世界初、高い安全性と相互接続性を両立するディジタル署名を実現

～安全かつスケーラブルな暗号アプリケーション設計の簡素化へ前進～

2017年7月27日

国立研究開発法人情報通信研究機構
日本電信電話株式会社

日本電信電話株式会社（以下NTT、本社：東京都千代田区、代表取締役社長：鵜浦博夫）とNICTはドイツのカールスルーエ工科大学との共同研究により、高い安全性と相互接続性を両立する群構造維持ディジタル署名（※1）方式（以下、群構造維持署名とよぶ）を世界で初めて開発しました。

これまで暗号要素技術は、それらを単に組み合わせただけでは必ずしも安全な暗号アプリケーション（※2）ができるわけではありませんでした。今回開発した群構造維持署名方式は、他の暗号要素技術と単純に組み合わせるだけで容易に暗号アプリケーションを実現することができ、高い安全性と相互接続性を実現できます。さらに、従来の群構造維持署名と比較して、利用者数が増加しても鍵長を伸ばすことなく従来と同程度の安全性を達成できる特性もあわせ持っています。

この群構造維持署名方式の詳細は、2017年8月に米国で開催される国際暗号学会主催のトップ会議 CRYPTO 2017 （※3）で発表する予定です。

開発の背景

現代は様々な情報をネットワーク上で利用します。そのような情報の中にはプライバシー情報や機密性の高いデータも多く含まれています。例えば、オンラインショッピングサイトでクレジットカードを使うことが挙げられます。これらの情報を守り、ネットワーク上のセキュリティを保証するために、様々な暗号要素技術を使った暗号アプリケーションが利用されますが、安全な暗号要素技術を単純に組み合わせるだけでは必ずしも安全な暗号アプリケーションが実現できるとは限りません。また入出力の型の不一致により、単純に組み合わせることは必ずしも可能ではありません。群構造維持暗号技術はこのような状況に鑑みて考案されたものであり、入力の持つ群（※4）の構造を維持し、出力も群の構造を保っているので入出力の型が様々な暗号要素技術と一致しています。このため単純な接続が可能で、容易に安全な暗号アプリケーションを実現（モジュラー設計）することができる相互接続性を持っています（図1）。

図1：群構造維持暗号技術のコンセプト

従来の群構造維持署名は、利用者数が増加した場合、鍵長を大幅に伸ばさなければ要求される安全性を達成できないという欠点がありました。鍵長を伸ばすと署名サイズなども大きくなり計算コストが大きくなります。このような欠点を克服した、利用者数の増加に影響を受けない暗号技術は緊密安全性を持つと呼ばれます。

複数の暗号要素技術を組み合わせて暗号アプリケーションを設計する場合、要素技術の中に一つでも緊密安全でないものが含まれていると、でき上がった暗号アプリケーションは緊密安全性を持ちません。そのため効率的な暗号アプリケーションをモジュラー設計する道具として、相互接続性と緊密安全性をあわせ持つ暗号要素技術が望まれてきました。しかしながら、緊密安全性を達成するためにこれまで用いられてきた手法は群構造維持暗号技術には適用できないことが知られており、未解決問題となっていました。

NTTおよびNICTでは、相互接続性を持つ群構造維持署名の開発に継続的に取り組んできました。効率的かつ安全な暗号アプリケーションをモジュラー設計するという目標を達成する上で、相互接続性と緊密安全性を兼ね備える群構造維持署名を開発することは、重要なマイルストーンのうちの一つといえます。

新群構造維持署名方式の特徴

このたび開発した群構造維持署名は相互接続性と緊密安全性を両立している点が特徴です（図2）。

効率的かつ安全な暗号アプリケーションを構築するためには、モジュラー設計を可能にする効率的かつ安全な暗号要素技術が必要不可欠な部品であるといえます。新たに開発したディジタル署名方式は群構造維持署名方式であるため、相互接続性を持ち、暗号アプリケーションのモジュラー設計を可能にします。

さらに、今回開発した群構造維持署名は、利用者数が増加しても安全性に影響がない緊密安全性という特性も同時に実現しました。暗号要素技術の安全性は、利用者数の増加によって影響を受けます。安全な暗号技術でも、利用者数が増加した場合に鍵長を大幅に長くしなければその安全性を保てない方式も数多くあります。緊密安全性を持つ暗号方式は持たない方式と比べて利用者数が増加しても鍵長を伸ばす必要がないため、暗号アプリケーションが保持するデータサイズ、実行に必要な計算量や通信量が小さくなります。よって緊密安全性を持つ暗号要素技術は、暗号アプリケーションを構成する基本部品として望ましい性質を持っており、モジュラー設計に適しているといえます。

図2：新たに開発した群構造維持署名の位置付け

技術のポイント

緊密安全性を達成する従来技術は、ビット列であるデータの集合をある順序に従って静的に分割していく方法しか知られていませんでした。この従来技術は1997年に発表されて以来、様々な暗号技術に利用されてきましたが、群構造維持署名には適用できませんでした。そこで今回開発した技術では、まず、ビット列を群の要素にマッピングする方法を開発しました。しかし群はビット列の集合のように単純な順序に従って集合を分割することができません。そこで、群の要素が一致するか否かを1ビットの情報にみたてることで、従来技術とは異なる順序を利用して集合を動的に分割することに成功しました（図3）。この群要素による動的分割技術によって群構造維持署名において初めて緊密安全性を実現しました。

今回開発した群構造維持署名方式は、暗号アプリケーションの要求条件に即応して、これまで達成されなかった高い安全性と効率性を両立する暗号アプリケーションを容易に開発することに利用できると考えられます。例えば、個人や団体などが作成した暗号アプリケーションをアプリストアで公開したいが、開発リソースが乏しく暗号技術に詳しくないため、アプリ内で利用するユーザ情報などを保護することに不安を持つことが考えられます。今回の成果は、このような場合に開発者が手軽に安全な暗号アプリケーションを作成することに役立つことが期待できます。