JP2005176144A - Terminal device, communication system and communication method - Google Patents
Terminal device, communication system and communication method Download PDFInfo
- Publication number
- JP2005176144A JP2005176144A JP2003415756A JP2003415756A JP2005176144A JP 2005176144 A JP2005176144 A JP 2005176144A JP 2003415756 A JP2003415756 A JP 2003415756A JP 2003415756 A JP2003415756 A JP 2003415756A JP 2005176144 A JP2005176144 A JP 2005176144A
- Authority
- JP
- Japan
- Prior art keywords
- information
- arbitrary
- identification information
- ciphertext
- ibe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、端末装置、通信システム及び通信方法に関する。 The present invention relates to a terminal device, a communication system, and a communication method.
従来、鍵隔離型暗号方式(Key-Insulated Encryption)や、識別情報暗号方式(Identity-Based Encryption、以下「IBE」と表す)といった暗号方式が提案されている。鍵隔離型暗号方式では、受信端末の利用者の復号鍵により、送信端末の利用者によって暗号化された送信情報暗号文を復号する。又、受信端末は、受信端末に接続された外部補助装置が生成する鍵を更新するための鍵更新情報を取得し、その鍵更新情報を利用することにより受信端末内の復号鍵を更新する。鍵隔離型暗号方法の特徴は、利用者の復号鍵のいくつかが外部に漏洩した場合に、漏洩した復号鍵の総数が漏洩閾値とよばれる一定数を超えなければ、漏洩した復号鍵以外の復号鍵に関する情報を利用者以外に知られないようにできることである。よって、利用者は、復号鍵を頻繁に更新することにより、復号鍵の漏洩による被害を低減できる。このように鍵隔離型暗号方式は、公開鍵暗号方式における復号鍵の漏洩問題を解決する有効な手段である(例えば、非特許文献1参照)。鍵隔離型暗号方式には、例えば、BP方式(BP02)と呼ばれるものがある(例えば、非特許文献2参照)。 Conventionally, encryption schemes such as a key isolation encryption scheme (Key-Insulated Encryption) and an identification information encryption scheme (Identity-Based Encryption, hereinafter referred to as “IBE”) have been proposed. In the key isolation type encryption method, the transmission information ciphertext encrypted by the user of the transmission terminal is decrypted with the decryption key of the user of the reception terminal. The receiving terminal acquires key update information for updating a key generated by the external auxiliary device connected to the receiving terminal, and updates the decryption key in the receiving terminal by using the key update information. The key isolation encryption method is characterized in that when some of the user's decryption keys are leaked to the outside, if the total number of leaked decryption keys does not exceed a certain number called the leak threshold, The information related to the decryption key can be made known to only the user. Therefore, the user can reduce damage caused by leakage of the decryption key by frequently updating the decryption key. As described above, the key isolation type encryption method is an effective means for solving the leakage problem of the decryption key in the public key encryption method (for example, see Non-Patent Document 1). For example, a key isolation type encryption method is called a BP method (BP02) (see, for example, Non-Patent Document 2).
IBEは、利用者に固有の識別情報に基づく暗号方式である。IBEでは、利用者に固有の識別情報そのものを公開鍵として用いる。このような概念は、1984年に提唱され、具体的な実現方式が模索されてきた。そして、2001年に、識別情報を利用する暗号方式としての全ての要件を満足する方式、Boneh-Franklin方式(以下「BF方式」という)が提案された(例えば、非特許文献3参照)。BF方式は、楕円曲線において定義される数学的問題に基づく方式である。又、BF方式以外に、IBEとしてGS方式やCocks方式が提案されている(例えば、非特許文献4、非特許文献5参照)。Cocks方式は、合成数を法とする環(以下「合成数環」という)において定義される平方剰余問題に基づく方式である。
しかしながら、漏洩閾値が無制限となる鍵隔離型暗号方式は、現在、BP02方式ただ一つしか知られていない。このように暗号方式に選択の幅がないため、システム要求に応じながら、鍵隔離型暗号方式を用いた通信システムを構築することは困難であった。特に、安全性の根拠となる数学的問題を柔軟に選択することは困難であった。又、鍵隔離型暗号方式とIBEとの関係については明らかになっていない。 However, at present, only one BP02 method is known as a key isolation type encryption method with an unlimited leakage threshold. As described above, since there is no selection range for the encryption method, it has been difficult to construct a communication system using the key isolation encryption method in response to the system request. In particular, it has been difficult to flexibly select mathematical problems as the basis for safety. In addition, the relationship between the key-separated encryption method and IBE has not been clarified.
そこで、本発明は、任意の識別情報暗号方式の暗号化アルゴリズムと、任意の公開鍵暗号方式とを用いて実現でき、様々な数学的問題の困難性に依拠した、漏洩閾値が無制限となる鍵隔離型暗号方式を提供することを目的とする。 Therefore, the present invention can be realized by using an encryption algorithm of an arbitrary identification information encryption system and an arbitrary public key encryption system, and is a key with an unlimited leakage threshold value based on the difficulty of various mathematical problems. The purpose is to provide an isolated encryption method.
本発明に係る端末装置は、送信情報を、識別情報暗号方式の公開鍵生成アルゴリズムにより生成された公開パラメータ(以下「識別情報公開パラメータ」という)を用いて暗号化する分割情報(以下「識別情報分割情報」という)及び識別情報公開パラメータとは異なる公開鍵(以下「任意公開鍵」という)により暗号化する分割情報(以下「任意分割情報」という)に分割する分割手段と、識別情報分割情報を識別情報公開パラメータ及び時間情報を用いて識別情報暗号方式の暗号化アルゴリズムにより暗号化して暗号文(以下「識別情報暗号文」という)を作成し、任意分割情報を任意公開鍵を用いて暗号化して暗号文(以下「任意暗号文」という)を作成する暗号化手段と、識別情報暗号文及び任意暗号文を含む送信情報の暗号文(以下「送信情報暗号文」という)を受信端末に送信する送信手段とを備えることを特徴とする。 The terminal device according to the present invention encrypts transmission information using public parameters generated by a public key generation algorithm of an identification information encryption method (hereinafter referred to as “identification information public parameters”) (hereinafter referred to as “identification information”). Splitting means for splitting into split information (hereinafter referred to as “arbitrary split information”) encrypted with a public key (hereinafter referred to as “arbitrary public key”) different from the identification information public parameter and identification information split information Is encrypted with the encryption algorithm of the identification information encryption method using the identification information public parameter and time information to create a ciphertext (hereinafter referred to as “identification information ciphertext”), and the arbitrary divided information is encrypted using the arbitrary public key Encrypting means for generating a ciphertext (hereinafter referred to as “arbitrary ciphertext”), and a ciphertext (hereinafter referred to as “transmission information ciphertext”) including identification information ciphertext and arbitrary ciphertext And a sending means for sending to the receiving terminal) as "transmission information ciphertext".
このような端末装置によれば、分割手段が、送信情報を識別情報分割情報と任意分割情報とに分割する。暗号化手段が、識別情報分割情報を識別情報公開パラメータ及び時間情報を用いて識別情報暗号方式の暗号化アルゴリズムにより暗号化して識別情報暗号文を作成し、任意分割情報を任意公開鍵を用いて暗号化して任意暗号文を作成する。そして、送信手段が、識別情報暗号文と任意暗号文とを含む送信情報暗号文を送信する。これにより、端末装置は、任意の識別情報暗号方式の暗号化アルゴリズムと、任意の公開鍵暗号方式とを用いて実現でき、様々な数学的問題の困難性に依拠した、漏洩閾値が無制限となる鍵隔離型暗号方式を提供できる。そして、端末装置は送信端末となり、そのような鍵隔離型暗号方式による暗号化を行うことができる。 According to such a terminal device, the dividing unit divides the transmission information into identification information division information and arbitrary division information. The encryption means encrypts the identification information division information using the identification information disclosure parameter and the time information by the encryption algorithm of the identification information encryption method, creates an identification information ciphertext, and uses the arbitrary division information using the arbitrary public key. Encrypt and create arbitrary ciphertext. Then, the transmission means transmits the transmission information ciphertext including the identification information ciphertext and the arbitrary ciphertext. As a result, the terminal device can be realized by using an encryption algorithm of an arbitrary identification information encryption method and an arbitrary public key encryption method, and the leakage threshold value based on the difficulty of various mathematical problems becomes unlimited. A key-isolated encryption method can be provided. Then, the terminal device becomes a transmitting terminal and can perform encryption by such a key isolation type encryption method.
更に、暗号化手段は、識別情報分割情報のための識別情報乱数及び任意分割情報のための任意乱数を選択し、識別情報分割情報及び識別情報乱数を識別情報公開パラメータ及び時間情報を用いて識別情報暗号方式の暗号化アルゴリズムにより暗号化し、任意分割情報及び任意乱数を任意公開鍵を用いて暗号化することが好ましい。このように識別情報分割情報を識別情報乱数と共に暗号化し、任意分割情報を任意乱数と共に暗号化することにより、端末装置は、送信情報の安全性を向上でき、送信情報に対する攻撃として想定される攻撃のほとんどを防ぐことができる。 Further, the encryption means selects an identification information random number for the identification information division information and an arbitrary random number for the arbitrary division information, and identifies the identification information division information and the identification information random number using the identification information disclosure parameter and the time information. It is preferable that encryption is performed by an encryption algorithm of an information encryption method, and arbitrary division information and an arbitrary random number are encrypted using an arbitrary public key. In this way, by encrypting the identification information division information together with the identification information random number and encrypting the arbitrary division information together with the arbitrary random number, the terminal device can improve the security of the transmission information and can be assumed as an attack on the transmission information. Can prevent most of.
