暗号を使おう！

暗号用語集

選択平文攻撃(Chosen Plain Text Attack)

これは既知平文攻撃の次の段階である。この方法では、暗号分析家は、どの平文メッセージを暗号化してその結果を見たいかを選び、それを偶然手に入れたことのある古い平文と比較するのである。鍵を回復できれば、彼はこの鍵で暗号化されたすべてのデータを復号化することができる。これは既知平文攻撃よりも強力な攻撃である。強い暗号化システムはこの攻撃形態に耐えることだろう。

クリッパー(Clipper)

すべての暗号通信で標準チップとして使われる予定だった、合衆国政府製チップ。クリッパー・チップがどのように働くかについての詳細はすべて機密となっているという事実は別にしても、一度盗聴令状を得たならばクリッパーを使って盗聴できるように、そこには公認のトラップドアが仕組まれているという事実こそ最大の問題である。この事実は、合衆国外には輸出できないという事実とともに、多くの大企業がこの案に反対させる気になった。クリッパーは、64ビットデータブロックでの一連の非線形変換を行なう80ビット鍵を使う。

DES（データ暗号化規格）

合衆国保護下、IBMで開発されたデータ暗号化規格。その研究は、規格開発のための研究が機密のままであったので批判された。聞きたいと思ったときに政府がだれの暗号でも破ることができるように、論理中にトラップドアを隠しているかもしれないという疑惑が浮上した。DESは、64ビットデータブロックの一連の非線形変換を行なうために56ビット鍵を使っている。それが数年前に最初導入されたときでさえ、充分に長い鍵がないことが批判された。56ビットでは、徹底的な総当たり攻撃に耐えることはできなかったのだ。今日、ハードウェアが高速化してコストも下がり、56ビット鍵なら一日以内でクラックできるような機械を作るのも可能になっている。そのような機械が本当に作られたかどうかはしらないが、実現可能だという事実は、DESの安全性を低める傾向にある。

Paul Leyland <pcl@ox.ac.uk>は、DESクラック機のようなものの作成費用についての情報を送ってくれたので感謝したい。

効率的なDESキー検索

Crypto 93で、Michael Wienerは上記のタイトルの論文を発表した。彼は、７時間で徹底的な検索をできるDES鍵検索エンジンを100万ドルで作る方法を示した。64ビットの平文と64ビットの暗号文の対応する一組から鍵を探すのに必要な時間は3.5時間である。

私が言える限りでは、100万ドル機なら数分かそこらで見つけることができる、と機械を見積もることができる。

機械はかなり信頼できる。誤差解析は、平均失敗確率が約270分の１であると示している。

論文の最後の文がものを言う。「この作業からいえば、多くのアプリケーションは三重暗号化モードを使うよう用心深くあるべきだ」

私は実のところ読みにくいFAXコピーしか持っていないから、それ以上詳細に聞かないでほしい。論文全体は私になかなか届かないのだ。

Paul C. Leyland <pcl@ox.ac.uk>

Laszlo Baranyi <laszlo@instrlab.kth.se> は、完全な論文はポストスクリプト形式で利用可能だという。

• ftp://ftp.eff.org/pub/crypto/des_key_search.ps
• ftp://cpsr.org/cpsr/crypto/des/des_key_search.ps

EFF (エレクトロニック・フロンティア・ファウンデーション)

エレクトロニック・フロンティア・ファウンデーション（EFF）は、デジタル・メディアでの表現の自由を確保するために1990年７月に設立され、特に憲法と権利章典に具体的に示されている原則をコンピューターベースの通信に適用している。詳しい情報は、こちらへお問い合わせを。

Electronic Frontier Foundation
1001 G St., NW
Suite 950 East
Washington, DC 20001
+1 202 347 5400
+1 202 393 5509 FAX
Internet: eff@eff.org

IDEA (国際データ暗号化アルゴリズム)

PGPの非商用使用のためにスイスで開発されて、認可された。IDEAは64ビットデータブロックでの一連の非線形数学的変換を実行するために128ビットユーザー供給鍵を使用する。この鍵の長さを、DESの56ビットやクリッパーの80ビットと比較してほしい。

ITAR (国際兵器取引規則)

ITARは、合衆国からの兵器と兵器関連技術の輸出に関する規則である。奇妙な理由で、データ暗号化は武器であってITAR制約を受けると政府は主張している。暗号法技術を扱ったITARの章を緩和する動きが現在議会にある。

キー・エスクロウ／鍵第三者預託(Key Escrow)

一般に、第三者預託方法とは、何かを復号化するのに必要な秘密鍵のコピーは第三者が保管するというものである。これは公証人か銀行のようなもので、鍵をなくしたときのために安全に保管したり、あなたが死亡したときに親族が暗号化された資料にアクセスできるようにするもおである。

