近年暗号プロトコルの高機能化に伴い，安全性の評価が複雑となりつつある．そのため，フォーマルメソッドによる計算機を用いた暗号プロトコルの安全性自動検証技術の開発研究が盛んにおこなわれている．しかし，フォーマルメソッドを用いた安全性検証ソフトでは検証を行うことができる安全性要件や，プロトコルの表現能力に制限があることが多く，安全性の自動検証を適用することが困難である暗号プロトコルも少なくない．著名なフォーマルメソッドによる暗号プロトコルの安全性検証ソフトの一つであるProVerifは暗号プロトコルの秘匿，認証などの安全性要件を自動検証することが可能であるが，暗号プリミティブを抽象的な関数，およびその等価関係等のみを用いて形式定義しなければならず，暗号プロトコルの形式化を行うことが困難であったり，またその形式記述が実際のプロトコルと一致していることの検証が複雑になってしまう．そこで本研究ではProVerifを用いて暗号プリミティブ自身をプロトコルの一種として形式化を行うことでプリミティブの形式化表現能力を向上することを試みる．本稿ではその例としてランダムオラクルの形式化を行い紹介する．

暗号プロトコルの安全性を，検証ツールを用いて自動検証する研究が活発に行われている．鍵交換プロトコルの安全性については，人手による証明ではセッション鍵とランダムな値の識別不可能性に基づくSK-secure性が代表的であるが，その自動検証に成功した事例は報告されていない．本研究では，土屋らとZhaoらのグループ認証付鍵交換プロトコルについて，ProVerifを用いた自動検証を行う．まず，セッション鍵の識別不能性を求めるSK-secure性よりは攻撃成功のための基準が低いものの，攻撃者が利用できるクエリはSK-secure性と同一の安全性モデルであるweak-SK-secure性を定式化する．そして，それらのプロトコルが weak-SK-secure性を満たすことを自動証明で示す．さらに，Zhaoらの方式はSK-secure性を満たさないことを自動検証で示す．一方，土屋らの方式は，本論文で定式化した手法ではProVerifが"cannot be proved"を返しSK-secure性を証明できない．そこで，ProVerifでSK-secure性の証明を困難にする原因について考察を与える．

本稿では，安全性検証ツールであるProVerifを用いてTLSプロトコルとその安全性を形式化し，暗号スイートのダウングレードによってサーバになりすますLogjam攻撃が検出できることを示す．形式化においては，弱いグレードの暗号を使用した場合のみ一方向性を破る関数を攻撃者のリソースとして与えている．さらに，Logjam攻撃を防ぐためのTLSプロトコルへの改良法を提案し，ProVerifで攻撃が検出されないことを確かめた．

TLSはインターネット上で安全な通信を提供するための暗号プロトコルであり，ハンドシェイクプロトコルは相手認証及び安全な通信を確立するために必要なセキュリティパラメータのネゴシエーションを行うプロトコルである．現在，IETFにおいてTLS 1.3の標準化の議論が進められている．一方，ProVerifはBlanchetらが開発した形式モデルでの暗号プロトコルの自動検証ツールであり，暗号プロトコルに要求される秘匿や認証などの安全性を検証することができる．ProVerifは多くの暗号プロトコルに対してセキュリティ上の欠陥を発見することに成功している．本稿では，ProVerifを用いてTLS 1.3ハンドシェイクプロトコルを形式的に記述し，安全性検証を行う．我々はTLS 1.3のdraft-06から形式化を始め，以降ドラフト仕様を継続的に形式化・検証を行っている．これにより，セキュリティ上の欠陥や仕様のあいまいな点を随時発見して，TLS 1.3の標準化に反映させていくことを目的としている．

Twitter を始めとするマイクロブロギングサービスは世界中で利用されている.ユーザーが サービスを利用する目的は多岐に渡るが,中には個人の自己表現や政治活動等の用途で利用するケース がある.このような「宣伝用途」のニーズに呼応してリツイートやフォロワーを購入できる「フォロワー マーケット」が登場した.フォロワーマーケットのサービスはソーシャルネットワークにおける評判情報 を人工的に作り出してしまうため,悪意あるツイートの大量拡散や社会不安を煽るような情報操作に悪 用されてしまうリスクがある.本論文では Twitter を対象として国内外のフォロワーマーケットを対象 とした実態調査を行い,フェイクアカウントに固有ないくつかの特徴を明らかにした.また実態調査の 結果を元にマーケット内で購入できるフォロワー(以下フェイクアカウント)の特徴分析を行い,フェイ クアカウントの自動抽出を試みた.その結果,約 1,200 万の未知アカウントから約 4,500 のコミュニティ に分類される約 32 万のフェイクアカウントが抽出された.

昨今，重要インフラ事業者等が運用する産業用制御システムに対するサイバー攻撃が行われていることが明らかとなり，我が国においても当該システムの防御及び攻撃認知時の迅速な対処が喫緊の課題となっている．特に，当該システムにおいては，インターネット等の外部ネットワークからの脅威だけでなく，保守用端末や外部記録媒体を経由した不正プログラム感染等も考慮する必要があり，サイバー関連事案の被害を受けるおそれもあることから，事案発生時の効果的な対処手法の確立が求められる．適切な事案対処には，対処対象端末の優先順位や対処手順を定めた対処プランが不可欠であるところ，制御システムには高い揮発性を有する端末が存在することに着目し，揮発性の高さ等に応じて対処対象端末の優先順位を決める方法が提案されている．優先順位の付与方法は，事案対処プラン自体に影響を及ぼし，事案対処の成否にもつながることから，適切な事案対処のための重要な要素の一つである．本稿では，より効果的な事案対処手法の確立に資するため，制御システムのネットワークをグラフ構造と見立て，被害端末からの距離に基づいて優先順位を定める手法について報告する．

機密情報窃取やサービス不能などを目的としたサイバー攻撃が増加している．このような現状を考慮すると，情報セキュリティの点からインターネット等の公衆通信ネットワークの利用に一定の制限を加え，悪意のあるパケットが受信側に転送されることを抑制することによって，公衆通信ネットワークの安全性を維持することが必要であると考えられる．本稿ではこのような認識のもと，従来，企業ネットワークに使用されてきた検疫や脆弱性検査といった，セキュリティ検査の仕組みを適用して，公衆通信ネットワークの利用（アクセス）制御を実施することを提案する．すなわち，公衆通信ネットワークを利用するユーザ環境のセキュリティレベルの評価結果に基づいたパケット優先転送制御を提言する．これらの通信ネットワーク利用制御を情報セキュリティ対策として導入するイメージを示すとともに検討課題を考察する．

センサネットワークの構成の一つに複数のノードを集めてクラスタ化を行い，ネットワークを階層的に構成するクラスタツリー型がある．このネットワーク構成で暗号通信を行う場合，クラスタ内のノードを管理し基地局と通信を行うクラスタヘッド(以下，CH)を解析すればクラスタ内の全ノードの鍵が漏えいする問題がある．この問題に対して昨年5月にCHを解析してもクラスタ内の全ノードの鍵が漏えいしない手法を提案した．しかし，その手法は子ノードが解析された場合に，その子ノードの暗号鍵は漏えいする．そこで，CHまたは全ての子ノードが解析されても全子ノードの鍵が全く漏洩しない鍵共有法を提案する．また，非対称秘密分散法を用い，各ノードが保有する記憶容量の少ない鍵共有方式も提案する．

近年，DRDoS攻撃（Distributed Reflection Denial-of-Service Attack）による被害が深刻化しており，早急な対策が求められている．単純な数字の組み合わせで構成されるIPアドレスはDRDoS攻撃におけるテスト通信の宛先として使用されることがあり，それらのIPアドレスを含むダークネットでは攻撃のテスト通信が観測可能である．そこで本研究ではDRDoS攻撃を観測可能なダークネットを用いて，DRDoS攻撃に悪用されるリフレクタの分析を行う．分析の結果，DRDoS攻撃で悪用される各種サービスのリフレクタを多数発見した．また，複数のDRDoSイベントにおいて悪用されるリフレクタ集合が類似しているケースが多く見られることから，共通の攻撃者が同一のリフレクタ集合を用いて継続的に攻撃を行っていることが推測される．さらに特定の組み込み機器がリフレクタとして大量に悪用されていることを確認した．本発表により，DRDoS攻撃に用いられるリフレクタの情報を把握し，更なるDRDoS攻撃の実態の解明，対策に繋げることとしたい．

電子マネーには、ICカードやサーバーで管理されるプリペイド型と、クレジットカード会社が提供するポストペイド型などがある。また、その多くはIDなどで管理され、紛失などに対してリカバリーが考慮されている。しかしながら、電子マネーの利用履歴と顧客の情報が紐付けされれば、電子マネー発行者に取引を把握され、顧客のプライバシーが損なわれる。また、店に対しては、顧客の氏名・IDなどの管理情報が渡されるため、匿名性も損なわれる恐れがある。本研究では、電子マネー研究の初期に提案されていたブラインド署名を現代の電子マネーサービスに適用することにし、匿名性とプライバシーを保つことを検討する一方で、紛失などの対策を新たに提案する。また、実用性の観点から、ブラインド署名のリスク低減の手段として提案されていたカットアンドチューズも含めた性能評価を行い、ありふれているノート型パソコンとタブレット端末上でも、1秒以下の実用性のある性能を示すことを確かめた。

匿名通信システムTorは送信者と受信者のつながりの匿名性の保護を目的とする．しかしその匿名性を脅かす攻撃も発見されつつあり，中でも指紋攻撃は攻撃に必要な資源が少なく現実的な脅威となりうるものとして注目されている．近年の代表的な指紋攻撃は，主に二つのシナリオで攻撃を評価する．一つ目は，ユーザは攻撃者が予め定めた監視対象のサイト群のうちのどれかにのみアクセスすると仮定し，アクセス先を一意に特定する．二つ目は，攻撃者はユーザが監視対象のサイト群にアクセスしたか否かを判定し，監視対象の場合にはそれを一意に特定する．しかしこれらのシナリオは指紋攻撃の脅威を評価するのに十分ではない．多くの攻撃者にとって，ユーザのふるまいを完全に把握する必要はなく，ユーザが監視対象にアクセスしているか否かさえ知ることができれば十分であると考えられるからである．そこで我々は，指紋攻撃の新たな評価手法を提案する．監視対象のサイト群について，従来の一意特定に対し，本研究では推定の候補を複数列挙し，この中に正解が存在すれば攻撃成功とみなす．本稿では，従来の二つのシナリオに対し，提案する評価指標を用いて評価の拡張を行う．

本論文では、機械学習によるプライバシ設定推測手法について評価した結果を示す。評価するプライバシ設定推測手法は、サポートベクトルマシン（SVM）を応用した手法であり、少数の設定項目の設定値から、他の多数の設定項目の設定値を推測する。我々はWebアンケートにて回収した10,000人の被験者のアンケート結果を用いて手法の評価を行った。その結果、設定項目数が80で、推測に用いる項目数が5、設定値が3段階の場合、約86%の精度が得られた。

近年，多くの人がGPS などの各種センサー，Wi-FiやBluetoothといった無線通信機能を持つモバイルデバイスを日常的に携帯するようになった．モバイルデバイスで収集された情報は各種サービスで活用される一方，これらの情報によるプライバシー上の問題への関心も高まっている．クライアント端末自身の情報を隠蔽するための研究は提案されているが，周辺のアクセスポイント情報の履歴に関するプライバシーリスクについては注目されていない．我々は周辺で利用されるアクセスポイント機器と自宅やオフィスといった場所の種別を知る事で，端末所持者の行動を推定できる危険性について検討を行っている．本研究では，夜間は自宅にいるといった人間の行動習慣と時間との関係に着目し，利用者周辺のネットワーク環境を構成するアクセスポイントのベンダー情報と時間帯の相関について調査を行った．16名の被験者から5分間隔で30日分のデータを収集し，得られたMACアドレスの履歴から，時間毎のベンダー構成を解析する事で，時間毎に観測されるベンダーに有意な相関が存在する事を示した．

近年のデータ蓄積量の増大に伴い，データを収集し，機械学習などのデータ解析を行いデータを利活用する技術に関心が集まっている．データ解析において結果の精度向上のためにはデータの質の良さや量の豊富さが必要である．よってデータが複数の組織に分散している場合，それらを共有して用いることでデータ解析の精度の向上が期待できる．個人情報や医療情報のような個人にまつわるプライベートな情報を含むデータについては，その秘匿性の高さからデータ共有が難しい場合がある．そのような場合には何らかのプライバシー保護のための処理を行う必要があり，匿名化などの様々なプライバシー保護手法が提案されている．一方，学習器統合などの方法を用いると，分散されたデータを開示せずに学習器を共有し．最終的な学習器を作成することができる．しかしこのような方法をプライバシー保護のために用いることはこれまであまり議論されてこなかった．本研究では匿名化と学習器統合を比較し，それらの有用性の評価を行った結果，学習器統合の方が良い結果を得られる傾向があることが示唆された．また．それらのプライバシー保護に関する議論を示す．

　Signcryptionは公開鍵暗号とディジタル署名の機能を同時に達成する方式であり, 1997年にZhengによってその概念が提案されて以来, 多数の構成法が提案されてきた. Signcryptionの安全性において2者モデルでの安全性は多人数モデルでの安全性を包含せず, 外部攻撃者よりも内部攻撃者に対する安全性の方が強い安全性であるため, 多人数モデルで内部攻撃者に対して強秘匿性と強偽造不可能性を達成することが望ましい. 本稿では, これを満たすSigncryptionとしてlearning with errors(LWE)問題とsmall integer solution(SIS)問題に基づくSigncryptionの構成をスタンダードモデルで提案する. また, 提案方式は既存の一般的構成法に適切な格子問題に基づく暗号プリミティブを適用したものに比べ効率が良いことを示す.

暗号方式を実装する際には，効率などの制約から，その方式と異なる確率分布に従い要素を選ぶことがあるが，理想的な暗号方式における確率分布と実際に実装された方式の確率分布が統計的に近接していれば，その安全性を達成することが証明できる．この解析において，これまで統計的距離が用いられることが多かったが，格子暗号では近年R\'enyiダイバージェンスを用いたいくつかの結果が知られており，その確率保存則を用いることで統計的距離を用いて解析するよりも効率的なパラメータのもとで安全性を証明できる．ただし，これらのRenyiダイバージェンスを用いた結果には帰着がタイトではない場合があったが，帰着効率についてはあまり詳しく議論されてこなかった．本稿で我々は，R\'enyiダイバージェンスの次数を確率分布間の統計的近接度・達成すべき安全性レベル・サンプルするインスタンス数などによって適応的に最適化することで，効率的なパラメータを用いながらタイトに帰着できることを示す．我々の結果の応用例として，BLISS署名において，同じ安全性を保ちながら約半分まで事前計算テーブルサイズを減らすことができることを示す．

This paper extends the lattice-based linearly homomorphic signature to have multiple signers with the security proof. In our construction, we assume that there are one trusted dealer and either single signer or multiple signers for a message, The dealer pre-shares the message vector $\textbf{v}$ during the set-up phase and gives pre-shared vector $\textbf{v}_i$ to each signer. Then, from partial signatures $\sigma_i$ of $\textbf{v}_i$ signed by each signer, one obtains a valid signature $\sigma$ of $\textbf{v}$ by combining all partial signatures $\sigma_i$ of $\textbf{v}_i$. We use well-known lattice-based algorithms like trapdoor generation algorithm and extracting basis algorithm to distribute different secret keys to each signer. Our signature holds multi-unforgeability and weakly context hiding property and is provably secure in the random oracle model under $k$-Small Integer Solution ($k$-SIS) problem assuming the soundness of Boneh and Freeman's signature.

The isomorphism of polynomials with two secret (IP2S) problem has been intensively studied and recognized as one candidate of computational assumption for post-quantum cryptography. Except for few special cases, up to this date, no algorithm can solve it better than $O(q^{n/2})$. In 1996, Patarin introduced an identification scheme which is a zero knowledge protocol based on IP2S problem. However, the communication cost is very large,i.e., $O(q^{n\times n})$. It is an interesting question whether we can find any method to reduce the communication cost of the scheme. In this paper, we analyse several variants of IP2S which might lead us to a zero-knowledge protocol with less communication cost compared to the Patarin's original scheme. Our analysis shows that there is a kind of a trade off between the communication cost and the security level of the variants, i.e., variants who give more cut on the communication cost will be more likely more insecure in practice. Finally, we propose a variant of IP2S which we argue is still secure in practice, and is able to bring us a new scheme whose communication cost is approximately a quarter of the original cost in $80$-bit standard security.

We prove that the code-based Courtois-Finiasz-Sendrier (CFS) signature is strongly existentially unforgeable under chosen message attacks (SEUF-CMA secure) in the random oracle model, assuming hardness of the Permuted Goppa Syndrome Decoding Problem (also known as the Niederreiter problem). In addition, we explicitly show that security against key substitution attacks can be arranged by the standard technique of Menezes and Smart that requires to hash the public key.

Recently, based on the homomorphic signatures, the authentication schemes such as homomorphic subspace signature (HSS) and key predistribution-based tag encoding (KEPTE) have been proposed to resist against pollution attacks in network coding. In this paper, we show that there exists an efficient multi-generation pollution attack on HSS and KEPTE. Specifically, we show that by using packets and their signatures of different generations, the adversary can create invalid packets and their corresponding signatures that pass the verification of HSS and KEPTE at intermediate nodes as well as at the destination nodes. After giving a more generic attack, we analyze the cause of the proposed attack. We then propose the improved key distribution schemes for HSS and KEPTE, respectively. Next, we show that the proposed key distribution schemes can combat against the proposed multi-generation pollution attacks. Finally, we analyze the computation and communication costs of the proposed key distribution schemes for HSS and KEPTE, and by implementing experiments, we demonstrate that the proposed schemes add acceptable burden on the system.

本論文では，IND-CCA1安全性を満たす完全準同型暗号方式を構成する．提案する方式は，BerkoffとLiu (TCC 2014) が提案した情報漏えい耐性を持つ完全準同型暗号方式の構成アイデアに基づく．ただし彼らの構成では，演算は任意の回数だけ行うことができるが，演算できる暗号化されたデータの個数が制限される．また彼らの構成では，既に準同型演算を施した後の暗号文を入力として準同型演算アルゴリズムを動作させた場合，その結果の暗号文が正しく復号できない場合がある．提案する方式では，演算できるデータの個数制限をBerkoffらの構成からそのまま引き継ぐが，上記の正しく復号できない暗号文が出力されうる問題を修正する．また，我々の修正がBerkoffらの情報漏えい耐性を持つ完全準同型暗号方式の構成に対しても，安全性を保ったまま適用できることを示す．

本論文では，ロジスティック回帰分析を暗号化したデータに対して行う手法を提案する．ロジスティック回帰分析は機械学習の強力なツールであり，訓練データからモデルを作り出す学習フェーズと，モデルを用いて入力データの分類を推定する推定フェーズに分かれる．本手法は，双方のフェーズにおいてデータを保護しつつ，学習および予測が可能であり，個人情報を取り扱う際に有効であると考えられる．提案方式では，ロジスティック回帰分析で用いられるシグモイド関数を多項式近似することで，準同型暗号での処理に適した学習アルゴリズムを提案した．これは中間変数を用いることで加法準同型のみを用いた計算が可能である．我々はLWEベース準同型暗号を用いて具体的なシステムを構成し，1億件のレコードに対するロジスティック回帰分析が数時間で可能であることを示した．標準的な計算サーバ上で並列化することで，実時間では30分程度となる．また，シグモイド関数の近似による影響がほとんどないことを確認するため，UCI（カリフォルニア大学アーバイン校）機械学習リポジトリにて公開されているデータを用いて，正解率，F値，AUC等の評価基準を用いて比較した．

本稿の著者はSCIS 2014で、従来の完全凖同型暗号とは異なり、暗号文がノイズ項を含まず所謂ブートストラップ操作が不要な完全凖同型暗号の枠組みを提案したが、安全な具体的構成が得られていなかった。本稿では、従来の暗号分野で用いられてこなかった新たな数学理論を導入し、上記方式の具体的構成の候補を提示するとともに、その詳細な安全性解析や効率性に関する研究課題を整理する。

We propose a fully homomorphic encryption scheme for point numbers.

近年，半導体の製造過程のばらつきにより，デバイス固有の識別情報を生成するPhysically Unclonable Function（PUF）に注目が集まっている． ウェアラブルをはじめとするIoTの普及により，さまざまな端末がサービスを利用しており，安全なサービスを実現するためには，端末の認証，通信データの暗号化，暗号化鍵の適切な管理が必要である． IoTにおいてPUFを利用することができれば，端末識別情報を利用した認証を実現できる． また，PUFを鍵生成関数として利用することで，端末に暗号化鍵を格納することなく，通信データを暗号化し，保護することができる． しかしながら，従来のPUFでは，専用のハードウェア，もしくは識別情報取得のための専用のソフトウェア（ドライバ）を用いることが一般的である． このため，多数の端末製造者が存在し，多種多様な端末を利用するIoTにおいて，従来のPUFをそのまま利用することは困難である． そこで，本稿では，多くのウェアラブルにおいて搭載されている加速度センサおよびジャイロセンサを利用し，端末識別情報を生成するPUFの構成方法を提案する．

近年，半導体チップの偽造防止技術であるPUF(Physically Unclonable Function)が注目されている．本研究では，PUFの一種であるラッチPUFを40nm CMOSプロセスでASIC試作し，その性能を評価した．その結果，再現性やユニーク性といったPUFの評価指標に関して，高い性能を持つことを実証した．

現在，ほとんどのオンラインサービスにおいてパスワード認証方式が主流となっている．このパスワード認証方式の現状において次の２つの課題が指摘されている．(1)ユーザは推測されやすい弱いパスワードを使用する傾向にある点，(2)ユーザは同じパスワードを複数のサイトで再利用することがある点である．複数の異なるパスワードを管理する方法の一つとしてパスワード管理ツールの利用があるが，一般ユーザの利用率は低く，普及しているとはいえない．これはクラウド上に保存することで発生する，第三者への情報漏えいやデータの紛失に対するリスクが要因の一つと考えられる．そこで，本研究では，情報漏えい時の被害の程度と安全性がサイトによって異なることに着目し，サイトの安全性と重要度に応じたパスワードの使い分け方法を提示，ローカル上で管理するツールを開発する．また，提案方式と，既存のパスワード管理ツールLast Pass や脳内記憶によるパスワード管理方法を比較し，ユーザにとって導入しやすいパスワード管理方法を検討する．

Web上におけるアクセス権限委譲を実現するプロトコルとして，OAuth 2.0やOpenID Connectがある．しかし，これらのプロトコルにおいて，認証サーバは，ユーザが利用するWebサイトのURIを知ることができ，ユーザのプライバシーが守られていないという問題点が指摘されている．本論文では，ユーザが利用するWebサイトのURIを認証サーバが把握できないアクセス権限委譲のプロトコルを提案し，その実装を示す．

人工物の個体に固有の物理的特徴を活用する人工物メトリクスは，物理的特徴の測定がその形成に比べて高精度で行えることを利用して，耐クローン性（コピー困難性）をもたらすことを狙った技術である．耐クローン性は情報・物理セキュリティ分野において基本的に重要な性質であり，数多の応用がある． 我々はこれまでに，電子線リソグラフィにおける電子線レジスト・ピラーの倒壊現象を積極的に利用してナノメートルスケールのランダムな凹凸構造をシリコン基板上に形成し，これを最先端の集積回路開発に用いられる測長走査電子顕微鏡(CD-SEM)と情報処理技術を用いてナノメートルオーダの精度で読みとる人工物メトリック・システムの提案を行い，高い耐クローン性が達成できることを示した．しかし電子線による計測はコストが高いので，平面方向の解像度は落ちるものの深さ方向の情報も得られ，真空を要しない，光による計測の可能性を探る意義がある．本稿ではレーザー共焦点顕微鏡をセンサとしたナノ人工物メトリクスの提案を行い，その精度や耐クローン性につき評価する．

In this paper we focus on how to realize end-to-end secure communication between a cryptocurrency users.While a cryptocurrency users have not only financial transactions but also commercial transactions (e.g., acknowledgment of receipt, follow-up correspondence, etc), a cryptocurrency only guarantees the security of financial transactions. If we want to get end-to-end security, we need another long term key to execute authenticated key exchange(AKE), but It is wasteful to require two long term keys. In order to solve this problem, A bitcoin-based authenticated key exchange protocol was proposed by Patrick McCorry et al. This protocol executes all interactions by same keys. However, this protocol has the following inefficiencies. 1) Request a wasteful payment to generate a session key, and 2) Unable to prove the security in formal model. To overcome the above inefficiencies, we present a new protocol that achieves secure commercial transactions as well as secure financial transactions. Our protocol never requests any extra long term keys, any extra payments and any trusted third parties. We finally, formally prove the security of our protocol in the Canetti-Krawczyk model.

The Bitcoin system has adopted a mechanism called Proof of Work (PoW), which contains certain requirements on the block generation. Protocols based on PoW require miners to solve difficult computational puzzles, that cause an issue of wasted electricity. Furthermore, the system has another problem about data storage. A public distributed ledger, called the block chain, logs all existing transactions. Miners must store the whole of it to verify the legitimacy of transactions. In SCIS2015 we proposed a lottery protocol for a cryptocurrency in which a block generator is randomly selected. In this paper we improve the protocol by increasing the efficiency of a method called follow-the-satoshi and reducing the size of the public ledger.

One-time Programs(OTP)は, Goldwasserらにより提案された, 実行回数が一回に制限されたプログラムである. OTPはGarbled Circuit(GC)を要素技術として用いており, それにより実行結果以外の情報を漏洩しない. そのため, 一つの入力に対してしか実行できないブラックボックス関数として利用できる. しかし, GCの実行時に必要な入力ラベルの片方のみをアクセス可能とするために, One-time Memory(OTM)と呼ばれる特殊なハードウェアを用いる必要があった. 本研究では, OTMの代わりにクラウド上のサーバを複数用い, 入力情報を分散する方法を提案する. また, 提案方式の応用例として, 二重使用を行えない電子現金について考察する.

This study proposes an electronic voting (e-voting) system based on the Bitcoin protocol and blind signatures. Various cryptographic schemes have been studied to realize secure and efficient e-voting systems, but these systems are hardly used in practical voting. One of the technical reasons for this unfortunate situation is that many e-voting systems require an anonymous communication channel, which is difficult to implement over the Internet. This study investigates if the Bitcoin protocol, a payment network wherein transactions are managed collectively by a peer-to-peer network, can provide a breakthrough to the practicality issue of e-voting systems. In the proposed system, the Bitcoin protocol is complemented with known protocols, such as the blind signature protocol and digital signature protocol, to realize an e-voting system that is secure, anonymous, and transparent. This study discusses several important properties of e-voting systems, including fairness, eligibility, anonymity, robustness, and verifiability, and shows that the use of the Bitcoin protocol brings favorable features besides the anonymity of the communication.

本論文では、ビットコイン・マイニングにおける追加報酬を用いたブロック保留攻撃を取り上げる。我々は、利己的マ イナーの１つの戦略を解析する。この戦略は、１つのプールが他を攻撃し、報酬を得るというものである。これを、支援者付きブロック保留攻撃と名付ける。いくつかの異なるシナリオの下での戦略において、利己マイナーが得る金銭報酬の量的解析を行う。本研究では、攻撃者が最大の利益を得るいくつかの条件と戦略を明らかにする。

Android OSはユーザやアプリに対してroot権限を開放していない。しかしシステムの脆弱性を突くことにより不正にroot権限へと昇格することができるため、システム改竄やユーザ情報の不正取得といった不正行為が可能となる。このためroot権限を保護することが重要となっており、Linux KernelにおけるLSM機能を使ったSEAndroidなどにより、ユーザやアプリがroot権限への昇格を難しくするとともに、rootの持つ権限を最小化することで対策を講じられてきた。しかし、近年のマルウェアはLinux Kernelの脆弱性を突き特権モードで動作することでLSMを無効化してしまうなどの問題が起きている。本論文では、Android端末におけるroot権限とOSカーネルの脆弱性の関係について着目し考察する。

As popularity of the mobile devices, including smartphones and tablets, continues to grow, more and more personal data inevitably stored inside these devices and it has become an important issue to protect private data on the devices. Many organizations have adopted Bring Your Own Devices (BYOD), allowing employees to use their personal mobile devices at work. But, both personal-owned and corporate-owned mobile devices came with security risks. Since the protection of private data on mobile devices could not be achieved with a single measurement, we designed and implemented centralized management system for Android devices based on SCAP (Security Content Automation Protocol) and SE Android. Automated configuration management based on SCAP will reduce time effort for user to setup one’s mobile device with recommended configuration, while SE Android allow dynamically configuration of security policy.

スマートフォンアプリケーションにおいて、動的解析によって端末内の情報送信を検知する手法が研究されている。動的解析では、動作した箇所のみ解析することができるため、解析の実行率（コードカバレッジ）を上げることが非常に重要である。これまで、コードカバレッジを向上させるために自動的に試験の内容（テストシナリオ）を作成し実行する手法が研究されてきた。しかし、ある程度解析が進むとコードカバレッジが著しく向上しなくなる場合が存在した。また、表示されている画面から実行されていない箇所を実行することが困難であった。そこで本研究では、画面構造から得られる部品の自動操作によるコードカバレッジ向上、および動作しなかった部品を容易に特定するための可視化の手法を提案する。

一般的に、多くの暗号方式や暗号プロトコルは暗号学的な秘密鍵がユーザによって安全に格納されていることを仮定しているが、実際の端末上で常に正しく管理されているかを詳しく調査した研究はあまり見られない。特に、現在のスマートフォンは耐タンバーモジュールが実装されておらず、OSレイヤによる鍵管理が行われているのみである。そのため、アプリの安全性を高めるために安全な鍵管理を構築することは重要である。本研究では、StorXCrypt と呼ばれる新しい鍵管理アーキテクチャを提案する。我々のアーキテクチャでは、安全に格納されるべきマスター秘密鍵1 つさえあれば、各々のアプリで利用される秘密価値はすべてアプリのID に紐付き一意に特定可能な階層構造によって擬似ランダム関数を用いて計算される。我々はStorXCrypt をAndroid 向けに実装を行い、鍵管理レベルにおいて意図したアプリに対してどのように秘密鍵を伝送するかについて議論する。また、簡単な応用例において、StorXCrypt を用いた際にどの程度の計算量のオーバーヘッドが生じるのかも示す。

Androidアプリケーション(App)には，広告掲載のためのライブラリを始め，App開発者以外の事業者が作成したモジュールが含まれていることが多い．これらのモジュールの中には，無断で利用者情報を収集しているものが存在する．しかし，従来のApp単位での動作観測では，どのモジュールによる動作であるかの識別が困難である．先行研究では，Android API(API)をフックし，スタックフレームからAPIの呼出し元情報を取得することで，APIを呼び出したモジュールの識別を可能とする動作観測手法を提案してきた．先行研究は，API呼出しが単一スレッドで完結している場合にのみ対応している．そのため，複数のスレッドにまたがったAPI呼出しやMessageQueueを介したAPI呼出しなどスタックフレームの呼出し元情報に連続性がない場合への対応が必要である．そこで，これらの API呼出しに対して，スタックフレームの呼出し元情報を紐付ける手法を提案する．本手法により，API呼出しまでの連続した呼出し元情報の取得できるため，他のモジュールを利用し，間接的にAPIを利用するモジュールの動作観測を可能にする．

Private Information Retrieval is the art of recovering data on a remote server without revealing what data is being retrieved, protecting the client's privacy. Many protocols achieve this with low communication in a generic setting but all of them require the reading of at least as many bits as the entire server is storing. We provide the first fully sublinear single server private information retrieval scheme. Depending on parameters, each query can be performed several orders of magnitude faster than previous options in the same setting. The scheme is based on our previous result from SAC2015 and does not require the batching of several queries, trusted hardware or non colluding servers. It relies instead on the hardness of the Approximate GCD assumption. We achieve the desired complexity by using new preprocessing techniques allowing the server to partially select bits belonging to the private key and transferring some of the online computational cost to the client.

