SlideShare a Scribd company logo

楕円曲線と暗号

MITSUNARI Shigeo
MITSUNARI Shigeo

東京理科大学理工学部数学科談話会 https://wiki.ma.noda.tus.ac.jp/rs/seminar/2020/05

Technology
1 of 46
Download to read offline
楕円曲線と暗号 2020/12/21 東京理科大学理工学部数学科談話会 光成滋生
• 共通鍵暗号 • DH鍵共有 • 楕円曲線 • 公開鍵暗号 • Lifted-ElGamal暗号 • 署名 • 準同型暗号 • ゼロ知識証明 • ペアリング • BLS署名 目次 2 / 44
• 暗号化と復号に同じ鍵を使う暗号 • 共通鍵暗号のモデル • 鍵生成 : 秘密鍵𝑠を生成する • 暗号化 : 平文𝑚を秘密鍵𝑠で暗号化する 𝑐 = 𝐸𝑛𝑐 𝑠, 𝑚 • 復号 : 暗号文𝑐を秘密鍵𝑠で復号する 𝑚 = 𝐷𝑒𝑐 𝑠, 𝑐 • 𝑠を省略して𝐸𝑛𝑐(𝑚)や𝐷𝑒𝑐(𝑐)と書くこともある イラストは(C)いらすとや https://www.irasutoya.com/ 共通鍵暗号 暗号文平文 秘密鍵 アリス ボブ 秘密鍵の生成と共有 暗号化 暗号文 平文 秘密鍵 復号 送信 盗聴 3 / 44
• 平文𝑚を暗号化して復号すると元に戻る(正当性) • 任意の𝑚に対して𝐷𝑒𝑐 𝑠, 𝐸𝑛𝑐 𝑠, 𝑚 = 𝑚 • 暗号文𝑐から平文𝑚の情報は得られない • 盗聴者がいても通信内容は漏洩しない • 「情報が得られない」とはどういう意味か • 後でもう少し詳しく考える • 秘密鍵を事前に秘密に共有しておく必要がある • どうやって? 共通鍵暗号の性質 4 / 44
• DiffieとHellman(1976) • 1970年頃イギリスGCHQのEllisたちが発見していたらしい • 𝑝 ; 素数, 𝐺 ≔ 𝔽 𝑝 × ≔ {1,2, … , 𝑝 − 1}, 𝐺の生成元を𝑔とする • 方法 • アリスはランダムに𝑎 ∈ [1, 𝑝 − 1]を選び𝐴 ≔ 𝑔 𝑎をボブに送る • ボブはランダムに𝑏 ∈ [1, 𝑝 − 1]を選び𝐵 ≔ 𝑔 𝑏をアリスに送る • アリスは𝐵 𝑎 = 𝑔 𝑎𝑏を得る / ボブは𝐴 𝑏 = 𝑔 𝑎𝑏を得る • 𝑠 ≔ 𝑔 𝑎𝑏を共有した(これを共通鍵暗号の秘密鍵に利用する) DH鍵共有 アリス ボブ 𝐵 𝑎 = 𝑔 𝑎𝑏 𝑏 ; 秘密𝐴 ≔ 𝑔 𝑎 𝐵 ≔ 𝑔 𝑏 𝑎 ; 秘密 𝐴 𝑏 = 𝑔 𝑎𝑏 5 / 44
• 盗聴者は次の情報を得る • 𝑝, 𝑔, 𝐴 = 𝑔 𝑎, 𝐵 = 𝑔 𝑏 • ここから𝑠 = 𝑔 𝑎𝑏を得られるか? • 原理的には𝑔, 𝑔 𝑎から𝑎を求められる • 離散対数問題DLP(Discrete Logarithm Problem)という • 現在知られている最速のアルゴリズムは数体篩法 • 計算量𝐿 𝑝(1/3, Τ32 9 Τ1 3) • 𝐿 𝑝 𝑠, 𝑐 = exp 𝑐 + 𝑜 1 log 𝑝 𝑠 log log 𝑝 1−𝑠 • 𝑝~22048程度のとき概ね2128以上でDLPは解けない DH鍵共有の安全性 6 / 44
• 𝑔, 𝑔 𝑎 , 𝑔 𝑏 が与えられたとき • DLPは解けないかもしれないが𝑔 𝑎𝑏は計算できるかもしれない • DHP(DH Problem)という • DLPとDHPの関係 • DLPが解ければDHPは解ける • 逆は不明(同等の計算量が必要なのか真に小さいのか) • 今のところ同等に難しいと思われている • 「DHPが困難ならDH鍵共有は安全」(トートロジー) • 注意 • 攻撃者は盗聴のみを想定 • 途中経路で改竄を想定すると安全ではない(中間者攻撃) • その場合は署名(後述)などを組み合わせる DH問題 7 / 44
• 有限体𝔽 𝑝(𝑝 > 3)上定義された楕円曲線 𝐸 𝔽 𝑝 ≔ 𝑥, 𝑦 ∈ 𝔽 𝑝 2 𝑦2 = 𝑥3 + 𝑎𝑥 + 𝑏 ∪ {0} • Weierstrass方程式 • 0は無限遠点, 𝑎, 𝑏 ∈ 𝔽 𝑝, 4𝑎3 + 27𝑏2 ≠ 0 • 楕円曲線に加法群の構造(点同士の加減算が定義される)が入る • 𝐺 ≔ 𝐸 𝑟 ≔ {𝑃 ∈ 𝐸(𝔽 𝑝)|𝑟𝑃 = 0}とする • 𝑟倍して0となる点の集合(𝑟等分点の集合) • 𝑃を𝐺の生成元とする𝐺 = {0, 𝑃, 2𝑃, … 𝑟 − 1 𝑃} 楕円曲線 8 / 44
• DH鍵共有の楕円曲線版 • アリスは𝑎を選んで𝑎𝑃をボブに • ボブは𝑏を選んで𝑏𝑃をアリスに • 二人だけが𝑎𝑏𝑃を計算できる • アリス : 𝑎 𝑏𝑃 = 𝑎𝑏𝑃 • ボブ : 𝑏 𝑎𝑃 = 𝑎𝑏𝑃 • TLS1.3で必須の方法 • 「https://~」でアクセスするとき利用される ECDH鍵共有 9 / 44
• 有限体のDLPとDHPの楕円曲線(Elliptic Curve)版 • ECDLP • 𝑃, 𝑎𝑃が与えられたとき(𝑎は未知), 𝑎を求めよ • ECDHP • 𝑃, 𝑎𝑃, 𝑏𝑃が与えられたとき(𝑎, 𝑏は未知), 𝑎𝑏𝑃を求めよ • 現在知られている最速のアルゴリズムは𝑂 𝑟 • 𝑟~2256な素数なら2128の計算コスト(解けない) • 有限体に比べて小さい群サイズで同等の安全性(2048 vs 256) • 注意 • ൗℤ 𝑝ℤ = {0,1,2, … , 𝑝 − 1}, 𝑔, ℎ ∈ ൗℤ 𝑝ℤ × が与えられたとき • ℎ = 𝑎𝑔となる𝑎を求めるのは容易(拡張Euclid互除法) ECDLPとECDHP 10 / 44
• 暗号化の鍵と復号する鍵が別 • 暗号化する鍵は誰に知られてもよい • 公開鍵暗号のモデル • 鍵生成 : 公開鍵(暗号化鍵)𝑄と秘密鍵(復号鍵)𝑠の生成 • 暗号化 : 平文𝑚を公開鍵𝑄で暗号化 𝑐 = 𝐸𝑛𝑐 𝑄, 𝑚 • 復号 : 暗号文𝑐を秘密鍵𝑠で復号 𝑚 = 𝐷𝑒𝑐(𝑠, 𝑐) • 正当性 : 𝐷𝑒𝑐 𝑠, 𝐸𝑛𝑐 𝑄, 𝑚 = 𝑚 公開鍵暗号 暗号文𝑐平文𝑚 アリス ボブ 鍵生成 𝑠 : 秘密鍵, 𝑄 : 公開鍵 𝐸𝑛𝑐 平文𝑚𝐷𝑒𝑐 送信 𝑄 : 公開鍵 𝑠 : 秘密鍵 11 / 44
• 𝐺 = ⟨𝑃⟩ ; DLPが困難な素数位数𝑝の巡回加法群 • {𝑃, 𝑎𝑃}から𝑎を求めるDLPを𝐷𝐿𝑃𝑃 𝑎𝑃 ≔ 𝑎と書くことにする • 鍵生成 • 秘密鍵𝑠 ∈ 𝔽 𝑝をランダムに選ぶ(以降𝑠 ← 𝔽 𝑝書く) • 𝑄 ≔ 𝑠𝑃が公開鍵(DLPの困難性から𝑠は分からない) • 暗号化 • 平文𝑚に対して𝑟 ← 𝔽 𝑝をとり𝐸𝑛𝑐 𝑄, 𝑚 ≔ (𝑚𝑃 + 𝑟𝑄, 𝑟𝑃) • 𝐸𝑛𝑐(𝑚; 𝑟)と乱数𝑟を明示することもある • 復号 • 暗号文𝑐 ≔ (𝑆, 𝑇)に対して𝑑𝑒𝑐 𝑠, 𝑐 ≔ 𝑆 − 𝑠𝑇 • 𝐷𝑒𝑐 𝑠, 𝑐 ≔ 𝐷𝐿𝑃𝑃(𝑑𝑒𝑐 𝑠, 𝑐 ) ; DLPが解ける範囲(e.g., ~232)の𝑚 • 正当性 : 𝑑𝑒𝑐 𝑠, 𝐸𝑛𝑐 𝑄, 𝑚 = 𝑚𝑃 + 𝑟𝑄 − 𝑠 𝑟𝑃 = 𝑚𝑃 Lifted-ElGamal暗号 12 / 44
• 「はい(1)」か「いいえ(0)」と分かっている暗号文 • アンケート結果など • 攻撃者は自分で選んだ平文の暗号文を作れる(平文選択攻撃) • 同じ平文𝑚でも毎回異なる暗号文になる必要がある • 𝐸𝑛𝑐が乱数を含まない決定的アルゴリズムなら • 平文がある小さい範囲にあると分かっているとする • cf. 教科書的RSA暗号は決定的アルゴリズムなので安全でない Lifted-ElGamal暗号の安全性 暗号文𝑐 = 𝐸𝑛𝑐(? )が与えれた 攻撃者は自分で 暗号文を作れる 𝐸𝑛𝑐 1 𝐸𝑛𝑐 2 𝐸𝑛𝑐(3) ... 𝐸𝑛𝑐(100) 𝑐 一致するまで繰り返す 違う 違う 違う... 一致! 𝐷𝑒𝑐 𝑐 =? = 100だ 13 / 44
• 0の暗号文𝑐 = 𝐸𝑛𝑐 0; 𝑟 = (𝑟𝑄, 𝑟𝑃) • これが0の暗号文かそうでないかが分かると安全でない • 攻撃者の視点 • 𝑃, 𝑄 = 𝑠𝑃を持っている, 𝑐 = (𝐶0, 𝐶1) = ? (𝑟𝑠𝑃, 𝑟𝑃) • もし(𝑃, 𝑠𝑃, 𝑟𝑃)に対してDHPが解けるなら𝑟𝑠𝑃が求まる • 𝐶0と比べることで𝐷𝑒𝑐 𝑐 = 0かそうでないかが分かる • DDH問題 • 「𝑃, 𝑎𝑃, 𝑏𝑃, 𝑄」が与えられたときに𝑄 = 𝑎𝑏𝑃か否か判定せよ • DDH問題が困難ならDHPが困難 • DDH~DHPかどうかは未解決 • DDH問題が困難 • ⇒ Lifted-ElGamal暗号は暗号文の区別ができない(ので安全) DDH(Decisional DH)問題 14 / 44
• 基本的に暗号は秘密鍵, 平文の全パターンを調べれば どれかは当たる • ランダムに選んでも当たる確率は0ではない • これをもって「暗号はいつか破れる」というのはナンセンス • 計算量的な仮定を入れる • セキュリティパラメータ𝜆 : 安全性を評価する指標 • 攻撃者の能力は𝜆に関して確率的多項式時間(PPT) • 多項式時間では解けないと思われている問題X • ある暗号があるPPTなアルゴリズムで破れるならXを解ける • Xが破れないならその暗号は安全 • 攻撃者の攻撃手段もモデル化する • 時間があれば終わりのスライドで 安全性の定義 15 / 44
• ある人がある情報𝑚に同意したことを保証する仕組み • 紙の書類に対するサインや判子 • 偽造や書類の書き換えが可能 • デジタルの場合はコピーが容易 • サインや判子に相当するものを情報𝑚と不可分な形にする • 暗号化=機密性(秘匿性), 署名=完全性(正確さ) • 両方を組み合わせて通信の秘匿性と正しさを保証する 署名の概念 紙の署名 契約書 名前:Alice 偽契約書 名前:Alice コピー デジタル署名 契約書 名前:Alice 偽契約書 名前:Alice コピー本物? 偽物! 16 / 44
• 鍵生成 : 署名鍵𝑠と検証鍵𝑆の生成 • 署名鍵は秘密, 検証鍵は公開 • 署名 : メッセージ𝑚に対して署名鍵𝑠で署名する • 𝜎 ≔ 𝑆𝑖𝑔𝑛 𝑠, 𝑚 • 検証 : メッセージ𝑚と署名𝜎と検証鍵𝑆に対して • 𝑉𝑒𝑟𝑖𝑓𝑦 𝑆, 𝑚, 𝜎 =1(受理) or 0(拒否) 署名 署名𝜎𝑚 アリス ボブ 𝑆𝑖𝑔𝑛 1 or 0𝑉𝑒𝑟𝑖𝑓𝑦 (𝑚, 𝜎)を送信 𝑠 : 署名鍵 𝑆 : 検証鍵鍵生成 17 / 44
• 攻撃者は受理できる偽の署名を生成できてはいけない • 攻撃者の持ち駒 • 検証鍵Sとアリスが署名した多数の{(𝑚𝑖, 𝜎𝑖 ≔ 𝑆𝑖𝑔𝑛 𝑠, 𝑚𝑖 } • 攻撃者が選んだ𝑚𝑖にアリスが署名してくれる状況を想定 • 適応的選択メッセージ攻撃に対して存在的偽造不可 署名の安全性 (𝑚, 𝜎) 𝑚𝑖 ≠ 𝑚 𝑉𝑒𝑟𝑖𝑓𝑦 𝜎𝑖 ≔ 𝑆𝑖𝑔𝑛(𝑠, 𝑚𝑖) 𝑠 : 署名鍵 𝑆 : 検証鍵 鍵生成 繰り返す 0(どんなにがんばっても受理されない) 攻撃対象 18 / 44
