Transcript スライド - 東北大学電気・情報系

秘密共有法
西関 隆夫
東北大学 大学院情報科学研究科
1
自己紹介
1969
東北大学工学部通信工学科
「PCMパルス波形，FFT」
1971
同 電気及通信工学修士修了
「集中定数回路網合成に関する研究」
1974
同 博士修了
「回路網接続の位相幾何学的研究」
1974
同 工学部通信工学科 助手
グラフ理論，アルゴリズム
1976
同 助教授
線形時間アルゴリズム，グラフ描画，VLSIレイアウト
1977-78 Carnegie-Mellon大学数学科客員数学者 Duffin先生
1988
東北大学工学部通信工学科 教授
1993
同 情報科学研究科 教授 アルゴリズム，情報セキュリティ
2005
同 副研究科長，教育研究評議員
2
2008
同 研究科長
Carnegie-Mellon Univ. 数学科
Richard J. Duffin
Bott-Duffinの回路合成法
Raoul Bott
幾何学
Elmor L. Peterson
Clarence Zener
John Nash Jr.
Geometric
programming
映画 “A Beautiful Mind”
ノーベル賞
推薦状 “This man is genius”
西関（1977-78)
天国の１年間
- メールがない
- 電話代が高い
- Gaurett Birkhoff がいた教授室
3
1
Top 10
GLOBECOM ‘87
2
3
秘密共有法
グラフでない論文は
1つだけ
4
5
4
6
7
8
9
10
5
1
GLOBECOM ‘87
2
秘密共有法
6
Shamir
Rivest Adleman
1
RSA暗号
2
(k, n)
しきい値法
7
契機
グラフ以外へ研究を展開
暗号 （1977年にRSA暗号発明，Allerton Conf. ‘77 で
Rivest の講演を聞く）
修士2年生 上原輝昭君をNEC研究所に派遣
岡本栄司氏（現 筑波大），中村勝洋氏（現 千葉大）が指導
A. Shamir のしきい値法を一般化したらどうか？
8
A. Shamir の (k, n) しきい値法
・ k-1次多項式の補間
9
本質
有限体上の行列の基底
ベースマトロイド
閾値法 ⇒ 一様マトロイド
極小アクセス集合の族（アクセス構造）が表現可能な
ベースマトロイドであればよい
10
1986年
修士
NEC
NEC
11
問題点
日本語でしか発表しなかった
極小アクセス集合の要素数は一定
12
伊藤 充
斉藤 明
東大（榎本彦衛先生）
グラフ理論
伊藤 充
（修士）
斉藤 明
（助手）
13
新しい秘密共有法の発明
各共有者に適当な複数個
の分散情報を配布しておく．
n人中の k人のような特殊
なアクセス構造ばかりでなく，
任意のアクセス構造に対し
秘密情報を復元することが
できる．
複数割り当て法による復元
14
アクセス集合の族
A∈
, A ⊂ A’ ⇒ A’∈
極大非アクセス集合の族
= { B1, B2, … , Bj }
秘密情報を ( j , j ) 閾値法で j 個 w1, w2, … , wj に分割
各人 p に p ∈ Bi ∈
なる wi を割り当てる
W(p) = { wi | p ∈ Bi ∈
任意のアクセス集合 A∈
W(p)
∪
p∈A
}
に対し，
= { w1, w 2, … , w j }
任意の非アクセス集合 B に対し，
W(p) ⊂ { w , w , … , w }
∪
p∈B
1
2
j
15
16
Globecom ’87 の実行委員の三木哲也氏（当時
NTT，現 電通大理事）が，投稿を勧める．
斉藤明さんが上手に発表
Globecom ’87 で R. S. A. が称賛
単調ブール関数の乗法標準形
STOC 又は FOCS
一般アクセス構造を有する秘密共有法が，
情報セキュリティの一分野として発展
17
情報科学研究科創設後
水木先生，静谷先生，学生と共同研究
絶対に安全な秘密鍵の共有法
18
今日、
会おうよ！
Alice
Bob
ＡさんとＢさん遠くに離れているところに住んでいて、
ＡさんはＢさんにメッセージを伝えたいとしましょう。
19
今日、
会おうよ！
Alice
Bob
Eve
ただし、メッセージの内容を他の人に知られたくありません。
20
今日、
会おうよ！
電話・電子メール
Alice
Bob
Eve
例えば、電話を掛ければ、メッセージを伝えられますね。あるいは、最近では、電
子メールを利用してメッセージを伝えるかもしれません。しかし、電話にしても電
子メールにしても、もしかしたら、途中に盗み聞きや盗み見をしている悪い人がい
るかもしれません。
21
暗号
今日、
会おうよ！
Alice
カギ
？？？
Bob
Eve
そんなときには、「暗号」を使うと、ＡさんはＢさんに秘密にメッセージを伝えること
ができます。Ａさんは、途中で盗み見されても大丈夫なように、メッセージを暗号
