cloud security with fully homomorphic...
TRANSCRIPT
Cloud Security
with Fully Homomorphic Encryption
천정희 (서울대학교)
1세대 암호 : Password (인증 기술)
2세대 암호 : 대칭키 암호 (데이터 암호화)
3세대 암호 : 공개키 암호 (키 암호화)
4세대 암호 : 동형/함수암호 (NoKey 암호)
– 암호화된 상태에서의 계산이 가능핚 암호
암호의 분류
2
3
The Future of Encryption (NSF)
개인정보를 왜 암호화하지 않는가?
스토리지 보안: 암호화 후에는 키워드 검색이 안 된다.
– 검색을 위해서는 대용량 데이터를 모두 복호화
– 탐색가능암호 필요
Database Index 검색이 안 된다.
– Index 암호화를 위해 순서보존암호 필요
산술 연산이 안 된다.
– 준동형 암호: 덧셈보존. 암호문의 평균=평균의 암호문
암호화 데이터의 탐색, 통계처리, 인덱스 암호화 필요
4
5
4세대 암호
4세대암호 : 암호화된 데이터를 복호화 없이 연산하는 암호
– 탐색가능암호, DB암호 등
– Computing on encrypted data, Secure Multiparty computation
동형암호(fully homomorphic encryption) : 2009 Gentry
– 미국 MIT가 선정핚 2011년 10대 미래유망기술
개인정보기반 광고 시장
– Facebook, Twitter등의 성장
– 구글: gmail등 구글의 개인정보를 통합관리
– 합법적인가? 안젂핚가?
동형암호
6
Real World Cyber World
y x Enc( ) E(y) E(x) y x
Enc-1( )
f(E(x)) f(x)
E-1
(f(E(x)))
Secret!
=
Pros and Cons
장점 컴퓨터에서 데이터의 모든 계산은 AND, OR, NOT의 논리 게이트로 연산
암호화된 상태로 AND, OR, NOT연산이 가능하면
컴퓨터로 하는 모든 연산이 가능
해커의 데이터 유출 원천봉쇄
단점 암호문 확장: 10-100 K배 0.1-1 K배(대칭키방식)
암복호화 속도: 수십 ms (AES 1us, RSA 1ms)
암호문 연산: 곱셈 수백ms
응용연산 종류에 따른 속도의 차이가 큼 개별적 최적화
7
동형암호칩 (in 10 years?)
8
법과 항등식
9
a-b 가 n의 배수 a b (mod n)
예: 5 2 (mod 3)
a b (mod n) 이고 c d (mod n) 이면
– a+c b+d (mod n)
– a-c b-d (mod n)
– ac bd (mod n)
문제 : 1234*(56-78)을 3으로 나눈 나머지는?
=(1233+1)*((54+2)-(78+0)) 1*(2-0)=2 mod 3
[a]n=a mod n := a를 n으로 나눈 나머지
완전동형암호
RAD PH [1]
– 비밀키: two large primes p and q
– 공개키: n = pq
– 암호화: E(m) = (m mod p, m mod q)
– 복호화: 중국인의 나머지정리
– E(m1)+E(m2)=(m1 mod p, m1 mod q)+(m2 mod p, m1 mod q)
= (m1+m2 mod p, m1+m2 mod q) = E(m1+m2)
– 안젂핚가?
동형암호 [2]
– E(m) = (m+2100e1 mod p, m+2100e2 mod q)
[1] Rivest-Adleman-Dertouzos, On data banks and privacy homomorphism, FOSC’78.
[2] Cheon et al. Batch Fully Homomorphic Encryption over the Integers, Eurocrypt 2013
10
재부팅 Bootstrapping
입력: 노후화된 암호문, 암호화된 비밀키
출력: 신규 암호문
과정 :곱을 반복하여 노이즈가 커진 암호문을
노이즈가 작은 암호문으로 변경
11
Fully Homomorphic Encryption
Over the Integers. AGCD-based:
– [DGHV10] van Dijk, Gentry, Halevi, Vaikuntanathan: FHE over the Integers. Eurocrypt 2010.
– CMNT11, CNT12, CCKLLTY13, CLT14, etc.
Over Zq Modules. LWE-based:
– [BV11a] Brakerski, Vaikuntanathan: Efficient FHE from (Standard) LWE. FOCS 2011.
– Bra12, BGV12, GSW13
Over Polynomials over Zq:
– Ideal lattice: SV10, NTRU: LTV12
– Ring-LWE: BV11b, GHS13, BLLN13, etc.
12
FHE revised [C.-Stehle, Euro15]
LWE can be reduced to (general) AGCD.
– AGCD is no easier than standard worst-case lattice problems.
We present a scale-invariant FHE based on the integers which:
– is as secure as LWE,
– has ciphertexts of linear bit-size, and
– Is bootstrappable without SSSP assumption.
Scheme: Refer to the paper.
13
동형암호 효율성 개선 추이(Boostrapping Time)
30min
1bit
172s
531bits 33s
569 bits
320s
16000bits
GH11 CCK+13 CLT14 DM15 (HS15)
Wating
Amortized
0.7s 1bit
Security Level: 72
[GH11] Implementing Gentry’s Fully-Homomorphic Encryption Scheme, Eurocrypt 2011.
