EP1031205A1 - Method for identifying proprietary data of traitors - Google Patents
Method for identifying proprietary data of traitorsInfo
- Publication number
- EP1031205A1 EP1031205A1 EP98961135A EP98961135A EP1031205A1 EP 1031205 A1 EP1031205 A1 EP 1031205A1 EP 98961135 A EP98961135 A EP 98961135A EP 98961135 A EP98961135 A EP 98961135A EP 1031205 A1 EP1031205 A1 EP 1031205A1
- Authority
- EP
- European Patent Office
- Prior art keywords
- finite
- traitor
- traitors
- hyperplane
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C5/00—Ciphering apparatus or methods not provided for in the preceding groups, e.g. involving the concealment or deformation of graphic data such as designs, written or printed messages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
- H04L2209/606—Traitor tracing
Definitions
- the invention relates to a method according to the preamble of claim 1.
- a key point of the scheme described in this article is that the session key s used to encrypt the data is divided into t subkeys s, ..., s. Only with knowledge of all t parts can the session key S be reconstructed.
- Each of these sub-keys s lf . , , , s t is then encrypted with each encryption key from a set of encryption keys PK, and the entirety of these cryptograms is presented to the data as a so-called "access block".
- Each authorized subscriber U receives a subset of the encryption keys PK (U) ⁇ zPK, which enables him to calculate all subkeys s lf ..., s t .
- the task is to develop a method for identifying traitors of proprietary data, which enables and without doubt the identification of at least one traitor U (i.e. an authorized subscriber U who has unauthorizedly passed on one of his subkeys to a third person) j
- the method according to the invention is also based on the fact that the data to be encrypted are encrypted with a session key S.
- the session key S is divided into t partial keys s 1 , ... s t , all of which are required for the reconstruction of the session key S.
- Encryption key PK encrypted The entirety of these cryptograms is placed in front of the data to be encrypted as an access block.
- the method according to the invention includes a search scheme which differs from the search scheme of the method described above by its deterministic construction.
- Encryption key PK to the authorized subscriber U according to geometric structures and methods of finite geometry.
- PK U
- the authorized subscribers U are each represented as a point in a finite affine level.
- a finite affine level can be thought of as a Euclidean (i.e. "normal") level, which only contains a number of points.
- Such a finite affine plane is also called AG (2, q), where the number 2 is the dimension of a plane and the parameter q specifies the number of points that lie on a straight line in the plane.
- level q contains 2 points.
- Such levels can be constructed as a 2-dimensional vector space over the finite field GF (q), ie they exist for all prime powers q.
- GF finite field
- Each parallel family of the finite affine plane AG (2, q) contains q lines. In order to obtain a k-resilient procedure, the
- Session key (S) in t k 2 + 1 partial key s ⁇ r s. divided up. Now k 2 - + ⁇ 1 parallel pairs are selected. Each of the q (k 2 + 1) lines in these
- An encryption key from PK is assigned to parallel sets, and the partial key s is encrypted with all encryption keys belonging to the i-th parallel set. Each authorized subscriber U receives exactly those
- the authorized subscriber 1 receives the encryption keys k : and k 4 here , since the two straight lines which are assigned to these encryption keys go through his point.
- the scheme according to Fig. 1 is resilient, because the authorized subscriber U has at most one encryption key k ⁇ in common with every other authorized subscriber U, so his set of encryption keys does not cover any other set of encryption keys. If the authorized participant u were a traitor, he would have to have both of them
- the method according to the invention is also suitable for proving the unauthorized transfer of encryption keys by at most k authorized subscribers, that is, for proving a traitor in a coalition of at most k traitors.
- At least one of the traitors t / must donate at least k + 1 encryption keys so that a complete set of k 2 + 1 encryption keys for the pirate decoder come together. (Pigeon loft principle: if you distribute k 2 + 1 pigeons to just k beats, at least one k + 1 pigeon must sit in at least one loft)
- a set of (d-1) k 2 + 1 subspaces of dimension d-2 is selected, which have the property that at most d-1 of these subspaces intersect at a common point on the hyperplane H.
- the set of these subspaces is denoted by E.
- E can be constructed by considering a rational norm curve in the hyperplane H dual to the hyperplane H. You get H from H (and vice versa) if you get the
- a rational norm curve R of H can be considered as homogeneous coordinates
- R ⁇ (l, t, t:, ..., t d - '')
- TGGF (q) ⁇ ⁇ ⁇ ⁇ 0,0,0, ..., 0,1 ⁇ are given.
- the points of R in H have the property that at most d-1 of them lie in a common hyperplane (of H).
- the points from R become hyperplanes of a set R, which have the properties that at most d-1 of these hyperplanes intersect in a common point.
- the set E is obtained by selecting (d-1) k 2 + 1 elements from R.
- Each authorized subscriber u is now assigned a point in in the finite projective space PG (d, q) that is not in the hyperplane H (after removing the hyperplane H, all of these points are in the finite affine space AG (d, q).
- PG finite projective space
- Each authorized subscriber U receives an encryption key if and only if the associated hyperplane H 'passes through its point.
- a traitor then knows at least one encryption key from an innocent authorized person
- the encryption key of the traitor £ / is determined by how many elements of the set E meet the straight line. This can be a maximum of d-1, since at most d-1 elements of E are at the intersection of
Abstract
The aim of the invention is to develop a method for identifying proprietary data of traitors which enables a doubtless identification of at least one traitor, meaning an authorized subscriber (U), who has disclosed one of his partial keys to a third person without authorization. According to the invention, the assignment of the closing keys to an authorized subscriber (U) results according to geometric structures and methods of finite geometry such that the necessary characteristic of the k-resilience used for identifying a traitor (U) is guaranteed. The doubtless ide ntification of at least one traitor (U) results by means of a traitor search algorithm. The inventive method is both suited for identifying an individual traitor (U) as well as for identifying coalitions of k-traitors (U).
