1 / 45

合理的な秘密分散における 不可能性とその回避方法

合理的な秘密分散における 不可能性とその回避方法. 安永 憲司 九州先端科学技術研究所. コンピュータセキュリティシンポジウム 2012 @ 松江. 暗号理論とゲーム理論. ともにプレイヤー間の相互作用に関する研究 暗号理論 プレイヤーは正直者 or 悪者 正直者をどのように守るか? ゲーム理論 プレイヤーは合理的 合理的なプレイヤーはどう振る舞うか?. 暗号理論とゲーム理論(既存研究). 暗号 理論 をゲーム理論に利用 信頼できる仲介者を暗号技術で実現 [DHR06, ADGH06, LMPS04, ILM05, ILM08]

niran
Download Presentation

合理的な秘密分散における 不可能性とその回避方法

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 合理的な秘密分散における不可能性とその回避方法合理的な秘密分散における不可能性とその回避方法 安永憲司 九州先端科学技術研究所 コンピュータセキュリティシンポジウム 2012 @松江

  2. 暗号理論とゲーム理論 • ともにプレイヤー間の相互作用に関する研究 • 暗号理論 • プレイヤーは正直者or 悪者 • 正直者をどのように守るか? • ゲーム理論 • プレイヤーは合理的 • 合理的なプレイヤーはどう振る舞うか?

  3. 暗号理論とゲーム理論(既存研究) • 暗号理論をゲーム理論に利用 • 信頼できる仲介者を暗号技術で実現[DHR06, ADGH06, LMPS04, ILM05, ILM08] • ゲーム理論を暗号理論へ適用 • 合理的なプレイヤーが暗号プロトコルを実行 • 秘密分散[HT04, ADGH06, LT06, GK06, KN08a, KN08b, MS09, OPRV09, AL09, FKN10, PS11] • リーダー選出,ランダムサンプリング[Gra10] • ビザンチン合意[GKTZ12] • 公開鍵暗号[Y12] • ゲーム理論と暗号理論の概念間の関係 • 暗号理論向けのゲーム理論の概念[HP10, GLV10, PS11] • ゲーム理論の概念による安全性特徴付け[ACH11, GK12]

  4. 暗号理論とゲーム理論(既存研究) • 暗号理論をゲーム理論に利用 • 信頼できる仲介者を暗号技術で実現[DHR06, ADGH06, LMPS04, ILM05, ILM08] • ゲーム理論を暗号理論へ適用 • 合理的なプレイヤーが暗号プロトコルを実行 • 秘密分散[HT04, ADGH06, LT06, GK06, KN08a, KN08b, MS09, OPRV09, AL09, FKN10, PS11] • リーダー選出,ランダムサンプリング[Gra10] • ビザンチン合意[GKTZ12] • 公開鍵暗号[Y12] • ゲーム理論と暗号理論の概念間の関係 • 暗号理論向けのゲーム理論の概念[HP10, GLV10, PS11] • ゲーム理論の概念による安全性特徴付け[ACH11, GK12] 本研究

  5. 秘密分散 • 分散フェーズ • 復元フェーズ • (m, n) しきい値型秘密分散 • m 個のシェアから秘密を復元できm 個未満からは秘密について情報がもれない

  6. 合理的な秘密分散 • 単純な設定では、各プレイヤーは正直者と仮定

  7. 合理的な秘密分散 • 単純な設定では、各プレイヤーは正直者と仮定 • Halpern, Teague (STOC ’04) • プレイヤーが自分の利益のため行動すると?

  8. 合理的な秘密分散 • 単純な設定では、各プレイヤーは正直者と仮定 • Halpern, Teague (STOC ’04) • プレイヤーが自分の利益のため行動すると?  Shamir の秘密分散は正しく実行されない

  9. 合理的な秘密分散 • 単純な設定では、各プレイヤーは正直者と仮定 • Halpern, Teague (STOC ’04) • プレイヤーが自分の利益のため行動すると?  Shamir の秘密分散は正しく実行されない • 自分の利益のために行動するプレイヤー  合理的なプレイヤー

  10. 合理的な秘密分散 • 単純な設定では、各プレイヤーは正直者と仮定 • Halpern, Teague (STOC ’04) • プレイヤーが自分の利益のため行動すると?  Shamir の秘密分散は正しく実行されない • 自分の利益のために行動するプレイヤー  合理的なプレイヤー • 合理的なプレイヤーが正しく実行可能  合理的な秘密分散

  11. Halpern, Teague (STOC ’04)

  12. Halpern, Teague (STOC ’04) • プレイヤーの利得関数 • 秘密を復元したい • より少ない人数で復元したい

  13. Halpern, Teague (STOC ’04) • プレイヤーの利得関数 • 秘密を復元したい • より少ない人数で復元したい • (n, n) 秘密分散の復元フェーズを考える

  14. Halpern, Teague (STOC ’04) • プレイヤーの利得関数 • 秘密を復元したい • より少ない人数で復元したい • (n, n) 秘密分散の復元フェーズを考える • プレイヤーは正直にシェアを出すだろうか?

  15. Halpern, Teague (STOC ’04) • プレイヤーの利得関数 • 秘密を復元したい • より少ない人数で復元したい • (n, n) 秘密分散の復元フェーズを考える • プレイヤーは正直にシェアを出すだろうか? • 他プレイヤーがシェアを出すと仮定したとき

