provable security3

Tokyo Research Laboratory

講義資料 © 2008 IBM Corporation

暗号理論における安全性の証明：Identification Protocol（ユーザ認証プロトコル）の Zero-Knowledge性

羽田　知史（ IBM東京基礎研究所）Satoshi Hada (IBM Research - Tokyo)

mailto: satoshih at jp ibm com

2



Simulation Paradigmは、「一切、情報が漏れない」を表現する方法です

アイデア：攻撃者が計算できるものは、攻撃の対象がなくても、計算できる。例：攻撃者が（公開鍵、暗号文）から計算できるものは、その（公開鍵、暗号文）がなくても計算できる。つまり、攻撃者の出力を（公開鍵、暗号文）がなくても Simulateできる。

∀ 攻撃者 A、∃ Simulator S s.t. anything A can compute from public key and ciphertexts, S can compute without them.

3



Witness Hiding性の定義には問題があります。

Witness Hiding性の定義攻撃が成功するとは？

Pと通信したあとに、 skを計算できる任意の攻撃者にとって、攻撃が成功する確率が無視できるほど小さいとは？ ∀ 攻撃者 A, negligible function δ(n) s.t., ∃

Pr[(pk,sk) ← KG(1n) ; s ← < P(pk,sk), A(pk) > : s=sk] < δ(n)

問題点skの特定のビットは、 Pと通信することにより漏れるかもしれない、という可能性を否定するほど強い定義ではない

ただし、 Identificationプロトコルの安全性には十分ゼロ知識性は、この問題を解決できます

4



ゼロ知識性は、ユーザ認証プロトコルにおいて１ビットたりとも漏れない、という性質で、 Simulation Paradigmに基づいて定義されます

表記 Key generator KG

入力： 1n（セキュリティパラメータ）出力：（ pk,sk）

pk: a public key of length n

sk: a corresponding secret key

Identification プロトコル (P,V)

(P,V) への共通入力 pk P への秘密入力 sk 出力 < P(pk,sk), V(pk) >： Vの decision

Pr[(pk,sk) ←KG(1n) : < P(pk,sk), V(pk) >=Accept]=1

悪意のある検証者 A が得る情報 < P(pk,sk), A(pk) >は、 Aの使う乱数 Rと交換されるメッセージ

ゼロ知識性の定義証明者 Pとのデータ通信から得られる情報は、証明者 Pと通信しなくても得ることができる。 ∀ 攻撃者（悪意のある検証者） A, simulator S, ∃ 以下の 2つの確率分布が識別不可能（等しい、統計

的に、あるいは、計算量的に識別不可能）

{(pk,sk) ← KG(1n) ; history ← < P(pk,sk), A(pk) > : history } と {(pk,sk) ← KG(1n) ; history ← S(pk) : history}

5



統計的に識別不可能な確率分布

二つの確率分布 Anと Bnは、以下の条件を満たすとき、統計的に識別不可能と言われます。

∃negligible function negl(n) s.t.∑α |Pr [An= α] – Pr [Bn = α]| ≤ negl(n).

6



前回の講義との関係

ZK性は、WH性よりも強い定義ですので、 ZKプロトコルはWHプロトコルです。 Schnorr’s Identificationプロトコル

WH性を満たすか未知当然、 ZK性を満たすかどうかも未知

Okamoto92のプロトコルWH性は満たすZK性は満たすのか？

講義の目的ユーザ認証プロトコルの安全性を議論する上では、WH性で十分であり、 ZK性を議論する意味はあまりない。が、「知識をもらさず、知識を証明する」という Paradoxicalな概念を紹介する（ Simulation Paradigmの実例として）。

7



Black-box Simulationゼロ知識プロトコルとは？（先ほどの）ゼロ知識性の定義

∀ 攻撃者（悪意のある検証者） A, simulator S, ∃ 以下の 2つの確率分布が識別不可能

{(pk,sk) ← KG(1n) ; history ← < P(pk,sk), A(pk) > : history } と {(pk,sk) ← KG(1n) ; history ← S(pk) : history}

Black-box simulationゼロ知識性の定義 ∃simulator S s.t. ∀ 攻撃者（悪意のある検証者） A, 以下の 2つの確率分布が識別不可

能

{(pk,sk) ← KG(1n) ; history ← < P(pk,sk), A(pk) > : history } と {(pk,sk) ← KG(1n) ; history ← SA(pk) : history}

