[論文レビュー] Cryptography with Certified Deletion
本稿では、公開鍵暗号、完全準同型暗号、またはコミットメントなどの任意の後量子暗号プリミティブを、情報理論的削除が保証される形に変換する一般化されたコンパイラを提案する。このコンパイラにより、古典的証明書を用いて情報理論的にデータを削除可能となる。主な貢献は、削除証明書が生成された後、攻撃者が無制限の計算能力を有しても平文を復元できないことを示す、新たな証明技法の開発である。これにより、マルチパーティ計算やゼロ知識証明における新たな形の永遠の安全性が実現可能となる。
We propose a new, unifying framework that yields an array of cryptographic primitives with certified deletion. These primitives enable a party in possession of a quantum ciphertext to generate a classical certificate that the encrypted plaintext has been information-theoretically deleted, and cannot be recovered even given unbounded computational resources. - For X \in {public-key, attribute-based, fully-homomorphic, witness, timed-release}, our compiler converts any (post-quantum) X encryption to X encryption with certified deletion. In addition, we compile statistically-binding commitments to statistically-binding commitments with certified everlasting hiding. As a corollary, we also obtain statistically-sound zero-knowledge proofs for QMA with certified everlasting zero-knowledge assuming statistically-binding commitments. - We also obtain a strong form of everlasting security for two-party and multi-party computation in the dishonest majority setting. While simultaneously achieving everlasting security against all parties in this setting is known to be impossible, we introduce everlasting security transfer (EST). This enables any one party (or a subset of parties) to dynamically and certifiably information-theoretically delete other participants' data after protocol execution. We construct general-purpose secure computation with EST assuming statistically-binding commitments, which can be based on one-way functions or pseudorandom quantum states. We obtain our results by developing a novel proof technique to argue that a bit b has been information-theoretically deleted from an adversary's view once they output a valid deletion certificate, despite having been previously information-theoretically determined by the ciphertext they held in their view. This technique may be of independent interest.
研究の動機と目的
- 信頼できないまたは悪意ある参加者が暗号化されたデータを無期限に保持する可能性がある状況において、暗号的システムにおけるデータ削除を強制するという根本的問題に取り組む。
- 不確実性原理や量子リワインド技術を活用することで、従来の不可能性である「確実なデータ削除」を、量子力学的原理を用いて克服する。
- 公開鍵暗号、属性ベース暗号、完全準同型暗号、タイムリリース暗号を含む広範な暗号プリミティブの分野にわたる認証削除を可能にする統一的フレームワークを構築する。
- 任意の参加者がマルチパーティ計算において他の参加者のデータを動的にかつ証明可能な形で削除できる、新たなセキュリティプリミティブ「永遠のセキュリティ転送(EST)」を導入する。
- 統計的バインディングコミットメントのみを仮定して、QMAに対する統計的妥当性を持つゼロ知識証明を、認証された永遠のゼロ知識性を満たす形で構築する。
提案手法
- 任意の(後量子)暗号スキームを、量子セキュアなプリミティブと、新たな削除証明書生成メカニズムを用いて、認証削除が可能な形に変換する一般コンパイラを提案する。
- 有効な削除証明書が生成された後、攻撃者が暗号文から事前にそのビットを学習していたとしても、そのビットが情報理論的に削除されていることを示す、新たな証明技法を開発する。
- 「永遠のセキュリティ転送(EST)」の概念を導入し、参加者が削除リクエストを発行し、検証可能な削除応答を受け取ることで、他の参加者のデータを動的にかつ証明可能な形で削除可能とする。
- 任意の安全な計算プロトコルを拡張してESTをサポートするマルチパーティ削除フェーズを構築し、参加者間の削除リクエストと応答を用いて、入力の削除を証明可能とする。
- 量子環境下での独立的合成定理を活用し、認証削除付きの受動的トランスファープロトコルから、ESTを備えた安全なマルチパーティ計算が構築可能であることを示す。
- XOR抽出機と量子リワインド技術を用いて、削除証明書の妥当性を保証し、攻撃者が情報を保持して不正を働くことを防ぐ。
実験結果
リサーチクエスチョン
- RQ1認証削除を、単純な暗号化を越えて広範な暗号プリミティブに体系的かつ一貫して適用可能か?
- RQ2攻撃者が無制限の計算能力を持つ状況下でも、量子環境下で情報理論的削除を達成可能か?
- RQ3マルチパーティ計算において、悪意ある多数派の状況下でも、動的かつ検証可能なデータ削除が可能か?
- RQ4認証削除を用いて、永遠のゼロ知識性を持つゼロ知識証明を構築可能か?
- RQ5マルチパーティプロトコルにおける「永遠のセキュリティ転送」の概念を形式化するため、新たなセキュリティモデルと定義は必要か?
主な発見
- 本稿では、公開鍵暗号、属性ベース暗号、完全準同型暗号、タイムリリース暗号を含む、任意の後量子暗号プリミティブを、認証削除が可能な形に変換する汎用コンパイラを構築した。このコンパイラにより、削除証明書が発行された後は、無制限の計算能力を有しても平文が復元できないことが保証される。
- 統計的バインディングコミットメントのみを仮定することで、QMAに対する統計的妥当性を持つゼロ知識証明を、認証された永遠のゼロ知識性を満たす形で達成した。この仮定は、単方向関数や擬似量子状態に基づいて実現可能である。
- 任意の参加者(または参加者の部分集合)が、プロトコル実行後に他の参加者のデータを動的にかつ証明可能な形で削除できる、新たなセキュリティプリミティブ「永遠のセキュリティ転送(EST)」を導入した。この機能は、悪意ある多数派の状況下でも有効である。
- 本フレームワークは、ESTを備えた安全なマルチパーティ計算をサポートしており、計算的に隠蔽され、統計的バインディング性を持つコミットメントへのブラックボックスアクセスのみを仮定すれば実現可能であることが示された。
- 本研究の核心的技術的貢献は、有効な削除証明書が生成された後、攻撃者が暗号文から事前にそのビットを学習していたとしても、そのビットが情報理論的に削除されていることを保証する、新たな証明技法の確立である。
- 本構成は、標準的な量子セキュリティモデルのもとで安全であり、量子シミュレータを用いて攻撃者の視認をエミュレートすることで、削除リクエスト時でさえも不変性が保証される。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。