Security Akademeia

誊肌 †

誊肌
离帕
橙磨ElGamal芭规の慌屯
窗链拉
奥链拉
- DDH簿年⑼IND-CPA奥链
徊雇矢弗

↑

离帕 †

　碰サイトにおける芭规に簇するペ〖ジでは、棱汤が颅りなかったり、疙った淡揭をしていたりするところがあります。海稿、警しずつ饯赖する徒年です。

　芭规妄侠の∝芭规祷窖のすべて≠が券卿されています。介看荚羹けの芭规塑です。これまで芭规塑に部刨か末里しつつも好擂してしまった数、池够の草玛で呛んでいる数、获呈活赋にて芭规の啼玛が鹅缄な数などにお传めです。

　督蹋がある数は离帕サイトを徊救してください。Amazonでも券卿面です。

↑

橙磨ElGamal芭规の慌屯 †

　给倡赴芭规は赴栏喇アルゴリズムˇ芭规步アルゴリズムˇ牲规アルゴリズムの3つのアルゴリズムで菇喇される。よって、橙磨ElGamal芭规も3つのアルゴリズムで菇喇されている。

↑

赴栏喇アルゴリズム †

　セキュリティパラメ〖タを掐蜗とする。

1¨q|p-1を塔たす络きな燎眶p,qを栏喇する。

2¨疤眶がqとなる、 $\mathbb{Z}_q^*$ の傅αを栏喇する。

3¨0″x°qとなるxをランダムに联买し、肌のようにyを纷换する。

$y=\alpha^x~\pmod{p}$

4¨给倡赴pk=(p,q,α,y)、入泰赴sk=xを叫蜗する。

↑

芭规步アルゴリズム †

　αで菇喇される戒搀凡の傅を士矢mとし、mとpkを掐蜗とする。

1¨0″r°qとなるrをランダムに联买する。

2¨肌のようにc1,c2を纷换する。

$c_1=\alpha^r~\pmod{p}$

$c_2=my^r~\pmod{p}$

3¨ステップ2で纷换したc1,c2を寥として、芭规矢cとする。そのc=(c1,c2)を叫蜗する。

↑

牲规アルゴリズム †

　芭规矢c=(c1,c2)、skを掐蜗とする。

1¨ $\frac{c_2}{c_1^x}~\pmod{p}$ を纷换して叫蜗する。

↑

アルゴリズムの输颅 †

　笆惧の3つのアルゴリズムが橙磨ElGamal芭规の慌屯になる。いくつか输颅したい婶尸がある。

↑

胺っている凡について †

　ElGamal芭规で脱いた凡は $\mathbb{Z}_q^*$ であった。 $\mathbb{Z}_q^*$ の婶尸凡をうまく蝗うことで、 $\mathbb{Z}_q^*$ のときのDL啼玛ˇCDH啼玛ˇDDH啼玛よりも豺くのが氦岂になるのである。HがGの婶尸凡であるとは、HがGの婶尸礁圭であり、なおかつHがGと遍换が票じであると年盗される。

　婶尸凡を脱いた数が啼玛が氦岂になるという祸悸を网脱したのが橙磨ElGamal芭规である。そのため、橙磨ElGamal芭规の赴栏喇アルゴリズムの面に、 $\mathbb{Z}_q^*$ の婶尸凡を蝗うための洁洒が崔まれているのである。

↑

赴栏喇アルゴリズムのp,qの栏喇数恕 †

　赴栏喇アルゴリズムのステップ1における≈q|p-1∽とは、qがp-1を充り磊るという罢蹋である。毋えば、p=2q+1の簇犯などがそうである。このような簇犯である燎眶p,qは肌のように栏喇することができる。

1¨络きな燎眶qを栏喇する。

2¨宛眶rを联び、 $p=2rq+1$ とする。

3¨pが燎眶かどうかを澄千し、燎眶でないならステップ1に提る。もしpが燎眶であれば、(p,q)はq|p-1を塔たしている。

↑

αの赂哼瘦沮 †

　また、赴栏喇アルゴリズムのステップ2において、疤眶∈傅の疤眶∷という咐驼が判眷している。gの疤眶kとは、 $g^k~\pmod{p}=1$ を塔たすような呵井の猛のことである。

　ステップ2で肩磨する疤眶がqとなる $\mathbb{Z}_q^*$ の傅αが赂哼することを瘦沮するのは、ステップ1によってq|p-1が喇り惟つからである。これは傅の疤眶と付幌傅に簇犯する年妄から咐える。

↑

αの栏喇数恕 †

　そして、このαの栏喇数恕は、 $\mathbb{Z}_q^*$ の付幌傅gを滇めて、 $\alpha~=g^{2r}~\pmod{p}$ を纷换すればよい。このαの疤眶はqになっている。篓ち、 $\alpha^q~\equiv~1~\pmod{p}$ が喇り惟つ。しかも、このαの疤眶はqのみである。この祸悸は肌のように沮汤できる。

　p-1=2rqかつ $\alpha~=g^{2r}~\pmod{p}$ より、

$\alpha^q$
$=(g^{2r})^q$
$=g^{2rq}$
$=g^{p-1}$ 　∈p-1=2rq∷
$=1~\pmod{p}$ 　∈㈣フェルマ〖の井年妄∷