•Quantifiersの順番が逆•Black-box simulation ZK性の方が強い Requirement

•Black-box simulation ZK性は（前者の） ZK性を満たす通常、 ZK性は、この強い定義の下で、議論されている

•その逆が成り立つか？はB. Barak, "How to go beyond the black-box simulation barrier," FOCS 2001

8



証明者検証者

公開鍵： v秘密鍵： s

s.t. v=g-s (mod p)

x=vegyが成り立てばAccept

左辺： x=gr

右辺： vegy =g-esgr+es=gr

e

x=gr (mod p)

y=r+es (mod q)

乱数：r Z∈ q

乱数：e（ n bits）

Schnorrの Identificationプロトコルは離散対数問題の困難性に基づいたプロトコルです

離散対数が困難という仮定の下では、公開鍵から秘密鍵を計算できない

9



証明者検証者


s.t. v=g-s

e

y=r+es (mod q)

乱数：r Z∈ q


悪意のある証明者の観点から、プロトコルは安全か？

x=vegy ?

x=gr (mod p)

ある x=gr を送信したとき、２つの異なる (e,e’)に対して、正しく返事できるなら、つまり、

(y,y’) s.t. x=vegy=ve’gy’ を計算できるなら、 s=(y’-y)/(e-e’) mod q として計算できる。つまり、高い確率で、なりすましできるためには、 sの知識が必須である。



ZK性の証明

11



証明者検証者


s.t. v=g-s (mod p)


左辺： x=gr


e=0 or 1

x=gr (mod p)

y=r+es (mod q)

乱数：r Z∈ q

乱数：e（ 1 bits）

Schnorrの Identificationプロトコルにおいて、 eが 1ビットの場合を考えます。


12




s.t. v=g-s

e=0 or 1

x=gr (mod p)

y=r+es (mod q)

乱数：r Z∈ q

乱数：e（ 1 bits）

Schnorrの Identificationプロトコルにおいて、 eが 1ビットの場合を考えます。

eが 1/2の確率で予測できるので、 sを知らなくても、なりすましは 1/2の確率で成功する。

ある x=gr を送信したとき、 e=0 and 1の両方に対して、正

しく返事できるなら、つまり、 (y,y’) s.t. x=gy=vgy’ を計算できるなら、 s=y-y’mod q として計算できる。yから sを計算するには、 rを計算する必要があるが、 xから rを計算するのは困難（離散対数問題）。 =>実際、 ZK性を満たす

x=vegy ?

13



プロトコルの規定どおりに振舞う正直な検証者 Vに対しては、 Perfectに Simulation可能です。

入力：公開鍵 v Step 1: ランダムに e=0 or 1 を生成（ Vのチャレンジを事前に生成）。

Step 2-0： e=0のとき、 x=gyを満たす (x,y)をランダムに生成。

Step 2-1： e=1のとき、 x=vgyを満たす (x,y)をランダムに生成。

Step 3 ： (x,e,y)を出力

14



正直な検証者と悪意のある検証者の違い

e=0 or 1

x=gr (mod p)

e=0 or 1

x=gr (mod p)

正直な検証者は、 eを xとは独立にランダムに生成

悪意のある検証者は、 eを xに依存して、生成できる。 e=f(x)xより eを先に決められない

15



悪意のある任意の検証者に対する Simulationは、 Perfectではないですが、 Statistically Indistinguishableです。入力：公開鍵 v ブラックボックスアクセス： A

Step 1: ランダムに e=0 or 1 を生成（ Aのチャレンジ eを予測）。

Step 2-0： e=0のとき、 x=gyを満たす (x,y)をランダムに生成。

Step 2-1： e=1のとき、 x=vgyを満たす (x,y)をランダムに生成。

Step 3： xを Aに入力（ Aの使用する乱数を Rとして生成） Step 4: Aが e’を出力 Step 5: e=e’ならば、 (x,e,y;R)を出力、 e=e’でないなら、 Step 2からやり直し（ Aが使用する乱数を Rを新たに生成、 n回繰り返す）

•Step 5で、 Aの振る舞いにかかわらず、 1/2の確率で e=e’となる（ e=0の時と e=1の時の xの確率分布は等しい）•n回繰り返しても、終わらない確率は、 1/2n(negligible)

•この分だけ、確率分布にずれが生じます

16



e=1ビットの場合の Sequential Composition

n回すべて、検証者が Acceptしたときのみ、全体としても Acceptする。なりすましの確率は、 1/2n（ negligible）になるかつ、 ZK性も保持される（ Simulationを n回繰り返せばよい）

厳密には、 Simulationをする際、悪意のある検証者が前回までに得た情報を保持していることを考慮する必要がある。

n回繰り返す

x1

e1

y1

x2

e2

y2

xn

en

yn

17



e=1ビットの場合の Parallel Composition

n回すべて、検証者が Acceptしたときのみ、全体としてもAcceptする。なりすましの確率は、 1/2n（ negligible）になる ZK性は保持されるか？

n回繰り返す

x1

e1

y1

x2

e2

y2

xn

en

yn



不可能性

O. Goldreich and H. Krawczyk, ``On the Composition of Zero-Knowledge Proof Systems,'' SIAM Journal on Computing, Vol.25, No.1, pp.169-192, 1996.

