Cover Page
The following handle holds various files of this Leiden University dissertation:
http://hdl.handle.net/1887/59475
Author: Spini, G.
Title: Unconditionally secure cryptographic protocols from coding-theoretic primitives
Issue Date: 2017-12-06
Samenvatting
Dit proefschrift maakt bijdragen aan vier deelgebieden in de cryptografie, met nadruk op de verbanden met de coderingstheorie (ofwel, de theorie van de foutcorrigerende codes). We maken gebruiken van coderingstheoretische tech- nieken om cryptografische protocollen zowel te analyseren als te construeren met nieuwe en verbeterde eigenschappen.
Secret sharing is een belangrijk onderwerp in de moderne cryptografie, en het vormt de grondslag voor veel van de besproken begrippen on deze dissertatie.
Een secret-sharingschema heeft als input een geheime waarde en geeft als out- put n shares. Deze shares hebben de eigenschap dat een kleine deelverzameling ervan geen enkele informatie geeft over de geheime input (privacy), maar dat met een voldoende grote deelverzameling het geheim kan worden achterhaald (reconstructie). Secret sharing heeft talrijke toepassingen in de cryptografie.
Bijvoorbeeld, secret sharing met toegevoegde eigenschappen zoals lineariteit en multiplicativiteit vormt een fundamentele bouwsteen voor secure multi- party computation ofwel MPC. Met behulp van MPC kunnen n partijen de functie-waarde f (x1, . . . , xn) van een functie f op geheime inputs x1, . . . , xn
correct uitrekenen zonder daarbij de inputs te hoeven uitwisselen; die blijven namelijk geheim.
Voorts heeft secret sharing een aantal directe toepassingen. De meest oor- spronkelijke daarvan is betrouwbare en veilige gedistribueerde opslag van sen- sitieve informatie; hierbij geeft secret sharing een oplossing voor het single- point-of-failure probleem van traditionele opslag-methoden. Een secret sharing schema kan ook worden gezien als oplossing voor de volgende niet-interactieve variant van perfectly secure message transmission. Stel dat Alice veilig een bericht wil sturen naar Bob en daarvoor beschikking heeft over n communi- catiekanalen, en zodat een aanvaller Eve enkele van deze kanalen kan afluis- teren dan wel blokkeren. Op basis van secret sharing is het eenvoudig om een methode te geven die Alice in staat stelt om een bericht naar Bob te sturen zonder dat Eve informatie verkrijgt over de inhoud van het bericht. Tevens kan Eve het bericht naar Bob niet blokkeren, ook niet als zij alle communi-
catiekanalen blokkeert waarover ze controle heeft.
Het herstellen van data uit onvolledige informatie vormt een overeenkomst tussen secret sharing en coderingstheorie. Het is daarom wellicht niet verwon- derlijk dat er tussen deze twee gebieden sprake is van een lang en vruchtbaar samenspel. Bijvoorbeeld, Massey heeft een constructie van secret sharing uit lineaire foutcorrigerende codes voorgesteld en heeft laten zien hoe de eigen- schappen van het secret-sharing schema begrepen kunnen worden in termen van de eigenschappen van de onderliggende code. Hieruit volgt bijvoorbeeld het bestaan van secret-sharing schema’s waarin de reconstructie bepaald wordt door de minimum afstand van de code en waarin de privacy bepaald wordt door de minimum afstand van de duale code. Er zijn voorbeelden van goede codes waarvan de duale code tevens goed is, zoals Reed-Solomon codes of random gekozen lineaire codes. Echter, het is thans een open probleem of er goede codes bestaan die een goede duale code hebben en die tevens zeer effici¨ente (dat wil zeggen, linear-time) encodeer- en decodeer-algoritmen toelaten.
Dit probleem wordt omzeild in dit proefschrift door een nieuw verband te leggen tussen secret-sharing en codes, die als resultaat heeft dat de privacy van het cryptografische protocol niet meer afhangt van de duale van de on- derliggende code, maar in plaats daarvan bepaald wordt door de rate van de onderliggende code en de parameters van een familie van lineaire universele hash functies. Dit geeft mogelijkheden om het potentieel van de meest recente codes volledig te exploiteren en daarmee verbeterde protocollen te genereren.
We lichten dit toe met twee toepassingen. De ene toepassing maakt gebruik van codes waarvan de codering en decodering kan worden berekend in lin- eaire tijd. Hierdoor is het mogelijk een familie van secret-sharing schema’s te construeren waarbij zowel het delen van de shares als het reconstrueren van geheime data geschiedt in slechts lineaire tijd.
De andere toepassing construeert robuuste secret-sharing schema’s met be- hulp van codes met zogeheten lijstdecodering. Zulke protocollen zijn zelfs – hoewel met een kleine foutkans – in staat het gedeelde geheim te reconstrueren wanneer enkele van de shares incorrect zijn. De familie van protocollen uit deze toepassing optimaliseert de trade-off tussen de hoeveelheid extra data die toegevoegd moet worden aan de shares om robuustheid te behouden en de foutkans van de reconstructie van het gedeelde geheim.