• 署名𝜎は固定長だが実際の応用で使われるメッセージ 𝑚は任意長さであることが多い • メッセージを小さくする仕組みが必要 • (暗号学的)𝑛ビット出力ハッシュ関数𝐻: 𝑋 → 𝑌 ≔ [0,2 𝑛) • 𝐻は効率よく計算できるもの • 一方向性 • 𝑥 ∈ 𝑋, 𝑦 ≔ 𝐻(𝑥)が与えられたときに𝑥を見つけられない • 衝突困難性 • 𝑥, 𝑥′ ∈ 𝑋2で𝑥 ≠ 𝑥′, 𝐻 𝑥 = 𝐻(𝑥′)なものを見つけられない • 「見つけられない」の意味 • 一方向性は𝑂(2 𝑛 )で, 衝突困難性は𝑂( 2 𝑛)で計算可能 • 𝑛についての多項式時間でできない ハッシュ関数 19 / 44
• 𝑛ビットハッシュ関数を理想化したもの • 内部動作 • 巨大なテーブル𝑇をみなで共有する. 入力𝑚に対して • 初めての𝑚なら乱数ℎ ∈ 𝑌を選び𝑇 𝑚 = ℎを登録しℎを出力 • 𝑇に登録されたものなら𝑇[𝑚]を出力 • 巨大なテーブルが必要なので効率的でない • 実際のハッシュ関数(SHA-256やSHA-3)を理想のハッシ ュ関数とみなして安全性証明をすること ランダムオラクルモデル 20 / 44 𝑚1 𝑚2 𝑚3 𝑚1 ... ℎ1 ℎ2 ℎ3 ℎ1 ... 𝒎 𝟏 𝒎 𝟐 𝒎 𝟑 ... ℎ1 ℎ2 ℎ3 ... 初回登録 二度目以降はテーブル引き
• ECDSA(Elliptic Curve Digital Signature Algorithm) • 鍵生成 : 𝑠 ← 𝔽 𝑝 署名鍵, 𝑄 ≔ 𝑠𝑃 検証鍵 • 署名 : 𝑘 ← 𝔽 𝑝をとり𝑘𝑃の𝑥座標を𝑟とする. 𝜎 ≔ 𝑟, 𝐻 𝑚 +𝑠𝑟 𝑘 • 検証 : 署名𝜎 ≔ (𝑟, 𝑡)に対して𝑅 ≔ 𝐻 𝑚 𝑃+𝑟𝑄 𝑡 として 𝑅の𝑥座標が𝑟に等しければ受理 • 正当性 : 𝑅 = 𝐻 𝑚 𝑃+𝑟𝑠𝑃 𝑘 𝐻 𝑚 +𝑠𝑟 = 𝑘𝑃. 「秘密鍵で暗号化」ではない • EdDSA(Edwards curve DSA) • Weierstrass曲線ではなくEdwards曲線(Montgomery型)を利用 • ECDSAに比べて高速(TLS1.3~) • Schnorr署名 • DLPが困難でランダムオラクルモデルのもとで安全性証明あり 楕円曲線を用いた署名 21 / 44
• 暗号文のまま操作できる暗号 • Lifted-ElGamal暗号は加法準同型暗号 • 𝑐1 ≔ 𝑆1, 𝑇1 ≔ 𝐸𝑛𝑐 𝑚1; 𝑟1 , 𝑐2 ≔ 𝑆2, 𝑇2 ≔ 𝐸𝑛𝑐(𝑚2; 𝑟2) • 𝑐1 + 𝑐2 ≔ (𝑆1 + 𝑆2, 𝑇1 + 𝑇2) ; 暗号文同士の足し算の定義 • 𝐸𝑛𝑐 𝑚1; 𝑟1 + 𝐸𝑛𝑐 𝑚2; 𝑟2 = 𝑚1 𝑃 + 𝑟1 𝑄, 𝑟1 𝑃 + 𝑚2 𝑃 + 𝑟2 𝑄, 𝑟2 𝑃 = 𝑚1 + 𝑚2 𝑃 + 𝑟1 + 𝑟2 𝑄, 𝑟1 + 𝑟2 𝑃 = 𝐸𝑛𝑐(𝑚1 + 𝑚2; 𝑟1 + 𝑟2) • 𝐸𝑛𝑐 𝑚 + 𝐸𝑛𝑐 𝑚 = 𝐸𝑛𝑐 2𝑚 • 𝐸𝑛𝑐 2𝑚 + 𝐸𝑛𝑐 𝑚 = 𝐸𝑛𝑐(3𝑚) • 暗号文の整数𝑛倍も計算できる • 𝑛 × 𝐸𝑛𝑐 𝑚; 𝑟 = 𝐸𝑛𝑐 𝑚; 𝑟 + ⋯ + 𝐸𝑛𝑐 𝑚; 𝑟 = 𝐸𝑛𝑐(𝑛𝑚; 𝑛𝑟) 準同型暗号HE(homomorphic encyrption) 22 / 44
• "任意"の関数はandとxorで記述できる • andは𝔽2の掛け算, xorは𝔽2の足し算 • 𝔽2における加算と乗算の暗号文の計算ができれば 任意の関数の計算ができる • 𝐸𝑛𝑐 𝑓 𝑥 = 𝑓 𝐸𝑛𝑐 𝑥 • 多次元の格子を用いた暗号(格子暗号)ベースが主流 • 暗号文や計算時間が比較的大きい 完全準同型暗号(Gentry 2009) and 0 1 0 0 0 1 0 1 xor 0 1 0 0 1 1 1 0 23 / 44
• 𝑈𝑖 ; 投票者, 𝑋 ; 集計サーバ, 𝑌 : 結果を知る人 • 𝑌が公開鍵を公開する • 𝑥𝑖 ∈ {0,1} • もし悪意ある𝑈𝑖0 が𝑥𝑖0 = 10を暗号化して送ったら? • 正しい暗号文と不正な暗号文の区別をつけられない 簡単な投票 𝑐1 ≔ 𝐸𝑛𝑐(𝑥1) 𝑐2 ≔ 𝐸𝑛𝑐(𝑥2) 𝑐 𝑛 ≔ 𝐸𝑛𝑐(𝑥 𝑛) 𝑐 ≔ 𝑐1 + ⋯ + 𝑐 𝑛 𝐷𝑒𝑐 𝑐 = ෍ 𝑖 𝑥𝑖 𝑈𝑖 𝑋 𝑌 24 / 44
• Goldwasser, Micali, Rackoffが定式化(1985) • ZKP(Zero knowledge Proof) • 証明者Proverと検証者Verifierがいる • 対話的に情報をやりとりすることで Pがある命題Xを成立させる𝑤を知っていることをVに示す • ただし𝑤がXを満たすこと以外の情報はVに与えない • Σプロトコル 知識のゼロ知識証明 𝑐(返事) P V 𝑏(チャレンジ) 𝑎(コミット) verify (𝑎, 𝑏, 𝑐) 対話を繰り返して 確信度合いを増やす calc. 𝑤, 𝑎, 𝑏 = 𝑐 25 / 44 繰り返す 𝑤の知識
• 命令Xを成り立たせる𝑤について • 完全性 • 証明者Pが𝑤を知っていれば検証者Vは必ず納得する • 健全性 • Vが納得すれば無視できる確率を除いてPは𝑤を知っている • ゼロ知識性 • VはPが𝑤を知っていること以上の𝑤の情報は得られない • 対話的 • PとVのやりとりは対話的に行われる • 非対話ゼロ知識証明 • ランダムオラクルモデルのもとで対話的なZKPを非対話にする 一般的な構成方法がある(Fiat-Shamir変換) ZKPの性質 26 / 44
• 𝑃, 𝑄 = 𝑤𝑃, Pは𝑤を知っていることをVに示す • P, Vで(𝑃, 𝑄)を共有 • P→V ; 𝑏 ∈ 𝔽 𝑝を選んで𝐵 ≔ 𝑏𝑃を送る • V→P ; ℎ ∈ 𝔽 𝑝を選んで送る • P→V ; 𝑑 ≔ 𝑏 + 𝑤ℎを送る • V ; 𝑑𝑃 − ℎ𝑄 = ? 𝐵を確認 • 完全性 • 𝑑𝑃 − ℎ𝑄 = 𝑏 + 𝑤ℎ 𝑃 − ℎ 𝑤𝑃 = 𝑏𝑃 = 𝐵 • 健全性 • 同じ𝐵に対し異なるℎ, ℎ′で受理すれば 𝐵 = 𝑑𝑃 − ℎ𝑄 = 𝑑′ 𝑃 − ℎ′ 𝑄 • 𝑄 = 𝑑′−𝑑 ℎ′−ℎ 𝑃 ; DLPが解けている 27 / 44 DLPのZKP P V ℎ 𝐵 𝑑
• 𝑋 ≔ (𝑄, 𝑃), 𝐴 ≔ 𝐴0, 𝐴1 = 𝐸𝑛𝑐(𝑚; 𝑟) • 𝑚 = 0なら𝐴 = 𝑟(𝑄, 𝑃)となる𝑟がある • 𝑚 = 1なら𝐴′ ≔ 𝐴0 − 𝑃, 𝑄 = 𝑟 𝑄, 𝑃 となる𝑟がある • 証明者 (𝐻: 0,1 ∗ → 𝔽 𝑝 ; ハッシュ関数) • 𝑚 = 0のとき𝑑′, ℎ′, 𝑏 ← 𝔽 𝑝をとる • 𝐵′ ≔ 𝑑′ 𝑋 − ℎ′ 𝐴′, 𝐵 ≔ 𝑏𝑋, ℎ ≔ 𝐻 𝑋, 𝐴, 𝐵, 𝐵′ − ℎ′, 𝑑 ≔ 𝑏 + ℎ𝑟 • 𝑚 = 1のとき𝑑, ℎ, 𝑏′ ← 𝔽 𝑝をとる • 𝐵 ≔ 𝑑𝑋 − ℎ𝐴, 𝐵′ ≔ 𝑏′ 𝑋, ℎ′ ≔ 𝐻 𝑋, 𝐴, 𝐵, 𝐵′ − ℎ, 𝑑′ ≔ 𝑏′ + ℎ′ 𝑟 • 証明𝜋 ≔ (𝑑, ℎ, 𝑑′, ℎ′)を検証者に送る • 検証者 • 与えられた𝑋, 𝐴, 𝜋に対して𝐵 ≔ 𝑑𝑋 − ℎ𝐴, 𝐵′ ≔ 𝑑′ 𝑋 − ℎ′ 𝐴′ • 𝐻 𝑋, 𝐴, 𝐵, 𝐵′ = ℎ + ℎ′が成り立てば受理 𝐷𝑒𝑐 𝑐 ∈ {0,1}の非対話ZKPの構成例 28 / 44
• 完全性 • 𝑚 = 0なら𝐵 = 𝑏𝑋 = 𝑑 − ℎ𝑟 𝑋 = 𝑑𝑋 − ℎ 𝑟𝑋 = 𝑑𝑋 − ℎ𝐴 • 𝑚 = 1なら𝐵′ = 𝑏′ 𝑋 = 𝑑′ − ℎ′ 𝑟 𝑋 = 𝑑′ 𝑋 − ℎ′ 𝑟𝑋 = 𝑑′ 𝑋 − ℎ′ 𝐴′ • ゼロ知識性 • 𝑚 = 0なら𝑑′, ℎ′, 𝑏 ← 𝔽 𝑝より𝑑 = 𝑏 + ℎ𝑟もランダム • 健全性 • 𝐴 = (𝑎0 𝑄, 𝑎1 𝑃), 𝐵 = 𝑏0 𝑄, 𝑏1 𝑃 , 𝐵′ = (𝑏0 ′ 𝑄, 𝑏1 ′ 𝑃)とすると 𝐵 = 𝑑𝑋 + ℎ𝐴より𝑏0 = 𝑑 + ℎ𝑎0, 𝑏1 = 𝑑 + ℎ𝑎1 よって𝑏1 = 𝑏0 + ℎ(𝑎0 − 𝑎1) • 𝐵′ = 𝑑′ 𝑋 + ℎ′ 𝐴′より𝑏0′ = 𝑑′ + ℎ′(𝑎0−1), 𝑏1′ = 𝑑′ + ℎ′𝑎1 よって𝑏1 ′ = 𝑏0 ′ + ℎ′(𝑎0 − 1 − 𝑎1) • 𝐻൫ ൯ 𝑄, 𝑃, 𝑎0 𝑄, 𝑎1 𝑃, 𝑏0 𝑄, 𝑏0 + ℎ 𝑎0 − 𝑎1 𝑃, 𝑏0 ′ 𝑄, ൫ ൯ 𝑏0 ′ + ℎ′( ) 𝑎0 − 1 − 𝑎1 𝑃 = ℎ + ℎ′ ; 𝑎0 − 𝑎1 ∉ {0,1}なら見つけるのは困難 証明の概要 29 / 44
• zk-SNARK ; ペアリング(後述)ベース. 証明の検証が高速 • STARK ; 信頼のおける第三者機関が不要 • Bulletproof ; ECDLPに基づいた方式 • ブロックチェーンの秘匿系プロジェクトで注目度が高い • 例 : 範囲証明, 𝑎 ∈ [0,2 𝑛)であることを示す • 𝑎の2進数表記∑𝑎𝑖2𝑖(𝑎𝑖 ∈ {0,1})で𝑎𝑖 ∈ {0,1}をZKPで示す ZKP証明系の比較 Proof system Σ-protocol zk-SNARK STARK Bulletproof 対話・非対話 yes no no no 証明サイズ long short shortish short 証明者の時間 𝑂(𝑛) quasilinear quasilinear big memory 𝑂(𝑛) 検証時間 𝑂(𝑛) efficient poly-log 𝑂(𝑛) 第三者機関 no required no no 実用的か? yes yes not quite yes 30 / 44
• Τ𝐸 𝔽 𝑝 ; 楕円曲線, gcd 𝑟, 𝑝 = 1となる𝑟 • 𝐺 ≔ 𝐸 𝑟 = 𝑃 ∈ 𝐸 𝔽 𝑝 𝑟𝑃 = 0 • 𝐺 ⊆ 𝐸(𝔽 𝑝 𝑘)となる𝑘を選ぶ • 𝜇 𝑟 ≔ {𝑥 ∈ 𝔽 𝑝 𝑘|𝑥 𝑟 = 1} • 𝑒: 𝐺 × 𝐺 → 𝜇 𝑟 ; Weilペアリング(双線形写像) • 𝑒 𝑃1 + 𝑃2, 𝑄 = 𝑒 𝑃1, 𝑄 𝑒 𝑃2, 𝑄 • 𝑒 𝑃, 𝑄1 + 𝑄2 = 𝑒 𝑃, 𝑄1 𝑒 𝑃, 𝑄2 • 𝑒 𝑎𝑃, 𝑏𝑄 = 𝑒 𝑃, 𝑄 𝑎𝑏 for 𝑎, 𝑏, ∈ ℤ • 𝐺のDLPと𝜇 𝑟のDLP • 𝑃, 𝑎𝑃 ; given, take 𝑄 ∈ 𝐺. 𝑔 ≔ 𝑒 𝑃, 𝑄 , ℎ ≔ 𝑒 𝑎𝑃, 𝑄 = 𝑔 𝑎 • もし(𝑔, ℎ)のDLPが解けるなら𝐺のDLPが解ける(MOV還元) • 暗号ではどちらも解けないものが使われる(安全性仮定は多種) Weilペアリング 31 / 44
• DH鍵共有は二人の間で秘密の値を共有 • 三人で同じことができるか? • Weilペアリングを使うと可能(2000年Joux) • アリス、ボブ、クリス • アリスは𝑎を選んで𝑎𝑃をボブとクリスに送る • ボブは𝑏を選んで𝑏𝑃をアリスとクリスに送る • クリスは𝑐を選んで𝑐𝑃をアリスとボブに送る • 共有 • アリス ; 𝑒 𝑏𝑃, 𝑐𝑃 𝑎 = 𝑔 𝑎𝑏𝑐 • ボブ ; 𝑒 𝑎𝑃, 𝑐𝑃 𝑏 = 𝑔 𝑎𝑏𝑐 • クリス ; 𝑒 𝑎𝑃, 𝑏𝑃 𝑐 = 𝑔 𝑎𝑏𝑐 三人で鍵共有 32 / 44