更に、暗号化手段は、送信情報、識別情報分割情報、任意分割情報、識別情報乱数及び任意乱数をハッシュ関数に入力してハッシュ値を求め、識別情報分割情報及び識別情乱数を、識別情報公開パラメータ、時間情報及びハッシュ値を用いて識別情報暗号化アルゴリズムにより暗号化し、任意分割情報及び任意乱数を、任意公開鍵及びハッシュ値を用いて暗号化することが好ましい。これにより、安全性の高い暗号化が可能となる。 Further, the encryption means inputs the transmission information, identification information division information, arbitrary division information, identification information random number and arbitrary random number to the hash function to obtain a hash value, and the identification information division information and identification information random number are disclosed to the identification information. It is preferable that encryption is performed by an identification information encryption algorithm using parameters, time information, and a hash value, and arbitrary division information and an arbitrary random number are encrypted using an arbitrary public key and a hash value. As a result, highly secure encryption is possible.
本発明に係る他の端末装置は、識別情報暗号方式の公開鍵生成アルゴリズムにより生成された識別情報公開パラメータ及び時間情報を用いて識別情報暗号方式の暗号化アルゴリズムにより暗号化された識別情報暗号文及び識別情報公開パラメータとは異なる任意公開鍵を用いて暗号化された任意暗号文を含む送信情報暗号文を受信する受信手段と、識別情報暗号文を識別情報公開パラメータに対応する復号鍵(以下「識別情報復号鍵」という)を用いて復号して識別情報分割情報とし、任意暗号文を任意公開鍵に対応する復号鍵(以下「任意復号鍵」という)を用いて復号して任意分割情報とし、識別情報分割情報及び任意分割情報から送信情報を復元する復号手段と、識別情報復号鍵を更新する更新手段とを備えることを特徴とする。 Another terminal apparatus according to the present invention uses an identification information encryption parameter encrypted by an identification information encryption scheme encryption algorithm using an identification information disclosure parameter and time information generated by an identification information encryption public key generation algorithm. Receiving means for receiving a transmission information ciphertext including an arbitrary ciphertext encrypted using an arbitrary public key different from the identification information public parameter, and a decryption key (hereinafter referred to as an identification information public parameter). "Identification information decryption key") is used as the identification information division information, and the arbitrary ciphertext is decrypted using the decryption key corresponding to the arbitrary public key (hereinafter referred to as "arbitrary decryption key"). And decryption means for restoring the transmission information from the identification information division information and the arbitrary division information, and an update means for updating the identification information decryption key.
このような端末装置によれば、受信手段が、識別情報暗号文と任意暗号文を含む送信情報暗号文を受信する。復号手段が、識別情報暗号文を識別情報復号鍵により、任意暗号文を任意復号鍵により、それぞれ復号して識別情報分割情報と任意分割情報を得る。そして、復号手段が、識別情報分割情報と任意分割情報から送信情報を復元する。更に、更新手段が識別情報復号鍵を更新する。これにより、端末装置は、任意の識別情報暗号方式の暗号化アルゴリズムと、任意の公開鍵暗号方式とを用いて実現でき、様々な数学的問題の困難性に依拠した、漏洩閾値が無制限となる鍵隔離型暗号方式を提供できる。そして、端末装置は受信端末となり、そのような鍵隔離型暗号方式により暗号化された送信情報暗号文を復号できる。 According to such a terminal device, the receiving means receives the transmission information ciphertext including the identification information ciphertext and the arbitrary ciphertext. The decrypting means decrypts the identification information ciphertext with the identification information decryption key and the arbitrary ciphertext with the arbitrary decryption key to obtain identification information division information and arbitrary division information. Then, the decoding unit restores the transmission information from the identification information division information and the arbitrary division information. Furthermore, the update means updates the identification information decryption key. As a result, the terminal device can be realized by using an encryption algorithm of an arbitrary identification information encryption method and an arbitrary public key encryption method, and the leakage threshold value based on the difficulty of various mathematical problems becomes unlimited. A key-isolated encryption method can be provided. Then, the terminal device becomes a receiving terminal and can decrypt the transmission information ciphertext encrypted by such a key isolation type encryption method.
更に、端末装置は、識別情報分割情報を識別情報公開パラメータ及び時間情報を用いて識別情報暗号方式の暗号化アルゴリズムにより暗号化して判定用識別情報暗号文を作成し、任意分割情報を任意公開鍵を用いて暗号化して判定用任意暗号文を作成し、識別情報暗号文と判定用識別情報暗号文とが一致するか否かを判定し、任意暗号文と判定用任意暗号文とが一致するか否かを判定する判定手段を備えることが好ましい。これによれば、端末装置は、送信情報が正しく暗号化されて送信されたものであるかを判定でき、安全性を向上できる。又、更新手段は、識別情報復号鍵の生成に用いるマスター鍵を更新鍵として用い、識別情報復号鍵を更新することが好ましい。 Further, the terminal device encrypts the identification information division information using the identification information public parameter and the time information by the encryption algorithm of the identification information encryption method to create a determination identification information ciphertext, and the arbitrary division information to the arbitrary public key Is used to create a decision arbitrary ciphertext, determine whether the identification information ciphertext and the determination identification information ciphertext match, and the arbitrary ciphertext matches the determination arbitrary ciphertext It is preferable to provide a determination means for determining whether or not. According to this, the terminal device can determine whether the transmission information is correctly encrypted and transmitted, and can improve safety. The updating means preferably updates the identification information decryption key by using a master key used for generating the identification information decryption key as an update key.
本発明に係る通信システムは、送信情報を送信する送信端末と、送信情報を受信する受信端末とを備える通信システムである。そして、送信端末は、送信情報を、識別情報暗号方式の公開鍵生成アルゴリズムにより生成した識別情報公開パラメータを用いて暗号化する識別情報分割情報及び識別情報公開パラメータとは異なる任意公開鍵を用いて暗号化する任意分割情報に分割する分割手段と、識別情報分割情報を識別情報公開パラメータ及び時間情報を用いて識別情報暗号方式の暗号化アルゴリズムにより暗号化して識別情報暗号文を作成し、任意分割情報を任意公開鍵を用いて暗号化して任意暗号文を作成する暗号化手段と、識別情報暗号文及び任意暗号文を含む送信情報暗号文を受信端末に送信する送信手段とを備える。受信端末は、送信情報暗号文を受信する受信手段と、識別情報暗号文を識別情報公開パラメータに対応する識別情報復号鍵により復号して識別情報分割情報とし、任意暗号文を任意公開鍵に対応する任意復号鍵により復号して任意分割情報とし、識別情報分割情報及び任意分割情報から送信情報を復元する復号手段と、識別情報公開パラメータを更新する更新手段とを備えることを特徴とする。 The communication system according to the present invention is a communication system including a transmission terminal that transmits transmission information and a reception terminal that receives transmission information. Then, the transmission terminal uses an arbitrary public key different from the identification information division information and the identification information public parameter to encrypt the transmission information using the identification information public parameter generated by the public key generation algorithm of the identification information encryption method. A division means for dividing into arbitrary division information to be encrypted, and an identification information ciphertext by creating an identification information ciphertext by encrypting the identification information division information using an identification information disclosure parameter and time information by an encryption algorithm of an identification information encryption method An encryption unit that encrypts information using an arbitrary public key to create an arbitrary ciphertext, and a transmission unit that transmits a transmission information ciphertext including an identification information ciphertext and an arbitrary ciphertext to a receiving terminal. The receiving terminal receives the transmission information ciphertext, and the identification information ciphertext is decrypted with the identification information decryption key corresponding to the identification information public parameter to obtain the identification information division information, and the arbitrary ciphertext corresponds to the arbitrary public key. And decryption means for decrypting with the arbitrary decryption key to obtain arbitrary division information, and decoding means for restoring the transmission information from the identification information division information and the arbitrary division information, and an update means for updating the identification information disclosure parameter.
このような通信システムによれば、任意の識別情報暗号方式の暗号化アルゴリズムと、任意の公開鍵暗号方式とを用いて実現でき、様々な数学的問題の困難性に依拠した、漏洩閾値が無制限となる鍵隔離型暗号方式を提供できる。そして、通信システムでは、そのような鍵隔離型暗号方式による暗号化を行うことができ、暗号化された送信情報暗号文を復号できる。 According to such a communication system, it can be realized by using an encryption algorithm of an arbitrary identification information encryption system and an arbitrary public key encryption system, and the leakage threshold is unlimited based on the difficulty of various mathematical problems. It is possible to provide a key isolation type encryption method. In the communication system, encryption by such a key isolation type encryption method can be performed, and the encrypted transmission information ciphertext can be decrypted.
