Provable Security3

暗号理論における安全性の証明： Identification Protocol （ユーザ認証プロトコル）の Zero-Knowledge 性羽田　知史（ IBM 東京基礎研究所） Satoshi Hada (IBM Research - Tokyo) mailto: satoshih at jp ibm com

Simulation Paradigm は、「一切、情報が漏れない」を表現する方法ですアイデア：攻撃者が計算できるものは、攻撃の対象がなくても、計算できる。例：攻撃者が（公開鍵、暗号文）から計算できるものは、その（公開鍵、暗号文）がなくても計算できる。つまり、攻撃者の出力を（公開鍵、暗号文）がなくても Simulate できる。 ∀ 攻撃者 A 、∃ Simulator S s.t. anything A can compute from public key and ciphertexts, S can compute without them.

Witness Hiding 性の定義には問題があります。 Witness Hiding 性の定義攻撃が成功するとは？ P と通信したあとに、 sk を計算できる任意の攻撃者にとって、攻撃が成功する確率が無視できるほど小さいとは？ ∀ 攻撃者 A, ∃negligible function δ(n) s.t., Pr[(pk,sk) ← KG(1 n ) ; s ← < P(pk,sk), A(pk) > : s=sk] < δ(n) 問題点 sk の特定のビットは、 P と通信することにより漏れるかもしれない、という可能性を否定するほど強い定義ではないただし、 Identification プロトコルの安全性には十分ゼロ知識性は、この問題を解決できます

ゼロ知識性は、ユーザ認証プロトコルにおいて１ビットたりとも漏れない、という性質で、 Simulation Paradigm に基づいて定義されます表記 Key generator KG 入力： 1 n （セキュリティパラメータ）出力：（ pk,sk ） pk: a public key of length n sk: a corresponding secret key Identification プロトコル (P,V) (P,V) への共通入力 pk P への秘密入力 sk 出力 < P(pk,sk), V(pk) > ： V の decision Pr[(pk,sk) ←KG(1 n ) : < P(pk,sk), V(pk) >=Accept]=1 悪意のある検証者 A が得る情報 < P(pk,sk), A(pk) > は、 A の使う乱数 R と交換されるメッセージゼロ知識性の定義証明者 P とのデータ通信から得られる情報は、証明者 P と通信しなくても得ることができる。 ∀ 攻撃者（悪意のある検証者） A, ∃simulator S, 以下の 2 つの確率分布が識別不可能（等しい、統計的に、あるいは、計算量的に識別不可能） {(pk,sk) ← KG(1 n ) ; history ← < P(pk,sk), A(pk) > : history } と {(pk,sk) ← KG(1 n ) ; history ← S(pk) : history}

統計的に識別不可能な確率分布二つの確率分布 A n と B n は、以下の条件を満たすとき、統計的に識別不可能と言われます。 ∃ negligible function negl(n) s.t.   | Pr [A n =  ] – Pr [B n =  ]|  negl(n).

前回の講義との関係 ZK 性は、 WH 性よりも強い定義ですので、 ZK プロトコルは WH プロトコルです。 Schnorr’s Identification プロトコル WH 性を満たすか未知当然、 ZK 性を満たすかどうかも未知 Okamoto92 のプロトコル WH 性は満たす ZK 性は満たすのか？講義の目的ユーザ認証プロトコルの安全性を議論する上では、 WH 性で十分であり、 ZK 性を議論する意味はあまりない。が、「知識をもらさず、知識を証明する」という Paradoxical な概念を紹介する（ Simulation Paradigm の実例として）。