• DHP相当問題が困難な群𝐺, 𝐺 𝑇と多重線形写像 𝑒: 𝐺 × ⋯ × 𝐺 → 𝐺 𝑇 𝑒 𝑎1 𝑃, 𝑎2 𝑃, 𝑎3 𝑃, … , 𝑎 𝑛 𝑃 = 𝑒 𝑃, … , 𝑃 𝑎1 𝑎2…𝑎 𝑛 があれば可能 • 未解決 • 存在すれば面白い暗号プロトコルが沢山できる • 今のところそんな写像は構成できていない • 否定的な結果がいくつか知られている 𝑛人での鍵共有は? 33 / 44
• 様々な計算効率のよいペアリングが提案されている • BLS12 ; 𝑒: 𝐺1 × 𝐺2 → 𝐺 𝑇 • 128ビットセキュリティで最も効率のよいものの一つ • 𝐺1 ; 𝔽 𝑝上定義された楕円曲線𝑟等分点の集合 • 𝐺2 ; 𝔽 𝑝2上定義された楕円曲線𝑟等分点の集合 • 𝐺 𝑇 ≔ 𝑥 ∈ 𝔽 𝑝12 𝑥 𝑟 = 1 • 𝑒 𝑎𝑃, 𝑏𝑄 = 𝑒 𝑃, 𝑄 𝑎𝑏 • Weilペアリングは対称ペアリング • BLS12は非対称ペアリング ペアリングの改良 34 / 44
• 「2L」は2次式の計算ができる(level 2)という意味 • 𝑒: 𝐺1 × 𝐺2 → 𝐺 𝑇 ; 非対称ペアリング • 𝐺𝑖 ≔ ⟨𝑃𝑖⟩ ; 生成元(𝑖 = 1,2), 𝐺𝑖 = 𝐺 𝑇 = 𝑟 • 𝐺 𝑇を加法群表記する, 𝑅 ≔ 𝑒(𝑃1, 𝑃2)は𝐺 𝑇の生成元 • 𝐸𝑛𝑐𝑖 ; 𝐺𝑖に関するLifted-ElGamal暗号 • 𝑠𝑖 ∈ 𝔽 𝑟 ; 秘密鍵, 𝑄𝑖 ≔ 𝑠𝑖 𝑃𝑖 ; 公開鍵 • 𝑐𝑖 ≔ 𝐸𝑛𝑐𝑖 𝑚𝑖; 𝑟𝑖 = 𝑚𝑖 𝑃𝑖 + 𝑟𝑖 𝑄𝑖, 𝑟𝑖 𝑃𝑖 = ( 𝑚𝑖 + 𝑟𝑖 𝑠𝑖 𝑃𝑖, 𝑟𝑖 𝑃𝑖) • 暗号文𝑐1と𝑐2を「掛ける」 • 𝑐𝑖 ≔ 𝑆𝑖, 𝑇𝑖 として • 𝑐1 × 𝑐2 ≔ 𝑒 𝑆1, 𝑆2 , 𝑒 𝑆1, 𝑇2 , 𝑒 𝑇1, 𝑆2 , 𝑒 𝑇1, 𝑇2 = ൫ ൯ 𝑚1 + 𝑟1 𝑠1 𝑚2 + 𝑟2 𝑠2 𝑅, 𝑚1 + 𝑟1 𝑠1 𝑟2 𝑅, ( ) 𝑚2 + 𝑟2 𝑠2 𝑟1 𝑅, 𝑟1 𝑟2 𝑅 ∈ 𝑅4 ペアリングを用いた2LHE(2018) 35 / 44
• 𝑐 ≔ (𝐴0, 𝐴1, 𝐴2, 𝐴3)に対して 𝑑𝑒𝑐 𝑐 ≔ 𝐴0 − 𝑠2 𝐴1 − 𝑠1 𝐴2 + 𝑠1 𝑠2 𝐴3 𝐷𝑒𝑐 𝑐 ≔ 𝐷𝐿𝑃𝑅(𝑑𝑒𝑐 𝑐 ) • 𝑑𝑒𝑐 𝑐1 × 𝑐2 = 𝑚1 + 𝑟1 𝑠1 𝑚2 + 𝑟2 𝑠2 𝑅 − 𝑠2( ) 𝑚1 + 𝑟1 𝑠1 𝑟2 𝑅 − 𝑠1 𝑚2 + 𝑟2 𝑠2 𝑟1 𝑅 + 𝑠1 𝑠2 𝑟1 𝑟2 𝑅 = 𝑚1 𝑚2 𝑅 • 𝐷𝑒𝑐 𝑐1 × 𝑐2 = 𝑚1 𝑚2 • 乗算後の暗号文は成分ごとの加算により「足せる」 • 内積演算 • 𝑥 ≔ (𝑥1, … , 𝑥 𝑛), 𝑦 ≔ (𝑦1, … , 𝑦𝑛)に対して 𝐸𝑛𝑐1 𝑥 ≔ 𝐸𝑛𝑐1 𝑥1 , … , 𝐸𝑛𝑐1 𝑥 𝑛 , 𝐸𝑛𝑐2 𝑦 ≔ 𝐸𝑛𝑐2 𝑦1 , … , 𝐸𝑛𝑐2 𝑦𝑛 • 𝐸𝑛𝑐1 𝑥 𝐸𝑛𝑐2 𝑦 = ∑𝐸𝑛𝑐1 𝑥𝑖 𝐸𝑛𝑐2 𝑦𝑖 = 𝐸𝑛𝑐(∑𝑥𝑖 𝑦𝑖) 乗算後の暗号文の復号 36 / 44
• 暗号文のままデータの平均や分散を計算可能 • クロス集計の秘匿化 • https://herumi.github.io/she-wasm/cross-demo-ja.html • 加法準同型暗号+αでがんばる / 完全準同型暗号でがんばる 応用例 マンガ購入 購入せず カメラ購入 * * 購入せず * * 暗号文を送信 テレビ マンガ 小説 カメラ A * * * * B * * * * C * * * * ... * * * *暗号文のままクロス集計 マンガ購入 購入せず カメラ購入 80 20 購入せず 10 30 37 / 44
• 𝑇 ; 区間[0, 𝑛)のテーブル(𝑇𝑎 ∈ ℤ ; 𝑎 = 0, … , 𝑛 − 1) • 2LHEを使った方法(𝑂 𝑛 の通信量) • 𝑚 ≔ 𝑛 , 𝑎 = 𝑚𝑞 + 𝑟(0 ≤ 𝑟 < 𝑚), 𝛿𝑖𝑗 ; クロネッカーのデルタ • 𝐸𝑛𝑐 𝑎 ≔ 𝐸𝑛𝑐1 𝛿 𝑞𝑖 , 𝐸𝑛𝑐2 𝛿 𝑟𝑗 𝑖=0,…,𝑚−1,𝑗=0,…,𝑚−1 ; 2𝑚個 • ∑𝑖𝑗 𝑇𝑖𝑚+𝑗 × 𝐸𝑛𝑐1 𝛿 𝑞𝑖 × 𝐸𝑛𝑐2 𝛿 𝑟𝑗 = 𝐸𝑛𝑐 ෍ 𝑖𝑗 𝑇𝑖𝑚+𝑗 𝛿 𝑞𝑖 𝛿 𝑟𝑗 = 𝐸𝑛𝑐 𝑇𝑞𝑚+𝑟 = 𝐸𝑛𝑐 𝑇𝑎 • https://ppdm.jp/ot/ • 𝑛 = 100万ならWebAssembly実装でも暗号化が1秒未満 暗号化したままテーブル引き 𝑎 ; インデックス 𝑐 = 𝐸𝑛𝑐(𝑎) 𝑐′ = 𝐸𝑛𝑐(𝑇𝑎) 𝐷𝑒𝑐 𝑐′ = 𝑇𝑎 0 𝑇0 𝑛 − 1 𝑇𝑛−1 𝑎 𝑇𝑎 ... ... ... … 38 / 44
• ペアリングを用いた署名 • 𝑒: 𝐺1 × 𝐺2 → 𝐺 𝑇 ; ペアリング𝐺𝑖 = ⟨𝑃𝑖⟩ ; 生成元 • 𝐻2: 0,1 ∗ → 𝐺2 ; ハッシュ関数 • 鍵生成 • 𝑠 ← 𝔽 𝑝 ; 署名鍵(秘密鍵), 𝑆 ≔ 𝑠𝑃1 ; 検証鍵(公開鍵) • 署名 • メッセージ𝑚に対して𝜎 ≔ 𝑆𝑖𝑔𝑛 𝑠, 𝑚 ≔ 𝑠𝐻2(𝑚) • 検証 • メッセージ𝑚と署名𝜎に対して 𝑒 𝑃1, 𝜎 = 𝑒(𝑆, 𝐻2 𝑚 )が成立するなら𝑉𝑒𝑟𝑖𝑓𝑦 𝑆, 𝑚, 𝜎 = 1 • 正当性 : validな署名なら • 𝑒 𝑃1, 𝜎 = 𝑒 𝑃1, 𝑠𝐻2 𝑚 = 𝑒 𝑠𝑃1, 𝐻2 𝑚 = 𝑒(𝑆, 𝐻2 𝑚 ) BLS署名 39 / 44
• 線形性 • 𝑛個の署名鍵𝑠𝑖, 検証鍵𝑆𝑖, 𝑚に対するvalidな署名𝜎𝑖, 任意の𝑎1, … , 𝑎 𝑛 ∈ 𝔽 𝑝について 𝜎 ≔ ∑𝑖 𝑎𝑖 𝜎𝑖は𝑆 ≔ ∑𝑖 𝑎𝑖 𝑆𝑖に対してvalidな署名 • 何故なら𝑒 𝑃1, 𝜎 = 𝑒 𝑃1, ∑𝑎𝑖 𝜎𝑖 = 𝑒 𝑃1, ∑𝑎𝑖 𝑠𝑖 𝐻2 𝑚 = 𝑒 ∑𝑎𝑖 𝑠𝑖 𝑃1, 𝐻2 𝑚 = 𝑒 ∑𝑎𝑖 𝑆𝑖, 𝐻2 𝑚 = 𝑒(𝑆, 𝐻2 𝑚 ) • 集約署名 • 𝑛個の署名の検証コストを減らす • 𝜎𝑖, 𝑆𝑖 → 𝜎 ≔ ∑𝜎𝑖, 𝑆 ≔ ∑𝑆𝑖 • 注意 : Rogue-attackというのに気をつける • 攻撃者𝑗が𝜎′ ≔ 𝜎0 − ∑𝑖≠𝑗 𝜎𝑖を作ると𝜎 = 𝜎0で制御可能 • 署名者が正しい署名鍵を持っていることを検証する必要あり BLS署名の特長 40 / 44
• 秘密情報𝑠 ∈ 𝔽 𝑝を𝑛人でshareする(𝑦1, … , 𝑦𝑛) • そのうち𝑘人が集まって𝑌 = 𝑦𝑖1 , … , 𝑦𝑖 𝑘 を集めると𝑠をrecover • e.g., 社長一人で秘密鍵を持つのではなく取締役で情報分散 • Shamirの秘密分散 • 信頼のおける機関 • 𝑘 − 1次多項式𝑓 𝑥 = 𝑠0 + 𝑠1 𝑥 + ⋯ + 𝑠 𝑘−1 𝑥 𝑘−1 • 𝑠1, … , 𝑠 𝑘−1 ; random • share • 各ユーザ𝑈𝑖(𝑖 = 1, … , 𝑛)に𝑦𝑖 ≔ 𝑓(𝑖)を秘密に配付する • recover • {𝑦1, … , 𝑦𝑛}の任意の𝑘個の部分集合𝑌 = 𝑦𝑖1 , … , 𝑦𝑖 𝑘 から 𝑓(𝑥)は一意に確定するので𝑓 0 = 𝑠0が分かる • 𝑓 0 は𝑌の線形和で計算可能(Lagrange補間) 秘密分散 41 / 44
• 信頼のおける機関𝐴 • 𝑘 − 1次多項式𝑓(𝑥)を作る. マスター検証鍵𝑆 ≔ 𝑓 0 𝑃1を公開 • 各ユーザに署名鍵𝑠𝑖 ≔ 𝑓(𝑖)を配付し検証鍵𝑆𝑖 ≔ 𝑓 𝑖 𝑃𝑖を公開 • 𝐴は生成した多項式を忘れる • 各ユーザの署名 • 𝑚に対して署名𝜎𝑖 ≔ 𝑆𝑖𝑔𝑛 𝑠𝑖, 𝑚 = 𝑠𝑖 𝐻(𝑚)を生成 • 𝑆𝑖で正しさを検証可能 • recover • 任意の𝑘個の署名𝜎𝑖からマスター署名𝜎 = 𝑓 0 𝐻(𝑚)を復元 • マスター検証鍵𝑆で検証可能 • DKG(distributed key generation) • 𝐴を仮定せずに各ユーザに署名鍵を配付する方法 秘密分散+BLS署名 42 / 44
• 量子の性質を利用して計算する計算機 • DLPを効率よく解くアルゴリズムが知られている • D-Wave(量子やきなまし型)では解けない(今のところ) • 実際の暗号を解くものが実用化されるのは数十年後? • 耐量子計算機暗号 • 量子計算機でも解けない暗号 • 現在の計算機で実行可能 • 格子暗号、楕円曲線の同種写像を用いた暗号などが候補 • cf. 量子暗号(=量子暗号通信, 量子鍵配送) • 量子の性質を利用して乱数を安全に共有する(盗聴不可能) • 現在の計算機で実現不可能 • データを暗号化して保存したり計算したりは出来ない 43 / 44 量子計算機
• 入門書 • 『暗号技術のすべて』(IPUSIRON) 2017 • 暗号全般の入門書, 暗号理論のはなし • 『クラウドを支えるこれからの暗号技術』2015 • https://herumi.github.io/ango/ ; ペアリング暗号全般 • 専門書 • 『公開鍵暗号の数理』(森山大輔, 西巻陵, 岡本龍明) 2011 • 暗号理論のモデル, 安全性証明 • 『Guide to Pairing-based cryptography』(Mrabet, Joye) 2017 • 『現代暗号の誕生と発展』(岡本龍明) 2019 • ブロックチェーン, zk-SNARK, 格子暗号, 完全準同型暗号 • 『耐量子計算機暗号』(縫田光司) 2020 • 楕円曲線の同種写像暗号, 格子暗号, 量子計算機 参考文献 44 / 44
• INDゲーム(indistinguishability) • 攻撃者Aが2個の暗号文𝑚1, 𝑚2を選び挑戦者Bに渡す • Bは𝑏 = 0 or 1を選び暗号文𝑐∗ = 𝐸𝑛𝑐 𝑚𝑖1 をAに渡す • Aは𝑐がどちらの暗号文を暗号化したものか当てれば勝ち • 当てられる確率𝑃がでたらめに当てる確率1/2とほぼ同じとき IND安全という • セキュリティパラメータ𝜆に対して任意の𝑘 ∈ ℕに対して 「𝑛 > 𝑛 𝑘なら 𝑃 𝑛 − 1 2 < 𝑛−𝑘となる𝑛 𝑘が存在する」 公開鍵暗号文の識別不可能性 𝑚1, 𝑚2 攻撃者 挑戦者 𝑏 ∈ {0,1}𝑐∗ = 𝐸𝑛𝑐 𝑚 𝑏 𝑏を当てる 45 / 44
• 攻撃者のレベル • 攻撃者は選んだ平文の暗号文を作れる • CPA(Chosen Plaintext Attack) ; 公開鍵暗号はいつでも • 攻撃者が選んだ暗号文の平文を知ることができる • CCA(Chosen Ciphertext Attack) • CCA2 ; ターゲット暗号文𝑐∗をみてCCAができる • 𝑐∗はINDゲームの答えるべき暗号文 • それ以外の暗号文の情報は全て教えてもらえるという状況 • CCA2に対してIND安全なときIND-CCA2安全という IND-CCA2安全 復号オラクル 𝑐𝑖 ≠ 𝑐∗ 攻撃者 𝑚𝑖 = 𝐷𝑒𝑐 𝑐𝑖 繰り返す 46 / 44

