ブロックチェーンと秘密分散法を用いた情報ライフサイクル制御

• 秘密計算 - データを暗号化した状態で計算

  • 秘密分散ベース
  • 準同型暗号による演算
    • 量子耐性
    • 格子暗号(LWE問題)
    • 理論的な研究と応用の研究がある

• tl;dr

  • データのプライバシーを守る為の仕組みとして retroactive privacy な仕組みを考える
  • ブロックチェーン上で期限をすぎるとデータにアクセスできなくなるプロトコルを考案

• retroactive privacy とは

  • データが一定期間経過すると当事者でさえデータにアクセスできなくなる性質
  • 昨今のサービスはデータを削除してもほんとうの意味の削除にはならない(サーバーに残り続ける etc)
  • 投稿した瞬間にデータの我々は制御を失う
  • 公権力によって情報を検閲されるさい不必要なデータを見られる恐れ

• 目標: 達成される性質

  • retroactive privacy(時刻 $t_e$ で削除される)
  • 可用性
  • 送信者、受信者は常時オンラインである必要はない
  • セキュアなハードウェアや信頼できる第三者の期間を必要としない

• 先行研究

  • 既存手法はどれもシビル攻撃(攻撃者が特定のノードサーバーに対して大量のデータを送って、最新のブロックを承認できないようにするなどの攻撃)に弱い
  • Ephemerizer
    • retroactive privacyを実現するため、信頼できる第三者の鍵管理機関に鍵を預ける
    • 検閲耐性のあるシステムにするには鍵管理機関は分散されている必要がある
  • Torのディレクトリサーバ
    • 9つのサーバーに分散している(半数以上汚染されなければ安全)
    • 鍵管理機関のリストを管理する主体が存在しないほうが望ましい
  • Vanish
    • データを複合する鍵を消すことによって実現
    • hopping攻撃(?)に弱い
  • EphPub
    • DNSキャッシュリゾルバを鍵管理機関として(??)シビル問題を解決
    • 復号鍵を鍵管理機関に送信する時に盗聴されていたら困る

• 提案手法

  • ブロックチェーンと秘密分散を用いたプロトコル
  • 鍵管理機関としてブロックチェーンを利用する
    • -> 鍵管理機関への信用が必要なく、シビル攻撃への耐性もある
  • 

• プロトコル

  • 送信者 $S$, 受信者 $R$, ブロックチェーン $BN$
  • 送信者プロトコル
    • $S$ はランダムに共通鍵 $K$, 乱数 $r$, シェアの数 $n$, 閾値 $k$ を選び、期限 $t_e$ を定める
    • メッセージ $m$ を共通鍵 $K$ で暗号化し、 $C=En{c}_K(m)$ を計算
    • ブロックチェーンの先頭 $d$ 個から $n$ 個選び選んだブロックに書き込まれている公開鍵 $pk$ とIPのペアの合計n個を $L$ とする.
    • 以上の変数を $\mathrm{VDO}=\{\mathrm{C},\mathrm{L},\mathrm{k},\mathrm{r},{\mathrm{t}}_{\mathrm{e}}\}$ とする
    • 更に共通鍵 $K$ から $\text{Shamir}$ の秘密分散法を用いてシェアの列 $\mathbf{K}=K_1,K_2,\cdots ,K_n$ を計算する、そしてハッシュ関数 $H$ を用いて $\mathrm{I}{\mathrm{P}}_{\mathrm{i}}+\mathrm{r}$ のハッシュ値 $H(I{P}_i+r)$ をキー、 $K_i,t_e$ を値として $B{N}_i$ に安全な通信路を介して送る(公開鍵 $p{k}_i$ 使用)、$R$ に $\mathrm{VDO}$ を送信
  • 受信者プロトコル
    • $R$ は$\mathrm{VDO}$ の $L,r$ を使用.
    • Lの各要素のノードに対して通信を行い、キー $H({\mathrm{IP}}_{\mathrm{i}}+\mathrm{r})$ を用いて値として鍵のシェア $K_i$ を受け取る
    • 受け取った $K_i(i=1\cdots n)$ の列から $k$ 個選び $\text{Shamir}$ の秘密分散法を用いて $K$ を復元.
    • 共通鍵 $K$ を用い $C$ から 平文$m={\mathrm{Dec}}_{\mathrm{K}}(\mathrm{C})$ を復元
  • ブロックチェーンプロトコル
    • 割愛(KVSとしての役割、期限が来たらキー削除)

• 評価

  • ブルートフォース攻撃(retroactive privacy に対する攻撃)
    • 手当り次第にkeyをリクエストする
    • キー空間を大きくすれば良い
  • DOS攻撃(可用性に対する攻撃)
    • Piece Work と呼ばれるPoW
    • リクエストする際にパズルを解く必要がある

• 実装(割愛, C++で実装)

  • なぜかプロトコル完了にかかる時間を計測している

• 課題

  • シェアを受け取ったノードが第三者にシェアを渡さないような仕組みを考える必要がある

• 参考文献

  • CiNii - ブロックチェーンと秘密分散法を用いた情報ライフサイクル制御 Information Lifecycle Control Employing Blockchain and Secret Sharing