SlideShare a Scribd company logo

Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化

MITSUNARI Shigeo
MITSUNARI Shigeo

SCIS2021 3B2-2

Technology
1 of 21
Download to read offline
Lifted-ElGamal暗号を用いた 任意関数演算の二者間秘密計算プロトコル のmaliciousモデルにおける効率化 SCIS2021 3B2 2021/1/21 (発表者)光成滋生 : サイボウズ・ラボ株式会社 縫田光司 : 東京大学/産業技術総合研究所
• 背景 • 準同型暗号を用いた二者間秘密計算 • SCIS2020の提案手法 • maliciousモデルでのプロトコル • 提案プロトコル • maliciousモデルでのプロトコルの改善 • 既存手法との比較 • 2ラウンド→1ラウンド, 通信量サイズ1/40~1/130 2 / 19 概要
• 秘密計算 • 複数人が自分の情報を隠しつつ 互いにやりとりをして𝑓(𝑚1, … )を求める • 秘密分散 • Garbled circuit • 準同型暗号(HE : Homomorphic Encryption) • FHE(任意演算) ; 主に二者間 • SCIS2020のテーマ • FHEは重たいのでAHE(加法HE)で二者間秘密計算をやりたい 3 / 19 背景 𝑚1 𝑓(𝑚1, … ) 𝐸𝑛𝑐(𝑚1) 𝐸𝑛𝑐(𝑓(𝑚1, 𝑚2)) 𝑚1 𝑓(𝑚1, 𝑚2) 𝐸𝑛𝑐(𝑚1) 𝐸𝑛𝑐(𝑓(𝑚1, 𝑚2)) 𝑚2 client server
• 複雑な𝑓(𝑚)の計算はAHEではできない • client(秘密鍵保持者)に手伝ってもらう • 𝑓を加法、定数倍からなる複数の簡単な処理𝑓1, 𝑓2, …に分割 • インタラクションは増える • 途中結果の秘匿化の必要性 • 𝑓𝑖(𝑚1, . . )をそのまま渡すと計算途中の値が漏れる • その値を隠して計算するプロトコル 4 / 19 複雑な関数評価の分割 𝐸𝑛𝑐(𝑚1) 𝐸𝑛𝑐(𝑓(𝑚1, . . )) 𝑚1 𝑓(𝑚1, . . ) 𝐸𝑛𝑐(𝑚1) 𝐸𝑛𝑐(𝑓(𝑚1, . . )) 𝐸𝑛𝑐(𝑓1 𝑚1, . . ) 𝐸𝑛𝑐(𝑓2(𝑚1, . . )) ...
• AHEベースの二者間プロトコル𝒫 • 𝑓(𝑥) ; 整数から整数への任意の一変数関数 • serverは𝐸𝑛𝑐(𝑚)から𝐸𝑛𝑐′(𝑓 𝑚 )を得る(𝑚の値は知らない) • 𝐸𝑛𝑐′の秘密鍵はserver/client共に知らなくてもよい • 秘密鍵を持つclientは𝑚の情報を得られない • clientはserverの手伝いをするだけ • lifted-ElGamal型暗号に適用可能 • 文字列の編集距離の秘匿化に適用 5 / 19 SCIS2020の提案プロトコル(1/2) input : 𝐸𝑛𝑐(𝑚) 𝑋 𝑌 output : 𝐸𝑛𝑐′(𝑓(𝑚)) 𝑋 𝑌 client Step 1 Step 3 Step 2 server
• 記号 • 𝑆 : 𝑚のとり得る平文の区間集合, 𝑓: 𝑆 → ℤ • 𝐸𝑛𝑐, 𝐸𝑛𝑐′ : 加法準同型暗号(Clientは𝐸𝑛𝑐の秘密鍵を持つ) • Server • input : 𝐸𝑛𝑐 𝑚 • output : 𝑥𝑖 ≔ 𝛾𝑖𝐸𝑛𝑐(𝑚 − 𝑖), 𝛾𝑖 ՚ 𝑅 𝔽𝑝, 𝑋 ≔ {𝑋𝑖} =Shuffle 𝑥𝑖 𝑖∈𝑆 • 𝑋𝑎 = 𝐸𝑛𝑐 0 , 𝑥𝑖 = 𝐸𝑛𝑐(random value) for 𝑖 ≠ 𝑎(𝑚のShuffle先) • Client • input : 𝑋 = {𝑋𝑖}は一つだけ0の暗号文, 残りは乱数の暗号文 • output : 𝐷𝑒𝑐 𝑋𝑖 = 0なら𝑌𝑖 = 𝐸𝑛𝑐′(1), その他𝑌𝑖 = 𝐸𝑛𝑐′(0) • 𝑌 = 𝑌𝑖 = 𝐸𝑛𝑐′ 𝛿𝑖𝑎 𝑖∈𝑆, 𝛿𝑖𝑗 : クロネッカーのデルタ • Server : Shuffleを戻してσ𝑖 𝑓 𝑖 𝐸𝑛𝑐′ 𝛿𝑖𝑚 = 𝐸𝑛𝑐′ (𝑓(𝑚)) 6 / 19 SCIS2020の提案プロトコル(2/2)
• Serverは秘密鍵を持っていないので𝐸𝑛𝑐が安全である 限り平文の情報は得られないとする • 悪さをするのはclient • プロトコルに正しくしたがって𝑌を構成しているか? • SCIS2020でのmaliciousモデルでのプロトコル概要 • 𝜇 : 組み合わせのパラメータ • serverは各暗号文𝑌𝑖の代わりにダミーを含む暗号文𝜇個を送る • clientはプロトコルにしたがって値を返す • serverは検証用の暗号文を生成しclientに送る • serverはclientからの値を検証し、OKなら継続する • 欠点 • 2ラウンドプロトコル • 通信暗号文の個数がsemi-honest時の𝜇(≥ 66)倍になる 7 / 19 maliciousモデル
• 特長 • 1ラウンドプロトコル • server→clientはsemi-honest版と同じ • client→serverは1個の暗号文に1個のZKP • Lifted-ElGamal暗号なら+5|𝐺|程度 • やりたいことの確認 • clientがやっていること : serverから送られてきた𝑋に対して • 𝑋 = 𝐸𝑛𝑐 0 ; 𝑖 = 𝑎 𝐸𝑛𝑐 ∗ ; 𝑖 ≠ 𝑎 → 𝑌 = 𝐸𝑛𝑐′ 1 ; 𝑖 = 𝑎 𝐸𝑛𝑐′ 0 ; 𝑖 ≠ 𝑎 を生成 • serverは「clientが𝑋から正しく𝑌を作っていることを」を 𝐸𝑛𝑐, 𝐸𝑛𝑐′の中身を知らずに検証したい • 未知のある𝑎に対して𝐷𝑒𝑐 𝑋𝑎 = 0かつ𝐷𝑒𝑐′ 𝑌𝑎 = 1 • 𝑖 ≠ 𝑎なら𝐷𝑒𝑐 𝑋 ≠ 0かつ𝐷𝑒𝑐′ 𝑌 = 0 8 / 19 提案手法
• 𝐸𝑛𝑐, 𝐸𝑛𝑐′に対して • 暗号文を復号すると0であることのZKP • 暗号文を復号すると0か1であることのZKP • Claim 1. 暗号文𝑋𝑖は高々一つの𝑎 ∈ 𝑆について 𝐷𝑒𝑐 𝑋𝑎 = 0かつそれ以外の𝑖 ≠ 𝑎について𝐷𝑒𝑐 𝑋𝑖 ≠ 0 • 何故なら𝑋はserverが暗号文𝑐を元に𝛾𝑖(𝑐 − 𝐸𝑛𝑐 𝑖 )と生成 • 𝐷𝑒𝑐 𝑐 ∈ 𝑆なので一つだけ0 • 𝐷𝑒𝑐 𝑐 ∉ 𝑆なら(入力暗号文が不正)全て0でない 9 / 19 キーアイデア(1/2)
• clientは𝐷𝑒𝑐 𝑋𝑖 = 0となる𝑖が一つ存在することを確認 • clientは次のことをZKPを用いて示す • (A) 𝐷𝑒𝑐′ 𝑌𝑖 ∈ {0,1} • (B) σ𝑖 𝐷𝑒𝑐′ 𝑌𝑖 = 1 • (C) 𝐷𝑒𝑐 𝑋𝑖 = 0または𝐷𝑒𝑐′ 𝑌𝑖 = 0 • Claim 2. これが満たされれば正しい挙動をしている • 何故なら(A), (B)より{𝐷𝑒𝑐′ 𝑌𝑖 }は一つだけ1で残りは0 • 𝐷𝑒𝑐′ 𝑌𝑖 = 1となる𝑖を𝑎とする(𝐷𝑒𝑐′ 𝑌𝑖 = 0 for 𝑖 ≠ 𝑎) • よって(C)を満たすには𝐷𝑒𝑐 𝑋𝑎 = 0でなければならない • 𝐷𝑒𝑐 𝑋𝑎 = 0かつ𝐷𝑒𝑐′ 𝑌𝑎 = 1 • 𝐷𝑒𝑐 𝑋𝑖 = 0となる𝑖 = 𝑎が存在したのでClaim 1より 𝑖 ≠ 𝑎なら𝐷𝑒𝑐 𝑋𝑖 ≠ 0かつ𝐷𝑒𝑐′ 𝑌𝑖 = 0 10 / 19 キーアイデア(2/2)
• 示すべきこと(再掲) • (A) 𝐷𝑒𝑐′ 𝑌𝑖 ∈ {0,1} • (B) σ𝑖 𝐷𝑒𝑐′ 𝑌𝑖 = 1 • (C) 𝐷𝑒𝑐 𝑋𝑖 = 0または𝐷𝑒𝑐′ 𝑌𝑖 = 0 • 同値な命題 • (A+C). 𝐷𝑒𝑐′ 𝑌𝑖 = 0または「𝐷𝑒𝑐′ 𝑌𝑖 = 1かつ𝐷𝑒𝑐 𝑋𝑖 = 0」 と(B) • ここまでは一般の(AHEな)𝐷𝑒𝑐, 𝐷𝑒𝑐′に適用可能 • 提案方式のその他の特長 • clientの復号が暗号文が0か否かのみ分かればよい • 従来方法は小さな平文を復号する必要あり 11 / 19 若干の効率化