Recommended

楕円曲線入門 トーラスと楕円曲線のつながり
楕円曲線入門 トーラスと楕円曲線のつながり楕円曲線入門 トーラスと楕円曲線のつながり
楕円曲線入門 トーラスと楕円曲線のつながりMITSUNARI Shigeo
 
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)MITSUNARI Shigeo
 
暗号文のままで計算しよう - 準同型暗号入門 -
暗号文のままで計算しよう - 準同型暗号入門 -暗号文のままで計算しよう - 準同型暗号入門 -
暗号文のままで計算しよう - 準同型暗号入門 -MITSUNARI Shigeo
 
RSA鍵生成脆弱性ROCAの紹介
RSA鍵生成脆弱性ROCAの紹介RSA鍵生成脆弱性ROCAの紹介
RSA鍵生成脆弱性ROCAの紹介MITSUNARI Shigeo
 
ブロックチェーン系プロジェクトで着目される暗号技術
ブロックチェーン系プロジェクトで着目される暗号技術ブロックチェーン系プロジェクトで着目される暗号技術
ブロックチェーン系プロジェクトで着目される暗号技術MITSUNARI Shigeo
 
新しい暗号技術
新しい暗号技術新しい暗号技術
新しい暗号技術MITSUNARI Shigeo
 
katagaitai workshop #7 crypto ナップサック暗号と低密度攻撃
katagaitai workshop #7 crypto ナップサック暗号と低密度攻撃katagaitai workshop #7 crypto ナップサック暗号と低密度攻撃
katagaitai workshop #7 crypto ナップサック暗号と低密度攻撃trmr
 
Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化
Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化
Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化MITSUNARI Shigeo
 

Recommended

楕円曲線入門 トーラスと楕円曲線のつながり
楕円曲線入門 トーラスと楕円曲線のつながり楕円曲線入門 トーラスと楕円曲線のつながり
楕円曲線入門 トーラスと楕円曲線のつながりMITSUNARI Shigeo
 
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)MITSUNARI Shigeo
 
暗号文のままで計算しよう - 準同型暗号入門 -
暗号文のままで計算しよう - 準同型暗号入門 -暗号文のままで計算しよう - 準同型暗号入門 -
暗号文のままで計算しよう - 準同型暗号入門 -MITSUNARI Shigeo
 
RSA鍵生成脆弱性ROCAの紹介
RSA鍵生成脆弱性ROCAの紹介RSA鍵生成脆弱性ROCAの紹介
RSA鍵生成脆弱性ROCAの紹介MITSUNARI Shigeo
 
ブロックチェーン系プロジェクトで着目される暗号技術
ブロックチェーン系プロジェクトで着目される暗号技術ブロックチェーン系プロジェクトで着目される暗号技術
ブロックチェーン系プロジェクトで着目される暗号技術MITSUNARI Shigeo
 
新しい暗号技術
新しい暗号技術新しい暗号技術
新しい暗号技術MITSUNARI Shigeo
 
katagaitai workshop #7 crypto ナップサック暗号と低密度攻撃
katagaitai workshop #7 crypto ナップサック暗号と低密度攻撃katagaitai workshop #7 crypto ナップサック暗号と低密度攻撃
katagaitai workshop #7 crypto ナップサック暗号と低密度攻撃trmr
 
Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化
Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化
Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化MITSUNARI Shigeo
 
暗号技術の実装と数学
暗号技術の実装と数学暗号技術の実装と数学
暗号技術の実装と数学MITSUNARI Shigeo
 
暗号技術入門 秘密の国のアリス 総集編
暗号技術入門 秘密の国のアリス 総集編暗号技術入門 秘密の国のアリス 総集編
暗号技術入門 秘密の国のアリス 総集編京大 マイコンクラブ
 
RSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjpRSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjpsonickun
 
技術勉強会(楕円曲線暗号)資料
技術勉強会(楕円曲線暗号)資料技術勉強会(楕円曲線暗号)資料
技術勉強会(楕円曲線暗号)資料Tetsuyuki Oishi
 
BLS署名の実装とその応用
BLS署名の実装とその応用BLS署名の実装とその応用
BLS署名の実装とその応用MITSUNARI Shigeo
 
公開鍵暗号8: 有限体上の楕円曲線の位数計算
公開鍵暗号8: 有限体上の楕円曲線の位数計算公開鍵暗号8: 有限体上の楕円曲線の位数計算
公開鍵暗号8: 有限体上の楕円曲線の位数計算Joe Suzuki
 
指数時間アルゴリズム入門
指数時間アルゴリズム入門指数時間アルゴリズム入門
指数時間アルゴリズム入門Yoichi Iwata
 
zk-SNARKsの仕組みについて
zk-SNARKsの仕組みについてzk-SNARKsの仕組みについて
zk-SNARKsの仕組みについてts21
 
範囲証明つき準同型暗号とその対話的プロトコル
範囲証明つき準同型暗号とその対話的プロトコル範囲証明つき準同型暗号とその対話的プロトコル
範囲証明つき準同型暗号とその対話的プロトコルMITSUNARI Shigeo
 
集約署名
集約署名集約署名
集約署名MITSUNARI Shigeo
 
暗号化したまま計算できる暗号技術とOSS開発による広がり
暗号化したまま計算できる暗号技術とOSS開発による広がり暗号化したまま計算できる暗号技術とOSS開発による広がり
暗号化したまま計算できる暗号技術とOSS開発による広がりMITSUNARI Shigeo
 
暗認本読書会11
暗認本読書会11暗認本読書会11
暗認本読書会11MITSUNARI Shigeo
 
暗認本読書会7
暗認本読書会7暗認本読書会7
暗認本読書会7MITSUNARI Shigeo
 
色々なダイクストラ高速化
色々なダイクストラ高速化色々なダイクストラ高速化
色々なダイクストラ高速化yosupo
 
暗号技術入門
暗号技術入門暗号技術入門
暗号技術入門MITSUNARI Shigeo
 
暗認本読書会6
暗認本読書会6暗認本読書会6
暗認本読書会6MITSUNARI Shigeo
 
BLS Based Discreet Log Contracts
BLS Based Discreet Log ContractsBLS Based Discreet Log Contracts
BLS Based Discreet Log ContractsIchiro Kuwahara
 
katagaitai CTF勉強会 #3 crypto
katagaitai CTF勉強会 #3 cryptokatagaitai CTF勉強会 #3 crypto
katagaitai CTF勉強会 #3 cryptotrmr
 
条件分岐とcmovとmaxps
条件分岐とcmovとmaxps条件分岐とcmovとmaxps
条件分岐とcmovとmaxpsMITSUNARI Shigeo
 
ホモトピー型理論入門
ホモトピー型理論入門ホモトピー型理論入門
ホモトピー型理論入門k h
 
暗認本読書会13 advanced
暗認本読書会13 advanced暗認本読書会13 advanced
暗認本読書会13 advancedMITSUNARI Shigeo
 
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明MITSUNARI Shigeo
 

More Related Content

What's hot

暗号技術の実装と数学
暗号技術の実装と数学暗号技術の実装と数学
暗号技術の実装と数学MITSUNARI Shigeo
 
暗号技術入門 秘密の国のアリス 総集編
暗号技術入門 秘密の国のアリス 総集編暗号技術入門 秘密の国のアリス 総集編
暗号技術入門 秘密の国のアリス 総集編京大 マイコンクラブ
 
RSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjpRSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjpsonickun
 
技術勉強会(楕円曲線暗号)資料
技術勉強会(楕円曲線暗号)資料技術勉強会(楕円曲線暗号)資料
技術勉強会(楕円曲線暗号)資料Tetsuyuki Oishi
 
BLS署名の実装とその応用
BLS署名の実装とその応用BLS署名の実装とその応用
BLS署名の実装とその応用MITSUNARI Shigeo
 
公開鍵暗号8: 有限体上の楕円曲線の位数計算
公開鍵暗号8: 有限体上の楕円曲線の位数計算公開鍵暗号8: 有限体上の楕円曲線の位数計算
公開鍵暗号8: 有限体上の楕円曲線の位数計算Joe Suzuki
 
指数時間アルゴリズム入門
指数時間アルゴリズム入門指数時間アルゴリズム入門
指数時間アルゴリズム入門Yoichi Iwata
 
zk-SNARKsの仕組みについて
zk-SNARKsの仕組みについてzk-SNARKsの仕組みについて
zk-SNARKsの仕組みについてts21
 
範囲証明つき準同型暗号とその対話的プロトコル
範囲証明つき準同型暗号とその対話的プロトコル範囲証明つき準同型暗号とその対話的プロトコル
範囲証明つき準同型暗号とその対話的プロトコルMITSUNARI Shigeo
 
暗号化したまま計算できる暗号技術とOSS開発による広がり
暗号化したまま計算できる暗号技術とOSS開発による広がり暗号化したまま計算できる暗号技術とOSS開発による広がり
暗号化したまま計算できる暗号技術とOSS開発による広がりMITSUNARI Shigeo
 
色々なダイクストラ高速化
色々なダイクストラ高速化色々なダイクストラ高速化
色々なダイクストラ高速化yosupo
 
BLS Based Discreet Log Contracts
BLS Based Discreet Log ContractsBLS Based Discreet Log Contracts
BLS Based Discreet Log ContractsIchiro Kuwahara
 
katagaitai CTF勉強会 #3 crypto
katagaitai CTF勉強会 #3 cryptokatagaitai CTF勉強会 #3 crypto
katagaitai CTF勉強会 #3 cryptotrmr
 
条件分岐とcmovとmaxps
条件分岐とcmovとmaxps条件分岐とcmovとmaxps
条件分岐とcmovとmaxpsMITSUNARI Shigeo
 
ホモトピー型理論入門
ホモトピー型理論入門ホモトピー型理論入門
ホモトピー型理論入門k h
 

What's hot (20)

暗号技術の実装と数学
暗号技術の実装と数学暗号技術の実装と数学
暗号技術の実装と数学
 
暗号技術入門 秘密の国のアリス 総集編
暗号技術入門 秘密の国のアリス 総集編暗号技術入門 秘密の国のアリス 総集編
暗号技術入門 秘密の国のアリス 総集編
 
RSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjpRSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjp
 
技術勉強会(楕円曲線暗号)資料
技術勉強会(楕円曲線暗号)資料技術勉強会(楕円曲線暗号)資料
技術勉強会(楕円曲線暗号)資料
 
BLS署名の実装とその応用
BLS署名の実装とその応用BLS署名の実装とその応用
BLS署名の実装とその応用
 
公開鍵暗号8: 有限体上の楕円曲線の位数計算
公開鍵暗号8: 有限体上の楕円曲線の位数計算公開鍵暗号8: 有限体上の楕円曲線の位数計算
公開鍵暗号8: 有限体上の楕円曲線の位数計算
 
指数時間アルゴリズム入門
指数時間アルゴリズム入門指数時間アルゴリズム入門
指数時間アルゴリズム入門
 
zk-SNARKsの仕組みについて
zk-SNARKsの仕組みについてzk-SNARKsの仕組みについて
zk-SNARKsの仕組みについて
 
範囲証明つき準同型暗号とその対話的プロトコル
範囲証明つき準同型暗号とその対話的プロトコル範囲証明つき準同型暗号とその対話的プロトコル
範囲証明つき準同型暗号とその対話的プロトコル
 
