秘密共有法 西関 隆夫 東北大学 大学院情報科学研究科 1 自己紹介 1969 東北大学工学部通信工学科 「PCMパルス波形,FFT」 1971 同 電気及通信工学修士修了 「集中定数回路網合成に関する研究」 1974 同 博士修了 「回路網接続の位相幾何学的研究」 1974 同 工学部通信工学科 助手 グラフ理論,アルゴリズム 1976 同 助教授 線形時間アルゴリズム,グラフ描画,VLSIレイアウト 1977-78 Carnegie-Mellon大学数学科客員数学者 Duffin先生 1988 東北大学工学部通信工学科 教授 1993 同 情報科学研究科 教授 アルゴリズム,情報セキュリティ 2005 同 副研究科長,教育研究評議員 2 2008 同 研究科長 Carnegie-Mellon Univ. 数学科 Richard J. Duffin Bott-Duffinの回路合成法 Raoul Bott 幾何学 Elmor L. Peterson Clarence Zener John Nash Jr. Geometric programming 映画 “A Beautiful Mind” ノーベル賞 推薦状 “This man is genius” 西関(1977-78) 天国の1年間 - メールがない - 電話代が高い - Gaurett Birkhoff がいた教授室 3 1 Top 10 GLOBECOM ‘87 2 3 秘密共有法 グラフでない論文は 1つだけ 4 5 4 6 7 8 9 10 5 1 GLOBECOM ‘87 2 秘密共有法 6 Shamir Rivest Adleman 1 RSA暗号 2 (k, n) しきい値法 7 契機 グラフ以外へ研究を展開 暗号 (1977年にRSA暗号発明,Allerton Conf. ‘77 で Rivest の講演を聞く) 修士2年生 上原輝昭君をNEC研究所に派遣 岡本栄司氏(現 筑波大),中村勝洋氏(現 千葉大)が指導 A. Shamir のしきい値法を一般化したらどうか? 8 A. Shamir の (k, n) しきい値法 ・ k-1次多項式の補間 9 本質 有限体上の行列の基底 ベースマトロイド 閾値法 ⇒ 一様マトロイド 極小アクセス集合の族(アクセス構造)が表現可能な ベースマトロイドであればよい 10 1986年 修士 NEC NEC 11 問題点 日本語でしか発表しなかった 極小アクセス集合の要素数は一定 12 伊藤 充 斉藤 明 東大(榎本彦衛先生) グラフ理論 伊藤 充 (修士) 斉藤 明 (助手) 13 新しい秘密共有法の発明 各共有者に適当な複数個 の分散情報を配布しておく. n人中の k人のような特殊 なアクセス構造ばかりでなく, 任意のアクセス構造に対し 秘密情報を復元することが できる. 複数割り当て法による復元 14 アクセス集合の族 A∈ , A ⊂ A’ ⇒ A’∈ 極大非アクセス集合の族 = { B1, B2, … , Bj } 秘密情報を ( j , j ) 閾値法で j 個 w1, w2, … , wj に分割 各人 p に p ∈ Bi ∈ なる wi を割り当てる W(p) = { wi | p ∈ Bi ∈ 任意のアクセス集合 A∈ W(p) ∪ p∈A } に対し, = { w1, w 2, … , w j } 任意の非アクセス集合 B に対し, W(p) ⊂ { w , w , … , w } ∪ p∈B 1 2 j 15 16 Globecom ’87 の実行委員の三木哲也氏(当時 NTT,現 電通大理事)が,投稿を勧める. 斉藤明さんが上手に発表 Globecom ’87 で R. S. A. が称賛 単調ブール関数の乗法標準形 STOC 又は FOCS 一般アクセス構造を有する秘密共有法が, 情報セキュリティの一分野として発展 17 情報科学研究科創設後 水木先生,静谷先生,学生と共同研究 絶対に安全な秘密鍵の共有法 18 今日、 会おうよ! Alice Bob AさんとBさん遠くに離れているところに住んでいて、 AさんはBさんにメッセージを伝えたいとしましょう。 19 今日、 会おうよ! Alice Bob Eve ただし、メッセージの内容を他の人に知られたくありません。 20 今日、 会おうよ! 電話・電子メール Alice Bob Eve 例えば、電話を掛ければ、メッセージを伝えられますね。あるいは、最近では、電 子メールを利用してメッセージを伝えるかもしれません。しかし、電話にしても電 子メールにしても、もしかしたら、途中に盗み聞きや盗み見をしている悪い人がい るかもしれません。 21 暗号 今日、 会おうよ! Alice カギ ??? Bob Eve そんなときには、「暗号」を使うと、AさんはBさんに秘密にメッセージを伝えること ができます。Aさんは、途中で盗み見されても大丈夫なように、メッセージを暗号 化して、他の人にわからなくして、Bさんに送ります。暗号文を受け取ったBさん は元に戻してメッセージを得ます。 22 c Alice Bob c = me mod pq m = cd mod pq p, q → pq : easy pq → p, q : hard ところで、暗号は本当に安全なのでしょうか?