今日、我々を取り巻くネットワーク社会においては、監視カメラによる画像情報、モバイル端末による位置情報、各店舗における購買履歴、ソーシャルネットワークのおける交友関係、その他さまざまな情報が、収集・蓄積されている。日々蓄積されている大容量のデータを分析・活用することにより、新たな知見が得られ、社会の効率化や生産性を高め、ひいてはこれらの効果が、個人に対するきめ細やかなサービスの提供につながると言われている。これらの情報を収集する際には、事前に告知し、同意を得ることが、ガイドライン等で規定されている。しかし、合意を得ていたとしても、また合法であったとしても、プライバシーインシデントが発生することがある。これは、同意取得の際に、情報提供者との対話がうまく機能せず、完全な合意に至っていないことを意味する可能性がある。そこで本研究では、そもそも情報提供者はプライバシーをどのように感じているかについて調査を行った。特に、情報取得者、収集される情報、見返りの違いを基準に調査を行ったため報告する。

国家資格から民間のユニークな資格, 認定書, 記録証までインターネット上のサービス事業者間で自分の履歴を容易に電子的に交換できるMyりれきサービス（AP：Attribute Provider)を提案する. Myりれきサービスでは, クラウドソーシングサービスのようなRP(Relying Party)へ, 資格, 記録書などの個人情報を提供し, また, ユーザの属性情報（氏名, 住所など）を管理するIdP(Identity Provider)から APやRPへのユーザ属性情報の提供が発生する. その際, 複数のユーザ同意が必要になる. 複数の同意を実施することはユーザにとって面倒であるため, 最初の同意にまとめて一回の同意にすることでユーザの利便性の向上を図る. 実現方式としては, IdPを信頼点として一回の同意にまとめ, IdPを起点としてRP,APに同意済み情報を提供し, 他の同意を省略する. これを行なうと, RPがAPに偽の同意情報を出して, 不正にデータを取得するという問題が生じる. これを解決する, IdPによるRPの不正を防止する同意制御方式を提案する.

近年，盗撮事件の件数が増加しており，その内約64%がカメラ付携帯やスマートフォンによるものである．また，今後その割合と数は更に増加する可能性が高いと考えられる．これまで加害者による撮影行為を制限するための手法としては，撮影時にシャッター音を鳴らす，端末の角度を検知して撮影できなくする，撮影禁止区域では撮影防止シールをレンズに貼る等があったが直接的な対策には至っていない．そこで我々は，プライバシーを保護したい空間内で送信機（LED照明）と受信機（スマホ）の信号のやり取りを行い，カメラ撮影を制御するシステムを開発している．本システムは，LED照明から発する光の照度の強弱を人に感知できない程度に変化させることで，信号（照度）パターンを生成・送信し，スマホのカメラが可視光を受信した際の信号（照度）パターンをスマホを用いて画素数に自動変換し，画像処理することで瞬時にパターンを識別してカメラ機能を停止させる事ができ，盗撮防止に向けその効果が期待できる．論文ではこのシステムの詳細とその評価について述べる．

ランダム回答方式とはWarnerにより提案されたプライバシー保護技術である．プライバシー保護が必要なアプリケーションへの適用が容易であることから，数多くの拡張方式が提案されている．一方で，プライバシーにかかわる安全性定義として定着してきた差分プライバシーの観点から解析された例は少ない．そこで本稿では代表的なランダム回答方式（とその拡張方式）が，差分プライバシーの観点からどの程度安全かを解析する．最後にランダム回答方式の応用例として位置情報アプリケーションに適用した場合の具体例を取り上げる．

同種写像問題の困難性を安全性の根拠とするハッシュ関数が提案されている. Charlesらは, 超特異楕円曲線の2-同種写像に対して, バックトラッキングとセレクター関数を用いたハッシュ関数を構成した. 吉田らは, Charlesらの方式を高速化し, 2次方程式の解と係数の関係を利用して, 2-同種写像を有限体上の積1回と平方根計算1回で計算可能なアルゴリズムを提案した. 本稿では, これらのハッシュ関数を3-同種写像の場合に拡張し, 3次方程式を解くカルダノの公式を用いて, 有限体上の積15回, 平方根計算1回, 3乗根計算1回という高速な公式を与える. さらに, 吉田・高島方式の2-同種写像を用いたハッシュ関数と, 提案方式を適用した3-同種写像を用いたハッシュ関数をMagmaを用いてそれぞれ実装することで, 楕円曲線の標数が256ビット (128-bit security) の場合に, 提案方式が2-同種写像列を用いた場合と同等の速さで計算できることを示す.

　2011年De FeoとJaoによって提案された同種写像の計算の困難性に基づく鍵共有方式(De Feo-Jao鍵共有)は耐量子暗号として期待されている.　De Feo-Jao鍵共有は超特異楕円曲線の同種写像のなす可換図式を利用して鍵共有を実現しており,　Diffie-Hellman型の鍵共有方式であると考えられる.　Diffie-Hellman鍵共有は3者間以上のグループ鍵共有方式に容易に拡張することができ,　現在まで様々な方式が提案されてきた.　例えば,　Steiner,　Tsudik,　WaidnerによるGeneric ProtocolやBurmesterとDesmedtによる鍵共有方式などが挙げられる.　本稿ではDe Feo-Jao鍵共有をベースにしたグループ鍵共有の構成を与える.　具体的には上に挙げたGeneric ProtocolとBurmester-Desmedt方式をDe Feo-Jao鍵共有から構成できることを示す.　また最後にDiffie-Hellman鍵共有とDe Feo-Jao鍵共有を共に含むような鍵共有方式について考える.

In this paper, we propose an attack against the one-wayness of a public key cryptosystem based on Diophantine equations of degree increasing type (DEC, for short) proposed by Okumura in 2015. Through a concrete example, we show that the security of DEC depends on the difficulty of finding certain vectors in the lattices of low ranks, (e.g. 2 or 3), obtained by a public key and a ciphertext. The most important target vector in our attack has a special property: it is not a shortest vector but only some entries are relatively small, and thus the usual LLL algorithm does not work well to find such a special vector. From this, we apply the ``weighted LLL algorithm'', which is the LLL algorithm with respect to a special norm called a weighted norm, to our attack. We describe heuristically how to choose an appropriate weight in order to find a relatively short vector with entries of unbalanced sizes. Our experimental results show that the weighted LLL algorithm for a weight chosen by our method is able to break the instances of DEC that is considered to have 128 bit security. Our result suggests some possible applications of the weighted LLL algorithm.

Multivariate Cryptography is one of the main candidates for creating post-quantum cryptosystems. The public key of these schemes is a set of quadratic polynomial equations in several variables. Solving such a system has been proven to be an NP-hard problem. In the last two decades, many new multivariate schemes both for public key encryption and digital signatures have been proposed. In this report we give an overview of some of the most important recent developments in this field. We describe two of the currently most promising multivariate schemes for encryption and digital signatures, namely the SimpleMatrix encryption and the Gui signature scheme. Furthermore, this report discusses open challenges in the area of multivariate cryptography and describes current attempts to solve these problems.

MayとOzerovはEUROCRYPT 2015で二元体上のベクトルに関する最近傍問題を解くアルゴリズムを提案した．さらに彼らはそのアルゴリズムを二元体上のランダム線形符号復号問題に適用し，時間計算複雑さの観点から従来アルゴリズムに対する性能向上を確認した．本稿ではまずMayとOzerovのアルゴリズムを任意の有限体上のベクトルに関する最近傍問題に適用できるよう拡張する．次にそのアルゴリズムを任意の有限体上のランダム線形符号復号問題に適用し時間計算複雑さの観点から性能を評価する．

CT-RSA 2005において，Bellareらは，参加者を追加することが可能な動的グループ署名の一般構成を提案している．しかし，彼らの構成では，もし署名生成時の乱数が暴露されると，容易に匿名性が破れてしまう．本論文では乱数暴露に対しても匿名性を保つ動的グループ署名の一般構成とその安全性証明を与える．まず，署名生成時の乱数暴露を考慮した新しい安全性モデルを与える．次に，署名生成時の乱数として擬似ランダム関数の出力を用いることで提案方式を実現する．擬似ランダム関数の性質により，乱数が擬似ランダムか真性ランダムな値かを識別できなければ，匿名性を破る攻撃者が存在しないことを示す．

A group signature allows any group member to anonymously sign a message on behalf of the group. On the other hand, this scheme needs an efficient member revocation scheme. Lots of member revocation schemes have been proposed so far. One scheme proposed by Libert et al. recently has achieved a constant signature size and verification time, but the revocation list (RL) has the size of O(R), for the number of revoke member, R. Another scheme proposed by Nakanishi et al. achieved a compact RL. However, this scheme increases membership certificate size by O(T ). In this paper, we extend the scheme proposed by Libert et al. by reducing the the RL size to O(R/T ) using vector commitment method to compress the revocation entries. In addition, the proposed scheme achieves O(1) membership certificate size.

Multiple group setting scheme have recently become important for enabling deduplication for cloud server. It starts with the group signature features for multiple groups setting. We construct multiple groups’ scheme that allows one or more groups to access a file such that the cloud server can avoid duplicate according to the ownership of users. The main goal of the primitive is to allow multiple groups that are managed separately (even a server also called verifier is used). The group managers mainly manage the new entities and revocation list for client and server respectively. Consequently we use the Message Lock Encryption (MLE) as an ingredient for deduplication both for uploading a new file and for updating an existing file.

グループ署名の安全性要件である匿名性の一種として，完全匿名性がある．完全匿名性は，攻撃者がすべてのユーザ署名鍵を保持していても，署名から署名者の情報を取得できないことを保証する．完全匿名なグループ署名は，公開鍵暗号，電子署名，ゼロ知識性を満たす非対話型知識証明から構成できる．完全匿名性はグループ署名の最も一般的な匿名性であるが，一方で，自身の作成した署名に対しても匿名性が成り立つことを要求しているため安全性要件としては必要以上に強い．したがって，実用上は自身が作成した署名以外に対して匿名性が保証されるセルフレス匿名性を満たしていれば十分であるように思われる．そこで本研究では，グループ署名に求める匿名性を完全匿名性からセルフレス匿名性に弱めることにより，従来より弱い仮定の下におけるグループ署名の構成可能性を考える．具体的には，セルフレス匿名性を満たすグループ署名を，ある種の安全性を満たす共通鍵暗号，コミットメント，電子署名，ゼロ知識性と抽出可能性を満たす非対話型ゼロ知識証明から構成する．また，構成要素として用いる共通鍵暗号が擬似ランダム関数から構成可能であることを示す．

グループ署名は署名者が匿名でグループに属していることのみを示すことができる署名方式であり, 2つの署名者が同じかどうか判定不可能であるという強い匿名性, いわゆるUnlinkabilityを満足する. しかしながら, その実現のためには多くの計算量が必要なことから, 弱い匿名性, いわゆるLinkabilityを持つ方式も多く提案されている (Hwangらの方式 (LightSec 2011) など). これらの方式では, ある鍵を用いることで2つの署名者が同じかどうかが判定可能であるが, このリンク判定アルゴリズムが非効率 (具体的にはペアリング計算が必要) という問題がある. 本論文では, 期間に応じて匿名性をコントロール可能なグループ署名 (GS-TDL: Group Signature with Time-token Dependent Linking) を提案し, 路車間通信システムに応用した際の有用性について考察する. 提案グループ署名では, 別の期間で作成された署名に関してはグループ署名と同レベルのUnlinkabilityをみたす一方で, 同じ期間内に作成された署名はLinkableとなる. 提案リンク判定アルゴリズムは公開検証可能であることに加え, 一切の暗号学的計算を必要としない. また既存方式と比較しても署名長が短いという利点がある (Hwangらの方式と比較して25\%署名長を削減). さらに署名者が削除手続きに一切関与する必要がないVerifier-Local Revocation (VLR) を実現する. またペアリング演算ライブラリとしてRELICを用い, 制限されたデバイス上 (Raspberry Pi) でも動作可能であることを示す.

複数の消費電力波形を収集して暗号鍵を解析するサイドチャネル攻撃から暗号実装を守るために、サイドチャネル攻撃に必要な消費電力波形が集められる前に暗号鍵を変更するRe-keying方式が提案されている。Dobraunigらは、CARDIS 2015において、イデアル暗号モデルのもとで安全性を証明できるRe-keying方式を提案した。本稿は、Dobraunigらの方式の安全性を見直し、ランダムオラクルモデルのもとで安全性を証明できる構成を提案し、Dobraunigらの方式と実装コストとサイドチャネル攻撃耐性を比較する。

ブロック暗号に対する攻撃のひとつに代数的サイドチャネル攻撃と呼ばれる攻撃が存在する。代数的サイドチャネル攻撃とは、攻撃対象の暗号が持つ数学的構造とサイドチャネル攻撃によって得られた情報を元に、充足可能性問題や混合整数計画問題といった問題に帰着し、その問題を解くことで秘密鍵を復元する手法である。SIMONとは2013年にNSAによって提案された軽量ブロック暗号のひとつである。本研究では、SIMONの鍵拡大アルゴリズムに対する代数的サイドチャネル攻撃を考える。SIMONの鍵拡大アルゴリズムは、演算に排他的論理和と循環シフトのみを使用しているため、各ラウンド鍵の関係を連立方程式で表すことができる。我々はこの連立方程式を充足可能性問題に帰着することで、秘密鍵を復元する手法を提案する。また我々は、ラウンド鍵のハミング重みが漏洩した場合とSIMONにCold Boot攻撃が行われた場合に対して数値実験を行い、提案手法の有効性を検証する。

暗号回路の秘密鍵に依存した物理情報であるサイドチャネル情報を認証に用いることが提案されている．本稿では，128ビットAES暗号から漏洩するサイドチャネル情報により認証を行い，秘密鍵をIDとみなした場合に識別可能なデバイス数の見積もりを行った．鍵復元攻撃ができない範囲で取得波形数を変化させ，認証性能を評価した結果，500波形で，約2^39個のデバイスが識別できることを示す．

近年，リアルタイム通信が必要とされている組込みシステムにおいて，低遅延実装可能な軽量暗号技術が注目されている．2012年に提案されたPRINCE暗号は，１クロックサイクルで暗号処理を行うアンロールドアーキテクチャの実装により低遅延かつ軽量な実装が可能なことが知られている．一方，アンロールドアーキテクチャは，暗号化処理の中間結果をレジスタに格納しないため，これまでサイドチャネル攻撃に対して耐性を持つと考えられてきた． 本稿では，アンロールドアーキテクチャで実装されたブロック暗号に対する電力解析攻撃の可能性について検討する．特に，アンロールドアーキテクチャに対する電力解析の高度化手法として，電力データに含まれる漏えい情報のタイミングをｔ検定により特定する手法を提案し，アンロールドアーキテクチャ実装されたPRINCE暗号への電力解析実験を通して，その有効性を評価する．さらに，アンロールドアーキテクチャ実装への電力解析の対策について考察する．

CAN(Controller Area Network)は，組込み機器向けのバス型ネットワーク規格であり，車載ネットワーク等に広く用いられている．近年，ディジタルデータを運ぶアナログなレイヤーに着目し，送信側には受信側にデータが正しく送信されたと認識させ，受信側には攻撃者が改ざんしたデータを受信させるという電気的データ改ざん攻撃が指摘されている．この攻撃に対するセキュリティ強化策としてMAC付加と電圧波形解析が挙げられている．電圧波形解析は，この攻撃によりバスの電圧波形に現れる特徴を利用し検知を行うものである．具体的には，本来の1bitの送信では起こり得ないタイミングの電圧変化を検知するタイミング違反検知と，送信側が送るビット列の変化の回数とバスの電圧変化の回数が異なることを検知する回数違反検知が提案されている．本論文では，電気的データ改ざん攻撃に現れる本来の1bitの送信より短い電圧変化に着目することで検知を行う電圧波形解析の新たな手法を提案する．この手法は従来手法より容易に実装が可能であり検知精度も良好であると考えられる．さらに実験用のCANバスを用いて実証することにより，検知手法の有効性を示す．また，それぞれの手法について考察を行いまとめる．

キーワード検索に対する従来の検索可能暗号は，ほとんどが完全一致に対するものである．本論文は，暗号化データに対し，部分文字列の検索も可能な新たな検索法を提案する．

共通鍵暗号に基づく検索可能暗号では、クライアントは信頼できないサーバに対して暗号化されたファイルを預け、特定のキーワードを含むファイルをキーワードとファイルを秘密にしたまま取り出すことができる。さらに動的な検索可能暗号では、クライアントは暗号化されたファイルの追加や更新、削除も可能となる。本論文ではKurosawa-OhtakiがCANS2013で発表した動的な検索可能暗号より更に効率的な方式を示す。既存方式ではファイルと索引の認証にRSAアキュムレータを使っていたが、提案方式では索引の認証にXOR-MACを使用する。

検索可能暗号は情報を秘匿したまま検索が可能な方式であるが、検索される情報の中には長期的安全性が必要なものが存在する。そこでCSS2015で我々は情報理論的安全性に基づき完全秘匿性を満たし、復号誤り及び検索誤りが無い場合の共通鍵検索可能暗号を提案した。本稿では、更に一般的なモデルを考える。具体的には、情報理論的に安全な検索可能暗号に関して、必ずしも完全秘匿ではない場合や復号誤りまたは検索誤りが生じる場合のモデルを提案し、その構成法も示す。

共通鍵暗号型の秘匿検索技術において，既存方式の多くは完全一致検索のみに注目していたが，近年は部分一致検索などの柔軟な検索ができるような方式も提案されてきている．しかしながら，高い安全性と効率性を両立した部分一致検索可能な既存方式は，未だ知られていない．そこで，本稿では，単純なアイデアを用いて，効率的な部分一致検索可能な方式を提案する．また，既存方式とは異なり，本方式は従来の完全一致検索のみ可能な高安全な方式と同等な安全性を達成することが示せる．更に，効率性を落とさず，ドキュメントを安全に追加できる変形方式も提案する．

本発表では、共通鍵型暗号を用いた秘匿検索における部分一致検索の達成方法について考察する。

近年，サイバー攻撃の件数は年々増加している．また，攻撃の種類は多種多様に渡り，その全ての攻撃を検知することは困難である．そのため，可能な限り多くの種類の攻撃を検知可能な技術が必要である．関連研究として，マルチエージェントシステムを用いて多様性を作り出し，様々な攻撃を検知する手法が提案されている．しかし，全ての端末にアプリケーションの導入を必要としており，リソースの限られた環境に対して導入することが困難であるという欠点がある．そこで，我々はマルチエージェントシステムとOpenFlowを組み合わせることで，端末に依存しない，幅広い攻撃検知を目指したシステムを提案してきた．しかし，我々のこれまでの提案手法において，運用評価は仮想環境内で行われていた．従って，実際のネットワーク機器やケーブルを介することによる動作の変化の検証は行われておらず，その有効性は示されていなかった．本稿では，Raspberry Pi2を実際のOpenFlowスイッチとして利用し，大学ネットワーク内で実際に提案手法を動作させ，その効果を検証した．また，変化点検知アルゴリズムを用いることで，攻撃を自動検知するシステムを構築した．

近年，インターネットやコンピュータを悪用してデータを詐取・改ざん・破壊したり，標的を機能不全に陥らせたりするサイバー攻撃が問題になっている．サイバー攻撃は，組織的かつ金銭・政治・破壊目的のものへと変化してきており，実際の戦場に類似した状態になりつつある．このような状態では，前提条件の変化が速すぎるため，従来のPDCAのような枠組みによって対応しきれない．そこで，軍事概念であるOODAループを枠組みとして利用することが提案されている．OODAループは，観測・情勢判断・意思決定・行動の4段階の繰り返し(ループ)からなり，敵よりも速く繰り返すことによって生存確率を上げる概念である．特に，情報収集と分析を中心において，それぞれの段階を随時修正するところが特徴である．本稿では，ISPにおけるサイバーセキュリティ確保において，OODAループの適用について考察する．OODAループを実践するためには，通信の秘密の考慮，通信の観測におけるデータの膨大さ，ISPと顧客の関係の複雑さを考慮する必要がある．そこで，これらを実現するための要素技術として，多層的な観測網・情報要約・可視化を挙げて議論する．

インターネットの普及による国境を越えた通信の容易化に伴って，世界中で国をまたぐサイバー攻撃の増加も問題視されている．コンピュータネットワークによって提供される様々なサービスに依存する現代において，サイバー攻撃に関して他者への注意喚起や適切な対策を行うことは重要である．サイバー攻撃の解析においてダークネットデータの活用が注目されており，ダークネットを活用した研究プロジェクトが国内外に存在する．本稿では、PRACTICEプロジェクトで複数国にて収集したダークネットデータを事例とし，国をまたぐ近年のサイバー攻撃に対処すべく，複数ダークネットで観測される膨大なトラフィックの解析手法を提案する．提案手法では各IPアドレスが持つ基本的な情報から攻撃傾向を抽出し，多変量解析を利用することで攻撃傾向による分類を行う．提案手法により，観測されたIPアドレス全体の攻撃傾向の偏りや観測期間内の推移を把握することが可能となる．

インターネットバンキングの情報窃取を狙った不正プログラムによる被害が後を絶たない．中でも，トロイの木馬を添付したメールをばら撒くことで拡散するDRIDEXは世界中で被害をもたらしている．インターネットバンキング利用者を狙った不正プログラムは今後も増加傾向が続くと予想される．こうした不正プログラムによる被害を減らすためには，攻撃者の手口と特徴をもとに対策を立案し，未然に防ぐ必要がある．攻撃者は一般的に，不正プログラムをダウンロードさせるコードをWebページに仕込んだドライブバイダウンロードや，不正プログラムを添付したメールを送りつけて実行させる攻撃手法を用いる．そこで本稿では，2015年4月から2015年10月に情報通信研究機構内で観測したトラフィックを調査し，DRIDEXの傾向と特徴を明らかにする．DRIDEXが添付されたメールが送信される時間帯や，DRIDEXが端末に感染するまでのプロセスを明らかにし，端末への感染を防ぐための対策，およびDRIDEXの検出手法を検討する．情報通信研究機構内で観測したトラフィックを調査した結果，幾つかの特徴を捉えた．DRIDEXが添付されたメールの送信時間帯と，添付ファイルに仕込まれたマクロによる不正プログラムダウンロード処理方法である．DRIDEXが添付されたメールを受信する時間帯は平日の夕方から深夜が大半を占めた．マクロに含まれる不正プログラムのダウンロード処理部分のコードには，ダウンロード先のURLを直接記述せず，数値の配列として記述されていた．この数値の配列はURL変換処理関数によってURLに復号され，HTTPリクエストの処理へと渡される．これらの特徴をもとにDRIDEXの対策および検出手法を検討した．

近年，DNSやNTPサーバなどを踏み台にしたDDoS攻撃のひとつであるDRDoS（Distributed Reflection Denial of Service）攻撃が問題となっている．ISPのネットワーク管理の観点からDRDoS攻撃への対応を考えると，ネットワーク障害等の実被害に至る攻撃だけでなく表面化していない攻撃を把握することも重要である．NTPを使用したDRDoS攻撃（NTPリフレクション攻撃）に使用されるmonlist機能の応答には，NTPサーバに問い合わせを行ったホストの履歴が記録されており，NTPリフレクション攻撃の場合，過去の被害IPアドレス群が記録されている可能性がある．そこで本稿では，NTPリフレクション攻撃トラフィック中のmonlist応答を調査することで潜在的な被害ホスト群を推定する手法を提案する．また，提案手法の有効性を検証するためにISPバックボーンの大量通信検知ログと提案手法により推定したIPアドレス群とを突合した．その結果，表面化していないNTPリフレクション攻撃の被害ホストを提案手法により抽出できることを確認した．さらに本稿では，推定した潜在被害ホスト群をDRDoS攻撃の早期警戒に応用する方法について議論する．

2015年9月に「行政手続における特定の個人を識別するための番号の利用等に関する法律」（以下、番号法）が改正され、金融機関の預金番号に対して個人番号を紐付けられることが決定した。現在、番号法で実施が義務付けられている特定個人情報保護評価は自治体等の機関のみが対象であり、民間分野に対しては安全管理措置の実施は義務付けられているものの、リスク評価を行う制度は存在しない。しかし金融分野は公共性の高い民間分野であり、改正番号法によって多くの個人番号を保有することになるため、特定個人情報保護評価に準じるプライバシーリスク評価が必要である。一方、特定個人情報保護評価はシステムと運用に関する評価が混在している等の課題が存在するため、そのまま民間分野が実施するのは不適切である。そのため、国際標準として規定されているプライバシー影響評価の手法を活かして対応することが望ましい。また実施者に過度の負荷を与えないよう、現状のリスク評価内容を踏まえた対応となることが重要である。これらを踏まえて、金融分野における番号法対応に関するプライバシーリスク評価の実施スキームについて考察する。

複数の事業者が同一集団のパーソナルデータのテーブルをそれぞれ持っているとき，当該テーブルを匿名化した状態で結合して分析することを考える．匿名化によってテーブル結合するための一意のキーが存在しなければ，同一個人のデータを一意に結合できない．本研究では，複数の匿名化データの重複列を利用して疑似的にテーブル結合して分析することを着想し，その方法論について考察する．相関ルールマイニングを例に具体的なプロトコルを提案し，公開データセットを用いて有用性の評価を行う．

スマートフォンやタブレットなぞのモバイル端末の普及による，モバイルソーシャルネットワークの急速的拡大に伴い，近年その世界における友達のあり方が問題になっている．見ず知らずの人とインターネット上で直接会話して友達を探すことは気が進まない．一方，自分の個人情報を秘匿せずに照合して友達を探すことは，プライバシーの観点から危険である．これまでに，ユーザ同士のプロフィールを秘匿した状態で照合するという秘匿マッチングが提案されている．本稿では，1対1で行う秘匿マッチングプロトコルについて，既存研究の厳しすぎる判定条件の問題を指摘し，それを改良することで，より実用的なプロトコルを提案した．そこでは，限られた範囲の負数が最大ビット長になるという自明な特徴を用いて，2つの整数を秘匿した状態でそれらの大小を判定することを本研究で初めて実現する．なおサーバは，semi-honestであると仮定し，マッチング結果の検証のみを行う．そのため，サーバが攻撃を受けたとしても秘密情報を持たないため，秘密鍵や参加者の個人情報を漏えいすることは決してない．

本研究では挿入や削除を行う動的データの再公開における安全性の精確な評価について考察を行う．始めに，動的データの再公開の安全性評価指標を定義し，評価値の精確な計算方法を紹介する．次に，本研究で定義した安全性評価指標と既存の評価指標との関係を理論的に解析する．

近年,スマートフォンの登場やソーシャルメディアの発達により,人の行動や状態などが電子情報として収集され,その履歴が蓄積されるようになっている. 企業は,サービスの充実のためこういった行動履歴情報などを利活用したいと考えている. しかしながら,これらの行動履歴情報には個人のプライバシーを含んでおり,利活用するためにはプライバシー保護を行う必要がある. このプライバシー保護を行うためにk-匿名化などの匿名化という技術が存在する. 一方で行動履歴情報に対する汎用的で完全な匿名化は存在しないといった既存研究も存在している. 本論文では,漫画アプリを通した漫画閲覧の履歴情報に対して個人性を持った情報であるかの検証を行い,またその情報に対して利活用するための有用な情報を残したまま匿名化することが困難であることの検証を行う.

非対称ペアリングは対称ペアリングと比較して代数的構造は複雑だが実装の効率はずっと良い. 従ってペアリングに基づく暗号方式を構成する際一旦は対称ペアリング上で設計を行い, 後に非対称ペアリングの代数的構造に合わせ再設計し実装を得る事が多くなっている. 2014年阿部らは方式の安全性を維持したままこのタスクを自動実行するフレームワークを発表した. 2015年に整数計画法を直接用いるアルゴリズムが提案されたことにより, かなり大規模な暗号方式の自動変換が可能となった(未発表). 一方 Groth-Sahai 証明などを用いて設計された大規模な方式を対称ペアリングを使って具体的に記述すると, 方式自体が証明する述語の数に対して指数的多数の変種を持ってしまう事がある. 本発表ではそのような場合でも最適な変換を見つけるアルゴリズムを提案する.

格子の最短ベクトル問題を解くSieveアルゴリズムは、指数個の格子ベクトルに対して各々可能な限り簡約をすることによって解を探索する。Laarhovenは、簡約可能なベクトル同士が高確率で同じハッシュ値を取るように設計された局所性鋭敏型ハッシュを利用した改良を提案した。ハッシュ値の記録により指数的に領域計算量は増えるが、各ベクトルに対して同じハッシュ値のベクトルだけを簡約することで指数的な高速化を行った。さらに、ハッシュ値のハミング距離が小さいベクトルも全て簡約することで、時間計算量が定数倍増えるが、領域計算量を多項式的に削減した。しかしこの方針では、領域計算量を細かく設定できず、使用できる領域計算量の上限が与えられているときに、それを十分に活用できていなかった。そこで本研究では、この上限が与えられたときに、ハッシュ値のハミング距離が小さいベクトルを領域計算量の上限に応じて一部のみ簡約することで、既存手法よりも時間計算量を削減した。さらに、ハッシュ関数の特性を利用して優先的に簡約すべきベクトルの選択を行う改良も提案する。また、我々は数値実験により提案手法の有効性を検証した。

多変数多項式の方程式系に対しては正則性の次数と呼ばれる不変量が付随する。この量はグレブナー基底計算などを用いた方程式系の解読計算量と密接に関わっている。この不変量に対して知られている性質についてまとめ、多変数多項式公開鍵暗号との関係について説明する。

Some cryptosystems over ideal lattices use short generators as secret keys. These include the candidate of multilinear maps by Garg, Gentry and Halevi, and the fully homomorphic encryption scheme by Smart and Vercauteren. The security of these cryptosystems relies on the computational difficulty of the principal ideal problem (PIP) and the short generator problem (SGP). For PIP, Biasse and Fieker proposed a subexponential algorithm. For SGP, Bernstein and Campbell-Groves-Shepherd sketched an attack using the log-unit lattice. The size of a dual basis of the log-unit lattice is related with the success probability of the attack. Recently, Cramer, Ducas, Peikert and Regev gave an implicit upper bound of the size of the dual basis over cyclotomic fields of prime power conductors. In our work, we give explicit upper and lower bounds of the size of the dual basis. We give experimental evidences that SGP over cyclotomic fields can be solved with high probability under Weber's class number problem. Our analysis suggests that the security of cryptosystems using short generators depends on the difficulty of PIP if Weber's class number problem holds true.

Rainbowは順序解法型の多変数多項式署名方式の一つである．署名生成に線形的な計算しか必要としないため効率性が高く，また，パラメータをうまく選ぶことで，既存の攻撃に対して十分な安全性を確保できることがわかっている．一般にRainbowは``2層"で構成されるが，``多層"にすることでさらに効率性を高めることができる．しかしながら，偶標数の場合には多層に構成することでRainbowに脆弱性があらわれてしまうことがわかったので，本講演で報告する．

Fiat-Shamir変換は標準的なID方式から署名方式 (以降, FS型署名) を得る手法として有名である. このFS型署名の安全性については, 標準モデル及びNPROM (Non-Programmable Random Oracle Model: Random Oracleモデルと標準モデルの中間的なモデル)上では, 証明不可能であるとする状況証拠が示されている. ただし, このNPROM上の結果は, Schnnor署名やGuillou-Quisquater署名など具体的な方式についてのみ議論された結果である. さらに近年, SCIS 2015, ISC 2015でFukumitsu, Hasegawaは, NPROM上の一般的なFS型署名の安全性証明の限界をKey-Preserving帰着という制限の下で示した. 本稿では, Key-Preserving帰着の制限を緩和し, NPROM上での一般的なFS型署名の安全性証明の限界について議論する.

