2017/5/18 ヒカ☆ラボ by レバテック https://atnd.org/events/87602

1. ビットコインで使われている
暗号の基礎
竹井 悠人
ソフトウェア エンジニア
株式会社 bitFlyer
https://goo.gl/6mVqvb
2017/5/18 ヒカ☆ラボ by レバテック

2. 自己紹介
Yuto Takei
Software Engineer
東京大学 情報理工学系修士(形式検証)
未踏 ‘13 (予定調整の最適化問題)
スタートアップを経て昨年入社
C# / OCaml 大好き
BTC 送金お待ちしております

3. 本日のトピック
● 暗号の基本
● RSA 暗号
● 楕円曲線暗号
● Bitcoin でのトランザクションを見る

4. 暗号の種類
● 共通鍵暗号方式
1 本の鍵で、データの暗号化と復号との両方をするタイプ (AES256 etc.)
● 公開鍵暗号方式 (今日の主人公)
暗号化と復号とで異なる鍵を用いるタイプ (RSA, ECC etc.)
平文 暗号文 平文
平文 暗号文 平文

5. 公開鍵暗号方式
● 2 種類の鍵 : 公開鍵, 秘密鍵
● 2 つの使い方
○ 暗号として (機密性)
○ 電子署名として (真正性)
平文 暗号文 平文
公開鍵 秘密鍵
平文 署名 平文
秘密鍵 公開鍵

6. RSA 暗号

7. RSA 暗号
巨大な素因数分解が難しいことを利用する
p, q を巨大な素数とする。
ab = 1 mod (p-1)(q-1) となる a, b の組み合わせがあれば、
任意の x に対して n = pq として
xa
= c (mod n) , cb
= x (mod n)
となることを利用している

8. 離散対数問題
Discrete Logarithm Problem (DLP)
xa
= c (mod n) となる c, x を与えられたときでも、a を求めるのは難しい
直感的には、 logx
c を求めるのが難しいという問題
電子署名などでは、x (平文) と c (署名) が既知で、a は署名者の秘密鍵となる
秘密鍵が求められては困る...

9. 拡張ユークリッドの互助法
最大公約数を求めるユークリッドの互助法の拡張
x, y が与えられたとき、
ax + by = gcd(x,y) となる a, b
を求める方法。
基本的に、通常の GCD で係数を覚えて掛けていくことになる

10. フェルマーの小定理 / オイラーの定理
フェルマーの小定理 : ap−1
= 1 (mod p) , p は素数
オイラーの定理 : aφ(n)
= 1 (mod n)
暗号化 / 復号の処理を通してみてみると
n = pq
xa
= c (mod n) , cb
= x (mod n)
xab
= x(p-1)(q-1)
= x (mod pq) になるので正しく動作する

11. 楕円曲線暗号

12. 楕円曲線の数理
y2
= x3
+ ax + b の形をした曲線のこと
楕円曲線上の点の世界で加乗算ができる
Wikipedia (Elliptic curve) より
格子点 (x, y) を p の剰余で考える
Mastering Bitcoin, Andreas M. Antonopoulos
図 4-3 より

13. 楕円曲線の群構造
加法で閉じている
P + Q は曲線上の点
結合法則
P + Q + R = O
単位元
O (無限遠点)
逆元の存在 交換法則
- P P + Q = Q + P
Wikipedia (楕円曲線) より

14. 楕円曲線暗号と DLP
楕円上の点 P と整数 a について
P, aP から a を逆算するのはとても難しい
(楕円曲線上の離散対数問題)
これを利用して、あるベース ポイント G を定め、
秘密鍵 a (スカラー値。曲線上の点ではない) を組み合わせる
ただし、いくつかの楕円曲線のパラメータでは、
多項式時間で ECDLP を解く方法が見つかっており、
暗号としては使えない

15. ビットコインで使われる楕円曲線暗号
Secp256k1 と呼ばれる楕円曲線パラメータ
p = 2256
- 232
- 29
- 28
- 27
- 26
- 24
- 1
の数体 Fp 上で定義された
y2
= x3
+ 7
の楕円曲線について、
G =( 79BE667E F9DCBBAC 55A06295 CE870B07 029BFCDB 2DCE28D9 59F2815B 16F81798 ,
483ADA77 26A3C465 5DA4FBFC 0E1108A8 FD17B448 A6855419 9C47D08F FB10D4B8 )
をベース ポイントとして利用

16. 楕円曲線暗号の暗号 (EC ElGamal)
1. 鍵生成
a. 秘密鍵 : ランダムな整数 a を選ぶ (0 < a < n, ただし n = min {k | kG = O, k > 0 })
b. 公開鍵 : P = aG (G は楕円曲線上のベース ポイント) となる点
2. 暗号化
a. 暗号化の対象を楕円曲線上の点 M にエンコード (X 座標に入れるなど)
b. ランダムな整数 k を選ぶ (0 < k < n)
c. ペア (rG, M + kP) を暗号文とする
3. 復号
a. 暗号文 (C1
, C2
) を受け取ったら、 C2
- aC1
を計算し、デコードする

17. 楕円曲線暗号の電子署名 (ECDSA)
1. 鍵生成
a. 秘密鍵 : ランダムな整数 a を選ぶ (0 < a < n, ただし n = min {k | kG = O, k > 0 })
b. 公開鍵 : P = aG (G は楕円曲線上のベース ポイント) となる点
2. 署名
a. 署名対象の m をハッシュ化する : h(m)
b. ランダムな整数 k を選び (0 < k < n)、r を kP の X 座標とする
c. s = k-1
(h(m) + ar) mod n として、ペア (r, s) を電子署名とする
3. 検証
a. m, (r, s) から Q = (h(m)/s) G + (r/s) P となる点を計算する
b. Q の X 座標が r と一致すればよい

18. Bitcoin での使われかた

19. Bitcoin での鍵
Bitcoin で使われる楕円曲線は secp256k1 で固定
ユーザは、1 から n までの範囲で秘密鍵となる整数 k を選ぶ
Mastering Bitcoin, Andreas M. Antonopoulos
図 4-1 より

20. 実際のトランザクション
https://chainflyer.bitflyer.jp/Transaction/d0f1027f7df61b8004bc688516194f83f6fa263527e046a486267ce9d575acdf

21. トランザクション中のスクリプトを見る
電子署名 (r, s)
公開鍵 (圧縮した点)
公開鍵のハッシュ (アドレス)

22. 参考
● “Mastering Bitcoin”, Andreas M. Antonopoulos
http://chimera.labs.oreilly.com/books/1234000001802/
● 「クラウドを支えるこれからの暗号技術」光成滋生
https://github.com/herumi/ango/blob/master/ango.pdf

23. まとめ
● 暗号の基本
○ 暗号方式
○ 暗号 / 電子署名
● RSA 暗号
○ 暗号に用いる数理
○ C# でのコーディング
● 楕円曲線暗号
○ secp256k1
○ ECDSA
○ EC ElGamal
● Bitcoin でのトランザクションを見る