合理的な秘密分散における 不可能性とその回避方法
description
Transcript of 合理的な秘密分散における 不可能性とその回避方法
![Page 1: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/1.jpg)
合理的な秘密分散における不可能性とその回避方法
安永 憲司
九州先端科学技術研究所
コンピュータセキュリティシンポジウム 2012 @ 松江
![Page 2: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/2.jpg)
暗号理論とゲーム理論
ともにプレイヤー間の相互作用に関する研究
暗号理論 プレイヤーは正直者 or 悪者 正直者をどのように守るか?
ゲーム理論 プレイヤーは合理的 合理的なプレイヤーはどう振る舞うか?
![Page 3: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/3.jpg)
暗号理論とゲーム理論(既存研究) 暗号理論をゲーム理論に利用
信頼できる仲介者を暗号技術で実現[DHR06, ADGH06, LMPS04, ILM05, ILM08]
ゲーム理論を暗号理論へ適用 合理的なプレイヤーが暗号プロトコルを実行
秘密分散 [HT04, ADGH06, LT06, GK06, KN08a, KN08b, MS09, OPRV09, AL09, FKN10, PS11]
リーダー選出,ランダムサンプリング [Gra10]
ビザンチン合意 [GKTZ12]
公開鍵暗号 [Y12]
ゲーム理論と暗号理論の概念間の関係 暗号理論向けのゲーム理論の概念 [HP10, GLV10, PS11] ゲーム理論の概念による安全性特徴付け [ACH11, GK12]
![Page 4: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/4.jpg)
暗号理論とゲーム理論(既存研究) 暗号理論をゲーム理論に利用
信頼できる仲介者を暗号技術で実現[DHR06, ADGH06, LMPS04, ILM05, ILM08]
ゲーム理論を暗号理論へ適用 合理的なプレイヤーが暗号プロトコルを実行
秘密分散 [HT04, ADGH06, LT06, GK06, KN08a, KN08b, MS09, OPRV09, AL09, FKN10, PS11]
リーダー選出,ランダムサンプリング [Gra10]
ビザンチン合意 [GKTZ12]
公開鍵暗号 [Y12]
ゲーム理論と暗号理論の概念間の関係 暗号理論向けのゲーム理論の概念 [HP10, GLV10, PS11] ゲーム理論の概念による安全性特徴付け [ACH11, GK12]
本研究
![Page 5: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/5.jpg)
秘密分散 分散フェーズ
復元フェーズ
(m, n) しきい値型秘密分散 m 個のシェアから秘密を復元でき
m 個未満からは秘密について情報がもれない
![Page 6: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/6.jpg)
合理的な秘密分散
単純な設定では、各プレイヤーは正直者と仮定
![Page 7: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/7.jpg)
合理的な秘密分散
単純な設定では、各プレイヤーは正直者と仮定 Halpern, Teague (STOC ’04)
プレイヤーが自分の利益のため行動すると?
![Page 8: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/8.jpg)
合理的な秘密分散
単純な設定では、各プレイヤーは正直者と仮定 Halpern, Teague (STOC ’04)
プレイヤーが自分の利益のため行動すると? Shamir の秘密分散は正しく実行されない
![Page 9: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/9.jpg)
合理的な秘密分散
単純な設定では、各プレイヤーは正直者と仮定 Halpern, Teague (STOC ’04)
プレイヤーが自分の利益のため行動すると? Shamir の秘密分散は正しく実行されない自分の利益のために行動するプレイヤー 合理的なプレイヤー
![Page 10: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/10.jpg)
合理的な秘密分散
単純な設定では、各プレイヤーは正直者と仮定 Halpern, Teague (STOC ’04)
プレイヤーが自分の利益のため行動すると? Shamir の秘密分散は正しく実行されない自分の利益のために行動するプレイヤー 合理的なプレイヤー合理的なプレイヤーが正しく実行可能 合理的な秘密分散
![Page 11: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/11.jpg)
Halpern, Teague (STOC ’04)
![Page 12: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/12.jpg)
Halpern, Teague (STOC ’04)
プレイヤーの利得関数1. 秘密を復元したい2. より少ない人数で復元したい
![Page 13: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/13.jpg)
Halpern, Teague (STOC ’04)
プレイヤーの利得関数1. 秘密を復元したい2. より少ない人数で復元したい
(n, n) 秘密分散の復元フェーズを考える
![Page 14: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/14.jpg)
Halpern, Teague (STOC ’04)
プレイヤーの利得関数1. 秘密を復元したい2. より少ない人数で復元したい
(n, n) 秘密分散の復元フェーズを考えるプレイヤーは正直にシェアを出すだろうか?
