秘匿検索技術とそれを支える高機能暗号技術

産業技術総合研究所 情報技術研究部門

高機能暗号研究グループ 主任研究員

縫田 光司

シンポジウム「IoTとセキュリティ」 2016.3.7

1

産総研 情報技術研究部門

主に、暗号理論に関する最先端の知見を蓄積し、他の研究組織における情報システムの設計に入力する

（2015年5月1日時点）

2

本研究グループの活動の俯瞰

・最新の安全性概念・最新の数学的手法・最新の攻撃手法

…

難解なうえに実用に遠いものも多い

暗号理論の国際的研究競争

本研究グループ

最先端の知見の抽出

成果の創出

産総研他部署外部企業・機関

NISC・IPA・CRYPTREC等

情報システムの安全な設計・安全性評価

標準・最新暗号技術の安全性に関する知見の入力

ニーズの抽出

シーズの提供

最先端の暗号理論的知見を有することへの

「信頼」の確立3

秘匿検索の研究背景

利用者 データベース

何を調べようとしているか

知られたくない・・・

必要以上の情報は

与えたくない・・・

＊開発中の内容やプライバシ情報が露呈してしまうため

＊利用者がデータベースを購入しなくなるため

検索内容を見せたくない

検索結果以上の情報を与えたくない

ジレンマの解消が急務！

• 近年の様々なデータベースの目覚ましい充実化

• 化合物データ、ゲノムデータ、地質データ、…

• データベースビジネスの著しい発展が期待される

4

しかし・・・

本研究の目的

利用者 データベース

• 利用者が検索内容を秘密にしたままデータベース内における、興味の対象となるデータの件数のみを知ることが可能な検索技術の実現と社会への展開を目指す

検索内容は秘匿

ヒットした件数のみ5

例：生命情報解析におけるプライバシ保護の重要性

• 秘匿性の高いデータ– 個人ゲノム

– 個人の疾患に関する情報

– 創薬関連の情報• ターゲットタンパク、化合物

等々

• プライバシ保護の問題は生命情報科学/工学にとって非常に重要

• しかし、生命情報のプライバシ保護に関する技術開発はあまり議論されていなかった

6

2011/11/1 プレスリリース 2011/11/2 日刊工業新聞

7

・最新の安全性概念・最新の数学的手法・最新の攻撃手法

…

難解なうえに実用に遠いものも多い

暗号理論の国際的研究競争

本研究グループ

最先端の知見の抽出

成果の創出

産総研他部署外部企業・機関

NISC・IPA・CRYPTREC等

情報システムの安全な設計・安全性評価

標準・最新暗号技術の安全性に関する知見の入力

ニーズの抽出

シーズの提供

最先端の暗号理論的知見を有することへの

「信頼」の確立

初期版のプロトコル開発

生命情報工学研究センター（当時）

安全性評価、安全性向上、効率化、高機能化、・・・

技術相談

8

通常の検索システムの危険性

9

SSL等での暗号化通信では不足• SSLなど、通信経路を暗号化する手法では

サーバー管理者からデータを保護できない– 故意/過失によるサーバーからの情報流出

10

本研究で開発した技術

11

開発技術で可能なこと

• 基本技術

– 二つの同じ長さのビットベクトルが類似しているか暗号化したまま判定できる

q = (1,0,1,0,0,0,1)クエリ q を暗号化して送信

暗号化状態の結果を返信

p = (1,1,1,0,0,0,1)

暗号化したまま比較

返答を復号して検索結果を得る

12

符号化した化合物データ

Focused Library検索への応用• 研究者の要望

– 自分の研究対象と類似する化合物があるのならば購入したい

– 情報漏洩は絶対に避けたいので、事前にダウンロードして確かめられれば・・・

クエリの情報を漏らさずに検索し、類似化合物の個数を購入前に確認（解決！）

• データベース販売者の要望

– なるべく多くの人に買ってもらいたい

– でも、Libraryは売り物なので、購入前にダウンロードさせることは難しい・・・

ＤＢをダウンロードさせず、顧客のクエリ情報も得ずに検索に返答（解決！）

・・・

？

薬の候補

類似の化合物があるか？

○○個

13

開発技術で可能なこと

• 基本技術

– 二つの同じ長さのビットベクトルが類似しているか暗号化したまま判定できる

q = (1,0,1,0,0,0,1)クエリ q を暗号化して送信

暗号化状態の結果を返信

p = (1,1,1,0,0,0,1)

