(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-10-04
(45)【発行日】2024-10-15
(54)【発明の名称】安全性評価装置、安全性評価方法及び安全性評価プログラム
(51)【国際特許分類】
G09C 1/00 20060101AFI20241007BHJP
【FI】
G09C1/00 620Z
【請求項の数】
9
(21)【出願番号】P 2021201850
(22)【出願日】2021-12-13
(65)【公開番号】P2023087456
(43)【公開日】2023-06-23
【審査請求日】2024-02-09
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】岡田 大樹
【審査官】塩澤 如正
(56)【参考文献】
【文献】米国特許出願公開第2022/0045865(US,A1)
【文献】四方 順司,量子コンピュータに耐性のある暗号技術の標準化動向:米国政府標準暗号について,日本銀行 金融研究所ディスカッション・ペーパー・シリーズ,日本銀行金融研究所,2019年03月15日,pp.1-34
【文献】青野 良範 ほか,SIS問題の計算量評価,2017年 暗号と情報セキュリティシンポジウム(SCIS2017)予稿集,2017年01月24日,pp.1-8
(58)【調査した分野】(Int.Cl.,DB名)
G09C1/00-5/00
H04L9/00-9/40
(57)【特許請求の範囲】
【請求項1】
確率分布χmを用いて定義された計算困難性が未知のSIS(m,m-n,q,χm)問題の入力を受け付ける入力部と、入力されたSIS問題と法qが共通し、かつ、計算困難性が既知のSIS(l,l-n,q,χl)問題を探索し、探索されたSIS問題のビットセキュリティを取得する取得部と、
取得した前記ビットセキュリティを、入力されたSIS問題を安全性の根拠とする暗号方式の評価値として出力する出力部と、を備える安全性評価装置。
【請求項2】
無限大ノルムβ∞を用いて定義された計算困難性が未知のSIS(m,m-n,q,√m・β∞)問題の入力を受け付ける入力部と、入力されたSIS問題と法qが共通し、かつ、計算困難性が既知のSIS(l,l-n,q,√l・β∞)問題を探索し、探索されたSIS問題のビットセキュリティを取得する取得部と、
取得した前記ビットセキュリティを、入力されたSIS問題を安全性の根拠とする暗号方式の評価値として出力する出力部と、を備える安全性評価装置。
【請求項3】
L2ノルムβを用いて定義された計算困難性が未知のSIS(m,m-n,q,β)問題の入力を受け付ける入力部と、入力されたSIS問題と法qが共通し、かつ、計算困難性が既知のSIS(l,l-n,q,β)問題を探索し、探索されたSIS問題のビットセキュリティを取得する取得部と、
取得した前記ビットセキュリティを、入力されたSIS問題を安全性の根拠とする暗号方式の評価値として出力する出力部と、を備える安全性評価装置。
【請求項4】
確率分布χmを用いて定義された計算困難性が未知のSIS(m,m-n,q,χm)問題の入力を受け付ける入力ステップと、入力されたSIS問題と法qが共通し、かつ、計算困難性が既知のSIS(l,l-n,q,χl)問題を探索し、探索されたSIS問題のビットセキュリティを取得する取得ステップと、
取得した前記ビットセキュリティを、入力されたSIS問題を安全性の根拠とする暗号方式の評価値として出力する出力ステップと、をコンピュータが実行する安全性評価方法。
【請求項5】
無限大ノルムβ∞を用いて定義された計算困難性が未知のSIS(m,m-n,q,√m・β∞)問題の入力を受け付ける入力ステップと、入力されたSIS問題と法qが共通し、かつ、計算困難性が既知のSIS(l,l-n,q,√l・β∞)問題を探索し、探索されたSIS問題のビットセキュリティを取得する取得ステップと、
取得した前記ビットセキュリティを、入力されたSIS問題を安全性の根拠とする暗号方式の評価値として出力する出力ステップと、をコンピュータが実行する安全性評価方法。
【請求項6】
