合理的な秘密分散における
This presentation is the property of its rightful owner.
Sponsored Links
1 / 45

合理的な秘密分散における 不可能性とその回避方法 PowerPoint PPT Presentation


  • 67 Views
  • Uploaded on
  • Presentation posted in: General

合理的な秘密分散における 不可能性とその回避方法. 安永 憲司 九州先端科学技術研究所. コンピュータセキュリティシンポジウム 2012 @ 松江. 暗号理論とゲーム理論. ともにプレイヤー間の相互作用に関する研究 暗号理論 プレイヤーは正直者 or 悪者 正直者をどのように守るか? ゲーム理論 プレイヤーは合理的 合理的なプレイヤーはどう振る舞うか?. 暗号理論とゲーム理論(既存研究). 暗号 理論 をゲーム理論に利用 信頼できる仲介者を暗号技術で実現 [DHR06, ADGH06, LMPS04, ILM05, ILM08]

Download Presentation

合理的な秘密分散における 不可能性とその回避方法

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


5064031

合理的な秘密分散における不可能性とその回避方法

安永憲司

九州先端科学技術研究所

コンピュータセキュリティシンポジウム 2012 @松江


5064031

暗号理論とゲーム理論

  • ともにプレイヤー間の相互作用に関する研究

  • 暗号理論

    • プレイヤーは正直者or 悪者

    • 正直者をどのように守るか?

  • ゲーム理論

    • プレイヤーは合理的

    • 合理的なプレイヤーはどう振る舞うか?


5064031

暗号理論とゲーム理論(既存研究)

  • 暗号理論をゲーム理論に利用

    • 信頼できる仲介者を暗号技術で実現[DHR06, ADGH06, LMPS04, ILM05, ILM08]

  • ゲーム理論を暗号理論へ適用

    • 合理的なプレイヤーが暗号プロトコルを実行

      • 秘密分散[HT04, ADGH06, LT06, GK06, KN08a, KN08b, MS09, OPRV09, AL09, FKN10, PS11]

      • リーダー選出,ランダムサンプリング[Gra10]

      • ビザンチン合意[GKTZ12]

      • 公開鍵暗号[Y12]

  • ゲーム理論と暗号理論の概念間の関係

    • 暗号理論向けのゲーム理論の概念[HP10, GLV10, PS11]

    • ゲーム理論の概念による安全性特徴付け[ACH11, GK12]


5064031

暗号理論とゲーム理論(既存研究)

  • 暗号理論をゲーム理論に利用

    • 信頼できる仲介者を暗号技術で実現[DHR06, ADGH06, LMPS04, ILM05, ILM08]

  • ゲーム理論を暗号理論へ適用

    • 合理的なプレイヤーが暗号プロトコルを実行

      • 秘密分散[HT04, ADGH06, LT06, GK06, KN08a, KN08b, MS09, OPRV09, AL09, FKN10, PS11]

      • リーダー選出,ランダムサンプリング[Gra10]

      • ビザンチン合意[GKTZ12]

      • 公開鍵暗号[Y12]

  • ゲーム理論と暗号理論の概念間の関係

    • 暗号理論向けのゲーム理論の概念[HP10, GLV10, PS11]

    • ゲーム理論の概念による安全性特徴付け[ACH11, GK12]

本研究


5064031

秘密分散

  • 分散フェーズ

  • 復元フェーズ

  • (m, n) しきい値型秘密分散

    • m 個のシェアから秘密を復元できm 個未満からは秘密について情報がもれない


5064031

合理的な秘密分散

  • 単純な設定では、各プレイヤーは正直者と仮定


5064031

合理的な秘密分散

  • 単純な設定では、各プレイヤーは正直者と仮定

  • Halpern, Teague (STOC ’04)

    • プレイヤーが自分の利益のため行動すると?


5064031

合理的な秘密分散

  • 単純な設定では、各プレイヤーは正直者と仮定

  • Halpern, Teague (STOC ’04)

    • プレイヤーが自分の利益のため行動すると?

       Shamir の秘密分散は正しく実行されない


5064031

合理的な秘密分散

  • 単純な設定では、各プレイヤーは正直者と仮定

  • Halpern, Teague (STOC ’04)

    • プレイヤーが自分の利益のため行動すると?

