SlideShare una empresa de Scribd logo

バックドア耐性のあるパスワード暗号化の提案

MITSUNARI Shigeo
MITSUNARI Shigeo

SCIS2016発表資料

Tecnología
1 de 20
Descargar para leer sin conexión
バックドア耐性のある (パスワード)暗号化の提案 SCIS2016 2016/1/21 光成滋生
• 背景と動機 • パスワード暗号化 • バックドアつきパスワード暗号化 • バックドア耐性のあるパスワード暗号化の提案 • その安全性 • ハイブリッド暗号 • OpenPGPやIPSecで考える • BR-secureの定義と構成 • まとめ • (注記)発表後にXagawaさんから先行研究の紹介 • https://eprint.iacr.org/2014/438 ; ありがとうございます 目次 2/20
• 様々なフォーマットで利用できる • ZIP • pdf • Microsoft Office file • 基本的な構造 • パスワード(𝑝)に𝑠𝑎𝑙𝑡を合わせて Hashを繰り返し適用する(stretch) • 𝑠𝑎𝑙𝑡 : rainbowテーブル攻撃への耐性 • stretch : Brute-force攻撃への耐性 パスワード暗号化 𝑝 𝐻𝑎𝑠ℎ 𝑠𝑎𝑙𝑡 𝑆 𝐾 𝑚 𝐸𝑛𝑐 𝑚 𝑖𝑣 𝑛 3/20
• 8文字パスワードのBrute-force攻撃時間 • GeForce GTX860M 1019MHz 各種フォーマットの強度 File format # of tries/sec hash stretching days ZIP(96-bit) 230000000 none 10 days Office2003 doc 11000000 ? 220 days ZIP(256-bit AES) 370000 1000 x HMAC SHA1 18 years Office2007 docx 16000 50000 x SHA1 430 years Office2010 docx 8100 100000 x SHA1 854 years Office2013 docx 337 100000 x SHA512 20000 years 4/20
• ある条件下でパスワードを回避して復号可能 • 2015/7に見つけた(10月に修正済み : CODE BLUE 2015) • もちろんこれはバックドアではなく単なるバグだが 見かけは普通の暗号化ファイルと全く区別がつかない Microsoft Excelのちょっとしたバグ master file with pass with pass1 with pass2 with pass3 save as... have same secret key 5/20
• 信頼できるフォーマットって何だろう? • 暗号化アルゴリズムはOpenで安全性は広く研究されている • しかし実装はOpenであるとは限らない • 大抵の暗号化モジュールはバイナリ提供 • ベンダーにとって • ソースは公開したくないが私は悪いことはしていないと信用 してほしい • ユーザにとって • バイナリ提供でも信用するしかない? 動機 6/20
• 開発環境 • 2015/9 AppleのXcodeの海賊版XcodeGhost • 2015/11 BaiduのMoplus SDK • 企業向けfirewall製品 • 2015/12. SSH/telnet in Juniper Networks firewalls • 攻撃者はVPNの通信を復号可能 • http://www.wired.com/2015/12/juniper-networks- hidden-backdoors-show-the-risk-of-government- backdoors/ • 2016/1. SSH in Fortinet FortiOS firewalls • http://forums.juniper.net/t5/Security-Incident- Response/Advancing-the-Security-of-Juniper- Products/ba-p/286383 製品のバックドア 7/20
• 暗号文のみを考える • 暗号時に外部と通信しない • 暗号器の中身は分からない(ブラックボックス) 考察対象 暗号器 𝑚 (𝑠𝑎𝑙𝑡, 𝑐) 𝑝 外部 8/20 バックドアがある?
• 𝐻 : パスワードベースの鍵導出関数(PBKDF) • 𝐸𝑛𝑐, 𝐷𝑒𝑐 : ブロック暗号の暗号化・復号関数 標準的なパスワード暗号化 Encryption Input 𝑝 : password, 𝑚 : plaintext 𝑖𝑣 : random(or given) 𝑠𝑎𝑙𝑡 : random 𝑠 𝑘 ← 𝐻 𝑝, 𝑠𝑎𝑙𝑡 𝑐 ← 𝐸𝑛𝑐(𝑖𝑣,𝑠 𝑘)(𝑚) Output (𝑠𝑎𝑙𝑡, 𝑖𝑣, 𝑐) Decryption Input 𝑝 : password, (𝑠𝑎𝑙𝑡, 𝑖𝑣, 𝑐) : ciphertext 𝑠 𝑘 ← 𝐻 𝑝, 𝑠𝑎𝑙𝑡 𝑚 ← 𝐷𝑒𝑐 𝑖𝑣,𝑠 𝑘 (𝑐) Output 𝑚 9/20
• 攻撃者 Eve は秘密鍵 𝑋 を持っている • 𝑋 は暗号器の中に埋め込まれている • 𝑠𝑎𝑙𝑡は𝑝を𝑋で暗号化したもの ( 𝑝 ∼ |𝑠𝑎𝑙𝑡|を仮定). • Eveは𝑋を使って𝑠𝑎𝑙𝑡から 𝑝を復号し𝑠 𝑘を得られる • 𝑋を知らない人にとって𝑠𝑎𝑙𝑡は普通の乱数と区別できない バックドアつき暗号化 Backdoor Encryption Input 𝑝 : password, 𝑚 : plaintext 𝑖𝑣 : random(or given) 𝑠𝑎𝑙𝑡 ← 𝐸𝑛𝑐 𝑖𝑣,𝑋 (𝑝) 𝑠 𝑘 ← 𝐻 𝑝, 𝑠𝑎𝑙𝑡 𝑐 ← 𝐸𝑛𝑐(𝑖𝑣,𝑠 𝑘)(𝑚) Output (𝑠𝑎𝑙𝑡, 𝑖𝑣, 𝑐) 10/20 バックドア あり暗号器𝑚 (𝑠𝑎𝑙𝑡, 𝑐) 𝑝
• 𝑠𝑎𝑙𝑡/𝑖𝑣 を直接乱数にしない Backdoor-resistant(BR) encryption バックドア耐性のある暗号化 Input 𝑝 : password, 𝑚 : plaintext 𝑟1, 𝑟2 : random 𝑠𝑎𝑙𝑡 ← 𝐻(𝑝, 𝑟1||𝑚) 𝑖𝑣 ← 𝐻 𝑝, 𝑟2||𝑚 𝑠 𝑘 ← 𝐻 𝑝, 𝑠𝑎𝑙𝑡 𝑐 ← 𝐸𝑛𝑐 𝑖𝑣,𝑠 𝑘 (𝑟1| 𝑟2 |𝑚) Output (𝑠𝑎𝑙𝑡, 𝑖𝑣, 𝑐) 復号 Input 𝑝 : password, (𝑠𝑎𝑙𝑡, 𝑖𝑣, 𝑐) : ciphertext 𝑠 𝑘 ← 𝐻 𝑝, 𝑠𝑎𝑙𝑡 (𝑟1| 𝑟2| 𝑚) ← 𝐷𝑒𝑐(𝑖𝑣,𝑠 𝑘)(𝑐) Output 𝑚 if 𝑠𝑎𝑙𝑡 == 𝐻(𝑝, 𝑟1| 𝑚 and 𝑖𝑣 == 𝐻(𝑝, 𝑟2||𝑚) 11/20 検証
