JP2023539208A - ネットワークコーディングベースのセキュア通信 - Google Patents
ネットワークコーディングベースのセキュア通信 Download PDFInfo
- Publication number
- JP2023539208A JP2023539208A JP2023513184A JP2023513184A JP2023539208A JP 2023539208 A JP2023539208 A JP 2023539208A JP 2023513184 A JP2023513184 A JP 2023513184A JP 2023513184 A JP2023513184 A JP 2023513184A JP 2023539208 A JP2023539208 A JP 2023539208A
- Authority
- JP
- Japan
- Prior art keywords
- message
- messages
- data
- encoding
- unencrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title abstract description 79
- 238000000034 method Methods 0.000 claims abstract description 63
- 230000005540 biological transmission Effects 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 5
- 238000013459 approach Methods 0.000 abstract description 6
- 238000013500 data storage Methods 0.000 abstract 1
- 239000011159 matrix material Substances 0.000 description 24
- 238000004422 calculation algorithm Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 17
- 230000008569 process Effects 0.000 description 16
- 239000013598 vector Substances 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 239000000243 solution Substances 0.000 description 7
- 238000013461 design Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 208000001491 myopia Diseases 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 230000001934 delay Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 241000473391 Archosargus rhomboidalis Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000009429 electrical wiring Methods 0.000 description 1
- 230000005670 electromagnetic radiation Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000013139 quantization Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000002618 waking effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
- H04L9/0858—Details about key distillation or coding, e.g. reconciliation, error correction, privacy amplification, polarisation coding or phase coding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/304—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy based on error correction codes, e.g. McEliece
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3215—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/34—Encoding or coding, e.g. Huffman coding or error correction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Mobile Radio Communication Systems (AREA)
- Optical Communication System (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
システムおよび方法は、ポスト量子の計算量的セキュリティ保証を用いて高い通信レートを実現するハイブリッド通信スキームを提供する。セキュアに通信されるメッセージは、最初に、線形ネットワーク符号などの個別にセキュアなエンコーディングを使用してミックスされ、エンコードされたメッセージの一部はさらに暗号化される。暗号化メッセージと、暗号化されていないメッセージとは、異なる通信チャネルを介して送信される。メッセージのいずれかをデコードするには、暗号化メッセージを含むすべてのメッセージが必要になるため、暗号化されていない各メッセージは、事前のミキシングにより、暗号化メッセージとほぼ同じくらいセキュアになる。したがって、暗号化メッセージは、非常に少数しか使用されなくなり、チャネルの数が増加するにつれて、通信のレートが1に近づく。これは、古典的な公開鍵暗号システムが、送信または格納されたデータの一部でしか使用できない場合、ノイズの多いチャネルの存在下において、分散データストレージおよび他のアプリケーションにおいて、特に有益である。
Description
[0001]情報理論と暗号との関係は、クロード・シャノン(Claude Shannon)が、通信に関する自らの発展的な研究に影響を与えた、セキュリティに関する研究にまで遡る。そこでのシャノンは、アリスとボブという2人のユーザが、盗聴者であるイブの存在下で秘密に通信したいという設定を研究する際に、完全秘匿(Perfect Secrecy)の情報理論的考えを定義した。完全秘匿の下では、H(M|X)=H(M)であり、ここで、Hはエントロピー、Mはプライベートメッセージ、Xは通信ネットワークを介して送信される暗号化メッセージである。イブが、暗号化メッセージXを完全に観測できる(つまり、イブが「強い」)場合、アリスとボブとの両方が、メッセージと同じ大きさのエントロピーを有するランダムな鍵、すなわち「ワンタイムパッド(one-time pad)」Rを共有する場合、つまり、H(R)≧H(M)である場合にのみ、完全秘匿を取得することができる。そのようなシステムは、図1に示され、ここでは、アリスは、2つのメッセージM1およびM2を、2つの異なる経路(パス)を介してボブに送信し、第1の経路で、共有鍵
をM1に追加し、第2の経路で、共有鍵
をM2に追加する。アリスとボブだけが共有鍵を知っているため、アリスとボブだけが、これらを合わせたものから、2つのメッセージM1およびM2を復元できる。
[0002]アリスとボブが大きな秘密鍵を共有するという理論上の必要性は、たとえば、アリスとボブが地理的に離れている場合には、しばしば、非現実的である。したがって、完全秘匿条件を緩和する代替ソリューションの開発に多大な努力が払われてきた。そのような緩和策の1つは、盗聴者の計算能力に限界があると仮定することに由来する。本開示において「計算量的にセキュアな」と称されるそのようなスキームは、特定の一方向関数を反転させるのが困難であるとの推測に依存する。そのようなスキームでは、アリスは、プライベートメッセージをボブに送信する前に、一方向関数を使用して暗号化する。イブがこの関数を反転させるのは困難であるはずだが、ボブによる反転は可能であるだけでなく、ボブが適切な鍵を所有していれば、効率的である。これを実現する1つの手法は、当該技術分野でそのフレーズが知られている「公開鍵暗号」によるものである。
[0003]公開鍵暗号システムは、暗号関数Enc(・)、解読関数Dec(・)、秘密鍵s、および公開鍵pから構成される。暗号関数は、公開鍵を使用して、プライベートメッセージMをEnc(M,p)に暗号化する。解読関数は、秘密鍵を使用して、暗号化メッセージM=Dec[Enc(M,p),s]を解読する。重要な理論上の特性は、暗号化メッセージを秘密鍵なしで解読すると、計算量的に高コストになることである。これを特徴付ける手法は数多くあるが、ここでは「セキュリティレベル」の考えに焦点を当てる。概して言えば、秘密鍵を知らなくても、暗号化メッセージをデコードするために必要であると予想される演算数が、2bのオーダである場合、公開鍵暗号システムは、「bビットセキュア」とも称されるセキュリティレベルbを有する。重要な現実的な特性は、秘密鍵sのエントロピーが、通信されるメッセージよりもはるかに小さいことであり、これにより、現実的な秘密通信が可能になる。
[0004]第1の、そして最も広く使用されている公開鍵暗号システムのうちの1つは、リベスト・シャミア・エーデルマン(Rivest-Shamir-Adleman,RSA)暗号システムである。RSAのセキュリティは、整数因数分解とRSA問題という2つの数学的問題の推測困難性に依存する。しかしながら、1994年に、ピーター・ショア(Peter Shor)は、ショアのアルゴリズムとして知られる整数因数分解の多項式時間アルゴリズムを公表し、そのアルゴリズムは、量子コンピュータにおいて実行できると警告した。言い換えれば、十分に大規模な量子コンピュータが構築された場合、ショアのアルゴリズムを使用して、RSA暗号システムを破ることができる。この発展により、その後、「ポスト量子暗号」として知られる分野である、量子攻撃に耐性のある暗号システムへの関心が高まった。
[0005]「マクリース(McEliece)暗号システム」として知られるポスト量子暗号の初期の候補は、1978年に導入され、その演算が図2に示される。この暗号システムは、ボブによって生成され、アリスに与えられる秘密鍵pを使用する。これは、tで示される特定数の誤りまで訂正することができ、ボブによって使用される特定の線形符号を指定する。メッセージを送信するために、アリスは、2元ベクトルzをランダムに生成し、このベクトルを、pで指定された特定の線形符号に従ってメッセージのエンコードに追加し、図示されるように、暗号化メッセージE(M1,z,p)およびE(M2,z,p)を形成する。ベクトルzの追加は、ボブが適切な符号を知っていれば訂正できるが、イブが訂正することは計算量的に困難となるt個の意図的な「誤り」を導入する。