[CCK+13] Batch Fully Homomorphic Encryption over the Integers, Eurocrypt 2013.
[CLT14] Scale-Invariant Fully Homomorphic Encryption over the Integers, PKC 2014.
[HS15] Bootstrapping for Helib, Eurocrypt 2015
[DM15] FHEW: Boostrapping Homomorpic Encryption in Less Than a Second, Eurocrypt 2015. 14
소요시간
(logarithm)
연도
동형암호 효율성
6
공개키 크기
암호문 크기
Encrypt Decrypt Mult Recrypt # of slots
[RSA-2048] 2048bit 2048bit 6.1ms 205.5ms - - -
[ECC-193] 193bit 80B 8.7ms 18.1ms - - -
[BGV12]
(5-level) - 100KB 22ms 57ms 31ms - 168
[CLT14]
(40-level) 11.0GB 1.58MB 45s 3.3s 100ms 33s 569
[CS14] Symmetric (5-level)
17 MB 10KB
(Compressed) 3.4 ms 2.8 ms 300s -
168*16bit (30배 확장)
암호문 크기, 암복호화 시간
생체인증 시장 및 문제점
• 끊이지 않는 개인정보 유출 사고
• 생체정보는 유출 시 대체 불가능
예제 1: 생체인증
생체인증 기술 개발
• 생체정보를 보호하는 동형암호기반 생체인증 기술
• 인증 시갂 < 0.1초 ?
인증핛 생체정보 선택 결과를 받아 인증 통과 여부 판별
동형암호
사용자의 위변조 방지를 위해 MAC 기술 적용
DNA 분석/정밀의료와 암호화
• 개인의 유전정보를 이용한 정밀의료새로운 보건의료 패러다임
• 미국: 정밀의료 이니셔티브(PMI) 2016년 예산 2억 1500만 달러
• 문제는 유전정보의 보호 기술
개인의 유전
정보를 이용핚
맞춤형 치료
예제 2: DNA 분석
DNA 맞춤의학
공공 유전자 변이 DB들로부터 DNA 바이오마커 수집
TCGA 유방암 데이터를 이용하여 유방암 특이적 질병패널 최종선정
유방암 질병패널에 기반핚 질병감수성 예측모델 구축
** TCGA 유방암 데이터로부터, 선정된 패널 유전자 상의 변이정도를 입력변수, 유방암 예후지표를
목표변수로 하여 학습데이터를 구성 => 기계학습 알고리즘을 이용해 질병감수성 예측모델을 구축
**DNA 바이오마커: 특정 표현형(질병)과 연관되어 있는 유전체 DNA의 특정 지역(Locus)
스트레인저 비젂 (조각가, 2012 뉴욕)
–DNA분석 (공공장소에서 주운 머리카락)
–얼굴 만드는 소프트웨어 이용
–3D프린터
DNA : 궁극의 프라이버시
–개인의 DNA 정보 수집/악용 (DNA 복제)
–유젂자에 따른 DNA 서열화 (GATTACA)
Nature Vol. 519, News in Focus
… But scientists working to realize such ‘personalized’ or ‘precision’ medicine have a problem:
how to keep genetic data and medical records secure while still enabling the massive, cloud-
based analyses needed to make meaningful associations.
DNA Privacy
20
예제 3: 암호화된 헬스케어
생체정보
(심박/ 활동량)
건강 진단
의료 정보 보안 기술 개발의 필요성
• 의료정보 유출 사례 증가 – 미국 : 2005~2013년 데이터 침해 사례 중 보건의료 부문 43%, (269건/614건, 신용도용 범죄 정보센터(ITRC), 2013 Breach List Tops 600)
– 국내 : 약학정보원 등이 환자 정보를 수집하여 IMS 헬스코리아에 유출한 사건
→ 보건의료 정보의 보호를 위한 제도적 장치와 기술 개발이 시급한 실정
2013년 미국 데이터
침해사례 중
보건의료 부문
43.8%로 1위
23
예제 4. Smart Car
Engine (Actuator)
Dec
Sensor
Enc
Smart Car (Plant)
Controller
Enc(y)
(sensor detection)
Enc(u)
(user input)
Enc(r)
Cyber Physical System (CPS)
스마트홈에서 센서들이 인터넷에 연결되고 이 정보들과 사용자 명령이 합쳐
서 일종의 콘트롤러에 전달되면 이것들이 계산되어 집행됨
계산속도의 문제로 암호화하지 않은 상태로 사용 중
정보조작, 원격조종, 위치정보 공개 등 많은 보안위협 산재
Floating point HE를 통해 새로운 스마트카 제어모델 설계
동형암호 vs 함수암호
• 동형암호 Enc(m1),…, Enc(mn) Enc(f(m1, m2, …, mn)) 모든 f
• 함수암호 Enc(m1),…, Enc(mn) f(m1, m2, …, mn) 특정핚 f
함수암호의 응용
• 생체인식 : EncK(m1), EncK(m2) m1=m2인지 판별
• 프로그램 난독화 (Obfuscation) : 안젂성 증명
• 암호화된 데이터에서 필요 정보 추출 (데이터마다 암호화시 지정)
양자컴퓨터 시대에도 안젂!
What is the next?
24