SCOPE「多変数多項式システム

を用いた安全な暗号技術の研究｣

の活動

研究代表者：安田貴徳(ISIT),

研究分担者：Xavier Dahan (お茶の水女子大),

Yun-Ju Huang (ISIT), 高木剛(九州大学),

櫻井幸一(九州大学, ISIT)

この研究は総務省戦略的情報通信研究開発推進事業（SCOPE） 平成27年度イノベーション創出型研究開発フェーズII（no. 0159-0016） の委託を受けている。

総務省 戦略的情報通信研究開発推進事業（SCOPE）

• 重点領域型研究開発 (ICTイノベーション創出型)

• 過去には、平成20年度～平成22年度 研究課題「量子コンピュータの出現に対抗し得る公開鍵暗号の研究」

o 研究代表者：辻井 重男（中央大学研究開発機構） 研究分担者：笠原 正雄（中央大学）, 境 隆一（中央大学）, 村上 恭通（中央大学）, 只木 孝太郎（中央大学）, 原山 友弘（中央大学）

• 我々の研究課題 「多変数多項式システムを用いた安全な暗号技術の研究｣

2015/6/19 MELT up フォーラム 2

25年度 7月 フェーズＩ 3月

26年度

4月

フェーズ II

3月

27年度 4月 3月

現在

３つの大きな目標 1. 多変数多項式公開鍵暗号の安全性の厳密評価

o 様々な攻撃方法がある中で、どの場合にどれが最も効果的か見極める。

o 公平で信頼のできる基準作成

2. 課題を克服した新方式の開発

o 課題１：鍵長問題

o 課題２：暗号方式

3. 耐量子暗号研究の拠点形成

o 日本での多変数多項式公開鍵暗号（および耐量子暗号）の研究の強化

o ワークショップの開催

2015/6/19 MELT up フォーラム 3

2015/6/19 MELT up フォーラム 4

目標１

多変数多項式公開鍵暗号の安全性の厳密評価

解読コンテスト • 公平で信頼のできる基準作成するには

o 解読コンテストを行う方法が良い。

o 攻撃手法の発展も促せる。

• 解読コンテストは攻撃者の計算限界点を知るために必要 ⇒暗号標準化への通過点 o RSAチャレンジ （RSA Laboratories）

• 素因数分解問題の解読コンテスト

o ECCチャレンジ（Certicom）

• 楕円曲線離散対数問題の解読コンテスト

o Latticeチャレンジ （TU Darmstadt）

• 対象: 最短ベクトル問題

• 2008年 – 現在も (http://www.latticechallenge.org/)

2015/6/19 MELT up フォーラム 5

現在の公開鍵基盤

耐量子暗号の候補

MQチャレンジ

2015/6/19 MELT up フォーラム 6

・今年の４月１日からスタート.

https://www.mqchallenge.org/

MPチャレンジで扱う問題

m

nji ni

m

i

m

iji

m

ijnm

nji ni

iijiijn

nji ni

iijiijn

dcxbxxaxxf

dcxbxxaxxf

dcxbxxaxxf

,1 1

)()()(

1

2

,1 1

)2()2()2(

12

1

,1 1

)1()1()1(

11

),...,(

),...,(

),...,(

MQ 問題: 以下の２次多変数多項式システムの解を求めよ。

一般に、MQ 問題の解読は困難と考えられている。

2015/6/19 MELT up フォーラム 7

但し、係数 𝑎𝑖𝑗(𝑘)

, 𝑏𝑖(𝑘), 𝑐(𝑘), 𝑑𝑘 は全て基礎体 𝐺𝐹(𝑞)の元

Type 𝑚 と 𝑛 の関係 基礎体 対象

I 𝑚 = 2𝑛 𝐺𝐹(2) 暗号方式

II 𝑚 = 2𝑛 𝐺𝐹 28 暗号方式

III 𝑚 = 2𝑛 𝐺𝐹 31 暗号方式

IV 𝑛 ≈ 1,5𝑚 𝐺𝐹(2) 署名方式

V 𝑛 ≈ 1,5𝑚 𝐺𝐹 28 署名方式

VI 𝑛 ≈ 1,5𝑚 𝐺𝐹 31 署名方式

MQ問題の作成期間 • 平成26年度を問題作成の準備期間とした。

o 暗号方式、署名方式の調査

o 様々な攻撃法の調査と実験

• ６種類の問題を用意

2015/6/19 MELT up フォーラム 8

計算サーバ：日本HP製 CPU：2.13GHz8コアx8個 メモリ：2TB

解読状況１ • Type I（𝑚 = 2𝑛, 𝐺𝐹 2 ）の場合

2015/6/19 MELT up フォーラム 9

解読状況２ • Type I（𝑛 ≈ 1.5𝑚, 𝐺𝐹 28 ）の場合

2015/6/19 MELT up フォーラム 10

Faugère の 𝐹5アルゴリズムの計算量

2015/6/19

MQ 問題解読の計算量 [3]

𝓞( 𝒎 ∙𝒏 + 𝒅𝒓𝒆𝒈 − 𝟏

𝒅𝒓𝒆𝒈

𝝎

)

ここで、𝟐 < 𝝎 < 𝟑, 𝒅𝒓𝒆𝒈 は多変数多項式システムに依存

するある不変量.

