Improved Lattice Analysis on Correlation Power Analysis of CRYSTALS-Kyber
◎Yen-Ting Kuo(The University Of Tokyo)
、Atsushi Takayasu(The University Of Tokyo, National Institute Of Advanced Industrial Science And Technology)
Kuo and Takayasu (ICISC 2023) proposed a two-step attack on CRYSTALS-Kyber. At first, they recovered some portions of secret keys using correlation power analysis. Next, they showed that the remaining secrets can be recovered by solving the learning with errors (LWE) problem. They used the standard Kannan's embedding in the second step and concluded that 200 traces in the first step were sufficient for recovering whole secret keys. In this paper, we improve their second step and show that 100 traces are sufficient in the first step. The core observation is that in addition to some portions of secret keys, the first step can recover more portions of noisy secret keys which Kuo and Takayasu did not use in the second step. In particular, the additional portions correspond to either positive or negative values of correct secret keys with high confidence although we cannot determine whether positive or negative. Then, the second step of our attack solves the LWE problem with a special secret distribution, where some secrets are either 1 or -1 indicating that the additional portions are positive or negative. To capture the special secret distribution, we use the half-twisted embedding, a combination of Kannan's and Bai-Galbraith's embeddings, to tackle and solve the LWE problem.
Further Security Analysis for Multivariate Polynomial Signature Scheme QR-UOV
◎Hiroki Furue(The University Of Tokyo)
、Yasuhiko Ikematsu(Kyushu University)
、Fumitaka Hoshino(University Of Nagasaki)
、Tsuyoshi Takagi(The University Of Tokyo)
、Kan Yasuda(Ntt Social Informatics Laboratories)
、Toshiyuki Miyazawa(Ntt Social Informatics Laboratories)
、Akira Nagai(Ntt Social Informatics Laboratories)
、Rika Akiyama(Ntt Social Informatics Laboratories)
、Koha Kinjo(Ntt Social Informatics Laboratories)
The multivariate-based unbalanced oil and vinegar signature scheme (UOV) is expected to be one of the candidates for post-quantum cryptography (PQC). UOV is a well-established signature scheme owing to its short signature and execution time. However, its public key is much larger than that of other PQC candidates. At ASIACRYPT 2021, Furue et al. proposed quotient ring UOV (QR-UOV) as a new variant of UOV, which reduces the public key size compared to the plain UOV. This QR-UOV has been submitted to the NIST additional call for digital signature schemes. For the QR-UOV scheme, there have been proposed two methods of recovering the secret key by using the quotient ring structure. In this paper, we show that these two methods are essentially the same and the key recovery attacks using the quotient ring structure are more efficient than the plain key recovery attacks.
1A2-5
More Efficient Software Implementation of QR-UOV
○Fumitaka Hoshino(University Of Nagasaki)
、Hiroki Furue(The University Of Tokyo)
、Yasuhiko Ikematsu(Kyushu University)
、Tsuyoshi Takagi(The University Of Tokyo)
、Kan Yasuda(Ntt Social Informatics Laboratories)
、Toshiyuki Miyazawa(Ntt Social Informatics Laboratories)
、Akira Nagai(Ntt Social Informatics Laboratories)
、Rika Akiyama(Ntt Social Informatics Laboratories)
、Koha Kinjo(Ntt Social Informatics Laboratories)
Furue et al. proposed a post-quantum signature scheme called QR-UOV, and submitted it to the post-quantum cryptography standardization process of NIST in response to call for additional digital signature schemes. In this submission, they present a software implementation and evaluate its performance. Their implementation has extremely small private key format which slow down the signing process instead. While it would be more preferable to keep secrets as small as possible, redundant private key format can greatly speed up the signing process. In fact, other UOV-type signatures submitted to NIST use such key format. In this work, we present a software implementation of QR-UOV which has redundant private key format, and evaluate its performance on some x86 environments.
Differentially Private Frequency Tables Based on Random Sampling
◎Takumi Sugiyama(中央大学経済学研究科)
、Minami Kazuhiro(統計数理研究所データ科学研究系)
Previous research proposes a random sampling-based technique to produce differentially private k-anonymized data based on random sampling. However, their approach considers all variables in an original dataset as quasi-
identifiers with full domain transformation to guarantee differential privacy. Since all the equivalence classes in anonymized data contain identical records with the same set of attribute values, that anonymized data is not useful for the analysis of microdata. However, we consider random sampling a promising approach to guaranteeing differential privacy on frequency tables since k-anonymized data in which all variables are treated as quasi-identifiers is equivalent to a frequency table. In this paper, we evaluate the feasibility of producing deferentially private frequency tables based on random sampling. Our experiments show that we can produce frequency tables of high data utility when we set small ε to choose a low sampling rate for a dataset with a large number of records.
The notion of the $(\epsilon, \alpha)$-R\'enyi differential privacy ($(\epsilon, \alpha)$-RDP), which is based on the R\'enyi divergence, has been proposed as a relaxation of $\epsilon$-differential privacy ($\epsilon$-DP). This paper introduces $(f, \epsilon)$-differential privacy ($(f, \epsilon)$-DP) based on $f$-divergence. We show a probability preservation inequality, a composition of two $(f, \epsilon)$-DP, and a relationship between $\epsilon$-DP and $(f, \epsilon)$-DP. Using these results, we prove a novel composition theorem of an adaptive composition of $n$ mechanisms all satisfying $\epsilon$-DP. Numerical examples show that the proposed composition theorem via the $(f, \epsilon)$-DP can be tighter than the previous one via the $(\epsilon, \alpha)$-RDP.
SecureSSI: A Model-Driven Security Analysis Framework for Self-Sovereign Identity as a Service
◎Yepeng Ding(The University Of Tokyo)
、Hiroyuki Sato(The University Of Tokyo)
Self-sovereign identity (SSI) is an emerging identity model. Architectural patterns derived from the best practices in existing SSI systems conceptualize Self-Sovereign Identity as a Service (SSIaaS). Nevertheless, the security aspects of SSIaaS remain insufficiently explored. In this paper, we introduce SecureSSI, a model-driven security analysis framework for analyzing SSIaaS against a threat model built on our investigation of real-world security concerns. SecureSSI adopts a modeling language to formalize architectural patterns and threats, alongside security properties articulated in temporal logic. Besides, SecureSSI automates the verification via model checking. Furthermore, we present typical vulnerable patterns verified by SecureSSI to demonstrate its effectiveness and applicability.