L2ノルムβを用いて定義された計算困難性が未知のSIS(m,m-n,q,β)問題の入力を受け付ける入力ステップと、入力されたSIS問題と法qが共通し、かつ、計算困難性が既知のSIS(l,l-n,q,β)問題を探索し、探索されたSIS問題のビットセキュリティを取得する取得ステップと、
取得した前記ビットセキュリティを、入力されたSIS問題を安全性の根拠とする暗号方式の評価値として出力する出力ステップと、をコンピュータが実行する安全性評価方法。
【請求項7】
請求項1に記載の安全性評価装置としてコンピュータを機能させるための安全性評価プログラム。
【請求項8】
請求項2に記載の安全性評価装置としてコンピュータを機能させるための安全性評価プログラム。
【請求項9】
請求項3に記載の安全性評価装置としてコンピュータを機能させるための安全性評価プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号方式の安全性を評価する装置、方法及びプログラムに関する。
【背景技術】
【0002】
従来、SIS(Short Integer Solution)問題に基づく暗号方式のパラメータを設計するために、その安全性(計算困難性)を評価する際には、次の定理1が用いられている(例えば、非特許文献1参照)。
【0003】
定理1:
βとX⊆Zmは、任意の異なるx,x’∈Xに対して、gcd(x-x’,q)=1、及び∥x-x’∥∞≦βを満たすとする。このとき、任意の自然数cに対して、帰着collision-finding SIS(mc,n,qc,βc)→collision-finding SIS(m,n,q,β)が存在する。
βとX⊆Zmは、任意の異なるx,x’∈Xに対して、gcd(x-x’,q)=1、及び∥x-x’∥∞≦βを満たすとする。このとき、任意の自然数cに対して、帰着collision-finding SIS(mc,n,qc,βc)→collision-finding SIS(m,n,q,β)が存在する。
【0004】
ここで、帰着A→Bとは、
・「問題Aを解くことは、問題Bを解くことに帰着される」ことを意味し、
・「問題Aが難しいならば、問題Bも難しい」こと、あるいは、
・「問題Bが解けるならば、問題Aも解ける」ことと同義である。
・「問題Aを解くことは、問題Bを解くことに帰着される」ことを意味し、
・「問題Aが難しいならば、問題Bも難しい」こと、あるいは、
・「問題Bが解けるならば、問題Aも解ける」ことと同義である。
【0005】
この定理1を用いた安全性評価方法のアルゴリズム1は、次のように記述される。前提として、あるc∈Nに対して、SIS(m,n,q,β)問題の計算困難性は既知であるとし、ある対応関係fhardness(・)により、ビットセキュリティλ=fhardness(SIS(m,n,q,β))が得られる。
【0006】
アルゴリズム1:
Input: 計算困難性が未知のSIS(mc,n,qc,βc)問題
Output: ビットセキュリティλ(計算量O(2λ))
1 λ=fhardness(SIS(m,n,q,β))
2 return λ
Input: 計算困難性が未知のSIS(mc,n,qc,βc)問題
Output: ビットセキュリティλ(計算量O(2λ))
1 λ=fhardness(SIS(m,n,q,β))
2 return λ
【先行技術文献】
【非特許文献】
【0007】
【文献】Daniele Micciancio and Chris Peikert. "Hardness of SIS and LWE with Small Parameters". In: CRYPTO 2013. Ed. by Ran Canetti and Juan A. Garay. 2013, pp. 21-39.
【文献】Oded Goldreich. Foundations of Cryptography - I: Basic Tools. Cambridge University Press, 2001.
【文献】Daniele Micciancio and Petros Mol. "Pseudorandom Knapsacks and the Sample Complexity of LWE Search-to-Decision Reductions". In: CRYPTO 2011. Ed. by Phillip Rogaway. 2011, pp. 465-484.