本発明に係る通信方法は、送信情報を、識別情報暗号方式の公開鍵生成アルゴリズムにより生成された識別情報公開パラメータを用いて暗号化する識別情報分割情報及び識別情報公開パラメータとは異なる任意公開鍵を用いて暗号化する任意分割情報に分割するステップと、識別情報分割情報を識別情報公開パラメータ及び時間情報を用いて識別情報暗号方式の暗号化アルゴリズムにより暗号化して識別情報暗号文を作成するステップと、任意分割情報を任意公開鍵を用いて暗号化して任意暗号文を作成するステップと、識別情報暗号文及び任意暗号文を含む送信情報暗号文を受信端末に送信するステップとを有することを特徴とする。このような通信方法によれば、任意の識別情報暗号方式の暗号化アルゴリズムと、任意の公開鍵暗号方式とを用いて実現でき、様々な数学的問題の困難性に依拠した、漏洩閾値が無制限となる鍵隔離型暗号方式を提供できる。そして、通信方法によれば、そのような鍵隔離型暗号方式による暗号化方法を提供できる。 The communication method according to the present invention includes an arbitrary public key different from the identification information division information and the identification information public parameter for encrypting the transmission information using the identification information public parameter generated by the public key generation algorithm of the identification information encryption method. A step of dividing the identification information into pieces of arbitrary divided information to be encrypted, and a step of encrypting the identification information division information using an identification information disclosure parameter and a time information by an encryption algorithm of an identification information encryption method to create an identification information ciphertext And encrypting the arbitrary division information using an arbitrary public key to create an arbitrary ciphertext, and transmitting a transmission information ciphertext including the identification information ciphertext and the arbitrary ciphertext to the receiving terminal. Features. According to such a communication method, it can be realized using an encryption algorithm of an arbitrary identification information encryption system and an arbitrary public key encryption system, and the leakage threshold is unlimited based on the difficulty of various mathematical problems. It is possible to provide a key isolation type encryption method. And according to the communication method, the encryption method by such a key isolation type encryption system can be provided.
本発明に係る他の通信方法は、識別情報暗号方式の公開鍵生成アルゴリズムにより生成された識別情報公開パラメータ及び時間情報を用いて識別情報暗号方式の暗号化アルゴリズムにより暗号化された識別情報暗号文及び識別情報公開パラメータとは異なる任意公開鍵を用いて暗号化された任意暗号文を含む送信情報暗号文を受信するステップと、識別情報暗号文を識別情報公開パラメータに対応する識別情報復号鍵を用いて復号して識別情報分割情報とするステップと、任意暗号文を任意公開鍵に対応する任意復号鍵を用いて復号して任意分割情報とするステップと、識別情報分割情報及び任意分割情報から送信情報を復元するステップと、識別情報復号鍵を更新するステップとを有することを特徴とする。このような通信方法によれば、任意の識別情報暗号方式の暗号化アルゴリズムと、任意の公開鍵暗号方式とを用いて実現でき、様々な数学的問題の困難性に依拠した、漏洩閾値が無制限となる鍵隔離型暗号方式を提供できる。そして、通信方法によれば、そのような鍵隔離型暗号方式により暗号化された送信情報暗号文の復号方法を提供できる。 Another communication method according to the present invention includes an identification information ciphertext encrypted by an identification information encryption scheme encryption algorithm using an identification information disclosure parameter and time information generated by an identification information encryption method public key generation algorithm. And a step of receiving a transmission information ciphertext including an arbitrary ciphertext encrypted using an arbitrary public key different from the identification information public parameter, and an identification information decryption key corresponding to the identification information public parameter. Using the decryption step to obtain the identification information division information, the arbitrary ciphertext using the arbitrary decryption key corresponding to the arbitrary public key to obtain the arbitrary division information, and the identification information division information and the arbitrary division information. The method includes a step of restoring transmission information and a step of updating an identification information decryption key. According to such a communication method, it can be realized using an encryption algorithm of an arbitrary identification information encryption system and an arbitrary public key encryption system, and the leakage threshold is unlimited based on the difficulty of various mathematical problems. It is possible to provide a key isolation type encryption method. And according to the communication method, the decoding method of the transmission information ciphertext encrypted by such a key isolation type encryption system can be provided.
以上説明したように、本発明によれば、任意の識別情報暗号方式の暗号化アルゴリズムと、任意の公開鍵暗号方式とを用いて実現でき、様々な数学的問題の困難性に依拠した、漏洩閾値が無制限となる鍵隔離型暗号方式を提供できる。 As described above, according to the present invention, a leakage that can be realized by using an encryption algorithm of an arbitrary identification information encryption system and an arbitrary public key encryption system and relies on the difficulty of various mathematical problems. It is possible to provide a key isolation type encryption method in which the threshold value is unlimited.
〔通信システム〕
図1に示すように、通信システム1は、送信端末10と、受信端末20と、公開情報サーバ30と、外部補助装置40と、ネットワーク50とを備える。送信端末10は、送信情報を受信端末20に送信する端末装置である。受信端末20は、送信端末10が送信する送信情報を受信する端末装置である。以下、送信端末10の利用者を「送信者」、受信端末20の利用者を「受信者」という。ある時点tにおいて、ある受信端末20に送信情報を送信する送信端末10は複数、例えば送信端末10の数をjとすると、1≦j≦n(j、nは自然数)だけ存在できる。
〔Communications system〕
As shown in FIG. 1, the communication system 1 includes a
公開情報サーバ30は、受信者が送信者のような他の利用者に公開する公開情報を記憶し、送信端末10や受信端末20に提供する。公開情報サーバ30は、受信者及び送信者のような受信者以外の利用者がアクセス可能である。公開情報には、IBE公開パラメータpk1と、任意公開鍵pk2が含まれる。以下、IBE公開パラメータpk1と任意公開鍵pk2を含む公開情報を、公開情報{pk1,pk2}と表す。IBE公開パラメータpk1は、識別情報暗号方式(Identity-Based Encryption、以下「IBE」と表す)の公開鍵生成アルゴリズム(以下「IBE公開鍵生成アルゴリズム」という)により生成された識別情報公開パラメータである。任意公開鍵pk2は、IBEとは異なる公開鍵暗号方式(以下「任意公開鍵暗号方式」という)を用いた公開鍵である。
The
IBEとしては、例えばBF方式(BF01)やGS方式(GS02)、Cocks方式(Cocks01)等を用いることができる。BF方式は例えば非特許文献3に、GS方式は例えば非特許文献4に、Cocks方式は例えば非特許文献5に記載されている。任意公開鍵暗号方式は、通信システム1における要求等に応じて、IBE以外の公開鍵暗号方式の中から任意に選択できる。任意公開鍵暗号方式としては、例えば、ElGamal方式(ELG85)やRSA方式(RSA78)等のように従来から用いられている公開鍵方式を用いることができる。ElGamal方式は、例えば、「A public key cryptosystem and a signature scheme based on the discrete logarithms」, T.ElGamal, IEEE Transactions on Information Theory, IT-31,4,p.469-472,1985に、RSA方式は、例えば、「A method for obtaining digital signature and public-key cryptosystems」, R. Rivest, A. Shamir and L. Adleman, Communication of the ACM,21,2,p. 120-126,1978に記載されている。 As the IBE, for example, a BF method (BF01), a GS method (GS02), a Cocks method (Cocks01), or the like can be used. The BF method is described in Non-Patent Document 3, for example, the GS method is described in Non-Patent Document 4, and the Cocks method is described in Non-Patent Document 5, for example. The arbitrary public key cryptosystem can be arbitrarily selected from public key cryptosystems other than IBE according to a request in the communication system 1 or the like. As the arbitrary public key cryptosystem, for example, a public key scheme conventionally used, such as the ElGamal scheme (ELG85) and the RSA scheme (RSA78), can be used. The ElGamal scheme is, for example, “A public key cryptosystem and a signature scheme based on the discrete logarithms”, T.M. ElGamal, IEEE Transactions on Information Theory, IT-31, 4, p. 469-472, 1985, the RSA method is, for example, “A method for obtaining digital signature and public-key cryptosystems”, R. Rivest, A. Shamir and L. Adleman, Communication of the ACM, 21, 2, p. 120-126, 1978.
