Cramer-Shoup暗号

Cramer-Shoup暗号（クレーマー シュープあんごう）とは暗号理論における暗号方式の一つ。テンプレート:仮リンクに対する安全性（IND-CCA2）がテンプレート:仮リンクで証明された初の効率的な公開鍵暗号である。

安全性はテンプレート:仮リンクの計算理論的な非展性（ただし証明はされていない）に基づいている。1998年にテンプレート:仮リンクとテンプレート:仮リンクによって提案されたもので、ElGamal暗号の拡張になっている。ElGamal暗号は頑強性を持たないが、Cramer-Shoup暗号は別の要素を加えることでより強力な攻撃者に対しても頑強性を達成している。この頑強性は万能一方向ハッシュ関数の利用とElGamal暗号にはない計算の追加によって得られており、その結果、暗号文の長さはElGamal暗号の2倍になる。

CramerとShoupによって示された安全性の正確な定義は、適応的選択暗号文攻撃に対する識別不可能性 (IND-CCA2) である。これは公開鍵暗号の安全性としては現時点で最も強力な定義である。この定義においては、攻撃者は「復号オラクル」を利用できるが、これは問い合わされたいかなる暗号文でもその暗号方式の秘密鍵を用いて復号できる神託機械である。「適応的」とは、攻撃者が攻撃対象とする暗号文を知る前にも後にも復号オラクルを利用可能である、ということを意味する。ただし攻撃対象である暗号文をそのまま復号オラクルに問い合わせることは禁止されている。 これより弱い安全性の定義として、適応的でない選択暗号文攻撃 に対する識別不可能性(IND-CCA1)があるが、こちらの場合は攻撃対象となる暗号文を知る前に限り復号オラクルを利用できる。

こうした攻撃者に対しては、普及している多くの暗号方式が安全でないのは有名な話だったが、暗号方式の設計者は、そのような攻撃は非現実的であり理論的興味に過ぎないと長年考えていた。 ところがこの風潮は1990年代後半より変わり始めた。理由としては、特にテンプレート:仮リンクがRSA暗号の一種を用いたSSLサーバに対する実用的な適応的選択暗号文攻撃を提出したことなどが大きい^[1]。

Cramer-Shoup暗号が初のIND-CCA2安全な暗号というわけではない。NaorとYung、RackoffとSimon、DolevとDworkとNaorが、IND-CPA安全な暗号をIND-CCA1安全やIND-CCA2安全な暗号に変換する方法を提案している。これらの方法は標準的な仮定のもとで（ランダムオラクル無しに）安全である。しかし複雑なゼロ知識証明のテクニックを用いており、計算コストと暗号文の長さの面で効率が悪い。他のアプローチとしては、テンプレート:仮リンクとテンプレート:仮リンクらによるOAEPや藤崎-岡本変換が知られている。これらはランダムオラクルという数学的抽象観念を用いて効率の良い構成を達成しているが、不幸なことに、実装するにはランダムオラクルを何らかの現実的な関数（暗号学的ハッシュ関数）で置き換えなければならない。そうした実装例に対して、実用的な攻撃方法が提出された訳ではないが、研究が進むにつれ、この種のアプローチでは安全性を証明することが困難であることが判ってきている^[2][3][4]。

鍵生成、暗号化、復号について説明する。

• 位数${\displaystyle q}$の巡回群${\displaystyle G}$の記述と、その生成元${\displaystyle g_1,g_2}$を生成する。
• 5つのランダムな値 ${\displaystyle (x_1,x_2,y_1,y_2,z)}$を${\displaystyle \{0,\dots ,q-1\}}$からランダムに選ぶ。
• 以下を計算する。
  • ${\displaystyle c=g_1^{x_1}{g}_2^{x_2}}$
  • ${\displaystyle d=g_1^{y_1}{g}_2^{y_2}}$
  • ${\displaystyle h=g_1^z}$
• 公開鍵は${\displaystyle (c,d,h)}$と${\displaystyle G,q,g_1,g_2}$の記述である。秘密鍵は${\displaystyle (x_1,x_2,y_1,y_2,z)}$である。

平文${\displaystyle m}$を公開鍵${\displaystyle (G,q,g_1,g_2,c,d,h)}$で暗号化する。

• ${\displaystyle m}$を${\displaystyle G}$の要素に変換する。
• ${\displaystyle k}$を${\displaystyle \{0,\dots ,q-1\}}$からランダムに選び、以下を計算する。
  • ${\displaystyle u_1=g_1^k}$
  • ${\displaystyle u_2=g_2^k}$
  • ${\displaystyle e=h^{k}m}$
  • ${\displaystyle \alpha =H(u_1,u_2,e)}$, ただし、H()は衝突耐性を持つハッシュ関数である。
  • ${\displaystyle v=c^k{d}^{k\alpha }}$
• 暗号文は${\displaystyle (u_1,u_2,e,v)}$である。

暗号文${\displaystyle (u_1,u_2,e,v)}$を秘密鍵${\displaystyle (x_1,x_2,y_1,y_2,z)}$で復号する。

• まず${\displaystyle \alpha =H(u_1,u_2,e)}$を計算し、${\displaystyle u_1^{x_1}{u}_2^{x_2}(u_1^{y_1}{u}_2^{y_2}{)}^{\alpha }=v}$が成立するかを確かめる。もしこのテストが失敗した場合、復号を止め拒否する。
• テストが成功した場合、${\displaystyle m=e/(u_1^z)}$を計算し、${\displaystyle m}$を出力する。

${\displaystyle u_1^z=g_1^{kz}=h^k}$と${\displaystyle m=e/h^k}$より、正しい暗号文であれば、正しく復号される。

もし、取りうる平文空間が${\displaystyle G}$の位数よりも大きい場合には、ハイブリッド暗号を利用することができる。メッセージを短く分割してそれぞれを暗号化する、という単純な方法では、安全性が保てないことに注意。

テンプレート:Reflist

• en:Ronald Cramer and en:Victor Shoup. "A practical public key cryptosystem provably secure against adaptive chosen ciphertext attack."テンプレート:リンク切れ in proceedings of Crypto 1998, LNCS 1462, p.13ff (ps,pdf)
• Emacs LispとJavaでの簡単な実装例
• 1998年のCramer-Shoup暗号出版のWired Newsでのニュース（2000年8月15日時点のアーカイブ）とen:Bruce SchneierのCrypto-Gram（2003年7月16日時点のアーカイブ）
• Ronald Cramer and Victor Shoup: "Universal hash proofs and a paradigm for chosen ciphertext secure public key encryption." in proceedings of Eurocrypt 2002, LNCS 2332, pp.45--64. Full Version (pdf)

• ElGamal暗号
• 公開鍵暗号
• 暗号理論

テンプレート:Cryptography navbox