Remove ads
桁数が大きい合成数の素因数分解問題が困難であることを安全性の根拠とした公開鍵暗号の一つ ウィキペディアから
RSA暗号(RSAあんごう)とは、桁数が大きい合成数の素因数分解が現実的な時間内で困難であると信じられていることを安全性の根拠とした公開鍵暗号の一つである。暗号[1]とデジタル署名を実現できる方式として最初に公開されたものである。
RSA暗号方式は、1977年に発明され、発明者であるロナルド・リベスト、アディ・シャミア、レオナルド・エーデルマンの原語表記の頭文字をつなげてこのように呼ばれる[2](p63)。前年(1976年)にディフィーとヘルマンによって発表されたばかりの公開鍵暗号という新しい概念に対し、秘匿や認証を実現できる具体的なアルゴリズムを与えた。発明者3氏は、この功績によって2002年のチューリング賞を受賞した。この暗号はフェルマーの小定理に基づいている[2][要ページ番号]。
RSA暗号のアルゴリズムは、1983年9月20日にアメリカ合衆国で特許(4,405,829号)を取得し、RSA Security 社がライセンスを独占していたが、特許期間満了に伴って2000年9月6日からは誰でも自由に使用できるようになった。
なお、RSA暗号を最初に考案したのはGCHQに所属するジェイムズ・エリスとクリフォード・コックスであるという説がある。エリスは1969年に公開鍵暗号に相当する理論を考案したが、エリスは専門の数学者ではなく、GCHQの数学者たちも公開鍵暗号の具体的な方法を提示することはできなかった。1973年にコックスはエリスが考案した暗号の理論を聞かされ、わずか30分程度でリベストの計算式と同様の方法を考案した。しかし、エリスとコックスの業績は機密事項とされたため、1997年までは世間に知られることはなかった[2](p66)。また、当時はRSA暗号を使用するには高価なコンピュータが必要であり、公に知られている限り、実用に供されることは無かった。
p, q を異なる2つの素数とし n = pq とし λ(n) = (p − 1)(q − 1) とする。e を λ(n) と素な正整数とすると α ⋅ e + β ⋅ λ(n) = 1 となる2整数 α, β が存在する[3]。α として1つの正整数 d を選択してそのときの β を −x とすると d ⋅ e = x ⋅ λ(n) + 1 となる。ここで d を秘密鍵とし、n と e を公開鍵とする。
ここで、α ⋅ e + β ⋅ λ(n) = 1 のとき i を整数とすると (α + i ⋅ λ(n)) ⋅ e + (β − i ⋅ e) ⋅ λ(n) = 1 であるから α に λ(n) の整数倍を加えたものも改めて α とできるため、α として正整数 d を選択できるとした。
以下 ℤn を 0 以上 n 未満の整数の集合とする。
a ∈ ℤn とし a を暗号化対象の平文とする。b = ae mod n ∈ ℤn を計算し、b を 平文 a の暗号文とする。
a′ = bd mod n ∈ ℤn を計算する。すると a′ = a となり a′ は 平文 a の暗号文 b の復号文となる。
定義により以下が成立する。
これにより以下も成立する。
a が n と互いに素な整数のときは a が2つの素数 p, q のそれぞれと互いに素であるから
フェルマーの小定理 により かつ であり
よって は p, q で割り切れるから となり
となるが、 であるから
となる。
であり、 のときは、a は q − 1 個の整数からなる集合 の元であって、a が p で割り切れるから であり、a, q が素であるからフェルマーの小定理により であり
よって
よって
よって a' − a は p, q で割り切れるから
となるが、 であるから
となる。
であり のときについても同様に a' = a となる。
a = 0 のときは であるから b = 0 であり、 であるから a' = 0 である。つまり a′ = a = 0 である。
以上何れにしても a' = a が成り立ち、平文 a の 暗号文 b は 秘密鍵 d と公開鍵の一つ n を用いて平文 a に復号できることが分かる。
セキュリティパラメータが1024の場合、n は1024ビットという大きな桁数の数となり、d も n とほぼ同じ桁数の数となる。 を計算するには、バイナリ法というアルゴリズムを用いると、剰余乗算 () を、1500回程繰り返すことで実現できる。これには相当の計算時間を要するため、中国の剰余定理を用いて、
として求めることがある。
桁数が大きい場合、確実に素数であると保証できる整数を見つけることは容易ではない。このため実際には、素数であるとは断言できないものの、素数である可能性が非常に高い自然数を用いる。こういった自然数の生成はMiller–Rabinテストなどの確率的素数判定法によって高速に行える。確率的素数判定法をパスした自然数を確率的素数 (probable prime) という。確率的素数には、素数の他に擬素数が含まれるが、その確率は判定回数を増やすことで極めて低くすることができる(なお、拡張リーマン予想が正しければ、Miller–Rabinテストは素数かどうかを正しく判定する、という事実が知られている[要出典])。