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、アルゴリズム1による安全性評価方法は、あるc∈Nに対して、SIS(mc,n,qc,βc)問題の計算困難性を示すことができるが、サンプル数に関するmcを大きくできる一方、法qcもcに依存して大きくなり、暗号方式を構成するための鍵長及び暗号文等が長くなるという、実用上の強い制限があった。
【0009】
本発明は、SIS問題に基づく暗号方式に関して、より制限の弱い安全性評価装置、安全性評価方法及び安全性評価プログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明に係る第1の安全性評価装置は、確率分布χmを用いて定義された計算困難性が未知のSIS(m,m-n,q,χm)問題の入力を受け付ける入力部と、入力されたSIS問題と法qが共通し、かつ、計算困難性が既知のSIS(l,l-n,q,χl)問題を探索し、探索されたSIS問題のビットセキュリティを取得する取得部と、取得した前記ビットセキュリティを、入力されたSIS問題を安全性の根拠とする暗号方式の評価値として出力する出力部と、を備える。
【0011】
本発明に係る第2の安全性評価装置は、無限大ノルムβ∞を用いて定義された計算困難性が未知のSIS(m,m-n,q,√m・β∞)問題の入力を受け付ける入力部と、入力されたSIS問題と法qが共通し、かつ、計算困難性が既知のSIS(l,l-n,q,√l・β∞)問題を探索し、探索されたSIS問題のビットセキュリティを取得する取得部と、取得した前記ビットセキュリティを、入力されたSIS問題を安全性の根拠とする暗号方式の評価値として出力する出力部と、を備える。
【0012】
本発明に係る第3の安全性評価装置は、L2ノルムβを用いて定義された計算困難性が未知のSIS(m,m-n,q,β)問題の入力を受け付ける入力部と、入力されたSIS問題と法qが共通し、かつ、計算困難性が既知のSIS(l,l-n,q,β)問題を探索し、探索されたSIS問題のビットセキュリティを取得する取得部と、取得した前記ビットセキュリティを、入力されたSIS問題を安全性の根拠とする暗号方式の評価値として出力する出力部と、を備える。
【0013】
本発明に係る第1の安全性評価方法は、確率分布χmを用いて定義された計算困難性が未知のSIS(m,m-n,q,χm)問題の入力を受け付ける入力ステップと、入力されたSIS問題と法qが共通し、かつ、計算困難性が既知のSIS(l,l-n,q,χl)問題を探索し、探索されたSIS問題のビットセキュリティを取得する取得ステップと、取得した前記ビットセキュリティを、入力されたSIS問題を安全性の根拠とする暗号方式の評価値として出力する出力ステップと、をコンピュータが実行する。
【0014】
本発明に係る第2の安全性評価方法は、無限大ノルムβ∞を用いて定義された計算困難性が未知のSIS(m,m-n,q,√m・β∞)問題の入力を受け付ける入力ステップと、入力されたSIS問題と法qが共通し、かつ、計算困難性が既知のSIS(l,l-n,q,√l・β∞)問題を探索し、探索されたSIS問題のビットセキュリティを取得する取得ステップと、取得した前記ビットセキュリティを、入力されたSIS問題を安全性の根拠とする暗号方式の評価値として出力する出力ステップと、をコンピュータが実行する。
【0015】
本発明に係る第2の安全性評価方法は、L2ノルムβを用いて定義された計算困難性が未知のSIS(m,m-n,q,β)問題の入力を受け付ける入力ステップと、入力されたSIS問題と法qが共通し、かつ、計算困難性が既知のSIS(l,l-n,q,β)問題を探索し、探索されたSIS問題のビットセキュリティを取得する取得ステップと、取得した前記ビットセキュリティを、入力されたSIS問題を安全性の根拠とする暗号方式の評価値として出力する出力ステップと、をコンピュータが実行する。
【0016】
本発明に係る安全性評価プログラムは、前記第1から第3のいずれかの安全性評価装置としてコンピュータを機能させるためのものである。
【発明の効果】
【0017】
本発明によれば、SIS問題に基づく暗号方式に関して、より制限の弱い安全性評価装置を構成できる。
【図面の簡単な説明】
【0018】
【図1】実施形態における安全性評価装置の機能構成を示す図である。
【発明を実施するための形態】
【0019】
以下、本発明の実施形態の一例について説明する。
本実施形態の安全性評価方法は、SIS問題に基づく暗号方式に対してのパラメータ設計の際に安全性を評価するものであり、安全性が既知のパラメータに対して、法qを固定したパラメータ調整を可能とした、従来よりも制限の弱い評価装置が構成される。