Black-box Simulation ゼロ知識プロトコルとは？（先ほどの）ゼロ知識性の定義 ∀ 攻撃者（悪意のある検証者） A, ∃simulator S, 以下の 2 つの確率分布が識別不可能 {(pk,sk) ← KG(1 n ) ; history ← < P(pk,sk), A(pk) > : history } と {(pk,sk) ← KG(1 n ) ; history ← S(pk) : history} Black-box simulation ゼロ知識性の定義 ∃ simulator S s.t.∀ 攻撃者（悪意のある検証者） A, 以下の 2 つの確率分布が識別不可能 {(pk,sk) ← KG(1 n ) ; history ← < P(pk,sk), A(pk) > : history } と {(pk,sk) ← KG(1 n ) ; history ← S A (pk) : history} Quantifiers の順番が逆 Black-box simulation ZK 性の方が強い Requirement Black-box simulation ZK 性は（前者の） ZK 性を満たす通常、 ZK 性は、この強い定義の下で、議論されているその逆が成り立つか？は B. Barak, "How to go beyond the black-box simulation barrier," FOCS 2001

証明者検証者公開鍵： v 秘密鍵： s s.t. v=g -s (mod p) x=v e g y が成り立てば Accept 左辺： x=g r 右辺： v e g y =g -es g r+es =g r e x=g r (mod p) y=r+es (mod q) 乱数： r ∈ Z q 乱数： e （ n bits ） Schnorr の Identification プロトコルは離散対数問題の困難性に基づいたプロトコルです離散対数が困難という仮定の下では、公開鍵から秘密鍵を計算できない

証明者検証者公開鍵： v 秘密鍵： s s.t. v=g -s e y=r+es (mod q) 乱数： r ∈ Z q 乱数： e （ n bits ）悪意のある証明者の観点から、プロトコルは安全か？ x=v e g y ? x=g r (mod p) ある x=g r を送信したとき、２つの異なる (e,e’) に対して、正しく返事できるなら、つまり、 (y,y’) s.t. x=v e g y =v e’ g y’ を計算できるなら、 s=(y’-y)/(e-e’) mod q として計算できる。つまり、高い確率で、なりすましできるためには、 s の知識が必須である。

証明者検証者公開鍵： v 秘密鍵： s s.t. v=g -s (mod p) x=v e g y が成り立てば Accept 左辺： x=g r 右辺： v e g y =g -es g r+es =g r e=0 or 1 x=g r (mod p) y=r+es (mod q) 乱数： r ∈ Z q 乱数： e （ 1 bits ） Schnorr の Identification プロトコルにおいて、 e が 1 ビットの場合を考えます。離散対数が困難という仮定の下では、公開鍵から秘密鍵を計算できない

公開鍵： v 秘密鍵： s s.t. v=g -s e=0 or 1 x=g r (mod p) y=r+es (mod q) 乱数： r ∈ Z q 乱数： e （ 1 bits ） Schnorr の Identification プロトコルにおいて、 e が 1 ビットの場合を考えます。 e が 1/2 の確率で予測できるので、 s を知らなくても、なりすましは 1/2 の確率で成功する。ある x=g r を送信したとき、 e=0 and 1 の両方に対して、正しく返事できるなら、つまり、 (y,y’) s.t. x=g y =vg y’ を計算できるなら、 s=y-y’mod q として計算できる。 y から s を計算するには、 r を計算する必要があるが、 x から r を計算するのは困難（離散対数問題）。 => 実際、 ZK 性を満たす x=v e g y ?

プロトコルの規定どおりに振舞う正直な検証者 V に対しては、 Perfect に Simulation 可能です。入力：公開鍵 v Step 1: ランダムに e=0 or 1 を生成（ V のチャレンジを事前に生成）。 Step 2-0 ： e=0 のとき、 x=g y を満たす (x,y) をランダムに生成。 Step 2-1 ： e=1 のとき、 x=vg y を満たす (x,y) をランダムに生成。 Step 3 ： (x,e,y) を出力

正直な検証者と悪意のある検証者の違い e=0 or 1 x=g r (mod p) e=0 or 1 x=g r (mod p) 正直な検証者は、 e を x とは独立にランダムに生成悪意のある検証者は、 e を x に依存して、生成できる。 e=f(x) x より e を先に決められない

