疑似乱数生成器（PRNG）に基づく安全なパスワード生成器

目次

1. 序論

本研究は、パスワード漏洩とそれに伴う個人データ暴露リスクという継続的な課題に対処する。ウェブサイトのセキュリティも一因ではあるが、パスワード自体の本質的な強度が最も重要である。一般的な脆弱性には、キーワードや流行語、ユーザー情報に基づくパスワード、およびパスワードの使い回しが含まれる。AIや大規模言語モデルの台頭により、攻撃者がパスワードをより効果的に推測する能力がさらに高まっている。

これに対応するため、本論文では安全な疑似乱数生成器（PRNG）を基盤とした安全なパスワード生成器を提案する。中核となるPRNGは、HMAC、CMAC、KMACなどの暗号プリミティブを用いて構築され、高品質な乱数を生成し、それらを用いてパスワードを作成する。本システムでは、プロセスのシードとしてオプションでユーザー入力（To-Be-Hashed Message, TBHM）を受け入れることができる。主な貢献は以下の通りである：

• HMAC、CMAC、KMACに基づく安全なPRNGの構築。
• 異なる文字セットと長さにおける生成パスワードのセキュリティ分析、およびそれらの強度をAES-128およびAES-256と比較。
• NIST SP 800-90Bを用いたランダム性の実証的検証（エントロピー評価および独立同分布（IID）テストに焦点）。

2. 関連研究

2.1. 線形合同法に基づく疑似乱数生成器

一般的なプログラミング言語（C、Java）では線形合同法（LCG）が使用される。シード$k$が与えられた場合、数列は次のように生成される：$f_0(k) \equiv a \oplus k \ (\text{mod} \ m)$ および $f_i(k) \equiv a \times f_{i-1}(k) + c \ (\text{mod} \ m)$。この手法は安全ではない。なぜなら状態を逆算可能であるためである：$f_{i-1}(k) \equiv (f_i(k) - c) \times a^{-1} \ (\text{mod} \ m)$。これによりシードと数列全体が暴露される。

2.2. 安全な疑似乱数生成器

安全なPRNGは、NIST SP 800-108 Rev. 1で概説されている暗号プリミティブに基づく。

2.2.1. HMACベース

セキュリティは、ハッシュ関数（例：SHA2、SHA3）の一方向性に依存する。鍵$k$とメッセージ$M$に対して、HMACは次のように計算される：$r_{hmac}(k, M) = h((k \oplus opad) \ || \ h((k \oplus ipad) \ || \ M))$。長さ$L$のランダムビットストリームを生成するために、カウンタモードが使用される：$M_i = i \ || \ \text{KDF} \ || \ 0x00 \ || \ M \ || \ L$。これにより出力$r_{hmac,i}$が生成される。

2.2.2. CMACベース

セキュリティは、CBCモードにおけるAESブロック暗号に依存する。メッセージ$M$はブロック$M'_1, M'_2, ...$に分割される。処理は反復される：$c_{i+1} = AES(k, c_i \oplus M'_{i+1})$（$c_0 = Pad0(0)$）。最終出力$r_{cmac}$は、特定のパディング（Pad1）後の最後の暗号ブロックから導出される。

2.2.3. KMACベース

KECCAKスポンジ関数（SHA-3の基盤）を利用し、決定論的ランダムビット生成に適した柔軟で堅牢なMAC関数を提供する。

2.3. ランダム性検証手法

本論文では、エントロピー源を検証する事実上の標準であるNIST SP 800-90Bフレームワークを採用する。これには2つの重要な検証スイートが含まれる：

• エントロピー評価： 生成されたビットストリームにおける最小エントロピーの量を推定し、その予測不可能性を示す。
• IID（独立同分布）テスト： 出力ビットが統計的に独立であり、同一の分布に従うかどうかを判断するための一連の統計的テスト（例：カイ二乗検定、コルモゴロフ-スミルノフ検定）。

3. 提案する安全なパスワード生成器

提案システムのアーキテクチャはシンプルかつ強力である：

1. 入力/シード： オプションのユーザー提供TBHMを受け入れる。提供された場合は処理され、提供されない場合はシステム生成の安全なシードが使用される。
2. 安全なPRNGコア： TBHM/シードは、3つの暗号PRNG構築法（HMACベース、CMACベース、KMACベース）のいずれかに投入され、暗号学的に強力な疑似乱数ビット列を生成する。
3. パスワード構築： ランダムビットは、ユーザー定義またはシステム定義の文字セット（例：英数字＋記号）にマッピングされ、所望の長さのパスワードが生成される。

