2 ポイント 投稿者 GN⁺ 2025-09-01 | 1件のコメント | WhatsAppで共有
  • 米軍では、同一のメッセージを異なる暗号化方式(あるいは暗号化なしを含む)で二度送信しないという原則があった
  • そのために "paraphrase"(言い換え) という表現が使われ、元の意味は保ちつつ、表現や文の構造を大きく変えて書き直した
  • 敵軍が平文と暗号文を比較して 暗号体系の弱点を把握すること を防ぐための、セキュリティ上の手順だった
  • 削除を中心とした言い換え と、単語や固有名詞の繰り返しを減らす方法が重視された
  • 過去にはドイツ軍も 同一メッセージを複数の暗号化で送信するミス により、Enigma暗号が解読される結果を招いた

背景と paraphrasing の概念

  • 米軍の通信教義では、まったく同じメッセージを異なる暗号化(あるいは暗号化なし)で二度送信することを禁じていた
  • このとき使われた専門用語が "paraphrase"(言い換え) であり、メッセージの意味を変えずに、原文の表現をできるだけ多く変形して書き直す方式を意味した

米陸軍暗号学マニュアルの paraphrasing 指針

  • 1950年刊行の米陸軍技術マニュアル "BASIC CRYPTOGRAPHY"(TM 32-220)には、paraphrasing のガイドが詳しく紹介されている
  • この指針では、次のような原則が強調されている
    • 同一メッセージの平文をすでに暗号文として送信した場合、暗号文で送ったメッセージを平文で再度繰り返して送ってはならない
    • 平文と暗号文の組が敵に露出すると、暗号体系の安全性 に対する大きな脅威となるため、非常に危険である
  • 複数の人が情報を扱う必要がある場合や対外発表が必要な場合には、敵が比較によって情報を得られないよう、平文をきわめて慎重に言い換えて配布 しなければならなかった

言い換え(Paraphrase)の方法

  • メッセージの 文構造、語彙、表現方法 を変えつつ、意味は同じに保つ
    • 文の順序を修正する
    • 句や節の位置を変更する
    • できる限り多く 同義語や新しい表現 を使う
  • 単にメッセージをより詳しく書き下すような拡張的 paraphrasing は避けるべきとされた
    • 拡張方式では結局、元の意味を容易に復元できてしまい、セキュリティ上脆弱だからである
  • 繰り返される単語や固有名詞 は、代名詞や "former/ latter" などに置き換える

paraphrasing の例外と規定

  • すでに暗号文が存在していても、規定で特別に許可されていない限り、当該平文(あるいは言い換えた平文でさえ)を再送しないのが原則である

歴史的文脈と重要性

  • こうしたセキュリティ規則は、Enigma解読の過程 で実際にその重要性が確認された
    • ドイツ軍が まったく同じメッセージを別の暗号方式で繰り返し送信 するミスを犯し、その結果、連合軍が平文と暗号文の組を確保して、Enigmaのような強力な暗号でさえ解読するきっかけが生まれた
  • 決定的だったのは、Enigma自体の技術的欠陥というより、こうした 手続き上のミスと運用上の問題 だった

1件のコメント

 
GN⁺ 2025-09-01
Hacker Newsのコメント
  • 人づてに聞いた話だが、イギリスが狂気じみた既知平文攻撃を試みたことがあったらしい。ドイツ兵のポケットに重要なメモを手書きで忍ばせ、同じ内容を暗号化されたエニグマ通信の中から見つけようとしたという話
  • ETA: おそらくENIACと直接結び付けた私の話は間違っていたようだ。in depthと呼ばれる、同じ鍵で内容を言い換えて送信することもかなり危険だ。連合国はこの方法でLorenz("Tunny")暗号を破り、当時のBletchley ParkはLorenz機を実際に見たこともないまま推定だけで解読した。この作業は最初の真空管式コンピュータであるColossusの開発につながり、ColossusはENIACにも影響を与えた。現代では nonce を再利用しないことでこの種のミスを避けているが、Bitcoinのハードウェアウォレットで nonce を再利用したために秘密鍵が盗まれた事例もある。AES-GCMと暗号資産のシステムは別物だが、nonceの再利用が同じように致命的なのは変わらない。参考までにLorenz解読関連のリンクと Computerphileの動画(16分)も置いておく。p.s. in depth という用語の語源が気になるのだが、知っている人はいるだろうか。Bletchley Park特有の魚に関する命名と関係があるのか気になっている。関連する暗号学用語辞典も参照した 文書28ページ
    • ときどき指摘しているが、Colossusはコンピュータではなく鍵テスト装置だった。少しBitcoinマイナーっぽい。Colossusのブロックダイアグラムもある。専用プログラム式コンピュータ以前にも、さまざまな特殊目的の装置が存在していた。IBMも電子演算を試験していたが、戦争の勃発で中断し、1939年にはColumbia大学とIBMがかなりプログラマブルコンピュータらしいものを作っていた。英国G.P.O.も1934年から電子交換の研究をしており、ColossusのTommy Flowersもここ出身だ。彼は戦後、コンピュータ関連の経歴を明かせず苦しい人生を送った。Colossusのメモリは真空管レジスタとプラグボードだけで、本当の記憶装置が現れたのは戦後だった。詳しくは Tommy FlowersのWikipedia を参照
    • ロンドンに行ったときBletchley Park博物館を訪れたが、本当におすすめできる。London Euston駅から電車で50分、そこから徒歩5分だ。家族全員(10代の子ども2人を含む)が楽しめた。近くにはNational Museum of Computingもあり、BombeやColossusなどの復元機の展示も見られる。戦後、国家安全保障上の理由で機材の大半は廃棄されたため、現在の展示品は完全動作するレプリカだ。ここには近現代のコンピュータも展示されているので、Bletchley Parkはコンピュータに興味がなくても訪れる価値があり、コンピュータ博物館のほうは筋金入りのオタク向けだ
    • メッセージを送信者→受信者の木構造としてモデル化すれば、鍵の再利用を「構造的深さ」として分析できる
    • Ethereumではコントラクトアドレスがデプロイ元アドレスとnonceの組み合わせで決まるため、存在しないコントラクトにあらかじめETHを送っておき、後からそのコントラクトをデプロイして回収できる
    • in depth という用語は、攻撃者により多くの材料の「深さ」を与えるという文脈から来たのではないかと推測する。根拠はない
  • 興味深い話題だ。回答の説明が気に入った。特に「暗号文で送ったメッセージとまったく同じテキストを平文で繰り返してはならず、逆に平文で送ったメッセージを再び暗号文で繰り返してもならない」というルールが印象的だった。子どものころ図書館の本で暗号を学んでone-time padに夢中になり、友人と何度かやり取りしてみたが、あまり得るものがなくて結局興味を失った。だから秘密の仕事に従事する人たちはどんな感覚なのだろうと思った。暗号化されたコミュニケーションは、科学的コミュニケーションとは正反対の感じがする。秘密の世界の人たちは、結局は政治に近い性向になるのだろう
    • 得るものがあまりなくて興味を失った — Ovaltineとdecodedメッセージがよく合うというジョークを思い出した

