知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-05-13
(45)【発行日】2022-05-23
(54)【発明の名称】設計装置、設計方法及び設計プログラム
(51)【国際特許分類】
G09C 1/00 20060101AFI20220516BHJP
【FI】
G09C1/00 620Z
【請求項の数】
5
(21)【出願番号】P 2017247024
(22)【出願日】2017-12-22
(65)【公開番号】P2019113698
(43)【公開日】2019-07-11
【審査請求日】2019-12-09
【審判番号】
【審判請求日】2021-08-06
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】岡田 大樹
(72)【発明者】
【氏名】福島 和英
(72)【発明者】
【氏名】清本 晋作
【合議体】
【審判長】篠原 功一
【審判官】石井 茂和
【審判官】須田 勝巳
(56)【参考文献】
【文献】特開2006-332735(JP,A)
【文献】岡田 大樹 ほか,LWR問題解読のためのサンプル増幅法を用いたBKWアルゴリズム,コンピュータセキュリティシンポジウム2017論文集,日本,一般社団法人情報処理学会 コンピュータセキュリティ研究会 セキュリティ心理学とトラスト研究会,2017年10月16日,第2017巻,第2号,pp.256-263,情報処理学会シンポジウムシリーズ
(58)【調査した分野】(Int.Cl.,DB名)
G09C 1/00
(57)【特許請求の範囲】
【請求項1】
計算の困難性に基づく2種類の暗号プロトコルにおいて、第1の暗号プロトコルが依拠する第1の問題を解くためのアルゴリズムによる計算量のオーダと、第2の暗号プロトコルが依拠する第2の問題を解くためのアルゴリズムによる計算量のオーダとを等式で結ぶことで得られるパラメータの関係式を記憶する記憶部と、前記第1の暗号プロトコルで設定される第1のパラメータ群の入力を受け付ける入力部と、
前記第1のパラメータ群から、前記関係式により前記第2の暗号プロトコルで設定される第2のパラメータ群を導出する導出部と、
前記第2のパラメータ群を出力する出力部と、を備え、
前記第1の暗号プロトコル及び前記第2の暗号プロトコルにおける鍵値の空間を設定するための、前記第1のパラメータ群及び前記第2のパラメータ群の一部を共通とする設計装置。
【請求項2】
前記第1の問題はLearning with Errors(LWE)問題であり、前記第2の問題はLearning with Rounding(LWR)問題である請求項1に記載の設計装置。
【請求項3】
前記第1の問題を解くためのアルゴリズム及び前記第2の問題を解くためのアルゴリズムは、共通の計算アルゴリズムである請求項1又は請求項2に記載の設計装置。
【請求項4】
コンピュータが、計算の困難性に基づく2種類の暗号プロトコルにおいて、第1の暗号プロトコルが依拠する第1の問題を解くためのアルゴリズムによる計算量のオーダと、第2の暗号プロトコルが依拠する第2の問題を解くためのアルゴリズムによる計算量のオーダとを等式で結ぶことで得られるパラメータの関係式を記憶し、
前記第1の暗号プロトコルで設定される第1のパラメータ群の入力を受け付ける入力ステップと、
前記第1のパラメータ群から、前記関係式により前記第2の暗号プロトコルで設定される第2のパラメータ群を導出する導出ステップと、
前記第2のパラメータ群を出力する出力ステップと、を実行し、
前記第1の暗号プロトコル及び前記第2の暗号プロトコルにおける鍵値の空間を設定するための、前記第1のパラメータ群及び前記第2のパラメータ群の一部を共通とする設計方法。