これはビジネスでも同じだ。従業員が会社のコンピューターの資料を暗号化して、彼が退社したり、クビになったり、突然死したとき、会社はその資料を復号化できない。これは、特に従業員が非常に重要なことにかかわっていたときには多大な費用がかかる。この理由で、秘密鍵のコピーがふつう、一人以上の管理者に預けられ、この人物は必要なときには資料を復号化することができる。管理者がこの権力を濫用しないよう、鍵は数人に分けて預けられ、鍵を復元するには共同しなければならない。

合衆国クリッパー提案のおかげで、この用語は多かれ少なかれ政府鍵第三者預託、つまり政府が国中すべての秘密鍵のコピーを持つということと同義になっている。これは、送られたすべての暗号化メッセージを政府が読めるようにしてしまう。これは国家安全保障上の理由というのがふつうだ。多くの人々は、このタイプの鍵第三者預託に反対している。人々のプライバシーをたやすく侵害できるからである。

既知平文攻撃(Known Plain Text Attack)

暗号分析家が、対応する平文のコピーとその暗号化された版を持っているときの暗号システムへの攻撃法。弱い暗号システムでは、これはコードをクラックし、平文がわからない他のメッセージから平文を取り出す機会を高めることができる。

MD5 (メッセージ圧縮アルゴリズム#5)

PGPで使われたメッセージ圧縮アルゴリズムは、RSAデータセキュリティ株式会社によりパブリックドメインに置かれたMD5メッセージ圧縮アルゴリズムである。MD5のデザイナー、Ronald Rivestは、MD5についてこう書いている。

「二つのメッセージが同じメッセージ圧縮を持ってしまうという問題は２の64乗レベルの演算であり、どのようなメッセージも一つの与えられたメッセージ圧縮を持つという問題は２の128乗レベルの演算であると推測される。MD5アルゴリズムは、弱さについて慎重に吟味された。しかし、それは比較的新しいアルゴリズムであり、この種の新しい考案にはついてまわるようなさらなる安全性解析がもちろん必要である。MD5が提供する安全性レベルは、MD5とRSA公開鍵暗号法に基づく超高度セキュリティ・ハイブリッド・デジタル署名法を実行するのに充分な程度である」

MIPS

MIPSは100万命令／秒の意味である。ふつう、これはコンピューターの総当たり力の指標となる。１MIPS年は、ほぼ、１MIPSコンピューターが１年でなす計算の総計にあたる。

MPILIB (倍精度整数ライブラリ)

これはPGP国際版だけでなくPGP2.3aとそれ以前の版で使われている、RSAルーチンセットに共通の名称である。これは合衆国では明白なPKPのRSA特許違反だといわれているが、それはいずれにしろ使用法において限定されていない。これが海外で一般的なのは、RSAREFより性能的に優れており、法的制限をほとんど持っていないからである。

NSA (国家安全保障局)

以下の情報は sci.crypt FAQから。

NSAは合衆国政府の公式な通信セキュリティ機関である。50年代初期にトルーマン大統領から認可を与えられ、現在まで暗号の研究を続けてきた。NSAは世界でも最大の数学者雇用機関として知られており、また世界でも最大のコンピューター・ハードウェア購入機関でもある。一般に政府が暗号家の主要な雇用者であった。NSAはおそらく現在の公的な技術水準から進んだ暗号法の専門家を長年有しており、実用化されているシステムの多くを間違いなく破ることができる。しかし、NSAに関する情報のほとんどは、国家安全保障上の理由で機密となっている。

One Time Pad(1回パッド)

1回パッドは、絶対に破られないことが証明できる唯一の暗号法である！　それはスパイが広く使っている。というのは、どんなハードウェアも実行に必要なく、また完全なセキュリティを有しているからだ。このアルゴリズムは、一致する暗号化キーパッドの多くの組み合わせを必要とする。これらの鍵文字は、真にランダムな過程を完全にランダムに使って選ばれる。それらはいかなる暗号鍵生成機の類も使わない。受け取ることになる集団は、一致するパッドのセットを受け取る。パッド内のそれぞれの鍵文字はただ一つだけの平文文字を暗号化するのに使われ、鍵文字は二度と繰り返して使われない。これらの条件を少しでもそれれば、一回パッドの完全なセキュリティは無効になる。

ではなぜ一回パッドをずっと使わないのか？　それは、生成されなければならないランダム鍵パッドが少なくとも暗号化される平文メッセージの量と同量であり、このために鍵パッドは時間内に交換されなければならないからだ。このために、総合してみれば、現在の高速通信システムでは非実用的なのである。

一回パッド法を使っている有名な通信リンクといえば、ワシントン・モスクワ間ホットラインがある。

PEM (プライバシー強化メール)