• Lifted-ElGamal暗号 • 𝐺 = 𝑃0 , 位数𝑝のDDH困難な加法巡回群 • 𝐷𝐿𝑃𝑃0 𝑎𝑃0 ≔ 𝑎 • 鍵生成 • 秘密鍵𝑠 ∈ 𝔽𝑝 : 乱数, 𝑃1 ≔ 𝑠𝑃0 : 公開鍵 • 平文𝑚の暗号化 • 𝐸𝑛𝑐 𝑚; 𝑟 ≔ (𝑚𝑃0 + 𝑟𝑃1, 𝑟𝑃0) : 𝑟は乱数 • 暗号文𝑐 ≔ (𝐴0, 𝐴1)の復号 • 𝑑𝑒𝑐 𝑠, 𝑐 ≔ 𝐴0 − 𝑠𝐴1, 𝐷𝑒𝑐 𝑠, 𝑐 ≔ 𝐷𝐿𝑃𝑃0 (𝑑𝑒𝑐 𝑠, 𝑐 ) • 𝑚 ∈ 𝑆ならDLP可能とする • 正当性 : 𝑑𝑒𝑐 𝑠, 𝐸𝑛𝑐 𝑚; 𝑟 = 𝑚𝑃0 + 𝑟𝑃1 − 𝑠 𝑟𝑃0 = 𝑚𝑃0 12 / 19 Lifted-ElGamal暗号特有の話
• 二つの状況 • 与えられた暗号文𝑐に対して秘密鍵をもつclientが𝐷𝑒𝑐 𝑐 = 0を 確認し、それを示すZKPを作ること • 与えられた公開鍵に対して作った暗号文𝑐が𝐷𝑒𝑐′ 𝑐 = 0である ことを示すZKPを作ること • 𝑐 = (𝐴0, 𝐴1)が𝐷𝑒𝑐 𝑐 = 0 ⇔ 𝑑𝑒𝑐 𝑐 = 𝐴0 − 𝑠𝐴1 = 0 • 定義 : 𝑃 ≔ (𝑃0, 𝑃1), 𝐴 ≔ (𝐴0, 𝐴1)が𝑎-DH-tupleである とは𝐴 = 𝑎𝑃となる𝑎が存在するとき • DH-tupleを示すZKPの構成はよく知られている(後述) • 秘密鍵𝑠をもつclientにとって • 𝐷𝑒𝑐 𝑐 = 0 ⇔ (𝑃0, 𝐴1), (𝑃1, 𝐴0)は𝑠-DH-tuple • 公開鍵(𝑃0 ′ , 𝑃1′ = 𝑠′𝑃0 ′ )をもつclientにとって 𝑐′ ≔ 𝐴0 ′ , 𝐴1 ′ ≔ 𝐸𝑛𝑐 0; 𝑟 = (𝑟𝑃1 ′ , 𝑟𝑃0 ′ )とすると (𝑃1 ′ , 𝑃0 ′ ), 𝐴0 ′ , 𝐴1 ′ は𝑟-DH-tuple 13 / 19 𝐷𝑒𝑐 𝑐 = 0と𝐷𝑒𝑐′ 𝑐′ = 0のZKP
• 𝐸𝑛𝑐, 𝐸𝑛𝑐′に256ビットLifted-ElGamal暗号を用いた場合 • 暗号文1個 = 𝐺の元2個 • 𝜇~66(攻撃確率≤ 2𝜇 𝜇 −1 ~2−128) • ZKP = 𝔽𝑝の元5個(詳細はスライドの最後) • 𝐺 ~ 𝔽𝑝 ~256とし, 𝑥, 𝑦 ∈ 𝐺は𝑦座標を1bitエンコードで無視 14 / 19 通信量の評価 方式 server→client client→server ラウンド数 semi-honest 2 𝐺 |𝑆| 2 𝐺 |𝑆| 1 従来方式 266 𝐺 |𝑆| 266 𝐺 |𝑆| 2 提案方式 2 𝐺 |𝑆| 7 𝐺 |𝑆| 1
• 非対称ペアリングベースの乗算1回, 加算任意回可能な 2LHE(AHM+ AsiaCCS2018) • 𝐸𝑛𝑐を(乗算後の)2L暗号文, 𝐸𝑛𝑐′を乗算前の1L暗号文とすると 暗号文変換ができる • 𝐸𝑛𝑐 𝑚 → 𝐸𝑛𝑐′(𝑓 𝑚 ) • 以下、2LHEの紹介と2L暗号文𝑐の𝐷𝑒𝑐 𝑐 = 0となる Σプロトコルの構成法を紹介する 15 / 19 2LHEへの応用
• 𝐺 = ⟨𝑃⟩ : 素数位数𝑝の加法巡回群 • AsiaCCS2018の論文では非対称ペアリングの値域の群𝐺𝑇 • 鍵生成 • 秘密鍵 : 𝑠1, 𝑠2 ∈ 𝔽𝑝 • 公開鍵 : 𝑃, 𝑃1, 𝑃2, 𝑃3 ≔ (𝑃, 𝑠1𝑃, 𝑠2𝑃, 𝑠1𝑠2𝑃) • 記号 : 𝐹(𝐴1,𝐴2,𝐴3) 𝑎1, 𝑎2, 𝑎3 ≔ 𝑎2𝐴1 + 𝑎1𝐴2 − 𝑎3𝐴3 • 平文𝑚 ∈ 𝔽𝑝の暗号化 • 𝐸𝑛𝑐 𝑠1, 𝑠2 , 𝑚 ≔ (𝑚𝑃 + 𝐹 𝑃1,𝑃2,𝑃3 𝑟1, 𝑟2, 𝑟3 , 𝑟1𝑃, 𝑟2𝑃, 𝑟3𝑃) • 𝑟1, 𝑟2, 𝑟3 ∈ 𝔽𝑝 : ランダム • 暗号文𝑐 ≔ (𝐴0, 𝐴1, 𝐴2, 𝐴3)の復号 • 𝑑𝑒𝑐 𝑐 ≔ 𝐴0 − 𝐹 𝐴1,𝐴2,𝐴3 (𝑠1, 𝑠2, 𝑠1𝑠2), 𝐷𝑒𝑐 𝑐 ≔ 𝐷𝐿𝑃𝑃(𝑑𝑒𝑐 𝑐 ) 16 / 19 AHM+の2L暗号文
• 𝑐 ≔ (𝐴0, 𝐴1, 𝐴2, 𝐴3)に対して • 𝐷𝑒𝑐 𝑐 = 0 ⇔ 𝐴0 = 𝐹 𝐴1,𝐴2,𝐴3 (𝑠1, 𝑠2, 𝑠1𝑠2) • Σプロトコル • 証明者 : 𝑏1, 𝑏2, 𝑏3 ∈ 𝔽𝑝 : ランダム • 𝐵𝑖 ≔ 𝑏𝑖𝑃(𝑖 = 1,2,3)と𝑋 ≔ 𝐹 𝐴1,𝐴2,𝐴3 (𝑏1, 𝑏2, 𝑏3)を検証者に送る • 検証者 : ℎ ∈ 𝔽𝑝 : ランダムをとり証明者に送る • 証明者 : 𝑑𝑖 ≔ 𝑏𝑖 + ℎ𝑠𝑖(𝑖 = 1,2), 𝑑3 ≔ 𝑏3 + ℎ𝑠1𝑠2を送る • 検証者 : 𝑑𝑖𝑃 = 𝐵𝑖 + ℎ𝑃𝑖(𝑖 = 1,2,3)と 𝑋 = 𝐹(𝐴1,𝐴2,𝐴3)(𝑑1, 𝑑2, 𝑑3) − ℎ𝐴0の等号成立を確認する • 詳細は予稿集参照 17 / 19 𝐷𝑒𝑐 𝑐 = 0のΣプロトコル
• 条件(A+C) : 𝐷𝑒𝑐′ 𝑌𝑖 = 0または「𝐷𝑒𝑐′ 𝑌𝑖 = 1かつ𝐷𝑒𝑐 𝑋𝑖 = 0」は • 𝐷𝑒𝑐′=2LHEの2L暗号文 • 𝐷𝑒𝑐=lifted-ElGamal暗号文 • のとき9個の𝔽𝑝の元で構成できる • よって全体で9 𝐺 𝑆 + 4の元で構成可能 18 / 19 非対話ZKP化
• 暗号文の関数評価を加法準同型暗号ベースの二者間秘 密計算で行うプロトコル • 𝑓: 𝑆 → ℤ, 𝐸𝑛𝑐 𝑚 ↦ 𝐸𝑛𝑐′(𝑓 𝑚 ) • Lifted-ElGamal暗号/𝐺の場合 • semi-honestモデル : 1ラウンド, 通信量2 𝐺 |𝑆| • maliciousモデル • 従来方式(SCIS2020) : 2ラウンド, 通信量266 𝐺| 𝑆| • 提案方式 : 1ラウンド, 通信量7 𝐺 |𝑆| • 謝辞 • 本研究は総務省SCOPE(受付番号182103105)の委託と JST CREST(課題番号JPMJCR19F6)の援助を受けている 19 / 19 まとめ
• 𝑃 ≔ 𝑃0, 𝑃1 , 𝐴 ≔ 𝐴0, 𝐴1 ∈ 𝐺2が𝑎-DHタプル(𝐴 = 𝑎𝑃) • であることのΣプロトコル(𝑎の情報を隠す) • 証明者𝒫 : 𝑏 ՚ 𝑅 𝔽𝑝, 𝐵 ≔ 𝐵0, 𝐵1 ≔ 𝑏𝑃を検証者𝒱に渡す • 𝒱 : ℎ ՚ 𝑅 𝔽𝑝を𝒫に渡す • 𝒫 : 𝑑 ≔ 𝑏 + ℎ𝑎を𝒱に渡す • 𝒱 : 𝑑𝑃 = 𝐵 + ℎ𝐴を確認したら受理, そうでなければ拒否 • ランダムオラクル仮定の元での非対話ZKP • 𝐻: 0,1 ∗ → 𝔽𝑝 ; ハッシュ関数 • 𝒫 : 𝑏 ՚ 𝑅 𝔽𝑝, 𝐵 ≔ 𝐵0, 𝐵1 ≔ 𝑏𝑃, ℎ ≔ 𝐻(𝑃, 𝐴, 𝐵), 𝑑 ≔ 𝑏 + ℎ𝑎 𝜋 ≔ (𝑑, ℎ)を𝒱に渡す • 𝒱 : 𝐵 ≔ 𝑑𝑃 − ℎ𝐴を計算してℎ = 𝐻(𝑃, 𝐴, 𝐵)を確認したら受理 20 / 19 補足
• 𝐷𝑒𝑐′ 𝑌𝑖 = 0または「𝐷𝑒𝑐′ 𝑌𝑖 = 1かつ𝐷𝑒𝑐 𝑋𝑖 = 0」 • 与えられた𝑃 ≔ (𝑃0, 𝑃1), 𝐴 ≔ 𝐴0, 𝐴1 , 𝐴′ ≔ 𝐴 − (0, 𝑃0), 𝑃′′ ≔ (𝑃0 ′′ , 𝑃1 ′′ ), 𝐴′′ ≔ (𝐴0 ′′ , 𝐴1 ′′ )に対して • (A1)「𝐴 = 𝑠𝑃となる𝑠を知っている」 • (A2)「𝐴′ = 𝑠𝑃となる𝑠と𝐴′′ = 𝑠′′𝑃′′となる𝑠′′を知っている」 • 構成 • (A1)のとき𝑑′, ℎ′, 𝑑′′, 𝑏 ՚ 𝑅 𝔽𝑝, 𝐵′ ≔ 𝑑′𝑃 − ℎ′𝐴′, 𝐵′′ ≔ 𝑑′′𝑃′′ − ℎ′𝐴′′, 𝐵 ≔ 𝑏𝑃, ℎ ≔ 𝐻 𝑃, 𝐴, 𝐴′′, 𝐵, 𝐵′, 𝐵′′ ⊕ ℎ′, 𝑑 ≔ 𝑏 + ℎ𝑠 • (A2)のとき𝑑, ℎ, 𝑏′, 𝑏′′ ՚ 𝑅 𝔽𝑝, 𝐵 ≔ 𝑑𝑃 − ℎ𝐴, 𝐵′ ≔ 𝑏′𝑃, 𝐵′′ ≔ 𝑏′′𝑃′ ℎ′ ≔ 𝐻 𝑃, 𝐴, 𝐴′′, 𝐵, 𝐵′, 𝐵′′ ⊕ ℎ, 𝑑′ ≔ 𝑏′ + ℎ′𝑠, 𝑑′′ ≔ 𝑏′′ + ℎ′𝑠′′ • 𝜋1 ≔ (𝑑, ℎ), 𝜋_2 ≔ (𝑑′, 𝑑′′, ℎ′), 𝜋 = (𝜋1, 𝜋2)を𝒱に送る • 𝒱 : 与えられた(𝑃, 𝐴, 𝑃′′, 𝐴′′), 𝜋に対して𝐴′ ≔ 𝐴 − (0, 𝑃0), 𝐵 ≔ 𝑑𝑃 − ℎ𝐴, 𝐵′ ≔ 𝑑′𝑃 − ℎ′𝐴′, 𝐵′′ ≔ 𝑑′′𝑃′′ − ℎ′𝐴′′として 𝐻 𝑃, 𝐴, 𝐴′′, 𝐵, 𝐵′, 𝐵′′ = ℎ ⊕ ℎ′を検証する 21 / 19 𝐷𝑒𝑐 = 𝐷𝑒𝑐′ =lifted ElGamal暗号のときの