• バックドアつき暗号器は 𝑟1, 𝑟2を制御しようとする • Eve が 𝑟1, 𝑟2 を固定化していたら • Eveにとって 𝐻(𝑝, 𝑟𝑖||𝑚) から𝑝を求める難しさは パスワードベースの鍵導出関数の難しさに依存 • 復号者は乱数𝑟1, 𝑟2がいつも同じだと気づく • Eveは 𝑟1, 𝑟2 をたくさん用意しないといけない • バックドアつき暗号器は予め準備された𝑟1, 𝑟2のどれかを利用 • Eveにとってもどの 𝑟1, 𝑟2 が使われたのか調べるのが難しい 提案手法の安全性 𝑠𝑎𝑙𝑡 ← 𝐻(𝑝, 𝑟1||𝑚) 𝑖𝑣 ← 𝐻 𝑝, 𝑟2||𝑚 12/20
• Password Based Key Derivation Function • RFC2898でPBKDF2が規定されている • 𝑠𝑎𝑙𝑡とhash stretchingを利用する • 最近のPBKDF • SHAシリーズは PBKDFとして使うには軽すぎる • SHA-1 4.2 × 1010times/sec on 8x NVidia Titan X • Argon2 by A. Biryukov, D. Dinu, D. Khovratovich • Password Hashing Competition 2015で優勝 • https://password-hashing.net/ • maximizes resistance to GPU cracking attacks PBKDF 13/20
• Hybrid encryption = KEM + DEM • KEM ; Key Encapsulation Mechanism • DEM ; Data Encapsulation Mechanism • KEM • 𝐾 𝑝𝑢𝑏, 𝐾 𝑝𝑟𝑣 ← 𝐾𝐸𝑀. 𝐺𝑒𝑛(1 𝑘), 𝑠 𝑘, 𝑐 𝑘 ← 𝐾𝐸𝑀. 𝐸𝑛𝑐 𝐾 𝑝𝑢𝑏 , 𝑠 𝑘 = 𝐾𝐸𝑀. 𝐷𝑒𝑐 𝐾 𝑝𝑟𝑣, 𝑐 𝑘 . • 例 : ElGamal暗号タイプ • 𝐺 : cyclic gr., 𝑔 ∈ 𝐺, 𝑥 : private key, 𝑦 = 𝑔 𝑥 : public key • 𝑚 : plaintext, 𝑟 : random • ciphertext : (𝑚𝑦 𝑟, 𝑔 𝑟) ; Eveが 𝑔 𝑟を制御するのは難しそう ハイブリッド暗号 KEM 𝑠 𝑘 DEM𝑚 𝑐 14/20
• 𝑠 𝑘 : secret key, 𝑚 : message • 𝑐 = 𝐷𝐸𝑀. 𝐸𝑛𝑐 𝑠 𝑘, 𝑚 , 𝐷𝐸𝑀. 𝐷𝑒𝑐 𝑠 𝑘, 𝑐 = 𝑚 • 𝐷𝐸𝑀. 𝐸𝑛𝑐 は通常確率的多項式(PPT)アルゴリズム • いくつかのDEMアルゴリズムはパスワード暗号化と同 様のバックドアに対して”弱い”構造を持っている DEMについては 15/20
• IPsec ESP内のGCM(RFC4106) • ESP ; Encapsulating Security Payload • ESP payload data • 𝑖𝑣 (8 bytes) + ciphertext • Nonce format • 𝑠𝑎𝑙𝑡 (4 bytes) + 𝑖𝑣 (8 bytes) • 𝑠𝑎𝑙𝑡 : random • 𝑖𝑣 : 一意性さえ満たせばIVの生成方法は暗号器まかせ • Eveは 𝐸𝑛𝑐 𝑋 𝑠 𝑘 を𝑠𝑎𝑙𝑡や 𝑖𝑣の中に埋め込める • SSHにおけるGCMの𝑖𝑣(RFC5647) • 𝑖𝑣 = 𝐻𝑎𝑠ℎ 𝑠 𝑘 | ℎ 𝑐 ||𝑠𝑒𝑠𝑠𝑖𝑜𝑛_𝑖𝑑) • ℎ : exchange hash, 𝑐 : ‘A’ or ‘B’ • 𝑖𝑣の作り方が決められている→バックドアを入れられない AES-GCMに対するバックドア 16/20
• RFC4880 13.9で規定される • 𝑠 𝑘 : secret key given by KEM • 𝑖𝑣 : all zeros • 平文 𝑚 の先頭に16+2バイトのデータを付与する • 𝑟0, … , 𝑟15 ; random data. 𝑟14, 𝑟15 are repeated. • バックドアを入れる • 暗号器が 𝑟: = 𝐸𝑛𝑐 𝑠 𝑘 0 ⊕ 𝐸𝑛𝑐 𝑋(𝑠 𝑘) とすると 𝑐0 = 𝐸𝑛𝑐 𝑠 𝑘 0 ⊕ 𝐸𝑛𝑐 𝑠 𝑘 0 ⊕ 𝐸𝑛𝑐 𝑋 𝑠 𝑘 = 𝐸𝑛𝑐 𝑋(𝑠 𝑘). • Eve can get 𝑠 𝑘 from 𝑐0 by 𝑋. OpenPGP CFBモード 𝑟0 𝑟1 𝑟2 𝑟3 𝑟4 … 𝑟14 𝑟15 𝑟14 𝑟15 𝑚0 𝑚1 … 𝑐0 ≔ 𝐸𝑛𝑐 𝑠 𝑘 0 ⊕ [𝑟0 … 𝑟15] 𝐸𝑛𝑐 17/20
• (𝐸, 𝐷) : CPA安全な共通鍵暗号 • 𝑠 𝑘 : secret key, 𝑚 : plaintext • c0 ≔ 𝐸 𝑠 𝑘, 𝑚 , 𝐷 𝑠 𝑘, 𝑐0 = 𝑚 • 次の性質を満たすPPTアルゴリズムとパラメータの組 (𝐸′, 𝐷′, 𝑋)が存在しないとき(𝐸, 𝐷)をBR安全という • バックドア𝑋を用いて作った𝑐1: = 𝐸′ 𝑋, 𝑠 𝑘, 𝑚 に対して • 𝐷 𝑠 𝑘, 𝑐1 = 𝑚 ; 𝑐0 ≔ 𝐸(𝑠 𝑘, 𝑚)と同様に𝐷, 𝑠 𝑘で復号できる • 𝐷′ 𝑋, 𝑐1 = 𝑚 ; 𝑋があれば 𝑠 𝑘を使わずに𝐷′で復号できる • 𝑋がなければ𝑐0と𝑐1を区別できない : • adversaryが𝑐𝑖が𝐸′で作られたと判定する確率を 𝑃𝑖とすると 𝐴𝑑𝑣 𝑘 ≔ 𝑃0 − 𝑃1 = 𝑛𝑒𝑔𝑙(𝑘) for security parameter 𝑘 BR(Backdoor-Resistant)安全の定義 18/20
• (𝐸0, 𝐷0) : 決定的ブロック暗号 • 𝐻 : target collision resistant hash function • 𝑠 𝑘 : secret key, 𝑚 : plaintext • Define (𝐸𝑛𝑐, 𝐷𝑒𝑐) algorithm such that • 𝐸𝑛𝑐 • 𝑟 : random number • 𝑖𝑣 ≔ 𝐻(𝑟||𝑠 𝑘) • 𝐸𝑛𝑐 𝑠 𝑘, 𝑚 ∶= (𝑖𝑣, 𝐸0 𝑠 𝑘, 𝑖𝑣, 𝑟 𝑚 • 𝐷𝑒𝑐 • 𝑟||𝑚 ∶= 𝐷0(𝑠 𝑘, 𝑐) • 𝐷𝑒𝑐 𝑠 𝑘, 𝑐 : = 𝑚 if 𝑖𝑣 = 𝐻(𝑟||𝑠 𝑘) ⊥ otherwise • この構成はBR安全? BR安全なDEM 19/20
• 既存のパスワード暗号化やDEMには暗号器にバックド アが入れられても検出できない問題の指摘 • バックドア耐性のある(BR)安全性の定義 • BR安全な方式の構成 • 今後の課題 • 定義したBR安全はwell-definedなのか? • “区別できない”ための条件が強すぎないか • 構成方法がBR安全であることの証明 まとめ 20/20