外部補助装置40は、受信端末20が識別情報復号鍵(以下「IBE復号鍵」という)の更新に使用する。外部補助装置40は、受信者が保持する。送信端末10、受信端末20、公開情報サーバ30は、ネットワーク50を介して接続する。外部補助装置40は、ネットワーク50に接続せずに受信端末20に接続し、ネットワーク50から隔離されている。
The external
次に、送信端末10、受信端末20、公開情報サーバ30、外部補助装置40について詳細に説明する。送信端末10は、暗号化部11と、記憶部12と、入力部13と、通信部14とを備える。記憶部12は、送信情報、受信者の識別情報Ui、IBEの暗号化アルゴリズム(以下「IBE暗号化アルゴリズム」という)、任意公開鍵暗号方式の暗号化アルゴリズム(以下「任意暗号化アルゴリズム」という)、ハッシュ関数、乱数等を記憶する。受信者には、受信者に固有の識別情報Uiが付与されている。識別情報Uiには、例えば、電子メールアドレス、電話番号等がある。入力部13は、送信者から送信情報の入力を受け、暗号化部11に送信情報を入力する。
Next, the transmitting
暗号化部11は、受信端末20に送信する送信情報mを、IBE公開パラメータpk1を用いて暗号化する識別情報分割情報(以下「IBE分割情報」という)m1と、任意公開鍵pk2を用いて暗号化する任意分割情報m2に分割する分割手段として機能する。暗号化部11は、記憶部12や入力部13から、平文の送信情報を取得する。暗号化部11は、取得した平文の送信情報を、例えば、秘密分散を用いて識別情報分割情報m1と、任意分割情報m2とに分割する。秘密分散としては、例えば、「How to Share a Secret」, A.Shamir, Comm. ACM, 22, 11, p612-613, 1979に記載されているShamir79を用いることができる。暗号化部11が秘密分散を用いて送信情報を分割することにより、分割された一方の情報を見ても、他方の情報を知ることができないため、送信情報mの安全性を向上でき、好ましい。
The
又、暗号化部11は、IBE分割情報m1のための識別情報乱数(以下「IBE乱数」という)r1と、任意分割情報m2のための乱数(以下「任意乱数」という)r2とを選択する。暗号化部11は、例えば、記憶部12が記憶する乱数の中から、IBE乱数r1と任意乱数r2とを選択する。
Further, the
更に、暗号化部11は、IBE分割情報m1をIBE公開パラメータpk1及び時間情報を用いてIBE暗号化アルゴリズムにより暗号化して識別情報暗号文(以下「IBE暗号文」という)c1を作成し、任意分割情報m2を任意公開鍵pk2を用いて任意暗号化アルゴリズムにより暗号化して任意暗号文c2を作成する暗号化手段として機能する。暗号化部11は、通信部14を介して、公開情報サーバ30から公開情報{pk1,pk2}を取得する。暗号化部11は、受信者の識別情報Uiを指定して、公開情報サーバ30に公開情報を要求し、公開情報サーバ30から公開情報の通知を受けることにより、公開情報{pk1,pk2}を取得する。
Further, the
そして、暗号化部11は、IBE分割情報m1及びIBE乱数r1を含むIBE情報(m1‖r1)を、取得したIBE公開パラメータpk1と、時間情報を用い、IBE暗号化アルゴリズムにより暗号化して、IBE暗号文c1を作成する。このように、暗号化部11は、時間情報を反映させて暗号化する。暗号化部11は、IBE暗号化アルゴリズムに代入する識別情報に替えて、暗号化時点の時間情報をIBE暗号化アルゴリズムに代入して、暗号化する。時間情報は、例えば、IBE公開パラメータpk1を生成する生成時点を0に設定し、その生成時点0からの経過時間や、現在時刻等を用いることができる。又、暗号化部11は、任意分割情報m2及び任意乱数r2を含む任意情報(m2‖r2)を、公開情報サーバ30から取得した任意公開鍵pk2を用い、任意暗号化アルゴリズムにより暗号化して、任意暗号文c2を作成する。このように、このようにIBE分割情報m1をIBE乱数r1と共に暗号化し、任意分割情報m2を任意乱数r2と共に暗号化することにより、送信端末10は、送信情報mの安全性を向上でき、送信情報mに対する攻撃として想定される攻撃のほとんどを防ぐことができる。
Then, the
このとき、暗号化部11は、送信情報m、IBE分割情報m1、任意分割情報m2、IBE乱数r1及び任意乱数r2をハッシュ関数に入力してハッシュ値を求め、求めたハッシュ値を確率的暗号化のための乱数として用いる。ハッシュ関数としては、例えば、SHA−1を用いることができる。暗号化部11は、IBE情報(m1‖r1)を、IBE公開パラメータpk1、時間情報及びハッシュ値を用い、IBE暗号化アルゴリズムにより暗号化して、IBE暗号文c1を作成する。又、暗号化部11は、任意情報(m2‖r2)を、任意公開鍵pk2及びハッシュ値を用い、任意暗号化アルゴリズムにより暗号化して、任意暗号文c2を作成する。これにより、暗号化部11は、安全性の高い暗号化が可能となる。暗号化部11は、記憶部12から、IBE暗号化アルゴリズム、任意暗号化アルゴリズム、ハッシュ関数、受信者の識別情報Uiを取得する。暗号化部11は、作成したIBE暗号文c1と任意暗号文c2とを含む送信情報暗号文cを作成する。
At this time, the
IBE情報(m1‖r1)、任意情報(m2‖r2)、送信情報暗号文cはそれぞれ、IBE分割情報m1及びIBE乱数r1、任意分割情報m2及び任意乱数r2、IBE暗号文c1及び任意暗号文c2を含んでいればよく、IBE分割情報m1及びIBE乱数r1や、任意分割情報m2及び任意乱数r2、IBE暗号文c1及び任意暗号文c2はそれぞれどのような順番や形式で含まれていても構わない。暗号化部11は、作成した送信情報暗号文cを通信部14に入力する。
The IBE information (m1‖r1), the arbitrary information (m2‖r2), and the transmission information ciphertext c are the IBE division information m1 and the IBE random number r1, the arbitrary division information m2 and the arbitrary random number r2, the IBE ciphertext c1 and the arbitrary ciphertext, respectively. c2 may be included, and IBE division information m1 and IBE random number r1, arbitrary division information m2 and arbitrary random number r2, IBE ciphertext c1 and arbitrary ciphertext c2 may be included in any order and format. I do not care. The
通信部14は、IBE暗号文c1及び任意暗号文c2を含む送信情報暗号文cを、受信端末20に送信する送信手段である。通信部14は、暗号化部11から送信情報暗号文cを取得し、ネットワーク50を介して受信端末20に送信する。又、通信部14は、暗号化部11から公開情報{pk1,pk2}の要求を取得し、ネットワーク50を介して公開情報サーバ30に送信する。通信部14は、公開情報サーバ30からの公開情報{pk1,pk2}を、ネットワーク50を介して受信し、暗号化部11に入力する。
The communication unit 14 is a transmission unit that transmits the transmission information ciphertext c including the IBE ciphertext c1 and the arbitrary ciphertext c2 to the receiving
受信端末20は、生成部21と、更新部22と、復号判定部23と、格納部24と、通信部25と、出力部26とを備える。生成部21は、IBE公開パラメータpk1と、マスター鍵sと、IBE復号鍵の初期値であるIBE復号鍵sk1を生成する。生成部21は、IBE公開鍵生成アルゴリズムに代入する識別情報に代えて、IBE公開パラメータpk1の生成時点の時間情報をIBE公開鍵生成アルゴリズムに代入し、IBE公開パラメータpk1を生成する。生成時点としては、現在時刻を代入してもよく、生成時点を0とする場合には0を代入してもよい。マスター鍵sは、IBE復号鍵sk1を生成するための秘密鍵である。生成部21は、マスター鍵の鍵生成アルゴリズムを用いてマスター鍵sを生成する。生成部21は、マスター鍵を、格納部24が記憶するマスター鍵の候補から選択してもよい。
The receiving
生成部21は、IBE復号鍵sk1の鍵生成アルゴリズム(以下「IBE復号鍵生成アルゴリズム」という)に代入する識別情報に代えて、IBE復号鍵sk1の生成時点の時間情報をIBE復号鍵生成アルゴリズムに代入する。即ち、生成部21は、時間情報と生成したマスター鍵sとを作用させて、IBE復号鍵生成アルゴリズムにより、IBE復号鍵sk1を生成する。生成時点としては、現在時刻を代入してもよく、生成時点を0とする場合には0を代入してもよい。IBE復号鍵sk1は秘密鍵である。文字列charとマスター鍵sとを作用させて生成する秘密鍵d(char)を「charに対応した復号鍵」という。そして、IBEでは、char及びIBE公開パラメータpk1を用いて暗号化された暗号文は、d(char)を用いて復号できる。更に、生成部21は、任意公開鍵pk2と、任意公開鍵pk2に対応する任意復号鍵sk2を、任意公開鍵暗号方式の公開鍵や復号鍵の鍵生成アルゴリズムを用いて生成する。任意復号鍵sk2は、秘密鍵である。
The
生成部21は、生成したIBE公開パラメータpk1と、任意公開鍵pk2とを含む公開情報{pk1,pk2}を、公開情報サーバ30に通知する。具体的には、生成部21は、識別情報Uiに対応付けて公開情報{pk1,pk2}を、通信部25を介して公開情報サーバ30に送信する。受信端末20は、公開情報{pk1,pk2}を公開情報サーバ30に通知し、公開情報サーバ30に登録することにより、送信者のような受信者以外の他の利用者に、公開情報を公開する。又、生成部21は、生成したIBE復号鍵sk1と任意復号鍵sk2を含む復号鍵を生成する。以下、IBE復号鍵の初期値であるIBE復号鍵sk1と任意復号鍵sk2を含む復号鍵を、初期復号鍵{sk1,sk2}と表す。生成部21は、初期復号鍵{sk1,sk2}を格納部24に格納する。更に、生成部21は、生成したマスター鍵sを更新鍵として、通信部25を介して外部補助装置40に通知する。更新鍵とは、IBE復号鍵の更新に用いる鍵である。このようにして、生成部21は、更新鍵であるマスター鍵sを外部補助装置40に格納する。