【請求項5】
コンピュータに、計算の困難性に基づく2種類の暗号プロトコルにおいて、第1の暗号プロトコルが依拠する第1の問題を解くためのアルゴリズムによる計算量のオーダと、第2の暗号プロトコルが依拠する第2の問題を解くためのアルゴリズムによる計算量のオーダとを等式で結ぶことで得られるパラメータの関係式を記憶させ、
前記第1の暗号プロトコルで設定される第1のパラメータ群の入力を受け付ける入力ステップと、
前記第1のパラメータ群から、前記関係式により前記第2の暗号プロトコルで設定される第2のパラメータ群を導出する導出ステップと、
前記第2のパラメータ群を出力する出力ステップと、を実行させ、
前記第1の暗号プロトコル及び前記第2の暗号プロトコルにおける鍵値の空間を設定するための、前記第1のパラメータ群及び前記第2のパラメータ群の一部を共通とするための設計プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号プロトコルの設計装置、設計方法及び設計プログラムに関する。
【背景技術】
【0002】
従来、暗号化、認証、鍵共有等のセキュリティ機能を実現するために、様々な暗号プロトコルが提案されている。また、これらの暗号プロトコルは、問題解読のための計算困難性を利用したものが多く、それぞれ用途に応じた適切な安全性を確保するためのパラメータが設定されて利用される。
【0003】
例えば、量子計算機に耐性を持つと期待されている格子暗号に用いられるLearning with Errors(LWE)問題は、非特許文献1で紹介されているように、最悪時格子問題への帰着が証明されている計算困難な問題である。
また、Learning with Rounding(LWR)問題は、非特許文献2で提唱されたLWE問題に派生する問題であり、その解読困難性はLWE問題に帰着することによって保証されている。LWE問題には、離散正規分布に従う擬似乱数の生成モジュールが必要な一方、LWR問題には必要ないため、LWE問題に基づく暗号プロトコルよりも高速かつ軽量な暗号プロトコルが設計できることが期待されている。
また、Learning with Rounding(LWR)問題は、非特許文献2で提唱されたLWE問題に派生する問題であり、その解読困難性はLWE問題に帰着することによって保証されている。LWE問題には、離散正規分布に従う擬似乱数の生成モジュールが必要な一方、LWR問題には必要ないため、LWE問題に基づく暗号プロトコルよりも高速かつ軽量な暗号プロトコルが設計できることが期待されている。
【0004】
非特許文献3には、LWE問題以上の解読困難性を持つLWR問題のパラメータを導出する手法が提案されている。
【先行技術文献】
【非特許文献】
【0005】
【文献】Regev, O.: On lattices, learning with errors, random linear codes, and cryptography, Journal of the ACM (JACM), Vol. 56, No. 6, p. 34 (2009).
【文献】Banerjee, A., Peikert, C. and Rosen, A.: Pseudorandom functions and lattices, Advances in Cryptology - EUROCRYPT 2012, pp. 719-737 (2012).
【文献】Alwen, J., Krenn, S., Pietrzak, K., and Wichs, D.: Learning with rounding, revisited, Advances in Cryptology - CRYPTO 2013, pp. 57-74 (2013).