Description
Verfahren zum Identifizieren von Verrätern proprietärer DatenProcedure for identifying traitors of proprietary data
Beschreibung:Description:
Die Erfindung bezieht sich auf ein Verfahren gemäß dem Oberbegriff des 1. Patentanspruchs.The invention relates to a method according to the preamble of claim 1.
In der modernen Informationstechnologie spielt es eine zunehmend bedeutendere Rolle, proprietäre Daten sicher an einen autorisierten Kundenkreis verteilen zu können. Beispiele hierfür sind digitales Pay-TV, Datenrundfunk, Datenverteilung mittels CD-Rom und gebührenpflichtige Online-Datenbanken.In modern information technology, it is playing an increasingly important role to be able to securely distribute proprietary data to an authorized group of customers. Examples include digital pay TV, data broadcasting, data distribution using CD-Rom and online databases subject to charges.
3ei allen diesen oben genannten Medien wird die Information verschlüsselt verteilt. In der Regel haben mehrere autorisierte Personen die Möglichkeit, diese Informationen zu entschlüsseln. In der Praxis kommt es nun oft vor, daß diese proprietären Daten unberechtigterweise an Dritte weitergegeben werden. Mit den heute eingesetzten Systemen ist es nicht möglich, die Quelle dieser Weitergabe ausfindig zu machen.3In all of the media mentioned above, the information is distributed encrypted. Typically, multiple authorized people have the ability to decrypt this information. In practice, it often happens that this proprietary data is passed on to third parties without authorization. With the systems used today, it is not possible to find the source of this transfer.
Einen ersten Ansatz zur Behebung dieses Problems stellt der Artikel "Tracing Traitors" vom Chor, Fiat und Naor dar, der in den Proceedings zur CRYPTO 94 erschienen ist (Springer Heidelberg, Lecture Notres in Computer Science 839). In diesem Artikel wird ein probabilistisches Verfahren zur Konstruktion eines sogenannten "Traitor Tracing"-Schemas vorgestellt, mit dem ein "Verräter" selbst dann gefunden werden kann, wenn er mit bis zu k-1 anderen Verrätern kooperiert (diese Eigenschaft wird dort ic-resilieπt genannt) .
Probabilistisch bedeutet hier, daß praktisch alle Werte in diesem Schema zufällig gewählt werden. Dies bedeutet einen Nachteil in dem Fall, daß die Ergebnisse dieses Schemas in einem Gerichtsverfahren gegen eine Person verwendet werden sollen, die proprietäre Informationen unberechtigterweise weiterverteilt hat. Ein technisches Gutachten, das auf Wahrscheinlichkeiten beruht, hat wenig Aussicht, als Beweismittel anerkannt zu werden.A first approach to solving this problem is the article "Tracing Traitors" by Chor, Fiat and Naor, which appeared in the Proceedings for CRYPTO 94 (Springer Heidelberg, Lecture Notres in Computer Science 839). In this article, a probabilistic method for the construction of a so-called "traitor tracing" scheme is presented, with which a "traitor" can be found even if he cooperates with up to k-1 other traitors (this property is ic-resilient there) called) . Probabilistic here means that practically all values in this scheme are chosen at random. This is a disadvantage in the event that the results of this scheme are to be used in a lawsuit against a person who has unlawfully redistributed proprietary information. A technical report based on probabilities has little chance of being recognized as evidence.
Ein Kernpunkt des in diesem Artikel beschriebenen Schemas besteht darin, daß der Sitzungsschlüssel s, mit dem die Daten verschlüsselt werden, in t Teilschlüssel s ,...,s aufgeteilt wird. Nur mit Kenntnis aller t Teile kann man den Sitzungsschlüssel S wieder rekonstruieren.A key point of the scheme described in this article is that the session key s used to encrypt the data is divided into t subkeys s, ..., s. Only with knowledge of all t parts can the session key S be reconstructed.
Jeder dieser Teilschlüssel sl f . . . , st wird dann mit jedem Verschlüsselungsschlüssel aus einer Menge von Verschlüsselungsschlüsseln PK verschlüsselt, und die Gesamtheit dieser Kryptogramme den Daten als sogenannter "Zugangsblock" vorgestellt. Jeder berechtigte Teilnehmer U erhält eine Teilmenge der Verschlüsselungsschlüssel PK(U) ςzPK, die ihn befähigt, alle Teilschlüssel slf...,st zu berechnen.Each of these sub-keys s lf . , , , s t is then encrypted with each encryption key from a set of encryption keys PK, and the entirety of these cryptograms is presented to the data as a so-called "access block". Each authorized subscriber U receives a subset of the encryption keys PK (U) ςzPK, which enables him to calculate all subkeys s lf ..., s t .
Diese Teilmengen PK(U) von Verschlüsselungsschlüssel haben die Eigenschaft, daß keine Vereinigung von bis zu k dieser Teilmengen eine andere vollständig enthält.Dies ist eine notwendige Voraussetzung für die Eigenschaft der k- Resilienz.These subsets PK (U) of encryption keys have the property that no union of up to k of these subsets completely contains another one. This is a necessary prerequisite for the property of k-resilience.
Die Aufgabe besteht darin, ein Verfahren zur Identifizierung von Verrätern proprietärer Daten zu entwickeln, welches eine zweifeisfreie Identifizierung mindestens eines Verräters U (das heißt eines berechtigten Teilnehmers U, der einen seiner Teilschlüssel unberechtigt an eine dritte Person weitergegeben hat) ermöglicht und
jThe task is to develop a method for identifying traitors of proprietary data, which enables and without doubt the identification of at least one traitor U (i.e. an authorized subscriber U who has unauthorizedly passed on one of his subkeys to a third person) j
welches damit als eindeutiges Beweismittel einem Gerichtsverfahren standhält.which thus stands up to legal proceedings as clear evidence.
