Diet記録簿 with Cipher and etc. Reborn

NECエレクトロニクス、模造バッテリーを検出する小型の認証LSI

あんまり研究と関係ないかもしれませんが。
NECがバッテリ認証用のチップを出したというニュースで、
*64bitの暗号化技術を搭載
*写真のICチップにUNI-Sとか書いてある。

ってことは、CIPHERUNICORN-Sですか！アニキ！
いやー、解析して～(w

というわけで、後輩のイッチーくんと一緒に、SEEDに対するキャッシュ攻撃を改良しました。
11月のSITA＠沖縄で発表します。(発表するのはイッチーくん)

現時点では、一部の鍵までの考察しかできていないので、鍵の全ビットについての考察をしないとなぁ、
と思っていたら、師匠にも指摘されました。

「それができたら海外に投稿」
だそうです。来年のISITAあたり希望:-)

ざっくりと検討した感じではたぶん、100時間以内で全ビットの解読はできそうです。
ただ、平文の選び方が後ろの鍵の攻略だと選べるものが少なくなるので、
ちゃんと攻撃できるのかは実験してみないとなんともいえないかもなぁ。

今回のSEEDに対する考察で用いた手法は、Camelliaでの結果についてもフィードバックさせようと
思っています。まあ、Camelliaに対してはもうキャッシュ攻撃はやりつくしてるはずなんですが、
修論に持っていく上でISECで発表したものではあいまいに記述していた部分について
ビットベクトルを使って精密に記述しなおした方がよさそうな感じです。

トータルとして修論のメインの結論は、
「キャッシュラインによって差分の一部ビットの一致がちゃんと検出できない場合も、S-Boxの非線形性を利用すれば完全一致差分と不完全一致差分は区別可能である」
というあたりに落ち着きそうな気がします。これだと、ここまでやった結果が全部統一して見通せるはず。

この結論に達するためには、2年前に別の人が(卒論で)やった、Khazadに対するキャッシュ攻撃も再検討の必要があると思う。

そういいながら、mabinogiる毎日ですが（をい）

久々に研究ねた。
昨晩はSITAで発表する3人で飲んでました。(師匠含む)
で、「M2になると活気がなくなっちゃうねぇ。」
という話をしていたのですが、そのせいかどうかはわからないのですが、
朝になってアイディアが振ってきました。！！！

今まで、SEEDに対する攻撃は、一番最初にG関数に突っ込まれる鍵の一番下のバイトに対して成功していて、
他のバイトは「同様に」と書いてあったんですが、具体的な方法を書いていませんでした。

で、修士論文向けに自分がやってきた成果のまとめてきなことを考えているときに、
具体的にちゃんと追っかけられる手法が頭に振ってきたわけです。
この方法を使えば、多分全鍵の導出が可能なんじゃないかなという気がしてきました。

広島とソウルで発表したいなぁ。

http://ja.wikipedia.org/wiki/%E6%9A%97%E5%8F%B7%E5%AD%A6

ちょっと思い立って、「SEED キャッシュ攻撃」でぐぐってみたら、
このblogとWikipediaが引っかかりました。

割とがんばって書いてあって、たぶん業界の人たちが関与してるような感じはしますが、まだまだ足りない気がします。
特に線形攻撃法が英語版へのリンクしかないあたりがかなり不満だったり。
暇を見つけていろいろ記述したいなぁ、と思います。

このblog、けっこう暗号業界の人も読んでるらしいので、あれですが、
皆さん得意分野を書いていきませんか？

なんて思いましたです。

いっち～くんの発表を聞きに(w
沖縄まで行ってきます。

まあ、今回の発表の続きの話はすでに構想は出来上がっちゃってるんですが（ｗ

というわけで、明日が修論発表会です。
何とか前日までに師匠の認証をクリアできました。
っていうか、殆ど修正無かったんですが....信頼されているのやら放置されているのやら

で、本来の所属先の先生からは全然連絡が無かったりするので、仕方が無く締め切りだけ自分で調べて
なんとか出しました....　師匠のチェックがぎりぎりまでずれ込んでしまったので、
所属先の先生に見せる時間が無かったので直接持っていこうとしたんですが、なんか引っ越しやってて
どこにいらっしゃるかわからないので、そのまま事務室に提出（をい）

で、順調に一個だけ出すもの遅れました(w
発表会の予稿資料
気づいたのが16:40、提出締め切りは17:00、自動車で行っても30分の距離、
しかもまだ書いてない(をい）

とりあえず、事務室に電話して翌朝でもかまわないといってもらえたので、
ささっと書いて（コピペですが）なんとか2pまとめて、師匠査読に回しました。
完成は18:00 2時間かかってないぞおい（ｗ
で、印刷して事務室に電話したらもういないみたいだったので、やはり明日もって行くことに。
大丈夫なのか、おい（ｗ

