UC-Secure Star DKG for Non-Exportable Key Shares with VSS-Free Enforcement

本論文は、ハードウェアによる非書き出し鍵（NXK）環境下で、秘密鍵の外部持ち出しを伴わずにUC-安全な分散鍵生成（DKG）を実現し、TEE や HSM などの信頼実行環境を用いて「1+1-out-of-n」のスター型アクセス構造を持つマルチデバイス閾値ウォレットを構築する「Star DKG（SDKG）」を提案するものである。

要約

この論文は、**「絶対に外に出せない秘密の鍵」**を、複数の人（やデバイス）で安全に共有し、共同で署名できる仕組み「SDKG（スター型分散鍵生成）」を提案するものです。

まるで**「魔法の金庫」と「透明な証明書」**を使った、新しいタイプの共同預金システムの設計図のようなものです。

以下に、専門用語を排して、日常の比喩を使って解説します。

---

1. 背景：なぜこんな難しいことをするの？

現代の暗号通貨ウォレットでは、1 つの鍵を 1 人の人が持っているのは危険です。そこで、**「複数の人が協力しないと金庫が開かない」**という仕組み（分散鍵生成：DKG）が使われます。

しかし、従来の方法には大きな問題がありました。

• 問題点： 鍵の「断片（シェア）」をネットワーク上でやり取りする必要があります。
• リスク： もしその断片が盗まれたり、コピーされたりしたら、セキュリティは崩壊します。

最近、スマホやクラウドには**「秘密の鍵を外部に持ち出せない（Non-Exportable）」**という強力なハードウェア（安全な金庫）が搭載されています。

• 新しいルール： 「鍵は金庫の中に閉じ込めて、外に出してはいけない。でも、金庫同士なら『封印された箱』でやり取りしていい」。

この「鍵を絶対に出さない」というルールの中で、どうやって安全に共同鍵を作るかが、この論文のテーマです。

2. 従来の方法がダメな理由

昔ながらの方法（VSS）は、参加者が「自分の鍵の断片」を計算して相手に送る必要がありました。

• 例え： 「私の鍵の半分を紙に書いて、封筒に入れて渡してね」と言われるようなものです。
• 矛盾： 「鍵は絶対に出してはいけない」というルールがあるのに、「鍵の断片を出してね」と言われるのは矛盾しています。

また、セキュリティを保証するために「鍵を一度出してから、また戻す（巻き戻し）」という技術が使われていましたが、ハードウェアの金庫は**「巻き戻し（リセット）できない」**ように設計されています。

3. この論文の解決策：3 つの魔法

この論文は、鍵を一度も外に出さずに、かつ安全に共有するための 3 つの新しいアイデアを組み合わせています。

① 「透明な証明書」USV（Unique Structure Verification）

鍵そのものは外に出せませんが、**「鍵から作られた公開鍵（金庫の鍵穴のようなもの）」**が、誰の物か証明する「証明書」は作れます。

• 比喩：
  • 金庫の中に「秘密の数字（鍵）」があります。
  • その数字を直接見せるのは禁止です。
  • しかし、その数字を使って**「透明なシール（USV 証明書）」**を貼ることができます。
  • このシールを見れば、「あ、これは A さんの金庫から出た数字だ」と誰でもわかりますが、「秘密の数字そのもの」はシールからは読み取れません。
  • これにより、鍵を外に出さずに「誰が何を持っているか」を全員が確認できます。

② 「直線的な魔法」Fischlin 変換

通常、セキュリティ証明には「質問と回答を繰り返す」か「一度失敗してやり直す（巻き戻し）」必要があります。しかし、金庫は巻き戻しできません。

• 比喩：
  • 普通の証明：「先生に質問されて、答えを言う。間違えたらやり直し」。
  • この論文の方法：「先生に質問される前に、答えが正解であることを証明する『魔法のカード』を、一度きりで完成させる」。
  • これにより、金庫の中で一度だけ計算して、外に出すだけで「正しいこと」が証明されます。

③ 「スター型」の構造（SDKG）

このシステムは、**「中央のサービス（P1）」と「複数のユーザー（P2, P3...）」**という「星型（スター型）」の構造に特化しています。

• ルール： 「中央のサービスが必ず参加しないと、署名できない。でも、中央のサービスだけでは署名できない」。
• 例え：
  • 会社の経費精算で、「部長の承認（中央）」と「課長の承認（ユーザー）」の両方がないと、お金が引き出せないような仕組みです。
  • これにより、サービス提供者が勝手に操作できず、ユーザーも単独で操作できないという、最強のバランスを実現します。

4. 新しいデバイスの追加（RDR）

もし、新しいスマホ（回復用デバイス）を追加したい場合、従来の方法だと「鍵を再計算して全員に配り直す」必要がありましたが、それは「鍵を一度外に出す」行為なので禁止されています。

