おなじみのRSA暗号について.
今回はRSAでも特に暗号化オラクルに焦点を当てる. 単体で記事にするようなトピックでもないが面白いと思ったので.

暗号化オラクルとは簡単にいうとユーザが自分の好きな平文を暗号化して(平文を送ると暗号文が返ってくる)遊ぶことができるものである. (選択平文攻撃)

RSAではExponentのeとModulusのnを公開鍵として平文mを以下のように暗号化する.

Enc(m) := m^e mod n

復号についてはこの記事では取り扱わない.

(e, n)は公開鍵で, 読んで字のごとく公開されているのでみんなが知ってる値なのだが, これらが隠されている場合でも暗号化オラクルが利用できればModulusは特定が可能である.

状況を整理する.

• 公開鍵(e, n)はわからない
• 暗号化オラクルが使える(好きな平文mに対応する暗号文cが得られる)

手順

簡単な手順を先に置いておく.

1. 適当な値 k を準備する.
2. 暗号化オラクルを使って s = Enc(k), t = Enc(k²) を得る.
3. s² - t を計算し, N = GCD(N, s²-t) でNを更新する. (Nの初期値は0)
4. 1に戻る.

s, t それぞれの処理を追ってみる.

s = Enc(k) = k^e mod n
t = Enc(k²) =k^2e mod n

次に s² - t を計算する.

s² - t = (k^e)² - k^2e mod n
= k^2e - k^2e mod n
= 0 mod n

s² - t が n で割り切れる数字になっていることがわかる.

kを変えて処理を繰り返すと約数にnを持つs² - t がいくつか得られ, これらは共通の約数nを持っているのでGCDを取れば最終的にnが特定できる.

たまに共通の約数が2*nだったり5*nだったりするので5, 6回繰り返すと大抵nが出てくる.

実際に計算してみる

大きな値だと面倒なので比較的小さな p=11, q=13 で計算する.

(e, n) = (3, 143) で, 先に説明したようにこれは公開されていない公開鍵である.

k = 5

s = Enc(k) = 5³ mod 143 = 125
t = Enc(k²) = 5⁶ mod 143 = 38

s² - t = 125² - 38 = 15587
15587 % 143 = 0

nの候補の更新としてGCDを取る.

GCD(0, 15587) = 15587

k = 6

s = Enc(k) = 6³ mod 143 = 73
t = Enc(k²) = 6⁶ mod 143 = 38

s² - t = 73² - 38 = 5291
5291 % 143 = 0

GCDを計算.

GCD(15587, 5291) = 143

今回は偶然この時点でnが特定できているが, 念の為あと3, 4回は繰り返したほうが良い.

まとめ

なぜこの記事を書いたのか ｺﾚｶﾞﾜｶﾗﾅｲ

現実的ではないだろうがExponentの特定も考えたい(future works).
Pohlig–Hellman algorithmを使うのも難しそうだ.

Pascal Paillierが提案した加法準同型をもつPaillier暗号について.

元論文を読んだのでまとめてみる.
が, 基本的な内容に関してはelliptic-shiho先生の記事を読むことで理解できる.
elliptic-shiho.hatenablog.com

カーマイケルの定理

Paillier暗号ではカーマイケルの定理が登場する.
これはオイラーの定理とよく似ていて, nを法として以下の式で表される. (ただしaとnは互いに素)

a^λ(n) ≡ 1 (mod n)

λ(n)はカーマイケルのλ関数であり, こちらもオイラーのφ関数と似ている.
φ関数を使うと

a^φ(n) ≡ 1 (mod n)

aをx乗して1と合同になる値(x)を得ることができるが, このxが最小とは限らない(aによって作られる部分群の位数がφ(n)ではないことを意味している).

λ関数はφ関数をより厳密にしたもので, 最小のxを得ることができる.

RSAではよくオイラーが登場する(個人の見解)が, カーマイケルを使って解説している場合もあるので覚えておくと良い.

少し脱線

RSAにおいてp, qは大きな素数であり, λ, φの入力をn(=p*q)として

φ(n) = (p-1)*(q-1)
λ(n) = LCM(p-1, q-1)

このように得られる. LCMとGCDの関係をx, yを使って表し.