近年,世界中の企業や個人は常に情報セキュリティの脅威が叫ばれており,多くの企業では多額のコストを費やし対策を行っている.情報セキュリティの事故・失敗は,これまでに想定されていない新しい事象によるものもあるが,過去から発生している情報セキュリティの事故や失敗の繰り返しも多い.このような状況となった背景として,事故・失敗に対し場当たり的に直接的原因へ対処を行うことで満足してしまうことや,情報セキュリティ分野での失敗事象・経験が浅いことから,脅威分析であるアタックツリー(Attack Trees Analysis)だけでは究明出来ない要因があり,何度も同じ事故・失敗を繰り返してしまうのではないか.そこで本研究では,機械工学の分野において古くから失敗事象・経験を失敗学として培ってきた失敗原因発見手法(失敗マンダラ)を情報セキュリティの分野に取り込むことで,「情報セキュリティ版 失敗原因マンダラ図」を作成し、失敗原因洗い出しの高度化(これまでに原因として洗い出されていた要因発見への省力化および新たな失敗要因の発見)手法の研究を行うことを目的とする.
機械学習などのAIとセキュリティの関係が注目を浴びており,著者らはその関係を(a)Attack using AI,(b)Attack by AI,(c)Attack to AI,(d)Measure using AIの4つに分類すべきであることを示した.その後,ChatGPTが利用可能となり,ChatGPTをはじめとする生成AIが広く使われるようになった.そこで,生成AIの誕生がAIとセキュリティの関係にどのような影響を及ぼすかを検討した結果,Attack by AIとAttack using AIへの影響が大きく,特にAttack by AIは世の中の検討が進んでいないためその必要性が高いことを明確にした。そこで,Attack by AIに対応するため,(a)「ターミネータ」型や「2001年宇宙の旅」型,「マッドサイエンティスト」型にわけてのAIによる人間への攻撃や,それらに対応する対策案の検討を行った.対策案の最適な組み合わせを求めるためには、著者らはMRC-EDC法(Multiple Risk Communicator – Event Tree and Defense Tree Combined Method)を開発してきたが,この方法は定量的アプローチであり,本対象のように対策コストやリスク低減効果の厳密な推定が困難なものには向かないと判断し準定量アプローチである改良MRC-EDC法を開発し,プログラム開発を行い, Attack by AI問題に試適用した.その結果、コスト・効果の良い5つの対策を示すとともに方式の有効性を確認することができた.
近年,Internet of Things (IoT)デバイスの普及に伴い,ハードウェアデバイスのセキュリティ課題が増加している.OS上でアプリケーションが実行されるIoTデバイスでは,OSによる定常的な電力消費とアプリケーションによる電力消費が重なり,複雑な消費電力波形になる.消費電力波形を用いて異常動作検知する従来の手法では,消費電力波形に複数の信号源がある場合,それらからアプリケーション動作波形のみを抽出する必要がある.アプリケーション動作波形の抽出を必要としない手法として,LSTMを用いることで複数の信号源が含まれている消費電力波形を学習させ,予測する波形と実際の波形との差分を見ることで異常動作を検知する手法が提案されている.本稿では,2種類のデバイスにLSTMを用いた異常動作検知手法を適用し,その有効性を評価する.実験の結果,シングルボードコンピュータとFPGAの両方において,LSTMを用いた異常動作検知手法で異常動作の検知に成功した.
近年,Internet of Things(IoT)デバイスの普及に伴い,ハードウェアデバイスのセキュリティ課題が増加している.OS上でアプリケーションが実行されるIoTデバイスでは,OSやハードウェアによる定常的な消費電力とアプリケーションによる消費電力が重なり,複雑な消費電力波形になる.消費電力波形を用いて異常動作を検知するには,測定した電力波形から定常的な消費電力を差し引き,アプリケーション電力波形のみを抽出する必要がある.従来,測定したデータに大きなノイズが含まれていた場合,定常的な消費電力波形をうまく生成できず,アプリケーション電力波形を得られない可能性があった.本稿では,ハイパーパラメータチューニングを導入した生成電力波形によるIoT異常動作検知手法を提案する.提案手法は,測定したデータに大きなノイズが含まれていたとしても,ハイパーパラメータチューニングによって定常状態電力波形の周期を調整することで高い精度の定常的な消費電力波形とアプリケーション電力波形を生成し,異常動作を検知する.実験評価の結果,FPGAチップに実装したハードウェアトロイを含むAES暗号化回路から,異常動作を検知することに成功した.
近年,Internet of Things(IoT)の普及によりデバイス間で多くの個人情報が共有されることに伴い,IoTデバイスのセキュリティ対策が重要となっている.IoTデバイスの未知の脆弱性の発見には,ファジングが有効である.IoTデバイスのファジングでは,デバイスに対する大量のテストケースを生成・送信して動作を監視し,IoTデバイスがクラッシュした場合,当該デバイスの脆弱性が発見されたことになる.従来のファジング手法は手動で初期シードを生成するものが多いが,効率的にデバイスのクラッシュを検出する初期シードを生成することは困難である.本稿では,テスト対象のIoTデバイスに対しファジングの初期シードを,大規模言語モデル(LLM)を用いて生成する手法を提案する.提案手法は,テスト対象のIoTデバイスの仕様と,検査する脆弱性の名称のみをLLMに入力することで,ファジングを効率的に行う初期シードを生成する.実験の結果,LLMを用いて生成した初期シードでファジングを行うことで,手動で生成した初期シードによるファジングでは検出できなかったクラッシュの検出に成功した.
A General Framework of Meta-Meta-Reduction
◎Natsuki Sagara(Tokyo Institute Of Technology)
、Masayuki Tezuka(Tokyo Institute Of Technology)
、Yoshida Yusuke(Tokyo Institute Of Technology)
、Keisuke Tanaka(Tokyo Institute Of Technology)
A meta-meta-reduction is a reduction that reduces a problem to a meta-reduction. By constructing a meta-meta-reduction, we can prove that the meta-reduction does not exist assuming the problem is hard. Fischlin and Fleischhacker (EUROCRYPT 2013) showed that the meta-reduction technique cannot help to rule out reductions reducing from arbitrary problems to breaking EUF-CMA of any signature. In order to consider more kinds of meta-reductions, we give a general framework of meta-meta-reductions. In this framework, we focus on the general properties of the problems that appear in meta-meta-reductions. Additionally, we show the following two results by using this framework. First, we show that the existence of a meta-meta-reduction does not imply the existence of a reduction. Second, we show that no non-interactive hard problem can imply the separation of the RSA problem and the factoring problem.
Fair Exchange with Smart Contract Revisited: Combine ZKCP and FairSwap
◎Haoliang Tang(Kyoto University)
、Mehdi Tibouchi(Ntt Social Informatics Laboratories, Kyoto University)
、Masayuki Abe(Ntt Social Informatics Laboratories, Kyoto University)
In this paper, we review the two main categories(optimistic and pessimistic) to conduct fair exchange. The first one is Zero-Knowledge Contingent Payment, which is a pessimistic protocol and the second one is FairSwap, which is an optimistic protocol. We analyze advantages and disadvantages of these two protocols. Then we introduce a new protocol by combining ZKCP and FairSwap together with an example of Sudoku problem. Our new protocol is an optimistic partial ZKCP with a complaint process for misbehavior. It's a trade-off between the computation of generating zero-knowledge proof and buyer's certitude of goods. The combined protocol is relatively more practical for real-world applications, striking a balance between computational efficiency and buyer confidence.
