Miyaji Laboratory

Proofs of Retrievability Scheme (PoR)とPrivate Set Intersection (PSI)という二つの通信プロトコルが存在する．PoR[1] とはデータの持ち主であるクライアントと，データの保管先であるサーバ間の通信に用いられるプロトコルである．このプロトコルに従うことにより，クライアントは自分のデータがサーバに完全な状態で保管されていることを，サーバは クライアントが預けたデータを完全な状態で保管していることを証明する．PoRにはエンコードというク ライアントが預けるデータに消失訂正符号を付加し，冗長性を持たせてサーバにアップロードするステップがあり，既存の方式[1], [2], [3] で はエンコードステップを効率的に行うことが可能であるが，データに冗長性を持たせたとしてもクライアントがアクセスするデータをサー バは確認できるので，アクセス頻度の低いデータを選択的に消去してストレージ容量を確保しようとする悪意のあるサーバを想定した場合，このようなサーバに対してクライアントの参照局所性を隠蔽するために，データのアクセスポイントを隠す必要がある．次にPSI[4] とは，異なるデータを持つクライアントとサーバのデータの積集合を求めるプロトコルである．両通信者ともに相手の入力データの内容は知ることができず，お互いのプライバシーは保護される．PSIはゼロ知識証明を用いることで，プロトコルの手順に従わずに入力値を操作し，プロトコルを中断する攻撃者に対しても安全な方式[4] や，クライアントの持つデータが改竄されていないことを示すために第三者機関に署名機能を付随させた方式[4] ，サーバがクライアントに対して情報の所属を隠したいときに，クライアントはデータの積集合自体ではなく,その要素数を得ることが できる方式などへの応用もされている．これらプロトコルで注意する点は，通信者の計算量は入力したデータサイズに線形であり，入力するデータが非常に大きい場合やリソースが乏しいデバイスを用いた場合，これらの計算量は重い負担になることが既存PSIの問題点である． 本研究では，PoRに対してはクライントの参照局所性を隠蔽する手法を考え，PSIに対しては安全性を損なわずに計算量を削減する手法を検討する．