大学での暗号の講義（その２） 2008-2010

1. 暗号理論における安全性の証明： Identification Protocol （ユーザ認証プロトコル）の Witness-Hiding 性 羽田 知史（ IBM 東京基礎研究所） Satoshi Hada (IBM Research - Tokyo) mailto: satoshih at jp ibm com

4. どうやって安全性を定義するか？ その１：攻撃ベースの定義

8. ユーザ認証（ Identification ）プロトコルとはネットワーク上にて通信相手の身元を証明、検証するためのプロトコルです。 証明者（ P さん） 検証者 Interaction 本当に P さん ?

12. 証明者 検証者 公開鍵： v 秘密鍵： s s.t. v=g -s (mod p) x=v e g y が成り立てば Accept 左辺： x=g r 右辺： v e g y =g -es g r+es =g r e x=g r (mod p) y=r+es (mod q) 乱数： r ∈ Z q 乱数： e （ n bits ） Schnorr の Identification プロトコル は離散対数問題の困難性に基づいたプロトコルです 離散対数が困難という仮定の下では、公開鍵から秘密鍵を計算できない

13. 証明者 検証者 公開鍵： v 秘密鍵： s s.t. v=g -s e y=r+es (mod q) 乱数： r ∈ Z q 乱数： e （ n bits ） 悪意のある証明者の観点から、 プロトコル は安全か？ x=v e g y ? x=g r (mod p) e が予測できれば、 s を知らなくても、なりすましは簡単だが、正しく予測できる確率は 1/2 n (negligible)

14. 証明者 検証者 公開鍵： v 秘密鍵： s s.t. v=g -s e y=r+es (mod q) 乱数： r ∈ Z q 乱数： e （ n bits ） 悪意のある証明者の観点から、 プロトコル は安全か？ x=v e g y ? x=g r (mod p) ある x=g r を送信したとき、２つの異なる (e,e’) に対して、正しく返事できるなら、つまり、 (y,y’) s.t. x=v e g y =v e’ g y’ を計算できるなら、秘密鍵を s=(y’-y)/(e-e’) mod q として計算できる。つまり、高い確率で、なりすましできるためには、 s の知識が必須である。

15. 証明者 検証者 公開鍵： v 秘密鍵： s s.t. v=g -s e y=r+es (mod q) 乱数： r ∈ Z q 乱数： e （ n bits ） 悪意のある検証者の観点から、 プロトコル は安全か？ x=v e g y ? x=g r (mod p) y から s を計算するには、 r を計算する必要があるが、 x から r を計算するのは困難（離散対数問題）。

17. Okamoto92 では、一つの公開鍵に複数の秘密鍵が存在するように公開鍵／秘密鍵の関係式を一般化している （関係式は、 Collision Resistant ハッシュ関数と同じ） v=g -s (mod p) v= g1 -s1 g2 -s2 関係式 秘密鍵 公開鍵 v v s∈Z q s1, s2 ∈Z q Schnorr Okamoto92 システム p, q, g p, q, g1, g2

18. 証明者 検証者 公開鍵： v 秘密鍵： s1,s2 s.t. v= g1 -s1 g2 -s2 x=v e g1 y1 g2 y2 をチェック e x= g1 r1 g2 r2 y1=r1+e*s1 y2=r2+e*s2 乱数： r1,r2 ∈ Z q 乱数： e （ n bits ） Okamoto92 公開鍵 v から秘密鍵 (s1,s2) を計算する問題は、離散対数問題と等価

28. どうやって安全性を定義するか？ その２： Simulation Paradigm に基づく定義

35. まとめ

37. Backup