河内亮周(東工大) 岡本吉央(電通大) 田中圭介(東工大) 安永憲司(九州先端研)

Slides:



Advertisements
Similar presentations
最上 亮.  近年標的型と呼ばれるサイバー攻撃が増え、大 企業や、政府機関が情報窃取型の標的型メール 攻撃の被害を受けている。  標的型メール攻撃による個人情報漏えいは、企 業に莫大な損失を与えるとともに、信頼を失う。  現在サイバー攻撃における攻撃者、防御者の戦 略をゲーム理論的にモデル化する研究がおこな.
Advertisements

効率的に計算可能な 加法的誤りの訂正可能性 安永 憲司 九州先端科学技術研究所 SITA 2012 @ 別府湾ロイヤルホテル
Lesson 9. 頻度と分布 §D. 正規分布. 正規分布 Normal Distribution 最もよく使われる連続確率分布 釣り鐘形の曲線 -∽から+ ∽までの値を取る 平均 mean =中央値 median =最頻値 mode 曲線より下の面積は1に等しい.
だい六か – クリスマスとお正月 ぶんぽう. て form review ► Group 1 Verbs ► Have two or more ひらがな in the verb stem AND ► The final sound of the verb stem is from the い row.
第 5 章 2 次元モデル Chapter 5 2-dimensional model. Contents 1.2 次元モデル 2-dimensional model 2. 弱形式 Weak form 3.FEM 近似 FEM approximation 4. まとめ Summary.
ゲーム理論の誕生と発展 von Neumann & Morgenstern The Theory of Games and Economic Behavior.
Essay writing rules for Japanese!!. * First ・ There are two directions you can write. ・よこがき / 横書き (same as we write English) ・たてがき / 縦書き (from right to.
合理的な秘密分散における 不可能性とその回避方法
A:あらっ!どうしたんですか?! B: ________んです。 つぎの絵を見て、何か面白い答えを書いてください。
五段動詞の歌 ごだんどうしのうた.
英語勉強会.
Chapter 11 Queues 行列.
と.
上級価格理論II 第3回 2011年後期 中村さやか.
ゲーム理論・ゲーム理論Ⅰ (第6回) 第4章 戦略形ゲームの応用
新ゲーム理論ゼミ 第5章 「繰り返しゲーム」 M1 松村 草也.
多数の疑似システムを用いた システム同定の統計力学 三好 誠司 岡田 真人 神 戸 高 専 東 大, 理 研
Reed-Solomon 符号と擬似ランダム性
Object Group ANalizer Graduate School of Information Science and Technology, Osaka University OGAN visualizes representative interactions between a pair.
法と経済学(file 6) ゲーム理論2 今日の講義の目的 (1)展開型ゲームという考え方を理解する (2)後方帰納法の考え方を理解する
Japanese verbs informal forms
10.Private Strategies in Games with Imperfect Public Monitoring
初級ミクロ経済学 -ゲーム理論入門- 2014年12月15日 古川徹也 2014年12月15日 初級ミクロ経済学.
SP0 check.
トピック10 患者安全と侵襲的処置 When Rabia first mentioned this conference to me in September 2007 I was impressed with her commitment, vision and energy for this international.
Verb たform + ことがあります Past experience.
Tohoku University Kyo Tsukada
V 03 I do NOT eat sushi. I do NOT do sumo.
にほんご JPN101 Sep. 23, 2009 (Wednesday).
Chapter 4 Quiz #2 Verbs Particles を、に、で
Provisioning on Multiple Network(NIC) env
The Sacred Deer of 奈良(なら)
Who Is Ready to Survive the Next Big Earthquake?
新ゲーム理論 第Ⅰ部 非協力ゲームの理論 第1章 非協力ゲームの戦略形
退出可能な 社会的ジレンマ実験 小林盾(シカゴ大学) 大浦宏邦(帝京大学) 石原英樹(立教大学) 2003年10月12
シャノンのスイッチングゲームにおけるペアリング戦略について
Causative Verbs Extensively borrowed from Rubin, J “Gone Fishin’”, Power Japanese (1992: Kodansha:Tokyo) Created by K McMahon.
12/14 全体ミーティング 米澤研究室卒論生 山崎孝裕
7.4 Two General Settings D3 杉原堅也.
Term paper, Report (1st, first)
訓練データとテストデータが 異なる分布に従う場合の学習
MIX 09 2/23/2019 1:22 PM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Where is Wumpus Propositional logic (cont…) Reasoning where is wumpus
逐次プログラムの正当性(2) 帰納的アサーション法(フロイド法)
第24回応用言語学講座公開連続講演会 後援:国際言語文化研究科教育研究プロジェクト経費
On the Robustness of Private Leadership in Mixed Duopoly
東北大学大学院情報科学研究科 教授 西関 隆夫
いくらですか?.
2009年12月4日 ○ 前田康成(北見工業大学) 吉田秀樹(北見工業大学) 鈴木正清(北見工業大学) 松嶋敏泰(早稲田大学)
電機情報工学専門実験 6. 強化学習シミュレーション
2019/4/22 Warm-up ※Warm-up 1~3には、小学校外国語活動「アルファベットを探そう」(H26年度、神埼小学校におけるSTの授業実践)で、5年生が撮影した写真を使用しています(授業者より使用許諾済)。
盗聴・改ざんに対して耐性を持つ ネットワーク符号化について
Term paper, report (2nd, final)
北大MMCセミナー 第62回 附属社会創造数学センター主催 Date: 2016年11月4日(金) 16:30~18:00
第Ⅱ部 協力ゲームの理論 第7章 提携形ゲームと配分 2008/07/01(火) ゲーム理論合宿 M1 藤井敬士.
ー生命倫理の授業を通して生徒の意識に何が生じたかー
The difference between adjectives and adverbs
Created by L. Whittingham
東北大 情報科学 田中和之,吉池紀子 山口大 工 庄野逸 理化学研究所 岡田真人
英語勉強会:川口英語 Supporting of Continuing Life Habit Improvement Using the Theory of Cognitive Dissonance : System Extension and Evaluation Experiment B4 渡邉.
川島 朋尚 (国立天文台)、朝比奈 雄太 (国立天文台)、工藤祐己 (千葉大) supervised by 松本 洋介 (千葉大)
Cluster EG Face To Face meeting
Grammar Point 2: Describing the locations of objects
契約法の経済分析 麻生良文.
Term paper, report (2nd, final)
第Ⅰ部 非協力ゲームの理論 第6章 情報の価値 2008/07/01(火) ゲーム理論合宿 M2 渡辺美穂.
点素パス問題に対するアルゴリズム 小林 佑輔 東京大学 大学院情報理工学系研究科 組合せ最適化セミナー 2012 年 7月 13日
アノテーションガイドラインの管理を行う アノテーションシステムの提案
Improving Strategic Play in Shogi by Using Move Sequence Trees
プログラミング言語論 プログラミング言語論 演習7 解答と解説 演習7 解答と解説 1.
Presentation transcript:

