• 検索結果がありません。

紛失通信プロトコルの解析のための可能世界意味論に基づく形式体系

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "紛失通信プロトコルの解析のための可能世界意味論に基づく形式体系"

Copied!
2
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 2 ページ )

全文

(1)情報処理学会第 73 回全国大会. 2E-4 紛失通信プロトコルの解析のための可能世界意味論に基づく形式体系∗ 小黒 博昭 †. 萩原 茂樹 †. 米崎 直樹 †. † 東京工業大学大学院情報理工学研究科計算工学専攻. 1. である.hT1 , T2 i は T1 および T2 の対を表すメッセー ジである.. はじめに. Bhery らは Dolev-Yao の記号論的な手法を基に,暗 号メッセージから得られる部分情報を推論可能な演繹 体系 (Judgment-Deduction System; JD 体系) を提案 した [1].さらに,萩原らは JD 体系に対し,確率的多 項式時間チューリング機械を用いた計算論に基づく意 味を与え,その意味論に対する健全性および完全性を 示した [3].これらの研究の流れを汲み,著者らはこれ までに,暗号プロトコルの基本要素としてよく利用され る 1-out-of-2 型の Oblivious Transfer (OT; 紛失通信) プロトコルに着目し,同プロトコルの一実現形態であ る EGL85 プロトコル [2] の性質を記号論的に解析する ための形式体系を提案している [4].しかしながら,[4] で提案された形式体系には構文に対する直観的な意味 しか与えられておらず,形式的な意味論が与えられて いなかった. 本稿では,[4] で提案された形式体系に対し,可能世 界モデルに基づく意味論を与え,その意味論における 推論規則の健全性を示す.. 2. 構文. 定義 2 (式) T , T1 , T2 をメッセージを表すメタ変数, Γ をメッセージの集合とするとき,式 F を以下のよう に定義する. P F. ここで,P の型の式を関係情報,Γ |= T の型の式を メッセージ認識文,Γ |= P の型の式を判定文と呼ぶ. 定義 3 (代数法則) メッセージの値がいかなる値でも常 に等価性が成立する代数法則を [4] のように定義する. (例えば,B1 , B2 , B3 をビットを表すメッセージのメタ 変数とするとき,((B1 ⊕ B2 ) ⊕ B3 ) = (B1 ⊕ (B2 ⊕ B3 )) は代数法則の一つである. ) 代数法則を公理とみなし,公理および等号付き一階 述語論理の推論規則を用いて,仮定 P1 , . . . , Pn から P が演繹されるとき,P1 , . . . , Pn ` P と記述する.特に, 仮定なしで P が演繹されるとき,` P と記述する.. (B1) (B3). 定義 1 (メッセージ) B = {0, 1} をビットを表す定数 記号の集合,R = {r, s} をランダムビットを表す定数記 (B5) 号の集合,k を送信者の公開鍵を表す定数記号,k −1 を (B6) その私有鍵を表す定数記号,M = {M0 , M1 } をデータ を表す定数記号の集合,X = {x, m0 , m1 } を乱数デー タを表す定数記号の集合とする.このとき,B を B の 要素を表すメタ変数,R を R の要素を表すメタ変数, (B7) M を M の要素を表すメタ変数,X を X の要素を表 (B9) すメタ変数として,メッセージ T を以下のように帰納 的に定義する. (B10) ::= ::= ::=. T1 = T2 | T1 = 6 T2 P | Γ |= T | Γ |= P. 定義 4 (メッセージ認識規則) メッセージ認識文が導出 される推論規則を以下のように定義する.. EGL85 を記号論的に解析するために用いるメッセー ジを定義する.. B X T. ::= ::=. B | R | (B1 ⊕ B2 ) X B | X | k | k−1 | M | C(X1 , X2 , B) | Ek (T ) | Dk−1 (T ) | (T1 k T2 ) | (