集約署名
集約署名集約署名
集約署名
 
暗号化したまま計算できる暗号技術とOSS開発による広がり
暗号化したまま計算できる暗号技術とOSS開発による広がり暗号化したまま計算できる暗号技術とOSS開発による広がり
暗号化したまま計算できる暗号技術とOSS開発による広がり
 
暗認本読書会11
暗認本読書会11暗認本読書会11
暗認本読書会11
 
暗認本読書会7
暗認本読書会7暗認本読書会7
暗認本読書会7
 
色々なダイクストラ高速化
色々なダイクストラ高速化色々なダイクストラ高速化
色々なダイクストラ高速化
 
暗号技術入門
暗号技術入門暗号技術入門
暗号技術入門
 
暗認本読書会6
暗認本読書会6暗認本読書会6
暗認本読書会6
 
BLS Based Discreet Log Contracts
BLS Based Discreet Log ContractsBLS Based Discreet Log Contracts
BLS Based Discreet Log Contracts
 
katagaitai CTF勉強会 #3 crypto
katagaitai CTF勉強会 #3 cryptokatagaitai CTF勉強会 #3 crypto
katagaitai CTF勉強会 #3 crypto
 
条件分岐とcmovとmaxps
条件分岐とcmovとmaxps条件分岐とcmovとmaxps
条件分岐とcmovとmaxps
 
ホモトピー型理論入門
ホモトピー型理論入門ホモトピー型理論入門
ホモトピー型理論入門
 

Similar to 楕円曲線と暗号

暗認本読書会13 advanced
暗認本読書会13 advanced暗認本読書会13 advanced
暗認本読書会13 advancedMITSUNARI Shigeo
 
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明MITSUNARI Shigeo
 
プログラミングコンテストでの乱択アルゴリズム
プログラミングコンテストでの乱択アルゴリズムプログラミングコンテストでの乱択アルゴリズム
プログラミングコンテストでの乱択アルゴリズムTakuya Akiba
 
『データ解析におけるプライバシー保護』勉強会 秘密計算
『データ解析におけるプライバシー保護』勉強会 秘密計算『データ解析におけるプライバシー保護』勉強会 秘密計算
『データ解析におけるプライバシー保護』勉強会 秘密計算MITSUNARI Shigeo
 
[DL輪読会]Parallel WaveNet: Fast High-Fidelity Speech Synthesis
[DL輪読会]Parallel WaveNet: Fast High-Fidelity Speech Synthesis[DL輪読会]Parallel WaveNet: Fast High-Fidelity Speech Synthesis
[DL輪読会]Parallel WaveNet: Fast High-Fidelity Speech SynthesisDeep Learning JP
 
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用MITSUNARI Shigeo
 
University CodeSprint 4 - Magic value
University CodeSprint 4 - Magic valueUniversity CodeSprint 4 - Magic value
University CodeSprint 4 - Magic valuesatanic
 
Introduction to Locally Testable Codes and Related Topics (in Japanese)
Introduction to Locally Testable Codes and Related Topics (in Japanese)Introduction to Locally Testable Codes and Related Topics (in Japanese)
Introduction to Locally Testable Codes and Related Topics (in Japanese)Nobutaka Shimizu
 
ニューラル論文を読む前に
ニューラル論文を読む前にニューラル論文を読む前に
ニューラル論文を読む前にHayahide Yamagishi
 
AtCoder Regular Contest 017
AtCoder Regular Contest 017AtCoder Regular Contest 017
AtCoder Regular Contest 017AtCoder Inc.
 
第9章 ネットワーク上の他の確率過程
第9章 ネットワーク上の他の確率過程第9章 ネットワーク上の他の確率過程
第9章 ネットワーク上の他の確率過程Ohsawa Goodfellow
 
Computing for Isogeny Kernel Problem by Groebner Basis
Computing for Isogeny Kernel Problem by Groebner BasisComputing for Isogeny Kernel Problem by Groebner Basis
Computing for Isogeny Kernel Problem by Groebner BasisYasu Math
 

Similar to 楕円曲線と暗号 (13)

暗認本読書会13 advanced
暗認本読書会13 advanced暗認本読書会13 advanced
暗認本読書会13 advanced
 
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
 
プログラミングコンテストでの乱択アルゴリズム
プログラミングコンテストでの乱択アルゴリズムプログラミングコンテストでの乱択アルゴリズム
プログラミングコンテストでの乱択アルゴリズム
 
『データ解析におけるプライバシー保護』勉強会 秘密計算
『データ解析におけるプライバシー保護』勉強会 秘密計算『データ解析におけるプライバシー保護』勉強会 秘密計算
『データ解析におけるプライバシー保護』勉強会 秘密計算
 
[DL輪読会]Parallel WaveNet: Fast High-Fidelity Speech Synthesis
[DL輪読会]Parallel WaveNet: Fast High-Fidelity Speech Synthesis[DL輪読会]Parallel WaveNet: Fast High-Fidelity Speech Synthesis
[DL輪読会]Parallel WaveNet: Fast High-Fidelity Speech Synthesis
 
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
 
暗認本読書会12
暗認本読書会12暗認本読書会12
暗認本読書会12
 
University CodeSprint 4 - Magic value
University CodeSprint 4 - Magic valueUniversity CodeSprint 4 - Magic value
University CodeSprint 4 - Magic value
 
Introduction to Locally Testable Codes and Related Topics (in Japanese)
Introduction to Locally Testable Codes and Related Topics (in Japanese)Introduction to Locally Testable Codes and Related Topics (in Japanese)
Introduction to Locally Testable Codes and Related Topics (in Japanese)
 
ニューラル論文を読む前に
ニューラル論文を読む前にニューラル論文を読む前に
ニューラル論文を読む前に
 
AtCoder Regular Contest 017
AtCoder Regular Contest 017AtCoder Regular Contest 017
AtCoder Regular Contest 017
 
第9章 ネットワーク上の他の確率過程
第9章 ネットワーク上の他の確率過程第9章 ネットワーク上の他の確率過程
第9章 ネットワーク上の他の確率過程
 
Computing for Isogeny Kernel Problem by Groebner Basis
Computing for Isogeny Kernel Problem by Groebner BasisComputing for Isogeny Kernel Problem by Groebner Basis
Computing for Isogeny Kernel Problem by Groebner Basis
 

More from MITSUNARI Shigeo

Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgen
Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgenIntel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgen
Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgenMITSUNARI Shigeo
 
深層学習フレームワークにおけるIntel CPU/富岳向け最適化法
深層学習フレームワークにおけるIntel CPU/富岳向け最適化法深層学習フレームワークにおけるIntel CPU/富岳向け最適化法
深層学習フレームワークにおけるIntel CPU/富岳向け最適化法MITSUNARI Shigeo
 
WebAssembly向け多倍長演算の実装
WebAssembly向け多倍長演算の実装WebAssembly向け多倍長演算の実装
WebAssembly向け多倍長演算の実装MITSUNARI Shigeo
 
LazyFP vulnerabilityの紹介
LazyFP vulnerabilityの紹介LazyFP vulnerabilityの紹介
LazyFP vulnerabilityの紹介MITSUNARI Shigeo
 
Intro to SVE 富岳のA64FXを触ってみた
Intro to SVE 富岳のA64FXを触ってみたIntro to SVE 富岳のA64FXを触ってみた
Intro to SVE 富岳のA64FXを触ってみたMITSUNARI Shigeo
 
自作ペアリング/BLS署名ライブラリの紹介
自作ペアリング/BLS署名ライブラリの紹介自作ペアリング/BLS署名ライブラリの紹介
自作ペアリング/BLS署名ライブラリの紹介MITSUNARI Shigeo
 
A compact zero knowledge proof to restrict message space in homomorphic encry...
A compact zero knowledge proof to restrict message space in homomorphic encry...A compact zero knowledge proof to restrict message space in homomorphic encry...
A compact zero knowledge proof to restrict message space in homomorphic encry...MITSUNARI Shigeo
 
Spectre/Meltdownとその派生
Spectre/Meltdownとその派生Spectre/Meltdownとその派生
Spectre/Meltdownとその派生MITSUNARI Shigeo
 
Practical Two-level Homomorphic Encryption in Prime-order Bilinear Groups
Practical Two-level Homomorphic Encryption in Prime-order Bilinear GroupsPractical Two-level Homomorphic Encryption in Prime-order Bilinear Groups
Practical Two-level Homomorphic Encryption in Prime-order Bilinear GroupsMITSUNARI Shigeo
 

More from MITSUNARI Shigeo (17)

暗認本読書会10
暗認本読書会10暗認本読書会10
暗認本読書会10
 
暗認本読書会9
暗認本読書会9暗認本読書会9
暗認本読書会9
 
Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgen
Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgenIntel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgen
Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgen
 
暗認本読書会8
暗認本読書会8暗認本読書会8
暗認本読書会8
 
暗認本読書会5
暗認本読書会5暗認本読書会5
暗認本読書会5
 
暗認本読書会4
暗認本読書会4暗認本読書会4
暗認本読書会4
 
深層学習フレームワークにおけるIntel CPU/富岳向け最適化法
深層学習フレームワークにおけるIntel CPU/富岳向け最適化法深層学習フレームワークにおけるIntel CPU/富岳向け最適化法
深層学習フレームワークにおけるIntel CPU/富岳向け最適化法
 
私とOSSの25年
私とOSSの25年私とOSSの25年
私とOSSの25年
 
WebAssembly向け多倍長演算の実装
WebAssembly向け多倍長演算の実装WebAssembly向け多倍長演算の実装
WebAssembly向け多倍長演算の実装
 
HPC Phys-20201203
HPC Phys-20201203HPC Phys-20201203
HPC Phys-20201203
 
LazyFP vulnerabilityの紹介
LazyFP vulnerabilityの紹介LazyFP vulnerabilityの紹介
LazyFP vulnerabilityの紹介
 
Intro to SVE 富岳のA64FXを触ってみた
Intro to SVE 富岳のA64FXを触ってみたIntro to SVE 富岳のA64FXを触ってみた
Intro to SVE 富岳のA64FXを触ってみた
 
ゆるバグ
ゆるバグゆるバグ
ゆるバグ
 
自作ペアリング/BLS署名ライブラリの紹介
自作ペアリング/BLS署名ライブラリの紹介自作ペアリング/BLS署名ライブラリの紹介
自作ペアリング/BLS署名ライブラリの紹介
 
A compact zero knowledge proof to restrict message space in homomorphic encry...
A compact zero knowledge proof to restrict message space in homomorphic encry...A compact zero knowledge proof to restrict message space in homomorphic encry...
A compact zero knowledge proof to restrict message space in homomorphic encry...
 
Spectre/Meltdownとその派生
Spectre/Meltdownとその派生Spectre/Meltdownとその派生
Spectre/Meltdownとその派生
 
Practical Two-level Homomorphic Encryption in Prime-order Bilinear Groups
Practical Two-level Homomorphic Encryption in Prime-order Bilinear GroupsPractical Two-level Homomorphic Encryption in Prime-order Bilinear Groups
Practical Two-level Homomorphic Encryption in Prime-order Bilinear Groups
 

Recently uploaded

SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)Hiroki Ichikura
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A surveyToru Tamaki
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdftaisei2219
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案sugiuralab
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami
 

Recently uploaded (12)

SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
 

楕円曲線と暗号

  • 2. • 共通鍵暗号 • DH鍵共有 • 楕円曲線 • 公開鍵暗号 • Lifted-ElGamal暗号 • 署名 • 準同型暗号 • ゼロ知識証明 • ペアリング • BLS署名 目次 2 / 44
  • 3. • 暗号化と復号に同じ鍵を使う暗号 • 共通鍵暗号のモデル • 鍵生成 : 秘密鍵𝑠を生成する • 暗号化 : 平文𝑚を秘密鍵𝑠で暗号化する 𝑐 = 𝐸𝑛𝑐 𝑠, 𝑚 • 復号 : 暗号文𝑐を秘密鍵𝑠で復号する 𝑚 = 𝐷𝑒𝑐 𝑠, 𝑐 • 𝑠を省略して𝐸𝑛𝑐(𝑚)や𝐷𝑒𝑐(𝑐)と書くこともある イラストは(C)いらすとや https://www.irasutoya.com/ 共通鍵暗号 暗号文平文 秘密鍵 アリス ボブ 秘密鍵の生成と共有 暗号化 暗号文 平文 秘密鍵 復号 送信 盗聴 3 / 44
  • 4. • 平文𝑚を暗号化して復号すると元に戻る(正当性) • 任意の𝑚に対して𝐷𝑒𝑐 𝑠, 𝐸𝑛𝑐 𝑠, 𝑚 = 𝑚 • 暗号文𝑐から平文𝑚の情報は得られない • 盗聴者がいても通信内容は漏洩しない • 「情報が得られない」とはどういう意味か • 後でもう少し詳しく考える • 秘密鍵を事前に秘密に共有しておく必要がある • どうやって? 共通鍵暗号の性質 4 / 44
  • 5. • DiffieとHellman(1976) • 1970年頃イギリスGCHQのEllisたちが発見していたらしい • 𝑝 ; 素数, 𝐺 ≔ 𝔽 𝑝 × ≔ {1,2, … , 𝑝 − 1}, 𝐺の生成元を𝑔とする • 方法 • アリスはランダムに𝑎 ∈ [1, 𝑝 − 1]を選び𝐴 ≔ 𝑔 𝑎をボブに送る • ボブはランダムに𝑏 ∈ [1, 𝑝 − 1]を選び𝐵 ≔ 𝑔 𝑏をアリスに送る • アリスは𝐵 𝑎 = 𝑔 𝑎𝑏を得る / ボブは𝐴 𝑏 = 𝑔 𝑎𝑏を得る • 𝑠 ≔ 𝑔 𝑎𝑏を共有した(これを共通鍵暗号の秘密鍵に利用する) DH鍵共有 アリス ボブ 𝐵 𝑎 = 𝑔 𝑎𝑏 𝑏 ; 秘密𝐴 ≔ 𝑔 𝑎 𝐵 ≔ 𝑔 𝑏 𝑎 ; 秘密 𝐴 𝑏 = 𝑔 𝑎𝑏 5 / 44
  • 6. • 盗聴者は次の情報を得る • 𝑝, 𝑔, 𝐴 = 𝑔 𝑎, 𝐵 = 𝑔 𝑏 • ここから𝑠 = 𝑔 𝑎𝑏を得られるか? • 原理的には𝑔, 𝑔 𝑎から𝑎を求められる • 離散対数問題DLP(Discrete Logarithm Problem)という • 現在知られている最速のアルゴリズムは数体篩法 • 計算量𝐿 𝑝(1/3, Τ32 9 Τ1 3) • 𝐿 𝑝 𝑠, 𝑐 = exp 𝑐 + 𝑜 1 log 𝑝 𝑠 log log 𝑝 1−𝑠 • 𝑝~22048程度のとき概ね2128以上でDLPは解けない DH鍵共有の安全性 6 / 44
  • 7. • 𝑔, 𝑔 𝑎 , 𝑔 𝑏 が与えられたとき • DLPは解けないかもしれないが𝑔 𝑎𝑏は計算できるかもしれない • DHP(DH Problem)という • DLPとDHPの関係 • DLPが解ければDHPは解ける • 逆は不明(同等の計算量が必要なのか真に小さいのか) • 今のところ同等に難しいと思われている • 「DHPが困難ならDH鍵共有は安全」(トートロジー) • 注意 • 攻撃者は盗聴のみを想定 • 途中経路で改竄を想定すると安全ではない(中間者攻撃) • その場合は署名(後述)などを組み合わせる DH問題 7 / 44
  • 8. • 有限体𝔽 𝑝(𝑝 > 3)上定義された楕円曲線 𝐸 𝔽 𝑝 ≔ 𝑥, 𝑦 ∈ 𝔽 𝑝 2 𝑦2 = 𝑥3 + 𝑎𝑥 + 𝑏 ∪ {0} • Weierstrass方程式 • 0は無限遠点, 𝑎, 𝑏 ∈ 𝔽 𝑝, 4𝑎3 + 27𝑏2 ≠ 0 • 楕円曲線に加法群の構造(点同士の加減算が定義される)が入る • 𝐺 ≔ 𝐸 𝑟 ≔ {𝑃 ∈ 𝐸(𝔽 𝑝)|𝑟𝑃 = 0}とする • 𝑟倍して0となる点の集合(𝑟等分点の集合) • 𝑃を𝐺の生成元とする𝐺 = {0, 𝑃, 2𝑃, … 𝑟 − 1 𝑃} 楕円曲線 8 / 44
  • 9. • DH鍵共有の楕円曲線版 • アリスは𝑎を選んで𝑎𝑃をボブに • ボブは𝑏を選んで𝑏𝑃をアリスに • 二人だけが𝑎𝑏𝑃を計算できる • アリス : 𝑎 𝑏𝑃 = 𝑎𝑏𝑃 • ボブ : 𝑏 𝑎𝑃 = 𝑎𝑏𝑃 • TLS1.3で必須の方法 • 「https://~」でアクセスするとき利用される ECDH鍵共有 9 / 44
  • 10. • 有限体のDLPとDHPの楕円曲線(Elliptic Curve)版 • ECDLP • 𝑃, 𝑎𝑃が与えられたとき(𝑎は未知), 𝑎を求めよ • ECDHP • 𝑃, 𝑎𝑃, 𝑏𝑃が与えられたとき(𝑎, 𝑏は未知), 𝑎𝑏𝑃を求めよ • 現在知られている最速のアルゴリズムは𝑂 𝑟 • 𝑟~2256な素数なら2128の計算コスト(解けない) • 有限体に比べて小さい群サイズで同等の安全性(2048 vs 256) • 注意 • ൗℤ 𝑝ℤ = {0,1,2, … , 𝑝 − 1}, 𝑔, ℎ ∈ ൗℤ 𝑝ℤ × が与えられたとき • ℎ = 𝑎𝑔となる𝑎を求めるのは容易(拡張Euclid互除法) ECDLPとECDHP 10 / 44
  • 11. • 暗号化の鍵と復号する鍵が別 • 暗号化する鍵は誰に知られてもよい • 公開鍵暗号のモデル • 鍵生成 : 公開鍵(暗号化鍵)𝑄と秘密鍵(復号鍵)𝑠の生成 • 暗号化 : 平文𝑚を公開鍵𝑄で暗号化 𝑐 = 𝐸𝑛𝑐 𝑄, 𝑚 • 復号 : 暗号文𝑐を秘密鍵𝑠で復号 𝑚 = 𝐷𝑒𝑐(𝑠, 𝑐) • 正当性 : 𝐷𝑒𝑐 𝑠, 𝐸𝑛𝑐 𝑄, 𝑚 = 𝑚 公開鍵暗号 暗号文𝑐平文𝑚 アリス ボブ 鍵生成 𝑠 : 秘密鍵, 𝑄 : 公開鍵 𝐸𝑛𝑐 平文𝑚𝐷𝑒𝑐 送信 𝑄 : 公開鍵 𝑠 : 秘密鍵 11 / 44
  • 12. • 𝐺 = ⟨𝑃⟩ ; DLPが困難な素数位数𝑝の巡回加法群 • {𝑃, 𝑎𝑃}から𝑎を求めるDLPを𝐷𝐿𝑃𝑃 𝑎𝑃 ≔ 𝑎と書くことにする • 鍵生成 • 秘密鍵𝑠 ∈ 𝔽 𝑝をランダムに選ぶ(以降𝑠 ← 𝔽 𝑝書く) • 𝑄 ≔ 𝑠𝑃が公開鍵(DLPの困難性から𝑠は分からない) • 暗号化 • 平文𝑚に対して𝑟 ← 𝔽 𝑝をとり𝐸𝑛𝑐 𝑄, 𝑚 ≔ (𝑚𝑃 + 𝑟𝑄, 𝑟𝑃) • 𝐸𝑛𝑐(𝑚; 𝑟)と乱数𝑟を明示することもある • 復号 • 暗号文𝑐 ≔ (𝑆, 𝑇)に対して𝑑𝑒𝑐 𝑠, 𝑐 ≔ 𝑆 − 𝑠𝑇 • 𝐷𝑒𝑐 𝑠, 𝑐 ≔ 𝐷𝐿𝑃𝑃(𝑑𝑒𝑐 𝑠, 𝑐 ) ; DLPが解ける範囲(e.g., ~232)の𝑚 • 正当性 : 𝑑𝑒𝑐 𝑠, 𝐸𝑛𝑐 𝑄, 𝑚 = 𝑚𝑃 + 𝑟𝑄 − 𝑠 𝑟𝑃 = 𝑚𝑃 Lifted-ElGamal暗号 12 / 44
  • 13. • 「はい(1)」か「いいえ(0)」と分かっている暗号文 • アンケート結果など • 攻撃者は自分で選んだ平文の暗号文を作れる(平文選択攻撃) • 同じ平文𝑚でも毎回異なる暗号文になる必要がある • 𝐸𝑛𝑐が乱数を含まない決定的アルゴリズムなら • 平文がある小さい範囲にあると分かっているとする • cf. 教科書的RSA暗号は決定的アルゴリズムなので安全でない Lifted-ElGamal暗号の安全性 暗号文𝑐 = 𝐸𝑛𝑐(? )が与えれた 攻撃者は自分で 暗号文を作れる 𝐸𝑛𝑐 1 𝐸𝑛𝑐 2 𝐸𝑛𝑐(3) ... 𝐸𝑛𝑐(100) 𝑐 一致するまで繰り返す 違う 違う 違う... 一致! 𝐷𝑒𝑐 𝑐 =? = 100だ 13 / 44
  • 14. • 0の暗号文𝑐 = 𝐸𝑛𝑐 0; 𝑟 = (𝑟𝑄, 𝑟𝑃) • これが0の暗号文かそうでないかが分かると安全でない • 攻撃者の視点 • 𝑃, 𝑄 = 𝑠𝑃を持っている, 𝑐 = (𝐶0, 𝐶1) = ? (𝑟𝑠𝑃, 𝑟𝑃) • もし(𝑃, 𝑠𝑃, 𝑟𝑃)に対してDHPが解けるなら𝑟𝑠𝑃が求まる • 𝐶0と比べることで𝐷𝑒𝑐 𝑐 = 0かそうでないかが分かる • DDH問題 • 「𝑃, 𝑎𝑃, 𝑏𝑃, 𝑄」が与えられたときに𝑄 = 𝑎𝑏𝑃か否か判定せよ • DDH問題が困難ならDHPが困難 • DDH~DHPかどうかは未解決 • DDH問題が困難 • ⇒ Lifted-ElGamal暗号は暗号文の区別ができない(ので安全) DDH(Decisional DH)問題 14 / 44
  • 15. • 基本的に暗号は秘密鍵, 平文の全パターンを調べれば どれかは当たる • ランダムに選んでも当たる確率は0ではない • これをもって「暗号はいつか破れる」というのはナンセンス • 計算量的な仮定を入れる • セキュリティパラメータ𝜆 : 安全性を評価する指標 • 攻撃者の能力は𝜆に関して確率的多項式時間(PPT) • 多項式時間では解けないと思われている問題X • ある暗号があるPPTなアルゴリズムで破れるならXを解ける • Xが破れないならその暗号は安全 • 攻撃者の攻撃手段もモデル化する • 時間があれば終わりのスライドで 安全性の定義 15 / 44
  • 16. • ある人がある情報𝑚に同意したことを保証する仕組み • 紙の書類に対するサインや判子 • 偽造や書類の書き換えが可能 • デジタルの場合はコピーが容易 • サインや判子に相当するものを情報𝑚と不可分な形にする • 暗号化=機密性(秘匿性), 署名=完全性(正確さ) • 両方を組み合わせて通信の秘匿性と正しさを保証する 署名の概念 紙の署名 契約書 名前:Alice 偽契約書 名前:Alice コピー デジタル署名 契約書 名前:Alice 偽契約書 名前:Alice コピー本物? 偽物! 16 / 44
  • 17. • 鍵生成 : 署名鍵𝑠と検証鍵𝑆の生成 • 署名鍵は秘密, 検証鍵は公開 • 署名 : メッセージ𝑚に対して署名鍵𝑠で署名する • 𝜎 ≔ 𝑆𝑖𝑔𝑛 𝑠, 𝑚 • 検証 : メッセージ𝑚と署名𝜎と検証鍵𝑆に対して • 𝑉𝑒𝑟𝑖𝑓𝑦 𝑆, 𝑚, 𝜎 =1(受理) or 0(拒否) 署名 署名𝜎𝑚 アリス ボブ 𝑆𝑖𝑔𝑛 1 or 0𝑉𝑒𝑟𝑖𝑓𝑦 (𝑚, 𝜎)を送信 𝑠 : 署名鍵 𝑆 : 検証鍵鍵生成 17 / 44
  • 18. • 攻撃者は受理できる偽の署名を生成できてはいけない • 攻撃者の持ち駒 • 検証鍵Sとアリスが署名した多数の{(𝑚𝑖, 𝜎𝑖 ≔ 𝑆𝑖𝑔𝑛 𝑠, 𝑚𝑖 } • 攻撃者が選んだ𝑚𝑖にアリスが署名してくれる状況を想定 • 適応的選択メッセージ攻撃に対して存在的偽造不可 署名の安全性 (𝑚, 𝜎) 𝑚𝑖 ≠ 𝑚 𝑉𝑒𝑟𝑖𝑓𝑦 𝜎𝑖 ≔ 𝑆𝑖𝑔𝑛(𝑠, 𝑚𝑖) 𝑠 : 署名鍵 𝑆 : 検証鍵 鍵生成 繰り返す 0(どんなにがんばっても受理されない) 攻撃対象 18 / 44
