Skip to main content
QUICK REVIEW

[論文レビュー] Polynomial-Time, Semantically-Secure Encryption Achieving the Secrecy Capacity

Mihir Bellare, Stefano Tessaro|arXiv (Cornell University)|Jan 16, 2012
Cryptography and Data Security被引用数 36
ひとこと要約

この論文は、ワイヤテイプチャネルモデルにおいて、完全な機密性容量を達成する最初の多項式時間で、意味的セキュリティを満たす暗号化方式を提示する。容量を達成するエラー訂正符号と、シード付きエキストラクタを組み合わせ、新規に考案された「ItE」と呼ばれる構成を活用することで、最適な伝送レートと、計算能力に制限のない攻撃者に対しても情報論的セキュリティを確保する。これは、符号理論と暗号理論における30年間にわたる未解決問題を解決するものである。

ABSTRACT

In the wiretap channel setting, one aims to get information-theoretic privacy of communicated data based only on the assumption that the channel from sender to receiver is noisier than the one from sender to adversary. The secrecy capacity is the optimal (highest possible) rate of a secure scheme, and the existence of schemes achieving it has been shown. For thirty years the ultimate and unreached goal has been to achieve this optimal rate with a scheme that is polynomial-time. (This means both encryption and decryption are proven polynomial time algorithms.) This paper finally delivers such a scheme. In fact it does more. Our scheme not only meets the classical notion of security from the wiretap literature, called MIS-R (mutual information security for random messages) but achieves the strictly stronger notion of semantic security, thus delivering more in terms of security without loss of rate.

研究の動機と目的

  • ワイヤテイプチャネルモデルにおいて、機密性容量に到達する多項式時間の暗号化方式を構築するという長年の未解決問題を解決すること。
  • 古典的な相互情報量セキュリティよりも強い意味的セキュリティを満たしつつ、最適なレートを維持する方式を提供すること。
  • エラー訂正符号を構造に依存しないブラックボックス的な方法で使用し、符号構造との複雑な統合を回避すること。
  • 暗号化と復号が両方とも多項式時間で確実に計算可能であるような方式を示すこと。

提案手法

  • 本方式は、新たな構成である「ItE(Inverter-then-Encrypt)」を用いる。これは、シード付きエキストラクタと線形エラー訂正符号を合成するものである。
  • ItEは、メッセージを受け取り、線形符号を適用して暗号文を生成し、その後、シード付きエキストラクタを用いて攻撃者からメッセージを隠蔽する。
  • 安全性は、(k − n·(lg(|OutA|) −H(ChA) + δ), α)-エキストラクタに対する、通常の出力線形性および分離可能なインバーターに依存する。
  • この構成により、攻撃者が送信信号のノイズのあるバージョンにアクセスしても、暗号文の内容からメッセージに関する情報がほとんど漏洩しないことが保証される。
  • 有限体に基づくエキストラクタを用い、受信者と攻撃者のチャネル容量に基づいてパラメータを調整することで、機密性容量を達成する。
  • 容量を達成する線形符号(補題5.10による)を用い、レートとセキュリティのバランスを取るために慎重に選ばれたエキストラクタのパラメータをインスタンス化する。

実験結果

リサーチクエスチョン

  • RQ1多項式時間の暗号化方式は、ワイヤテイプチャネルの機密性容量に到達可能か?
  • RQ2最適なレートを維持しつつ、相互情報量セキュリティよりも強い意味的セキュリティを達成することは可能か?
  • RQ3エラー訂正符号をブラックボックス的に使用することで、ワイヤテイプ環境における信頼性とセキュリティの両方を達成可能か?
  • RQ4多項式時間アルゴリズムを用いて機密性容量を達成するための最小限のセキュリティオーバーヘッドは何か?
  • RQ5この構成は、二進対称チャネルを超えて、任意の対称チャネルへ一般化可能か?

主な発見

  • 提案された方式は、誤り確率が pR < pA である二進対称チャネルにおいて、機密性容量 h₂(pA) − h₂(pR) を達成する。
  • 方式は多項式時間である。暗号化および復号は、メッセージ長に関して多項式時間で計算可能である。
  • 意味的セキュリティが達成され、攻撃者が任意の二つのメッセージの暗号化を区別する能力は、無視できる程度である。
  • 方式のセキュリティバウンドは、Advds(SE; ChAn) ≤ 6 · 2−√n(s) であり、s が増加するにつれて0に近づくため、強いセキュリティが保証される。
  • 方式のレートは、極限において h₂(pA) − h₂(pR) に近づき、理論的な機密性容量と一致する。
  • 一般の対称チャネル(l ビット入力)へも拡張可能であり、セキュリティおよびレートのバウンドは l の係数で調整される。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。