研究活動の背景

インターネットの急速な発展に伴い、コンピュータウィルスやDOS攻撃等、ネットワークのセキュリティに関する問題が大きく取り上げられるようになってきました。そうした問題の中でも、トレーサブルネットワークグループでは、DOS攻撃を行った不正ユーザを追跡する技術、すなわち「IPトレースバック技術」にこれまで注目してきました。IPトレースバック技術は非常に有用な技術とされていますが、不正ユーザだけではなく、正当なユーザのプライバシーをも暴露してしまう可能性があります。そこで当グループでは、プライバシーを確保可能なIPトレースバックについても同時に研究・開発を行ってきました。

IPトレースバックとプライバシー確保型IPトレースバックに関する問題は、次のように単純化することができます。2人のユーザ（花子と太郎）を考えます。太郎はIPアドレスの集合A= { a1, …, an } を、花子はIPアドレスaを保持しているとします。花子の目的は、Aの中にaが含まれているかどうか調べる事です。この問題は、花子がaを太郎に送り、太郎がAの中にaが含まれているかどうかを調べる事により解決可能になります。実際にIPトレースバックでは、花子を送信側、太郎を受信側として同じようなことが行われます。一方、プライバシー確保型のIPトレースバックにおいては、問題が若干難しくなります。この技術を実現するためには、太郎がAを漏らさずに、そして花子がaを漏らさずに、aがAに含まれているか調べることが必要になります。この一見解決不可能な問題を、我々のグループでは、オブリビアス秘密鍵暗号という技術を開発・応用することにより解決しました。ここでは、このオブリビアス秘密鍵暗号プロトコルの概要とその応用についてご紹介します。

秘密鍵暗号

秘密鍵暗号においては、秘密鍵SKを使いメッセージMを暗号化することができます。この暗号化されたメッセージをEnc（SK, M）と表します。ここで秘密鍵SKを保有する人だけが、Enc（SK, M）からMを取り出すことが可能になります。逆に、SKを保有していない人はMに関する情報を一切得る事ができません（図1）。秘密鍵暗号として代表的なものに、DES（Data Encryption Standard）とAES（Advanced Encryption Standard）があります。

オブリビアス秘密鍵暗号

オブリビアス秘密鍵暗号プロトコル（以降、OEP）は、二者（太郎、花子）間の暗号プロトコルです。

太郎は秘密鍵暗号の秘密鍵SKを、花子はメッセージMを保有します。このプロトコルは、お互いの情報SKとMを秘密にしたまま暗号文C = Enc（SK, M）を計算することを可能にします。ここで、もちろんCを得られるのは花子であり、太郎はCに関する情報を一切得る事ができません（図2）。

当グループでは、秘密鍵暗号であるDESのOEPの設計・開発に成功しました。

ここで「オブリビアス」という単語に関してですが、直訳すると「気付かない」という意味があります。太郎と花子は相手の入力について「気付かない」ため、プロトコル名にオブリビアスという用語が採用されています。

OEPのアプリケーション

IPトレースバック

プライバシー確保型IPトレースバック技術において、太郎と花子は、お互いの情報を隠しながら、aがA = { a1, …, an }に含まれているかどうかを検証する必要がありました。この問題は、OEPを使うと簡単に解決できます。

（1）太郎は、秘密鍵暗号の秘密鍵SKを選び、Enc（SK, a1）、…、Enc（SK, an）を花子に送ります。

（2）花子は、OEPを使いEnc（SK, a）を得ます。そして、Enc（SK, a1）、…、Enc（SK, an）の中に、Enc（SK, a）と同じになるものがあった場合、aがAに含まれていると判定します。OEPを使うことにより、お互いにSKとaが漏れないため、花子の秘密情報であるaが太郎に漏れる事はありません。さらに、SKが花子に漏れないので、n個の暗号文から太郎の秘密情報Aが漏れることもありません（図3）。

クラウドストレージ

サーバ等のインフラへの投資の節約、そして情報集約のため、外部サーバにファイル等を保存する技術が注目されています。企業等が、外部サーバにファイルを保存する際、もちろんファイルを暗号化する必要性がでてきます。使い勝手を考えると、キーワード検索が採用されるべき所なのですが、暗号化されているファイルに対して、一体どのように検索処理を行えばいいのでしょうか？OEPは、暗号化した状態でキーワードの検索を行う事を可能にします。