補助メソッド
公開鍵暗号スキームで用いられる補助メソッド(鍵導出関数,メッセージエンコード関数)である.
KDF
鍵導出関数 (Key Derivation Function) $\mathrm{KDF} (x, l)$ は,入力バイト列 $x$ から指定された長さ $l\ (\ge 0)$ のバイト列を出力する関数である.この出力バイト列は,共通鍵暗号用の鍵として利用するためランダム性を考慮して生成される.KDF はマスク生成関数 (Mask Generation Function: MGF)とも呼ばれる.KDF は,ISO-18033-2 に規定されている.
- KDF1
KDF1 はハッシュ関数 $\mathrm{Hash}$ を用いて次のように定義される.入力 $(x, l)$ に対して$\mathrm{Hash} (x\ ||\ \mathrm{I2OSP} (0, 4))\ || \cdots ||\ \mathrm{Hash} (x\ ||\ \mathrm{I2OSP} (k-1, 4))$
の先頭 $l$ バイトを出力する.ここで,$k = \lceil l/Hash.OutputLen \rceil$ である.I2OSP については,データ型の変換を参照. - KDF2
KDF2 はハッシュ関数 $\mathrm{Hash}$ を用いて次のように定義される.入力 $(x, l)$ に対して$\mathrm{Hash} (x\ ||\ \mathrm{I2OSP} (1, 4))\ || \cdots ||\ \mathrm{Hash} (x\ ||\ \mathrm{I2OSP} (k, 4))$
の先頭 $l$ バイトを出力する.ここで,$k = \lceil l/Hash.OutputLen \rceil$ である.
KDF2 は,カウンタが $1 \sim k$ まで繰り返すことを除き,KDF1 と同じである. - KDF3
KDF3 はハッシュ関数 $\mathrm{Hash}$ とパラメータ $pamt\ (\ge 4)$ を用いて次のように定義 される.入力 $(x, l)$ に対して$\mathrm{Hash} (\mathrm{I2OSP} (0, pamt)\ ||\ x\ || \cdots ||\ \mathrm{Hash} (\mathrm{I2OSP} (k-1, pamt)\ ||\ x)$
の先頭 $l$ バイトを出力する.ここで,$k = \lceil l/Hash.OutputLen \rceil$ である.
推奨ハッシュ関数は,SHA-1 または RIPEMD-160 である.$pamt$ に対する推奨値は 4 または使用するハッシュ関数のブロック長である(SHA-1 または RIPEMD-160 の場合 64). - KDF4
KDF4 はハッシュ関数 $\mathrm{Hash}$ と擬似乱数生成関数 $\mathrm{PRBG}$ を用いて次のように定義される.ハッシュ関数の出力長と乱数種の長さは等しいとする.入力 $(x, l)$ に対して$\mathrm{PRBG} (\mathrm{Hash} (x), l)$
により $l$ バイトを出力する. ここで, $\mathrm{PRBG} (s, l)$ は擬似乱数生成関数であり,乱数種 $s$ から長さ $l$ の乱数データを生成するものである.
メッセージ・エンコーディング
PKCS#1 Ver1.5
メッセージ $M$ に対し,次のようにブロック $EB$ をパディング文字列 $PS$ を用いて構成する.
$EB = 00\ ||\ \mathrm{BT}\ ||\ PS\ ||\ 00\ ||\ M$
ここで,$\mathrm{BT}$ はブロックタイプで秘密鍵を用いた処理(署名)の場合 0x01,公開鍵を用いた処理(暗号化)の場合 0x02 の値を取る.
パディング文字列 $PS$ は,$k - 3 - |M|$ 個の文字(バイト)から構成される.ここで,$k$ は鍵長である.パディング文字列 $PS$ の値は,$\mathrm{BT}$ が 0x01 のとき FF,$\mathrm{BT}$ が 0x02 のとき 0 でない乱数バイトを設定する.この乱数バイトは各暗号化プロセスごとに異なった乱数を設定することが推奨されている.
