Registered Attribute-Based Encryption with Publicly Verifiable Certified Deletion, Everlasting Security, and More

この論文は、中央権限に依存せず、公開検証可能性、永続的セキュリティ、および量子耐性を備えた登録属性基暗号（RABE）における初の実用的な証明可能削除方式を提案するものである。

要約

1. 従来の問題：「消したつもりが、実は残っていた」

想像してください。あなたが大切な手紙（データ）を、誰にも見られないように**「魔法の箱」**に入れて送りました。

• 従来の暗号： 箱を開ける鍵（復号鍵）を渡せば、誰でも中身を読めます。
• 新しい要求（認証付き削除）： 「もし私が『消去しました』と言ったら、その箱は物理的に溶けて、鍵を渡しても二度と開けられなくなるようにして！」という要望です。

なぜ難しいのか？
デジタルデータは、コピーが無限に作れるからです。もし相手が「実は裏でコピーを持っていた」と言われたら、従来の技術では「消した」と証明できません。
しかし、**「量子力学（物理の法則）」**を使えば、データをコピーできない性質を利用し、「消去したら物理的に破壊される」状態を作ることができます。

2. この論文の最大の特徴：「中央管理なし」の仕組み

これまでの「消去証明」ができる技術には、大きな欠点がありました。
それは**「信頼できる管理者（中央の銀行のような存在）」**が必要だったことです。

• 問題点： 「管理者が裏切ったり、ハッキングされたりしたら、すべてのデータが危険にさらされる」というリスク（キー・エスクロー問題）があります。

この論文の解決策：
「管理者はいらない！ユーザー同士で直接やり取りできる仕組み」を作りました。
これを**「登録型属性暗号（RABE）」**と呼びます。

• イメージ： 銀行の金庫番がいなくても、各自が自分の鍵を持ち、コミュニティのルール（属性）だけで開閉できるシステムです。

3. 4 つの新しい「魔法の箱」の提案

この論文では、その「管理者不要なシステム」に「完全消去」機能を組み合わせた、4 つの新しい箱を提案しています。

① 秘密の消去証明（RABE-PriVCD）

• 仕組み： 送信者だけが「消去証明書」を確認できる仕組みです。
• 例え： あなたが友人に手紙を送り、友人が「消しました」というシールを貼ります。そのシールが本物かどうかは、あなた（送信者）だけがチェックできます。第三者には分かりませんが、あなたには確実です。

② 誰でも確認できる消去証明（RABE-PubVCD）

• 仕組み： 送信者だけでなく、誰でも「本当に消されたか」を確認できる仕組みです。
• 例え： 友人が「消しました」というシールを貼った後、そのシールを**「公的な印鑑」**のように扱います。通りがかりの人（第三者）が「あ、これは本物の消去シールだ」と確認できます。これにより、データが本当に消えたことを社会全体で証明できます。

③ 永遠に消えない秘密（RABE-PriVCED）

• 仕組み： 「消去証明書」が出たら、未来のどんな天才ハッカー（無限の計算能力を持つ敵）に対しても、データは復元不可能になる仕組みです。
• 例え： 通常の暗号は「今の計算能力では解けない」ですが、未来に超強力なコンピュータが出たら解けてしまうかもしれません。しかし、この仕組みは「物理的に情報が消えた」ため、宇宙が滅びるまで、どんなに時間が経っても、どんなに計算力があっても、元のデータは戻ってきません。

④ 誰でも確認できる「永遠の消去」（RABE-PubVCED）

• 仕組み： 「②」の「誰でも確認できる」機能と、「③」の「永遠に復元不可能」機能を組み合わせた、究極のバージョンです。
• 例え： 「このデータは、誰が見ても、未来のどんな天才でも、二度と復元できない状態で消去されました」ということを、物理法則に基づいて証明する仕組みです。

4. 技術的な「裏技」はどうなっているの？

この仕組みを実現するために、論文ではいくつかの「魔法の道具」を組み合わせています。

• 影の登録システム（Shadow RABE）：
  実際のシステムでは「管理者」がいなくても、セキュリティ証明のためには「もし管理者がいたとしたらどうなるか」をシミュレーションする「影のシステム」を用意しています。これにより、管理者がいなくても安全であることを数学的に証明しています。
• 量子の「コピー禁止」ルール：
  データを「量子状態（光の粒子など）」で表現します。量子力学の「複製禁止定理」により、この状態をコピーしようとすると、必ず壊れてしまいます。これを「消去」の証明に使っています。
• BB84 状態（量子の鍵）：
  情報を「0 と 1」だけでなく、「角度」で表現する量子の鍵を使います。間違った角度で観測（消去）すると、情報が完全に消えてしまいます。