Recomendados

暗号技術入門
暗号技術入門暗号技術入門
暗号技術入門
MITSUNARI Shigeo
 
WASM(WebAssembly)入門 ペアリング演算やってみた
WASM(WebAssembly)入門 ペアリング演算やってみたWASM(WebAssembly)入門 ペアリング演算やってみた
WASM(WebAssembly)入門 ペアリング演算やってみた
MITSUNARI Shigeo
 
高速な暗号実装のためにしてきたこと
高速な暗号実装のためにしてきたこと高速な暗号実装のためにしてきたこと
高速な暗号実装のためにしてきたこと
MITSUNARI Shigeo
 
BLS署名の実装とその応用
BLS署名の実装とその応用BLS署名の実装とその応用
BLS署名の実装とその応用
MITSUNARI Shigeo
 
Spectre/Meltdownとその派生
Spectre/Meltdownとその派生Spectre/Meltdownとその派生
Spectre/Meltdownとその派生
MITSUNARI Shigeo
 
Xbyakの紹介とその周辺
Xbyakの紹介とその周辺Xbyakの紹介とその周辺
Xbyakの紹介とその周辺
MITSUNARI Shigeo
 
AVX-512(フォーマット)詳解
AVX-512(フォーマット)詳解AVX-512(フォーマット)詳解
AVX-512(フォーマット)詳解
MITSUNARI Shigeo
 
ブラウザで動く準同型暗号
ブラウザで動く準同型暗号ブラウザで動く準同型暗号
ブラウザで動く準同型暗号
MITSUNARI Shigeo
 

Recomendados

暗号技術入門
暗号技術入門暗号技術入門
暗号技術入門
MITSUNARI Shigeo
 
WASM(WebAssembly)入門 ペアリング演算やってみた
WASM(WebAssembly)入門 ペアリング演算やってみたWASM(WebAssembly)入門 ペアリング演算やってみた
WASM(WebAssembly)入門 ペアリング演算やってみた
MITSUNARI Shigeo
 
高速な暗号実装のためにしてきたこと
高速な暗号実装のためにしてきたこと高速な暗号実装のためにしてきたこと
高速な暗号実装のためにしてきたこと
MITSUNARI Shigeo
 
BLS署名の実装とその応用
BLS署名の実装とその応用BLS署名の実装とその応用
BLS署名の実装とその応用
MITSUNARI Shigeo
 
Spectre/Meltdownとその派生
Spectre/Meltdownとその派生Spectre/Meltdownとその派生
Spectre/Meltdownとその派生
MITSUNARI Shigeo
 
Xbyakの紹介とその周辺
Xbyakの紹介とその周辺Xbyakの紹介とその周辺
Xbyakの紹介とその周辺
MITSUNARI Shigeo
 
AVX-512(フォーマット)詳解
AVX-512(フォーマット)詳解AVX-512(フォーマット)詳解
AVX-512(フォーマット)詳解
MITSUNARI Shigeo
 
ブラウザで動く準同型暗号
ブラウザで動く準同型暗号ブラウザで動く準同型暗号
ブラウザで動く準同型暗号
MITSUNARI Shigeo
 
Intro to SVE 富岳のA64FXを触ってみた
Intro to SVE 富岳のA64FXを触ってみたIntro to SVE 富岳のA64FXを触ってみた
Intro to SVE 富岳のA64FXを触ってみた
MITSUNARI Shigeo
 
HPC Phys-20201203
HPC Phys-20201203HPC Phys-20201203
HPC Phys-20201203
MITSUNARI Shigeo
 
ゆるバグ
ゆるバグゆるバグ
ゆるバグ
MITSUNARI Shigeo
 
集約署名
集約署名集約署名
集約署名
MITSUNARI Shigeo
 
Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgen
Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgenIntel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgen
Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgen
MITSUNARI Shigeo
 
C/C++プログラマのための開発ツール
C/C++プログラマのための開発ツールC/C++プログラマのための開発ツール
C/C++プログラマのための開発ツール
MITSUNARI Shigeo
 
フラグを愛でる
フラグを愛でるフラグを愛でる
フラグを愛でる
MITSUNARI Shigeo
 
RSA鍵生成脆弱性ROCAの紹介
RSA鍵生成脆弱性ROCAの紹介RSA鍵生成脆弱性ROCAの紹介
RSA鍵生成脆弱性ROCAの紹介
MITSUNARI Shigeo
 
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
MITSUNARI Shigeo
 
準同型暗号の実装とMontgomery, Karatsuba, FFT の性能
準同型暗号の実装とMontgomery, Karatsuba, FFT の性能準同型暗号の実装とMontgomery, Karatsuba, FFT の性能
準同型暗号の実装とMontgomery, Karatsuba, FFT の性能
MITSUNARI Shigeo
 