  • 19. • 署名𝜎は固定長だが実際の応用で使われるメッセージ 𝑚は任意長さであることが多い • メッセージを小さくする仕組みが必要 • (暗号学的)𝑛ビット出力ハッシュ関数𝐻: 𝑋 → 𝑌 ≔ [0,2 𝑛) • 𝐻は効率よく計算できるもの • 一方向性 • 𝑥 ∈ 𝑋, 𝑦 ≔ 𝐻(𝑥)が与えられたときに𝑥を見つけられない • 衝突困難性 • 𝑥, 𝑥′ ∈ 𝑋2で𝑥 ≠ 𝑥′, 𝐻 𝑥 = 𝐻(𝑥′)なものを見つけられない • 「見つけられない」の意味 • 一方向性は𝑂(2 𝑛 )で, 衝突困難性は𝑂( 2 𝑛)で計算可能 • 𝑛についての多項式時間でできない ハッシュ関数 19 / 44
  • 20. • 𝑛ビットハッシュ関数を理想化したもの • 内部動作 • 巨大なテーブル𝑇をみなで共有する. 入力𝑚に対して • 初めての𝑚なら乱数ℎ ∈ 𝑌を選び𝑇 𝑚 = ℎを登録しℎを出力 • 𝑇に登録されたものなら𝑇[𝑚]を出力 • 巨大なテーブルが必要なので効率的でない • 実際のハッシュ関数(SHA-256やSHA-3)を理想のハッシ ュ関数とみなして安全性証明をすること ランダムオラクルモデル 20 / 44 𝑚1 𝑚2 𝑚3 𝑚1 ... ℎ1 ℎ2 ℎ3 ℎ1 ... 𝒎 𝟏 𝒎 𝟐 𝒎 𝟑 ... ℎ1 ℎ2 ℎ3 ... 初回登録 二度目以降はテーブル引き
  • 21. • ECDSA(Elliptic Curve Digital Signature Algorithm) • 鍵生成 : 𝑠 ← 𝔽 𝑝 署名鍵, 𝑄 ≔ 𝑠𝑃 検証鍵 • 署名 : 𝑘 ← 𝔽 𝑝をとり𝑘𝑃の𝑥座標を𝑟とする. 𝜎 ≔ 𝑟, 𝐻 𝑚 +𝑠𝑟 𝑘 • 検証 : 署名𝜎 ≔ (𝑟, 𝑡)に対して𝑅 ≔ 𝐻 𝑚 𝑃+𝑟𝑄 𝑡 として 𝑅の𝑥座標が𝑟に等しければ受理 • 正当性 : 𝑅 = 𝐻 𝑚 𝑃+𝑟𝑠𝑃 𝑘 𝐻 𝑚 +𝑠𝑟 = 𝑘𝑃. 「秘密鍵で暗号化」ではない • EdDSA(Edwards curve DSA) • Weierstrass曲線ではなくEdwards曲線(Montgomery型)を利用 • ECDSAに比べて高速(TLS1.3~) • Schnorr署名 • DLPが困難でランダムオラクルモデルのもとで安全性証明あり 楕円曲線を用いた署名 21 / 44
  • 22. • 暗号文のまま操作できる暗号 • Lifted-ElGamal暗号は加法準同型暗号 • 𝑐1 ≔ 𝑆1, 𝑇1 ≔ 𝐸𝑛𝑐 𝑚1; 𝑟1 , 𝑐2 ≔ 𝑆2, 𝑇2 ≔ 𝐸𝑛𝑐(𝑚2; 𝑟2) • 𝑐1 + 𝑐2 ≔ (𝑆1 + 𝑆2, 𝑇1 + 𝑇2) ; 暗号文同士の足し算の定義 • 𝐸𝑛𝑐 𝑚1; 𝑟1 + 𝐸𝑛𝑐 𝑚2; 𝑟2 = 𝑚1 𝑃 + 𝑟1 𝑄, 𝑟1 𝑃 + 𝑚2 𝑃 + 𝑟2 𝑄, 𝑟2 𝑃 = 𝑚1 + 𝑚2 𝑃 + 𝑟1 + 𝑟2 𝑄, 𝑟1 + 𝑟2 𝑃 = 𝐸𝑛𝑐(𝑚1 + 𝑚2; 𝑟1 + 𝑟2) • 𝐸𝑛𝑐 𝑚 + 𝐸𝑛𝑐 𝑚 = 𝐸𝑛𝑐 2𝑚 • 𝐸𝑛𝑐 2𝑚 + 𝐸𝑛𝑐 𝑚 = 𝐸𝑛𝑐(3𝑚) • 暗号文の整数𝑛倍も計算できる • 𝑛 × 𝐸𝑛𝑐 𝑚; 𝑟 = 𝐸𝑛𝑐 𝑚; 𝑟 + ⋯ + 𝐸𝑛𝑐 𝑚; 𝑟 = 𝐸𝑛𝑐(𝑛𝑚; 𝑛𝑟) 準同型暗号HE(homomorphic encyrption) 22 / 44
  • 23. • "任意"の関数はandとxorで記述できる • andは𝔽2の掛け算, xorは𝔽2の足し算 • 𝔽2における加算と乗算の暗号文の計算ができれば 任意の関数の計算ができる • 𝐸𝑛𝑐 𝑓 𝑥 = 𝑓 𝐸𝑛𝑐 𝑥 • 多次元の格子を用いた暗号(格子暗号)ベースが主流 • 暗号文や計算時間が比較的大きい 完全準同型暗号(Gentry 2009) and 0 1 0 0 0 1 0 1 xor 0 1 0 0 1 1 1 0 23 / 44
  • 24. • 𝑈𝑖 ; 投票者, 𝑋 ; 集計サーバ, 𝑌 : 結果を知る人 • 𝑌が公開鍵を公開する • 𝑥𝑖 ∈ {0,1} • もし悪意ある𝑈𝑖0 が𝑥𝑖0 = 10を暗号化して送ったら? • 正しい暗号文と不正な暗号文の区別をつけられない 簡単な投票 𝑐1 ≔ 𝐸𝑛𝑐(𝑥1) 𝑐2 ≔ 𝐸𝑛𝑐(𝑥2) 𝑐 𝑛 ≔ 𝐸𝑛𝑐(𝑥 𝑛) 𝑐 ≔ 𝑐1 + ⋯ + 𝑐 𝑛 𝐷𝑒𝑐 𝑐 = ෍ 𝑖 𝑥𝑖 𝑈𝑖 𝑋 𝑌 24 / 44
  • 25. • Goldwasser, Micali, Rackoffが定式化(1985) • ZKP(Zero knowledge Proof) • 証明者Proverと検証者Verifierがいる • 対話的に情報をやりとりすることで Pがある命題Xを成立させる𝑤を知っていることをVに示す • ただし𝑤がXを満たすこと以外の情報はVに与えない • Σプロトコル 知識のゼロ知識証明 𝑐(返事) P V 𝑏(チャレンジ) 𝑎(コミット) verify (𝑎, 𝑏, 𝑐) 対話を繰り返して 確信度合いを増やす calc. 𝑤, 𝑎, 𝑏 = 𝑐 25 / 44 繰り返す 𝑤の知識
  • 26. • 命令Xを成り立たせる𝑤について • 完全性 • 証明者Pが𝑤を知っていれば検証者Vは必ず納得する • 健全性 • Vが納得すれば無視できる確率を除いてPは𝑤を知っている • ゼロ知識性 • VはPが𝑤を知っていること以上の𝑤の情報は得られない • 対話的 • PとVのやりとりは対話的に行われる • 非対話ゼロ知識証明 • ランダムオラクルモデルのもとで対話的なZKPを非対話にする 一般的な構成方法がある(Fiat-Shamir変換) ZKPの性質 26 / 44
  • 27. • 𝑃, 𝑄 = 𝑤𝑃, Pは𝑤を知っていることをVに示す • P, Vで(𝑃, 𝑄)を共有 • P→V ; 𝑏 ∈ 𝔽 𝑝を選んで𝐵 ≔ 𝑏𝑃を送る • V→P ; ℎ ∈ 𝔽 𝑝を選んで送る • P→V ; 𝑑 ≔ 𝑏 + 𝑤ℎを送る • V ; 𝑑𝑃 − ℎ𝑄 = ? 𝐵を確認 • 完全性 • 𝑑𝑃 − ℎ𝑄 = 𝑏 + 𝑤ℎ 𝑃 − ℎ 𝑤𝑃 = 𝑏𝑃 = 𝐵 • 健全性 • 同じ𝐵に対し異なるℎ, ℎ′で受理すれば 𝐵 = 𝑑𝑃 − ℎ𝑄 = 𝑑′ 𝑃 − ℎ′ 𝑄 • 𝑄 = 𝑑′−𝑑 ℎ′−ℎ 𝑃 ; DLPが解けている 27 / 44 DLPのZKP P V ℎ 𝐵 𝑑
  • 28. • 𝑋 ≔ (𝑄, 𝑃), 𝐴 ≔ 𝐴0, 𝐴1 = 𝐸𝑛𝑐(𝑚; 𝑟) • 𝑚 = 0なら𝐴 = 𝑟(𝑄, 𝑃)となる𝑟がある • 𝑚 = 1なら𝐴′ ≔ 𝐴0 − 𝑃, 𝑄 = 𝑟 𝑄, 𝑃 となる𝑟がある • 証明者 (𝐻: 0,1 ∗ → 𝔽 𝑝 ; ハッシュ関数) • 𝑚 = 0のとき𝑑′, ℎ′, 𝑏 ← 𝔽 𝑝をとる • 𝐵′ ≔ 𝑑′ 𝑋 − ℎ′ 𝐴′, 𝐵 ≔ 𝑏𝑋, ℎ ≔ 𝐻 𝑋, 𝐴, 𝐵, 𝐵′ − ℎ′, 𝑑 ≔ 𝑏 + ℎ𝑟 • 𝑚 = 1のとき𝑑, ℎ, 𝑏′ ← 𝔽 𝑝をとる • 𝐵 ≔ 𝑑𝑋 − ℎ𝐴, 𝐵′ ≔ 𝑏′ 𝑋, ℎ′ ≔ 𝐻 𝑋, 𝐴, 𝐵, 𝐵′ − ℎ, 𝑑′ ≔ 𝑏′ + ℎ′ 𝑟 • 証明𝜋 ≔ (𝑑, ℎ, 𝑑′, ℎ′)を検証者に送る • 検証者 • 与えられた𝑋, 𝐴, 𝜋に対して𝐵 ≔ 𝑑𝑋 − ℎ𝐴, 𝐵′ ≔ 𝑑′ 𝑋 − ℎ′ 𝐴′ • 𝐻 𝑋, 𝐴, 𝐵, 𝐵′ = ℎ + ℎ′が成り立てば受理 𝐷𝑒𝑐 𝑐 ∈ {0,1}の非対話ZKPの構成例 28 / 44
  • 29. • 完全性 • 𝑚 = 0なら𝐵 = 𝑏𝑋 = 𝑑 − ℎ𝑟 𝑋 = 𝑑𝑋 − ℎ 𝑟𝑋 = 𝑑𝑋 − ℎ𝐴 • 𝑚 = 1なら𝐵′ = 𝑏′ 𝑋 = 𝑑′ − ℎ′ 𝑟 𝑋 = 𝑑′ 𝑋 − ℎ′ 𝑟𝑋 = 𝑑′ 𝑋 − ℎ′ 𝐴′ • ゼロ知識性 • 𝑚 = 0なら𝑑′, ℎ′, 𝑏 ← 𝔽 𝑝より𝑑 = 𝑏 + ℎ𝑟もランダム • 健全性 • 𝐴 = (𝑎0 𝑄, 𝑎1 𝑃), 𝐵 = 𝑏0 𝑄, 𝑏1 𝑃 , 𝐵′ = (𝑏0 ′ 𝑄, 𝑏1 ′ 𝑃)とすると 𝐵 = 𝑑𝑋 + ℎ𝐴より𝑏0 = 𝑑 + ℎ𝑎0, 𝑏1 = 𝑑 + ℎ𝑎1 よって𝑏1 = 𝑏0 + ℎ(𝑎0 − 𝑎1) • 𝐵′ = 𝑑′ 𝑋 + ℎ′ 𝐴′より𝑏0′ = 𝑑′ + ℎ′(𝑎0−1), 𝑏1′ = 𝑑′ + ℎ′𝑎1 よって𝑏1 ′ = 𝑏0 ′ + ℎ′(𝑎0 − 1 − 𝑎1) • 𝐻൫ ൯ 𝑄, 𝑃, 𝑎0 𝑄, 𝑎1 𝑃, 𝑏0 𝑄, 𝑏0 + ℎ 𝑎0 − 𝑎1 𝑃, 𝑏0 ′ 𝑄, ൫ ൯ 𝑏0 ′ + ℎ′( ) 𝑎0 − 1 − 𝑎1 𝑃 = ℎ + ℎ′ ; 𝑎0 − 𝑎1 ∉ {0,1}なら見つけるのは困難 証明の概要 29 / 44
  • 30. • zk-SNARK ; ペアリング(後述)ベース. 証明の検証が高速 • STARK ; 信頼のおける第三者機関が不要 • Bulletproof ; ECDLPに基づいた方式 • ブロックチェーンの秘匿系プロジェクトで注目度が高い • 例 : 範囲証明, 𝑎 ∈ [0,2 𝑛)であることを示す • 𝑎の2進数表記∑𝑎𝑖2𝑖(𝑎𝑖 ∈ {0,1})で𝑎𝑖 ∈ {0,1}をZKPで示す ZKP証明系の比較 Proof system Σ-protocol zk-SNARK STARK Bulletproof 対話・非対話 yes no no no 証明サイズ long short shortish short 証明者の時間 𝑂(𝑛) quasilinear quasilinear big memory 𝑂(𝑛) 検証時間 𝑂(𝑛) efficient poly-log 𝑂(𝑛) 第三者機関 no required no no 実用的か? yes yes not quite yes 30 / 44
  • 31. • Τ𝐸 𝔽 𝑝 ; 楕円曲線, gcd 𝑟, 𝑝 = 1となる𝑟 • 𝐺 ≔ 𝐸 𝑟 = 𝑃 ∈ 𝐸 𝔽 𝑝 𝑟𝑃 = 0 • 𝐺 ⊆ 𝐸(𝔽 𝑝 𝑘)となる𝑘を選ぶ • 𝜇 𝑟 ≔ {𝑥 ∈ 𝔽 𝑝 𝑘|𝑥 𝑟 = 1} • 𝑒: 𝐺 × 𝐺 → 𝜇 𝑟 ; Weilペアリング(双線形写像) • 𝑒 𝑃1 + 𝑃2, 𝑄 = 𝑒 𝑃1, 𝑄 𝑒 𝑃2, 𝑄 • 𝑒 𝑃, 𝑄1 + 𝑄2 = 𝑒 𝑃, 𝑄1 𝑒 𝑃, 𝑄2 • 𝑒 𝑎𝑃, 𝑏𝑄 = 𝑒 𝑃, 𝑄 𝑎𝑏 for 𝑎, 𝑏, ∈ ℤ • 𝐺のDLPと𝜇 𝑟のDLP • 𝑃, 𝑎𝑃 ; given, take 𝑄 ∈ 𝐺. 𝑔 ≔ 𝑒 𝑃, 𝑄 , ℎ ≔ 𝑒 𝑎𝑃, 𝑄 = 𝑔 𝑎 • もし(𝑔, ℎ)のDLPが解けるなら𝐺のDLPが解ける(MOV還元) • 暗号ではどちらも解けないものが使われる(安全性仮定は多種) Weilペアリング 31 / 44
  • 32. • DH鍵共有は二人の間で秘密の値を共有 • 三人で同じことができるか? • Weilペアリングを使うと可能(2000年Joux) • アリス、ボブ、クリス • アリスは𝑎を選んで𝑎𝑃をボブとクリスに送る • ボブは𝑏を選んで𝑏𝑃をアリスとクリスに送る • クリスは𝑐を選んで𝑐𝑃をアリスとボブに送る • 共有 • アリス ; 𝑒 𝑏𝑃, 𝑐𝑃 𝑎 = 𝑔 𝑎𝑏𝑐 • ボブ ; 𝑒 𝑎𝑃, 𝑐𝑃 𝑏 = 𝑔 𝑎𝑏𝑐 • クリス ; 𝑒 𝑎𝑃, 𝑏𝑃 𝑐 = 𝑔 𝑎𝑏𝑐 三人で鍵共有 32 / 44
