応用数学解説

文献あり

犬でもわかる Diffie-Hellman 鍵共有

暗号技術,DH鍵共有,離散対数問題

8717

概要

Diffie-Hellman 鍵共有とは、二人の間で同じ秘密の値を作成する 公開鍵暗号方式です。二人の間で同じ秘密の値を共有できれば、あとはそれを共通鍵として共通鍵暗号方式でやり取りができます。

Diffie-Hellman鍵共有の概要

前提知識

公開鍵暗号方式が前提知識となります。公開鍵暗号方式についてよくわかっていない方は、このスライドを見て下さい。

数学的準備

まずはDiffie-Hellman鍵共有を学ぶ上で必要な、数学に関する知識を見ていきましょう。（高校数学の範囲内ですので、理解している人は飛ばしましょう。）

剰余演算

割り算の余りを求める演算について、次のように定義します。

剰余演算

$a mod b$ は $a$ を $b$ で割ったときの余りである。

具体的な余りを求める例を見ていきましょう。

剰余演算1

$10$ を $6$ で割ったあまりは、 $4$ である。
$10 mod 6 = 4$

剰余演算2

$20$ を $7$ で割ったあまりは、 $4$ である。
$20 mod 7 = 6$

剰余演算3

$3 \times 4$ を $7$ で割ったあまりは、 $5$ である。
$3 \times 4 mod 7 = 12 mod 7 = 5$

剰余演算4

$2^{3}$ を $7$ で割ったあまりは、 $1$ である。
$2^{3} mod 7 = 2 \times 2 \times 2 mod 7 = 8 mod 7 = 1$

累乗の累乗

累乗の累乗について次のような定理が成り立ちます。

累乗の累乗

任意の自然数 $g$ ， $a$ ， $b$ ， $n$ と $A = g^{a} mod n$ に対して、次の式が成り立つ。

$A^{b} mod n = g^{a b} mod n$

累乗の累乗をする例を見ていきましょう。

累乗の累乗

$A = 2^{3} mod 10$ ならば
$A^{2} mod 10 = 2^{3 \times 2} mod 10 = 2^{6} mod 10 = 64 mod 10 = 4$

仮定

公開鍵暗号方式の多くは、特定の計算が困難なことを仮定としておくことで、実現されています。

Diffie-Hellman鍵共有は、DH問題が解けないことを仮定とする、DH仮定を元に成り立っています。

離散対数問題

DH問題について話す前に、現在多くの暗号で用いられる離散対数問題（DLP）について説明します。

離散対数問題（DLP）

大きな素数 $n$ と1 以上 $n$ 未満の自然数 $g, x$ をもちいて、 $y$ を次のようにおく。

$y = g^{x} mod n$

計算上次のような事実が存在する。

$(g, x, n)$ から $y$ は短い時間で計算できる
$(g, y, n)$ から $x$ は計算にかなり時間がかかる

特にこの 2. の事実を離散対数問題という。

特にこの 2. の "かなり時間がかかる"というは、 $x, n, g$ の値によっては、現実的に計算不可能なことを表します。

DH 問題

DH問題は離散対数問題の上で成り立つ計算上困難な問題です。
Diffie-Hellman 鍵共有は、DH問題を用いています。

DH問題

大きな素数 $n$ と1 以上 $n$ 未満の自然数 $g, x, y$ 、 $K_{A}$ , $K_{B}$ を次のようにおく。

$\begin{array}{r} K_{A} = g^{x} mod n \\ K_{B} = g^{y} mod n \\ K_{A B} = g^{x y} mod n \end{array}$

計算上次のような事実が存在する。

$(n, x, K_{B})$ から $K_{A B}$ は短い時間で計算できる
$(n, y, K_{A})$ から $K_{A B}$ は短い時間で計算できる
$(g, n, K_{A}, K_{B})$ から $K_{A B}$ は計算にかなり時間がかかる。

特にこの 3. の事実をDH問題という。

特にこの 2. の "かなり時間がかかる"というは、 $x, y, n, g$ の値によっては、現実的に計算不可能なほど時間がかかることを表します。

~ 2. が離散対数問題を解かずに、高速に計算できることを、以下に証明します。

(n, x, K_{B})

を用いた

K_{A B}

の計算

$(K_{B})^{x} mod n = (g^{y})^{x} mod n = g^{x y} mod n = K_{A B}$

(n, y, K_{A})

を用いた

K_{A B}

の計算

$(K_{A})^{y} mod n = (g^{x})^{y} mod n = g^{x y} mod n = K_{A B}$

手順

以下に手順をまとめました。アリスとボブが同じ秘密を共有するために、Diffie-Hellman鍵共有をします。

準備

大きな素数 $n$ と1 以上 $n$ 未満の自然数 $g$ を選び事前に共有します。（これらは漏洩しても問題ないです。）

鍵ペア生成

アリスは乱数 $x$ を計算し、 $K_{A} = g^{x} mod n$ を求めます。
ボブも乱数 $y$ を計算し、 $K_{B} = g^{y} mod n$ を求めます。

$x$ と $y$ を秘密鍵、 $K_{A}$ と $K_{B}$ を公開鍵とします。（公開鍵は漏洩しても問題ないです。秘密鍵は漏洩するとまずいです。）

公開鍵の交換

アリスは $K_{A}$ をボブに、ボブは $K_{B}$ をアリスに送信します。（これらは漏洩しても問題ないです。）

共有する秘密の計算

アリスは自身の秘密鍵 $x$ と $K_{B}$ を用いて、秘密 $K_{A B}$ 次のように計算します。

$(K_{B})^{x} mod n = (g^{y})^{x} mod n = g^{x y} mod n = K_{A B}$

ボブは自身の秘密鍵 $y$ と $K_{A}$ を用いて、秘密 $K_{A B}$ 次のように計算します。

$(K_{A})^{y} mod n = (g^{x})^{y} mod n = g^{x y} mod n = K_{A B}$

安全性

$(g, n, K_{A}, K_{B})$ は漏洩される可能性がありますが、DH問題により $K_{A B}$ 計算するには、離散対数問題を解く必要があり、現実的な時間では計算することができません。

まとめ

Diffie-Hellman 鍵共有について、まとめました。

参考文献

[1]

akakou, 犬でもわかる公開鍵暗号, 閲覧日 2021年11月29日, https://www.slideshare.net/KoseiAkama/ss-239176977

投稿日：2020年11月8日

この記事を高評価した人

高評価したユーザはいません

この記事に送られたバッジ

バッジはありません。

バッチを贈って投稿者を応援しよう

バッチを贈ると投稿者に現金やAmazonのギフトカードが還元されます。

投稿者

akakou

17311

数学が…わかりません……ﾀﾞﾚｶﾀｽｹﾃｰ

他の人のコメント

コメントはありません。

読み込み中

akakou

犬でもわかる Diffie-Hellman 鍵共有

概要
前提知識
数学的準備
剰余演算
累乗の累乗
仮定
離散対数問題
DH 問題
手順
準備
鍵ペア生成
公開鍵の交換
共有する秘密の計算
安全性
まとめ
参考文献