Diese Aufgabe wird erfindungsgemäß durch die kennzeichnenden Merkmale des 1. Patentanspruchs gelöst. Vorteilhafte Weiterbildungen des erfindungsgemäßen Verfahrens ergeben sich aus den Unteransprüchen. Das erfindungsgemäße Verfahren basiert wie die oben beschriebene bekannte Verfahrensweise ebenfalls darauf, daß die zu verschlüsselnden Daten mit einem Sitzungsschlüssel S verschlüsselt werden. Der Sitzungsschlüssel S wird in t Teilschlüssel s1,...st aufgeteilt, die alle zur Rekonstruktion des Sitzungsschlüssels S benötigt werden. Jeder Teilschlüssel s^.-.s. wird mit jedem Verschlüsselungsschlüssel PK aus der Menge derThis object is achieved by the characterizing features of the first claim. Advantageous developments of the method according to the invention result from the subclaims. Like the known procedure described above, the method according to the invention is also based on the fact that the data to be encrypted are encrypted with a session key S. The session key S is divided into t partial keys s 1 , ... s t , all of which are required for the reconstruction of the session key S. Each subkey s ^ .-. S. with each encryption key PK from the set of
Verschlüsselungsschlüssel PK verschlüsselt. Die Gesamtheit dieser Kryptogramme wird den zu verschlüsselnden Daten als Zugangsblock vorangestellt.Encryption key PK encrypted. The entirety of these cryptograms is placed in front of the data to be encrypted as an access block.
Das erfindungsgemäße Verfahren beinhaltet ein Suchschema, welches sich durch seine deterministische Konstruktion von dem Suchschema des oben beschriebenen Verfahrens unterscheidet.The method according to the invention includes a search scheme which differs from the search scheme of the method described above by its deterministic construction.
Erfindungsgemäß erfolgt die Zuweisung derAccording to the assignment of
Verschlüsselungsschlüssel PK an die berechtigten Teilnehmer U nach geometrischen Strukturen und Methoden der endlichen Geometrie. Jeder berechtigte Teilnehmer U bekommt eine Teilmenge der Verschlüsselungsschlüssel PK(U) zugeordnet, welche es ihm erlaubt, jeweils einen der Teilschlüssel s für i=l,...t und damit auch den Sitzungsschlüssel S zu rekonstruieren. Auf Grund der nach geometrischen Strukturen und Methoden der endlichen Geometrie erfolgten Zuweisung der Verschlüsselungsschlüssel ist gewährleistet, daß je k berechtigte Teilnehmer mit jedem anderen
berechtigten Teilnehmer insgesamt höchstens --1 kEncryption key PK to the authorized subscriber U according to geometric structures and methods of finite geometry. Each authorized subscriber U is assigned a subset of the encryption keys PK (U), which allows him to reconstruct one of the subkeys s for i = 1, ... t and thus also the session key S. On the basis of the assignment of the encryption keys based on geometric structures and methods of finite geometry, it is ensured that k authorized subscribers with each other authorized participants in total not more than --1 k
Verschlüsselungsschlüssel gemeinsam haben. Damit ist die zur Identifizierung eines Verräters U notwendige Eigenschaft der k-Resilienz gewährleistet. Mit Hilfe eines Verrätersuchalgorithmus kann nun mindestens ein Verräter U zweifelsfrei identifiziert werden.Have encryption keys in common. This ensures the property of k-resilience necessary to identify a traitor U. With the help of a traitor search algorithm, at least one traitor U can now be identified without a doubt.
Im folgenden wird das erfindungsgemäße Verfahren anhand eines Ausführungsbeispiels näher erläutert, wobei die verwendete Struktur der endlichen Geometrie als endlicher affiner Raum AG ausgebildet ist. Die hier verwendeten geometrischen Begriffe können nachgelesen werden in A. Beutelspacher, U. Rosenbaum, Proj ektive Geometrie, Vieweg Verlag, Wiesbaden 1992.The method according to the invention is explained in more detail below using an exemplary embodiment, the structure of the finite geometry used being designed as finite affine space AG. The geometric terms used here can be found in A. Beutelspacher, U. Rosenbaum, Proj ektiv Geometrie, Vieweg Verlag, Wiesbaden 1992.
Es zeigt:It shows:
Fig.l Suchschema im endlichen affinen Raum AG (2, 3) mit s=l, Fig.2 Verbindungsgeraden zwischen einem Verräter U und einem unschuldigen berechtigten Teilnehmer U, Fig.3 Aufbau eines Verräter Suchschemas im endlichen projektiven Raum PG(3,q).Fig.l search scheme in finite affine space AG (2, 3) with s = 1, Fig.2 straight line connecting a traitor U and an innocent authorized subscriber U, Fig.3 structure of a traitor search scheme in finite projective space PG (3, q ).
Erfindungsgemäß werden die berechtigten Teilnehmer U jeweils als Punkt in einer endlichen affinen Ebene dargestellt. Eine endliche affine Ebene kann man sich dabei als eine euklidische (d. h. "normale") Ebene vorstellen, die aber nur endlich viele Punkte enthält.According to the invention, the authorized subscribers U are each represented as a point in a finite affine level. A finite affine level can be thought of as a Euclidean (i.e. "normal") level, which only contains a number of points.
Eine solche endliche affine Ebene wird auch mit AG(2,q) bezeichnet, wobei die Zahl 2 die Dimension einer Ebene ist, und der Parameter q die Anzahl der Punkte angibt, die auf einer Geraden in der Ebene liegen. Insgesamt enthält die Ebene q2 Punkte. Solche Ebenen können als 2-dimensionaler Vektorraum über dem endlichen Körper GF(q) konstruiert werden, d. h., sie existieren für alle Primzahlpotenzen q.