  • 33. • DHP相当問題が困難な群𝐺, 𝐺 𝑇と多重線形写像 𝑒: 𝐺 × ⋯ × 𝐺 → 𝐺 𝑇 𝑒 𝑎1 𝑃, 𝑎2 𝑃, 𝑎3 𝑃, … , 𝑎 𝑛 𝑃 = 𝑒 𝑃, … , 𝑃 𝑎1 𝑎2…𝑎 𝑛 があれば可能 • 未解決 • 存在すれば面白い暗号プロトコルが沢山できる • 今のところそんな写像は構成できていない • 否定的な結果がいくつか知られている 𝑛人での鍵共有は? 33 / 44
  • 34. • 様々な計算効率のよいペアリングが提案されている • BLS12 ; 𝑒: 𝐺1 × 𝐺2 → 𝐺 𝑇 • 128ビットセキュリティで最も効率のよいものの一つ • 𝐺1 ; 𝔽 𝑝上定義された楕円曲線𝑟等分点の集合 • 𝐺2 ; 𝔽 𝑝2上定義された楕円曲線𝑟等分点の集合 • 𝐺 𝑇 ≔ 𝑥 ∈ 𝔽 𝑝12 𝑥 𝑟 = 1 • 𝑒 𝑎𝑃, 𝑏𝑄 = 𝑒 𝑃, 𝑄 𝑎𝑏 • Weilペアリングは対称ペアリング • BLS12は非対称ペアリング ペアリングの改良 34 / 44
  • 35. • 「2L」は2次式の計算ができる(level 2)という意味 • 𝑒: 𝐺1 × 𝐺2 → 𝐺 𝑇 ; 非対称ペアリング • 𝐺𝑖 ≔ ⟨𝑃𝑖⟩ ; 生成元(𝑖 = 1,2), 𝐺𝑖 = 𝐺 𝑇 = 𝑟 • 𝐺 𝑇を加法群表記する, 𝑅 ≔ 𝑒(𝑃1, 𝑃2)は𝐺 𝑇の生成元 • 𝐸𝑛𝑐𝑖 ; 𝐺𝑖に関するLifted-ElGamal暗号 • 𝑠𝑖 ∈ 𝔽 𝑟 ; 秘密鍵, 𝑄𝑖 ≔ 𝑠𝑖 𝑃𝑖 ; 公開鍵 • 𝑐𝑖 ≔ 𝐸𝑛𝑐𝑖 𝑚𝑖; 𝑟𝑖 = 𝑚𝑖 𝑃𝑖 + 𝑟𝑖 𝑄𝑖, 𝑟𝑖 𝑃𝑖 = ( 𝑚𝑖 + 𝑟𝑖 𝑠𝑖 𝑃𝑖, 𝑟𝑖 𝑃𝑖) • 暗号文𝑐1と𝑐2を「掛ける」 • 𝑐𝑖 ≔ 𝑆𝑖, 𝑇𝑖 として • 𝑐1 × 𝑐2 ≔ 𝑒 𝑆1, 𝑆2 , 𝑒 𝑆1, 𝑇2 , 𝑒 𝑇1, 𝑆2 , 𝑒 𝑇1, 𝑇2 = ൫ ൯ 𝑚1 + 𝑟1 𝑠1 𝑚2 + 𝑟2 𝑠2 𝑅, 𝑚1 + 𝑟1 𝑠1 𝑟2 𝑅, ( ) 𝑚2 + 𝑟2 𝑠2 𝑟1 𝑅, 𝑟1 𝑟2 𝑅 ∈ 𝑅4 ペアリングを用いた2LHE(2018) 35 / 44
  • 36. • 𝑐 ≔ (𝐴0, 𝐴1, 𝐴2, 𝐴3)に対して 𝑑𝑒𝑐 𝑐 ≔ 𝐴0 − 𝑠2 𝐴1 − 𝑠1 𝐴2 + 𝑠1 𝑠2 𝐴3 𝐷𝑒𝑐 𝑐 ≔ 𝐷𝐿𝑃𝑅(𝑑𝑒𝑐 𝑐 ) • 𝑑𝑒𝑐 𝑐1 × 𝑐2 = 𝑚1 + 𝑟1 𝑠1 𝑚2 + 𝑟2 𝑠2 𝑅 − 𝑠2( ) 𝑚1 + 𝑟1 𝑠1 𝑟2 𝑅 − 𝑠1 𝑚2 + 𝑟2 𝑠2 𝑟1 𝑅 + 𝑠1 𝑠2 𝑟1 𝑟2 𝑅 = 𝑚1 𝑚2 𝑅 • 𝐷𝑒𝑐 𝑐1 × 𝑐2 = 𝑚1 𝑚2 • 乗算後の暗号文は成分ごとの加算により「足せる」 • 内積演算 • 𝑥 ≔ (𝑥1, … , 𝑥 𝑛), 𝑦 ≔ (𝑦1, … , 𝑦𝑛)に対して 𝐸𝑛𝑐1 𝑥 ≔ 𝐸𝑛𝑐1 𝑥1 , … , 𝐸𝑛𝑐1 𝑥 𝑛 , 𝐸𝑛𝑐2 𝑦 ≔ 𝐸𝑛𝑐2 𝑦1 , … , 𝐸𝑛𝑐2 𝑦𝑛 • 𝐸𝑛𝑐1 𝑥 𝐸𝑛𝑐2 𝑦 = ∑𝐸𝑛𝑐1 𝑥𝑖 𝐸𝑛𝑐2 𝑦𝑖 = 𝐸𝑛𝑐(∑𝑥𝑖 𝑦𝑖) 乗算後の暗号文の復号 36 / 44
  • 37. • 暗号文のままデータの平均や分散を計算可能 • クロス集計の秘匿化 • https://herumi.github.io/she-wasm/cross-demo-ja.html • 加法準同型暗号+αでがんばる / 完全準同型暗号でがんばる 応用例 マンガ購入 購入せず カメラ購入 * * 購入せず * * 暗号文を送信 テレビ マンガ 小説 カメラ A * * * * B * * * * C * * * * ... * * * *暗号文のままクロス集計 マンガ購入 購入せず カメラ購入 80 20 購入せず 10 30 37 / 44
  • 38. • 𝑇 ; 区間[0, 𝑛)のテーブル(𝑇𝑎 ∈ ℤ ; 𝑎 = 0, … , 𝑛 − 1) • 2LHEを使った方法(𝑂 𝑛 の通信量) • 𝑚 ≔ 𝑛 , 𝑎 = 𝑚𝑞 + 𝑟(0 ≤ 𝑟 < 𝑚), 𝛿𝑖𝑗 ; クロネッカーのデルタ • 𝐸𝑛𝑐 𝑎 ≔ 𝐸𝑛𝑐1 𝛿 𝑞𝑖 , 𝐸𝑛𝑐2 𝛿 𝑟𝑗 𝑖=0,…,𝑚−1,𝑗=0,…,𝑚−1 ; 2𝑚個 • ∑𝑖𝑗 𝑇𝑖𝑚+𝑗 × 𝐸𝑛𝑐1 𝛿 𝑞𝑖 × 𝐸𝑛𝑐2 𝛿 𝑟𝑗 = 𝐸𝑛𝑐 ෍ 𝑖𝑗 𝑇𝑖𝑚+𝑗 𝛿 𝑞𝑖 𝛿 𝑟𝑗 = 𝐸𝑛𝑐 𝑇𝑞𝑚+𝑟 = 𝐸𝑛𝑐 𝑇𝑎 • https://ppdm.jp/ot/ • 𝑛 = 100万ならWebAssembly実装でも暗号化が1秒未満 暗号化したままテーブル引き 𝑎 ; インデックス 𝑐 = 𝐸𝑛𝑐(𝑎) 𝑐′ = 𝐸𝑛𝑐(𝑇𝑎) 𝐷𝑒𝑐 𝑐′ = 𝑇𝑎 0 𝑇0 𝑛 − 1 𝑇𝑛−1 𝑎 𝑇𝑎 ... ... ... … 38 / 44
  • 39. • ペアリングを用いた署名 • 𝑒: 𝐺1 × 𝐺2 → 𝐺 𝑇 ; ペアリング𝐺𝑖 = ⟨𝑃𝑖⟩ ; 生成元 • 𝐻2: 0,1 ∗ → 𝐺2 ; ハッシュ関数 • 鍵生成 • 𝑠 ← 𝔽 𝑝 ; 署名鍵(秘密鍵), 𝑆 ≔ 𝑠𝑃1 ; 検証鍵(公開鍵) • 署名 • メッセージ𝑚に対して𝜎 ≔ 𝑆𝑖𝑔𝑛 𝑠, 𝑚 ≔ 𝑠𝐻2(𝑚) • 検証 • メッセージ𝑚と署名𝜎に対して 𝑒 𝑃1, 𝜎 = 𝑒(𝑆, 𝐻2 𝑚 )が成立するなら𝑉𝑒𝑟𝑖𝑓𝑦 𝑆, 𝑚, 𝜎 = 1 • 正当性 : validな署名なら • 𝑒 𝑃1, 𝜎 = 𝑒 𝑃1, 𝑠𝐻2 𝑚 = 𝑒 𝑠𝑃1, 𝐻2 𝑚 = 𝑒(𝑆, 𝐻2 𝑚 ) BLS署名 39 / 44
  • 40. • 線形性 • 𝑛個の署名鍵𝑠𝑖, 検証鍵𝑆𝑖, 𝑚に対するvalidな署名𝜎𝑖, 任意の𝑎1, … , 𝑎 𝑛 ∈ 𝔽 𝑝について 𝜎 ≔ ∑𝑖 𝑎𝑖 𝜎𝑖は𝑆 ≔ ∑𝑖 𝑎𝑖 𝑆𝑖に対してvalidな署名 • 何故なら𝑒 𝑃1, 𝜎 = 𝑒 𝑃1, ∑𝑎𝑖 𝜎𝑖 = 𝑒 𝑃1, ∑𝑎𝑖 𝑠𝑖 𝐻2 𝑚 = 𝑒 ∑𝑎𝑖 𝑠𝑖 𝑃1, 𝐻2 𝑚 = 𝑒 ∑𝑎𝑖 𝑆𝑖, 𝐻2 𝑚 = 𝑒(𝑆, 𝐻2 𝑚 ) • 集約署名 • 𝑛個の署名の検証コストを減らす • 𝜎𝑖, 𝑆𝑖 → 𝜎 ≔ ∑𝜎𝑖, 𝑆 ≔ ∑𝑆𝑖 • 注意 : Rogue-attackというのに気をつける • 攻撃者𝑗が𝜎′ ≔ 𝜎0 − ∑𝑖≠𝑗 𝜎𝑖を作ると𝜎 = 𝜎0で制御可能 • 署名者が正しい署名鍵を持っていることを検証する必要あり BLS署名の特長 40 / 44
  • 41. • 秘密情報𝑠 ∈ 𝔽 𝑝を𝑛人でshareする(𝑦1, … , 𝑦𝑛) • そのうち𝑘人が集まって𝑌 = 𝑦𝑖1 , … , 𝑦𝑖 𝑘 を集めると𝑠をrecover • e.g., 社長一人で秘密鍵を持つのではなく取締役で情報分散 • Shamirの秘密分散 • 信頼のおける機関 • 𝑘 − 1次多項式𝑓 𝑥 = 𝑠0 + 𝑠1 𝑥 + ⋯ + 𝑠 𝑘−1 𝑥 𝑘−1 • 𝑠1, … , 𝑠 𝑘−1 ; random • share • 各ユーザ𝑈𝑖(𝑖 = 1, … , 𝑛)に𝑦𝑖 ≔ 𝑓(𝑖)を秘密に配付する • recover • {𝑦1, … , 𝑦𝑛}の任意の𝑘個の部分集合𝑌 = 𝑦𝑖1 , … , 𝑦𝑖 𝑘 から 𝑓(𝑥)は一意に確定するので𝑓 0 = 𝑠0が分かる • 𝑓 0 は𝑌の線形和で計算可能(Lagrange補間) 秘密分散 41 / 44
  • 42. • 信頼のおける機関𝐴 • 𝑘 − 1次多項式𝑓(𝑥)を作る. マスター検証鍵𝑆 ≔ 𝑓 0 𝑃1を公開 • 各ユーザに署名鍵𝑠𝑖 ≔ 𝑓(𝑖)を配付し検証鍵𝑆𝑖 ≔ 𝑓 𝑖 𝑃𝑖を公開 • 𝐴は生成した多項式を忘れる • 各ユーザの署名 • 𝑚に対して署名𝜎𝑖 ≔ 𝑆𝑖𝑔𝑛 𝑠𝑖, 𝑚 = 𝑠𝑖 𝐻(𝑚)を生成 • 𝑆𝑖で正しさを検証可能 • recover • 任意の𝑘個の署名𝜎𝑖からマスター署名𝜎 = 𝑓 0 𝐻(𝑚)を復元 • マスター検証鍵𝑆で検証可能 • DKG(distributed key generation) • 𝐴を仮定せずに各ユーザに署名鍵を配付する方法 秘密分散+BLS署名 42 / 44
  • 43. • 量子の性質を利用して計算する計算機 • DLPを効率よく解くアルゴリズムが知られている • D-Wave(量子やきなまし型)では解けない(今のところ) • 実際の暗号を解くものが実用化されるのは数十年後? • 耐量子計算機暗号 • 量子計算機でも解けない暗号 • 現在の計算機で実行可能 • 格子暗号、楕円曲線の同種写像を用いた暗号などが候補 • cf. 量子暗号(=量子暗号通信, 量子鍵配送) • 量子の性質を利用して乱数を安全に共有する(盗聴不可能) • 現在の計算機で実現不可能 • データを暗号化して保存したり計算したりは出来ない 43 / 44 量子計算機
  • 44. • 入門書 • 『暗号技術のすべて』(IPUSIRON) 2017 • 暗号全般の入門書, 暗号理論のはなし • 『クラウドを支えるこれからの暗号技術』2015 • https://herumi.github.io/ango/ ; ペアリング暗号全般 • 専門書 • 『公開鍵暗号の数理』(森山大輔, 西巻陵, 岡本龍明) 2011 • 暗号理論のモデル, 安全性証明 • 『Guide to Pairing-based cryptography』(Mrabet, Joye) 2017 • 『現代暗号の誕生と発展』(岡本龍明) 2019 • ブロックチェーン, zk-SNARK, 格子暗号, 完全準同型暗号 • 『耐量子計算機暗号』(縫田光司) 2020 • 楕円曲線の同種写像暗号, 格子暗号, 量子計算機 参考文献 44 / 44
  • 45. • INDゲーム(indistinguishability) • 攻撃者Aが2個の暗号文𝑚1, 𝑚2を選び挑戦者Bに渡す • Bは𝑏 = 0 or 1を選び暗号文𝑐∗ = 𝐸𝑛𝑐 𝑚𝑖1 をAに渡す • Aは𝑐がどちらの暗号文を暗号化したものか当てれば勝ち • 当てられる確率𝑃がでたらめに当てる確率1/2とほぼ同じとき IND安全という • セキュリティパラメータ𝜆に対して任意の𝑘 ∈ ℕに対して 「𝑛 > 𝑛 𝑘なら 𝑃 𝑛 − 1 2 < 𝑛−𝑘となる𝑛 𝑘が存在する」 公開鍵暗号文の識別不可能性 𝑚1, 𝑚2 攻撃者 挑戦者 𝑏 ∈ {0,1}𝑐∗ = 𝐸𝑛𝑐 𝑚 𝑏 𝑏を当てる 45 / 44
  • 46. • 攻撃者のレベル • 攻撃者は選んだ平文の暗号文を作れる • CPA(Chosen Plaintext Attack) ; 公開鍵暗号はいつでも • 攻撃者が選んだ暗号文の平文を知ることができる • CCA(Chosen Ciphertext Attack) • CCA2 ; ターゲット暗号文𝑐∗をみてCCAができる • 𝑐∗はINDゲームの答えるべき暗号文 • それ以外の暗号文の情報は全て教えてもらえるという状況 • CCA2に対してIND安全なときIND-CCA2安全という IND-CCA2安全 復号オラクル 𝑐𝑖 ≠ 𝑐∗ 攻撃者 𝑚𝑖 = 𝐷𝑒𝑐 𝑐𝑖 繰り返す 46 / 44