ElGamal暗号

出典: フリー百科事典『ウィキペディア（Wikipedia）』

移動: ナビゲーション, 検索

ElGamal暗号（エルガマルあんごう，ElGamal Encryption）とは、位数が大きな群の離散対数問題が困難であることを安全性の根拠とした公開鍵暗号の一つである。1984年Taher Elgamalが発表した。

[編集] 概要

Diffie-Hellman鍵共有方式で共有した乱数を使ってワンタイムパッド（OTP）を行うと暗号通信ができる。ElGamal暗号は、これを利用してDiffie-Hellman鍵共有方式を暗号方式として利用できるように変形したものである。

ElGamal暗号は暗号(Cipher)であるが、これとは別にデジタル署名(Digital signature)に応用することができるElGamal署名も発表されている。

用語については、暗号の用語、暗号理論の用語を参照。

[編集] 暗号方式

$k$ をセキュリティ・パラメータとする。

[編集] 鍵生成

巡回群Gで、位数qが素数であり、かつ $q$ のビット数が $k$ であるものを選ぶ。
Gの生成元 $g$ を選ぶ。
xを ${0,..., q - 1}$ からランダムに選ぶ。
$h = g x$ とする。
$(G, q, g, h)$ を公開鍵とし、xを秘密鍵とする。

平文空間はGであり、暗号文空間はG²である。

[編集] 暗号化

Gの元mを平文として受け取る。
rを ${0,..., q - 1}$ からランダムに選ぶ。
$c 1 = g r$ (mod q), $c_2 = m \cdot h^{r}$ (mod q)を計算する。
$(c 1, c 2)$ を暗号文とする。

[編集] 復号

受け取った暗号文を $(c_1, c_2) \in G \times G$ とする。

$m = c_2 \cdot ({c_1}^x)^{-1}$ (mod q) とする。

実際、もし $(c 1, c 2)$ が正しい方法で生成された暗号文であれば、 $m' = c_2 \cdot ({c_1}^x)^{-1} = m \cdot (g^x)^r \cdot ((g^r)^x)^{-1} = m$ を満たす。

[編集] 安全性

上で"離散対数問題が困難であることを基にした"と書いたがこれは正確な表現では無い。実際には、DLP仮定ではなく、Computational Diffie-Hellman仮定(CDH仮定)およびDecisional Diffie-Hellman仮定(DDH仮定)を基にしている。 ElGamal暗号が選択平文攻撃に対して完全解読できないということ(OW-CPAであるということ)と、CDH仮定とが同値である。また、ElGamal暗号が選択平文攻撃のもとIndistinguishabillityをもつということ(IND-CPAであるということ)と、DDH仮定とが同値である。

ElGamal暗号は、選択暗号文攻撃に対しては安全ではない。平文 $m$ に対応する $(c 1, c 2)$ から、 $2 m$ に対応する暗号文 $(c 1,2 c 2)$ を作成することができるからである。

[編集] 巡回群Gについて

pを素数とするとき、G = ${\Bbb Z}_p^{*}$ としてはいけない。このような群上ではDDH仮定が破れる。主な方法は二つある。

巡回群Gを ${\Bbb Z}_p^{*}$ の部分群とする。
巡回群Gを楕円曲線上で定義する(楕円曲線暗号)。

ここでは上の方法を説明する。

小さな自然数kと大きな素数qに対して、素数pをp = kq+1となるように取る。
- まず素数qを選んでから、p = kq + 1が素数かどうかを調べればよい。
$g \in {\Bbb Z}_p^{*}$ を、gの位数がqとなるようにランダムに選ぶ。
$G = < g >$ は ${\Bbb Z}_p^{*}$ の部分群となっている。

尚、k=2に対してp = 2q + 1が成り立つ素数の組(p,q)が無限に存在するかどうかは未解決問題である(ソフィー・ジェルマン問題,素数#素数に関連する未解決の問題)。

[編集] 参考文献

[編集] 原論文

A Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms; Taher Elgamal; IEEE Transactions on Information Theory, v. IT-31, n. 4, 1985, pp. 469–472 or CRYPTO 84, pp. 10–18, Springer-Verlag.

[編集] 関連項目