化して、他の人にわからなくして、Ｂさんに送ります。暗号文を受け取ったＢさん
は元に戻してメッセージを得ます。
22
c
Alice
Bob
c = me mod pq
m = cd mod pq
p, q → pq : easy
pq → p, q : hard
ところで、暗号は本当に安全なのでしょうか？つまり、どんな人にも本当にメッ
セージの内容がバレないのでしょうか？実は、現在使われている暗号のほとん
どは、数学的な問題の難しさにその安全性の根拠を置いています。
23
小学校の算数の問題：
整数 35 を素因数分解しなさい
24
小学校の算数の問題：
整数 35 を素因数分解しなさい
35＝5×7
25
小学校の算数の問題：
整数 35 を素因数分解しなさい
35＝5×7
それでは、 2,795,519 では？
26
2,795,519 を素因数分解しなさい
2 で割り切れない、
3 で割り切れない、
4 で割り切れない、
5 で割り切れない、
…
683 で…割り切れた！
2,795,519 ＝ 683×4,093
27
大きな数の素因数分解ができると、
現在使われている暗号は解読されてしまいます。
1143816257578888676692357799761466120102182
9672124236256256184293570693524573389783059
7123563958705058989075147599290026879543541
素因数
分解
3276913299326670954996
1988190834461413177642
967992942539798288533
×
3490529510847650949147
8496199038981334177646
38493387843990820577
28
スーパーコンピュータ
したがって、もしそのような難しい数学の問題を解ける人がいたり、短時間で解け
る高性能なコンピュータがあったら、その暗号は破れてしまい、メッセージの内容
がバレてしまいます。
29
暗号
今日、
会おうよ！
Alice
絶対に開け
られない
カギ
Bob
Eve
本研究では、どんなに数学な得意な人でも、どんなに高性能なコンピュータでも、
絶対に解読できない暗号について研究し、どのような場合にそのような絶対に安
全な暗号を作ることができるかどうか、について研究しました。
30
２００８年
小泉康一 水木敬明
（博士院生）
31
Alice
c=m
Bob
k
m=c k
= (m k)
k
k：秘密共有鍵
32
０
１
Alice
Bob
Eve
カードのランダム配布を考える
33
ランダム配布
2
4
1
3
Alice
Bob
Eve
34
2
Alice
4
3
Bob
1
Eve
（例1）
Alice：「 3 と 4 の中にあなたのカードありますか？」
Bob ：「はい，あります」
Alice と Bob は， 3 が Bob のカードで 4 が Alice のカード
であることを知る．
しかし，Eve にはどっちがどっちのカードか全くわからない．
Alice と Bob は “秘密鍵” を共有できる
Alice のカードが大きい ⇒ “0”
Alice のカードが小さい ⇒ “１”
35
Alice
2
4
Bob
3
Eve
1
（例2）
Alice：「 1 と 4 の中にあなたのカードありますか？」
Bob ：「いいえ，ありません」
Alice と Bob は 1 と 4 を捨てる．
（実際には，捨てられたものであるとして以後振舞う．）
Alice
2
4
Bob
3
Eve
1
Alice：「 2 と 3 の中にあなたのカードありますか？」
Bob ：「はい，あります」
秘密鍵 を共有できる
36
Bob
Alice
Eve
( 2, 1; 1)
○
( 4, 3; 5)
○
( 1, 1; 1)
×
( a, b; e)
？？？
秘密鍵が共有できるための条件は？
37
改良 transformation プロトコル
a
b
分割
e
結合
38
step 2: Combining transformation
This combining operation is repeated as long as
there are two sets of almost same size.
splitting
transformation
Alice
a
Bob
b
Eve
combining transformation
Final sets
d
No Eve's
card
2 bits 39
The detail of combining operation
d
d /3
d
Alice randomly chooses d /3 cards from one of
the two larger sets,
40
The detail of combining operation
Alice announces these card numbers.
