• ホーム
• 情報セキュリティ
• 暗号技術

パスワード暗号

共通鍵暗号によりメッセージを暗号化する際に，共通鍵を与える代わりにパスワードを与え，パスワードから鍵を生成しメッセージを暗号化する方式である（PKCS#5）．

パスワード暗号方式では，暗号化や復号時に暗号鍵を準備する必要がなく任意のパスワードを暗号鍵の代わりに利用することができる．

鍵導出関数

鍵導出関数 (Key Derivation Function: KDF)は，与えられたパスワードから共通鍵暗号用の鍵を生成する関数である． 同一パスワードから異なる鍵が生成できるようにソールト $S$（任意長オクテット）と繰り返し数 $c$（整数）の2つのパラメータを用いる．

代表的な鍵導出関数を示す．

• PBKDF1
  オプション：
  

  $H$

  ：

  ハッシュ関数

  入力：
  

  $P$	：	パスワード (オクテット列)
  $S$	：	ソールト (8Bオクテット列)
  $c$	：	繰り返し数 (整数)
  $dkLen$	：	生成鍵長(オクテット)

  出力：
  

  $DK$

  ：

  鍵 ($dkLen$ 長のオクテット列)

  処理内容：
  

  パスワード $P$ とソールト $S$ の結合データに対し，$c$ 回ハッシュ関数 $H$ を適用し，その結果の最初の $dkLen$ オクテットを鍵 $DK$ とする．

  • $T_1 = H(P\ ||\ S)$
  • $T_2 = H(T_1)$
  • ・・・
  • $T_c = H(T_{c-1})$
  • $DK = T_c <0 \ldots dkLen- 1>$
• PBKDF2
  オプション：
  

  $PRF$

  ：

  擬似乱数生成関数 (出力データ長: $hLen$)

  入力：
  

  $P$	：	パスワード (オクテット列)
  $S$	：	ソールト (8Bオクテット列)
  $c$	：	繰り返し数 (整数)
  $dkLen$	：	生成鍵長(オクテット)

  出力：
  

  $DK$

  ：

  鍵 ($dkLen$ 長のオクテット列)

  処理内容：
  

  パスワード $P$ とソールト $S$ の結合データに対し，以下の手順により $dkLen$ オクテットの鍵 $DK$ を生成する．

  1. 以下の $l$ と $r$ を計算する．

     $l = \lceil(dkLen / hLen)\rceil$

     $r = dkLen - (l - 1) \times hLen$

  2. 以下の式により，$l$ 個のブロックを計算する．
     • $T_1 = F(P, S, c, 1)$
     • $T_2 = F(P, S, c, 2)$
     • ・・・
     • $T_l = F(P, S, c, l)$
     ここで，$F$ は，次式で表される関数である．

     $F(P, S, c, i) = U_1 \oplus U_2 \oplus \cdots \oplus U_c$
     $U_1 = PRF(P, S\ ||\ INT(i))$
     $U_2 = PRF(P, U_1)$
     　 ・・・
     $U_c = PRF(P, U_{c-1})$

     $INT(i)$ は，整数 $i$ を4バイト(MSBが先頭バイト)で表したものである．
     擬似乱数生成関数 $PRF(key, data)$ には，HMAC-SHA1 などが利用できる．
  3. $l$ 個のブロックを結合し，最初の $dkLen$ オクテットを鍵 $DK$ とする．

     $DK = T_1\ ||\ T_2\ ||\ \cdots\ ||\ T_l <0 \ldots r- 1>$

暗号化

• PBES1
  PBES1は，PBKDF1関数とブロック暗号の DES または RC2 のCBCモードを組合せたパスワード暗号方式である．PBES1は，PKCS #5 v1.5のパスワード暗号化方式と互換である．
  PBES1は，鍵長が56または64ビットのブロック暗号を前提としているため，アプリケーションの互換のために使用する場合にのみ推奨される．
  
  パスワード $P$ を用いてメッセージ $M$ の暗号文 $C$ を生成する手順は以下のようになる．
  1. 8オクテットのソールト $S$ と繰返し数 $c$ を選択する．
  2. PBKDF1鍵導出関数を適用し，16オクテットの鍵 $DK$ を生成する．

     $DK = PBKDF1(P, S, c, 16)$

  3. 鍵 $DK$ を8バイトごとに分割し，共通鍵 $K$ と初期ベクトル $IV$ とする．

     $K = DK <0 ... 7>$

     $IV = DK <8 ... 15>$

  4. メッセージ $M$ とパディング $PS$ を結合し，暗号化対象メッセージ $EM$ を求める ($EM$ のオクテット長は8の倍数)．

     $EM = M\ ||\ PS$

     ここで，パディング $PS$ は以下の関係より求められ，$8 - (||M|| \bmod 8)$ オクテッ トからなる．

     $PS = 01 \qquad if\ |M| \bmod 8 = 7$

     $PS = 02 02 \quad if\ |M| \bmod 8 = 6$

     ・・・

     $PS = 08 08 08 08 08 08 08 08 \quad if\ |M| \bmod 8 = 0$

     $EM$ の最終オクテットを見ることにより，パディング文字数が判断でき，元のメッセージ $M$ を取り出すことができる．
  5. $EM$ を共通鍵暗号(DES または RC2)の CBCモードにより鍵 $K$ と初期ベクトル $IV$ により暗号化する．
  6. 暗号文 $C$ を出力する．
• PBES2
  PBES2は，鍵導出関数(PKCS #5 v2.0では，PBKDF2)とブロック暗号を組合せたパスワード暗号方式である． 新規のアプリケーションには PBES2 が推奨される．
  
  パスワード $P$ を用いてメッセージ $M$ の暗号文Cを生成する手順は以下のようになる． 鍵導出関数 $KDF$ およびブロック暗号方式はあらかじめ選択する．
  1. ソールト $S$ と繰返し数 $c$ を選択する．
  2. 利用する暗号化方式に対応した鍵長 $dkLen$ を選択する．
  3. パスワード $P$，ソールト $S$，繰返し回数 $c$ を鍵導出関数 $KDF$ に適用し，$dkLen$ オクテットの導出鍵 $DK$ を求める．

     $DK = KDF(P, S, c, dkLen)$

  4. メッセージ $M$ を選択した暗号化方式により導出鍵 $DK$ を用いて暗号化し暗号文 $C$ を求める．この過程には，初期ベクトルやパディングのようなパラメータを選択する処理が含まれる．
  5. 暗号文 $C$ を出力する．

／