河内亮周(東工大) 岡本吉央(電通大) 田中圭介(東工大) 安永憲司(九州先端研) 非同時通信路における 合理的秘密分散 河内亮周(東工大) 岡本吉央(電通大)  田中圭介(東工大) 安永憲司(九州先端研)

暗号プロトコル 正直者と悪者が存在 悪者がいたとしても、プロトコルに従えば、 正直者は目的を達成

プレイヤーに対する仮定 正直者は、常にプロトコルに従う 悪者は、可能な限りの邪魔をする

プレイヤーに対する仮定 正直者は、常にプロトコルに従う 悪者は、可能な限りの邪魔をする 極端すぎて現実的でないかも? 正直者も、自分の利益のためなら、 プロトコルに従わないかもしれない 悪者も、目的を持って行動しているはず

プレイヤーに対する仮定 正直者は、常にプロトコルに従う 悪者は、可能な限りの邪魔をする 極端すぎて現実的でないかも? 正直者も、自分の利益のためなら、 プロトコルに従わないかもしれない 悪者も、目的を持って行動しているはず 合理的なプレイヤー

合理的なプレイヤー 自分の利得を最大化するために行動 For this question, in 2004 Halpern and Teague showed that Shamir’s original secret sharing does not work for rational players.

合理的なプレイヤー 自分の利得を最大化するために行動 既存のプロトコルは正しく実行されるか? For this question, in 2004 Halpern and Teague showed that Shamir’s original secret sharing does not work for rational players.

合理的なプレイヤー 自分の利得を最大化するために行動 既存のプロトコルは正しく実行されるか?  Shamir の秘密分散は正しく実行されない [HT04] For this question, in 2004 Halpern and Teague showed that Shamir’s original secret sharing does not work for rational players.