In der endlichen affinen Ebene AG(2,q) gibt es wie in der normalen euklidischen Ebene, parallele Geraden. Die Menge aller Geraden, die zu einer gegebenen Gerade parallel sind, wird als Parallelenschaar bezeichnet. Jede Parallelenschaar der endlichen affinen Ebene AG(2,q) enthält q Geraden. Um ein k-resilientes Verfahren zu erhalten, wird derSuch a finite affine plane is also called AG (2, q), where the number 2 is the dimension of a plane and the parameter q specifies the number of points that lie on a straight line in the plane. Altogether level q contains 2 points. Such levels can be constructed as a 2-dimensional vector space over the finite field GF (q), ie they exist for all prime powers q. In the finite affine plane AG (2, q), as in the normal Euclidean plane, there are parallel straight lines. The set of all lines that are parallel to a given line is called a parallel pair. Each parallel family of the finite affine plane AG (2, q) contains q lines. In order to obtain a k-resilient procedure, the
Sitzungsschlüssel (S) in t=k2 + 1 Teilschlüssel sι r s. aufgeteilt. Nun werden k2 -+■ 1 Parallelenschaaren ausgewählt. Jeder der q(k2 + 1) Geraden in diesenSession key (S) in t = k 2 + 1 partial key s ι r s. divided up. Now k 2 - + ■ 1 parallel pairs are selected. Each of the q (k 2 + 1) lines in these
Parallelenschaaren wird ein Verschlüsselungsschlüssel aus PK zugeordnet, und der Teilschlüssel s wird jeweils mit allen Verschlüsselungsschlüsseln, die zur i-ten Parallelenschaar gehören, verschlüsselt. Jeder berechtigte Teilnehmer U erhält genau diejenigenAn encryption key from PK is assigned to parallel sets, and the partial key s is encrypted with all encryption keys belonging to the i-th parallel set. Each authorized subscriber U receives exactly those
Verschlüsselungsschlüssel, die zu Geraden gehören, die durch seinen Punkt gehen.Encryption keys belonging to straight lines that go through its point.
In Fig. 1 ist die Situation für k = 1 und q = 3 dargestellt. Der berechtigte Teilnehmer 1 erhält hier die Verschlüsselungsschlüssel k: und k4, da die beiden Geraden, die diesen Verschlüsselungsschlüsseln zugeordnet sind, durch seinen Punkt gehen. Hier kann man auch schon sehen, daß das Schema nach Fig. 1-resilient ist, denn der berechtigte Teilnehmer U hat mit jedem anderen berechtigten Teilnehmer U höchstens einen Verschlüsselungsschlüssel k^ gemeinsam, seine Menge von Verschlüsselungsschlüsseln überdeckt also keine andere Menge von Verschlüsselungsschlüsseln. Wäre der berechtigteTeilnehmer u ein Verräter, so müßte er seine beiden1 shows the situation for k = 1 and q = 3. The authorized subscriber 1 receives the encryption keys k : and k 4 here , since the two straight lines which are assigned to these encryption keys go through his point. Here you can also see that the scheme according to Fig. 1 is resilient, because the authorized subscriber U has at most one encryption key k ^ in common with every other authorized subscriber U, so his set of encryption keys does not cover any other set of encryption keys. If the authorized participant u were a traitor, he would have to have both of them
Verschlüsselungsschlüssel kx und k4 in einen Piratendekoder einbringen, um nichtautorisierten Personen ein Entschlüsseln zu ermöglichen. Der Systembetreiber kann nun aus den im Piratendekoder vorhandenen Verschlüsselungsschlüsseln kτ und k4 eindeutig nachweisen, daß der berechtigte Teilnehmer U seine
Verschlüsselungsschlüssel k und k4 einer unberechtigten Person zur Manipulation zur Verfügung gestellt hat und damit zum Verräter U wurde.Insert encryption keys k x and k 4 in a pirate decoder to enable unauthorized persons to decrypt them. The system operator can now clearly prove from the encryption keys k τ and k 4 in the pirate decoder that the authorized subscriber U is his Encryption keys k and k 4 made available to an unauthorized person for manipulation and thus became a traitor U.
Das erfindungsgemäße Verfahren eignet sich bei geeigneter Wahl der Parameter k und q auch zum Nachweis der unberechtigten Weitergabe von Verschlüsselungsschlüsseln durch höchstens k berechtigte Teilnehmer, also zum Nachweis eines Verräters in einer Koalition von höchstens k Verrätern.If the parameters k and q are selected appropriately, the method according to the invention is also suitable for proving the unauthorized transfer of encryption keys by at most k authorized subscribers, that is, for proving a traitor in a coalition of at most k traitors.
• Mindestens einer der Verräter t/muß mindestens k + 1 Verschlüsselungsschlüssel spendieren, damit eine vollständige Menge von k2 + 1 Verschlüsselungsschlüssel für den Piratendekoder zusammenkommen. (Taubenschlagprinzip: Verteilt man k2 + 1 Tauben auf nur k Schläge, so müssen in mindestens einem Schlag mindestens k+ 1 Tauben sitzen.) Jeder Verräter£/ kennt von jedem unschuldigen berechtigten Teilnehmer u höchstens einen Verschlüsselungsschlüssel, da er höchstens den• At least one of the traitors t / must donate at least k + 1 encryption keys so that a complete set of k 2 + 1 encryption keys for the pirate decoder come together. (Pigeon loft principle: if you distribute k 2 + 1 pigeons to just k beats, at least one k + 1 pigeon must sit in at least one loft)
Verschlüsselungsschlüssel kennen kann, der auf der Verbindungsgeraden zwischen dem Punkt des unschuldigen berechtigten Teilnehmers U und dem Punkt des Verräters U liegt. Es gibt in affinen Ebenen genau k solcher Verbindungsgeraden, und nicht alle müssen zu einer der ausgewählten Parallelenschaaren gehören (vgl. Fig. 2).Knowing encryption key, which lies on the connecting line between the point of the innocent authorized subscriber U and the point of the traitor U. There are exactly k such connecting lines in affine planes, and not all of them have to belong to one of the selected parallel sets (cf. FIG. 2).