卒業できなかったら、しかたがないから留年して仕事1年休むかな（ｗ

http://www.ieice.org/ken/program/index.php?tgs_regid=523036a8aa2913ad8d6394144a853bdf344323bfb4a4772cc580c2d2a77d23c2&tgid=ISEC&lang=

ISECで発表するために名古屋まで着ました。
いま、名古屋に着きました。いまから、味噌カツたべて大学のほうに向かう予定です。

というわけで、昨日は卒業式でした。
修士(工学)の学位をいただきました。

いずれ博士課程でもどるための布石として、来年度以降も週1くらいで研究室に行こうと画策しています。
デスクもそのまま（おい）

というわけで、金子研所属以来3年、このたび卒業を迎えることとなりました。
30,31日は師匠は夜はいらっしゃらないということで、年度最後の飲み会を行いました。

で、飲み会をやっていたのですが、研究室のD2の渡辺大さんがお土産に買ってきた
安芸雅を飲んでいる途中に一言師匠が、
「ほのかにチョコレートの味がする」
とか言い出しました。私は飲めないのですが香りをかいで見るとたしかにほのかにチョコレートの香りがします。
もともと、このお酒はSCIS(１月中旬)に買ってきたもので、2月入る頃にあけたのですが、そのときはそんな香りはしませんでした。
不思議なものですね。

ちなみに、調べてみると、雄町という米で造ったお酒は火入れするとチョコレートの風味がするそうです。
このお酒がそうかはわかりませんし、そもそも開封時点と今で味が違うってどういうことなんでしょう。
#あけて、しばらく置いておいたのでデキャンタージュしたような感じになったのかな。

というわけで、修士課程を修了したにもかかわらず、土曜日に論文書きに研究室まで来てます。

が、自分の英語能力の無さに呆然。
師匠には、「もっと英語論文を読まないと書く能力はつかないよ」
といわれる始末。

ああ～、博士課程なんて、こんなレベルじゃいけねーよ。

修行するしか！

Winnyの通信解読に挑戦！：ITpro

こんな記事があったので興味があって読んでみた。

　コマンド00に続くデータを見ても，でたらめなデータの並びに見え，どう読めばいいのかわからない。実は，ここから先は暗号鍵の変更によって別の鍵で暗号化されている。その暗号鍵は「39 38 37 38 39 61 73 6A」（16進表記）で，Winny本体プログラムに格納されている。

うん、てっきり暗号の解読の話だと思って読んでたんですけど違いますね。
リバースエンジニアリングで鍵を解析して、復号してるだけですね。

なんだ、読んで損した。
まあ、タイトルはキャッチーに付けるもんだとは思うけど
最初、RC4の解読まで話が行くのかと思って興味を持って読んじゃったじゃないですか。

って、タイトルつけた人に負けてるのか(w

中国、独自Wi-Fi暗号アルゴリズムの棄却で告発 - CNET Japan

dW : Security : DES に代わる Rijndael (ラインダール)

Feistel 構造の時代は終わった

文章読んでみると、そんなことは書いてません(w
そもそも、AES候補だったIBMのMARSは変形Feistelだったし、
NESSIEで最終的に残ったMISTY(古いけど)もCamelliaもFeistel

っていうか、CRYPTRECのブロック暗号だとFeistelじゃないのは、Hierocryptシリーズと(ハイブリッドな)SC2000だけだったような。

個人的には、設計の容易さや復号が暗号化と同一であることから考えるとFeistelにもそれなりの利点はあると思う。

Schneier on Security: The Doghouse: KRYPTO 2.0

The Doghouse: KRYPTO 2.0
のネタをBruce Shneierのblogから引っ張ってきました。

Amazonでついふらふらと、
NTT情報流通プラットフォーム研究所, "最新暗号技術",
NTT R&D 情報セキュリティシリーズ, ASCII, 2006

を買いました。

Schneier on Security: Random Number Generators

Bruce Scheneierのblogからのネタ

NISTから

Recommendation for Random Number Generation Using Deterministic Random Bit Generators

Speed Comparison of Popular Crypto Algorithms

sci.cryptでCRYPT++っていうフリーのライブラリの話題が出てたのでちょっと見てみました。

というわけで、ISITAの査読が通ったので、韓国に行くことになりました。

初海外が韓国かぁ...