本実施形態の安全性評価方法は、SIS問題に基づく暗号方式に対してのパラメータ設計の際に安全性を評価するものであり、安全性が既知のパラメータに対して、法qを固定したパラメータ調整を可能とした、従来よりも制限の弱い評価装置が構成される。
【0020】
まず、計算量的識別不可能性に関する定義1~6及び定理2を次に示す。
なお、
poly(n): 任意の多項式nO(1)の集合
negl(n): 任意の(1/多項式)より小さい関数n-ω(1)の集合(無視可能関数)
である。
なお、
poly(n): 任意の多項式nO(1)の集合
negl(n): 任意の(1/多項式)より小さい関数n-ω(1)の集合(無視可能関数)
である。
【0021】
定義1(確率変数族X):
長さが高々poly(n)の確率変数をXnとすると、確率変数族は、X={Xi}i∈Nと定義される。
長さが高々poly(n)の確率変数をXnとすると、確率変数族は、X={Xi}i∈Nと定義される。
【0022】
定義2(計算量的識別不可能性):
二つの確率変数族X:={Xn}n∈NとY:={Yn}n∈Nとは、任意の確率的多項式時間(PPT)アルゴリズムDに対して、|Pr[D(Xn,1n)=1]-Pr[D(Yn,1n)=1]|=negl(n)を満たすときに、計算量的識別不可能であると呼び、
と表記する。
二つの確率変数族X:={Xn}n∈NとY:={Yn}n∈Nとは、任意の確率的多項式時間(PPT)アルゴリズムDに対して、|Pr[D(Xn,1n)=1]-Pr[D(Yn,1n)=1]|=negl(n)を満たすときに、計算量的識別不可能であると呼び、
【数1】
【0023】
定義3(擬似ランダムな確率変数族):
特に、確率変数族の一つを(長さが高々poly(n)の)一様なランダムな確率変数族U:={Ui}i∈Nとしたとき、
を満たす確率変数族Xを擬似ランダムであるという。
特に、確率変数族の一つを(長さが高々poly(n)の)一様なランダムな確率変数族U:={Ui}i∈Nとしたとき、
【数2】
【0024】
定義4(Product of ensembles):
確率変数族X:={Xn}n∈N及びm=poly(n)に対して、Xのm-productを確率変数族Xm:={(Xn,1,…,Xn,m)}n∈Nとする。ここで、Xn,iは、それぞれXnのコピー(独立同分布な確率変数)である。
確率変数族X:={Xn}n∈N及びm=poly(n)に対して、Xのm-productを確率変数族Xm:={(Xn,1,…,Xn,m)}n∈Nとする。ここで、Xn,iは、それぞれXnのコピー(独立同分布な確率変数)である。
【0025】
定義5(複数標本の計算量的識別不可能性):
二つの確率変数族X:={Xn}n∈NとY:={Yn}n∈Nとは、任意の確率的多項式時間(PPT)アルゴリズムD、及び任意のm=poly(n)に対して、|Pr[D(Xm)=1]-Pr[D(Ym)=1]|=negl(n)を満たすときに、複数標本で計算量的識別不可能(indistinguishable by polynomial-time sampling)と呼び、
と表記する。
二つの確率変数族X:={Xn}n∈NとY:={Yn}n∈Nとは、任意の確率的多項式時間(PPT)アルゴリズムD、及び任意のm=poly(n)に対して、|Pr[D(Xm)=1]-Pr[D(Ym)=1]|=negl(n)を満たすときに、複数標本で計算量的識別不可能(indistinguishable by polynomial-time sampling)と呼び、
【数3】
【0026】
定義6(効率的に生成可能な確率変数族):
確率変数族X:={Xn}n∈Nは、あるPPTアルゴリズムSがあって、確率変数S(1n)とXnとが同分布であるとき、多項式時間で生成可能(polynomial-time-constructible)であるという。
確率変数族X:={Xn}n∈Nは、あるPPTアルゴリズムSがあって、確率変数S(1n)とXnとが同分布であるとき、多項式時間で生成可能(polynomial-time-constructible)であるという。
【0027】
定理2(非特許文献2):
多項式時間で生成可能な二つの確率変数族X:={Xn}n∈N及びY:={Yn}n∈Nが計算量的識別不可能であるならば、複数標本で計算量的識別不可能である。つまり、
が成り立つとき、任意のm=poly(n)に対して、
が成立する。
多項式時間で生成可能な二つの確率変数族X:={Xn}n∈N及びY:={Yn}n∈Nが計算量的識別不可能であるならば、複数標本で計算量的識別不可能である。つまり、
【数4】
【数5】
【0028】
次に、LWE問題、及びその双対問題として知られるSIS問題に関する定義7~11、補題、定理3~4及び系を次に示す。
