秘密計算とは？ わかりやすく解説

デジタル大辞泉

ひみつ‐けいさん【秘密計算】

読み方：ひみつけいさん

データを暗号化したままの状態で行う計算。秘匿性の高いデータを扱う分析などで用いられる。データを断片化し、単体では無意味なものとして計算を行う秘密分散法、複数のサーバーに分割して計算を行うマルチパーティー計算などの手法が知られる。秘匿計算。

ウィキペディア

秘匿マルチパーティ計算

(秘密計算 から転送)

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2023/05/25 06:25 UTC 版)

秘匿マルチパーティ計算（ひとくマルチパーティけいさん、英:Secure multi-party computation）とは、多人数の参加者で行う秘匿計算プロトコルの総称であり、複数の参加者がそれぞれ自身の入力値を秘匿したままで多入力関数の値のみを計算することが可能となる暗号学的な手法をいう^[1]。単にマルチパーティ計算(MPC)や秘密計算、プライバシー保護計算とも通称される。従来の暗号化手法^{[注釈 1]}とは異なり、このモデルの暗号化は参加者のプライバシーを相互に保護する。

脚注

注釈

1. ^ 暗号化によって通信やストレージの秘匿性と整合性が保証され、参加者のシステム外部に攻撃者（送受信を盗聴する者）がいる場合の暗号手法。
2. ^ ^{a b} 悪意あるシステム侵入等の不正な攻撃に対する備えが出来ている状態^[23]。事務所店舗で例えると「いつでも防犯セキュリティが作動する(secure)」警備保障された状態のことで、概念として安全(safety)とは別物。
3. ^ 後述の"GMW"パラダイムは、この3者の頭文字(Goldreich, Micali, Wigderson)を採ったもの。
4. ^ ^{a b} 攻撃者を2種類に大別すると、半分正直者(semi-honest)のパッシブな攻撃者と、悪意の(malicious)あるアクティブな攻撃者に分類される。前者は「プロトコルには従うものの、計算過程で得られた情報から秘匿された情報を得ようとする」受動的攻撃者で、後者は「不正な参加者をプロトコルから逸脱させて秘匿情報を得るほか、プロトコルを失敗に終わらせたり、データ改ざんも行う」能動的攻撃者を指す^[8][9][10]。
5. ^ 各参加者に渡される、秘匿情報から生成された分割データのこと。個々のシェアを見ても元の秘匿情報を知ることはできず、なおかつ十分な数のシェアを集めれば秘匿情報を復元できるデータ。詳細は秘密分散を参照。
6. ^ 個人情報と同義だが、関数計算で使用することになる私的な数値データ。年収や貯蓄額、オークションの入札額などが典型例。
7. ^ コバート(Covert)とは、判別手段を用いてわかるセキュリティのこと。一方、見てわかるセキュリティをオバート(Overt)という^[27]。
8. ^ ^{a b} 国内文献も基本的に英単語表記しており定訳不明。MPC文脈上の意味としては、入力値（参加者の個人データ）を秘匿したまま計算結果を出力^[31]できるように、回路の論理ゲート構造（の一部）を「目隠し」^[32]すること。

