高安全な関数型代理人再暗号化c-faculty.chuo-u.ac.jp/~tsujii/pdf/150620takashima.pdffully-anonymous...
TRANSCRIPT
-
高安全な 関数型代理人再暗号化
組織間機密通信における属性ベース暗号・関数型暗号 と 再暗号化
MELT up フォーラム ( 2015 / 6 / 20 )高島克幸
詳細は、 [ ePrint: 2013 / 318 ] Kawai, Takashima, Fully-Anonymous Functional Proxy-Re-Encryption
-
本研究の成果 ( ePrint: 2013 / 318 )
1. 関数型代理人再暗号化方式 (F-PRE) 及びその安全性( 十分匿名性など )の定義
2. 双線形写像ベクトル空間 (DPVS) を用いた内積述語代理人再暗号化方式 ( IP-PRE ) を構成.CRYPTO 2010 の 岡本-高島(OT) 関数型暗号も同様に代理人
関数型暗号に代理人再暗号化機能を付加
©2015 Mitsubishi Electric Corporation
2
CRYPTO 2010 の 岡本-高島(OT) 関数型暗号も同様に代理人再暗号化機能方式 ( OT-F-PRE ) に拡張.
3. 提案 IP-PRE の Full-Anonymity ( 十分匿名性 )オリジナル暗号文 と 再暗号化暗号文 の 平文秘匿性 及び
再暗号化暗号文 と 再暗号化鍵 の 述語 & 属性秘匿性 及び再暗号化暗号文 と 再暗号化鍵 の 関連付け不能性
OT-F-PRE の 平文秘匿性, 再暗号化鍵属性秘匿性, 関連付け不能性を DLIN 仮定とワンタイム署名の強偽造不可能性 より証明
-
本発表の流れ
– インフォーマルな導入• アクセス条件変更とは?• アプリケーション例• 設計方針のインフォーマルな説明
– 具体的な構成アイディア
3©2015 Mitsubishi Electric Corporation
3
– 具体的な構成アイディア• 関数型代理人再暗号化• 安全性のポイント• キーテクニック• 構成アイディア
– まとめ
-
インフォーマルな導入
4©2015 Mitsubishi Electric Corporation
4
-
関数型暗号(属性ベース暗号)
送信者
(A部∨B部)∧部長
A部 部長
B部 部長
A部 課長
復号可
復号可
復号不可柔軟なアクセス範囲
暗号化
5©2015 Mitsubishi Electric Corporation
5
秘匿化 と アクセスコントロール の両立
A部 課長柔軟なアクセス範囲
本講演では、岡本-高島関数型暗号 (CRYPTO 2010) を基にして、アクセス範囲変更機能を付加する
-
アクセス範囲変更とは
アクセス範囲変更:一度発行された暗号文のアクセス範囲をクラウドが変更すること
(A部∨B部)∧部長 (A部∨B部)∧(部長∨課長)アクセス範囲を,課長にも広げたい場合
クラウド内で アクセス権は暗号化 暗号化
6©2015 Mitsubishi Electric Corporation
6
A部 部長B部 課長
変換
新たにアクセス権(秘密鍵)を配布しない.あくまで暗号文のアクセス範囲を変更する
アクセス権はB部課長のまま
課長へ開示する課長に自分の
アクセス権を渡す?