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
MITSUNARI Shigeo
 
条件分岐とcmovとmaxps
条件分岐とcmovとmaxps条件分岐とcmovとmaxps
条件分岐とcmovとmaxps
MITSUNARI Shigeo
 
LLVM最適化のこつ
LLVM最適化のこつLLVM最適化のこつ
LLVM最適化のこつ
MITSUNARI Shigeo
 
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)
MITSUNARI Shigeo
 
From IA-32 to avx-512
From IA-32 to avx-512From IA-32 to avx-512
From IA-32 to avx-512
MITSUNARI Shigeo
 
Prosym2012
Prosym2012Prosym2012
Prosym2012
MITSUNARI Shigeo
 
Cプログラマのためのカッコつけないプログラミングの勧め
Cプログラマのためのカッコつけないプログラミングの勧めCプログラマのためのカッコつけないプログラミングの勧め
Cプログラマのためのカッコつけないプログラミングの勧め
MITSUNARI Shigeo
 
Haswellサーベイと有限体クラスの紹介
Haswellサーベイと有限体クラスの紹介Haswellサーベイと有限体クラスの紹介
Haswellサーベイと有限体クラスの紹介
MITSUNARI Shigeo
 
SpectreとMeltdown:最近のCPUの深い話
SpectreとMeltdown:最近のCPUの深い話SpectreとMeltdown:最近のCPUの深い話
SpectreとMeltdown:最近のCPUの深い話
LINE Corporation
 
高速な倍精度指数関数expの実装
高速な倍精度指数関数expの実装高速な倍精度指数関数expの実装
高速な倍精度指数関数expの実装
MITSUNARI Shigeo
 
GoogleのSHA-1のはなし
GoogleのSHA-1のはなしGoogleのSHA-1のはなし
GoogleのSHA-1のはなし
MITSUNARI Shigeo
 
汎用性と高速性を目指したペアリング暗号ライブラリ mcl
汎用性と高速性を目指したペアリング暗号ライブラリ mcl汎用性と高速性を目指したペアリング暗号ライブラリ mcl
汎用性と高速性を目指したペアリング暗号ライブラリ mcl
MITSUNARI Shigeo
 

Más contenido relacionado

La actualidad más candente

ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
MITSUNARI Shigeo
 
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
MITSUNARI Shigeo
 
条件分岐とcmovとmaxps
条件分岐とcmovとmaxps条件分岐とcmovとmaxps
条件分岐とcmovとmaxps
MITSUNARI Shigeo
 
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)
MITSUNARI Shigeo
 
Haswellサーベイと有限体クラスの紹介
Haswellサーベイと有限体クラスの紹介Haswellサーベイと有限体クラスの紹介
Haswellサーベイと有限体クラスの紹介
MITSUNARI Shigeo
 

La actualidad más candente (20)

Intro to SVE 富岳のA64FXを触ってみた
Intro to SVE 富岳のA64FXを触ってみたIntro to SVE 富岳のA64FXを触ってみた
Intro to SVE 富岳のA64FXを触ってみた
 
HPC Phys-20201203
HPC Phys-20201203HPC Phys-20201203
HPC Phys-20201203
 
ゆるバグ
ゆるバグゆるバグ
ゆるバグ
 
集約署名
集約署名集約署名
集約署名
 
Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgen
Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgenIntel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgen
Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgen
 
C/C++プログラマのための開発ツール
C/C++プログラマのための開発ツールC/C++プログラマのための開発ツール
C/C++プログラマのための開発ツール
 
フラグを愛でる
フラグを愛でるフラグを愛でる
フラグを愛でる
 
RSA鍵生成脆弱性ROCAの紹介
RSA鍵生成脆弱性ROCAの紹介RSA鍵生成脆弱性ROCAの紹介
RSA鍵生成脆弱性ROCAの紹介
 
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
 
準同型暗号の実装とMontgomery, Karatsuba, FFT の性能
準同型暗号の実装とMontgomery, Karatsuba, FFT の性能準同型暗号の実装とMontgomery, Karatsuba, FFT の性能
準同型暗号の実装とMontgomery, Karatsuba, FFT の性能
 
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
 
条件分岐とcmovとmaxps
条件分岐とcmovとmaxps条件分岐とcmovとmaxps
条件分岐とcmovとmaxps
 
LLVM最適化のこつ
LLVM最適化のこつLLVM最適化のこつ
LLVM最適化のこつ
 
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)
 
From IA-32 to avx-512
From IA-32 to avx-512From IA-32 to avx-512
From IA-32 to avx-512
 
Prosym2012
Prosym2012Prosym2012
Prosym2012
 
Cプログラマのためのカッコつけないプログラミングの勧め
Cプログラマのためのカッコつけないプログラミングの勧めCプログラマのためのカッコつけないプログラミングの勧め
Cプログラマのためのカッコつけないプログラミングの勧め
 
Haswellサーベイと有限体クラスの紹介
Haswellサーベイと有限体クラスの紹介Haswellサーベイと有限体クラスの紹介
Haswellサーベイと有限体クラスの紹介
 
SpectreとMeltdown:最近のCPUの深い話
SpectreとMeltdown:最近のCPUの深い話SpectreとMeltdown:最近のCPUの深い話
SpectreとMeltdown:最近のCPUの深い話
 
高速な倍精度指数関数expの実装
高速な倍精度指数関数expの実装高速な倍精度指数関数expの実装
高速な倍精度指数関数expの実装
 

Destacado

MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
MITSUNARI Shigeo
 
Backdoors with the MS Office file encryption master key and a proposal for a ...
Backdoors with the MS Office file encryption master key and a proposal for a ...Backdoors with the MS Office file encryption master key and a proposal for a ...
Backdoors with the MS Office file encryption master key and a proposal for a ...
MITSUNARI Shigeo
 
『データ解析におけるプライバシー保護』勉強会 #2
『データ解析におけるプライバシー保護』勉強会 #2『データ解析におけるプライバシー保護』勉強会 #2
『データ解析におけるプライバシー保護』勉強会 #2
MITSUNARI Shigeo
 
『データ解析におけるプライバシー保護』勉強会
『データ解析におけるプライバシー保護』勉強会『データ解析におけるプライバシー保護』勉強会
『データ解析におけるプライバシー保護』勉強会
MITSUNARI Shigeo
 
MSOfficeファイル暗号化のマスター鍵を利用したバックドアとその対策 by 光成滋生&竹迫良範
MSOfficeファイル暗号化のマスター鍵を利用したバックドアとその対策 by 光成滋生&竹迫良範MSOfficeファイル暗号化のマスター鍵を利用したバックドアとその対策 by 光成滋生&竹迫良範
MSOfficeファイル暗号化のマスター鍵を利用したバックドアとその対策 by 光成滋生&竹迫良範
CODE BLUE
 

Destacado (20)

