標準モデル安全な耐量子一方向匿名認証鍵交換

認証鍵交換 (AKE) は複数のパーティ間で共通のセッション鍵を共有するための暗号プロトコルである．通常の AKE ではセッション鍵の秘匿と相互認証が求められる．しかし，Tor や Riffle のような匿名ネットワークのように相互認証が望ましくない場合や，インターネットのようにユーザレベルでの証明書管理が不十分であるために相互認証の実現が困難な場合が存在する．Goldberg らは，クライアントだけがサーバを認証することでクライアントの匿名性を保証する一方向安全な AKE を定式化し，具体的な方式を提案した．しかし，既存の一方向安全な匿名 AKE 方式はランダムオラクルモデルで安全な方式しか知られていない．本稿では，ランダムオラクルモデルと標準モデルにおける一方向安全な匿名 AKE の一般構成をそれぞれ提案する．我々の一般構成によって，初めての標準モデルにおける同種写像問題に基づく一方向安全な耐量子匿名 AKE 方式を実現できる．

Authenticated Key Exchange (AKE) is a cryptographic protocol to share a common session key among multiple parties. Usually, AKE schemes are designed to guarantee secrecy of the session key and mutual authentication. However, in practice, there are many cases where mutual authentication is undesirable, such as in anonymous networks like Tor and Riffle, or difficult to achieve due to the certificate management such as the Internet. Goldberg et al. formulated the notion of one-way secure AKE guarantees anonymity of the client by allowing only the client to authenticate the server, and proposed a concrete scheme. However, existing schemes are only known to be secure in the random oracle model. In this paper, we propose generic constructions of one-way secure anonymous AKE in the random oracle model and the standard model. Our constructions allow us to construct the first one-way secure post-quantum anonymous AKE scheme from isogenies in the standard model.