|
|
|
|
コメント(38)
はるか昔に書いたので,あまり参考になりませんが,余話ということで,
http://srv.prof-morii.net/~morii/whoami_2008.htm
これの元は,1997年の朝日新聞に連載していた「インターネット講座」の内容です.残骸が以下にあります.
http://srv.prof-morii.net/lecture/page102.html
http://srv.prof-morii.net/lecture/page103.html
http://srv.prof-morii.net/lecture/page104.html
現在とは少し事情が異なっている十数年前の状況です.本質的に現在でも変わらない部分は当然あります.
ご存じだと思いますが,「生体認証 テンプレート」で検索すれば,玉石混合で,お望みの情報を得られます.
http://srv.prof-morii.net/~morii/whoami_2008.htm
これの元は,1997年の朝日新聞に連載していた「インターネット講座」の内容です.残骸が以下にあります.
http://srv.prof-morii.net/lecture/page102.html
http://srv.prof-morii.net/lecture/page103.html
http://srv.prof-morii.net/lecture/page104.html
現在とは少し事情が異なっている十数年前の状況です.本質的に現在でも変わらない部分は当然あります.
ご存じだと思いますが,「生体認証 テンプレート」で検索すれば,玉石混合で,お望みの情報を得られます.
便乗させてください。
専門家の方にお尋ねしたいのですが。
(森先生も上のところでお書きになっているように、生体認証には避けられないデメリット(誤認識など)があるので、これを暗号の鍵にするシステムは根本的に問題があるのでは?というのはおいておいて。)
生体情報を秘密鍵にする暗号ですが、それは暗号としては、きわめて駄目?な暗号だと思うのです。
つまり、暗号では、鍵の秘密さにその安全性をおっています。普通の暗号なら、鍵が盗まれた場合でも鍵を変えれば、暗号を使い続けることが出来ます。
が、生体情報を盗まれたら?
「あなたの指紋データが、ハックされたので、すいません、指紋を変えてください。」と言うわけにはいかないと思います。
私ももやもやしておりますので、思い違いとかあるかもしれません。コメントを頂ければ幸いです。
専門家の方にお尋ねしたいのですが。
(森先生も上のところでお書きになっているように、生体認証には避けられないデメリット(誤認識など)があるので、これを暗号の鍵にするシステムは根本的に問題があるのでは?というのはおいておいて。)
生体情報を秘密鍵にする暗号ですが、それは暗号としては、きわめて駄目?な暗号だと思うのです。
つまり、暗号では、鍵の秘密さにその安全性をおっています。普通の暗号なら、鍵が盗まれた場合でも鍵を変えれば、暗号を使い続けることが出来ます。
が、生体情報を盗まれたら?
「あなたの指紋データが、ハックされたので、すいません、指紋を変えてください。」と言うわけにはいかないと思います。
私ももやもやしておりますので、思い違いとかあるかもしれません。コメントを頂ければ幸いです。
>>恭@BadBoy さん
朝の講義が終わりましたので、その休憩時間に書いています。時間があれば、ゆっくりと説明したいところですが、申し訳ございません。一点だけ、簡単に回答させていただきます。
「生体情報が確実にユニークであるって証明されてるんでしょか?」という疑問ですが、これは証明されていません。歴史が古い?指紋ですら、証明されていません。信じられているだけです。ですから、生体情報からPIDコードを生成する場合に、確実にユニークであるという証明はされていません。ただ、開発されている方式(実用に具されている各社さんの方式を含めて)は、一致する確率は無視できるぐらい小さくなるように構成されています(ハズです)。
朝の講義が終わりましたので、その休憩時間に書いています。時間があれば、ゆっくりと説明したいところですが、申し訳ございません。一点だけ、簡単に回答させていただきます。
