本稿について
本稿では、EnigmaのWhitepaperの「5 Privacy-enforcing computation」のうち、「5.1 Overview of secure multi-party computation」の「5.1.2 Correctness(malicious adversaries)」までの日本語訳を掲載します。
原文はこちらになります。
5.1.2 正当性(悪意ある攻撃者)
今のところ私たちはプライバシーの特性について議論しています。誠実な多数を前提とすることが中間的な値や出力値を再構成するのに必要な全てであるので、活性、すなわち計算が完了しシステムが進むこともまた暗黙的に誠実な多数であることを前提としています。しかし、現在のフレームワークではアウトプットの正当性については何らの保証もありません。すなわち、参加者のうちのpiが計算プロセスの至るところで不正な値を送ってアウトプットを無効にしてしまうかもしれないのです。BGWが検証可能なMPCへの情報理論的なソリューションを提示していますが、単純な実装を考慮すると、実用上の複雑性はO(n8)ほどまで悪化します。
従って、私たちの目標は悪意ある攻撃者に対して安全でありながら準誠実な設定(O(n2))と同等の複雑さでMPCフレームワークを設計することです。
つい最近、Baumらが公に監査可能なセキュアMPCシステムを開発しました。これは、全ての計算ノードがひそかに悪意のあるものであったり、一つを除くすべてのノードが積極的に害意を持っている場合でさえも正当性を確約するものです。彼らの最先端の成果はSPDZ(speedz(スピーヅ)と発音します)の類型版に基づいており、Append-only(筆者注:追記のみできる)公開掲示板に依存し、そこでは各計算の痕跡を保存します。これにより、アウトプットと公開元帳の証跡とを比較することで、あらゆる監査者がアウトプットが正しいかをチェックすることができるようになります。私たちのシステムではブロックチェーンを公開掲示板として利用するので、総体としてのセキュリティはホスティングしているブロックチェーンのセキュリティに帰着します。
SPDZについて。SPDZは悪意ある攻撃者(不誠実な多数)に対してセキュアなプロトコルで、MPCに正当性の保証を提供します。本質的なことは、このプロトコルは高価なオフライン(事前処理)のステップで構成され、そのステップでは制限付き準同型暗号(SHE)を使って共有のランダム性を生成するということです。次に、オンラインの段階では、計算は受動的な攻撃者の場合のもの(筆者注:5.1.1で述べたもの)と同様であり、高価な公開鍵暗号は含まれません。オンラインの段階では、各共有情報は付加的な分散情報とそのMACによって、次のように表現されます。
(筆者注:s.t.はsuch thatの略であり、~を満たすような、という意味になります。上式では、「γ(s) = αsを満たすような〈s〉pi= ([s]pi, [γ(s)]pi)」といういう意味になります。)
ここで、αは固定の秘密分散MACキーであり、〈・〉は加法準同型な修正済み秘密分散法を表します。〈・〉シェアリングはグローバルMACキーであるαを公開することなく動作するので、再利用することができます。
これまで同様に、乗算はもっと込み入っています。乗算はc = abを満たす三つ組み{〈a〉,〈b〉,〈c〉}を用います。これらは事前処理ステップで生成されます(同じような三つ組みが大量に生成されます)。次に、〈・〉シェアリングによって2つの秘密s1とs2が与えられると、秘密分散の結果s = s1s2は三つ組みを使用して以下のように導出される。
既に述べたように、三つ組みの生成はSHEに基づく高価なプロセスです。セキュリティの実証を含む完全なプロトコルが見出されています。検証は次の式を解くことによって導かれます。
ここで、sは全てのセキュアな計算で再構成された結果であり、一般性を失いません。直観的に、これ(筆者注:γ-αs=0のこと)は、計算結果に秘密のMACキーを掛け合わせたもの(筆者注:αsのこと)に対する、MACの計算(筆者注:γのこと)の比較にすぎません。実際の比較を行わないのは、αが秘密のままにしておき、再利用できるようにするためです。
〈・〉シェアリングはSSSと同様の特性を持っていることが分かります。つまり、加法準同型で乗算のための再分散工程(O(n2)の通信複雑性)を必要とするが、さらに付け加えれば、n-1のアクティブな攻撃者に対する正当性を確約するという特性です。オフライン工程は多くの計算で簡単に償却されるとともに、他の計算を実行しながら並行処理することができるので、全体の効率に大きな影響は与えません。
公に検証可能なSPDZについて。公に検証可能なケースでは、MACとコミットメントはブロックチェーンに保存されるので、全てのコンピューティング参加者nが悪意を持つものである場合でさえもスキームをセキュアなものにさせなくてはなりません。私たちは文献[18]に表現される方法に従って、〚・〛シェアリングを次のように定義します。
ここで、sは秘密、rはランダムな値、c = gshrはgとhをジェネレータとするPedersenのコミットメントです。〚・〛シェアリングは加法準同型な特性を保っており、僅かに変更された乗算プロトコルで三つ組みの({〚a〛,〚b〛,〚c〛})を生成するという全く同じアイデアを再利用することができます。
ここで重要なことは、ノードは〈・〉シェアリングによって導かれる値について計算することのみが必要なのであり、コミットメントについて計算する必要はないということです。これらはブロックチェーン上に保存され、アウトプットを持つあらゆる公の検証者によって後ほど処理されます。ある一つのノードがそのコミットメントを破壊してしまったとしても、それは監査役にとっては明白です。
(次稿へ進む)
(前稿へ戻る)
スポンサードサーチ
免責
邦訳には誤りがある場合がございます。予めご承知おき下さい。
確実な情報を知るためには冒頭に示した原文をご参照くださいますようお願いいたします。