RSA暗号のしくみ

はじめに

Bloggerでの投稿練習にRSA暗号の仕組みを紹介してみたいと思います。
仕組み自体は簡単なのでググったら沢山でてきますが、実際は多くの攻撃があり素人が簡単に実装をできるものではありません。それに読み物としての記事が多くて素数の生成 はどうやるのか~など具体的に書いてなくて困ると思います。
その辺もどんな感じのアイデアを使ってるのか面白く書いてみたいと思いますので是非読んでみてください(^^)/

仕組み

まず、大きな素数(最近は2048bit)\(p, q\)を作り、\(N = pq\)とします。次に、\(\varphi(N)\)と互いに素な数\(e\)を作ります。\(ed \equiv 1 \pmod{\varphi(N)}\)となるように\(d\)を決めて\((e, N)\)を公開鍵、\((d, N)\)を秘密鍵とします。ここで\(\varphi\)はオイラーの\(\varphi\)関数で\(\varphi(N) = (p - 1)(q - 1)\)となります。

modの意味 \(a \bmod{b}\)は\(a\)を\(b\)で割った余りという意味です。
\(a \equiv b \pmod{N}\)は\(a\)を\(N\)で割った余りと\(b\)を\(N\)で割った余りが等しいという意味で、これは\(a - b = kN\)となる\(k\)があることと同じ意味です。
\(ed \equiv 1 \pmod{\varphi(N)}\)なら\(ed - k\varphi(N) = 1\)となるので、ユークリッド互除法で\(e\)から\(d\)を求めることができます。
オイラーの\(\varphi\)関数 \(\varphi(N) = \mbox{1からNまでで互いに素な数の個数}\)のことです。
例えば\(\varphi(8) = 4\)、\(\varphi(13) = 12\)となります。
\(p, q\)を素数とすると、\(\varphi(pq) = (p - 1)(q - 1)\)となります。
また、\(a^{\varphi(n)} \equiv 1 \pmod{n}\)が証明できます。

さて、\(M\)をメッセージとすると暗号文\(C\)は以下のように計算されます。
\[C = M^e \bmod N\]
また、元に戻す復号は以下のようになります。
\[M = C^d \bmod N\]

どうしてこれで復号できるかは以下の計算で簡単に分かります。
\begin{equation*} \begin{split} C^d \equiv (M^e)^d &\equiv M^{ed} \\ &\equiv M^{1 + k\varphi(N)} \mbox{\(\quad [ed = 1+k\varphi(N)\)となる\(k\)があるから]} \\ &\equiv M(M^{\varphi(N)})^k \\ &\equiv M \pmod{N} \mbox{$\quad [M^{\varphi(N)} \equiv 1$だから]} \end{split} \end{equation*}

暗号のアイデアはたったこれだけです!(破られないように使うにはOAEPのようなパディングが必要です)
しかし、巨大な素数\(p, q\)はどうやって作るのか?などまだ疑問があると思います。2048bitとなると天文学的数字なんかよりもはるかに大きな数です(笑)

素数生成

素数生成は処理の中でも時間がかかり厄介な部分です。実際にどうやっているか簡単な紹介だけしたいと思います。
素数の生成にはミラーラビン法という確率的な判定方法を使います。これは1回素数だと判定すると素数でない確率は\(1/4\)以下です。50回もやれば\(1/2^{100}\)以下なので素数と思っていいわけです。2048bitの乱数を生成して素数かどうか判定して素数であればそれを使います。また何回くらい乱数を生成すればいいかというのは素数定理を使えば分かります。2048bitの数が素数である確率は\(1/log(2^{2048}) \approx 1/1420\)くらいと評価できます。

素数定理 \(\pi(x)\)を\(x\)未満の素数の個数とすると、 \[\lim_{x \to \infty}\frac{\pi(x)}{\frac{x}{log(x)}} = 1\] というのが素数定理です。

攻撃

素数生成時の乱数

数字が大きいほど素数は少なくなりますから、乱数もきちんと考えなければ生成される素数が限られてしまいます。それによって素数が予測されてしまわないようにしなければなりません。c言語などに最初からついてるrand関数なんかは使えません。