「生体情報が確実にユニークであるって証明されてるんでしょか?」という疑問ですが、これは証明されていません。歴史が古い?指紋ですら、証明されていません。信じられているだけです。ですから、生体情報からPIDコードを生成する場合に、確実にユニークであるという証明はされていません。ただ、開発されている方式(実用に具されている各社さんの方式を含めて)は、一致する確率は無視できるぐらい小さくなるように構成されています(ハズです)。
>恭@BadBoyさん
>生体情報に関しては「認証」シーンにおいて、例えばSSOソリューション
>の認証要素の一つということであれば、結構利便性が高くて良いかなー
というか、、、それを理解しないからダメなんでしょう。。。
現在、指紋認証で唯一成功していると思われるのが、、、社名を忘れた、、、指紋認証モジュールだけで販売している。。。つまり、既存のセキュリティシステムの位置オプションとして指紋を販売しているケース。
>でも、こと暗号分野において生体情報は重要ではないような気がしています
暗号化と生体情報は本来関係ないってことでしょう。生体情報はそれ自身がユニークな鍵ですから暗号化ビジネスと生体認証ビジネスはジャンルが違う。。。このあたり混同して判っていない人が多い。全然関係ないビジネスです。
生体認証に関して言うと、生体情報の保存する時に暗号化が好ましいけどね。
でも鍵内部のブラックボックスでの話し。
また暗号化の鍵(というかシード)に利用するのであれば、シートの取り方のいくつもあるオプションの中のひとつでないといけない。。。つまり絶対条件ではない。
ってことでしょう。
>生体情報に関しては「認証」シーンにおいて、例えばSSOソリューション
>の認証要素の一つということであれば、結構利便性が高くて良いかなー
というか、、、それを理解しないからダメなんでしょう。。。
現在、指紋認証で唯一成功していると思われるのが、、、社名を忘れた、、、指紋認証モジュールだけで販売している。。。つまり、既存のセキュリティシステムの位置オプションとして指紋を販売しているケース。
>でも、こと暗号分野において生体情報は重要ではないような気がしています
暗号化と生体情報は本来関係ないってことでしょう。生体情報はそれ自身がユニークな鍵ですから暗号化ビジネスと生体認証ビジネスはジャンルが違う。。。このあたり混同して判っていない人が多い。全然関係ないビジネスです。
生体認証に関して言うと、生体情報の保存する時に暗号化が好ましいけどね。
でも鍵内部のブラックボックスでの話し。
また暗号化の鍵(というかシード)に利用するのであれば、シートの取り方のいくつもあるオプションの中のひとつでないといけない。。。つまり絶対条件ではない。
ってことでしょう。
暗号技術の開発を営利企業にやらせるということは、(1)資本単位で独自の立法を許すのと同じこと、(2)更に国際企業に暗号技術開発をやらせるのだとすると、それは政府をないがしろにすることと同じこと、でしょう。
わたしはソニーに在籍していたわけですが、財閥という集団は技術者の知らない処で”国際契約”をしてしまうので、ややこしくなり過ぎるのです。
暗号技術開発のこれまでの契約を総て白紙に戻して(廃案および新規七宝)、外資系IT企業の幹部を財界から追い出して、公募制にして、ピンで勝負にするべきでしょう。
なぜって、「安全の仕様」を考えるお祭りは、自由民権な姿勢で臨むのが憲政の常道というものであるからに他なりません。
「安全の仕様」を財界の密室で決めて良い筈がないではありませんか。
みなさんの会社では一体どうなの?
わたしはソニーに在籍していたわけですが、財閥という集団は技術者の知らない処で”国際契約”をしてしまうので、ややこしくなり過ぎるのです。
暗号技術開発のこれまでの契約を総て白紙に戻して(廃案および新規七宝)、外資系IT企業の幹部を財界から追い出して、公募制にして、ピンで勝負にするべきでしょう。
なぜって、「安全の仕様」を考えるお祭りは、自由民権な姿勢で臨むのが憲政の常道というものであるからに他なりません。
「安全の仕様」を財界の密室で決めて良い筈がないではありませんか。
みなさんの会社では一体どうなの?
