| 研究実績の概要 |
ユーザがアクセスパターンを秘匿したまま、サーバのデータベース X=(x1, …, xn)からi番目のビットxiを入手することができる方法を、Private Information Retrieval (PIR)という。これを達成する自明な方法は、サーバがデータベースX全体をユーザに送ることである。しかし、この方法だと通信量がO(n)となってしまう。
情報理論的安全性を考えた場合、サーバが1台の場合、この自明なプロトコルより良い方法は存在しない。Chorらは、サーバが2台の場合、通信量がO(n^1/3)となるプロトコルを示した。Woodruff and Yekhaninは、通信量がO(n^{1/(2k-1)} kL log L}で、かつユーザはL台中k台のサーバからxiを入手できる(k,L)閾値PIRプロトコルを示した。Beimel and Stahlは、(k,L)閾値PIRプロトコルからb重誤り訂正LサーバPIRプロトコルを構成する汎用的な方法を示した。Woodruff and YekhaninのPIRプロトコルとBeimel and Stahlの汎用的な誤り訂正方法と組み合わせると、通信量がO(n^1/3)で、かつ4台中1台のサーバが悪意のある攻撃者だとしても、ユーザは4台のサーバからxiを正しく入手できるプロトコルを構成できることになる。
本研究では、以下に示すようなPIRプロトコルを構成した。(1)1台のサーバが悪意のある攻撃者だとしても、ユーザは4台のサーバからxiを正しく入手できる。(2)通信量はO(n^1/2)であるが、ユーザ計算量はBeimel and Stahlの方法より少ない。本プロトコルは、Woodruff and Yekhaninのテクニックと、リードソロモン符号を組み合わせることにより得られる。
|
| 今後の研究の推進方策 |
ユーザがアクセスパターンを秘匿したまま、サーバのデータベースx=(x1, …, xn)からi番目のビットxiを入手することができるる方法を、Private Information Retrieval (PIR)という。これを達成する自明な方法は、サーバがデータベースx全体をユーザに送ることである。しかし、この方法だと通信量がO(n)となってしまう。
情報理論的に安全なPIRのモデルにおいては、複数のサーバが同一のデータベースx=(x_1, …, x_n)を有している。ユーザーは、iを秘密にしたままビットx_iを取り出したい。L台中b台のサーバが不正者だったとしても、x_iを正しく求めることができるPIR方式をb重誤り訂正LサーバPIR方式という。従来、k=L-2b に対し、全通信量が O(n^{1/(2k-1)} kL log L} となるb重誤り訂正LサーバPIR方式が知られている。しかし、その復号アルゴリズムは非常に効率が悪い。今後は、この方式に対し、効率の良い復号アルゴリズムを開発する。そのうえで、検索可能暗号への応用を考える。
なお、2018年度の実績は、L=4, b=1, 全通信量がO(n^1/2)に限定されている。これに対し、上記のような一般の場合を考える。
|