【0029】
定義7(Decision-LWE問題 d-LWE(m,n,q,χm)):
qを整数とする。
一様ランダムに選ばれたa←U(Zn q),s←U(Zn q)と、あるZq上の確率分布χから標本抽出するノイズe←χとを用いて計算されたLWEサンプル
LWE(1,n,q,χ):
(a←U(Zn q),b:=<a,s>+e mod q)∈Zn q×Zq
と、一様ランダムに生成されたサンプル
(a←U(Zn q),b←U(Zq))∈Zn q×Zq
とを識別する問題であり、任意のm=poly(n)本のサンプルが得られる。
qを整数とする。
一様ランダムに選ばれたa←U(Zn q),s←U(Zn q)と、あるZq上の確率分布χから標本抽出するノイズe←χとを用いて計算されたLWEサンプル
LWE(1,n,q,χ):
(a←U(Zn q),b:=<a,s>+e mod q)∈Zn q×Zq
と、一様ランダムに生成されたサンプル
(a←U(Zn q),b←U(Zq))∈Zn q×Zq
とを識別する問題であり、任意のm=poly(n)本のサンプルが得られる。
【0030】
また、d-LWE問題は、次のように、行列を用いて書き換えることもできる。すなわち、d-LWE問題は、任意のm=poly(n)に対して、一様ランダムに選ばれたA←U(Zm×n
q),s←U(Zn
q)と、あるZq上の確率分布χから標本抽出するm個のノイズe←χmとを用いて計算されたLWEサンプル
LWE(m,n,q,χm):
(A←U(Zm×n q),b:=<A,s>+e mod q)∈Zm×n q×Zm q
と、一様ランダムに生成されたサンプル
(A←U(Zm×n q),b←U(Zm q))∈Zm×n q×Zm q
とを識別する問題である。
LWE(m,n,q,χm):
(A←U(Zm×n q),b:=<A,s>+e mod q)∈Zm×n q×Zm q
と、一様ランダムに生成されたサンプル
(A←U(Zm×n q),b←U(Zm q))∈Zm×n q×Zm q
とを識別する問題である。
【0031】
このように、d-LWE(m,n,q,χ)とは、LWEサンプルを一様ランダムなサンプルと識別する問題であるから、「d-LWE(m,n,q,χ)の計算困難性」と「LWE(m,n,q,χ)の擬似ランダム性」(定義3)とは同義である。
【0032】
定義8(SISサンプル):
Short Integer Solution(SIS)サンプルは、次のように定義される。
SIS(m,n,q,χm):
(A←U(Zm×n q),b:=ATx mod q)∈Zm×n q×Zn q,
where x←χm
Short Integer Solution(SIS)サンプルは、次のように定義される。
SIS(m,n,q,χm):
(A←U(Zm×n q),b:=ATx mod q)∈Zm×n q×Zn q,
where x←χm
【0033】
多くの場合、確率分布χmは、パラメータβ∈R、任意のx,x’←χmに対して∥x-x’∥≦βを満たすものと定義され、この場合、SISサンプルは、SIS(m,n,q,β)と表記される。
また、無限大ノルムβ∞:∥x-x’∥∞≦β∞(x-x’の係数の絶対値の最大値)を定義すると、∥x-x’∥≦√mβ∞が成立するため、SIS(m,n,q,√mβ∞)と定義されることもある。
また、無限大ノルムβ∞:∥x-x’∥∞≦β∞(x-x’の係数の絶対値の最大値)を定義すると、∥x-x’∥≦√mβ∞が成立するため、SIS(m,n,q,√mβ∞)と定義されることもある。
【0034】
定義9(Decision-SIS問題):
SIS(m,n,q,χm):(A,b)∈Zm×n q×Zn q
と、一様ランダムに生成されたサンプル
(A←U(Zm×n q),b←U(Zn q))∈Zm×n q×Zn q
とを識別する問題である。
SIS(m,n,q,χm):(A,b)∈Zm×n q×Zn q
と、一様ランダムに生成されたサンプル
(A←U(Zm×n q),b←U(Zn q))∈Zm×n q×Zn q
とを識別する問題である。
【0035】
定義10(inverting SIS問題):
SIS(m,n,q,χm)(又はSIS(m,n,q,β))に対して、一つの現像x(b=ATx)を求める問題である。
SIS(m,n,q,χm)(又はSIS(m,n,q,β))に対して、一つの現像x(b=ATx)を求める問題である。
【0036】
定義11(collison-finding SIS問題):
SIS(m,n,q,χm)(又はSIS(m,n,q,β))に対して、二つの現像x,x’(b=ATx,b=ATx’)を求める問題である。