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、非特許文献3の導出手法では、パラメータの1つであるサンプル数に大きな制約があった。すなわち、LWR問題に基づく暗号プロトコルを設計する際に、LWE問題に基づく暗号プロトコルに比べて、鍵値の空間(法)が大きくなり過ぎてしまい、現実的なサイズの暗号を構成することが難しかった。
また、この導出手法では、あるLWR問題以上の解読困難性を持つLWE問題を一意に定めることはできず、LWE問題とLWR問題とを双方向に置き換えることは難しかった。
また、この導出手法では、あるLWR問題以上の解読困難性を持つLWE問題を一意に定めることはできず、LWE問題とLWR問題とを双方向に置き換えることは難しかった。
【0007】
本発明は、暗号プロトコルに用いられる2つの問題の間で、同等の安全性を持つように双方向にパラメータを導出できる設計装置、設計方法及び設計プログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明に係る設計装置は、計算の困難性に基づく2種類の暗号プロトコルにおいて、第1の暗号プロトコルが依拠する第1の問題を解くためのアルゴリズムによる計算量のオーダと、第2の暗号プロトコルが依拠する第2の問題を解くためのアルゴリズムによる計算量のオーダとを等式で結ぶことで得られるパラメータの関係式を記憶する記憶部と、前記第1の暗号プロトコルで設定される第1のパラメータ群の入力を受け付ける入力部と、前記第1のパラメータ群から、前記関係式により前記第2の暗号プロトコルで設定される第2のパラメータ群を導出する導出部と、前記第2のパラメータ群を出力する出力部と、を備える。
【0009】
前記第1の問題はLWE問題であり、前記第2の問題はLWR問題であってもよい。
【0010】
前記第1の問題を解くためのアルゴリズム及び前記第2の問題を解くためのアルゴリズムは、共通の計算アルゴリズムであってもよい。
【0011】
本発明に係る設計方法は、コンピュータが、計算の困難性に基づく2種類の暗号プロトコルにおいて、第1の暗号プロトコルが依拠する第1の問題を解くためのアルゴリズムによる計算量のオーダと、第2の暗号プロトコルが依拠する第2の問題を解くためのアルゴリズムによる計算量のオーダとを等式で結ぶことで得られるパラメータの関係式を記憶し、前記第1の暗号プロトコルで設定される第1のパラメータ群の入力を受け付ける入力ステップと、前記第1のパラメータ群から、前記関係式により前記第2の暗号プロトコルで設定される第2のパラメータ群を導出する導出ステップと、前記第2のパラメータ群を出力する出力ステップと、を実行する。
【0012】
本発明に係る設計プログラムは、コンピュータに、計算の困難性に基づく2種類の暗号プロトコルにおいて、第1の暗号プロトコルが依拠する第1の問題を解くためのアルゴリズムによる計算量のオーダと、第2の暗号プロトコルが依拠する第2の問題を解くためのアルゴリズムによる計算量のオーダとを等式で結ぶことで得られるパラメータの関係式を記憶させ、前記第1の暗号プロトコルで設定される第1のパラメータ群の入力を受け付ける入力ステップと、前記第1のパラメータ群から、前記関係式により前記第2の暗号プロトコルで設定される第2のパラメータ群を導出する導出ステップと、前記第2のパラメータ群を出力する出力ステップと、を実行させるためのものである。
【発明の効果】
【0013】
本発明によれば、暗号プロトコルに用いられる2つの問題の間で、同等の安全性を持つように双方向にパラメータを導出できる。
【図面の簡単な説明】
【0014】
【発明を実施するための形態】
【0015】
以下、本発明の実施形態の一例について説明する。
図1は、本実施形態に係る設計装置1の機能構成を示す図である。
設計装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10、記憶部20、及び各種の入出力デバイスを備える。
図1は、本実施形態に係る設計装置1の機能構成を示す図である。
設計装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10、記憶部20、及び各種の入出力デバイスを備える。
【0016】