We study the security of Quick UDP Internet Connections (QUIC for short). Lychev et al., show that QUIC is secure in their security model which is called QACCE. However, QUIC has vulnerabilities against the attacks which increase server loads and their security model does not cover these attacks. QUIC should prevent these attacks because these attacks assist an adversary to do Distributed Denial of Service (DDoS) attacks. To cover these security concerns, we propose a new security model, extending server-only authenticated and channel confidentiality establishment (SACCE), so that authentication and channel confidentiality can be evaluated including abbreviated handshake sessions. Our security model is stronger than QACCE to cover the security concerns. We then show that the original QUIC does not satisfy our security model. We also propose a new scheme to solve the security concerns and enhance the performance. There are three advantages in the our proposed scheme. First, it prevents the attacks. Second, it does not require Strong Computational Diffie-Hellman assumption to satisfy the security model. On the other hand, the original QUIC require Strong Computational Diffie-Hellman to satisfy QACCE secure. Third, it reduces a number of interactions from four times to two times.

ワンタイム署名とは, １回限りの使用において安全であるデジタル署名方式である. ワンタイム署名は, 暗号学的ハッシュ関数のみによって構成可能である. 理論的にも応用的にも重要であるワンタイム署名にMerkle のワンタイム署名(Merkle-OTS) がある. 双紙-早稲田らはこのMerkle-OTS 比べて短い署名長を実現するワンタイム署名を提案した. しかし, オリジナルの論文には, アルゴリズムの形式的な記述, 安全性解析, 及び性能評価が与えられていなかった. 我々はまず, この双紙-早稲田らのワンタイム署名アルゴリズムに若干の改変を加え, これに形式的な記述を与えた(SW-OTS). 次にスタンダードモデルにおいて, SW-OTS が選択メッセージ攻撃に対して強存在的偽造不可であることを証明した. また, 安全性のレベルをセキュリティパラメタで評価した. さらに, 実装実験によりSW-OTS がMerkle-OTS に対し, 約72%の署名長を実現することを確認した.

属性ベース署名とは、各署名者がその属性に応じた署名鍵を鍵発行機関から発行され、その署名鍵を用いて、属性上の述語が関連付けられた署名を発行できる暗号技術である。このとき、署名者は自身の属性が満たす述語について署名が発行可能であり、しかもその署名は発行者がどのような属性を持っていたかについて情報を漏洩させないという性質を持つ。この研究分野において、(i) 広い範囲の述語のクラスを取り扱え、かつ (ii) 実用的な効率を備えた方式を (iii) シンプルな仮定から構成することは、これら三つの要素が方式の実用性を左右するため、重要な研究課題の一つである。本稿では、任意の論理回路を述語として使用可能でかつ実用的な効率を持つ初めての属性ベース署名方式を、symmetric external Diffie-Hellman仮定から構成する。提案方式は、代数的な関係の証明に特化した効率的なゼロ知識証明であるGroth-Sahai証明と、回路充足可能性を証明できるGroth-Ostrovsky-Sahai証明のアイデアとを組み合わることで、効率的でかつ表現力の高い属性ベース署名方式を構成している。

Lightweight and provably secure authentication protocols are of high importance for securing machine-to-machine communications and Internet of Things. In a number of scenarios, an entity with very limited capabilities (a tag for example) should perform authentication to a more powerful entity (a reader, for example). Accordingly, we discuss certain issues regarding authentication protocols with asymmetric implementation complexity which fits into the capabilities of the parties involved. The discussed authentication approach is based on the LPN problem and a paradigm of random selection in order to provide desired level of authentication security as well as implementation complexity. We explore the background for security evaluation of the approach in the active attacking scenario as well as certain implications regarding the man-in-the-middle attack evaluation scenario.

近年、サイバー空間とフィジカル空間が互いに影響し合うサイバーフィジカルシステムに注目が集まっている。サイバー空間とフィジカル空間が連係することで利便性が向上する一方、セキュリティ対策の不備により攻撃される危険性も指摘されている。サイバーフィジカルシステムでは、サイバー空間とつながる通信路や、入り口となるゲートウェイにおけるセキュリティ機能に関しては、従来から研究が行われているが、内部に侵入されてしまった場合の対策については研究が少ない。また、サイバーフィジカルシステムにおいて、内部に侵入されて攻撃を受ける事例も少ないため、研究が思うように進まないという課題がある。そこで本稿では、サイバー空間へつながり始めた自動車への攻撃実験結果とその対策を紹介しながら、ロボットへ、自動車向け対策技術を適用検討した結果を報告する。

近年，デジタルICの多くはコスト削減のために一部の設計・製造工程を第三者もしくは第三者のツールで設計・製造されており，悪意のある機能を持つ回路が挿入される危険性が指摘されている．この悪意のある機能を持つ回路がハードウェアトロイと呼ばれ，深刻なセキュリティ上の懸念となっている．事実，United States Department of Defenseは2005年にハードウェアトロイの脅威に関するレポートを発表し，2007年にDefense Advances Research Projects Agencyでも研究が開始され，米国を中心にハードウェアトロイの研究が加速度的に成長している．本稿では，特に容易にハードウェアトロイを設計・挿入することができる設計段階を対象とする．本稿で提案するハードウェアトロイ検出手法は回路の振る舞いを動的に監視することで，回路の定常状態を学習し，ハードウェアトロイが動作した時の異常状態を検出することで，ハードウェアトロイを検出する手法である．定常状態を学習するために短時間のランダムシミュレーション，異常状態を検出するために長時間のランダムシミュレーションを行う．これら二種類のシミュレーションを使い分けることで，既存手法では検出することのできなかったハードウェアトロイのタイプを検出することに成功した．

本稿では，パイプライン構造を有するマイクロプロセッサ上に実装されたソフトウェアに対する故障注入攻撃について述べる．故障注入攻撃は暗号プロセッサに対する攻撃手法として知られているが，近年では，故障注入と従来の攻撃を組み合わせた汎用ソフトウェアに対する新たな攻撃の可能性が指摘されている．しかし，そうした従来の報告では，単一故障を利用した攻撃や，単純なマイコンへの攻撃しか扱われていなかった．そこで，本稿では，2段パイプライン構造を有するARM Cortex-M0+プロセッサへの多重故障注入の可能性を検討する．特に，プロセッサへの故障注入により高頻度で生じる命令スキップに着目し，実験を通して，命令スキップに対してパイプラインが及ぼす影響を明らかにする．さらに，その結果を元に，故障注入により，ソフトウェアに新たな脆弱性が生じることを報告する．

レーザーフォールト注入攻撃は、暗号処理回路に対する情報セキュリティ上の脅威である。レーザ照射に伴う暗号処理回路の誤動作を解析することにより、秘密情報(秘密鍵情報)を暴露することが可能である。一般的な攻撃方法の一例は、レーザ照射による暗号処理回路中のレジスタ保持データの書き換えである。特にラウンド鍵データや中間暗号処理データを格納するレジスタに対する時間・空間の選択的攻撃が効果的である。これらの悪意ある攻撃への対策の一つは、レーザ照射時のレジスタの異常な挙動を検知することにある。そこで本論文では、このレジスタに対するレーザ攻撃時のIC基板電位変動に着目した。オンチップモニタ回路を用いて、レーザ照射時の基板電位変動の波形をオンチップ実測するとともに、レーザ照射強度の変化に伴う基板電位変動とレジスタデータ書き換え確率との関係を実測評価した。実測に基づいて、レーザ照射時のレジスタ回路の挙動を予測する等価回路モデルを用いて、回路の挙動と基板電位変動の関係を設計段階で解析できる回路シミュレーション手法を構築した。

ホログラムは三次元像を記録した写真であり，元の三次元像が無ければ同一のものが作れないことから偽造防止のためにセキュリティ用途としても利用されている．しかし，攻撃者の技術の向上とともに，元の三次元像が無くとも像の再現ができる可能性がある．そこで，ホログラムのセキュリティ強化策として，人工物メトリクスの利用を提案する．人工物メトリクスは人工物からランダムに生成された特徴を用いて，その人工物を認証する技術である．あるホログラムをレーザー顕微鏡で観察すると，同じ三次元像を記録したものでも個体により微細な差があることが分かった．この特徴を利用することで，個体の識別が可能であり，ホログラムのセキュリティ強化として利用できる可能性があることを報告する．

クラウドストレージを用いたサービスが一般にも用いられ始め,多くの重要なデータがクラウドストレージ上に集められている.このとき,各データは暗号化されて保存されることが望ましいが,暗号文の状態では容易に検索を行うことができず,復号の後に検索を行う手法では,ストレージサーバにデータと検索キーワードが知られてしまう事態となる.そこで,検索可能暗号が提案されている.検索可能暗号は対称鍵形式（SSE）と公開鍵形式（PEKS）の双方について研究が進められているが,機能の充実という面においてPEKSは優れており,数多くの機能を付加させた暗号形式が提案されている.中でも,ユーザの検索を,信頼できる相手に委任することが出来る委任検索可能公開鍵暗号(PKEDS)は暗号文に含まれるマルウェアの検出に注目した手法であるが,現状では同じデータを複数ユーザに送信する際、それぞれ暗号文を生成する必要があり,計算コストが多くかかる.そこで本論文では,PKEDSを基に,ペアリングを用いて複数ユーザに対する暗号化を実現する手法を提案する.更に,暗号文及びトラップドアの識別不可能性と,特定のサーバに対する暗号文一方向性をランダムオラクルモデルのもと証明する.

バイオインフォマティクスの研究ではゲノム配列の検索が頻繁に行われるが，個人ゲノムを扱う際には，プライバシを保護する必要がある．そのため，ゲノム配列を暗号化したまま効率よく検索する技術の開発が望まれている．ゲノム配列検索の高速化には(positional) Burrows-Wheeler Transform などの離散データ構造が有効なことが知られており，従来研究ではこのような離散データ構造と準同型暗号を組み合わせる手法が提案されている．しかしながら，従来方式は加法準同型暗号をもとに構成されているため，検索結果自体でなくその統計値のみを返すなどの機能拡張が困難という問題があった．そこで本研究では，従来研究では加法準同型暗号で構成されている部分を完全準同型暗号に置き換え，より広いアプリケーションに応用可能な方式を提案する．提案手法は公開ライブラリHElibを用いて実装し，暗号文パッキングによって従来手法に含まれる紛失通信にかかる計算量を削減した．ゲノム配列の実データ（1000ゲノムプロジェクト）を用いた実験により，提案手法が従来手法とほぼ同等な速度で動作することを確認した．

Bloomが1970年に考案したBloom Filterは、ある要素が集合に含まれるか否かを調べるのに効率のよいデータ構造として広く知られている。しかし標準のBloom Filter自体にインデックスを秘匿する機能は備わっていないため、サーバーに単純なBloom Filterを渡す状況を考えると、どの要素を何回調べている等の頻度情報が漏れてしまう問題がある。本論文では共通鍵完全準同型暗号方式 (Symmetric FHE)を用いて、この問題点を解決する新しい方式を提案する。本方式では完全準同型演算の性質からBloom Filterを暗号化したまま計算することが可能なため、Bloom Filterのマージや複数要素のAND検索などといった新しい機能を備えている。

暗号化状態で検索可能な共通鍵暗号ベースの暗号化方式を用いて、個人情報を秘匿しつつ個人が持つ属性（年齢、性別、収入、資格、経歴等）を確認する属性認証方式への応用を提案する。

With the rapid development of information and communication technology, cross-sectoral cooperation has advanced, and the importance of inter-organizational confidential communication has been growing to allow further information sharing among various organizations. In this paper, we propose "Proxy Trapdoor-Re-Generation Scheme in Public Key Encryption with Keyword Search (PTRG-PEKS)" for an organizational cryptosystem for confidential communication among organizations. Our scheme enables members not having the secret key to perform the search. Furthermore, in our scheme, the revocation of privileges of the search can be easily done. We show the security of our proposed scheme against chosen keyword attack and master secret security in the case that either the proxy, which transforms pseudo trapdoor sent from users to intermediate trapdoor, or the search server, which performs the search, is corrupted by an adversary.

Intrusion Detection System (IDS) monitors a network and detects users' malicious activities. Since new unknown-attacks are appearing continuously, IDS must have capability of detecting attacks without any specific prior knowledge. Also many devices are connected on network and produce enormous large volumes of network data. Labeling enormous network data manually is impractical task. Therefore, we should find a way to learn normal traffic and attack traffic by itself on the unlabeled dataset. In this paper, we propose two IDS for unknown-attacks based on Ant Clustering Algorithm (ACA). Our IDS can learn on the unlabeled dataset and detect unknown-attacks. Our proposed IDS are combination of ACA and other supervised learning algorithm. We combined Decision Tree and Artificial Neural Network with ACA separately and compared performance between them.

Attacks against computer networks are evolving rapidly. Conventional intrusion detection system based on pattern matching and static signatures have a significant limitation since the signature database should be updated frequently. The unsupervised learning algorithm can overcome this limitation. Ant Clustering Algorithm (ACA) is a popular unsupervised learning algorithm to classify data into different categories. However, ACA needs to be complemented with other algorithms for the classification process. In this paper, we present a fuzzy anomaly detection system that works in two phases. In the first phase, the training phase, we propose ACA to determine clusters. In the second phase, the classification phase, we exploit a fuzzy approach by the combination of two distance-based methods to detect anomalies in new monitored data. We validate our hybrid approach using the KDD Cup'99 dataset. The results indicate that, compared to several traditional and new techniques, the proposed hybrid approach achieves higher detection rates and lower false alarm rate.

プラント制御システムに対するサイバー攻撃の増加に伴い、対策の必要性が叫ばれている。しかし、プラント制御システムでは、可用性重視の観点から従来のIT系セキュリティ技術をそのまま適用することは難しい。その中で、正常な通信を定義し、それに反する通信を検知するホワイトリスト型攻撃検知機能が注目を集めている。本稿では、プラント制御システムに対する攻撃事例(Stuxnet, Dragonfly)をもとに、ホワイトリスト型攻撃検知機能で何を検知できるのかについて考察を行う。

プラント制御システムに対するサイバー攻撃の増加に伴い，対策の必要性が叫ばれている．しかし，プラント制御システムでは，可用性重視の観点から従来のIT系セキュリティ技術をそのまま適用することは難しい．その中で，プラント制御システムはIT系のシステムに比べ通信パターンが固定的であることから，正常なアプリケーションや通信を定義しそれ以外を異常とみなすホワイトリスト型侵入検知システム(IDS)が注目されている．本稿では，制御ネットワークに流れる通信データを用いた攻撃検知に好適なホワイトリストの設計と攻撃検知機能を実装するシステムの構成について述べる．また，想定されるプラント制御システムへのサイバー攻撃に対して，提案する攻撃検知機能は未知な攻撃であっても検知可能であることを示す．

重要インフラを支える制御システムへのサイバー攻撃が増加し、対策へのニーズが高まっている。特に、長期運用される制御システムにおいては、日々増加し続ける未知の攻撃に対しても対策可能な技術が求められている。ホワイトリスト型攻撃検知は、許可する通信をリスト化し、リストに無い通信を攻撃として一括で拒否する方式である。したがって、原理的に未知の攻撃を防げるが、許可すべき通信が頻繁に変化すると大量の誤検知が発生するため、アプリケーションの追加や削除、用途の変化が頻繁に発生する一般の情報システムには適用が困難である。しかし、制御システムは用途が固定されているため発生する通信が固定的であり、許可する通信をホワイトリストとして定義できる可能性がある。この事から、制御システムにおけるサイバー攻撃対策として、ホワイトリスト型攻撃検知が注目されている。本稿では、ホワイトリスト型攻撃検知の中でもシステムの通信仕様に基づいてホワイトリストを生成する知識ベースと呼ばれる方式に注目し、ホワイトリストの自動生成について述べる。

現在，検索サービスが広く利用され社会インフラのひとつとして確立している．利用者はインターネットに接続できる環境があれば検索サービスを利用でき，いつでも検索行為を行うことができる．このため，検索サービス運営会社の検索エンジンには利用者から多くの検索語句が送られており，検索サービスはこれを検索機能の向上の為に保持していると考えられている．しかし，検索語句の中には利用者のプライバシに関わる情報が含まれている可能性があり，漏洩や悪用により利用者の特定につながる危険性が危惧されている．本研究では，検索行為によって検索エンジンに漏洩する情報量を定義し，それを軽減することを目的とした手法を提案し，評価を行った．提案手法では，複数人で利用した場合自分以外の検索語句が自分自身にとっては，無関係な語句となることを利用して，検索エンジンとの通信量を増加させることなく通常の検索行為と殆ど変らない検索行為を行うことができる．提案手法について実装を行い，これを実際に使用した利用者によるレビューと漏洩する情報量を用いて評価を行った．

検索は様々な端末やサービスで広く一般的に使われており，インターネットの利用や情報へのアクセスと密接に結びついている．またユーザの検索行動は，能動的かつ閉鎖的な通信であるため，ユーザの特性を強く反映すると想定される．実際に，検索履歴には多くのプライバシー情報が含まれていることが先行研究の結果から明らかになっている．このように検索履歴にユーザ特性の痕跡が強く残るのであれば，行動認証の一つとして確立できないかと考えた．しかしユーザ特性の痕跡はどのように検索履歴に残るのか，どのようにすれば痕跡を明らかな形で抽出できるのかは明確でない．そこで本研究では，行動認証の実現に向けて検索履歴の特性を実際のデータを用いて調査した．多くの既存研究とは異なり，クエリに含まれる単語のみに着目するのではなく，履歴要素としてユーザの検索行動パターンも幾つかの特徴量として抽出した．その後抽出した特徴量ごとに，相関係数などの指標からユーザ特性をどの程度反映するものかを検証した．そして認証に必要な唯一性や永続性を示す特徴量の組み合わせがあるかどうかを本論文の結論として検討した．

In recent years, the rapid growth of big data and the data analysis on big data make data owners prefer to outsource their data to cloud service providers to maintain the high-quality retrieval and storage service without suffering the high-cost local data management and maintenance. However, such cloud service providers are not fully trust-worthy and the risk of leakage of sensitive personal information are one of major concerns which prevent the wide-spread utility of big data. Efficient data traceability and distribution with security are of critical importance for big data. In this paper, we propose mutual traceable data distribution and secure outsorcing computation system for big data related service. Our constructions are based on searchable attribute-based proxy re-encryption. When compared to existing systems only supporting either searchable attribute-based functionality or attribute-based proxy re-encryption, our new primitive supports both abilities and provides flexible keyword update service. Specifically, the system enables a data owner to efficiently distribute and trace his data to a specified group of cloud service providers who is matching a security and privacy policy and meanwhile, the data will maintain its traceable property and can be updated after the data sharing. The new mechanism is applicable to many real-world utilization of big data, such as e-health record systems and other personal private database system. Finally our construction is proved chosen ciphertext secure in the random oracle model.

暗号化状態処理の技術として，データを暗号化したまま検索することが可能な検索可能暗号がある．従来，検索のクエリと参照するデータとの完全一致だけでなく，類似検索を可能とする検索可能暗号が提案されている．類似検索に用いる2つのデータの類似度として，ユークリッド距離がある．ユークリッド距離は，画像分析などで用いられる汎用的なものの１つである．本稿では，近年Bishopらが提案した内積暗号を拡張して，暗号化したままユークリッド距離を求める類似検索可能暗号を提案する．

概要 本稿では，類似検索可能暗号の１つの応用として，プライバシを保護しつつデータベースから類似の特徴を有する人の情報を検索し，これを参考にユーザにアドバイスするシステムを考える．ユーザ機器としては計算機パワーの限られた機器を想定し，満たすべきセキュリティ要件とシステム要件を定め，適用可能な技術について考察する．

近年，公衆無線LANの普及と共にセキュリティ意識の高まりからVPNのパーソナルユースも増加している．VPNの実現にはいくつか方法があるが，比較的簡単な方法にPPTPの利用がある．PPTP通信では暗号化方式としてMPPEを使用しており，実際にはMPPEの暗号化の核としてRC4が用いられている．RC4は代表的なストリーム暗号でありWEPやWPA-TKIP，またSSL/TLSといった暗号プロトコルの中で利用されてきた．RC4利用プロトコルの普及に伴いRC4とこれらのアプリケーションは様々な解析・評価が行われてきた．しかし，MPPEについてはこれまで解析はほとんどされてこなかった．そこで本研究ではPPTPの認証にMS-CHAPv2を使用したときのMPPEの安全性の解析・評価を行う．特に短い秘密鍵を使用したPPTP通信において，秘密鍵バイトと鍵ストリームバイトの間に強い相関関係が存在することを示す．

本稿ではSplice-and-cut technique (SCT) を用いた中間一致攻撃を、フルラウンドBM123-64ブロック暗号へ適用する。BM123-64 は2014年にBacらにより提案され、構造としてControlled Substitution-Permutation network (CSPN) を採用している。ブロック長は64 ビット、秘密鍵長は256 ビットであり、非線形変換であるベクトル依存のsubstitution処理とpermutation処理、そして線形変換で構成されている。中間一致攻撃は共通鍵暗号アルゴリズムに対する汎用的な解析手法であり、1977 年にDiffie とHellman が提案した。中間一致攻撃の特徴は解析対象アルゴリズムを2 つの区間に分割し、それぞれの区間を秘密鍵の総当たり相当の計算量の半分未満で解析することにある。SCT は選択平文攻撃モデルを許容することにより、中間一致攻撃の自由度を拡大する技法であり、2009 年に青木と佐々木により提案された。SCT を用いると一般的には攻撃に要するデータ量が増加することと引き換えに、所要計算量を低減できると考えられる。本研究ではSCT を用いた中間一致攻撃により、フルラウンドBM123-64 は選択平文数2^32、暗号化演算回数2^224で攻撃できることを示す。

線形計画法により、差分活性sbox数の下限評価が行われている。従来の手法だと線形変換が語長の排他的論理和のみで構成されている場合に、ありえない差分特性を拾ってしまい、下限が設計者目線で甘くなってしまったり、攻撃者目線では攻撃不能の特性が得られていたりした。本稿では、線形関係から生ずる従属性を適切に抽出し線形計画法への入力とすることにより、誤差のない下限及び差分特性を出力する手法を提案する。

世界中では様々なブロック暗号アルゴリズムが開発されている。それらを安心して用いるためには第三者がその安全性を検証する必要があり、本研究ではPRINCEを取り上げ、その安全性を評価する。PRINCEはASIACRYPT’12でBorghoffらによって提案された秘密鍵長128bitのSPN型64bitブロック暗号である。段数は12で設計されている。安全性の自己評価において差分攻撃、線形攻撃、代数攻撃、biclique 攻撃は脅威とはならないだろうと述べられているが、世界中の研究者により多くの解析が試みられている。我々も第3者の立場から丸め差分攻撃に対するPRINCEの安全性を検証する.差分攻撃とはBihamらが提案した、暗号化に用いられる非線形関数の性質によって生じる差分の確率的変化をもとに攻撃する手法である。また、丸め差分攻撃とはLars Knudsenが提案した、非線形関数の性質によって生じる差分が0か非0であるかに着目し、それをもとに攻撃する手法である。従来は11段を暗号化演算回数2の107.65乗で攻撃可能であったが、今回は仕様段数である12段のPRINCEを選択平文数2の62.985乗組、暗号化演算回数2の122.964乗で攻撃可能であることを示した。

本稿ではSPN型暗号に対するIntegral攻撃を用いた汎用解析手法 (Generic Attack) を提案する．本攻撃手法はEurocrypt2015で新しく導入されたDivision Propertyを用いたIntegral特性探索と高速フーリエ変換を用いた鍵回復手法を併用したものである．Eurocrypt2015の論文ではIntegral特性の探索のみが行われており，鍵回復手法に関しては言及していない．本稿ではラウンド鍵が排他的論理和で挿入されるFeistel型暗号およびSPN型暗号に対して，鍵回復手法も検討したIntegral攻撃を適用し，攻撃可能な段数を評価する．また，この汎用解析手法はロシア標準暗号であるKuznyechikに対する最良解析手法となることを報告する．

無線センサネットワークは端末設置が容易な一方で，攻撃者にとっては攻撃しやすいネットワークである．脅威となっている攻撃の一つとして，経路情報の改ざんがあり，この攻撃の対策として，電子署名を用いたセキュアルーティングプロトコルが検討されている．しかし，現在提案されているセキュアルーティングプロトコルは経由する端末ごとに署名が必要となり，効率的ではない．そこで，本論文では複数の署名を一つに集約できる多人数署名に注目し，無線センサネットワークのルーティングプロトコルの一つであるDynamic Source Routing (DSR) に導入したSecure-DSRを提案する．特に，DSRの中核機能である``Route Discovery"を拡張する．

評判システムは，製品の供給者に対し使用者が評定した情報をネットワーク全体で共有するのに役立つツールである．本研究では，被評定者，すなわち製品或いは供給者，の属性に基づき使用者が評定を行う評定スキームを提案し，その評判システムへの適用を示す．提案評定スキームは，属性上のブール式で記述された表現豊かな評定を可能にすることを特徴とする．更に，定性的属性と定量的属性を使い分け，定量的属性を評定チケットとして発行することを特徴とする．初めに，製品或いは供給者の属性に基づく評定スキームのシンタクスを与える．その定義には公開リンク付け可能な属性ベース署名を利用する（publicly linkable attribute-based signature, PL-ABS）．次いで，フィアット-シャミア・タイプのPL-ABSを用い，製品或いは供給者の属性に基づく評定スキームを具体的に構成する．ペアリング写像を用いないことで効率の良いスキームを構成できる．また，署名の public linkabilityが二重評定を困難にするのに役立つ．

近年，パスワード管理を扱う機会が増加していることから，紛失や情報漏えい等のリスクが増え，ユーザに負担がかかっている．そのため，より安全に認証を行うための強いセキュリティが必要となってきている．本論文では，サービスプロバイダ(SP)が複数のアイデンティティプロバイダ(IdP)を指定した順番に認証を行うことで強いセキュリティを実現するマルチサインオン方式を提案する．この方式では，ユーザは指定したIdPの順番通りに認証を行わなければならないが，指定した順番はユーザ以外には特定しにくい情報となるため，より安全に認証を行うことができる．また，パスワード認証の他にも生体認証やICカードといったハードウェアを必要とする既存の認証技術を用いることで，さらに強いセキュリティも見込める．一方でSPは設備・機能の準備が不要となるため，小規模なSPでもコストの削減等の理由からサービスの参加が可能となる．本方式では情報交換の方式としてシングルサインオンを基盤とした認証方式を利用する。

Fail-Stop署名（FSS）方式は，検証に通る署名の偽造が発生した時にそれを証明する機能をディジタル署名方式に付加した方式である．その結果，FSS方式では任意のパーティが署名を検証できる事に加え，計算能力が多項式時間を超えるパーティでも署名者のvalidな署名の偽造が不可能となる（ただ，不正直な署名者も多項式時間を超える計算能力を持つとした場合には，上記偽造証明機能を使って自身の署名を偽造署名だと否認できる点に注意）．本稿では，FSS方式を利用したシステムとして（顧客が銀行を通して送金する）振込システムについて考察する．まず，このシステムでは銀行自身が顧客の署名鍵・検証鍵のもととなるprekeyを作るため，検証に通る署名の偽造が発生すると銀行が不正を疑われるという問題点を指摘する．そこでこの問題点の回避策として，銀行以外の独立したセンタがprekeyを作るように変更する．その結果，銀行は検証に通る署名の偽造が発生しても不正を疑われないし，システムで扱う顧客に関する秘密情報を保管せずに済む．ただ，銀行自身がセキュリティパラメータを決められないという点は残る．更に，既存システムの他の残された問題点も指摘する（対応策等の詳細は別途報告予定）．

RSA問題に基づくShamirのIDベース署名方式は，現在まで直接的な安全性証明は知られていない．EUROCRYPT2004において，Bellareらは，一般的な変換を用いて認証からIDベース署名を構成することによって，間接的に証明を行っているが，直接証明に比べ，RSA問題と署名方式のアドバンテージ間のギャップが大きくなることが予想される．本稿では，ShamirのIDベース署名の直接証明を行う．Coronの最適証明のテクニックを用いて厳密な確率評価を行うことで，既存証明との帰着効率の比較を行う．結果として，各オラクルへのクエリ回数上限の設定によっては，直接証明の方が良い帰着効率となることを示す．帰着効率を改善することで，必要なパラメータサイズを小さくすることができる．

本稿では，暗号モジュール(暗号LSI) への電磁波攻撃に対する新たな対策手法である電磁波攻撃センサの高精度化手法を提案する．電磁波攻撃センサは，攻撃時のプローブ接近に伴うLSI とプローブ間の相互インダクタンスの変化を，LC 発振回路の発振周波数のシフトにより検出する．プローブの接近を瞬時に検知することにより，その後の攻撃を未然に防ぐことが可能となる．本稿では，まず，検知動作時間を延長することにより，より小さな発振周波数のシフトであっても検出可能となることを示す．また，そうした延長により，従来では困難であったLSI 裏面からの攻撃であっても，検出が可能となることを実証する．その上で，提案手法による性能オーバーヘッドの増加を低減する手法として，暗号コアとセンサの同時動作の可能性を検討する．評価実験により，暗号コアとセンサを同時に動作させた場合であっても，プローブ検知の精度にはほとんど影響がないことを示す．

これまでラップトップPCなどのモバイル端末に対しては電磁的画面盗視に関するリスクが指摘されてきたが、従来は、ターゲットとなる特定の製品（もしくはその一個体）を想定して、その電磁的画面盗視の可能性が議論されてきた。電磁的画面盗視では、個体依存となる情報漏えいに関わるパラメタの特定を行う必要があり、この漏えいパラメタの推定に試行錯誤を行うだけの十分な時間があることが想定されてきた。そのため、盗視を行うターゲットをモバイル端末全般に拡張した場合、上述のような時間をかけたプロファイルを実施することは困難と予想される。これは、公共の場で利用されるモバイル端末は一定時間経つとその場から移動する可能性が高いためである。これに対し本稿では、盗視対象を一部の端末に限定せず、リアルタイムに情報漏えいパラメタを推定する手法を提案する。提案手法では、端末からの情報が漏えいする過程をモデル化することにより、これまで推定に時間を要した画面情報を漏えいさせる周波数の特定を高速化し、リアルタイムに情報漏えいパラメタを推定する。

本稿では、ICの周辺回路や配線に実装可能なHardware Trojan Circuitについて検討を行うと共に、実デバイスについてこれを適用し、情報漏えいの有無について実証する。さらに、こうしたHardware Trojan Circuitへの対策についても検討を行う。

近年，暗号回路は様々な電子デバイスに組み込まれるようになり，暗号回路の重要性は高まっている．その一方で，暗号回路はサイドチャネル攻撃の脅威を受けており，攻撃や対策手法の知識を有する人材の育成が重要になっている．IPAはサイドチャネル攻撃のオープンな議論を行うために，ICカード形状の攻撃テストビークルを開発し攻撃シナリオとともに評価デバイスの供給を行っている．本発表では，本テストビークルを評価するために用いたサイドチャネル攻撃評価環境を紹介する．また，本ICカードテストビークルに搭載されているRSA暗号に対する攻撃結果を報告すると共に，観測できたサイドチャネル・リークの妥当性について考察した結果を報告する．

近年，IoTデバイスに対するセキュリティへの関心が高まっており，IoTデバイスを対象とした改ざん検知暗号がいくつか提案されている．Minalpherは代表的な改ざん検知暗号の1つであり，広く使用されているAES-GCMよりも安全性や実装面で優れている．一方で，暗号回路に対するフォールト解析の脅威が指摘されている．現在，改ざん検知暗号Minalpherに対するフォールト解析の研究は筆者らの知る限りにおいては報告されていない．そこで本研究では，Minalpherに対するフォールト解析手法を提案する．提案手法では，2段階でフォールトを発生させ，統計的に処理を行うことで秘密鍵の解析を行う．また，シミュレーションによる評価実験により提案手法の有効性を実証する．

個人情報保護法が改定され，個人の識別性を低減した匿名加工情報が新設された．特定の個人が識別されないこと，元の個人情報を復元しないこと，他の情報と照合しないことを条件に，本人同意の不要な第三者提供が認められている．識別性の低減の度合いには統一基準はなく，各分野ごとに定められた認定個人情報団体の下で情報保護指針を定めることになっている．しかしながら，定量的で公平な低減性の評価方法は困難であり，様々な議論が必要と考えられている．そこで，疑似データを用いて匿名加工とその再識別の技術を競うコンテストPWSCUPを開催した．本稿では，このコンテストの結果とその評価を報告する．

データを第三者に公開する際, データを加工することでプライバシを保護する匿名化技術が 注目されている. 匿名化はプライバシを保護するためにデータ加工処理を施すことから, 分析結果に多か れ少なかれ影響をおよぼす. そのため, 匿名化がぞの程度分析結果に影響をあたえるかを明らかにするこ とが研究課題となっている. 本研究では, 匿名化手法として確率的 k-匿名化 (P k-匿名化) を, また分析手 法として基本的なヒストグラム分析を対象とし, 匿名化がぞの程度分析結果に影響を与えるかを理論的に 解析する. また数値実験を行い, 解析した理論結果が妥当であることを確認する.