Man kann die Parameter (Anzahl der Verschlüsselungs- schlüssel, Länge des Zugangsblocks) der vorliegendenOne can set the parameters (number of encryption keys, length of the access block) of the present
Erfindung dadurch verbessern, daß man die Konstruktion auf endliche affine Räume AG (d,q) höherer Dimension d (endlicher projektiver Raum PG) überträgt. Mit der Konstruktion wird im endlichen projektiven Raum PG (d,q) mit den gleichen Parametern begonnen. In diesem Raum wird
eine Hyperebene H, d. h. ein Unterraum der Dimension d- 1, gezeichnet. Diese spezielle Hyperebene wird später entfernt, wodurch sich aus dem endlichen projektiven Raum PG(d,q) der endliche affine Raum AG(d,q) ergibt.Improve the invention by transferring the construction to finite affine spaces AG (d, q) of higher dimension d (finite projective space PG). Construction begins in the finite projective space PG (d, q) with the same parameters. In this room a hyperplane H, ie a subspace of dimension d-1, is drawn. This special hyperplane is later removed, which results in finite projective space PG (d, q) resulting in finite affine space AG (d, q).
In der Hyperebene H wird eine Menge von (d-1) k2 + 1 Unterräumen der Dimension d-2 ausgewählt, die die Eigenschaft besitzen, daß sich höchstens d-1 dieser Unterräume in einem gemeinsamen Punkt der Hyperebene H schneiden. Die Menge dieser Unterräume wird mit E bezeichnet.In the hyperplane H, a set of (d-1) k 2 + 1 subspaces of dimension d-2 is selected, which have the property that at most d-1 of these subspaces intersect at a common point on the hyperplane H. The set of these subspaces is denoted by E.
E kann konstruiert werden, indem eine rationale Normkurve in der zur Hyperebene H dualen Hyperebene H betrachtet wird. Man erhält H aus H (und umgekehrt), wenn man dieE can be constructed by considering a rational norm curve in the hyperplane H dual to the hyperplane H. You get H from H (and vice versa) if you get the
Punkte von H als Hyperebenen (Dimension d-2) von H auffaßt, die Geraden von H als Unterräume der Dimension d-3, usw. Eine rationale Normkurve R von H kann in homogenen Koordinaten alsPoints of H as hyperplanes (dimension d-2) of H, the lines of H as subspaces of dimension d-3, etc. A rational norm curve R of H can be considered as homogeneous coordinates
R={(l,t,t:,...,td-'')|tGGF(q)}^ {0,0,0,...,0,1} angegeben werden. Die Punkte von R haben in H die Eigenschaft, daß höchstens d-1 von ihnen in einer gemeinsamen Hyperebene (von H ) liegen. Beim Übergang zur Hyperebene H, also zum dualen Raum, werden die Punkte von R zu Hyperebenen einer Menge R, die die Eigenschaften haben, daß sich höchstens d-1 dieser Hyperebenen in einem gemeinsamen Punkt schneiden. Die Menge E erhält man, indem (d-1) k2 + 1 Elemente aus R ausgewählt werden.R = {(l, t, t:, ..., t d - '') | TGGF (q)} ^ {0,0,0, ..., 0,1} are given. The points of R in H have the property that at most d-1 of them lie in a common hyperplane (of H). At the transition to hyperplane H, i.e. to dual space, the points from R become hyperplanes of a set R, which have the properties that at most d-1 of these hyperplanes intersect in a common point. The set E is obtained by selecting (d-1) k 2 + 1 elements from R.
Jedem berechtigten Teilnehmer u wird nun ein Punkt in im endlichen projektiven Raum PG(d,q) zugeordnet, der nicht in der Hyperebene H liegt (diese Punkte liegen nach Entfernen der Hyperebene H alle im endlichen affinen Raum AG(d,q). Jeder Hyperebene H' im endlichen projektiven Raum PG (d,q),
die die Hyperebene H in einem Element der Menge E schneidet, wird ein Verschlüsselungsschlüssel zugeordnet. Jeder berechtigte Teilnehmer U erhält genau dann einen Verschlüsselungsschlüssel, wenn die zugehörige Hyperebene H' durch seinen Punkt geht.Each authorized subscriber u is now assigned a point in in the finite projective space PG (d, q) that is not in the hyperplane H (after removing the hyperplane H, all of these points are in the finite affine space AG (d, q). Everyone Hyperplane H 'in finite projective space PG (d, q), which intersects the hyperplane H in an element of the set E, an encryption key is assigned. Each authorized subscriber U receives an encryption key if and only if the associated hyperplane H 'passes through its point.
In Figur 3 ist diese Konstruktion für Dimension 3 abgebildet.This construction for dimension 3 is shown in FIG.
Ein Verräter Ukennt genau dann mindestens einen verschlüsselungsschlüssel eines unschuldigen berechtigtenA traitor then knows at least one encryption key from an innocent authorized person
Teilnehmers U, wenn die Verbindungsgerade durch die beidenParticipant U when the connecting straight line through the two
Punkte die Menge E schneidet. WievielePoints the set E intersects. How many
Verschlüsselungsschlüssel der Verräter£/ kennt, wird dadurch bestimmt, wieviele Elemente der Menge E die Verbindungsgerade trifft. Maximal können dies d-1 sein, da sich höchstens d-1 Elemente von E im Schnittpunkt derThe encryption key of the traitor £ / is determined by how many elements of the set E meet the straight line. This can be a maximum of d-1, since at most d-1 elements of E are at the intersection of
Verbindungsgerade mit H schneiden können.Can cut straight line with H.
Bei k Verrätern U bedeutet dies, daß alle zusammen höchstens k (d-1) Verschlüsselungsschlüssel eines unschuldigen berechtigten Teilnehmers U kennen können. Nach dem Taubenschlagprinzip muß aber mindestens einer der Verräter U k (d-1) + 1 Verschlüsselungsschlüssel einbringen. Auf diese Weise ist sichergestellt, daß beim Auslesen des Piratendekoders immer ein Verräter U zweifelsfrei identifiziert werden kann.
