-18

被引用文献数

2

---

あるグループ内の一人のユーザが文書に署名したことを検証者は確認できるが 検証者はその署名者を特定できないようなディジタル署名方式(ring署名方式)がRivest Shamir Taumanにより提案された.ring署名方式は 内部告発者が自分の身元を明かすことなく 報道関係者に文書の信頼性を保証することに利用できる.この論文では あるグループ内のk人のユーザが署名できるように拡張したring署名方式の2つの実現方法を提案する。提案方式1は、ランダム事故帰着問題の零知識証明に基づいている.提案方式2は 有限体上の多項式を利用して実現されている.これら提案方式の構成法は、Rivest Shamir Taumanのring署名方式の構成法とは異なる.また、いずれの方式においても、署名者の匿名性は署名者の身元を特定しようとするものの計算能力に関係なく無条件に保証される.Rivest, Shamir, and Tauman have proposed a ring signature scheme such that a verifier can make sure that someone in a group signs a message, but cannnot decide the identification of the signer. The application of the ring signature is whistle-blowing. Without revealing their identification to the signer, the third party can check the validity of the message. In this paper, we propose the generalized version of the ring signature scheme, which makes it possible for k members to sign a message without revealing the identification of the verifier. We show two implementations of such a signature scheme; one is based on zero-knowledge proof of random self-reducible problems,and the other is based on the polynomial over a finite field. Similar to the ring signers is impossible even if unlimited computational resources do not make the ring of signatures.