MQ 問題解読の最も基本的な数学的道具はグレブナー基底である. Faugère は効率的計算アルゴリズム 𝐹4 と 𝐹5 を考案[1][2].

Reference: [1] Faugère, J.C., A New Efficient Algorithm for Computing Gröbner Bases (F4)", Journal of Pure and Applied Algebra, vol. 139, 1999. [2] Faugère, J.C., A New Efficient Algorithm for Computing Gröbner Bases (F5)", ISSAC, ACM press, 2002. [3] Bettale, L., Faugère, J.C. and Perret L., Hybrid approach for solving multivariate systems over finite fields", J. Math. Crypt. vol. 2, 2008.

MELT up フォーラム 11

目標２ 課題を克服した新方式

の開発

2015/6/19 MELT up フォーラム 12

多変数多項式公開鍵暗号 （MPKC）

• 特徴 o 耐量子暗号の候補

o 様々な暗号方式、署名方式 • 暗号方式: Simple Matrix scheme, ZHFE scheme

• 署名方式: UOV, Rainbow

o 暗号化、復号化、署名生成、検証が効率的 （特に復号化、署名生成が効率的）

• 問題 o MPKCの方式の正確な安全性評価

o （RSAと比べて）膨大な鍵長

o 安全な暗号方式

2015/6/19 MELT up フォーラム 13

MPKCの簡単な歴史

• 1988 松本-今井方式（MI）の提案 o Patarinによる攻撃（1995）

• 1996 HFE（Hidden Field Equation）暗号方式 o Kipnis-Shamirによる攻撃（1999）

o 署名方式 Quartz への応用（1996）

• 1997 (Balanced) Oil and Vinegar 署名方式 o Kipnis-Shamirによる攻撃（1998）

• 1999 UOV（Unbalanced Oil and Vinegar）署名方式 o Kipnis-Shamirの攻撃の改良 （UOV 攻撃）

• 1999 FaugèreによるF4アルゴリズム（Gröbner基底の効率的計算方法）の開発

• 2002 EU が SFLASH署名方式を暗号規格化（NESSIE） o 程なく複数の研究者によって解読される。

• 2005 Rainbow 署名方式（UOV の多層化）

• 2013 Simple Matrix 方式の提案

• 2014 ZHFE方式の提案

2015/6/19 MELT up フォーラム 14

Shorのアルゴリズム(1994)

MPKCの基本構造 トラップドア一方向関数

𝐺: 𝐾𝑛 　𝐾𝑚

𝐾𝑛 　𝐾𝑚

1. ２次の多変数多項式写像で逆写像計算が容易なものを選ぶ

2. ２つのアファイン写像を選ぶ

3. 選んだ多変数多項式写像とアファイン写像を合成する

秘密鍵

公開鍵 𝐹:

2015/6/19 MELT up フォーラム 15

MPKCの暗号方式と 署名方式

多項式の評価計算をするだけ

公開鍵： 𝐹 秘密鍵： 𝐺, 𝑅, 𝐿

𝐹が単射の場合

暗号方式に利用できる．

𝐹 計算が簡単

関数 𝐹−1 秘密鍵を知っている 人だけが計算できる

𝒂 𝐹(𝒂)

ベクトル空間 𝐾𝑛

暗号文 平文

ベクトル空間 𝐾𝑚

2015/6/19 MELT up フォーラム 16

MPKCの暗号方式と 署名方式

多項式の評価計算をするだけ

公開鍵： 𝐹 秘密鍵： 𝐺, 𝑅, 𝐿

𝐹が全射の場合

署名方式に利用できる．

𝐹 計算が簡単

関数 𝐹−1 秘密鍵を知っている 人だけが計算できる

ベクトル空間 𝐾𝑛 ベクトル空間 𝐾𝑚

署名 文書

𝑺 = 𝑭−𝟏(𝑴) 𝑴

2015/6/19 MELT up フォーラム 17

鍵長削減問題

2015/6/19 MELT up フォーラム 18

• MPKCは鍵長が大きい

o 署名方式 Rainbow はRSAの100～200倍の鍵長

• 鍵長削減手法の開発 o Takanori Yasuda，Tsuyoshi Takagi，Kouichi Sakurai, “Efficient variant of Rainbow

without triangular matrix representation”, The 2015 Asian Conference on Availability,