15th JANT meeting program

元ねたは
「計算機暗号屋日記」の6/14の記事

おやじのちょっとユビキタス

Google Alertで「暗号」で引っかかって通知されてきたWebPage

sci.cryptの記事

Hi guys,
Can anyone tell me where to find the time complexity of algorithms
like AES, DES, 3DES, RC4 and BlowFish? I need the complexity in Big O
notation.
Time complexity of breaking the algorithms will be useful too.
~Nipun

最近の暗号学における流行キーワードですが、

Universally Composable Security

Universally Composable Security: A New Paradigm for Cryptographic Protocols - Canetti (ResearchIndex)

Universally Composable Security: A New Paradigm for Cryptographic Protocols

今書いてる論文が終わったらちょっとさくっと読みたいなぁ。

日経プレスリリース

大日本印刷株式会社（本社：東京　社長：北島義俊　資本金：１，１４４億円　以下：ＤＮＰ）は、本年６月末、安全性の高い第２世代暗号鍵を搭載し、かつ、従来品より演算速度を向上させたＡＴＭ内蔵用セキュリティカードの販売を開始しました。

第2世代ってなによ？もしかして楕円曲線ですか？　とか思ったんですが、

ひさびさに、研究室に来ました。ライブカメラ(アドレスは内緒)に写った画像を載せておこう。

ISITA用の論文の執筆に入りました。
ExtendAbstractは3p
本文は6pということで、後は倍にふくらまさないといけません。
まあ、SEEDアルゴリズムの説明とか、攻撃アルゴリズムの詳細をかけばそれくらいにはなるかな。
英語で書くのがちょっとつらいんですけど（W

暗号実装の魅力を探る － ＠IT自分戦略研究所

　ただ暗号を解読するというと、ついシステムへの不法侵入者がやるものというイメージがある。だが実際はそうでもないらしい。同業の研究者が解読することも多いという。防御することと破ることは表裏一体で、どちらも研究には欠かせないことだからだ。

う～ん、一般にとかいってそんなイメージなんでしょうか＞世間
まあ、学術的な「解読」と「鍵を持たないものによる復号」がごっちゃになってるのかな。

Wikipediaで暗号関係の単語を検索しててふと思いました。

日本の誇る暗号研究者の一人であり、
・世界初のDESの実験的解読
・証明可能安全性の提唱
・MISTY/KASUMI/Camelliaの開発
等で有名な松井充氏ですが、

英語版Wikipediaには単独ページ[Wikipedia:EN:松井充]が存在します。

日本語版にはありません。これは加筆しないといけませんね～

Camelliaのオープンソースコードをダウンロードしたときに
登録したメールマガジンの初メールが来てた。

とはいえ、これは、更新履歴みたいな感じなんですが、ちょっと気になったのを時系列で追って見ましょう～

ネットサーフィン(死語)してたら、見つけたので、メモ。

暗号関係の書籍の一覧 - Wikipedia

最新の本は載ってないけどいろいろと参考になりそうな感じ。
(日本語の本はほとんど持ってるけど)
これを元に書評を書いてみようかな。

マルチプラットフォーム対応 暗号化ツール「COMPLOCK」 : 富士通エフ・アイ・ピー

Googleアラートからのタレコミ。
富士通FIPの暗号化ソフトCOMPLOCKがCRYPTREC推奨暗号のAESを採用するという話。ちょっと突っ込みどころが満載な気がするので、突っ込んでみよう。

青木さん@NTT研究所の「計算機暗号屋日記」→伊豆さん＠電通大の「Tetsuya Izu's Wiki」とたどって、そこで紹介されていた記事。

[鏡] 「安全な鍵長の下限」とは -- 戯れ言

暗号鍵は何bit必要か、という議論なわけですが、
私はよく考えているのは、「クロック向上の限界」と「並列性の限界」かな。
この記事では、相対論的限界から速度は10^9程度、
そして、太陽エネルギーから1年で187ビットが限界と位置づけています。

エネルギー面ってのはぜんぜん頭の中には無かったです。たしかに素子スイッチングには電力が必要で、
それだけでもエネルギーが必要なんですよね。ちょっと目から鱗が。
こういう意味で考えてみると、正直192bit鍵があれば十分な気がします。まあ、フォーマットが面倒なら256bitでもいいけど。

ついでに、CRYPTREC REPORT2005が改定されているみたいです(URL)。
これもチェックしておかないとね。

Diet記録簿 with Cipher and etc...: [研究]今日は久々の研究室

というわけで、ISITA用論文が完成しました。予定より一日早い(W
次は、プレゼン用の資料を作らないとなぁ。
さて、PowerPointで作るか、KeyNoteで作るか...

というわけで、MD5の解読やSHA-1に対する攻撃などから、
AESのように新たな暗号用ハッシュ関数を公募・選定するプロジェクト
AHSが始まるようです。
http://csrc.nist.gov/pki/HashWorkshop/timeline.html
確定は、2011Q4とかなり先の話ですが(そうでもないか)
AESのときのように、ハッシュ関数の研究が一気に進みそうな予感がします。
楽しみは楽しみですね。

エニグマが買えます。といっても本物のエニグマじゃなくて、
電子化されたやつですが...
エニグマ型暗号機 EC??850??BX | (株)オークヒル・テクノロジー | セキュリティー関連製品 | 製品情報NAVI | 株式会社インコム INCOM co., LTD.エニグマが解読されているってのは当たり前に知られている情報だと思っていたんですが、意外に知られていないんですね。