制御部10は、設計装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における機能を実現している。制御部10は、CPUであってよい。
【0017】
記憶部20は、ハードウェア群を設計装置1として機能させるための設計プログラムを含む各種ソフトウェア、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスク(HDD)等であってよい。
【0018】
記憶部20は、解読のための計算の困難性に基づく2種類の暗号プロトコルにおいて、第1の暗号プロトコルが依拠する第1の問題を解くためのアルゴリズムによる計算量のオーダと、第2の暗号プロトコルが依拠する第2の問題を解くためのアルゴリズムによる計算量のオーダとを等式で結ぶことで得られるパラメータの関係式を記憶する。
本実施形態では、一例として、LWE問題とLWR問題とを対象とし、両者のパラメータを相互に導出するための後述の関係式が設定される。
また、第1の問題を解くためのアルゴリズム及び第2の問題を解くためのアルゴリズムは、共通の計算アルゴリズムであってよい。
本実施形態では、一例として、LWE問題とLWR問題とを対象とし、両者のパラメータを相互に導出するための後述の関係式が設定される。
また、第1の問題を解くためのアルゴリズム及び第2の問題を解くためのアルゴリズムは、共通の計算アルゴリズムであってよい。
【0019】
制御部10は、入力部11と、導出部12と、出力部13とを備える。
設計装置1は、これらの機能部が協働することで、一方の問題(LWE問題又はLWR問題)のパラメータを入力として、同等の解読困難性を持つ他方の問題のパラメータを、記憶部20に記憶された関係式を用いて導出する。
設計装置1は、これらの機能部が協働することで、一方の問題(LWE問題又はLWR問題)のパラメータを入力として、同等の解読困難性を持つ他方の問題のパラメータを、記憶部20に記憶された関係式を用いて導出する。
【0020】
入力部11は、第1の暗号プロトコルで設定される第1のパラメータ群の入力を受け付ける。
導出部12は、第1のパラメータ群から、関係式により第2の暗号プロトコルで設定される第2のパラメータ群を導出する。
出力部13は、第2のパラメータ群を出力する。
導出部12は、第1のパラメータ群から、関係式により第2の暗号プロトコルで設定される第2のパラメータ群を導出する。
出力部13は、第2のパラメータ群を出力する。
【0021】
図2は、本実施形態に係る関係式及びパラメータの導出手順を示す図である。
LWE問題及びLWR問題を解読するために、以下の文献Aにおいて、BKW(Blum, Kalai, Wasserman)アルゴリズムが提案されている。
文献A: Duc, A., Tramer, F. and Vaudenay, S.: Better algorithms for LWE and LWR, Advances in Cryptology - EUROCRYPT 2015, pp. 173-202 (2015).
LWE問題及びLWR問題を解読するために、以下の文献Aにおいて、BKW(Blum, Kalai, Wasserman)アルゴリズムが提案されている。
文献A: Duc, A., Tramer, F. and Vaudenay, S.: Better algorithms for LWE and LWR, Advances in Cryptology - EUROCRYPT 2015, pp. 173-202 (2015).
【0022】
BKWアルゴリズムを用いた場合、以下の文献Bによれば、LWE問題を解読する際の最小計算量は、αlwe=√2πσとすると、
と見積もられる。ただし、a,bはab=n(次元)を満たす自然数である。
文献B: 上中谷健,國廣昇,高安敦: 最小サンプルでLWE問題を解くためのBKWアルゴリズム, SCIS, Vol. 2D4, No. 5 (2016).
すなわち、LWE問題を解読する際の計算量のオーダは、
に漸近的に従うことが解析的に求められる。
なお、aは、BKWアルゴリズムにおける入力パラメータである。
【数1】
文献B: 上中谷健,國廣昇,高安敦: 最小サンプルでLWE問題を解くためのBKWアルゴリズム, SCIS, Vol. 2D4, No. 5 (2016).
