検索可能暗号の概観と今後の展望（第2回次世代セキュア情報基盤ワークショップ）

検索可能暗号の概観と今後の展望
2014年9月8日
東邦大学金岡晃

Agenda
2014/9/8 次世代セキュア情報基盤ワークショップ 1
自己紹介：なぜこういったアプローチを取っているか
検索可能暗号の概観
Curtmola手法とその広がり
その他関連動向
今後の展望

自己紹介

金岡晃（かなおかあきら）
東邦大学理学部情報科学科講師
情報通信研究機構（NICT）ネットワークセキュリティ研究所招へい専門員
•専門分野
•暗号実装・応用
•IDベース暗号のシステム実装と運用
•セキュリティとプライバシのユーザビリティ
•ネットワークセキュリティ
•ネットワークシステムの最適設計
•DDoS対策
•その他
•電子メール：akira.kanaokaATis.sci.toho-u.ac.jp
•Twitter: akirakanaoka
•facebook: 金岡晃（AkiraKanaoka）

経歴と研究・業務内容
ポジション
研究・業務内容
修士（東邦大）
通信理論
（有色雑音下での最適CDMA）
博士（東邦大→筑波大）
ネットワークセキュリティ
（侵入検知システム＋機械学習）
研究員（セコム）
ネットワークセキュリティ＋電子認証
ポスドク研究員
（筑波大）
NEDO半導体アプリケーションチッププロジェクト「PairingLiteの研究開発」
（ペアリングを用いた暗号の応用検討）
教員（筑波大）
招へい
専門員（NICT）
ネットワークセキュリティ＋暗号の応用＋セキュリティとプライバシのユーザビリティ
＜現在の研究＞
教員（東邦大）

検索の一般的な仕組み
ドキュメント群
辞書
インデクス（索引）
利用者
検索システム
検索クエリ
検索結果
インデクス

ドキュメント群の外部保存と検索
利用者
オンライン
ストレージ
サービス
検索クエリ
検索結果
インデクス
辞書

ドキュメント群の外部保存と検索
利用者
オンライン
ストレージ
サービス
検索クエリ
検索結果
インデクス
辞書
秘匿化
ここを
どうしよう

検索可能暗号：対称と非対称
検索可能対称暗号 SymmetricSearchableEncryption（SSE)
＜一般的な日本語名なし？＞ Public Key Encryption with Keyword Search（PEKS）
対称型の検索可能暗号
非対称型の検索可能暗号
暗号化インデクスや暗号化クエリの作成に共通の暗号鍵を用いる
公開鍵ペアを用意し、暗号化インデクス作成に誰でも利用可能な公開鍵を用い、暗号化クエリの作成にプライベート鍵を用いる

SSE（対称型の検索可能暗号）のシステムモデル
利用者
オンライン
ストレージ
サービス
検索クエリ（トラップドア）
検索結果
辞書
暗号化
インデクス
鍵
暗号化
インデクス

PEKS（非対称型の検索可能暗号）のシステムモデル
登録者
オンライン
ストレージ
サービス
検索クエリ（トラップドア）
検索結果
辞書
ドキュメント
インデクス登録データ
プライベート鍵
暗号化
インデクス
利用者
利用者の
公開鍵

大まかな系譜
Goldreich, Ostrovsky(1996)
“Oblivious RAMs”
Song, Wagner, Perrig(2000)
Goh (2003)
Chang, Mitzenmacher(2005)
Curtmola, Garay, Kamara, Ostrovsky(2006)
Kamara の時代
PEKS応用の隆盛
Boneh,Crescenzo, Ostrovsky, Persiano(2004)
“PEKS”
対称型の検索可能暗号（SSE)
データ更新機能
処理効率
機能充実
新たな潮流？
非対称型の検索可能暗号（PEKS)
現在