短い鍵なのは、特許問題ではなく、アメリカがゴネて、対共産圏輸出制限品に暗号を入れているからでしょう。
256超過のブロック暗号の配布を禁止していると記憶。ザル法ですが、、、RSA、カメリアの512版のソースコードがゴロゴロ転がっているんで、頭隠して尻隠さず状態でしょう。
***
とはいえ、RSAより優れた暗号はいくらでもあるのが現状でしょう。。。適切に設計したストリーム暗号には強度で勝てないでしょう。。。
確か、、、RSAを以前、方程式化した記憶がある。。。たしか、256ビットで15次方程式に展開できた覚えがある。。。15次以上かな。。。
グリッドコンピュータってのかな。。。並列連結コンピュータか、、、方程式を計算する特殊コンピュータを作れば解読できるんじゃないかなと思ったものだ。
やはり、ブロック暗号は用途を選ぶと思う。
256超過のブロック暗号の配布を禁止していると記憶。ザル法ですが、、、RSA、カメリアの512版のソースコードがゴロゴロ転がっているんで、頭隠して尻隠さず状態でしょう。
***
とはいえ、RSAより優れた暗号はいくらでもあるのが現状でしょう。。。適切に設計したストリーム暗号には強度で勝てないでしょう。。。
確か、、、RSAを以前、方程式化した記憶がある。。。たしか、256ビットで15次方程式に展開できた覚えがある。。。15次以上かな。。。
グリッドコンピュータってのかな。。。並列連結コンピュータか、、、方程式を計算する特殊コンピュータを作れば解読できるんじゃないかなと思ったものだ。
やはり、ブロック暗号は用途を選ぶと思う。
> 確か、、、RSAを以前、方程式化した記憶がある。。。たしか、256ビットで15次方程式に展開できた覚えがある。。。15次以上かな。。。
RSAは整数論的な話なので、そういう形で記述はできないんじゃないかなぁ。
いや、書けるとしたらそりゃすごいことだとは思いますけどね。
256ビットのRSAってのは、40桁くらいの素数を二つ乗算したものを素因数分解できれば解けます。今ならそんなにたいした計算時間はかからないと思う。
RSAの強度が素因数分解問題の困難性と等しいかそうでないかは未解決問題だったはずです。
多項式に展開できて(素因数分解よりも)容易に解けるとしたら、そりゃすごい発見ですよ。是非、どこかで発表することをお勧めします。
で、RSAはまあブロックごとの暗号化に使えるは使えるけど、通常は分類は「公開鍵暗号」と分類されます。ブロック暗号と称する人はまずいないと思う。
なぜ、RSAをブロック暗号と呼ばないかというと、ブロック暗号というのは基本的に「鍵の全数探索以下の計算量で解読できない(ことを目指して設計されている)」暗号を指すからです。DESやAESはそういう意味でブロック暗号です。一方、RSAは鍵の全数探索の強度は最初から持ち合わせていません。期待される強度は素因数分解の計算量が限界です。
昔のアメリカの輸出規制に関しては、ブロック暗号は40ビット、RSAは512ビットまでOKだったと思います。NSAが容易に解けるレベルの安全性しか許可されていなかったと言うことでしょう。
ストリーム暗号については、適切な設計がちゃんと確立されているのかというとちょっと疑問を持っています。自分の出身研究室ではいくつかのストリーム暗号についてDistinguish攻撃が成功しています。
それよりも、重要なのは、システムとして暗号をどう組み込むかの問題です。鍵管理やIV生成など、暗号アルゴリズム意外にもきっちりと作り込まなくてはシステムの安全性は保てません。森井先生の研究室でのWEPやWPA-TKIPへの攻撃は、その主体となるRC4自体の脆弱性ではなくIV生成に問題があることが解読の端緒となっています。
Bruce Schneierも書いている通り、暗号アルゴリズムの強度はもちろん安全なシステムの必要条件だけども、それは十分条件ではないことに留意しなければいけないでしょう。
RSAは整数論的な話なので、そういう形で記述はできないんじゃないかなぁ。
いや、書けるとしたらそりゃすごいことだとは思いますけどね。