すなわち、LWE問題を解読する際の計算量のオーダは、
【数2】
なお、aは、BKWアルゴリズムにおける入力パラメータである。
【0023】
また、BKWアルゴリズムを用いてLWR問題を解読する際の最小計算量は、αlwr=π/(p√6)とすると、LWE問題の場合と同様に、
と見積もられる。すなわち、LWR問題を解読する際の計算量のオーダは、
に漸近的に従うことが解析的に求められる。
【数3】
【数4】
【0024】
これら2つの計算量のオーダを等号で結ぶことにより、LWE問題とLWR問題とが同等の解読困難性を持つためのパラメータの関係式が次のように導かれる。
【数5】
【0025】
この関係式を用いることにより、次元n、法q、ノイズの分散σのLWE問題を入力として、同等以上の解読困難性を持つ次元n、法q、丸め演算の法pのLWR問題が導出される。
具体的には、次元n及び法qを共通としたとき、丸め演算の法pを、
とすると、LWR問題は、入力のLWE問題以上の解読困難性を持つ。
具体的には、次元n及び法qを共通としたとき、丸め演算の法pを、
【数6】
【0026】
また、次元n、法q、丸め演算の法pのLWR問題を入力として、同等の解読困難性を持つ次元n、法q、ノイズの分散σのLWE問題が導出される。
具体的には、次元n及び法qを共通としたとき、ノイズの分散σを、
とすると、LWE問題は、入力のLWR問題と同等の解読困難性を持つ。
具体的には、次元n及び法qを共通としたとき、ノイズの分散σを、
【数7】
【0027】
本実施形態によれば、設計装置1は、アルゴリズムの計算量を解読困難性とみなし、2つの問題の計算量のオーダを等式で結ぶことで得られたパラメータの関係式を記憶する。これにより、設計装置1は、この関係式に基づいて、一方の問題のパラメータを入力として、同等の解読困難性を持つ他方の問題のパラメータを導出できる。
したがって、設計装置1は、暗号プロトコルに用いられる2つの問題の間で、暗号が同等の安全性を持つように双方向にパラメータを導出できる。
特に、LWE問題とLWR問題との間で、サンプル数に関する制約を受けずに、同等の解読困難性を持つ暗号プロトコルを双方向に容易に設計することが可能になる。
したがって、設計装置1は、暗号プロトコルに用いられる2つの問題の間で、暗号が同等の安全性を持つように双方向にパラメータを導出できる。
特に、LWE問題とLWR問題との間で、サンプル数に関する制約を受けずに、同等の解読困難性を持つ暗号プロトコルを双方向に容易に設計することが可能になる。
【0028】
この結果、2つの問題の解読困難性を容易に比較できるため、双方の問題に基づく暗号プロトコルの設計及び安全性の評価を、一方の問題に帰着して容易に行うことができる。
例えば、以下の文献Cには、LWE問題及びLWR問題の双方に基づく鍵交換プロトコルが示されている。このプロトコルにおいて、一方の問題のパラメータを決定することで、設計装置1は、他方の問題のパラメータを自動的に導出できる。
文献C: Zhengzhong Jin and Yunlei Zhao, Optimal Key Consensus in Presence of Noise, https://it.arxiv.org/pdf/1611.06150.pdf
例えば、以下の文献Cには、LWE問題及びLWR問題の双方に基づく鍵交換プロトコルが示されている。このプロトコルにおいて、一方の問題のパラメータを決定することで、設計装置1は、他方の問題のパラメータを自動的に導出できる。
文献C: Zhengzhong Jin and Yunlei Zhao, Optimal Key Consensus in Presence of Noise, https://it.arxiv.org/pdf/1611.06150.pdf
【0029】
また、問題を解読するための計算量が2つの問題に共通したアルゴリズムにより見積もられることにより、双方の解読困難性を精度よく比較できる。さらに、関係式が簡略化されることが期待でき、双方向のパラメータ導出が容易になる。
【0030】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
【0031】
前述の実施形態では、LWE問題とLWR問題とに基づく暗号プロトコルの場合を例示したが、これには限られない。例えば、LWE問題は、最悪時格子問題から派生しており、LWE問題のパラメータと最悪時格子問題のパラメータとの間にも、同様に関係式が定義でき、双方向に同等の安全性を持つ暗号プロトコルが設計できる。
このとき、2つの問題は、同一の問題から派生していることが好ましく、この場合、数式が類似することにより、関係式が簡略化されることが期待できる。
このとき、2つの問題は、同一の問題から派生していることが好ましく、この場合、数式が類似することにより、関係式が簡略化されることが期待できる。
【0032】
また、関係式を定義するために用いられる、問題を解読するための計算量のオーダは、前述の実施形態とは異なる数式による見積もりが採用されてもよい。
【0033】
設計装置1による設計方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
【符号の説明】
【0034】
1 設計装置
10 制御部
11 入力部
12 導出部
13 出力部
20 記憶部
10 制御部
11 入力部
12 導出部
13 出力部
20 記憶部
【図1】
【図2】