ネタにしてはわりと本気な値段&無骨な外見なので、多分ネタじゃないんでしょうな。

KRyptoGateってページを見つけた。

韓国暗号技術研究所ってところの暗号技術者のWebページへのリンク集　かな。

こういうのまとめてやってるようなところ日本でも作らないといけないなぁ、なんて思います。あんまり大御所の先生方は自分自身のWebページは持っていらっしゃらないようですが。

ISITAのAdvanced Programが出たよ
ISITA Advanced Program

なんか、Secret Key Cryptographyのセッションが無いのでData Securityで発表することになってるな。

とりあえず、ちゃんと投稿できてたので安心しました。早めに旅行の予定立てなくちゃ。

専用ハードウェアによる素因数分解実験に成功――RSA暗号は大丈夫か？

423ビットが一ヶ月。
というわけで、RSAのような素因数分解ベースの公開鍵暗号はそろそろ限界かも、
という話。
まあ、現実に使われているのはもっと大きいビット数なので今すぐとかれちゃうわけじゃないですが。

典型的な使われ方だと、128bitとか256bitのセッション鍵を送る使いかただし、ビット数ふやしても仕方がないような気もするので、楕円曲線ベースへの転換が起きるかもなぁ。
#そこら辺も含めた2010年問題ってのがあります。2010年といっても木星が恒星になる話じゃないよ:-)

久々に、電子情報通信学会の情報セキュリティ研究会に出席してました。
おひさしぶりな方々にも挨拶できてよかったです。

発表内容も、今回はわりとどれも面白かったです。
「API関数呼出履歴によるソフトウェア動的バースマークの一方式」
とか研究とは全然関係ないんだけどすごく興味を惹かれました。

これ、盗用の検出以外にも、ソフトウェアバージョン派生の履歴を追いかけたりするソフトウェア考古学的な分野に応用できたりしないかなぁ。

Japan.internet.com Webテクノロジー - エンフォースシステムズ、無限乱数式暗号エンジンを搭載した USB メモリを販売

こんな記事があったので興味を持って読んでみた。
どうでもいいけど、無限欄数式暗号エンジンだと戻せないような気がするんだけど気のせいだろうか。

無限乱数式の暗号エンジン「InfinitySystem」を開発 (snip) InfinitySystem は内部に10の6,000乗以上の乱数表を備え、一度使用した箇所は二度と使わないという自動管理装置を備えた無限乱数式暗号を実現する。

というわけで、擬似乱数生成器であることは確か。

で、探してみると解析結果も載ってた。
NIST SP800-22での検定だから、まあおかしい話じゃないと思う。
ちなみに周期については10^6000以上と書いてあるけど、(これはSP800-22には入っていない)具体的にどうやって求めたのかは書いてない。是非知りたいところ。

ところで、

擬似乱数はソフトウェア演算により生成する乱数表の蔑称です。

でSP800-22のテスト結果が載ってるけど...
グラフは載ってるけど、p-Valueが載ってないんだよな。なんでだろう。合格したんだったら値を載せたらいいのに。

で、

N6 離散フーリエ変換検定(discrete fourier transform (spectral) test)

SP800-22通ったんだったら、それはそれでいいと思う。多分暗号用乱数としても使えるんだろう。
でも、「無限乱数式」っていうのは、こういうのには使わないなぁ。
擬似乱数ってのは基本的には有限状態機械です。
周期が2^19800乗ってことは、19800bitのステートを持つことになります。当然電子回路で作らなきゃいけないんだから、そのように回路を作るわけです。

で、ステートがでかくなればなるほど、乱数出力するのには計算量が必要になるわけで...どれくらいのスピードが出るのか非常に興味があります。

ところで、17inchPBっぽい側面がWebに載ってるんだけど、
対応OSがWindowsのみ　って、もしかしてMacユーザーにけんか売ってますか?

というわけで、ISITA2006の発表用のプレゼンテーションがほぼ完成しました。
もう一度時間を計って、話す内容を暗記するだけです...暗記できないかもorz

久々の研究室で飲み会もあったんだけど、時間の都合でごく短時間だったのが残念。
6時開始なら、なんかなべでもやるんだけど、8時開始じゃ乾き物で終わりになっちゃうよねぇ.

ふう。発表終了～
今までで一番緊張＆メタメタな学会発表でした。
やっぱりもうちょっと英語がんばらないとだめだね。
日本語発表だと原稿なしでもぺらぺらしゃべれるんですが、
英語だと原稿ガン読みですよ...とほほ。

というわけで、終了後師匠とともに昼食を。
結局ビビンバに...3日連続でビビンバ食べてます。
日本でも食べなれてるしなぁ。

コチュジャンの量が全然違うので日本のとは味が違います。なめてるときつい。
でも、まあおいしかったです。

http://www.ieice.org/~isec/award-SCIS-061225.html
に情報が載ったので解禁ということで。

SCIS2006の論文賞を獲得しました。
タイトルは、「キャッシュ攻撃によるSEEDのラウンド鍵の導出」
なんか、直下にビッグネームな方がいらっしゃるので恐縮ですが。
あと、普通は学部卒10年以内なので、32歳くらいで受賞資格なくなるんですが、
私は事情で43歳までOKだったので、かなり年齢的に浮いてます(w