       Shamir の秘密分散は正しく実行されない

    • 自分の利益のために行動するプレイヤー

       合理的なプレイヤー


5064031

合理的な秘密分散

  • 単純な設定では、各プレイヤーは正直者と仮定

  • Halpern, Teague (STOC ’04)

    • プレイヤーが自分の利益のため行動すると?

       Shamir の秘密分散は正しく実行されない

    • 自分の利益のために行動するプレイヤー

       合理的なプレイヤー

    • 合理的なプレイヤーが正しく実行可能

       合理的な秘密分散


Halpern teague stoc 04

Halpern, Teague (STOC ’04)


Halpern teague stoc 041

Halpern, Teague (STOC ’04)

  • プレイヤーの利得関数

    • 秘密を復元したい

    • より少ない人数で復元したい


Halpern teague stoc 042

Halpern, Teague (STOC ’04)

  • プレイヤーの利得関数

    • 秘密を復元したい

    • より少ない人数で復元したい

  • (n, n) 秘密分散の復元フェーズを考える


Halpern teague stoc 043

Halpern, Teague (STOC ’04)

  • プレイヤーの利得関数

    • 秘密を復元したい

    • より少ない人数で復元したい

  • (n, n) 秘密分散の復元フェーズを考える

    • プレイヤーは正直にシェアを出すだろうか?


Halpern teague stoc 044

Halpern, Teague (STOC ’04)

  • プレイヤーの利得関数

    • 秘密を復元したい

    • より少ない人数で復元したい

  • (n, n) 秘密分散の復元フェーズを考える

    • プレイヤーは正直にシェアを出すだろうか?

    • 他プレイヤーがシェアを出すと仮定したとき


Halpern teague stoc 045

Halpern, Teague (STOC ’04)

  • プレイヤーの利得関数

    • 秘密を復元したい

    • より少ない人数で復元したい

  • (n, n) 秘密分散の復元フェーズを考える

    • プレイヤーは正直にシェアを出すだろうか?

    • 他プレイヤーがシェアを出すと仮定したとき

      • 自分がシェアを出せば、n 人全員が秘密を復元


Halpern teague stoc 046

Halpern, Teague (STOC ’04)

  • プレイヤーの利得関数

    • 秘密を復元したい

    • より少ない人数で復元したい

  • (n, n) 秘密分散の復元フェーズを考える

    • プレイヤーは正直にシェアを出すだろうか?

    • 他プレイヤーがシェアを出すと仮定したとき

      • 自分がシェアを出せば、n 人全員が秘密を復元

      • 自分がシェアを出さなければ、自分 1 人が復元


Halpern teague stoc 047

Halpern, Teague (STOC ’04)

  • プレイヤーの利得関数

    • 秘密を復元したい

    • より少ない人数で復元したい

  • (n, n) 秘密分散の復元フェーズを考える

    • プレイヤーは正直にシェアを出すだろうか?

    • 他プレイヤーがシェアを出すと仮定したとき

      • 自分がシェアを出せば、n 人全員が秘密を復元

      • 自分がシェアを出さなければ、自分 1 人が復元

         シェアを出さない方が利得が高い  (シェアを出すことは Nash 均衡でない)


5064031

Nash 均衡と結託耐性

  • Nash 均衡

    どのプレイヤーも、他のプレイヤーがプロトコルに従うとき、プロトコルから逸脱しても利得は増えない

    • 逸脱したときに利得が減る 狭義 Nash 均衡

  • 結託耐性 r の Nash 均衡

    r 人が結託して逸脱しても Nash 均衡


5064031

不可能性に関する既知結果

  • Asharov, Lindell (Crypto ’09)

    • n = 2のとき、定数ラウンド復元プロトコルは存在しない

      • 解概念として Nash 均衡を考える場合

      • 復元ラウンド数が利得の値に依存することを証明

    • 結託耐性 n/2を達成する定数ラウンド復元プロトコルは存在しない

      • n = 2 の場合に帰着して証明


5064031

本研究

  • KOTY プロトコルの問題点の指摘

  • 回避方法の提案

    • 不可能性の回避につながる

[KOTY12]

A. Kawachi, Y. Okamoto, K. Tanaka, K. Yasunaga.

Rational secret sharing for non-simultaneous channels.