秘密分散 参加者:ディーラー1人とプレイヤー n 人 2フェーズから構成 分散フェーズ: ディーラーが、秘密からシェアを作り、 各プレイヤーに配る 復元フェーズ: シェアを出し合うことで秘密を復元 (m, n) しきい値型秘密分散 m 個のシェアから秘密を復元でき m 個未満からは秘密について情報がもれない

[Halpern, Teague 2004] To discuss the behavior of players, we need to introduce some notions of game theory.

[Halpern, Teague 2004] プレイヤーの利得関数 秘密を復元したい より少ない人数で復元したい To discuss the behavior of players, we need to introduce some notions of game theory.

[Halpern, Teague 2004] プレイヤーの利得関数 秘密を復元したい より少ない人数で復元したい To discuss the behavior of players, we need to introduce some notions of game theory. Shamir の秘密分散では 復元フェーズが正しく実行されない

[Halpern, Teague 2004] プレイヤーの利得関数 秘密を復元したい より少ない人数で復元したい To discuss the behavior of players, we need to introduce some notions of game theory. Shamir の秘密分散では 復元フェーズが正しく実行されない  ゲーム理論による分析

戦略と Nash 均衡 プレイヤー i の戦略 σi どの状況でどの行動を取るかを記述したもの 戦略の組 σ = (σ1, …, σn) が Nash 均衡 ∀ i, ∀ σi’, Ui(σi’, σ− i) ≤ Ui(σ), Ui(σ) : 戦略 σ に従ったときの期待利得 Here we define strategy and Nash equilibrium. A strategy sigma i of player i specifies an action of player i to be taken in every possible situation. Therefore, if the strategies of all players are determined, we can discuss the outcome of the game. A set of all players strategies is called a strategy profile. And a strategy profile is called a Nash equilibrium if the following condition holds. Let U_i(sigma) denote the expected payoff of player i when the players follow sigma. The left-side of the inequality means the expected payoff of player i when player i follow sigma prime and the other players follow sigma. The strategy profile is Nash equilibrium if for any player i, the expected payoff of player i does not increase by changing the strategy from sigma to sigma prime. Next we discuss why Shamir’s scheme does not work. どのプレイヤーも、他のプレイヤーが σ に従う限り、 戦略 σ から逸脱しても、利得は増えない

Shamir の (m, n) 秘密分散の問題点 復元フェーズで、 全員がシェアを出すという戦略はよくない 復元フェーズで、 全員がシェアを出すという戦略はよくない 認証つき秘密分散を仮定すると プレイヤーの選択肢は実質的に2つ シェアを「出す」 シェアを「出さない」 In the reconstruction phase, players are asked to reveal their shares. This strategy is a problem. If we assume that the shares are authenticated, namely we consider authenticated secret sharing, then players have essentially two choices as a strategy. Reveal the secret and not reveal the secret.

Shamir の (m, n) 秘密分散の問題点 Nash 均衡ではない 弱支配される Nash 均衡 m = n のとき 「出さない」  1 人で復元 m < n のとき シェアを出しても出さなくても n 人で復元 「出さない」が「出す」より悪い状況はなく、 また、ある状況では真に良い Nash 均衡ではない 弱支配される Nash 均衡

既存研究 文献 通信路 その他の 仮定 MPC ラウンド数 解概念 連携 耐性 [HT04] 同時同報 秘密通信路 ✔ O(1/β) IEWDS [ADGH06] 2 n/2 − 1 [GK06] n − 1 [KN08a] M/M Enc. [KN08b] strict NE 1 [OPRV09] 同報 正直者 THPE [AL09] [GK06] 等 [FKN10] P2P VRF IEWDS = 弱支配戦略の連続的削除 strict NE = strict Nash 均衡 THPE = 摂動完全均衡 β : 利得に依存する十分小さな値