[0006]ショアのアルゴリズムを使用するマクリース暗号システムへの攻撃は知られていない。知られている量子攻撃がないことを除けば、その暗号化アルゴリズムおよび解読アルゴリズムは、RSAのものよりも高速である。マクリース暗号システムの主な欠点は、1)通常のアプリケーションでは、公開鍵のサイズは、RSAのものよりもはるかに大きいことと、2)通信オーバヘッドが大きく、元の論文では通信レートが0.5程度であることとの2つである。図2の例示的なマクリース暗号システムは、その後の改良により約0.76に増加したレートを示しているが、この増加でも、通信レートにかなり大きなペナルティが残っている。
[0007]元のマクリース(McEliece)のスキームは、2元ゴッパ符号(binary Goppa codes)を使用していた。ゴッパ符号(Goppa code)のパラメータを変更して、通信レートを上げたいと思うかもしれない。しかしながら、通信レートに関する文献における重要な結果は、高レートのゴッパ符号の行列を、ランダムな行列から区別するために、多項式時間アルゴリズムを与えるというものであった。そのため、高レートのゴッパ符号のセキュリティは保証されないことがある。別のアイデアは、より高いレートを生成する、ゴッパ符号以外の符号の体系を調べることである。しかしながら、そのような符号の候補のほとんどは、すでに暗号が破られているものである。
[0008]計算量的セキュリティの進歩と並行して、完全なプライバシに関する別の緩和が、文献において、主に情報理論家によって検討された。盗聴者の計算能力を制限する代わりに、「物理レイヤセキュリティ」において、暗号化メッセージについてイブが取得できる情報量を制限し、いわゆる「弱いイブ」とする。そのようなパラダイムでは、「強いイブ」との対比のために図3に描かれているように、弱い盗聴者Ewは、送信された合計n個のシンボルのうち、あらゆるセットwを観測できると想定され得る。ここで、wは、厳密にn未満である。このセットを
で表すと、通信レート
を有する暗号化符号が存在し、メッセージに関する情報が、盗聴者に漏洩しない、つまり
であることが示された。
[0009]しかし、物理レイヤセキュリティを使用した完全秘匿には、かなりの代償が伴い、すなわち、正当な通信のレートが低下する。これは、ワイナー(Wyner)の1975年の発展的な研究で示され、ここで、ワイナーは、物理レイヤセキュリティの仮定の下で、古典的なアリス、ボブ、およびイブの3人に類似した、図4に描かれている非発展的(non-constructive,NC)なワイヤタップチャネル(wire-tap channel)を導入した。
[0010]レートに関する効率を高める努力において、図5に例示されるように、シャノンの完全秘匿のさらに別の緩和、すなわち「個別秘匿(individual secrecy)」が導入された。この概念は、アリスが、ボブに送信する多くのメッセージ、たとえばM1,…,Mmなどを有しており、弱いイブが、それらのうちのあらゆるw個を観測する可能性があるネットワーク設定で最もよく説明されている。ワイナーのワイヤタップチャネルによって与えられた制限を超えてレートを上げることにより、情報が漏洩することは避けられない。それでも、個別秘匿は、個々のメッセージに関する情報がまったく漏洩しないことを保証する。したがって、図5に示されるように、アリスは、イブがすべての経路よりも少数の経路(たとえば、図5における単一の経路2)で、すべてのデータの盗聴や傍受をすることができるとの仮定の下、メッセージM1およびM2の複数の異なる線形結合を、2つの異なる経路でボブへ送信する。ボブは、すべてのメッセージを受信するため、これら線形結合を反転させて、最初のメッセージM1およびM2を復元できる。図5の例では、ボブは、経路2のメッセージから、経路1のメッセージを間引くことによってM2を復元し、経路1のメッセージからM2を間引くことによってM1を復元し、一般に、このプロセスは、行列を反転させることによって実現される。しかしながら、イブは、メッセージのサブセットしか受信していないため、メッセージの結合を解くことができない。
[0011]個別秘匿の考えは、i=1,…,mのすべてに対して、H(Mi|YE,w)=H(Mi)を保証することによって、この概念を具現化するものである。この状況は、ワイナー(Wyner)モデルまたはシャノン(Shannon)モデルにおけるように、メッセージのすべてに対してではないが、メッセージのサブセットに対して、完全秘匿、つまりH(M1,…,Mm|YE,w)=H(M1,…,Mm)を提供することに留意されたい。言い換えれば、イブが、彼女の観測から取得する情報は、イブが、それぞれの各メッセージではなく、メッセージの組合せに関する情報を解読するのに役立つ。個別秘匿は明らかにセキュリティの弱い考えであるが、図5に示されるように、多くの場合、システム設計者は、レートを大幅に上げ、しばしば、暗号化プロセスを、レートに関して自由にすることさえできる。効率的なレートが有益であることは疑いの余地がないが、物理レイヤセキュリティの仮定、つまり、イブは、ボブよりも悪いチャネルを経験しないという仮定を実際に適用するのは困難である。
[0012]本明細書で開示される概念、技法、および構造の実施形態は、高い通信レートで、セキュアなポスト量子暗号を取得するための斬新なハイブリッド・ユニバーサル・ネットワーク・コーディング暗号システム(以下、「HUNCC」)を提供する。セキュアなネットワークコーディングスキームは、公開鍵暗号、特にポスト量子暗号によって提供される可能性があるように、情報理論のセキュリティと暗号セキュリティとを組み合わせるという意味でハイブリッドである。それに加えて、このスキームは一般的であり、あらゆる通信ネットワーク、およびあらゆる公開鍵暗号システムに適用できる。計算上の観点から、リンクのサブセットで任意のセキュアな暗号システムが利用され、個別のセキュリティと同様の前処理が利用されるコーディングスキームを構築する。このスキームの下では、1)リンク全体を観測する敵対者に対する計算量的セキュリティ保証と、2)リンクのサブセットのみを観測する敵対者に対する情報理論的セキュリティ保証と、3)ネットワークの容量に近づく情報レートとを実現する。
[0013]我々のスキームの1つの利点は、あらゆる所望の計算量的セキュリティレベルを保証するために、計算上のポスト量子化スキームを使用して、単一のリンク、または送信されるデータの小さな部分を暗号化することで十分であるということである。つまり、HUNCCを使用すると、ネットワークにおけるすべてのリンクで公開鍵暗号を使用することが可能ではないネットワークで、ポスト量子セキュリティを保証できる。それに加えて、通信リンクの数が増えると、情報レートは1に近づく。具体的な例として、3つのリンクを有する多重経路(マルチパス)ネットワークにおいて、128ビットの計算上セキュアなマクリース暗号システムを、1つのリンクのみで使用すると、すべての経路で128ビットの計算量的セキュリティレベルが得られ、ネットワークにおける合計情報レートは0.91になる。
[0014]したがって、第1の実施形態は、複数のデータブロックをセキュアに通信する方法である。この方法は、第1のデータチャネルを使用して、複数のデータブロックの第1のエンコードの暗号を備える第1のメッセージを受信することを含む。この方法はまた、第2のデータチャネルを使用して、複数のデータブロックの、暗号化されていない第2のエンコードを備える第2のメッセージを受信することを含む。この方法はさらに、複数のデータブロックの、暗号化されていない第1のエンコードを取得するために、第1のメッセージの暗号を解読することを含む。また、この方法は、複数のデータブロックの、暗号化されていない第1のエンコード、および暗号化されていない第2のエンコードを使用して、複数のメッセージにおける各メッセージを復元することを含む。
[0015]いくつかの実施形態では、第1のデータチャネルおよび第2のデータチャネルは、異なる送信媒体を備える。
[0016]いくつかの実施形態では、第1のデータチャネルおよび第2のデータチャネルは、単一の送信媒体の異なる利用時間を備える。
[0017]いくつかの実施形態では、暗号は公開鍵暗号を備える。
[0018]いくつかの実施形態では、暗号は、ポスト量子暗号を備える。
[0019]いくつかの実施形態では、復元することは、線形ネットワーク符号に従って、暗号化されていない第1および第2のエンコードをデコードすることを備える。
[0020]いくつかの実施形態では、デコードすることは、個別のセキュア符号に従ってデコードすることを備える。
[0021]いくつかの実施形態では、第1のメッセージを受信すること、または第2のメッセージを受信することは、1つまたは複数の誤りを訂正することを備える。
[0022]別の実施形態は、複数のデータブロックをセキュアに通信するための装置である。装置は、コンピューティングプロセッサと、コンピューティングプロセッサによって実行されると、様々なプロセスを実行するコンピュータプログラムコードを格納する不揮発性メモリとを含む。これらプロセスのうちの1つのプロセスは、第1のデータチャネルを使用して、複数のデータブロックの第1のエンコードの暗号を備える第1のメッセージを受信することを含む。これらプロセスのうちの別のプロセスは、第2のデータチャネルを使用して、複数のデータブロックの、暗号化されていない第2のエンコードを備える第2のメッセージを受信することを含む。これらプロセスのうちのさらに別のプロセスは、複数のデータブロックの、暗号化されていない第1のエンコードを取得するために、第1のメッセージの暗号を解読することを含む。これらプロセスのうちのさらに別のプロセスは、複数のデータブロックの、暗号化されていない第1のエンコード、および暗号化されていない第2のエンコードを使用して、複数のメッセージにおける各メッセージを復元することを含む。
[0023]いくつかの実施形態では、第1のデータチャネルおよび第2のデータチャネルは、異なる送信媒体を備える。
[0024]いくつかの実施形態では、第1のデータチャネルおよび第2のデータチャネルは、単一の送信媒体の異なる利用時間を備える。
[0025]いくつかの実施形態では、暗号は、公開鍵暗号を備える。
[0026]いくつかの実施形態では、暗号は、ポスト量子暗号を備える。
[0027]いくつかの実施形態では、復元することは、線形ネットワーク符号に従って、暗号化されていない第1および第2のエンコードをデコードすることを備える。
[0028]いくつかの実施形態では、デコードすることは、個別のセキュア符号に従ってデコードすることを備える。
[0029]いくつかの実施形態では、第1のメッセージを受信すること、または第2のメッセージを受信することは、1つまたは複数の誤りを訂正することを備える。
[0030]本明細書で開示される概念、技法、および構造は、本明細書の教示から逸脱することなく、他の手法で当業者によって具現化され得ると認識される。
[0031]開示された主題を作成および使用する方式は、同様の参照番号が同様の要素を特定する、図面に関連する詳細な説明を参照することによって認識され得る。
[0047]図面は、必ずしも一定の縮尺ではなく、システムのすべての要素を含むものではなく、代わりに、本明細書で保護しようとする概念、構造、および技法を例示することに重点が置かれている。
[0048]本明細書で開示される概念、技法、および構造の実施形態によれば、ハイブリッド・ユニバーサル・ネットワーク・コーディング暗号システム(HUNCC)は、高い情報レートで、ポスト量子暗号を取得する。このセキュアネットワークコーディングスキームでは、計算量的セキュリティ原則を、物理レイヤセキュリティのプリミティブと組み合わせて、個別秘匿と、計算量的にセキュアな暗号システムとの両方に依存するハイブリッドシステムを導入する。
