| 研究背景 |
- センサーネットワーク
- 多数のセンサーが、サーバに署名付きデータを送信する。
- サーバは、センサーから届く署名を検証する。
- 集約署名
- 複数の署名を集約者が1つに集約する。
→センサーネットワークにおいて多数の署名を効率的に検証できる。
- 集約署名における不正署名の混入
- 集約署名では、正当な署名が大多数であっても、不正署名が1つでも混入すると検証者は署名全体を不正とみなす。
- 検証者はどの署名が不正かを特定できず、大多数の正当な署名が無駄になるため、検証効率が悪化してしまう。
|
|
|
| 対話的追跡機能付き集約署名 (ASIT) |
- 検証者が、集約者との対話により不正署名作成者の追跡を可能にする。
- 集約署名に不正署名が混入しても検証効率を保てるようにする。
- 集約者は単に集約のみを実行し、誰が不正署名を作成しているかは把握していない(集約者は検証しない)。
|
 |
|
|
| 本研究で解決したい課題 |
- 現実のセンサーネットワークでは、署名付きデータは複数回定期的に送信される。
- 定期送信の間に不正署名の生成者が時々刻々と動的に変わることが想定される。
- この攻撃者は、暗号学的には「適応的に結託した攻撃者」と考えることができる。
適応的に結託した攻撃者に対して安全な対話的追跡機能付き集約署名を提案する。
|
|
| 提案方式 |
- 概要
- 対話的追跡機能付き集約署名 (ASIT) の定式化
- Dynamic Traitor Tracing (DTT) の暗号学的な定式化
- 追跡機能にDTTを用いたASITの一般的構成を提案
- 本研究で想定するモデル
- ラウンドごとに、(適応的に結託した)攻撃者を含む全てのユーザが署名付きデータを送信する。
- 集約者は検証者からのフィードバックをもとに署名を集約する。(最初のラウンドでは全署名を1つに集約する)
- 検証者は、以下を実行する。
- 集約署名を検証する。
- 検証結果から攻撃者が特定できれば、それを出力する。
- 集約者へ次のラウンドに集約する署名集合を示すフィードバックを送信する。
- 内部状態を更新する。
|
 |
|
|
| Dynamic Traitor Tracing (DTT) [1] |
| [1] Amos Fiat and Tamir Tassa. Dynamic Traitor Tracing, Journal of Cryptology, 14:211-223, 2001 |
- DTTの安全性定義
- R-特定可能性:攻撃者集合がR回を超えて海賊行為をした場合、攻撃者全員が必ず追跡される。
- 完全性:正当なユーザは決して除外されない。
- DTTの集約署名への導入方針:DTTと集約署名を次のように対応させる。
- DTTにおいて同じ電子透かしが配布された受信者集合と単一の集約署名に集約された署名集合
- DTTにおいて海賊版と同じ電子透かしが配布された受信者集合と不正な集約署名に集約された署名集合
|
 |
|
|
| 本研究で提案するASITの構成 |
- DTTを用いたASITの一般的構成
- 通常の集約署名ΣASとDTT ΣDTTから構成されるASIT (下図)
- ただし、鍵生成、署名、検証アルゴリズムはΣASをそのまま用いる。
- ASITの安全性定義
- 署名の偽造に対する安全性:EUF-CMA安全性
- 不正署名の作成に対する安全性
- R-特定可能性:不正署名をR回を超えて作成した場合、攻撃者全員が必ず特定される。
- 完全性:正当なユーザは決して除外されない。
- DTTを用いたASITの一般的構成の安全性
- 通常の集約署名ΣASとDTT ΣDTTから構成されるASIT ΣASITについて以下の定理が成り立つ。(証明は[2]を参照。)
- [定理1]:ΣASがEUF-CMA安全性を満たす場合、ΣASITもEUF-CMA安全性を満たす。
- [定理2]:ΣDTTがR-特定可能性を満たす場合、ΣASITもR-特定可能性を満たす。
- [定理3]:ΣDTTが完全性を満たす場合、ΣASITも完全性を満たす。
|
 |
| [2] 石井 龍, 照屋 唯紀, 坂井 祐介, 松田 隆宏, 花岡 悟一郎, 松浦 幹太, 松本 勉. 動的に不正署名を生成するデバイスを追跡可能な集約署名, 2021年 暗号と情報セキュリティシンポジウム (SCIS2021) 予稿集, 2021 |
|
|
|
|