セキュリティ分析： 本論文では、生成されるパスワードのセキュリティは、PRNG出力のエントロピーと文字セットのサイズに直接依存すると論じている。比較分析を行い、この手法で生成された94文字セットからの16文字パスワードは、PRNG出力が真にランダムであると仮定した場合、AES-128またはAES-256鍵と同等またはそれ以上の総当たり攻撃耐性を提供できることを示している。

4. 実験結果と分析

実験的検証は本論文の重要な強みである。

• エントロピー検証： 3種類のPRNG（HMAC-SHA256、CMAC-AES256、KMAC256）から生成された乱数列はすべて、NIST SP 800-90Bのエントロピー評価を通過し、出力ビットあたり理想値1ビットに近い高い最小エントロピーを示した。
• IID検証： これらの数列はIIDテストスイートも通過し、ビットが統計的に独立かつ同一分布に従い、検出可能なパターンやバイアスがないことを確認した。
• 性能： 主眼ではないが、計算効率について言及している。HMAC-SHA256とKMAC256は同等の速度を示したが、CMAC-AES256はブロック暗号操作のためわずかに遅かった。ただし、すべてパスワード生成の実用範囲内であった。

チャートの説明（暗示的）： 棒グラフは、3つのPRNG手法の最小エントロピー推定値（ビット/ビット）を理想値1.0と比較するのに効果的であろう。すべての棒は1.0に非常に近い。2番目のグラフは、主要なIIDテスト（例：カイ二乗、コルモゴロフ-スミルノフ）からのp値を示し、すべての値が典型的な有意水準（例：0.01）を大きく上回り、合格を示す。

5. 結論と今後の課題

本研究は、暗号PRNGに基づく安全なパスワード生成フレームワークを実証することに成功した。提案手法は、NIST標準によって厳密に検証された十分なランダム性を持つパスワードを生成する。今後の課題の方向性は以下の通りである：

• 生成器をブラウザ拡張機能やパスワードマネージャーに統合する。
• 長期的なセキュリティを確保するため、格子暗号やハッシュベースなど、ポスト量子暗号アルゴリズムをPRNGの基盤として探求する。
• 標準的な暗号モデル下での形式的なセキュリティ証明を開発する。

6. 独自分析と専門家の洞察

中核的洞察： 本論文は新しい暗号プリミティブの発明に関するものではなく、既存の検証済みプリミティブ（HMAC、CMAC、KMAC）を体系的に応用・検証し、パスワード生成という日常的だが極めて重要な問題を解決することに関するものである。その真の価値は、理論的な暗号学と実践的なセキュリティ衛生の間のギャップを埋め、ゴールドスタンダードであるNISTテストスイートを用いて、その出力が目的に適っていることを厳密に証明することにある。

論理的流れ： 議論は妥当である：1) 標準的なLCGは暗号学的に破られている。2) 暗号MACから構築された安全なPRNGは証明可能に堅牢である。3) したがって、そのようなPRNGから導出されたパスワードはその堅牢性を継承する。4) この主張は理論だけでなく、厳格な実証テスト（NIST SP 800-90B）の通過によって検証される。このエンドツーエンドの検証こそが、多くの「安全なパスワード生成器」ツールに欠けているものである。

長所と欠点：
長所： 方法論の厳密さは称賛に値する。NIST SP 800-90Bを検証に使用することは、暗号アルゴリズムがCAVP（Cryptographic Algorithm Validation Program）を通じて検証されるのと同様に、その信頼性を即座に高める。AES鍵強度との比較は、セキュリティチームにとって実用的で理解しやすい指標である。
欠点： 本論文は制御された理想的な環境で動作している。初期シード/TBHMに十分なエントロピーがあると仮定しているが、これは実際のシステムにおける重要な、そしてしばしば脆弱なリンクである。「オプション」のユーザー入力は諸刃の剣である。弱く予測可能なユーザーフレーズ（例：「mypassword」）は暗号構築全体を損なう可能性があり、このリスクは十分に定量化されていない。さらに、NISTによる2023年のレビュー「Post-Quantum Cryptography: A Ten-Year Journey」で指摘されているように、この分野は量子耐性アルゴリズムに向かっている。本論文の構築法は、従来のコンピュータに対しては安全であるが、SHA2/AESに依存しており、それらの長期的な量子耐性は不確かである。

実践的洞察： セキュリティアーキテクトにとって、本論文は青写真を提供する。独自のPRNGを自作してはならない。 確立された暗号構築物を構成要素として使用せよ。さらに重要なのは、検証、検証、検証である。 Linux FoundationのCCC（Common Criteria Certification）活動などの組織が強調するように、NISTテストのような継続的なエントロピー検証を重要な乱数生成システムに統合せよ。製品開発において、即座に得られる教訓は、システム内のLCGベースのパスワード生成を、安全に調達されたシードを使用するKMACまたはHMAC-SHA256ベースの生成器に置き換えることである。将来に備えるステップは、SHA-3/KECCAKベースの設計（KMACなど）でのプロトタイピングを開始し、最終的な統合のためにNISTのポスト量子暗号標準の進化を監視することである。