[0049]並列リンクを使用して、アリスとボブとの間で複数のメッセージが送信される多重経路(マルチパス)のセキュアな送信スキームを介して、この概念を例示する。そうすることで、物理レイヤセキュリティの主な欠点のうちの1つ、つまり盗聴者が、アリスとボブとの間で送信されるすべてのメッセージを観測できる訳ではないという仮定に対処することができる。本明細書で開示されたシステムでは、イブは、アリスとボブとの間の送信全体を実際に観測することができ、つまり、イブは強い可能性がある。
[0050]しかしながら、計算量的にセキュアなシステムと同様に、イブの計算能力について仮定するであろう。しかし、アリスからのメッセージ全体を、公開鍵暗号を使用して暗号化する代わりに、通信リンクの一部のみ、いくつかの実施形態では、リンクのうちの1つだけを暗号化する。計算量的制限があるとの仮定の下では、暗号化されたリンクは、イブの損失に類似しているので、したがって、ここで物理レイヤセキュリティ符号からの従来の技法を採用し得る。言い換えれば、計算量的制限があるとの仮定の下では、盗聴者が暗号を介して、メッセージの一部のみを観測するように強制することができる。これにより、個別秘匿で行われているのと同様に、通信レートの増加が可能になり、計算量的に強いセキュリティ保証を提供する。アリスとボブが、より多くの通信チャネルを有していると、通信レートはさらに大きくなる。実際、チャネルの数が増えると、レートは1に近づく。
[0051]多くの実用的な異種ネットワークでは、公開鍵を用いる暗号システムが、すべての経路に適用できるとは想定できない。HUNCCコーディングスキームは、1つの経路によって送信される情報にのみ公開鍵を使用して、ネットワーク全体でポスト量子セキュリティを保証できる。さらに、HUNCCが使用され得る重要なアプリケーションを以下で論じる。具体的には、多重経路通信に加えて、単一経路通信、分散ストレージ、超高信頼性低レイテンシストリーミング通信、および近視眼的敵対者のケースについても論じる。
[0052]2つの経路を有するネットワークについて、ハイブリッドスキームを図6に示す。アリスは、プライベートメッセージ
を、l=2の通信リンクを介してボブに送信したいと考えている。盗聴者であるイブは、強さに応じて、これらチャネルの一方または両方で通信を観測できる。図6のネットワークの例では、イブは強く、両方のチャネルを観測できると想定している。
[0053]アリスとボブは、公開鍵暗号スキーム(Enc,Dec,p,s)に同意する。アリスは、最初に、たとえば
のような生成子行列を有する個別のセキュア符号を使用して、メッセージMをエンコードする。このエンコーディングを、X=MG=[M1+M2,M1+2M2]によって表す。次に、アリスは、第1のメッセージをEnc(X1,p)として暗号化して、チャネル1を介してボブに送信し、チャネル2を介して、暗号化されていないX2を送信する。次に、ボブは、X1=Dec(Enc(X1,p),s)を解読して、Xのすべてを取得し、生成子行列の逆元を乗じて、元のメッセージM=XG-1をデコードして取得する。
[0054]イブが弱い盗聴者であり、1つの通信チャネルのみを観測する場合、このスキームは、イブの計算能力に関係なく、情報理論的に個別にセキュアである。これは、メッセージの各部分Miが、エンコードされた単一のXjから独立しているためである。イブが強い盗聴者であり、両方の通信チャネルを観測している場合、各メッセージMiは、暗号スキーム(Enc,Dec,p,s)とほぼ同じセキュリティレベルで計算量的にセキュアになるであろう。実際、以下に再現されるアレハンドロ・コーエン(Alejandro Cohen)らの「Network Coding-Based Post-Quantum Cryptography(ネットワークコーディングベースのポスト量子暗号)」(2020年9月3日、https://arxiv.org/abs/2009.01931)(以下、「コーエンら」)の理論1において、(Enc,Dec,p,s)に対して最もよく知られている攻撃が、暗号を破るために、2b回の演算を必要とする場合、イブは、あらゆるメッセージMiを決定するために、少なくとも
回の演算を必要とすることが示された。ここで、εは、2×2線形システムを解くために必要な演算量である。
[0055]個別のセキュア符号Gが機能するためには、
は、2より大きい特性を有する必要があることに留意する。また、個別のセキュア符号のイメージは、暗号関数Encの領域に単射(injective mapping)される必要がある。次の例を検討する。
[0056]アリスとボブが、暗号化リンクのために128ビットのマクリース暗号システムを使用することに同意すると仮定する。最新の計算量的セキュリティの仮定に対してセキュアであるために、ボブは、1537536ビットの公開鍵を有する[2960,2288]-ゴッパ符号を選択し得る。この場合、暗号関数のドメインは、
である。アリスとボブは、2より大きい特性を有する
によって与えられる符号Gのイメージから、
への単射に同意する必要がある。この場合、log2(qu)≒2287.1ビットとなるように、qu=31443を設定できる。したがって、アリスは、X1を2288ビットのベクトルにマッピングし、ゴッパ符号を使用して、
にエンコードできる。
次に、アリスは、リンク1を介してlog2|E(X1,p)|=2960ビットを送信し、リンク2を介して、log2|X2|≒2287.1ビットを送信する。したがって、合計通信コストは、約5248ビットとなり、図6に示すように、通信レートは0.87よりわずかに大きくなる。コーエンらの理論1により、M1とM2との両方のメッセージは、128ビットセキュアである。以下では、ショアのアルゴリズムに対して脆弱であるが、一般的に使用されており、情報レートへのペナルティが低いRSAスキームを使用することに、アリスとボブが同意する例に着目する。
[0057]参照実施の詳細に移る前に、我々のスキームの2つの主な構築ブロックである、1)計算量的にセキュアな暗号システム、および、2)情報理論による個別のセキュリティ、に関するいくつかの背景情報を与える。マクリース暗号システムに焦点が当てられるが、計算量的にセキュアな暗号システムであればどれでも使用できることに留意する。
[0058]<定義1> 公開鍵暗号は、タプル(Enc,Dec,p,s,kb,nb)であり、ここで
は暗号関数であり、
は、解読関数であり、p∈Pおよびs∈Sは、それぞれ公開鍵および秘密鍵を表す。また、すべてのメッセージ
と公開鍵p∈Pとこれに対応する秘密鍵s∈Sとについて、次のとおりである。
[0059]公開鍵暗号(Enc,Dec,p,s,kb,nb)は、
の知識だけを用いて、
を復元するために最もよく知られているアルゴリズムが少なくとも2b回の演算を実行する必要があるとすれば、セキュリティレベルbを有する。最後に、(Enc,Dec,p,s,kb,nb)は、R=kb/nbの場合、レートRを有していると言われる。
[0060]マクリースのポスト量子公開鍵暗号システムは、以下のように機能する。ボブは、公開鍵p=(Gpub=SGP,t)を生成する。ここで、次のとおりである。
アリスとイブの両方が、公開鍵にアクセスできる。秘密鍵は,s=(S,Dg,P)で構成され、ここで、Dgは、gの効率的なデコードアルゴリズムである。メッセージ
を暗号化するために、アリスは、重みtのベクトル
をランダムに選択し、
として暗号化する。メッセージを解読するために、ボブは先ず、
を計算し、次に、デコードアルゴリズムDgを適用する。cP-1は、ハミング距離tを有するので、mSG=Dg(cP-1)となる。その後、GとSとの両方に逆元があるため、ボブは、m=(mSG)G-1S-1を復元する。
[0061]計算量的セキュリティとは対照的に、個別のセキュリティは、イブが弱い盗聴者
であること、すなわち、w個の通信経路にしかアクセスを有していないことという仮定の下で動作する。プライバシの保証は、ボブが各々、長さ
ビットのネットワークを介して送信された
のメッセージのすべてを完全にデコードできる一方、イブは、個別のメッセージに関して何も知らないということである。したがって、次のとおりである。
[0062]次に、任意の線形符号から、個別のセキュリティ符号を構築する方法について説明する。したがって、u≧kuである場合の長さkuおよび次元wをもつ
上の線形符号がCであるとし、ks=ku-wと設定する。
[0063]公開鍵暗号システムでは、特にマクリース暗号システムとは異なり、物理レイヤセキュリティスキームにおいて、生成行列と符号とが公開されていることに留意することが重要である。したがって、ボブとイブとの両方が、上記で説明されたすべての行列へのアクセスを有すると想定できる。
[0064]個別のセキュリティ符号は、以下のように使用され得る。アリスは、メッセージ
を
としてエンコードする。したがって、XTは、個別のセキュリティ符号に従うMTの線形ネットワークコーディングである。メッセージをデコードするために、ボブは、パリティチェック行列HISおよび基底行列GISを使用して、
を計算する。イブは、暗号化されたベクトルXTから、w個のシンボルしか観測しないため、ネットワークを介して送信される情報の、設定されたあらゆるk-w個のシンボルをデコードすることはできず、これらシンボルに関して何も分からない。
[0065]次に、開示の残りの部分で使用されるセキュリティの考えおよび脅威モデルを定義する。全体を通して、暗号文のみの攻撃モデルを想定する。つまり、敵対者であるイブは、
へのアクセスしか有していない。先ず、計算量的セキュリティの考えを定義する。
[0066]<定義2> 暗号文c(M)のみの観測からMをデコードすることを期待して、最もよく知られているアルゴリズムが少なくとも2b回の演算を実行する必要がある場合には、メッセージMおよびc(M)を有する暗号システムは、セキュリティレベルbを有する。
[0067]セキュリティレベルのこの定義は、エンコードされたメッセージMのサイズおよびその分散に暗黙のうちに制限を課すことに留意されたい。実際、公開鍵暗号システムを想定すると、敵対者は、正しいメッセージ入力が発見されるまで、潜在的なメッセージ入力を推測することにより、常にブルートフォース攻撃を使用する可能性がある。一般に、メッセージMは、
とのセットにおいてランダムに一様な値をとり、したがって、kb≧bに従うと想定される。実際、ほとんどの暗号システムでは,kbは、厳密にbより大きくなければならない。本開示を通じて、この関係を暗黙のままにし、むしろ、セキュリティレベルbに焦点を当てることに決め、このセキュリティレベルに基づいて適切なkbを選択する。
[0068]定義2の計算量的セキュリティレベルは、単一のリンク、または等価的に単一のメッセージの場合に関連する。各リンクで複数のメッセージが送信される場合、各メッセージに個別に適用されるセキュリティ保証を提供することが望ましい。弱いイブの場合、これは、情報理論的な個別秘匿を介して取得できる。
[0069]<定義3> |ω|=wとなるすべてのω⊂[l]についてH(Ms|Yω)=H(Ms)である場合、メッセージM1,…,Mlを有する暗号システムは、(l,w)個別にセキュアであり、ここで、
である。
[0070]送信されたメッセージの全体を観測できる強いイブの場合、(l,w)個別のセキュリティは得られない。代わりに、個別の計算量的セキュリティの考えについて説明する。これは、あらゆる経路上のあらゆるメッセージのデコードに、2b回の演算が必要になることを示す。