暗号化したまま比較

返答を復号して検索結果を得る

14

符号化した化合物データ

どうすれば可能？

基盤技術：加法準同型暗号

)2()1()21( mEncmEncmmEnc

5

不思議な宝箱 “Enc”

機能１：オートロック数字を入れて閉めたら、鍵を使わないと絶対に開けられない

機能２：合体二つの宝箱を（鍵なしで）合体できる 中身の数字同士は加算される

5

7

12

15

[ElGamal84, Paillier99,…]

暗号化 暗号文の特殊な操作

原理の大まかな説明

gx→x 鍵があれば易しい 鍵がないと難しい（ように適切に設定）

16

x→gx暗号化 復号

gx gy = gx+y暗号化のまま足し算

原理の大まかな説明

17

m1m2 m1+m2

Enc(m1)

Enc(m2)

Enc(m1)⊕Enc(m2)

この向きで眺めると

元のデータが得られる（復号）

鍵がないと正しい向きがわからない（ように作る）

化合物の類似検索

• フィンガープリント– 化合物情報をビット列で表現

– １：ある特徴を持つ、０：持たない

• Tversky index

– 化合物の類似性の評価に用いられる指標

– 対応するビットの一致を考慮した指標

– 0～1の値をとる（大きいほど良く類似）

p q

NH2OH

OH

NH

CH3

0 1 1 1 0

1 1 0 1 0

NH

O N N=

||||||

||

|\||\|||

||

tanqpqp

qpS

pqqpqp

qpS

imoto

Tversky

18

加算のみでの閾値判定

0|)|(|)|(||

0|)|(|)|(||)(

0||||

||

||

qpqp

qpqp

qpqp

qp

qpS

nn

nnnd

nd

d

nTanimoto

λ

共通して1となるビットの数

サーバーの1のビットの数

クエリの1のビットの数

この式変形により加法準同型暗号を用いて暗号化したまま類似度閾値判定が可能

19

開発した秘匿化合物ＤＢ検索の概要• 高速アルゴリズムの実現

• 実データで実証実験（1万データ）

• 創薬研究者であれば誰でも本システムを利用できるようなＧＵＩの作成

利用者側所持時間 ＤＢ側処理時間 通信データサイズ

プロトタイプ 約30秒 約180秒 約2.6MB

本試験実装 約3.5秒 約2.7秒 約0.4MB

20

適切な方式選定、最新の実装技術による高速化

受賞CSS2013

ゼロ知識証明による安全性強化

基本方式

安全性強化版（本研究グループ）

正しい形式の検索要求

・・・

暗号文

中身はわからないが形式が正しいと信じる

正しい形式とは限らない

・・・

暗号文

中身はわからないが形式が正しいか検証できる

＋???