T. Itoh and K. Sakurai, ``On the Complexity of Constant Round ZKIP of Possession of Knowledge,” IEICE Trans. Fundamentals, Vol. E76-A, No. 1, pp. 31-39, 1993.

19



通信回数が 3回のプロトコルの場合は、 ZK性は満たされません。

以下は全て同じ論理で、「離散対数問題の困難性の仮定の下で、 ZK性を満たさない」ことが証明できます。

2.オリジナルの Schnorr’s Identification Protocol3.Okamoto 924.e=1ビットの場合の Parallel Composition

(Schnorrも Okamoto92も両方 )

20



証明者検証者


s.t. v=g-s (mod p)


左辺： x=gr


e

x=gr (mod p)

y=r+es (mod q)

乱数：r Z∈ q


Schnorrのオリジナルのプロトコルでは、 eが nビットなので、 Simulationは難しそう


21



Simulationが難しいのはどういう場合か？

e (nビット )

xSimulator

こういうやりかたで有用な情報を得ることができるかは、不明であるが、プロトコルの規定通りに振舞わないという意味では

、悪意がある。

悪意のある検証者は、eを xからDeterministicに計算する。 e=f(x)

出力される nビットの eを予測できない場合　

22



eが nビットの場合の、 Deterministicな悪意のある任意の検証者に対する Simulationは、 eが 1ビットの時と同じやり方だとうまくいきそうにない。入力：公開鍵 v ブラックボックスアクセス： A

Step 1: ランダムに e (nビット ) を生成（ Aのチャレンジeを予測）。

Step 2： x=vegyを満たす (x,y)をランダムに生成。 Step 3： xを Aに入力（ Aの使用する乱数を Rとして生成）

Step 4: Aが e’=f(x)を出力 Step 5: e=e’ならば、 (x,e,y;R)を出力、 e=e’でないなら、

Step 2からやり直し（ Aの使用する乱数を Rを新たに生成）

•Step 5で、 e=e’となる確率は、 negligibleかもしれない（ fに依存）。

23



fが乱数表のときは、 Simulationは、本当に難しいです

e (nビット )

悪意のある検証者は、 eを xにDeterministic に依存して、生成できる。 e=f(x)

E0x=g0

Eqx=gq-1

…

E2x=g2

E1x=g1

（ランダムな） eの値xの値乱数表（非一様な Adviceとして与えられる）

ただし、乱数表のサイズ (qn)は、指数関数的に大きいので、このような検証者に対して、 Simulationできることを ZK性の定義は要求しません。ですが議論がシンプルにするために、とりあえず、この問題は忘

れます。

Simulator

x

24



eが nビットの場合の、乱数表を使う Deterministicな悪意のある検証者に対する Simulationは、 eが 1ビットの時と同じやり方だとうまくいきそうにない。

•Step 5で、 e=e’となる確率は、 1/2n (negligible)です。

入力：公開鍵 v ブラックボックスアクセス： A（乱数表 fを使う）


Step 2： x=vegyを満たす (x,y)をランダムに生成。 Step 3： xを Aに入力（ Aの使用する乱数を Rとして生成）

Step 4: Aが e’=f(x)を出力 Step 5: e=e’ならば、 (x,e,y;R)を出力、 e=e’でないなら、

Step 2からやり直し（ Aの使用する乱数を Rを新たに生成）

25



eが nビットの場合の、乱数表を使う Deterministicな悪意のある検証者に対する Simulationは、 eが 1ビットの時と同じやり方だとうまくいきそうにない。

•Step 5で、•e=e’となる確率は、 1/2n (negligible)です。•e=e’とならない場合、 (x,e’,y’) s.t. x=ve’gy’を出力できると、 sを計算できてしまいます（離散対数問題を解ける）