[0071]<定義4(個別の計算量的秘匿)> i=1,…,lについてメッセージM1,…,Mlおよび暗号文
を有する暗号システムは、最もよく知られているアルゴリズムが、観測量c1,…,clから任意のMj(j=1,…,l)をデコードするために少なくとも2b回の演算を実行する必要があると期待されている場合、セキュリティレベルbを有する。
[0072]個別の計算量的秘匿は、M=[M1,…,Ml]およびc(M)=[c1(M1,…,Ml),…,cl(M1,…,Ml)]を有する暗号システムの計算量的セキュリティで示唆していることに留意されたい。したがって、これは厳密に強いセキュリティの考えである。
[0073]ここで図7を参照して、l個のノイズのない独立した通信リンク122を介して、宛先ノードであるボブ130に接続された、ソースノードであるアリス110からなるネットワーク100における実施形態のシステム概要を検討する。アリス110の目的は、各々の長さが
ビットのku個のメッセージ
を、盗聴者(eavesdropper)であるイブ120の存在下で、ボブ130へ秘密に送信することである。
イブ120は、量子コンピュータへのアクセスを有していると仮定する。以下では、通信リンク122は各々、(たとえば、いくつかが図3に示される)異なる送信媒体であり、本明細書では「データチャネル」または「経路」と称されることもある。しかしながら、本明細書における概念、技法、および構造の実施形態は、図12に関連して以下で論じられるように、単一経路内に存在する複数のデータチャネルと共に(すなわち、単一の送信媒体の異なる利用時間として)使用され得ると認識される。
[0074]アリス110が、各通信リンク122を介してボブに送信するメッセージのベクトルをY=[Yl;…;Yl]で表す。これらメッセージは、ボブ130がメッセージからMをデコードできるようなものである必要がある。したがって、H(M|Y)=0である場合、Yは信頼できると言える。しかしながら、メッセージYは、イブ120自身が、Mをデコードしない場合、特定の特性を満たす必要がある。これは、イブ120がどれほど強いかによって異なる。
[0075]2つのタイプのイブ120を検討する。強いイブ120であるEsは、すべての通信リンクを観測し、Y全体へのアクセスを有する。また、弱いイブ120であるEwは、通信リンク122のサブセットのみを観測する。各々の観測量を、
でそれぞれ表す。信頼性のため、強いイブ120に対しては情報理論上のプライバシを確保できないことに留意されたい。
[0076]高レベルでは、暗号システムは、以下のように機能する。アリス110とボブ130は、イブ120がアクセスできる公開ディレクトリ124に格納された公開鍵pを用いて、定義1のように公開鍵暗号システム(Enc,Dec,p,s,kb,nb)に同意する。次に、アリス110は、l個のリンク122のうちのc個を、暗号化リンクとして選択する。図7では、単一のメッセージX1のみが暗号プロセッサ114によって暗号化されたものとして示され、したがってc=1であるが、暗号化のために、あらゆる数のリンクが選択され得ると認識される。暗号化されていないl-c個のリンクは安全ではないため、これだけでは完全なセキュリティを提供しない。この問題を解決するために、暗号114の前に、個別にセキュアな線形符号、特に線形ネットワーク符号を使用して行列乗算器112によってメッセージがミックス(エンコード)される追加のステップを導入する。これにより、コーエンらの定理1において、各メッセージが計算量的にセキュアであることがここで示された。このスキームのセキュリティパフォーマンスおよび合計通信レートは、cと、公開鍵暗号システムのパラメータとの選択に依存する。ボブ130は、l個の通信リンク122からY=[Y1;…;Yl]を受信し、解読プロセッサ132を使用して、最初のc個の暗号化メッセージを解読し、その後、ミキシングプロセス112の反転によって、行列乗算器134を使用して、最初のc個のメッセージをデコードし、行列乗算器136を使用して最後のl-c個のメッセージをデコードし、完全な初期メッセージMを復元する。
[0077]ここで、図7に示されるシステム、図8に示されるアルゴリズム1全体、および図9に示されるアリス110によって実行されるエンコードプロセスを再度参照して、HUNCCのより詳細な説明を行う。(Enc,Dec,p,s,kb,nb)を、定義1で説明したように、セキュリティレベルbを有する公開鍵暗号システムとする。いつものように、公開鍵pは、ボブ130によって生成され、何らかの公開通信チャネル(たとえば、公開ディレクトリ124)を介してアリス110に提供される。アリス110は、暗号化される経路122の数cを選択する。一般性を失うことなく、1,…,cでインデクス付けされた経路を、暗号化された経路とする。u≧lを固定し、メッセージ
を有する複数のデータブロックを検討する。ここで、
を有する
の各々は、独立して、ランダムに一様に生成される。w≦l-cである場合、
を、(l,w)個別にセキュアな線形符号とする。符号のヌル空間の生成子行列
を選択する。u≧lおよびl-w≧1であるため、そのような符号が存在することに留意されたい。
次に、上記で説明されたように、
によって個別秘匿のエンコード行列が与えられる。したがって、ベクトル
となり、ここで、X(i)=M(i)GISは、M(i)の(l,w)個別秘匿のエンコードに対応する(図7における行列乗算器112、図8における1~5行目、および図9の左側を参照)。
[0078]ここで、すべての経路i∈[c]について、シンボル
の集合を検討する。
であるため、当該集合
は、長さkbのビット
のシーケンスに単射できる。そのような
の各々は、送信される前に(たとえば、暗号プロセッサ114を使用して)公開鍵暗号で暗号化される、すなわち、各リンクiは、
を送信する。yiは、長さnをもつことに留意されたい。経路i>cの場合、アリス110は、当該集合
を暗号化せずに直接ボブ130に送信する。一貫性を保つために、経路上で送信されるデータは、ビットシーケンス
であり、今回は長さkbであると仮定する(図8における6~16行目、および図9の右側を参照)。
のシーケンスに単射できる。そのような
[0079]ここで、ボブ130におけるデコードプロセスを詳述する。すべての経路に誤りがないことを前提とする。したがって、ボブ130は、通信リンク122を介して送信されたすべてのメッセージを取得する。c個の暗号化されたデータチャネルの各々について、ボブ130は、データブロックの、暗号化されていない第1のエンコードの暗号を備えるメッセージを受信し、秘密鍵sを使用してメッセージをデコードする(図7における解読プロセッサ132および図8における17~20行目を参照)。
[0080]したがって、ボブ130は、すべてのi∈[c]について、
を取得する。残りのl-c個のデータチャネルを介して取得されたメッセージは、元のデータブロックの、暗号化されていないエンコードであった。したがって、最初のc個の経路から解読されたメッセージと共に、ボブ130は、
の全体を有している。ここで、推定された、エンコードされたブロックの各i列について、ボブ130は、パリティチェック
および基底行列
を使用して、送信された複数の元のメッセージ(図6における行列乗算器134,136および図8における21~25行目を参照)における各メッセージを復元する。つまり、
である。
[0081]上記で説明されたHUNCCシステムおよび方法を使用することのいくつかの利点が、ここで説明される。HUNCCは、通信リンク全体を観測する、強いイブを処理するのに適している。計算量的にセキュアであることに加えて、イブが弱い盗聴者であり、経路をw個しか観測しない場合、HUNCCは、情報理論的にセキュアである。また、情報レートRは、収束レート
で、1に接近する。これら観測量は、コーエンらにおいて証明された次の3つの定理から導かれる。
[0082]<定理1> u≧l,c≧1および(Enc,Dec,p,s,kb,nb)を、セキュリティレベルbを有する公開鍵暗号システムとする。このとき、入力
を有する図8のアルゴリズムは、少なくともb-δ/2bのレベルで個別に計算量的にセキュアであり、ここで、δは、l×l個の線形システム方程式を解くのに必要な演算の数、つまりδ=O(l3)である。
[0083]<定理2> 図8のアルゴリズムは、(l,w)個別ににセキュアである。
[0084]<定理3> 公開鍵暗号システム(Enc,Dec,pi,si,kb,nb)を使用して暗号化された経路の数を1≦c≦lとする。このとき、図8のアルゴリズムは、情報レート
を有する。
[0085]HUNCCに関するいくつかの重要な留意事項を整理する。第1に、HUNCCのc個の暗号化経路で使用される公開鍵は、基礎となる暗号システム(たとえば、マクリース暗号システムで提供されるもの)からの従来の公開鍵に過ぎないことに留意することが不可欠である。したがって、この公開鍵は、多重経路ネットワークを介して送信されるku個のメッセージとは無関係であり、公開チャネルを介して事前にアリスに提供できる。
[0086]さらに、ワンタイムパッドの場合のように、送信されるメッセージごとに一意の秘密鍵が利用される情報理論的セキュリティとは異なり、HUNCCにおける公開鍵は、複数のメッセージのために使用できる。同様に、個別のセキュア符号の生成行列GISは、機密ではない。アリスとボブは、公開チャネルを介してこの行列に同意することができる、つまり、この行列は、イブに公開される可能性がある。また、この行列は、あらゆる将来の送信のために無期限に使用され得る。
[0087]別のポイントは、HUNCCのセキュリティレベルに関する。定理1で述べたように、基礎となる公開鍵暗号システムが、セキュリティレベルがbを有する場合、HUNCCは、少なくとも
のセキュリティレベルで個別に計算量的にセキュアであり、ここで、δ=O(l3)である。この値は、bに非常に近いことに留意されたい。実際、b=128で、ガウス消去法を使用して、関連する線形システムを解く場合、HUNCCは、セキュリティレベルを1ビットでも下げるためにl>1038である必要がある。
[0088]最後に、我々の主な焦点は、ポスト量子暗号システムにあるが、HUNCCは、対称鍵暗号システムと組み合わされたものを含む、あらゆる公開鍵暗号システムで使用することができる。
[0089]図10および図11には、HUNCCのパフォーマンスが示される。3つの対策、すなわち、情報レート、個別の計算量的秘匿、および情報理論上の個別秘匿が示されている。特に、これら量の間のトレードオフは、図7~図9において、cで示される暗号化リンクの数が変化するときに見られ得る。
[0090]通信レートを検討することから始める。上記の定理3を参照されたい。暗号化リンクの数cを低減すると、レートが増加することに留意されたい。一方、計算量的セキュリティレベルは、少なくとも1つの経路が暗号化されている限り、つまりc≧1である限り、実質的に一定のままである。したがって、本明細書で開示される概念、技法、および構造を具現化する実際のシステムは、単一の暗号化された経路、リンク、またはデータチャネルのみを使用するか、これらを介して送信されるデータの一部のみに適用することができる。
[0091]弱いイブの場合、個別のセキュリティレベルは、弱いイブがそこから情報を取得しないリンクの数l-wに比例して増加する。言い換えれば、計算量的なビットレベルのセキュリティは一定のままであるが、リンクのサブセットを観測する敵対者の不確実性は増加する。
[0092]したがって、図10では、[1024,512]-ゴッパ符号を使用する元のマクリース暗号システムを用いたHUNCCについて、各パフォーマンスパラメータ対暗号化リンクの数cを示している。各暗号化経路を介した情報レートは、kb/nb≒0.5である。説明のために、正規化されたセキュリティ指標を考察する。すなわち、1)正規化された計算量的セキュリティレベル