Recommended

ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)MITSUNARI Shigeo
 
暗認本読書会6
暗認本読書会6暗認本読書会6
暗認本読書会6MITSUNARI Shigeo
 
楕円曲線と暗号
楕円曲線と暗号楕円曲線と暗号
楕円曲線と暗号MITSUNARI Shigeo
 
暗認本読書会13 advanced
暗認本読書会13 advanced暗認本読書会13 advanced
暗認本読書会13 advancedMITSUNARI Shigeo
 
暗認本読書会11
暗認本読書会11暗認本読書会11
暗認本読書会11MITSUNARI Shigeo
 
Efficient Two-level Homomorphic Encryption in Prime-order Bilinear Groups and...
Efficient Two-level Homomorphic Encryption in Prime-order Bilinear Groups and...Efficient Two-level Homomorphic Encryption in Prime-order Bilinear Groups and...
Efficient Two-level Homomorphic Encryption in Prime-order Bilinear Groups and...MITSUNARI Shigeo
 
zk-SNARKsの仕組みについて
zk-SNARKsの仕組みについてzk-SNARKsの仕組みについて
zk-SNARKsの仕組みについてts21
 
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明MITSUNARI Shigeo
 

Recommended

ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)
ペアリングベースの効率的なレベル2準同型暗号(SCIS2018)MITSUNARI Shigeo
 
暗認本読書会6
暗認本読書会6暗認本読書会6
暗認本読書会6MITSUNARI Shigeo
 
楕円曲線と暗号
楕円曲線と暗号楕円曲線と暗号
楕円曲線と暗号MITSUNARI Shigeo
 
暗認本読書会13 advanced
暗認本読書会13 advanced暗認本読書会13 advanced
暗認本読書会13 advancedMITSUNARI Shigeo
 
暗認本読書会11
暗認本読書会11暗認本読書会11
暗認本読書会11MITSUNARI Shigeo
 
Efficient Two-level Homomorphic Encryption in Prime-order Bilinear Groups and...
Efficient Two-level Homomorphic Encryption in Prime-order Bilinear Groups and...Efficient Two-level Homomorphic Encryption in Prime-order Bilinear Groups and...
Efficient Two-level Homomorphic Encryption in Prime-order Bilinear Groups and...MITSUNARI Shigeo
 
zk-SNARKsの仕組みについて
zk-SNARKsの仕組みについてzk-SNARKsの仕組みについて
zk-SNARKsの仕組みについてts21
 
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明
レベル2準同型暗号の平文バイナリ制約を与えるコンパクトな非対話ゼロ知識証明MITSUNARI Shigeo
 
暗号化したまま計算できる暗号技術とOSS開発による広がり
暗号化したまま計算できる暗号技術とOSS開発による広がり暗号化したまま計算できる暗号技術とOSS開発による広がり
暗号化したまま計算できる暗号技術とOSS開発による広がりMITSUNARI Shigeo
 
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用MITSUNARI Shigeo
 
FHE in Action
FHE in ActionFHE in Action
FHE in Action文杰 陆
 
楕円曲線入門 トーラスと楕円曲線のつながり
楕円曲線入門 トーラスと楕円曲線のつながり楕円曲線入門 トーラスと楕円曲線のつながり
楕円曲線入門 トーラスと楕円曲線のつながりMITSUNARI Shigeo
 
暗号文のままで計算しよう - 準同型暗号入門 -
暗号文のままで計算しよう - 準同型暗号入門 -暗号文のままで計算しよう - 準同型暗号入門 -
暗号文のままで計算しよう - 準同型暗号入門 -MITSUNARI Shigeo
 
暗認本読書会7
暗認本読書会7暗認本読書会7
暗認本読書会7MITSUNARI Shigeo
 
暗認本読書会4
暗認本読書会4暗認本読書会4
暗認本読書会4MITSUNARI Shigeo
 
自作ペアリング/BLS署名ライブラリの紹介
自作ペアリング/BLS署名ライブラリの紹介自作ペアリング/BLS署名ライブラリの紹介
自作ペアリング/BLS署名ライブラリの紹介MITSUNARI Shigeo
 
暗認本読書会5
暗認本読書会5暗認本読書会5
暗認本読書会5MITSUNARI Shigeo
 
集約署名
集約署名集約署名
集約署名MITSUNARI Shigeo
 
暗号技術の実装と数学
暗号技術の実装と数学暗号技術の実装と数学
暗号技術の実装と数学MITSUNARI Shigeo
 
汎用性と高速性を目指したペアリング暗号ライブラリ mcl
汎用性と高速性を目指したペアリング暗号ライブラリ mcl汎用性と高速性を目指したペアリング暗号ライブラリ mcl
汎用性と高速性を目指したペアリング暗号ライブラリ mclMITSUNARI Shigeo
 
暗認本読書会12
暗認本読書会12暗認本読書会12
暗認本読書会12MITSUNARI Shigeo
 
ブロックチェーン系プロジェクトで着目される暗号技術
ブロックチェーン系プロジェクトで着目される暗号技術ブロックチェーン系プロジェクトで着目される暗号技術
ブロックチェーン系プロジェクトで着目される暗号技術MITSUNARI Shigeo
 
暗号技術入門
暗号技術入門暗号技術入門
暗号技術入門MITSUNARI Shigeo
 
BLS署名の実装とその応用
BLS署名の実装とその応用BLS署名の実装とその応用
BLS署名の実装とその応用MITSUNARI Shigeo
 
技術勉強会(楕円曲線暗号)資料
技術勉強会(楕円曲線暗号)資料技術勉強会(楕円曲線暗号)資料
技術勉強会(楕円曲線暗号)資料Tetsuyuki Oishi
 
クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術MITSUNARI Shigeo
 
秘密分散法の数理
秘密分散法の数理秘密分散法の数理
秘密分散法の数理Akito Tabira
 
不遇の標準ライブラリ - valarray
不遇の標準ライブラリ - valarray不遇の標準ライブラリ - valarray
不遇の標準ライブラリ - valarrayRyosuke839
 