7. 技術詳細と数学的定式化

中核となる数学的操作は関連研究（第2章）で定義されている。主要な式は以下の通り：

• LCG（安全でない）：$f_i(k) \equiv a \times f_{i-1}(k) + c \ (\text{mod} \ m)$
• HMAC：$r_{hmac}(k, M) = h((k \oplus opad) \ || \ h((k \oplus ipad) \ || \ M))$
• PRNG用カウンタモードでのHMAC：$M_i = i \ || \ \text{KDF} \ || \ 0x00 \ || \ M \ || \ L$
• CMAC（CBC-MAC）反復：$c_{i+1} = AES(k, c_i \oplus M'_{i+1})$

パスワード生成は、乱数整数$R$（PRNG出力から）を文字インデックスにマッピングする：$\text{index} = R \ \text{mod} \ |S|$。ここで$|S|$は文字セットのサイズである。

8. 分析フレームワークと事例

事例：レガシーシステムのパスワード生成器の評価
シナリオ： レガシーなウェブアプリケーションが、一時的なユーザーパスワード生成に修正されたLCGを使用している。セキュリティ監査が必要である。
フレームワークの適用：

1. PRNGタイプの特定： ソースコードを調査。seed = (a * seed + c) % m; を発見。LCGの亜種であることを確認。
2. 暗号学的セキュリティの評価： LCGは決定論的かつ可逆的である。攻撃者が連続する数個のパスワードを取得すれば、シードを解き、将来のすべてのパスワードを予測できる可能性があり、NIST SP 800-63Bの認証子ランダム性に関するガイドラインに違反する。
3. 本論文の手法を用いた修正案の提案：
   • シード源： システム時刻シードをCSPRNG（例：Linuxの/dev/urandom、WindowsのCryptGenRandom）に置き換える。
   • コア生成器： 本論文の設計に従い、HMAC-SHA256ベースのPRNGを実装する。
   • 検証： 新しい生成器から大量のサンプル（1,000,000ビット）を生成し、展開前にNIST STS（Statistical Test Suite）またはSP 800-90Bのエントロピー推定器を実行してランダム性を検証する。

このフレームワークは、評価を「ランダムに見えるか？」から「標準化された暗号検証に合格するか？」へと転換する。

9. 将来の応用と開発の方向性

この原理はユーザーパスワードを超えて拡張できる：

• APIキーおよびトークン生成： マイクロサービスアーキテクチャ内で、暗号学的にランダムなAPIキーやセッショントークンを自動生成する。
• 安全なデフォルト設定： IoTデバイスやソフトウェアインストーラーにそのような生成器を組み込み、ユニークで強力なデフォルト管理者パスワードを作成し、広範なデフォルト認証情報攻撃を緩和する。
• ポスト量子への進化： KMACベースの構築は本質的にSHA-3（KECCAK）に基づいており、量子耐性があると考えられている。この生成器は「暗号敏捷性（crypto-agile）」システムの基盤となり得る。暗号コミュニティが量子コンピューティング時代に備える中、今後の課題は、CRYSTALS-Kyberやハッシュベース署名など、NIST標準化されたポスト量子アルゴリズムに基づくPRNGを統合することである。
• パスワードマネージャーおよびSSOとの統合： この生成器は、オープンソースのパスワードマネージャーやシングルサインオン（SSO）システムの中核コンポーネントとなり、透明性が高く監査可能なパスワードランダム性の源を提供できる。

10. 参考文献

1. M. Bishop, “Computer Security: Art and Science”, Addison-Wesley, 2019.
2. NIST, “Special Publication 800-63B: Digital Identity Guidelines”, 2020.
3. NIST, “Special Publication 800-90B: Recommendation for the Entropy Sources Used for Random Bit Generation”, 2018.
4. NIST, “Special Publication 800-108 Rev. 1: Recommendation for Key Derivation Using Pseudorandom Functions”, 2022.
5. NIST, “FIPS 202: SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions”, 2015.
6. J. Kelsey, B. Schneier, D. Wagner, “Secure Applications of Low-Entropy Keys”, Information Security Workshop, 1997.
7. M. Dworkin, “Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication”, NIST SP 800-38B, 2005.
8. NIST, “Status Report on the Third Round of the NIST Post-Quantum Cryptography Standardization Process”, 2022. [Online]. Available: https://csrc.nist.gov/projects/post-quantum-cryptography
9. Linux Foundation, “Common Criteria Certification and Open Source”, 2023. [Online]. Available: https://www.linuxfoundation.org/