SIS(m,n,q,χm)(又はSIS(m,n,q,β))に対して、二つの現像x,x’(b=ATx,b=ATx’)を求める問題である。
【0037】
ここで、帰着inverting SIS→decision SISが非特許文献3で示されている。逆も真なので、inverting SIS=decision SISである。また、collision-finding SIS→inverting SISは明らかである。
さらに、非特許文献3において、SIS問題とLWE問題との等価性(双方向の帰着)も示されている。
したがって、非特許文献3から次の補題1が得られる。
さらに、非特許文献3において、SIS問題とLWE問題との等価性(双方向の帰着)も示されている。
したがって、非特許文献3から次の補題1が得られる。
【0038】
補題1(d-SIS=d-LWE):
任意のn,m≧n+ω(log n),qと、任意のZ上の分布χに対して、d-SIS(m,m-n,q,χm)が計算困難であるとき、かつ、そのときに限り、LWE(m,n,q,χm)は計算困難である。
任意のn,m≧n+ω(log n),qと、任意のZ上の分布χに対して、d-SIS(m,m-n,q,χm)が計算困難であるとき、かつ、そのときに限り、LWE(m,n,q,χm)は計算困難である。
【0039】
また、前述の定理2は、次のように拡張できる。
定理3:
多項式時間で生成可能な二つの確率変数族X:={Xn}n∈N及びY:={Yn}n∈Nがある(適当な)m=poly(n)標本で計算量的識別不可能であるならば、任意のl=poly(n)標本で計算量的識別不可能である。つまり、ある(適当な)m=poly(n)で
が成立するとき、任意のl=poly(n)に対しても、
が成立する。
定理3:
多項式時間で生成可能な二つの確率変数族X:={Xn}n∈N及びY:={Yn}n∈Nがある(適当な)m=poly(n)標本で計算量的識別不可能であるならば、任意のl=poly(n)標本で計算量的識別不可能である。つまり、ある(適当な)m=poly(n)で
【数6】
【数7】
【0040】
この定理3は、次の二つの事実の組み合わせにより証明可能である。
・X’:=Xm,Y’:=Ymと定義し直すと、定理2より、任意のk=poly(n)に対して、
が成立し、つまり、
が成立する。
・定理2の逆は明らかである。すなわち、
が成立するとき、任意の1≦m<lに対して、
が成立するのは明らかである。
・X’:=Xm,Y’:=Ymと定義し直すと、定理2より、任意のk=poly(n)に対して、
【数8】
【数9】
・定理2の逆は明らかである。すなわち、
【数10】
【数11】
【0041】
この定理3をd-LWE問題に適用することで、次の補題2が得られる。
補題2:
任意のl,m=poly(n)に対して、帰着d-LWE(m,n,q,χ)→d-LWE(l,n,q,χ)が存在する。
補題2:
任意のl,m=poly(n)に対して、帰着d-LWE(m,n,q,χ)→d-LWE(l,n,q,χ)が存在する。
【0042】
ここで、補題1(SISとLWEの等価性)より、任意のm≧n+ω(log n)に対して、d-SIS(m,m-n,q,χ)=d-LWE(m,n,q,χ)が成立する。さらに、補題2は、任意のl,m=poly(n)に対して適用可能なので、双方向の帰着(等価性)d-LWE(m,n,q,χ)=d-LWE(l,n,q,χ)を示している。
そして、再度補題1より、d-LWE(l,n,q,χ)=d-SIS(l,l-n,q,χ)が成立する。したがって、次の定理4が導かれる。
そして、再度補題1より、d-LWE(l,n,q,χ)=d-SIS(l,l-n,q,χ)が成立する。したがって、次の定理4が導かれる。
【0043】
定理4(主定理):
任意のl,m=poly(n)≧n+ω(log n),q=poly(n),Zm上の確率分布χに対して、帰着d-SIS(l,l-n,q,χl)→d-SIS(m,m-n,q,χm)が存在する。
任意のl,m=poly(n)≧n+ω(log n),q=poly(n),Zm上の確率分布χに対して、帰着d-SIS(l,l-n,q,χl)→d-SIS(m,m-n,q,χm)が存在する。
【0044】
また、主定理4は、電子署名方式の構成等に多く用いられるL2ノルム又は無限大ノルムにより定義されたSIS問題に対する帰着にも、次のように適用可能である。
【0045】
系1:
任意のl,m=poly(n)≧n+ω(log n),q=poly(n),Zm上の確率分布χに対して、帰着d-SIS(l,l-n,q,√l・β∞)→d-SIS(m,m-n,q,√m・β∞)が存在する。
任意のl,m=poly(n)≧n+ω(log n),q=poly(n),Zm上の確率分布χに対して、帰着d-SIS(l,l-n,q,√l・β∞)→d-SIS(m,m-n,q,√m・β∞)が存在する。