  16. Halpern, Teague (STOC ’04) • プレイヤーの利得関数 • 秘密を復元したい • より少ない人数で復元したい • (n, n) 秘密分散の復元フェーズを考える • プレイヤーは正直にシェアを出すだろうか? • 他プレイヤーがシェアを出すと仮定したとき • 自分がシェアを出せば、n 人全員が秘密を復元

  17. Halpern, Teague (STOC ’04) • プレイヤーの利得関数 • 秘密を復元したい • より少ない人数で復元したい • (n, n) 秘密分散の復元フェーズを考える • プレイヤーは正直にシェアを出すだろうか? • 他プレイヤーがシェアを出すと仮定したとき • 自分がシェアを出せば、n 人全員が秘密を復元 • 自分がシェアを出さなければ、自分 1 人が復元

  18. Halpern, Teague (STOC ’04) • プレイヤーの利得関数 • 秘密を復元したい • より少ない人数で復元したい • (n, n) 秘密分散の復元フェーズを考える • プレイヤーは正直にシェアを出すだろうか? • 他プレイヤーがシェアを出すと仮定したとき • 自分がシェアを出せば、n 人全員が秘密を復元 • 自分がシェアを出さなければ、自分 1 人が復元  シェアを出さない方が利得が高い  (シェアを出すことは Nash 均衡でない)

  19. Nash 均衡と結託耐性 • Nash 均衡 どのプレイヤーも、他のプレイヤーがプロトコルに従うとき、プロトコルから逸脱しても利得は増えない • 逸脱したときに利得が減る 狭義 Nash 均衡 • 結託耐性 r の Nash 均衡 r 人が結託して逸脱しても Nash 均衡

  20. 不可能性に関する既知結果 • Asharov, Lindell (Crypto ’09) • n = 2のとき、定数ラウンド復元プロトコルは存在しない • 解概念として Nash 均衡を考える場合 • 復元ラウンド数が利得の値に依存することを証明 • 結託耐性 n/2を達成する定数ラウンド復元プロトコルは存在しない • n = 2 の場合に帰着して証明

  21. 本研究 • KOTY プロトコルの問題点の指摘 • 回避方法の提案 • 不可能性の回避につながる [KOTY12] A. Kawachi, Y. Okamoto, K. Tanaka, K. Yasunaga. Rational secret sharing for non-simultaneous channels. IEICE Technical Report, 2012

  22. KOTY プロトコル • ブロードキャスト通信路を仮定 • 1人ずつ順番にブロードキャスト • 定数ラウンド復元 • 高い確率で 2 ラウンド • 結託耐性 n/2 – 1 の狭義 Nash 均衡 • 定数ラウンド復元では最適な結託耐性

  23. KOTY プロトコル(分散フェーズ) 確率 α (n/2 + 1, n) SS S1 Step 1. 通常の SS S1 識別不能 Step 2. 通常の SS S2 確率 1 – α Step 3. RSS S3 (n/2, n) SS S2 秘密b 1 (S1で本物) 0 (S1で偽物) 秘密b = ・・・ ・・・ (n, n) RSS S3 ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ 1 2 n/2 n ・・・

  24. KOTY プロトコル(復元フェーズ) Step 1. (n/2 + 1, n) S1のシェア  を順に出す • 全員正しいシェア  次のラウンドそれ以外  終了 Step 2. (n/2, n) S2のシェア  を順に出す • 全員正しいシェア∧b = 0 次のラウンドそれ以外  終了 Step 3. (n, n) S3のシェア  を使って秘密 sを復元 • 結託耐性 n/2 – 1 の狭義 Nash である直観的理由 • Step 1 で逸脱 偽物の可能性が残る • Step 2 で逸脱 Step 3 に進めない

  25. KOTY プロトコルの性質 • 定理S3が結託耐性 n/2 – 1 の狭義 Nash であるとき、KOTY も結託耐性 n/2 – 1 の狭義 Nash復元ラウンド数= 2(1 - α) + T3 ・α • T3は S3の復元ラウンド数 • α を十分小さくとれば復元ラウンド数≈2

  26. KOTY プロトコルの問題点

  27. KOTY プロトコルの問題点 • より望ましく見える戦略が存在

  28. KOTY プロトコルの問題点 • より望ましく見える戦略が存在 • Step 1 で、n/2 個のシェアが出た後、自分のシェアとあわせて秘密を復元して終了

  29. KOTY プロトコルの問題点 • より望ましく見える戦略が存在 • Step 1 で、n/2 個のシェアが出た後、自分のシェアとあわせて秘密を復元して終了 • 最初の n/2 人のプレイヤーは秘密を復元できない • 残りの n/2 人は確率 1 – α で本物の秘密を復元 少ない人数で復元 利得が高くなる可能性

  30. KOTY プロトコルの問題点 • より望ましく見える戦略が存在 • Step 1 で、n/2 個のシェアが出た後、自分のシェアとあわせて秘密を復元して終了 • 最初の n/2 人のプレイヤーは秘密を復元できない • 残りの n/2 人は確率 1 – α で本物の秘密を復元 少ない人数で復元 利得が高くなる可能性 • 結託耐性 n/2 – 1 の狭義 Nash に矛盾?