Curtmola手法
とその広がり

Curtmola et al. Scheme (SSE-1)
Keygen1푘
BuildIndex퐾,D,훥
Trapdoor퐾,푤
SearchI,푇
푠,푦,푧 푅 0,1푘
퐾=푠,푦,푧,1푙
scan D, build 훥′⊆훥, and build D푤for 푤∈훥′
store A휓푠푐푡푟=ε푘푖,푗−1푁푖,푗
set 푁푖,푗=푖푑푖,푗∥휅푖,푗∥휓푠푐푡푟+1
choose 휅푖,푗(푙-bit random)
set T휋푧푤푖=addrA푁푖,1∥휅푖,0⨁푓푦푤푖for 푤∈훥′
addrA푁푖,1is the address 푎푑푑where A푎푑푑=휀휅푖,0푁푖,1
I=A,T
푇푤
푇=훾,휂, 휃=T훾, 훼∥휅=휃⨁휂
decrypt A훼with 휅to obtain 푁푖,1, …
Set up Array A:
(푚entries)
푖푑푖,푗∈D푤푖1≤푗≤D푤푖
Set up Array T:
(푑entries)
all identifiers 푖푑푖,푗
푇푤=휋푧푤,푓푦푤
, store random value to unused A[*]

SSE-1：ポイント整理（１）
インデクス作成時に2つの配列を作成
配列푇
配列퐴
1つの要素（暗号化されてる）に
・1つのドキュメントID
・次の要素を暗号化している鍵
・次の要素が格納されている配列のアドレス
が入っている
1つの要素（暗号化されてる）に
・単語の暗号化データ
・その単語を含んだドキュメント群の最初のドキュメントID情報が入っている配列Aのアドレスとその暗号化鍵
の2つがXORされたものが入っている。
要素アドレスは、単語により暗号化鍵を使って一意に決められる

SSE-1：ポイント整理（２）
トラップドア（暗号化検索クエリ）は
2つの暗号化データ
配列푇用の要素アドレス
クエリの単語を
暗号化したもの
クエリの単語を暗号化鍵で暗号化したもの
クエリの単語を暗号化鍵で暗号化したもの
双方の鍵は異なる

SSE-1の制約
静的である
動的なインデクス更新（追加・削除）に対応していない
インデクスサイズが巨大
もとのドキュメントサイズよりはるかに大きい（後述）
検索機能の制限
単一キーワードかつ完全一致

実用化に向けた要件：尾形らのIWSEC2013論文による
効率的な検索時間
妥当なインデクスサイズ
スケーラビリティ
・鍵と検索の計算コストが更新回数に依存しない
・インデクス更新の計算コストは更新するドキュメントのサイズに依存するが、全体のインデクスサイズには依存しない

効率化に向けて：安全性要件の緩和
1
2
…
n
1
0
1
…
0
2
0
0
…
1
…
…
…
…
d
1
1
…
0
푝푖,푗= 1푖푓푤푖∈퐷푗 0표푡ℎ푒푟푤푖푠푒
entire matrix
푊퐻푃
푇푟0퐻푞=푇푟퐻푞
푇푟1퐻푞=푇푟퐻푞,푊퐻푃
푇푟2퐻푞=푇푟퐻푞,푊퐻퐷1,…,푊퐻퐷푛
푇푟3퐻푞=푇푟퐻푞,푊퐻푤1,…,푊퐻푤푑
푇푟4퐻푞=푇푟퐻푞, 푃
matrix 푃
Definition 4
푊퐻푤푖= 푗=1 푛 푝푖,푗
푊퐻퐷푗= 푖=1 푑 푝푖,푗
푊퐻푃= 푖=1 푑 푗=1 푛 푝푖,푗
푊퐻푤푖
푊퐻퐷푗
Ogata, et. al
(IWSEC2013)

効率化に向けて：푇푟푥-security
푇푟0-secure ⇒푇푟1-secure ⇒푇푟2-secure and 푇푟3-secure,
푇푟2-secure or 푇푟3-secure ⇒푇푟4-secure
푇푟0-secure : original semantic security
푇푟0퐻푞=푇푟퐻푞
푇푟1퐻푞=푇푟퐻푞,푊퐻푃
푇푟2퐻푞=푇푟퐻푞,푊퐻퐷1,…,푊퐻퐷푛
푇푟3퐻푞=푇푟퐻푞,푊퐻푤1,…,푊퐻푤푑
푇푟4퐻푞=푇푟퐻푞, 푃
Definition 4
Ogata, et. al
(IWSEC2013)

