Vol.7 No.2 2014
32/78

研究論文:モジュール化に基づく高機能暗号の設計(花岡ほか)−96−Synthesiology Vol.7 No.2(2014)た場合、方式の構成と安全性証明がいかに複雑となるのかについて議論を行う。2.1 代理再暗号化技術の数学的モデルここではまず代理再暗号化技術の機能について整理を行う。代理再暗号化技術の機能は大雑把には以下のとおりである。【機能1】各利用者の鍵を生成する機能代理再暗号化技術は、公開鍵暗号と同じく、各利用者は、公開される暗号化鍵と秘密にする復号鍵の生成を行う機能が必要となる。【機能2】再暗号化鍵を生成する機能利用者A宛ての暗号文を利用者B宛ての暗号文に変換可能な再暗号化鍵の生成機能も必要となる。利用者Aは、利用者Aの復号鍵と利用者Bの暗号化鍵を用いて、上記の再暗号鍵を生成し、プロキシに預託することとなる。【機能3】暗号化を行う機能従来の公開鍵暗号と同じく、特定の受信者のみが復号可能な暗号文を作成する機能が必要となる。その際、暗号化の対象となる平文と受信者の暗号化鍵を用いて暗号化がなされる。また、この暗号化によって作成された暗号文は、上述のとおり、再暗号化鍵によって、別の受信者が復号可能な暗号文に変換可能でなくてはならない。【機能4】再暗号化を行う機能上記の機能3.にある暗号化がなされた場合は、再暗号化鍵をもつプロキシが、元々指定された受信者とは異なる、別の利用者が復号可能となるよう暗号文の変換を行うことができる機能が必要となる。この機能では、変換前の暗号文と再暗号化鍵を用いて、変換後の暗号文の作成がなされる。【機能5】復号を行う機能上記の機能3.にある暗号化により作成された暗号文を復号するための機能も必要である。この機能では、公開鍵で暗号化された暗号文と正当な受信者の復号鍵を用いて、平文が復元される。【機能6】再暗号化された暗号文の復号を行う機能同様に、上記の機能4.にある再暗号化により作成された暗号文を復号するための機能も必要である。この機能では、復号の対象となる暗号文と正当な受信者の復号鍵を用いて、平文の復元がなされる。以上の機能1.~6.を見てわかるとおり、代理再暗号化技術を構成するアルゴリズムは6つにのぼり、しかもその一つ一つが複雑なものとなっている。そのため、代理再暗号化技術の設計者が、提案方式がこの機能を満足していると主張をしたとしても、その正当性を検証することは必ずしも容易ではない。2.2 代理再暗号化技術の安全性定義2.1 節で述べたように、代理再暗号化技術の数学的モデル化はすでに非常に複雑であるが、安全性の定義はそれよりはるかに複雑で難解となる。本節では、代理再暗号化技術の安全性要件について整理を行う。詳細については、例えば文献[9]を参照されたい。代理再暗号化機能をもたない通常の暗号化・復号機能のみを有する公開鍵暗号方式に標準的に要求される安全性は、「選択暗号文攻撃に対する安全性」と呼ばれる。この安全性は、攻撃対象の暗号文以外の任意の暗号文の復号結果を得ることが許されている攻撃者をもってしても、攻撃対象の暗号文から平文の情報を1ビットも得ることができないということを保証する。代理再暗号化技術にも、基本的には上記のような安全性が求められる。しかし、すでに2.1節で見てきたとおり、代理再暗号化技術には「再暗号化前の暗号文」、および「再暗号化後の暗号文」の2種類の暗号文があり、平文の情報を得たい攻撃者はどちらの暗号文を攻撃してもよい。さらに、代理再暗号化技術には再暗号化機能、および再暗号化鍵の鍵生成の機能も存在するため、攻撃者はこれらの機能を用いることで解読に関するヒントを抽出しようとすることも考えられる。したがって、代理再暗号化技術の安全性定義は、このような状況においても安全性を保証するものとなっていなければならない。特に重要なことの一つとして、再暗号化を行うプロキシに対しても暗号文からは情報が漏れないことをとらえた安全性定義でなければならない。さらに、現実での利用状況を考え、安全性は複数の利用者およびプロキシが結託をしたとしても、正規のユーザーの情報が守られるものになっていなければならない。以上を考慮して代理再暗号化技術に求められる安全性を整理すると、次のとおりとなる。(以下では便宜上、攻撃を受ける利用者をAと呼ぶことにする):「再暗号化前の暗号文の安全性」本安全性は、「攻撃を防ぎようのない結託以外のありとあらゆる利用者・プロキシ間結託が起こったとしても、A宛てに作成された再暗号化前の暗号文は平文の情報を1ビットも漏らさず、かつA宛ての再暗号化前暗号文は、「他の利用者宛て再暗号化暗号文」以外には意味のある別の暗号文へと改変ができないことを要求する。代理再暗号化技術の機能の定義から、「利用者B」と「A宛ての暗号文をB宛ての暗号文へと再暗号化できるプロキシ」が結託すると、A宛ての再暗号化前暗号文はすべて復号できてしまうことに注意されたい。本安全性は、この原理的に防ぎようがない結託以外のあらゆる攻撃状況を考慮している。「再暗号化後の暗号文の安全性」

元のページ 

page 32

※このページを正しく表示するにはFlashPlayer10.2以上が必要です