コミットメント - 暗号理論教室

---

コミットメントプロトコルとその安全性定義

コミットメントプロトコル

コミットメントプロトコル (C, R)とは、

• （コミットフェーズ） 送信者Cが受信者Rに対し、トランスクリプトcを通して、ある値vにコミットする。
• （オープンフェーズ）その後、送信者Cは受信者Rに対し、コミットメントcをその値vにオープンする。

2段階からなるプロトコルである。

ただし、

• (秘匿性) 受信者Rは、コミットメント（を表すトランスクリプト）cを見ても、送信者Cによってどんな値vがコミットされたかわからない。
• (束縛性) 送信者Cは、値vへのコミットメントcを、後に、vとは異なる他の値v'にはオープンできない。

ことを要求する。

よりフォーマルには、

定義(コミットメント)
効率的なアルゴリズムの組 (C, R) が（Mをメッセージ空間とする）コミットメントスキームであるとは、

• (完遂性) 任意の v ∈ M について、
  • Pr[ (d, c) ← (S(v), R),　(-, v') ← (S(d), R(c))　：　v = v' ]　=　1.
• (秘匿性) 任意の効率的なアルゴリズムR* について、
  • Pr[ (v₀, v₁, s) ← R*,　b ← {0,1},　(-, b') ← (S(v_b), R*(s))　：　b' = b ]

は1/2をネグリジブルにしか超えない。

• (束縛性) 任意の効率的なアルゴリズムS* について、
  • Pr[ （(d₁, d₂), c）← (S*, R),　(-, v₁) ← (S*(d₁), R(c)),　(-, v₂) ← (S*(d₂), R(c))
    • 　 ：　v₁ ≠ ⊥,　v₂ ≠ ⊥, v₁ ≠ v₂ ]

がネグリジブル。

同時発生的な頑健性

コミットメントに関して同時発生的な頑健性

試行 cmim_com^A(m=(m₁,...,m_l), z) :

• Run (C(m₁)||・・・||C(m_l), A(z), R||・・・||R)
• m'₁,...,m'_l ← Aが各Rにコミットした値
  • ただし、そのトランスクリプトがある左インタラクションのコピーなら、m'_i ← ⊥.
• return m'₁,...,m'_l.

試行 csis_com^S(z) :

• Run (S(z), R||・・・||R)
• m'₁,...,m'_l ← Sが各Rにコミットした値
• return m'₁,...,m'_l.

定義(concurrentNMc)
（Mをメッセージ空間とする）コミットメントスキーム(C, R)が
コミットメントに関して同時発生的に頑健であるとは、
任意の多項式l(n)、任意の効率的な攻撃者Aに対し、ある効率的なシミュレータSが存在し、
以下の2つの分布が計算的に識別不可能であることをいう：

• { cmim_com^A(m, z) }_{m∈M^l, z∈B*}
• { csis_com^S(z) }_{m∈M^l, z∈B*}.

デコミットメントに関して同時発生的な頑健性

試行 cmim_decom^A(m=(m₁,...,m_l), z) :

• Run (C(m₁)||・・・||C(m_l), A(z), R||・・・||R)
• m'₁,...,m'_l ← Aが各Rにデコミットした値
  • ただし、（フェーズごとに見て）トランスクリプトがある左インタラクションのコピーなら、m'_i ← ⊥.
• return m'₁,...,m'_l.

試行 csis_decom^S(m=(m₁,...,m_l), z) :

• Run (S(z), R||・・・||R)
  • ただし、各 i 番目のインタラクションについて、そのコミットフェースが終了したらSにm_iを渡す。
• m'₁,...,m'_l ← Sが各Rにデコミットした値
• return m'₁,...,m'_l.

定義(concurrentNMd)
（Mをメッセージ空間とする）コミットメントスキーム(C, R)が
デコミットメントに関して同時発生的に頑健であるとは、
任意の多項式l(n)、任意の効率的な攻撃者Aに対し、ある効率的なシミュレータSが存在し、
以下の2つの分布が計算的に識別不可能であることをいう：

• { cmim_decom^A(m, z) }_{m∈M^l, z∈B*}
• { csis_decom^S(m, z) }_{m∈M^l, z∈B*}.

コミットメントスキームの構成

基本的なコミットメントスキーム

Naor コミットメント

構成(Naor) [Naor 91]
[部品]

• 疑似乱数生成器 G: {0,1}ⁿ → {0,1}³ⁿ

[パラメータ]

• セキュリティパラメータ : 1ⁿ
• コミッターCの入力 : v (∈{0,1})

[コミットメントフェーズ] 　※ λ, (r), (α).