(2) k T ) | hT1 , T2 i. (B12) (B14). Γ |= 0. (B2). Γ |= 1 Γ |= B1 Γ |= B2 (T ∈ Γ) (B4) Γ |= T Γ |= (B1 ⊕ B2 ) Γ |= X1 Γ |= X2 Γ |= B Γ |= C(X1 , X2 , B) Γ |= X1 Γ |= X2 Γ |= C(X1 , X2 , B) (ただし Γ |= B X1 と X2 は異なる記号) Γ |= k Γ |= T Γ |= k−1 Γ |= T (B8) Γ |= Ek (T ) Γ |= Dk−1 (T ) Γ |= k Γ |= T1 Γ |= T2 Γ |= (T1 k T2 ) Γ |= k Γ |= T Γ |= T1 Γ |= T2 (B11) Γ |= (

(3) k T ) Γ |= hT1 , T2 i Γ |= hT1 , T2 i Γ |= hT1 , T2 i (B13) Γ |= T1 Γ |= T2 Γ |= T1 T1 = T2 (ただし T1 = T2 は仮定なしで Γ |= T2 代数法則のみから導出される式) Γ |= T1 Γ |= T2 Γ |= T [T1 ] T1 = T2 (ただし T1 = Γ |= T [T2 /T1 ] T2 は仮定および代数法則から導出される式). ここで,(B1 ⊕ B2 ) は二つのビットの排他的論理和を 表すメッセージである.C(X1 , X2 , B) は B により X1 (B15) または X2 のどちらかを表すメッセージである.Ek (T ) は公開鍵 k により T を暗号化したメッセージである. Dk−1 (T ) は私有鍵 k −1 により T を復号したメッセージ 定義 5 (JD-推論規則) 定義 4 に示されるメッセージ である.(T1 k T2 ) は公開鍵 k により定まる有限体上 認識規則に,判定文が導出される以下の推論規則を追 加した規則群を JD-推論規則と定義する. で加算した結果を表すメッセージである.(

(4) k T ) は公 T1 = T2 開鍵 k により定まる有限体上の逆元を表すメッセージ (ただし T1 = T2 は仮定なしで代数 Γ |= T1 = T2 法則のみから導出される式) T1 6= T2 (C2) (ただし T1 6= T2 は仮定なしで代数 Γ |= T1 6= T2 法則のみから導出される式) (C1). ∗ Formal System Based on Possible World Semantics for Analysis of Oblivious Transfer Protocols. †Hiroaki Oguro, Shigeki Hagihara, Naoki Yonezaki, Department of Computer Science, Graduate School of Information Science and Engineering, Tokyo Institute of Technology.. 3-439. Copyright 2011 Information Processing Society of Japan. All Rights Reserved..