本稿では、ストリームとして入力されるパーソナルデータに対して遅延なくk-匿名化をおこなう方式を提案する。近年、ビッグデータやIoT技術の隆盛とプライバシー意識の高まりから、ストリームデータに対する匿名化への需要が高まっている。パーソナルデータの代表的な匿名化方法にk-匿名化があるが、ストリームデータを対象に適用するのは容易ではなく、遅延のない効果的なk-匿名化は提案方式が初めてとなる。実験により、ストリームデータを蓄積してk-匿名化するのに比べ、提案方式は情報量を多く保ったままリアルタイムにk-匿名化できることを示した。

近年，システム理論を背景とする新たなシステム安全（セキュリティ）解析手法STAMP/STPAが，システム構成要素の信頼性に基づくFMEA/FTA等の従来手法からパラダイムシフトした手法として，今後の複雑化したシステムの解析に適したものと注目され始めている．従来手法では見出せない，構成要素の物理的な故障ではないソフトウェア異常や要素間のインターラクション異常等のシステム特性に関する異常も特定できる手法といわれている．しかしながら，その手法の特徴や有効な用途・利用方法は未だ不明確で，現在多様な分野への先行適用事例の蓄積により明確化が進められているところである．そこで，本論では，この明確化の一助とすべく，昨年，社会問題となったＡ機構の標的型攻撃メールによる個人情報の情報漏えい事件をイメージした簡単な事例への試適用も含め手法の有効性を従来手法との比較評価により調査・考察した結果を報告する．

本研究では，ISO/IEC 25010品質特性に基づいたIoTセキュリティ評価メトリクス策定について議論する．具体的には，車載LANセキュリティを対象とし，JIS X/9126から主特性に昇格した品質特性であるセキュリティに着目した評価メトリクスを策定する．本研究は2つの特徴を持つ．一つ目はメトリクス策定を既存研究データとハンズオン作業から行っている点で，二つ目はSysML，GSNといったモデリング手法を組み込んでいる点である．既存研究データからの策定では，データの中に検証済ユースケースと，要検証ユースケースがある点に着目した．ハンズオン作業からの策定では，検証環境構築に多くの問題点が生ずる点に着目した．また，モデリング手法を取り入れることで，シェアラブルな定量評価と，アタックツリー分析へのスタートアップにつなげることができた．結論として，要検証比率と検証難易度という2つのメトリクスと評価方法を確立した．これにより，当該研究の課題となっていた定量評価の足掛かりをつくることが可能となる．

情報システムの安全性・信頼性を確保するための情報セキュリティ対策が非常に重要となっている．情報セキュリティ大学院大学原田研究室(教授：原田要之助)では，情報セキュリティマネジメントの研究として「情報セキュリティ調査」を，組織(民間企業・官公庁・教育機関)を対象に実施している．本年度の調査(2015年8月実施)では，情報セキュリティマネジメントの取組み状況（例外措置や運用、管理者権限等），リスクの認識と支出の動向，事業継続に関わる実施状況，組織内の電子データや個人情報管理に関する調査した．本論文では，調査結果の単純集計とその分析結果について報告する．　

社会インフラシステムのオープン化に伴い，サイバー攻撃数は増加傾向にある．これを受けて，業界標準規格・ガイドラインではセキュリティ設計の実施を要求している．セキュリティ設計とは，セキュアなシステムを構築するため，システムで発生しうる脅威を抽出し，抽出した脅威に対して適切なセキュリティ対策方針を立案する一連のプロセスである．情報システム分野では，セキュリティ設計の工期・工数削減を実現する従来手法がいくつか存在し，また対策のベストプラクティスも構築されている．しかし，情報システムにおける従来手法やベストプラクティスを社会インフラシステムに適用した場合，大きな工期・工数削減にはつながらない．その理由として，多くの機器から構成され，またそれらの機器の特性が多様であるといった社会インフラシステムの特徴が大きく影響する．本稿では，社会インフラシステムを対象としたセキュリティ設計において工期・工数削減を実現するため，対策実施箇所である機器の制約条件とシステムを構成する機器同士の連携情報を考慮することで，導入可能性の高い対策立案支援手法を提案する．

再暗号化が可能なproxy re-encryption, 再署名が可能なproxy re-signcryption, メッセージを送る際に署名と暗号化を行うsigncryption がある. これらの機能をすべて持つものとして, proxy re-signcryption というものが考えられる. これは, たとえばデジタル著作権管理に利用できる. Gelareh らの論文では, 暗号化の部分においてハイブリッド暗号方式を用いた手法を提案している. しかし, Gelareh らの方式において用いられる署名方式がある特定の性質を満たす場合に, 脆弱性があった. 本論文では, proxy re-signcryption を定式化し, 満たすべき安全性を定義する.

サインディクリプション方式とは、暗号文を復号する際に条件文への署名生成を必要とする方式のことである。本研究ではサインディクリプション方式の安全性を定式化し、選択的安全性を満たす方式を、識別不能難読化器をもとに構成する。

近年, DodisとFioreによって対話型の公開鍵暗号方式と認証方式が提案された．対話型の方式の利点として, 非対話型のものと比べ弱い暗号プリミティブから強い安全性を満たす方式を構成することが可能である. 本稿では, 公開鍵暗号とディジタル署名の両機能を同時かつ効率的に達成する方式であるSigncryptionを, 対話型かつ多人数モデルで考える. 非対話型におけるSigncryptionでは, 外部攻撃者安全性より内部攻撃者安全性の方が強い安全性であり, 後者を達成する方が望ましい. しかし, 対話型においては適切な安全性概念として, 内部攻撃者安全性概念よりも弱い安全性の概念を提案する. またそれを満たす一般的構成法を提案する.

属性情報を利用した公開鍵暗号技術である暗号文ポリシー型属性ベース暗号と署名ポリシー型属性ベース署名に関して活発な研究が行われている．また，この両者の機能を実現可能な暗号文ポリシー型属性ベースSigncryption（Ciphertext-Policy Attribute-Based Signcryption, CP-ABSC）に関して，様々な構成法の提案が現在までになされている．本稿では，適応的述語安全性モデルにおける適応的選択暗号文攻撃に対する識別不可能性及び適応的選択文書攻撃に対する強存在的偽造不可能性を達成可能なCP-ABSC方式の一般的構成法の提案を行う．当該構成法は構成要素として，暗号文ポリシー型属性ベース鍵カプセル化方式，署名ポリシー型属性ベース署名方式，データカプセル化方式を用いる．

In Crypto 2009, motivated by cold boot attack, Heninger and Shacham presented an algorithm to factor RSA modulus for the case where some random bits of the secret primes are known with certainty. Later, in Crypto 2010, Henecka, May and Meurer proposed an extended algorithm factoring RSA modulus from the noisy secret prime bits with some errors. Note that the above algorithms require the knowledge of bits in both primes, an open problem naturally arises: Can we factor RSA modulus if the erasures/errors are only in one prime? In this paper, we give a negative result from a coding-theoretical viewpoint. Moreover, we generalize the previous results to the case of primes with different erasure/error probability, and discover more attack scenarios. We also perform experiments to verify the validity of our algorithms.

In this paper, we analyse the computational complexity arising from certain subsets of the multiple discrete logarithm problem.

この論文はAsiacrypt2015で発表された「相対代数体ふるい法(Tower Number Field Sieve)」を拡張する。我々の一般化にJLSVアルゴリズム(Joux, Lercier, Smart, VercauterenによりCrypto 2006で掲載)を適用することで、素数p=L_Q( l_p )が実数l_pに対してl_p > 1/3を満たす場合、有限体F_Q:=F_{p^n}上の離散対数問題を解く計算量が L_Q( 1/3, (64/9)^{1/3}) であることが証明できる。従来の数体ふるい法では上記の計算量は素数pがl_p >2/3を満たすか（JLSVアルゴリズムの場合）、素数pが特別な形態を持つ（JouxとPierrotによりPairing 2013に掲載）場合しか成立していなかったことが注目するべきことである。さらに、我々の結果に多重数体ふるい法(Multiple Number Field Sieve)や特殊数体ふるい法(Special Number Field Sieve)などを適用することで上記の計算量はそれ以上に改善できる。

数体篩法(NFS)は，標数の大きい拡大体Fq上の離散対数問題に対する，現在知られている最速の計算方法である．数体篩法の拡大体への適用はClassical-NFS(2006)とTower-NFS(TNFS)(2000)の2つが知られている．前者の漸近的な計算量を評価する際，標数pをその大きさによってmediumとlargeの2つにクラス分けし，それぞれの標数で計算量が準指数時間Lq[1/3，(128/9)^(1/3)]，Lq[1/3，(64/9)^(1/3)]となることが示された．2015年に後者の数体篩法において標数がlargeの場合に前者と同程度の計算量となることが示された．2015年10月，これら2つの数体篩法を組み合わせたExtended TNFSが提案され，mediumとlargeの両方で計算量がLq[1/3，(64/9)^(1/3)]となることが示された．本稿では上記の3種類の数体篩法の概要と，近年における数体篩法の計算量の推移について述べる．また(Extended)TNFSに新たなパラメータ「篩多項式の次数」を導入し，より詳細に計算量を評価する．

本稿では，Cramer-Shoup暗号の安全性証明と類似の技法を利用し，ランダムオラクルモデルにおける，格子とペアリングに基づく緊密に安全なIDベース暗号を二つ提案する．これまでのIDベース暗号の多くは，分割技法(Partitioning Technique)を用いて安全性が証明されている．分割技法とは，シミュレーション中にID空間を秘密鍵が生成できるIDとできないIDに分割する技法である．しかし，このようにID空間を分割してしまうと，秘密鍵を知らないIDに対して攻撃者がクエリしてきた場合ゲームを中断せざるおえない．そのため，分割技法では非常に緩い安全性帰着しか与えられない．提案方式は，格子に基づくGentryらの方式とペアリングに基づくBonehとFranklinの方式に少しの変更を加えることにより得られる．提案方式は，従来の方式と同程度の効率を持ち，同じ困難性仮定の下で緊密な安全性が与えられる．具体的には，安全性帰着先の問題を解くアルゴリズムの優位性は$\epsilon / Q_H$程度から$\epsilon$に改良される．ただし，$Q_H$はランダムオラクルへのクエリ回数で，一般的に$ 2^{60}$ぐらいである．特に，格子を用いたIDベース暗号方式の安全性証明の中で，Extended LWE問題の新しい利用法を提案する．この手法は，今後IDベース暗号のみならず他の暗号方式の構成にも活用できると期待できる．

鍵隔離暗号（Key-Insulated Encryption）は，鍵漏洩問題に対する効果的な対策の一つとして，これまでに多くの研究がなされており，特にIDベース暗号（Identity-based Encryption: IBE）は，それ自体が有用なだけでなく，様々な暗号技術の基礎プリミティブとして利用されており，IBEに関する鍵隔離機能を考える意義は大きい．Asiacrypt 2005にて，Hanaokaらは，ランダムオラクルモデルにおいて安全なIDベース階層型鍵隔離暗号（Identity-based Hierarchical Key-insulated Encryption: Hierarchical IKE）を提案した．Hierarchical IKEがもつ"階層型鍵更新構造"は鍵漏洩問題に対して非常に有用であると考えられる．本稿では，シンプルな仮定として知られるSymmetric External Diffie-Hellman（SXDH)仮定に基づき，初めてスタンダードモデルにおいて安全なHierarchical IKEを提案する．特に，階層構造を考えない場合，本構成法は全てのパラメータ長が定数サイズとなる初めてのIKE方式でもある．

筆者等は1997年頃にランダムな対称行列に基くIDベース鍵共有方式において、小さな乱数を秘密ベクトルに付加することにより、結託問題に対して耐性の高い予備通信不要の鍵共有方式を提案している。その後、1998年～1999年にかけて、この方式における安全性評価として、LLLアルゴリズを用いた攻撃に対しての安全性評価を行っている。筆者らが提案したIDベース鍵共有方式はLWE問題との類似性が高く、LLLアルゴリズムを用いた安全性評価において導入した格子はLWE問題にも用いることが可能であり、同様の格子構成が近年提案されている。本稿では、筆者らが10数年前に行った研究の位置付けを説明し、そのLWE問題における有効性について考察する。

IDベース暗号は公開鍵としてIDが利用可能な暗号である。そのため、IDベース暗号の鍵ライフサイクルを考える場合、ID管理と切り離しては考えられない。本稿では、SP800-57/130で規定されている「鍵の状態と遷移」について調査を行い、IDベース暗号への適用について検討し、「鍵の状態と遷移」の問題点を指摘する。また、PKIとIDベース暗号でのID管理の違いについて検討を行い、IDに対して、鍵と権限の付与/剥奪で「鍵の状態と遷移」を表す新しい鍵/IDのライフサイクルモデルを提案する。

本稿では，ソフトウェア実装されたストリーム暗号KCipher-2 に対する電力解析について述べる．従来の電力解析では推定できる部分鍵が限定的となり，初期鍵128 ビットを全て復元することは困難だった．本稿で提案する電力解析攻撃では，従来の電力解析が対象とする非線形関数処理後の中間値に加えて，IC カードに搭載されるローエンドマイコンでは非線形関数による処理が行われていない中間値であっても，そのハミング重みが消費電力から推定可能となることに着目する．IC カード上に実装されたKCipher-2 ソフトウェアを用いた解析実験により，提案手法が100 波形程度でKCipher-2 の鍵の探索空間を削減可能なことを示す．

IoT 時代を向かえ，組込み器機を対象にセキュリティ評価者の育成が急務となっている．そのような社会的要請に答えるように，国内では IC カード (IC カードテストビークル) や，欧州のセキュリティ解析ツールベンダによるトレーニングボードなど，サイドチャネル攻撃を実際に行ってみるためのトレーニングデバイスが研究者向けではなく企業等のセキュリティ技術者に向けて，リリースされるようになってきた．本稿では，上記の IC カードテストを題材にダミーオペレーションを含むハードウェア AES 暗号モジュールのサイドチャネル攻撃耐性について報告する．合わせて，一連の評価を通じて提供者がデバイスで設定している難易度とサイドチャネル評価技術者が要求されるスキルについて考察する．

暗号機器にフォルトを注入し, 意図的に誤動作を発生させる故障利用攻撃に関して, 現実的な攻撃環境における安全性評価を行う必要がある. 本検討では, ITU-T K.81で規定された侵入エリアのZONE 3 における攻撃を想定し, フォルト注入のための同期信号の変動に対する攻撃可能性の変化を評価した. 同期信号には暗号ICの電源電圧変動を利用し, それに同期させたクロックグリッチを注入したときのフォルト発生率を測定した. フォルト発生率は中間値のバイトごとに測定した. その結果, 攻撃可能性は理想的な同期信号を利用できる場合よりも増加し, 増加の大きさは平文に依存していることが分かった.

本稿では，一般化マスキングスキーム (GMS) に基づく耐タンパー性暗号ハードウェアの形式的設計と自動合成について述べる．GMSは，高次の差分電力（電磁波）解析に対する安全性をレジスタトランスファレベル（RTL）で保証する手法であり，Threshold Implementation をGF(2^m) 上の任意の関数に一般化した手法と位置付けられる．本稿では，まず，GMSについて概説する．その上で，GMSにより構成されたガロア体算術演算回路の機能と安全性を形式的に検証する手法について述べる．さらに，回路機能と安全性が保証されたGMSに基づくガロア体乗算器の自動合成システムを提案し，提案システムを合成時間の観点から評価する．

Liらにより与えられた2元上の定重み系列集合の構成法を，著者らは多値上の定重み系列集合の構成法へ拡張した．また，これらの系列集合が定重みの性質やバランス特性を満たす条件を明らかにした．さらに，その条件に関して系列集合の分類を与え，定重みの性質やバランス特性の有無を数値例より確認した．しかし，これらの数値例は(v,k,1)-巡回差集合に限定されていた．本稿では，実際に(11,5,2)-巡回差集合より系列集合を構成することにより，これらの性質に関して議論する．

著者らは，素数を法とした素体上の演算によってロジスティック写像についてその写像と生成系列の性質について調査している．この生成系列は，素体上の要素で表現された多値の系列であるが，これを擬似乱数ビット列として取り扱う場合には何らかの方法で素体上の要素からビット列を抽出しなければならない．このビット抽出方法は何通りかの方法が考えられるが，どのようにビット列を抽出すると乱数性が良くなるのかについては，十分な議論が行われていない．本稿では，素体上のロジスティック写像による生成系列からビット系列を生成する際に，幾つかのビット抽出方式を考え，それらによって得られたビット系列の乱数性を評価する．

幾何的系列は M 系列に（非線形）二値化関数を施すことにより得られる系列であるが，Nogami-Tada-Uehara は二値化関数としてルジャンドル記号を適用する幾何的系列を定義し（本稿では NTU 系列と称する），特に，周期長，周期自己相関及び線形複雑度について良い性質を有することを示した．一方，NTU 系列はこれらの良い性質を有する反面，均衡条件を満たさない．本稿では，NTU 系列に対して二種類の型を定義し，それらをインターリーブした系列に対して得られた性質を述べる．構成上，本系列は均衡条件を満たし，NTU 系列の二倍の周期長を達成する．また，相関特性を明示的に示し，さらに線形複雑度に関する上界及び数値例を示す．二種類の型の NTU 系列は互いに「半周期位相ずれした系列を反転した系列となる」という関係を持つことが鍵となる．

著者らはテント写像から生成された系列を乱数列と見なしたときに，その安全性の評価に関する研究を行っている．初歩的な生成系では，写像の初期値とパラメータを乱数生成のシード（種）として割り当てることが考えられる．今までに，テント写像の最上位ビット抽出系列が与えられた場合に，当該系列を生成し得る初期値およびパラメータの推定問題について，どちらか一方が既知の状態で他方を推定する手法について述べた．本稿では，双方が未知の状態で双方を推定する手法と探索量（計算量）について述べる．

40nmプロセスでASIC実装したラッチのメタスタビリティを使った物理乱数生成器について性能評価の報告を行う。消費電力、及び温度・電圧を変化させた時の乱数の統計テストの結果を示す。

暗号化データベースでは，データを暗号化した上でデータベースに保存しているが，機能性をもつ暗号化方式を用いることで暗号文のまま演算や比較を行なうことができる．しかし，暗号文が露出すると平文の同値関係や順序関係等が知られることになるため，機密情報の秘匿性が低下する場合がある．我々は先行研究において，暗号文が露出することに対する秘匿性維持の定式化を行なったが，この定式化では確率的多項式時間を超える計算能力をもつ攻撃者を想定しているため，実用的な観点からは厳しすぎると考えられる．そこで本稿では，攻撃者の計算能力を確率的多項式時間に制限し，計算アルゴリズムにも制限を加えた場合について秘匿性維持の定式化を行なう．具体的には，データベースをタプルの系列として考え，推論により確定できない値は確率的に割り当てる，などの制限を加える．そして，秘匿性維持の判定法を提案する．提案する判定法では，暗号文から得られる情報を用いた場合と用いない場合それぞれについて機密情報が正しく推論される確率を求め，それらの差によって秘匿性を判定する．

近年，クラウドストレージにデータを保管することが普及してきている． その中でも高い 可用性を持ちながら初期投資が少ないパブリッククラウドが多く利用されるようになってきたが，第 三者のサービスプロバイダが管理を行うため，機密性の点では大きな問題が存在する．そこで最近で は，パブリッククラウドを複数使用し，しきい値秘密分散方式，共通鍵による暗号化，ハッシュ値の 利用などの複数機能を用いて，機密性や完全性を向上させる研究が行われている．そこで本研究では， データストレージサービスとしてのクラウドストレージを想定し，セキュアなクラウドストレージシ ステムの方式提案と実際のクラウドサービスを複数利用して実装したシステムの性能評価を行い，そ の有用性を示す．

Oblivious RAM (ORAM) is a cryptographic construction that allows a client to access encrypted data residing on an untrusted storage server, while completely hiding the access patterns to storage. Many ORAMs for cloud storage have been proposed to improve efficiency and security. However, data availability, data integrity and data confidentiality have not been addressed contemporaneously. In this paper, we formalize a new concept of ORAM which can deal with these three security challenges. Furthermore, our scheme not only achieves a higher security level but also is more practical compared with previous ORAMs, because our scheme is constructed based on information-theoretic security which is much more efficient than computational security as in previous ORAMs.

パブリッククラウドとプライベートクラウドのように２つの異なるクラウドインフラを併せ持つクラウドをハイブリッドクラウドという。プライベートクラウドに比べパブリッククラウドの処理能力が大きい場合パブリック側で処理をすることが望ましい。しかし、機密情報を扱うときはプライベートクラウドの方がパブリッククラウドに比べセキュリティに強いのでプライベートクラウドでの処理に限定されていたが近年では、大規模なデータ分析のためパフォーマンスの向上が必要になった。そこで冗長な計算を発生させるが機密情報を考慮しつつ両方のクラウドで負荷分散を行うことで全体の処理時間を短くする方法としてSEMROD（Secure and Efficient MapReduce Over HybriD Clouds）が提案されている。本研究ではSEMRODの問題点であるマルチレベルのMRジョブで増加する冗長な計算を削減することについて考察する。

Proxy re-encryption is a cryptographic scheme in which a proxy is given a proxy re-encryption key from a delegator Alice to a delegatee Bob and transform a ciphertext of Alice to a ciphertext of Bob without decryption. Bob can decrypt the transformed ciphertext under his secret key. Proxy re-encryption can be used for secure cloud storage since it allows one to securely exchange files with designated parties. In this paper we examine the reduction relationship between existing security notions, e.g. IND-CPA, of proxy re-encryption and security requirements, e.g. collusion-safe, in cloud environments.

With rapidly expanding data collections becoming increasingly available, the application of semantic computing has become imperative to leverage this resource for social applications. We examine semantic analytical techniques as applied for primary sequence analysis for genes and proteins in biomedical area. We introduce logic formula calculation method to realize question and answer scheme in which a question is analyzed in the form of logic and analyze and verify the question and generate the answer. We propose a formula definition language named SCDL (Semantic Capability Definition Language). Additionally, we apply the cryptographic protocol preserving the privacy of user and confidentiality of question and answer scheme.

IoT機器やセンサネットワークノード等の計算資源の限られたデバイスにも実装可能な，いわゆる“軽量暗号”が盛んに研究されている．ハードウェア実装時の性能を重視して設計されている軽量暗号は多いが一方でソフトウェア実装性能を重視したものは少ない．1KB程度のROMが利用できる環境ではほとんどの“軽量暗号”よりAESが高速に実装できるため，ソフトウェア実装において“軽量暗号”が選択されることはわずかだと考えられてきた．しかし超省電力デバイスである環境発電無線モジュールにAESを実装したところ，エネルギー不足で通信が実行できないことがわかった．ソフトウェア実装の消費エネルギーは実行サイクル数にほぼ比例するが，ソフトウェア実装共通鍵暗号の速度の比較の検討は多いものの消費エネルギーの比較は少ない．本稿では，具体的な利用環境において許容される消費エネルギーで実行可能な共通鍵暗号の評価を行い，ソフトウェア実装で超省電力が要求される環境においても“軽量暗号”のいくつかは実行可能であることを明らかにする．

本研究では、近年注目を集めている楕円曲線暗号を用いた楕円曲線デジタル署名アルゴリズム(ECDSA) について、高基数モンゴメリ乗算器を用いて設計し、速度最適化の検討を行った。ECDSAの実装においては演算速度や回路面積、パラメータの再構成可能性などが求められ、アプリケーションに応じて求められる性能が変わる。サーバーなどの一定時間内に多数のリクエストを処理する必要がある場合、面積オーバーヘッドを大きくしても演算速度を高くすることが求められる。本研究ではそのような状況を想定し、回路の設計を行った。ECDSAにおいて、演算速度に最も影響を与えるのはモジュラ乗算であり、この計算を高速に実行することで演算速度を上げることができる。モジュラ乗算を高速に行う方法としてモンゴメリ乗算器が知られており、本研究ではまずモンゴメリ乗算器の設計検討を行った。モンゴメリ乗算器の演算をパイプライン化することで、レジスタの面積オーバーヘッドのみで2倍のスループットを実現した。さらに、モンゴメリ乗算器とモジュラ加減算器の個数を変化させながらECDSAの演算スケジューリングを行い、演算速度の最適化を行った。

多くの高機能暗号を構成するための共通の基本要素の一つとして、ペアリング（ここでは素数位数の有限体上の楕円曲線上の点のペアに当該有限体の拡大体の乗法群の元を対応させる双線形写像に限定）があり、これを自由に扱える実装技術なくして高機能暗号の爆発的活用はありえない。専用ハードウェア化が有望なアプローチであると捉え、ペアリング計算につき RNS(Residue Number System) の並列実装を含む高速化アーキテクチャを検討し良好な結果を得た。

Bluetooth Low Energy (BLE) を搭載するマイコンにおいて，軽量暗号のソフトウェア実装の性能評価を行う．「センサノードが，取得した情報を暗号化してIoTゲートウェイに渡す」というユースケースを模擬したセットアップにおいて実験を行い，暗号実装が速度・メモリ容量・消費エネルギーにどのくらいの寄与を持つか調べる．ケーススタディから得た知見は以下の通りである．消費エネルギーはサイクル数に比例する．そのため，マイコン実装において低消費エネルギーを達成するのは速い暗号アルゴリズムである．ただし，マイコン実装では，暗号文サイズやROM/RAM 量などに制約が課せられることがある．制約の元で高速化を目指す所に，暗号設計上の課題がある．今回のセットアップにおいて，暗号が消費エネルギーに占める割合は 0.7--6.4% と小さい．ソフトウェア実装したBLE プロトコルスタックの処理が相対的に重いためである．そのため，暗号化するデータが大きい別のユースケースや，BLEではないより軽量な通信プロトコルを利用する場合の方が，軽量暗号を採用する動機が強くなるだろう．

軽量で高速かつ安全な暗号ライブラリであるNaClのプリミティブの一つであるCurve25519を32-bit ARM Cortex-M0に実装する試みがなされており、M0NaClとして公開されているが、現在までに、Curve25519以外のプリミティブの実装がなされていない。このため、本論文では、M0NaClの成果を取り込みつつ、全てのプリミティブが動作するμNaClをARM Cortex-M0マイコンへ実装する。そして、実装評価を通して、AVR NaClより約3倍の動作速度と半分のコードサイズを達成していることを示す。

TLS1.3について．

The learning with errors (LWE) problem is one of computationally-hard problems in lattice theory. The difficulty of the LWE problem depends on the dimension of the secret key and the modulus parameter. In 2015, Laine and Lauter proposed a new attack which reduces the LWE problem to the closest vector problem (CVP) over a certain lattice. When the modulus parameter is large compared to the dimension, their attack can solve the LWE problem with high probability in polynomial time. They used only Babai's nearest plane algorithm to solve the CVP in their attack. In this paper, we apply Babai's rounding algorithm, and compare it with Babai's nearest plane algorithm in their attack. Our experimental results show that the LWE problem with considerably large modulus parameters can be solved by both the rounding and the nearest plane algorithms, and the rounding algorithm is much faster than the nearest plane one.

In this manuscript, we report our implementation of an LWE distinguisher. We use the Shortest Integer Solution (SIS) strategy to distinguish an LWE oracle from a uniform oracle. The current work aims at providing a thorough understanding of this strategy. We provide details of our implementation and present some preliminary report of experiment results of our implementation. The purpose of such experiments is to help understand the practical analysis on distinguishing LWE problem and share advice on parameter selection for LWE based cryptosystems.

In this paper, we would like to systematically study who indeed are the hard lattice cases. For some given form of random lattices, the LLL reduction will give us nearly the maximum approximation factors for their special geometric structures. At first, we call the perfect lattice as the Beauty, which is given by basis of vectors of the same length with the mutual angles of any two vectors to be exactly 60 degree. Through experiments, we can show that, in some form as the lattice is getting close to the Beauty lattice, the rational LLL will fail to find the shortest vector, if we are given a set of random basis of such a lattice. In the case for low dimensional lattices, we can give a direct explanation why and how this happens. Using the symmetry of the perfect lattice, we show that there is a very efficient way to find shortest vector, which points to a very interesting new direction to improve the BKZ algorithm. We then speculate why this happens in the high dimensions. The results in the low dimensional lattices also allow us to give a simple and direct way to explain why and how the approximation factor increases as a lattice is getting closer to the perfect lattice. Our work in a way gives a simple and direct way to explain how to build a hard lattice in low dimensions. We reduce our Beasts lattice bases using the exact-arithmetic LLL in NTL library. In our implementations, we consider the effects of some variable parameters of our constructed Beasts bases and LLL. Under the same condition, we also compare the failure probability for NTL rational LLL when it reduces random lattice bases from Darmstadt SVP Challenge.

現在格子暗号として提案される方式の多くは,LWE(Learning With Errors)問題やRing-LWE問題に基づいている. Ring-LWE問題を安全性の根拠とする暗号では,エラーを含む値を扱い, 復号の誤りを防ぐために,鍵や暗号文のサイズが大きくなる傾向がある. しかし,復号の誤りを許し,誤り訂正符号などでエラーの除去が可能であれば, より小さな鍵サイズ・暗号文サイズを実現できる可能性がある. BCH符号などの誤り訂正符号は拡大体上の理論を用いており, 拡大体を用いるRing-LWE暗号を実現できれば,誤り訂正符号との親和性の高い方式を実現できると考えられる. しかしながら,既存の方式で用いられていた,FFTによる演算の効率化を直接利用することができないため, 乗算アルゴリズムについて検討が必要である. 本研究では,多項式環の代わりに拡大体を用いた方式を実装し, 乗算の計算アルゴリズムの面から,拡大体を用いたRing-LWE暗号の実現を議論する. 検討に際して,逐次拡大体の構成と乗算アルゴリズムとしてCVMA: Cyclic Vector Multiplication Algorithmを実装し,既存手法との比較を行う.