Reliability and Security (AsiaARES2014)，Springer LNCS, Vol.8407, pp.532-541, 2014.

o Takanori Yasuda, Tsuyoshi Takagi, and Kouichi Sakurai,“Security of multivariate signature scheme using non-commutative rings”, IEICE Transactions on Fundamentals of Electronics, Communications and Computer Sciences, Vol.E97-A, No.1, pp.245-252,

2014.

o Takanori Yasuda, Tsuyoshi Takagi, and Kouichi Sakurai,“Efficient variant of Rainbow using sparse secret keys”, Innovative Information Science & Technology Research Group, Journal of Wireless Mobile Networks, Ubiquitous Computing, and Dependable Applications (JoWUA), Vol.5, No.3, pp.3-13, 2014.

• その他 o 効率性の向上手法、２次形式を用いた署名など

まだらな鍵を用いる手法

非可換環を用いる手法

鍵の圧縮表示を用いる手法

安全な暗号方式

2015/6/19 MELT up フォーラム 19

• 署名方式に比べて、暗号方式は作りにくい。

o 署名方式：UOV方式、Rainbow方式

o 暗号方式：ZHFE方式(2014)、Simple Matrix 方式(2013)

o 様々な暗号方式が開発されてきたが、その多くに効率的攻撃法が見つかっている。：MI, HFE, l-IC,Triangular, TTM, Square…

• 今年度は暗号方式の開発

o 研究中…

• その他進行中の関連研究

o 拡大体上のECDLPの多変数多項式システムを用いた攻撃

o MQ問題の新しい攻撃方法

目標３ 耐量子暗号研究の

拠点形成

2015/6/19 MELT up フォーラム 20

耐量子暗号

RSA暗号 （1978）

最も普及している

暗号通信世界基準

楕円曲線暗号 （1985）

ポストRSA暗号

著作権保護技術

現在の公開鍵暗号基盤

多変数多項式公開鍵暗号

格子ベース暗号

符号ベース暗号

ハッシュベース暗号

⋮ 2015/6/19 21

耐量子暗号の候補

その他

量子コンピュータの 普及により

MELT up フォーラム

耐量子暗号の研究状況

• 国際会議 PQCrypto（2006～）

o １年半に１度開催 • 2006 in Leuven, 2008 in Cincinnati, 2010 in Darmstadt,

2011 in Taipei, 2013 in Limoges, 2014 in Waterloo

o PQCrypto2014では125名の参加者が集まる

• NIST ワークショップ

• ETSI（欧州電気通信標準化機構）ワークショップ

公開鍵暗号の発明 （1976）

RSA暗号の発明 （1977）

楕円曲線暗号の発明 （1985）

現在 （2015）

Shorのアルゴリズム （1994）

耐量子暗号の開発研究

2015/6/19 22

PQCrypto2006

MELT up フォーラム

ワークショップの開催 o 2013年 3月2日-3日 Forefront Workshop for the Promotion of the

Academia-Industry Cooperation “Application of Computational Number Theory to Secure Social Infrastructure (II) - Solving Multivariate Polynomial Systems and Related Topics -” • 場所：福岡百道浜

• 参加者：約30 名

• 基調講演：Jean-Charles Faugère 研究ディレクタ(INRIA)

o 2013年 11月14日-15日 Workshop: Post-Quantum Cryptography and Its Related Topics • 場所：福岡百道浜

• 参加者：約 30 名

• 基調講演：Jintai Ding教授（シンシナティ大学）

o 2014年 11月3日-4日 Workshop “Post-Quantum Cryptography: Recent Results and Trends” • 場所：福岡百道浜

• 参加者：約 35 名

• 基調講演：Johannes Buchmann教授（ダルムシュタット工科大学）

2015/6/19 MELT up フォーラム 23

PQCrypto 2016

• 過去に６度開催

o 2006 Leuven, 2008 Cincinnati, 2010 Darmstadt,

2011 Taipei, 2013 Limoges, 2014 Waterloo

• ７度目のPQCryptoを福岡で！ o 誘致活動が実り、見事、福岡開催が決定

PQCrypto 2016 o Winter School 2016年2月22日～23日

o 本会議 2016年2月24日～26日

• 場所：西新プラザ（九州大学）

• Webページ： https://pqcrypto2016.jp/

2015/6/19 MELT up フォーラム 24

まとめ • SCOPEの活動報告

目標１ 多変数多項式公開鍵暗号の安全性の厳密評価

目標２ 課題を克服した新方式の開発

目標３ 耐量子暗号研究の拠点形成

• MQ チャレンジを開催しています。 o MQ Challenge Homepage

https://www.mqchallenge.org/

• PQCryto2016が福岡で２月に開催されます。 o PQCrypto2016 Homepage

https://pqcrypto2016.jp/

2015/6/19 MELT up フォーラム 25