まとめ：なぜこれが重要なのか？

この研究は、**「デジタルデータのプライバシーと、その完全な消去」を、「中央集権的な管理者に頼らず」**実現する道を開きました。

• プライバシー： 自分のデータは自分で管理できる。
• 信頼性： 「消した」と言ったら、物理的に消えていると証明できる。
• 未来への備え： 未来の超強力なコンピュータが現れても、消去されたデータは守り抜かれる。

これは、クラウドストレージや機密文書の管理において、「本当に消えた」と信じていい未来を作るための重要な一歩です。

技術概要

この論文「Registered Attribute-Based Encryption with Publicly Verifiable Certified Deletion, Everlasting Security, and More（公開検証可能な証明付き削除、永続的セキュリティを備えた登録型属性ベース暗号）」は、量子情報と古典暗号の交差点において、**「証明付き削除（Certified Deletion）」と「登録型暗号（Registered Encryption）」を統合し、さらに「永続的セキュリティ（Everlasting Security）」**を実現する新たな暗号方式を提案する画期的な研究です。

以下に、論文の技術的概要を問題提起、手法、主要な貢献、結果、そして意義に分けて詳細にまとめます。

---

1. 背景と問題提起 (Problem)

• 証明付き削除の課題:
  従来の古典暗号では、デジタル情報は無限に複製可能であるため、一度削除しても復元不可能であることを保証することは原理的に不可能でした。しかし、量子力学の「複製不可能定理（No-Cloning Theorem）」を利用することで、量子状態を測定・削除することで情報の復元を物理的に不可能にする「証明付き削除」が可能になりました。既存の研究では、この機能は公開鍵暗号や属性ベース暗号（ABE）などにも拡張されていますが、中央集権的な権限（キーエスクロー）に依存するという致命的な欠点がありました。
• 登録型暗号（RABE）の限界:
  中央集権的なキー管理を排除し、ユーザー自身が秘密鍵を生成・登録する「登録型属性ベース暗号（RABE）」は、キーエスクロー問題を解決する有望なアプローチです。しかし、既存の RABE には証明付き削除の機能がなく、また、中央管理者が秘密鍵を持たない環境で「削除の証明」をどう検証するかという技術的課題がありました。
• 研究の核心:
  「中央管理者に依存せず、かつ、削除が不可逆であることを第三者が検証可能（公開検証可能）な、RABE における証明付き削除と永続的セキュリティは実現可能か？」という問いに対し、肯定的な回答を与えることが本論文の目的です。

2. 手法と技術的概要 (Methodology)

本論文は、以下の 3 つの主要な構成要素を組み合わせることで、新しい暗号プリミティブを構築しています。

A. シャドウ登録型属性ベース暗号 (Shadow RABE: Shad-RABE)

既存の RABE に「シミュレーション機能」を追加した新しいプリミティブです。

• 役割: 証明付き削除のセキュリティ証明において、攻撃者が削除証明を提出した後に秘密鍵を入手するシナリオを安全にシミュレートするために必要です。
• 構成: 区別不能オブスキュレーション（iO）、ゼロ知識証明（ZKA）、および既存の RABE 方式を組み合わせて構築されます。
• 特徴: 実際の運用では通常の RABE と同じ動作をしますが、セキュリティ証明の文脈では、攻撃者が秘密鍵を知っているかのように振る舞う「影（Shadow）」のアルゴリズム（SimKeyGen, SimCT など）を提供します。

B. 2 層構造のハイブリッド暗号化

• RABE-PriVCD (非公開検証):
  • 構造: メッセージを「1 回限りの対称鍵暗号（OTSKE-CD）」で暗号化し、その対称鍵を「Shad-RABE」で属性に基づいて暗号化する 2 層構造を採用します。
  • 削除: 対称鍵暗号の削除証明を生成することで、メッセージの復元を不可能にします。検証には送信者が持つ検証鍵（対称鍵そのもの）が必要であるため、非公開検証となります。
• RABE-PubVCD (公開検証):
  • 構造: Witness Encryption（証人暗号）と「ワンショット署名（One-Shot Signature）」を組み込みます。
  • 仕組み: 暗号文は「0 の署名が存在する」という証人暗号で保護されます。削除証明は「1 の署名」として生成されます。ワンショット署名の性質上、0 と 1 の両方の署名を生成することは不可能です。したがって、削除証明（1 の署名）が公開されると、証人暗号の復元条件（0 の署名）が満たされなくなり、復元不可能になります。
  • 特徴: 署名は誰でも検証可能であるため、公開検証が可能になります。