2d / 3
5 8 12 16
d
d /3 d /3
d
Alice randomly chooses d /3 cards from one of
the two larger sets,
and d /3 cards from the other larger set.
41
The detail of combining operation
Alice announces these card numbers.
Bob announces how many cards
he has in the new set.
d
2d / 3
Bob
announces
5 8 12 16 ‘1 card’
d /3 d /3
New smaller set.
d
42
The detail of combining operation
There are three cases.
d
d /3
d
Alice randomly chooses d /3 cards from one of the sets,
43
The detail of combining operation
There are three cases.
d
2d / 3
Bob
announces
‘0 card’
d /3 d /3
d
Alice randomly chooses d /3 cards from one of the sets,
and d /3 cards from the other larger set.
44
The detail of combining operation
Alice announces the remaining set, as a new smaller set.
There are three cases.
d
2d / 3
know
AliceEve
cancan
know
thatthat
card
is Eve’s
Alice’s.
thesethis
cards
are
cards.
d
2d/3
New smaller set.
45
The detail of combining operation
There are three cases.
d
d
d /3
Alice randomly chooses d /3 cards from one of the sets,
46
The detail of combining operation
There are three cases.
d
2d / 3
d
Bob
announces
‘2 cards’
d /3 d /3
Alice randomly chooses d /3 cards from one of the sets,
and d /3 cards from the other larger set.
47
The detail of combining operation
Alice regards this smaller set, as a new smaller set.
There are three cases.
d
2d / 3
d
d/3
Eve can know that
one of these blue cards is Bob's card.
48
The detail of combining operation
The combining operation is a randomized one.
There are three cases.
2d/3
d
d
2d/3
d/3
49
定理
プロトコルにより n ビット共有できる
log2
Ψ(a, b; e) 
a+b
a
min a,b, 

if e = 0
a  b  e
2 
ψ(a  b  e, a, b)
ψ(s, i, j) 
⇔ Ψ(a, b; e)  n
if 0 < e < max{a,b}
otherwise
1/ 2
if s = 3, i = j = 1
1 / 2 ψ(2s / 3,1,1)
if s≧4, i = j = 1
min{r, j}ψ(s / i,1,1)  max{ j  r,0}ψ(s / i,1,1)
(where r = s mod i)
ψ(s, j, i)
if s > i+j ≧3 and i ≧ j
otherwise
50
k bits
a=b
e/d 0.2 0.333
0.1
0.5 0.7
0.9
d=a+b+e
51
むすび
一般的なアクセス構造を有する秘密共有法の実現
- 30年～50年生き延びる結果
- 秘密共有法という分野が形成されるきっかけとなった
- 結果が単純ですぐ説明できる
- 組合せ論の考え方
- 高等な数学の結果は一切使っていない
某T先生談
「そんな易しい数学（算数）だけで，よくそんなに論文を書ける
ものですね」
「帰納法と背理法で証明できるのは，簡単で自明なことである」
ともご託宣
52
ポテンシャル法，対角線論法
RSA暗号だって，整数論の教科書の最初の50ページ
に書いてある結果だけを用いている
(k, n)しきい値法は多項式補間にすぎない
誰でも理解できる易しい数学だけを用いてよい結果を
導けるならば，それにこしたことはない
「(k, n)法が一般化できないか？」という岡本栄司さんの
直感が重要な役割
「回路理論的グラフ理論」博論
亀山先生と高校で同級
上原君，伊藤君，小泉君，斉藤明さん，岡本さん，
中村さん，水木先生，静谷先生との出会い
人との出会いが大事，大切
53