# 現代暗号

## 現代暗号の発展

- コンピュータ登場以前は、暗号の利用者も軍隊や国家機関などの一部組織に限定されていた
- 現代になるとコンピュータとインターネットが急速に発達し、デジタルデータのやり取りが即座に行われるようになった
    - 商業目的で民間企業や個人が暗号を利用するようになった
    - 結果として、暗号のアルゴリズムを公開する必要が出てきた

***

## 共通鍵暗号

- **共通鍵暗号**
    - 暗号化と復号に同一の秘密鍵を用いる暗号
    - 共通鍵暗号における秘密鍵を特に共通鍵と呼ぶ場合もある
    - 一般に高速に暗号化・復号できるように設計されているため、大サイズの平文の暗号化に向いている
    
### 暗号における鍵
- 暗号化アルゴリズムや復号アルゴリズムの動作を制御するためのデータのことを鍵と呼ぶ
    - 例) シーザー暗号の場合: n=3 という固定の鍵が使用されている
    - 例) シフト暗号の場合: 25種類の鍵が使用されている
        - 正しい鍵を推測できなければ暗号文を正しく復号できない
- 鍵という概念により、同じ暗号化アルゴリズムを採用していても、異なる暗号化手続きを実現できる


### 共通鍵暗号の仕組み
![common-key-crypto-algorithm.drawio.png](./img/common-key-crypto-algorithm.drawio.png)

- Encryptor（暗号化を行う人）
    - KeyGen: 何らかのセキュリティパラメータから秘密鍵を生成
        - 一般的には疑似乱数をセキュリティパラメータにすることが多い
    - Enc: 平文と秘密鍵を引数にとり、暗号文を返す
- Decryptor（復号を行う人）
    - Encryptorと安全な方法でやり取りを行い、秘密鍵を共有する
    - Dec: 暗号文と秘密鍵を引数にとり、平文を返す

### 共通鍵暗号の性質
- 共通鍵は次の条件を満たさなければならない
    - 正当性
    - 秘匿性

#### 正当性
- 正当性とは、暗号文を復号すると元の平文に戻ること
- 共通鍵暗号の正当性は、任意の *key*, *m* に対して、次式が成り立つことを意味する
    ```
    m = Dec(key, Enc(key, m))
    ```

#### 秘匿性
- 秘匿性とは、暗号文*c*から平文*m*に関する情報が得られないこと
- 秘匿性は攻撃モデルと解読モデルによって分類される
    - 攻撃者の攻撃モデルが強力であるほど、攻撃者が得られる情報が多くなり、暗号の解読に成功しやすくなる
    - 解読モデルの一つに強秘匿性がある: 暗号文から平文のどんな部分情報も得られないことを意味する

### 攻撃モデル
攻撃モデルは、以下の5つに分けられる

1. 暗号文単独攻撃
    - 暗号文単独攻撃（Ciphertext Only Attack: COA）とは、同一の秘密鍵によって暗号化された複数の暗号文を利用して攻撃するモデル
    - 単に暗号文攻撃と呼ばれることもある
    - これは、通信路を盗聴するという攻撃に相当する
    - 最も素朴な状況での攻撃であり、いかなる環境においても暗号文単独攻撃を実施可能
2. 既知平文攻撃
    - 既知平文攻撃（Known Plaintext Attack: KPA）とは、同一の秘密鍵によって暗号化された以下の2つを利用して攻撃するモデル
        - 解読対象の暗号文
        - ランダムな平文と暗号文の対
    - これは、暗号文が既知の定型文にもとづいていたり、暗号解読によって過去の平文が特定済みだったりする状況に相当する
3. 選択平文攻撃
    - 選択平文攻撃（Chosen Plaintext Attack: CPA）とは、自分で選んだ平文に対する暗号文を得られる状況において攻撃するモデル
        - つまり、任意のタイミングで暗号化オラクル（Enc）にアクセスできることを意味する
    - これは、暗号化装置を入手していたり、認証サーバを悪用したりする状況に相当する
4. 選択暗号文攻撃
    - 選択暗号文攻撃（Choosen Ciphertext Attack: CCA1）とは、解読対象の暗号文を受け取る前の時点で、自分で選んだ暗号文に対する平文を得られるという状況で攻撃するモデル
        - つまり、解読対象の暗号文を受け取る前に復号オラクル（Dec）にアクセスできることを意味する
5. 適応的選択暗号文攻撃
    - 適応的選択暗号文攻撃（Adaptive Chosen Ciphertext Attack: CCA2）とは、解読対象の暗号文を受け取る前後において、自分で選んだ暗号文に対する平文を得られるという状況で攻撃するモデル
        - つまり、任意のタイミングで復号オラクル（Dec）にアクセスできることを意味する

#### 攻撃モデルの強弱関係
共通鍵暗号の場合、選択平文攻撃は誰でも実行できるわけではないため、以下のような強弱関係になる

```
選択平文攻撃 < (選択平文攻撃＋選択暗号文攻撃) < (選択平文攻撃＋適応的選択暗号文攻撃)
```

したがって、選択平文攻撃と（適応的）選択暗号文攻撃が同時にできるような状況を作らないすることが、秘匿性向上のカギとなる

### 解読モデル
- 暗号解読の目標により解読達成度は変わる
    - 暗号文から平文全体を求めるより、平文の部分情報を求めるほうが簡単
    - 秘密鍵を特定するより、ある暗号文の平文全体を求めるほうが簡単
- 共通鍵暗号が安全であるためには、選択平文攻撃と（適応的）選択暗号文攻撃攻撃の下で強秘匿性を満たす必要がある

### 鍵全数探索攻撃
- 秘密鍵に対する総当たり攻撃を鍵全数探索攻撃と呼ぶ
- 原理的にどのような共通鍵暗号に対しても実行できる攻撃であるため、この攻撃が現実的に成功しないような鍵長にしなければならない
    - つまり、「鍵全数探索攻撃よりも効率的な秘密鍵を求めるアルゴリズムが存在しない」という条件を満たしたとき、安全な共通鍵暗号になる

### 共通鍵暗号の分類
共通鍵暗号は、暗号化する平文の単位によって、ストリーム暗号とブロック暗号に大別される

1. ストリーム暗号
    - 平文を小さい単位（ビット、バイト、ワード）で順次処理する暗号
    - 平文と秘密鍵の排他的論理和をとることで暗号化・復号する
    - 理想的なストリーム暗号をバーナム暗号と呼ぶ
2. ブロック暗号
    - 平文を一定の大きさ（ブロック）単位で処理する暗号
    - ブロックのサイズより大きい平文を暗号化する際は、ブロック暗号に対して暗号化モードが適用される
        - 暗号化モードには以下のようなものがある
            - ECBモード
            - CBCモード
            - CFBモード
            - OFBモード
            - CTRモード