![Page 15: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/15.jpg)
Halpern, Teague (STOC ’04)
プレイヤーの利得関数1. 秘密を復元したい2. より少ない人数で復元したい
(n, n) 秘密分散の復元フェーズを考えるプレイヤーは正直にシェアを出すだろうか?他プレイヤーがシェアを出すと仮定したとき
![Page 16: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/16.jpg)
Halpern, Teague (STOC ’04)
プレイヤーの利得関数1. 秘密を復元したい2. より少ない人数で復元したい
(n, n) 秘密分散の復元フェーズを考えるプレイヤーは正直にシェアを出すだろうか?他プレイヤーがシェアを出すと仮定したとき
自分がシェアを出せば、 n 人全員が秘密を復元
![Page 17: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/17.jpg)
Halpern, Teague (STOC ’04)
プレイヤーの利得関数1. 秘密を復元したい2. より少ない人数で復元したい
(n, n) 秘密分散の復元フェーズを考えるプレイヤーは正直にシェアを出すだろうか?他プレイヤーがシェアを出すと仮定したとき
自分がシェアを出せば、 n 人全員が秘密を復元 自分がシェアを出さなければ、自分 1 人が復元
![Page 18: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/18.jpg)
Halpern, Teague (STOC ’04)
プレイヤーの利得関数1. 秘密を復元したい2. より少ない人数で復元したい
(n, n) 秘密分散の復元フェーズを考えるプレイヤーは正直にシェアを出すだろうか?他プレイヤーがシェアを出すと仮定したとき
自分がシェアを出せば、 n 人全員が秘密を復元 自分がシェアを出さなければ、自分 1 人が復元
シェアを出さない方が利得が高い (シェアを出すことは Nash 均衡でない)
![Page 19: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/19.jpg)
Nash 均衡と結託耐性
Nash 均衡どのプレイヤーも、他のプレイヤーがプロトコルに従うとき、プロトコルから逸脱しても利得は増えない逸脱したときに利得が減る 狭義 Nash 均
衡
結託耐性 r の Nash 均衡r 人が結託して逸脱しても Nash 均衡
![Page 20: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/20.jpg)
不可能性に関する既知結果
Asharov, Lindell (Crypto ’09)n = 2 のとき、
定数ラウンド復元プロトコルは存在しない 解概念として Nash 均衡を考える場合 復元ラウンド数が利得の値に依存することを証明
結託耐性 n/2 を達成する定数ラウンド復元プロトコルは存在しない n = 2 の場合に帰着して証明
![Page 21: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/21.jpg)
本研究
KOTY プロトコルの問題点の指摘
回避方法の提案不可能性の回避につながる
[KOTY12] A. Kawachi, Y. Okamoto, K. Tanaka, K. Yasunaga. Rational secret sharing for non-simultaneous channels. IEICE Technical Report, 2012
![Page 22: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/22.jpg)
KOTY プロトコル
ブロードキャスト通信路を仮定1人ずつ順番にブロードキャスト
定数ラウンド復元高い確率で 2 ラウンド
結託耐性 n/2 – 1 の狭義 Nash 均衡定数ラウンド復元では最適な結託耐性
![Page 23: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/23.jpg)
KOTY プロトコル (分散フェーズ)
・・・
(n/2 + 1, n) SS S1
(n/2, n) SS S2
確率 α
確率 1 – αStep 2. 通常の SS S2
・・・
・・・
・・・ ・・・
1 n2
・・・
・・・
・・・
n/2・・・ ・・・
Step 1. 通常の SS S1
Step 3. RSS S3
(n, n) RSS S3
秘密 b 1 (S1 で本物 )0 (S1 で偽物 )
