ドメイン分離
暗号学において、ドメイン分離とは、1つの基礎テンプレートのみを使用して複数の異なる機能を効率的に実装するために使用される構造です。[ 1 ]ドメイン分離は、機能のドメインを分割して、同じ機能の異なるアプリケーションに別々のサブドメインを割り当てることと定義できます。 [ 2 ]
例えば、暗号プロトコルは一般的にランダムオラクル(RO、入力値によって完全に決定されるが、それ以外はランダムな値を返す関数)に依存しています。これらのプロトコルのセキュリティ証明は、ランダムオラクルがプロトコルに固有であるという仮定に基づいています。つまり、2つのプロトコルが同じROを共有する場合、証明の仮定はもはや満たされません。ROが必要になるたびに新しい暗号プリミティブをゼロから作成することは現実的ではないため、ベースオラクルROの入力に固有のドメイン分離タグ(DST、ドメインセパレータとも呼ばれる)を付加することで、複数のRO(例えばRO1とRO2)が生成されます。
- RO1(x) := RO("RO1" || x)
- RO2(x) := RO("RO2" || x)
ここで、「RO1」と「RO2」はそれぞれ固有のDSTを表す文字列であり、||は連結演算子である。[ 3 ]基礎となるRO関数が安全である場合(例えば、暗号ハッシュである場合)、RO1とRO2は統計的に独立している。[ 1 ]この手法は、 1993年にBellareとRogawayによって最初に提案された[ 4 ] 。 [ 5 ]
用途
ドメイン分離構造は複数の目的に使用できます。
- プロトコルごとに独立したROを提供する。[ 6 ]
- ROの出力サイズを拡張する(例えば、ROを複数回(1からLまで番号付け)し、そのたびにオラクル番号の表現をDSTとして使用する)。この手法は、ブロック暗号のカウンターモードに似ているため、「カウンターモード」と呼ばれる。[ 7 ]
- 暗号化キーをDSTとして使用してオラクルを「キーイング」する。[ 8 ]
実用的な意味では、ドメイン分離はプログラミングにおける強い型付けに相当する「カスタマイズ」を提供することができます。つまり、異なるタスクに対して独立した計算を使用することを強制するため、ある計算の結果を知った攻撃者は、別の計算に関する情報を得ることができません。[ 9 ]
関数の種類
ドメイン分離は、異なる暗号化プリミティブを実装する関数で使用できます。
ハッシュ関数
ドメイン分離はハッシュ関数で最も一般的に用いられます。ハッシュ関数の入力ドメインは実質的に無制限であり、例えばメッセージの先頭または末尾にDSTを追加することで、任意の数の派生関数に分割することが容易です。[ 10 ] [ 1 ]
ドメイン分離は、ハッシュ関数の実装において、同じ設計から複数の異なる関数を生成するために使用されます。[ 11 ]例えば、SHA-3では、ドメイン分離によって、異なる名前の関数( SHA3-512やSHAKE128など)が独立していることが保証されます。[ 9 ]
対称暗号とMAC
対称暗号とMACのセキュリティは、鍵が他の目的に使用されていないことに大きく依存します。アプリケーションが複数の鍵を必要とするものの、鍵生成材料のソースが1つしかない場合、通常は鍵導出関数を用いて鍵を生成します。KDFは通常、任意の長さの出力を生成できるため、任意の数の鍵を生成するために使用できます。[ 12 ]
また、ハッシュ関数と同様に、一部の対称暗号とMACは内部的にドメイン分離を使用しています。[ 13 ]
署名
多くの場合、異なる目的のデジタル署名を生成するために、単一の署名鍵を使用することが望ましい。この場合、ある目的のために署名されたメッセージが他の目的に使用されないようにすることが重要です。これを実現する簡単な方法は、各メッセージに目的を示す識別子を付加し、識別子が一致しない場合はメッセージを拒否することです。[ 14 ]
参考文献
- ^ a b cハンピホリら。 2015、p. 317.