であり、これは、すべてのリンクにわたり暗号システムを使用して取得できる最大の計算量的セキュリティで除算されたセキュリティレベルである。そして、2)正規化された個別のセキュリティレベル
であり、これは、弱いイブが見ることができる多数のリンク間における、ネットワーク内の合計リンク数で除算された有理数である。
[0093]図10に与えられた例では、結果は、c個の暗号化リンクのすべてにおいて同じ公開鍵を有する同じマクリース暗号システム符号が使用された場合のものである。したがって、正規化された計算量的セキュリティレベルは、c=0の場合はゼロであり、c=1の場合は1である。定理1により、あらゆる1≦c<lの計算量的セキュリティレベルは、ここで、δ=O(l3)であるb-δ/2δによって制限されることに留意されたい。この差はごくわずかであり、プロットには表れず、プロットは基本的に一定のままであり、c≧1の場合、1に等しい。
[0094]本明細書で開示される実施形態は、元のマクリース暗号システムに限定されない。あらゆる暗号システムを利用できる。これを例示するために、図11には、開示された実施形態の効率と、l=3およびl=10の通信リンクについて、他の符号およびシステムの、結果として得られるトレードオフが示される。最初に、元のパラメータ、つまりb=58ビットの計算量的セキュリティを実現する[1024,524]-ゴッパ符号を用いたマクリース暗号システムを示す。次に、b=128ビットの計算量的セキュリティを実現する[2960,2288]-ゴッパ符号と、b=256ビットの計算量的セキュリティを実現する[6624,5129]-ゴッパ符号とを用いたマクリース暗号システムを示す。どちらもkb/nb≒0.777の情報レートを有する。また、QC-LDPC符号を採用したマクリース暗号システムも示す。この符号体系では、以下のパラメータ、kb=16384およびnb=24576、つまりレートkb/nb=0.6667を有する符号が推奨される。この符号は、b=75.8ビット上の計算量的セキュリティを実現する。次に、ニーダライタ(Niederreiter)によって提案されたレート0.57のリード・ソロモン(Reed-Solomon)符号を示す(一般化されたリード・ソロモン符号は文献で破られていることに留意)。元のマクリースの構築によって使用されたものと同じゴッパ符号を使用し、同じセキュリティレベルを備えたニーダライタ型のシステムが、マクリース暗号システムの最先端の攻撃の下でテストされ、したがって、b=58ビットの計算量的セキュリティを達成すると想定される。
[0095]図11に提示されるこの比較において、取得される最大の計算量的セキュリティレベルは、[6624,5129]-ゴッパ符号を有するマクリース暗号システムを使用して256ビットである。したがって、可能な符号ごとに、図11の左側に提示されている結果は、b_max=256で正規化されている。計算量的セキュリティレベルは、暗号システムを選択する際に検討される主要なパラメータのうちの1つであるが、もう1つは公開鍵のサイズであることを思い出されたい。また、上記で説明された理由で、またはネットワークにおける経路の合計数を変更することによって、暗号システムを使用するリンクの数を増加しても、HUNCCの計算量的セキュリティレベルは、本質的に一定のままであることに留意されたい。
[0096]次に、開示されたHUNCCスキームの有用性およびパフォーマンスを例示する機能およびアプリケーションについて説明する。これらアプリケーションは、単一経路通信(図12)、近視眼的敵対者(図13)、分散ストレージおよび他のクラウドアプリケーション、高信頼性低レイテンシ通信(図14)、ポスト量子または他の暗号システム以外のRSA暗号システムの使用を含む。
[0097]図7に示されるネットワークは、多重経路通信を使用するが、本明細書で開示するセキュアなコーディングスキームは、あらゆる通信ネットワークに適用できるという観点において普遍的である。たとえば、古典的なポイントツーポイントの単一経路通信だけでなく、異種メッシュネットワークでも使用できる。図12は、開示されたセキュアなスキームが、古典的なポイントツーポイント単一経路通信にどのように適用できるかを描いている。このセット200では、上記で提示されたネットワーク100と同様に、1人の送信元であるアリス210、1人の正規の宛先であるボブ230、および盗聴者であるイブ220が存在する。主な違いは、セット200では、アリス210とボブ230との間に、情報を送信する経路222が1つしかないことである。アリス210は、有限場
でku個のシンボルのメッセージMを単一経路222上でセキュアに送信することを望んでいる。このために、アリス210とボブ230は、本質的に並列的な仮想リンクを(たとえば、時分割多重化または当該技術分野で知られている他の技法によって)シミュレートすることによって、上記で説明されたように依然としてHUNCCを利用し得る。より正確には、第1段階で、アリス210は、行列乗算器212を介して、線形的な個別のセキュア符号
を使用して、ku個のシンボルをエンコードする。次に、アリス210は、公開ディレクトリ224において、ボブによって提供された公開鍵を使用して、チャネル222を介して送信する前にシンボルのcを暗号化する。残りのプロセスは上記のとおりである。したがって、単一経路またはリンクのみであるが、多重経路ネットワークの場合と同じ通信レートおよびセキュリティレベルが得られる。
[0098]文献で検討されている別の重要なシナリオは、イブが、ネットワークを介して送信された情報の盗聴や傍受をするだけでなく、暗号化されたパケットを破損することも許可されているシナリオである。このシナリオは、受動的攻撃、近視眼的敵対者、中間者攻撃者、ビザンチン攻撃など、異なる敵対者モデルの下で、文献で検討されている。パケット破損の一般的な描写が図13に例示され、ここでは、近視眼的敵対者が、最大t個の経路を通過するデータを破損する。
[0099]ネットワーク内の経路のw<l個のサブセットからの情報しか得られない弱い盗聴者の場合、線形的な個別のセキュリティ符号を拡張して、イブによって注入される可能性がある最大t個の誤りの訂正を実行することができる。1つのソリューションは、符号を一般化することであるが、そのような拡張にはコストが発生する。t個の注入された誤りを訂正するには、レートを2t低減する必要がある。しかしながら、このセットでは、暗号化された経路上にあるか否かに関係なく、ネットワークを介して送信されるメッセージのサブセットをイブが破損する可能性がある場合を、符号がサポートできることに留意されたい。実際、訂正の特性は、線形的なコーディングスキームのデコードのみに依存し、解読フェーズとは無関係である。
[0100]ネットワーク内のすべての経路から情報を取得できる強い盗聴者の場合、同じ一般化符号を利用して、イブによって注入される可能性のあるt個の誤りを訂正することができる。しかしながら、この場合、セキュリティを確保するために、アリスは、ネットワークにおける異なる経路を介して送信される、少なくとも2t+1個のメッセージを暗号化する必要がある。したがって、誤りを訂正するために送信される追加の2t個のメッセージを暗号化して、イブが、線形符号によって十分エンコードされたメッセージを取得できないようにする必要があり、これにより、合計メッセージをデコードするために必要なランクを有する行列が得られる可能性がある。
[0101]エンコードされたメッセージ間で認証を利用して、上記で開示されたソリューションで注入された誤りを訂正するために必要なオーバヘッドを低減することができる。ボブが、破損されたメッセージを識別できる場合、アリスは、上記で提示されたモデルにおける2つのメッセージとは対照的に、注入された誤りごとに、追加のシンボルを1つだけ含める必要があることに留意されたい。さらに、上述された一般化された線形符号は、ネットワークにおける経路に誤りがないというシナリオをサポートする。マクリース暗号システムにおけるように、暗号システムが、誤り訂正符号に基づいている場合、ソースにおいて誤りベクトルを追加する代わりに、アリスは、チャネルの誤りを使用して、イブを混乱させることができる。このような場合における符号は、これら誤りを考慮して、正当なデコーダでデコードできるように設計されている。したがって、ボブは、情報をデコードできる。これらすべての拡張機能により、これらソリューションの有効なレートを高めることができる。
[0102]HUNCCは、分散ストレージおよび他の「クラウド」アプリケーションにも適用され得る。分散ストレージシステムの目標は、信頼性の低いストレージノードに分散されたデータへの信頼できるアクセスを提供することである。グーグル(Google)のGFSとBigTable、アマゾン(Amazon)のDynamo、フェイスブック(Facebook)のApache Hadoop、マイクロソフト(Microsoft)のWAS、およびリンクトイン(LinkedIn)のVoldemortとSkyFlokを含む、データセンタに関連するアプリケーションは今日どこにでもある。
[0103]分散ストレージの主な欠点のうちの1つは、データが格納される場所の数が増加するにつれて、データのセキュリティおよびプライバシにおけるリスクが潜在的に増大することである。この問題に対処する1つの手法は、問題を多重経路ネットワークとして再解釈することである。これは、アリスとボブとが異なる時点で同じ個人であり、通信リンクがストレージノードであると見なすことによって行われる。このように、HUNCCを含む多重経路ネットワークに対する異なるプライバシソリューションを容易に適用して、分散ストレージシステムにおけるデータを保護できる。確率論的または敵対的な性質の両方の消去と誤りは、上記で説明された近視眼的敵対者によって導入された誤りを訂正する技法を使用して対処でき、同様の結果が得られる。
[0104]HUNCCはまた、超高信頼性低レイテンシ通信を提供するために使用され得る。最近は、オーディオ/ビデオストリーミング、スマートシティ通信、モノのインターネット(IoT)ネットワークと制御アプリケーション、分散計算などにおけるアプリケーションと共に、低遅延を要求するストリーミング通信におけるネットワークコーディングの適用が検討されている。これに関連して、図14は、アリスが、デジタルビデオパケットを生成または受信して、ボブにストリームする、ビデオストリーミング用の多重経路、低レイテンシ通信環境を描いている。高いスループットを実現する従来のコーディングソリューションは、一般に、これらアプリケーションにおいて必要となる、順序通りの低い配信遅延を保証するのには適していない。これにより、高レートと低遅延との間のトレードオフを調査する方法を提案する一連の作業が行われた。
[0105]しかしながら、通信が安全である必要がある場合、HUNCCは、当該技術分野で知られている様々なネットワークコーディングスキームと併せて使用され得る。これらコーディングスキームでは、線形ネットワークエンコーディングプロセスに関与するアリスからのメッセージの数は、望ましいレート/レイテンシのトレードオフに依存する。しかし、HUNCCを使用するセキュリティアプリケーションでは、この数は、必要とされるセキュリティ保証によってさらに制限される。秘密を提供するために、より多くのメッセージを共にミックスする必要がある場合があるため、これは、遅延をもたらす可能性がある。