悪意のある任意の検証者に対する Simulation は、 Perfect ではないですが、 Statistically Indistinguishable です。入力：公開鍵 v ブラックボックスアクセス： A Step 1: ランダムに e=0 or 1 を生成（ A のチャレンジ e を予測）。 Step 2-0 ： e=0 のとき、 x=g y を満たす (x,y) をランダムに生成。 Step 2-1 ： e=1 のとき、 x=vg y を満たす (x,y) をランダムに生成。 Step 3 ： x を A に入力（ A の使用する乱数を R として生成） Step 4: A が e’ を出力 Step 5: e=e’ ならば、 (x,e,y;R) を出力、 e=e’ でないなら、 Step 2 からやり直し（ A が使用する乱数を R を新たに生成、 n 回繰り返す） Step 5 で、 A の振る舞いにかかわらず、 1/2 の確率で e=e’ となる（ e=0 の時と e=1 の時の x の確率分布は等しい） n 回繰り返しても、終わらない確率は、 1/2 n (negligible) この分だけ、確率分布にずれが生じます

e=1 ビットの場合の Sequential Composition n 回すべて、検証者が Accept したときのみ、全体としても Accept する。なりすましの確率は、 1/2 n （ negligible ）になるかつ、 ZK 性も保持される（ Simulation を n 回繰り返せばよい）厳密には、 Simulation をする際、悪意のある検証者が前回までに得た情報を保持していることを考慮する必要がある。 n 回繰り返す x1 e1 y1 x2 e2 y2 xn en yn

e=1 ビットの場合の Parallel Composition n 回すべて、検証者が Accept したときのみ、全体としても Accept する。なりすましの確率は、 1/2 n （ negligible ）になる ZK 性は保持されるか？ n 回繰り返す x1 e1 y1 x2 e2 y2 xn en yn

不可能性 O. Goldreich and H. Krawczyk, ``On the Composition of Zero-Knowledge Proof Systems,'' SIAM Journal on Computing, Vol.25, No.1, pp.169-192, 1996. T. Itoh and K. Sakurai, ``On the Complexity of Constant Round ZKIP of Possession of Knowledge,” IEICE Trans. Fundamentals, Vol. E76-A, No. 1, pp. 31-39, 1993.

通信回数が 3 回のプロトコルの場合は、 ZK 性は満たされません。以下は全て同じ論理で、「離散対数問題の困難性の仮定の下で、 ZK 性を満たさない」ことが証明できます。オリジナルの Schnorr’s Identification Protocol Okamoto 92 e=1 ビットの場合の Parallel Composition (Schnorr も Okamoto92 も両方 )

証明者検証者公開鍵： v 秘密鍵： s s.t. v=g -s (mod p) x=v e g y が成り立てば Accept 左辺： x=g r 右辺： v e g y =g -es g r+es =g r e x=g r (mod p) y=r+es (mod q) 乱数： r ∈ Z q 乱数： e （ n bits ） Schnorr のオリジナルのプロトコルでは、 e が n ビットなので、 Simulation は難しそう離散対数が困難という仮定の下では、公開鍵から秘密鍵を計算できない

Simulation が難しいのはどういう場合か？ e (n ビット ) x Simulator こういうやりかたで有用な情報を得ることができるかは、不明であるが、プロトコルの規定通りに振舞わないという意味では、悪意がある。悪意のある検証者は、 e を x から Deterministic に計算する。 e=f(x) 出力される n ビットの e を予測できない場合

e が n ビットの場合の、 Deterministic な悪意のある任意の検証者に対する Simulation は、 e が 1 ビットの時と同じやり方だとうまくいきそうにない。入力：公開鍵 v ブラックボックスアクセス： A Step 1: ランダムに e ( n ビット ) を生成（ A のチャレンジ e を予測）。 Step 2 ： x=v e g y を満たす (x,y) をランダムに生成。 Step 3 ： x を A に入力（ A の使用する乱数を R として生成） Step 4: A が e’=f(x) を出力 Step 5: e=e’ ならば、 (x,e,y; R ) を出力、 e=e’ でないなら、 Step 2 からやり直し（ A の使用する乱数を R を新たに生成） Step 5 で、 e=e’ となる確率は、 negligible かもしれない（ f に依存）。