• R→C : r ← {0,1}³ⁿ,　 r を送る。
• C→R : s ← {0,1}ⁿ
  • v =^? 0 : α = G(s),　v =^? 1 : α = G(s) + r
  • αを送る。

[デコミットメントフェーズ] 　※ (v,s).

• C→R : (v, s) を送る。
• R : v =^? 0 : α =^? G(s),　v =^? 1 : α =^? G(s) + r.

定理(Naor) [Naor 91]
G が拡大因子 3n の疑似乱数生成器ならば、
構成(Naor)は統計束縛なコミットメントスキームである。

Naorコミットメントはマリアブルである。
実際、以下の中間攻撃者Aは送信者のコミットメントを反転することができる。

C		A		R
			←r
	←r
	→α
			→α+r
	→v,s
			→1+v,s

Blum コミットメント

構成(Blum) [Blum 82]
[部品]

• 一方向置換 f: {0,1}ⁿ → {0,1}ⁿ
• f のハードコア述語 b : {0,1}ⁿ → {0,1}

[パラメータ]

• セキュリティパラメータ : 1ⁿ
• コミッターCの入力 : v (∈{0,1})

[コミットメントフェーズ] 　※ (α,σ).

• C→R : s ← {0,1}ⁿ,　 α = f(s),　σ = b(s) + v,　 (α,σ)を送る。

[デコミットメントフェーズ] 　※ (v,s).

• C→R : (v, s) を送る。
• R : α =^? f(s) ∧ σ =^? b(s) + v.

定理(Blum) [Blum 82]
f が一方向置換で、bがそのハードコア述語ならば、
構成(Blum)は完全束縛なコミットメントスキームである。

Blumコミットメントもマリアブルである。

同時発生的に頑健なコミットメントスキーム

OPVスキーム

構成(OPV) [OPV 09]
[部品]

• nmZK = {P_t, V_t}_t : a constant-round tag-based one-left many-right perfect cNMZK argument of knowledge
• (wiP, wiV) : a constant-round WI proof of knowledge
• Com : a non-interactive statistically-binding commitment scheme
• SS = (SG, Sig, SVer) : a secure signature scheme

[パラメータ]

• セキュリティパラメータ : 1^k
• コミッターCの入力 : m (∈{0,1}^k)

[コミットメントフェーズ] 　※ (c, PK, P_PK(c)), (c₀, c₁, wiP(c₀,c₁)), (σ₀).

• C→R : s ← {0,1}^k, c = Com(m, s), cを送る。
• C→R : (PK,SK) ← SG(1^k), PKを送る。
• C⇔R :
  • C : call P_PK on (c; m,s) for 『 ∃m, s : c = Com(m,s) 』
  • R : call V_PK on (c). V_PKがrejectなら、アボート
• R→C : i∈{0,1} : m_i,s_i ← {0,1}^k, c_i = Com(m_i, s_i). c₀,c₁を送る。
• R⇔C :
  • R : b←{0,1}, call wiP on (c₀,c₁; m_b,s_b) for
    • 『 ∃m, s : c₀ = Com(m,s) OR c₁ = Com(m,s) 』
  • C : call wiV on (c₀,c₁). wiVがrejectなら、アボート
• C→R : trans₀ ← the transcript so far, σ₀ ← Sig(SK,trans₀), σ₀を送る。
• R : SVer(PK,trans₀,σ₀) =^? 0 : アボート

[デコミットメントフェーズ] 　※ (m, P_PK(c,c₀,c₁), σ₁).

• C→R : mを送る。
• C⇔R :
  • C : call P_PK on (c,c₀,c₁; m,s) for
    • 『 ∃m, s : c = Com(m,s) OR c₀ = Com(m,s) OR c₁ = Com(m,s) 』
  • R : call V_PK on (c,c₀,c₁). V_PKがrejectなら、アボート
• C→R : trans₁ ← the transcript so far, σ₁ ← Sig(SK,trans₁), σ₁を送る。
• R : SVer(PK,trans₁,σ₁) =^? 0 : アボート

定理(OPV) [OPV09]
nmZKが a constant-round tag-based one-left many-right perfect cNMZK argument of knowledgeで、
(wiP, wiV)が a constant-round WI proof of knowledgeで、
Comが a non-interactive statistically-binding commitment schemeで、
SSがa secure signature schemeならば、
構成(OPV)はコミットメントに関してもデコミットメントに関しても同時発生的に頑健である。

証明

系(OPV) [OPV09]
クローフリー置換が存在するならば、
コミットメントに関してもデコミットメントに関しても同時発生的に頑健な
定数ラウンドのコミットメントスキームが存在する。

上へ

---