ElGamal暗号

ElGamal暗号（エルガマルあんごう、ElGamal encryption）とは、位数が大きな群の離散対数問題が困難であることを安全性の根拠とした公開鍵暗号の一つである。1984年Taher Elgamalが発表した。

Diffie-Hellman鍵共有方式で共有した乱数を使ってワンタイムパッド (OTP) を行うと暗号通信ができる。ElGamal暗号は、これを利用してDiffie-Hellman鍵共有方式を暗号方式として利用できるように変形したものである。

ElGamal暗号は暗号 (cipher) であるが、これとは別にデジタル署名 (digital signature) に応用することができるElGamal署名も発表されている。

用語については、暗号の用語、暗号理論の用語を参照。

${\displaystyle k}$ をセキュリティ・パラメータとする。

• 巡回群Gで、位数qが素数であり、かつ ${\displaystyle q}$ のビット数が ${\displaystyle k}$ であるものを選ぶ。
• Gの生成元 ${\displaystyle g}$ を選ぶ。
• xを${\displaystyle \{0,...,q-1\}}$からランダムに選ぶ。
• ${\displaystyle h=g^x}$とする。
• ${\displaystyle (G,q,g,h)}$を公開鍵とし、xを秘密鍵とする。

平文空間はGであり、暗号文空間はG²である。

• Gの元mを平文として受け取る。
• rを${\displaystyle \{0,...,q-1\}}$からランダムに選ぶ。
• ${\displaystyle c_1=g^r}$, ${\displaystyle c_2=m\cdot h^r}$を計算する。
• ${\displaystyle (c_1,c_2)}$を暗号文とする。

受け取った暗号文を${\displaystyle (c_1,c_2)\in G\times G}$とする。

• ${\displaystyle m=c_2\cdot ({c_1}^x{)}^{-1}}$とする。

実際、もし${\displaystyle (c_1,c_2)}$が正しい方法で生成された暗号文であれば、${\displaystyle m^{\prime }=c_2\cdot ({c_1}^x{)}^{-1}=m\cdot (g^x{)}^r\cdot ((g^r{)}^x{)}^{-1}=m}$を満たす。

上で"離散対数問題が困難であることを基にした"と書いたがこれは正確な表現では無い。 実際には、DLP仮定ではなく、Computational Diffie-Hellman仮定（CDH仮定）およびDecisional Diffie-Hellman仮定（DDH仮定）を基にしている。 ElGamal暗号が選択平文攻撃に対して完全解読できないということ（OW-CPAであるということ）と、CDH仮定とが同値である。 また、ElGamal暗号が選択平文攻撃のもとIndistinguishabillityをもつということ（IND-CPAであるということ）と、DDH仮定とが同値である。

ElGamal暗号は、選択暗号文攻撃に対しては安全ではない。平文${\displaystyle m}$に対応する${\displaystyle (c_1,c_2)}$から、${\displaystyle 2m}$に対応する暗号文${\displaystyle (c_1,2c_2)}$を作成することができるからである。

pを素数とするとき、G = ${\displaystyle {\mathbb{Z}}_p^{*}}$としてはいけない。このような群上ではDDH仮定が破れる。 この問題を回避しつつ巡回群Gをとる主な方法は二つある。

• 巡回群Gを${\displaystyle {\mathbb{Z}}_p^{*}}$の部分群とする。
• 巡回群Gを楕円曲線上で定義する（楕円曲線暗号）。

ここでは上の方法を説明する。

• 小さな自然数kと大きな素数qに対して、素数pをp = kq+1となるように取る。
  • まず素数qを選んでから、p = kq + 1が素数かどうかを調べればよい。
• ${\displaystyle g\in {\mathbb{Z}}_p^{*}}$を、gの位数がqとなるようにランダムに選ぶ。
• ${\displaystyle G=<g>}$は${\displaystyle {\mathbb{Z}}_p^{*}}$の部分群となっている。

尚、k=2に対してp = 2q + 1が成り立つ素数の組(p,q)が無限に存在するかどうかは未解決問題である（ソフィー・ジェルマン問題、素数#未解決問題）。

• A Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms; Taher Elgamal; IEEE Transactions on Information Theory, v. IT-31, n. 4, 1985, pp. 469–472 or CRYPTO 84, pp. 10–18, Springer-Verlag.

• 暗号
• 暗号理論
• ElGamal署名
• 離散対数

テンプレート:Cryptography navbox