格納部24は、受信者の識別情報Ui、マスター鍵sの候補、IBE復号鍵、任意復号鍵sk2、IBE公開鍵生成アルゴリズム、IBE復号鍵生成アルゴリズム、マスター鍵の鍵生成アルゴリズム、任意公開鍵暗号方式の公開鍵や復号鍵の鍵生成アルゴリズム、IBEの復号アルゴリズム(以下「IBE復号アルゴリズム」という)及びIBE暗号化アルゴリズム、任意公開鍵暗号方式の復号アルゴリズム(以下「任意復号アルゴリズムという」及び任意暗号化アルゴリズム、ハッシュ関数等を記憶する。
The
The
更新部22は、IBE復号鍵を更新する更新手段である。更新部22は、外部補助装置40を使用して更新を行う。まず、更新部22は、外部補助装置40に、その時点tにおける新たなIBE復号鍵dtを、マスター鍵sを用いて生成するように、通信部25を介して依頼する。更新部22は、依頼した外部補助装置40から、通信部25を介してIBE公開パラメータpk1の要求を受ける。更新部22は、受信者の識別情報Uiを指定して、IBE公開パラメータpk1を、通信部25を介して公開情報サーバ30に要求する。更新部22は、IBE公開パラメータpk1の通知を、通信部25を介して公開情報サーバ30から取得する。そして、更新部22は、公開情報サーバ30から通知を受けたIBE公開パラメータpk1を外部補助装置40に通知する。
The
そして、IBE公開パラメータpk1を取得した外部補助装置40が、マスター鍵2を用いて、その時点tにおける新たなIBE復号鍵dtを生成し、受信端末20に通知する。そのため、更新部22は、通信部25を介して、マスター鍵sを用いて生成された新たなIBE復号鍵dtを取得する。更新部22は、格納部24に格納されている初期復号鍵{sk1,sk2}を消去する。更新部22は、取得した新たなIBE復号鍵dtと、格納部24に格納されている任意復号鍵sk2を用い、新たな復号鍵{dt,sk2}を生成する。更新部22は、新たに生成した復号鍵{dt,sk2}を格納部24に格納して、復号鍵を更新する。更新部22は、一定時間毎や受信者が任意に選んだ時点で、IBE復号鍵を更新し、復号鍵を更新できる。このように、更新部22は、外部補助装置40にマスター鍵sを用いた新たなIBE復号鍵dtの生成を指示し、生成されたIBE復号鍵dtを取得することにより、マスター鍵sを更新鍵として用いたIBE復号鍵の更新を行うことができる。
Then, the external
通信部25は、IBE暗号文c1及び任意暗号文c2を含む送信情報暗号文cを受信する受信手段である。通信部25は、送信端末10から、ネットワーク50を介して送信情報暗号文cを受信する。通信部25は、受信した送信情報暗号文cを復号判定部22に入力する。通信部25は、生成部21から公開情報{pk1,pk2}の通知を取得し、ネットワーク50を介して公開情報サーバ30に送信する。通信部25は、更新部22や復号判定部23から、IBE公開パラメータpk1や公開情報{pk1,pk2}の要求を取得し、ネットワーク50を介して公開情報サーバ30に送信する。通信部25は、公開情報サーバ30からのIBE公開パラメータpk1や公開情報{pk1,pk2}の通知を、ネットワーク50を介して受信し、更新部22や復号判定部23に入力する。
The
復号判定部23は、IBE暗号文c1を、IBE公開パラメータpk1に対応するIBE復号鍵により復号してIBE分割情報m1とし、任意暗号文c2を、任意公開鍵pk2に対応する任意復号鍵sk2により復号して任意分割情報m2とし、IBE分割情報m1及び任意分割情報m2から、送信情報mを復元する復号手段である。
The
復号判定部23は、通信部25から、送信端末10により送信された送信情報暗号文cを取得する。復号判定部23は、通信部25を介して、公開情報サーバ30から公開情報{pk1,pk2}を取得する。復号判定部23は、受信者の識別情報Uiを指定して、公開情報サーバ30に公開情報を要求し、公開情報サーバ30から公開情報の通知を受けることにより、公開情報{pk1,pk2}を取得する。復号判定部23は、格納部24から、IBE復号鍵と任意復号鍵sk2を取得する。
The
そして、復号判定部23は、IBE公開パラメータpk1を用いて、取得したIBE復号鍵が、送信情報暗号文cに含まれるIBE暗号文c1を暗号化したIBE公開パラメータpk1に対応するIBE復号鍵であるかを確認する。復号判定部23は、対応することを確認したIBE復号鍵とIBE復号アルゴリズムを用いて、IBE暗号文c1を復号し、IBE分割情報m1及びIBE乱数r1を得る。以下、IBE分割情報m1とIBE乱数r1をまとめて、{m1,r1}と表す。又、復号判定部23は、任意公開鍵pk2を用いて、取得した任意復号鍵sk2が、送信情報暗号文cに含まれる任意暗号文c2を暗号化した任意公開鍵pk2に対応する任意復号鍵sk2であるかを確認する。復号判定部23は、対応することを確認した任意復号鍵sk2と任意復号アルゴリズムを用いて、任意暗号文c2を復号し、任意分割情報m2及び任意乱数r2を得る。以下、任意分割情報m2と任意乱数r2をまとめて、{m2,r2}と表す。復号判定部23は、得られたIBE分割情報m1と、任意分割情報m2とから、平文の送信情報mを復元する。尚、復号判定部23は、IBE復号アルゴリズム、任意復号アルゴリズムとして、暗号化に用いたIBE暗号化アルゴリズム、任意暗号化アルゴリズムに応じたものを用いる。
Then, using the IBE public parameter pk1, the
更に、復号判定部23は、IBE分割情報m1をIBE公開パラメータpk1及び時間情報を用いてIBE暗号化アルゴリズムにより暗号化して判定用識別情報暗号文(以下「判定用IBE暗号文」という)c1’を作成し、任意分割情報m2を任意公開鍵pk2を用いて暗号化して判定用任意暗号文c2’を作成し、受信したIBE暗号文c1と判定用IBE暗号文c1’とが一致するか否かを判定し、受信した任意暗号文c2と判定用任意暗号文c2’とが一致するか否かを判定する判定手段としても機能する。
Further, the
具体的には、復号判定部23は、復号して得られたIBE分割情報m1及びIBE乱数r1を含むIBE情報(m1‖r1)を、公開情報サーバ30から取得したIBE公開パラメータpk1と、時間情報を用い、IBE暗号化アルゴリズムにより暗号化して、判定用IBE暗号文c1’を作成する。又、復号判定部23は、復号して得られた任意分割情報m2及び任意乱数r2を含む任意情報(m2‖r2)を、公開情報サーバ30から取得した任意公開鍵pk2を用い、任意暗号化アルゴリズムにより暗号化して、判定用任意暗号文c2’を作成する。
Specifically, the
このとき、復号判定部23は、送信情報m、IBE分割情報m1、任意分割情報m2、IBE乱数r1及び任意乱数r2をハッシュ関数に入力してハッシュ値を求め、求めたハッシュ値を確率的暗号化のための乱数として用いる。復号判定部23は、IBE情報(m1‖r1)を、IBE公開パラメータpk1、時間情報及びハッシュ値を用い、IBE暗号化アルゴリズムにより暗号化して、判定用IBE暗号文c1’を作成する。又、復号判定部23は、任意情報(m2‖r2)を、任意公開鍵pk2及びハッシュ値を用い、任意暗号化アルゴリズムにより暗号化して、判定用任意暗号文c2’を作成する。復号判定部23は、ハッシュ関数として、暗号化する際にハッシュ値を求めるために用いたハッシュ関数を用いる。復号判定部23は、格納部24から、IBE復号アルゴリズム及びIBE暗号化アルゴリズム、任意復号アルゴリズム及び任意暗号化アルゴリズム、受信者の識別情報Ui、ハッシュ関数を取得する。
At this time, the
復号判定部23は、IBE暗号文c1と作成した判定用IBE暗号文c1’とを比較し、両者が一致するか否かを判定する。更に、復号判定部23は、任意暗号文c2と作成した判定用任意暗号文c2’とを比較し、両者が一致するか否かを判定する。そして、復号判定部23は、IBE暗号文c1と判定用IBE暗号文c1’とが一致し、かつ、任意暗号文c2と判定用任意暗号文c2’とが一致する場合にのみ、送信情報mが正しく暗号化されて送信されたものであると判定する。そして、復号判定部23は、出力部26に送信情報mを復号結果として出力する。出力部26は、情報を出力する出力手段である。復号判定部23は、IBE暗号文c1と判定用IBE暗号文c1’、任意暗号文c2と判定用任意暗号文c2’のいずれか一方でも一致しない場合には、送信情報mが正しく暗号化されて送信されたものであると判定できないため、復号失敗の通知を出力部26に出力し、復号結果は出力しない。このような復号判定部23によれば、受信端末20は、復号して得られたIBE分割情報m1や任意分割情報m2から復元される送信情報mが正しく暗号化されて送信されたものであるかを判定でき、安全性を向上できる。
The
公開情報サーバ30は、制御部31と、公開情報データベース32と、通信部33とを備える。公開情報データベース32は、公開情報{pk1,pk2}を、受信者の識別情報Uiに対応付けて記憶する。通信部33は、ネットワーク50を介して、受信端末20から受信者の識別情報Uiに対応付けられた公開情報{pk1,pk2}を受信する。通信部33は、受信した公開情報{pk1,pk2}を制御部31に入力する。通信部33は、ネットワーク50を介して、送信端末10から受信者の識別情報Uiを指定した公開情報の要求を受信し、制御部31に入力する。通信部33は、公開情報の要求に対する応答として、指定された識別情報Uiの公開情報{pk1,pk2}を制御部31から取得する。通信部33は、制御部31から取得した公開情報{pk1,pk2}を送信端末10に送信する。
The
制御部31は、通信部33を介して受信端末20から、受信者の識別情報Uiに対応付けられた公開情報{pk1,pk2}を取得する。制御部31は、取得した公開情報{pk1,pk2}を、識別情報Uiに対応付けて公開情報データベース32に登録する。制御部31は、通信部33を介して送信端末10から識別情報Uiを指定した公開情報の要求を取得する。制御部31は、識別情報Uiに基づいて、公開情報データベース32から識別情報Uiの受信者の公開情報{pk1,pk2}を取得する。制御部31は、通信部33を介して送信端末10に取得した公開情報{pk1,pk2}を提供する。
The