出典

1. ^ 岩本貢、太田和夫、西出隆志「マルチパーティ計算の情報理論的解析」電気通信普及財団研究調査助成報告書 No.31、2016年
2. ^ Ran Canetti, et al., "Adaptively Secure Multi-party", TOC/CIS groups, LCS, MIT (1996), p. 1.
3. ^ A. Shamir, R. Rivest, and L. Adleman, "Mental Poker", Technical Report LCS/TR-125, Massachusetts Institute of Technology, April 1979.
4. ^ Andrew C. Yao, Protocols for secure computations (extended abstract)
5. ^ Andrew Chi-Chih Yao:How to Generate and Exchange Secrets (Extended Abstract). FOCS 1986: 162-167.
6. ^ ^{a b} Micali, Silvio; Goldreich, Oded; Wigderson, Avi (1987). How to play any mental game. pp. 218-229. doi:10.1145/28395.28420. https://doi.org/10.1145/28395.28420. 
7. ^ 古典的GMWパラダイムは実用的か?非対話型アクティブセキュア2PCの場合【JST・京大機械翻訳】
8. ^ ^{a b} プライバシーテック研究所「【技術】MPC技術入門② MPCのセキュリティ定義」2021年6月11日
9. ^ 藤﨑英一郎 2018, p. 9.
10. ^ 菊池.五十嵐(2018), p. 13.
11. ^ Zvi Galil, Stuart Haber, Moti Yung: "Cryptographic Computation: Secure Fault-Tolerant Protocols and the Public-Key Model". CRYPTO 1987: 135-155.
12. ^ David Chaum, Ivan Damgård, Jeroen van de Graaf: "Multiparty Computations Ensuring Privacy of Each Party's Input and Correctness of the Result". 87-119.
13. ^ ^{a b} Abascal, Jackson; Faghihi Sereshgi, Mohammad Hossein; Hazay, Carmit; Ishai, Yuval; Venkitasubramaniam, Muthuramakrishnan (2020-10-30). “Is the Classical GMW Paradigm Practical? The Case of Non-Interactive Actively Secure 2PC”. Proceedings of the 2020 ACM SIGSAC Conference on Computer and Communications Security. CCS '20 (Virtual Event, USA: Association for Computing Machinery): 1591-1605. doi:10.1145/3372297.3423366. ISBN 978-1-4503-7089-9. https://doi.org/10.1145/3372297.3423366. 
14. ^ Joe Kilian: "Founding Cryptography on Oblivious Transfer". STOC 1988: 20-31.
15. ^ D. Chaum, C. Crepeau & I. Damgård. “Multiparty unconditionally secure protocols”. Stoc 1988. 
16. ^ Michael Ben-Or, Shafi Goldwasser, Avi Wigderson: Completeness Theorems for Non-Cryptographic Fault-Tolerant Distributed Computation (Extended Abstract). STOC 1988: 1-10
17. ^ Tal Rabin, "Michael Ben-Or: Verifiable Secret Sharing and Multiparty Protocols with Honest Majority (Extended Abstract)". STOC 1989: 73-85.
18. ^ Danny Dolev, Cynthia Dwork, Orli Waarts, Moti Yung: "Perfectly Secure Message Transmission". J. ACM 40(1): 17-47 (1993).
19. ^ Rafail Ostrovsky, Moti Yung: "How to Withstand Mobile Virus Attacks". PODC 1991. pp.51-59.
20. ^ Claudio Orlandi: Is multiparty computation any good in practice?, ICASSP 2011
21. ^ Peter Bogetoft, Dan Lund Christensen, Ivan Damgård, Martin Geisler, Thomas Jakobsen, Mikkel Krøigaard, Janus Dam Nielsen, Jesper Buus Nielsen, Kurt Nielse, Jakob Pagter, Michael Schwartzbach and Tomas Toft (2008). “Multiparty Computation Goes Live”. Cryptology ePrint Archive (Report 2008/068). http://eprint.iacr.org/2008/068. 
22. ^ Moti Yung: From Mental Poker to Core Business: Why and How to Deploy Secure Computation Protocols? ACM Conference on Computer and Communications Security 2015: 1-2 https://dl.acm.org/citation.cfm?doid=2810103.2812701
23. ^ e-words IT用語辞典「セキュア」の解説より
24. ^ Michael Backes, Birgit Pfitzmann, and Michael Waidner. "A general composition theorem for secure reactive systems." In Theory of Cryptography Conference, pp. 336-354. Springer, Berlin, Heidelberg, 2004.
25. ^ 藤﨑英一郎 2018, p. 0-53.
26. ^ 藤﨑英一郎 2018, p. 61.
27. ^ 木内正人, 高橋寛行, 大嶋一矢, 佐藤加代子「新時代のセキュリティ・デザイン・コンセプトの研究」『日本デザイン学会研究発表大会概要集』第64巻、日本デザイン学会、2017年、248頁、doi:10.11247/jssd.64.0_248、CRID 1390001205609544704。 
28. ^ Aumann, Yonatan; Lindell, Yehuda (2007). Security against covert adversaries: Efficient protocols for realistic adversaries. pp. 137-156. doi:10.1007/978-3-540-70936-7_8. https://doi.org/10.1007/978-3-540-70936-7_8. 
29. ^ ^{a b} 藤﨑英一郎 2018, p. 55.
30. ^ Andrew C. Yao, "How to generate and exchange secrets," SFCS '86 Proceedings of the 27th Annual Symposium on Foundations of Computer Science, pp. 162-167, 1986.
31. ^ Qiita「【秘密計算】最古のMulti-party Computationプロトコル「Yao's Garbled Circuit」とは」2020年12月11日
32. ^ ^{a b} 安永憲司,2020年,5頁
33. ^ 菊池.五十嵐(2018), p. 14.
34. ^ プライバシーテック研究所「【技術】Oblivious Transfer (OT) とは」2020年7月3日
35. ^ 安永憲司,2020年,3頁
36. ^ 藤﨑英一郎 2018, p. 10頁.
37. ^ Ben-Or, Michael; Goldwasser, Shafi; Wigderson, Avi (1988-01-01). Completeness theorems for non-cryptographic fault-tolerant distributed computation. ACM. pp. 1-10. doi:10.1145/62212.62213. ISBN 978-0897912648 
38. ^ I. Damgard, V. Pastro, N. Smart and S. Zakarias, "Multiparty computation from somewhat homomorphic encryption," Crypto 2012, vol. Springer LNCS 7417, pp. 643-662, 2012.
39. ^ Iddo Bentov, Ranjit Kumaresan (2014). “How to Use Bitcoin to Design Fair Protocols”. Cryptology e Print (129): 1-38. https://eprint.iacr.org/2014/129.pdf 2014年10月9日閲覧。. 
40. ^ ^{a b} A. Ben-David, N. Nisan and B. Pinkas, "FairplayMP: a system for secure multi-party computation," ACM CCS 2008, pp. 257-266, 2008.
41. ^ ^{a b c} B. Pinkas, T. Schneider, N. Smart and S. Williams, "Secure two-party computation is practical," Asiacrypt 2009, vol. Springer LNCS 5912, pp. 250-267, 2009.
42. ^ 安永憲司,2020年,4頁
43. ^ Y. Lindell and B. Pinkas, "An efficient protocol for secure two-party computation in the presence of malicious adversaries," Eurocrypt 2007, vol. Springer LNCS 4515, pp. 52-78, 2007.
44. ^ Y. Lindell, "Fast cut-and-choose based protocols for malicious and covert adversaries," Crypto 2013 vol. Springer LNCS 8043, pp. 1-17, 2013.
45. ^ B. Kreuter, a. shalet and C.-H. Shen, "Billion gate secure computation with malicious adversaries," USENIX Security Symposium 2012, pp. 285-300, 2012.
46. ^ A. Shelat and C.-H. Shen, "Fast two-party secure computation with minimal assumptions," ACM CCS 2013, pp. 523-534, 2013.
47. ^ T. Frederiksen and J. Nielsen, "Fast and maliciously secure two-party computation using the GPU, "ACNS 2013, vol. Springer LNCS 7954, pp. 339-356, 2013.
48. ^ Y. Huang, J. Katz and D. Evans, "Efficient secure two-party computation using symmetric cut-and-choose.," CRYPTO, vol. Springer LNCS 8043, pp. 18-35, 2013.