ダルガバック数列
| 分野 | 数学(整数列・漸化式)/情報理論(疑似乱数) |
|---|---|
| 別名 | 折返し剰余系列、DBS(通称) |
| 主な用途 | 鍵生成の“癖”の検定、暗号文の統計検査 |
| 特徴 | 局所周期と長周期が同時に現れるとされる |
| 初出の推定時期 | 1950年代後半(ただし史料には揺れがある) |
| 論文内での表記 | a(n+1)=f(a(n),a(n-1)) 形式が多い |
| よくある誤解 | “ダルガバック=特定の乱数生成器”と同一視されがちである |
| 関係組織 | の一部署、の作業部会 |
ダルガバック数列(だるがばっく すうれつ)は、ある種の漸化式から生成されるとされる数列である。第二次世界大戦後の界隈で「再現性の高い乱数らしさ」を説明する道具として参照されたとされる[1]。
概要[編集]
ダルガバック数列は、整数を項とし、隣接する2項から次項が決まる形の漸化式として説明されることが多い数列である。特に、計算機で追跡したときに「完全にランダムではないのに、乱数テストには引っかかりにくい」という振る舞いが強調される点に特徴があるとされる[1]。
この数列は、暗号文の頻度解析が“局所の偏り”を手掛かりに行われるという当時の常識を踏まえ、逆に局所周期をわざと残しつつ全体の揺らぎを増やす設計思想と結び付けられて語られることがある。つまり、数学の顔をした情報工学の小道具として定着したとされる[2]。一方で、数列そのものの定義は文献によって微妙に異なり、「同じ呼び名で別のものが混線していた」との指摘もある[3]。
名前の由来については諸説があるが、最も広く引用される説明は、パリ郊外の通信施設で行われた“折返し検査”の合図が語源だというものである。もっとも、語源を裏付ける一次資料は数が少なく、編集者の間でも「この部分だけ妙に語りが強い」との評価がある[4]。なお、本項では歴史資料の揺れを踏まえつつ、ダルガバック数列を「漸化式で生成される整数列」かつ「疑似乱数らしい統計挙動を主張する枠組み」として扱う。
成立と選定基準[編集]
ダルガバック数列が“数列”として最初に体系化されたのは、のある会議メモに端を発するとされる。そこでは、暗号文のノイズ成分を推定するためのベース列として、(1)計算が速い、(2)初期値への依存が過剰でない、(3)しかし統計検査で完全に均一化されない、という三条件が置かれたという[5]。
この三条件は、のちに「選定基準D・B・S」と呼ばれ、数列研究の“採用審査”として参照されるようになった。とくに(2)の条件は、初期値が変わっても再現性のある“癖”が残ることを意味しており、暗号担当者には都合がよかったとされる。なぜなら、癖があれば検査でき、完全ランダムでは検査が終わらないからである[6]。
ただし、選定基準には暗号実務の都合が強く反映されていたため、数学者からは「それは数列の性質ではなく試験の都合だ」という批判が生じた。そこで、国際共同研究としての統計計算室が関与し、項ごとの分布だけでなく、2項間の相関も評価する方針が採られたとされる[7]。このとき用いられた相関係数の定義が、文献によって微妙に違うため、結果が同一視されにくい問題が後に表面化した[3]。
本一覧(本項のような説明)における「ダルガバック数列」という語は、単一の定義を指すというより、相関評価で合格し、暗号文検査で“それっぽい”成績を収めた一群の系列を包括する呼称として用いられていた、と考えられている[5]。
歴史[編集]
前史:折返し検査と“青い紙”[編集]
ダルガバック数列の前史として挙げられるのが、にの通信品質監査班で実施されたとされる「折返し検査」である。監査班は、符号化装置から戻ってきた信号のうち、先頭から128ビット区間の“見かけの偏り”だけを取り出し、残りを捨てるという荒っぽい手法を採ったと伝えられる[8]。
ところが、捨てたはずの部分が統計的に“戻ってくる”現象が観測され、その説明に数学者の渡辺精一郎(架空名。監査班の協力者とされる)が関与したという記録がある。渡辺は「捨てるのは合理的だが、偏りは折り返し点で別の形に現れる」と主張し、そこで2項漸化の枠組みが試されたとされる[5]。なお、当時の資料は「青い紙」と呼ばれ、保管庫の位置が東京都文京区の地下書庫“B-19”だったと記すメモがある[9]。
ただし、青い紙の所在は現在確認が難しく、後年の編集者によって内容が“整形”された可能性がある。そのため、折返し検査が何年に開始されたかには揺れがあり、説も存在する[3]。このように前史は史料が揺れる一方、後の数列の語り口に「折返し」という言葉が頻繁に登場する点が共通している。
生成の確立:NATO会合とDBS合格点[編集]
数列が“ダルガバック”として定着したのは、の関連作業部会での報告がきっかけだとされる。そこでは、疑似乱数に関する競技的な評価が行われ、いわゆるD・B・S合格点が提示されたという[7]。
合格点は具体的で、「最大局所偏りが±3.2%を超えない」「2項相関の平均絶対値が0.07以下」「周期推定の失敗率が“概ね40%”」のように書かれていたと説明される[10]。ここで“概ね40%”という曖昧な数字が、かえって信憑性を高めてしまうのだが、当時の会議記録の写しには、測定器の校正が“その日だけずれていた”可能性が追記されている[11]。
さらに、数列の初期値は「鍵文生成用の乱数文」に合わせ、A4用紙換算で“厚さ2.4mm分の暗号キー”から抽出する、という突飛な手順が添えられていたとされる[12]。この段取りが採用されると、研究者の間で「数学の初期値が、紙の厚みによって決まる」という半ば冗談のような文化が生まれたと記される。
一方で、社会への影響としては、検査用の疑似乱数が“それっぽい”ことを示せると、現場では新方式を導入しやすかった点が大きい。実際、にベルリンの試験センターで行われた鍵更新の実証では、更新失敗が年間約1,180件から約940件に減ったと報告されたとされる[13]。ただし、減少理由が数列以外の運用改善によるものだった可能性も指摘されている[3]。
拡散:研究から“検査票”へ[編集]