f が乱数表のときは、 Simulation は、本当に難しいです e (n ビット ) 悪意のある検証者は、 e を x に Deterministic に依存して、生成できる。 e=f(x) 乱数表（非一様な Advice として与えられる）ただし、乱数表のサイズ (qn) は、指数関数的に大きいので、このような検証者に対して、 Simulation できることを ZK 性の定義は要求しません。ですが議論がシンプルにするために、とりあえず、この問題は忘れます。 Simulator x E0 x=g 0 Eq x=g q-1 … E2 x=g 2 E1 x=g 1 （ランダムな） e の値 x の値

e が n ビットの場合の、乱数表を使う Deterministic な悪意のある検証者に対する Simulation は、 e が 1 ビットの時と同じやり方だとうまくいきそうにない。 Step 5 で、 e=e’ となる確率は、 1/ 2 n (negligible) です。入力：公開鍵 v ブラックボックスアクセス： A （乱数表 f を使う） Step 1: ランダムに e ( n ビット ) を生成（ A のチャレンジ e を予測）。 Step 2 ： x=v e g y を満たす (x,y) をランダムに生成。 Step 3 ： x を A に入力（ A の使用する乱数を R として生成） Step 4: A が e’=f(x) を出力 Step 5: e=e’ ならば、 (x,e,y; R ) を出力、 e=e’ でないなら、 Step 2 からやり直し（ A の使用する乱数を R を新たに生成）

e が n ビットの場合の、乱数表を使う Deterministic な悪意のある検証者に対する Simulation は、 e が 1 ビットの時と同じやり方だとうまくいきそうにない。 Step 5 で、 e=e’ となる確率は、 1/2 n (negligible) です。 e=e’ とならない場合、 (x,e’,y’) s.t. x=v e’ g y’ を出力できると、 s を計算できてしまいます（離散対数問題を解ける） Step 1&2 で、 x の作り方に工夫するしかない。入力：公開鍵 v ブラックボックスアクセス： A （乱数表 f を使う） Step 1: ランダムに e (n ビット ) を生成（ A のチャレンジ e を予測）。 Step 2 ： x=v e g y を満たす (x,y) をランダムに生成。 Step 3 ： x を A に入力 Step 4: A が e’=f(x) を出力 Step 5: e=e’ ならば、 (x,e,y) を出力、 e=e’ でないなら、 Step 2 からやり直し

e が n ビットの場合の、乱数表を使う Deterministic な悪意のある検証者に対する一般的な Simulation は以下のようになります。入力：公開鍵 v ブラックボックスアクセス： A （乱数表 f を使う） Step 1: 以下を t(n) 回繰り返す ( t(n) は A に依存しない多項式） Step 1-1: x を生成（以前生成した以外の x ） Step 1-2 ： x を A に入力し、 A が e=f(x) を出力 Step 2: いずれかの i において、 xi=v ei g y を満たす y を出力 S1 公開鍵 v x1 e1=f(x1) S2 x2 e2=f(x2) St xt et=f(xt) y s.t. ∃i, xi=v ei g y E A

e が n ビットの場合の、乱数表を使う Deterministic な悪意のある検証者に対する一般的な Simulation が成功すると仮定すると、 Pr[ (p,q,g)←PG(1 n );(v,s)←KG(p,q,g); // 鍵生成 x1←S1(v);e1←{0,1} n ; //1 st x2←S2(v,(x1,e1));e2←{0,1} n ; //2nd x3←S3(v,(x1,e1),(x2,e2));e3←{0,1} n ; //3rd … xi←Si(v,(x1,e1),(x2,e2),…);ei←{0,1} n ; //i’th … xt←St(v,(x1,e1),(x2,e2),…);et←{0,1} n ; //t’th y←E(v,(x1,e1),(x2,e2),…, (xt,et)) //y の計算 : ∃ i, xi=v ei g y // 事象： Simulation が成功 ]>1-1/2 n // 確率：限りなく 1 に近いどの i で Simulation が成功するか？

