擦り合わせと選別
 |
チャフィング・アンド・ウィノウイング(籾殻選別と選別)は、安全でないチャネルを介してデータを送信する際に、暗号化を使用せずに機密性を確保する暗号技術です。この名称は農業に由来しています。穀物を収穫・脱穀した後、食べられない繊維質の籾殻が混ざったままになります。籾殻と穀物は選別によって分離され、籾殻は廃棄されます。この暗号技術はロン・リベスト氏によって考案され、1998年3月18日のオンライン記事で発表されました。[ 1 ]この暗号技術は従来の暗号化とステガノグラフィーの両方に類似点がありますが、どちらのカテゴリにも分類することはできません。
この技術により、送信者はメッセージを暗号化した責任を否定することができます。チャフィングとウィノウイングを使用する場合、送信者はメッセージを暗号化せずに平文で送信します。送信者と受信者は秘密鍵を共有しますが、それは認証にのみ使用されます。しかし、第三者は特別に細工したメッセージを同じチャネルから同時に送信することで、通信を秘密にすることができます。
仕組み
| 安全なチャネル | 安全でないチャネル | |||||||||||||||||||||||||||||||||||||||||||||
| アリス | → | チャールズ | → | ボブ | ||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 4つのパケットを構築し、各パケットにはメッセージの1ビットと有効なMACアドレスが含まれる。 |
| 反転ビットと無効な MAC を持つ 4 つのチャフ パケットを追加します(斜体で表示) |
| 無効なMACアドレスを持つパケットを破棄してメッセージを回復する(選別) | ||||||||||||||||||||||||||||||||||||||||||
この例では、アリスはボブに「1001」というメッセージを送信したいと考えています。説明を簡潔にするために、偶数MACアドレスはすべて有効で、奇数MACアドレスは無効であると仮定します。 | ||||||||||||||||||||||||||||||||||||||||||||||
送信者 (アリス) は受信者 (ボブ)にメッセージを送信します。最も単純な設定では、アリスはメッセージ内のシンボルを列挙し、それぞれを別のパケットで送信します。シンボルが自然言語テキストなどのように十分に複雑な場合、攻撃者は本物のシンボルと下手に偽造されたチャフ シンボルを区別できる可能性があり、非常にリアルな偽物を生成する必要があるというステガノグラフィーと同様の問題が生じます。これを回避するには、シンボルを 0/1 の単一のビットに削減し、リアルな偽物を単純に 50:50 でランダムに生成すればよく、本物のシンボルと区別がつきません。一般に、この方法では各シンボルが順番に到着し、受信者によって認証される必要があります。パケットの順序が変更される可能性のあるネットワーク上で実装される場合、送信者はパケット内のシンボルのシリアル番号、シンボル自体 (どちらも暗号化されていない)、およびメッセージ認証コード(MAC) を配置します。多くの MAC は、アリスがボブと共有する秘密キーを使用しますが、受信者がパケットを認証する方法があれば十分です。
リベストは、チャフィング・アンド・ウィノウイングの興味深い特性として、第三者(ISPなど)が送信者/受信者の許可や調整を必要とせずに、都合よく通信にこの情報を追加できることを指摘しています。アリスのパケットをボブに送信する第三者(チャールズ)は、対応するシリアル番号、任意のシンボル、そしてMACの代わりに乱数を含む偽のパケット(「チャフ」と呼ばれる)をパケットに挿入します。チャールズはこれを行うために鍵を知る必要はありません(実際のMACは十分に大きいため、例とは異なり、有効なMACが偶然に生成される可能性は極めて低いです)。ボブはMACを使って本物のメッセージを見つけ、「チャフ」メッセージを破棄します。このプロセスは「ウィノウイング」と呼ばれます。
アリスとチャールズの間にいる盗聴者は、アリスのメッセージを簡単に読むことができます。しかし、チャールズとボブの間にいる盗聴者は、どのパケットが偽物でどれが本物かを見分ける必要があります(つまり、「選別」、つまり「小麦と籾殻を分ける」)。使用されているMACアドレスが安全で、チャールズがパケットの真正性に関する情報(例えばタイミング情報など)を漏らさない場合、これは不可能です。
この例に、アリスになりすまして偽のメッセージを送信しようとする第四の人物(ダース)が加わった場合、アリスは秘密鍵を開示する必要があります。ダースがアリスに認証鍵(この鍵を知っていればアリスからのメッセージを偽造できる)を開示させることができないのであれば、アリスのメッセージは機密のままです。一方、チャールズは開示可能な秘密鍵すら持っていないため、ダースにとっては全く標的になりません。
バリエーション
上述のチャフィングとウィノウイングの手法の単純な変種では、元のメッセージの1ビットあたりに多くのオーバーヘッドが発生します。送信効率を高めるために、アリスはメッセージを全か無かの変換で処理し、より大きなチャンクに分けて送信することができます。チャフパケットはそれに応じて変更する必要があります。元のメッセージはすべてのチャンクを知ることによってのみ再構成できるため、チャールズは正しいパケットの組み合わせを見つけることが計算的に不可能になるだけのチャフパケットを送信すれば済みます。
チャフィングとウィノウイングは、インターネットなどのパケット交換ネットワーク環境で特に有効です。これらの環境では、各メッセージ(ペイロードは通常小さい)が個別のネットワークパケットで送信されます。この技術の別のバリエーションでは、チャールズは複数の送信者からのパケットを慎重にインターリーブします。これにより、チャールズが偽のパケットを生成して通信に挿入する必要がなくなります。ただし、アリスのメッセージのテキストは、チャールズを介して同時に通信している他の通信相手から十分に保護することはできません。このバリエーションは、情報漏洩やトラフィック分析の防止にも役立ちます。
法執行への影響
ロン・リベストは、暗号化に関する法律(輸出規制を含む)は、暗号化を全く使用していないため、チャフィングとウィンノウイングには適用されないと主張している。 [ 1 ]
認証する力は多くの場合、制御する力であり、すべての認証権限を政府に委ねることは全く理不尽である。
— ロナルド・L・リベスト、1998年[ 1 ]
論文の著者は、法執行のためにすべての人の認証鍵を政府に渡すことのセキュリティ上のリスクは非常に高いと提言している。なぜなら、鍵を所持すれば、誰かが航空会社の管制官など、別の組織になりすまして通信できるようになるからだ。さらに、ロン・リベストは、不正な法執行官が通信に偽装工作を仕込むことで、無実の当事者を陥れる可能性を懸念し、偽装工作や選別工作を規制する法律の制定は非常に困難だと結論付けている。[ 1 ]
トリビア
「選別」という用語を提唱したのはロナルド・リベストの父親です。1998年にリベストの論文が発表される前に、他の人々が1965年に出版された レックス・スタウトの小説『ドアベルが鳴った』を彼に紹介しました。この小説には同じ概念が描かれており、論文の参考文献に含まれていました。[ 1 ]
参照
参考文献