LWE問題は，ノイズが入った法qの線型方程式を解く問題であり，その困難性は格子暗号の安全性の根拠となっている．LWE問題の計算量を見積もる手法の1つとしてBKWアルゴリズムが広く研究されているが，次元nのLWE問題に対してq^{O(n/log n)}個のサンプルが必要であるという欠点があった．その欠点を改善するため，Lyubashevskyが提案したq=2の場合のサンプル増幅の手法を一般のqに対して適用可能だと言及する研究も存在する．この手法により，計算量が増えてしまうものの，必要なサンプル数がnに対して多項式個になることが期待されるが，その詳細な解析はあまり行われていない．そこで，本研究は拡張したサンプル増幅の手法を，Duc等によって改良されたBKWアルゴリズムに適用し，上中谷等がq=2の場合に対して行った解析同様，必要なサンプル数及び計算時間を解析した．その結果，公開鍵暗号で使用される程度のノイズでは，サンプル数がO(n log q)であっても計算量のオーダーが増えないことを示した．

Boldyrevaらは，管理者がユーザーの復号権限を失効することができる鍵失効機能付きIDベース暗号において，鍵失効操作のユーザー数に対する操作コストを大きく効率化した方式を提案した．また，Boldyrevaらは同じアルゴリズムを属性ベース暗号に対しても適用できると述べており，AttrapadungらはBoldyrevaらのアルゴリズムを適用させた（間接型）鍵失効機能付き属性ベースを具体的に考案した．Boldyrevaら，Attrapadungらの方式は双線型写像ベースに構成されたものであり，また耐量子性を有する格子ベースの鍵失効機能付きIDベース暗号もChenらによって提案されているが，格子ベースの鍵失効機能付き属性ベース暗号は未だ提案されていない．そこで我々は，前述の3つの方式やBoyenによる格子ベースの属性ベース暗号を基に，格子ベースにおける（間接型）鍵失効機能付き属性ベース暗号を構成する．

関数型暗号は，復号鍵がある関数に関連して生成され，その復号鍵を用いて暗号文を復号するともとの平文にその関数を適用した値が得られる暗号である．従来，秘密鍵関数型暗号に対しては，平文秘匿性が識別不可能性によってのみ定義されており，semantic securityによる平文秘匿性は考えられていなかった．そこで本論文では，秘密鍵関数型暗号に対し，適応的および非適応的安全性の両者について，semantic securityによる平文秘匿性の定義を新たに与える．また，非適応的安全性に対しては，既存の識別不可能性と本論文で提案するsemantic securityの関係について以下の事実が成り立つことを示す．一つ目の結果として，一般的にsemantic securityが識別不可能性を包含することを示す．二つ目の結果として，原像抽出可能な関数族に対する秘密鍵関数型暗号について，semantic securityと識別不可能性が等価であることを示す．

属性値マッチングを下部構造とするスパンプログラム述語に関して，属性ベース暗号(ABE)を適応的安全に実現するには，従来，属性値を冗長にエンコードする必要があった．それにより，例えば，鍵ポリシーABEでは暗号文サイズの増大が起こった．本稿では，スパンプログラム述語の新しいエンコーディング法を使用することで，上記の冗長さがない適応的安全属性ベース暗号を提案する．従来は，スパンプログラム行列と乱数ベクトルの積として得られる線形秘密分散系をエンコードしたが，本提案では，その行列と乱数ベクトルをそれぞれ別にエンコードすることで，新しい証明技法を提案する．

Functional encryption for inner-product values was first introduced by Abdalla et al. (PKC 2015), where decrypting a chipertext for a vector x with a secret key for a vector y reveals only the inner-product value of these vectors x・y. We call it inner-product value encryption (IPVE) in contrast to inner-product predicate encryption (IPPE), which is usually called inner-product encryption (IPE). To the best of our knowledge, while there already exist a selectively secure IPVE scheme and an adaptively secure one in the secret-key setting, there is no adaptively secure one in the public-key setting. We present the first IPVE scheme that is adaptively secure in the public-key setting under the decisional linear (DLIN) assumption.

Hybridcastなどの放送通信連携サービスでは、放送番組を視聴しながらインターネットを通して番組に関する様々な情報を受信できるが、視聴者の個人データ（視聴履歴など）をより多くのサービスプロバイダに提供することにより、魅力的なサービスを実現できる。一方、プライバシー保護の観点から、信頼できるサービスプロバイダのみに個人データを提供する必要がある。近年、属性ベース暗号を用いて個人データのアクセス制御が可能な放送通信連携サービス用プライバシー保護システムが提案されている。しかし、十分なCPU性能を持たないユーザ端末（受信機、スマートフォン、タブレットなど）に属性ベース暗号を実装した場合、端末への負荷が大きくなる。本稿では、暗号化処理をクラウドサーバなどの外部エンティティに委託可能な属性ベース暗号方式を提案する。提案方式は、委託先によるデータの改ざんや他エンティティとの結託攻撃に対して耐性を有する。

自動車の制御ネットワークとして，広く普及しているCAN（Controller Area Network）に対する脆弱性が指摘されてから，CANの通信を安全にするために様々な研究がなされてきた．従来研究の提案手法では，ルールベースの検知であるため未知の攻撃に対して対策できない．未知の異常や故障を検知するために機械学習を用いた方法が注目されており，ITセキュリティへの応用もされている．本稿では，コネクテッドカーの普及に向けて，クラウドと連携して機械学習を用いた車載ネットワークの異常を検知するシステムのコンセプトを提案する．

近年, カーナビゲーションシステムなどの車内機器の高機能化に伴い,車載ネットワークが外部ネットワークに接続することが可能となってきた. これに伴い外部ネットワークから車載ネットワークに攻撃を目的としたデータを侵入させることが可能となりつつある. 車載ネットワーク内の通信に使用されるCAN（Controller Area Network）プロトコルにはセキュリティ機能が備えられておらず, 車が危険な状態に陥る可能性がある. したがって, CANへの攻撃の検知システムが必要とされている. 本稿では, 機械学習を用いたメッセージ頻度に基づく2種類の異常検知手法を提案する. 1つ目は, CANデータを時系列データと見なし, メッセージ頻度の時間変化に基づいて攻撃を検出する方法である. 2つ目は, より詳細にメッセージのもつID毎の頻度に着目した方法である. さらに実際の車から取得したCANメッセージに攻撃メッセージを加えたデータを使用し, 2種類の手法について攻撃メッセージの検出が可能であることを実証する.

オープンドレイン型のシリアルバス通信方式では接地状態の信号（一般的にビット0）が優先されるため、ビット1からビット0への改ざんが容易に行えることが知られている。本稿では、シリアルバスの一種である1-Wireを例にこの改ざん攻撃が安価な機器で容易に実現可能なことを実験的に示す。またこの性質を逆手にとった検知法を提案する。

近年，自動車に対するサイバー攻撃として，外部ネットワークへの接続機能を持つECUを遠隔から乗っ取り，自動車内部のネットワークへと侵入を図る攻撃事例が報告されている．これまで自動車の制御ネットワークとして，広く採用されているCAN（Controller Area Network）の通信を安全にするためにさまざまな研究がなされてきた．しかし，一旦不正に乗っ取られたECUからCANメッセージを送信される攻撃を想定すると．対策が十分でないのが現状である．このような攻撃による影響を最小限に抑えるために，早期に不正な挙動を示すECUを検知する手法の確立が急務となる．そこで，早期対策の導入に向け，既存のECUへの影響を最小限に抑えるため，CANメッセージの振る舞いに着目し，ECUの正当性を判定する不正ECU検知手法を提案する．

車載ソフトウェアの標準仕様であるAUTOSARにおいて車載パケット認証に関する仕様が公開された。しかしながら、AUTOSARでは、パケット認証に利用するための鍵に関しての言及がなく、自動車を構成する電子制御ユニット（Electronic Control Unit）・自動車の製造工程などのライフサイクルを考慮した鍵管理方法が求められる。そこで本稿では、車載ネットワークに鍵管理を行う装置を設け、その装置から正規のECUを認証した上で、パケット認証に利用する鍵を配信する方式を提案し、パフォーマンス評価を実施する。

In the past decades, technological development has progressed at an enormous speed. Complex software running on electronic control units (ECUs) in vehicles are controlling not only comfort but also safety-critical functions. Since security of automotive systems can affect safety, it is paramount to understand how attackers could exploit software vulnerabilities of such systems and how to improve security to prevent such attacks. In this paper, we investigate how an attacker could exploit software vulnerabilities running on an automotive microcontroller. The focus is on understanding how an attacker would need to adjust certain attacks to fit the automotive microcontroller architecture and how an attacker could perform new types of attacks targeting specific characteristics of the automotive microcontroller architecture. To demonstrate the feasibility of attacks, we have performed experiments on both an evaluation board and a prototype development ECU. Lastly, we provide recommendations on how to improve the security to prevent attackers from exploiting software vulnerabilities on automotive microcontrollers by following secure coding practices, enabling security features provided by the automotive microcontrollers and performing rigorous security testing.

秘密分散法に対する能動的攻撃（シェア偽造）の検出に関して，シェア間の相関に注目した研究が知られている．改ざん攻撃が検出可能な(k,n)しきい値法に関して中村-山本(2015)は，与えられた相関に対して，シェアサイズとシェア生成に必要な乱数サイズが最適であり改ざん成功確率の指数もほぼ最適となる符号化法を提案したが，その符号化法は Cabello et al.(2002)により既に提案されていることが分かった．そこで本稿では，この符号化法を拡張し，改ざん攻撃が検出可能な(k,L,n)ランプ型しきい値法を提案する．秘密情報がGF(p^m)^L（p は L+1 以上の素数）上の一様分布に従うとき，提案する符号化法は，シェアサイズと乱数サイズに関して最適である．さらに，L

Secret Image Sharing (SIS), in which we can renew stego-images without changing the secret, is proposed. In SIS a secret image is shared among a set of n images called stego-images. Each stego-image is preserved by a participant respectively. In the recovery stage at least k of n stego-images are required in order to obtain the secret image, while k

データをクラウド上のストレージに保存する際の主要な安全性の観点に，データの漏洩および損失がある．本研究では，データの所有者がデータを異なるプロバイダのストレージに分散させ保存する設定において，データを漏洩と損失から保護する，グループ横断秘密分散法を提案する．従来の秘密分散法では，シェアの数が膨大になると，契約すべきプロバイダの数が膨大になる問題があった．この問題に対し，グループ横断秘密分散法では，データの所有者はシェアを少数のプロバイダに保存でき，なおかつ一つのプロバイダに閾値以上のシェアを預けないで済む．この特徴を有するグループ横断秘密分散法の構成には，Shamirの秘密分散法が二つ組み合わされる．データに対する秘密分散に加え，権限秘密に対する秘密分散が導入され，権限秘密のシェアが異なるプロバイダに配分される．

千田らは，シェアサイズの効率が良く秘密計算に適したシェアに変換可能な方式を提案した．この方式を用いれば，Shamir の(k; n) 法 や任意の線形秘密分散法のシェアに変換可能なシェアを生成することができる．線形秘密分散法は多くの秘密計算法で利用されており，これらのシェアに変換できると都合が良い．その後，様々の秘密分散法のシェアに変換可能な方式，不正に耐性のある方式等が提案されたが，従来方式は変換処理の過程で多くの通信を要していた．本研究では，シェアサイズの効率が良く，Shamir (k; n) 法のシェアに変換可能であり，さらに変換処理過程に通信がない方式を提案する．

秘密分散は、公平性をモデルに研究されてきた。最近では、合理性[rational]を追求する研究もあるが、基本、公平性が前提である。本研究では、個人ファイル管理を事例に、公平性から生じる現実的な[これまで指摘されていない]安全性の問題を論じる。

オープンソースのブログソフトウェア”WordPress”は世界中の多くのユーザーに利用されている. 機能を追加できるプラグインという仕組みを持つことがWordPressの大きな特徴である. プラグインはサードパーティによる開発のものが大多数を占める. 近年,WordPress本体プログラムでは多くの脆弱性が修正されつつあるが,一方,サードパーティ製プラグインでは脆弱性の報告が目立つ. 本稿では,実際に報告されたサードパーティ製プラグインによるXSS脆弱性の事例とそれを引き起こすWordPress本体の構造について述べる.

SQLインジェクション攻撃はウェブアプリケーションにおける重大なセキュリティリスクの一つである．その中でも，セカンドオーダーインジェクション攻撃の発生数は増加傾向にあるが，対応する検知手法は少ない．セカンドオーダーインジェクション攻撃では，サーバに送信された悪意あるコマンドがすぐには実行されず，データベースに保存される．そして，後ほど他のリクエストにより悪意あるコマンドが実行される．当該攻撃の対策として，静的コード分析が提案されている． しかし，これらは脆弱性の発見が主な目的であり実際の攻撃を検知することは難しい，またデータフローの分析が非効率である．本論文では，情報理論を用いて悪意あるSQLクエリを検出する方法を提案する．悪意あるSQLクエリには脆弱性を利用するためのコードが含まれている点に着目し，提案手法では代表的なSQLクエリテンプレートと実際にデータベースから読み出したデータで構成するSQLクエリのエントロピー値を比較し，攻撃を判定する．本提案手法は，静的分析と動的計算の二段階からなる．静的分析段階ではコードを分析し，データベースから読み出したデータで構成する脆弱性の疑いのあるSQLクエリを抽出する．動的計算ではエントロピー値を計算し攻撃を検知する．セカンドオーダーSQLインジェクションの脆弱性を持つ二つのアプリケーションを用いて本提案手法の評価を行った．

Webサーバへの攻撃対策においては，攻撃の発生を検知するのみならず，その影響を特定することが重要である．これを効率化，自動化するために，HTTPリクエストとシステム内部に発生するイベントを関連づけて分析するアプローチが考えられるが，既存の手法ではマルチプロセスで動作するWeb サーバに適用した場合，イベントの関連付けの精度に課題があった．本稿ではこの課題を解決するために，HTTPリクエストの処理開始イベントに加えて，処理終了イベントも取得，活用する手法を提案する．評価の結果，HTTPリクエスト間の時間差が短い場合においてもシステムイベントを正しく区別できることを確認した．また実装面においても，イベント取得部をカーネルモジュールとして実現する改良を図ることにより，ログ取得処理にかかる時間の短縮も確認できた．

Web Browser Fingerprintingにおいて，現状，UserAgentやプラグインなどのソフトウエアに関する情報を利用するケースが普及している．しかし，それらは，ブラウザの設定変更や拡張機能の追加により変化する可能性がある．一方，ハードウエアに関する情報は変化しにくいので，Web Browser Fingerprintingにおいて有益な情報となると考えられる．よって，本論文では，CPU拡張機能であるAdvanced Encryption Standard New Instructions (AES-NI)とIntel Turbo Boost Technology (Turbo Boost)の有無を推定する手法を提案し，その実装と評価を行う．

インターネットにおける匿名通信を実現するシステムにTorがある．Torを利用すると，利用者がアクセスするWebサーバが，利用者の端末の割り振られたIPアドレスを特定することや，HTTPクッキーによるWeb行動追跡を防止することが可能である．しかし，Web Browser Fingerprinting に対してはTorにおいて対策が施されているものの，利用者の端末追跡に有効な情報も存在することが，調査の過程で分かってきた．そこで本論文では，Web Browser Fingerprintingを用いたTor利用者の追跡の実現性について検討する．

電子透かしは，マルチメディアコンテンツに対し，その品質を劣化させずに情報を付加する技術である．情報が付加されたコンテンツは，様々な信号処理操作がなされたのちであっても，付加された情報を安全に検出できることが要求される．本稿では，音響信号を対象とし，音響信号がある種の成分分析により疎な係数ベクトルであらわされることを利用し，十分に疎にした係数ベクトルに，ランダム射影した情報系列を付加することで，電子透かし入り信号を得る手法を提案する．また，得られた電子透かし入り信号を圧縮センシングの考え方に基づいて，付加情報を検出する手法についても検討する．

電子透かしを用いて，印刷物に人間には認識できないように情報を埋め込み、それをスマートフォンで撮影して情報を取り出す手法について検討する．SCIS2013に投稿した手法を基に手法の改良を行った．従来の電子透かし法では位置検出のためにマーカや，枠線をつける必要があった．本来，電子透かしの利点の一つは，見た目を損なわないという点にあるのだが，マーカや，枠線をつけることはその利点と相反している．本稿では，この問題点を解決するために，位置検出の手法を改善し，画像に何も付与せずに位置検出し，透かしから情報を取り出す手法を提案する．画像に何も付与せずに位置検出を行うために，画像検索を用いて撮影画像内にのどの位置に透かし入り画像が存在するのかを検出し，位置検出を行う．画像検索は計算コストが高いため，位置検出はスマートフォン上でなくサーバ上で行っている．位置検出法を変更した結果，従来法と比べ処理時間について従来法が0.34秒だったのに対して0.9秒を要するようになったものの，同等の抽出率を保持できた．

2020年の東京オリンピックの開催に伴い、その象徴とされるロゴが発表されたが、それがベルギーのとあるロゴを盗用したものではないか、という疑惑が挙げられた。これを世間は大きく報道したが、どれも主観的な内容のものばかりで、どのくらい似ているのか、という具体的な数値を示す報道はなかった。一般的な画像同士の類似度を計測するうえで、静止画像の類似度を測定するものは多く存在するが、ロゴに特化したデザイン類似度の研究は知られていない。本研究では、作成したロゴを多くの小模様との相関値を利用することで、データベース中で類似するものを数値化する方法を提案し、デザイン類似度による著作権保護の可能性を示した

近年，スマートフォンやデジタルサイネージ上での広告などが普及している．電子透かしを用いて動画に対し付加情報を埋め込んで透かし入り動画を作成し，スマートフォンで再撮影して情報を取り出せる既存の手法に，岩田らの手法がある． 岩田らは透かし入り動画にスマートフォンをかざすことによって関連情報にアクセスできるようにすることを目的としており，iPhone5sで透かし入り動画を撮影して透かしを抽出し，性能を評価している．岩田らの手法では今後の課題の1つとして，スマートフォンでの撮影時の手振れの影響の軽減が挙げられていた．これに対し，iPhone6sPlusには光学手振れ補正機能が搭載されており，撮影時の手振れの影響を軽減が見込まれる．また，岩田らの性能評価ではノートPC上での映像を対象としていたため，より実用に近い，70インチのサイネージを実験に使用する． 以上より，本稿では，サイネージ上で再生した透かし入り動画をiPhone6sPlusで撮影して透かしを抽出し，性能を評価する．

The management of secret data in an organization is not limited to the encryption of the data. Once a ciphertext is decrypted, there is no mechanism for the protection. In this study, we enable a manager to identify the traitor inside of an organization from illegally leaked file. The essential technique is the fingerprinting for encrypted data. When a legal user decrypts a ciphertext using his assigned key, a fingerprinted file is obtained in our proposed system. We present the concept of our idea and discuss the availability.

Mouhaらが提案したChaskeyは、ARX型のメッセージ認証子であり、2^48のデータで80ビットセキュリティを持つと主張している。Chaskeyに対する最良の安全性評価結果はLeurentによるものであり、差分線形攻撃を用いる。Leurentの攻撃では、ラウンド数を7段にした場合に、2^48のデータで2^67の計算量で秘密鍵の一部を解読可能である。本稿では、Leurentの攻撃の改良を目的として行ったいくつかの実験結果について報告する。

ChaCha20-Poly1305は2013年にNirとLangleyが設計した認証暗号化方式であり，Google ChromeにおいてGoogleのウェブサービスで実装されている．暗号化と認証にそれぞれBernsteinが設計したChaCha20とPoly1305を使用している．Procterはnonceを再利用しない敵に対する安全性を示した．本論文ではまず，敵が同じnonceを2回以上用いることが可能なnonce-misuseという設定を考える．この設定において，敵が認証鍵を回復できることを示す．また，敵が検証前の平文を入手できるdecryption-misuseという設定を考える．この設定において，秘匿性についてはPA1安全でないことを示し，完全性についてはChaCha20ブロック関数が擬似ランダム関数であるという仮定の下でINT-RUP安全であるということを示す．

異なるk(3以上)個のメッセージが同じハッシュ値を持つことをマルチコリジョン(k-collision)といい，Rivest-Shamirが考案した少額電子決済方式MicroMintではそれをコインとして運用する．Joux-Lucksは，1つのk-collisionを探索する並列化可能なアルゴリズムを提案した．このアルゴリズムでは，1つのk-collisionを見つけるために必要とされるO(N^((k-1)/k))回のハッシュ演算を行う．一方で，N^c個のk-collisionsを見つけるにはO(N^((c+k-1)/k))回のハッシュ演算を要するが，ハッシュテーブルを大きく取れば大まかな手順をそのままに複数個のk-collisionsを探索できる．本研究では，Joux-LucksのアルゴリズムをMicroMintのコインの鋳造へ応用できることを示す．結果として，N^θ個のプロセッサでN^c個のk-collisions即ちコインを鋳造する場合，1プロセッサあたり計算量O(N^((c+k-1)/k-θ))，メモリ量O(N^(2(c-1)/k+1-θ))で鋳造可能となった．

Cayley hash functions are efficient and provably secure hash functions constructed from the Cayley graphs of (projective) linear groups. Charles et al. proposed one of Cayley hash functions based on a family of Ramanujan graphs constructed by Lubotzky, Phillips, and Sarnak (LPS for short). Tillich and Zemor found collisions of LPS hash functions by using lifting attacks, and Petit et al. found preimages of those by using the variants of lifting attacks. In this paper, we briefly survey a history of Cayley hash functions and their attacks (mainly, subgroup attack and lifting attack). We construct an analogue of LPS hash functions which is based on cubic Ramanujan graphs which were explicitly contructed by Patrick using a generalization of the families of LPS Ramanujan graphs. We analyze the security of cubic hash functions comparing with LPS hash functions by the brute-force attack and the birthday attack of them.

組織間機密通信のための公開鍵システムである組織暗号について，辻井等によって提案されている多素数多変数公開鍵暗号を用いた実装例を提示する．現実的な組織規模で運用可能な処理性能を有し，加えて，量子コンピュータの出現に対抗し得る公開鍵暗号方式についての検討を行う．

In this paper, we describe a random model on polynomial systems to evaluate the probability that an overdetermined multivariate polynomial systems defined over a finite field have rational solutions. Let P be a polynomial ring with n variables over coefficient field Fq. Let S be an overdetermined random multivariate polynomial systems. We show that he probability that S has a rational solution is at most q^{n-m}. Moreover we show that this bound is becoming tight when either q, n or m become large. Experimental computations support this claim.

多変数公開鍵暗号方式（Multivariate　Public Key 　Cryptosystem, MPKC）は，1980 年代，松本・今井，辻井等によって研究が開始され，1994 年，RSA 暗号も楕円エルガマル暗号も，量子コンピュータの実用化には耐えらないことが示されるに及んで，国際的関心を集めるようになったが，安全性に対する信頼感と実用性を備えた方式は，未だに提案されていない．筆者等は，先に，当分の間，量子コンピュータは実用化されないという前提の下に，素因数分解の困難性に依拠する MPKC を提案した．本論文では，素因数分解の困難性に依拠せず，多数の素数のグループ化を秘密とし、この秘密に対する総当たり攻撃の困難性に依拠した，ランダム 2 次フルランク多項式と等価な安全性を有すると考えられる耐量子コンピュータ MPKC を提案する．

Solving a multivariate polynomial system is the basis of security for the Multivariate Public Key Cryptosystem (MPKC), which is a candidate for the post-quantum cryptosystems. The hardness of solving a multivariate polynomial system depends on a number of parameters, most importantly the number of variables and the degree of the polynomials, as well as the number of equations, the size of the base field etc. Note that this is an NP-hard problem even the degree of the system is two. We then started the MQ-challenge project in April 2015, which may be helpful in providing appropriate parameters for MPKC, and stimulate furthermore the research in solving multivariate polynomial system. In this paper, the recent updates, including the records of each type of challenges, the analysis of the records and the future development of the project would be discussed.

ナップザック暗号とはナップザック問題（特に部分和問題）を安全性の根拠とした公開鍵暗号の総称であり，量子コンピュータに対して耐性を持つ公開鍵暗号の一種として期待されている．ナップザック暗号には密度と呼ばれる安全性の指標が存在し，低密度なナップザック暗号に対しては，低密度攻撃と呼ばれる強力な攻撃が存在する．そのため，低密度攻撃に対抗する高密度なナップザック暗号が必要となり，数多く提案されている．高密度ナップザック暗号の方式の一つに，中間平文を用いるものがある．中間平文とは平文を変換したものであり，中間平文を部分和問題の解とすることで，高密度な暗号を実現している．このような構成を持つ暗号は低密度攻撃に耐性を持つ一方，必ずしも他に考えられる攻撃法に対しての耐性は保証できない．筆者らは中間平文を用いる高密度ナップザック暗号に対する攻撃法を提案した．本稿では，筆者らの提案した攻撃が広く中間平文を用いる高密度ナップザック暗号に対して有効であることを示し，現在までに提案されている同様の暗号に対して評価を行なうとともに，本攻撃法が実際にも有効であることを示す．

SDN を実現する OpenFlow ネットワークは、ソフトウェアにより動的に制御される多くのコンポーネントから構成される。OpenFlow ネットワークの脅威分類に基に、システムセキュリティ評価シートを考案した。OpenFlow ネットワークを構築するにあたり、この評価シートに基づきセキュリティ評価を行うことで、OpenFlowネットワークのシステムセキュリティ評価を実施できる。これを用いて、市販の OpenFlow スイッチおよびオープンソースのOpenFlow コントローラでのセキュリティ評価を行った。

インターネット経路をはじめとする経路制御は近年最も関心を集めているセキュリティ技術のひとつであるが、一方でこれらに関連する技術の証明可能安全性を取り扱った研究は少ない。暗号技術に関わらず、安全なシステム設計として技術仕様自体の安全性証明を議論することは安全性解析の観点から非常に重要である。本稿ではこのような経路制御の安全性議論に向けて、とくにセンサネットワークを中心とするプロトコルであるDynamic Source Routing (DSR) の定式化について議論する。

本稿ではオニオンルーティングの返信経路情報の暗号化においてフォワードセキュリティを実現する問題について考察する。オニオンルーティングは匿名通信技術の一つであり、にオニオンルーティングがある。オニオンルーティングは構成した通信通信の際、送信者と受信者との間にネットワーク上の多数の中継ノードで経路上でを構成し中継に必要な経路情報メッセージを各中継ノードの鍵を使用して暗号化を行う。各、中継ノードは受信暗号化されたメッセージに対してを受け取るとそれに自分の秘密鍵で復号化を行い中継情報を得る。う、これにより各中継ノードでこの処理を行いながらメッセージを送る経路情報の隠ぺいが可能である。ので送信者の匿名性を可能にする。宛先ノードでこのメッセージに対する返信を可能とするための手法として、送信中に返信経路情報を暗号化するChaumのUntraceable return addressがある。ここでしかし中継ノードの秘密鍵が漏洩した場合、暗号文が第３者によって解読されるてしまう恐れがある。これはオニオンルーティングのプロトコルにおける、安全性を確保するために満たすべきである性質の１つであるフォワードセキュリティを満たせなくなってしまう。これは秘密鍵が漏洩した場合でも短期間しか解読できないようにして被害を小さくできるフォワードセキュリティを満足することが望ましい。すること、暗号化した内容が長期間解読されない性質である。これを達成するために時刻ごとにによって鍵を更新するオニオンルーティングプロトコルがあるがこの方法はメッセージの古い鍵を用いて暗号化された返信経路情報を復号できず返信の中継が不可能になってしまう場合がある。この問題を解決するためにプロキシ再暗号化可能なIDベース暗号方式と呼ばれる方式を利用して組み込み、フォワードセキュリティを満たしつつ確実に返信が可能な方式を提案する

近年, サイバー犯罪による被害は増加の一途をたどり, その攻撃手法は高度化・巧妙化してきている. これらの犯罪に対し法執行機関では, デジタル・フォレンジックを駆使し, 攻撃者の特定及び犯行の全容解明に努めている. しかし, ハードディスクを対象とした従来の解析だけでは発見が困難なマルウェアや秘匿技術の登場により, 新たな解析手法の整備が求められている. そこで本研究では, 国内外で研究が進められているメモリ・フォレンジック手法に着目し, 同手法で得られる情報の精査及び, 同手法によって解明が期待される事項を明らかにすることで, メモリ・フォレンジックの有用性を示した. また, 法執行機関が公判で証拠として使用する際に重要となるツールの信頼性について, 自由心証主義の観点から考察を行った.

多くの企業において情報セキュリティポリシーの策定および運用が行われているにもかかわらず、その構成員である従業員の一部が情報セキュリティに関する基本的なルールを定めた情報セキュリティポリシーを遵守せず、その結果として情報漏えいをはじめとする情報セキュリティインシデント被害につながった事例も少なくはない。情報セキュリティポリシーの遵守は、技術的な対応には限界があり、最終的には個人の問題となる。本稿では、まず彼らが情報セキュリティポリシー違反することに影響を与える要因を明らかにするために、計画的行動理論などを基礎とした行動モデルを構築する。具体的には、ポリシー違反意図に影響を与える要因として、個人の心理学的要因のみならず、個人を取り巻く環境（職場風土）にも焦点を当てる。次に、この行動モデルの検証をすべく、2015年3月に実施したインターネットアンケート調査によって収集された情報セキュリティ行動や意識に関するデータを用いた実証分析を試みる。さらに、分析結果を踏まえて、情報セキュリティポリシーを遵守するために企業として必要とされる対策についての提案を行う。

秘匿計算を実現する方法として，YaoのGarbled回路があり，多くの研究がこれに端を発している．しかし，Garbled回路上の全ての素子(ゲート)はGarbled Tableと呼ばれる4つの暗号文を有し，それに伴う通信コストの増大が複雑な計算を行う際の課題とされている．秘密分散法を用いて全てのゲートに対してGarbled Table内の暗号文を2つに削減する手法がPinkasらによって提案されている．これに対し，XORゲートに関してGarbled Tableを省略する手法がKolesnikovらによって提案されている(FreeXOR)が，非XORゲートの効率化を行うことはできない．我々は本論文において，4入力1出力の周期性を持つ真理値表を用いて，FreeXORのテクニックを非XORゲートに応用したGarbled Tableの効率化手法を提案する．これにより，Garbled Tableの保持する情報をGarbled 回路内で使われる鍵と同等のサイズの値1つにすることができる．

秘匿回路はYaoが1986年に提案した暗号技術であり，回路と入力の情報を秘密にしたまま回路の評価値を計算できるものである．秘匿回路には様々な応用があり，2012年にBellare, Hoang, Rogawayによってモデルや安全性について考察された．Bellareらのモデルでは回路の暗号化時に入力の暗号化鍵を出力していたため，入力よりも先に関数を決定しなければならない．そこで我々は鍵生成アルゴリズムを導入し，回路を暗号化するための鍵と，暗号化された回路と暗号化された入力から回路の評価をするために必要な計算鍵を追加した新しいモデルを提案する．このモデルでは回路と入力をそれぞれ鍵を使って暗号化するため等価に扱うことができ，また計算鍵を追加することで入力の暗号文と関数の暗号文が公開された場合でもその安全性を保つことができる方式を構成できる．今回，Bellareらの提案したモデルから新しいモデルへの変換を定義し，変換の元となる方式の安全性と変換後の方式の安全性における関係について考察する．

従来のgarbled circuitの構成法ではgarbled gateのサイズが鍵長kに比例していたが、本発表ではgarbled gateのサイズが定数となる構成法を提案する。具体的には、correlation robust trapdoor one-way permutationを用いた、garbled gateのサイズが定数(4 bit)となるgarbled circuitの構成法を提案する。さらに、RSA関数を用いたcorrelation robust trapdoor one-way permutationの実現方法を示す。

秘匿回路とはYaoが1986年に提案した暗号技術で,回路と入力の情報を秘匿したまま回路の評価値を計算できるものである.秘匿回路の効率に関する研究として暗号化した回路のサイズを減らす研究が行われてきた.その中でPinkasらは 2007年に秘密分散法をベースとした,2入力の関数を暗号化した回路のサイズを減らす手法を提案した.本論文ではこの Pinkasらと同様に秘密分散法をベースとした手法を用いて対称関数を暗号化した回路のサイズを減らす手法を提案する.しかし,この手法は入力数の大きい関数に用いても削れる割合が小さい.そのため対称関数を効率的に構成し,入力数が小さい各構成要素にこの手法を用いて効率的に暗号化する.ここで用いる構成はMullerとPreparataが1975年に提案したものである.この構成の多くを占める全加算器を3入力関数2つで構成し,その関数を秘密分散法を用いて暗号化することで,結果的に任意の対称関数を暗号化した回路全体のサイズを減らすことができる.