A compact zero knowledge proof to restrict message space in homomorphic encry...
A compact zero knowledge proof to restrict message space in homomorphic encry...A compact zero knowledge proof to restrict message space in homomorphic encry...
A compact zero knowledge proof to restrict message space in homomorphic encry...MITSUNARI Shigeo
 
Asymmetric Key Signatures
Asymmetric Key SignaturesAsymmetric Key Signatures
Asymmetric Key SignaturesDavid Evans
 

More Related Content

What's hot

暗号化したまま計算できる暗号技術とOSS開発による広がり
暗号化したまま計算できる暗号技術とOSS開発による広がり暗号化したまま計算できる暗号技術とOSS開発による広がり
暗号化したまま計算できる暗号技術とOSS開発による広がりMITSUNARI Shigeo
 
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用MITSUNARI Shigeo
 
楕円曲線入門 トーラスと楕円曲線のつながり
楕円曲線入門 トーラスと楕円曲線のつながり楕円曲線入門 トーラスと楕円曲線のつながり
楕円曲線入門 トーラスと楕円曲線のつながりMITSUNARI Shigeo
 
暗号文のままで計算しよう - 準同型暗号入門 -
暗号文のままで計算しよう - 準同型暗号入門 -暗号文のままで計算しよう - 準同型暗号入門 -
暗号文のままで計算しよう - 準同型暗号入門 -MITSUNARI Shigeo
 
自作ペアリング/BLS署名ライブラリの紹介
自作ペアリング/BLS署名ライブラリの紹介自作ペアリング/BLS署名ライブラリの紹介
自作ペアリング/BLS署名ライブラリの紹介MITSUNARI Shigeo
 
暗号技術の実装と数学
暗号技術の実装と数学暗号技術の実装と数学
暗号技術の実装と数学MITSUNARI Shigeo
 
汎用性と高速性を目指したペアリング暗号ライブラリ mcl
汎用性と高速性を目指したペアリング暗号ライブラリ mcl汎用性と高速性を目指したペアリング暗号ライブラリ mcl
汎用性と高速性を目指したペアリング暗号ライブラリ mclMITSUNARI Shigeo
 
ブロックチェーン系プロジェクトで着目される暗号技術
ブロックチェーン系プロジェクトで着目される暗号技術ブロックチェーン系プロジェクトで着目される暗号技術
ブロックチェーン系プロジェクトで着目される暗号技術MITSUNARI Shigeo
 
BLS署名の実装とその応用
BLS署名の実装とその応用BLS署名の実装とその応用
BLS署名の実装とその応用MITSUNARI Shigeo
 
技術勉強会(楕円曲線暗号)資料
技術勉強会(楕円曲線暗号)資料技術勉強会(楕円曲線暗号)資料
技術勉強会(楕円曲線暗号)資料Tetsuyuki Oishi
 
クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術MITSUNARI Shigeo
 
秘密分散法の数理
秘密分散法の数理秘密分散法の数理
秘密分散法の数理Akito Tabira
 
不遇の標準ライブラリ - valarray
不遇の標準ライブラリ - valarray不遇の標準ライブラリ - valarray
不遇の標準ライブラリ - valarrayRyosuke839
 

What's hot (20)

暗号化したまま計算できる暗号技術とOSS開発による広がり
暗号化したまま計算できる暗号技術とOSS開発による広がり暗号化したまま計算できる暗号技術とOSS開発による広がり
暗号化したまま計算できる暗号技術とOSS開発による広がり
 
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
ElGamal型暗号文に対する任意関数演算・再暗号化の二者間秘密計算プロトコルとその応用
 
FHE in Action
FHE in ActionFHE in Action
FHE in Action
 
楕円曲線入門 トーラスと楕円曲線のつながり
楕円曲線入門 トーラスと楕円曲線のつながり楕円曲線入門 トーラスと楕円曲線のつながり
楕円曲線入門 トーラスと楕円曲線のつながり
 
暗号文のままで計算しよう - 準同型暗号入門 -
暗号文のままで計算しよう - 準同型暗号入門 -暗号文のままで計算しよう - 準同型暗号入門 -
暗号文のままで計算しよう - 準同型暗号入門 -
 
暗認本読書会7
暗認本読書会7暗認本読書会7
暗認本読書会7
 
暗認本読書会4
暗認本読書会4暗認本読書会4
暗認本読書会4
 
自作ペアリング/BLS署名ライブラリの紹介
自作ペアリング/BLS署名ライブラリの紹介自作ペアリング/BLS署名ライブラリの紹介
自作ペアリング/BLS署名ライブラリの紹介
 
暗認本読書会5
暗認本読書会5暗認本読書会5
暗認本読書会5
 
集約署名
集約署名集約署名
集約署名
 
暗号技術の実装と数学
暗号技術の実装と数学暗号技術の実装と数学
暗号技術の実装と数学
 
汎用性と高速性を目指したペアリング暗号ライブラリ mcl
汎用性と高速性を目指したペアリング暗号ライブラリ mcl汎用性と高速性を目指したペアリング暗号ライブラリ mcl
汎用性と高速性を目指したペアリング暗号ライブラリ mcl
 
暗認本読書会12
暗認本読書会12暗認本読書会12
暗認本読書会12
 
ブロックチェーン系プロジェクトで着目される暗号技術
ブロックチェーン系プロジェクトで着目される暗号技術ブロックチェーン系プロジェクトで着目される暗号技術
ブロックチェーン系プロジェクトで着目される暗号技術
 
暗号技術入門
暗号技術入門暗号技術入門
暗号技術入門
 
BLS署名の実装とその応用
BLS署名の実装とその応用BLS署名の実装とその応用
BLS署名の実装とその応用
 
技術勉強会(楕円曲線暗号)資料
技術勉強会(楕円曲線暗号)資料技術勉強会(楕円曲線暗号)資料
技術勉強会(楕円曲線暗号)資料
 
クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術
 
秘密分散法の数理
秘密分散法の数理秘密分散法の数理
秘密分散法の数理
 
不遇の標準ライブラリ - valarray
不遇の標準ライブラリ - valarray不遇の標準ライブラリ - valarray
不遇の標準ライブラリ - valarray
 

Similar to Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化

A compact zero knowledge proof to restrict message space in homomorphic encry...
A compact zero knowledge proof to restrict message space in homomorphic encry...A compact zero knowledge proof to restrict message space in homomorphic encry...
A compact zero knowledge proof to restrict message space in homomorphic encry...MITSUNARI Shigeo
 
Asymmetric Key Signatures
Asymmetric Key SignaturesAsymmetric Key Signatures
Asymmetric Key SignaturesDavid Evans
 
Homomorphic Encryption
Homomorphic EncryptionHomomorphic Encryption
Homomorphic EncryptionGöktuğ Serez
 
Playing Go with Clojure
Playing Go with ClojurePlaying Go with Clojure
Playing Go with Clojureztellman
 
Functionality testing techniqu
Functionality testing techniquFunctionality testing techniqu
Functionality testing techniqugaoliang641
 
module_14_digital_signatures (1).pptx
module_14_digital_signatures (1).pptxmodule_14_digital_signatures (1).pptx
module_14_digital_signatures (1).pptxAliAshraf68199
 
digital signatures.pptx
digital signatures.pptxdigital signatures.pptx
digital signatures.pptxAliAshraf68199
 
Practical Two-level Homomorphic Encryption in Prime-order Bilinear Groups
Practical Two-level Homomorphic Encryption in Prime-order Bilinear GroupsPractical Two-level Homomorphic Encryption in Prime-order Bilinear Groups
Practical Two-level Homomorphic Encryption in Prime-order Bilinear GroupsMITSUNARI Shigeo
 
Smart City Lecture 5 - Introduction to Encryption
Smart City Lecture 5 - Introduction to EncryptionSmart City Lecture 5 - Introduction to Encryption
Smart City Lecture 5 - Introduction to EncryptionPeter Waher
 
Market Basket Analysis in SQL Server Machine Learning Services
Market Basket Analysis in SQL Server Machine Learning ServicesMarket Basket Analysis in SQL Server Machine Learning Services
Market Basket Analysis in SQL Server Machine Learning ServicesLuca Zavarella
 
digital signatures1.pptx
digital signatures1.pptxdigital signatures1.pptx
digital signatures1.pptxAliAshraf68199
 
digital signatures10.pptx
digital signatures10.pptxdigital signatures10.pptx
digital signatures10.pptxAliAshraf68199
 
Quarks zk study-club
Quarks zk study-clubQuarks zk study-club
Quarks zk study-clubAlex Pruden
 
module_14_digital_signatures.pptx
module_14_digital_signatures.pptxmodule_14_digital_signatures.pptx
module_14_digital_signatures.pptxMehediHasanShaon1
 
ZK Study Club: Supernova (Srinath Setty - MS Research)
ZK Study Club: Supernova (Srinath Setty - MS Research)ZK Study Club: Supernova (Srinath Setty - MS Research)
ZK Study Club: Supernova (Srinath Setty - MS Research)Alex Pruden
 
digital Information.pptx
digital Information.pptxdigital Information.pptx
digital Information.pptxAliAshraf68199
 
Multi-Party Computation for the Masses
Multi-Party Computation for the MassesMulti-Party Computation for the Masses
Multi-Party Computation for the MassesDavid Evans
 

Similar to Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化 (20)

A compact zero knowledge proof to restrict message space in homomorphic encry...
A compact zero knowledge proof to restrict message space in homomorphic encry...A compact zero knowledge proof to restrict message space in homomorphic encry...
A compact zero knowledge proof to restrict message space in homomorphic encry...
 
