ブラックボックス構成と その限界 安永 憲司(金沢大学). 暗号理論 情報の秘匿性・正当性等を保証する技術の基礎理論 秘匿性:公開鍵暗号、鍵共有、ゼロ知識証明 正当性:電子署名、メッセージ認証、相手認証 その他:一方向性関数、擬似乱数生成器、 擬似ランダム関数 P ≠ NP の先の世界 一方向性関数の存在性を仮定した上で議論.

Slides:



Advertisements
Similar presentations
情報セキュリティ 第3回 現代暗号の基礎数理. 脅威と暗号技術 セキュリティに対する脅威 脅かされる特性 暗号技術 機密性 正真性 認証 否認不可能性 盗聴 (秘密が漏れる) 改竄 (情報が書き換えられる) なりすまし (正しい送信者のふりをする) 否認 (後から私じゃないと言う) 共通鍵暗号 公開鍵暗号.
Advertisements

効率的に計算可能な 加法的誤りの訂正可能性 安永 憲司 九州先端科学技術研究所 SITA 2012 @ 別府湾ロイヤルホテル
List decoding for Reed-Muller codes and its application to polar codes 安永 憲司 東京工業大学 大学院情報理工学研究科 数理・計算科学専攻 1.
Probabilistic Method 7.7
合理的な秘密分散における 不可能性とその回避方法
3.2.3~3.3 D3 川原 純.
2001/10/10 PSEC-KEM NTT 小林 鉄太郎 CRYPTREC 2001
Orbifold Family Unification in SO(2N) Gauge Theory
ソフトウェア基礎科学 授業資料: 論理関係(logical relations)のお話
黒澤 馨 (茨城大学) 情報セキュリティ特論(6) 黒澤 馨 (茨城大学) 2017/3/13 confidential.
計算の理論 II NP完全 月曜4校時 大月美佳.
Probabilistic Method.
Reed-Solomon 符号と擬似ランダム性
8.クラスNPと多項式時間帰着.
論理式の表現を数学的に取り扱いやすくするために代数学の助けを借りる.
Semantics with Applications
初級ミクロ経済学 -ゲーム理論入門- 2014年12月15日 古川徹也 2014年12月15日 初級ミクロ経済学.
9.NP完全問題とNP困難問題.
Probabilistic method 輪講 第7回
安永憲司 大阪大学 大学院情報科学研究科 2005年12月7日 大阪市立大学文化交流センター
Systems and Software Verification 10. Fairness Properties
黒澤 馨 (茨城大学) 情報セキュリティ特論(7) 黒澤 馨 (茨城大学)
黒澤 馨 (茨城大学) 情報セキュリティ特論(5) 黒澤 馨 (茨城大学)
2001/10/10 PSEC-KEM NTT 小林 鉄太郎 CRYPTREC 2001
k 個のミスマッチを許した点集合マッチング・アルゴリズム
シャノンのスイッチングゲームにおけるペアリング戦略について
シャノンのスイッチングゲームにおけるペアリング戦略の複雑さについて
3. 可制御性・可観測性.
計算の理論 II NP完全 月曜5校時 大月美佳 平成17年1月17日 佐賀大学理工学部知能情報システム学科.
Q q 情報セキュリティ 第5回:2005年5月13日(金) q q.
第25章 単一始点最短路 3節 Bellman-Fordのアルゴリズム
正規分布における ベーテ近似の解析解と数値解 東京工業大学総合理工学研究科 知能システム科学専攻 渡辺研究室    西山 悠, 渡辺澄夫.
モデル検査 状態遷移系 PLTL(propositional linear-time temporal logic) PLTLのモデル検査
Q q 情報セキュリティ 第8回:2006年6月9日(金) q q.
情報セキュリティ  第4回 メッセージ認証コード.
PGP インターネットで 広く使われている暗号技術
ディジタル回路 2. ブール代数 と 論理ゲート 五島 正裕.
情報セキュリティ  第11回 デジタル署名.
7.4 Two General Settings D3 杉原堅也.
情報セキュリティ  第8回 RSA暗号.
Q q 情報セキュリティ 第11回:2004年6月18日(金) q q.
Extractor D3 川原 純.
九州大学大学院 情報学専攻特別講義 (3) 配列解析
Selfish Routing and the Price of Anarchy 4.3
計算量理論輪講 chap5-3 M1 高井唯史.
計算の理論 II 言語とクラス 月曜4校時 大月美佳.
Structural operational semantics
Q q 情報セキュリティ 第8回:2005年6月3日(金) q q.
Q q 情報セキュリティ 第7回:2006年6月2日(金) q q.
Q q 情報セキュリティ 第7回:2007年6月1日(金) q q.
複数回通信可能なChaffing and Winnowingのテーブルによる可視化
論文紹介 M. Abadi and P.Rogaway: Reconciling Two Views of Cryptography (The Computational Soundness of Formal Encryption) J. Cryptology (2002) 15:
生物情報ソフトウェア特論 (2)たたみ込みとハッシュに 基づくマッチング
モデル検査(5) CTLモデル検査アルゴリズム
B03 量子論理回路の 最適化に関する研究 西野哲朗,垂井淳,太田和夫,國廣昇 電気通信大学 情報通信工学科.
Diffie-Hellman 鍵共有 ElGamal 暗号 楕円曲線暗号,量子コンピュータ
Max Cut and the Smallest Eigenvalue 論文紹介
Q q 情報セキュリティ 第12回:2004年6月25日(金) の補足 q q.
ガウス分布における ベーテ近似の理論解析 東京工業大学総合理工学研究科 知能システム科学専攻 渡辺研究室    西山 悠, 渡辺澄夫.
矛盾した知識 デフォルト推論 仮説を用いた推論 準無矛盾推論 デフォルト規則 デフォルト理論の拡張 → デフォルト証明 シナリオ
Additive Combinatorics輪講 6章
4.プッシュダウンオートマトンと 文脈自由文法の等価性
ネット時代のセキュリティ3(暗号化) 2SK 情報機器工学.
黒澤 馨 (茨城大学) 情報セキュリティ特論(8) 黒澤 馨 (茨城大学)
生物情報ソフトウェア特論 (4)配列解析II
電子投票班 (電子オークション班) 後藤研究室 大木島 航.
データの改竄を防ぐ仕組み 2002/9/12 牧之内研究室「インターネット実習」Webページ
情報生命科学特別講義III (3)たたみ込みとハッシュに 基づくマッチング
線形符号(10章).
Time Reversal E-Text: pp.80-83(PDF: pp.49-50) FM08002 太神 諭
Presentation transcript:

ブラックボックス構成と その限界 安永 憲司(金沢大学)

暗号理論 情報の秘匿性・正当性等を保証する技術の基礎理論 秘匿性:公開鍵暗号、鍵共有、ゼロ知識証明 正当性:電子署名、メッセージ認証、相手認証 その他:一方向性関数、擬似乱数生成器、 擬似ランダム関数 P ≠ NP の先の世界 一方向性関数の存在性を仮定した上で議論

暗号技術の帰着関係 「技術 A  技術 B 」 技術 A を実現する任意の方法が与えられれば、 技術 B を実現可能 「 B の安全性を A の安全性に帰着させる」 という OWF PRGCom PRFZK ID Sig TDP OT KA PKENIZK MAC SKE SFE UOWHF

帰着の例( OWP + hardcore  PRG ) OWP f とその hardcore predicate h に対し、 G(x) = (f(x), h(x)) は PRG である 証明 PRG G の安全性を破る PPT A を仮定 A は i bit まで与えられ、 i+1 bit 目が予測可能 G の最初 n bit は置換であり一様分布  A は n+1 bit 目を予測 A が n+1 bit 目を予測できることは h が hardcore であることに反する(証明終) PRG の安全性を hardcore の安全性に帰着

ブラックボックス帰着 各技術の中身(実現方法)を見ずに 帰着関係を示すこと 暗号技術の入出力と安全性が分かれば十分 暗号理論の帰着の多くはブラックボックス ブラックボックス帰着の限界 [IR89] OWF  Key Agreement (KA)

2つの意味のブラックボックス 例. OWF  KA 1. 構成方法がブラックボックス: 任意の OWF f が与えられたとき、 f の中身を見ずに、 KA を構成 限界に関する研究 [IR89, Rud92, Sim98, GKM+00, Fis02, RTV04, HR04, DOP05, GGK+05, BCFW09, FLR+10, FS12, HMS12] OWF f OWF f KA Protocol KA Protocol

2つの意味のブラックボックス 例. OWF  KA 2. 安全性証明(帰着)がブラックボックス: KA を破る敵対者 A が与えられたとき、 A の中身を見ずに、 OWF を破る敵対者を構成 限界に関する研究 [BV98, Cor02, Bro05, PV05, BMV08, HRS09, FS10, Pas11, GW11, DHT12, Pas13, Wic13] KA attacker KA attacker OWF attacker OWF attacker OWF f OWF f

Impagliazzo, Rudich (STOC ‘89) 以下のオラクル Π が存在: Π で相対化されて OWP は存在するが、 KA は存在しない 定理定理 技術 P が Π で相対化されて存在  PPT M に対し、 f = M Π が P を実現し、 任意の PPT A に対し、 A Π,f は f を破れない 定義 ( 相対化されて存在 ) Π で相対化された世界でも存在する

技術 P から Q への相対化帰着が存在  任意のオラクル Π に対して、 Π で相対化されて Q が存在するならば、 Π で相対化されて P も存在 定義 ( 相対化帰着 ) Π で相対化された世界でも帰着が成り立つ 技術 P から Q への fully-BB 帰着が存在  PPT G, S が存在し 1. Q の任意の実現方法 f に対して、 G f は P を実現 2. Q の任意の実現方法 f, 任意の A に対して、 (G f, A) で P を破る  (f, S A,f ) で Q を破る 定義 (fully black-box (BB) 帰着 ) (f, A) で P を破る  f という P の実現方法に対して A がその安全性を破る