プライバシーを確保しながら任意の計算を行うプロトコルに，紛失通信を利用した秘匿回路計算がある．本研究では，秘匿回路計算プロトコルを対象として，ゲーム理論の観点で安全性を考察した．紛失通信に対してはHigo，Tanaka，Yamada，Yasunaga（ACISP2012）によってゲーム理論的安全性と暗号学的安全性が等価であることが証明されているが，紛失通信を利用した秘匿回路計算の安全性は不明であった．Semi-honestモデルで暗号学的に安全な秘匿回路計算はゲーム理論では安全でないことを示す．これは，不正な入力値を利用することによって利得を向上させることが可能であるためである．

次世代のモバイルネットワークへの関心が高まるにつれ，新たなセキュリティ技術の必要性が指摘され始めている．しかしながら，5Gネットワークのアーキテクチャやプロトコルは現在構想段階であり，セキュリティに関する問題も十分に整理されていない．本稿では，5Gネットワークの特徴と技術について概説するとともに，5Gネットワークに内在するセキュリティ上の問題点を抽出する．ただし，5Gネットワークのアーキテクチャは，新たな無線アクセス技術と従来の技術を融合したヘテロジニアスな構成を取ると考えられる．このため，セキュリティ脅威は，5G特有の技術に起因するものと，従来のネットワークに起因するものとに分けられる．前者については，著者らによりすでに報告されており，本稿では，特に，従来のネットワークに起因する脅威について議論する．また，両観点に関する分析結果に基づき，5Gネットワークにおいて実施すべきセキュリティ対策について述べる．

近年、スマートデバイスでは、Eメールを代替する連絡手段として、LINEやWhatsApp等のモバイルメッセージングアプリが急速に普及している。これらのアプリのメッセージは、アプリプロバイダが管理する中継サーバを経由することが一般的である。このため、メッセージの機密性がどう確保されているのかという点が、モバイルメッセージングアプリのセキュリティにおいてユーザの関心として高まっている。従って、本稿では、LINE等の代表的なモバイルメッセージングアプリの通信プロトコルを解析し、メッセージの機密性がどのように確保されているのかを報告する。

オンラインゲームは，近年最も人気があるゲームの一つとなっている．しかし，このようなゲームにおいて，ゲームボットの使用やリアルマネートレードなどの不正行為が増加している．不正プレイヤーを検出するために，ゲームサーバーからプレイヤーのデータを取得してプレイヤーの特徴を分析する必要がある．しかし，多人数が同時にアクセスするオンラインゲームのサーバーからゲームデータ取得する時，ある程度の欠損やノイズが発生することがある．オンラインゲームに関するプレイヤーの特徴を分析する時，より高い精度を獲得するために，より正確なデータを求める必要がある．この論文では，World of Warcraft Avatar History (WoWAH)データセットをケーススタディとして，関数データ解析を用いて欠損値を復元する方法を提案する．プレイヤーのゲームプレイング時間と達成度の関係を用いて，曲線の当てはめの方法により，欠損値を予測して，ノイズの少ないデータを推測することができた．そして，処理したデータを使ってプレイヤーの分類を行う．

個人情報保護のなかでプライバシ保護は重要であると言われており，利用履歴を匿名化したとしてもその個人特有の利用履歴がある場合には本人の特定がしやすいと一般的に言われている．この本人特定リスクは利用履歴や乗降履歴の長さが長くなるにつれ，高くなるということが知られている．本研究では大規模な移動履歴である「人の流れプロジェクト」の移動履歴から乗降履歴を生成し，実際の利用傾向による履歴の分布について考察を行った上で，履歴長と本人特定性の関係についての検討を行い，移動履歴の80\%以上が二点間の往復移動であること，また二点間の移動を除くほぼすべての履歴が一意であることを示す．その上で午前と午後に分けた履歴を生成し，そのような履歴のもとでは一日単位と比較して，一意である利用履歴の数が増加することを示す．

近年，ビッグデータの活用が謳われており，収集したデータからプライバシーを保護したまま第三者に提供できる手法として，k-匿名化が有名である．一般にk-匿名性を満たすようにデータを加工すると，kに満たず捨てられるデータが発生することが知られている．一方，データ利用を考慮すると，データの特性を維持することが望ましい．本稿では，ビッグデータの中でも特に重要とされる移動履歴を例にして，データの特性を大きく変更せず，大規模データからk-匿名性を満たす手法を検討する．大規模データとして，人の流れプロジェクトの京阪神地域の大規模データから，電車の乗降履歴を用いて，匿名加工手法の比較を行う．具体的には，電車の乗降履歴を分析し，各々の乗降履歴から乗り換え回数をカウントする．乗り換えが多い履歴は，全体に比べその割合が少なく，履歴も一意である．つまり加工した後に捨てられる確率が極めて高い．今回用いられた手法は，このような履歴を乗換駅で両端を分割し，より小さい複数個の履歴に分け，他の履歴の匿名化に使う手法である．この手法を行った後，素直なデータ加工手法の結果と比較を行う．そして，加工後のデータを比較する．

人間の高度な認知能力を利用したCAPTCHAの一つとして，3次元のメンタルローテーションを利用した画像CAPTCHAが提案されている．しかし，Cognometric 型メンタルローテーションタスクを利用している既存のメンタルローテーションCAPTCHAは，「候補画像群から問題画像と最も近い特徴を有する画像を選択する」攻撃によって突破され得る．そこで，この攻撃に耐性を有するメンタルローテーションCAPTCHA「Directcha」を提案する．提案方式は，Spatiometric型メンタルローテーションタスクをユーザへ求める．具体的には，問題画像中に写る3次元オブジェクトの向きを正しく回答できたユーザを，正規ユーザ（人間）として判定する形式である．本方式であれば，問題画像は1枚の画像（オブジェクト）であるため，「候補画像群から問題画像と近い特徴を有する画像を選択する」攻撃が適用不可能である．さらに，提案方式のプロトタイプシステムを実装し，ユーザビリティに関する基礎実験を行った．その結果より，提案方式が既存のメンタルローテーションCAPTCHAと同程度の利便性を確保していることを確認した．

本稿は、生体情報を秘密鍵として任意のデータを秘匿化することが可能なFuzzy Commitment技術について、その改良並びに実装について述べるものである。Fuzzy Commitment 技術は同一の生体情報から抽出された特徴コードの差が小さいことを利用し誤り訂正技術を利用して構成された生体認証技術であり1999年にJuelsらによって提案されたものである。本稿では本技術を改良し、線形符号を二重に用いることで、データ照合時に用いる特徴コードの安全性を高めた改良方法に関して述べ、線形符号としてRS符号ならびにBCH符号を用いた場合の性能等に関して比較した結果をまとめる。

生体情報を秘匿しつつなりすましを防ぐことを目的とし，サーバとクライアントに加えて第三のエンティティを導入した秘匿生体認証方式が多く提案されている．既存のいくつかの方式ではこの第三のエンティティが，登録された生体情報と認証時に用いられる生体情報の間の距離を計算し，距離と閾値を比較することによって認証結果を決定する．距離と認証時に用いられた生体情報から登録された生体情報を復元できるため，秘匿生体認証方式はいずれのエンティティにも距離を漏らさないことが望ましい．SAC2015において，著者らはいずれのエンティティにも距離を漏らさない秘匿生体認証方式を提案した．この方式は，対象とする生体情報が指紋のマニューシャに限定され，また，クライアントの計算量やサーバに保存されるデータ量が大きい．本稿では，SAC2015の方式と同様，いずれのエンティティにも距離を漏らさない秘匿生体認証方式を提案する．提案方式は，マニューシャと比べて汎用性の高い多次元ベクトル型の生体情報を扱うことができ，また，SAC2015の方式と比較してクライアントの計算量やサーバに保存されるデータのサイズが小さい．

生体情報を秘匿しつつなりすましを防ぐことを目的とし，サーバとクライアントに加え，秘密鍵を管理し，秘密鍵を用いた処理を行う復号者を導入した三者モデルの秘匿生体認証方式が多く提案されている．本稿では，三者モデルの秘匿生体認証方式において，登録時にユーザの生体情報から生成されたデータを持つサーバおよび秘密鍵を持つ復号者が，登録されたユーザの生体情報を復元できない性質について考察する．これらの性質は既にいくつかの論文で考察されているが，本稿では三者モデルに基づく多くの方式に適用可能な汎用性の高い安全性の定式化を目標とする．定式化に際しては，攻撃者がサーバと結託する状況，復号者と結託する状況，さらにユーザとも結託できる状況のそれぞれに相当する安全性のゲームを定式化する．さらに，いずれの状況についても，攻撃者とユーザが結託するか否かによって，方式が保証できる安全性に有意な差が生じることが確かめられる．

生体情報を秘匿したまま認証を行う秘匿生体認証方式に関する研究が盛んに行われている．2015 年に Yasuda らは，2 つの誤り訂正符号を組み合わせることを特徴とする効率的な秘匿生体認証方式を提案した．しかし，Yasuda 　らの方式は，リプレイ攻撃に対して安全ではない．すなわち，一度受理された認証クエリを再送することにより，生体情報を持たない攻撃者が確率1 で認証に通ってしまう．本稿では，リプレイ攻撃に対して安全な秘匿生体認証方式を提案する．提案方式は認証時にサーバとクライアントが対話を行う challenge-response 型の秘匿生体認証方式であることを特徴とする．

　DBlockは2015年にWuらによって提案されたType-2一般化Feistel構造のブロック暗号であり，ブロック長及び鍵長は128, 192及び256ビットをサポートしている．なお，ブロック長と鍵長は同一であり，ブロック長及び鍵長がkビットのときのDBlockをDBlock-kという．高階差分攻撃はLaiが提案した暗号化関数のブール多項式の次数に着目した暗号解読法であり，共通鍵暗号アルゴリズム全般に広く適用することができる．これまでに，安全性の自己評価において，DBlock-128には8ラウンド後の出力32ビットの高階差分値が0となる特性が存在することが報告されている．また，この特性を利用することによって，攻撃見積りについては示されていないものの，11ラウンドのDBlockに対して高階差分攻撃が可能であると述べられている．本稿では，DBlockの新しい高階差分特性について報告する．DBlock-128には8ラウンド後の出力64ビットの高階差分値が0となる特性，DBlock-192/256には9ラウンドの特性が存在することがわかった．また，DBlockに対する高階差分攻撃の結果について述べる．

2013年，NSAは軽量ハードウェア実装向けのブロック暗号SIMONを提案した．SIMONの提案論文では詳細な安全性については記述されておらず，ブロック暗号の解読法を用いたさまざまな攻撃の対象となっている．2015年，K?lblらはSIMONのラウンド関数におけるローテーションのビット数をパラメータととらえ，それを変更したSIMON型ブロック暗号の差分攻撃と線形攻撃に対する安全性を解析した．これに対し本稿ではブロック長が32ビットのSIMON型ブロック暗号における不能差分攻撃とIntegral攻撃に対する安全性を考える．まずそれぞれの攻撃に対応するパスを計算機により探索することで，これらの攻撃に対する識別子の識別可能ラウンド数を明らかにする．その後，K?lblらの結果と合わせて，さまざまなパラメータのSIMON型ブロック暗号に対し，オリジナルのSIMONのこれらの攻撃に対する安全性の位置づけを明らかにする．

本稿ではブロック暗号アルゴリズム MISTY2 に対し，Division 属性から導出される積分特 性の探索を行い，7 段の積分特性が存在する事を確認した．また，既存の高階差分特性と得られた積分特性を比較し，必要平文数の観点で同等か，又は高階差分特性の方がDivision属性から導出される積分特性に比べて少ない平文数で同じ特性が得られる場合がある事を報告する．

Grain v1は2005年にHellらにより提案されたNLFSR型のストリーム暗号である．Grain v1はeSTREAMのhardware profileに選択されている．Asiacrypt 2010においてKnellwolfらが条件付差分特性を用いた解析を提案し，Grain v1に適用した．彼らは2^{35}個のIVから104段の識別攻撃を示した．この攻撃は2015年にSarkarによって106段に拡張された．これまでの手法は鍵の初期化を一方向のみから解析している．本稿では新しい条件付差分特性の解析手法を提案する．提案手法ではNLFSR型のストリーム暗号における鍵の初期化を二つに分割して解析する．分割した鍵の初期化において1ビットの差分の拡散を観測し，条件付差分特性を得る．得られた差分特性からキーストリームに対する識別攻撃を構成する．提案手法をGrain v1に適用し，107段の識別攻撃が得られた．この識別攻撃は2^{30}個のIVを利用して実験的にも確認された．

RC4のキーストリームには様々なバイアスが存在する．2015年にMantinらによって，弱鍵を用いた平文回復攻撃が提案された．Mantinらの定義する弱鍵を利用してキーストリームを出力した場合，各キーストリームの最下位1ビットにバイアスが観測される．このバイアスはキーストリームの先頭100バイト程度まで観測できる．弱鍵を利用して生成された暗号文が一つ得られたとき，先頭100バイト程度の各平文の最下位ビットを確率的に復元することができる．またBroadcast settingにおいて，バイト単位で発生するキーストリームのバイアスを利用した平文回復攻撃が提案されている．本稿ではMantinらの平文回復攻撃の改良手法を提案する．提案手法では攻撃に利用する二種類の弱鍵を新たに定義することで，より効率的な平文回復攻撃を可能とする．またバイト単位のバイアスに適した弱鍵を定義し，それを利用したBroadcast settingにおける平文回復攻撃を提案する．この攻撃では弱鍵の利用により効率的なバイアスの観測が可能となり，従来よりも少ない暗号文数で平文が回復できる．評価実験では弱鍵が利用された暗号文を識別できるという条件の下，$2^{17}$の暗号文を集めることで$P_3$から$P_{16}$までの平文を高い確率で復元することに成功した．

PKC 2014において、Dachman-Soledは、スタンダードモデルでのPlaintext-Awareness (sPA1安全性)と弱シミュレーション可能性と呼ばれる安全性を同時に満たす公開鍵暗号(PKE)を構成要素とした、選択暗号文攻撃に対し安全(CCA安全)なPKEの構成法を示した。本稿では、彼女の構成要素についての安全性仮定に着目し、彼女の構成法に基づいて新たなCCA安全なPKEの構成法を示す。提案構成は以下の特徴を持つ:(1) Dachman-Soledの構成の構成要素のPKEにはO(k)個の鍵の下でのsPA1安全性が要求されているが、本稿では、弱シミュレーション可能性よりも若干強く見える(しかし実際には直接の比較が不可能な)トラップドアシミュレーション可能性と呼ばれる安全性を要求することによって、2個の鍵の下でのsPA1安全性のみしか必要としない安全性証明が可能である。(2) Dachman-Soledの構成の構成要素のPKEは、一つのPKEがsPA1安全性とシミュレーション可能性を同時に満たすという仮定から安全性証明されているのに対し、提案構成は、二つのPKEを構成要素とし、片方の方式がsPA1安全性(と選択平文攻撃に対する安全性(CPA安全性))を、もう片方の方式がトラップドアシミュレーション可能性を満たす、という仮定から安全性証明ができる。すなわち、提案構成の構成要素についての安全性仮定と、Dachman-Soledのそれとはトレードオフの関係にある。本稿の成果により、2個の鍵の下でのsPA1安全性(とCPA安全性)を満たすPKEとトラップドアシミュレーション可能性を満たすPKEの存在が、CCA安全なPKEが存在することの十分条件となることが分かる。

We provide a symbolic model for multi-party computation based on linear secret-sharing scheme, and prove that this model is computationally sound: if there is an attack in the computational world, then there is an attack in the symbolic (abstract) model. Our original contribution is that we deal with the uniformity properties, which cannot be described using a single execution trace, while considering an unbounded number of sessions of the protocols in the presence of active and adaptive adversaries.

暗号技術を用いて，任意の攻撃方法に対して証明可能安全なプログラム電子透かしを実現する方法について議論する．プログラム電子透かしの定義を新たに提案し，その定義を満たす，任意の穴あけ可能擬似ランダム関数に対する方式を提案する．また，電子透かしが実現不可能な（通常の）擬似ランダム関数の存在も示す．

Yamakawaら(CRYPTO'14)は補助情報付き自己双線形写像と呼ばれる概念を提案し，それを識別不可性難読化と素因数分解仮定に基づいて構成した．また、彼らはその構成が，通常の多重線形写像に対する多重線形Diffie-Hellman(MCDH)仮定の類似である補助情報付き多重線形Diffie-Hellman(MCDHAI)仮定と呼ばれる仮定を満たすことを示し，その応用として他者間鍵交換，放送暗号，属性ベース暗号等を構成した．本稿では，Yamakawaらの構成した補助情報付き自己双線形写像が同様の仮定のもとで，MCDHAI仮定だけでなく，より広いクラスの仮定を満たすことを示す．その応用例として任意の多項式で評価できる準同形署名の構成を与える．この方式は，事前に次数の上限を定めなくて良いことと，暗号文サイズが次数に依存して増大しないという利点を持つ．

計算量的安全性に基づくセキュリティシステムにおいては，CPUの計算機能力が時代とともに進化するという経時的な要因と、攻撃者が正規ユーザと比較してどれだけ大きい計算コストをかけるかという相対的な要因の両者を考慮して秘密情報のエントロピを確保することが必要となる．しかし，CPUの計算機能力の進化は攻撃者だけでなく正規ユーザにも恩恵を与えるものである．そこで本稿では，現在の計算量的安全性の定式化を拡張し，正規ユーザによるCPUの計算機能力の利用に起因するエントロピを、正規ユーザが所持する秘密情報のエントロピに上乗せして扱える計算量的安全性の枠組みを提案する．

インターネットのような広域ネットワークと自動車内部の車載LANの両方に接続されるカーナビやテレマティクス機器のような車載器の普及に伴い，車載器が乗っ取られたり車載LANに不正機器がつながったりすることによる車載LANや電子制御ユニット（ECU）への不正アクセスや攻撃の危険性が懸念されている．本研究では，車載LANにおける機械学習を用いた動的なルールによるフィルタリング機能をもつセキュリティゲートウェイを提案する．機械学習アルゴリズムを車載LANのトラフィックに適用し，高い精度でメッセージを分類できる動的なフィルタリングルールの生成を検討した．機械学習によって生成されるモデルを機械学習の精度評価で一般的に用いられる正解率と偽陽率を算出し評価を行う．また，結果から高い精度でトラフィックを分類できる学習方法を確認し，セキュリティゲートウェイへの適用を考察した．なお，対象となる車載LANとしては，現在の自動車で多く使用されているCANを想定する．

昨年、自動車の情報端末に無線通信を介してアクセスし、プログラムを不正に書き換えた上で、その情報端末から、自動車内部の車載ネットワークに対して任意のCANメッセージを送信し、車載ECUにつながるアクチュエータをドライバーの意図に反して制御する攻撃が発表された。また、将来の自動運転に向け、車載ECUそのものが、車車間通信（V2V）、路車間通信（V2I）などの無線通信を行うことが想定されており、情報端末と同様に、V2Xに対応する車載ECUのプログラムが不正に書き換えられ、攻撃に利用される可能性が指摘されている。一方で、情報端末へのBluetoothやWiFiなどの無線通信を介した攻撃、及び対策技術の評価手法については、これまでにも研究が盛んに行われてきたが、車載ECUに対するCANなどの車載ネットワークを介した攻撃、あるいは対策技術の評価手法については、まだまだ研究が少ないのが現状である。本稿では、車載ECUに対するCAN経由の攻撃への攻撃耐性を評価する手法のモデル化を行い、評価に求められる要件、評価手法についての報告を行う。

自動車に搭載されるECUの増加に伴い, 現在ほとんどの車載ネットワークで使用されているController Area Network　(CAN)の転送容量が不足しつつあることから, Bosch社により提案されているCAN with Flexible Data-Rate (CAN-FD)が次世代の標準になると目されている. 近年, CANに接続されたECUに対する攻撃事例が増えており, CANのセキュリティ上の安全性が盛んに議論なされている. 一方, CAN同様にCAN-FDについても議論が必要ではあるものの, 現状ではほとんど行われていない. そこで, 本稿ではCAN-FDプロトコルの脆弱性を汎用的なファジングツールbeSTORMを用いて検査するために行った実装について報告する. 更に, beSTORMによるCAN-FDメッセージの転送時間の実験結果から, 脆弱性検査のために必要となるメッセージ件数を現実的な時間でテスト可能であることを述べる.

Controller Area Network (CAN) has a lack of an authentication mechanism to distinguish CAN nodes. Introduction of traditional cryptography based authentication methods cause processing delay and impose payload penalties, which hardly satisfy the real-time requirement applications such as powertrain part of in-vehicle network. In order to solve the problem, we propose a pseudo-random number based authentication method that realizes real-time rejection of unauthentic message without imposing payload penalties.

運転支援や快適性を向上させるために自動車の電子化が進んでいるが、情報セキュリティの確保が喫緊の課題となっている。本稿は、情報セキュリティの起点である暗号鍵をより安全に格納することを目的として、Physically Unclonable Function (PUF) の車載応用を検討する。

近年，走行中の車輌同士の通信にアドホックネットワークを応用したVANET（Vehicular Ad Hoc Network）があり，そこでは，デジタル署名を応用した認証方法が提案されている．しかし，この方法ではPKIによる鍵管理や集中処理のため，膨大な通信遅延が発生する．また，車輌が高速で移動しているため，認証が迅速に終わらなければならない．車輌間の通信では，車輌の速度から経路情報，道路状況など，様々な情報のやり取りを想定しているが，そのすべてに高いセキュリティが求められるわけでない．あらゆる状況に必要以上のセキュリティを実現することは，コストの増加や不要な通信遅延が発生することに繋がり，効率的な通信が実現できず，逆に事故が発生する危険性がある．そこで，本研究ではゲーム理論を用いてVANETにおけるリスクとそれに対するセキュリティを実現するためのコストを評価する．認証時や通信時に暗号化をするか否かを選択する車輌と，その情報を信用するか否かを選択する車輌の2車間で協力ゲームを展開する．その際に，情報の内容や通信環境を定義し，様々な状況におけるセキュリティとコストの関連性を検証することで，VANETに求められるセキュリティレベルを調査する．

合理的な証明とは，検証者が証明者に報酬を支払うことによって検証の手間を省くことができる対話証明であり，AzarとMicali(STOC 2012)によって導入された．Guoら(ITCS 2014)は委託計算に応用可能な合理的な証明を提案した．我々はSCIS 2015において，Guoらのプロトコルが検証者の不正を防げないことを指摘し，それを防ぐプロトコルを提案した．しかし，検証に必要な計算時間が増加し委託計算へは応用できなかった．本研究では，ランダムオラクルを用いて検証時間の増加を抑えることで，委託計算に応用可能な合理的な証明を提案する．

安全なメッセージ伝達方式とは，2者間の通信においてチャネルと呼ばれる通信路を複数利用することで，n本のチャネルのうち高々ｔ本のチャネルに盗聴や改ざんを行う敵が存在しても，情報理論的に安全にメッセージを送ることができる暗号方式であり，Secure Message Transmission(SMT)と呼ばれている．SMTの既存研究として， Dolev らによって，完全に安全なSMT方式である Perfect SMT(PSMT)を達成するためには，n ? 2t + 1が限界値であることが示され，また Franklin と Wright によって，通常のチャネルとは別に，公開チャネルを利用することで，非常に小さい確率によるメッセージの送信失敗を許容したAlmost SMT(ASMT)であればn ? t + 1で実現できることが示されている．一方暗号理論のプロトコルにおける参加者は，プロトコルに真に従う正直者と，プロトコルに対し任意の攻撃を行う敵のいずれかが想定されているが，これら参加者の代わりに，ゲーム理論における「合理的なプレイヤー」というモデルを導入することで，より現実的なモデルに対する安全性の議論ができることが知られている．本研究では，SMTにおける敵の代わりに，特定の利得の関係を持つ「合理的な敵」というモデルを想定する時，n ? t + 1でPSMTを構成可能であることを示す．

公開鍵暗号方式では，送信者がメッセージの安全性に興味がなく，暗号化の乱数生成を高コストだと考える場合，メッセージが安全に送信されないという問題がある．この問題に対してゲーム理論を用いて分析した(SCN2012)では，3ラウンドの安全な方式が提案されている．本研究では，繰り返しゲームの仕組みを利用することで，必要なラウンド数を削減し，2ラウンドで安全な方式を提案する．

本稿では, ゲーム理論的に安全なプロトコル同士の結合を考えた場合に, 結合後のプロトコルがゲーム理論的な意味で安全だと示すことができるのか考察する. 従来, 結合可能安全性が保証する性質は秘匿性や正当性といった暗号理論的安全性が主であり, ゲーム理論的安全性についてはそれが明らかではない. そのため, 結合可能安全性とゲーム理論安全性を同時に捉える枠組みを考えることは有意義である. 方針としては, まず最初にCanetti, Vald(SCN 2012)によって提案された局所汎用的結合可能性の枠組みにおいて, semi-honest攻撃者に対して安全な二者間プロトコルをmalicious攻撃者に対しても安全なものに変換するコンパイラを提案し, その後に, 紛失通信プロトコルへの適用を考える. そして, 対象とするプロトコルのコンパイル前後におけるゲーム理論的安全性について解析し, コンパイル後のプロトコルが汎用的結合可能かつゲーム理論的にも安全であることを示す.

近年のweb上の脅威の一つであるDrive-by-Download攻撃では，攻撃に難読化された悪意のあるJavaScriptが用いられることが多い．そこで，難読化が施されていない通常のJavaScriptとの出現する文字の差異に注目し，文字出現頻度を特徴量として，Support Vector Machineによって難読化JavaScriptの検知を試みる手法が提案されている．この既存手法には，特徴量計算が単純で計算コストが低い，JavaScriptの構文解析やエミュレートが必要なく文法的に不完全なJavaScriptも対象とできる，などの利点がある．また，この手法の評価においては，3年分のD3Mデータセットを用いた交差検定による評価が行われている．しかしながら，この評価では，時系列を考慮せずに交差検定を行っており，新しいデータが学習データ，古いデータがテストデータになる場合が発生していると考えられる．これは，時系列的に道理に合わず，実世界に沿った評価ができていないと考えられる．そこで本稿では，この手法に対してデータセットの時系列に基づく再評価を行い，時系列を考慮した場合の影響を示す．

　近年，特定の企業や組織を狙った標的型攻撃と呼ばれるサイバー攻撃（以下標的型攻撃と呼ぶ）が脅威となっている．標的型攻撃にはRAT（RemoteAdministration Tool, Remote Access Trojan）と呼ばれるツールが利用されることがあり，一般的にRATは操作対象ホスト上で動作するRATサーバと，それを遠隔操作するためのRATクライアントからなる．標的型攻撃への対策を行う上で，攻撃者やマルウェアの振る舞いや動向を把握することが非常に重要である．本研究では，攻撃者によってRATサーバが操作される状況を，観測用ホスト上で再現する手法を提案する．提案手法では，実際にRATサーバが操作されている際の通信を記録しておき，これをRATサーバが動作する観測用ホストに送信することで遠隔操作が観測用ホストに与える影響を事後的に詳細解析することができる．本報告では，評価実験により，多くのRATに対して本手法による遠隔操作の再現が可能であることを示す．

実行バイナリにおける脆弱性の一つに，メモリ破壊脆弱性（CWE-119）がある．現在までに，CVEやNVDなどにおいて，メモリ破壊脆弱性が多種報告されている．そして，それらの脆弱性を悪用した数々の攻撃も報告されている．一方で，コンパイラ，リンカ，OS，またはライブラリにおける対策技術が提案・実装されてきた．しかし，コンパイラやリンカにおける対策技術は，ソースコードが必要で開発段階での適用となる．また，ライブラリにおける対策技術は，バージョンなどの依存関係により適用できない場合がある．加えて，「脆弱性を招く関数」を使用する実行バイナリにおいて対策技術が適用されていないものが既に一定数配布されている．そもそも，有効な対策技術であっても，開発者の無知・不注意により適用されないケースもある．したがって，本論文では，OS低依存のアプリケーション層のプログラムローダを用いるアプローチに基づく，メモリ破壊脆弱性群を悪用した攻撃を緩和する手法の提案，実装，および評価を行う．

侵入対策をすり抜けたマルウェアによって感染した端末を見つけるためには、ネットワークで収集できるログ（ネットワーク・ログ）を分析する手法が有効である．従来、マルウェアの動的解析結果から得られた通信の特徴をリスト化し，ネットワーク・ログと照合することで感染端末を検知する手法が研究されてきたが，単一の通信とのマッチングでは，誤検知を生じる可能性が高く，オペレーションで要求される低誤検知率を達成しつつ高い検知率を維持するのは容易ではない．本稿では、マルウェアの動的解析結果をもとに、マルウェアの一連のTCP/IP通信の組み合わせを抽出することで悪性通信パターンを作成し，複数の通信とマッチングさせることによって感染端末を検知する手法を提案する．提案手法を評価した結果、従来手法であるHTTP リクエストに基づいた検知手法に対して，同等の低誤検知率を維持したまま，検知率を向上させることができた．提案手法は，悪性通信パターンをTCP/IP レイヤの情報のみで記述するため，ネットワーク機器からNetflowなどのフロー情報を収集できる環境であれば適用可能であり，近年被害が顕著なIoT デバイスを含む小規模ネットワークをはじめ，パケットの上位レイヤ監視が難しい環境において，高精度に感染端末を検知できる可能性を示した．

近年，分散型DoS攻撃の脅威が深刻化している．DoS攻撃の一手法として，HTTPサーバを攻撃対象としたSlow HTTP DoS攻撃がある．これは，コネクション時間を長引かせ，コネクションを大量に維持し続け，サーバ側のコネクション数を上限まで強制的に引き上げることで，正当なクライアントが接続できないようにするという攻撃である．単独IPアドレスからのSlow HTTP DoS攻撃は，IPアドレスごとにコネクション数を制限することで効果的に防御が可能であることがわかっている．一方で，複数の攻撃元ホストを用い，分散型Slow HTTP DoS攻撃とした場合は効果的な防御が難しくなる．本稿では，IPアドレスごとのコネクション数と，各コネクションの継続時間に着目して，攻撃コネクションを選択的に切断し，サービス不能状態に陥らないようにする防御手法を提案し，その効果を検証する．また，検証結果として，本手法に分散型Slow HTTP DoS攻撃に対する防御効果が認められた点について報告する．

近年、複数のゼロデイ脆弱性を悪用するExploit Kitによる被害が相次いでいる。これらExploit KitのLanding Pageにおいてはブラウザのバージョン、端末で利用しているアンチウイルス製品の検出などの調査を行い、標的とするブラウザと一致した場合のみ脆弱性を悪用するコンテンツのダウンロードを行うことで知られている。Landing Pageの解析を行うことで後続のネットワークトラフィックとして発生しうるトラフィックを推定し、通信ログから被害状況を特定することが可能となる。ただし、現在主流となっているExploit Kitにおいてはアンチウイルスによる検出やIDS/IPSの回避の他、解析の妨害といった目的で、予約語の隠蔽やページ内のDOMの利用などより高度な難読化技術が用いられるようになっており、迅速なインシデント対応を難しくしている。本稿においてはJavaScriptのブラウザ関数の書き換えによる動的解析を用いて難読化JavaScriptを解読する手法を実装し各種Exploit Kitの難読化解除を試みる。

中央大学研究開発機構では，組織間での機密情報の安全な配信・利活用支援をめざし，組織暗号という新たな暗号方式の研究開発を進めている．組織暗号は，暗号化をする送信者が他の組織に属する受信者（復号者）を特定できないことが多い組織間通信への適用を念頭に置き開発中の暗号方式である．また，研究開発と並行し，組織暗号の有用性・有効性を社会に幅広く認知いただき活用を検討いただくためのプロモーション活動を展開中である．本稿では，楕円エルガマル暗号ベースの組織暗号，組織暗号を応用した機密情報配信システムの構成例を紹介すると共に，個人情報を取り扱う業務が多い自治体および医療機関への紹介活動や実証実験の展開状況およびその結果について報告する．

近年, インターネット上のVoIP通話に対する盗聴が問題になっている. 機密性を確保した秘密通話を実現するために, 話者間の相互認証とセッション鍵の交換をする必要がある. VoIPのReal-Time通信の認証とセッション鍵交換の方法としてMIKEY, SDESやZRTPなどがある. 特にZRTPはこの中で比較的安全であると目されており, 実際に多数のVoIPアプリに採用されている. 本稿では, このZRTP の安全性の評価を行う. 具体的には, ZRTP に対して新しい中間者攻撃の方式の提案を行い, 提案した中間者攻撃によって従来の10倍の確率で盗聴が成功することを示す.

