Forward-secure サーバー成りすまし不可能性

Testクエリに対する振る舞い以外は，第4.6.2節のオラクルと同様の構成であるため，A^は，

S,F,Cのいずれかが生じない限り，各オラクルがシミュレートされたものだと識別できず，式 (4.15)，(4.16)，(4.17)，(4.18)が同様に成り立つ．以上をまとめ，第4.6.2節と同様に評価する ことで，次の式が得られる．

Pr[Bwins]≥ Pr[Awins∧G∧ ¬S∧ ¬F∧ ¬C]

= 1 n ·

(

1− q_H +1

|key| )2

· (

1− 2^t! 2^nt(2^t−n)!

)

·Adv_{AFT I}.

攻撃者Bの成功確率が無視できるとすると，攻撃者Aの成功確率も無視できることが示 せた．

対して

S K₂ = H_2,A(S K₁,ID) :=H_2,B(S K₁,ID), ...

S K_i−1 = H_2,A(S K_i−2,ID) := H_2,B(S K_i−2,ID)

と設定する．また，H_2,Bに問い合わせを行い，H_2,Aに対して S Ki+2 = H2,A(S Ki+1,ID) := H2,B(S Ki+1,ID),

...

S K_n = H_2,A(S K_n−1,ID) := H_2,B(S K_n−1,ID) と設定する．

そして，B^は，IDをA^に与え，A^{を動作させる．}

■ラ ン ダ ム オ ラ ク ル の シ ミ ュ レ ー ト 第 4.6.2 節 と 同 様 に ，特 に 断 り が な い 限 り ， OH_0,A,OH_1,A,OH_2,A へ の 問 い 合 わ せ は ，そ の ま ま OH_0,B,OH_1,B,OH_2,B に 転 送 さ れ ， OH_0,B,OH_1,B,OH_2,Bからの出力をそのまま返す．

■SAのシミュレート 第4.6.2節と同様の手順で，シミュレートを行う．

• j,i,i+1の場合：

– ()を受け取ったら，Xsid

← {R 0,1}^{t を選択して，}Xsid を出力する．

– αsid, βsidを受け取ったら，

∗ βsid = H_0,A(S K_j,ID,X_sid, αsid) が成立すれば，Z_sid ← H_1,A(S K_j,ID,X_sid, αsid) を計算し，Zsidを返す．

∗ βsid = H0,A(S Kj−1,ID,Xsid, αsid)が成立すれば，Zsid ←H1,A(S Kj−1,ID,Xsid, αsid) を計算し，Z_sidを返す．

∗ ^{成立しなければ，}Zsid

←R h1 を返す．

• j=iの場合：

– ()を受け取ったら，()をSBに送って，X_sid を受け取り，X_sidを出力する．

– αsid, βsidを受け取ったら，

∗ βsid = H0,A(S Ki−1,ID,Xsid, αsid)が成立すれば，Zsid ←H1,A(S Ki−1,ID,Xsid, αsid) を計算し，Z_sidを返す．

∗ ^{成立しなければ，}αsid, βsidをSBに送って，Zsid を受け取り，Zsidを返す．

• j=i+1の場合：

– ()を受け取ったら，()をSBに送って，X_sid を受け取り，X_sidを出力する．

– αsid, βsidを受け取ったら，

∗ βsid = H0,A(S Ki+1,ID,Xsid, αsid)が成立すれば，Zsid ←H1,A(S Ki+1,ID,Xsid, αsid) を計算し，Zsidを返す．

∗ 成立しなければ，αsid, βsidをSBに送って，Z_sid を受け取り，Z_sidを返す．

■TA のシミュレート 第4.6.2節とほぼ同様にシミュレートを行うが，Testクエリに対する 振る舞いのみが異なる．

• j,iの場合：

– X^′_sid を受け取ったら，αsid

← {R 0,1}^{t を選択し，}βsid ← H0,A(S Kj,ID,Xsid, αsid)を計 算し，(αsid, βsid)を出力する．

– Z^′_sidを受け取ったら()を出力する．

– Reveal(sid)クエリ を受け取ったら，

∗ j<iの場合，動作を停止する．

∗ j>iの場合，S Kj を返す．

– Testクエリ を受け取ったら，動作を停止する．

• j=iの場合：

– X^′_sidを受け取ったら，X^′_sidをTBに送り，(αsid, βsid)を受け取り，(αsid, βsid)を返す．

– Z^′_sidを受け取ったら，Z_sid^′ をTBに送り，()を受け取り，()を返す．

– Reveal(sid)クエリを受け取ったら，動作を停止する．

– Test(X^∗)クエリを受け取ったら，X^∗ をChallengeオラクルに送り，(α^∗, β^∗)を受け 取り，(α^∗, β^∗)を返す．Test(Z^∗)を受け取ったら，それをChallengeオラクルに送 り，動作を停止する．

Aが攻撃の対象とするセッション鍵のインデックスiの推測に成功し，A^{が攻撃に成功する} とき，Bも攻撃に成功することを示す．G,S,F,Cは，第4.6.2節と同じイベントとする．

セッション鍵のインデックスiの推測に成功した場合，すなわちG が生じたとき，B^は，

sid = i||ssid でT_A^{sid に}Test クエリを受ける．その時，B ^{は，問い合わされる}Test(X^∗) を，

Challengeオラクルに転送し，β^∗ = H0,B(SK1,ID,X^∗, α^∗)なる(α^∗, β^∗)を得る．そして，(α^∗, β^∗) をA^に返し，A^よりTest(Z^∗)を得て，ChallengeオラクルにZ^∗を返す．A^{が攻撃に成功する} 場合，Z^∗ =H_1,B(S K_i,ID,X^∗, α^∗)= H_1,B(SK1,ID,X^∗, α^∗)を満たす．つまり，Challengeオラク ルは，Z^∗をacceptする．よって，B^は，A^のTestクエリを出力することで，攻撃に成功する ことが示せた．

上記のように，Challengeオラクルを用いると，SK1 に対応するTestクエリを構成できる ため，A^は，Testクエリに対する返り値がシミュレートされたものだと識別できない．また，

Testクエリに対する振る舞い以外は，第4.6.2節のオラクルと同様の構成であるため，A^は，

S,F,Cのいずれかが生じない限り，各オラクルがシミュレートされたものだと識別できず，式 (4.15)，(4.16)，(4.17)，(4.18)が同様に成り立つ．以上をまとめ，第4.6.2節と同様に評価する ことで，次の式が得られる．

Pr[Bwins]≥ Pr[Awins∧G∧ ¬S∧ ¬F∧ ¬C]

≤ 1 n ·

(

1− qH +1

|key| )2

· (

1− 2^t! 2^nt(2^t−n)!

)

·Adv_{AFS I}.

攻撃者Bの成功確率が無視できるとすると，攻撃者Aの成功確率も無視できることが示 せた．