•Step 1&2で、 xの作り方に工夫するしかない。

入力：公開鍵 v ブラックボックスアクセス： A（乱数表 fを使う）


Step 2： x=vegyを満たす (x,y)をランダムに生成。 Step 3： xを Aに入力 Step 4: Aが e’=f(x)を出力 Step 5: e=e’ならば、 (x,e,y)を出力、 e=e’でないなら、 Step 2からやり直し

26



eが nビットの場合の、乱数表を使う Deterministicな悪意のある検証者に対する一般的な Simulationは以下のようになります。入力：公開鍵 v ブラックボックスアクセス

： A（乱数表 fを使う）

Step 1: 以下を t(n)回繰り返す (t(n)は Aに依存しない多項式） Step 1-1: xを生成（以前生成した以外の x）

Step 1-2： xを Aに入力し、Aが e=f(x)を出力

Step 2: いずれかの iにおいて、 xi=veigy を満たす yを

出力

S1

公開鍵 v

x1

e1=f(x1)

S2x2

e2=f(x2)

Stxt

et=f(xt)

y s.t. i, xi=v∃ eigyE

A

27



eが nビットの場合の、乱数表を使う Deterministicな悪意のある検証者に対する一般的な Simulationが成功すると仮定すると、Pr[

(p,q,g)←PG(1n);(v,s)←KG(p,q,g); //鍵生成x1←S1(v);e1←{0,1}n; //1st

x2←S2(v,(x1,e1));e2←{0,1}n; //2ndx3←S3(v,(x1,e1),(x2,e2));e3←{0,1}n; //3rd…xi←Si(v,(x1,e1),(x2,e2),…);ei←{0,1}n; //i’th…xt←St(v,(x1,e1),(x2,e2),…);et←{0,1}n; //t’thy←E(v,(x1,e1),(x2,e2),…, (xt,et)) //yの計算:

∃i, xi=veigy //事象： Simulationが成功]>1-1/2n //確率：限りなく 1に近い

どの iで Simulationが成功するか？

28



eが nビットの場合の、乱数表を使う Deterministicな悪意のある検証者に対する一般的な Simulationが成功すると仮定すると、

∃i, Pr[(p,q,g)←PG(1n);(v,s)←KG(p,q,g); //鍵生成x1←S1(v);e1←{0,1}n; //1st

x2←S2(v,(x1,e1));e2←{0,1}n; //2ndx3←S3(v,(x1,e1),(x2,e2));e3←{0,1}n; //3rd…xi←Si(v,(x1,e1),(x2,e2),…);ei←{0,1}n; //i’th…xt←St(v,(x1,e1),(x2,e2),…);et←{0,1}n; //t’thy←E(v,(x1,e1),(x2,e2),…, (xt,et)) //yの計算:xi=veigy //事象： Simulationが成功

]>(1-1/2n)/t(n)

この処理を悪意のある証明者の観点で見直すことができる

29



eが nビットの場合の、乱数表を使う Deterministicな悪意のある検証者に対する一般的な Simulationが成功すると仮定すると、∃i, Pr[

(p,q,g)←PG(1n);(v,s)←KG(p,q,g); //鍵生成((x1,e1),(x2,e2),..,xi)←P’(v); //S1,S2,…,Siを使用して計算ei←{0,1}n; //検証者からのチャレンジy←P’(v, (x1,e1),(x2,e2),..,(xi,ei)) //Si+1, …, St, Eを使用して計算:

xi=veigy //事象：なりすまし成功]>(1-1/2n)/t(n)

どの iでなりすましが成功するか？

xi

ei

y

悪意のある証明者P’

30



eが nビットの場合の、乱数表を使う Deterministicな悪意のある検証者に対する一般的な Simulationが成功すると仮定すると、Pr[

(p,q,g)←PG(1n);(v,s)←KG(p,q,g); //鍵生成i←{1,2,…t(n)}; //ランダムに iを選ぶ((x1,e1),(x2,e2),..,xi)←P’(v); //S1,S2,…,Siを使用して計算ei←{0,1}n; //検証者からのチャレンジy←P’’(v, (x1,e1),(x2,e2),..,(xi,ei)) //Si+1, …, St, Eを使用して計算:

xi=veigy //事象：なりすまし成功]>(1-1/2n)/(t(n))2

Schnorrのプロトコルは「知識の証明」であるので、離散対数問題を解けることを意味する。

xi

ei

y

31



以上の議論のまとめ：「離散対数問題の困難性の仮定の下で、 Schnorrのプロトコルは ZK性を満たさない」ことを証明しています。

仮定： Schnorrのプロトコルが、 Blackbox ZK性を満たすと仮定する。つまり、単一の Blackbox Simulator Sが存在し、乱数表 fを使う Deterministicな検証者 Aの Simulationが可能。

