(1)証明可能安全性 素因数分解の困難性に基づく公開健鍵暗号とその安全性の検討を行った。ここで、M-Paillierと呼ばれる特殊な公開鍵パラメータを利用するPaillier暗号の変形版を取り上げた。第一の結果は、公開は公開鍵パラメータが公開法からのみ生成される場合、この方式の一方向性は(法の)素因数分解困難性と等価であること、をしめした。2番目に、公開鍵パラメータを生成できるためには、法の素因数分解を知っていることが必要であることを証明した、3番目にM-Paillierに対する選択暗号文攻撃を与えた。さらに、類似の暗号系に対する上記の結果の適用可能性を議論した。 (2)物理的な新攻撃 暗号系は、いわゆる従来の理想的環境下のアルゴリズム的なレベルでは数学的に理論的安全性明(provably secure)であることに注意する。特に、数学的な安全性を達成するために、最近の公開鍵暗号では、送信者が平分を知らずに、適当に送ってくる暗号文は、復号処理の際にエラーとして処理するように設計されている。このエラー処理が、この攻撃対象の暗号の場合、2つの解釈で行なわれ、この2つの解釈に、わずかではあるが、実装計測上無視できない差が生じるというものである。 こうした処理時間を計測し降灰鍵暗号を解読する手法はRSA暗号などの代表的暗号系に対しても現在盛んに研究されている。しかし、今回の我々の攻撃対象となった暗号の場合、単なる暗号文の平文がわかってしまうというものではなく、暗号系の基礎となっている素因数分解情報が露呈するという致命的なものであるという点に特徴がある。この研究では、指摘した攻撃法を以下に防ぐか、その防衛実装法も提案している。
|