総当り攻撃と電力消費

暗号化されているデータを総当り攻撃で解くとします。

256ビット長の鍵についての総当り攻撃が消費電力100wのコンピュータで1秒で解けるとする。

このとき、2段階の暗号化したものを総当りで解くには、
１００W*1秒　＋　１００W*１秒＊２＾２５６　＞　１．１５＊１０＾７７Ws


このとき、３段階の暗号化したものを総当りで解くには、
１００W*1秒　＋　１００W*１秒＊２＾２５６　＋　１００W＊1秒＊２＾５１２　＞　１．３４＊１０＾１５４Wｓ


世界の発電量は
２０２８２１５５　(100万ｋWh)　＝　７．３＊１０＾１９　Ws　くらいなので、

3段階の多重暗号化をしておけば、消費電力の面から見て安全であるといえますか？

No.4 ベストアンサー 回答者： Rice-Etude 回答日時： 2014/04/26 22:00

No.2です。

たびたびすみません。

私には質問者様が国際政治におけるセキュリティの話（動き）と情報工学・科学におけるセキュリティの話をごっちゃにしているように見えてしまいます。

あなたの指摘していることが問題無いと言っているわけではありません。ただ、技術研究者の立場から、そんな程度で破られるような暗号を作っているつもりではありませんということを申し上げたいのです。

もちろん、提案の中には簡単に破られてしまったものもありますが、そういうのも仕様をオープンにして提案され、世界中の他の研究者から厳しい検証により脆弱性が見つかったからです。そして今、NISTやCRYPTRECなどの標準規格になっているものは、提案してから数年間は世界中のいろんな研究者から寄ってたかってアタックをしかけられ、それでも少なくとも現状考えられうる全ての攻撃法に対しても簡単に破られなかった結果として残ってきた物です。

研究に対して新たな批判精神を持つことを否定する物ではないですが、正直質問者様がされていることやNo.3のように安易に「不都合な話題はすぐに消えてしまうように感じています」と言ってしまわれるところが、この分野の末席を汚す者として、こうやって愚直に地道な検証作業をしている人たちへの冒涜のように感じられます。批判するのであれば、少なくとも現状の（情報工学・科学としての）暗号理論・セキュリティ技術を、参考書を読むなり論文をサーベイするなりしてちゃんと学んで欲しいと思っています。

例えば、日本でもISEC、ICSS、CSECといったセキュリティの研究会があります。聴講に参加するのは（予稿集代としていくらかのお金は徴収されますが）自由ですので、ウェブサイトで検索してみてください。

この回答へのお礼

ご指導ありがとうございます。

暗号開発の仕事は大変なことだと思います。

しかしながら、その成果が生かされている通信手段があまりにも少ないと思っています。

たとえば、
ＳＳＬで安全と宣伝していても、メールサーバの中では暗号化が解除されてしまっている。
気に入った暗号方式を自分の電子メールで採用しようと思ってもそれが出来る製品がない。
電話も、気に入った暗号方式で暗号化して、暗号化された通話をしようと思っても簡単ではない。

こんなところが不満の原因です。
愚痴をいってしまいました。すみません。


参考書として、次の本を読んでみます。
The Design of Rijndael: AES - The Advanced Encryption Standard (Information Security and Cryptography)

お礼日時：2014/04/27 00:06

No.3 回答者： Rice-Etude 回答日時： 2014/04/26 10:41

No.2です。

補足を読みましたが、このニュースが本当に問題なら全世界中のセキュリティ研究者やセキュリティ会社がもっと長期間騒いでます。でも、そういう話って聞いたことありますか？

今のスパコンで最速なものは天河二号の33.862PFLOPSです。FLOPSという単位は1秒間あたりの浮動小数点数演算回数のことであり、（この演算1回程度の速度で暗号や攻撃の処理が完了するわけはないですが、仮に）この演算1回程度の速度で1回鍵の検証ができるとしたら、1秒間に3.3862×10^16回の検証ができることになります。これはNo.2で例にした5×10^9回よりもオーダー的に10^7近く速いことになりますが、それだって2.0×10^21年かかってたのが2.0×10^14年になったくらいです。

仮にもっとスパコンが高速になって今よりも1000倍以上も速い50エクサFLOPS（＝5.0×10^19FLOPS）になったとしても、それでも2.0×10^11年以上はかかる計算で、宇宙の歴史よりも10倍以上も長い年数です。このことからも、「総当り攻撃が消費電力100wのコンピュータで1秒で解ける」という仮定がいかに荒唐無稽なものかがお分かりになるかと思います。