外部補助装置40は、更新情報生成部41と、格納部42と、通信部43とを備える。格納部42は、受信端末20のIBE復号鍵の更新に使用する更新鍵を記憶する。格納部42は、更新鍵としてマスター鍵sを記憶する。又、格納部42は、IBE復号鍵生成アルゴリズムを記憶する。更新情報生成部41は、通信部43を介して受信端末20から、更新鍵としてマスター鍵sを取得する。更新情報生成部41は、取得したマスター鍵sを格納部42に格納する。又、更新情報生成部41は、新たなIBE復号鍵dtを生成する。まず、更新情報生成部41は、通信部43を介して、受信端末20から、新たなIBE復号鍵として、その時点tにおけるIBE復号鍵dtの生成の依頼を受ける。更新情報生成部41は、通信部43を介して、受信端末20に受信端末20のIBE公開パラメータpk1、即ち、識別情報UiのIBE公開パラメータpk1を要求する。そして、更新情報生成部41は、要求に対する応答として、IBE公開パラメータpk1の通知を、通信部43を介して受信端末20から取得する。更新情報生成部41は、格納部42から更新鍵であるマスター鍵sと、IBE復号鍵生成アルゴリズムを取得する。
The external
更新情報生成部41は、取得した識別情報UiのIBE公開パラメータpk1、即ち、IBE公開パラメータpk1と、時間情報、即ち、時点tと、更新鍵であるマスター鍵sを用い、IBE復号鍵生成アルゴリズムにより、時点tにおけるIBE復号鍵dtを生成する。時点tは、現在時刻でもよく、生成時点を0とした場合の経過時間であってもよい。更新情報生成部41は、生成した新たなIBE復号鍵dtを、通信部43を介して識別情報Uiの受信者の受信端末20に通知する。
The update
通信部43は、受信端末20から更新鍵としてマスター鍵sを受信し、更新情報生成部41に入力する。通信部43は、更新情報生成部41から、受信端末20のIBE公開パラメータpk1の要求を取得し、受信端末20に送信する。通信部43は、受信端末20から、受信端末20のIBE公開パラメータpk1を受信し、更新情報生成部41に入力する。通信部43は、更新情報生成部41から、新たなIBE復号鍵dtを取得し、受信端末20に送信する。
The
〔通信方法〕
次に、通信システム1を用いた通信方法について説明する。まず、図2を用いて、公開情報{pk1,pk2}、マスター鍵s、IBE復号鍵sk1、任意復号鍵sk2の生成について説明する。まず、受信端末20は、IBE公開パラメータpk1と、マスター鍵sと、IBE復号鍵sk1を生成する(S101)。受信端末20は、任意公開鍵pk2、任意復号鍵sk2を生成する(S102)。受信端末20は、生成したIBE公開パラメータpk1と、任意公開鍵pk2とを含む公開情報{pk1,pk2}を公開情報サーバ30に通知する(S103)。公開情報サーバ30は、受信端末20から通知された公開情報{pk1,pk2}を、公開情報データベース32に格納して登録する(S104)。
〔Communication method〕
Next, a communication method using the communication system 1 will be described. First, generation of public information {pk1, pk2}, master key s, IBE decryption key sk1, and arbitrary decryption key sk2 will be described with reference to FIG. First, the receiving
受信端末20は、生成したIBE復号鍵sk1と任意復号鍵sk2を含む初期復号鍵{sk1,sk2}を生成し、受信端末20内の格納部24に格納する(S105)。更に、受信端末20は、マスター鍵sを更新鍵として外部補助装置40に通知する(S106)。外部補助装置40は、受信端末20から通知されたマスター鍵sを更新鍵として、外部補助装置40内の格納部42に格納する(S107)。
The receiving
次に、図3を用いて、IBE復号鍵の更新について説明する。まず、受信端末20が、外部補助装置40に、新たなIBE復号鍵として、その時点tにおけるIBE復号鍵dtの生成を依頼する(S201)。依頼を受けた外部補助装置40は、受信端末20のIBE公開パラメータpk1を受信端末20に要求する(S202)。受信端末20は、外部補助装置40からの要求に応じて、公開情報サーバ30に識別情報Uiを指定してIBE公開パラメータpk1を要求する(S203)。公開情報サーバ30は、受信端末20からの要求に応じて、指定された識別情報UiのIBE公開パラメータpk1を受信端末20に通知する(S204)。受信端末20は、公開情報サーバ30から通知された識別情報UiのIBE公開パラメータpk1を、外部補助装置40に通知する(S205)。
Next, update of the IBE decryption key will be described with reference to FIG. First, the receiving
外部補助装置40は、取得した識別情報UiのIBE公開パラメータpk1と、時間情報、即ち、時点tと、更新鍵であるマスター鍵sを用い、IBE復号鍵生成アルゴリズムを用いて、新たなIBE復号鍵として時点tにおけるIBE復号鍵dtを生成する(S206)。更新情報生成部41は、生成したIBE復号鍵dtを識別情報Uiの受信者の受信端末20に通知する(S207)。受信端末20は、外部補助装置40から通知された新たなIBE復号鍵dtと、受信端末20内の格納部24に格納されている任意復号鍵sk2とを用い、時点tにおける新たな復号鍵{dt,sk2}を生成する(S208)。受信端末20は、受信端末20内の格納部24に格納されている初期復号鍵を消去し、新たに生成した復号鍵{dt,sk2}を格納して復号鍵を更新する(S209)。
The external
次に、図4を用いて、送信情報mの暗号化及び復号について説明する。受信端末20内に、更新された時点tにおける復号鍵{dt,sk2}が格納されている場合について説明する。送信端末10は、受信端末20に送信情報mを送信する場合、まず、公開情報サーバ30に、識別情報Uiを指定して公開情報{pk1,pk2}を要求する(S301)。公開情報サーバ30は、指定された識別情報Uiの公開情報{pk1,pk2}を送信端末10に通知する(S302)。
Next, encryption and decryption of the transmission information m will be described with reference to FIG. The case where the decryption key {dt, sk2} at the updated time t is stored in the receiving
送信端末10は、平文送信情報mを、IBE分割情報m1と任意分割情報m2に、秘密分散等を用いて分割する(S303)。送信端末10は、IBE乱数r1と任意乱数r2を選択する(S304)。送信端末10は、確率的暗号化のための乱数としてハッシュ値を求め、IBE分割情報m1及びIBE乱数r1を含むIBE情報(m1‖r1)を、取得したIBE公開パラメータpk1、時間情報及びハッシュ値を用い、IBE暗号化アルゴリズムにより暗号化して、IBE暗号文c1を作成する(S305)。送信端末10は、任意分割情報m2及び任意乱数r2を含む任意情報(m2‖r2)を、公開情報サーバ30から取得した任意公開鍵pk2及びハッシュ値を用い、任意暗号化アルゴリズムにより暗号化して、任意暗号文c2を作成する(S306)。そして、送信端末10は、作成したIBE暗号文c1と任意暗号文c2とを含む送信情報暗号文cを作成し、受信端末20に送信する(S307)。
The
送信情報暗号文cを受信した受信端末20は、公開情報サーバ30に公開情報{pk1,pk2}を要求する(S308)。公開情報サーバ30は、受信端末20に公開情報{pk1,pk2}を通知する(S309)。受信端末20は、受信端末20内の格納部24に格納されているIBE復号鍵dtを用い、IBE復号アルゴリズムにより、送信情報暗号文cに含まれているIBE暗号文c1を復号し、IBE分割情報及びIBE乱数{m1,r1}を得る(S310)。受信端末20は、受信端末内の格納部24に格納されている任意復号鍵sk2を用い、任意復号アルゴリズムにより、送信情報暗号文cに含まれている任意暗号文c2を復号し、任意分割情報及び任意乱数{m2,r2}を得る(S311)。受信端末20は、得られたIBE分割情報m1と、任意分割情報m2とから、平文の送信情報mを復元する(s312)。
Receiving
次に、図5を用いて復号結果の判定について説明する。まず、受信端末20は、確率的暗号化のための乱数としてハッシュ値を求める。そして、受信端末20は、復号して得られたIBE分割情報m1及びIBE乱数r1を含むIBE情報(m1‖r1)を、公開情報サーバ30から取得したIBE公開パラメータpk1、時間情報及びハッシュ値を用い、IBE暗号化アルゴリズムにより暗号化し、判定用IBE暗号文c1’を作成する(S401)。受信端末20は、復号して得られた任意分割情報m2及び任意乱数r2を含む任意情報(m2‖r2)を、公開情報サーバ30から取得した任意公開鍵pk2及びハッシュ値を用い、任意暗号化アルゴリズムにより暗号化し、判定用任意暗号文c2’を作成する(S402)。
Next, determination of the decoding result will be described with reference to FIG. First, the receiving
受信端末20は、IBE暗号文c1と作成した判定用IBE暗号文c1’とが一致し、かつ、任意暗号文c2と作成した判定用任意暗号文c2’とが一致するか否かを判定する(S403)。受信端末20は、ステップ(S403)において、IBE暗号文c1と判定用IBE暗号文c1’とが一致し、かつ、任意暗号文c2と判定用任意暗号文c2’とが一致する場合にのみ、復元した送信情報mが正しく暗号化されて送信されたものであると判定し、出力部26に送信情報mを復号結果として出力する(S404)。一方、ステップ(S403)において、IBE暗号文c1と判定用IBE暗号文c1’、任意暗号文c2と判定用任意暗号文c2’のいずれか一方でも一致しない場合には復号失敗と判定し、復号失敗の通知を出力部26に出力する(S405)。
The receiving
〔効果〕
このような通信システム1、送信端末10、受信端末20及び通信方法によれば、次のような効果が得られる。送信端末10によれば、暗号化部11が、送信情報mをIBE分割情報m1と任意分割情報m2とに分割する。暗号化部11が、IBE分割情報m1をIBE公開パラメータpk1と時間情報を用い、IBE暗号化アルゴリズムにより暗号化してIBE暗号文c1を作成し、任意分割情報m2を任意公開鍵pk2により暗号化して任意暗号文c2を作成する。そして、通信部14が、IBE暗号文c1と任意暗号文c2とを含む送信情報暗号文cを送信する。