Asymmetric Key Signatures
Asymmetric Key SignaturesAsymmetric Key Signatures
Asymmetric Key Signatures
 
Homomorphic Encryption
Homomorphic EncryptionHomomorphic Encryption
Homomorphic Encryption
 
tick cross game
tick cross gametick cross game
tick cross game
 
Playing Go with Clojure
Playing Go with ClojurePlaying Go with Clojure
Playing Go with Clojure
 
Functionality testing techniqu
Functionality testing techniquFunctionality testing techniqu
Functionality testing techniqu
 
module_14_digital_signatures (1).pptx
module_14_digital_signatures (1).pptxmodule_14_digital_signatures (1).pptx
module_14_digital_signatures (1).pptx
 
digital signatures.pptx
digital signatures.pptxdigital signatures.pptx
digital signatures.pptx
 
Practical Two-level Homomorphic Encryption in Prime-order Bilinear Groups
Practical Two-level Homomorphic Encryption in Prime-order Bilinear GroupsPractical Two-level Homomorphic Encryption in Prime-order Bilinear Groups
Practical Two-level Homomorphic Encryption in Prime-order Bilinear Groups
 
Smart City Lecture 5 - Introduction to Encryption
Smart City Lecture 5 - Introduction to EncryptionSmart City Lecture 5 - Introduction to Encryption
Smart City Lecture 5 - Introduction to Encryption
 
Market Basket Analysis in SQL Server Machine Learning Services
Market Basket Analysis in SQL Server Machine Learning ServicesMarket Basket Analysis in SQL Server Machine Learning Services
Market Basket Analysis in SQL Server Machine Learning Services
 
digital signatures1.pptx
digital signatures1.pptxdigital signatures1.pptx
digital signatures1.pptx
 
digital signatures10.pptx
digital signatures10.pptxdigital signatures10.pptx
digital signatures10.pptx
 
digital10.pptx
digital10.pptxdigital10.pptx
digital10.pptx
 
Quarks zk study-club
Quarks zk study-clubQuarks zk study-club
Quarks zk study-club
 
module_14_digital_signatures.pptx
module_14_digital_signatures.pptxmodule_14_digital_signatures.pptx
module_14_digital_signatures.pptx
 
02-gates-w.pptx
02-gates-w.pptx02-gates-w.pptx
02-gates-w.pptx
 
ZK Study Club: Supernova (Srinath Setty - MS Research)
ZK Study Club: Supernova (Srinath Setty - MS Research)ZK Study Club: Supernova (Srinath Setty - MS Research)
ZK Study Club: Supernova (Srinath Setty - MS Research)
 
digital Information.pptx
digital Information.pptxdigital Information.pptx
digital Information.pptx
 
Multi-Party Computation for the Masses
Multi-Party Computation for the MassesMulti-Party Computation for the Masses
Multi-Party Computation for the Masses
 

More from MITSUNARI Shigeo

範囲証明つき準同型暗号とその対話的プロトコル
範囲証明つき準同型暗号とその対話的プロトコル範囲証明つき準同型暗号とその対話的プロトコル
範囲証明つき準同型暗号とその対話的プロトコルMITSUNARI Shigeo
 
Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgen
Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgenIntel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgen
Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgenMITSUNARI Shigeo
 
深層学習フレームワークにおけるIntel CPU/富岳向け最適化法
深層学習フレームワークにおけるIntel CPU/富岳向け最適化法深層学習フレームワークにおけるIntel CPU/富岳向け最適化法
深層学習フレームワークにおけるIntel CPU/富岳向け最適化法MITSUNARI Shigeo
 
WebAssembly向け多倍長演算の実装
WebAssembly向け多倍長演算の実装WebAssembly向け多倍長演算の実装
WebAssembly向け多倍長演算の実装MITSUNARI Shigeo
 
LazyFP vulnerabilityの紹介
LazyFP vulnerabilityの紹介LazyFP vulnerabilityの紹介
LazyFP vulnerabilityの紹介MITSUNARI Shigeo
 
Intro to SVE 富岳のA64FXを触ってみた
Intro to SVE 富岳のA64FXを触ってみたIntro to SVE 富岳のA64FXを触ってみた
Intro to SVE 富岳のA64FXを触ってみたMITSUNARI Shigeo
 
Spectre/Meltdownとその派生
Spectre/Meltdownとその派生Spectre/Meltdownとその派生
Spectre/Meltdownとその派生MITSUNARI Shigeo
 

More from MITSUNARI Shigeo (13)

範囲証明つき準同型暗号とその対話的プロトコル
範囲証明つき準同型暗号とその対話的プロトコル範囲証明つき準同型暗号とその対話的プロトコル
範囲証明つき準同型暗号とその対話的プロトコル
 
暗認本読書会10
暗認本読書会10暗認本読書会10
暗認本読書会10
 
暗認本読書会9
暗認本読書会9暗認本読書会9
暗認本読書会9
 
Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgen
Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgenIntel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgen
Intel AVX-512/富岳SVE用SIMDコード生成ライブラリsimdgen
 
暗認本読書会8
暗認本読書会8暗認本読書会8
暗認本読書会8
 
深層学習フレームワークにおけるIntel CPU/富岳向け最適化法
深層学習フレームワークにおけるIntel CPU/富岳向け最適化法深層学習フレームワークにおけるIntel CPU/富岳向け最適化法
深層学習フレームワークにおけるIntel CPU/富岳向け最適化法
 
私とOSSの25年
私とOSSの25年私とOSSの25年
私とOSSの25年
 
WebAssembly向け多倍長演算の実装
WebAssembly向け多倍長演算の実装WebAssembly向け多倍長演算の実装
WebAssembly向け多倍長演算の実装
 
HPC Phys-20201203
HPC Phys-20201203HPC Phys-20201203
HPC Phys-20201203
 
LazyFP vulnerabilityの紹介
LazyFP vulnerabilityの紹介LazyFP vulnerabilityの紹介
LazyFP vulnerabilityの紹介
 
Intro to SVE 富岳のA64FXを触ってみた
Intro to SVE 富岳のA64FXを触ってみたIntro to SVE 富岳のA64FXを触ってみた
Intro to SVE 富岳のA64FXを触ってみた
 
ゆるバグ
ゆるバグゆるバグ
ゆるバグ
 
Spectre/Meltdownとその派生
Spectre/Meltdownとその派生Spectre/Meltdownとその派生
Spectre/Meltdownとその派生
 

Recently uploaded

How to Troubleshoot Apps for the Modern Connected Worker
How to Troubleshoot Apps for the Modern Connected WorkerHow to Troubleshoot Apps for the Modern Connected Worker
How to Troubleshoot Apps for the Modern Connected WorkerThousandEyes
 
Unblocking The Main Thread Solving ANRs and Frozen Frames
Unblocking The Main Thread Solving ANRs and Frozen FramesUnblocking The Main Thread Solving ANRs and Frozen Frames
Unblocking The Main Thread Solving ANRs and Frozen FramesSinan KOZAK
 
Understanding the Laravel MVC Architecture
Understanding the Laravel MVC ArchitectureUnderstanding the Laravel MVC Architecture
Understanding the Laravel MVC ArchitecturePixlogix Infotech
 
My Hashitalk Indonesia April 2024 Presentation
My Hashitalk Indonesia April 2024 PresentationMy Hashitalk Indonesia April 2024 Presentation
My Hashitalk Indonesia April 2024 PresentationRidwan Fadjar
 
Tech-Forward - Achieving Business Readiness For Copilot in Microsoft 365
Tech-Forward - Achieving Business Readiness For Copilot in Microsoft 365Tech-Forward - Achieving Business Readiness For Copilot in Microsoft 365
Tech-Forward - Achieving Business Readiness For Copilot in Microsoft 3652toLead Limited
 
SQL Database Design For Developers at php[tek] 2024
SQL Database Design For Developers at php[tek] 2024SQL Database Design For Developers at php[tek] 2024
SQL Database Design For Developers at php[tek] 2024Scott Keck-Warren
 
Handwritten Text Recognition for manuscripts and early printed texts
Handwritten Text Recognition for manuscripts and early printed textsHandwritten Text Recognition for manuscripts and early printed texts
Handwritten Text Recognition for manuscripts and early printed textsMaria Levchenko
 
Maximizing Board Effectiveness 2024 Webinar.pptx
Maximizing Board Effectiveness 2024 Webinar.pptxMaximizing Board Effectiveness 2024 Webinar.pptx
Maximizing Board Effectiveness 2024 Webinar.pptxOnBoard
 
Finology Group – Insurtech Innovation Award 2024
Finology Group – Insurtech Innovation Award 2024Finology Group – Insurtech Innovation Award 2024
Finology Group – Insurtech Innovation Award 2024The Digital Insurer
 
How to convert PDF to text with Nanonets
How to convert PDF to text with NanonetsHow to convert PDF to text with Nanonets
How to convert PDF to text with Nanonetsnaman860154
 
08448380779 Call Girls In Greater Kailash - I Women Seeking Men
08448380779 Call Girls In Greater Kailash - I Women Seeking Men08448380779 Call Girls In Greater Kailash - I Women Seeking Men
08448380779 Call Girls In Greater Kailash - I Women Seeking MenDelhi Call girls
 
Slack Application Development 101 Slides
Slack Application Development 101 SlidesSlack Application Development 101 Slides
Slack Application Development 101 Slidespraypatel2
 
Raspberry Pi 5: Challenges and Solutions in Bringing up an OpenGL/Vulkan Driv...
Raspberry Pi 5: Challenges and Solutions in Bringing up an OpenGL/Vulkan Driv...Raspberry Pi 5: Challenges and Solutions in Bringing up an OpenGL/Vulkan Driv...
Raspberry Pi 5: Challenges and Solutions in Bringing up an OpenGL/Vulkan Driv...Igalia
 
The Codex of Business Writing Software for Real-World Solutions 2.pptx
The Codex of Business Writing Software for Real-World Solutions 2.pptxThe Codex of Business Writing Software for Real-World Solutions 2.pptx
The Codex of Business Writing Software for Real-World Solutions 2.pptxMalak Abu Hammad
 
Scaling API-first – The story of a global engineering organization
Scaling API-first – The story of a global engineering organizationScaling API-first – The story of a global engineering organization
Scaling API-first – The story of a global engineering organizationRadu Cotescu
 
Swan(sea) Song – personal research during my six years at Swansea ... and bey...
Swan(sea) Song – personal research during my six years at Swansea ... and bey...Swan(sea) Song – personal research during my six years at Swansea ... and bey...
Swan(sea) Song – personal research during my six years at Swansea ... and bey...Alan Dix
 