実用的なSSE手法
最単純化(Simple-SSE)
SSE-1軽量化(SSE-1’)
・インデクスでは、キーワードをキーワードの鍵付きハッシュデータに入れ替える
・トラップドアはキーワードの鍵付きハッシュデータとする
SSE-1のAにおけるダミーデータ部分を削除する
푇푟4-secure
푇푟1-secure
Ogata, et. al
(IWSEC2013)

最単純化(Simple-SSE)
Keygen1푘
BuildIndex퐾,D,Δ
Trapdoor퐾,푤
SearchI,푇
퐾
퐾 푅 0,1푘
Build I0=푤푖,D푤푖푖=1,…,푑
compute 푤푖=퐻퐾||푤푖for each 푤푖∈훥
replace 푤푖,D푤푖of I0with 푤푖,D푤푖
푤=퐻퐾||푤
search 푤=푇,D푤in I
sort I0
I
푤
D푤
푇푟4-secure
Ogata, et. al
(IWSEC2013)

Lightened SSE-1 (SSE-1’)
Keygen1푘
BuildIndex퐾,D,훥
Trapdoor퐾,푤
SearchI,푇
푠,푦,푧 푅 0,1푘
퐾=푠,푦,푧,1푙
scan D, build 훥′⊆훥, and build D푤for 푤∈훥′
store A휓푠푐푡푟=ε푘푖,푗−1푁푖,푗
set 푁푖,푗=푖푑푖,푗∥휅푖,푗∥휓푠푐푡푟+1
choose 휅푖,푗(푙-bit random)
set T휋푧푤푖=addrA푁푖,1∥휅푖,0⨁푓푦푤푖for 푤∈훥′
addrA푁푖,1is the address 푎푑푑where A푎푑푑=휀휅푖,0푁푖,1
I=A,T
푇푤
푇=훾,휂, 휃=T훾, 훼∥휅=휃⨁휂
decrypt A훼with 휅to obtain 푁푖,1, …
Set up Array A:
(푚′=푊퐻푃entries)
푖푑푖,푗∈D푤푖1≤푗≤D푤푖
Set up Array T:
(푑entries)
all identifiers 푖푑푖,푗
푇푤=휋푧푤,푓푦푤
, store random value to unused A[*]
푇푟1-secure
Ogata, et. al
(IWSEC2013)

実装による評価
辞書
その他の
パラメータ
実装環境
•974本の論文(USENIX Security 2002-2011, IEEE Symp. on Security and Privacy 2003-2012, ACM CCS 2002-2011)
•PDFファイルをテキストファイルに変換
•総データサイズは65011003Bytes (≒62MB)
•Moby Word ListsのSINGLE.TXT
•Luceneによりドキュメント群から得られた単語群
•疑似ランダム関数: HMAC
•疑似ランダム置換：AES (128bits, ECB-mode)
•共通鍵暗号: AES (128bits)
•OS: Linux 2.6.35 x86_64, Ubuntu server 10.10
•CPU: Intel Core i7 2600
•RAM:DDR3-1333 SDRAM 4GBx2
•Platform: JRE 1.6.0_29（データベース未使用。インデクスデータはすべてメモリに展開）
Ogata, et. al
(IWSEC2013)

評価結果
index size:II/D
Ratio to SSE-1
Ratio to Lucene
SSE-1
1,836MB
28.24
(1.00)
22.12
SSE-1’
397MB
6.10
0.22
4.78
Simple-SSE
275MB
4.23
0.15
3.32
Lucene
83MB
1.28
---
(1.00)
Execution time of Search (msec)
words in Δ−Δ′
words in Δ′
random character string
SSE-1
0.0941
0.8383
0.0817
Simple-SSE
0.0603
0.6406
0.0602
SSE-1’
0.0603
0.7534
0.0609
インデクスサイズ
検索
実行時間
Ogata, et. al
(IWSEC2013)

その他のSSE動向（１）：Kamaraら
Kamaraらにより
・動的SSE（CCS2012）
・動的＋並列化SSE（FC2013）
が提案
Curtmolaらの手法より（やはり？）安全性要件を下げている
インデクスサイズは大きい