256ビットのRSAってのは、40桁くらいの素数を二つ乗算したものを素因数分解できれば解けます。今ならそんなにたいした計算時間はかからないと思う。
RSAの強度が素因数分解問題の困難性と等しいかそうでないかは未解決問題だったはずです。
多項式に展開できて(素因数分解よりも)容易に解けるとしたら、そりゃすごい発見ですよ。是非、どこかで発表することをお勧めします。
で、RSAはまあブロックごとの暗号化に使えるは使えるけど、通常は分類は「公開鍵暗号」と分類されます。ブロック暗号と称する人はまずいないと思う。
なぜ、RSAをブロック暗号と呼ばないかというと、ブロック暗号というのは基本的に「鍵の全数探索以下の計算量で解読できない(ことを目指して設計されている)」暗号を指すからです。DESやAESはそういう意味でブロック暗号です。一方、RSAは鍵の全数探索の強度は最初から持ち合わせていません。期待される強度は素因数分解の計算量が限界です。
昔のアメリカの輸出規制に関しては、ブロック暗号は40ビット、RSAは512ビットまでOKだったと思います。NSAが容易に解けるレベルの安全性しか許可されていなかったと言うことでしょう。
ストリーム暗号については、適切な設計がちゃんと確立されているのかというとちょっと疑問を持っています。自分の出身研究室ではいくつかのストリーム暗号についてDistinguish攻撃が成功しています。
それよりも、重要なのは、システムとして暗号をどう組み込むかの問題です。鍵管理やIV生成など、暗号アルゴリズム意外にもきっちりと作り込まなくてはシステムの安全性は保てません。森井先生の研究室でのWEPやWPA-TKIPへの攻撃は、その主体となるRC4自体の脆弱性ではなくIV生成に問題があることが解読の端緒となっています。
Bruce Schneierも書いている通り、暗号アルゴリズムの強度はもちろん安全なシステムの必要条件だけども、それは十分条件ではないことに留意しなければいけないでしょう。
>RSAは整数論的な話なので、そういう形で記述はできないんじゃないかなぁ。
>いや、書けるとしたらそりゃすごいことだとは思いますけどね。
う〜〜ん失礼。AESとRSAが頭の中で混同していた。
私が数式展開したのはAESのほうだった。。。あれは、ロジックだから数式化できる。
>それよりも、重要なのは、システムとして暗号をどう組み込むかの問題です。
>鍵管理やIV生成など、暗号アルゴリズム意外にもきっちりと作り込まなくては
>システムの安全性は保てません。
これは同感だね。。。暗号強度が強くても鍵管理が杜撰だと頭隠して尻隠さず。。。ですね。
ストリーム式は鍵の管理をしっかりすること。。。使用する乱数を適切な物を選ぶ事でしょう。。。
>いや、書けるとしたらそりゃすごいことだとは思いますけどね。
う〜〜ん失礼。AESとRSAが頭の中で混同していた。
私が数式展開したのはAESのほうだった。。。あれは、ロジックだから数式化できる。
>それよりも、重要なのは、システムとして暗号をどう組み込むかの問題です。
>鍵管理やIV生成など、暗号アルゴリズム意外にもきっちりと作り込まなくては
>システムの安全性は保てません。
これは同感だね。。。暗号強度が強くても鍵管理が杜撰だと頭隠して尻隠さず。。。ですね。
ストリーム式は鍵の管理をしっかりすること。。。使用する乱数を適切な物を選ぶ事でしょう。。。
AESを数式化して解くというのは、XSL攻撃といって、2002年頃にかなり話題になりました。
素直に記述すると128元127次方程式になってしまって(もちろん、それは計算できない)それを線形方程式に落とし込めるかどうかという研究がなされていました。が、2^100くらいの計算量で解けるんじゃないかという見積もりはされていますが、その見積もりが正当かどうかはまだ決着がついてないはずです。
http://www2.chuo-u.ac.jp/21COE/umeno2003-04-16/shimoya.pdf