汎用PCに加え、家電、自動車など、多種多様な機器がインターネットに接続されるIoT(Internet of Things)時代を控え、機器が得た情報を収集し、その分析結果を利活用する新たなサービスに注目が集まっている。このような用途では、正しい機器から情報が収集されているか、機器が不正に操作されていないかを保証する認証技術が必須となる。従来の認証技術として、TLS(Transport Layer Security)が代表的であるが、機器数が多く、処理・通信性能があまり高くない端末を含むIoTでは、証明書利用による処理・通信量の爆発的増大が課題となる。そこで、本稿では、IDを公開鍵に利用できるIDベース認証機能付き鍵共有技術を利用したTLSを適用し、その実装評価結果を示す。また、本技術のひとつの適用先として、BEMS(Building Energy Management System)向け通信プロトコルIEEE 1888に適用した結果を示す。

従来の公開鍵暗号方式では公開鍵pkにより暗号化されたデータは対応する秘密鍵skによってのみ復号できこの関係は固定的である．そのため，複数のデータを個別にアクセス制御させる用途には向いていない．これに対して関数型暗号(FE)はpkとskの間に複雑かつ柔軟な関係を持たせることが可能な暗号である．よって一つの公開鍵で，暗号化するデータの一つ一つに対して復号条件を自由な形式で定めることが可能であり，クラウド上でのデータのアクセス制御等において非常に有用な手段であると考えられている．しかしながら，想定している関数型暗号の実装には，その暗号方式に関して深い知識が要求されるため容易ではない．これは関数型暗号の現実社会のセキュリティシステムへの普及の障害の要因の一つとなっている．本論文では関数型暗号について深い知識を持たない人でも利用可能なオープンソースでの関数型暗号(CP-FE, KP-FE)ライブラリの実装及び性能評価を行う．

集計サーバに対して回答内容を秘匿可能なアンケートシステムが提案されている．このシステムでは，まず，利用者は回答内容を暗号化してから集計サーバに送信する．集計サーバは暗号のまま集計する．この暗号化された集計結果を復号サーバが復号する．これにより，2つのサーバが個別の回答内容を把握することなく，集計結果を得ることができる．しかし，本システムはオンラインシステムとして一般的なWebシステムでの実装がなされておらず，実用性に関する評価がされていない．また，ユーザの不正も考慮されていない．そこで本研究では，ユーザの不正を検出する機能を追加した上で，プロキシを用いたWebシステムとして実装する．そして，各プロトコルの処理時間を測定し，その実用性を示す．

組み込みマイコンRL78における、ブロック暗号ならびに改ざん検知暗号の性能評価を行った結果を発表する。今回評価対象としたブロック暗号はSimon, Speck、改ざん検知暗号は AES-GCM, Minalpher, SILC, CLOC, Ketje であり、 それぞれ省メモリを目指したものと高速化を目指したものをアセンブリ言語にて実装した。この結果をもとに前者は AES との比較を示し、後者についてはインターフェース仕様の考え方や、モードのオーバーヘッドについてもあわせて議論する。

V2X通信に用いられる楕円曲線暗号の利用法を鑑みて，ECDSA検証処理の高速化に寄与するマルチスカラ倍算手法の必要メモリ，計算コスト，事前計算コスト，ストレージに関する考察を行う．V2X通信では公開鍵をストレージに保管しておき，署名検証の際に公開鍵をストレージから読み込んで計算に用いる．そこで，公開鍵に関する事前計算を行い事前計算結果を公開鍵と共に保管しておくことが，マルチスカラ倍算高速化のポイントになる．同じメモリサイズで計算コストが最も小さくなるのは，共疎形式（JSF）と指数分割テクニック（comb法とも呼ばれる）の組み合わせである．

RNS (Residue Number System)は整数の表現方法の一つであり, その処理の並列性を利用した公開鍵暗号演算の高速実装に関する研究が活発に行なわれている. 本稿では, RNSで剰余乗算を行うために提案されたCox-Rowerアーキテクチャにおいて生じる近似誤差について, 厳密な上限値を与えると共に, これを用いると, 従来知られていた上限値の精度では求めることのできなかった設計パラメータが得られることを示す. また, RNS表現された数値に対して, その符号を推定する関数（符号推定関数）の新たな構成を提案する. さらに, RNS表現から2進数表現に変換する既知の方式の改良を提案する. これら２つの方式のパラメータ設計においても, 提案する誤差上限値を用いることで不要な設計マージンを減らすことが可能となる.

これまで公開鍵暗号としてRSA暗号が広く用いられてきた。RSA暗号では二つの大きな素数の積で与えられる合成数を法として利用しているが、それと同じように楕円曲線を用いたペアリング暗号でも大きな素数二つの積を位数とする合成数位数をもつ曲線を用いる方式が提案されている。本研究では、小さい埋め込み次数の合成数位数ペアリングに対する計算効率の検討を行った。

本稿ではBarreto-Naehrig (BN) 曲線上のoptimal ate pairing の計算方法について議論する。まず、BN 曲線の6次twist に関するelliptic net を用いてpairingを計算する明示的な公式を与える。次にこのpairingを計算するためのelliptic netの計算を並列化する方法について考察する。最後に我々の並列化手法についてその計算コストの評価を行う。

有限体上の種数2の超楕円曲線を用いた安全な超楕円曲線暗号の構成法として知られるGaudryとSchostの$\ell$進位数計算法では等分多項式の効率的な計算法が利用されている。本論文ではGaudryとSchostの等分多項式計算の高速化手法を提案する。また、現実的なサイズの位数計算に必要となる等分多項式計算が提案手法により2割弱程度高速化されることを実装実験によって示す。さらに、提案手法を適用したGaudryとSchostの$\ell$進位数計算法を用いて96bitと128bitの有限素体上の種数2の超楕円曲線の位数計算を行った結果を示す。

近年，楕円ペアリングを利用した暗号技術が注目されている．楕円ペアリングの安全性の根拠の一つに，楕円曲線上の離散対数問題(ECDLP)の計算量的困難性があげられる．本稿ではペアリング暗号に用いられるBN曲線上のECDLPに対して，PollardのRho法を用いた攻撃を考える．現在解読されているECDLPの鍵長は約110bit程度である．また，Rho法の主な演算は素体上乗算であり、素体上乗算を効率的に行うアルゴリズムとしてモンゴメリ乗算が提案されている．そこで本稿では，128bit以下の整数におけるモンゴメリ乗算に対象を絞り，その最適化について考察する．また，提案した手法を用いることでどの程度のECDLPを解読できるかについて実装実験を行う．その結果，標数が80-bitの素数であるECDLPを約3時間で解読できた．

We revisit the Groth-Sahai proof system (EUROCRYPT 2008, SIAM Journal of Computing 41(5)), which provides efficient non-interactive witness-indistinguishable and zero-knowledge proof systems for bilinear groups and is a one of important basis of complex cryptographic protocols. We point out and fix problems in randomization of a proof in the original Groth-Sahai proof systems for multiscalar multiplication equations in the symmetric pairing setting based on the decision linear (DLIN) assumption in~\cite[Section~6.3]{GS12:GS-proof} and~\cite[Section~10]{GS12:GS-proof}, which we call GS1 and GS2, respectively. Formally speaking, we disprove their witness-indistinguishability as follows: * (GS1~\cite[Section~6.3]{GS12:GS-proof}) We disprove \emph{perfect witness-indistinguishability with a hiding common reference string (composable witness-indistinguishability)} by giving a concrete attack; * (GS2~\cite[Section~10]{GS12:GS-proof}) We disprove \emph{computational witness-indistinguishability} by giving another concrete attack. We give a fix of randomization of the proofs and discuss the effect of the above attacks; for example, we can disprove some of non-interactive zero-knowledge proof systems for paring product equations are not perfect zero-knowledge with a hiding CRS (composable zero-knowledge), since they employ the non-interactive witness-indistinguishable proof system for multiscalar multiplication equations.

公平交換方式とは秘密情報を公平に交換するプロトコルである。インターネット上で情報を交換する場合、お互いに正直な人同士であればどちらかが不利益を被ることはない。しかし、どちらかが改竄した情報を相手に送った場合、改竄したデータの受信者は不利益を被ることになる。公平性を保つためには、相手から送られてくる秘密情報が正しいことを確認しなければならない。そして、どちらかが改竄を行った場合には、両者の得る情報量を同程度にする必要がある。これらを実現する手法として本研究では、Groth-Sahai証明を利用し、お互いの秘密情報が正しい情報であることを示す。その後、秘密情報を1bitずつ開示することで公平交換を実現する。これにより、信頼できる第三者を必要とせずに公平交換を実現できる。我々は公平交換方式の安全性を定義し、それを満たす具体的な構成を示す。提案方式は存在的偽造不可能なデジタル署名の交換に対応した公平交換方式となっており、Groth-Sahai 方式と同じ計算量仮定の下で安全である。

パスワードに基づくオンラインユーザ認証は現在でも広く用いられているが、ユーザがパスワードを忘れてしまうとサービスを利用できなくなってしまうという問題があり、多くのウェブサイトにおいては何らかの方法でパスワードを再発行するためのプロトコルが用意されている。著者らはCSS2014及び2015においてこのパスワード再発行プロトコルに証明可能安全性の考え方を導入し、モデルと安全性の定義、一般的構成の提案、及びその方式の安全性証明を行った。本稿では安全性モデルの再考、及び性能評価に関して報告する。

パスワードを用いたファイルの暗号化は広く使われている。しかしパスワード暗号化を行うソフトウェアやハードウェア（暗号化ツール）はその実装詳細を確認できないものも多い。そして従来のパスワード暗号化ファイルフォーマットは、仮に悪意ある暗号化ツールによってバックドアのある暗号化がされていても、それを検知できない。ここでは出力された暗号化ファイルにバックドアが入っていないことを検証できる暗号化方式を提案する。これにより、ブラックボックスな暗号化ツールもより安全に利用できる。

人間同士で行う暗号 / 認証プロトコルの設計においては，人間にとって処理可能なプロトコルでありながら安全性を保証することが求められる．本稿では，人間向けの暗号 / 認証プロトコルにおける既知平文 / 問答攻撃が，それぞれ目的は異なるものの，数学的に共通な枠組みをもつことを指摘することで，両者を統一的に扱う枠組みを提案する．この枠組みに基づいて，厳密な安全性評価が与えられていない，既存の人間向け認証プロトコルに対して厳密な評価を与える．次に，既知平文攻撃が可能な人間向け暗号プロトコルである，ブロックサインの知見を応用した，安全な人間向け認証プロトコルを提案する．提案プロトコルは，人間が訓練によって対応関係の記憶の強化を行えることに着目しており，人間に対する処理の負荷を軽減することに成功している．さらに，提案プロトコルと既存プロトコルの安全性評価を比較することで，提案プロトコルがより高い安全性を持つことが示せる．

Today many countries around the world are implementing the paper based election to demonstrate their democracy and to set up the fate of their countries. Despite the paper based election success still it is threaten by some problems and fraud which are affecting the transparency and success of an election. With the revolution of technology and its success in recent years many countries implemented online electronic voting to empower their e-governance. Although, the solutions are working for the countries with high level of ICT infrastructure and cyber security protection against harmful activities. In countries with low level of ICT infrastructure the unstable ICT base is the main obstacle toward the implementation of online electronic voting. This paper will introduce a new offline electronic voting system, where the citizens in countries with low level of ICT groundwork can vote electronically. The national electronic ID card or national electronic election card is forming the foundation of this research. The voter anonymity, reliability, vote’s ballots security, the user identity and preventing the fraud during election are the main challenges which would be addressed during this research paper.

自動車の車内ネットワークではCAN(Controller Area Network) が用いられている．CANのデータフレームは一般的に，同一のID で周期的に送信されるメッセージが多く含まれる．一方で，周期性が無く非周期で送信されるメッセージも存在する．CAN はセキュリティの観点で脆弱であることが知られており，攻撃を早急に検知することが重要となる．このような攻撃検知の手法は今まで各種提案されている．しかし，現行の手法は主に周期的なメッセージを検知するものであり，著者の知る限り非周期のメッセージによる攻撃を検知する手法はほとんど知られていない．また，検知できる手法であってもECU に改造を必要とするなど，導入コストが高い．本論文では，非周期のメッセージによる攻撃を検知することを可能にするセキュリティアダプタを提案する．本アダプタは既存ネットワークにおけるECUの改造無しに適用することが可能であり，ECU をMAC 認証に完全対応させるまでの移行期に特に有効に使用できると考えられる．

自動車の車内ネットワークであるCAN(Controller Area Network) は攻撃に対して脆弱であることが知られている．従ってCAN では早急に攻撃を検知する必要がある，これに対し，攻撃を検知するための各種手法が提案されている．一方，攻撃を検知した後で，どのように自動車を制御すればよいかという別の課題も存在する．この課題については著者の知る範囲において，有効な解決策は提案されていない．我々は，攻撃検知後に攻撃の影響を受けない時間が数十秒程度あれば，路肩等に安全に自動車を停車することが可能であると考えた．本論文では，攻撃を検知した後で数十秒間の間，安全に自動車を操作可能にするための手法を提案する．

近年，車載制御ネットワークで広く使われるController Area Network (CAN) に対するセキュリティ攻撃事例が多数報告されている一方，既存する車載制御ネットワーク上のECU にはセキュリティ上の機能が搭載されていない．特にコスト制約の厳しい車載制御ネットワークではコスト効率の高いセキュリティ機能の搭載が必要とされている．このため，本論文では，ECU が異常な頻度でCAN バスにメッセージを送信することが無いよう改造されたCAN コントローラを用いることにより，CAN バスへの不正なアクセスを制限する手法について提案する．

近年の自動車は，Internet接続機能やスマートフォン，診断用ポートなどを介して車両外部のネットワークと接続している．これに伴い，車両外部のネットワークを介して，車両内部のネットワークへ侵入し，制御ネットワークであるCAN(Controller Area Network)の脆弱性を利用することで，車両を不正に制御する攻撃事例が複数報告されている．このような脅威に対しては，車両内外のネットワークを接続する車載ゲートウェイにおいて，セキュリティ対策を導入することが重要となる．本稿では，CANにおける不正検知技術として，車載ゲートウェイにおける多層連携CANフィルタを提案し，本手法に対して，既知の攻撃に対する攻撃耐性・処理性能の面から評価を行った．さらに，既知の攻撃のみでなく，正常な制御メッセージとの判別が難しい高度な攻撃に対応するために，CANフィルタの検知精度改善手法についても提案する．

近年，運転支援システムや自動運転システムに見られるように自動車の高度な電子化・ネットワーク化が進展しており，それにともない，車載ネットワークの脆弱性をついた自動車制御の乗っ取り事例などが報告されるようになってきている．このような車載システムのセキュリティは財産的価値に留まらず，人命にも関わる大きな問題となるため，対策技術が重要な課題である．本稿では，近年急速に普及が進んでいる，先進運転支援システムADAS（Advanced Driving Assistant System）に注目した攻撃を検討した．ADASシステム動作時の実車のCANメッセージ解析を行い，不正メッセージによる自動ブレーキなどの衝突回避機能の無効化攻撃を行った実験結果を紹介する．また，現状のCANのメッセージに使用されている，チェックサムフィールドを活用した，軽量MAC認証手法の提案を報告する．

CAN(Control Area Network)は制御系システムの車載LAN規格に用いられている．そして，近年，策定された車載ネットワークプロトコルにCAN FD(CAN with Flexible Data-Rate)がある．CAN FDは可変データレート対応のCANの拡張プロトコルであり，データ長の拡張とデータ伝送速度の大幅な向上が主な特徴である．しかし，CANと同様に，CAN FDのメッセージには送信元情報や宛先情報が含まれず，セキュリティ面に課題があり，攻撃者が正規のメッセージになりすますといった攻撃が容易に行われる危険性がある．CANの脆弱性にはさまざまな研究がされているが，CAN FDの脆弱性に対する研究はあまりされていない．対策としては，メッセージにMAC(Message Authentication Code)を付加する方法が挙げられる．CANではデータ長が短くMACを付加すると帯域が圧迫されてしまうが，CAN FDではデータ長の拡張によりMACを付加したセキュアな通信を実現し易いと考えられる．そこで本稿では，CAN FDでMACを付加してセキュアな通信を行う際に，より適していると考えられるMACの付加方法についてメッセージのデータ長などに着目して論じ，またその際に発生する影響や制限などについてまとめる．

TCC 2015で、Hazayは冪の上での紛失多項式計算(OPEE)プロトコルを二つ発表した. 彼女はそれらを秘匿共通集合計算とコミット化紛失PRF計算に適用させた. 本稿では、最初に彼女のstrong DDH仮定に基づくOPEEプロトコルは失陥が存在することを示す. 次に、DDH仮定に基づく定数ラウンドのOPEEプロトコルを提案する. 一方で、HazayのDDH仮定に基づくOPEEプロトコルはO(log d)ラウンドが必要となる(dは多項式の次数である). 最後に、秘匿共通集合計算への応用を示す.

サイズを隠す秘密計算とは，入力の内容だけでなく，入力長や出力長（の一部）さえも秘密情報として扱う計算の総称である。2013年にLindellらは，二者間秘密計算について，あるタイプのサイズ秘匿は任意の関数について実現可能であるのに対し，別のタイプのサイズ秘匿には実現不可能な関数が存在することを示した。本論文では，多者間秘密計算について，関数の出力，複数の入力の中のどれか1つのみのサイズ情報を隠すことは任意の関数について可能であるが，それらの中の2つ以上のサイズ情報を隠すことは原理的に実現不可能な関数が存在することを示す。これは，Lindellらの結果の一般化である。さらに，攻撃者にコラプトされていない参加者間の通信路の盗聴を禁じた場合，より多様なサイズ秘匿について任意の関数が実現可能であることも示す。

大量の処理が可能なベクトル型のマルチパーティー計算方法を提案する。大量の計算をマルチパーティー計算にて実施する場合、これに必要な通信量が膨大になることが最も問題になる。そこで、最初に３人の参加者による通信量の少ない環のマルチパーティー計算を示す。本計算はたかだか一人の参加者の不正に対して秘密が守られるセミオネスト安全な方式であり、環の乗算一回に関して、各自環を一要素を送るだけで良い。次に、過半数が正直に振る舞えば安全である体のマルチパーティー計算を、セミオネストマルチパーティー計算から構成する。この方式は、利用するセミオネストな方式に対して増加する通信量が少ないものとなっている。最初の結果と合わせることで、通信量の少ないマルチパパーティー計算方式が構成されるが、各体の乗算処理において通信ラウンドが発生する。そこで、全体としての処理量を増やすためには、並列化してベクトル処理とすることを提案する。この方式をGF}(2)}に対して用いれば、互いに2.5Gbps の回線で繋がった３人の参加者により、10,000 個のANDゲートを持つ回路のマルチパーティー計算を、潜在的に秒間 25,000 個処理することが可能である。

決定木計算を既存の秘密計算により行った場合の計算効率について比較を行った．また，事前計算により決定木を効率よく秘密計算可能にする方式を提案した．

We propose a secure multi-party computation(MPC) against adversarial majority, both for semi-honest and malicious adversaries. Our protocol can also be secure when there are adversaries before the pre-processing phase. Our protocol is based on linear codes and in the protocol, every participant does the same thing in the same phase, so that it will not need to insure any honest participant.

近年、64bit版のWindows OSが一般に普及するに伴い、従来の32bitアプリケーションのマルウェアに加えて、64bitアプリケーションのマルウェアも多数出現しつつある。機械学習によるマルウェア静的判定においては、マルウェアから抽出した特徴ベクトルにて判定を行うが、特徴抽出手法によっては、32bitと64bitではその特徴ベクトルの傾向が大きく異なり、判定に影響を及ぼす可能性がある。本研究ではPEヘッダ情報を特徴として用いる機械学習判定を念頭に、32bitマルウェアと64bitマルウェアでの特徴を調査し、その相違と判定への影響を分析した結果を報告する。

近年，日本を狙った大規模なAPT攻撃が活発化している．明確な目的を持って行われる高度かつ執拗な攻撃においてはその被害も甚大となり，事後の対応も慎重かつ確実な判断が要求される．このようなインシデント対応において，まずはネットワークや端末のログから確実に被害範囲を特定することが求められる．その際に，攻撃に使用されたマルウェアの接続先のURLや暗号アルゴリズムなど，判明すると調査の上で大いに役に立つ情報がある．これらの情報を取得するために調査対象のマルウェアを静的解析する場合があるが，調べたい処理を含む実行コードを特定できると速やかに解析にとりかかることができる．本研究では，インシデント対応の初動においてマルウェアの静的解析を行う際に，これが過去に調査したことのあるマルウェアの亜種であった場合，効率的に解析を行うため，関数のコールグラフの特徴に注目して過去に解析したマルウェアの特定の処理に相当するコードを検索するアルゴリズムを提案する．

近年サンドボックスによるマルウェア動的解析が多くのセキュリティ研究者や実務者により行われている．しかしこれらのサンドボックスは，ハードウェア構成，ユーザの操作履歴，環境設定等様々な観点で一般ユーザのマシンとは異なる特徴をもつことが予想され，これにより攻撃者に検知される恐れがある．そこで本研究では，実行環境の様々な情報を取得するツールSandPrintを提案する．これをマルウェア検査・解析サービスに投稿することで，実運用されているサンドボックスから様々な情報を収集し，その特徴を調査する．約4週間にわたる調査実験により，1７のマルウェア検査・解析サービスに投稿したSandPrintが解析者側で共有され，合計65のサンドボックスから情報が収集された．また、PS/2キーボードの使用やシステム起動からの経過時間が60秒以下等，近年の一般ユーザの環境では稀であるがサンドボックスに共通して見られる特徴が確認された．サンドボックス構築時にはこれらの特徴に着目した検知に注意する必要があるといえる．

高度化・巧妙化するサイバー攻撃による被害が年々増加しており，アンチウィルスやファイヤウォール等の入口対策のみで標的型攻撃の被害を防止することは困難になってきている．著者らはマルウェアの侵入および感染を前提として，プロキシに認証を追加することによりマルウェアによる外部サーバとの通信を制御して実害の発生を抑えるとともに，認証を追加する条件を日々のセキュリティの運用を通して自律的に最適化する自律進化型防御システム（AED）の検討を進めている．本稿では，CAPTCHA認証を用いて不審なURLへの接続を制御するリスクベースプロキシ制御技術と，ユーザの認証履歴を機械学習することで認証の追加条件を最適化する認証条件最適化技術とを提案し，一部機能の実装および評価結果を報告する．

未知マルウェア対策手法の1つとして，トラヒックデータを利用したマルウェア感染検知手法が注目されているが，検知精度の向上が課題となっている．ケプストラム分析を利用し時間的な変化を考慮することで検知精度が向上することは確認されているが，効果的なケプストラム分析手法の検討はされていない．そこで，本研究では特徴量抽出部に代表的な2つのケプストラム分析手法を適用させた場合の検知精度を比較し，ケプストラム分析の有効性を検討する．

スマートフォン（以後，スマホ）などの携帯型タブレット端末の普及により，インターネットを通じた情報収集だけではなく，インターネットバンキングやショッピングなどの電子商取引も盛んに行われるようになった． 本研究では日常的な文字を書くという行動をタブレット面への画面タッチによって行い，タッチ情報から予め登録した所有者であることを誤りなく認証することを目的とする．これまでの研究では，スマホ上でサインを書くときの筆記時間と筆跡情報に着目し照合を行ってきた．すなわちサイン一画に相当する筆跡情報をセグメント分割し，各セグメントの角度の筆記方向の変化を個人の特徴量として捉える方法を提案し，セグメント分割の方法や閾値の設定法を検討してきた．本報告では本人間でも筆跡情報が変動しやすい部分を分散値をもとに除去することで認証率の改善をはかった．10人の手書きサインを用いた実験結果によれば，従来の照合方法に比べ，提案法では本人認証率を81%から88%に，偽筆受入率を12%から9%に改善できることが判明した．

生体認証技術の一つとして，継続的に認証でき，かつ，偽造耐性に強い眼球運動（Eye Movement）を用いた方式に関する研究開発が盛んに行われている．眼球運動を利用することで，利用者がディスプレイを見ている限り，認証に必要な作業を意識させずに認証処理を実施することが可能となる．しかし依然として識別精度が不十分であり，有用な特徴量の創出が最大の課題となっている．そこで本稿では，従来技術で有用とされるメル周波数ケプストラムを補完する位相ベースの新特徴量について提案する．その結果，最新のEye Movement コンペティションであるBioEye2015 のデータセットにて評価したところ，最良の条件下において，従来技術のみでは識別率が61%であったものを新特徴量と融合することで82%に向上することができた．

現在，さまざまな分野においてDeep Learning（深層学習）を用いることで，これまでにない性能を達成することが報告されている．特に，画像認識や音声認識では，従来提案されている手法をはるかに凌駕する性能を達成している．バイオメトリクスの分野では，顔認証に適用され，Deep Learning を用いて学習された特徴量を使うことで，人間以上の精度で顔を認証できることが示されている．そこで，本論文では，顔認証以外のモダリティにおける Deep Learning の適用について基礎的な検討を行う．その中で，特に，学習に必要となる大規模なデータの生成について検討する．

近年の生体認証は、イベント会場の入場ゲートのような大勢の人が短時間で認証を行う場面でも利用され始められるようになったが、我々は、このような場面でも指静脈認証を実現するための仕組みとして、指を認証機器に近づけるだけで短時間で認証を行うことができる手振り型指静脈認証システムを提案している。本発表では、この手振り型指静脈認証の登録から照合までの一連の流れを行うプロトタイプシステムを構築したので報告する。手振り型指静脈認証は、近赤外光を透過させた手の指の動画像を撮影し、この動画像の複数フレームから得た指静脈パターンを合成させ、この合成画像を用いて照合を行う。開発したプロトタイプシステムでは、指先の輪郭情報を利用することで動画像の各フレームから指静脈パターン領域を自動的に抽出し、これらを画像処理した上で足し合わせ画像を生体特徴として利用する。このプロトタイプシステム利用して照合実験を行った結果、安定した指静脈認証が行えることを確認した。

IoT機器向けに、個体識別用半導体と半導体試験を組み合わせた個体識別システムを提案する。個体識別用半導体は複数のアナログ回路と、アナログ回路の特性を測定する機能を搭載している。個体識別システムは、製造時に取得した半導体のアナログ特性と半導体をIoT機器へ組み込んだ後に取得したアナログ特性とを比較・照合し、真贋を判定するシステムである。アナログ回路の出力は、同等規模のデジタル回路が出力する情報に比べ、アナログ信号特有の連続性を有しているため、IoT機器の認証用途に利用できる固有の入出力値組み合わせを飛躍的に増加させることができる。温度・電圧変動や経年劣化の影響を大きく受けるアナログ回路の特性は、半導体試験技術を応用してこれを低減させ、安定した識別を実現した。

Semaevによって, first fall degree 仮説の下で$F_{2n}$ 上定義された楕円曲線の楕円離散対数問題の計算量が, n を入力サイズとした時, $O(2^{n^{1/2+o(1)}})$) となることが示された. 彼の方式では, 楕円曲線上の点をm ($2 \le m \le n$) 個のfactor base に分割する場合, 分割が可能か否かと分割可能な時にその分割方法を与える問題はある方程式系を解く問題に帰着される. また, この方程式系を解くコストはfirst fall degree 仮説の下で$O((nm)^{4w})$ である. ここで$w \sim 2.7$は linear algebra 定数である. 方程式を解くコストが, first falldegree 仮説の下で入力サイズn に関してpoly であることは, 特筆すべきことである. 彼は,通常のfactor base の取り方を使い, 点のfactor base への分解可能な確率とfactor base の大きさをrebalance することによってこの結果を得ている. ここでは, 彼の方式にdisjoint factor base を適応する. すると, 点のfactor base への分解確率は基本的にO(1) となり, 非常に小さなサイズのfactor base を取ることによって, 計算量的な観点から見ると, 非常に良い評価が得られる. 詳しく述べると, 「First fall degree 仮説の下で, $F_{2^n}$ 上定義された楕円曲線の楕円離散対数問題の計算量が, n を入力サイズとした時, $O(n^{8w+1})$ となることが示される.」また, 著者による結果を使うと, 定義体の標数が $\ge 3$ の時も, 得られる方程式系のfirstfall degree が$\le 3p+1$ となることが示される. (p = 2 の時, Semaev はfirst fall degree は? 4 であることを示しているが, これは例外である.) これを使うと, 上の結果は一般の標数の場合に拡張され, 以下を得る. 「First fall degree 仮説の下で, $F_{p^n}$ 上定義された楕円曲線の楕円離散対数問題の計算量が,n を入力サイズ, 標数p を（小さな）定数とした時, $O(n{(6p+2)w+1})$ となることが示される.」

GHS攻撃とその拡張となる被覆攻撃は, k := GF(q)のd次拡大体k_d上定義された曲線C_0の離散対数問題をC_0のk上被覆曲線Cの問題に変換して解く手法である. 最近, 奇標数のk上素数拡大次数d=2,3,5,7を持つ拡大体k_dに関して, (2,...,2)型被覆曲線C/kを持つような楕円曲線C_0/k_dの完全分類が行われた. 本発表では, そこで得られた奇標数素数次拡大体上楕円曲線の完全分類表を基にして, 被覆曲線の存在範囲やGHS攻撃の対象となる楕円曲線に対する同型攻撃等に関して議論を行う.

GHS攻撃はk := F_qのd次拡大体k_d上定義された曲線C_0の離散対数問題をC_0のk上被覆曲線Cの離散対数問題に変換して解く攻撃手法である. このような被覆を持つ曲線C_0について, 奇標数のk上素数次数拡大体k_dに対して(2,...,2)型被覆曲線Cを持つような楕円曲線C_0/k_dの完全分類が既に行われている. そこで本論文では, 奇標数のk上拡大次数d = 2, 3, 5, 7を持つ拡大体k_dに関してGHS攻撃の対象となるような種数2超楕円曲線C_0/k_dの完全分類を行った.

MishraとGuptaは標数が5以上の単純ワイエルシュトラス型楕円曲線全体の集合に関する興味深い性質を発見している. その性質とは, 標数が5以上の任意の有限体上定義された単純ワイエルシュトラス型楕円曲線全体の集合に距離が入ることであり, 距離関数の統一的な構成方法を示すことによって距離が入ることを示している. その後, Vetroは上記の集合に対し, MishraとGuptaが構成した距離関数とは異なる距離関数の構成方法を示している. これらの距離関数はサイドチャネル攻撃への対策手法として提案されている. しかしながら, 標数が2, 3の場合については類似の結果が知られていない. サイドチャネル攻撃への対策方法として適用できるかどうかに関わらず, 標数が2, 3の場合について類似の結果を導くことは数学的には自然な問題である. 本稿では, 標数2の有限体上定義された単純ワイエルシュトラス型非超特異楕円曲線全体の集合に対する距離関数の構成方法を提案する.

MishraとGuptaは標数が5以上の任意の有限体上定義された単純ワイエルシュトラス型楕円曲線全体の集合に対する距離関数の統一的な構成方法を示している. その後, Vetroは上記の集合に対し, MishraとGuptaが構成した距離関数とは異なる距離関数の構成方法を示している. また, Hakutaは標数2の有限体上定義された単純ワイエルシュトラス型非超特異楕円曲線全体の集合に対する距離関数の構成方法を提案している. 標数が2の場合の結果を除き, これらの距離関数はサイドチャネル攻撃への対策手法として提案されている. 標数が3の場合, MishraとGuptaが提案した距離関数と同様の議論により, 単純ワイエルシュトラス型非超特異楕円曲線全体の集合に対して距離関数を構成できることは明らかであるが, MishraとGuptaが提案した距離関数と同様, 暗号実装に適用する際には問題点を含んでいる. そこで本稿では, 標数3の有限体上定義された単純ワイエルシュトラス型非超特異楕円曲線全体の集合に対し, 上記の問題点を解消可能な距離関数の構成方法を提案する.