〔effect〕
According to such a communication system 1,
又、受信端末20によれば、通信部25が、IBE暗号文c1と任意暗号文c2を含む送信情報暗号文cを受信する。復号判定部23が、IBE暗号文c1をIBE復号鍵により、任意暗号文c2を任意復号鍵sk2により、それぞれ復号してIBE分割情報m1と任意分割情報m2を得る。そして、復号判定部23が、IBE分割情報m1と任意分割情報m2から送信情報mを復元する。更に、更新部22がIBE復号鍵を更新する。
Further, according to the receiving
よって、送信端末10、受信端末20、送信端末10と受信端末20とを備える通信システム1、通信システム1を用いた通信方法によれば、任意のIBE暗号化アルゴリズムと、任意の公開鍵暗号方式とを用いて実現でき、様々な数学的問題の困難性に依拠した、漏洩閾値が無制限となる鍵隔離型暗号方式を提供できる。しかも、送信端末10は、IBE公開パラメータpk1と時間情報を用いて暗号化するため、受信端末20と送信情報の送信前に鍵に関する情報をやりとりする必要のない鍵隔離型暗号方式を実現できる。このような鍵隔離型暗号方式は、その安全性を数学的に証明可能であり、マスター鍵sを入手した攻撃者であっても、送信情報暗号文cの不正な解読を必ずしも行うことはできない。そして、送信端末10は、そのような鍵隔離型暗号方式による暗号化を行うことができる。受信端末20は、そのような鍵隔離型暗号方式により暗号化された送信情報暗号文を復号できる。又、通信方法によれば、そのような鍵隔離型暗号方式による暗号化方法、そのような鍵隔離型暗号方式により暗号化された送信情報暗号文の復号方法を提供できる。
Therefore, according to the communication method using the
例えば、Cocks方式のIBEのような合成数環上の平方余剰問題に基づいた鍵隔離型暗号方式はこれまでに提案されていないが、IBEとしてCocks方式を選択し、任意公開鍵暗号方式として任意の公開鍵暗号方式を選択することにより、合成数環上の平方余剰問題に基づいた鍵隔離型暗号方式を実現できる。他にも、例えば、IBEとしてBF方式(BF01)を用い、任意公開鍵暗号方式としてElGamal方式(ELG85)を用いて、鍵隔離型暗号方式を実現できる。 For example, a key-separated encryption method based on a quadratic surplus problem on a composite number ring such as the IBE of the Cocks method has not been proposed so far, but the Cocks method is selected as an IBE and an arbitrary public key encryption method is arbitrary. By selecting this public key cryptosystem, it is possible to realize a key isolation type cryptosystem based on the quadratic surplus problem on the composite number ring. In addition, for example, it is possible to realize a key isolation type encryption method using the BF method (BF01) as IBE and the ElGamal method (ELG85) as an arbitrary public key encryption method.
尚、本発明は、上記実施の形態に限定されるものではない。例えば、上記実施の形態では、暗号化部11は、送信情報mを2つの分割情報に分割しているが、より多くの分割情報に分割しても構わない。又、送信端末10は、図1に示した受信端末20の機能を備えることにより受信端末としても機能でき、受信端末20も、図1に示した送信端末10の機能を備えることにより送信端末としても機能できる。
The present invention is not limited to the above embodiment. For example, in the above embodiment, the
1 通信システム
10 送信端末
11 暗号化部
12 記憶部
13 入力部
14 通信部
20 受信端末
21 生成部
22 更新部
23 復号判定部
24 格納部
25 通信部
26 出力部
30 公開情報サーバ
31 制御部
32 公開情報データベース
33 通信部
40 外部補助装置
41 更新情報生成部
42 格納部
43 通信部
50 ネットワーク
DESCRIPTION OF SYMBOLS 1
Claims (9)
前記識別情報分割情報を前記識別情報公開パラメータ及び時間情報を用いて前記識別情報暗号方式の暗号化アルゴリズムにより暗号化して識別情報暗号文を作成し、前記任意分割情報を前記任意公開鍵を用いて暗号化して任意暗号文を作成する暗号化手段と、
前記識別情報暗号文及び前記任意暗号文を含む送信情報暗号文を前記受信端末に送信する送信手段と
を備えることを特徴とする端末装置。 The transmission information is encrypted using an identification information public parameter generated by an identification information encryption method public key generation algorithm and an arbitrary public key different from the identification information public parameter. A dividing means for dividing the information into division information;
The identification information division information is encrypted using the identification information public parameter and the time information by the encryption algorithm of the identification information encryption method to create an identification information ciphertext, and the arbitrary division information is generated using the arbitrary public key. Encryption means for encrypting and creating arbitrary ciphertext;
A terminal device comprising: transmission means for transmitting a transmission information ciphertext including the identification information ciphertext and the arbitrary ciphertext to the receiving terminal.
前記識別情報暗号文を前記識別情報公開パラメータに対応する識別情報復号鍵を用いて復号して識別情報分割情報とし、前記任意暗号文を前記任意公開鍵に対応する任意復号鍵を用いて復号して任意分割情報とし、前記識別情報分割情報及び前記任意分割情報から送信情報を復元する復号手段と、
前記識別情報復号鍵を更新する更新手段と
を備えることを特徴とする端末装置。 The identification information ciphertext encrypted by the encryption algorithm of the identification information encryption method using the identification information disclosure parameter and time information generated by the public key generation algorithm of the identification information encryption method and the identification information public parameter are different. Receiving means for receiving a transmission information ciphertext including an arbitrary ciphertext encrypted using an arbitrary public key;
The identification information ciphertext is decrypted using an identification information decryption key corresponding to the identification information public parameter to obtain identification information division information, and the arbitrary ciphertext is decrypted using an arbitrary decryption key corresponding to the arbitrary public key. Decoding means for restoring transmission information from the identification information division information and the arbitrary division information,
A terminal device comprising: update means for updating the identification information decryption key.
