PR

 「1024ビットのRSA暗号はすぐに破られてしまうという話があるが,そんなことはない。1024ビットで現状は十分」――。Adi Shamir氏は5月30日,セキュリティに関するカンファレンスおよび展示会である「RSA Conference 2002 Japan」の講演で強調した。同氏はRSA暗号の発案者の一人であり(発案者3人の頭文字をとった“RSA”の“S”にあたる),イスラエルのワイツマン研究所の教授を務めている。

 公開カギ暗号方式の一つであるRSA暗号は,「大きな素数同士の積を求めるのは容易だが,積を素因数分解することは困難」という数学的性質に立脚している。そのため,大きな数の素因数分解を効率的に行う方法があれば,RSA暗号を短時間で破ることが可能になる。

 2001年11月,Daniel Bernstein氏により,効率的に素因数分解を行う手法が提案された。その手法に基づけば,現在安全といわれている,カギ長が1024ビットのRSA暗号は容易に破られるという話が出回っていた。Shamir氏の講演はこれを否定するものだった(米RSA Securityは2002年4月,同社サイトに反論を掲載している)。

 といっても,単に否定するのではなく,Bernstein氏の手法を改善してShamir氏らが開発した手法を紹介し,その手法を持ってしても容易に破れないことを説明した。講演時間50分の多くは,Shamir氏らの手法を説明することに費やされた。そして,「Bernstein氏の手法を用いれば,同じコスト(時間)で従来の3倍の解読が可能とされているが,そんなことはない。(Shamir氏らの)新しい手法でも,1.17倍がやっとである」と述べ,「1024ビットでも当面は安全である」と結論付けた。

(勝村 幸博=IT Pro編集)