Expanding Challenge Space on Composing Generalized Sigma-Protocols
◎Zehua Shang(Kyoto University)
、Miyako Ohkubo(Nict)
、Mehdi Tibouchi(Ntt Social Informatics Laboratories)
、Masayuki Abe(Ntt Social Informatics Laboratories)
Zero knowledge proofs have been vital building blocks in many cryptographic applications. Proof of partial knowledge demonstrates knowing certain subset of witnesses for a collection of statements. There has been a long line of research since the very first framework for the composition of sigma-protocols presented by Cramer et al.
We revisit the classical parallel repetition solution to the inconsistency issue between the domain of secret sharing schemes and challenge space of sigma-protocols when the underlying sigma-protocols are generalized with k-special soundness. We present several methods to settle the problem based on different assumptions and relaxations such as 1-out-of-t partial collision resistant hash functions or statistical special soundness.
Proposed Isogeny Multi-signature
◎Mathieu De Goyon(Osaka University)
、Atsuko Miyaji(Osaka University)
Multi-signatures are protocols used when multiple signers wish to produce a joint signature on the same message. They are used in fields such as blockchains. In this paper, we propose a multi-signature by extending the signature Commutative Supersingular Isogeny based Fiat-Shamir signature (CSI-FiSh), as well as its variant CSI-FiSh with Sharing-friendly Keys (CSI-SharK) to a multi-signature. The zero-knowledge proofs and commitments are used to guarantee the security of the protocol. We prove the resulting multi-signature protocol is actively secure in the random oracle model (ROM) by using the Double Forking Lemma Technique.
デバイス内の静的・動的な特徴の組み合わせを用いることで,デバイスを識別するデバイスフィンガープリントという技術がある.認証・認可・アカウンティングなどの用途に供されるが,既存手法には改ざんが容易であるという課題が残る.そこで本稿では,Proof of Work (PoW)を利用したデバイスフィンガープリントを提案する.PoWとは「ある水準の作業をある一定の時間をかけて行ったことを明らかにするプロトコル」であり,PoWの実行時間を特徴量とすることで,攻撃者は「自身の所持するデバイスの性能を超える特徴量」を提示することができない.また,PoWは「求解は困難だが,その検証は容易である」という一方向性を有するため,フィンガープリントの真正性の検証が可能となる.提案手法は,マルチコアCPUのデバイスを対象として,各CPUコアにおけるPoWの実行時間と実行回数を特徴量としたフィンガープリントを実現する.ここで,PoWが確率的なアルゴリズムであることや,OSや他プロセスの動作状況に影響を受けることから,各コアのPoWの実行時間と実行回数は変動する.この問題に対し,PoW,OS,他プロセスを原因とする特徴量変動を抑制する対策をそれぞれ検討する.
2C3-4
Discord上のサイバー犯罪に対するChatGPTを利用した情報収集システム
◎川口 大翔(横浜国立大学大学院環境情報学府)
、Yin Minn Pa Pa(横浜国立大学大学院先端科学高等研究院)
、吉岡 克成(横浜国立大学大学院環境情報研究院/先端科学高等研究院)
、松本 勉(横浜国立大学大学院環境情報研究院/先端科学高等研究院)
フィッシングサイトの件数は増加傾向にある.その要因として,ダークウェブ上でのフィッシングキット販売やPhishing as a Service(PhaaS)の登場により,攻撃者が容易に正規サイトに類似したフィッシングサイトを作成できるようになったことが考えられる.フィッシング攻撃への対策として,フィッシングサイトとして報告されたURLをブラックリストに登録する,ホワイトリストを用いてアクセスできるサイトを制限すること等が挙げられる.しかし,ブラックリストを用いた対策はドメイン名を頻繁に変えることで回避され,ホワイトリストを用いた対策は一般のサイトへの自由なアクセスができない.本稿では,正規サイトとフィッシングサイトの視覚的類似性に着目し,アクセスしたサイトの画面をキャプチャ,登録された正規サイトの画面と比較を行うことで「正規サイトかフィッシングサイト」と「一般のサイト」に分類する.その後,前者のみをホワイトリストでフィルタリングすることでフィッシング攻撃を検知するシステムを提案する.
SezDis Sealing -- a Short, Efficient, and Zero-Storage Distributed Sealing Scheme
○Haochen Kotoi-Xie(Kotoi-Xie Consultancy, Inc.)
We propose a distributed sealing scheme, dubbed "SezDis Sealing," that has a short seal size, is efficient in terms of computation, and requires no extra storage per seal.
We use the term "sealing" to refer to the similar but different idea from digital signature. In a sealing scheme, only the "verifying party" (who may possess some privileged information) but not the general public (possessing zero privileged information) is required to be able to verify the validity and genuity of a seal. To be attributed as a "distributed sealing" scheme, we additionally required that more than one sealing party can operate autonomously (i.e., without communication) and that at least one verifying party can operate autonomously (i.e., without obtaining additional information) on a seal generated by a sealing party that may not be itself (i.e., who may not possess all privileged information of the verifying party).
In this paper, we describe the generic construction of our distributed sealing scheme _SezDis Sealing_ and list its provable security properties. We then give a concrete construction that should provide more than 112-bit of security with a 416-bit seal, which can comfortably be printed or displayed as a 2D barcode.
本稿では,整数を平文とする準同型暗号方式における任意二変数関数計算の効率化を提案する.比較的大きな平文整数に対して任意二変数関数計算を行う先行研究として,前田らの方式(WAHC’22)がある.本研究では,前田らの方式において支配的な処理である多項式評価計算を回避し,より高速なHomomorphic Linear Transformation処理に基づくテーブルルックアップを行うことで効率化を実現する.提案方式についてPALISADEを用いたC++による実装を行い,その結果を報告する.
