9. 1984 → 2000
2013/8/29 次世代セキュア情報基盤ワークショップ 8
境隆一, 大岸聖史, 笠原正雄,
”Cryptosystems Based on Pairing",
暗号と情報セキュリティシンポジウム (SCIS2000), 2000
D. Boneh and M. Franklin,
“Identity-based encryption from the Weil pairing,"
CRYPTO 2001, 2001
16. IBE標準化動向:IETF
• RFC 5091:Identity-Based Cryptography Standard (IBCS) #1: Supersingular
Curve Implementations of the BF and BB1 Cryptosystems
• 2007年12月発行
• RFC 5408:Identity-Based Encryption Architecture and Supporting Data
Structures
• 2009年1月発行
• RFC 5409:Using the Boneh-Franklin and Boneh-Boyen Identity-Based
Encryption Algorithms with the Cryptographic Message Syntax (CMS)
• 2009年1月発行
• RFC 6267:MIKEY-IBAKE: Identity-Based Authenticated Key Exchange (IBAKE)
Mode of Key Distribution in Multimedia Internet KEYing (MIKEY)
• 2011年6月発行
• RFC 6507:Elliptic Curve-Based Certificateless Signatures for Identity-Based
Encryption (ECCSI)
• 2012年2月発行
• RFC 6508:Sakai-Kasahara Key Encryption (SAKKE)
• 2012年2月発行
• RFC 6509: MIKEY-SAKKE: Sakai-Kasahara Key Encryption in Multimedia
Internet KEYing (MIKEY)
• 2012年2月発行
• RFC 6539:IBAKE: Identity-Based Authenticated Key Exchange
• 2012年3月発行
2013/8/29 次世代セキュア情報基盤ワークショップ 15
17. IDベース暗号を使った応用研究<抜粋>
• D.K. Smetters, et. al., “Domain-Based Administration
of Identity-Based Cryptosystems for Secure Email
and IPSEC”, USENIX Security 2003
• IBCの公開パラメータ配布にDNSを利用する
• S. Meiklejohn, et. al., “The Phantom Tollbooth:
Privacy-Preserving Electronic Toll Collection in the
Presense of Driver Collusion”, USENIX Security 2012
• 車の料金支払いシステムの一部にIDベース暗号を応用。車一台一台が
KGCとなり、通過と支払の証拠情報を暗号化して送信。監査などの必
要が生じたときに車が復号鍵を発行。
• S. Ruoti, et. al., “Confused Johnny: When Automatic
Encryption Leads to Confusion and Mistakes”, SOUPS
2013
• メール暗号化にIDベース暗号を利用。暗号の自動化が余計にユーザに
混乱をもたらすというユーザビリティの研究。
2013/8/29 次世代セキュア情報基盤ワークショップ 16
18. ETC: Milo system
2013/8/29 次世代セキュア情報基盤ワークショップ 17
ドライバーの位置情報を秘匿した状態でドライバーが正しくToll Service Provider
(TSP) に対し支払を行ったかどうかをToll Charger(TC)が検証するシステム
+
OBU: On Boot Unit private key
Request
Audit
Usage history
Usage history
4.
21. 属性ベース暗号の系譜
2013/8/29 次世代セキュア情報基盤ワークショップ 20
Fuzzy IBE
Ciphertext-policy ABE (CP-ABE)
Key-policy ABE (KP-ABE)
関数型暗号
A. Sahai, B. Waters, “Fuzzy Identity-Based Encryption”, EUROCRYPT2005
V. Goyal, et. al., “Attribute-Based Encryption for Fine-Grained Access Control of Encrypted
Data”, ACM CCS 2006
L. Cheung, C. Newport, “Provably Secure Ciphertext Policy ABE”, ACM CCS 2007
T. Okamoto, K. Takashima, “Fully Secure Functional Encryption with General Relations from
the Decisional Linear Assumption”, CRYPTO 2010
40. エンティティが複数存在するケースの分類
2013/8/29 次世代セキュア情報基盤ワークショップ 39
Entity Usecase
ID
DomainIF KGC RA
1 single single single
2 single single multi
3 single multi single
4 single multi multi
5 multi single single
6 multi single multi
7 multi multi single
8 multi multi multi
85. TEPLA:各演算に用いられたライブラリや手法
• 有限体上の元の演算
• 素体
• GMPライブラリ
• 拡大体
• BeuchatらのPairing2010論文のアルゴリズム
• 楕円曲線上の点の演算
• スカラ倍算
• Hankersonらの書籍 “Guide to Elliptic Curve Cryptography” に載っている手
法
• NogamiらのIEICE論文 “Scalar Multiplication Using Frobenius Expansion
over Twisted Elliptic Curve for Ate Pairing Based Cryptography” の手法
• MapToPoint(任意データの曲線上の点へのマッピング)
• IEEE P1363.3 ドラフトに載っている手法
• ペアリング演算
• BeuchatらのPairing2010論文のアルゴリズム
2013/8/29 次世代セキュア情報基盤ワークショップ 84
86. TEPLA:動作確認済み環境
• Windows 7 Professional SP1 (64bit) + Visual C++ 2010
(Visual Studio 2010 Professional) + MPIR 2.6.0 +
OpenSSL 1.0.1c
• Linux (Kernel 2.6.18-308.8.1.el5) + gcc 4.1.2 + GMP
5.0.5 + OpenSSL 0.9.8e-fips-rhel5
• Mac OS X 10.6.8 (Snow Leopard) + gcc 4.2.1 + gmp
5.0.4 + OpenSSL 0.9.8r
2013/8/29 次世代セキュア情報基盤ワークショップ 85
87. 性能評価
• PBC Libraryとのパフォーマンス比較
• Linux上で計算
• PBCライブラリの各パラメータとTEPLA
• プラットフォームごとのパフォーマンス比較
• Windows 7、Linux、Mac OS X
• 詳細環境は「動作確認済み環境」と同じ
• ペアリング、スカラ倍算、MapToPoint、12次拡大体上の点のべき乗
2013/8/29 次世代セキュア情報基盤ワークショップ 86
88. PBC Libraryのパラメータ
タイプ 説明 Param名称
Type A y^2=x^3+x
512ビット素体と1024ビット素体の2つが利用可能
a, a1
Type B y^2=x^3+x
q = 2 mod 3 となる素数qについての素体
(未実装)
Type C y^2=x^3+1, y^2=x^3+2x-1
標数3の拡大体
(未実装)
Type D MNT曲線
基礎体サイズが159ビット、201ビット、224ビットのもの
が利用可能
d159,
d201,
d224
Type E Complex Multiplication (CM) 手法を用いて楕円曲線を構成。
1024ビット有限体を用いた方式が利用可能
e
Type F BN曲線。基礎体サイズが160ビットのものが利用可能。 f
Type G CM手法を用いて楕円曲線を構成しているが、TypeEとは異な
る構成。Freemanにより発見された曲線。基礎体149ビット
のものが利用可能
g149
2013/8/29 次世代セキュア情報基盤ワークショップ 87