動画配信サービスにも応用できる暗号とは――アクセス権を制御する「属性ベース暗号」:クラウド時代の暗号化技術論(6)(2/2 ページ)
アクセス木
ABEを実現するアイデアを紹介しましょう。ポリシーはANDとORを組み合わせた木構造で表現できます。この木のことを「アクセス木」といいます。
図4は(A∧B)∨((C∨D)∧E)という条件を表すアクセス木です。ここで∧はANDを、∨はORを表します。例えばAとBの条件を満たしているときはこのポリシーを満たすので復号できます。
AとBがそろったときに秘密鍵sを復元できるようにするには、Aに乱数r1を、Bにはs+r1を渡しておきます。すると二つの情報があれば(s+r1)-r1=sでsを復元できます。同様にC、Dに乱数r2を、Eにs+r2を渡しておくことで、CとE、あるいはDとEがそろえばsを復元できます。AとE、あるいはBとCだけがあっても、sを復元できません。
このように秘密鍵をアクセス木に基づいて分散させる方法を、「線形秘密分散法(LSSS:Linear Secret Sharing Scheme)」といいます。LSSSと第5回で紹介したIDベース暗号(つまりペアリング)を組み合わせることで、ABEを実現できます。
秘密分散
秘密分散について少し紹介しておきましょう。秘密分散とは、あるデータをn個に分割し、そのうちのk個が集まれば元のデータを復元できるという技術です。n個のうちどのk個からでも元のデータを復元できるのですが、k-1個しか集まらなければ元の情報は何も得られません。図4のアクセス木のAとBや、CとEからsを復元するのは、秘密分散のn=2、k=2のときの例です。
秘密分散は、「n個の異なる点を通るn-1次関数はただ一つに決まる」という性質を使います。例えば、2個の点を通る直線はただ一つに決まります。図5は3次曲線の場合の例です。曲線上の異なる5点のうち、どの4個を選んでも元の3次曲線が決まります。例えば5人に秘密(=r0)を分散した場合、そのうちどの4人でもよいので集まると元の曲線が決まり、r0を復元できます。
秘密分散自体は古典的な技術なのですが、今でもさまざまなところで利用される重要な技術です。最近ではさまざまな企業が秘密分散を利用したストレージの情報漏えい対策やデータ消失対策サービスを提供しています(参考リンク1、参考リンク2)。
関数型暗号
前述のABEでは復号条件を細かく指定できましたが、指定された属性の情報は暗号文とは別に存在するため、第三者が知ることができてしまいます。例えばある暗号文に「社外秘」や「神経内科」といった属性が付与されていることが分かってしまう可能性があります。
そこで、このリスクを回避するために、属性も一緒に暗号化してしまう方式が考えられています。このような方式は属性を隠すので「attribute-hiding」と呼ばれ、より一般的な概念である「関数型暗号(FE:Functional Encryption)」の特殊系の一つと捉えられることが多いようです。
関数型暗号の定義はここでは省略しますが、自由度の高い暗号ということで、高機能(functional)暗号、インテリジェント暗号と呼ばれることもあります(参考リンク)。
2013年に三菱電機の川合豊氏、高島克幸氏は、「代理人再暗号化」の機能と組み合わせることでポリシーをクラウド上で変更できるようにした関数型暗号の方式を提案しています。前回紹介した代理人再暗号化では、暗号文の復号先を変更可能にしましたが、この方式ではポリシーを変更可能にしています。この技術は複数のペアリング写像を組み合わせた非常に複雑な枠組みを用いて実現されています(参考リンク:高安全な関数型代理人再暗号化(pdf))。
ABEの今後
ABEや関数型暗号により暗号化、復号の組み合わせの自由度が大きく増しています。これらの暗号は従来のファイルやデータベースのアクセス権によるコントロールを、鍵発行機関と運用サーバーに分けたものと考えることができます。例えば社内に鍵発行サーバーを置き、暗号化されたデータは社外のクラウドに置くという運用が想定できます。鍵発行サーバーは信頼のおけるものが必要ですが、運用サーバーは既存のものでよくなります。
前回のIDベース暗号の部分でも述べましたが、強い権限を持つ鍵発行機関の存在には問題や制約もあります。また、鍵発行機関を外部サービス化してしまうのは不安があるかもしれません。しかし、現在の公開鍵基盤でも、例えば認証局やタイムスタンプによる時刻の証明書を発行する機関はかなり信頼されています。そう考えると、ABE用に適切に管理された鍵発行機関を前提にした運用も十分に考えられます。システム全体を考慮した今後の進展が望まれるところです。
今回のまとめ
- 属性ベース暗号(ABE)や関数型暗号(FE)は、属性や復号条件を指定して暗号化できる。
- ABEは秘密分散とIDベース暗号を組み合わせて構成されるのが主流。
参考文献――より詳しく学びたい人のために:
属性ベース暗号や関数型暗号についてより詳しく学びたい人のために、Web上で閲覧できるものや書籍として入手できる参考文献を紹介します。
- 『クラウドを支えるこれからの暗号技術』(光成滋生)
本連載の筆者による著書です。 - 『(Web)秘密分散法とその応用について』(土井洋)
秘密分散の初歩的な話から、属性ベース暗号への応用例まで紹介されています。
- まだまだ広く深い、暗号の世界――匿名認証や電子投票に利用される「ブラインド署名」「グループ署名」「ゼロ知識証明」
- マイナンバーの漏えい対策にも利用される「検索可能暗号」とは――安全性と利便性の両立を目指す注目の暗号技術
- 動画配信サービスにも応用できる暗号とは――アクセス権を制御する「属性ベース暗号」
- メールアドレスを公開鍵にする――「ペアリング」とその応用例
- クラウドサービスに最適な暗号方式とは?――暗号化したまま計算する「準同型暗号」
- 鍵が漏れることも想定せよ――クラウド時代における「楕円曲線暗号」の必然性
- “安全な暗号”とは何か――「強秘匿性」「頑強性」という概念
- 重要なデータを守るため、もう一度暗号化技術をおさらいしよう
光成滋生(みつなり しげお)(サイボウズ・ラボ株式会社)
サイボウズ・ラボ株式会社にてセキュリティとインフラ周りの研究開発に携わる。「数論アルゴリズムとその応用」研究部会(JANT)幹事。
- 2004年放送型暗号の実装でIPA未踏スーパークリエータ認定
- 2005年ストリーム暗号Toyocryptの解読で情報化月間推進会議議長表彰
- 2010年ベクトル分解問題についての論文で電子情報通信学会論文賞受賞
- 2015年 Microsoft MVPアワード Developer Securityを受賞
近著に「応用数理ハンドブック」(朝倉書店、2013:楕円曲線暗号、ペアリング暗号の項目担当)、「クラウドを支えるこれからの暗号技術」(秀和システム、2015)がある。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。