みなさんこんにちは。
ブロックチェーンにはデジタル署名の技術が欠かせません。が、ブロックチェーンによく使われるECDSAをいきなり説明するには難しいので、順を追って、簡単(?)なRSA署名から紹介していきたいと思います。
準備
RSA署名の流れを説明する前に、前提となるものを説明します。素因数分解や、互いに素など、義務教育の範囲のものはスキップします。
合同式
\(a \equiv b \bmod m\)とすると、「\(a\)を\(m\)で割った余りと\(b\)を\(m\)で割った余りは同じ」という意味になります。
RSA署名の流れ
鍵生成
- 任意の\(k\)を入力して、\(k\)ビットの素数\(p,q\)をランダムに生成します。
- \(N=pq\)を求めておきます。
- \((p-1)(q-1)\)との最大公約数が1となるような\(e\)をランダムに選びます。
- \(ed \equiv 1 \bmod (p-1)(q-1) \)をみたす\(d(>0)\)を求めます。
この流れにより、公開鍵\(pk=(N,e)\)、秘密鍵\(sk=d\)が決められます。
署名
署名したいメッセージ\(m\)があるとします。
秘密鍵\(sk=d\)を使い、\(\sigma = m^d \bmod N \)を計算します。これが署名となります。
検証
公開鍵\(pk=(N,e)\)を使い、\(m \equiv \sigma^e \bmod N\)が成り立つかを検証します。
数式に関しては、ふんわりとした理解で大丈夫だと思います。
安全性
素因数分解問題
コンピュータで巨大な合成数の素因数分解を、多項式時間で解く問題を素因数分解問題といいます。
※合成数…二つ以上の素数の積でできる数
この素因数分解問題を解くアルゴリズムはまだ見つかっていません。
しかし、「存在しない」と証明されているわけでもありません。なので、これは「仮定」の状態です。
RSA問題
次に、「\((N,e)\)から、\(d,p,q\)を求める」という問題を「RSA問題」とします。
このRSA問題も、解法が未だに見つかっていないため、RSA問題を解くのが困難だという「RSA仮定」があります。
素因数分解問題困難仮定を使うと、\(N\)を素因数分解して\(p,q\)を求め、\((p-q)(q-i)\)を求め、\(e\)から\(d\)を求める、ということが難しいといえます。
なのでこのRSA仮定は、素因数分解問題困難仮定よりも「強い」仮定となります。
言い換えれば、素因数分解問題の解法が見つかると、RSA問題の解法がみつかる、ということになります。
「巨大な合成数の素因数分解を、多項式時間で解くアルゴリズムは存在しない」という仮定のもとでやっと、RSA署名は安全だ、という根拠の一つができるということになります(後述するように、実際はそれ以外の理由で安全ではありません)。
ちなみに、量子コンピュータは素因数分解を多項式時間で解けることも知られています。そのため、量子コンピュータが実用化されると、RSA署名は偽造されうるようになります。
積攻撃
\(m_1,m_2\)があるとします。それぞれの署名データは
\(Sig(m_1)=\sigma_1 = m_1^d \bmod N\) \(Sig(m_2)=\sigma_2 = m_2^d \bmod N\) となります。これらの署名データが盗聴されたとしましょう。本来は署名は盗聴されても問題が発生するべきではないですが、RSA署名では問題が発生します。
\(Sig(m_1)Sig(m_2)\)を計算すると、 \(Sig(m_1)Sig(m_2)=\sigma_1 \sigma_2 = (m_1 m_2)^d = Sig(m_1 m_2) \bmod N\)となり、\(d\)を知らなくても、\(m_1 m_2\)の署名を作り出すことができてしまうのです。
この性質を乗法準同型性といいます。
ちなみに、\(Sig(m_1)+Sig(m_2)=Sig(m_1 + m_2)\)の場合は加法準同型性といいます。
素RSA署名
RSA署名は、RSA暗号と同様、ナイーブに実装すると脆弱なものになります。ナイーブな実装は素RSAとも呼ばれます。
そのため、パディングと呼ばれる処理などが必要です。
おわりに
このように、暗号や電子署名は、素因数分解のように、一方向の計算はすぐできるが逆はすぐにできないという性質を使っています。
次回はRSA署名より難しいDSAをご紹介し、その次にブロックチェーンでよく使われるECDSAをご紹介します。