In the case of k traitors U, this means that all together can know at most k (d-1) encryption keys of an innocent authorized subscriber U. According to the dovecote principle, however, at least one of the traitors U k (d-1) + 1 must provide an encryption key. This ensures that when the pirate decoder is read out, a traitor U can always be identified without a doubt.
BezugsZeichenaufstellungReference character list
q Primzahlpotenzq Prime power
U berechtigter TeilnehmerU authorized subscriber
Ü Verräter k Anzahl der maximal möglichenÜ Traitor k Number of the maximum possible
Verrätertraitor
AG ( d , q ) endlicher affiner Raum derAG (d, q) finite affine space of
Dimension d und der Ordnung qDimension d and order q
GF ( q ) endlicher Körper mit qGF (q) finite field with q
ElementenElements
PG ( d , q ) endlicher projektiver Raum derPG (d, q) finite projective space of
Dimension d und der Ordnung qDimension d and order q
H Hyperebene von PG(d,σ)H hyperplane of PG (d, σ)
H Zu H duale HyperebeneH to H dual hyperplane
H ' Hyperebene von PG(d,q), die durch den Punkt des berechtigten Teilnehmers geht und H in einem Element von Ξ schneidetH ' hyperplane of PG (d, q) that goes through the point of the authorized participant and intersects H in an element of Ξ
Menge von Unterräumen, von denen sich höchstens d-1 in einem gemeinsamen Punkt von H schneidenSet of subspaces, of which at most d-1 intersect at a common point of H.
R rationale Normkurve von//R rational norm curve from //
S SitzungsSchlüsselS session key
,s. Teilschlüssel des Sitzungs- schlüssels, s. Partial key of the session key
PK Menge der VerschlüsselungsschlüsselPK set of encryption keys
PK(U) Menge der Verschlüsselungsschlüssel, die einem berechtigten Teilnehmer zugeordnet sind.
PK (U) Set of encryption keys that are assigned to an authorized subscriber.
Claims
1. Verfahren zum Identifizieren von Verrätern proprietärer Daten für Koalitionen von bis zu k Verrätern, bei dem die proprietären Daten mit einem Sitzungsschlüssel S verschlüsselt werden und der Sitzungsschlüssel S in Teilschlüssel s,,..^. aufgeteilt wird, die alle zur Rekonstruktion des Sitzungsschlüssels S benötigt werden, und bei dem jeder Teilschlüssel S;_ mit jedem Verschlüsselungsschlüssel aus der Menge der Verschlüsselungsschlüssel PK verschlüsselt wird, und die Gesamtheit dieser Kryptogramme den Daten als Zugangsblock vorangestellt werden, d a d u r c h g e k e n n z e i c h n e t, daß die Zuweisung der Verschlüsselungsschlüssel an die berechtigten Teilnehmer nach geometrischen Strukturen und Methoden der endlichen Geometrie vorgenommen wird, wobei jeder berechtigte Teilnehmer (U) eine Teilmenge der Verschlüsselungsschlüssel PK(U) zugeordnet bekommt, die es ihm erlaubt, jeweils einen der Teilschlüssel Si für i=l,..,t des Sitzungsschlüssels (S) und damit auch den Sitzungsschlüssel (S) selber zu rekonstruieren, wobei auf Grund der nach geometrischen Strukturen und Methoden der endlichen Geometrie erfolgten Zuweisung der Verschlüsselungsschlüssel gewährleistet ist, daß die zur Identifizierung eines Verräters ( (/ ) notwendige Eigenschaft der k-Resilienz gewährleistet ist, und daß mit Hilfe eines Verrätersuchalgorithmus mindestens ein Verräter ( U ) zweifelsfrei identifiziert werden kann.1. A method for identifying traitors of proprietary data for coalitions of up to k traitors, in which the proprietary data is encrypted with a session key S and the session key S in subkey s ,, .. ^. is divided, which are all required for the reconstruction of the session key S, and in which each subkey S; _ is encrypted with each encryption key from the set of encryption keys PK, and the entirety of these cryptograms precede the data as an access block, characterized in that the assignment the encryption key is made to the authorized subscribers according to geometrical structures and methods of finite geometry, with each authorized subscriber (U) being assigned a subset of the encryption keys PK (U), which allows him to each use one of the subkeys Si for i = l, .., t to reconstruct the session key (S) and thus also the session key (S) itself, the encryption key being ensured on the basis of the assignment made according to geometrical structures and methods of finite geometry that the identifier for identification ei nes traitor ((/) necessary property of k-resilience is guaranteed, and that with the help of a traitor search algorithm at least one traitor (U) can be identified beyond doubt.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Struktur aus der endlichen Geometrie ein endlicher
affiner Raum (AG(d,q)) der Dimension d und der Ordnung q bzw. ein endlicher projektiver Raum (PG(d,q)) der Dimension d und der Ordnung q ist.2. The method according to claim 1, characterized in that the structure of the finite geometry is finite affine space (AG (d, q)) of dimension d and order q or a finite projective space (PG (d, q)) of dimension d and order q.