GoogleのSHA-1のはなし
GoogleのSHA-1のはなしGoogleのSHA-1のはなし
GoogleのSHA-1のはなし
 
汎用性と高速性を目指したペアリング暗号ライブラリ mcl
汎用性と高速性を目指したペアリング暗号ライブラリ mcl汎用性と高速性を目指したペアリング暗号ライブラリ mcl
汎用性と高速性を目指したペアリング暗号ライブラリ mcl
 
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
 
暗号文のままで計算しよう - 準同型暗号入門 -
暗号文のままで計算しよう - 準同型暗号入門 -暗号文のままで計算しよう - 準同型暗号入門 -
暗号文のままで計算しよう - 準同型暗号入門 -
 
Memory sanitizer
Memory sanitizerMemory sanitizer
Memory sanitizer
 
Backdoors with the MS Office file encryption master key and a proposal for a ...
Backdoors with the MS Office file encryption master key and a proposal for a ...Backdoors with the MS Office file encryption master key and a proposal for a ...
Backdoors with the MS Office file encryption master key and a proposal for a ...
 
emcjp Item 42
emcjp Item 42emcjp Item 42
emcjp Item 42
 
Emcjp item21
Emcjp item21Emcjp item21
Emcjp item21
 
楕円曲線入門 トーラスと楕円曲線のつながり
楕円曲線入門 トーラスと楕円曲線のつながり楕円曲線入門 トーラスと楕円曲線のつながり
楕円曲線入門 トーラスと楕円曲線のつながり
 
Slide dist
Slide distSlide dist
Slide dist
 
『データ解析におけるプライバシー保護』勉強会 #2
『データ解析におけるプライバシー保護』勉強会 #2『データ解析におけるプライバシー保護』勉強会 #2
『データ解析におけるプライバシー保護』勉強会 #2
 
改ざん検知暗号Minalpherの設計とIvy Bridge/Haswellでの最適化
改ざん検知暗号Minalpherの設計とIvy Bridge/Haswellでの最適化改ざん検知暗号Minalpherの設計とIvy Bridge/Haswellでの最適化
改ざん検知暗号Minalpherの設計とIvy Bridge/Haswellでの最適化
 
『データ解析におけるプライバシー保護』勉強会
『データ解析におけるプライバシー保護』勉強会『データ解析におけるプライバシー保護』勉強会
『データ解析におけるプライバシー保護』勉強会
 
Emcjp item33,34
Emcjp item33,34Emcjp item33,34
Emcjp item33,34
 
Cybozu Tech Conference 2016 バグの調べ方
Cybozu Tech Conference 2016 バグの調べ方Cybozu Tech Conference 2016 バグの調べ方
Cybozu Tech Conference 2016 バグの調べ方
 
MSOfficeファイル暗号化のマスター鍵を利用したバックドアとその対策 by 光成滋生&竹迫良範
MSOfficeファイル暗号化のマスター鍵を利用したバックドアとその対策 by 光成滋生&竹迫良範MSOfficeファイル暗号化のマスター鍵を利用したバックドアとその対策 by 光成滋生&竹迫良範
MSOfficeファイル暗号化のマスター鍵を利用したバックドアとその対策 by 光成滋生&竹迫良範
 
電波な話
電波な話電波な話
電波な話
 
NATとNAPTを混在するのはやめような
NATとNAPTを混在するのはやめようなNATとNAPTを混在するのはやめような
NATとNAPTを混在するのはやめような
 
金融業界でよく使う統計学
金融業界でよく使う統計学金融業界でよく使う統計学
金融業界でよく使う統計学
 
さくらのVPSに来た攻撃観察記
さくらのVPSに来た攻撃観察記さくらのVPSに来た攻撃観察記
さくらのVPSに来た攻撃観察記
 

Similar a バックドア耐性のあるパスワード暗号化の提案

平成21年度 秋期 cs 午前ⅱ
平成21年度 秋期 cs 午前ⅱ平成21年度 秋期 cs 午前ⅱ
平成21年度 秋期 cs 午前ⅱ
Yuki Hirano
 
『データ解析におけるプライバシー保護』勉強会 秘密計算
『データ解析におけるプライバシー保護』勉強会 秘密計算『データ解析におけるプライバシー保護』勉強会 秘密計算
『データ解析におけるプライバシー保護』勉強会 秘密計算
MITSUNARI Shigeo
 
[D23] SQL Server 2014 リリース記念!~Hekaton, カラムストアを試して、さらにギンギンに速くしてみました!~by Daisuk...
[D23] SQL Server 2014 リリース記念!~Hekaton, カラムストアを試して、さらにギンギンに速くしてみました!~by Daisuk...[D23] SQL Server 2014 リリース記念!~Hekaton, カラムストアを試して、さらにギンギンに速くしてみました!~by Daisuk...
[D23] SQL Server 2014 リリース記念!~Hekaton, カラムストアを試して、さらにギンギンに速くしてみました!~by Daisuk...
Insight Technology, Inc.
 
Secrets of Izna
Secrets of IznaSecrets of Izna
Secrets of Izna
nyaxt
 
SmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテム
SmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテムSmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテム
SmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテム
SmartNews, Inc.
 

Similar a バックドア耐性のあるパスワード暗号化の提案 (20)

Javascript で暗号化
Javascript で暗号化Javascript で暗号化
Javascript で暗号化
 
Sagittariusの紹介
Sagittariusの紹介Sagittariusの紹介
Sagittariusの紹介
 
図解で理解するvetKD
図解で理解するvetKD図解で理解するvetKD
図解で理解するvetKD
 
Trema day 1
Trema day 1Trema day 1
Trema day 1
 
平成21年度 秋期 cs 午前ⅱ
平成21年度 秋期 cs 午前ⅱ平成21年度 秋期 cs 午前ⅱ
平成21年度 秋期 cs 午前ⅱ
 
第3回web技術勉強会 暗号技術編その1
第3回web技術勉強会 暗号技術編その1第3回web技術勉強会 暗号技術編その1
第3回web技術勉強会 暗号技術編その1
 
CRYPT+YOU, UNDERSTAND TODAY!
CRYPT+YOU, UNDERSTAND TODAY!CRYPT+YOU, UNDERSTAND TODAY!
CRYPT+YOU, UNDERSTAND TODAY!
 