IIoTを支えるアカウンタブルセキュリティの効率的実装手法
◎阪田 恒晟((株)日立製作所 研究開発グループ)
、小倉 貴志((株)日立製作所 研究開発グループ)
、松本 典剛((株)日立製作所 研究開発グループ)
、安藤 英里子( Hitachi Europe Ltd., European Research & Development Centre)
、ロドリゲス ヴェラ クリスティーナ( Hitachi Europe Ltd., European Research & Development Centre)
、長山 剛((株)日立製作所 クラウドサービスプラットフォームビジネスユニット)
IIoT(Industrial Internet of Things)へのサイバー攻撃の脅威が顕在している.これに伴い,IoT製品を取り扱う企業はセキュリティ法規への準拠とシステム,製品の性能等を両立した妥当な対策の実施,及びそれらの対外的な説明が求められる.対策が説明可能(アカウンタブル)であるためには,「システムを構成する製品へ実装する対策の妥当性」が重要となる.本研究では,法規の要求事項を,システム,製品の性能等を制約として捉えた「制約充足問題」として解くことで,考慮すべき条件を全て満した妥当性があり,且つ製品へ実装可能なセキュアな対策を導出した.対策の導出工数を評価するため,OSSを活用したプロトタイプを作成し,対策の絞り込みにかかる探索数を5%以下に削減できることを確認した.
Channel Key Regeneration Mechanism with Low Communication Overhead Based on Physical Layer Technologies
◎Hong Zhao(Aizu University)
、Chunhua Su(Aizu University)
Securing wireless device communication in the Internet of Things (IoT) is crucial and widely acknowledged. Presently, using physical layer data to create lightweight channel keys is common. Yet, most methods focus on key establishment for single sessions, neglecting the complex needs of key generation and renewal in multiple sessions. This paper presents a new lightweight channel key update method, utilizing information from successful key generation. The design includes a linear feedback shift register to enhance the randomness and security of updated keys. This aims for a dynamic, secure channel key management framework in IoT communications.
Implementation of Multiplicative Masked AES S-Box for M&M Scheme
◎Kaiyuan Li(The University Of Electro-Communications)
、Haruka Hirata(The University Of Electro-Communications)
、Daiki Miyahara(The University Of Electro-Communications)
、Kazuo Sakiyama(The University Of Electro-Communications)
、Yang Li(The University Of Electro-Communications)
Masks & Macs (M&M) is a secure encryption scheme that combines masking and redundancy to defend against side-channel attacks (SCA) and differential fault analysis (DFA). However, the use of redundancy and the implementation with Boolean-masked AES incur an area overhead greater than 2.5 times, as well as a high requirement for randomness per round. In this paper, we employ a novel multiplicative masking scheme in the AES S-Box for the M&M scheme. According to an early-stage evaluation, a drastic reduction in both area and randomness overhead is observed in our S-Box implementation for the M&M-AES. This scheme, featuring the Kronecker delta function, effectively addresses the zero-input issue, a common vulnerability in multiplicative masking. It demonstrates the potential for significantly reducing overhead without introducing new vulnerabilities.
スマートフォンや IC カードに用いられる暗号ハードウェアに対する物理攻撃は,深刻な脅威である.物理攻撃には,クロックグリッチやレーザーなどを用いるフォールト攻撃や,電磁波や消費電力を観測することで行うサイドチャネル攻撃が知られている.電力解析攻撃に対する安全性として広く用いられているWelch のt検定(TVLA)は,フォールト攻撃に対する安全性評価には使われていない.そこで,本研究では,フォールト攻撃の安全性基準の確立や,設計者のフォールト攻撃に対する安全性評価の一手段として,故障感度情報を用いたTVLAを新たに提案する.ケーススタディとして,物理攻撃対策が施されたAES暗号ハードウェアを用いて,提案する評価手法の有効性を示す.
小型化への要求により,半導体チップをプリント基板に直接実装する方式(WL-CSP: Wafer-Level Chip-Scale Package)が普及しつつある.そのような実装方式は,光を遮蔽するパッケージを持たないため,外部光の影響を受けて誤作動することがある.例えば,Raspberry Pi がカメラのフラッシュに反応して再起動を引き起こすXenon Death Flash現象が知られている.これを意図的に行えば,パッケージ開封を伴わないレーザーフォールト攻撃に発展する可能性がある.そこで,現象理解のための基礎実験を行った.トランジスタ(MOSFET)が単体で実装されたWL-CSPチップにレーザー照射を行い,光がトランジスタに与える基礎特性を計測した.
サイドチャネル攻撃において、波形データ採取は通常オシロスコープが用いられる。広帯域で高分解能のオシロスコープは高価であり、さらにオシロスコープの制御や波形データ転送などのオーバーヘッドにより波形採取に時間を要していた。一方、新しいラジオ受信機であるSDR(Software Defined Radio)は低価格にもかかわらず、広帯域をカバーし、高感度で高分解能を有し、実時間で波形データを採取できるため、サイドチャネル攻撃に適していると考えられ、いくつかの実験事例もある。
今回、SDRを用いたサイドチャネル攻撃の有用性を確認することを目的として、MCUにソフトウェア実装したAES暗号に対するサイドチャネル攻撃実験を行うことにした。MCU近傍にアンテナを設置してSDRで採取した波形データを解析した結果、AES鍵を抽出することに成功した。
2G4-2
Covert channel formation using Virtual memory Allocation/Free via laptop
◎Hyeonjun An(Kookmin University)
、Jaeseung Han(Kookmin University)
、Dong-Guk Han(Kookmin University)
A covert channel is a channel that sends data in secret in a way that only certain receivers and senders know. Among the research on covert channels using electromagnetic waves, a study formed a covert channel by confirming that strong electromagnetic waves come out near the clock frequency of DRAM when allocating and releasing virtual memory. However, there is a disadvantage in that it is inconvenient to form a covert channel because strong electromagnetic waves come out only in a fixed place. In order to address the weaknesses of the previous paper, this paper proposes creating covert channels through virtual memory allocation or release via laptops. In addition, two new preprocessing techniques are proposed to match the characteristics of electromagnetic waves because the bit transmission success rate is lowered when using the preprocessing techniques of existing studies. To verify the proposed preprocessing technique the performance is verified by comparing the preprocessing of previous studies with the preprocessing method of this paper. As a result, the signal with a bit transmission success rate of 58.75% in the earlier studies was raised to a bit transmission success rate of 100% through the preprocessing technique proposed by this paper to verify its excellence.
Revisiting the security analysis of SNOVA
○Yasuhiko Ikematsu(Kyushu University)
、Rika Akiyama(Ntt Social Informatics Laboratories)
SNOVA is a multivariate signature scheme submitted to the additional NIST PQC standardization project in 2023. SNOVA is constructed by importing the structure of the matrix ring over a finite field into the UOV signature scheme, and the core part of its public key is the UOV public key whose coefficients consist of matrices. As a result, SNOVA dramatically reduces the public key size compared to UOV. In this paper, we recall the construction of SNOVA, and reconsider its security analysis. In particular, we investigate key recovery attacks applied to the core part of the public key of SNOVA.