以下はsci.crypt FAQから。

どのようにして、UNIXで暗号化されたメールを送るか？[PGP、RIPEM、PEM、……］

DESコマンドを使う一般的な方法がある。

cat file | compress | des private_key | uuencode | mail

一方で、PEM（プライバシー強化メール）という正当なインターネット基準がある。これはRFC 1421-1424に記述されている。PEMメーリングリストに入るには、 pem-dev-request@tis.com に申し込むこと。PEMのβ版はこれを書いているときにはテスト中である。

メールを暗号化するためのパブリックドメインで利用可能なプログラムがさらに二つある。PGPとRIPEMである。どちらもFTPから利用可能だ。どちらもそれぞれのニューズグループを持っている。 alt.security.pgp と alt.security.ripem だ。さらに、それぞれのFAQもある。PGPは合衆国外でも最も一般的に使われている。それはライセンスなしでRSAアルゴリズムを使っており、RSAの特許は（少なくとも基本的には）合衆国だけで有効だからである。

[ 引用者注：この段落は完全に正しいとはいえない。MIT PGPはRSAREFも現在使っているからである]

RIPEMは合衆国内で最も一般的に使われている。それは合衆国内では完全に利用可能だが合衆国外への輸出はできないRSAREFを使っているからである。

どちらのプログラムも、メッセージの本体の暗号化に秘密鍵アルゴリズムを使っており（PGPはIDEAを使っていたし、RIPEMはDESを使っている）、メッセージ鍵を暗号化するにはRSAを使っているので、自由に相互運用できるはずである。お互いに他方のフォーマットとアルゴリズム選択を理解しようという呼びかけは繰り返されてきたが、現在のところ（私たちが知る限り）相互運用はできない。

PGP (Pretty Good Privacy)

私たちが論じているプログラム。質問1.1参照のこと。

PKP (Public Key Partners)

多くの公開鍵特許を有している特許所有会社。（おそらく）公開鍵暗号法そのものの特許も持っている。その特許のいくつかは、（PGPに影響する）RSAの特許など、有効ではないものがあると思われる。

RIPEM

PEM参照。

RSA (Rivest-Shamir-Adleman)

RSAは、PGPで使われた公開鍵暗号法である。RSAは、納税者費用でアルゴリズムを開発した者のイニシャルである。RSAの基礎的セキュリティは、二つの巨大な素数を掛け合わせて結果を得ることは簡単だが、その逆の方向、つまり与えられた合成数の二つの素因数を求めることはコンピューター的に困難であるという事実に基づいている。これは、暗号鍵が生成されて世界に広められても、メッセージが復号化されないようにするRSAの一方方向の性質なのである。

RSAREF

これは、RSAデータセキュリティ社がフリーウェアPEMアプリケーションを実行させる目的で作られた自由なライブラリである。これは（特に）RSAを含むいくつかの暗号化アルゴリズムを実行するものである。MIT PGPはRSAREFのRSAルーチンを使って、他のバージョンのPGPで訴えられた特許問題を避けている。

Skipjack(スキップジャック／海面で跳びはねる魚)

クリッパー参照。

TEMPEST(テンペスト／暴風雨)

TEMPESTはコンピューター装置のための電磁保護の規格である。これは、離れたところからでも少々努力すれば、情報をコンピューター出力機（たとえばCRT）から読めるという事実に呼応して作られたものである。言うまでもなく、明文がこの方法で読まれてしまうのであれば、暗号化もたいして役に立たない。典型的な家庭用コンピューターは、すべてのTEMPEST規格で長距離からでも読まれてしまう。だから、もしあなたが何か違法なことをしているのならば、PGPその他の暗号化プログラムが役に立つと思ってはならない。政府は、監視車をあなたの家の外に置くだけで、あなたのコンピューターで行なわれていることすべてを読むことができるのである。

あなたのコンピューターに適切な覆いをつけるために一万ドル前後を吐き出すのでなければ、ラップトップコンピューターを電池で動かすのが次善の策かもしれない。電線から輩出はフィードバックされることなく、ディスプレイから放たれるのとコンピューターが消費する総電力は、典型的な家庭用コンピューターとCRTよりはるかに少ない。これは、モニターを監視するためのRF場をかなり弱めることになる。これはまだ安全ではないが、まだ安全なほうだ。さらに、ラップトップコンピューターが有利なのは、一つところにとどまっていないということだ。あなたの放出を監視しようとする人は、あなたの周りを追いかけなければならず、そうなれば相手も明らかになるだろう。ラップトップはTEMPESTの見地からいえばやはり安全ではなく、ただ標準のパソコンよりはましだということを強調しておきたい。

2000年盗聴法対抗
ダウンロード／PGP6.5.1i／PGP disk／
日本語化／PGP鍵作成／
PGPdiskマウント／秘密鍵を隠す／
落とし穴／完全抹消法

PGP ユーザーズ・マニュアル　第１巻
The comp.security.pgp FAQ 日本語版
パスフレーズFAQ 日本語版
バックドア　NSA／Phrack Magazine／ソースコード
暗号関係リンク集