IEICE Technical Report, 2012


5064031

KOTY プロトコル

  • ブロードキャスト通信路を仮定

    • 1人ずつ順番にブロードキャスト

  • 定数ラウンド復元

    • 高い確率で 2 ラウンド

  • 結託耐性 n/2 – 1 の狭義 Nash 均衡

    • 定数ラウンド復元では最適な結託耐性


5064031

KOTY プロトコル(分散フェーズ)

確率 α

(n/2 + 1, n) SS S1

Step 1. 通常の SS S1

識別不能

Step 2. 通常の SS S2

確率 1 – α

Step 3. RSS S3

(n/2, n) SS S2

秘密b

1 (S1で本物)

0 (S1で偽物)

秘密b =

・・・

・・・

(n, n) RSS S3

・・・

・・・

・・・

・・・

・・・

・・・

・・・

・・・

・・・

1

2

n/2

n

・・・


5064031

KOTY プロトコル(復元フェーズ)

Step 1. (n/2 + 1, n) S1のシェア  を順に出す

  • 全員正しいシェア  次のラウンドそれ以外  終了

    Step 2. (n/2, n) S2のシェア  を順に出す

  • 全員正しいシェア∧b = 0 次のラウンドそれ以外  終了

    Step 3. (n, n) S3のシェア  を使って秘密 sを復元

  • 結託耐性 n/2 – 1 の狭義 Nash である直観的理由

    • Step 1 で逸脱 偽物の可能性が残る

    • Step 2 で逸脱 Step 3 に進めない


  • 5064031

    KOTY プロトコルの性質

    • 定理S3が結託耐性 n/2 – 1 の狭義 Nash であるとき、KOTY も結託耐性 n/2 – 1 の狭義 Nash復元ラウンド数= 2(1 - α) + T3 ・α

      • T3は S3の復元ラウンド数

      • α を十分小さくとれば復元ラウンド数≈2


    5064031

    KOTY プロトコルの問題点


    5064031

    KOTY プロトコルの問題点

    • より望ましく見える戦略が存在


    5064031

    KOTY プロトコルの問題点

    • より望ましく見える戦略が存在

      • Step 1 で、n/2 個のシェアが出た後、自分のシェアとあわせて秘密を復元して終了


    5064031

    KOTY プロトコルの問題点

    • より望ましく見える戦略が存在

      • Step 1 で、n/2 個のシェアが出た後、自分のシェアとあわせて秘密を復元して終了

        • 最初の n/2 人のプレイヤーは秘密を復元できない

        • 残りの n/2 人は確率 1 – α で本物の秘密を復元

          少ない人数で復元 利得が高くなる可能性


    5064031

    KOTY プロトコルの問題点

    • より望ましく見える戦略が存在

      • Step 1 で、n/2 個のシェアが出た後、自分のシェアとあわせて秘密を復元して終了

        • 最初の n/2 人のプレイヤーは秘密を復元できない

        • 残りの n/2 人は確率 1 – α で本物の秘密を復元

          少ない人数で復元 利得が高くなる可能性

    • 結託耐性 n/2 – 1 の狭義 Nash に矛盾?


    5064031

    KOTY プロトコルの問題点

    • より望ましく見える戦略が存在

      • Step 1 で、n/2 個のシェアが出た後、自分のシェアとあわせて秘密を復元して終了

        • 最初の n/2 人のプレイヤーは秘密を復元できない

        • 残りの n/2 人は確率 1 – α で本物の秘密を復元

          少ない人数で復元 利得が高くなる可能性

    • 結託耐性 n/2 – 1 の狭義 Nash に矛盾? 矛盾しない

      • 上記の議論では n/2 人が逸脱する必要


    5064031

    何が問題なのか?


    5064031

    何が問題なのか?

    • 結託耐性が n/2 – 1 しかないこと

      • 結託耐性が n – 1 なら問題は生じない


    5064031

    何が問題なのか?

