2021年度暗号分科会
第9回、第10回

第2部 新しい暗号技術

• 2000年以降に生まれた新しい暗号技術

  • IDベース暗号

  • 検索可能暗号

  • プロキシ暗号

  • 放送型暗号

  • 属性ベース暗号

  • 関数型暗号

  • 準同型暗号

  • ゼロ知識証明

• 今日はこれらの暗号のベースとなる
  楕円曲線のペアリングについて話す

7.1 ペアリング

http://coop-math.ism.ac.jp/files/231/1f220534ba6f84164f284c5134f6f4a2.pdf

7.1 ペアリング

• 第5章で導入した「楕円曲線⇔トーラス上のベクトル」の
  アナトミーを用いて説明する
• 楕円曲線上の点$P$と$Q$に対して
  それらが囲う平行四辺形の面積を$S(P,Q)$とする
• ペアリングは有限体$F_p$のある元$g$に対して$$e(P,Q)=g^{S(P,Q)}$$で定義される

7.1 ペアリング

重要な性質

$$e(aP,bQ)=e(P,Q)^{ab}$$

$$e\left(P_{1}+P_{2},Q\right)=e\left(P_{1},Q\right)e\left(P_{2},Q\right)$$

$$e\left(P,Q_1+Q_2\right)=e\left(P,Q_1\right)e\left(P,Q_2\right)$$

$$e(Q,P)=e(P,Q)^{-1}$$

7.2 ID を使った鍵共有

ID鍵共有

• あらかじめ決められたIDを
  公開鍵として利用できる鍵共有

7.2 ID を使った鍵共有

• 公開鍵生成
  AとBはそれぞれ適当に楕円曲線上の点を取り、
  $P_A,P_B$とする 
• 秘密鍵生成
  生成局がマスター秘密鍵$s$を生成し、
  Aに$K_A:=sP_A$、Bに$K_B:=sP_B$を配る
• 鍵共有
  Aは$s_A=e(K_A,P_B)$、Bは$s_B=e(P_A,K_B)$を計算する
• このとき
  $$\begin{aligned}s_{A} &=e(K_{A},P_{B})=e(sP_{A},P_{B})=e(P_{A},P_{B})^s\\s_{B} &=e(P_{A},K_{B})=e(P_{A},sP_{B})=e(P_{A},P_{B})^s\end{aligned}$$より$s_A=s_B$

7.6 DLP とECDLP とペアリング

MOVリダクションの紹介。

MOVリダクションはECDLPをDLPに帰着させる攻撃手法。

楕円曲線の点 $P$ と $Q=aP$ が与えられたとき
$$f:X\mapsto e(X,bP)\in F_{p}$$

を考えると、
$$f(P)=g^b,f(Q)=g^{ab}$$

※ただし $g:=e(P,P)$

ECDLPがDLPに帰着されている

7.6 DLP とECDLP とペアリング

7.7 IDベース暗号

• 好きなデータを公開鍵にできる公開鍵暗号
• 例えばメールアドレスを公開鍵にしたら
  本人認証の必要がなくなる

7.7 IDベース暗号

• マスター公開鍵: $P \in E$
• マスター秘密鍵: $s \in \mathbb{Z}$
• ユーザーXの公開鍵: $P_X \in E$
• ユーザーXの秘密鍵: $K_A:=sP_X$
• 楕円曲線Eから有限体$F_q$へのハッシュ関数: $h_2$

をとる。

このとき、

$$\begin{aligned}\mathrm{Enc}\left(m\right) &:=\left(rP,m\oplus h_{2}\left(e\left(P_{A},sP\right)^{r}\right)\right)\\\mathrm{Dec}\left(U,v\right) &:=v\oplus h_{2}\left(e\left(K_{A},U\right)\right)\end{aligned}$$である。

ただし $r$ は暗号化時に生成される乱数。

7.8 IDベース暗号と公開鍵暗号

IDベース暗号の利点とは?

• 例えばメールアドレスを公開鍵にしたら
  本人認証の必要がなくなる
  • PKIが不要に
• だが現実に応用しようとすると課題が多い

生成局が必要

• PKIにおける認証局の代わりに
  マスター生成局という強い権限を持った
  アカウントが必要
• PKIの認証局は個々の通信の復号まではできないが
  IDベース暗号ではマスター鍵があると
  任意のユーザーの復号ができてしまう

7.8 IDベース暗号と公開鍵暗号

鍵の失効

• IDベース暗号では公開鍵が (半ば) 固定化されるため、
  秘密鍵が漏洩してしまったときにどのように
  鍵を失効させるかは自明ではない
  • 公開鍵暗号は通常セッションごとに異なる鍵を
    使うのでこの点はあまり問題にならない
• 鍵の有効期限などを公開鍵に含めることもできるが、
  相手のIDだけで暗号文を送れるという
  利点は失われてしまう

7.9 タイムリリース暗号

• 時刻センターから送られる署名付きの時報を用いて
  特定の時間以降しか復号できない暗号文を生成する手法

7.9 タイムリリース暗号

• 時刻センターの公開鍵: $(P,sP)$
• 時刻センターの秘密鍵: $s \in \mathbb{Z}$
• 時刻$T$から$E$へのハッシュ関数: $H$

をとる。

時刻センターは時刻$T$に$sH(T)$を配信する。

このとき、

秘密鍵 $s_{T_0}=e(H(T_0),rsP)$ を用いて暗号化し、
$rP$を同時に公開すると、

※ $r$ は暗号化時に生成される乱数。

時刻$T_0$に時刻センターから送られる$sH(T_0)$を用いて
$e(sH(T_0),rP)=e(H(T_0),rP)^{rs}=s_{T_0}$を計算できる。

7.10 ペアリングを使ったデジタル署名

• 秘密鍵: $x,y \in \mathbb{Z}$
• 公開鍵: $P,Q:=xP,R:=yP$

をとる。

$$S:=\frac{1}{x+m+yr}P$$として、$(S,r)$を署名とする。

※ $r$ は暗号化時に生成される乱数。

署名が正当ならば、$$e(S,Q+mP+rR)=e(P,P)$$が満たされる。