秘密鍵
暗号化 暗号化
-
アプリケーション例
(A部∨B部)∧部長
A部 部長
変換復号可
A部 秘書
(A部∧(部長∨秘書))∨(B部∧部長)
暗号化メールの転送サービス
暗号化 暗号化
7©2015 Mitsubishi Electric Corporation
7
A部 部長
秘密鍵漏えい時対策
(A部∨B部)∧部長
変換
(B部)∧(部長)漏えい
復号不可
秘密鍵
暗号化暗号化
-
今回達成したモデル
(A部∨B部)∧部長 (A部∨B部)∧(部長∨課長)
+ =
復号せずに,アクセス範囲変更可能な関数型暗号
暗号化
暗号化
8©2015 Mitsubishi Electric Corporation
8
再暗号化鍵をどのように構成するかがポイント
B部 課長
A部 部長秘密鍵
再暗号化鍵
復号はできない鍵アリス
ボブチャーリー
-
設計方針 (インフォーマル)再暗号化鍵
+ =
1. 変更先を指定できないとダメ2. 秘密鍵そのものではダメ3. (一部)復号機能が必要
再暗号化鍵の構成の概略
変換変換
変換 がなければ
が分からないが分かるので
暗号化
暗号化
9©2015 Mitsubishi Electric Corporation
9
変換
変換
変換
が分からない
岡本-高島暗号における を構成した変換
秘密鍵
で を復号
B部 課長
暗号化
暗号化
暗号化
暗号化
-
設計方針 (インフォーマル)1. 変更先を指定できないとダメ2. 秘密鍵そのものではダメ3. (一部)復号機能が必要
再暗号化鍵の構成の概略
再暗号化鍵
+ =
変換
暗号化
暗号化
が分かるのでが一致しないと復号不可
タグ
10©2015 Mitsubishi Electric Corporation
10
を適切に埋め込むことにより,安全性を向上させたタグ
変換
変換変換
変換秘密鍵
で を復号
B部 課長
暗号化
暗号化
暗号化
暗号化
タグ
タグ
ないと復号不可
タグタグ
-
具体的な構成アイディア
11©2015 Mitsubishi Electric Corporation
11
-
代理人再暗号化(Proxy-Re-Encryption)
代理人(Proxy)
+ =再暗号化(REnc):復号せずに宛先変更
暗号文の宛先を、復号せずに変更可能
送信者
暗号化 暗号化暗号化
©2015 Mitsubishi Electric Corporation
12
に転送する鍵に転送する鍵
+ =
への暗号文への暗号文
自分の復号鍵のみで復号可能
再暗号化鍵生成(RKG):新たな復号者を設定
オリジナル暗号文
再暗号化鍵
再暗号化暗号文
への暗号文
受信者
受信者
暗号化
-
本研究の位置づけ
通常の公開鍵暗号IDベース暗号
一人のユーザにしか宛先を変更できない
を基にした方式
変更する宛先を,柔軟に指定可能な方式の提案
既存研究
©2015 Mitsubishi Electric Corporation
13
複数ユーザへ宛先を変更可能だが,アクセス構造として論理積(AND)しか使用できない.
暗号文ポリシー属性ベース暗号を基にした方式
関数型暗号に,代理人再暗号化機能を付加する
本研究
-
関数型暗号(属性ベース暗号)
平文Enc
公開鍵 pkパラメータ x
Dec
復号鍵 skv
平文
パラメータ v に関する復号鍵
鍵と暗号文にそれぞれパラメータを設定可能な高機能公開鍵暗号
x
©2015 Mitsubishi Electric Corporation
14
平文 平文関係Rに対して,R(v,x)=1であれば
x v RIDベース暗号 ID ID’ ID = ID’
属性ベース暗号 属性 アクセス構造
アクセス構造 属性
内積述語暗号 ベクトル ベクトル
が を受理
x
-
関数型代理人再暗号化
平文
Enc
pkx
Dec
skv平文
関数型暗号
代理人再暗号化機能を持つ関数型暗号を定義
オリジナル暗号文
skv’
x
©2015 Mitsubishi Electric Corporation
15
Dec
REncRKG
x’
skv
代理人再暗号化
復号せずにパラメータ x から x’ への再暗号化となる
再暗号化鍵
再暗号化暗号文
代理人
skv’
(v, x’) x’関係Rに対して,R(v,x)=1であれば
-
内積述語
: 述語(条件式)ベクトル属性ベクトル、
属性値一致の判定機構 (例: は三菱電機 や NTT )
2次元ベクトル
AND 結合 (例: は三菱電機 や NTT 、 は課長 や部長 )
©2015 Mitsubishi Electric Corporation
16
任意の 論理式が内積述語により実現される
4次元ベクトル
OR 結合(例: は三菱電機 や NTT )
3次元ベクトル
-
安全性のポイント
平文
Enc
pkx
Dec
skv平文
関数型暗号
オリジナル暗号文
①オリジナル暗号文の平文秘匿性
x
©2015 Mitsubishi Electric Corporation
17
Dec
Enc Dec
REncRKG
x’
skv (v, x’)
暗号
代理人再暗号化
再暗号化鍵
再暗号化暗号文
代理人
skv’
x
x’
-
安全性のポイント
代理人② 代理人に,平文・秘密鍵が分かってはいけない.
