Optimal Asymmetric Encryption Padding

Optimal Asymmetric Encryption Padding (略称:OAEP、試訳:「最適非対称暗号化パディング」)は、暗号理論において特殊な確定的暗号系 (落とし戸付部分領域一方向性置換) を安全に利用するための平文パディング手法の一つである。ミヒル・ベラーレ英語版フィリップ・ロガウェイ英語版によって1994年に考案され[1]、後にPKCS1英語版RFC 2437において標準化された。この手法を用いた暗号系はランダムオラクルモデルで適応的選択暗号文攻撃の下で暗号文識別不可能性英語版 (IND-CCA2安全性) を持つ。RSA暗号と組み合わせて使われることが多く、その場合はRSA-OAEPと呼ばれる。

概要

OAEPのアルゴリズムはFeistel構造の一種であり、非対称暗号化に先立って二つのランダムオラクルを用いて平文を加工する。この結果を何らかの安全な落とし戸付き一方向性関数英語版 と組み合わせれば、選択平文攻撃に対してランダムオラクルモデルで強秘匿性を持つ(IND-CPA)。また、ある種の落とし戸付き置換(例えばRSA)と共に実装された場合は、OAEPは選択暗号文攻撃に対しても安全であることが証明されている。OAEPはAONT英語版を構築するのに使うこともできる。

OAEPは次の二つの性質を満たす:

  1. ランダムネスの要素を持っており、確定的暗号英語版方式(例えば古典的なRSA暗号など)を確率的暗号英語版方式に変換する用途に使える。
  2. 攻撃者が所与の落とし戸付き一方向性関数 の逆関数を構成できない限り、暗号文の部分的な解読(またはその他の情報漏洩)が不可能であることを保証する。

歴史

OAEPの初期バージョン(Bellare/Rogaway, 1994)は、ランダムオラクルモデルで任意の落とし戸付き置換と組み合わせると"plaintext awareness英語版"を持ち、これにより選択暗号文攻撃に対する識別不可能性(IND-CCA1安全性)を持つとされた。また当初は適応的選択暗号文攻撃に対しても識別不可能性(IND-CCA2安全性)を持つと考えられていた。しかし2001年にビクター・シュープ英語版がIND-CCA2ではないことを示し、改良版としてOAEP+を提案した[2]。同時期にダン・ボウネイ英語版もSAEPおよびSAEP+を提案した[3]。但し、元のOAEPもランダムオラクルモデルで標準的な暗号化指数を用いたRSA置換と組み合わせた場合は、たまたま(主にOAEPではなくRSA関数の代数的な性質により)IND-CCA2になる。すなわち、藤崎、岡本、Pointcheval、Sternの4人は、OAEPは元となる暗号系が部分領域一方向性置換であるならばランダムオラクルモデルでIND-CCA2であること、およびRSA関数に関しては一方向性と部分領域一方向性が(多項式時間帰着の下で)等価であることを示した。結果、RSA-OAEPはランダムオラクルモデルでRSA仮定からIND-CCA2安全性を持つ[4]

近年では、標準モデル(即ち、ハッシュ関数がランダムオラクルではないモデル)においては、RSA問題の困難性が現在推測されている程度だと仮定した場合、RSA-OAEPのIND-CCA2安全性を証明することは不可能であることが示された[5][6]。また、OAEPを含むパディング方式全般と理想的な落とし戸付き置換の組み合わせについて、標準モデルでは安全性を証明不可能とする結果が得られている[7]

OAEPの動作概念図

OAEPの動作概念図

図中に現れる記号の意味は次の通り。

  • n はRSAの法などのビット数
  • k0 と k1 はプロトコルが定める整数
  • m は平文メッセージであり、n - k0 - k1 に等しいビット数を持つとする
  • G と H はランダムオラクルまたはプロトコルが定める何らかの暗号学的ハッシュ関数
  • r はランダムなビット列であり、k0 ビットの長さを持つとする

平文の符号化手順

  1. 平文に対して k1 個の 0 をパディングして、長さを n - k0 ビットとする。
  2. G によって r の長さを k0 ビットから n - k0 ビットに拡張する。
  3. m と G( r ) の間で排他的論理和を取り、結果としてビット列 X を得る。
  4. H によって X の長さを n - k0 ビットから k0 ビットに縮小する。
  5. r と H( X ) の間で排他的論理和を取り、結果としてビット列 Y を得る。
  6. X || Y を出力とする。(|| は左辺のビット列の右側に右辺のビット列を連結することを表す)

元の平文への復元手順

  1. Y と H( X ) の間で排他的論理和を取り、結果として r を得る。
  2. X と G( r ) の間で排他的論理和を取り、結果として m を得る。

これがAONT英語版安全性を持つ理由は、m を復元するにはまず X 全体と Y 全体を復元しなければならないからである。Y から r を復元するには X が必要であり、X から m を復元するには r が必要である。暗号学的ハッシュ値が1ビットでも変わると結果は全く変わってしまうので、X 全体と Y 全体が両方とも完全に復元されなければならない。

参考

参考文献

  1. ^ Bellare, Mihir; Rogaway, Phillip (1995), Eurocrypt '94 Proceedings, in A. De Santis, “Optimal Asymmetric Encryption -- How to encrypt with RSA”, Lecture Notes in Computer Science (SpringerVerlag) 950, http://www-cse.ucsd.edu/users/mihir/papers/oae.pdf 
  2. ^ Shoup, Victor (2001-09-18), OAEP Reconsidered, Saumerstr. 4, 8803 Ruschlikon, Switzerland: IBM Zurich Research Lab, http://www.shoup.net/papers/oaep.pdf 
  3. ^ Boneh, Dan (2001), CRYPTO 2001, “Simplified OAEP for the RSA and Rabin functions”, LNCS (SpringerVerlag) 2139: 275-291, http://rd.springer.com/chapter/10.1007%2F3-540-44647-8_17 
  4. ^ 藤崎, 英一郎; 岡本, 龍明; Pointcheval, David; Stern, Jacques (2001), RSA-OAEP is secure under the RSA assumption, “Advances in Cryptology — CRYPTO 2001”, Lecture Notes in Computer Science (Springer-Verlag) 2139: 260-274, http://eprint.iacr.org/2000/061.pdf 
  5. ^ P. Paillier; J. Villar (2006), “Asiacrypt 2006”, Trading One-Wayness against Chosen-Ciphertext Security in Factoring-Based Encryption, https://www.iacr.org/archive/asiacrypt2006/42840253/42840253.pdf 
  6. ^ D. Brown, “What Hashes Make RSA-OAEP Secure?”, IACR ePrint 2006/233, http://eprint.iacr.org/2006/223 
  7. ^ E. Kiltz; K. Pietrzak (2009), EUROCRYPT 2009, “On the security of padding-based encryption schemes (Or: why we cannot prove OAEP secure in the standard model)”, LNCS 5479: 389-406, https://www.iacr.org/archive/eurocrypt2009/54790389/54790389.pdf 2014年7月24日閲覧。 
アルゴリズム
理論
標準化
関連項目
カテゴリ カテゴリ
Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi

Kembali kehalaman sebelumnya