Mais conteúdo relacionado Semelhante a 検索可能暗号の概観と今後の展望(第2回次世代セキュア情報基盤ワークショップ) (20) Mais de Akira Kanaoka (13) 検索可能暗号の概観と今後の展望(第2回次世代セキュア情報基盤ワークショップ)5. 経歴と研究・業務内容
2014/9/8 次世代セキュア情報基盤ワークショップ 4
ポジション
研究・業務内容
修士(東邦大)
通信理論
(有色雑音下での最適CDMA)
博士(東邦大→筑波大)
ネットワークセキュリティ
(侵入検知システム+機械学習)
研究員(セコム)
ネットワークセキュリティ+電子認証
ポスドク研究員
(筑波大)
NEDO半導体アプリケーションチッププロジェ クト「PairingLiteの研究開発」
(ペアリングを用いた暗号の応用検討)
教員(筑波大)
招へい
専門員 (NICT)
ネットワークセキュリティ+暗号の応用+セ キュリティとプライバシのユーザビリティ
<現在の研究>
教員(東邦大) 10. 検索可能暗号:対称と非対称
2014/9/8 次世代セキュア情報基盤ワークショップ 9
検索可能対称暗号 SymmetricSearchableEncryption(SSE)
<一般的な日本語名なし?> Public Key Encryption with Keyword Search(PEKS)
対称型の検索可能暗号
非対称型の検索可能暗号
暗号化インデクスや暗号化クエリの 作成に共通の暗号鍵を用いる
公開鍵ペアを用意し、暗号化インデ クス作成に誰でも利用可能な公開鍵 を用い、暗号化クエリの作成にプラ イベート鍵を用いる 13. 大まかな系譜
2014/9/8 次世代セキュア情報基盤ワークショップ 12
Goldreich, Ostrovsky(1996)
“Oblivious RAMs”
Song, Wagner, Perrig(2000)
Goh (2003)
Chang, Mitzenmacher(2005)
Curtmola, Garay, Kamara, Ostrovsky(2006)
Kamara の時代
PEKS応用 の隆盛
Boneh,Crescenzo, Ostrovsky, Persiano(2004)
“PEKS”
対称型の検索可能暗号(SSE)
データ更新機能
処理効率
機能充実
新たな潮流?
非対称型の検索可能暗号(PEKS)
現在 15. Curtmola et al. Scheme (SSE-1)
2014/9/8 次世代セキュア情報基盤ワークショップ 14
Keygen1푘
BuildIndex퐾,D,훥
Trapdoor퐾,푤
SearchI,푇
푠,푦,푧 푅 0,1푘
퐾=푠,푦,푧,1푙
scan D, build 훥′⊆훥, and build D푤for 푤∈훥′
store A휓푠푐푡푟=ε푘푖,푗−1푁푖,푗
set 푁푖,푗=푖푑푖,푗∥휅푖,푗∥휓푠푐푡푟+1
choose 휅푖,푗(푙-bit random)
set T휋푧푤푖=addrA푁푖,1∥휅푖,0⨁푓푦푤푖for 푤∈훥′
addrA푁푖,1is the address 푎푑푑where A푎푑푑=휀휅푖,0푁푖,1
I=A,T
푇푤
푇=훾,휂, 휃=T훾, 훼∥휅=휃⨁휂
decrypt A훼with 휅to obtain 푁푖,1, …
Set up Array A:
(푚entries)
푖푑푖,푗∈D푤푖1≤푗≤D푤푖
Set up Array T:
(푑entries)
all identifiers 푖푑푖,푗
푇푤=휋푧푤,푓푦푤
, store random value to unused A[*] 16. SSE-1:ポイント整理(1)
2014/9/8 次世代セキュア情報基盤ワークショップ 15
インデクス作成時に2つの配列を作成
配列푇
配列퐴
1つの要素(暗号化されてる)に
・1つのドキュメントID
・次の要素を暗号化している鍵
・次の要素が格納されている配列のアドレス
が入っている
1つの要素(暗号化されてる)に
・単語の暗号化データ
・その単語を含んだドキュメント群の最初のドキュメン トID情報が入っている配列Aのアドレスとその暗号化鍵
の2つがXORされたものが入っている。
要素アドレスは、単語により暗号化鍵を使って一意に決 められる 20. 効率化に向けて:安全性要件の緩和
2014/9/8 次世代セキュア情報基盤ワークショップ 19
1
2
…
n
1
0
1
…
0
2
0
0
…
1
…
…
…
…
d
1
1
…
0
푝푖,푗= 1푖푓푤푖∈퐷푗 0표푡ℎ푒푟푤푖푠푒
entire matrix
푊퐻푃
푇푟0퐻푞=푇푟퐻푞
푇푟1퐻푞=푇푟퐻푞,푊퐻푃
푇푟2퐻푞=푇푟퐻푞,푊퐻퐷1,…,푊퐻퐷푛
푇푟3퐻푞=푇푟퐻푞,푊퐻푤1,…,푊퐻푤푑
푇푟4퐻푞=푇푟퐻푞, 푃