既存研究 文献 通信路 その他の 仮定 MPC ラウンド数 解概念 連携 耐性 [HT04] 同時同報 秘密通信路 ✔ O(1/β) IEWDS [ADGH06] 2 n/2 − 1 [GK06] n − 1 [KN08a] M/M Enc. [KN08b] strict NE 1 [OPRV09] 同報 正直者 THPE [AL09] [GK06] 等 [FKN10] P2P VRF IEWDS = 弱支配戦略の連続的削除 strict NE = strict Nash 均衡 THPE = 摂動完全均衡 β : 利得に依存する十分小さな値

strict Nash 均衡と連携耐性 戦略の組 σ = (σ1, …, σn) が strict Nash 均衡 ∀ i, ∀σi’ ≠ σi, ∃δ > 0, Ui(σi’, σ- i) ≤ Ui(σ) − δ, 戦略の組 σ が連携耐性 r の Nash 均衡 ∀ 連携 C ⊆ {1, 2, …, n} s.t. |C| ≤ r, ∀ σC’, UC(σC’, σ- C) ≤ UC(σC, σ- C) 連携耐性 1 の Nash 均衡 =(通常の)Nash 均衡 提携耐性 r の strict Nash 均衡 も同様に定義 σ 以外の戦略を取ると、利得が真に下がる r 人が連携しても、 σ は Nash 均衡

本研究の成果 合理的秘密分散 (RSS) の一般的変換法の提案 任意の RSS を(ブラックボックス的に使い) 平均 2 ラウンドで復元する RSS に変換 連携耐性 n/2 − 1 の strict Nash 均衡を保つ 定数ラウンド復元 RSS で最適な連携耐性 [AL09] (非同時)同報通信路を仮定 同時同報通信路の場合、平均 1 ラウンドで復元

既存研究との比較 文献 通信路 その他の 仮定 MPC ラウンド数 解概念 連携 耐性 [HT04] 同時同報 秘密通信路 ✔ O(1/β) IEWDS [ADGH06] 2 n/2 − 1 [GK06] n − 1 [KN08a] M/M Enc. [KN08b] strict NE 1 [OPRV09] 同報 正直者 THPE [AL09] [GK06] 等 [FKN10] P2P VRF 本研究 既存の RSS

提案プロトコル (分散フェーズ) ・・・ ・・・ 1 2 ・・・ n/2 ・・・ n

提案プロトコル (分散フェーズ) 1. 通常の SS S1 ・・・ ・・・ 1 2 ・・・ n/2 ・・・ n

提案プロトコル (分散フェーズ) 識別不能 1. 通常の SS S1 ・・・ ・・・ 1 2 ・・・ n/2 ・・・ n

提案プロトコル (分散フェーズ) (n/2 + 1, n) SS 1. 通常の SS S1 ・・・ ・・・ 1 2 ・・・ n/2 ・・・ 識別不能 確率 α (n/2 + 1, n) SS 1. 通常の SS S1 確率 1 – α ・・・ ・・・ 1 2 ・・・ n/2 ・・・ n

提案プロトコル (分散フェーズ) (n/2 + 1, n) SS 1. 通常の SS S1 ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ 識別不能 確率 α (n/2 + 1, n) SS 1. 通常の SS S1 確率 1 – α ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ 1 2 ・・・ n/2 ・・・ n

提案プロトコル (分散フェーズ) (n/2 + 1, n) SS 1. 通常の SS S1 ・・・ ・・・ ・・・ ・・・ 1 2 ・・・ 識別不能 確率 α (n/2 + 1, n) SS 1. 通常の SS S1 確率 1 – α ・・・ ・・・ ・・・ ・・・ 1 2 ・・・ n/2 ・・・ n

提案プロトコル (分散フェーズ) (n/2 + 1, n) SS 1. 通常の SS S1 2. 通常の SS S2 ・・・ ・・・ ・・・ 識別不能 確率 α (n/2 + 1, n) SS 1. 通常の SS S1 確率 1 – α 2. 通常の SS S2 ・・・ ・・・ ・・・ ・・・ 1 2 ・・・ n/2 ・・・ n

提案プロトコル (分散フェーズ) (n/2 + 1, n) SS 1. 通常の SS S1 2. 通常の SS S2 秘密 s’ 識別不能 確率 α (n/2 + 1, n) SS 1. 通常の SS S1 確率 1 – α 2. 通常の SS S2 秘密 s’ 秘密 s’ 1 (S1 で本物) 0 (S1 で偽物) = ・・・ ・・・ ・・・ ・・・ 1 2 ・・・ n/2 ・・・ n

提案プロトコル (分散フェーズ) (n/2 + 1, n) SS 1. 通常の SS S1 2. 通常の SS S2 (n/2, n) SS 識別不能 確率 α (n/2 + 1, n) SS 1. 通常の SS S1 確率 1 – α 2. 通常の SS S2 秘密 s’ (n/2, n) SS 秘密 s’ 1 (S1 で本物) 0 (S1 で偽物) = ・・・ ・・・ ・・・ ・・・ 1 2 ・・・ n/2 ・・・ n

