Secure Distributed Computing Gregory Neven (3CW Pr.) Promotor: Prof. Dr. ir. Frank Piessens

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 2 Overzicht Algemene probleemstelling Een fysische oplossing: met behulp van speelkaarten Een concreet protocol: Goldreich, Micali en Wigderson Toepassing: privacy voor mobiele code Besluit

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 3 Algemene probleemstelling n partijen P i (i = 1..n) –hebben elk een geheime invoer x i –willen f(x 1,…,x n ) berekenen –willen geen verdere informatie over x i vrijgeven –vertrouwen niemand behalve zichzelf Opmerking: P i kan altijd informatie afleiden geïmpliceerd door functieresultaat en x i  onvermijdelijk!

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 4 Triviale oplossing x1x1 x2x2 xnxn yy y Probleem: alle partijen moeten T onvoorwaardelijk vertrouwen! P1P1 P2P2 PnPn y = f(x 1,…,x n ) T …

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 5 Vijfkaartentruukje 5 kaarten, waarvan 3 groene en 2 rode beide partijen krijgen 1 rode en 1 groene kaart, overblijvende groene kaart omgekeerd op tafel P 1 en P 2 leggen hun kaarten hierbij in volgorde bepaald door hun invoer: x 1 = 0x 1 = 0x 1 =1x 1 = 1 x 2 = 0x 2 = 1x 2 =0x 2 = 1 g g r g r g g g r r g r g r g g r r g g P1P1 P2P2

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 6 Vijfkaartentruukje (vervolg) P 1 en P 2 passen om beurten willekeurige cyclische permutatie toe op stapeltje (afpakken)  drie eerste gevallen niet meer van mekaar te onderscheiden stapeltje wordt open op tafel gelegd enige mogelijkheid zodat drie groene kaarten (cyclisch gezien) naast mekaar is als x 1 = x 2 = 1

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 7 Een concreet protocol Bedacht door Goldreich, Micali en Wigderson Kan willekeurige functie (voorgesteld als booleaans circuit) veilig evalueren voor twee partijen Alice en Bob Verloopt in twee fasen: 1. Alice: encryptie van het circuit Alice  Bob: geëncrypteerd circuit 2. Bob: evaluatie van het geëncrypteerd circuit Bob  Alice: resultaat

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 8 Notatie Circuit bestaat uit genummerde draden met mekaar verbonden door logische AND- en NOT-poorten I A = verzameling invoerdraden van Alice I B = verzameling invoerdraden van Bob U = verzameling uitvoerdraden b i = bit die op draad i zou staan als invoer van Alice en Bob werkelijk aan het circuit aangelegd werd E k (M) = encryptie van boodschap M met sleutel k

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 9 Encryptie van het circuit Alice kiest voor elke draad i twee willekeurige bitstrings r i 0 en r i 1 Centraal idee: Bob komt tijdens evaluatie enkel te weten, maar weet niets over Hoe? Alice encrypteert codering van uitvoer van elke poort met codering van overeenkomstige invoer als sleutel Alice kiest extra bitstring R zodat Bob juiste decryptie kan detecteren

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 10 Encryptie van een NOT-poort NOT-poort met invoerdraad in en uitvoerdraad uit Alice construeert willekeurige permutatie van het tuple

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 11 Encryptie van een AND-poort AND-poort met invoerdraden links en rechts en uitvoerdraad uit Alice construeert willekeurige permutatie van het tuple

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 12 Doorgeven geëncrypteerd circuit Alice  Bob: –het geconstrueerde tuple van elke poort –R –de coderingen van haar eigen invoerbits: Hoe kan Bob de codering van zijn eigen invoerbits krijgen?

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 13 Oblivious Transfer One-out-of-two oblivious transfer –Alice heeft twee strings x 0 en x 1, Bob heeft selectiebit s –Bob krijgt x s zonder Alice daarbij enige informatie te geven over s –Bob komt niets te weten over In het protocol:  i  I B : –Alice biedt r i 0 en r i 1 in oblivious transfer aan –Bob gebruikt b i als selectiebit

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 14 Evaluatie van het circuit Bob kent codering r i * voor alle invoerdraden NOT-poort (in  uit): Bob gebruikt als sleutel en decrypteert

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 15 Evaluatie van het circuit (vervolg) AND-poort (links, rechts  uit): Bob gebruikt als sleutel en decrypteert Uiteindelijk heeft Bob codering r i * voor alle draden i  U

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 16 Bekendmaken resultaat Bob  Alice: r i *  i  U Alice vergelijkt r i * met r i 0 en r i 1 : r i * = r i 0  b i = 0 r i * = r i 1  b i = 1 Alice  Bob: b i  i  U

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 17 Veiligheid van het protocol Invoer van Alice blijft geheim, want Bob krijgt enkel codering ervan (= reeks volledig willekeurige bits) Invoer van Bob blijft geheim, want dankzij oblivious transfer weet Alice niet welke coderingen Bob gekozen heeft Tussenresultaten blijft geheim: –Bob ziet enkel codering van tussenresultaten (= reeks willekeurige bits) –Alice ziet helemaal niets van tussenresultaten

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 18 Privacy voor mobiele code Veel onderzoek naar bescherming van uitvoerende host tegen mobiele code: –beschadigen machine (virussen e.d.) –niet-geautoriseerde toegang tot bestanden Wat voor bescherming van mobiele code tegen uitvoerende host? Folklore: onmogelijk want mobiele code = klaartekst code en data

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 19 Privacy voor mobiele code (vervolg) Bescherming tweevoudig: –Privacy van code en data host mag programma of data niet kunnen inspecteren –Integriteit van code en data host mag programma of data niet doelgericht kunnen wijzigen

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 20 Privacy voor mobiele code (vervolg) Voorbeeld: mobiele agent die op zoek gaat naar goedkoopste on-line CD-winkel voor een bepaalde CD, bij die winkel de CD bestelt en per credit card betaalt Tweevoudige bescherming: –Privacy van code en data anders credit card nummer in gevaar –Integriteit van code en data wijzigen selectiecriteria of vervalsen meegedragen gegevens

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 21 Uitvoeren van geëncrypteerde code zonder te moeten decypteren? Mogelijk m.b.v. Secure Distributed Computing indien –universeel circuit –niet-interactief protocol Privacy voor mobiele code (vervolg)

Algemeen probleem Fysische oplossing Concreet protocol Privacy voor mobiele code Besluit 22 Besluit Boeiend probleem met interessante toepassingen Vernuftige oplossingen in de literatuur –twee of meerdere partijen –kracht van tegenstanders –interactief of niet-interactief Laatste woord zeker nog niet gevallen –efficiënte niet-interactieve protocols –toepassing-specifieke protocols