matrix 푃
Definition 4
푊퐻푤푖= 푗=1 푛 푝푖,푗
푊퐻퐷푗= 푖=1 푑 푝푖,푗
푊퐻푃= 푖=1 푑 푗=1 푛 푝푖,푗
푊퐻푤푖
푊퐻퐷푗
Ogata, et. al
(IWSEC2013) 21. 効率化に向けて:푇푟푥-security
2014/9/8 次世代セキュア情報基盤ワークショップ 20
푇푟0-secure ⇒푇푟1-secure ⇒푇푟2-secure and 푇푟3-secure,
푇푟2-secure or 푇푟3-secure ⇒푇푟4-secure
푇푟0-secure : original semantic security
푇푟0퐻푞=푇푟퐻푞
푇푟1퐻푞=푇푟퐻푞,푊퐻푃
푇푟2퐻푞=푇푟퐻푞,푊퐻퐷1,…,푊퐻퐷푛
푇푟3퐻푞=푇푟퐻푞,푊퐻푤1,…,푊퐻푤푑
푇푟4퐻푞=푇푟퐻푞, 푃
Definition 4
Ogata, et. al
(IWSEC2013) 22. 実用的なSSE手法
2014/9/8 次世代セキュア情報基盤ワークショップ 21
最単純化(Simple-SSE)
SSE-1軽量化(SSE-1’)
・インデクスでは、キーワードをキーワードの鍵付きハッシュ データに入れ替える
・トラップドアはキーワードの鍵付きハッシュデータとする
SSE-1のAにおけるダミーデータ部分を削除する
푇푟4-secure
푇푟1-secure
Ogata, et. al
(IWSEC2013) 23. 最単純化(Simple-SSE)
2014/9/8 次世代セキュア情報基盤ワークショップ 22
Keygen1푘
BuildIndex퐾,D,Δ
Trapdoor퐾,푤
SearchI,푇
퐾
퐾 푅 0,1푘
Build I0=푤푖,D푤푖푖=1,…,푑
compute 푤푖=퐻퐾||푤푖for each 푤푖∈훥
replace 푤푖,D푤푖of I0with 푤푖,D푤푖
푤=퐻퐾||푤
search 푤=푇,D푤in I
sort I0
I
푤
D푤
푇푟4-secure
Ogata, et. al
(IWSEC2013) 24. Lightened SSE-1 (SSE-1’)
2014/9/8 次世代セキュア情報基盤ワークショップ 23
Keygen1푘
BuildIndex퐾,D,훥
Trapdoor퐾,푤
SearchI,푇
푠,푦,푧 푅 0,1푘
퐾=푠,푦,푧,1푙
scan D, build 훥′⊆훥, and build D푤for 푤∈훥′
store A휓푠푐푡푟=ε푘푖,푗−1푁푖,푗
set 푁푖,푗=푖푑푖,푗∥휅푖,푗∥휓푠푐푡푟+1
choose 휅푖,푗(푙-bit random)
set T휋푧푤푖=addrA푁푖,1∥휅푖,0⨁푓푦푤푖for 푤∈훥′
addrA푁푖,1is the address 푎푑푑where A푎푑푑=휀휅푖,0푁푖,1
I=A,T
푇푤
푇=훾,휂, 휃=T훾, 훼∥휅=휃⨁휂
decrypt A훼with 휅to obtain 푁푖,1, …
Set up Array A:
(푚′=푊퐻푃entries)
푖푑푖,푗∈D푤푖1≤푗≤D푤푖
Set up Array T:
(푑entries)
all identifiers 푖푑푖,푗
푇푤=휋푧푤,푓푦푤
, store random value to unused A[*]
푇푟1-secure
Ogata, et. al
(IWSEC2013) 25. 実装による評価
2014/9/8 次世代セキュア情報基盤ワークショップ 24
ドキュメント群
辞書
その他の
パラメータ
実装環境
•974本の論文(USENIX Security 2002-2011, IEEE Symp. on Security and Privacy 2003-2012, ACM CCS 2002-2011)
•PDFファイルをテキストファイルに変換
•総データサイズは65011003Bytes (≒62MB)
•Moby Word ListsのSINGLE.TXT
•Luceneによりドキュメント群から得られた単語群
•疑似ランダム関数: HMAC
•疑似ランダム置換:AES (128bits, ECB-mode)
•共通鍵暗号: AES (128bits)
•OS: Linux 2.6.35 x86_64, Ubuntu server 10.10
•CPU: Intel Core i7 2600
•RAM:DDR3-1333 SDRAM 4GBx2
•Platform: JRE 1.6.0_29(データベース未使用。インデク スデータはすべてメモリに展開)
Ogata, et. al
(IWSEC2013) 26. 評価結果
2014/9/8 次世代セキュア情報基盤ワークショップ 25
index size:II/D
Ratio to SSE-1