Google AI Hackathon: LLM based Evaluator for RAG
Google AI Hackathon: LLM based Evaluator for RAGGoogle AI Hackathon: LLM based Evaluator for RAG
Google AI Hackathon: LLM based Evaluator for RAGSujit Pal
 
IAC 2024 - IA Fast Track to Search Focused AI Solutions
IAC 2024 - IA Fast Track to Search Focused AI SolutionsIAC 2024 - IA Fast Track to Search Focused AI Solutions
IAC 2024 - IA Fast Track to Search Focused AI SolutionsEnterprise Knowledge
 
From Event to Action: Accelerate Your Decision Making with Real-Time Automation
From Event to Action: Accelerate Your Decision Making with Real-Time AutomationFrom Event to Action: Accelerate Your Decision Making with Real-Time Automation
From Event to Action: Accelerate Your Decision Making with Real-Time AutomationSafe Software
 
Injustice - Developers Among Us (SciFiDevCon 2024)
Injustice - Developers Among Us (SciFiDevCon 2024)Injustice - Developers Among Us (SciFiDevCon 2024)
Injustice - Developers Among Us (SciFiDevCon 2024)Allon Mureinik
 

Recently uploaded (20)

How to Troubleshoot Apps for the Modern Connected Worker
How to Troubleshoot Apps for the Modern Connected WorkerHow to Troubleshoot Apps for the Modern Connected Worker
How to Troubleshoot Apps for the Modern Connected Worker
 
Unblocking The Main Thread Solving ANRs and Frozen Frames
Unblocking The Main Thread Solving ANRs and Frozen FramesUnblocking The Main Thread Solving ANRs and Frozen Frames
Unblocking The Main Thread Solving ANRs and Frozen Frames
 
Understanding the Laravel MVC Architecture
Understanding the Laravel MVC ArchitectureUnderstanding the Laravel MVC Architecture
Understanding the Laravel MVC Architecture
 
My Hashitalk Indonesia April 2024 Presentation
My Hashitalk Indonesia April 2024 PresentationMy Hashitalk Indonesia April 2024 Presentation
My Hashitalk Indonesia April 2024 Presentation
 
Tech-Forward - Achieving Business Readiness For Copilot in Microsoft 365
Tech-Forward - Achieving Business Readiness For Copilot in Microsoft 365Tech-Forward - Achieving Business Readiness For Copilot in Microsoft 365
Tech-Forward - Achieving Business Readiness For Copilot in Microsoft 365
 
SQL Database Design For Developers at php[tek] 2024
SQL Database Design For Developers at php[tek] 2024SQL Database Design For Developers at php[tek] 2024
SQL Database Design For Developers at php[tek] 2024
 
Handwritten Text Recognition for manuscripts and early printed texts
Handwritten Text Recognition for manuscripts and early printed textsHandwritten Text Recognition for manuscripts and early printed texts
Handwritten Text Recognition for manuscripts and early printed texts
 
Maximizing Board Effectiveness 2024 Webinar.pptx
Maximizing Board Effectiveness 2024 Webinar.pptxMaximizing Board Effectiveness 2024 Webinar.pptx
Maximizing Board Effectiveness 2024 Webinar.pptx
 
Finology Group – Insurtech Innovation Award 2024
Finology Group – Insurtech Innovation Award 2024Finology Group – Insurtech Innovation Award 2024
Finology Group – Insurtech Innovation Award 2024
 
How to convert PDF to text with Nanonets
How to convert PDF to text with NanonetsHow to convert PDF to text with Nanonets
How to convert PDF to text with Nanonets
 
08448380779 Call Girls In Greater Kailash - I Women Seeking Men
08448380779 Call Girls In Greater Kailash - I Women Seeking Men08448380779 Call Girls In Greater Kailash - I Women Seeking Men
08448380779 Call Girls In Greater Kailash - I Women Seeking Men
 
Slack Application Development 101 Slides
Slack Application Development 101 SlidesSlack Application Development 101 Slides
Slack Application Development 101 Slides
 
Raspberry Pi 5: Challenges and Solutions in Bringing up an OpenGL/Vulkan Driv...
Raspberry Pi 5: Challenges and Solutions in Bringing up an OpenGL/Vulkan Driv...Raspberry Pi 5: Challenges and Solutions in Bringing up an OpenGL/Vulkan Driv...
Raspberry Pi 5: Challenges and Solutions in Bringing up an OpenGL/Vulkan Driv...
 
The Codex of Business Writing Software for Real-World Solutions 2.pptx
The Codex of Business Writing Software for Real-World Solutions 2.pptxThe Codex of Business Writing Software for Real-World Solutions 2.pptx
The Codex of Business Writing Software for Real-World Solutions 2.pptx
 
Scaling API-first – The story of a global engineering organization
Scaling API-first – The story of a global engineering organizationScaling API-first – The story of a global engineering organization
Scaling API-first – The story of a global engineering organization
 
Swan(sea) Song – personal research during my six years at Swansea ... and bey...
Swan(sea) Song – personal research during my six years at Swansea ... and bey...Swan(sea) Song – personal research during my six years at Swansea ... and bey...
Swan(sea) Song – personal research during my six years at Swansea ... and bey...
 
Google AI Hackathon: LLM based Evaluator for RAG
Google AI Hackathon: LLM based Evaluator for RAGGoogle AI Hackathon: LLM based Evaluator for RAG
Google AI Hackathon: LLM based Evaluator for RAG
 
IAC 2024 - IA Fast Track to Search Focused AI Solutions
IAC 2024 - IA Fast Track to Search Focused AI SolutionsIAC 2024 - IA Fast Track to Search Focused AI Solutions
IAC 2024 - IA Fast Track to Search Focused AI Solutions
 
From Event to Action: Accelerate Your Decision Making with Real-Time Automation
From Event to Action: Accelerate Your Decision Making with Real-Time AutomationFrom Event to Action: Accelerate Your Decision Making with Real-Time Automation
From Event to Action: Accelerate Your Decision Making with Real-Time Automation
 
Injustice - Developers Among Us (SciFiDevCon 2024)
Injustice - Developers Among Us (SciFiDevCon 2024)Injustice - Developers Among Us (SciFiDevCon 2024)
Injustice - Developers Among Us (SciFiDevCon 2024)
 