前記送信端末は、前記送信情報を、識別情報暗号方式の公開鍵生成アルゴリズムにより生成された識別情報公開パラメータを用いて暗号化する識別情報分割情報及び前記識別情報公開パラメータとは異なる任意公開鍵を用いて暗号化する任意分割情報に分割する分割手段と、
前記識別情報分割情報を前記識別情報公開パラメータ及び時間情報を用いて前記識別情報暗号方式の暗号化アルゴリズムにより暗号化して識別情報暗号文を作成し、前記任意分割情報を前記任意公開鍵を用いて暗号化して任意暗号文を作成する暗号化手段と、
前記識別情報暗号文及び前記任意暗号文を含む送信情報暗号文を前記受信端末に送信する送信手段とを備え、
前記受信端末は、前記送信情報暗号文を受信する受信手段と、
前記識別情報暗号文を前記識別情報公開パラメータに対応する識別情報復号鍵を用いて復号して識別情報分割情報とし、前記任意暗号文を前記任意公開鍵に対応する任意復号鍵を用いて復号して任意分割情報とし、前記識別情報分割情報及び前記任意分割情報から送信情報を復元する復号手段と、
前記識別情報復号鍵を更新する更新手段とを備えることを特徴とする通信システム。 A communication system comprising a transmitting terminal that transmits transmission information and a receiving terminal that receives the transmission information,
The transmission terminal uses an identification information division information for encrypting the transmission information using an identification information public parameter generated by a public key generation algorithm of an identification information encryption method, and an arbitrary public key different from the identification information public parameter. Division means for dividing into arbitrary division information to be encrypted using;
The identification information division information is encrypted using the identification information public parameter and the time information by the encryption algorithm of the identification information encryption method to create an identification information ciphertext, and the arbitrary division information is generated using the arbitrary public key. Encryption means for encrypting and creating arbitrary ciphertext;
A transmission means for transmitting a transmission information ciphertext including the identification information ciphertext and the arbitrary ciphertext to the receiving terminal;
The receiving terminal receives the transmission information ciphertext; and
The identification information ciphertext is decrypted using an identification information decryption key corresponding to the identification information public parameter to obtain identification information division information, and the arbitrary ciphertext is decrypted using an arbitrary decryption key corresponding to the arbitrary public key. Decoding means for restoring transmission information from the identification information division information and the arbitrary division information,
A communication system comprising: update means for updating the identification information decryption key.
前記識別情報分割情報を前記識別情報公開パラメータ及び時間情報を用いて前記識別情報暗号方式の暗号化アルゴリズムにより暗号化して識別情報暗号文を作成するステップと、
前記任意分割情報を前記任意公開鍵を用いて暗号化して任意暗号文を作成するステップと、
前記識別情報暗号文及び前記任意暗号文を含む送信情報暗号文を前記受信端末に送信するステップと
を有することを特徴とする通信方法。 The transmission information is encrypted using an identification information public parameter generated by an identification information encryption method public key generation algorithm and an arbitrary public key different from the identification information public parameter. Dividing into pieces of division information;
Encrypting the identification information division information using the identification information disclosure parameter and time information by an encryption algorithm of the identification information encryption method to create an identification information ciphertext;
Encrypting the arbitrary division information using the arbitrary public key to create an arbitrary ciphertext;
Transmitting a transmission information ciphertext including the identification information ciphertext and the arbitrary ciphertext to the receiving terminal.
前記識別情報暗号文を前記識別情報公開パラメータに対応する識別情報復号鍵を用いて復号して識別情報分割情報とするステップと、
前記任意暗号文を前記任意公開鍵に対応する任意復号鍵を用いて復号して任意分割情報とするステップと、
前記識別情報分割情報及び前記任意分割情報から送信情報を復元するステップと、
前記識別情報復号鍵を更新するステップと
を有することを特徴とする通信方法。 The identification information ciphertext encrypted by the encryption algorithm of the identification information encryption method using the identification information disclosure parameter and time information generated by the public key generation algorithm of the identification information encryption method and the identification information public parameter are different. Receiving a transmission information ciphertext including an arbitrary ciphertext encrypted using an arbitrary public key;
Decrypting the identification information ciphertext using an identification information decryption key corresponding to the identification information public parameter to obtain identification information division information;
Decrypting the arbitrary ciphertext using an arbitrary decryption key corresponding to the arbitrary public key to obtain arbitrary divided information;
Restoring transmission information from the identification information division information and the arbitrary division information;
And a step of updating the identification information decryption key.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003415756A JP2005176144A (en) | 2003-12-12 | 2003-12-12 | Terminal device, communication system and communication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003415756A JP2005176144A (en) | 2003-12-12 | 2003-12-12 | Terminal device, communication system and communication method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005176144A true JP2005176144A (en) | 2005-06-30 |
Family
ID=34735153
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003415756A Pending JP2005176144A (en) | 2003-12-12 | 2003-12-12 | Terminal device, communication system and communication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005176144A (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007053449A (en) * | 2005-08-15 | 2007-03-01 | Ntt Docomo Inc | Decoder, encryption apparatus, communication system, and communication method |
JP2007053442A (en) * | 2005-08-15 | 2007-03-01 | Ntt Docomo Inc | Decoder, encryption apparatus, communication system, and communication method |
JP2007312346A (en) * | 2006-04-18 | 2007-11-29 | Ntt Docomo Inc | Encryption processing method, key isolation type encryption system and terminal device |
JP2009033608A (en) * | 2007-07-30 | 2009-02-12 | Ntt Docomo Inc | Validity verification apparatus and method |
WO2009076811A1 (en) * | 2007-12-14 | 2009-06-25 | Huawei Technologies Co., Ltd. | A method, a system, a client and a server for key negotiating |
JP2009239737A (en) * | 2008-03-27 | 2009-10-15 | Nec Corp | Key sharing system |
JP2012029271A (en) * | 2010-06-24 | 2012-02-09 | Nippon Telegr & Teleph Corp <Ntt> | Encryption device, decryption device, encryption system, encryption method and program |
WO2016088251A1 (en) * | 2014-12-05 | 2016-06-09 | 三菱電機株式会社 | Encryption system, master key updating device, and master key updating program |
-
2003
- 2003-12-12 JP JP2003415756A patent/JP2005176144A/en active Pending
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007053449A (en) * | 2005-08-15 | 2007-03-01 | Ntt Docomo Inc | Decoder, encryption apparatus, communication system, and communication method |
JP2007053442A (en) * | 2005-08-15 | 2007-03-01 | Ntt Docomo Inc | Decoder, encryption apparatus, communication system, and communication method |
JP2007312346A (en) * | 2006-04-18 | 2007-11-29 | Ntt Docomo Inc | Encryption processing method, key isolation type encryption system and terminal device |
JP2009033608A (en) * | 2007-07-30 | 2009-02-12 | Ntt Docomo Inc | Validity verification apparatus and method |
WO2009076811A1 (en) * | 2007-12-14 | 2009-06-25 | Huawei Technologies Co., Ltd. | A method, a system, a client and a server for key negotiating |
JP2009239737A (en) * | 2008-03-27 | 2009-10-15 | Nec Corp | Key sharing system |
JP2012029271A (en) * | 2010-06-24 | 2012-02-09 | Nippon Telegr & Teleph Corp <Ntt> | Encryption device, decryption device, encryption system, encryption method and program |
WO2016088251A1 (en) * | 2014-12-05 | 2016-06-09 | 三菱電機株式会社 | Encryption system, master key updating device, and master key updating program |
JPWO2016088251A1 (en) * | 2014-12-05 | 2017-04-27 | 三菱電機株式会社 | Cryptographic system, master key update device, and master key update program |
US10454673B2 (en) | 2014-12-05 | 2019-10-22 | Mitsubishi Electric Corporation | Cryptographic system, master key update apparatus, and non-transitory computer-readable recording medium storing master key update program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5361920B2 (en) | File server system | |
Amalraj et al. | A survey paper on cryptography techniques | |
JP6194886B2 (en) | Encryption statistical processing system, decryption system, key generation device, proxy device, encrypted statistical data generation device, encryption statistical processing method, and encryption statistical processing program | |
KR20150122513A (en) | Encryption apparatus, method for encryption and computer-readable recording medium | |
KR101516114B1 (en) | Certificate-based proxy re-encryption method and its system | |
JP4869824B2 (en) | Receiver device, sender device, cryptographic communication system, and program | |
Son et al. | Conditional proxy re-encryption for secure big data group sharing in cloud environment | |
Rangasami et al. | Comparative study of homomorphic encryption methods for secured data operations in cloud computing | |
Reshma et al. | Pairing-free CP-ABE based cryptography combined with steganography for multimedia applications | |
JP4288184B2 (en) | Key update method, cryptographic system, cryptographic server, terminal device and external device | |
US20070183600A1 (en) | Secure Cryptographic Communication System Using Kem-Dem | |
JP2009302861A (en) | System of transferring authority for decoding encrypted text | |
JP2005176144A (en) | Terminal device, communication system and communication method | |
KR20040009766A (en) | Apparatus and method for transmitting and receiving in encryption system | |
KR101373577B1 (en) | Apparatus of id based dynamic threshold encryption and method thereof | |
US7321658B2 (en) | Padding application method ensuring security of cryptosystem and encryptor/decryptor | |
KR20030047148A (en) | Method of messenger security based on client/server using RSA | |
JP2000047581A (en) | Ciphering method, ciphering and deciphering device, and cipher communication system | |
JP3895245B2 (en) | Encryption method and encryption system based on user identification information capable of updating key | |
JP2005198187A (en) | Encryption method, encryption system and terminal device | |
JP2004201124A (en) | Public key ciphering method, signature method, cipher communication system, and computer program | |
Elkamchouchi et al. | A new proxy identity-based signcryption scheme for partial delegation of signing rights | |
KR100388059B1 (en) | Data encryption system and its method using asymmetric key encryption algorithm | |
Hanaoka et al. | Unconditionally secure key insulated cryptosystems: models, bounds and constructions | |
JP2010113181A (en) | Key management method, key generation method, encryption processing method, decryption processing method, access control method, communication network system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060424 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090424 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090901 |