つまり、どんな人にも本当にメッ セージの内容がバレないのでしょうか?実は、現在使われている暗号のほとん どは、数学的な問題の難しさにその安全性の根拠を置いています。 23 小学校の算数の問題: 整数 35 を素因数分解しなさい 24 小学校の算数の問題: 整数 35 を素因数分解しなさい 35=5×7 25 小学校の算数の問題: 整数 35 を素因数分解しなさい 35=5×7 それでは、 2,795,519 では? 26 2,795,519 を素因数分解しなさい 2 で割り切れない、 3 で割り切れない、 4 で割り切れない、 5 で割り切れない、 … 683 で…割り切れた! 2,795,519 = 683×4,093 27 大きな数の素因数分解ができると、 現在使われている暗号は解読されてしまいます。 1143816257578888676692357799761466120102182 9672124236256256184293570693524573389783059 7123563958705058989075147599290026879543541 素因数 分解 3276913299326670954996 1988190834461413177642 967992942539798288533 × 3490529510847650949147 8496199038981334177646 38493387843990820577 28 スーパーコンピュータ したがって、もしそのような難しい数学の問題を解ける人がいたり、短時間で解け る高性能なコンピュータがあったら、その暗号は破れてしまい、メッセージの内容 がバレてしまいます。 29 暗号 今日、 会おうよ! Alice 絶対に開け られない カギ Bob Eve 本研究では、どんなに数学な得意な人でも、どんなに高性能なコンピュータでも、 絶対に解読できない暗号について研究し、どのような場合にそのような絶対に安 全な暗号を作ることができるかどうか、について研究しました。 30 2008年 小泉康一 水木敬明 (博士院生) 31 Alice c=m Bob k m=c k = (m k) k k:秘密共有鍵 32 0 1 Alice Bob Eve カードのランダム配布を考える 33 ランダム配布 2 4 1 3 Alice Bob Eve 34 2 Alice 4 3 Bob 1 Eve (例1) Alice:「 3 と 4 の中にあなたのカードありますか?」 Bob :「はい,あります」 Alice と Bob は, 3 が Bob のカードで 4 が Alice のカード であることを知る. しかし,Eve にはどっちがどっちのカードか全くわからない. Alice と Bob は “秘密鍵” を共有できる Alice のカードが大きい ⇒ “0” Alice のカードが小さい ⇒ “1” 35 Alice 2 4 Bob 3 Eve 1 (例2) Alice:「 1 と 4 の中にあなたのカードありますか?」 Bob :「いいえ,ありません」 Alice と Bob は 1 と 4 を捨てる. (実際には,捨てられたものであるとして以後振舞う.) Alice 2 4 Bob 3 Eve 1 Alice:「 2 と 3 の中にあなたのカードありますか?」 Bob :「はい,あります」 秘密鍵 を共有できる 36 Bob Alice Eve ( 2, 1; 1) ○ ( 4, 3; 5) ○ ( 1, 1; 1) × ( a, b; e) ??? 秘密鍵が共有できるための条件は? 37 改良 transformation プロトコル a b 分割 e 結合 38 step 2: Combining transformation This combining operation is repeated as long as there are two sets of almost same size. splitting transformation Alice a Bob b Eve combining transformation Final sets d No Eve's card 2 bits 39 The detail of combining operation d d /3 d Alice randomly chooses d /3 cards from one of the two larger sets, 40 The detail of combining operation Alice announces these card numbers. 