ランダム値の選択方法と安全性
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/08/03 03:47 UTC 版)
「Digital Signature Algorithm」の記事における「ランダム値の選択方法と安全性」の解説
DSAにとって、署名の際のランダム値 k のエントロピー、機密性、唯一性は決定的に重要である。これら3つのうちの1つが破られることは、攻撃者に対して秘密鍵そのものが明かされることと等しい。k として同じ値を二度用いること(k を秘密にしていたとしても)、予測可能な値を用いること、複数の署名に対するそれぞれの k が数ビットであっても漏洩することは、DSAを破るには十分である。 2010年12月、fail0verflow と名乗るグループが、ソニーがPlayStation 3のソフトウェア署名に用いていた楕円曲線DSAの秘密鍵の回復に成功したと発表した。これは、ソニーが署名ごとに新しいランダムな k を用いていなかったためである。 この問題は、RFC 6979にあるように、秘密鍵とメッセージハッシュから決定論的に k を導くことで回避できる。これにより、k がそれぞれの H(m) に対して異なることと、秘密鍵 x を知らない攻撃者にとって予測不能であることが保証される。
※この「ランダム値の選択方法と安全性」の解説は、「Digital Signature Algorithm」の解説の一部です。
「ランダム値の選択方法と安全性」を含む「Digital Signature Algorithm」の記事については、「Digital Signature Algorithm」の概要を参照ください。
- ランダム値の選択方法と安全性のページへのリンク