(代理人に対する平文・秘密鍵の秘匿性)
©2015 Mitsubishi Electric Corporation
18
+ =
宛に変更する鍵宛に変更する鍵
再暗号化鍵
暗号化
暗号化
-
安全性のポイント
平文
Enc
pkx
Dec
skv
関数型暗号
②代理人に対する平文・復号鍵の秘匿性
平文オリジナル暗号文
x
©2015 Mitsubishi Electric Corporation
19
Dec
Enc Dec
RKG
x’
skv
暗号
代理人再暗号化
再暗号化鍵
再暗号化暗号文
skv’
REnc代理人
x
(v, x’) x’
-
安全性のポイント
代理人
③ (復号可能であっても) 再暗号文の受信者に,元の受信者の秘密鍵 が分かってはいけない
(再暗号文からの秘密鍵の秘匿性)
©2015 Mitsubishi Electric Corporation
20
+ =
宛に変更する鍵宛に変更する鍵
再暗号化鍵
暗号化暗号化
-
安全性のポイント
平文
Enc
pkx
Dec
skv
関数型暗号
オリジナル暗号文
③再暗号化暗号文の復号鍵の秘匿性(たとえ,復号できる人であっても)
平文
x
©2015 Mitsubishi Electric Corporation
21
Dec
Enc Dec
REncRKG
x’
skv
暗号
代理人再暗号化
再暗号化鍵
再暗号化暗号文
代理人
skv’
x
(v, x’) x’
-
キーテクニック
代理人に対する平文・復号鍵の秘匿性
オリジナル暗号文の平文秘匿性
再暗号化暗号文からのブラインド鍵委譲
DPVS上の基底変換技法
CHK(Canetti-Halevi-Katz)変換技法
+
©2015 Mitsubishi Electric Corporation
22
代理人再暗号化機能 を持つ 内積述語暗号 を構成
[OT2010]の関数型暗号も同様に代理人再暗号化機能を付加可能
[OT2010] T. Okamoto and K. Takashima. Fully secure functional encryption with general relations from the decisional linear assumption. In CRYPTO 2010
復号鍵の秘匿性 再暗号化鍵 隠れ空間基底ランダム化 (in 安全性証明)
-
ベクトル空間上の基本構成要素
標準的ペアリング演算:
双対基底:
を定義を使って,ベクトル空間を の生成元とした時,対称ペアリング群
©2015 Mitsubishi Electric Corporation
23
の正規直交双対基底
双対基底:basis of
for
for
s.t.
s.t.
(i = jの時)
(i ≠ jの時)
-
双線形写像ベクトル空間 (DPVS) の暗号応用
For and we denote
記法 :
ベクトル空間 上の(標準的ペアリングと)ランダム双対基底をマスター鍵対として用いた暗号構成
DLIN-ベース安全性 ( [OT10] で使いやすいようにツール化 )
©2015 Mitsubishi Electric Corporation
24
and
基本的事実
-
核となる内積述語暗号
復号鍵(鍵生成)
ペアリング
であれば
©2015 Mitsubishi Electric Corporation
25
暗号文(暗号化)
m
ペアリング
-
構成のアイディア1
暗号文
基底
鍵
基底
双対
ランダムな行列 による基底変換
RKG
①代理人に, の情報と平文 の情報が漏れてはいけない
©2015 Mitsubishi Electric Corporation
26
-
構成のアイディア1
暗号文
基底
鍵
基底
双対 平文が求まる
ランダムな行列 による基底変換
RKG
①代理人に, の情報と平文 の情報が漏れてはいけない
©2015 Mitsubishi Electric Corporation
27
-
構成のアイディア1
暗号文
基底
鍵
基底
双対
ランダムな行列 による基底変換
RKG
①代理人に, の情報と平文 の情報が漏れてはいけない
©2015 Mitsubishi Electric Corporation
28
-
構成のアイディア1
暗号文
基底
鍵
基底
双対
ランダムな行列 による基底変換
RKG
①代理人に, の情報と平文 の情報が漏れてはいけない
©2015 Mitsubishi Electric Corporation
29
鍵
基底変換