2d / 3 5 8 12 16 d d /3 d /3 d Alice randomly chooses d /3 cards from one of the two larger sets, and d /3 cards from the other larger set. 41 The detail of combining operation Alice announces these card numbers. Bob announces how many cards he has in the new set. d 2d / 3 Bob announces 5 8 12 16 ‘1 card’ d /3 d /3 New smaller set. d 42 The detail of combining operation There are three cases. d d /3 d Alice randomly chooses d /3 cards from one of the sets, 43 The detail of combining operation There are three cases. d 2d / 3 Bob announces ‘0 card’ d /3 d /3 d Alice randomly chooses d /3 cards from one of the sets, and d /3 cards from the other larger set. 44 The detail of combining operation Alice announces the remaining set, as a new smaller set. There are three cases. d 2d / 3 know AliceEve cancan know thatthat card is Eve’s Alice’s. thesethis cards are cards. d 2d/3 New smaller set. 45 The detail of combining operation There are three cases. d d d /3 Alice randomly chooses d /3 cards from one of the sets, 46 The detail of combining operation There are three cases. d 2d / 3 d Bob announces ‘2 cards’ d /3 d /3 Alice randomly chooses d /3 cards from one of the sets, and d /3 cards from the other larger set. 47 The detail of combining operation Alice regards this smaller set, as a new smaller set. There are three cases. d 2d / 3 d d/3 Eve can know that one of these blue cards is Bob's card. 48 The detail of combining operation The combining operation is a randomized one. There are three cases. 2d/3 d d 2d/3 d/3 49 定理 プロトコルにより n ビット共有できる log2 Ψ(a, b; e) a+b a min a,b, if e = 0 a b e 2 ψ(a b e, a, b) ψ( s, i, j ) ⇔ Ψ(a, b; e) n if 0 < e < max{a,b} otherwise 1/ 2 if s = 3, i = j = 1 1 / 2 ψ(2s / 3,1,1) if s≧4, i = j = 1 min{r, j}ψ(s / i ,1,1) max{j r,0}ψ(s / i ,1,1) (where r = s mod i) ψ( s, j, i) if s > i+j ≧3 and i ≧ j otherwise 50 k bits a=b e/d 0.2 0.333 0.1 0.5 0.7 0.9 d=a+b+e 51 むすび 一般的なアクセス構造を有する秘密共有法の実現 - 30年~50年生き延びる結果 - 秘密共有法という分野が形成されるきっかけとなった - 結果が単純ですぐ説明できる - 組合せ論の考え方 - 高等な数学の結果は一切使っていない 某T先生談 「そんな易しい数学(算数)だけで,よくそんなに論文を書ける ものですね」 「帰納法と背理法で証明できるのは,簡単で自明なことである」 ともご託宣 52 ポテンシャル法,対角線論法 RSA暗号だって,整数論の教科書の最初の50ページ に書いてある結果だけを用いている (k, n)しきい値法は多項式補間にすぎない 誰でも理解できる易しい数学だけを用いてよい結果を 導けるならば,それにこしたことはない 「(k, n)法が一般化できないか?」という岡本栄司さんの 直感が重要な役割 「回路理論的グラフ理論」博論 亀山先生と高校で同級 上原君,伊藤君,小泉君,斉藤明さん,岡本さん, 中村さん,水木先生,静谷先生との出会い 人との出会いが大事,大切 53
© Copyright 2024 ExpyDoc