Lifted-ElGamal暗号を用いた任意関数演算の二者間秘密計算プロトコルのmaliciousモデルにおける効率化

  • 2. • 背景 • 準同型暗号を用いた二者間秘密計算 • SCIS2020の提案手法 • maliciousモデルでのプロトコル • 提案プロトコル • maliciousモデルでのプロトコルの改善 • 既存手法との比較 • 2ラウンド→1ラウンド, 通信量サイズ1/40~1/130 2 / 19 概要
  • 3. • 秘密計算 • 複数人が自分の情報を隠しつつ 互いにやりとりをして𝑓(𝑚1, … )を求める • 秘密分散 • Garbled circuit • 準同型暗号(HE : Homomorphic Encryption) • FHE(任意演算) ; 主に二者間 • SCIS2020のテーマ • FHEは重たいのでAHE(加法HE)で二者間秘密計算をやりたい 3 / 19 背景 𝑚1 𝑓(𝑚1, … ) 𝐸𝑛𝑐(𝑚1) 𝐸𝑛𝑐(𝑓(𝑚1, 𝑚2)) 𝑚1 𝑓(𝑚1, 𝑚2) 𝐸𝑛𝑐(𝑚1) 𝐸𝑛𝑐(𝑓(𝑚1, 𝑚2)) 𝑚2 client server
  • 4. • 複雑な𝑓(𝑚)の計算はAHEではできない • client(秘密鍵保持者)に手伝ってもらう • 𝑓を加法、定数倍からなる複数の簡単な処理𝑓1, 𝑓2, …に分割 • インタラクションは増える • 途中結果の秘匿化の必要性 • 𝑓𝑖(𝑚1, . . )をそのまま渡すと計算途中の値が漏れる • その値を隠して計算するプロトコル 4 / 19 複雑な関数評価の分割 𝐸𝑛𝑐(𝑚1) 𝐸𝑛𝑐(𝑓(𝑚1, . . )) 𝑚1 𝑓(𝑚1, . . ) 𝐸𝑛𝑐(𝑚1) 𝐸𝑛𝑐(𝑓(𝑚1, . . )) 𝐸𝑛𝑐(𝑓1 𝑚1, . . ) 𝐸𝑛𝑐(𝑓2(𝑚1, . . )) ...
  • 5. • AHEベースの二者間プロトコル𝒫 • 𝑓(𝑥) ; 整数から整数への任意の一変数関数 • serverは𝐸𝑛𝑐(𝑚)から𝐸𝑛𝑐′(𝑓 𝑚 )を得る(𝑚の値は知らない) • 𝐸𝑛𝑐′の秘密鍵はserver/client共に知らなくてもよい • 秘密鍵を持つclientは𝑚の情報を得られない • clientはserverの手伝いをするだけ • lifted-ElGamal型暗号に適用可能 • 文字列の編集距離の秘匿化に適用 5 / 19 SCIS2020の提案プロトコル(1/2) input : 𝐸𝑛𝑐(𝑚) 𝑋 𝑌 output : 𝐸𝑛𝑐′(𝑓(𝑚)) 𝑋 𝑌 client Step 1 Step 3 Step 2 server
  • 6. • 記号 • 𝑆 : 𝑚のとり得る平文の区間集合, 𝑓: 𝑆 → ℤ • 𝐸𝑛𝑐, 𝐸𝑛𝑐′ : 加法準同型暗号(Clientは𝐸𝑛𝑐の秘密鍵を持つ) • Server • input : 𝐸𝑛𝑐 𝑚 • output : 𝑥𝑖 ≔ 𝛾𝑖𝐸𝑛𝑐(𝑚 − 𝑖), 𝛾𝑖 ՚ 𝑅 𝔽𝑝, 𝑋 ≔ {𝑋𝑖} =Shuffle 𝑥𝑖 𝑖∈𝑆 • 𝑋𝑎 = 𝐸𝑛𝑐 0 , 𝑥𝑖 = 𝐸𝑛𝑐(random value) for 𝑖 ≠ 𝑎(𝑚のShuffle先) • Client • input : 𝑋 = {𝑋𝑖}は一つだけ0の暗号文, 残りは乱数の暗号文 • output : 𝐷𝑒𝑐 𝑋𝑖 = 0なら𝑌𝑖 = 𝐸𝑛𝑐′(1), その他𝑌𝑖 = 𝐸𝑛𝑐′(0) • 𝑌 = 𝑌𝑖 = 𝐸𝑛𝑐′ 𝛿𝑖𝑎 𝑖∈𝑆, 𝛿𝑖𝑗 : クロネッカーのデルタ • Server : Shuffleを戻してσ𝑖 𝑓 𝑖 𝐸𝑛𝑐′ 𝛿𝑖𝑚 = 𝐸𝑛𝑐′ (𝑓(𝑚)) 6 / 19 SCIS2020の提案プロトコル(2/2)
  • 7. • Serverは秘密鍵を持っていないので𝐸𝑛𝑐が安全である 限り平文の情報は得られないとする • 悪さをするのはclient • プロトコルに正しくしたがって𝑌を構成しているか? • SCIS2020でのmaliciousモデルでのプロトコル概要 • 𝜇 : 組み合わせのパラメータ • serverは各暗号文𝑌𝑖の代わりにダミーを含む暗号文𝜇個を送る • clientはプロトコルにしたがって値を返す • serverは検証用の暗号文を生成しclientに送る • serverはclientからの値を検証し、OKなら継続する • 欠点 • 2ラウンドプロトコル • 通信暗号文の個数がsemi-honest時の𝜇(≥ 66)倍になる 7 / 19 maliciousモデル
  • 8. • 特長 • 1ラウンドプロトコル • server→clientはsemi-honest版と同じ • client→serverは1個の暗号文に1個のZKP • Lifted-ElGamal暗号なら+5|𝐺|程度 • やりたいことの確認 • clientがやっていること : serverから送られてきた𝑋に対して • 𝑋 = 𝐸𝑛𝑐 0 ; 𝑖 = 𝑎 𝐸𝑛𝑐 ∗ ; 𝑖 ≠ 𝑎 → 𝑌 = 𝐸𝑛𝑐′ 1 ; 𝑖 = 𝑎 𝐸𝑛𝑐′ 0 ; 𝑖 ≠ 𝑎 を生成 • serverは「clientが𝑋から正しく𝑌を作っていることを」を 𝐸𝑛𝑐, 𝐸𝑛𝑐′の中身を知らずに検証したい • 未知のある𝑎に対して𝐷𝑒𝑐 𝑋𝑎 = 0かつ𝐷𝑒𝑐′ 𝑌𝑎 = 1 • 𝑖 ≠ 𝑎なら𝐷𝑒𝑐 𝑋 ≠ 0かつ𝐷𝑒𝑐′ 𝑌 = 0 8 / 19 提案手法
  • 9. • 𝐸𝑛𝑐, 𝐸𝑛𝑐′に対して • 暗号文を復号すると0であることのZKP • 暗号文を復号すると0か1であることのZKP • Claim 1. 暗号文𝑋𝑖は高々一つの𝑎 ∈ 𝑆について 𝐷𝑒𝑐 𝑋𝑎 = 0かつそれ以外の𝑖 ≠ 𝑎について𝐷𝑒𝑐 𝑋𝑖 ≠ 0 • 何故なら𝑋はserverが暗号文𝑐を元に𝛾𝑖(𝑐 − 𝐸𝑛𝑐 𝑖 )と生成 • 𝐷𝑒𝑐 𝑐 ∈ 𝑆なので一つだけ0 • 𝐷𝑒𝑐 𝑐 ∉ 𝑆なら(入力暗号文が不正)全て0でない 9 / 19 キーアイデア(1/2)
  • 10. • clientは𝐷𝑒𝑐 𝑋𝑖 = 0となる𝑖が一つ存在することを確認 • clientは次のことをZKPを用いて示す • (A) 𝐷𝑒𝑐′ 𝑌𝑖 ∈ {0,1} • (B) σ𝑖 𝐷𝑒𝑐′ 𝑌𝑖 = 1 • (C) 𝐷𝑒𝑐 𝑋𝑖 = 0または𝐷𝑒𝑐′ 𝑌𝑖 = 0 • Claim 2. これが満たされれば正しい挙動をしている • 何故なら(A), (B)より{𝐷𝑒𝑐′ 𝑌𝑖 }は一つだけ1で残りは0 • 𝐷𝑒𝑐′ 𝑌𝑖 = 1となる𝑖を𝑎とする(𝐷𝑒𝑐′ 𝑌𝑖 = 0 for 𝑖 ≠ 𝑎) • よって(C)を満たすには𝐷𝑒𝑐 𝑋𝑎 = 0でなければならない • 𝐷𝑒𝑐 𝑋𝑎 = 0かつ𝐷𝑒𝑐′ 𝑌𝑎 = 1 • 𝐷𝑒𝑐 𝑋𝑖 = 0となる𝑖 = 𝑎が存在したのでClaim 1より 𝑖 ≠ 𝑎なら𝐷𝑒𝑐 𝑋𝑖 ≠ 0かつ𝐷𝑒𝑐′ 𝑌𝑖 = 0 10 / 19 キーアイデア(2/2)
  • 11. • 示すべきこと(再掲) • (A) 𝐷𝑒𝑐′ 𝑌𝑖 ∈ {0,1} • (B) σ𝑖 𝐷𝑒𝑐′ 𝑌𝑖 = 1 • (C) 𝐷𝑒𝑐 𝑋𝑖 = 0または𝐷𝑒𝑐′ 𝑌𝑖 = 0 • 同値な命題 • (A+C). 𝐷𝑒𝑐′ 𝑌𝑖 = 0または「𝐷𝑒𝑐′ 𝑌𝑖 = 1かつ𝐷𝑒𝑐 𝑋𝑖 = 0」 と(B) • ここまでは一般の(AHEな)𝐷𝑒𝑐, 𝐷𝑒𝑐′に適用可能 • 提案方式のその他の特長 • clientの復号が暗号文が0か否かのみ分かればよい • 従来方法は小さな平文を復号する必要あり 11 / 19 若干の効率化
  • 12. • Lifted-ElGamal暗号 • 𝐺 = 𝑃0 , 位数𝑝のDDH困難な加法巡回群 • 𝐷𝐿𝑃𝑃0 𝑎𝑃0 ≔ 𝑎 • 鍵生成 • 秘密鍵𝑠 ∈ 𝔽𝑝 : 乱数, 𝑃1 ≔ 𝑠𝑃0 : 公開鍵 • 平文𝑚の暗号化 • 𝐸𝑛𝑐 𝑚; 𝑟 ≔ (𝑚𝑃0 + 𝑟𝑃1, 𝑟𝑃0) : 𝑟は乱数 • 暗号文𝑐 ≔ (𝐴0, 𝐴1)の復号 • 𝑑𝑒𝑐 𝑠, 𝑐 ≔ 𝐴0 − 𝑠𝐴1, 𝐷𝑒𝑐 𝑠, 𝑐 ≔ 𝐷𝐿𝑃𝑃0 (𝑑𝑒𝑐 𝑠, 𝑐 ) • 𝑚 ∈ 𝑆ならDLP可能とする • 正当性 : 𝑑𝑒𝑐 𝑠, 𝐸𝑛𝑐 𝑚; 𝑟 = 𝑚𝑃0 + 𝑟𝑃1 − 𝑠 𝑟𝑃0 = 𝑚𝑃0 12 / 19 Lifted-ElGamal暗号特有の話