というわけで、授賞式、どんな服を着ようかなぁ。
#って、タキシードでも着る気か(w

というわけで、SCIS2007の懇親会に出席してきました。

今回の目的は、これ

SCIS2006の論文賞の授賞式。

というわけで、受け取ってきました。
なんか、微妙に緊張した感じです。

NECと東北大、IP電話の盗聴防ぐ暗号技術を開発（NEC）

同技術は、東北大学の音声信号秘密分散共有技術と、NECのマルチパスルーティング技術を融合したもの。送信される音声データに対して秘密分散共有技術を用いることで、音声データを複数のデータに分割。このデータを、マルチパスルーティング技術により別々の通信経路で転送する。

最近の話題 2007 年2月10日

ANDO's processor infoより。

１．D-Wave社の商用量子コンピュータ　Orion

　　2007年2月8日のEE TimesがカナダのD-Wave社世界初の商用量子コンピュータのデモが，来週の2月13日に行われると報じています。D-Wave社はバンクーバーにあるのですが，今回のデモはシリコンバレーのComputer History Museumで行われるということです。

　　通常のディジタルコンピュータでは，１bitは0か1のどちらかですか，0と1の全ての重ね合わせが1 qubitで表現でき，暗号解読などの問題に関しては，画期的に高速に実行できるということが理論的に示されていますが，専門家の間でも，実用化には，もう，20年は掛かると言われており，この発表が本物とすれば画期的です。

　　EE Timesによると，今回デモされるのは16 cubitのマシンで，これらのcubitの間の接続をFPGAのようにプログラムする機能を持ち，このハードウェアの範囲でプログラムできるNP Complete問題なら，数サイクルの実行時間で解けるということです。このOrionと呼ばれるマシンのQubitは物理的にはニオブを主体とする低温超伝導素子で実現されているようです。

　　D-Wave社は，当面は，同社に設置したこのマシンをリモートで時間貸するようですが，ハードウェアの販売や，qubit数を数百に増加するという計画だそうです。しかし，このようなマシンが本当に実現すると，量子暗号は別として，現在主流の非常に大きい数の素因数分解が困難であるということに依存する暗号の安全性が崩れてしまいます。

とりあえず、cubitじゃなく、qubitだ、というのはおいておくとして、
今まで知られていたのが5qubitだったので、16qubitとなるとかなりの進化です。
いままでの研究結果だと「15が素因数分解できた」というレベルの結果だったわけですが、もうちょっと大きいところまで素因数分解できそうです。

NIKKEI NET：企業 ニュース ソニー、暗号鍵で新技術・演算量抑えながら安全性向上

ソニーは22日、音楽や映像などの著作権管理や認証時に使う暗号鍵の新技術「クレフィア」を開発したと発表した。関数の構成を工夫し、従来よりも少ない演算量で安全性を高めた。半導体回路の規模を抑えてデジタル機器に組み込みやすくしたほか、ソフトウエアにも採用しやすくしたという。1、2年後をメドにまず自社製品への採用を検討する。

　新技術はデータを128ビットごとに処理するブロック暗号技術をベースに、データを分割して並列処理することで回路を小型・高速化。米政府の標準暗号で、広く普及しているＡＥＳ技術に比べてデータ処理効率を1.6―1.2倍高めた。

Applied Cryptanalysis

posted with amazlet on 07.03.31

Mark Stamp Richard M. Low
Wiley-Interscience (2007/05/30)

Amazon.co.jp で詳細を見る

こんな本が出ているようです。(sci.cryptで知りました。)
(Amazon.comだと$36くらいで買えるので、amazon.co.jpより安く買えるかもしれません。)

CLEFIAの資料がちょっぴり出てます。
図を見る限りでは、変形Feistel構造ですね。わりと意欲的な設計だなぁ。と思いましたよ。

かなりヤバメのニュースが流れてるし。

APOP方式におけるセキュリティ上の弱点（脆弱性）の注意喚起について

APOP 方式に、MD5 ハッシュ衝突に基づく攻撃手法が発見されました。このため、ユーザがなりすましたメールサーバに誘導された場合、メールの受信に利用するパスワードが解読され、漏えいする可能性があります。

衝突の話かと思いきや、

メールのパスワード暗号破った…ＡＰＯＰ規格を解読 : 経済ニュース : 経済・マネー : YOMIURI ONLINE（読売新聞）

太田教授の研究グループは暗号化のカギとなる「ＭＤ５」を逆にさかのぼり、暗号化する前のパスワードに戻す手法を見つけた。

この文章が本当なら、衝突困難性とか、第2原像困難性じゃなくて一方向性が破られたことになります。かなり大きなニュースのような気が...