技術 P から Q への fully-BB 帰着が存在するとき、 P から Q への相対化帰着が存在 命題 (fully-BB 帰着  相対化帰着 ) 証明: ・ P から Q への相対化帰着が存在しないと仮定  ∃ Π s.t. Π で相対化されて Q は存在し P は存在しない ・ fully-BB 帰着の存在から PPT G, S が存在 ・ G の性質より、 Q の任意の実現方法 f = M Π に対し、 G f は P を実現するが、 P は存在しないため、∃ PPT A s.t. (G f, A Π,f ) で P を破る ・ A’ = A Π,f の存在と S の性質より、 (f, S A’, f ) で Q を破る  Q が Π で相対化されて存在することに矛盾(証明終) 直観的には、 fully-BB は任意のオラクルアクセスを許しても成立するため

Impagliazzo, Rudich (STOC ’89) (再掲) 以下のオラクル Π が存在: Π で相対化されて OWP は存在するが、 KA は存在しない ( Π は PSPACE + ランダム関数) 定理定理 KA から OWP への fully-BB 帰着は存在しない 系

暗号技術の帰着関係 OWF PRGCom PRFZK ID Sig TDP OT KA PKENIZK MAC SKE SFE UOWHF fully-BB or 相対化帰着では不可

ブラックボックスでない帰着方法とは? Karp 帰着( NP 完全性等)を利用した構成法 Cook-Levin の NP 完全性証明では、 TM の状態をブール関数で表現 任意の NP に対するゼロ知識証明 [GMW91] では、 NP 完全性を利用するため、 TM のコードが必要 Barak (FOCS ‘01) のテクニック 敵対者のコードを利用 ブラックボックスによる限界を回避 回路を利用した構成方法 Randomized Encoding [AIK04,06] では NC 1 回路で実現された暗号技術を NC 0 に変換 完全準同型暗号の構成法

BB 帰着不可能性に関する研究 BB 帰着による効率の限界 BB 構成アルゴリズムのクエリ下界 [GGKT05] OWP  PRG,UOWHF, Signature; TDP  PKE BB 帰着アルゴリズムのクエリ下界 [Lu09] weak OWF  strong OWF; OWF  PRG メタ帰着による不可能性 「 BB 帰着の存在  安全性仮定の否定」 安全性仮定に対して議論可能

参考文献 [IR89] R. Impagliazzo and S. Rudich: Limits on the provable consequences of one-way permutations. STOC [GGKT05] Rosario Gennaro, Yael Gertner, Jonathan Katz, Luca Trevisan: Bounds on the Efficiency of Generic Cryptographic Constructions. SIAM J. Comput. (2005) [Lu09] Chi-Jen Lu: On the Security Loss in Cryptographic Reductions. EUROCRYPT [BCPT13] Eleanor Birrell, Kai-Min Chung, Rafael Pass, Sidharth Telang: Randomness-Dependent Message Security. TCC 2013 [RTV04] Omer Reingold, Luca Trevisan, Salil P. Vadhan: Notions of Reducibility between Cryptographic Primitives. TCC [BBF13] Paul Baecher, Christina Brzuska, Marc Fischlin. Notions of Black-Box Reductions, Revisited. Asiacrypt 2013.

Hsiao, Reyzin (CRYPTO ‘04) 以下のオラクル F, G が存在するとき、 技術 P から Q への fully-BB 帰着は存在しない 1. ∃ PPT L s.t. L G が Q を実現 2. ∀ PPT M, M G が P を実現  ∃ PPT A s.t. (M G, A F ) で P を破る 3. no PPT B s.t. (L G, B F,G ) で Q を破る 命題 (Two-oracle technique of BB separation) ・ G: 構成用オラクル, F: 攻撃用オラクル 1. G アクセスで Q を実現 2. G アクセスで P を実現したとき、 F アクセスでそれを破る 3. G アクセスで Q を実現したとき、 F,G アクセスでそれは破れない ・構成のときに、 G だけでなく F にもアクセスを 許せば通常の相対化帰着

証明: ・ P から Q への fully-BB 帰着が存在しないことを示すため、 任意の PPT G, S に対し、 (a) Q を実現するの f が存在し、 Gf は P を実現し任意の実現方法 f に対して、 G f は P を実現し、 (b) Q の任意の実現方法 f, 任意の A に対して、 (G f, A) で P を破るが、 (f, S A,f ) で Q を破らない を示す ・ 1 より、 LG が P を実現し、 (a) は満たされる ・ 2 より、 Gf ・ G の性質より、 Q の任意の実現方法 f = M Π に対し、 G f は P を実現するが、 P は存在しないため、∃ PPT A s.t. (G f, A Π,f ) で P を破る ・ S の性質より、 (M Π, S A,Π,f ) で Q を破る  Q が Π で相対化されて存在することに矛盾(証明終)