2002年8月、インド工科大学 のアグラワルらが素数判定を多項式時間で行うAKS素数判定法を発表した[要出典]が、これは多項式の次数が高すぎて遅いので未だRSAの鍵生成に実用するには足らない。
RSA暗号は、安全性が素因数分解問題と同値であると期待されている暗号方式であるが、本当に両者が同値であるかどうかについては分かっていない。
素因数分解を解けるオラクルを用いれば、n から p および q が計算できるので、鍵生成と同様にして秘密鍵 d を知ることができる。即ち、RSA暗号が解読できる。従って、RSA仮定が証明できれば素因数分解問題の困難性が示せる。しかし、逆が成立するかどうかはよく分かっていない。ある条件下では否定的な結果もでている。
RSA暗号が選択平文攻撃に対して完全解読できない、ということとRSA仮定とは同値である。
RSA問題を解く方法として、現在知られている有力な方法は、素因数分解問題を解くことに使える方法だけである。素因数分解問題を解く方法として、楕円曲線法や数体篩法などのアルゴリズムが知られているが、これらの方法はどれも準指数関数時間アルゴリズムであり、多項式時間で素因数分解問題を解く方法は知られていない。
暗号理論の世界では、多項式時間で解読することができない暗号方式を安全であると定義することがある(計算量的安全性)。この意味で、RSA暗号の安全性について、現在知られている範囲では安全であると期待されていて、その反証がないと言える。
RSA問題や素因数分解問題はNP問題であるので、これらの問題が(決定性のある)多項式時間では解けないことが証明できれば、P≠NP予想が肯定的に解決することになる。ただし、ハミルトン閉路問題など他のNP問題(NPかつNP困難なNP完全問題を含む)が多項式時間で解けることが証明されればP=NPとなってしまう。
2004年の時点では、インターネットで公募した数多くのPCを用いると512ビット程度の数なら素因数分解できるので、RSA暗号に使用する法 n は1024-4096ビット(10進数で300-1000桁程度)にすることが推奨されている。
しかしシャミアは、RSA問題を解くための専用装置 (TWIRL) を作成すれば、1024ビットの n に関するRSA問題ですら解くことができると主張している。また、実用的な量子コンピュータが登場した場合には、素因数分解の桁数増に対する計算時間の増加が緩やかなショアのアルゴリズムと呼ばれる高速な量子コンピュータアルゴリズムが実行可能となるため、たとえ鍵のビット数を増やしてもRSA暗号の安全性が保証されなくなる可能性が指摘されている[4]。
RSA社は「RSA Factoring Challenge」を1991年から2007年まで実施し、最新の計算機環境でどの程度のビット数の整数が素因数分解可能かを調べた。
以下は未踏
RSA暗号は選択暗号文攻撃を行なえば完全解読できる。また、RSA暗号は選択平文攻撃に対してすらindistinguishable(識別不能)ではない。よってRSA暗号は選択平文攻撃に対してnon-malleable(頑強性)でも semantic secure(強秘匿性)でもない。non-malleable と semantic secure の定義は公開鍵暗号に記されている。
この節の加筆が望まれています。 |
RSA暗号の安全性は素因数分解の困難さ(より正確には素因数が不明な法 n での冪根を求めることの難しさ)に基づいている。 しかし、平文の内容によっては、素因数分解をせずとも暗号文から平文を入手できる。
公開鍵暗号全般に言えることであるが、確定的暗号(例えば平文が「はい」か「いいえ」のどちらかしか有り得ない)であれば、それぞれを暗号化したものと暗号文とを比較すれば容易に平文を知ることができる。
実用上は、m の一部に毎回生成する乱数を挿入することで、この攻撃を回避できる(復号側で乱数部分を無視するよう処理すればよい)。
平文 m が、n の e 乗根よりも小さいと、暗号文 となるから、通常の冪根演算によって c の e 乗根を計算するだけで平文 m が復元できてしまう。
実用上は、m の比較的高位のビットに1を挿入することでこの攻撃を回避できる。
法 n における e乗根が計算できれば、暗号文を復号できる。当然これは(法 n の素因数が分からない限り)非常に難しいと考えられていて、RSA暗号の安全性の重要な根拠の一つになっている。
しかし、全く同一の平文を、異なる法において同一の e を用いて暗号化した暗号文を e 個以上集めることで、各々の法に関して中国の剰余定理を用いれば通常の冪根演算によって平文を復元できる。これを同報通信の誤用と呼ぶ。
ここから中国の剰余定理によって上記式を満たす、
を求めることができる。このとき であり、また m はどの法 n よりも小さいため であることから、
この c の e 乗根を求めることで平文 m が求められる。
e として 3 や 65537 は、2進数表示したときに 1 の個数が少なく暗号化処理を高速化できるという理由から好んで用いられるが、上記の問題がある。