(5) 情報処理学会第 73 回全国大会. Γ |= T2 T1 = T2 (ただし T1 = T2 Γ |= T1 = T2 は仮定および代数法則から導出される式) Γ |= T1 Γ |= T2 T1 6= T2 (C4) (ただし T1 6= T2 Γ |= T1 6= T2 は仮定および代数法則から導出される式) P1 , . . . , Pn .. . Γ |= P1 · · · Γ |= Pn P (C5) (ただし,前 Γ |= P 提の P は,仮定 P1 , . . . , Pn のみを仮定して代数法則 および述語計算から導出される式). (C3). Γ |= T1. 定義 6 (JD-導出) S をメッセージ認識文 Γ |= T また は判定文 Γ |= P とする.このとき,関係情報 P1 , . . . , Pn を仮定して,JD-推論規則を用いて S が演繹されると き,P1 , . . . , Pn `JD S と記述し,演繹不可能のとき, P1 , . . . , Pn 0JD S と記述する.. • • • • • •. ただし,乱数データを表す定数記号 x, m0 , m1 には, 上記すべてのメッセージのビット列と異なるビット列 が割り当てられるとする. メッセージ T を基にし,そこから新たに計算可能な メッセージに関して分かることのすべてを表すために 用いる閉包を定義する. 定義 8 (閉包) Y をメッセージの集合とする.このと き,Y の閉包 cl (Y ) は以下を満足する最小集合 U で ある. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13.. 意味論. 3. 定義 7 (メッセージ代数) メッセージ代数は組 A = hA, pk , sk ,xor , choose, enc, dec, add , inv , pair i で定義 される.ここで,A はビット列の集合の部分集合である. pk は送信者の公開鍵を表すビット列である.sk はその 私有鍵を表すビット列である.xor : {0, 1} × {0, 1} → {0, 1} は以下のように定義される関数である. xor (b1 , b2 ) =. { 0 1. ((b1 , b2 ) = (0, 0) or (1, 1)) ((b1 , b2 ) = (0, 1) or (1, 0)). choose : A × A × {0, 1} → A は以下のように定義され る関数である. { choose(d1 , d2 , b) =. d1 d2. • JT1 = T2 KI = t ⇐⇒ JT1 KI = JT2 KI 6 T2 KI = t ⇐⇒ JT1 KI 6= JT2 KI • JT1 = • JΓ |= T KI = t ⇐⇒ ∀I 0 (I ≈Γ I 0 ⇒ JT KI = JT KI 0 ), ここで, I ≈Γ I 0 iff ∀T (T ∈ cl (Γ) ⇒ JT KI = JT KI 0 ) • JΓ |= P KI = t ⇐⇒ ∀I 0 (I ≈Γ I 0 ⇒ JP KI 0 ). JD-推論規則の健全性は以下を示すことにより証明さ れる. ∧ 1. P1 , . . . , Pn ` P ⇒ ∀I ( n I = t) ⇒ JP KI = t) i=1 (JPi K∧ 2. P1 , . . . , Pn `JD Γ |= T ⇒ ∀I ( n i=1 (JPi KI = t) ⇒ JΓ |= T KI = t) ∧n 3. P1 , . . . , Pn `JD Γ |= P ⇒ ∀I ( i=1 (JPi KI = t) ⇒ JΓ |= P KI = t). ∀d ∈ A (dec(sk , enc(pk , d)) = enc(pk , dec(sk , d)) = d). add : {pk } × A × A → A は二つのビット列に加法を適 用したビット列を返す関数である.inv : {pk } × A → A はビット列からその逆元のビット列を返す関数である. ここで,add , inv は以下を満足するものとする. ∀d1 ∀d2 ∀d3 ∈ A (add (pk , add (pk , d1 , d2 ), d3 ) = add (pk , d1 , add (pk , d2 , d3 ))) ∀d ∈ A (add (pk , d, 0) = d) ∀d ∈ A (add (pk , d, inv (pk , d) = 0) ∀d1 ∀d2 ∈ A (add (pk , d1 , d2 ) = add (pk , d2 , d1 )). pair は二つの任意のビット列からビット列の対を返す 関数であり,以下を満足するものとする.. 4. まとめ. 本稿では,[4] で提案された,EGL85 プロトコルの 性質を記号論的に解析するための形式体系に対し,可 能世界モデルに基づく意味論を与え,その意味論にお ける推論規則の健全性を示した. 今後の課題は,本稿で提案した意味論における完全 性の証明,および確率的多項式時間チューリング機械 による計算論的な意味付けとの比較である.. 参考文献. ∀d1 ∀d2 ∀d3 ∀d4 ∈ A (pair (d1 , d2 ) = pair (d3 , d4 ) ⇒ d1 = d3 ∧ d2 = d4 ). A をメッセージ代数とする.m : B ∪ R ∪ M ∪ X → A を意味関数とし,I = (m, A) を解釈とする.このとき, メッセージに以下のビット列を割り当てる. • • • • • •. {0, 1} ⊂ U Y ⊆U B1 , B2 ∈ U ⇒ (B1 ⊕ B2 ) ∈ U X1 , X2 , B ∈ U ⇒ C(X1 , X2 , B) ∈ U X1 , X2 , C(X1 , X2 , B) ∈ U ⇒ B ∈ U k, T ∈ U ⇒ Ek (T ) ∈ U k−1 , T ∈ U ⇒ Dk−1 (T ) ∈ U k, T1 , T2 ∈ U ⇒ (T1 k T2 ) ∈ U k, T ∈ U ⇒ (