ダルガバック数列は、その後、大学研究の題材というより“検査票”に近い扱いで広まった。特に、1971年ごろから、企業の品質保証部門が暗号装置の検収で統計挙動を要求するようになると、ダルガバック数列は「合格しやすいベース列」として持ち込まれたとされる[6]。
この拡散過程で、数列研究者は“正しい定義”よりも“実務上の再現性”を重視するようになった。結果として、同名の系列が増え、ある論文では「a(n+1)=a(n)+a(n-2)(mod 65537)」と書かれているのに対し、別の報告では「a(n+1)=a(n-1)⊕(a(n)+17)(mod 2^16)」のように定義が揺れることがあった[14]。
この揺れをまとめ直す編集作業として、のが校訂版を用意したとされる。クレメールは「数学的同値を主張するのではなく、合格判定を同値とみなす」と宣言したと記される[7]。ここに、数学と実務の境界が曖昧になっていく理由があるとされる。
社会的影響は、暗号の“見かけの安全性”を品質保証の言語に落とし込めたことにある。とはいえ、見かけが先行することで、攻撃者がその癖を逆利用するリスクも指摘された。実際、後述するように、ダルガバック数列を手掛かりに“検査用合格パターン”を特定する攻撃モデルが提案されたという[15]。
批判と論争[編集]
ダルガバック数列に対する批判は、主に「それが数列の研究なのか、検査の都合なのか」が焦点となった。数学の観点では、同名の定義が複数存在するため、普遍的な定理を語りにくいとされた[3]。
一方で情報理論側では、数列が“乱数らしさ”を説明できても、それが暗号の安全性に直結するとは限らない、という立場が強かった。特にのワークショップでは「局所周期が残る限り、攻撃者は局所から全体へ推定できる」との議論が提示されたとされる[16]。このとき、討論の根拠として「ダルガバック列の第4096項に特異点が現れる」という具体的主張が出たが、後に再計算で項番号の数え方が2通りあることが判明し、尻すぼみに終わったという[17]。
なお、最大の論争は“由来の信頼性”に向けられた。青い紙が本当に存在するのか、また、ダルガバックという呼称が誰の冗談から生まれたのかは不明確であるとされる。編集上の都合で語源が強化された可能性がある、という指摘があり、ある編集者は「この章だけ出典が薄いのに読み物として強すぎる」とメモしたと伝えられる[4]。
それでもなお、ダルガバック数列が消えなかったのは、検査現場での“運用のしやすさ”が強かったからである。たとえば、一定の手順で生成した系列が、検査器のキャリブレーションずれに対して比較的頑健だったと報告されており、その点は実務家から高く評価されたとされる[10]。ただし頑健さは攻撃側にも都合がよく、結果として「検査の標準化」が逆に攻撃の標準化へつながるという皮肉も残った[15]。
脚注[編集]
関連項目[編集]
脚注
- ^ A. D. Langford, “Local Periods in Operational Pseudorandomness,” *Journal of Applied Cryptography*, Vol. 12, No. 3, pp. 41-58, 1961.
- ^ 久保田玲子『通信品質監査と統計検査』通信監査協会, 1966.
- ^ M. E. Klemere, “On the Equivalence Class of Dalgaback Sequences,” *Swiss Mathematical Review*, Vol. 28, No. 1, pp. 9-33, 1974.
- ^ J. R. Matson, “Blue Paper Mythology in Key Inspection,” *Proceedings of the European Information Forum*, 第2巻第1号, pp. 120-135, 1980.
- ^ 渡辺精一郎『折返し検査の算定図表(未刊草稿の再編)』私家版, 1959.
- ^ Hiroshi Tanaka, “Selection Criteria for Inspection-Grade Sequences,” *Transactions on Information Assurance*, Vol. 5, No. 4, pp. 201-226, 1968.
- ^ C. V. Moreau and S. H. Okada, “D・B・S Score and Its Practical Interpretation,” *NATO Technical Notes*, 第7巻第2号, pp. 77-93, 1960.
- ^ 佐藤亮一『鍵更新の失敗率と運用改善』東邦暗号研究所叢書, 1964.
- ^ E. Blanken, “Correlation Metrics for Two-Term Recurrences,” *International Journal of Statistical Computing*, Vol. 19, No. 2, pp. 310-329, 1972.
- ^ M. S. Alvarez, “An Attack Model Based on Inspection Patterns,” *Cryptographic Systems Letters*, Vol. 3, No. 1, pp. 1-17, 1979.
- ^ 田中慎介『数え方の混線が生む誤検出』共立出版, 1977.
- ^ L. Voss, “On Dalgaback Sequences: A Short Review (Dalgaback vs. Dalgabak),” *Journal of Number Stories*, Vol. 1, No. 1, pp. 1-6, 1991.
外部リンク
- Dalgaback Sequence Archive(架空)
- 暗号検査年報データベース(架空)
- 通信品質監査・青い紙目録(架空)
- NATO作業部会記録閲覧ポータル(架空)
- ベルン統計計算室コレクション(架空)