    • どの本を読んだのか覚えている? 私は4年生の教室の本棚にあった Alvin's Secret Code が大好きだった
    • 得るものがあまりなくて興味を失った — 関連して ジューサー騒動の記事 を思い出す

  • 暗号文で送ったテキストを平文で繰り返してはならず、平文で送ったテキストを暗号文で繰り返してもならない — 実際、この原則どおりにEnigmaは破られた。天気予報メッセージをいつも weather で始める習慣が弱点だった

    • 同様に、いつも同じ挨拶(たとえば指導者の名前を入れた結びの文句)で終えるのも問題だった
  • こういう分野に関心があるなら、Internet Archiveで見られる軍用マニュアルが面白いはずだ。コンピュータ以前の手作業暗号の解析法まで、さまざまな内容が含まれている FM3440.2 Basic Cryptanalysis
    • とても良い資料だ。GCHQ Puzzle Bookの優れた補助資料にもなりそうだ
  • メッセージの反復により、連合国はEnigmaよりはるかに難しい暗号であるGeheimschreiberも初期に破っていた。XORと回転子(ローター)を使う構造だった Siemens and Halske T52
  • もっと情報を知りたければ、Known plaintext attack を検索語として使える
    • そういう文脈だとは思わなかった。最初は囚人たちが家族への手紙を通じて暗号メッセージを送り、看守がそれをかき乱そうとしている話かと思った
  • WW2スパイものの本(たとえば Between Silk and Cyanide)で見慣れた話題だ。だが本当に興味深いのは、元の手紙のフォントだ。小文字の e の代わりに E を使っている。なぜなのか気になる
    • 本当に奇妙だ。少し検索したところ、似た事例をRedditで見つけ、関連するタイプライターのサンプルもあった。キリル子音用のタイプライター部品が混ざっていたためではないか、という解釈もある。外交電報を書き写す際にキリル用タイプライターが必要だったのかもしれない
    • この事例とは無関係かもしれないが、ROT13風の雑な暗号化では e は致命的な手がかりだ。大文字小文字を混ぜるのは多少の防御になるかもしれないが、この手紙はたぶん別の理由だろう
    • 私も E が大文字なのは不思議だと思う。いくつかの E はギリシャ語の小文字 epsilon のように丸まって見えるが、錯視かもしれない。そして chancE3 の数字の 3 も注目に値する
    • 可読性のためではないかという推測だ。小文字の e (ᴇ) と c の取り違えを防ぐためだと思う
  • 言及されていた2つのマニュアルを見つけた: [RadioNerds-TM 11-485 (PDF)](https://radionerds.com/index.php/File:TM_11-485.pdf) / Internet Archive-US Army Cryptography Manuals Collection (TM_11-485.pdf を参照)
  • この手順では、メッセージの拡張より削除のほうがましだという点が興味深い。誰かが同じメッセージを何度も送らなければならない場合、削除方式のほうがむしろ変形の幅を制限するのではないかと思う。圧縮すればバリエーションの幅は狭まり、拡張すれば広がるはずで、全員が短縮だけを指示されたら重複はずっと早く発生するだろう。おそらく削除を2回行うと元の情報を意図的に失っているため復元可能性が低いが、拡張は元の平文に簡単に戻れてしまい、そこから元のメッセージに近づける、という考え方なのだろう。ただ、どちらか一方だけを復元できても、もう一方の暗号文は依然として拡張版のままなので役に立つのかは分からない

    • この指針は、暗号化されたメッセージが後で公開される状況を想定していると考えたほうが近い。修飾語を加えるタイプのパディングだと、ハッカーは元のメッセージを推測しやすい。逆に一部を削ったメッセージは、攻撃者に何を足せばよいかの見当がつかないため、復元が難しくなる