  31. KOTY プロトコルの問題点 • より望ましく見える戦略が存在 • Step 1 で、n/2 個のシェアが出た後、自分のシェアとあわせて秘密を復元して終了 • 最初の n/2 人のプレイヤーは秘密を復元できない • 残りの n/2 人は確率 1 – α で本物の秘密を復元 少ない人数で復元 利得が高くなる可能性 • 結託耐性 n/2 – 1 の狭義 Nash に矛盾? 矛盾しない • 上記の議論では n/2 人が逸脱する必要

  32. 何が問題なのか?

  33. 何が問題なのか? • 結託耐性が n/2 – 1 しかないこと • 結託耐性が n – 1 なら問題は生じない

  34. 何が問題なのか? • 結託耐性が n/2 – 1 しかないこと • 結託耐性が n – 1 なら問題は生じない • しかし、不可能性の結果[AL 11]から、定数ラウンドプロトコルの結託耐性≤ n/2 – 1

  35. 何が問題なのか? • 結託耐性が n/2 – 1 しかないこと • 結託耐性が n – 1 なら問題は生じない • しかし、不可能性の結果[AL 11]から、定数ラウンドプロトコルの結託耐性≤ n/2 – 1  不可能性を回避する必要

  36. 不可能性の回避方法

  37. 不可能性の回避方法 • 利得関数に仮定を追加「偽物の秘密を復元することを嫌がる」

  38. 不可能性の回避方法 • 利得関数に仮定を追加「偽物の秘密を復元することを嫌がる」 • 先ほどの問題は回避可能 • 偽物の可能性があれば、逸脱しない

  39. 不可能性の回避方法 • 利得関数に仮定を追加「偽物の秘密を復元することを嫌がる」 • 先ほどの問題は回避可能 • 偽物の可能性があれば、逸脱しない • 定理上記仮定のもと、修正版 KOTY プロトコルは結託耐性 n – 1 の狭義 Nash を達成 • S1と S2をともに (n, n) 秘密分散に変更

  40. まとめ • KOTY プロトコルの問題点 • より望ましい戦略が存在  結託耐性が小さいことが問題 • 不可能性の回避 • 利得関数に仮定を追加 「偽物の秘密を復元することを嫌がる」  結託耐性 n – 1 を達成可能に

  41. 既存プロトコル β : 利得に依存する十分小さな値 IEWDS = 弱支配戦略の連続的削除 狭義 Nash = 狭義 Nash 均衡 THPE = 摂動完全均衡

  42. Nash 均衡と結託耐性 • 戦略の組σ = (σ1, …, σn) がNash 均衡 どのプレイヤーも、他プレイヤーがσに従うとき、戦略σから逸脱しても利得は増えない • 戦略の組σ = (σ1, …, σn) が狭義 Nash 均衡 どのプレイヤーも、他のプレイヤーがσに従うとき、戦略σから逸脱すると利得が下がる • 戦略の組σが結託耐性 rの Nash 均衡 r 人が結託して逸脱しても、Nash 均衡

  43. KOTY プロトコル(分散フェーズ) • (n/2 + 1, n) 秘密分散 S1を使って秘密 s を分散 • ただし、確率 α で s は偽物 • s を見ても本物かどうか判別不能 • (n/2, n) 秘密分散 S2を使って秘密 s’ を分散 • s’ = 1  s が本物 • (n, n) 合理的秘密分散 S3を使って秘密 s を分散 • s は本物

  44. KOTY プロトコル(復元フェーズ) • (n/2 + 1, n) S1のシェアを順に出す • 正しいシェア数 ≥ n/2 + 1  s を復元 • 正しいシェア数= n  次のラウンド< n  終了 • (n/2, n) S2のシェアを順に出す • 正しいシェア数≥ n/2  s’ を復元 • 正しいシェア数= n ∧ s’ ≠ 1 次のラウンドそれ以外  終了 • (n, n) S3のシェアを使って秘密 sを復元

  45. KOTY プロトコルの性質 • 定理S3が結託耐性 n/2 – 1 の狭義 Nash であるとき、KOTY も結託耐性 n/2 – 1 の狭義 Nash復元ラウンド数は < 2(1- α) + T3 ・α • 証明の概要 • サイズ n/2 – 1 の結託を考える • Round 1 で逸脱 n/2 + 1 個の正しいシェアが出されるので、全員復元して終了 • 確率 α で偽物の可能性 • Round 2 で逸脱 s’ ≠ 1 なら偽物を復元して終了 • s’ = 1 のとき、どんな行動も逸脱とみなさない • Round 3 で逸脱  S3の性質より利得は下がる

More Related