「ブロックチェーンにおいて,分権性,スケーラビリティ,セキュリティの3要素を同時に達成できない」というトリレンマは,2017年にEthereumの創設者の1人であるVitalik Buterinのブログで初めて紹介され,今では広く知られている.このトリレンマはブロックチェーンの性能が多く分析される中で経験的に正しいと受け入れられるのみだったが,以前の我々の研究で我々はトリレンマを表す数式を発見した.本研究では,Proof of Workを採用するブロックチェーンがその数式に従うことをシミュレーションで検証する.また,分権性がその数式中にどう現れるかを詳細に分析する.結果,シミュレーションはトリレンマを裏付け,また,既存の分権性表現の1つHHIが式中の分権性と最も強い相関を示した.
ブロックチェーンにおけるPartial Proof of Workに基づくチェーン競合解消ルール
◎櫻井 晶(東京工業大学)
、首藤 一幸(京都大学)
ブロックチェーンにおける攻撃者による意図的なフォークを抑制する手法が今まで数多く提案されてきてきた。その中でも最新のチェーンを選ぶチェーン競合解消ルール (以後last-generated rule)はブロックチェーンプロトコルの大幅な変更を要さずに意図的なフォークを抑制するという点から高い効果を持つ手法である。しかし既存の手法は信頼できる第三者を必要とするか、攻撃者が決めることができるタイムスタンプに手法の有効性がよっている。このような現状からBitcoinをはじめとする既存のシステムにlast-generated ruleを適用するのは困難であった。そこで我々は既存の Proof of Work 型のブロックチェーンシステムに容易に適用可能であり、上記の問題を解決した last-generated rule を提案する。我々の提案する手法は本来はブロックとして機能しない partial Proof of Work をより細かい粒度を持つ時間の基準として活用する。我々の手法は既存のシステムが既に満たす弱い同期性のみを要求する。
Universally Composable Relaxed Asymmetric Password Authenticated Key Exchange
◎Shuya Hanai(Tokyo Institute Of Technology)
、Masayuki Tezuka(Tokyo Institute Of Technology)
、Yusuke Yoshida(Tokyo Institute Of Technology)
、Keisuke Tanaka(Tokyo Institute Of Technology)
Password authenticated key exchange (PAKE) establishes a secure channel between two parties who share a password. Asymmetric PAKE is a variant of PAKE, where one party stores the password in encrypted form to preserve security under the situation that the party is compromised. The security of PAKE and asymmetric PAKE is often analyzed in the framework of universal composability (UC), which makes it easy to design combinations of cryptographic protocols and assess their security. Abdalla et al. (CRYPTO’20) relaxed the UC security of PAKE and showed that the relaxed security definition still guarantees reasonable properties. This relaxation makes it possible to prove the security in the UC framework for several PAKE protocols which are proven secure only in game-based security models. Following their approach, we propose a relaxed UC security definition of asymmetric PAKE, which we call lazy-extraction asymmetric PAKE. We prove that SPAKE2+, a popular asymmetric PAKE protocol, UC-realizes our proposed functionality.
Blind Decryption and Private Information Delivery
○Akihiro Yamamura(Akita University)
We analyze the privacy protection scheme given by Bao, Deng and Feng which is a cryptographic protocol similar to oblivious transfer and private information retrieval schemes. Their scheme is based on a commutative family of ciphers. We point out several security flaws caused by use of an inadequate commutative family of ciphers. Moreover, we remedy the defects by proposing a new scheme that is regarded as an extension of their scheme. We use an approach different from them; we formalize a double encryption and blind decryption scheme employing the ElGamal encryption algorithm and apply it to realize a private information delivery scheme which is an extension of the privacy protection scheme.
Assuring Trust in Confidential Data Use by Identity Management
○Sven Wohlgemuth(Intelligent Systems Laboratory, Secom Co., Ltd.)
、Kazuo Takaragi(Hisafe, Ltd.)
、Takashi Kubota(Waseda University)
、Katsuyuki Umezawa(Shonan Institute Of Technology)
、Keisuke Hasegawa(Intelligent Systems Laboratory, Secom Co., Ltd.)
An information market should support availability of information by trading usage rights within regulatory frameworks. Since its users are partners in a supply chain and competitors in others, evidence on privacy is required to reduce the risk of information leakage. Identity management is the basic security infrastructure to provide evidence for decision-making on privacy, but the necessary secondary use of identity lacks control. We introduce an adaptation of the risk management process of regulatory frameworks to this operational risk. As privacy evidence, secure delegation of rights realizes an early warning system on critical risks, which assures trust assumptions in identity.
Oblivious Encryption: Toward an encryption scheme where decryption can be probabilistically controllable
○Taisei Takahashi(University Of Tsukuba)
、Akira Otsuka(Institute Of Information Security)
、Kazumasa Omote(University Of Tsukuba)
This paper proposes a new encryption scheme called the Oblivious Encryption Scheme, in which decryption is probabilistically controllable. Sender Alice encrypts a message and sends it to the receiver(chooser), Bob. Bob can decrypt the ciphertext with pre-agreed probability but may not be able to decrypt the ciphertext depending on the probability. Furthermore, we present the prospect of a function where the receiver can not decrypt the ciphertext but only by a third-party regulator. We adopt Verifiable Secret Sharing (VSS) and Committed Oblivious Transfer (COT) protocol to construct our proposed scheme. As an application, our proposed method can be used to audit electronic currency. For example, conventionally, if the auditor audits an anonymous money transfer of more than $10,000, it is impossible to audit relatively high money transfers such as $9,999. However, our method makes it possible to audit with a probability of 9999/10000, which allows for more flexible auditing.
A Hardware Implementation of AES Algorithm using a Composite Field
○Kexin Li(Okayama University)
、Samsul Huda(Okayama University)
、Md. Arshad Ali(Hajee Mohammad Danesh Science And Technology University)
、Yasuyuki Nogami(Okayama University)
、Yuta Kodera (Okayama University)
In the Advanced Encryption Standard (AES) official document, SubBytes acts on the extension field GF(2^8), based on the irreducible polynomial p(x)=x^8+x^4+x^3+x+1, which outputs the transformed 8 bits value by looking up the table according to the 8 bits input value. In this context, field programmable logic gate array (FPGA) is used as the hardware acceleration platform. However, whether using a static substitution table approach or using polynomial computation to obtain the transform value, the use of Look-Up Tables (LUTs)resource consumption is still large.
In this paper, the composite field GF(2^4)^2 is used to improve storage space consumption. Inverting an element is done by mapping a value on GF(2^8) to GF(2^4)^2 and selecting an irreducible polynomial on GF(2^4)^2. After testing, we evaluate the reduction of the consumption of LUTs based on S-box on composite field. On the other hand, using the elements on GF(2^4)^2, the inverse operation is performed. Splitting the 8 bit input character into high and low 4 bits and mapping them into GF(2^4) respectively makes the operation easier. In the final test of the results, the use of AND-OR gate in the composite field is compared to the use in GF(2^8).
