• ホーム
• 情報セキュリティ
• 暗号技術

補助メソッド

公開鍵暗号スキームで用いられる補助メソッド（鍵導出関数，メッセージエンコード関数）である．

KDF

鍵導出関数 (Key Derivation Function) KDF (x, l) は，入力バイト列 x から指定された長さ l (≧ 0) のバイト列を出力する関数である．この出力バイト列は，共通鍵暗号用の鍵として利用するためランダム性を考慮して生成される．KDF はマスク生成関数 (Mask Generation Function: MGF)とも呼ばれる． KDF は，ISO-18033-2 に規定されている．

• KDF1
  KDF1 はハッシュ関数 Hash を用いて次のように定義される．入力 (x, l) に対して

  Hash (x || I2OSP (0, 4)) || ・・・ || Hash (x || I2OSP (k-1, 4))

  の先頭 l バイトを出力する．ここで，k = ceil (l / Hash.OutputLen) である．I2OSP については，データ型の変換を参照．
• KDF2
  KDF2 はハッシュ関数 Hash を用いて次のように定義される．入力 (x, l) に対して

  Hash (x || I2OSP (1, 4)) || ・・・ || Hash (x || I2OSP (k, 4))

  の先頭 l バイトを出力する．ここで，k = ceil (l / Hash.OutputLen) である．
  KDF2 は，カウンタが 1 ～ k まで繰り返すことを除き，KDF1 と同じである．
• KDF3
  KDF3 はハッシュ関数 Hash とパラメータ pamt (≧ 4) を用いて次のように定義 される．入力 (x, l) に対して

  Hash (I2OSP (0, pamt) || x) || ・・・ || Hash (I2OSP (k-1, pamt) || x)

  の先頭 l バイトを出力する．ここで，k = ceil (l / Hash.OutputLen) である．
  推奨ハッシュ関数は，SHA-1 または RIPEMD-160 である．pamt に対する推奨値は 4 または使用するハッシュ関数のブロック長である(SHA-1 または RIPEMD-160 の場合 64)．
• KDF4
  KDF4 はハッシュ関数 Hash と擬似乱数生成関数 PRBG を用いて次のように定義される．ハッシュ関数の出力長と乱数種の長さは等しいとする．入力 (x, l) に対して

  PRBG (Hash(x), l)

  により l バイトを出力する． ここで， PRBG (s, l) は擬似乱数生成関数であり，乱数種 s から長さ l の乱数データを生成するものである．

メッセージ・エンコーディング

PKCS#1 Ver1.5

メッセージ M に対し，次のようにブロック EB をパディング文字列 PS を用いて構成する．

　EB = 00 || BT || PS || 00 || M

ここで，BT はブロックタイプで秘密鍵を用いた処理（署名）の場合 0x01，公開鍵を用いた処理（暗号化）の場合 0x02 の値を取る．

パディング文字列 PS は，k - 3 - |M| 個の文字（バイト）から構成される．ここで，k は鍵長である．パディング文字列 PS の値は，BT が 0x01 のとき FF，BT が 0x02 のとき 0 でない乱数バイトを設定する．この乱数バイトは各暗号化プロセスごとに異なった乱数を設定することが推奨されている．

メッセージ M の長さは，k - 11 より大きくてはならない．これは，少なくともパディング文字列 PS を 8 文字以上にするためで，セキュリティ上必要である．

ブロック EB の先頭の 0 を除いて次に現れる 0 までがパディング文字と判断でき，元のメッセージを取り出すことができる．

PKCS#1 Ver2.0

• EME-OAEP-Encode (M, P, emLen)
  暗号化する対象メッセージをエンコードする．

  Options:	Hash	ハッシュ関数（hLen ：ハッシュ関数の出力バイト長）
  	MGF	マスク生成関数
  Input:	M	メッセージ（emLen - 1 - 2hLen 以下）
  	P	エンコードパラメータ
  	emLen	エンコードメッセージの長さ（2hLen + 1 以上）
  Output:	EM	エンコードメッセージ

  1. |M| > emLen - 2hLen - 1 ならば，メッセージが長すぎるとして処理終了．
  2. emLen - |M| - 2hLen - 1 個の 0 からなるオクテット列 PS を生成する．PS の長さは 0 であり得る．
  3. pHash = Hash (P) を生成し，その長さを hLen とする．
  4. pHash，PS，メッセージ M，およびパディング文字を結合し，次のデータブロック DB を生成する．

     DB = pHash || PS || 01 || M

  5. 長さ hLen のランダムなオクテット列 seed を生成する．
  6. dbMask = MGF (seed, emLen - hLen)
  7. maskedDB = DB ^ dbMask　(^ は XOR)
  8. seedMask = MGF (maskedDB, hLen)
  9. maskedSeed = seed ^ seedMask
  10. EM = maskedSeed || maskedDB
  11. EM を出力する．
• EME-OAEP-Decode (EM, P)
  復号されたメッセージ（エンコードメッセージ）から，パディングを取り除いた元のメッセージを取り出す．
  1. |EM| < 2hLen + 1 ならば，デコードエラーとして処理終了．
  2. maskedSeed を EM の最初の hLen オクテットとする．また，maskedDB を残りの |EM| - hLen とする．
  3. seedMask = MGF (maskedDB, hLen)
  4. seed = maskedSeed ^ seedMask　(^ は XOR)
  5. dbMask = MGF (seed, |EM| - hLen)
  6. DB = maskedDB ^ dbMask
  7. pHash = Hash (P) を生成し，その長さを hLen とする．
  8. DB を pHash'，PS，メッセージ M に次の関係から分離する．

     DB = pHash' || PS || 01 || M

     PS と M を分離するための '01' がない場合は，デコードエラーとして処理終了．
  9. pHash' が pHash に等しくなければ，デコードエラーとして処理終了．
  10. M を出力する．
• MGF1 (Z, l)
  可変長の入力から指定された出力長のオクテット列を生成する．

  Options:	Hash	ハッシュ関数（hLen：ハッシュ関数の出力バイト長）
  Input:	Z	マスクを生成するための種
  	l	マスクの長さ（232 hLen 以下）
  Output:	mask	長さ l のマスクデータ

  1. l > 2³² hLen ならば，''mask too long''として処理終了．
  2. T を空のオクテット列とする．
  3. 0 から ceil (l / hLen) - 1 の counter に対し，次の処理を実行する．
     1. counter を長さ 4 のオクテット列 C に変換する．

        C = I2OSP (counter, 4)

     2. 種 Z と C のハッシュと T を結合する．

        T = T || Hash (Z || C)

  4. T の先頭の l オクテットをマスクとして出力する．

／