RKG
-
構成のアイディア1
暗号文
基底
双対
ランダムな行列 による基底変換
RKG
①代理人に, の情報と平文 の情報が漏れてはいけない
©2015 Mitsubishi Electric Corporation
30
鍵
基底変換
RKG
-
構成のアイディア1
暗号文
基底
双対
ランダムな行列 による基底変換
RKG
①代理人に, の情報と平文 の情報が漏れてはいけない
©2015 Mitsubishi Electric Corporation
31
鍵
基底変換
平文は求まらない
RKG
-
構成のアイディア1
暗号文
基底
双対
ランダムな行列 による基底変換
RKG
①代理人に, の情報と平文 の情報が漏れてはいけない
©2015 Mitsubishi Electric Corporation
32
鍵
基底変換
RKG
-
構成のアイディア1
暗号文
基底
双対
ランダムな行列 による基底変換
RKG
①代理人に, の情報と平文 の情報が漏れてはいけない
©2015 Mitsubishi Electric Corporation
33
鍵
基底変換
RKG
Dec
-
構成のアイディア1
暗号文
基底
鍵
基底
双対
ランダムな行列 による基底変換
RKG
①代理人に, の情報と平文 の情報が漏れてはいけない
©2015 Mitsubishi Electric Corporation
34
鍵
基底変換
RKG
Dec
-
構成のアイディア1
暗号文
基底
鍵
基底
双対 平文が求まる
ランダムな行列 による基底変換
RKG
①代理人に, の情報と平文 の情報が漏れてはいけない
©2015 Mitsubishi Electric Corporation
35
鍵
基底変換
RKG
Dec
-
構成のアイディア1
暗号文
基底
鍵
基底
双対 平文が求まる
ランダムな行列 による基底変換
RKG
①代理人に, の情報と平文 の情報が漏れてはいけない
©2015 Mitsubishi Electric Corporation
36
鍵
基底変換
平文は求まらない
代理人には (
RKG
Dec
のみ渡す.
最後の受信者のみ を求められるようにする
を渡さず)
-
構成のアイディア1ランダムな行列 による基底変換
代理人
RKG
行列W1によって をと基底変換
©2015 Mitsubishi Electric Corporation
37
に渡す
再暗号化する宛先 宛で暗号化
再暗号化暗号文の受信者はW1を復号でき,平文を求められる
-
構成のアイディア2
基底 基底
CHK変換を用いて再暗号化暗号文と復号時の鍵を関連付ける
REnc
②再暗号化暗号文の受信者に の情報が漏れてはいけない
再暗号化
©2015 Mitsubishi Electric Corporation
38
暗号文
双対
鍵
基底変換
RKG
再暗号化暗号文
-
構成のアイディア2
基底 基底
CHK変換を用いて再暗号化暗号文と復号時の鍵を関連付ける
REnc
②再暗号化暗号文の受信者に の情報が漏れてはいけない
再暗号化
©2015 Mitsubishi Electric Corporation
39
暗号文 鍵
双対
鍵
基底変換
RKG
Dec
再暗号化暗号文
-
構成のアイディア2
基底 基底
CHK変換を用いて再暗号化暗号文と復号時の鍵を関連付ける
REnc
②再暗号化暗号文の受信者に の情報が漏れてはいけない
再暗号化
©2015 Mitsubishi Electric Corporation
40
暗号文 鍵
双対
鍵
基底変換
RKG
Dec
再暗号化暗号文
平文が求まる
-
構成のアイディア2
基底 基底
CHK変換を用いて再暗号化暗号文と復号時の鍵を関連付ける
REnc
②再暗号化暗号文の受信者に の情報が漏れてはいけない
再暗号化
©2015 Mitsubishi Electric Corporation
41
暗号文 鍵
双対
鍵
基底変換
RKG
Dec
再暗号化暗号文
-
構成のアイディア2
基底 基底
CHK変換を用いて再暗号化暗号文と復号時の鍵を関連付ける
REnc
②再暗号化暗号文の受信者に の情報が漏れてはいけない
再暗号化
©2015 Mitsubishi Electric Corporation
42
暗号文
暗号文 鍵
双対
鍵
基底変換
RKG
Dec
他の暗号文
再暗号化暗号文
-
構成のアイディア2
基底 基底
CHK変換を用いて再暗号化暗号文と復号時の鍵を関連付ける