• この論文の解決策：
  • 新しいデバイスは、既存のデバイスから**「封印された箱（暗号化されたデータ）」**を受け取ります。
  • 新しいデバイスの金庫の中で箱を開け、自分の鍵として登録します。
  • 鍵の断片そのものが外に出たことは一度もありません。まるで、**「新しい部屋を、既存の金庫から直接つなげて拡張する」**ような感覚です。

5. まとめ：何がすごいのか？

この論文は、「鍵を絶対に外に出さない（NXK）」という厳しい制約の中で、「誰が誰と協力しているか」を証明し、安全な共同鍵を作る方法を初めて提案しました。

• 従来の方法： 鍵の断片を紙に書いて渡す（危険）。
• この方法： 鍵は金庫の中。外に出すのは「透明な証明書」と「封印された箱」だけ。
• 結果： ハッキングや内部不正に強く、かつ、新しいデバイスを後から追加しても、鍵の秘密性は保たれたままです。

これは、**「安全な金庫（ハードウェア）」と「数学的な証明（暗号）」**を完璧に組み合わせた、次世代のデジタル資産管理システムの青写真と言えます。

技術概要

論文「UC-Secure Star DKG for Non-Exportable Key Shares with VSS-Free Enforcement」の技術的サマリー

この論文は、ハードウェアベースの鍵隔離モジュール（TEE、HSM、Secure Enclave など）内で秘密鍵を保持し、外部へのエクスポートを禁止する「非エクスポート可能鍵（NXK: Non-eXportable Key）」環境において、ユニバーサルに構成可能（UC: Universally Composable）な分散鍵生成（DKG）を実現する新しいプロトコル「Star DKG (SDKG)」を提案するものです。

従来の DKG は、秘密共有の整合性を保証するために「検証可能秘密共有（VSS）」やコミットメント・証明メカニズムを用いて、共有鍵を外部にエクスポート（またはその派生値を計算）する必要がありました。しかし、NXK 環境では鍵の外部持ち出しが禁止されているため、従来の手法は適用できません。また、ハードウェア境界内での状態の巻き戻し（rewinding）やフォーク（forking）が禁止されているため、UC 証明における従来の抽出（extraction）手法も機能しません。

以下に、問題定義、手法、主要な貢献、結果、および意義を詳細にまとめます。

---

1. 問題定義と背景

• NXK 環境の制約:

  • 秘密鍵（共有）はハードウェア（KeyBox）内部に保持され、API 経由でのエクスポート（平文、または逆算可能なアフィン変換）は禁止されています。
  • KeyBox は「状態連続性（State Continuity）」を保つ必要があります。つまり、攻撃者が状態を巻き戻したり、同じ状態から並列にフォークしたりすることはできません。これにより、Fiat-Shamir 変換や Schnorr 証明における「2 つの異なる応答からの秘密抽出」といった古典的な抽出手法がハードウェア境界では使用不可能になります。
  • 従来の DKG プロトコルは、VSS 層（Verifiable-Sharing Enforcement）を通じて、各参加者の寄与をコミットメントと証明で検証し、共有の整合性を保証しますが、これには共有値の外部への露出や再共有（resharing）が必要であり、NXK と矛盾します。

• ターゲットユースケース:

  • 多デバイスウォレット（MPC ウォレット）において、特定のサービス（例：規制対応のための管理者、リスクエンジン）が必ず署名に参加するが、単独では署名できない「スター型アクセス構造（Star Access Structure）」が必要です。
  • 具体的には、中心ノード（P1）と任意のリーフノード（P2, P3, ...）のペアが最小権限集合となる $1+1$-out-of-$n$ の構造です。

2. 主要な手法と技術的貢献

この論文は、VSS 的なメカニズムなしに、NXK 環境下で UC 安全な DKG を実現するために、以下の 3 つの主要な技術的貢献を提示しています。

2.1. Unique Structure Verification (USV) の導入

• 概要: NXK/KeyBox 境界で動作する、新しい非対話型公開検証可能証明書メカニズムです。
• 機能:
  • KeyBox 内部に保持されているスカラー（秘密）$m$ を外部にエクスポートすることなく、その対応する公開群要素 $M = mG$ を決定論的に導出できる「公開開き（Public Opening）」を提供します。
  • 証明書 $(C, \zeta)$ は外部に公開されますが、その中身から $m$ を復元することはできず、$mG$ のみが決定的に計算可能です。
  • これにより、プロトコルのトランスクリプト（公開記録）上で、秘密を漏らさずに「どの公開鍵が生成されたか」を整合性チェックに使用できる構造を確立します。
• 技術的基盤: DLEQ（Discrete Logarithm Equality）関係に基づく Fischlin 変換を用いた UC-NIZK（非対話型ゼロ知識証明）を、KeyBox 内で生成し、外部に証明書のみを出力します。

