An (easy?) introduction to Tardos's fingerprint codes
縫田 光司(Nuida, Koji)
産総研 情報セキュリティ研究センター 新明るい暗号勉強会, 2009年7月3日
新明るい暗号勉強会, 2009-7-3 (c) Koji Nuida 1
�あらすじ
fingerprint codes Marking Assumption、c-secure符号 Tardosのc-secure codes 安全性証明の概略 soundness errorの上界 completeness errorの上界 符号長オーダーの最小性証明の概略 関連研究
新明るい暗号勉強会, 2009-7-3 (c) Koji Nuida 2
�Fingerprint Codes
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
3
�Fingerprint Codes
追跡者
(
)
「攻撃符号語」 怪しい ユーザの 集合
攻撃者
(
)
(c) Koji Nuida 4
新明るい暗号勉強会, 2009-7-3
�c-secure符号
「追跡誤り」の種類 “soundness error”: “completeness error”: c-secure符号:結託サイズ|C|がc以下のとき、 追跡誤り確率が充分小さい 攻撃モデル:Marking Assumption (次頁)
新明るい暗号勉強会, 2009-7-3 (c) Koji Nuida 5
�Marking Assumption
[Boneh-Shaw 1995] “undetectable bits”
0 1
1 0
erasure
1 1
0 0
y
0 or 1 or ‘?’
(c) Koji Nuida
1
0
6
新明るい暗号勉強会, 2009-7-3
�攻撃アルゴリズムについて
攻撃アルゴリズムの計算量は制限されない (情報理論的安全性) このことから、 yは`?’を含まないとしてよい
?があったら0か1に置き換える
攻撃アルゴリズムは非確率的としてよい 誤り確率を最大化するyを選択
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
7
�c-secure符号の研究の流れ
Chor Fiat Naor 概念 導入 (ほぼ)確定的構成
Boneh Shaw
連接符号
Guth Pfitzmann
仮定の軟化
ぬ
確率的構成(「Tardos符号」)
符号長 下界 Peikert
Shelat Smith
Tardos
下界改善 非Tardos 確率符号
ぬ
ぬ
1995
新明るい暗号勉強会, 2009-7-3
1999
2003
(c) Koji Nuida
2009
8
�Tardos符号
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
9
�Tardos符号の概要
初出:STOC 2003、full ver.:J. ACM 2008 c-secure符号、 理論上最小オーダー(最小性も同時発表) 初めに確率分布Pを確率的に定める Pに従って各符号語を独立に生成 追跡アルゴリズムでは、各ユーザの符号語 と攻撃符号語yとの「類似度」をスコア化して、 スコアが閾値Zを超えたユーザを出力
新明るい暗号勉強会, 2009-7-3 (c) Koji Nuida 10
�大まかな方針
undetectable A
スコア+
B
スコアー
y スコア0(平均的に)
Aの影響 >> Bの影響ならば、平均的に 攻撃者のスコア>>無実ユーザのスコア
新明るい暗号勉強会, 2009-7-3 (c) Koji Nuida 11
�大まかな方針
無実ユーザ のスコア 攻撃者の スコア
completeness error
新明るい暗号勉強会, 2009-7-3
閾値 Z
soundness error
12
(c) Koji Nuida
�符号語の構成
各ビット位置 j (= 1,2,...,m)ごとに「バイアス」 0 < pj < 1をある分布に従って選ぶ 各符号語wiの各ビットwi,jを、独立に で選ぶ
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
13
�バイアスの選び方
:一様ランダム
0 0.2 0.4 0.6 0.8 1 1.2 1.4 1 2 3 4 5 6 7 8 9 1
rj
pj
新明るい暗号勉強会, 2009-7-3 (c) Koji Nuida 14
�バイアスの選び方
0や1に近いpjの値が出やすくなっている メリット: undetectable bitの数が多くなる 攻撃者の攻撃の効果を限定 デメリット: 各ユーザの符号語が互いに似やすい 攻撃者と無実ユーザのスコアが近くなる
新明るい暗号勉強会, 2009-7-3 (c) Koji Nuida 15
�スコアの計算法
ユーザ i のスコア
pjの減少関数 pjが小さいほど 疑わしい
新明るい暗号勉強会, 2009-7-3 (c) Koji Nuida
pjが小さいほど 無実っぽい
16
�パラメータ選択
:パラメータ、 m := 100c2k, Z := 20ck このとき以下が成り立つ: 各無実ユーザ i について、 特に、c > 3のとき、 誤り確率 未満となる
新明るい暗号勉強会, 2009-7-3 (c) Koji Nuida
とすれば追跡
17
�安全性証明(soundness error)
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
18
�示すべきこと
各無実ユーザ i について、 つまり、スコアS = Si について、 どうやって証明する? (案1)中心極限定理 (案2)Markov不等式
新明るい暗号勉強会, 2009-7-3 (c) Koji Nuida 19
�Soundness Error
Markov不等式の対象は正値確率変数 ユーザのスコアは負の値も取り得る そこで、指数関数でスコアを正値に変換
Markov
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
20
�Soundness Error
yとp1,...,pmを固定したとき、各ビットは独立
独立性
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
21
�Soundness Error
とすると、
ビット毎スコアの平均=0、分散=1
新明るい暗号勉強会, 2009-7-3 (c) Koji Nuida 22
�Soundness Error
よって、
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
23
�Soundness Error
注意:証明ではyとp1,...,pmを固定しており、 またyの具体的な性質は使っていないので、 Marking Assumption 攻撃者数|C|についての制限 がなくても上の主張は成立する
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
24
�安全性証明(completeness error)
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
25
�示すべきこと
つまり、
どうやって証明する?