メッセージ $M$ の長さは,$k - 11$ より大きくてはならない.これは,少なくともパディング文字列 $PS$ を $8$ 文字以上にするためで,セキュリティ上必要である.
ブロック $EB$ の先頭の 0 を除いて次に現れる 0 までがパディング文字と判断でき,元のメッセージを取り出すことができる.
PKCS#1 Ver2.0
- EME-OAEP-Encode $(M, P, emLen)$
暗号化する対象メッセージをエンコードする.Options: $\mathrm{Hash}$ ハッシュ関数($hLen$ :ハッシュ関数の出力バイト長) $\mathrm{MGF}$ マスク生成関数 Input: $M$ メッセージ($emLen - 1 - 2 hLen$ 以下) $P$ エンコードパラメータ $emLen$ エンコードメッセージの長さ($2 hLen + 1$ 以上) Output: $EM$ エンコードメッセージ - $|M| \gt emLen - 2 hLen - 1$ ならば,メッセージが長すぎるとして処理終了.
- $emLen - |M| - 2 hLen - 1$ 個の $0$ からなるオクテット列 $PS$ を生成する.$PS$ の長さは $0$ であり得る.
- $pHash = \mathrm{Hash} (P)$ を生成し,その長さを $hLen$ とする.
- $pHash$,$PS$,メッセージ $M$,およびパディング文字を結合し,次のデータブロック $DB$ を生成する.
$DB = pHash\ ||\ PS\ ||\ 01\ ||\ M$
- 長さ $hLen$ のランダムなオクテット列 $seed$ を生成する.
- $dbMask = \mathrm{MGF} (seed, emLen - hLen)$
- $maskedDB = DB \oplus dbMask$
- $seedMask = \mathrm{MGF} (maskedDB, hLen)$
- $maskedSeed = seed \oplus seedMask$
- $EM = maskedSeed\ ||\ maskedDB$
- $EM$ を出力する.
- EME-OAEP-Decode $(EM, P)$
復号されたメッセージ(エンコードメッセージ)から,パディングを取り除いた元のメッセージを取り出す.- $|EM| \lt 2 hLen + 1$ ならば,デコードエラーとして処理終了.
- $maskedSeed$ を $EM$ の最初の $hLen$ オクテットとする.また,$maskedDB$ を残りの $|EM| - hLen$ とする.
- $seedMask = \mathrm{MGF} (maskedDB, hLen)$
- $seed = maskedSeed \oplus seedMask$
- $dbMask = \mathrm{MGF} (seed, |EM| - hLen)$
- $DB = maskedDB \oplus dbMask$
- $pHash = \mathrm{Hash} (P)$ を生成し,その長さを $hLen$ とする.
- $DB$ を $pHash'$,$PS$,メッセージ $M$ に次の関係から分離する.
$DB = pHash'\ ||\ PS\ ||\ 01\ ||\ M$
$PS$ と $M$ を分離するための '01' がない場合は,デコードエラーとして処理終了. - $pHash'$ が $pHash$ に等しくなければ,デコードエラーとして処理終了.
- $M$ を出力する.
- MGF1 $(Z, l)$
可変長の入力から指定された出力長のオクテット列を生成する.Options: $\mathrm{Hash}$ ハッシュ関数($hLen$:ハッシュ関数の出力バイト長) Input: $Z$ マスクを生成するための種 $l$ マスクの長さ($2^{32}\ hLen$ 以下) Output: $mask$ 長さ $l$ のマスクデータ - $l \gt 2^{32}\ hLen$ ならば,"mask too long" として処理終了.
- $T$ を空のオクテット列とする.
- $0$ から $\lceil l/hLen \rceil - 1$ の $counter$ に対し,次の処理を実行する.
- $counter$ を長さ 4 のオクテット列 $C$ に変換する.
$C = \mathrm{I2OSP} (counter, 4)$
- 種 $Z$ と $C$ のハッシュと $T$ を結合する.
$T = T\ ||\ \mathrm{Hash} (Z\ ||\ C)$
- $counter$ を長さ 4 のオクテット列 $C$ に変換する.
- $T$ の先頭の $l$ オクテットをマスクとして出力する.
/