秘密 b =
識別不能
・・・ ・・・
![Page 24: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/24.jpg)
KOTY プロトコル (復元フェーズ)Step 1. (n/2 + 1, n) S1 のシェア を順に出す
全員正しいシェア 次のラウンド それ以外 終了
Step 2. (n/2, n) S2 のシェア を順に出す 全員正しいシェア ∧ b = 0 次のラウンド
それ以外 終了
Step 3. (n, n) S3 のシェア を使って秘密 s を復元
結託耐性 n/2 – 1 の狭義 Nash である直観的理由 Step 1 で逸脱 偽物の可能性が残る Step 2 で逸脱 Step 3 に進めない
![Page 25: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/25.jpg)
KOTY プロトコルの性質 定理
S3 が結託耐性 n/2 – 1 の狭義 Nash であるとき、 KOTY も結託耐性 n/2 – 1 の狭義 Nash復元ラウンド数 = 2(1 - α) + T3 ・ α
T3 は S3 の復元ラウンド数α を十分小さくとれば復元ラウンド数 ≈ 2
![Page 26: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/26.jpg)
KOTY プロトコルの問題点
![Page 27: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/27.jpg)
KOTY プロトコルの問題点
より望ましく見える戦略が存在
![Page 28: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/28.jpg)
KOTY プロトコルの問題点
より望ましく見える戦略が存在Step 1 で、 n/2 個のシェアが出た後、
自分のシェアとあわせて秘密を復元して終了
![Page 29: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/29.jpg)
KOTY プロトコルの問題点
より望ましく見える戦略が存在Step 1 で、 n/2 個のシェアが出た後、
自分のシェアとあわせて秘密を復元して終了 最初の n/2 人のプレイヤーは秘密を復元できない 残りの n/2 人は確率 1 – α で本物の秘密を復元 少ない人数で復元 利得が高くなる可能性
![Page 30: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/30.jpg)
KOTY プロトコルの問題点
より望ましく見える戦略が存在Step 1 で、 n/2 個のシェアが出た後、
自分のシェアとあわせて秘密を復元して終了 最初の n/2 人のプレイヤーは秘密を復元できない 残りの n/2 人は確率 1 – α で本物の秘密を復元 少ない人数で復元 利得が高くなる可能性
結託耐性 n/2 – 1 の狭義 Nash に矛盾?
![Page 31: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/31.jpg)
KOTY プロトコルの問題点
より望ましく見える戦略が存在Step 1 で、 n/2 個のシェアが出た後、
自分のシェアとあわせて秘密を復元して終了 最初の n/2 人のプレイヤーは秘密を復元できない 残りの n/2 人は確率 1 – α で本物の秘密を復元 少ない人数で復元 利得が高くなる可能性
結託耐性 n/2 – 1 の狭義 Nash に矛盾? 矛盾しない上記の議論では n/2 人が逸脱する必要
![Page 32: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/32.jpg)
何が問題なのか?
![Page 33: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/33.jpg)
何が問題なのか?
結託耐性が n/2 – 1 しかないこと結託耐性が n – 1 なら問題は生じない
![Page 34: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/34.jpg)
何が問題なのか?
結託耐性が n/2 – 1 しかないこと結託耐性が n – 1 なら問題は生じない
しかし、不可能性の結果 [AL 11] から、定数ラウンドプロトコルの結託耐性 ≤ n/2 – 1
![Page 35: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/35.jpg)
何が問題なのか?