Wienerの連分数攻撃

\(d<\frac{1}{3}N^{1/4}\)になってしまうとWiener's attackで\(d\)が分かってしまうので注意が必要です。

他にもパディングに対する攻撃などここに書ききれないくらい沢山の攻撃があるので実際に使う場合は暗号のプロの方に任せた方がいいでしょう。

まとめ

RSA暗号は簡単な数学しか使わないので原理はすぐに理解できてしまいますが、暗号に詳しくないと自作したものを使うのは危険であることが分かると思います。
はじめての投稿で色々な書き方を覚えることができていい練習になりました。
htmlなど慣れていないので、おかしな部分などあれば教えていただきたいですm(_ _)m

コメント

コメントを投稿

このブログの人気の投稿

Wiener's attack 短い秘密鍵のRSA暗号への攻撃

はじめに ここでは短い秘密指数を持つRSA暗号へのWienerの攻撃を紹介して、さらにPythonで実際に攻撃します。RSA暗号のべき乗剰余算は処理に時間がかかりますから、より高速な処理をする方法として鍵を小さくすることが考えられます。しかし、小さすぎると破られてしまうことがこの攻撃で分かります。しかもこの攻撃は公開鍵\((e, N)\)の情報だけで秘密鍵\(d\)を計算できる魅力的なものです。 攻撃の概要 RSA暗号の公開鍵\(e\)と秘密鍵\(d\)の間には\(ed \equiv 1 \pmod{\varphi(N)}\)という関係がありますから\(ed - k\varphi(N) = 1\)となる\(k\)が存在します。この攻撃は\(d\)が小さいとき(\(d<\frac{1}{3}N^{1/4}のとき\))に\(\frac{k}{d}\)が\(\frac{e}{N}\)の主近似分数になっているというものです。よって攻撃方法は\(\frac{e}{N}\)を連分数展開するだけです。 連分数とは 連分数とは以下のような形の分数をいいます。\[a_0 + \frac{1}{a_1 + \frac{1}{a_2 + \frac{1}{a_3 + \cdots}}}\]これを\([a_0, a_1, a_2, \cdots]\)のように略記して書くことが多いです。では例として\(19/7\)という具体的な有理数をこの形に書き直してみたいと思います。19を7で割ると商と余りは2と5、すなわち\(19 = 7\cdot 2 + 5\)ですから以下のようになります。\[\frac{19}{7} = \frac{7\cdot 2 + 5}{7} = 2 + \frac{5}{7} = 2 + \frac{1}{\frac{7}{5}}\]以下このような計算を繰り返していきます。 \begin{equation*} \begin{split} 2 + \frac{1}{\frac{7}{5}} &= 2 + \frac{1}{\frac{5\cdot 1 + 2}{5}} = 2 + \frac{1}{1 + \frac{2}{5}
続きを読む

RC4ストリーム暗号 in Python

はじめに RC4は1987年にRon Rivestによって作られました。1994年にアルゴリズムがリークされ、WEPやWPA(WI-FIで見たことありませんか?)で使われています。この暗号はとっても短いコードで書くことがでるので、誰でも簡単なRC4のおもちゃが作れると思います。ここでは、RC4をpythonで簡単に作ってみたいと思います。 RC4のしくみ RC4は2つのパートKSA(Key-scheduling algorithm)とPRGA(Pseudo-random generation algorithm)から構成されています。KSAはランダムな鍵(40~256bit)で\(S = [0, 1, ..., N - 1]\)を初期化し、PRGAはそのSを使って疑似乱数を生成します。この生成された疑似乱数と平文のxorを取っていくことで暗号化をします。以下に疑似コードを書いておきます。 KSA(K) Initialization: For i = 0 ... N - 1 swap S[i] = i j = 0 Scrambling: For i = 0 ... N - 1 j = j + S[i] + K[i mod l] Swap(S[i], S[j]) PRGA(S) Initialization: i = 0 j = 0 Generation loop: i = i + 1 j = j + S[i] Swap(S[i], S[j]) Output z = S[S[i] + S[j]] 上の疑似コードをPythonにしてRC4を作ります。 def KSA(key): l = len(key) S = list(range(256)) j = 0 for i in range(256): j = (j + S[i] + key[i % l]) % 256 S[i], S[j] =
続きを読む