3. Verfahren nach Anspruch 1 und 2, dadurch gekennzeichnet, daß3. The method according to claim 1 and 2, characterized in that
- eine Hyperebene H im endlichen projektiven Raum (PG(d,q)) ausgezeichnet wird,- a hyperplane H in finite projective space (PG (d, q)) is marked,
- jedem berechtigten Teilnehmer (U) ein Punkt im endlichen projektiven Raum (PG(d,q)) zugewiesen wird, der nicht in der Hyperebene (H) liegt,each authorized subscriber (U) is assigned a point in finite projective space (PG (d, q)) that is not in the hyperplane (H),
- daß mit Hilfe einer rationalen Normkurve in der zur Hyperebene H dualen Hyperebene H , eine Menge E von (d-l)k2+l Unterräumen der Dimension d-2 konstruiert wird, so daß sich höchstens d-1 dieser Unterräume in einem gemeinsamen Punkt schneiden,- That with the help of a rational norm curve in the hyperplane H dual to the hyperplane H, a set E of (dl) k 2 + l subspaces of dimension d-2 is constructed, so that at most d-1 of these subspaces intersect at a common point ,
- daß jeder Hyperebene (H') im endlichen projektiven Raum (PG(d,q)), die die Hyperebe H in einem Element der Menge E schneidet, ein Verschlüsselungsschlüssel zugeordnet wird,that an encryption key is assigned to each hyperplane (H ' ) in finite projective space (PG (d, q)) which the hyperebe H intersects in an element of the set E,
- daß ein berechtigter Teilnehmer (U) einen Verschlüsselungsschlüssel genau dann erhält, wenn die zugehörige Hyperebene H durch den ihm zugeordneten Punkt geht, - daß für jeden berechtigten Teilnehmer (U) die- That an authorized subscriber (U) receives an encryption key exactly when the associated hyperplane H goes through the point assigned to it, - That for each authorized subscriber (U)
Schnittmenge der Verschlüsselungsschlüssel PK(U), die einem berechtigten Teilnehmer zugeordnet sind, mit der von den Verrätern verteilten Schlüsselmenge PK( U ) gebildet wird, wodurch mindestens einer der Verräter dadurch identifiziert wird, daß PK(U)r^ (PK(L/)) mindestens k-(d-l)+l Schlüssel enthält.Intersection of the encryption keys PK (U), which are assigned to an authorized subscriber, is formed with the key set PK (U) distributed by the traitors, whereby at least one of the traitors is identified by PK (U) r ^ (PK (L / )) contains at least k- (dl) + l keys.
4. Verfahren nach Anspruch 1-3, dadurch gekennzeichnet, daß der Sitzungsschlüssel (S) mittels eines r, t-Threshold-
Verfahrens in Teilschlüssel s^.s. .aufgeteilt wird, wobei der Sitzungsschlüssel (S) aus einem der Teilschlüssel s,..s. rekonstruierbar ist.4. The method according to claim 1-3, characterized in that the session key (S) by means of an r, t-threshold Procedure in subkey s ^ .s. . is split, the session key (S) from one of the partial keys s, .. s. is reconstructable.
5. Verfahren nach Anspruch 1 -4, dadurch gekennzeichnet, daß jeder Teilschlüssel s für i=l,...,t des Sitzungsschlüssels (S) mit jedem Verschlüsselungsschlüssel PK aus einer von i abhängigenTeilmenge PK(i) der Menge der Verschlüsselungsschlüssel PK verschlüsselt wird und die Gesamtheit dieser Kryptogramme den zu verschlüsselnden Daten als Zugangsblock vorangestellt wird.
5. The method according to claim 1 -4, characterized in that each subkey s for i = l, ..., t of the session key (S) with each encryption key PK from a subset PK dependent on i (i) encrypts the set of encryption keys PK and the entirety of these cryptograms is placed in front of the data to be encrypted as an access block.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19750779A DE19750779C1 (en) | 1997-11-10 | 1997-11-10 | Traitor tracing or unauthorised user identification method for proprietary data |
DE19750779 | 1997-11-10 | ||
PCT/EP1998/007045 WO1999025090A1 (en) | 1997-11-10 | 1998-11-04 | Method for identifying proprietary data of traitors |
Publications (1)
Publication Number | Publication Date |
---|---|
EP1031205A1 true EP1031205A1 (en) | 2000-08-30 |
Family
ID=7848908
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
EP98961135A Ceased EP1031205A1 (en) | 1997-11-10 | 1998-11-04 | Method for identifying proprietary data of traitors |
Country Status (6)
Country | Link |
---|---|
US (1) | US6760445B1 (en) |
EP (1) | EP1031205A1 (en) |
JP (1) | JP2001523018A (en) |
AU (1) | AU1666799A (en) |
DE (1) | DE19750779C1 (en) |
WO (1) | WO1999025090A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7746430B2 (en) | 2005-07-08 | 2010-06-29 | Fujitsu Limited | Reflective liquid crystal display device of lamination type wherein the difference in orientation regulating force results whether or not the orientation film is present |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2318939C (en) * | 1997-12-10 | 2004-05-11 | Thomson Licensing S.A. | Conditional access system for digital receivers |
JP3917507B2 (en) * | 2002-01-28 | 2007-05-23 | 株式会社東芝 | Content providing system, user system, tracking system, content providing method, encrypted content decrypting method, unauthorized user specifying method, encrypting device, decrypting device, and program |
FR2862149A1 (en) * | 2003-11-06 | 2005-05-13 | France Telecom | Fraud control method for use in electronic transaction system, involves solving system of equations to deduce key, when given number of operations are performed, and deducing user identification information by referring with database |
US8176568B2 (en) * | 2005-12-30 | 2012-05-08 | International Business Machines Corporation | Tracing traitor coalitions and preventing piracy of digital content in a broadcast encryption system |
US7970141B2 (en) * | 2006-09-13 | 2011-06-28 | The Regents Of The University Of California | Method and apparatus for tracing the source of decryption keys used by a decoder |
US8824685B2 (en) * | 2007-10-15 | 2014-09-02 | Sony Corporation | Method for detection of a hacked decoder |
US8122501B2 (en) * | 2008-06-20 | 2012-02-21 | International Business Machines Corporation | Traitor detection for multilevel assignment |
US8108928B2 (en) * | 2008-06-20 | 2012-01-31 | International Business Machines Corporation | Adaptive traitor tracing |