結論： Sを使って、離散対数問題を解くことができます。ただし、乱数表のサイズは、指数関数的に大きいので、このような検証者に対して、 Simulationできることを ZK性の定義は要求しません。この問題を別途解決する必要があります。

32



Simulatorが Aに問い合わせる回数は、せいぜい多項式回 t(n)なので、 fのサイズを小さくできるかもしれない。

e (nビット)

悪意のある検証者は、 eを xにDeterministic に依存して、生成できる。 e=f(x)

E0x=g0

Eqx=gq-1

…

E2x=g2

E1x=g1

（ランダムな） eの値

Xの値

乱数表

Simulator

x

fが満たすべき性質（ fは F(1n)により生成される）• uniformity

x, f(x) is uniformly distributed over {0,1}∀ n

x,∀ e {0,1}∀ ∈ n, Prob[f←F(1n) : f(x)=e]=1/2n

• t-wise independence(x1,x2,..,xt)∀ （全て異なる） ,(e1,e2,..,et) {0,1}∀ ∈ nt,

Prob[f←F(1n) : f(x1)=e1 and f(x2)=e2 and …. f(xt)=et] = 1/2nt

fは乱数表でなくても、いわゆる t-wise independent functionであればよい

33



t-wise Independent Functionの具体例 Pair-wise independent function

t=2の場合 F(1n):

Zp→Zp (p は nビットの素数 )

{ f(x)=ax+b | a Z∈ p , b Z∈ p}　 1次方程式の集合各関数は、 2nビットで表現できる (aと bの情報 )

Uniformity

∀x Z∈ p, e Z∀ ∈ p, Prob[f←F(1n) : f(x)=e]=1/p

Pair-wise independence

∀x Z∈ p, y Z∀ ∈ p (x neq y), e1 Z∀ ∈ p, e2 Z∀ ∈ p ,Prob[f←F(1n) : f(x)=e1 and f(y)=e2]=1/p2

((x,y),(e1,e2))が与えられたとき、 f(x)=e1 and f(y)=e2を満たす（ a,b）は一意にきまる（方程式をとける）

Three-wise independence?

No ((x,y),(e1,e2))が与えられたとき、（ a,b）は一意に決まるので、 f(z)の値も一意に決まってしまう。

t(n)-wise independent function 同様に (t(n)-1)次方程式を考えればよい。各関数は、 t(n)*nビットで表現できる。



Black-box ZKと Non-black-box ZK

35



Black-box ZKと Non-black-box ZK Black-box simulationゼロ知識性の定義

∃simulator S s.t. ∀ 攻撃者（悪意のある検証者） A, 以下の 2つの確率分布が識別不可能

{(pk,sk) ← KG(1n) ; history ← < P(pk,sk), A(pk) > : history } と {(pk,sk) ← KG(1n) ; history ← SA(pk) : history }

Black-box simulationゼロ知識性の定義 Non-black-box simulationゼロ知識性の定義

∃simulator S s.t. ∀ 攻撃者（悪意のある検証者） A, 以下の 2つの確率分布が識別不可能

{(pk,sk) ← KG(1n) ; history ← < P(pk,sk), A(pk) > : history } と {(pk,sk) ← KG(1n) ; history ← S(pk, Code(A)) : history }

•Simulatorに与えられる情報の違いに注意•Non-black-box simulationゼロ知識性では、 Aのプログラムコードが与えられる

•Black-box simulation ZK性の方が強い Requirement•Black-box simulation ZK性は Non-black-box simulation ZK性を満たす•その逆が成り立つか？は

B. Barak, "How to go beyond the black-box simulation barrier," FOCS 2001•Schnorr のプロトコルが、 Non-black-box simulation ZK性を満たすかは未解決問題

Simulatorに悪意のある検証者のプログラムが与えられると、先ほどの（ ZK性を満たせないという）議論は成り立たない。

36



この研究課題は、プログラムの難読化（ Obfuscation）と関係します。

The winning entry for the 1998 International Obfuscated C Code Contest



まとめ

38



まとめ

安全性の定義

実現可能

実現不可能

安全性の証明が既知（証明が可能）

安全性の証明が不可能あるいは未解決

•ZKプロトコル

•Schnorrのプロトコル (eが 1ビット )の ZK性

•Schnorrのプロトコル (eが 1ビット場合 )の ZK性

•Schnorrのプロトコルの Non-Black-Boxの ZK性

•Schnorrのプロトコルの ZK性（ Black-Box）

provable security3

Technology