[0106]最後に、HUNCCアプリケーションに関して、本明細書で開示される概念、技法、および構造の実施形態に従って、あらゆる計算量的にセキュアな暗号システムを使用できることに留意されたい。特に、RSAは、図6において与えられる例、つまり、2つの経路を有する多重経路ネットワークのコンテキストにおいて、ネットワークコーディングソリューションに適用できる。アリス側のエンコードの第1段階として、X=MG=[M1+M2,M1+2M2]となるように、個別のセキュリティ符号の生成行列
が使用されると仮定する。ここで、アリスとボブが、第1の経路のみでRSAスキームを使用することに同意したとする。128ビットのセキュリティのために、彼らは、3072ビットの鍵を使用することに決めた。328ビットのOAEPパディングを使用すると、メッセージサイズは最大で2744ビットになる。したがって、アリスは、X1を2744ビットのベクトルへ写像し、RSAを使用して、
にエンコードし得る。その後、アリスはチャネル1を介してlog2|E(X1,p)|=3072ビットを、チャネル2を介してlog2|X2|≦2288ビットを送信する。したがって、合計通信コストは約5360ビットになり、通信レートは0.85よりわずかに大きくなる。
[0107]図15は、本明細書で開示される概念、構造、および技法を具現化するために使用され得る、コンピュータ300の関連する物理的構成要素を概略的に示す。特に、コンピュータ300は、図7に示される環境100またはそのあらゆる部分、特にアリスのノード110またはボブのノード130または通信経路122または公開ディレクトリ124、または図8に示されるアルゴリズム1またはその一部、または図9に示される行列演算と暗号演算、または図12に示される環境200またはそのあらゆる部分、特にアリスのノード210またはボブのノード230または単一の通信経路222または公開ディレクタ224、または、図14に示されるビデオストリーミングおよび再生機能を実施するために、全体的または部分的に使用され得る。一般に、コンピュータ300は、データバスを使用して互いにデータを通信する多くの機能構成要素を有する。図3の機能構成要素は、各々が動作しなければならない速度と、そのような動作を可能にするために必要な速度でバスを使用してデータを通信するために使用される技術に基づいて物理的に配置される。
[0108]このように、コンピュータ300は、高速構成要素およびバス311~316と、低速構成要素およびバス321~329として配置される。高速構成要素およびバス311~316は、「ノースブリッジ」とも呼ばれる高速ブリッジ310を使用してデータ通信のために結合される一方、低速構成要素およびバス321~329は、「サウスブリッジ」とも呼ばれる低速ブリッジ320を使用して結合される。
[0109]コンピュータ300は、バス312を介して高速ブリッジ310に結合された中央演算処理装置(「CPU」)311を含む。CPU311は、コンピュータプログラムの命令を実行する電子回路構成である。当該技術分野で知られているように、CPU311は、マイクロプロセッサ、つまり、(「チップ」または「マイクロチップ」とも呼ばれる「IC」)集積回路として実施され得る。いくつかの実施形態では、CPU311は、組込みアプリケーション用のマイクロコントローラとして、または当該技術分野で知られている他の実施形態に従って実施され得る。
[0110]バス312は、CPUの(または、より具体的には、マイクロプロセッサの)相互接続のために、当該技術分野で知られているあらゆる技術を使用して実施され得る。たとえば、バス312は、AMDによって最初に開発されたハイパ・トランスポート(Hyper Transport)アーキテクチャ、インテル(Intel)のクイックパス・インターコネクト(QuickPath Interconnect)(「QPI」)、または同様の技術を使用して実施され得る。いくつかの実施形態では、高速ブリッジ310の機能は、バス312の必要性を排除して、CPU311によって全体的または部分的に実施され得る。
[0111]コンピュータ300は、グラフィックスバス314を介して高速ブリッジ310に結合された1つまたは複数のグラフィックス処理ユニット(GPU)313を含む。各GPU313は、CPU311からのコマンドを処理して、表示画面(図示せず)上に表示する画像データにするように設計される。いくつかの実施形態では、CPU311はグラフィックス処理を直接実行し、別個のGPU313およびグラフィックスバス314の必要性を排除する。他の実施形態では、GPU313は、CPU311とは別の集積回路として物理的に具現化され、ビデオカードなどの拡張カードで具現化される場合、コンピュータ300から物理的に取外し可能であり得る。GPU313は、画像データ(または、GPU313が補助計算プロセッサとして使用される場合は他のデータ)をグラフィックスバッファに格納し得る。
[0112]グラフィックスバス314は、CPUとGPUとの間のデータ通信のために、当該技術分野で知られているあらゆる技術を使用して実施され得る。たとえば、グラフィックスバス314は、ペリフェラル・コンポーネント・インターコネクトExpress(Peripheral Component Interconnect Express)(「PCIExpress」または「PCIe」)規格、または同様の技術を使用して実施され得る。
[0113]コンピュータ300は、メモリバス316を介して高速ブリッジ310に結合された一次ストレージ315を含む。本明細書では「メインメモリ」または単に「メモリ」と呼ばれ得る一次ストレージ315は、CPU311によって使用されるコンピュータプログラム命令、データ、またはその両方を含む。一次ストレージ315は、ランダムアクセスメモリ(「RAM」)を含み得る。RAMは、電源が切断されたときにデータが失われる場合は「揮発性」であり、電源が供給されていなくてもデータが保持される場合は「不揮発性」である。通常、揮発性RAMは、コンピュータ300が「起動」して、プログラムを実行している場合、およびコンピュータ300が一時的に「スリープ」している場合に使用され、不揮発性RAM(「NVRAM」)は、コンピュータ300が「休止状態」にある場合に使用されるが、実施形態は、変動し得る。揮発性RAMは、たとえば、ダイナミック(「DRAM」)、同期(「SDRAM」)、およびダブルデータレート(「DDR SDRAM」)であり得る。不揮発性RAMは、たとえば、ソリッドステートフラッシュメモリであり得る。RAMは、1つまたは複数のデュアルインラインメモリモジュール(「DIMM」)として、または当該技術分野で知られている他の同様の技術として物理的に提供され得る。
[0114]メモリバス316は、CPUと一次ストレージとの間のデータ通信のために、当該技術分野で知られているあらゆる技術を使用して実施され得る。メモリバス316は、ストレージアドレスを電気的に示すためのアドレスバスと、プログラム命令およびデータを、一次ストレージ315との間で送受信するためのデータバスとを備え得る。たとえば、一度に64ビット(8バイト)のデータを格納および取得する場合、データバスは、64ビットの幅を有する。この例を続けると、アドレスバスが、32ビットの幅を有する場合、232のメモリアドレスにアクセスできるため、コンピュータ300は、最大8*232=32ギガバイト(GB)の一次ストレージ315を使用し得る。この例では、メモリバス316は、64+32=96ビットの合計幅を有する。コンピュータ300は、メモリバス316から受信した電気信号を、一次ストレージ315における物理ピンによって要求される電気信号に、およびその逆に変換するメモリコントローラ回路(図示せず)も含み得る。
[0115]コンピュータメモリは、メモリ応答時間とメモリサイズとの間のトレードオフに基づいて階層的に編成され得るため、本明細書における、特定の物理的位置にあるメモリのタイプへの描写および参照は、例示のみを目的としている。したがって、いくつかの実施形態(たとえば、組込みシステム)は、CPU311、グラフィックス処理ユニット313、一次ストレージ315、および高速ブリッジ310、またはそれらのあらゆる組合せを、単一の集積回路として提供する。そのような実施形態では、バス312,314,316は、同じ集積回路の一部を形成することができ、物理的に分離する必要はない。コンピュータ300のための他の設計は、バス312,314,316のうちの1つまたは複数の必要性を排除して、CPU311、グラフィックス処理ユニット313、および一次ストレージ315の機能を異なる構成で具現化し得る。
[0116]CPU311、GPU313、および一次ストレージ315に結合された高速ブリッジ310の描写は、高速ブリッジ310との通信のために他の構成要素を結合できるため、単なる例示である。たとえば、ネットワークインターフェースコントローラ(「NIC」または「ネットワークアダプタ」)は、データチャネルを使用してデータを送受信するために、高速ブリッジ310に結合され得る。NICは、データチャネルに送信され、データチャネルから受信されるデータを、ネットワークデータバッファに格納し得る。
[0117]高速ブリッジ310は、内部データバス330を使用して低速ブリッジ320とのデータ通信のために結合される。異なる速度でデータを送受信するために、制御回路構成(図示せず)が必要になる場合がある。内部データバス330は、インテル社(Intel)のダイレクト・メディア・インタフェース(Direct Media Interface)(「DMI」)または同様の技術を使用して実施され得る。
[0118]コンピュータ300は、ストレージバス322を介して低速ブリッジ320に結合された二次ストレージ321を含む。本明細書では「補助メモリ」、「補助ストレージ」、または「外部メモリ」と呼ばれ得る二次ストレージ321は、比較的低速で、比較的長い持続時間にわたってアクセスするためのプログラム命令およびデータを格納する。そのような持続時間は、コンピュータ300からの電力の切断を含む可能性があるため、二次ストレージ321は、(ランダムにアクセスできる場合とできない場合とがある)不揮発性メモリを含む場合がある。
[0119]不揮発性メモリは、たとえばフラッシュドライブまたはソリッドステートドライブなど、可動部分を有していないソリッドステートメモリを備え得る。あるいは、不揮発性メモリは、データを格納するための移動ディスクまたはテープと、データを読み取る(場合によっては書き込む)ための装置とを備え得る。データは、たとえば、コンパクトディスク(「CD」)、デジタルビデオディスク(「DVD」)、またはブルーレイディスク(「BD」)などに光学的に、または、たとえば、ハードディスクドライブ(「HDD」)またはフロッピーディスクにおけるディスクに、またはデジタルオーディオテープ(「DAT」)に磁気的に格納され得る。不揮発性メモリは、たとえば、読取専用(「ROM」)、ライトワンス読取専用(「WORM」)、プログラム可能(「PROM」)、消去可能(「EPROM」)、または電気的消去可能(「EEPROM」)であり得る。
[0120]ストレージバス322は、CPUと二次ストレージとの間のデータ通信のために、当該技術分野で知られているあらゆる技術を使用して実施され得、低速ブリッジ320からの電気信号を、二次ストレージ321上の物理ピンによって要求されるフォーマットへ、およびその逆へ適用するためのホストアダプタ(図示せず)を含み得る。たとえば、ストレージバス322は、ユニバーサルシリアルバス(「USB」)規格や、シリアルATアタッチメント(「SATA」)規格や、インテグレーティド・ドライブ・エレクトロニクス(Integrated Drive Electronics)(「IDE」)、エンハンスト(Enhanced)IDE(「EIDE」)、ATAパケットインターフェース(ATA Packet Interface)(「ATAPI」)、またはウルトラ(Ultra)ATAといったパラレルATアッタチメント(Parallel AT Attachment)(「PATA」)規格や、スモール・コンピュータ・システム・インターフェース(Small Computer System Interface)(「SCSI」)規格や、または類似の技術を使用し得る。