REnc どんな暗号文も復号できてしまう
②再暗号化暗号文の受信者に の情報が漏れてはいけない
再暗号化
©2015 Mitsubishi Electric Corporation
43
暗号文
暗号文 鍵
双対
鍵
基底変換
RKG
Dec
他の暗号文
再暗号化暗号文
-
構成のアイディア2
基底 基底
CHK変換を用いて再暗号化暗号文と復号時の鍵を関連付ける
②再暗号化暗号文の受信者に の情報が漏れてはいけない
REnc
©2015 Mitsubishi Electric Corporation
44
暗号文
暗号文 鍵
双対
鍵
基底変換
RKG
Dec
を 用の鍵に変換するREnc で
-
構成のアイディア2
暗号文にワンタイム署名の検証鍵 verk を埋め込むEnc
CHK変換を用いて再暗号化暗号文と復号時の鍵を関連付ける
©2015 Mitsubishi Electric Corporation
45
REnc 再暗号化時に,オリジナル暗号文の verk を鍵に埋め込む
同じverkを持つ暗号文しか復号できない
基底に関するブラインド
鍵委譲
-
構成のアイディア2
暗号文にワンタイム署名の検証鍵 verk を埋め込むEnc
CHK変換を用いて再暗号化暗号文と復号時の鍵を関連付ける
©2015 Mitsubishi Electric Corporation
46
REnc 再暗号化時に,オリジナル暗号文の verk を鍵に埋め込む
同じ verk を持つ暗号文しか復号できない
-
構成アイデア と テクニックのまとめ
再暗号化鍵生成( で基底変換(=暗号化) + で を暗号化)
復号鍵 再暗号化鍵
©2015 Mitsubishi Electric Corporation
47
CHK 変換 +ブラインド鍵委譲(+ 再ランダム化)
再ランダム化
CHK 変換適用
で基底変換(=暗号化)+ で を暗号化
オリジナル暗号文
再暗号化暗号文
再暗号化
再暗号化
-
全体像 ( ベーシック IP-PRE )
CHK変換 + ブラインド鍵委譲
行列 W による
©2015 Mitsubishi Electric Corporation
48
行列 Wi による基底変換
最後の受信者のみが、Wi を使って、B, B* 基底上の暗号文 と 鍵要素 を得られる
~
-
[OT10] 関数型暗号への拡張
岡本-高島 関数型暗号([OT10])
代理人再暗号化機能を持つ関数型暗号
([OT10]の代理人再暗号化版)[OT10] の構成テクニック + α
を適用
©2015 Mitsubishi Electric Corporation
49
基となる内積述語暗号代理人再暗号化機能を持つ
内積述語暗号
再暗号化の安全性を考察し,複数のテクニックを
組み合わせた
-
まとめ
1. 関数型代理人再暗号化方式 (F-PRE) 及びその安全性(十分匿名性など)の定義
2. 双線形写像ベクトル空間 (DPVS) を用いた内積述語代理人再暗号化方式 (IP-PRE)を構成.CRYPTO2010の 岡本-高島 (OT) の技法を用いて OT-関数型暗号 ( OT-F-PRE ) にも拡張.
関数型暗号に代理人再暗号化機能を付加
©2015 Mitsubishi Electric Corporation
50
数型暗号 ( OT-F-PRE ) にも拡張.3. 提案 IP-PRE の十分匿名性、OT-F-PRE の適切な安全性
をDLIN 仮定とワンタイム署名強偽造不可能性より証明• ① 基底変換 ② CHK変換 ③ ブラインド鍵委譲
④ 再暗号化鍵 隠れ空間基底 ランダム化 等を適用することで証明
• 既存の内積述語暗号の証明テクニックを用いて,公開鍵のパラメータ削減・強属性秘匿性,Unbounded な方式の構成などが可能.
興味もって頂けましたら、ePrint: 2013 / 318 を ご参照下さい
-
補足: 再暗号化鍵 隠れ空間基底 ランダム化
攻撃者から秘匿
再暗号化鍵クエリ に対するシミュレーション条件
任意の鍵クエリ 、チャレンジ に対して
という場合のシミュレーション 2つの異なる場合分け条件に対応して、
異なる証明方法
©2015 Mitsubishi Electric Corporation
51
の部分基底 隔離による ランダム化
normalsemi-functional
係数対 ごとの対独立性 によるランダム化
という場合のシミュレーション
異なる証明方法にも関わらず、
同じシミュレーション結果を与えることができる