情報処理推進機構：セキュリティセンター：2006年度暗号モジュール委員会活動について

というわけで、CRYPTREC Report 2006がココとココに出てます。
ざっと見た限りなんですが、やはり今ホットなのはハッシュ関数がらみのはなしのようです。
それと別に、DSAの更新としてDSS(Digital Signature Standard)のドラフトが出ているとか、いくつかの話題が載っていました。

News Release 070521a

世界で初めて1000ビットを超える特殊な型の合成数に対して、特殊数体篩(ふるい)法※3による素因数分解を達成しました。

ということで、かなりインパクトの高い発表だと思いますです。
とはいえ、今のPGPとかが1024ビットでもただちに解かれるというわけではありません。
今回の場合、2^n-1の形の合成数がターゲットだったので、ちょっぴり特殊な手法が使えて計算量が少なかったわけです。
(中身を語れるほど詳しくはないですが)

とりあえず、今からPGP鍵を作るのなら2048ビットくらいにはしておいたほうがいいと思います。まぢで。

FreeBSD、Camelliaブロック暗号を獲得 | エンタープライズ | マイコミジャーナル

The FreeBSD Projectは7日（協定世界時）、FreeBSD 7-CURRENTへのCamelliaブロック暗号(Camellia Block Cipher)のソースコードの統合について発表した。次期リリースとなるFreeBSD 7.0-RELEASEにはCamelliaブロック暗号の機能が含まれる。

まあ、これはいいんですが、

面白そうな論文を発見。

CiNii - 物理乱数発生器出力の変則性 : 会議中および年末年始の累積偏差(特別講演3)(Without Peer Review)(第13回生命情報科学シンポジウム)

人が大勢集まり何かに集中するとき、その場所に設置された物理乱数発生器が、集まった人々が意識しなくても、統計的有意な乱数出力の異常を示したり、世界的な事件が起こり世界中が注目するとき、世界各地に設置した物理乱数発生器が出力異常を示すという報告がある。本研究は、スピリチュアルヒーリングの科学国際会議(ハワイ)と年末年始(日本)における、物理乱数発生器出力の累積偏差を測定し、どれくらいの偏りが生じるのか実験を試みた。その結果、対照実験が偶然範囲に留まったのに対し、国際会議における累積偏差のZ値はZ=2.32(p=0.020,両側)、年末年始におけるZ値はZ=2.11(p= 0.035,両側)となり、統計的に有意な結果となった。

査読のないシンポジウム発表に突っ込むのはヤボなのかもしれないが、

世の中に、多くのセキュリティ向けソフトウェアがあって、それの基幹技術として暗号が使われています。
で、まあ「＊＊」を使ってる、とか書いてあるわけですが、

・本当に、そのアルゴリズムを使っているのか
・暗号利用モード(ブロック暗号の場合)とか、パディング(公開鍵暗号とか)はどうなっているのか
・バックドアはないのか
・乱数をもとにセッション鍵等を作るものの場合、その乱数はどこから取ってるのか

オープンソースのソフトウェアだと、自分で追いかければいいわけだけど、プロプライエタリなソフトウェアだと、どう検証すればいいんだろうか。基本はソースベースで検証するしかないんだと思うんだけど。

公的なソフトウェア認証機関とか作れないものかな。
「AES Certified」とか「Camellia Certified」とか、パッケージにロゴがあったら安心感は増すと思うのだけど。

一応、アルゴリズムとしては安全なRC4を使ったWEPが解かれたことを考えると、製品そのもののセキュリティについて(使われている暗号の名前だけではなく)ユーザーがもうちょっと判断できる材料を客観的に示せるといいかな、と思います。

#CRYPTRECとかでやらないかな。

CSS2007のプログラムが出てます。

共通鍵暗号は最終日だなぁ。

うあ、いまさらですが、SCIS2008の公式ページがオープンしてます。
講演申し込みは11月末日です。さあ、みんながんばれ。

SITA2007 webページ
SITA2007のプログラムが公開されてます。
多次多変数公開鍵暗号の発表が妙に多いです。
聞きに行くつもり～

明日から、CSS2007(コンピュータセキュリティシンポジウム)で奈良に行ってます。
お会いできる方、一緒にご飯でも食べましょう。

昨日から、学会で伊勢に来てます。

伊勢の名物といえば、
・伊勢海老
・あわび
・赤福
ですが(w
どれも高いので、(赤福だけは値段じゃなく危険性だが)ので、昨晩は別のものを食べました。
食べたのはてごね寿司の定食とおつくりです。