[0121]コンピュータ300はまた、それぞれの1つまたは複数の拡張バス324を介して低速ブリッジ320に結合された1つまたは複数の拡張デバイスアダプタ323を含む。各拡張デバイスアダプタ323は、コンピュータ300が、追加機能を提供する拡張デバイス(図示せず)と通信できるようにする。そのような追加機能は、別の取外し可能な拡張カード、たとえば、追加のグラフィックスカード、ネットワークカード、ホストアダプタ、または専用の処理カードで提供され得る。
[0122]各拡張バス324は、CPUと拡張デバイスアダプタとの間のデータ通信のために、当該技術分野で知られているあらゆる技術を使用して実施され得る。たとえば、拡張バス324は、ペリフェラル・コンポーネント・インターコネクト(Peripheral Component Interconnect)(「PCI」)規格や、イーサネット(Ethernet)規格のようなデータネットワーキング規格や、または同様の技術を使用して、電気信号を送受信し得る。
[0123]コンピュータ300は、基本入出力システム(「BIOS」)325と、バス327を介して低速ブリッジ320に結合されたスーパI/O回路326とを含む。BIOS325は、電源投入プロセス中にコンピュータ300のハードウェアを初期化するために使用される不揮発性メモリである。スーパI/O回路326は、シリアルマウスやキーボードなどの低速入出力デバイス328のための入出力(「I/O」)インターフェースを組み合わせる集積回路である。いくつかの実施形態では、BIOS機能は、スーパI/O回路326に直接組み込まれ、別個のBIOS325の必要性を回避する。
[0124]バス327は、CPU、BIOS(存在する場合)、およびスーパI/O回路の間のデータ通信のために、当該技術分野で知られているあらゆる技術を使用して実施され得る。たとえば、バス327は、ローピンカウント(「LPC」)バス、業界標準アーキテクチャ(「ISA」)バス、または同様の技術を使用して実施され得る。スーパI/O回路326は、1つまたは複数のバス329を介してI/Oデバイス328に結合される。バス329は、コンピュータ300に結合されたI/Oデバイス328のタイプに応じて、シリアルバス、パラレルバス、当該技術分野で知られている他のバス、またはこれら組合せであり得る。
[0125]本明細書における「1つの実施形態」または「ある実施形態」への言及は、実施形態に関連して説明される特定の特徴、構造、または特性を、特許請求される主題の少なくとも1つの実施形態に含めることができることを意味する。本明細書における様々な場所における「1つの実施形態において」というフレーズの出現は、必ずしもすべてが同じ実施形態を称する訳ではなく、別のまたは代替の実施形態が必ずしも他の実施形態と相互に排他的であるとは限らない。「実施」という用語についても同様である。
[0126]本出願で使用される「例示的な」という単語は、本明細書では、例、実例、または例示として役立つことを意味するために使用される。本明細書で「例示的」として説明されるあらゆる態様または設計は、必ずしも他の態様または設計よりも好ましい、または有利であると解釈されるべきではない。むしろ、例示的な単語の使用は、具体的な方式で概念を提示するように意図されている。
[0127]それに加えて、「または」という用語は、排他的な「または」ではなく、包括的な「または」を意味するように意図されている。つまり、別段の指定がない限り、または文脈から明らかではない限り、「Xは、AまたはBを使用する」は、自然な包括的な順列のいずれかを意味するように意図されている。すなわち、Xが、Aを採用する、Xが、Bを採用する、または、Xが、AとBとの両方を採用するのであれば、「Xが、AまたはBを採用する」は、前述のいずれかの事例の下で満たされる。それに加えて、本出願および添付の特許請求の範囲で使用される冠詞「a」および「an」は、別段の指定がない限り、または文脈から単数形を指すことが明らかではない限り、一般に「1つまたは複数」を意味すると解釈されるべきである。
[0128]さらに、「システム」、「構成要素」、「モジュール」、「インターフェース」、「モデル」などの用語は、一般に、ハードウェア、ハードウェアとソフトウェアとの組合せ、ソフトウェア、または実行中のソフトウェアのいずれかであるコンピュータ関連エンティティを称するように意図されている。たとえば、構成要素は、プロセッサ上で動作するプロセス、プロセッサ、オブジェクト、実行ファイル、実行のスレッド、プログラム、および/またはコンピュータであり得るが、これらに限定されない。例として、コントローラ上で動作するアプリケーションと、コントローラとの両方が構成要素になることができる。1つまたは複数の構成要素が、実行のプロセスおよび/またはスレッド内に存在し得、構成要素が、1台のコンピュータにローカライズされ得る、および/または、2台以上のコンピュータに分散され得る。
[0129]本明細書で説明される主題は、ユーザ対話型構成要素を有するコンピューティングアプリケーションのための1つまたは複数のコンピューティングアプリケーション機能/演算を処理するための例示的な実施のコンテキストで説明され得るが、主題はこれら特定の実施形態に限定されない。むしろ、本明細書で説明される技法は、あらゆる適切なタイプのユーザ対話型構成要素実行管理方法、システム、プラットフォーム、および/または装置に適用できる。
[0130]いくつかの実施形態は、方法およびこれら方法を実現するための装置の形態で実施され得る。説明された実施形態はまた、磁気記録媒体、光記録媒体、ソリッドステートメモリ、フロッピーディスク、CD-ROM、ハードドライブ、または他のあらゆる機械可読記憶媒体などの有形の媒体に具現化されたプログラムコードの形態で実施され得、ここで、プログラムコードは、コンピュータなどのマシンにロードされ、マシンによって実行されると、マシンは、特許請求された発明を実現するための装置となる。説明された実施形態はまた、たとえば、記憶媒体に格納されるか、マシンによってロードされ、および/または、マシンによって実行されるか、または、光ファイバ、または電磁放射を介して、電気配線またはケーブルなどの何らかの送信媒体またはキャリアを介して送信されるか否かに関わらず、プログラムコードの形態で実施され得、プログラムコードがコンピュータなどのマシンによってロードされ、マシンによって実行されると、マシンは、特許請求された発明を実現するための装置になる。汎用プロセッサにおいて実施された場合、プログラムコードセグメントは、プロセッサと結合して、特定の論理回路と同様に動作する独自のデバイスを提供する。説明された実施形態は、特許請求された発明の方法および/または装置を使用して生成された、媒体を通じて電気的または光学的に送信される信号値のビットストリームまたは他のシーケンスや、磁気記録媒体内に格納された磁場変動などの形態で実施され得る。
[0131]本明細書に記載された例示的な方法のステップは、必ずしも説明された順序で実行される必要はなく、そのような方法のステップの順序は、単に例示的であると理解されるべきであると理解されるべきである。同様に、様々な実施形態と一致する方法において、追加のステップがそのような方法に含まれ得、特定のステップが省略または組み合わされ得る。
[0132]特許請求された発明の本質を説明するために、説明および例示された部品の詳細、材料、および配置の様々な変更が、当業者によって、添付の特許請求の範囲から逸脱することなくなされ得ることがさらに理解されるであろう。
Claims (16)
- 複数のデータブロックをセキュアに通信する方法であって、
第1のデータチャネルを使用して、前記複数のデータブロックの第1のエンコードの暗号を備える第1のメッセージを受信するステップと、
第2のデータチャネルを使用して、前記複数のデータブロックの、暗号化されていない第2のエンコードを備える第2のメッセージを受信するステップと、
前記複数のデータブロックの、暗号化されていない前記第1のエンコードを取得するために、前記第1のメッセージの暗号を解読するステップと、
前記複数のデータブロックの、暗号化されていない前記第1のエンコード、および暗号化されていない前記第2のエンコードを使用して、前記複数のメッセージにおける各メッセージを復元するステップとを含む、方法。 - 前記第1のデータチャネルおよび前記第2のデータチャネルは、異なる送信媒体を備える、請求項1に記載の方法。
- 前記第1のデータチャネルおよび前記第2のデータチャネルは、単一の送信媒体の異なる利用時間を備える、請求項1に記載の方法。
- 前記暗号は、公開鍵暗号を備える、請求項1に記載の方法。
- 前記暗号は、ポスト量子暗号を備える、請求項1に記載の方法。
- 復元するステップは、線形ネットワーク符号に従って、暗号化されていない前記第1および第2ののエンコードをデコードするステップを含む、請求項1に記載の方法。
- デコードするステップは、個別のセキュア符号に従ってデコードするステップを含む、請求項6に記載の方法。
- 前記第1のメッセージを受信するステップ、または前記第2のメッセージを受信するステップは、1つまたは複数の誤りを訂正するステップを含む、請求項1に記載の方法。
- 複数のデータブロックをセキュアに通信するための装置であって、
コンピューティングプロセッサと、
コンピュータプログラムコードを格納する不揮発性メモリと
を含み、
前記コンピュータプログラムコードは、前記コンピューティングプロセッサによって実行されると、
第1のデータチャネルを使用して、前記複数のデータブロックの第1のエンコードの暗号を備える第1のメッセージを受信するプロセスと、
第2のデータチャネルを使用して、前記複数のデータブロックの、暗号化されていない第2のエンコードを備える第2のメッセージを受信するプロセスと、
前記複数のデータブロックの、暗号化されていない前記第1のエンコードを取得するために、前記第1のメッセージの暗号を解読するプロセスと、
前記複数のデータブロックの、暗号化されていない前記第1のエンコード、および暗号化されていない前記第2のエンコードを使用して、前記複数のメッセージにおける各メッセージを復元するプロセスと
を実行する、装置。 - 前記第1のデータチャネルおよび前記第2のデータチャネルは、異なる送信媒体を備える、請求項9に記載の装置。
- 前記第1のデータチャネルおよび前記第2のデータチャネルは、単一の送信媒体の異なる利用時間を備える、請求項9に記載の装置。
- 前記暗号は、公開鍵暗号を備える、請求項9に記載の装置。
- 前記暗号は、ポスト量子暗号を備える、請求項9に記載の装置。
- 復元するステップは、線形ネットワーク符号に従って、暗号化されていない前記第1のエンコードおよび前記第2のエンコードをデコードするステップを含む、請求項9に記載の装置。
- デコードするステップは、個別のセキュア符号に従ってデコードするステップを含む、請求項14に記載の方法。
- 前記第1のメッセージを受信するステップ、または前記第2のメッセージを受信するステップは、1つまたは複数の誤りを訂正するステップを含む、請求項9に記載の装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US202063072430P | 2020-08-31 | 2020-08-31 | |
