Takuya Hayashi @Tak884

12年6月20日

すみません、だいぶ遅くなりましたが、ペアリング暗号の解読について少しお話します。これは一研究者としての発言です。

タグ：

posted at 16:23:48

Takuya Hayashi @Tak884

12年6月20日

まず、「ペアリング暗号はもう使えないのか？」について。そんなことはなく、適切なパラメータを使用すれば、安全に利用することができます。今回の成果は「ペアリング暗号のあるパラメータにおいて攻撃に成功した」という内容です。

タグ：

posted at 16:25:46

Takuya Hayashi @Tak884

12年6月20日

ペアリング暗号というのはいわゆる総称で、その中で利用するペアリングという写像には色々な種類があります。今回の成果は、その中の「有限体GF(3^n)上のηTペアリング」というペアリングを利用したペアリング暗号において、n=97というパラメータの攻撃に成功したというものです。

タグ：

posted at 16:28:26

Takuya Hayashi @Tak884

12年6月20日

なので、その他のペアリング、例えばBN曲線上のペアリングだとかを利用したペアリング暗号は、この攻撃方法では攻撃できません。

タグ：

posted at 16:31:02

杜選な研究者 @zusanzusan

12年6月20日

@Tak884 どうやっても「攻撃できない」のでしょうか？それとも適用できるけど計算量が膨大、という意味でしょうか？

タグ：

posted at 16:34:46

Takuya Hayashi @Tak884

12年6月20日

さらに付け加えると、さきほどの「有限体GF(3^n)上のηTペアリング」において、nが暗号の鍵長に直接影響するのですが、nを97よりも大きく、より正確には n>193 程度をとれば、「スーパーコンピュータKを１年間利用しても攻撃できない」レベルの安全性を確保することができます。

タグ：

posted at 16:35:18

Takuya Hayashi @Tak884

12年6月20日

@zusanzusan 今回の攻撃は標数の小さな有限体に限定された攻撃方法なので、標数の大きな有限体に対しての攻撃は原理的に難しいです。

タグ：

posted at 16:38:47

Takuya Hayashi @Tak884

12年6月20日

ちょっと考えたり資料を見ながら書いているので書くのが遅くなっています。申し訳ありません。

タグ：

posted at 16:40:53

杜選な研究者 @zusanzusan

12年6月20日

@Tak884 あーそうか、今回はソルバー部分が関数体篩法だから、小標数にしか適用できないのですね。BNに適用するには数体篩法が必要ですからね。今回の公開資料では、ECDLPを有限体のDLPに埋め込んで解くというフレームになっていたので、フレーム自体の有効性かと誤解していました。

タグ：

posted at 16:42:29

田中実（28歳、マッドシティ在住）インフ @k4403

12年6月20日

@Tak884 せんせー！ざっくり素人に言っちゃって下さい．ペアリング暗号はRSA暗号よりも弱いんですか？？

タグ：

posted at 16:42:51

Takuya Hayashi @Tak884

12年6月20日

@zusanzusan そうです。GF(3^97)のECDLPは雑に言うと2^75くらいの計算量が必要ですが、ペアリングで飛ばした先のGF(3^6・97)のDLPは2^53程度の計算量で済むことが分かった（ISPEC2012で発表済）ので、こちらを攻撃しました。

タグ：

posted at 16:45:23

杜選な研究者 @zusanzusan

12年6月20日

@Tak884 理解できました。ありがとうございました。

タグ：

posted at 16:45:49

Takuya Hayashi @Tak884

12年6月20日

次に「ペアリング暗号はRSA暗号よりも弱いのか？」について。これはちょっと長くなるかも。

タグ：

posted at 16:47:21