e が n ビットの場合の、乱数表を使う Deterministic な悪意のある検証者に対する一般的な Simulation が成功すると仮定すると、 ∃ i, Pr[ (p,q,g)←PG(1 n );(v,s)←KG(p,q,g); // 鍵生成 x1←S1(v);e1←{0,1} n ; //1 st x2←S2(v,(x1,e1));e2←{0,1} n ; //2nd x3←S3(v,(x1,e1),(x2,e2));e3←{0,1} n ; //3rd … xi←Si(v,(x1,e1),(x2,e2),…);ei←{0,1} n ; //i’th … xt←St(v,(x1,e1),(x2,e2),…);et←{0,1} n ; //t’th y←E(v,(x1,e1),(x2,e2),…, (xt,et)) //y の計算 : xi=v ei g y // 事象： Simulation が成功 ]> (1-1/2 n )/t(n) この処理を悪意のある証明者の観点で見直すことができる

e が n ビットの場合の、乱数表を使う Deterministic な悪意のある検証者に対する一般的な Simulation が成功すると仮定すると、 ∃ i, Pr[ (p,q,g)←PG(1 n );(v,s)←KG(p,q,g); // 鍵生成 ((x1,e1),(x2,e2),..,xi)←P’(v); //S1,S2,…,Si を使用して計算 ei←{0,1} n ; // 検証者からのチャレンジ y←P’(v, (x1,e1),(x2,e2),..,(xi,ei)) //Si+1, …, St, E を使用して計算 : xi=v ei g y // 事象：なりすまし成功 ]> (1-1/2 n )/t(n) どの i でなりすましが成功するか？ xi ei y 悪意のある証明者 P’

e が n ビットの場合の、乱数表を使う Deterministic な悪意のある検証者に対する一般的な Simulation が成功すると仮定すると、 Pr[ (p,q,g)←PG(1 n );(v,s)←KG(p,q,g); // 鍵生成 i←{1,2,…t(n)}; // ランダムに i を選ぶ ((x1,e1),(x2,e2),..,xi)←P’(v); //S1,S2,…,Si を使用して計算 ei←{0,1} n ; // 検証者からのチャレンジ y←P’’(v, (x1,e1),(x2,e2),..,(xi,ei)) //Si+1, …, St, E を使用して計算 : xi=v ei g y // 事象：なりすまし成功 ]> (1-1/2 n )/(t(n)) 2 Schnorr のプロトコルは「知識の証明」であるので、離散対数問題を解けることを意味する。 xi ei y

以上の議論のまとめ：「離散対数問題の困難性の仮定の下で、 Schnorr のプロトコルは ZK 性を満たさない」ことを証明しています。仮定： Schnorr のプロトコルが、 Blackbox ZK 性を満たすと仮定する。つまり、単一の Blackbox Simulator S が存在し、乱数表 f を使う Deterministic な検証者 A の Simulation が可能。結論： S を使って、離散対数問題を解くことができます。ただし、乱数表のサイズは、指数関数的に大きいので、このような検証者に対して、 Simulation できることを ZK 性の定義は要求しません。この問題を別途解決する必要があります。