本論文では、物理的な実装に基づく非常に広範囲なサイドチャネル攻撃に対して完全漏洩耐性を持つ署名方式を提案する。敵が漏洩情報から秘密鍵を完全に計算することができない限り、提案署名方式は安全である。より詳細には、制限のない任意の一方向関数を通した秘密鍵の漏洩情報をクエリすることができる敵に対して提案方式は偽造不可能性を持つ。提案方式はpoint-function obfuscationとdiffering-input obfuscationを利用することにより、構成される。知っている限り、これは、最初の一方向関数漏洩に耐性を持つ署名方式。

辻井の提唱する放送・通信の4類型の概念は、情報伝達を放送・通信性と論理性の2つの軸で整理したものであるが、この4類型のなかで「高い論理性」と「高い通信性」によって特徴付けられる組織通信は、これまで明確には意識されてこなかった類型である。組織通信は、組織がその公式の活動として行う通信であり、通信の安心安全性とともに、その内容に対して組織としての責任が問われる可能性が大きな通信であり、そのコンプライアンス性が大きな問題となる。すなわち、組織通信は組織活動の一環として行われる公式の通信であり、違法な通信や社会規範に反した通信内容に対して組織は責任を負うと同時に、組織の規則に反する通信も組織としての公式の通信とは言いがたい。このような通信の法的整合性、組織内規則との整合性は、現在は組織の法務担当者や顧問弁護士など法律の専門家が責任をもち、また、通信を行う職員に対しては彼らに対する倫理教育により担保されていると考えられる。しかしながら今後予想される組織通信の増大を考えると、最新の計算機科学の成果を利用したコンプライアンス検証技術の研究を開始する時期に来ている。本論文は、定理証明技術を利用したコンプライアンス検証の可能性のついて述べる。

改ざん不可能符号は，符号語に対してある種の書き換えができない符号である．ここでいうある種の書き換えとは，元のメッセージと関係のある異なるメッセージに復号される符号語に書き換えることを指す．つまり改ざん不可能符号によって符号化された符号語を敵に書き換えられた場合，符号語の復号結果は元のメッセージか元のメッセージと無関係なメッセージである．改ざん不可能符号を暗号システムに応用することで秘密情報の書き換えに耐性のある暗号システムを構成できることが知られている．最も一般的な改ざん不可能符号のモデルは，敵の符号語への書き換えが1回のみのモデルである．しかし，最近の研究では，複数回の書き換えを行えるモデルや，敵が符号語の一部を得られるモデルなどの拡張されたモデルが提案されている． 本研究では，改ざん不可能符号の新たなモデルとして，敵が符号化時の乱数の一部を得られるモデルを提案し，具体的な方式の構成も行う．

Non-Interactive Key Exchange（NIKE）とは，Diffie-Hellman鍵共有法に代表されるような，二者間で公開鍵の交換以外のやりとりをせずに同一の鍵を共有する暗号技術である．また，関連鍵攻撃（RKA）は，Bellare, Kohno（Eurocrypt 2003）によって定式化された，従来の攻撃よりも強い攻撃である．NIKEの従来の安全性に関して，Freireら（PKC 2013）は攻撃者の種類に応じて4つの安全性を定義し，それらの安全性間の含意関係を示した．本論文ではまず，NIKEに対するRKAを考慮にいれた安全性を4つ定義し，それら安全性定義間の含意関係を示す． 次にそれらの安全性を満たすNIKE方式について考察する．

FujisakiとOkamoto (PKC 1999)は選択平文攻撃に対して安全(CPA安全)である任意の公開鍵暗号方式を，ランダムオラクルモデルにおいて選択暗号文攻撃に対して安全(CCA安全)である方式に変換する手法を示した．驚くべきことに，この変換を適用し得られるCCA安全である方式の効率は，構成要素のCPA安全である方式とほぼ同様である．さらに，彼らはJ. Cryptology 2013においてハイブリッド暗号構成を用いることによって，より効率的である変換を提案した．本論文では，上記の二つの変換において得られる方式が選択暗号文攻撃に対する鍵依存平文安全性(KDM-CCA安全性)を満たすかどうかについて考察する．より詳細には，Fujisaki-Okamoto変換を適用する前の方式に対し元来と全く同じ仮定のみを要求した場合に，変換後の方式がKDM-CCA安全性を満たすどうかを調査し，以下の二つの結果を示す．第一に，FujisakiとOkamotoがPKC 1999において提案した変換を用いて得られる方式は，ランダムオラクルモデルにおいて，一般にはKDM-CCA安全性を満たさないことを示す．そして，一方でJ. Cryptology 2013において提案された変換を用いて得られる方式は，ランダムオラクルにおいてKDM-CCA安全性を満たすことを示す．

近年，自動車の安全運転支援システムや自動運転に向けた技術開発が加速しているが，これらは車に搭載されたコンピュータが，センサや外部からの通信情報に基づいて車の重要な制御を行うこととなっている．近年，車載ネットワークに侵入し，車の重要な制御を奪う事例が報告され，自動車のリコール問題として表面化し，攻撃に対する自動車のセキュリティ対策が大きな課題となっている．車載ネットワークにおいては，MACを用いた認証技術を導入する等の対策の規格化が進み始めているが，車載センサ自体が攻撃されて情報が改竄された場合には通信でのセキュリティ対策は無効化されてしまう．本論文では，センシング段階での情報の信頼性確保を検討するという観点で，2種類の車載測距センサのセキュリティの評価と考察を行った．初期的な検討として，安全運転支援システム用として実車に搭載されている，レーザーレーダーとソナーセンサに対してセンサ測定値を無効化する攻撃（DoS攻撃）を実施した結果を報告する．さらにソナーセンサに関しては，センサ測定値を意図的に改竄することを目標とした基礎実験の結果について述べ，現状の測距センサに対する課題について考察を行う．

近年，組込みシステムの開発において機能安全規格に従った設計が求められており，システム構造の複雑化，開発コストや検証コストの増大を引き起こしている．そして，高い信頼性が要求されるソフトウェアの総量を減らすため，求められる信頼度に応じて複数のパーティションに分割するという手法が取られている．しかしながら，これらの信頼度が異なるパーティション間でペリフェラルを共有しなければならず，このペリフェラルを介して高信頼パーティションやネットワークが悪影響を受けてしまう可能性が考えられる．ペリフェラルを共有する方法としては，高信頼パーティションがペリフェラルを専有し，低信頼パーティションは高信頼パーティションに処理を依頼する方法があるが，オーバーヘッドが大きいといった問題が挙げられる．本論文では，高信頼パーティションが低信頼パーティションから悪影響を受けずに，低オーバーヘッドでペリフェラルの共有を実現する機構を提案する．車載制御を想定したCANコントローラの適用事例を通し，低オーバーヘッドでペリフェラルの共有が可能なことを示す．

In recent years, huge advancements in technology have been made in the automotive industry. As new functionalities and new use cases are added to the vehicles, the software running on electrical control units (ECU) is becoming more and more complex. This growth of complexity has also increased the difficulty and the need for not only functional testing, but also security testing. Fuzzing is a testing technique which is now popular in the IT industry for discovering security vulnerabilities. Most of the time, fuzz testing is performed with a black box approach of the system under test. However, for ECUs, this approach may lack access to enough information for efficiently detecting a vulnerability. In this paper, we propose improvements for fuzzing over the CAN procotol by adding monitoring functionalities of ECUs. We describe a prototype tool that we have implemented and that can integrate these functionalities . Finally, we show how these improvements can be effectively used and we discuss about the relevancy of the additional information that can be gained.

The Development of Information and Communications Technologies (ICT) affected a various fields and it also affected automotive field. Due to this effect, vehicle network protocol such as Controller Area Network (CAN), Local Interconnect Network (LIN), FlexRay were introduced. Although CAN that is one of the vehicle network protocol has been widely used, its security is very vulnerable. To solve this problem, some security solution in CAN has been suggested, but these ideas have problems. In this paper, a security gateway that modified existing gateway in CAN is suggested for defence against spoofing and DoS attack. In case of spoofing attack, it is defended by using sequence of messages based on driver's behavior. By making a table that stores sequence of messages based on driver's behavior, spoofing attack can be detected and whether message is attack or not is determined through verification process using SipHash. Also, a temporal ID using seed and SipHash is used for defending DoS attack. For the verification of our proposed idea, OMNeT++ which is one of the network simulator is used. The suggested idea shows high detection rate and low increase of traffic. Also, in case of DoS attack, suggested idea shows that DoS attack is no effect by analyzing frame drop rate.

本稿では、カードを用いて、不動点を持たないランダムな置換を秘匿したまま生成する問題を考察する。この問題は、Ｎ人のプレイヤーがプレゼント交換を行う場合などに利用可能である。不動点を持たないとは、自分の用意したプレゼントを自分が受け取らないことを意味する。既存研究では、裏面が同一である2色のカードを用いるとランダム置換を秘匿したまま生成できるとともに、置換そのものを明らかにすることなく、浮動点を持たないことの証明が可能であることが知られている。しかし、既存の研究では、カードの山に対して無作為に入れ替えるシャッフル行うだけでプロトコルの成功確率は必ずしも十分とは言えない。そのため、より効率的に行えるランダム置換プロトコルが求められている。本稿では、カードの山に対する無作為なシャッフルに加え、巡回シャッフルを導入し、ランダム置換のプロトコルを構成する。提案プロトコルでは、プレイヤーIDとプレゼントIDを同時にオープンな場でシャッフルする。既存手法と提案手法それぞれのプロトコルでのランダム置換の成功確率を評価し、提案手法の成功確率が優れていることを示す。

物理的なカードを用いて秘密計算を実現するプロトコルをカードベース暗号プロトコルと呼ぶ．既存研究により，NOT，AND，XORなどの基本的な論理演算が安全に実現可能であり，任意の秘密計算はこれらの組み合わせで安全に構成できる．既存のカードベース暗号プロトコルは，カードならではの操作を用いて構成される．例えば，既存研究の多くは，カードの並べ替えやシャッフル操作を用いて構成される．一方で，カードならではといえる操作は他にもあり，カード操作には未だ拡張の余地がある．本稿では，カード操作の分類を行い，既存の方式がその分類された操作で実現が可能であることを示す．また，操作の定式化を行い，カードベース暗号プロトコルの安全性を定義する．それに基づいて，我々が提案した金持ち比べプロトコルの安全性証明を示す．また，金持ち比べプロトコルの効率性の要因となる考え方を用いて，本稿では新たに3者間のじゃんけんプロトコルを提案する．

カードベース暗号プロトコルは物理的なカード組を用いて秘密計算を実現するものであり，そこで使われる最も重要なプリミティブは，シャッフル操作である．ほとんどの既存プロトコルにおいては，カード列をランダムな枚数巡回させる「ランダムカット」や，偶数枚のカード列を二等分割して両者の順番をランダムに入れ替える「ランダム二等分割カット」等，均一な確率分布を持つシャッフル操作が用いられている．その例外として，ごく最近，Kochらは不均一な分布を持つシャッフル操作を利用する新しいプロトコルをいくつか提案し，必要なカード枚数の削減に成功している．しかしながら，そのような不均一分布のシャッフル操作を具体的にどのように実現するかについては未解決である．そこで本研究では，不均一な確率分布を持つシャッフルを安全に実行する手法を提案する．本手法では，カード部分列を収容できる「ケース」のようなものを想定することで，仮想的なダミーカードを作り出し，不均一な確率分布の生成を実現する．そのようなケースとして，箱や封筒のような身近な道具を用いることができるので，人間が実際にそのシャッフル操作を実現することが可能であると考えられる．

非専門家に対して秘密計算の仕組みを伝えるのに有効な手法の一つに，カードを用いた秘密計算がある．カードを用いた秘密計算では，これまでに任意の論理演算が可能であることが示されており，それを実現するための最小カード枚数も明らかになっている．その一方で，カードを用いた秘密計算ではシャッフル操作が計算量の多くを占めているため，シャッフル操作の回数をいかに抑えるかということも大きな課題である．その課題を改善するため，近年では複雑な演算を論理演算の組み合わせではなく，より効率的な構成により実現する試みがあるが，構成される関数のシャッフル回数は明らかにされていない．本研究では，入力に対して任意の論理演算がどの程度のシャッフル回数で構成できるのかを明らかにする．

Many security properties are naturally expressed as indistinguishability between two versions of a protocol. In this paper, we show how to securely realize uniformity properties for any two-party and multi-party functionality in a universally composable way, regardless of the number of corrupted participants. That is, our protocols allow any subset of the parties (with pairs of parties being a special case) to securely realize any desired functionality of their local inputs, and be guaranteed that uniformity properties is preserved regardless of the activity in the rest of the network. This implies that security is preserved under concurrent composition of an unbounded number of protocol executions.

インターネット上で発生している攻撃動向を早期に把握・対策するため，インターネット観測システムが注目されている．インターネット観測システムは，インターネット上の広域に配置された観測点に到達するパケットを収集し，そのデータを攻撃から身を守るための有益な情報として一般に公開している．一方で，攻撃者がインターネット上の観測点の配置アドレスを知るための観測点検出攻撃が存在することが知られている．攻撃者に観測点の配置が露呈した場合，最新の攻撃手法を知ることが困難となる．そこで我々は，パケット送信元の属性に基づいてパケットサンプリングを行い，観測点検出攻撃に対しての耐性を高めながら観測データの情報の質を低下させないことを目的としたパケットサンプリング手法をこれまで提案してきた．また，提案手法のスパイクを用いた観測点検出攻撃に対する有効性を示した．しかし，攻撃者によるスパイクがサンプリング後に大きくなるデメリットも存在した．そこで本稿では，過去の提案における実験結果を基に，更なる観測点検出攻撃に対する耐性の向上を目的とした，複数のパケット送信元の属性に基づいたパケットサンプリング手法を提案する．

特定のホストが割り当てられていないIPアドレス空間はダークネットと呼ばれる．このダークネットには，本来，パケットが到達することはないが，実際には大量のパケットが届く．それらの多くは，送信元を偽装したDDoS攻撃に対する返信や，マルウェアによるスキャンなど，不正な活動に伴うものである．ダークネットに届くパケットを観測・分析することによって，インターネット上で発生している不正な活動の傾向を把握することが可能となる．本研究では，ダークネット観測網で得られたデータに対して，t分布型確率的近傍埋め込み法と呼ばれる次元圧縮手法を適用し，不正活動パターンの分布を可視化した結果について報告する．この可視化により，不正活動のトレンドの把握や，新たな不正活動パターンの発生の検知などを行うことが可能になると期待される．

機械学習型侵入検知システムには学習データ生成コストが高い問題があり，これを軽減するために本研究では2つの提案を行い，評価を行った．まず学習データ数削減を目指し，能動学習により分類の難しいデータの抽出を行うことで少量のデータから高精度なモデルを構築する方法を提案し，検証した．能動学習効果の検証では，まず学習アルゴリズムにSVMを，能動学習の手法としてMargin-Sampling法とLeast-Confident法の2種類を使用した．学習データは侵入検知用ベンチマークデータを使用し， 2種類の能動学習手法と無作為抽出法のみで構築したモデルを比較することで，より少量の学習データでも高精度のモデルを構築できることを示した．また学習アルゴリズムによる学習データ数削減効果の差異を確認するため，SVMとRandom Forestを利用した場合を比較し，2値分類においてSVMの方が能動学習の効果が高いという結果を得た．識別段階では信頼度として確率値を求められるSVMモデルを構築して利用することを提案する．モデルからデータに対する確率値を求め，それらの中央値を閾値としてデータを識別する．距離を信頼度とした識別と検知・誤検知率の差異を比較し，提案手法によって誤検知の大幅な削減が可能なことを示した．

DDoS攻撃の一種として，DRDoS攻撃は問い合わせに対して反射的に応答を返すという機能を持つ端末，即ちリフレクターを利用する反射攻撃のことを指す．そして，DRDoS攻撃の影響で，DDoS攻撃のトラフィックがさらに上げられてきた．典型的なプロトコルに依存する検知手法では，既知の攻撃しか検知できないため，新しい種類の攻撃を検知できなくなる．従来のプロトコルに依存しない検知手法では，フローという同じ送信元と宛先を持つパケットのまとめを単位にし，攻撃された時リフレクターから被害者までのフロー，つまり異常フローの間に，時間単位でのパケットの数が強い線形関係を持つという特性を用いる検知を行うが，攻撃された時リフレクターからのパケットは全て攻撃パケットを仮定するという欠点がある．本論文では，このような欠点を回避するために，DRDoS攻撃の共通の特徴を5つ発見した．そしてそれを元にログファイルから特徴量を抽出し学習する．学習した結果により攻撃の検知を行う．その上攻撃のシミュレーションからもらったデータを用いて実験を行い，検知の成功率について考察した．

機械学習を用いた異常検知型の侵入検知システム(IDS)は、シグネチャ型では検知できない未知の攻撃を検出し得るとして、近年注目されている。一般に、機械学習の識別精度を上げるには、次元削減と呼ばれる学習データの情報量削減が求められるが、データに潜在する正常/攻撃の差異を特徴付ける情報は、IDSの目的のために維持されなければならない。本研究では、抽出した特徴表現の可視化を通じ、ネットワーク攻撃検知に適した特徴抽出手法を模索した。比較実験の結果、Softplus活性化関数を用いた Stacked Denoising Auto-Encodersにより、局所的な特徴抽出を段階的に行うことで、正常/攻撃を分離した状態でデータを3次元に集約することに成功した。

Recently, program code deployed in mission-critical systems is growing drastically, which imposes a great burden on vulnerability analysts. Unfortunately, large scale program often makes it impossible for them to insect target system without oversights based on human errors. In this paper we propose an method for exhaustible search using LALR parser based vulnerability formulation. In proposed system, vulnerable implementation is represented by context-free grammar and translated into LR(1) parsing program. Besides, for achieving scalability, we adopt high performance NoSQL data store for handling information such as line number (location), file name and caller function name. By doing this, we can inspect program code with exhaustive search which enables us to make assure the existence or non-existence vulnerability under inspection in target program. In experiment, we cope with use-after-free vulnerability under memory pressure in Xen hypervisor such as CVE-2013-4371 and CVE-2014-1950. Proposed system can detect the iteration with "for" annotation with improper loop conditions. It is shown that proposed system can detect the vulnerability by exhaustive path and loop search with reasonable computing time.

制御システムは，物理的な動作を行う機械という認識が長年されていたため，セーフティの概念のみでセキュリティの概念を持たずに構築されていることが多い．制御システムのセキュリティは，2010年にイランの核施設を攻撃したStuxnet以降から制御システムにおいても脅威があることが強く認識された．今後，開発・導入するものに対しては，様々なガイドライン等から一応のセキュリティ対策を検討可能であると思われる．しかし，10年以上前から稼働している制御システムのセキュリティ対策については，検討が充分でないと感じられる．このような長い年月稼働している制御システムは，インターネットに接続されていないクローズド環境やOSサポート終了及び製造元の保守終了等の制約により，修正プログラム等の適用ができないため，脆弱性を解消できないシステムと考えられる．本研究は，このような制約下に置かれている制御システムをレガシー制御システムと定義し，現在の制御システムの置かれている状況を調査することで，レガシー制御システム特有の脆弱性に対してセキュリティ向上の第一ステップとなる提案を行う．

プログラムが自身を書換え，命令の隠蔽，改ざん時の自己破壊応答を行うソフトウェアの耐タンパー化手法がある．組込み機器等の自己書換えができないシステムには適用できない．本稿では，自己書換えのできないシステムに対しても適用できる耐タンパー化手法を提案する．提案手法は，プログラム中に複数回出現する命令のうちのいくつかの命令を隠蔽し，隠蔽された命令（隠蔽命令という）から，隠蔽されていない命令（再利用命令という）を呼び出すことにより命令の復帰を行う．隠蔽命令は，プログラム実行時のスタック情報と，ハッシュ値を元に計算したアドレスをcallする動的呼び出しを行い，改ざんがなければ正しい再利用命令を呼び出す．再利用命令は，通常の実行と，隠蔽命令の動的呼び出しによる実行の二通りの実行のされ方があるが，後者の場合のみ再利用命令実行後に隠蔽命令側に処理を戻すよう変更する．もし改ざんされた場合には，プログラムの実行パスが異なり，スタックの値が壊れていくため，プログラムは正常に動作せずに自己破壊応答が起きる．このように自己書換えを用いずに効果的な耐タンパー化を行うことができることを示す．

Slab allocator is a mechanism recently adopted in Linux kernel and distributed object caching system. Unfortunately, slab allocator is its own subsystem for handling chunks (memory fragments), which is not compatible for conventional data protection utilities such as (on-memory) file system encryption libraries. Besides, Slab allocator is not efficient to work with generic crypto libraries partly because transaction is asynchronous, driven by many callback routines and sometimes avoids consistency under high query pressure. As a result, caching layer tends to be complicated to manage, which sometimes causes information leakage. In this paper we propose an endpoint protocol extension for efficient slab encryption. We have implemented our method on Memcached which is widely-used distributed object caching system. In proposed method, SASL (Simple Authentication and Security Layer) protocol is extended for adding function of key-exchange. Then, we inserted stream cipher routine into item manipulation point of object caching system. Our method is file-system or generic crypto library independent, which makes it possible to protect slab data with stream cipher with reasonable resource utilization.

ゲームソフトの不正コピー問題に対し，ユーザ間の通信のみでこれを検知する方式が提案されている．この方式では，各ユーザはユーザ間通信で相手ユーザから検査情報を受け取り，過去に受け取った検査情報を保管するリストを参照することで，相手ユーザが不正コピーされたゲームソフトを所持していることを検知する．しかし，この方式には，ゲームソフトの譲与といった，不正コピーをしていない状況で，譲与を受けたユーザが誤検知されてしまう問題点があった．本論文では，このような誤検知を回避できる不正コピー検知システムのモデル化を行い，これを実現する方式を提案する．モデルの構成として，譲与フェーズと検知フェーズの2つのフェーズを設け，被譲与者は，譲与フェーズで誤検知を回避するための補助情報を保管するリストを譲与者から受け取り，検知フェーズで自身の検査情報と共に補助情報リストを送信することで，誤検知されることを回避できる．システムが満たすべき性質として，誤検知回避機能付き検知可能性とプライバシー要件を定義し，提案した具体的な方式が定義を満たすことを証明した．

In this paper we propose a new fault attack to elliptic curve cryptography systems under assumption that the parameters in the definition equation of the curve have certain faults. The attack algorithm transfers the base point and its scalar multiplication by the secrete key to one of two invalid curves, which are quadratic twist curves with each other. The ECDLP is then solved on the rational point groups of these two curves of which the orders contain small prime factors with high probability, using CRT or Polig-Hellman algorithm and Pollard's rho method. The proposed attack improved success probability of the original attack with parameter faults by Ciet and Joye and is also compared with the attack using twist curves on base point faults by Fouque et. al..

Barrero-Naehrig (BN)曲線$y^2=x^3+b$は、埋込み次数12とj-不変数0を持つpairing-friendly曲線であり、効率的に構成することができる。また、スカラー倍を高速に計算できるtwisted Edwards曲線が注目されている。しかしながら、BN曲線に同型なtwisted Edwards曲線は存在しない。本稿は、twisted Edwards曲線と同型であり、埋込み次数12とj-不変数0を持つ楕円曲線を探索し性質を調べる。

ここでは, 楕円離散対数問題を解く新しい”Bit Coincidence Mining Algorithm!”となずけられたアルゴリズムを提案する. このアルゴリズムは, 楕円離散対数問題を２次式からなる方程式系を解く問題に帰着する. 正確に言うと, $F_q$ (q は素数または素数冪) 上定義された楕円曲線E の離散対数問題は, $d-1$ 変数$d + C_0-1$ 個の2 次方程式からなる方程式系で, $C_0$ は小さな任意の自然数, d は$d \sim C_0 log_2 q$ である整数であるものを解くことに帰着する. この方程式系はとても大きくコンピュータで解く事は難しい. しかしながら, xL アルゴリズムの合理的な計算量見積もりに関する仮定の下で, この方程式系をxL アルゴリズムで解くコストつまり離散対数問題を解くコストは, subexponential であることを示すことができる.

素数体 F_p 上の楕円曲線 E に対し、Icart関数 f: F_p -> E(F_p) の像は E(F_p) の点の約8分の5からなる。結果として、F_p のランダムな元の f による像と E(F_p) 上のランダムな点を識別するのが容易である。同様に、F_p のランダムな元 u の f による像のx座標 x(f(u)) が一様ランダムとは識別しやすい。一方、Farashahiらが x(f(u)) の半分弱の最下位ビットは同長の一様ビット列とは識別不可能であると証明した。つまり、 x(f(u)) の全てのビットが与えられれば一様ランダムとは識別できるが、半分以下のビットが与えられれば識別できなくなる。どの割合が与えられれば識別できるかという自然なオープンプロブレムにつながる。本発表では、 x(f(u)) の最下位ビットの1－εの割合が与えられても一様ランダムなビット列とは識別不可能と証明する。また、その結果をx座標以外の有理関数とIcart関数以外の楕円曲線符号化関数にも一般化する。

Elliptic curves defined over the rational field with large torsion group and positive rank have been used in ECM to achieve higher probability of factoring. Since it is known that elliptic curves over number fields of higher degree such as quadratic fields have larger torsion groups, it is tempting to use such curves in ECM. However, such attempts haven’t been succeeded for random composite numbers until now. This is due to certain properties the number fields, for random composite numbers, the torsion group of an elliptic curve over the number field will disappear on the integer residue ring modulo the composite number. In this paper, based on analysis on prime ideal decomposition and reduction of a quadratic field and the curve defined over it modulo a prime ideal, we propose an extension of ECM for factoring to use elliptic curves over quadratic fields which have larger torsion groups. We calculate the group operation of the elliptic curves not in the residue ring modulo the composite number but over a dummy quadratic extension of the residue ring. Therefore, we can preserve the torsion group over the quadratic fields for arbitrary composite numbers. The method is shown to be able to improve the performance of ECM using Suyama family by simulation experiments.

公開鍵暗号方式は，暗号文受信者が利用する方式を選択することができる．本稿では，プロキシ再暗号化方式を含む公開鍵暗号方式を受信者が選択でき，方式の異なるユーザに対しても再暗号化された暗号文を送付可能なフレームワークとして「general PREフレームワーク」を提案し，一般的構成法による実現方法の一例を挙げる．

本稿では、代理人再暗号化の技術などを用い、準同型暗号を用いた安全な暗号化されたデータの分析について議論する。

本論文は、中央に認証サーバを持つスター型ネットワークにおける、スケーラブルな動的多者鍵配布プロトコル(DMKD)を提案する。このプロトコルでは、認証サーバーに対していかなる情報も漏らさずに利用者間でセッション鍵を共有することができ、動的にセッションに新しい利用者を追加、削除する機能を持つ。また、利用者の秘密鍵または一時的な乱数のいずれかが漏洩した場合でも安全性を保つ。さらに、時間に基づいたForwad secrecyを持ち、一定時刻ごとにセッション鍵を更新する。本稿では、このような DMKDにおける安全性の定義を行い、安全なDMKDの実現例を示す。

暗号の鍵(復号許可)を復号せずに実行するための「組織暗号」を楕円ElGamal暗号を用いて実現するための方式を提案する。選択暗号文攻撃に耐えるべく、Cramer-Shoup暗号を用いた方式も併せて提案し、安全性を考察する。

In this paper, we discuss how to share session keys using PUFs (Physically Unclonable Functions).

車載ネットワークで一般的に使用されているCAN(Controller Area Network) において，各ノードのマルウェア感染による攻撃メッセージの送信を防ぐ方法として，ホワイトリストを用いたCANハブを使用することが提案されている．ホワイトリストハブにはSCIS2014 にて提案された横浜国立大学の方式と，横浜国立大学の方式の問題点を解消したとされている，SCIS2015 で提案された富士通研究所の方式がある．本論文ではまず，富士通研究所の方式の実装評価結果を報告するとともに，実装にて判明した富士通研究所の方式の問題点を説明する．その後，横浜国立大学の方式と富士通研究所の方式の問題点を両方解決する新方式を提案する．

ユビキタス社会や自動運転社会におけるセキュアな車載製品開発の早期実現を目指し、ユーザの安心・安全を実現するための開発スタイルを早急に確立する必要がある。現在、欧米などで車向けの開発プロセスの標準規格を作る動きが本格化しているが、世界中の車業界で足並みを揃えた規格化までにはまだタイムラグがある状況である。本稿では、既存の車業界の開発スタイルである機能安全のV字モデルをベースに情報系のセキュリティ分析手法や・設計・評価などの観点を取り入れ、分散開発やトレーサビリティの確保、フロントローディングに重きを置いたSafety & Security開発ワークフローを提案する。

クルマのIoT化の高まりなど、車外とクルマとのつながるサービスが進展しつつある。一方、クルマのサイバーセキュリティについて攻撃事例報告もあり、その重要性が急激に高まっている。本発表は、つながるサービスの1つとして、スマートフォンとクルマを連携させるサービスを実現するために必要なセキュリティ対策を検討する。スマートフォン連携は、車両からの情報取得、車両機能の制御など、サービスの内容によって、人命、財産、プライバシーなど多岐に影響が及ぶ危険性が想定されるため、適切な情報セキュリティ対策が求められる。セキュリティは先行するIT分野の対策、技術をそのまま車載システムに適用することが望ましい。しかし、現状スマートフォン連携において標準となる対策技術はなく、またリソース制約や応答性など車載適用の課題からIT分野の技術をそのまま取り入れることは難しい。さらに、様々な脆弱性を抱えるスマートフォンに対する攻撃から、ユーザと車両を守らなければならない。本発表では、車載適用における課題、その課題に対し検討したスマートフォン連携のためのセキュリティ対策について述べる。

近年、自動車のセキュリティに対する関心・要求が高まっている。様々なセキュリティのユースケースがあるが、暗号鍵の管理はあらゆるセキュリティ対策の基本となる。メンテナンス用途など、自動車内外のエンティティ間で認証を行うようなユースケースでは車外のサーバーで暗号鍵を管理する必要がある。一方で、車両内通信の完全性を保護するセキュリティのような、自動車内で完結するセキュリティの場合、自動車内で鍵を管理することが適しているユースケースもある。本論文では、自動車内で鍵を配布する２通りの鍵管理手法を提案する。１つは、車載マイコンのセキュリティとしてデファクトスタンダードになっているSHE(Secure Hardware Extension)をベースとした手法である。鍵管理マスタが暗号鍵を生成し、各エンティティに配布することを特徴とする。もう１つは、鍵生成関数を用いて各エンティティが暗号鍵を生成する手法である。少ない通信量で高速に鍵を配布できることが特徴である。試作の結果を紹介し、パフォーマンスの見積もり、セキュリティ性の特徴、及び実装時に気を付けるべき点を紹介する。

本稿では，車載ネットワークLIN通信上で不正動作を誘発する攻撃手法を提案する．近年，車載ネットワークに対する攻撃の脅威が高まっており，既存研究において，エンジン等の制御に用いられるCAN通信上におけるなりすまし攻撃やその対策が多く提案されている．一方で，LIN通信はシート，ステアリング等の制御系に用いられていることから，それに対するセキュリティを考慮することは重要であるが，LINの通信方式は他の通信方式とは異なるなどから，具体的な攻撃手法は発見されていなかった．そこで本稿では，LINの通信方式を解析し，不正動作を誘発する攻撃に対する耐性を評価した結果を述べる．具体的には，攻撃者がLINバスを監視し，正規メッセージ通信に同期して不正メッセージを衝突させることにより，一般的なエラーハンドリング機構によって正規メッセージの発信を停止させると共に不正動作を誘発するメッセージを送信することが可能であることを示す．また，LIN搭載の車載マイコンを利用して提案攻撃法の有効性を実験により確認した結果，不正メッセージをLINバス上に送信することに成功したことを示す．更に，LINバス上で不正メッセージの送信を防御する一般的な対策法を述べる．