Skip to main content
QUICK REVIEW

[論文レビュー] Express: Lowering the Cost of Metadata-hiding Communication with Cryptographic Privacy

Saba Eskandarian, Henry Corrigan-Gibbs|arXiv (Cornell University)|Nov 20, 2019
Internet Traffic Analysis and Secure E-voting参考文献 39被引用数 30
ひとこと要約

Expressは、対称鍵暗号を用いて通信コストと計算コストを著しく削減することで、暗号的プライバシーを実現する二サーバー型メタデータ隠匿メッセージングシステムである。非同期の読み書き操作を可能にし、Pung や Riposte といった先行システムと比較して、帯域幅を100倍以上削減、エンドツーエンドの運用コストを6倍削減する、革新的な監査プロトコルにより、サービス拒否攻撃に対しても耐性を持つ。

ABSTRACT

Existing systems for metadata-hiding messaging that provide cryptographic privacy properties have either high communication costs, high computation costs, or both. In this paper, we introduce Express, a metadata-hiding communication system that significantly reduces both communication and computation costs. Express is a two-server system that provides cryptographic security against an arbitrary number of malicious clients and one malicious server. In terms of communication, Express only incurs a constant-factor overhead per message sent regardless of the number of users, whereas previous cryptographically-secure systems Pung and Riposte had communication costs proportional to roughly the square root of the number of users. In terms of computation, Express only uses symmetric key cryptographic primitives and makes both practical and asymptotic improvements on protocols employed by prior work. These improvements enable Express to increase message throughput, reduce latency, and consume over 100x less bandwidth than Pung and Riposte, dropping the end to end cost of running a realistic whistleblowing application by 6x.

研究の動機と目的

  • 既存のソリューションと比較して、通信コストと計算コストを著しく低減したメタデータ隠匿通信システムを設計すること。
  • Pung や Vuvuzela のような先行システムが要求するラウンドベースの同期に依存せずに、メッセージの書き込みと読み取りの非同期処理を可能にすること。
  • 不正なクライアントが不正なメッセージを送信する攻撃を防ぐため、サーバーがクライアントの入力を完全に可視化する必要なく、サービス拒否攻撃に対する防御を可能にすること。
  • 軽量な対称鍵プリミティブのみを用いて、最大1台の悪意あるサーバーおよび任意の数の悪意あるクライアントに対して強い暗号的セキュリティを維持すること。
  • とりわけリークデリーバーのような長期的応用を想定した場合に、メタデータ隠匿システムの実際の運用コストを削減すること。

提案手法

  • Expressは、二つのサーバー間で秘密分散を用いてメールボックスの内容を格納し、どのメールボックスにクライアントが書き込むかを単一のサーバーが学習しないようにする。
  • 各クライアントが特定のメールボックスに書き込むことを可能にするために、分散ポイント関数(DPF)を採用する。
  • 非同期読み取りを実現するため、各メールボックスの読み取り時に、内容を再ランダム化した暗号化されたデータを返す。このデータは所有者以外が復号できないため、相関攻撃を防ぐ。
  • メッセージの整合性を検証するための革新的な監査プロトコルを採用し、通信コストをO(λ)に抑える。ここでλは固定のセキュリティパラメータである。
  • 先行システム(Pung や Riposte など)が使用する高コストな公開鍵演算を回避し、対称鍵暗号プリミティブのみを用いる。
  • 読み取りと書き込みが時間的に分離されており、クライアントが同期制約なしに任意の頻度でシステムとやり取りできる。

実験結果

リサーチクエスチョン

  • RQ1メタデータ隠匿システムは、ユーザー数に依存しない通信コストで暗号的プライバシーを達成できるか?
  • RQ2ラウンドベースの同期を必要とせず、プライバシーを損なわず、暗号的に安全な非同期読み書き操作を実現できるか?
  • RQ3クライアントの入力をサーバーに完全に公開せずに、二サーバー構成において不正クライアントによるサービス拒否攻撃を防げるか?
  • RQ4対称鍵暗号のみを用いることで、メタデータ隠匿システムにおける通信コストと計算コストを両方とも削減できるか?
  • RQ5強力な暗号的保証を備えたメタデータ隠匿システムを実装する際の実際のコスト削減はどの程度か?

主な発見

  • Expressは、Pung や Riposte と比較して通信帯域幅を100倍以上削減し、ユーザー数に依存しない定数オーダーのオーバーヘッドを実現した。
  • 実用的なリークデリーバー応用において、エンドツーエンドの運用コストを先行システムと比較して6倍削減した。
  • 公開鍵暗号を回避し、対称鍵プリミティブのみを用いることで、メッセージスループットを向上させ、レイテンシを低減した。
  • 監査プロトコルは、メールボックスの数に依存しないO(λ)の通信コストで、不正なメッセージに対するセキュリティを確保した。
  • 読み取り時にメールボックス内容を再ランダム化した暗号化を用いることで、非同期処理を実現し、攻撃者が書き込みと読み取りを相関させることを防いだ。
  • 最大1台の悪意あるサーバーおよび任意の数の悪意あるクライアントに対して、微分プライバシーに依存するシステムよりも強い保証を提供する暗号的セキュリティを維持した。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。