その他のSSE動向（２）：Cashら
Cashらにより提案（Cryoto2013、 NDSS2014）
・ブロック分割
・結果サイズに応じた暗号化DB作成
・低レイヤの空間局所性
・動的更新を軽量に実現
・実装評価が大規模（1億レコード、数百万Webページ）
Curtmolaらの手法より（やはり？）安全性要件を下げている
インデクスサイズ未確認（私が）

その他のSSE動向（３）：Boldyrevaら
機能拡張
あいまいな検索（FuzzySearch）を実現する方式。
・Boldyrevaらによる方式（FSE2014）
・2009年より先行研究あり

国内動向
企業による実装を含めた研究
日立製作所
•対称型の検索可能暗号
•対称型機能を複数利用することで集計分析、相関ルール分析を実現
http://www.hitachi.co.jp/rd/portal/story/searchable_encryption/index.html
三菱電機
•非対称型の検索可能暗号
•インデクスの一部情報を開示することで検索効率を向上
•実装面でもRAIDの活用など並列化を利用し検索効率を上げる
•DICOMO2013でデモ
•クライアント側はブラウザ＋ActiveXhttp://www.mitsubishielectric.co.jp/news/2013/0703-a.html
富士通研究所
•非対称型の検索可能暗号
•準同型暗号を利用
•SCIS2014で発表
http://cloud.watch.impress.co.jp/docs/news/20140116_630921.html

CryptDB
•MITが開発
•暗号化データでSQLクエリを実施できるDBMS
•モデル
•信頼できるProxyが存在する
•Proxyが鍵をもち、クエリを変換
•複数のSQLクエリを複数の暗号化方式で実現
•順序：OrderPreservingEncryption
•Join：独自
•一致判定：AES（CMC）
•検索：SSE（Songらの2000年論文）
•加算：準同型暗号（Paillier暗号）
•それぞれのクエリ種類用に暗号化データを用意
•ProxyとDB間のパフォーマンスは26%ロスだけでO.K.

今後の展望

対称型の検索可能暗号（SSE）
実装面へのフォーカス
メッセージ暗号化アプリの流れ
•ユーザビリティ研究が後押しか。
•2014EEFCryptoUsabilityPrize(EFF CUP) Workshop
•https://cups.cs.cmu.edu/soups/2014/workshops/effcup.html
機能はいまだ弱い
•単一キーワード、完全一致
•2009年ころよりあいまい検索（FuzzySearch）へのアプローチもある
•未開拓？：複数キーワード、ランク付検索…
•クライアントが作りやすい（AESライブラリが豊富など）のも利点

対称型の検索可能暗号（SSE）
•見つかっていない
•公開鍵系（非対称系）と違い、多ユーザ（多環境）で使われないため、標準化・多環境対応の必要性が低いのでは
•むしろ囲い込み？
実装ライブラリ
特許の問題
•未調査
•見つかる可能性は高いか
•Curtmola方式：2ndAuthorにLucentTechnology
•Kamaraらの方式：Kamara自身がMicrosoft
•Cashらの方式：著者にIBM所属がいる

学術論文＞＞実装・実用化
•論文レベルでさまざまな機能が提供されてきている
•実装、システム化報告がいくつか
•国内の複数組織が実施。海外は？
•観測範囲の問題？
•この傾向はしばらく続く？
アプリケーション
•メール以外の有力アプリケーションはあるか？
実装
•クライアントサイドへの導入に（まだ）障壁がある

実用化でSSEを超える可能性は
•リッチな機能
•公開鍵セッティングとしては利用しない（両方の鍵をPrivateにしちゃっていい）ことで共通鍵化して、リッチな機能にフォーカスするという可能性も
•ネック：スピード（インデクス作成・更新、クエリ作成、検索）

まとめ
自己紹介：なぜこういったアプローチを取っているか
Curtmola手法とその広がり
今後の展望

検索可能暗号の概観と今後の展望（第2回次世代セキュア情報基盤ワークショップ）

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a 検索可能暗号の概観と今後の展望（第2回次世代セキュア情報基盤ワークショップ）

Semelhante a 検索可能暗号の概観と今後の展望（第2回次世代セキュア情報基盤ワークショップ） (20)

Mais de Akira Kanaoka

Mais de Akira Kanaoka (13)

検索可能暗号の概観と今後の展望（第2回次世代セキュア情報基盤ワークショップ）