【0046】
系2:
任意のl,m=poly(n)≧n+ω(log n),q=poly(n),Zm上の確率分布χに対して、帰着d-SIS(l,l-n,q,β)→d-SIS(m,m-n,q,β)が存在する。
任意のl,m=poly(n)≧n+ω(log n),q=poly(n),Zm上の確率分布χに対して、帰着d-SIS(l,l-n,q,β)→d-SIS(m,m-n,q,β)が存在する。
【0047】
これらの主定理4、系1又は系2により、本実施形態の安全性評価装置が構成される。
図1は、本実施形態における安全性評価装置1の機能構成を示す図である。
安全性評価装置1は、制御部10及び記憶部20の他、各種の入出力インタフェース等を備えた情報処理装置(コンピュータ)である。
図1は、本実施形態における安全性評価装置1の機能構成を示す図である。
安全性評価装置1は、制御部10及び記憶部20の他、各種の入出力インタフェース等を備えた情報処理装置(コンピュータ)である。
【0048】
制御部10は、安全性評価装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各機能を実現する。制御部10は、CPUであってよい。
【0049】
記憶部20は、ハードウェア群を安全性評価装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスクドライブ(HDD)等であってよい。
具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させるためのプログラム(安全性評価プログラム)の他、既知のパラメータと安全性(計算困難性)との対応関係fhardness(・)を示す関係式又はデータベース等を記憶する。
具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させるためのプログラム(安全性評価プログラム)の他、既知のパラメータと安全性(計算困難性)との対応関係fhardness(・)を示す関係式又はデータベース等を記憶する。
【0050】
制御部10は、入力部11と、取得部12と、出力部13とを備え、これらの機能部により、設計対象である暗号方式の安全性の根拠となるSIS問題の計算困難性を示す評価値を出力する。
【0051】
入力部11は、計算困難性が未知のSIS問題の入力を受け付ける。
ここで、入力されるSIS問題のパラメータは、前述の確率分布χを用いた(m,m-n,q,χm)、無限大ノルムβ∞を用いた(m,m-n,q,√m・β∞)、又はL2ノルムβを用いた(m,m-n,q,β)である。
ここで、入力されるSIS問題のパラメータは、前述の確率分布χを用いた(m,m-n,q,χm)、無限大ノルムβ∞を用いた(m,m-n,q,√m・β∞)、又はL2ノルムβを用いた(m,m-n,q,β)である。
【0052】
取得部12は、入力されたSIS問題と法qが共通し、かつ、計算困難性が既知のSIS問題を探索し、探索されたSIS問題のビットセキュリティλを取得する。
このとき、取得部12は、SIS(m,m-n,q,χm)問題に対しては、SIS(l,l-n,q,χl)問題を探索し、SIS(m,m-n,q,√m・β∞)問題に対しては、SIS(l,l-n,q,√l・β∞)問題を探索し、SIS(m,m-n,q,β)問題に対しては、SIS(l,l-n,q,β)問題を探索する。
このとき、取得部12は、SIS(m,m-n,q,χm)問題に対しては、SIS(l,l-n,q,χl)問題を探索し、SIS(m,m-n,q,√m・β∞)問題に対しては、SIS(l,l-n,q,√l・β∞)問題を探索し、SIS(m,m-n,q,β)問題に対しては、SIS(l,l-n,q,β)問題を探索する。
【0053】
出力部13は、取得したビットセキュリティを、入力されたSIS問題を安全性の根拠とする暗号方式の評価値として出力する。
【0054】
安全性評価装置1による処理手順は、次のアルゴリズム2~4のいずれかで表される。
なお、前提として、あるl=poly(n)に対して、λ=fhardness(SIS(l,l-n,q,χl))、λ=fhardness(SIS(l,l-n,q,√l・β∞))、又はλ=fhardness(SIS(l,l-n,q,β))が既知であるとする。
なお、前提として、あるl=poly(n)に対して、λ=fhardness(SIS(l,l-n,q,χl))、λ=fhardness(SIS(l,l-n,q,√l・β∞))、又はλ=fhardness(SIS(l,l-n,q,β))が既知であるとする。
【0055】
アルゴリズム2:
Input: 計算困難性が未知のSIS(m,m-n,q,χm)問題
Output: ビットセキュリティλ(計算量O(2λ))
1 あるl=poly(n)に対して、λ=fhardness(SIS(l,l-n,q,χl))を得る。
2 return λ
Input: 計算困難性が未知のSIS(m,m-n,q,χm)問題
Output: ビットセキュリティλ(計算量O(2λ))
1 あるl=poly(n)に対して、λ=fhardness(SIS(l,l-n,q,χl))を得る。
2 return λ
【0056】
アルゴリズム3:
Input: 計算困難性が未知のSIS(m,m-n,q,√m・β∞)問題
Output: ビットセキュリティλ(計算量O(2λ))
1 あるl=poly(n)に対して、λ=fhardness(SIS(l,l-n,q,√l・β∞))を得る。
2 return λ
Input: 計算困難性が未知のSIS(m,m-n,q,√m・β∞)問題
Output: ビットセキュリティλ(計算量O(2λ))
1 あるl=poly(n)に対して、λ=fhardness(SIS(l,l-n,q,√l・β∞))を得る。
2 return λ
【0057】
アルゴリズム4:
Input: 計算困難性が未知のSIS(m,m-n,q,β)問題
Output: ビットセキュリティλ(計算量O(2λ))
1 あるl=poly(n)に対して、λ=fhardness(SIS(l,l-n,q,β))を得る。
2 return λ
Input: 計算困難性が未知のSIS(m,m-n,q,β)問題
Output: ビットセキュリティλ(計算量O(2λ))
1 あるl=poly(n)に対して、λ=fhardness(SIS(l,l-n,q,β))を得る。
2 return λ
【0058】
本実施形態によれば、安全性評価装置1は、SIS問題の計算困難性を安全性の根拠とする暗号方式について、処理効率に関わるパラメータである法qを固定した計算困難性の帰着に基づいて安全性を評価する。
したがって、安全性評価装置1は、例えば、SISサンプル数に関わるパラメータmを大きく設定した場合にも、法qの大きさが同一の既知の暗号方式と同等の安全性を評価できる。すなわち、安全性評価装置1は、従来に比べて、より制限の弱いパラメータ設計方法を提供でき、この結果、暗号文長及び鍵長等を抑え、かつ、安全性が保証された効率的な暗号方式の設計が可能となる。
したがって、安全性評価装置1は、例えば、SISサンプル数に関わるパラメータmを大きく設定した場合にも、法qの大きさが同一の既知の暗号方式と同等の安全性を評価できる。すなわち、安全性評価装置1は、従来に比べて、より制限の弱いパラメータ設計方法を提供でき、この結果、暗号文長及び鍵長等を抑え、かつ、安全性が保証された効率的な暗号方式の設計が可能となる。
【0059】
また、本実施形態において、対象となるSIS問題の分布χは任意であるため、従来よりも一般性が高く汎用性があるため、より広範なパラメータ設計が可能となる。
なお、評価対象の暗号方式は、SIS問題を安全性の根拠とする任意の暗号学的なアルゴリズムであり、本実施形態は、共通鍵暗号方式、公開鍵暗号方式、電子署名方式、その他高機能暗号、準同型暗号等、様々な暗号方式に適用可能である。
なお、評価対象の暗号方式は、SIS問題を安全性の根拠とする任意の暗号学的なアルゴリズムであり、本実施形態は、共通鍵暗号方式、公開鍵暗号方式、電子署名方式、その他高機能暗号、準同型暗号等、様々な暗号方式に適用可能である。
【0060】
さらに、本実施形態の安全性評価方法を用いると、希望の安全性(ビットセキュリティλ)を満たすパラメータを探索することもできる。例えば、安全性評価装置1は、ユーザが指定する各パラメータの範囲の中から、希望のビットセキュリティλを満たすパラメータの組み合わせ候補を提示する設計装置として構成されてもよい。
【0061】
なお、前述の実施形態により、例えば、安全で効率的な暗号方式を設計できることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進するとともに、イノベーションの拡大を図る」に貢献することが可能となる。
【0062】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
【0063】
安全性評価装置1による安全性評価方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
【符号の説明】
【0064】
1 安全性評価装置
10 制御部
11 入力部
12 取得部
13 出力部
20 記憶部
10 制御部
11 入力部
12 取得部
13 出力部
20 記憶部
【図1】