実用上は、m の一部に毎回生成する乱数を挿入することでこの攻撃を回避できる。
RSA暗号の入力は、公開鍵の法を n とすると 0 から n − 1 の範囲の整数である。n 以上の値の平文を暗号化する際には、平文を分割して処理することになる。
この時に留意しなければならない点として、例えば、n が1024ビット(= 128バイト)であるとき、平文を同じ 1024ビット毎に分割処理するのでは十分ではないという点がある。これは、n と m が共に 1024ビットであったとしても、n < m の場合には、結果として出力されるのは、 に対応する暗号文であり、復号しても m は出力されないためである。
平文をビット単位(やバイト単位)で分割する際には、まず、n の下限を定めた上で、平文の全ビットを 1 に(全バイトを に)しても n より小さくなるビット数(バイト数)で分割しなければならない。例えば、n の下限を とした場合、平文は 1023 ビットごとに分割する。こうすることで m < n の条件が常に満たされる。
一方で、出力となる暗号文は 0 から n − 1 の範囲の整数になるため、先の例で(n の下限より小さいビット数)1023ビット毎に分割された m に対応する暗号文の中には、1024ビットが必要となるものがある。つまり、平文をビット単位で分割する場合には暗号化によってメッセージサイズが増加するといえる。これを回避するにはビット単位で分割するのではなく、平文 m を n 進数表示したときの各桁毎に分割すればよい。
RSA暗号方式は、
などの脆弱性があり、RSA暗号方式をそのまま利用することは好ましくない。このため、実際のRSA暗号の実装では、暗号化する前に適切なパディングを行っている。代表的なパディングとしてOAEPがあり、公開鍵暗号標準であるPKCS#1(バージョン1.5以降)もこれを採用している。OAEPは確率的なパディングであり、すなわち、元の平文が同じであっても、パディングされた平文は時によって異なる(ランダムに選ばれた値に依存)。
OAEPパディングとRSA暗号の併用をRSA_OAEPと呼ぶことがある(これに対して、パディング処理を行わない素のRSA暗号方式を生RSA、教科書的RSAということがある)。RSA_OAEPは、公開鍵暗号における最も高い安全性である「適応的選択暗号文攻撃に対する識別不可能性」を持つことが示されている[5]。
RSA暗号が実現した公開鍵暗号方式は、従来の暗号方式(共通鍵暗号)とは異なり、暗号化は公開鍵を使って誰でもできるが、復号は秘密鍵を持つ本人だけしかできない方式である。この復号は「本人だけしかできない」という性質を利用すると、デジタル署名(あるいは認証機能)が実現できる。
そのためには、公開鍵・秘密鍵を次のように使用する。
公開鍵と秘密鍵の役割は通常の場合においては上記の通り、公開鍵は暗号化に使われ、秘密鍵は復号に用いられるが、RSA暗号においては平文と暗号文の定義域が同じ(平文空間=暗号文空間である)ため、任意の文書(メッセージ)を暗号文とみなして復号することができる。つまり秘密鍵を用いて任意の文書について署名値を生成でき、公開鍵を用いてその署名値を暗号化して元の文書と一致するかを調べることで署名の検証ができる。
ただし、RSA暗号と同様に、生RSAでは、署名の潜在的偽造等の好ましくない性質があるため、パディングなどが必要である。また、暗号文空間よりも大きなメッセージを扱うためにハッシュ関数と組み合わせて使用する。
このようなパディングなども含めたものとして、
などがある。
1977年、マーティン・ガードナーがコラムを連載していたサイエンティフィック・アメリカン誌に129桁の法 n と公開指数 e = 9007 を使ったRSA方式で暗号化されたメッセージを掲載した[6]。解読が成功した者にマサチューセッツ工科大学から100米ドルを与えるという懸賞金問題だった[6]。当時、解読には4京年(40×1015年)は必要だろうと予測されていた[6]。掲載から16年後に、オックスフォード大学ポール・レイランド、アイオワ州立大学マイケル・グラフ、マサチューセッツ工科大学デレク・アトキンス、アリエン・レンストラらが、インターネット上で(南極大陸を除くすべての大陸から20か国以上の)約600名のボランティアの協力を得て、二次ふるい法によってRSA-129に対する大規模攻撃を開始した。8か月で800万以上の下位問題が解かれ、得られた50万行50万列以上の疎行列から188614行188160列の行列による連立方程式を作った。これをスーパーコンピュータMP-1で45時間をかけて構造的ガウスの消去法によって解き、解読に成功した(1994年4月)[7]。答えは“The magic words are squeamish ossifrage
”[ossifrage(ヒゲワシ)はラテン語で「骨を折る者」の意。ロナルド・リベストによると暗号の答えはランダムで決められた。[8]
RSA暗号をサポートしているライブラリは以下の通り。
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.