　また、 $\alpha^i~\equiv~1~\pmod{p}$ となるi∈1″i°q∷が赂哼すると簿年すると、

∈焊收∷
$=\alpha^i$
$\equiv~(g^{2r})^i$
$=g^{2ri}$

と纷换できるので、 $g^{2ri}~\equiv~1~\pmod{p}$ が喇り惟つ。

　ここでgの疤眶は2ri°2rq=p-1より井さい。これはgが付幌傅であることに瓤する。

　よって、 $\alpha^i~\equiv~1~\pmod{p}$ となるi∈1″i°q∷は赂哼しない。ゆえに、αの疤眶はqのみである。　ⅱ

↑

戒搀凡°α′について †

　 $\alpha^q~\equiv~1~\pmod{p}$ が喇り惟つため、扦罢の腊眶iに滦して $\alpha^i$ は $\alpha^{i~\pmod{q}}~\pmod{p}$ と雇えればよい。つまり、αの回眶婶はmod qの坤肠で雇えればよいのである。

　よって、このαの戒搀凡はq改であり、この戒搀凡の妥燎は $1~\pmod{p},\alpha~\pmod{p},\alpha^2~\pmod{p},~\cdots,~\alpha^{q-1}~\pmod{p},$ になる。この戒搀凡を°α′と年盗する。

↑

窗链拉 †

　アルゴリズムが年盗されたならば、まず窗链拉を澄千する涩妥がある。∈给倡赴芭规の∷窗链拉とは牲规アルゴリズムを悸乖すると、士矢に提ることである。つまり、 $\frac{c_2}{c_1^x}~\pmod{p}$ を及鸥倡して、mになれば窗链拉が喇り惟つ。

$\frac{c_2}{c_1^x}~\pmod{p}$
$=\frac{my^r}{\alpha^{rx}}$
$=\frac{m\alpha^{xr}}{\alpha^{rx}}$
$=m$ 　ⅱ

　よって、窗链拉が绩された。

↑

奥链拉 †

↑

DDH簿年⑼IND-CPA奥链 †

[年妄]°α′に滦するDDH啼玛が氦岂であるならば、橙磨ElGamal芭规はIND-CPA奥链である。

　篓ち、°α′に滦するDDH簿年の布で、橙磨ElGamal芭规はIND-CPA奥链である。

[沮汤]これを沮汤するために滦饿で雇える。つまり、IND≥CPA奥链を豺くアルゴリズムAが赂哼するならば、°α′に滦するDDH啼玛を豺くアルゴリズムBが赂哼することを绩すことができればよい。ここでAの喇根澄唯を(1/2)+εとする。

　沮汤には耽缅恕を蝗う。Aの蜗を网脱して、Bを菇喇することができ、そのBの喇根澄唯がε笆惧であればよいのである。

　まずBの菇喇を绩す。
　Bに(α,β,γ,δ)=(α,αx,αy,αz)が涂えられるとする。Bの誊弄はうまく嘿供をすることにより、Aの蜗を网脱して、z=xy mod qかどうかを铜罢な澄唯で冉年することである。
　Bは(α,β,γ,δ)を掐蜗とし、pk=(p,q,α,β)をAに给倡赴として涂える。このとき、このpkが橙磨ElGamal芭规の给倡赴と票じ尸邵の涩妥があるが、p,q,α,βすべて票办なため浓はBの面で瓢侯していることに丹が烧かないので、啼玛ない。
　肌に、AはCPA苟封荚なので2つの士矢m0,m1を嘲に流る。AはBの柒婶でm0,m1を流慨する。Bはそれらを减け艰ったら、1ビットのbをランダムに联买する。そして、Bはc=(γ,mbγ)を芭规矢としてAに流慨する。ここでBが嘿供しているのである。このcも橙磨ElGamal芭规の慌屯奶りに侯られた(c1,c2)とまったく票办の尸邵を绩すため、AはBの面にいることに丹烧かないため、啼玛ない。つまり、Aはcが嘿供されているのに丹烧かないのである。
　Aは呵稿にbの夸卢として $\tilde{b}$ をロ〖カル叫蜗する。
　Bは $\tilde{b}$ を斧て、 $b~=~\tilde{b}$ が喇り惟っていれば1∈ここではz=xyが喇り惟っていることを罢蹋する∷を叫蜗し、 $b~\not{=}~\tilde{b}$ が喇り惟っていれば0∈ここではz♀xyが喇り惟っていることを罢蹋する∷をロ〖カル叫蜗する。
　笆惧でBの菇喇は窗位である。

　肌に、Bの喇根澄唯を拇べる涩妥がある。

[1]z=xyの眷圭

　pkとcは橙磨ElGamal芭规の慌屯奶りのpk,cと尸邵がまったく票办である。
　よって、簿年よりAは $\frac{1}{2}~+~\epsilon$ 笆惧の澄唯で、 $b~=~\tilde{b}$ となる $\tilde{b}$ を叫蜗するはずである。

　ゆえに、z=xyの眷圭にBは $\frac{1}{2}~+~\epsilon$ 笆惧の澄唯で1を叫蜗する。つまり、Bは $\frac{1}{2}~+~\epsilon$ 笆惧の澄唯でz=xyであることを冉年できる。

[2]z♀xyの眷圭

　pkは橙磨ElGamal芭规の慌屯奶りのpkと尸邵がまったく票办である。また、c=(γ,mbγ)=(γ,mbαz)である。zが办屯ランダムに艰られているので、 $\alpha^z$ は $\mathbb{Z}_q^*$ 惧で办屯尸邵しており、 $m_b~\alpha^z$ も $\mathbb{Z}_q^*$ 惧で办屯尸邵である。よって、このcは窗链にbの攫鼠を保している。よって、Aは $\frac{1}{2}$ の澄唯でしか、 $b~=~\tilde{b}$ となる $\tilde{b}$ を叫蜗するしかない。