    • 結託耐性が n/2 – 1 しかないこと

      • 結託耐性が n – 1 なら問題は生じない

    • しかし、不可能性の結果[AL 11]から、定数ラウンドプロトコルの結託耐性≤ n/2 – 1


    5064031

    何が問題なのか?

    • 結託耐性が n/2 – 1 しかないこと

      • 結託耐性が n – 1 なら問題は生じない

    • しかし、不可能性の結果[AL 11]から、定数ラウンドプロトコルの結託耐性≤ n/2 – 1

       不可能性を回避する必要


    5064031

    不可能性の回避方法


    5064031

    不可能性の回避方法

    • 利得関数に仮定を追加「偽物の秘密を復元することを嫌がる」


    5064031

    不可能性の回避方法

    • 利得関数に仮定を追加「偽物の秘密を復元することを嫌がる」

    • 先ほどの問題は回避可能

      • 偽物の可能性があれば、逸脱しない


    5064031

    不可能性の回避方法

    • 利得関数に仮定を追加「偽物の秘密を復元することを嫌がる」

    • 先ほどの問題は回避可能

      • 偽物の可能性があれば、逸脱しない

    • 定理上記仮定のもと、修正版 KOTY プロトコルは結託耐性 n – 1 の狭義 Nash を達成

      • S1と S2をともに (n, n) 秘密分散に変更


    5064031

    まとめ

    • KOTY プロトコルの問題点

      • より望ましい戦略が存在

         結託耐性が小さいことが問題

    • 不可能性の回避

      • 利得関数に仮定を追加

        「偽物の秘密を復元することを嫌がる」

         結託耐性 n – 1 を達成可能に


    5064031

    既存プロトコル

    β : 利得に依存する十分小さな値

    IEWDS = 弱支配戦略の連続的削除

    狭義 Nash = 狭義 Nash 均衡

    THPE = 摂動完全均衡


    5064031

    Nash 均衡と結託耐性

    • 戦略の組σ = (σ1, …, σn) がNash 均衡

      どのプレイヤーも、他プレイヤーがσに従うとき、戦略σから逸脱しても利得は増えない

    • 戦略の組σ = (σ1, …, σn) が狭義 Nash 均衡

      どのプレイヤーも、他のプレイヤーがσに従うとき、戦略σから逸脱すると利得が下がる

    • 戦略の組σが結託耐性 rの Nash 均衡

      r 人が結託して逸脱しても、Nash 均衡


    5064031

    KOTY プロトコル(分散フェーズ)

    • (n/2 + 1, n) 秘密分散 S1を使って秘密 s を分散

      • ただし、確率 α で s は偽物

      • s を見ても本物かどうか判別不能

    • (n/2, n) 秘密分散 S2を使って秘密 s’ を分散

      • s’ = 1  s が本物

    • (n, n) 合理的秘密分散 S3を使って秘密 s を分散

      • s は本物


    5064031

    KOTY プロトコル(復元フェーズ)

    • (n/2 + 1, n) S1のシェアを順に出す

      • 正しいシェア数 ≥ n/2 + 1  s を復元

      • 正しいシェア数= n  次のラウンド< n  終了

    • (n/2, n) S2のシェアを順に出す

      • 正しいシェア数≥ n/2  s’ を復元

      • 正しいシェア数= n ∧ s’ ≠ 1 次のラウンドそれ以外  終了

    • (n, n) S3のシェアを使って秘密 sを復元


    5064031

    KOTY プロトコルの性質

    • 定理S3が結託耐性 n/2 – 1 の狭義 Nash であるとき、KOTY も結託耐性 n/2 – 1 の狭義 Nash復元ラウンド数は < 2(1- α) + T3 ・α

    • 証明の概要

      • サイズ n/2 – 1 の結託を考える

      • Round 1 で逸脱 n/2 + 1 個の正しいシェアが出されるので、全員復元して終了

        • 確率 α で偽物の可能性

      • Round 2 で逸脱 s’ ≠ 1 なら偽物を復元して終了

        • s’ = 1 のとき、どんな行動も逸脱とみなさない

      • Round 3 で逸脱  S3の性質より利得は下がる


  • Login