Ratio to Lucene
SSE-1
1,836MB
28.24
(1.00)
22.12
SSE-1’
397MB
6.10
0.22
4.78
Simple-SSE
275MB
4.23
0.15
3.32
Lucene
83MB
1.28
---
(1.00)
Execution time of Search (msec)
words in Δ−Δ′
words in Δ′
random character string
SSE-1
0.0941
0.8383
0.0817
Simple-SSE
0.0603
0.6406
0.0602
SSE-1’
0.0603
0.7534
0.0609
インデクス サイズ
検索
実行時間
Ogata, et. al
(IWSEC2013) 28. その他のSSE動向(2):Cashら
2014/9/8 次世代セキュア情報基盤ワークショップ 27
効率的な検索時間
スケーラビリティ
Cashらにより提案(Cryoto2013、 NDSS2014)
・ブロック分割
・結果サイズに応じた暗号化DB作成
・低レイヤの空間局所性
・動的更新を軽量に実現
・実装評価が大規模(1億レコード、数百 万Webページ)
Curtmolaらの手法より(やはり?)安全 性要件を下げている
インデクスサイズ未確認(私が) 31. 国内動向
2014/9/8 次世代セキュア情報基盤ワークショップ 30
企業による実装を含めた研究
日立製作所
•対称型の検索可能暗号
•対称型機能を複数利用することで集計分析、相関ルール 分析を実現
http://www.hitachi.co.jp/rd/portal/story/searchable_encryption/index.html
三菱電機
•非対称型の検索可能暗号
•インデクスの一部情報を開示することで検索効率を向上
•実装面でもRAIDの活用など並列化を利用し検索効率を上 げる
•DICOMO2013でデモ
•クライアント側はブラウザ+ActiveXhttp://www.mitsubishielectric.co.jp/news/2013/0703-a.html
富士通研究所
•非対称型の検索可能暗号
•準同型暗号を利用
•SCIS2014で発表
http://cloud.watch.impress.co.jp/docs/news/20140116_630921.html 32. CryptDB
•MITが開発
•暗号化データでSQLクエリを実施できるDBMS
•モデル
•信頼できるProxyが存在する
•Proxyが鍵をもち、クエリを変換
•複数のSQLクエリを複数の暗号化方式で実現
•順序:OrderPreservingEncryption
•Join:独自
•一致判定:AES(CMC)
•検索:SSE(Songらの2000年論文)
•加算:準同型暗号(Paillier暗号)
•それぞれのクエリ種類用に暗号化データを用意
•ProxyとDB間のパフォーマンスは26%ロスだけでO.K.
2014/9/8 次世代セキュア情報基盤ワークショップ 31
34. 対称型の検索可能暗号(SSE)
2014/9/8 次世代セキュア情報基盤ワークショップ 33
実装面へのフォーカス
メッセージ暗号化アプリの流れ
•ユーザビリティ研究が後押しか。
•2014EEFCryptoUsabilityPrize(EFF CUP) Workshop
•https://cups.cs.cmu.edu/soups/2014/workshops/effcup.html
機能はいまだ弱い
•単一キーワード、完全一致
•2009年ころよりあいまい検索(FuzzySearch)へのアプローチもある
•未開拓?:複数キーワード、ランク付検索…
•クライアントが作りやすい(AESライブラリが豊富など)のも利点 35. 対称型の検索可能暗号(SSE)
2014/9/8 次世代セキュア情報基盤ワークショップ 34
•見つかっていない
•公開鍵系(非対称系)と違い、多ユーザ(多環境)で使われないため、標 準化・多環境対応の必要性が低いのでは
•むしろ囲い込み?
実装ライブラリ
特許の問題
•未調査
•見つかる可能性は高いか
•Curtmola方式:2ndAuthorにLucentTechnology
•Kamaraらの方式:Kamara自身がMicrosoft
•Cashらの方式:著者にIBM所属がいる 36. 非対称型の検索可能暗号
2014/9/8 次世代セキュア情報基盤ワークショップ 35
学術論文>>実装・実用化
•論文レベルでさまざまな機能が提供されてきている
•実装、システム化報告がいくつか
•国内の複数組織が実施。海外は?
•観測範囲の問題?
•この傾向はしばらく続く?
アプリケーション
•メール以外の有力アプリケーションはあるか?
実装
•クライアントサイドへの導入に(まだ)障壁がある