暗号化プロトコルの完全な記号的攻撃者のための自動推論

CRYPTOVAMPIRE は、計算論的に完全な記号的攻撃者(CCSA)モデルに基づいて、自動的にトレース特性を証明することができる最初のツールである。これは、高階論理の表現力を保ちつつ、効率的な最初の順序論理の自動化を実現するための重要な技術的貢献である。

本論文では、CRYPTOVAMPIRE と呼ばれる新しい暗号化プロトコル検証ツールを紹介する。CRYPTOVAMPIRE は、CCSA モデルに基づいて、完全に自動的にトレース特性を証明することができる初めてのツールである。 主な技術的貢献は以下の4点である: 部分項関係の効果的な処理を含む、BC ロジックの最初の順序論理への符号化。これにより、対話型の高階論理証明の負担を克服し、最初の順序推論のみで暗号化プロトコルの健全性を自動的に確立することができる。 BC ロジックから最初の順序論理への移行に際し、論理的表現力の低下がプロトコルの健全性に影響しないことを示す。 飽和アルゴリズムとヒューリスティックスを用いた、VAMPIRE 最初の順序自動定理証明器を基盤とする専用の推論手順の導入。これにより、CRYPTOVAMPIRE の性能を向上させている。 SQUIRREL ライブラリのすべてのトレース特性クエリを数ミリ秒で検証できることを示す実験的評価。また、CRYPTOVERIF よりも優れた性能を示し、SQUIRREL の自動化支援としても有効であることを実証する。 全体として、CRYPTOVAMPIRE は単独の暗号化プロトコル検証ツールとして有効であるだけでなく、SQUIRREL の証明の一部を自動化するためにも使用できることが示された。

|verify(σ, m, k)| ⇔ |H(m, k)| = |σ| |verify(σ, m, k)| ⇒ k ⊑verify( , ,•),H( ,•) m, σ ∨ ∃u. |H(u, k)| = |m, σ| ∧ |u| = |m|

verify(σ, m, k) が成功するためには、キーkが不正に使用されていないか、または以前に署名されたメッセージmと同じものが存在するかのいずれかが成り立つ必要がある。