提案プロトコル (分散フェーズ) (n/2 + 1, n) SS 1. 通常の SS S1 2. 通常の SS S2 (n/2, n) SS 識別不能 確率 α (n/2 + 1, n) SS 1. 通常の SS S1 確率 1 – α 2. 通常の SS S2 秘密 s’ (n/2, n) SS 秘密 s’ 1 (S1 で本物) 0 (S1 で偽物) ・・・ ・・・ = ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ 1 2 ・・・ n/2 ・・・ n

提案プロトコル (分散フェーズ) (n/2 + 1, n) SS 1. 通常の SS S1 2. 通常の SS S2 (n/2, n) SS 識別不能 確率 α (n/2 + 1, n) SS 1. 通常の SS S1 確率 1 – α 2. 通常の SS S2 秘密 s’ (n/2, n) SS 秘密 s’ 1 (S1 で本物) 0 (S1 で偽物) = ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ 1 2 ・・・ n/2 ・・・ n

提案プロトコル (分散フェーズ) (n/2 + 1, n) SS 1. 通常の SS S1 2. 通常の SS S2 3. RSS S3 識別不能 確率 α (n/2 + 1, n) SS 1. 通常の SS S1 確率 1 – α 2. 通常の SS S2 3. RSS S3 秘密 s’ (n/2, n) SS 秘密 s’ 1 (S1 で本物) 0 (S1 で偽物) = ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ 1 2 ・・・ n/2 ・・・ n

提案プロトコル (分散フェーズ) (n/2 + 1, n) SS 1. 通常の SS S1 2. 通常の SS S2 3. RSS S3 識別不能 確率 α (n/2 + 1, n) SS 1. 通常の SS S1 確率 1 – α 2. 通常の SS S2 3. RSS S3 秘密 s’ (n/2, n) SS (n, n) RSS 秘密 s’ 1 (S1 で本物) 0 (S1 で偽物) = ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ 1 2 ・・・ n/2 ・・・ n

提案プロトコル (分散フェーズ) (n/2 + 1, n) SS 1. 通常の SS S1 2. 通常の SS S2 3. RSS S3 識別不能 確率 α (n/2 + 1, n) SS 1. 通常の SS S1 確率 1 – α 2. 通常の SS S2 3. RSS S3 秘密 s’ (n/2, n) SS (n, n) RSS ・・・ ・・・ 秘密 s’ 1 (S1 で本物) 0 (S1 で偽物) ・・・ = ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ 1 2 ・・・ n/2 ・・・ n

提案プロトコル(復元フェーズ) ・・・ ・・・ ・・・ ・・・ ・・・ ・・・

提案プロトコル(復元フェーズ) Step 1. (n/2 + 1, n) SS S1 のシェアを出す ・・・ ・・・ ・・・ ・・・ ・・・

提案プロトコル(復元フェーズ) Step 1. (n/2 + 1, n) SS S1 のシェアを出す ・・・ ・・・ ・・・ ・・・ ・・・

提案プロトコル(復元フェーズ) Step 1. (n/2 + 1, n) SS S1 のシェアを出す 正しいシェアの数 ≥ n/2 + 1  秘密 s を復元 ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・

提案プロトコル(復元フェーズ) Step 1. (n/2 + 1, n) SS S1 のシェアを出す 正しいシェアの数 ≥ n/2 + 1  秘密 s を復元 or ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・

提案プロトコル(復元フェーズ) Step 1. (n/2 + 1, n) SS S1 のシェアを出す or ・・・ ・・・ ・・・ ・・・

提案プロトコル(復元フェーズ) Step 1. (n/2 + 1, n) SS S1 のシェアを出す 正しいシェアの数 < n  終了(s を秘密として出力) = n  次のラウンドへ = n ? ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・

提案プロトコル(復元フェーズ) ・・・ ・・・ ・・・ ・・・ ・・・ ・・・

提案プロトコル(復元フェーズ) Step 2. (n/2, n) SS S2 のシェアを出す ・・・ ・・・ ・・・ ・・・ ・・・ ・・・

提案プロトコル(復元フェーズ) Step 2. (n/2, n) SS S2 のシェアを出す ・・・ ・・・ ・・・ ・・・ ・・・ ・・・

提案プロトコル(復元フェーズ) Step 2. (n/2, n) SS S2 のシェアを出す 正しいシェアの数 ≥ n/2  秘密 s’ を復元 ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・