Decision trees such as BDD (Binary Decision Diagrams) are commonly used for decision-making.
The structure of the decision tree might be the know-how of the owner of the tree. Thus, when Alice provides a decision tree and Bob evaluates the tree, Alice wants to hide the structure of the decision tree from Bob. Though Bob can know the information about the nodes Bob traversed, the other node/edge information must be hidden. During the evaluation, Bob might use his private information. Thus, the traversed node/ledges and the final result need to be hidden from Alice. To achieve these requirements, we propose a card-based decision tree evaluation protocol.
2者間非コミットメント型カードプロトコルにおいて,グラフをアクセス構造ととして取り扱う.与えられたグラフから1頂点を選択することを秘密の入力とし,入力を秘匿しつつ2点間の距離のみを出力する秘密計算を提案する.
これは一致関数の拡張として考えることができる.特にJohnson association schemesを実現する2色カードを用いたナイーブなプロトコル実装を出発点として,与えられたグラフ上の距離で出力を表現する非コミットメント型カードプロトコルに関する複数の具体的な事例を提示する.これらの事例を考察することで,ランダムカットを用いた単純な新しいカード入力の制限方法を導入することにより,これまでに実現でされていなかったカードプロトコルの系列を実装できることを示す.さらに代数的組み合わせ的Difference setを活用して,出力結果の開示フェーズの効率向上が可能であることを報告する.
Card-Based Zero-Knowledge Proofs for Decomposition Puzzles
◎Suthee Ruangwises(The University Of Electro-Communications)
、Mitsugu Iwamoto(The University Of Electro-Communications)
Decomposition puzzles are pencil-and-paper logic puzzles that involve partitioning a rectangular grid into several regions to satisfy certain rules. In this paper, we construct a generic card-based protocol called printing protocol, which can be used to physically verify solutions of decompositon puzzles. We apply the printing protocol to develop card-based zero-knowledge proof protocols for two such puzzles: Five Cells and Meadows.
近年の自動車開発では消費者への納車後にOver The AirやPlug and Playによりソフトウェアやハードウェアを更新し,機能の追加や更新を行う要望が増加しており,この課題に対応するためにサービス指向アーキテクチャが注目されている.AUTOSARにより規定されているサービス指向通信ミドルウェアのSOME/IPではTCP/IPスタック上で通信を行う仕様となっており,SOME/IP自身では暗号化および認証の仕組みは持っていないため,なりすまし攻撃に脆弱である.本稿では,パケットSwitch上に異常検知アルゴリズムと通信保護アルゴリズムを実装することで,サービス探索時に攻撃者の存在の可能性を検知し,正規のServer-Client間の通信を保護する方式を提案する,SOME/IPプロトコルスタックのプロトタイプ実装であるvsomeipを用いた実機評価で,正規のServerによるサービス提供が無効化されない限りServerになりすます攻撃を100%検知できることを確認した.
3E2-4
A Study of the Reliability of Electronic Control Unit Fingerprinting Methods
○Camille Gay(Yokohama National University / Toyota Motor Corporation)
、Tsutomu Matsumoto(Yokohama National University)
Modern vehicles rely on a network of Electronic Control Units (ECUs) connected with a communication protocol such as Controller Area Network (CAN). To protect ECU networks from cyber-attacks, researchers have proposed several countermeasures, a subset of which mainly relies on monitoring ECU clock skews using CAN message timestamps. In this paper, we evaluate the reliability of these countermeasures on two modern vehicles, and demonstrate several issues with them. We show that CAN message periods do not always depend only on the clock skew of an ECU, and that the message destination identification method and non-transmitting ECU detection method proposed by related work are not effective. As an alternative, we suggest analyzing the distribution of inter-arrival timestamp differences for noninterfered CAN frames, which are frames that started transmission when the CAN bus was in an idle state. We show as a proof of concept how this distribution can reveal anomalies with ECU software.
脱炭素社会の実現に向けて,太陽光発電や風力発電などの再生可能エネルギーの活用が進められており,再生可能エネルギーから発電・蓄電する分散型電源の活用が期待されている.その中でもバッテリを搭載し充放電可能な電気自動車(EV)は市場普及が拡大しており,分散型電源としての活用が見込まれている.EV充電において,EV充電器と電力制御を行うサーバー間の制御通信にはOpen Charge Point Protocol(OCPP)が広く利用されているが,その脆弱性も指摘されている.そこで,本論文ではOCPPプロトコルに着目し,通信プロトコル仕様をもとに想定される攻撃シナリオについて検討し,セキュリティ対策について考察を行う.
近年、OTシステムを対象としたサイバー攻撃は増加傾向にあり、鉄道システムにおいても影響がでる事例が海外で報告されている。国交省「鉄道分野における情報セキュリティ確保に係る安全ガイドライン、TS50701(ptIEC63452)では、製品に脆弱性が無いかどうかを確認する脆弱性試験が要求されている。本報告では、セキュリティ知識やテスト経験の少ない人材であっても、鉄道システムに使用されている汎用技術の既知脆弱性に関する試験項目を抽出し試験環境を特定し、優先度を評価できる手法を報告する。テスト設計手法の評価のため、将来的なセキュリティ認証化が予想されており、セキュリティ要求への対応が今後求められる可能性が高いことと、外部情報に基づき鉄道制御を行う重要システムのため高いセキュリティ性が求められることから、本報告での試験設計の対象は、FRMCS(Future Railways Mobile Communications System)のアーキテクチャを用いた。FRMCSのセキュリティ分析結果を用いて、攻撃経路上の汎用技術項目を特定し、特定した汎用技術項目から試験項目を立案し、各試験項目でCVSS値のリスク評価と試験に必要な設備、技術、期間で実現可能性評価を実施した。
Attack Path Extraction via Semi-Automatic Analysis of Cyber Threat Reports
○Khang Mai(Japan Advanced Institute Of Science And Technology (Jaist))
、Razvan Beuran(Japan Advanced Institute Of Science And Technology (Jaist))
、Ryosuke Hotchi(Nec)
、Sian En Ooi(Nec)
、Takayuki Kuroda(Nec)
、Yasuo Tan(Japan Advanced Institute Of Science And Technology (Jaist))
The increasing complexity and diversity of computer systems and cyber-attacks resulted in an increased focus on automatic analysis and response in the cybersecurity research community. This paper proposes a semi-automatic framework for the analysis of cyber threat reports based on expert knowledge integrated in the framework itself. The cybersecurity events and entities from the threat report text are extracted via a dependency tree and further refined via a labeling process. For this purpose, we developed a subsystem inspired by Weak Supervision to weakly assign each entity to a cybersecurity label. For information linking, each cyber threat report is transformed into a graph. We subsequently conduct fuzzy graph alignment to match adversarial techniques mentioned in the public knowledge base MITRE ATT&CK to the report content, and finally generate the attack path. The preliminary evaluation shows that our framework could generate acceptable attack paths when compared with AttacKG, a similar framework for automatic report analysis. The main contribution of the paper are the weak supervision subsystem for the automatic annotation of cybersecurity text, and the semi-automatic framework for extracting attack paths from cyber threat reports.