3人で3000円ほどでおつくりを作ってもらいました。
真鯛、カンパチ、まぐろ、さより、ホタテ
だったかな。ホタテが超甘くておいしかったです。

宿ではAirEDGEが使えるので、IPは確保できてます。
学会の会場は無線LANがあるものの、セッション会場には入らないようです。

土産はどうしよう。定番中の定番が販売中止だしなぁ。

2008年 暗号と情報セキュリティシンポジウム開催案内

書こうと思って忘れてたけど、SCIS2008プログラムが出てます。
2日目とか体が二つ必要な感じです。

5年ほどあったキャッシュ攻撃関連の発表がなくなってるのと、擬似乱数が全部カオス関係になってるのが時代を感じますな。

SCISもナイトセッションが終わると、終わりはすぐって感じですよね。
ってわけで、今年も発表しました。
不実研究所の研究員1024号様と「水伝」ネタがかぶってしまったことにびっくりしてしまいました。:-)
186様の発表も見られてうれしかったです。
最近は、匿名発表が増えてきたなぁ:-)

また、そのうちデータ公開します。

新暗号方式移行で指針案 政府、電子申請システムで (Diet記録簿 with Cipher and etc. Reborn)

上の記事を書いた後、「情報セキュリティ政策会議」でぐぐったんだけど、ブログに書くのを忘れてました。

ココの3-1,3-2に書いてありました。．
平たくいうと、
・RSA1024は安全とは言い切れなくなって来たので、RSA2048にしましょう。
・SHA-1はどうかという感じなので、SHA-256にしましょう。
って話のようだ。

今の時期の東芝のプレスリリースというと、

HD DVD撤退

世界最高性能の高速物理乱数生成回路の開発について

大きく出ましたな。世界最高性能か。
ま、無粋な突っ込みは別として、今回のプレスリリース、よくわからないのは、

ノイズ源素子の改良で回路が小型化できた、とか書いてあるんだが、どう改良したか書いてない。

のだな。全体的な回路の話で、マルチバイブレータ型にくらべてフィルタ&差動増幅型の方が効率がいいのは直感的にわかるんだけど。

まあ、温度依存性もないし、回路面積がかなり小さくなったようだし、なかなか良いもののような気がします。なにかICチップあたりに入れるんだろうね。

反応が遅れたのは残念だ。木曜日に発表されてたら師匠とこのネタで話ができたんだけど。
いい酒のサカナになったんだけどなぁ。

なぞの暗号アルゴリズムというのは、だいたい信用がおけないというのが、暗号業界でのお約束だとは思いますが。

「解読不能は数学的に証明済み」、RSAを超える新暗号方式とは － ＠IT

　「われわれの開発した暗号方式は、数学的に解読が不可能であると証明されています」。

東京理科大学理工学部情報科学科教授 量子生命情報研究センター長 大矢雅則博士。1970年、東京大学理学部物理学科を卒業。1976年、米ロチェスター大学大学院物理学専攻修了。計算科学フロンティア研究センター・センター長、情報教育・研究機構長、研究科長を歴任し、1987年から現職。数理物理と情報科学で米国と日本の博士号を取得。量子エントロピー、量子情報理論、情報遺伝学などを研究。
　こう言い切るのは、新暗号「CAB方式」（Crypto Alarm Basic：仮称）の基礎となる数学理論を考案した東京理科大学理工学部長 量子生命情報研究センター長の大矢雅則博士だ。従来の暗号のように「解読が困難」なのではなく「解読が不可能」だという。

暗号の安全性を語る場合、だいたい３つの安全性が語られる。
・計算量的安全性
・情報理論的安全性
・物理的安全性

今時のほとんどの暗号アルゴリズムは計算量的安全性に基づいてます。ブロック暗号の場合は鍵の全数探索で必ず解けますし、公開鍵暗号の場合でも素因数分解問題や離散対数問題等を解けば必ず解けます。
ただ、それらはNP問題であったり準指数時間が必要だったりするので、"実用上は"攻撃できないと言う訳です。

2つ目はバーナム暗号と呼ばれているものです。ランダムなビット列と平文列を排他的論理和等で合成すれば解く事はできません。
暗号文の情報量と鍵の情報量が等しければ、平文の情報は全く漏れないという訳です。ただし、この手法は鍵の輸送に困難を生じます。
米ソのホットラインに使われていたというのが知られています。

最後の物理的安全性は、一部の量子暗号が該当します。
観測すると量子の状態が変化してしまうため、盗聴が検出できるということです。
(ちょっと間違った事書いてるかもしれません。だれかツッこんで)

で、今回のあれなんだけど、

　CAB方式では、その関数自体が無限個の中から利用者が自由に選べて、いつでも変えられるのだという。

　「例えば、xのm乗というのも1つの関数ですし、2xも関数です。実際には逆関数の計算が極めて難しい関数の集合を利用していますが、こうした関数からなる無限集合から鍵となる関数をピックアップします。盗聴者の探索しなければならない鍵空間は無限大ですから、鍵を推定できる確率はゼロです」（大矢教授）。

無限大って言葉を粗雑に使い過ぎなんじゃないかという気がします。
有限のメモリ、有限の処理時間である限り、鍵空間は有限でしょう。ぶっちゃけて言うと、64KBのメモリで実装できるアルゴリズムなんて、2^65536も無い訳です。これはかなり大きい値ではあるけど無限大じゃないと思う。