- ^ケルシー、チャン、パールナー 2016、3ページ。
- ^ファズ・ヘルナンデスら。 2023 年、ドメイン分離。
- ^ベラーレ、バーンスタイン、テッサロ 2016、p. 566.
- ^ Bellare & Rogaway 1993 .
- ^ミッテルバッハ & フィシュリン 2021、p. 357.
- ^ミッテルバッハ & フィシュリン 2021、p. 358.
- ^ミッテルバッハ & フィシュリン 2021、p. 359.
- ^ a bケルシー、チャン、パールナー 2016、p.1。
- ^ Gunsing, Aldo; Mennink, Bart (2020年4月10日). 「木構造ハッシュの崩壊可能性」 . PQCrypto 2020: ポスト量子暗号. doi : 10.1007/978-3-030-44223-1_28 . hdl : 2066/219338 .
- ^ベルトーニ、グイド;デーメン、ジョアン。セス・ホファート。ピーターズ、マイケル。ヴァン・アッシュ、ジル。ヴァン・キーア、ロニー。ヴィギエ、ブノワ (2023)。「ターボシェイク」。
- ^ウォン、デイビッド( 2021年10月19日)。『リアルワールド暗号』サイモン&シュスター。ISBN 9781638350842。
- ^ Aumasson, Jean-Philippe; Jovanovic, Philipp; Neves, Samuel. 「NORX: 並列かつスケーラブルなAEAD」 .コンピュータセキュリティ - ESORICS 2014 . doi : 10.1007/978-3-319-11212-1_2 .
- ^ Blum, Erica; Katz, Jonathan; Loss, Julian (2019年11月22日). 「最適な非同期フォールバック保証を備えた同期コンセンサス」 TCC 2019: 暗号理論. doi : 10.1007/978-3-030-36030-6_6 .
出典
- Bellare, Mihir; Rogaway, Phillip (1993).ランダムオラクルの実用性:効率的なプロトコル設計のためのパラダイム(PDF) . ACM Press. doi : 10.1145/168588.168596 . ISBN 978-0-89791-629-5。
- Bellare, Mihir; Bernstein, Daniel J.; Tessaro, Stefano (2016). 「ハッシュ関数ベースのPRF:AMACとそのマルチユーザーセキュリティ」. Advances in Cryptology – EUROCRYPT 2016.第9665巻. ベルリン、ハイデルベルク:Springer Berlin Heidelberg. doi : 10.1007/978-3-662-49890-3_22 . ISBN 978-3-662-49889-7。
- Faz-Hernandez, A.; Scott, S.; Sullivan, N.; Wahby, RS; Wood, CA (2023年8月). 「RFC 9380: 楕円曲線へのハッシュ」 . RFCシリーズ. 2.2.5. ドメイン分離. ISSN 2070-1721 .
- Hampiholi, Brinda; Alpár, Gergely; van den Broek, Fabian; Jacobs, Bart (2015). 「実用的な属性ベース署名に向けて」 .セキュリティ、プライバシー、および応用暗号工学. 第9354巻. 出版社: Springer International Publishing. pp. 310– 328. doi : 10.1007/978-3-319-24126-5_18 . ISBN 978-3-319-24125-8。
- ケルシー・ジョン、チャン・シュウジェン、パールナー・レイ (2016). 「NIST SP 800-185: SHA-3派生関数:cSHAKE、KMAC、TupleHash、ParallelHash」 . NISTコンピュータセキュリティリソースセンター. NIST . 2024年5月6日閲覧.
- ミッテルバッハ、アルノ、フィッシュリン、マルク (2021).ハッシュ関数とランダムオラクルの理論:現代暗号へのアプローチ. 情報セキュリティと暗号. シュプリンガー・インターナショナル・パブリッシング. ISBN 978-3-030-63287-8. 2023年6月22日閲覧。
 | この記事には、追加またはより具体的なカテゴリが必要です。(2024年1月) |