ALTEQ, a NIST PQC candidate: overview and future research directions (on the computational aspect).
Markus Bläser(Department Of Computer Science, Saarland University)
、Dung Hoang Duong(Ic2, School Of Computing And It, University Of Wollongong)
、Kazuhide Fukushima(Information Security Group, Kddi Research Inc)
、Anand Kumar Narayanan(Sandboxaq)
、Thomas Plantard(Nokia Bell Labs)
、○Arnaud Sipasseuth(Information Security Group, Kddi Research Inc)
、Gang Tang(University Of Sydney)
In this short presentation we reintroduce ALTEQ, a NIST PQC candidate that was submitted to answer the call for additional signatures. ALTEQ is based on the ATFE (Alternate Trilinear Form Equivalence) problem using the FS (Fiat-Shamir) transformation over the GMW (Goldreich-Micali-Widgerson) protocol. We reintroduce the submission and discuss future research directions related to the submission.
現在NISTによるPQC標準化プロジェクトが進められており,任意の量子アルゴリズムを考慮するQROMにおける安全性評価が重要となっている.
Donらはpublic coin型の対話型証明が3ラウンドのcommit-and-open型 (C&O)の場合,Fiat-Shamir変換によって構成される署名はQROMにおいて高い安全性を達成することを示した.しかしNISTのPQC標準化プロジェクトに提出されたmulti-party computation in the head (MPCitH)署名はC&Oだが3ラウンドではなく,5ラウンドや7ラウンドの対話型証明にFiat-Shamir変換したものである.そのためDonらの証明を直接適用することができず,MPCitH署名の多くはQROMにおける安全性評価が行われていない.
本研究ではDonらの証明を参考にし,一般のラウンド数のC&O型の対話型証明に対するFiat-Shamir変換の安全性評価を行う.また実際にNISTのPQC標準化プロジェクトに提出されたMiRitHとMQOMに対してQROMにおける安全性評価を行う.
4A2-3
Quantum-access Security of Probablistic Fiat-Shamir Signature Schemes
○Quan Yuan(The University Of Tokyo)
、Tsuyoshi Takagi(The University Of Tokyo)
Fiat-Shamir transformation is widely used in constructing signature schemes, say FS-SIG. The post-quantum security of FS-SIG has been proven secure in the QROM assuming the underlying ID scheme is secure honest-verifier zero-knowledge (HVZK). However, the quantum-access security of (textbook) Fiat-Shamir signature schemes is an open question. Quantum-access security is a stronger security model than post-quantum security for cryptographic schemes, where attackers can send quantum queries to the online oracles (such as signing oracle in signature schemes).
In this paper, we revisit the quantum-access security of Fiat-Shamir signature schemes. First, we propose a (strictly) stronger notion than the regular HVZK, say quantum special HVZK (qsHVZK). Then, we prove that if the underlying ID scheme is secure and qsHVZK, the resulting FS-SIG is quantum-access-secure in QROM. Finally, we give a construction of (a weak version of) qsHVZK ID scheme based on the hardness of LWE.
Memory tightness of reductions in cryptography, in addition to the standard tightness related to advantage and running time, is important when the underlying problem can be solved efficiently with large memory as discussed in Auerbach, Cash, Fersch, and Kiltz (CRYPTO 2017). Diemert, Geller, Jager, and Lyu (ASIACRYPT 2021) and Ghoshal, Ghosal, Jaeger, and Tessaro (EUROCRYPT 2022) gave memory-tight proofs for the multi-challenge security of digital signatures in the random oracle model.
This paper studies the memory-tight reductions for _post-quantum_ signature schemes in the _quantum_ random oracle model. Concretely, we show that signature schemes from lossy identification are multi-challenge secure in the quantum random oracle model via memory-tight reductions. Moreover, we show that the signature schemes from lossy identification achieve more enhanced securities considering _quantum_ signing oracles proposed by Boneh and Zhandry (CRYPTO 2013) and Alagic, Majenz, Russel, and Song (EUROCRYPT 2020). We additionally show that signature schemes from preimage-sampleable functions achieve those securities via memory-tight reductions.
Horizontal CPA on bit-slice block cipher_Case study Robin
◎Hyejin Park(Kookmin University)
、Ju-Hwan Kim(Kookmin University)
、Jaeseung Han(Kookmin University)
、Dong-Guk Han(Kookmin University)
Correlation power analysis (CPA) is one of the classical side-channel attacks. The S-box of a bit-slice block cipher is stored and calculated in different registers for each bit. For this reason, the existing single-bit CPA for bit-slice block ciphers performed a bitwise analysis of the S-box output, enabling efficient CPA. However, the existing research has the limitation that it does not fully utilize the bitwise information of the S-Box output. Therefore, in this paper, we propose a technique to aggregate all bitwise information of S-box output leaked at different times when performing single-bit CPA. The proposed method utilizes more information than the existing single-bit CPA, so it is possible to analyze the secret key with less data. In the general bit-slice model, the proposed method can maintain the correlation coefficient ratio with 1/d times less trace (d: the number of times a trace is divided within the analysis interval). As a case study, Robin, a bit-slice Cipher, performs CPA with measured power consumption on the 32-bit MCU STM32F-03 using CW-Lite and CW308. The experiment verified the inference theory and succeeded in analyzing the secret key with higher analysis performance than the existing method.
4B2-4
Single Trace Analysis of Comparison Operation based Constant-time CDT Sampling and Its Countermeasure
◎Keon-Hee Choi(Kookmin University)
、Ju-Hwan Kim(Kookmin University)
、Jaeseung Han(Kookmin University)
、Jae-Won Huh(Kookmin University)
、Dong-Guk Han(Kookmin University)
Lattice-based cryptosystems sample secret or significant values from the Gaussian distribution. The Cumulative Distribution Table (CDT) sampling is one of the methods using the table used to sample from the Gaussian distribution. In fact, it is implemented in various methods, such as FrodoKEM, Falcon, MITAKA, SOLMAE, and more. In the cases of FrodoKEM and Falcon, CDT sampling is implemented using subtraction-based method, which have been studied in side-channel analysis. However, the comparison operation based method utilized in MITAKA, SOLMAE, and similar approaches has yet to be explored. This paper suggests that a new Single Trace Analysis (STA) can recover the result value of comparison operation based constant-time CDT sampling. In an experimental setting, we measured the power traces of CDT sampling operating on an 8-bit AVR MicroController Unit (MCU) using Chipwhisperer-Lite. We observed that the same vulnerabilities persist across all optimization levels. We propose a countermeasure to remove the vulnerability when implementing constant-time CDT sampling based on comparison operation.