C. 永続的セキュリティ (Certified Everlasting Security)

計算能力が無限の敵対者に対しても、削除後に情報が保護されることを保証する機能です。

• BB84 状態の利用: 量子状態（$|x\rangle_\theta$）をランダムな基底で準備し、メッセージをマスクします。
• RABE-PriVCED: 基底情報 $\theta$ を RABE で暗号化します。削除時に量子状態を誤った基底で測定することで、情報を物理的に破壊します。
• RABE-PubVCED: 量子状態に「一貫して署名（Coherently Signed）」を施すことで、削除証明を公開検証可能にします。削除証明の検証に成功すれば、BB84 状態の情報が破壊され、無限の計算能力を持つ敵でも復元不可能（情報理論的セキュリティ）になります。

3. 主要な貢献 (Key Contributions)

1. 初の RABE 証明付き削除方式の提案:
   中央管理者を必要とせず、ユーザーが自己管理する RABE 環境で、証明付き削除を実現する最初の方式（RABE-CD）を提案しました。
2. Shadow RABE (Shad-RABE) の導入:
   登録型環境における「受信者非コミット性（Receiver Non-Committing）」を満たす新しいプリミティブを設計し、これが証明付き削除のセキュリティ証明の基盤となりました。
3. 公開検証可能性の達成:
   ワンショット署名と証人暗号、あるいは BB84 状態の署名技術を用いることで、秘密鍵にアクセスすることなく、第三者が削除証明を検証できる方式（RABE-PubVCD, RABE-PubVCED）を構築しました。
4. 永続的セキュリティの実現:
   削除証明が生成された後、計算能力が無限の敵対者に対しても情報が保護される「証明付き永続的削除（RABE-CED）」を実現しました。
5. 格子暗号に基づく実装可能性:
   提案方式を、LWE（Learning With Errors）仮定、$\ell$-succinct LWE、Equivocal LWE などの格子ベースの仮定に基づいて具体化し、**耐量子性（Post-Quantum Security）**を確保しました。

4. 結果と性能 (Results)

• セキュリティモデル:
  • RABE-PriVCD / RABE-PubVCD: 計算量的安全性（量子多項時間攻撃者に対して安全）。
  • RABE-PriVCED / RABE-PubVCED: 永続的セキュリティ（削除後、無限の計算能力を持つ敵に対しても情報理論的に安全）。
• 検証モデル:
  • 非公開検証: 送信者（または鍵所有者）のみが削除を検証可能。
  • 公開検証: 誰でも削除証明を検証可能（監査や規制遵守に有利）。
• 構成要素:
  • 格子暗号（LWE 仮定）、区別不能オブスキュレーション（iO）、ゼロ知識証明、ワンショット署名、BB84 状態などの最先端の暗号プリミティブを組み合わせ、理論的に堅牢なシステムを構築しました。

5. 意義と将来性 (Significance)

• 分散型システムへの適用:
  従来の証明付き削除が抱えていた「中央管理者への依存（キーエスクロー）」という弱点を克服し、分散型ネットワークやブロックチェーン、マルチクラウド環境など、信頼できる中央機関が存在しない現実的な大規模システムでの適用を可能にしました。
• GDPR などの規制対応:
  「忘れられる権利（Right to be Forgotten）」やデータ削除の法的要件に対し、数学的・物理的に「削除されたことが証明可能」かつ「再構築不可能」であることを保証する技術を提供します。特に「公開検証」機能は、第三者による監査を容易にします。
• 量子耐性と永続的セキュリティ:
  将来の量子コンピュータの出現や、計算能力の飛躍的向上（無限の計算能力を持つ敵）に対しても、一度削除されたデータが永久に保護されることを保証する「永続的セキュリティ」の概念を、高度なアクセス制御（ABE）と統合しました。
• 理論的ブレイクスルー:
  登録型暗号、証明付き削除、永続的セキュリティ、公開検証可能性という、これまでに独立して研究されていた複数の高度な暗号概念を単一の枠組みで統合したことは、現代暗号理論における重要な進展です。

結論

本論文は、中央管理者を排除しつつ、データの削除を物理的に不可逆かつ検証可能にする、次世代の暗号基盤を提案しました。特に、格子暗号に基づく実装可能性を示すことで、将来の量子コンピュータ時代においても安全に運用できる、実用的かつ理論的に堅牢な「登録型属性ベース暗号」の新たな地平を開拓しました。