電子署名は安全か？

【 電子署名は安全か？ 】

現代の暗号では、公開暗号キー方式と併用して、メッセージが正しいものであることを示すために、電子署名を用います。基本的には、次のようなストーリーです。

Aliceは、自分の送ったメッセージが真正のものであることを示す為に、自分の秘密キーを使って電子署名を行い、それをメッセージに添付します。Bobは、Aliceからのメッセージが真正であることを確かめる為に、Aliceの公開キーを用いて、その電子署名を検証します。

70年代の半ばの現代暗号技術の確立を画するこのストーリーは、とても良くできていて素晴らしいものです。

ただ、このストーリーには、いくつかの前提、この技術が適用される現実についての理想化ないしは単純化された想定が含まれています。

80年代の終わりになって、Goldwasser たちは、現実の複雑さを反映した電子署名の安全性についての論文を発表します。現実の複雑さを反映するということで、彼女らが取ったのは、電子署名への攻撃を詳しく分析するという手法でした。

"A digital signature scheme secure against adaptive chosen-message attacks.", Shafi Goldwasser, Silvio Micali, and Ronald Rivest. SIAM Journal on Computing, 17(2):281–308, Apr. 1988.

https://people.csail.mit.edu/rivest/GoldwasserMicaliRivest-ADigitalSignatureSchemeSecureAgainstAdaptiveChosenMessageAttacks.pdf

現実は、複雑なだけではなく、攻撃者の脅威にさらされた過酷なものだということです。

自分が自分であることを他人に証明するのは本当は難しいことです。それが可能となるのは、そのこと以外に、自分と他人との間に、何らかの現実についての「合意」が存在しうるからです。ただ、そうした可能的な合意は無数に存在しうるし、逆に、合意に達することができないことも無数にあり得ます。

電子署名の安全性についての「現実的な議論」が、ある種の社会的ルールづくりに向かうのは、やむを得ないことかもしれません。ただ、それは、現実の複雑さ過酷さを、自らの経験を通じて反映した、複雑なものになります。

90年代の終わりに登場した、AjitaiのHash関数論は、こうしたドロドロした状況へ、一石を投じることになります。

彼が取り上げたのは、技術的には、単純な問題です。

電子署名には、元の文書を圧縮する機能を持つHash関数が利用されます。Hash関数は、異なるメッセージには異なる値を振り分けます。それだけでは十分ではなくて、同じHash値をもつ異なるメッセージを見つけることは難しいという性質が求められます。

Hash関数に、そうした性質が求められることを、誰もが「経験的」には知っていました。Ajtaiは、こうした「経験的要請」に、はじめて、それが可能となる理論的な条件を与えました。

現代のラティス暗号論は、ここから出発しています。

-------------------

動画「SIS問題とAjtai関数」を公開しました。ご利用ください。https://youtu.be/hLI6eEnBohY?list=PLQIrJ0f9gMcPtw-6OwIOO2rFKu_A-7OfF

この動画のpdf は、こちらからアクセスできます。　https://drive.google.com/file/d/1CgDSoGvIFK2hMNQFT9UiBTwM87gSNKJU/view?usp=sharing

セミナーの申し込み受付始めました。申し込みはこちらからお願いします。https://cipher3.peatix.com/view

「ラティス暗号入門」のまとめページはこちらです。https://www.marulabo.net/docs/cipher3/

blog 「電子署名は安全か？ 」のURLはこちらです。　https://maruyama097.blogspot.com/2022/09/blog-post_21.html