(6) k T ) ∈ U T1 , T2 ∈ U ⇒ hT1 , T2 i ∈ U hT1 , T2 i ∈ U ⇒ T1 , T2 ∈ U ` T1 = T2 のとき,T1 ∈ U ⇒ T2 ∈ U T1 , T2 , T [T1 ] ∈ U ⇒ T [T2 /T1 ] ∈ U. 式の意味(真偽値 t または f )は以下のように定義 される.. (b = 0) (b = 1). enc : {pk } × A → A は公開鍵およびビット列からビッ ト列を返す関数である.dec : {sk } × A → A は私有鍵 およびビット列からビット列を返す関数である.ここ で,enc, dec は以下を満足するものとする.. JC(X1 , X2 , B)KI = choose(JX1 KI , JX2 KI , JBKI ) JEk (T )KI = enc(JkKI , JT KI ) JDk−1 (T )KI = dec(Jk−1 KI , JT KI ) J(T1 k T2 )KI = add (JkKI , JT1 KI , JT2 KI ) J(

(7) k T )KI = inv (JkKI , JT KI ) JhT1 , T2 iKI = pair (JT1 KI , JT2 KI ). J0KI = m(0) = 0, J1KI = m(1) = 1 JrKI = m(r), JsKI = m(s) J(B1 ⊕ B2 )KI = xor (JB1 KI , JB2 KI ) JxKI = m(x), Jm0 KI = m(m0 ), Jm1 KI = m(m1 ) JkKI = m(k) = pk , Jk−1 KI = m(k−1 ) = sk JM0 KI = m(M0 ), JM1 KI = m(M1 ). [1] Bhery, A., Hagihara, S., Yonezaki, N.: A Formal System for Analysis of Cryptographic Encryption and Their Security Properties. ISSS 2003, LNCS, vol. 3233, pp. 87–112. Springer (2004) [2] Even, S., Goldreich, O., Lempel, A.: A Randomized Protocol for Signing Contracts. Communications of the ACM, vol. 28, no. 6, pp. 637–647 (1985) [3] 萩原茂樹,小黒博昭,米崎直樹:暗号文から得られる部分情報に 関する推論体系とその計算論に基づく意味,日本ソフトウェア科 学会第 24 回大会論文集 (2007) [4] 小黒博昭,萩原茂樹,米崎直樹:記号論的暗号解析を用いた Oblivious Transfer プロトコルの解析,電子情報通信学会論文 誌 Vol.J92-D(5), pp. 596–607 (2009). 3-440. Copyright 2011 Information Processing Society of Japan. All Rights Reserved..

(8)

参照

今ダウンロードする ( PDF - 2 ページ - 133.91 KB )

関連したドキュメント

電流のモニタリングによるモータ駆動系のパラメー タ同定とその応用

こうした背景を元に,本論文ではモータ駆動系のパラメータ同定に関する基礎的及び応用的研究を

血液カタラーゼの不能働化に関する研究

 回報に述べた実験成績より,カタラーゼの不 能働化過程は少なくともその一部は可三等であ

身体主義にもとづく,主格の認知意味論

身体主義にもとづく,主格の認知意味論 69

2006 Sony Corporation Investor Relations ( )

現在入手可能な情報から得られたソニーの経営者の判断にもとづいています。実

再帰プログラムの不動点意味論

不変量 意味論 何らかの構造を保存する関手を与えること..

線形論理の誕生

前章 / 節からの流れで、計算可能な関数のもつ性質を抽象的に捉えることから始めよう。話を 単純にするために、以下では次のような型のプログラム を考える。 は部分関数 (

実函数の計算理論

チューリング機械の原論文 [14]

Microsoft Word „(NL218.docx

2813 論文の潜在意味解析とトピック分析により、 8 つの異なったトピックスが得られ