ROP Illmatic: Exploring Universal ROP on glibc x86-64 (ja)
ROP Illmatic: Exploring Universal ROP on glibc x86-64 (ja)ROP Illmatic: Exploring Universal ROP on glibc x86-64 (ja)
ROP Illmatic: Exploring Universal ROP on glibc x86-64 (ja)
 
Buffer overflow
Buffer overflowBuffer overflow
Buffer overflow
 
範囲証明つき準同型暗号とその対話的プロトコル
範囲証明つき準同型暗号とその対話的プロトコル範囲証明つき準同型暗号とその対話的プロトコル
範囲証明つき準同型暗号とその対話的プロトコル
 
『データ解析におけるプライバシー保護』勉強会 秘密計算
『データ解析におけるプライバシー保護』勉強会 秘密計算『データ解析におけるプライバシー保護』勉強会 秘密計算
『データ解析におけるプライバシー保護』勉強会 秘密計算
 
OpenWrtによるサイト間IPsec接続
OpenWrtによるサイト間IPsec接続OpenWrtによるサイト間IPsec接続
OpenWrtによるサイト間IPsec接続
 
Packagist
PackagistPackagist
Packagist
 
[D23] SQL Server 2014 リリース記念!~Hekaton, カラムストアを試して、さらにギンギンに速くしてみました!~by Daisuk...
[D23] SQL Server 2014 リリース記念!~Hekaton, カラムストアを試して、さらにギンギンに速くしてみました!~by Daisuk...[D23] SQL Server 2014 リリース記念!~Hekaton, カラムストアを試して、さらにギンギンに速くしてみました!~by Daisuk...
[D23] SQL Server 2014 リリース記念!~Hekaton, カラムストアを試して、さらにギンギンに速くしてみました!~by Daisuk...
 
Good Arm FPGA Board Ultra96 and Google AI YOLO
Good Arm FPGA Board Ultra96 and Google AI YOLOGood Arm FPGA Board Ultra96 and Google AI YOLO
Good Arm FPGA Board Ultra96 and Google AI YOLO
 
CPANの依存モジュールをもう少し正しく検出したい
CPANの依存モジュールをもう少し正しく検出したいCPANの依存モジュールをもう少し正しく検出したい
CPANの依存モジュールをもう少し正しく検出したい
 
ブロックチェーン系プロジェクトで着目される暗号技術
ブロックチェーン系プロジェクトで着目される暗号技術ブロックチェーン系プロジェクトで着目される暗号技術
ブロックチェーン系プロジェクトで着目される暗号技術
 
Azure de Vyatta
Azure de VyattaAzure de Vyatta
Azure de Vyatta
 
Secrets of Izna
Secrets of IznaSecrets of Izna
Secrets of Izna
 
SmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテム
SmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテムSmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテム
SmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテム
 

Más de MITSUNARI Shigeo

Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化
Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化
Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化
MITSUNARI Shigeo
 

Más de MITSUNARI Shigeo (20)

暗号技術の実装と数学
暗号技術の実装と数学暗号技術の実装と数学
暗号技術の実装と数学
 
暗認本読書会13 advanced
暗認本読書会13 advanced暗認本読書会13 advanced
暗認本読書会13 advanced
 
暗認本読書会12
暗認本読書会12暗認本読書会12
暗認本読書会12
 
暗認本読書会11
暗認本読書会11暗認本読書会11
暗認本読書会11
 
暗認本読書会10
暗認本読書会10暗認本読書会10
暗認本読書会10
 
暗認本読書会9
暗認本読書会9暗認本読書会9
暗認本読書会9
 
暗認本読書会8
暗認本読書会8暗認本読書会8
暗認本読書会8
 
暗認本読書会7
暗認本読書会7暗認本読書会7
暗認本読書会7
 
暗認本読書会6
暗認本読書会6暗認本読書会6
暗認本読書会6
 
暗認本読書会5
暗認本読書会5暗認本読書会5
暗認本読書会5
 
暗認本読書会4
暗認本読書会4暗認本読書会4
暗認本読書会4
 
深層学習フレームワークにおけるIntel CPU/富岳向け最適化法
深層学習フレームワークにおけるIntel CPU/富岳向け最適化法深層学習フレームワークにおけるIntel CPU/富岳向け最適化法
深層学習フレームワークにおけるIntel CPU/富岳向け最適化法
 
私とOSSの25年
私とOSSの25年私とOSSの25年
私とOSSの25年
 
WebAssembly向け多倍長演算の実装
WebAssembly向け多倍長演算の実装WebAssembly向け多倍長演算の実装
WebAssembly向け多倍長演算の実装
 
Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化
Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化
Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化
 
楕円曲線と暗号
楕円曲線と暗号楕円曲線と暗号
楕円曲線と暗号
 
LazyFP vulnerabilityの紹介
LazyFP vulnerabilityの紹介LazyFP vulnerabilityの紹介
LazyFP vulnerabilityの紹介
 
暗号化したまま計算できる暗号技術とOSS開発による広がり
暗号化したまま計算できる暗号技術とOSS開発による広がり暗号化したまま計算できる暗号技術とOSS開発による広がり
暗号化したまま計算できる暗号技術とOSS開発による広がり
 
自作ペアリング/BLS署名ライブラリの紹介
自作ペアリング/BLS署名ライブラリの紹介自作ペアリング/BLS署名ライブラリの紹介
自作ペアリング/BLS署名ライブラリの紹介
 
A compact zero knowledge proof to restrict message space in homomorphic encry...
A compact zero knowledge proof to restrict message space in homomorphic encry...A compact zero knowledge proof to restrict message space in homomorphic encry...
A compact zero knowledge proof to restrict message space in homomorphic encry...
 