2.2. 直線抽出（Straight-Line Extraction）による整合性強制

• 課題: KeyBox 内部では状態の巻き戻しが禁止されているため、UC 証明における「フォーク Lemma」に基づく抽出が使えません。
• 解決策:
  • gRO-CRP モデル: グローバル・ランダム・オラクル（Global Random Oracle）に「文脈制限付きプログラム可能性（Context-Restricted Programmability）」を導入したモデルを使用します。これにより、シミュレーターは特定の証明文脈でのみオラクルをプログラムできます。
  • Fischlin 変換の活用: 直線抽出（rewinding なし）が可能な UC-NIZK 証明（AoK: Argument of Knowledge）を Fischlin 変換を用いて構築します。
  • 実装: 証明の生成はホスト（KeyBox 外部）で行われ、シミュレーターが証明者のオラクル問い合わせログを直接観察できるため、秘密を抽出できます。一方、KeyBox 内部の証明（LinOS）は ZK として扱われ、抽出は行われません。

2.3. Star DKG (SDKG) プロトコルの構築

• 構造: $1+1$-out-of-$n$ のスター型アクセス構造（中心 P1 + 任意のリーフ Pi）をサポートします。
• プロトコルフロー:
  1. USV による公開構造の確立: リーフノードが KeyBox 内で USV 証明書を生成し、公開群要素 $M$ をトランスクリプト上で定義します。
  2. アフィン関係の証明: 参加者同士が、USV によって定義された公開値と、自らの秘密共有値との間のアフィン関係（線形結合）を、Fischlin 変換を用いた UC-NIZK 証明で検証します。
  3. 鍵の生成とインストール: 検証が成功すると、トランスクリプトから一意に復元される秘密鍵 $k$ が計算され、そのシェアが各参加者の KeyBox 内に直接インストールされます（再共有は行われません）。
• デバイス登録（RDR）: DKG 完了後、新しい回復用デバイスを追加する際、既存のノードから KeyBox-to-KeyBox の密封（Sealing）を通じてシェアを転送し、新しい KeyBox 内にインストールする「Role-based Device Registration (RDR)」メカニズムを提供します。これにより、公開鍵を変更せずにデバイスを増設できます。

3. 結果と性能評価

• セキュリティ証明:

  • DL（離散対数）問題と DDLEQ（決定性 Diffie-Hellman 等価）問題の困難性を仮定し、UC 枠組みにおいて SDKG が理想的な DKG 機能（$F_{SDKG}$）を UC 実現することを証明しました。
  • 適応的腐敗（Adaptive Corruption）と安全な消去（Secure Erasures）を考慮しています。
  • KeyBox の状態連続性が保証されない場合でも、確率的なフォールト（$\epsilon_{sc}$）として評価され、セキュリティ境界に追加されるのみで破綻しません。

• 計算・通信コスト:

  • 通信量: 基本プロトコル（1+1-out-of-3）では定数回の証明オブジェクトのみを使用するため、$O(n \log p)$ の通信オーバーヘッドです（$n$ は参加者数、$p$ は群の位数）。
  • 計算量: $O(n \log^{2.585} p)$ のビット演算コスト（Karatsuba 乗算モデル）。
  • トランスクリプトサイズ: 128-bit セキュリティレベル（Fischlin パラメータ固定）において、基本プロトコルのトランスクリプトサイズは約 11–13 KiB です。
  • デバイス登録: 追加デバイスの登録は、1 回分の密封通信と $O(\log p)$ の通信、$O(\log^{2.585} p)$ の計算で完了します。

4. 意義と応用

• NXK 環境での DKG の実現:

  • 従来の VSS ベースの DKG が「鍵のエクスポート」に依存していたのに対し、本論文は「鍵の非エクスポート性」を前提としつつ、UC 安全性を維持する初めての包括的な解決策を提供します。
  • これにより、HSM や TEE を利用した高セキュリティな MPC ウォレットの実現が可能になります。

• スター型アクセス構造の最適化:

  • 規制対応やリスク管理が必要な企業向けウォレットや、回復メカニズムを持つ消費者向けウォレットにおいて、「必ず管理者が参加するが、管理者単独では動かない」という要件を、効率的かつ安全に満たします。

• VSS-Free なアプローチ:

  • 証明とコミットメントのみに依存し、秘密共有の再計算や再共有を不要にするため、プロトコルの複雑さと通信オーバーヘッドを大幅に削減しています。

• 実用性:

  • 具体的なパラメータ設定（Fischlin パラメータ）とトランスクリプトサイズの提示により、実システムへの実装可能性が示されています。

結論

この論文は、ハードウェアによる鍵保護（NXK）と UC 安全性という、一見矛盾する要件を調和させるための革新的な枠組みを提示しました。USV（Unique Structure Verification）と直線抽出可能な NIZK を組み合わせることで、秘密を外部に漏らさずに整合性を保証する「VSS-Free」な DKG を実現し、次世代の MPC ウォレットや分散鍵管理システムの基盤技術として極めて重要です。