Het volgende onderwerp van studie is perfectly secure message transmission (PSMT). In tegenstelling tot de niet-interactieve variant die eerder aangehaald is, wordt nu aangenomen dat Bob ook in staat is om berichten terug naar Alice te sturen over de n bestaande communicatiekanalen. De aanvaller Eve heeft nog steeds t < n van deze kanalen onder controle, en kan daarmee berichten afluisteren en veranderen naar willekeur. Opmerkelijk is dat wederzijdse com- municatie de veiligheid verhoogt, aangezien het in dit scenario mogelijk is om
perfecte privacy en reconstrueerbaarheid te bemachtigen zolang t < n/2. In het niet-interactieve geval kan dit alleen als t < n/3.
In dit proefschrift wordt een nieuw protocol gepresenteerd voor t < n/2 dat twee rondes heeft. Het gebruik van technieken die gebaseerd zijn op zoge- naamde syndrome computation maakt een conceptueel simpelere aanpak mo- gelijk die tevens leidt tot verbeterde effici¨entie, namelijk een multiplicatieve factor n besparing in totale communicatie in het speciale geval van een con- stante bit-lengte secret.
PSMT kan gegeneraliseerd worden naar scenario’s waarin Alice en Bob toe- gang hebben tot een complexere communicatie infrastructuur. Bijvoorbeeld, in secure network coding zijn ze verbonden door een netwerk dat gemodelleerd wordt door een gerichte, acyclische graaf met een enkele source knoop zonder inkomende takken en een enkele sink knoop zonder uitgaande takken. Alice kan data verzenden via de source en Bob ontvangt data via de sink, waarbij de tussenliggende knopen lineaire transformaties toepassen op de inkomende takken en resultaten uitsturen over de uitgaande takken. Nog steeds wordt aangenomen dat Eve een zeker aantal van de kabels van het netwerk onder haar controle heeft.
In eerdere studies wordt normaliter aangenomen dat communicatie in secure network coding maar ´e´en richting opgaat. In dit proefschrift stellen wij daar- entegen ook interactieve protocollen voor die – analoog aan PSMT – door de communicatie in beide richtingen veilig blijven bij een groter aantal gecon- troleerde netwerkkabels. De enige conditie is namelijk dat t < C/2 (vergelijken met t < C/3 in het niet-interactieve geval), waar C een invariant is van de netwerk topologie, de zogeheten connectivity. We beschrijven namelijk twee protocollen, beide aanpassingen van het schema voor PSMT. De eerste heeft twee fasen, terwijl de tweede er drie heeft en aangepast kan worden aan een situatie met meerdere ontvangers. Deze twee protocollen zijn bestand tegen het theoretisch maximale aantal aangedane netwerkkabels en blijven veilig, ongeacht de bewerkingen van de netwerkknooppunten.
Tenslotte verleggen we de focus naar secure multi-party computation, wat wordt afgekort naar MPC. Hierbij gaat het over n partijen – ook wel spel- ers genoemd – die elk een geheime inputwaarde xihebben. Het doel is om de uitkomst van een zekere functie f (x1, . . . , xn) correct te berekenen met deze geheime waarden als input, zodat de spelers hun inputs geheim houden.
Het recente werk van Dam˚ard et al. beschrijft een protocol dat zelfs met n − 1 kwaadaardige spelers veilig blijft. Dit zogeheten SPDZ-protocol is geroemd vanwege zijn effici¨entie en de mogelijkheid in de praktijk te kunnen wor- den gebruikt. Dit SPDZ-protocol heeft echter als nadeel dat al ´e´en enkele kwaadaardige partij de hele gezamenlijke berekening kan doen mislukken. Dit
houdt onder andere in dat de eerlijke partijen genoodzaakt zijn de bereken- ing af te breken en de uitkomst niet hebben, terwijl de kwaadaardige partij wellicht wel deze uitkomst kan leren van de gedeelde informatie. Sterker nog, deze oneerlijke partij kan dit doen zonder dat de andere partijen erachter kun- nen komen wie de veroorzaker was.
In deze dissertatie wordt het SPDZ-protocol verbeterd zodat er de mogelijkheid bestaat om de kwaadaardige partij, die de berekening doet afbreken, te kunnen identificeren. Bijgevolg zullen partijen niet de drang hebben vals te spelen als zij dit verbeterde protocol gebruiken. Een kwaadwillige kan namelijk worden ge¨ıdentificeerd en vervolgens uit de groep gezet worden.
De hoofduitdaging was om identificatie van kwaadwilligen aan het SPDZ- protocol toe te voegen, zonder dat de algehele complexiteit significant ver- hoogd wordt. Om dit te bewerkstelligen, voeren we een nauwkeurig ontworpen dispute control systeem in dat de partijen in staat stelt om de executie van het protocol doorgang te laten vinden in gevallen waarin het oorspronkelijke SPDZ protocol een “abort” zou dienen te declareren, met de eigenschap dat de correcte output wordt gegenereerd of dat in ieder geval malicieuze spelers ge¨ıdentificeerd worden. Voorts, de protocol die wordt beschreven in deze dis- sertatie is – mits het protocol correct wordt uitgevoerd – even effici¨ent als het SPDZ-protocol. Wanneer er w´el sprake is van valsspelerij, kan het protocol een relatief redelijk kleine vertraging oplopen. Omdat kwaadwilligen kunnen worden opgespoord met dit protocol, is het echter niet waarschijnlijk dat deze vertraging werkelijk voorkomt in de praktijk.