＃繰り返して言いますが、宇宙が誕生してから今までが大体1.5×10^10年（＝150億年）と言われています。

多分前にも書いたことがあると思いますが、まずは研究会、大学やシンポジウムで行っている講演などに参加するなり、暗号理論の講座を受けるなりして、暗号理論の基本を勉強した方が良いと思います。

この回答へのお礼

たびたびありがとうございます。

たとえば、
http://www.businessnewsline.com/biztech/20130802 …
などでは、かなりお金をかけているようです。
少し暗号化すれば解けなくなってしまうなら、こんなにお金をかける理由が分かりません。

昔、日本でも”盗聴法”といって騒いでいたことがありましたが、いまは全く話題になりません。
ドイツの首相の電話盗聴の件も最近はほとんど話題になりません。
スノーデン君やプリズムの話しも最近はほとんど出てきません。
スノーデン君がただのほら吹きなら、アメリカが怒るほどのことではないと思うのです。
いつの間にか、Ｇメールも安全であるかのような雰囲気になっています。
これらの問題は、ガセネタだったのでしょうか？

また、東京電力の原子力発電所の関連では、
残留放射能の話しもあまり話題にならなくて、
ふるさとに戻る話しが美談として伝えられています。

不都合な話題はすぐに消えてしまうように感じています。

ＮＳＡの盗聴方法や、暗号解読技術の現状について知るには、
どんな研究会や大学のシンポジュームがあるのでしょうか？

お礼日時：2014/04/26 20:32

No.2 回答者： Rice-Etude 回答日時： 2014/04/25 00:37

ご質問に対する直接な回答ではないですが、私もNo.1の回答者と同じく

「消費電力100wのコンピュータで1秒解けるとする」
に現実性を感じません。

現存のCPUでどんなに高性能かつオーバークロックしたものでも、クロック周波数は最大でも5GHzです。すなわち1秒間に50億回（＝5×10^9）しか動作しません。もちろん、1クロックで単純命令1回だけ実行とは限らず複数個実行できるのもありますが、そもそも暗号の処理を単純命令数個レベルでできるわけはなく、従って1秒間に50億個の鍵を調べる事は不可能です。

一方256ビットの鍵ということは、2^256個の鍵の候補があるということで、これは1.1579×10^77個を超える数になります。仮にCPU1クロックで暗号処理ができるとしても1秒間に50億個しか処理できず、これらの鍵を全部試すのには2×10^67秒以上かかります。1年は60×60×24×365＝31536000秒なので、仮に1年＝3.2×10^7秒と考えても6.25×10^59年以上かかることを意味します。

誕生日攻撃を考えると、安全性的には鍵サイズの半分のサイズで考えますので上より少ない2^128個の鍵を試すことになりますが、それでも3.40×10^38個以上になり、2.0×10^21年以上かかります。

＃ちなみに宇宙が誕生してから今まで150億年と言われてますので、1.5×10^10年です。

なので、「消費電力100wのコンピュータで1秒解けるとする」というのがいかに非現実的な仮定かというのがお分かりになるかと思います。

この回答への補足

ありがとうございます。

http://blog.livedoor.jp/itsoku/archives/34050649 …

では、

スーパーコンピュータを用いた総当たり型の暗号解読

と書いてあったので、総当りでもそんなに時間がかからないで解けると考えました。

スーパーコンピュータの消費電力が不明なので、安全性を見込んで
消費電力100wのコンピュータで1秒で解けるとする
としました。
電力不足になるほど大変にしておけば、暗号化が少しは役に立つかなと考えました。

補足日時：2014/04/25 19:22

No.1 回答者： yambejp 回答日時： 2014/04/24 09:41

＞消費電力の面から見て安全

消費電力は関係なくない？時間コストの方が直観的ですよね？
そもそも「消費電力100wのコンピュータで1秒解けるとする」という
定義自体勝手な思い込みでしかないし

そもそも多重で暗号化するという考え方は微妙
鍵を探すための総当たりであれば、いくら多重で暗号化をしても
しょせん元の鍵はかわりません、この場合の多重処理はあまり意味がないでしょう

また総当たり処理というのは「最後のチェックでヒットする」と
解釈するのはナンセンス。何億、何兆とおりあろうと１回目にヒットする
可能性はゼロではないので「絶対に安全」ではありません
「それなりに安全」なだけです

この回答へのお礼

ありがとうございます。
多重暗号化では、暗号化方式と暗号化鍵は一回目と二回目では変更する。
たとえば、１回目はAES、２回目はカメリア

もちろん、１回でヒットする可能性はあります。


消費電力100wのコンピュータで1秒解けるとする」という
定義自体勝手な思い込みでしかないし

に関しては、そのとおりですが、
少なめに設定したつもりです。

お礼日時：2014/04/24 22:32