あと、計算の種類を変えるってのは盛大に電力が変わりそうな気がします。サイドチャネル攻撃にはすごく弱そうな気がするなぁ。
まあ、論文読んでみないと何とも言えないんだけど。

テレビを聞きながらパソコンいじってたら、秋葉原の連続殺人事件の話をしていました。
で、被害者の名前で、「まついみつる」さん。というのを聞いてびっくりしました．

画面を見ると字が違ってたのですが。
音だけ聞くとびっくりしちゃうなぁ。と、まあ業界人向けの話題ですが．

「解読不能は数学的に証明済み」、RSAを超える新暗号方式とは － ＠IT

追加取材を5月29日に行いました。続報記事を予定していましたが、以下の理由で続報記事の掲載を延期させていただきます。

理由の1つは同席する予定だった暗号研究者が欠席したためです。その結果、当記事作成に当たった編集部の西村が単独で追加の取材を行う形となりました。追加取材の場では、再度、CAB暗号方式の概要および現在進めている安全性検証について話を聞きました。

また、ビジネス面での進捗や情報の公開準備についても確認しました。クリプト・ベーシック社が特許申請を今後3カ月程度をめどに行う予定で弁理士と検討を進めていること、それに引き続き早ければ年内から年明けにも、いずれかの学会で学会発表を行う予定もあることが判明しました。

このため、最短で3カ月、最長でも2年程度で、CAB暗号方式のアルゴリズムに関する情報がオープンとなることが分かりました（特許庁に出願した特許申請は、出願から1年半後に公開特許公報に掲載されて、パブリックになります）。実装のオープンソース化も視野に入れているとのことです。

以上のことから、肝心の発明部分が非公開の状態のままにさらなる追加取材を行うよりも、専門家が客観的判断を下せるだけの十分な情報が公開された段階で、追加取材および記事掲載を行うべきと判断いたしました。

今後もクリプト・ベーシック社の情報公開準備に関する進捗については、随時同社に問い合わせ、このページに追記していきます。

というわけで、続報無しですね。
同席する予定だった暗号研究者って誰だったんだろうか。
ついでに、安全性検証中かよ。安全性は証明されてたんじゃなかったのか:-)

一瞬にして無線LANのWEPを解読する方法がついに登場、まもなく解読プログラムを公開予定 - GIGAZINE

そういえば、CSS2008のプログラムのチェックはしてなかったな。
(SITA2008に出席していました。)

WEPの解読自体は、森井研究室でずっとやられていたものです。高速化で一瞬ということになりました。まあ、インパクトはどれくらいあるんだろうな。
RC4そのものの脆弱性というよりは、初期値選択の脆弱性なんですけどね。さ
まあ、WEPは使うなということです。

我が家の場合、以前はLet's note T1 (CF-T1)がWPA非対応だったのでWEP用のAPをひとつ用意していた（我が家にはなぜか3台のAPがあります)のですが、無線LANカードのデベロッパのサイトを探していると、WPA対応のドライバがあったので、それに入れ替えてWPA化しました。
Panasonicはこのドライバを提供していません。サポートしてないとかのうのうと書いてるし。

そのときのメモを忘れていたので、同様のことを書いてあるブログを探し出してトラックバックしておきます。
CF-T1でWPA - もっちもち

S-Boxといえば、ブロック暗号とかストリーム暗号で非線形性を生み出すための関数ですが、なんと楽天市場で、S-Boxを売ってます。

ハッシュアルゴリズムの次世代標準候補の中にセキュリティ関係のコーディングの不備：ITpro

なんだかな～。

標準暗号アルゴリズムを指定する責任を負う政府組織である，米国の国立標準技術研究所（NIST）は，次世代の標準ハッシュ関数を選択する提案競争を実施している。その資料となるリファレンス実装をFortifyのコード分析ツールで検証したところ，提出された実装のうち2つがバッファオーバーフローの問題を抱えていることが明らかになった。

という話なんだが、正直どうでもいい話としか思えない。
だって、リファレンス実装は、アルゴリズムの正しさを保証するためのものなんだから。
最終的にSHA-3になって、仕様として公開されるまでに修正されていれば問題ないでしょ。

この事例は，セキュリティ専門家でさえセキュリティ上のミスを犯すことがあることを証明する事例として機能するだろう。

暗号はセキュリティのための要素技術の一つだけど、必ずしも暗号学者がセキュリティの専門家って訳でもない(両方兼ねてる人はもちろんいるだろうが)。

ブロック暗号だって、リファレンス実装の多くはキャッシュ攻撃に耐性がない状態のものがほとんど。

#とはいえ、大物中の大物、Ron. Rivestが入ってるのはちょっとどうかと思うけどな:-)

#日本人の関わるアルゴリズムはどれも大丈夫っぽいです。