合理的な秘密分散における不可能性とその回避方法

合理的な秘密分散における不可能性とその回避方法

安永憲司

九州先端科学技術研究所

コンピュータセキュリティシンポジウム 2012 ＠松江

暗号理論とゲーム理論

ともにプレイヤー間の相互作用に関する研究

暗号理論プレイヤーは正直者 or 悪者正直者をどのように守るか？

ゲーム理論プレイヤーは合理的合理的なプレイヤーはどう振る舞うか？

暗号理論とゲーム理論（既存研究）暗号理論をゲーム理論に利用

信頼できる仲介者を暗号技術で実現[DHR06, ADGH06, LMPS04, ILM05, ILM08]

ゲーム理論を暗号理論へ適用合理的なプレイヤーが暗号プロトコルを実行

秘密分散 [HT04, ADGH06, LT06, GK06, KN08a, KN08b, MS09, OPRV09, AL09, FKN10, PS11]

リーダー選出，ランダムサンプリング [Gra10]

ビザンチン合意 [GKTZ12]

公開鍵暗号 [Y12]

ゲーム理論と暗号理論の概念間の関係暗号理論向けのゲーム理論の概念 [HP10, GLV10, PS11] ゲーム理論の概念による安全性特徴付け [ACH11, GK12]

暗号理論とゲーム理論（既存研究）暗号理論をゲーム理論に利用

信頼できる仲介者を暗号技術で実現[DHR06, ADGH06, LMPS04, ILM05, ILM08]

ゲーム理論を暗号理論へ適用合理的なプレイヤーが暗号プロトコルを実行

秘密分散 [HT04, ADGH06, LT06, GK06, KN08a, KN08b, MS09, OPRV09, AL09, FKN10, PS11]

リーダー選出，ランダムサンプリング [Gra10]

ビザンチン合意 [GKTZ12]

公開鍵暗号 [Y12]

ゲーム理論と暗号理論の概念間の関係暗号理論向けのゲーム理論の概念 [HP10, GLV10, PS11] ゲーム理論の概念による安全性特徴付け [ACH11, GK12]

本研究

秘密分散分散フェーズ

復元フェーズ

(m, n) しきい値型秘密分散 m 個のシェアから秘密を復元でき

m 個未満からは秘密について情報がもれない

合理的な秘密分散

単純な設定では、各プレイヤーは正直者と仮定


単純な設定では、各プレイヤーは正直者と仮定 Halpern, Teague (STOC ’04)

プレイヤーが自分の利益のため行動すると？



プレイヤーが自分の利益のため行動すると？ Shamir の秘密分散は正しく実行されない



プレイヤーが自分の利益のため行動すると？ Shamir の秘密分散は正しく実行されない自分の利益のために行動するプレイヤー合理的なプレイヤー



プレイヤーが自分の利益のため行動すると？ Shamir の秘密分散は正しく実行されない自分の利益のために行動するプレイヤー合理的なプレイヤー合理的なプレイヤーが正しく実行可能合理的な秘密分散

Halpern, Teague (STOC ’04)


プレイヤーの利得関数1. 秘密を復元したい2. より少ない人数で復元したい

　



(n, n) 秘密分散の復元フェーズを考える

　



(n, n) 秘密分散の復元フェーズを考えるプレイヤーは正直にシェアを出すだろうか？

　



(n, n) 秘密分散の復元フェーズを考えるプレイヤーは正直にシェアを出すだろうか？他プレイヤーがシェアを出すと仮定したとき

　




自分がシェアを出せば、 n 人全員が秘密を復元

　




自分がシェアを出せば、 n 人全員が秘密を復元自分がシェアを出さなければ、自分 1 人が復元

　




自分がシェアを出せば、 n 人全員が秘密を復元自分がシェアを出さなければ、自分 1 人が復元

シェアを出さない方が利得が高い　　（シェアを出すことは Nash 均衡でない）

Nash 均衡と結託耐性

Nash 均衡どのプレイヤーも、他のプレイヤーがプロトコルに従うとき、プロトコルから逸脱しても利得は増えない逸脱したときに利得が減る狭義 Nash 均

衡

結託耐性 r の Nash 均衡r 人が結託して逸脱しても Nash 均衡

不可能性に関する既知結果

Asharov, Lindell (Crypto ’09)n = 2 のとき、

定数ラウンド復元プロトコルは存在しない解概念として Nash 均衡を考える場合復元ラウンド数が利得の値に依存することを証明

結託耐性 n/2 を達成する定数ラウンド復元プロトコルは存在しない n = 2 の場合に帰着して証明

本研究

KOTY プロトコルの問題点の指摘

回避方法の提案不可能性の回避につながる

[KOTY12] A. Kawachi, Y. Okamoto, K. Tanaka, K. Yasunaga. Rational secret sharing for non-simultaneous channels. IEICE Technical Report, 2012

KOTY プロトコル

ブロードキャスト通信路を仮定１人ずつ順番にブロードキャスト

定数ラウンド復元高い確率で 2 ラウンド

結託耐性 n/2 – 1 の狭義 Nash 均衡定数ラウンド復元では最適な結託耐性

KOTY プロトコル（分散フェーズ）

・・・

(n/2 + 1, n) SS S1

(n/2, n) SS S2

確率 α

確率 1 – αStep 2. 通常の SS S2

・・・

・・・

・・・・・・

1 n2

・・・

・・・

・・・

n/2・・・・・・

Step 1. 通常の SS S1

Step 3. RSS S3

(n, n) RSS S3

秘密 b 1 (S1 で本物 )0 (S1 で偽物 )