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
26
�Completeness Error
「全ての攻撃者のスコアがZ以下」ならば、攻 撃者のスコアの総和Ssumは|C|Z以下 つまり、 を示せばよい
Markov
新明るい暗号勉強会, 2009-7-3 (c) Koji Nuida 27
�Completeness Error
:j ビット目のスコアの和 :符号語のj ビット目たち
新明るい暗号勉強会, 2009-7-3 (c) Koji Nuida 28
�Completeness Error
各桁の 独立性
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
29
�Completeness Error
Marking Assumption (all 0) (all 1)
右辺を
新明るい暗号勉強会, 2009-7-3
とおく
(c) Koji Nuida
(otherwise)
30
�Completeness Error
は j 桁目にある1の個数で決まるので、
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
31
�Completeness Error
頑張って(A4で3ページぐらい使って)計算すると、
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
32
�Completeness Error
以上より
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
33
�符号長オーダーの最小性
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
34
�ステートメント
任意のfingerprint codeを考える 、a > 1は定数 攻撃者c-1人以下のとき、任意の無実ユー ザ i について 攻撃者c人以下のとき、 ならば、
新明るい暗号勉強会, 2009-7-3 (c) Koji Nuida 35
�符号長オーダーの最小性
Case 1 (j ビット目)
1 2
Case 2
・ ・ ・
c-1 c
yj :高
新明るい暗号勉強会, 2009-7-3 (c) Koji Nuida
yj :低
36
�符号長オーダーの最小性
Case 1 (j ビット目)
1 2
Case 2
・ ・ ・
cが大きいとき、 Case 1と2で yjの分布を近 くできる (ユーザcの持 つ情報量が相 対的に小)
c-1 c
yj :高
新明るい暗号勉強会, 2009-7-3 (c) Koji Nuida
yj :低
37
�符号長オーダーの最小性
Case 1 (j ビット目)
1 2
Case 2
・ ・ ・
c-1 c
従って、Case 1と2でユーザ cの出力確率 に差をつける ためには、あ る程度長い符 号長が必要
yj :高
新明るい暗号勉強会, 2009-7-3 (c) Koji Nuida
yj :低
38
�関連研究(の一部)
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
39
�Tardos符号のパラメータ改良
Skoric, Vladimirova, Celik, Talstra: IEEE Trans. IT 2008 Skoric, Katzenbeisser, Celik: Des. Codes Crypto. 2008 Blayer, Tassa: Des. Codes Crypto. 2008
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
40
�確率分布、アルゴリズム改良
萩原, 花岡, 今井: AAECC 2006 縫田, 萩原, 渡辺, 今井: IH 2007 縫田, 藤津, 萩原, 北川, 渡辺, 小川, 今井: AAECC 2007
full ver.: Des. Codes Crypto. 2009
明石, 栗林, 森井: ISITA 2008
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
41
�符号長の下界
Peikert, Shelat, Smith: ACM-SIAM SODA 2003 磯谷, 村谷: ISEC 2005, SCIS 2005, SCIS 2007 etc.
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
42
�Tardos符号の応用
Billet, Phan: ICITS 2008 Katzenbeisser, Skoric, Celik, Sadeghi: IH 2007
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
43
�ご清聴ありがとうございました
情報セキュリティ研究センター
RCIS (Research Center for Information Security
新明るい暗号勉強会, 2009-7-3
(c) Koji Nuida
44