US63/072,430 | 2020-08-31 | ||
PCT/US2021/048209 WO2022047295A1 (en) | 2020-08-31 | 2021-08-30 | Network coding-based secure communication |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2023539208A true JP2023539208A (ja) | 2023-09-13 |
JPWO2022047295A5 JPWO2022047295A5 (ja) | 2023-12-22 |
Family
ID=78032508
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023513184A Pending JP2023539208A (ja) | 2020-08-31 | 2021-08-30 | ネットワークコーディングベースのセキュア通信 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20220069987A1 (ja) |
EP (1) | EP4205345A1 (ja) |
JP (1) | JP2023539208A (ja) |
KR (1) | KR20230058685A (ja) |
CN (1) | CN116018778A (ja) |
WO (1) | WO2022047295A1 (ja) |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2848747A1 (fr) * | 2002-12-16 | 2004-06-18 | France Telecom | Procede et dispositif multi-antenne de transmission de signaux |
ES2356912T3 (es) * | 2003-05-30 | 2011-04-14 | Sony Corporation | Método de decodificación, dispositivo de decodificación, programa dispositivo de grabación/reproducción y método, y método y dispositivo de reproducción. |
US20050047516A1 (en) * | 2003-09-01 | 2005-03-03 | Grolmusz Vince I. | A method for dense and secure transmission of signals and information using a small number of channels |
JP2006121524A (ja) * | 2004-10-22 | 2006-05-11 | Toshiba Solutions Corp | 公開鍵暗号装置 |
US8271687B2 (en) * | 2007-06-19 | 2012-09-18 | Cisco Technology, Inc. | Streaming network coding |
US8458556B2 (en) * | 2009-10-09 | 2013-06-04 | Stmicroelectronics, Sa | Low complexity finite precision decoders and apparatus for LDPC codes |
KR20150129328A (ko) * | 2013-03-14 | 2015-11-19 | 메사추세츠 인스티튜트 오브 테크놀로지 | 보안 통신을 위한 방법 및 장치 |
FR3015815A1 (fr) * | 2013-12-20 | 2015-06-26 | Orange | Procede de transmission d'un signal numerique pour un systeme marc a plusieurs relais half-duplex dynamiques,produit programme et dispositif relais correspondants |
EP3043508B1 (en) * | 2015-01-09 | 2019-06-26 | Institut Mines Telecom | Hybrid classical quantum cryptography |
US11101893B2 (en) * | 2015-06-30 | 2021-08-24 | Massachusetts Institute Of Technology | Optical cryptography for high speed coherent systems |
CN110870251B (zh) * | 2017-05-12 | 2023-04-04 | 康宁股份有限公司 | 用于使用纠缠光子在量子密钥分发系统中空脉冲减轻的方法和系统 |
US10567354B2 (en) * | 2017-07-15 | 2020-02-18 | Fujitsu Limited | Enhanced communication security |
US11177955B2 (en) * | 2019-01-23 | 2021-11-16 | Apple Inc. | Device-to-device messaging protocol |
-
2021
- 2021-08-30 JP JP2023513184A patent/JP2023539208A/ja active Pending
- 2021-08-30 WO PCT/US2021/048209 patent/WO2022047295A1/en unknown
- 2021-08-30 KR KR1020237010844A patent/KR20230058685A/ko unknown
- 2021-08-30 EP EP21783630.3A patent/EP4205345A1/en active Pending
- 2021-08-30 US US17/460,991 patent/US20220069987A1/en active Pending
- 2021-08-30 CN CN202180052931.4A patent/CN116018778A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
KR20230058685A (ko) | 2023-05-03 |
US20220069987A1 (en) | 2022-03-03 |
WO2022047295A1 (en) | 2022-03-03 |
CN116018778A (zh) | 2023-04-25 |
EP4205345A1 (en) | 2023-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106416121B (zh) | 用于签名产生和加密/解密的共模rsa密钥对 | |
CN111034117B (zh) | 单节点多方加密 | |
US20210377010A1 (en) | Key management method and related device | |
US9942032B1 (en) | Systems and methods for securely detecting data similarities | |
EP2098007A1 (en) | Distributed encryption authentication methods and systems | |
CN111448779A (zh) | 用于混合秘密共享的系统、设备和方法 | |
US10826694B2 (en) | Method for leakage-resilient distributed function evaluation with CPU-enclaves | |
WO2020053013A1 (en) | Public/private key system with decreased public key size | |
US20210135851A1 (en) | Encryption processing system and encryption processing method | |
US10630760B2 (en) | Adaptive encryption in checkpoint recovery of file transfers | |
JP2010524014A (ja) | レートレス符号によってコード化された内容のための低複雑性暗号化方法 | |
US10848312B2 (en) | Zero-knowledge architecture between multiple systems | |
US20240063999A1 (en) | Multi-party cryptographic systems and methods | |
US10333703B2 (en) | Key exchange process | |
US11646870B2 (en) | Securing mobile device by RAM-encryption | |
WO2019220900A1 (ja) | 暗号化システム、暗号化装置、復号装置、暗号化方法、復号方法、及びプログラム | |
JP2023539208A (ja) | ネットワークコーディングベースのセキュア通信 | |
TWI565285B (zh) | A cryptographic device, a memory system, a decoding device, a cryptographic method, a decoding method, a cryptographic program product and a decoding program product | |
US11372984B2 (en) | Key-compressible encryption | |
JP7298686B2 (ja) | 鍵交換システム、通信装置及びプログラム | |
US11909893B2 (en) | Composite encryption across cryptographic algorithms | |
WO2022179326A1 (en) | Encrypted communication using counter mode encryption and secret keys | |
JP7310938B2 (ja) | 暗号システム、暗号化方法、復号方法及びプログラム | |
US20230179397A1 (en) | Cryptographic system, encryption device, decryption device, and key generation device | |
Kusters | Helper data schemes for secret-key generation based on SRAM PUFs: bias & multiple observations |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231214 |