提案プロトコル(復元フェーズ) Step 2. (n/2, n) SS S2 のシェアを出す 正しいシェアの数 ≥ n/2  秘密 s’ を復元 秘密 s’ (= 1  s が本物) ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・

提案プロトコル(復元フェーズ) Step 2. (n/2, n) SS S2 のシェアを出す 秘密 s’ (= 1  s が本物) ・・・

提案プロトコル(復元フェーズ) Step 2. (n/2, n) SS S2 のシェアを出す 正しいシェアの数 = n かつ s’ = 0  次のラウンドへ それ以外   終了(s を出力) = n ? ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・

提案プロトコル(復元フェーズ) ・・・ ・・・ ・・・ ・・・ ・・・ ・・・

提案プロトコル(復元フェーズ) Step 3. (n, n) RSS S3 のシェアを使って秘密を復元 (RSS が正しく動作すれば秘密を復元) ・・・ ・・・ ・・・ ・・・ ・・・ ・・・

提案プロトコル(復元フェーズ) Step 3. (n, n) RSS S3 のシェアを使って秘密を復元 (RSS が正しく動作すれば秘密を復元) ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・

提案プロトコルの分析 連携耐性 n/2 − 1 の strict Nash 均衡 サイズ n/2 − 1 以下の連携 C C 以外の n/2 + 1 人が従うと仮定し、 C が従わないと利得が下がることを示す C のプレイヤーがプロトコルに従うとき  全員が秘密を復元

提案プロトコルの分析 Step 1 C 以外は従うので正しいシェアは n/2 + 1 以上  (n/2 + 1, n) SS なので必ず s は復元 ただし、確率 α で s は偽物 C のプレイヤーが「出さない」とき Step 2 に進まずプロトコル終了  確率 α で偽物であるため、利得は下がる この時点で、C は s が本物かどうかわからない 本物と偽物は識別不能 s’ は (n/2, n) SS S2 で秘密分散

提案プロトコルの分析 Step 2 C のプレイヤーが「出さない」とき 確率 α で s’ = 0(s は偽物)の場合、 Step 3 に進まずプロトコル終了  確率 α で利得は下がる Step 3 連携耐性 (n/2 − 1) の strict Nash 均衡なので プロトコルに従わないとき、利得は下がる

提案プロトコルの性質 RSS S3 が連携耐性 (n/2 − 1) の strict Nash 均衡のとき、 提案プロトコルも連携耐性 (n/2 − 1) の strict Nash 均衡 [FKN10] プロトコルを S3 として利用可能 連携耐性 (n − 1) の strict Nash 均衡を達成 復元に必要なラウンド数は、S3 が T のとき、 提案プロトコルは 2(1 − α) + α T α を十分小さくとれば、平均 2 以下 定数ラウンドプロトコルにおいて、連携耐性 (n/2 − 1) は(Nash 均衡であっても)最適([AL09]) 定数ラウンドで strict Nash 均衡達成は初めて RSS S3 は高い確率で実行しない  持っているだけ!

今後の研究の方向性 連携耐性 n/2 − 1 の strict Nash 均衡では不十分? 提案プロトコルの復元フェーズ Step 1 で、 n/2 + 1 人目のプレイヤーはシェアを出すのか? すでに n/2 個のシェアがあるので、自分で復元可能 もし n/2 + 1 人目以降がすべて出さないと、 最初の n/2 人は秘密を復元できない! 確率 α で偽物であるが、より少ない人数(n/2 人)で 復元しているので、利得は上がる可能性 この考察は n/2 人がプロトコルから逸脱する状況 連携耐性 n/2 − 1 を超える方法の考案 間違った秘密を出力したときの利得が 非常に小さいとすれば回避可能(かも)

既存研究との比較 文献 通信路 その他の 仮定 MPC ラウンド数 解概念 連携 耐性 [HT04] 同時同報 秘密通信路 ✔ O(1/β) IEWDS [ADGH06] 2 n/2 − 1 [GK06] n − 1 [KN08a] M/M Enc. [KN08b] strict NE 1 [OPRV09] 同報 正直者 THPE [AL09] [GK06] 等 [FKN10] P2P VRF 本研究 既存の RSS