利用者が不正なら必要以上の情報が漏れる

必要以上の情報が漏れることはない！21

本研究グループの知見

本技術の応用、発展（１）• （技術を一般利用者に馴染みやすくアピールするため）当該技術を応用したスマートフォン電話帳データの共通要素の秘匿検索技術を開発

22

データ：５９

入力＝範囲：（５５～７１）

範囲に入っているどうか調べたいが、入力は隠したままにしたい

範囲に入っているかどうかのみ判明

ユーザ DB

DB内部のデータの値が分からない

ユーザの入力が分からない

新たに設計した技術：秘匿範囲検索

秘匿範囲検索

秘匿位置検索

応用例

ユーザBの実際の位置

ユーザAは範囲を指定し秘匿位置検索を行う

本技術の応用、発展（２）

23

デモ画面：秘匿範囲検索

24

受賞CSS2014

本技術の応用、発展（３）

25

A G T C G A …C A C G G T …A G A T C C …T A G T A T …A G T A G T …

AGTTC

検索ユーザ

データ所有者

何文字目まで一致？

長さ3、ヒット数2 長さ3、ヒット数2

入力は秘密

文字列データの最長一致の秘匿検索技術

ゲノムデータベースへの適用を想定

本研究グループの活動の俯瞰

・最新の安全性概念・最新の数学的手法・最新の攻撃手法

…

難解なうえに実用に遠いものも多い

暗号理論の国際的研究競争

本研究グループ

最先端の知見の抽出

成果の創出

産総研他部署外部企業・機関

NISC・IPA・CRYPTREC等

情報システムの安全な設計・安全性評価

標準・最新暗号技術の安全性に関する知見の入力

ニーズの抽出

シーズの提供

26

高機能暗号技術の最先端知見 準同型暗号、関数型暗号、グループ署名、ゼロ知識証明、・・・

高速実装技術 安全性評価技術

大手企業（３社） ベンチャー企業（２社）

大学 研究機関

本研究グループの活動の俯瞰

・最新の安全性概念・最新の数学的手法・最新の攻撃手法

…

難解なうえに実用に遠いものも多い

暗号理論の国際的研究競争

本研究グループ

最先端の知見の抽出

成果の創出

産総研他部署外部企業・機関

NISC・IPA・CRYPTREC等

情報システムの安全な設計・安全性評価

標準・最新暗号技術の安全性に関する知見の入力

ニーズの抽出

シーズの提供

27

高機能暗号技術の最先端知見 準同型暗号、関数型暗号、グループ署名、ゼロ知識証明、・・・

高速実装技術 安全性評価技術

大手企業（３社） ベンチャー企業（２社）

大学 研究機関

2015年度成果（抜粋） 国際会議 Best Paper Awards ２件

(IEEE TrustCom, IMA C&C) 国際暗号学会主催３会議論文 ４件 RSA Conference 暗号セッション論文 ４件 情報処理学会CSS論文賞・学生論文賞 ３件

28

加法準同型暗号：「暗号化のまま足し算ができる」

高機能版完全準同型暗号：「暗号化のまま

任意の演算ができる」

格子ベース（2009～）

整数ベース（2010～）

従来法ビットのみ暗号化可 整数に対応

成果１

EUROCRYPT 2015

関連研究

成果２安全性解析の改良CT-RSA 2015

研究成果の例（完全準同型暗号）

5

712

応用秘匿検索

BioinformaticsBMC Bioinformatics

本研究グループの活動の俯瞰

・最新の安全性概念・最新の数学的手法・最新の攻撃手法

…

難解なうえに実用に遠いものも多い

暗号理論の国際的研究競争

本研究グループ

最先端の知見の抽出

成果の創出

産総研他部署外部企業・機関

NISC・IPA・CRYPTREC等

情報システムの安全な設計・安全性評価

標準・最新暗号技術の安全性に関する知見の入力

ニーズの抽出

シーズの提供

29

高機能暗号技術の最先端知見 準同型暗号、関数型暗号、グループ署名、ゼロ知識証明、・・・

高速実装技術 安全性評価技術

大手企業（３社） ベンチャー企業（２社）

大学 研究機関

安全なIoTの実現に向けた課題例

・最新の安全性概念・最新の数学的手法・最新の攻撃手法

…

難解なうえに実用に遠いものも多い

暗号理論の国際的研究競争

本研究グループ

最先端の知見の抽出

成果の創出

産総研他部署外部企業・機関

NISC・IPA・CRYPTREC等

情報システムの安全な設計・安全性評価

標準・最新暗号技術の安全性に関する知見の入力

ニーズの抽出

シーズの提供

30

高機能暗号技術の最先端知見 準同型暗号、関数型暗号、グループ署名、ゼロ知識証明、・・・

高速実装技術 安全性評価技術

大手企業（３社） ベンチャー企業（２社）

大学 研究機関

センシティブ情報の取得における

効率的な機器認証プライバシ保護との両立

暗号技術の超軽量化

「厳密かつ程々」な安全性指標の確立

（＊個人の感想です）