http://www.ipa.go.jp/security/enc/CRYPTREC/fy16/documents/C04_WAT_FINAL.PDF (p.12あたり)
AESはブロック暗号としては数学的にかなりシンプルに作られていて(それは、ハードウェア性能の向上を目指してるのでそんなにネガティブな話ではない)、そういうことがあっても全くおかしくはないのですが、少なくとも、フルサイズのAESについて、解読に結びつくような研究結果は存じ上げません。もし、そんな研究結果があるのなら、是非知りたいです。
ブロック暗号自体は、いろんなコンセプトがあるので、AESがもし解読可能であったとしても、ブロック暗号そのものがダメということにはつながらないと考えます。対極的な設計のアルゴリズムとしてCIPHERUNICORN-Aを上げておきます。
素直に記述すると128元127次方程式になってしまって(もちろん、それは計算できない)それを線形方程式に落とし込めるかどうかという研究がなされていました。が、2^100くらいの計算量で解けるんじゃないかという見積もりはされていますが、その見積もりが正当かどうかはまだ決着がついてないはずです。
http://www2.chuo-u.ac.jp/21COE/umeno2003-04-16/shimoya.pdf
http://www.ipa.go.jp/security/enc/CRYPTREC/fy16/documents/C04_WAT_FINAL.PDF (p.12あたり)
AESはブロック暗号としては数学的にかなりシンプルに作られていて(それは、ハードウェア性能の向上を目指してるのでそんなにネガティブな話ではない)、そういうことがあっても全くおかしくはないのですが、少なくとも、フルサイズのAESについて、解読に結びつくような研究結果は存じ上げません。もし、そんな研究結果があるのなら、是非知りたいです。
ブロック暗号自体は、いろんなコンセプトがあるので、AESがもし解読可能であったとしても、ブロック暗号そのものがダメということにはつながらないと考えます。対極的な設計のアルゴリズムとしてCIPHERUNICORN-Aを上げておきます。
トピの表題から、ずれてしまっているようなので(もっともトピ作成者の”ヤッホーおい”さん不在の状況ですが)、以下のような記事も数日前に出ているということも参考までに。
http://www.itmedia.co.jp/enterprise/articles/0911/09/news062.html
ところで、暗号、あるいは認証基盤、さらにセキュリティ関連基盤についてですが、本日、例の話題になっている行政刷新会議の「事業仕分け」において、第一WGで議論されます。15:45〜の事業番号1-21および1-22です(すべてが上記関連ではありません)。これが廃止、あるいは大幅に削減となれば、国のセキュリティ基盤にとって問題ある事態に陥るでしょう。
http://www.itmedia.co.jp/enterprise/articles/0911/09/news062.html
ところで、暗号、あるいは認証基盤、さらにセキュリティ関連基盤についてですが、本日、例の話題になっている行政刷新会議の「事業仕分け」において、第一WGで議論されます。15:45〜の事業番号1-21および1-22です(すべてが上記関連ではありません)。これが廃止、あるいは大幅に削減となれば、国のセキュリティ基盤にとって問題ある事態に陥るでしょう。
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
暗号理論 更新情報
-
最新のイベント
-
まだ何もありません
-
-
最新のアンケート
-
まだ何もありません
-
暗号理論のメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- 楽天イーグルス
- 31948人
- 2位
- 千葉 ロッテマリーンズ
- 37152人
- 3位
- 一行で笑わせろ!
- 82528人