幻想ラチェット、純情エトワールっぽいタイトルでどか嬉しくなる December 12, 2025

正解は、、、D（のようです）

解説
方式1：固定セッション鍵

攻撃者がある時点で Ks を入手すると、過去・現在・未来の全メッセージが解読可能。

前方秘匿性なし。

ポストコンプロマイズ秘匿性もなし。

よって FS も PCS も満たさない。

方式2：一方向ハッシュ・メッセージ鍵チェーン

K(i+1) = H(Ki) なので、現在の Kn から過去の Kn-1 を計算することは困難（H が一方向と仮定）。
→ 攻撃者がある時点で Kn を奪っても、それ以前のメッセージ鍵列は逆算できない。
⇒ 前方秘匿性 (FS) は満たされる。

しかし、Kn を持っていれば、その先の K(n+1) = H(Kn), K(n+2) = H(Kn+1), ... がすべて計算できる。
→ デバイスを取り戻しても、攻撃者がコピーした Kn から未来の鍵を再生成できてしまう。
⇒ ポストコンプロマイズ秘匿性 (PCS) はない。

方式3：セッション単位のDH＋メッセージチェーン

セッション開始時に新しい DH を行っているので、

セッション単位では FS がある：

あるセッションで使われた Ksess が漏れても、過去のセッションの Ksess_old は解読できない。

しかし PCS の観点では微妙：

攻撃者が“あるセッションの途中で”端末を乗っ取り、現在の Ki をコピーした場合、

そのセッションが続く限り、やはり Ki から K(i+1), K(i+2) ... を計算できてしまう。

PCS は「攻撃後、追加の安全なラウンドトリップ（例：新しいDH鍵交換）を経ることで、未来のメッセージがまた守られる」ことが必要だが、

この方式では「セッションを張り直すイベント」が発生しない限り回復しない。

ユーザが意識してセッションを閉じない通常のチャットでは、攻撃後の残りの会話がずっと丸見えになりうる。

厳密な意味での PCS を満たすとは言い難い。

方式4：DHラチェット＋メッセージラチェット（ダブルラチェット）

メッセージラチェットにより、

各メッセージ鍵は一方向ハッシュで前進し、過去鍵は破棄される。
→ 攻撃者がある時点のメッセージ鍵を奪っても、それ以前の鍵には遡れない。
⇒ FS を満たす。

さらに、一定タイミングで新たな DH 鍵交換（DHラチェット）を行うことで、

攻撃者がある時点で端末を乗っ取り、すべての内部状態をコピーしても、

その後の DH ラチェットで生成された新しいルート鍵 R_new にはアクセスできない（攻撃者は新しい秘密DH値を知らない）。
→ 以降に派生するメッセージ鍵は攻撃者のコピーからは計算できない。
⇒ ポストコンプロマイズ秘匿性 (PCS) を満たす。

したがって、FS と PCS の 両方を満たすのは
方式4（ダブルラチェット型のプロトコル）だけである。 December 12, 2025