暗号方式の安全性を議論するとき,証明が容易なランダムオラクルモデルで安全性を確認した後に,標準モデルでの証明を試みるランダムオラクル方法論がある.この解説では,この方法論は必ずしも正しくないことの反例を構成する.ランダムオラクル方法論が成立するための必要十分条件として「強識別不可能性(Indifferentiability)」という新しい概念を導入して,その理論について概説する.強識別不可能性理論によれば,ランダムオラクルをプログラムや回路として実装できないという否定的結論を証明できる.一方,この理論は種々の暗号システムの設計に役立ち,例えば安全性証明可能な「ハッシュ関数の設計論」の基礎となることを示す.
抄録全体を表示