秘密 b =

識別不能

・・・・・・

KOTY プロトコル（復元フェーズ）Step 1. (n/2 + 1, n) S1 のシェア　　を順に出す

全員正しいシェア次のラウンドそれ以外終了

Step 2. (n/2, n) S2 のシェア　　を順に出す全員正しいシェア ∧ b = 0 次のラウンド

それ以外終了

Step 3. (n, n) S3 のシェア　　を使って秘密 s を復元

結託耐性 n/2 – 1 の狭義 Nash である直観的理由 Step 1 で逸脱偽物の可能性が残る Step 2 で逸脱 Step 3 に進めない

KOTY プロトコルの性質定理

S3 が結託耐性 n/2 – 1 の狭義 Nash であるとき、 KOTY も結託耐性 n/2 – 1 の狭義 Nash復元ラウンド数 = 2(1 - α) + T3 ・ α

T3 は S3 の復元ラウンド数α を十分小さくとれば復元ラウンド数 ≈ 2

KOTY プロトコルの問題点


より望ましく見える戦略が存在


より望ましく見える戦略が存在Step 1 で、 n/2 個のシェアが出た後、

自分のシェアとあわせて秘密を復元して終了



自分のシェアとあわせて秘密を復元して終了最初の n/2 人のプレイヤーは秘密を復元できない残りの n/2 人は確率 1 – α で本物の秘密を復元少ない人数で復元利得が高くなる可能性




結託耐性 n/2 – 1 の狭義 Nash に矛盾？




結託耐性 n/2 – 1 の狭義 Nash に矛盾？矛盾しない上記の議論では n/2 人が逸脱する必要

何が問題なのか？


結託耐性が n/2 – 1 しかないこと結託耐性が n – 1 なら問題は生じない



しかし、不可能性の結果 [AL 11] から、定数ラウンドプロトコルの結託耐性 ≤ n/2 – 1



しかし、不可能性の結果 [AL 11] から、定数ラウンドプロトコルの結託耐性 ≤ n/2 – 1

不可能性を回避する必要

不可能性の回避方法


利得関数に仮定を追加「偽物の秘密を復元することを嫌がる」



先ほどの問題は回避可能偽物の可能性があれば、逸脱しない



先ほどの問題は回避可能偽物の可能性があれば、逸脱しない

定理上記仮定のもと、修正版 KOTY プロトコルは結託耐性 n – 1 の狭義 Nash を達成S1 と S2 をともに (n, n) 秘密分散に変更

まとめ

KOTY プロトコルの問題点より望ましい戦略が存在結託耐性が小さいことが問題

不可能性の回避利得関数に仮定を追加「偽物の秘密を復元することを嫌がる」結託耐性 n – 1 を達成可能に

既存プロトコル

文献通信路その他の

仮定MPC

ラウンド数

解概念結託耐性

[HT04] 同時同報秘密通信路 ✔ O(1/β) IEWDS

[ADGH06]

同時同報 ✔ 2 whp IEWDS n/2 − 1

[GK06] 同時同報 ✔ O(1/β) IEWDS n − 1

[KN08a] 同時同報 M/M Enc. ✔ O(1/β) IEWDS

[KN08b] 同時同報 O(1/β) 狭義 Nash

1

[OPRV09]

同報正直者 2 THPE

[AL09] 同時同報 [GK06] 等 2 whp IEWDS n/2 − 1

[FKN10] P2P VRF O(1/β) 狭義 Nash

n − 1

[KOTY12]

同報既存の RSS

2 whp 狭義 Nash

n/2 – 1

β : 利得に依存する十分小さな値IEWDS = 弱支配戦略の連続的削除狭義 Nash = 狭義 Nash 均衡THPE = 摂動完全均衡

Nash 均衡と結託耐性

戦略の組 σ = (σ1, …, σn) が Nash 均衡どのプレイヤーも、他プレイヤーが σ に従うとき、戦略 σ から逸脱しても利得は増えない

戦略の組 σ = (σ1, …, σn) が狭義 Nash 均衡

どのプレイヤーも、他のプレイヤーが σ に従うとき、戦略 σ から逸脱すると利得が下がる戦略の組 σ が結託耐性 r の Nash 均衡

r 人が結託して逸脱しても、 Nash 均衡

KOTY プロトコル（分散フェーズ）

1. (n/2 + 1, n) 秘密分散 S1 を使って秘密 s を分散ただし、確率 α で s は偽物s を見ても本物かどうか判別不能

2. (n/2, n) 秘密分散 S2 を使って秘密 s’ を分散 s’ = 1 s が本物

3. (n, n) 合理的秘密分散 S3 を使って秘密 s を分散s は本物

KOTY プロトコル（復元フェーズ）

1. (n/2 + 1, n) S1 のシェアを順に出す正しいシェア数 ≥ n/2 + 1 s を復元正しいシェア数 = n 次のラウンド

< n 終了

2. (n/2, n) S2 のシェアを順に出す正しいシェア数 ≥ n/2 s’ を復元正しいシェア数 = n ∧ s’ ≠ 1 次のラウンド

それ以外終了

3. (n, n) S3 のシェアを使って秘密 s を復元

KOTY プロトコルの性質定理

S3 が結託耐性 n/2 – 1 の狭義 Nash であるとき、 KOTY も結託耐性 n/2 – 1 の狭義 Nash復元ラウンド数は < 2(1- α) + T3 ・ α

証明の概要サイズ n/2 – 1 の結託を考える Round 1 で逸脱 n/2 + 1 個の正しいシェアが

出されるので、全員復元して終了確率 α で偽物の可能性

Round 2 で逸脱 s’ ≠ 1 なら偽物を復元して終了 s’ = 1 のとき、どんな行動も逸脱とみなさない

Round 3 で逸脱 S3 の性質より利得は下がる

合理的な秘密分散における 不可能性とその回避方法

Documents

合理的な秘密分散における不可能性とその回避方法