  • 13. • 二つの状況 • 与えられた暗号文𝑐に対して秘密鍵をもつclientが𝐷𝑒𝑐 𝑐 = 0を 確認し、それを示すZKPを作ること • 与えられた公開鍵に対して作った暗号文𝑐が𝐷𝑒𝑐′ 𝑐 = 0である ことを示すZKPを作ること • 𝑐 = (𝐴0, 𝐴1)が𝐷𝑒𝑐 𝑐 = 0 ⇔ 𝑑𝑒𝑐 𝑐 = 𝐴0 − 𝑠𝐴1 = 0 • 定義 : 𝑃 ≔ (𝑃0, 𝑃1), 𝐴 ≔ (𝐴0, 𝐴1)が𝑎-DH-tupleである とは𝐴 = 𝑎𝑃となる𝑎が存在するとき • DH-tupleを示すZKPの構成はよく知られている(後述) • 秘密鍵𝑠をもつclientにとって • 𝐷𝑒𝑐 𝑐 = 0 ⇔ (𝑃0, 𝐴1), (𝑃1, 𝐴0)は𝑠-DH-tuple • 公開鍵(𝑃0 ′ , 𝑃1′ = 𝑠′𝑃0 ′ )をもつclientにとって 𝑐′ ≔ 𝐴0 ′ , 𝐴1 ′ ≔ 𝐸𝑛𝑐 0; 𝑟 = (𝑟𝑃1 ′ , 𝑟𝑃0 ′ )とすると (𝑃1 ′ , 𝑃0 ′ ), 𝐴0 ′ , 𝐴1 ′ は𝑟-DH-tuple 13 / 19 𝐷𝑒𝑐 𝑐 = 0と𝐷𝑒𝑐′ 𝑐′ = 0のZKP
  • 14. • 𝐸𝑛𝑐, 𝐸𝑛𝑐′に256ビットLifted-ElGamal暗号を用いた場合 • 暗号文1個 = 𝐺の元2個 • 𝜇~66(攻撃確率≤ 2𝜇 𝜇 −1 ~2−128) • ZKP = 𝔽𝑝の元5個(詳細はスライドの最後) • 𝐺 ~ 𝔽𝑝 ~256とし, 𝑥, 𝑦 ∈ 𝐺は𝑦座標を1bitエンコードで無視 14 / 19 通信量の評価 方式 server→client client→server ラウンド数 semi-honest 2 𝐺 |𝑆| 2 𝐺 |𝑆| 1 従来方式 266 𝐺 |𝑆| 266 𝐺 |𝑆| 2 提案方式 2 𝐺 |𝑆| 7 𝐺 |𝑆| 1
  • 15. • 非対称ペアリングベースの乗算1回, 加算任意回可能な 2LHE(AHM+ AsiaCCS2018) • 𝐸𝑛𝑐を(乗算後の)2L暗号文, 𝐸𝑛𝑐′を乗算前の1L暗号文とすると 暗号文変換ができる • 𝐸𝑛𝑐 𝑚 → 𝐸𝑛𝑐′(𝑓 𝑚 ) • 以下、2LHEの紹介と2L暗号文𝑐の𝐷𝑒𝑐 𝑐 = 0となる Σプロトコルの構成法を紹介する 15 / 19 2LHEへの応用
  • 16. • 𝐺 = ⟨𝑃⟩ : 素数位数𝑝の加法巡回群 • AsiaCCS2018の論文では非対称ペアリングの値域の群𝐺𝑇 • 鍵生成 • 秘密鍵 : 𝑠1, 𝑠2 ∈ 𝔽𝑝 • 公開鍵 : 𝑃, 𝑃1, 𝑃2, 𝑃3 ≔ (𝑃, 𝑠1𝑃, 𝑠2𝑃, 𝑠1𝑠2𝑃) • 記号 : 𝐹(𝐴1,𝐴2,𝐴3) 𝑎1, 𝑎2, 𝑎3 ≔ 𝑎2𝐴1 + 𝑎1𝐴2 − 𝑎3𝐴3 • 平文𝑚 ∈ 𝔽𝑝の暗号化 • 𝐸𝑛𝑐 𝑠1, 𝑠2 , 𝑚 ≔ (𝑚𝑃 + 𝐹 𝑃1,𝑃2,𝑃3 𝑟1, 𝑟2, 𝑟3 , 𝑟1𝑃, 𝑟2𝑃, 𝑟3𝑃) • 𝑟1, 𝑟2, 𝑟3 ∈ 𝔽𝑝 : ランダム • 暗号文𝑐 ≔ (𝐴0, 𝐴1, 𝐴2, 𝐴3)の復号 • 𝑑𝑒𝑐 𝑐 ≔ 𝐴0 − 𝐹 𝐴1,𝐴2,𝐴3 (𝑠1, 𝑠2, 𝑠1𝑠2), 𝐷𝑒𝑐 𝑐 ≔ 𝐷𝐿𝑃𝑃(𝑑𝑒𝑐 𝑐 ) 16 / 19 AHM+の2L暗号文
  • 17. • 𝑐 ≔ (𝐴0, 𝐴1, 𝐴2, 𝐴3)に対して • 𝐷𝑒𝑐 𝑐 = 0 ⇔ 𝐴0 = 𝐹 𝐴1,𝐴2,𝐴3 (𝑠1, 𝑠2, 𝑠1𝑠2) • Σプロトコル • 証明者 : 𝑏1, 𝑏2, 𝑏3 ∈ 𝔽𝑝 : ランダム • 𝐵𝑖 ≔ 𝑏𝑖𝑃(𝑖 = 1,2,3)と𝑋 ≔ 𝐹 𝐴1,𝐴2,𝐴3 (𝑏1, 𝑏2, 𝑏3)を検証者に送る • 検証者 : ℎ ∈ 𝔽𝑝 : ランダムをとり証明者に送る • 証明者 : 𝑑𝑖 ≔ 𝑏𝑖 + ℎ𝑠𝑖(𝑖 = 1,2), 𝑑3 ≔ 𝑏3 + ℎ𝑠1𝑠2を送る • 検証者 : 𝑑𝑖𝑃 = 𝐵𝑖 + ℎ𝑃𝑖(𝑖 = 1,2,3)と 𝑋 = 𝐹(𝐴1,𝐴2,𝐴3)(𝑑1, 𝑑2, 𝑑3) − ℎ𝐴0の等号成立を確認する • 詳細は予稿集参照 17 / 19 𝐷𝑒𝑐 𝑐 = 0のΣプロトコル
  • 18. • 条件(A+C) : 𝐷𝑒𝑐′ 𝑌𝑖 = 0または「𝐷𝑒𝑐′ 𝑌𝑖 = 1かつ𝐷𝑒𝑐 𝑋𝑖 = 0」は • 𝐷𝑒𝑐′=2LHEの2L暗号文 • 𝐷𝑒𝑐=lifted-ElGamal暗号文 • のとき9個の𝔽𝑝の元で構成できる • よって全体で9 𝐺 𝑆 + 4の元で構成可能 18 / 19 非対話ZKP化
  • 19. • 暗号文の関数評価を加法準同型暗号ベースの二者間秘 密計算で行うプロトコル • 𝑓: 𝑆 → ℤ, 𝐸𝑛𝑐 𝑚 ↦ 𝐸𝑛𝑐′(𝑓 𝑚 ) • Lifted-ElGamal暗号/𝐺の場合 • semi-honestモデル : 1ラウンド, 通信量2 𝐺 |𝑆| • maliciousモデル • 従来方式(SCIS2020) : 2ラウンド, 通信量266 𝐺| 𝑆| • 提案方式 : 1ラウンド, 通信量7 𝐺 |𝑆| • 謝辞 • 本研究は総務省SCOPE(受付番号182103105)の委託と JST CREST(課題番号JPMJCR19F6)の援助を受けている 19 / 19 まとめ
  • 20. • 𝑃 ≔ 𝑃0, 𝑃1 , 𝐴 ≔ 𝐴0, 𝐴1 ∈ 𝐺2が𝑎-DHタプル(𝐴 = 𝑎𝑃) • であることのΣプロトコル(𝑎の情報を隠す) • 証明者𝒫 : 𝑏 ՚ 𝑅 𝔽𝑝, 𝐵 ≔ 𝐵0, 𝐵1 ≔ 𝑏𝑃を検証者𝒱に渡す • 𝒱 : ℎ ՚ 𝑅 𝔽𝑝を𝒫に渡す • 𝒫 : 𝑑 ≔ 𝑏 + ℎ𝑎を𝒱に渡す • 𝒱 : 𝑑𝑃 = 𝐵 + ℎ𝐴を確認したら受理, そうでなければ拒否 • ランダムオラクル仮定の元での非対話ZKP • 𝐻: 0,1 ∗ → 𝔽𝑝 ; ハッシュ関数 • 𝒫 : 𝑏 ՚ 𝑅 𝔽𝑝, 𝐵 ≔ 𝐵0, 𝐵1 ≔ 𝑏𝑃, ℎ ≔ 𝐻(𝑃, 𝐴, 𝐵), 𝑑 ≔ 𝑏 + ℎ𝑎 𝜋 ≔ (𝑑, ℎ)を𝒱に渡す • 𝒱 : 𝐵 ≔ 𝑑𝑃 − ℎ𝐴を計算してℎ = 𝐻(𝑃, 𝐴, 𝐵)を確認したら受理 20 / 19 補足
  • 21. • 𝐷𝑒𝑐′ 𝑌𝑖 = 0または「𝐷𝑒𝑐′ 𝑌𝑖 = 1かつ𝐷𝑒𝑐 𝑋𝑖 = 0」 • 与えられた𝑃 ≔ (𝑃0, 𝑃1), 𝐴 ≔ 𝐴0, 𝐴1 , 𝐴′ ≔ 𝐴 − (0, 𝑃0), 𝑃′′ ≔ (𝑃0 ′′ , 𝑃1 ′′ ), 𝐴′′ ≔ (𝐴0 ′′ , 𝐴1 ′′ )に対して • (A1)「𝐴 = 𝑠𝑃となる𝑠を知っている」 • (A2)「𝐴′ = 𝑠𝑃となる𝑠と𝐴′′ = 𝑠′′𝑃′′となる𝑠′′を知っている」 • 構成 • (A1)のとき𝑑′, ℎ′, 𝑑′′, 𝑏 ՚ 𝑅 𝔽𝑝, 𝐵′ ≔ 𝑑′𝑃 − ℎ′𝐴′, 𝐵′′ ≔ 𝑑′′𝑃′′ − ℎ′𝐴′′, 𝐵 ≔ 𝑏𝑃, ℎ ≔ 𝐻 𝑃, 𝐴, 𝐴′′, 𝐵, 𝐵′, 𝐵′′ ⊕ ℎ′, 𝑑 ≔ 𝑏 + ℎ𝑠 • (A2)のとき𝑑, ℎ, 𝑏′, 𝑏′′ ՚ 𝑅 𝔽𝑝, 𝐵 ≔ 𝑑𝑃 − ℎ𝐴, 𝐵′ ≔ 𝑏′𝑃, 𝐵′′ ≔ 𝑏′′𝑃′ ℎ′ ≔ 𝐻 𝑃, 𝐴, 𝐴′′, 𝐵, 𝐵′, 𝐵′′ ⊕ ℎ, 𝑑′ ≔ 𝑏′ + ℎ′𝑠, 𝑑′′ ≔ 𝑏′′ + ℎ′𝑠′′ • 𝜋1 ≔ (𝑑, ℎ), 𝜋_2 ≔ (𝑑′, 𝑑′′, ℎ′), 𝜋 = (𝜋1, 𝜋2)を𝒱に送る • 𝒱 : 与えられた(𝑃, 𝐴, 𝑃′′, 𝐴′′), 𝜋に対して𝐴′ ≔ 𝐴 − (0, 𝑃0), 𝐵 ≔ 𝑑𝑃 − ℎ𝐴, 𝐵′ ≔ 𝑑′𝑃 − ℎ′𝐴′, 𝐵′′ ≔ 𝑑′′𝑃′′ − ℎ′𝐴′′として 𝐻 𝑃, 𝐴, 𝐴′′, 𝐵, 𝐵′, 𝐵′′ = ℎ ⊕ ℎ′を検証する 21 / 19 𝐷𝑒𝑐 = 𝐷𝑒𝑐′ =lifted ElGamal暗号のときの