LCM(x, y) * GCD(x, y) = x * y

x, y をそれぞれp-1, q-1とすれば

LCM(p-1, q-1) = (p-1)*(q-1) / GCD(p-1, q-1)
= φ(n) / GCD(p-1, q-1)

p, qが大きな素数であるということはGCD(p-1, q-1)は最小でも2になる.

λ(n) <= φ(n) / 2

λ(n)がφ(n)よりも小さいことが示せた.

話を戻す

Paillier暗号では法をn²としてカーマイケルの定理を使用しているので, a^x ≡ 1 (mod n²) を満たすxはλ(n)ではなく以下のようになる.

a^nλ(n) ≡ 1 (mod n²)

これを示すには

λ(n²) = nλ(n)

であることが言えればよい.

λ(n²) = λ(p² * q²)
= LCM(λ(p²), λ(q²))
= LCM(p^2-1(p-1), q^2-1(q-1))
= LCM(p(p-1), q(q-1))

ここでp, qは互いに素な大きな素数であり, LCMの計算に関与しないため外に出せる.

LCM(p(p-1), q(q-1))
= pq * LCM(p-1, q-1)
= n * λ(n)

これで示せた.

ちなみにオイラーの定理でも同様に法をn²として

a^nφ(n) ≡ 1 (mod n²)

これを示すには

φ(n²) = nφ(n)

であればよく, こちらも愚直に計算すると

φ(n²) = φ(p² * q²)
= (p² - p¹) * (q² - q¹)
= p(p-1) * q(q-1)
= pq * (p-1)(q-1)
= n * φ(n)

となるので正しい.

次の節からPaiiler暗号の鍵生成から暗号化/復号の話をする.

Key Generation

2つの大きな素数p, qを選び, n = p*q とする.
Z_nの元を1つ選びこれをkとし, g = (k*n + 1) mod n² とする.

公開鍵 : (n, g)
秘密鍵 : (p, q)

Encrypt

Z_n²の元を1つ選び r とする. このrは暗号化のたびに変わる.
平文mの暗号化は以下のように定義される.

Enc(m) := g^m * rⁿ mod n²

※平文空間はZ_nだが, 暗号文空間はZ_n²である.

Decrypt

復号は以下のように定義される.

Dec(c) := L(c^λ mod n²) * L(g^λ mod n²)^-1 mod n

ここで

L(u) = (u-1)/n
λ = LCM(p-1, q-1)

λはλ(n)の略記である.

再掲 : ※平文空間はZ_n, 暗号文空間はZ_n²
-> 暗号化では mod n² が, 復号では mod n になっている.

では Dec(c) = m になることを確認していこう.

c^λ = (g^m * rⁿ)^λ mod n²
= g^mλ * r^nλ mod n²
= g^mλ mod n²
= (1 + kn)^mλ mod n²

r^nλ mod n² はカーマイケルの定理により1である.

(1 + kn)^mλ mod n² は二項定理を使って展開し, mod n² であることに注意すると n² を因数に持つ項が綺麗に消えるので

(1 + kn)^mλ mod n² = 1 + mλkn

が得られる.

これをL関数に適用し, L(g^λ mod n²)も同じように計算する.

L(c^λ mod n²) = L(1 + mkλn mod n²)
= ((1 + mkλn) - 1) / n
= mkλ

L(g^λ mod n²) = L((1 + kn)^λ mod n²)
= L(1 + kλn mod n²)
= ((1 + kλn) - 1) / n
= kλ

最後に

L(c^λ mod n²) * L(g^λ mod n²)^-1 mod n
= mkλ * (kλ)^-1 mod n
= m

これで平文が復号できた.

検証コード

以上を踏まえて検証.
最後に加法準同型であることを確認している.

test_paillier

まとめ

(暗号化, 復号の部分はやっぱり先生の記事読むのが手っ取り早いんだよなぁ)

個人的にPaiilier暗号で好きなのは平文が1であっても暗号文が1にならない点.
plain RSAでは平文をe乗するので平文が1ならどうあがいても暗号文が1になってしまうが, Paiilerでは(1+kn)を平文乗するので平文が1でも暗号文が1になるとは限らない.

参考文献

公開鍵暗号 - Paillier暗号 - ₍₍ (ง ˘ω˘ )ว ⁾⁾ < 暗号楽しいです

• Public-Key Cryptosystems Based on Composite Degree Residuosity Classes https://link.springer.com/chapter/10.1007/3-540-48910-X_16

• カーマイケルのλ関数
  Carmichael function - Wikipedia