US8422684B2 (en) * | 2008-08-15 | 2013-04-16 | International Business Machines Corporation | Security classes in a media key block |
US8571209B2 (en) | 2009-01-19 | 2013-10-29 | International Business Machines | Recording keys in a broadcast-encryption-based system |
US11615395B2 (en) * | 2019-12-23 | 2023-03-28 | Capital One Services, Llc | Authentication for third party digital wallet provisioning |
US11362816B2 (en) * | 2020-09-11 | 2022-06-14 | Seagate Technology Llc | Layered secret sharing with flexible access structures |
US11316673B2 (en) * | 2020-09-11 | 2022-04-26 | Seagate Technology Llc | Privacy preserving secret sharing from novel combinatorial objects |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
IE56668B1 (en) * | 1984-06-15 | 1991-10-23 | Pelling Nicholas John M | An encoder/decoder |
US6549638B2 (en) * | 1998-11-03 | 2003-04-15 | Digimarc Corporation | Methods for evidencing illicit use of a computer system or device |
US6557103B1 (en) * | 1998-04-13 | 2003-04-29 | The United States Of America As Represented By The Secretary Of The Army | Spread spectrum image steganography |
US6289455B1 (en) * | 1999-09-02 | 2001-09-11 | Crypotography Research, Inc. | Method and apparatus for preventing piracy of digital content |
-
1997
- 1997-11-10 DE DE19750779A patent/DE19750779C1/en not_active Expired - Lifetime
-
1998
- 1998-11-04 JP JP2000519971A patent/JP2001523018A/en active Pending
- 1998-11-04 US US09/554,177 patent/US6760445B1/en not_active Expired - Lifetime
- 1998-11-04 AU AU16667/99A patent/AU1666799A/en not_active Abandoned
- 1998-11-04 WO PCT/EP1998/007045 patent/WO1999025090A1/en not_active Application Discontinuation
- 1998-11-04 EP EP98961135A patent/EP1031205A1/en not_active Ceased
Non-Patent Citations (1)
Title |
---|
See references of WO9925090A1 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7746430B2 (en) | 2005-07-08 | 2010-06-29 | Fujitsu Limited | Reflective liquid crystal display device of lamination type wherein the difference in orientation regulating force results whether or not the orientation film is present |
Also Published As
Publication number | Publication date |
---|---|
US6760445B1 (en) | 2004-07-06 |
WO1999025090A1 (en) | 1999-05-20 |
DE19750779C1 (en) | 1999-01-14 |
AU1666799A (en) | 1999-05-31 |
JP2001523018A (en) | 2001-11-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1040662B1 (en) | Method for securing a system protected by key hierarchy | |
DE19750779C1 (en) | Traitor tracing or unauthorised user identification method for proprietary data | |
DE19781841C2 (en) | Method for automatically deciding the validity of a digital document from a remote location | |
DE102019208032A1 (en) | METHOD AND SYSTEM FOR FAULT-TOLERANT AND SAFE MULTIPARTY-PARTY CALCULATION WITH SPDZ | |
DE60103637T2 (en) | SYSTEM AND METHOD FOR SAFE DATA TRANSMISSION | |
EP1133849A1 (en) | Method and device for generating an encoded user data stream and method and device for decoding such a data stream | |
DE3036596A1 (en) | METHOD FOR SECURELY PROCESSING A BUSINESS OPERATION OVER AN UNSECURED MESSAGE CHANNEL | |
DE10025626A1 (en) | Encrypt data to be stored in an IV system | |
DE69910786T2 (en) | Methods of distributing keys to a number of secured devices, methods of communication between a number of secured devices, security system, and set of secured devices | |
DE60130026T2 (en) | PROCEDURE FOR ACCESS RESTRICTION ON INTERACTIVE SERVICE RESOURCES ON AT LEAST ONE BOUQUET | |
EP0768773A1 (en) | Method of establishing a common key for authorised users by means of a threshold scheme | |
DE112016000791B4 (en) | Media key block based broadcast encryption | |
DE102007008948A1 (en) | Method for permission management of digital content between rights owners, involves providing two electronic work environments with correspondence list of authorization range, encoding and decoding | |
EP2187282B1 (en) | Method of operating a system using data protected from unauthorised use | |
DE4420967C2 (en) | Decryption device for digital information and method for carrying out the encryption and decryption of this using the decryption device | |
DE10229976B4 (en) | Method for encrypting and decrypting digital data transmitted or stored according to the method of prioritized pixel transmission | |
WO2000022776A1 (en) | Method for establishing a common key between an exchange and a group of subscribers | |
EP1035706A2 (en) | Method to connect at least two network segments to an access controller through a user identifier | |
WO1995034968A1 (en) | Device for decoding decoding algorithms and method of encrypting and decoding such algorithms using the device | |
DE102006009725A1 (en) | Public code authenticating method, involves producing signature from combination of public code and generated authentication characteristic, and publishing public code, authentication characteristic and produced signature | |
DE102016217537A1 (en) | Secure and distributed computation of a result on a third-party service node for provisioning on a multiple user node | |
EP1358734A1 (en) | Telecommunications protocol, system and devices for anonymous, validated electronic polling | |
DE102018120571A1 (en) | System and method for secure communication between cooperating agents | |
DE102021118590A1 (en) | METHOD, SYSTEM AND COMPUTER PROGRAM FOR ENCRYPTION, PROCESSING, TRANSMISSION, STORAGE AND TRACEABILITY OF THE ENCRYPTION OF PERSONAL DATA | |
DE102021118591A1 (en) | METHOD, SYSTEM AND COMPUTER PROGRAM FOR ENCRYPTION, PROCESSING, TRANSMISSION, STORAGE AND TRACEABILITY OF THE ENCRYPTION OF PERSONAL DATA |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
17P | Request for examination filed |
Effective date: 20000613 |
|
AK | Designated contracting states |
Kind code of ref document: A1 Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE |
|
RIN1 | Information on inventor provided before grant (corrected) |
Inventor name: UEBERBERG, JOHANNES Inventor name: SCHWENK, JOERG |
|
17Q | First examination report despatched |
Effective date: 20030711 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED |
|
18R | Application refused |
Effective date: 20031204 |