結託耐性が n/2 – 1 しかないこと結託耐性が n – 1 なら問題は生じない
しかし、不可能性の結果 [AL 11] から、定数ラウンドプロトコルの結託耐性 ≤ n/2 – 1
不可能性を回避する必要
![Page 36: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/36.jpg)
不可能性の回避方法
![Page 37: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/37.jpg)
不可能性の回避方法
利得関数に仮定を追加「偽物の秘密を復元することを嫌がる」
![Page 38: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/38.jpg)
不可能性の回避方法
利得関数に仮定を追加「偽物の秘密を復元することを嫌がる」
先ほどの問題は回避可能偽物の可能性があれば、逸脱しない
![Page 39: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/39.jpg)
不可能性の回避方法
利得関数に仮定を追加「偽物の秘密を復元することを嫌がる」
先ほどの問題は回避可能偽物の可能性があれば、逸脱しない
定理上記仮定のもと、修正版 KOTY プロトコルは結託耐性 n – 1 の狭義 Nash を達成S1 と S2 をともに (n, n) 秘密分散に変更
![Page 40: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/40.jpg)
まとめ
KOTY プロトコルの問題点より望ましい戦略が存在 結託耐性が小さいことが問題
不可能性の回避利得関数に仮定を追加 「偽物の秘密を復元することを嫌がる」 結託耐性 n – 1 を達成可能に
![Page 41: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/41.jpg)
既存プロトコル
文献 通信路その他の
仮定MPC
ラウンド数
解概念結託耐性
[HT04] 同時同報 秘密通信路 ✔ O(1/β) IEWDS
[ADGH06]
同時同報 ✔ 2 whp IEWDS n/2 − 1
[GK06] 同時同報 ✔ O(1/β) IEWDS n − 1
[KN08a] 同時同報 M/M Enc. ✔ O(1/β) IEWDS
[KN08b] 同時同報 O(1/β) 狭義 Nash
1
[OPRV09]
同報 正直者 2 THPE
[AL09] 同時同報 [GK06] 等 2 whp IEWDS n/2 − 1
[FKN10] P2P VRF O(1/β) 狭義 Nash
n − 1
[KOTY12]
同報 既存の RSS
2 whp 狭義 Nash
n/2 – 1
β : 利得に依存する十分小さな値IEWDS = 弱支配戦略の連続的削除狭義 Nash = 狭義 Nash 均衡THPE = 摂動完全均衡
![Page 42: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/42.jpg)
Nash 均衡と結託耐性
戦略の組 σ = (σ1, …, σn) が Nash 均衡 どのプレイヤーも、他プレイヤーが σ に従う とき、戦略 σ から逸脱しても利得は増えない
戦略の組 σ = (σ1, …, σn) が 狭義 Nash 均衡
どのプレイヤーも、他のプレイヤーが σ に従う とき、戦略 σ から逸脱すると利得が下がる 戦略の組 σ が結託耐性 r の Nash 均衡
r 人が結託して逸脱しても、 Nash 均衡
![Page 43: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/43.jpg)
KOTY プロトコル (分散フェーズ)
1. (n/2 + 1, n) 秘密分散 S1 を使って秘密 s を分散ただし、確率 α で s は偽物s を見ても本物かどうか判別不能
2. (n/2, n) 秘密分散 S2 を使って秘密 s’ を分散 s’ = 1 s が本物
3. (n, n) 合理的秘密分散 S3 を使って秘密 s を分散s は本物
![Page 44: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/44.jpg)
KOTY プロトコル (復元フェーズ)
1. (n/2 + 1, n) S1 のシェアを順に出す正しいシェア数 ≥ n/2 + 1 s を復元正しいシェア数 = n 次のラウンド
< n 終了
2. (n/2, n) S2 のシェアを順に出す正しいシェア数 ≥ n/2 s’ を復元正しいシェア数 = n ∧ s’ ≠ 1 次のラウンド
それ以外 終了
3. (n, n) S3 のシェアを使って秘密 s を復元
![Page 45: 合理的な秘密分散における 不可能性とその回避方法](https://reader035.fdocuments.net/reader035/viewer/2022062518/568140d1550346895dac9e2b/html5/thumbnails/45.jpg)
KOTY プロトコルの性質 定理
S3 が結託耐性 n/2 – 1 の狭義 Nash であるとき、 KOTY も結託耐性 n/2 – 1 の狭義 Nash復元ラウンド数は < 2(1- α) + T3 ・ α
証明の概要 サイズ n/2 – 1 の結託を考える Round 1 で逸脱 n/2 + 1 個の正しいシェアが
出されるので、全員復元して終了 確率 α で偽物の可能性
Round 2 で逸脱 s’ ≠ 1 なら偽物を復元して終了 s’ = 1 のとき、どんな行動も逸脱とみなさない
Round 3 で逸脱 S3 の性質より利得は下がる