Simulator が A に問い合わせる回数は、せいぜい多項式回 t(n) なので、 f のサイズを小さくできるかもしれない。 e (n ビット ) 悪意のある検証者は、 e を x に Deterministic に依存して、生成できる。 e=f(x) 乱数表 Simulator x f が満たすべき性質（ f は F(1 n ) により生成される） uniformity ∀x, f(x) is uniformly distributed over {0,1} n ∀x, ∀e∈ {0,1} n , Prob[f←F(1 n ) : f(x)=e]=1/2 n t-wise independence ∀(x1,x2,..,xt) （全て異なる） , ∀(e1,e2,..,et)∈ {0,1} nt , Prob[f←F(1 n ) : f(x1)=e1 and f(x2)=e2 and …. f(xt)=et] = 1/2 nt f は乱数表でなくても、いわゆる t-wise independent function であればよい E0 x=g 0 Eq x=g q-1 … E2 x=g 2 E1 x=g 1 （ランダムな） e の値 X の値

t-wise Independent Function の具体例 Pair-wise independent function t=2 の場合 F(1 n ): Z p ->Z p (p は n ビットの素数 ) { f(x)=ax+b | a∈Z p , b∈Z p } 　 1 次方程式の集合各関数は、 2n ビットで表現できる (a と b の情報 ) Uniformity ∀ x∈Z p , ∀e∈Z p , Prob[f←F(1 n ) : f(x)=e]=1/p Pair-wise independence ∀ x∈Z p , ∀y∈Z p (x neq y), ∀e1∈Z p , ∀e2∈Z p , Prob[f←F(1 n ) : f(x)=e1 and f(y)=e2]=1/p 2 ((x,y),(e1,e2)) が与えられたとき、 f(x)=e1 and f(y)=e2 を満たす（ a,b ）は一意にきまる（方程式をとける） Three-wise independence? No ((x,y),(e1,e2)) が与えられたとき、（ a,b ）は一意に決まるので、 f(z) の値も一意に決まってしまう。 t(n)-wise independent function 同様に (t(n)-1) 次方程式を考えればよい。各関数は、 t(n)*n ビットで表現できる。

Black-box ZK と Non-black-box ZK

Black-box ZK と Non-black-box ZK Black-box simulation ゼロ知識性の定義 ∃ simulator S s.t.∀ 攻撃者（悪意のある検証者） A, 以下の 2 つの確率分布が識別不可能 {(pk,sk) ← KG(1 n ) ; history ← < P(pk,sk), A(pk) > : history } と {(pk,sk) ← KG(1 n ) ; history ← S A (pk) : history } Black-box simulation ゼロ知識性の定義 Non-black-box simulation ゼロ知識性の定義 ∃ simulator S s.t.∀ 攻撃者（悪意のある検証者） A, 以下の 2 つの確率分布が識別不可能 {(pk,sk) ← KG(1 n ) ; history ← < P(pk,sk), A(pk) > : history } と {(pk,sk) ← KG(1 n ) ; history ← S(pk, Code(A) ) : history } Simulator に与えられる情報の違いに注意 Non-black-box simulation ゼロ知識性では、 A のプログラムコードが与えられる Black-box simulation ZK 性の方が強い Requirement Black-box simulation ZK 性は Non-black-box simulation ZK 性を満たすその逆が成り立つか？は B. Barak, "How to go beyond the black-box simulation barrier," FOCS 2001 Schnorr のプロトコルが、 Non-black-box simulation ZK 性を満たすかは未解決問題 Simulator に悪意のある検証者のプログラムが与えられると、先ほどの（ ZK 性を満たせないという）議論は成り立たない。

この研究課題は、プログラムの難読化（ Obfuscation ）と関係します。 The winning entry for the 1998 International Obfuscated C Code Contest

まとめ安全性の定義実現可能実現不可能安全性の証明が既知（証明が可能）安全性の証明が不可能あるいは未解決 ZK プロトコル Schnorr のプロトコル (e が 1 ビット ) の ZK 性 Schnorr のプロトコル (e が 1 ビット場合 ) の ZK 性 Schnorr のプロトコルの Non-Black-Box の ZK 性 Schnorr のプロトコルの ZK 性（ Black-Box ）

Provable Security3

More Related Content

Viewers also liked

Similar to Provable Security3

Provable Security3

Editor's Notes