バックドア耐性のあるパスワード暗号化の提案

  • 2. • 背景と動機 • パスワード暗号化 • バックドアつきパスワード暗号化 • バックドア耐性のあるパスワード暗号化の提案 • その安全性 • ハイブリッド暗号 • OpenPGPやIPSecで考える • BR-secureの定義と構成 • まとめ • (注記)発表後にXagawaさんから先行研究の紹介 • https://eprint.iacr.org/2014/438 ; ありがとうございます 目次 2/20
  • 3. • 様々なフォーマットで利用できる • ZIP • pdf • Microsoft Office file • 基本的な構造 • パスワード(𝑝)に𝑠𝑎𝑙𝑡を合わせて Hashを繰り返し適用する(stretch) • 𝑠𝑎𝑙𝑡 : rainbowテーブル攻撃への耐性 • stretch : Brute-force攻撃への耐性 パスワード暗号化 𝑝 𝐻𝑎𝑠ℎ 𝑠𝑎𝑙𝑡 𝑆 𝐾 𝑚 𝐸𝑛𝑐 𝑚 𝑖𝑣 𝑛 3/20
  • 4. • 8文字パスワードのBrute-force攻撃時間 • GeForce GTX860M 1019MHz 各種フォーマットの強度 File format # of tries/sec hash stretching days ZIP(96-bit) 230000000 none 10 days Office2003 doc 11000000 ? 220 days ZIP(256-bit AES) 370000 1000 x HMAC SHA1 18 years Office2007 docx 16000 50000 x SHA1 430 years Office2010 docx 8100 100000 x SHA1 854 years Office2013 docx 337 100000 x SHA512 20000 years 4/20
  • 5. • ある条件下でパスワードを回避して復号可能 • 2015/7に見つけた(10月に修正済み : CODE BLUE 2015) • もちろんこれはバックドアではなく単なるバグだが 見かけは普通の暗号化ファイルと全く区別がつかない Microsoft Excelのちょっとしたバグ master file with pass with pass1 with pass2 with pass3 save as... have same secret key 5/20
  • 6. • 信頼できるフォーマットって何だろう? • 暗号化アルゴリズムはOpenで安全性は広く研究されている • しかし実装はOpenであるとは限らない • 大抵の暗号化モジュールはバイナリ提供 • ベンダーにとって • ソースは公開したくないが私は悪いことはしていないと信用 してほしい • ユーザにとって • バイナリ提供でも信用するしかない? 動機 6/20
  • 7. • 開発環境 • 2015/9 AppleのXcodeの海賊版XcodeGhost • 2015/11 BaiduのMoplus SDK • 企業向けfirewall製品 • 2015/12. SSH/telnet in Juniper Networks firewalls • 攻撃者はVPNの通信を復号可能 • http://www.wired.com/2015/12/juniper-networks- hidden-backdoors-show-the-risk-of-government- backdoors/ • 2016/1. SSH in Fortinet FortiOS firewalls • http://forums.juniper.net/t5/Security-Incident- Response/Advancing-the-Security-of-Juniper- Products/ba-p/286383 製品のバックドア 7/20
  • 8. • 暗号文のみを考える • 暗号時に外部と通信しない • 暗号器の中身は分からない(ブラックボックス) 考察対象 暗号器 𝑚 (𝑠𝑎𝑙𝑡, 𝑐) 𝑝 外部 8/20 バックドアがある?
  • 9. • 𝐻 : パスワードベースの鍵導出関数(PBKDF) • 𝐸𝑛𝑐, 𝐷𝑒𝑐 : ブロック暗号の暗号化・復号関数 標準的なパスワード暗号化 Encryption Input 𝑝 : password, 𝑚 : plaintext 𝑖𝑣 : random(or given) 𝑠𝑎𝑙𝑡 : random 𝑠 𝑘 ← 𝐻 𝑝, 𝑠𝑎𝑙𝑡 𝑐 ← 𝐸𝑛𝑐(𝑖𝑣,𝑠 𝑘)(𝑚) Output (𝑠𝑎𝑙𝑡, 𝑖𝑣, 𝑐) Decryption Input 𝑝 : password, (𝑠𝑎𝑙𝑡, 𝑖𝑣, 𝑐) : ciphertext 𝑠 𝑘 ← 𝐻 𝑝, 𝑠𝑎𝑙𝑡 𝑚 ← 𝐷𝑒𝑐 𝑖𝑣,𝑠 𝑘 (𝑐) Output 𝑚 9/20
  • 10. • 攻撃者 Eve は秘密鍵 𝑋 を持っている • 𝑋 は暗号器の中に埋め込まれている • 𝑠𝑎𝑙𝑡は𝑝を𝑋で暗号化したもの ( 𝑝 ∼ |𝑠𝑎𝑙𝑡|を仮定). • Eveは𝑋を使って𝑠𝑎𝑙𝑡から 𝑝を復号し𝑠 𝑘を得られる • 𝑋を知らない人にとって𝑠𝑎𝑙𝑡は普通の乱数と区別できない バックドアつき暗号化 Backdoor Encryption Input 𝑝 : password, 𝑚 : plaintext 𝑖𝑣 : random(or given) 𝑠𝑎𝑙𝑡 ← 𝐸𝑛𝑐 𝑖𝑣,𝑋 (𝑝) 𝑠 𝑘 ← 𝐻 𝑝, 𝑠𝑎𝑙𝑡 𝑐 ← 𝐸𝑛𝑐(𝑖𝑣,𝑠 𝑘)(𝑚) Output (𝑠𝑎𝑙𝑡, 𝑖𝑣, 𝑐) 10/20 バックドア あり暗号器𝑚 (𝑠𝑎𝑙𝑡, 𝑐) 𝑝
  • 11. • 𝑠𝑎𝑙𝑡/𝑖𝑣 を直接乱数にしない Backdoor-resistant(BR) encryption バックドア耐性のある暗号化 Input 𝑝 : password, 𝑚 : plaintext 𝑟1, 𝑟2 : random 𝑠𝑎𝑙𝑡 ← 𝐻(𝑝, 𝑟1||𝑚) 𝑖𝑣 ← 𝐻 𝑝, 𝑟2||𝑚 𝑠 𝑘 ← 𝐻 𝑝, 𝑠𝑎𝑙𝑡 𝑐 ← 𝐸𝑛𝑐 𝑖𝑣,𝑠 𝑘 (𝑟1| 𝑟2 |𝑚) Output (𝑠𝑎𝑙𝑡, 𝑖𝑣, 𝑐) 復号 Input 𝑝 : password, (𝑠𝑎𝑙𝑡, 𝑖𝑣, 𝑐) : ciphertext 𝑠 𝑘 ← 𝐻 𝑝, 𝑠𝑎𝑙𝑡 (𝑟1| 𝑟2| 𝑚) ← 𝐷𝑒𝑐(𝑖𝑣,𝑠 𝑘)(𝑐) Output 𝑚 if 𝑠𝑎𝑙𝑡 == 𝐻(𝑝, 𝑟1| 𝑚 and 𝑖𝑣 == 𝐻(𝑝, 𝑟2||𝑚) 11/20 検証