4B2-5
Side-Channel Attacks and Countermeasures on Digital Signature AIMer
◎Jaeseung Han(Kookmin University)
、Dong-Guk Han(Kookmin University)
The NIST PQC round 1 additional signatures have commenced, with a total of 40 signature algorithms have been submitted. Among these, AIMer is an MPC-in-the-Head (MPCitH)-based digital signature algorithm that uses the MPCitH-friendly symmetric primitive AIM to perform signing and verification processes. While previous research has addressed side-channel attack(SCA) and countermeasures for Picnic, another MPCitH-based electronic signature algorithm, it is essential to investigate SCA for AIMer due to its distinct symmetric primitive structure. In this paper, we outline potential side-channel leakage points in AIMer's signing process and conduct correlation power analysis on one such point in an ARM Cortex-M4-based environment, demonstrating its vulnerability to SCA. In addition, we propose a masking technique to remove side-channel leakage for AIMer.
Public Key Infrastructure(PKI)は公開鍵暗号方式を利用し、距離や時間が離 れていても人や物、事柄などを電子的に信頼するために広く使われている。しかしこれを欺いて本来構築されていない信頼があるように見せかけ、それに基づいて成立した取引による利益を不正に獲得しようとする活動は継続して確認されている。本書では、PKIに関連するサイバー 攻撃のうち、実在の一般企業向けに発行された証明書がマルウェアのコード署名に使用された事例を取り上げ、現在の問題点の整理と今後の発展についての予想と提案を行う。
On Non-Interactive Blind Signatures for Random Messages
○山村 和輝(NTT社会情報研究所)
、奥田 哲矢(NTT社会情報研究所)
、藤﨑 英一郎(JAIST)
ブラインド署名は委託型の匿名署名であり、署名したいメッセージを持つユーザと秘密鍵を持つ署名者の対話により、メッセージを署名者に秘匿しながら署名生成を可能とする。すなわち本来であれば、ブラインド署名を実現するためには対話が不可欠であるが、Eurocrypt 2023で、署名対象のメッセージがランダムであれば、非対話によるブラインド署名が実現可能であることが示された(Non-Interactive Blind Signatures for Random Messages: 以下NIBSと略す)。具体的には2つの構成方法(構造維持署名SPS-EQを用いたランダムオラクルモデルでの構成方法とCRS及びランダムオラクルモデルによる一般的構成方法)でNIBSが構成可能であることが示されているが、本稿ではこのNIBSについて、CRS及びランダムオラクルを必要とせずに構成可能であるのかを中心に考察する。
匿名性と追跡可能性は両立するのが難しい二性質である.Group signatures with designated traceability は,署名者が追跡者(開封者)を,属性上のアクセス構造で指定可能なグループ署名スキームである.本稿では,対称鍵要素のみからこのスキームを,all-ANDのアクセス構造について構成する.ここで対称鍵要素は,擬似ランダム関数,ハッシュ関数及びコミットメントである.構成スキームは量子計算機の計算能力に対し安全であると期待される.
4E2-4
Auditable Attribute-Based Credentials Scheme and Its Application in Contact Tracing
Pengfei Wang(Tokyo Institute of Technology)
、◎Xiangyu Su(Tokyo Institute Of Technology)
、Mario Larangeira(Tokyo Institute Of Technology, Iohk)
、Keisuke Tanaka(Tokyo Institute Of Technology)
The limited functionality of existing privacy-preserving contact tracing systems highlights the need for new designs. Wang et al. proposed an environmental-adaptive framework (CSS '21) but failed to formalize the security. The similarity between their framework and attribute-based credentials (ABC) inspires us to reconsider contact tracing from the perspective of ABC schemes. In such schemes, users can obtain credentials on attributes from issuers and prove the credentials anonymously (i.e., hiding sensitive information of both user and issuer). This work first extends ABC schemes with auditability, which enables designated auditing authorities to revoke the anonymity of particular issuers. For this purpose, we propose an ``auditable public key (APK)'' mechanism that extends the updatable public key by Fauzi et al. (AsiaCrypt '19). We provide formal security definitions regarding auditability and build our ABC scheme by adding a DDH-based APK to Connolly et al.'s construction (PKC '22). The APK mechanism can be used as a plug-in for other cryptographic primitives and may be of independent interest. Finally, regarding contact tracing, we refine Wang et al.'s framework and present a formal treatment that includes security definitions and a detailed protocol construction.
4E2-5
On the Security of Multi-Designated Verifier Signature
○Keitaro Hashimoto(Aist)
、Kyosuke Yamashita(Osaka University/Aist)
、Keisuke Hara(Aist/Yokohama National University)
Multi-designated verifier signature (MDVS) is a form of digital signature that empowers
a signer to designate specific verifiers capable of verifying signatures. Furthermore, these designated
verifiers possess the ability to simulate signatures that are indistinguishable from the signatures of the
signer. Recently, Damgard et al. (TCC’20) and Chakraborty et al. (EUROCRYPT’23) have introduced
a novel definition for MDVS that allows a subset of designated verifiers to simulate signatures in contrast
to the traditional one that requires all designated verifiers. In this work, we delve into their new MDVS
definition and offer a comprehensive map of it. We identify 12 distinct types of MDVS and prove that
some of them are impossible. In addition, we propose a generic conversion from weaker security to
stronger security among them. Moreover, we elucidate the relationship between MDVS and other
cryptographic primitives. Notably, we demonstrate that MDVS schemes that meet the security notion
of Chakraborty et al. imply IND-CCA secure public-key encryption schemes.
クラウドにAIサービスを展開することが一般的になっている.サービス利用者はAPI経由でデータをクエリし,AIモデルの出力を得ることができる.この形態は一方で,モデル抽出攻撃の脅威に晒される.攻撃者は大量のデータをモデルにクエリして出力を収集し,それを ground truth (GT) に用いて代理モデルを訓練する.代理モデルは攻撃対象モデルを複製するため,モデルの知的財産が脅かされる.本研究は,物体検知モデルに対する抽出攻撃の対策として,モデルの電子透かしを用いた方法を提案する.提案手法は,攻撃対象モデルがクエリ画像を受け取って物体検知を行う際に,物体の予測バウンディングボックスを意図的に改変する.この改変により,クエリ結果をGTに用いて訓練された代理モデルにバックドアを埋め込む.モデル所有者はこのバックドアを透かしとして利用する.つまり,複製が疑われるモデルが存在したとき,バックドアが存在していれば抽出攻撃で得られたモデルであるとみなす.数値実験では,提案手法が100%の精度でモデル所有権の検証ができることを示した.