  • 12. • バックドアつき暗号器は 𝑟1, 𝑟2を制御しようとする • Eve が 𝑟1, 𝑟2 を固定化していたら • Eveにとって 𝐻(𝑝, 𝑟𝑖||𝑚) から𝑝を求める難しさは パスワードベースの鍵導出関数の難しさに依存 • 復号者は乱数𝑟1, 𝑟2がいつも同じだと気づく • Eveは 𝑟1, 𝑟2 をたくさん用意しないといけない • バックドアつき暗号器は予め準備された𝑟1, 𝑟2のどれかを利用 • Eveにとってもどの 𝑟1, 𝑟2 が使われたのか調べるのが難しい 提案手法の安全性 𝑠𝑎𝑙𝑡 ← 𝐻(𝑝, 𝑟1||𝑚) 𝑖𝑣 ← 𝐻 𝑝, 𝑟2||𝑚 12/20
  • 13. • Password Based Key Derivation Function • RFC2898でPBKDF2が規定されている • 𝑠𝑎𝑙𝑡とhash stretchingを利用する • 最近のPBKDF • SHAシリーズは PBKDFとして使うには軽すぎる • SHA-1 4.2 × 1010times/sec on 8x NVidia Titan X • Argon2 by A. Biryukov, D. Dinu, D. Khovratovich • Password Hashing Competition 2015で優勝 • https://password-hashing.net/ • maximizes resistance to GPU cracking attacks PBKDF 13/20
  • 14. • Hybrid encryption = KEM + DEM • KEM ; Key Encapsulation Mechanism • DEM ; Data Encapsulation Mechanism • KEM • 𝐾 𝑝𝑢𝑏, 𝐾 𝑝𝑟𝑣 ← 𝐾𝐸𝑀. 𝐺𝑒𝑛(1 𝑘), 𝑠 𝑘, 𝑐 𝑘 ← 𝐾𝐸𝑀. 𝐸𝑛𝑐 𝐾 𝑝𝑢𝑏 , 𝑠 𝑘 = 𝐾𝐸𝑀. 𝐷𝑒𝑐 𝐾 𝑝𝑟𝑣, 𝑐 𝑘 . • 例 : ElGamal暗号タイプ • 𝐺 : cyclic gr., 𝑔 ∈ 𝐺, 𝑥 : private key, 𝑦 = 𝑔 𝑥 : public key • 𝑚 : plaintext, 𝑟 : random • ciphertext : (𝑚𝑦 𝑟, 𝑔 𝑟) ; Eveが 𝑔 𝑟を制御するのは難しそう ハイブリッド暗号 KEM 𝑠 𝑘 DEM𝑚 𝑐 14/20
  • 15. • 𝑠 𝑘 : secret key, 𝑚 : message • 𝑐 = 𝐷𝐸𝑀. 𝐸𝑛𝑐 𝑠 𝑘, 𝑚 , 𝐷𝐸𝑀. 𝐷𝑒𝑐 𝑠 𝑘, 𝑐 = 𝑚 • 𝐷𝐸𝑀. 𝐸𝑛𝑐 は通常確率的多項式(PPT)アルゴリズム • いくつかのDEMアルゴリズムはパスワード暗号化と同 様のバックドアに対して”弱い”構造を持っている DEMについては 15/20
  • 16. • IPsec ESP内のGCM(RFC4106) • ESP ; Encapsulating Security Payload • ESP payload data • 𝑖𝑣 (8 bytes) + ciphertext • Nonce format • 𝑠𝑎𝑙𝑡 (4 bytes) + 𝑖𝑣 (8 bytes) • 𝑠𝑎𝑙𝑡 : random • 𝑖𝑣 : 一意性さえ満たせばIVの生成方法は暗号器まかせ • Eveは 𝐸𝑛𝑐 𝑋 𝑠 𝑘 を𝑠𝑎𝑙𝑡や 𝑖𝑣の中に埋め込める • SSHにおけるGCMの𝑖𝑣(RFC5647) • 𝑖𝑣 = 𝐻𝑎𝑠ℎ 𝑠 𝑘 | ℎ 𝑐 ||𝑠𝑒𝑠𝑠𝑖𝑜𝑛_𝑖𝑑) • ℎ : exchange hash, 𝑐 : ‘A’ or ‘B’ • 𝑖𝑣の作り方が決められている→バックドアを入れられない AES-GCMに対するバックドア 16/20
  • 17. • RFC4880 13.9で規定される • 𝑠 𝑘 : secret key given by KEM • 𝑖𝑣 : all zeros • 平文 𝑚 の先頭に16+2バイトのデータを付与する • 𝑟0, … , 𝑟15 ; random data. 𝑟14, 𝑟15 are repeated. • バックドアを入れる • 暗号器が 𝑟: = 𝐸𝑛𝑐 𝑠 𝑘 0 ⊕ 𝐸𝑛𝑐 𝑋(𝑠 𝑘) とすると 𝑐0 = 𝐸𝑛𝑐 𝑠 𝑘 0 ⊕ 𝐸𝑛𝑐 𝑠 𝑘 0 ⊕ 𝐸𝑛𝑐 𝑋 𝑠 𝑘 = 𝐸𝑛𝑐 𝑋(𝑠 𝑘). • Eve can get 𝑠 𝑘 from 𝑐0 by 𝑋. OpenPGP CFBモード 𝑟0 𝑟1 𝑟2 𝑟3 𝑟4 … 𝑟14 𝑟15 𝑟14 𝑟15 𝑚0 𝑚1 … 𝑐0 ≔ 𝐸𝑛𝑐 𝑠 𝑘 0 ⊕ [𝑟0 … 𝑟15] 𝐸𝑛𝑐 17/20
  • 18. • (𝐸, 𝐷) : CPA安全な共通鍵暗号 • 𝑠 𝑘 : secret key, 𝑚 : plaintext • c0 ≔ 𝐸 𝑠 𝑘, 𝑚 , 𝐷 𝑠 𝑘, 𝑐0 = 𝑚 • 次の性質を満たすPPTアルゴリズムとパラメータの組 (𝐸′, 𝐷′, 𝑋)が存在しないとき(𝐸, 𝐷)をBR安全という • バックドア𝑋を用いて作った𝑐1: = 𝐸′ 𝑋, 𝑠 𝑘, 𝑚 に対して • 𝐷 𝑠 𝑘, 𝑐1 = 𝑚 ; 𝑐0 ≔ 𝐸(𝑠 𝑘, 𝑚)と同様に𝐷, 𝑠 𝑘で復号できる • 𝐷′ 𝑋, 𝑐1 = 𝑚 ; 𝑋があれば 𝑠 𝑘を使わずに𝐷′で復号できる • 𝑋がなければ𝑐0と𝑐1を区別できない : • adversaryが𝑐𝑖が𝐸′で作られたと判定する確率を 𝑃𝑖とすると 𝐴𝑑𝑣 𝑘 ≔ 𝑃0 − 𝑃1 = 𝑛𝑒𝑔𝑙(𝑘) for security parameter 𝑘 BR(Backdoor-Resistant)安全の定義 18/20
  • 19. • (𝐸0, 𝐷0) : 決定的ブロック暗号 • 𝐻 : target collision resistant hash function • 𝑠 𝑘 : secret key, 𝑚 : plaintext • Define (𝐸𝑛𝑐, 𝐷𝑒𝑐) algorithm such that • 𝐸𝑛𝑐 • 𝑟 : random number • 𝑖𝑣 ≔ 𝐻(𝑟||𝑠 𝑘) • 𝐸𝑛𝑐 𝑠 𝑘, 𝑚 ∶= (𝑖𝑣, 𝐸0 𝑠 𝑘, 𝑖𝑣, 𝑟 𝑚 • 𝐷𝑒𝑐 • 𝑟||𝑚 ∶= 𝐷0(𝑠 𝑘, 𝑐) • 𝐷𝑒𝑐 𝑠 𝑘, 𝑐 : = 𝑚 if 𝑖𝑣 = 𝐻(𝑟||𝑠 𝑘) ⊥ otherwise • この構成はBR安全? BR安全なDEM 19/20
  • 20. • 既存のパスワード暗号化やDEMには暗号器にバックド アが入れられても検出できない問題の指摘 • バックドア耐性のある(BR)安全性の定義 • BR安全な方式の構成 • 今後の課題 • 定義したBR安全はwell-definedなのか? • “区別できない”ための条件が強すぎないか • 構成方法がBR安全であることの証明 まとめ 20/20