JP2008135869A - 署名検証装置、暗号化装置、署名検証方法及び暗号化方法 - Google Patents

署名検証装置、暗号化装置、署名検証方法及び暗号化方法 Download PDF

Info

Publication number
JP2008135869A
JP2008135869A JP2006319129A JP2006319129A JP2008135869A JP 2008135869 A JP2008135869 A JP 2008135869A JP 2006319129 A JP2006319129 A JP 2006319129A JP 2006319129 A JP2006319129 A JP 2006319129A JP 2008135869 A JP2008135869 A JP 2008135869A
Authority
JP
Japan
Prior art keywords
signature
key
verification
data
ciphertext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006319129A
Other languages
English (en)
Other versions
JP4960688B2 (ja
Inventor
Takeshi Ishihara
武 石原
Hiroshi Aono
博 青野
Setsuyuki Hongo
節之 本郷
Junji Yomo
順司 四方
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Yokohama National University NUC
Original Assignee
NTT Docomo Inc
Yokohama National University NUC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc, Yokohama National University NUC filed Critical NTT Docomo Inc
Priority to JP2006319129A priority Critical patent/JP4960688B2/ja
Publication of JP2008135869A publication Critical patent/JP2008135869A/ja
Application granted granted Critical
Publication of JP4960688B2 publication Critical patent/JP4960688B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】すべての鍵関連データを抽出できる確率を一定の値以上としつつ、暗号方式の安全性を証明することができる署名検証装置、暗号化装置、署名検証方法及び暗号化方法を提供する。
【解決手段】復号サーバ4001〜400nは、所定の条件、例えば、他の出力と無相関な関数であるランダムオラクルの存在を仮定した場合において、署名対象データと署名対象データの検証に用いられる検証鍵とを用いて、署名鍵を用いれば容易に構成できるが署名鍵を用いなければ構成が困難な鍵関連データを略1の確率で抽出できるか否かを検証する。
【選択図】図4

Description

本発明は、公開鍵暗号方式など、所定の暗号方式にしたがった暗号システムにおいて用いられる署名検証装置、暗号化装置、署名検証方法及び暗号化方法に関する。
今日、秘匿性を保ちつつ安全に情報を送受信するため、RSAなどの公開鍵暗号方式が広く用いられている。
公開鍵暗号方式を用いて電子署名をする場合において、一定の条件の下(例えば、ランダムオラクルの存在を仮定した場合)、署名データ(例えば、電子署名が付加された暗号文)から、電子署名に用いられる署名鍵に関連する“鍵関連データ”を抽出できる確率を一定の値以上とすることにより、当該暗号方式の安全性を示す方法が知られている(例えば、非特許文献1)。
なお、鍵関連データとは、署名鍵を用いれば容易に構成できるが、署名鍵を用いなければ構成が困難なデータである。すなわち、正しい鍵関連データを示すことができる場合、当該装置(ユーザ)は、当該鍵関連データに対応する署名鍵を用いて当該署名データを生成したことを示すことができる。
Yiannis Tsiounis and Moti Yung、"On the Security of ElGamal Based Encryption"、Public Key Cryptography 1998,pp.117-134、1998年
しかしながら、上述した鍵関連データを抽出できる確率を一定の値以上とする方法には、次のような問題があった。すなわち、署名鍵や鍵関連データを抽出できる確率を一定の値以上とする方法を暗号方式の安全性の向上に用いているため、当該暗号方式の安全性を証明することができない。
具体的には、選択暗号文攻撃における安全性の証明において、鍵関連データの抽出が何度も行われる。このため、すべての鍵関連データを抽出できる確率が小さくなり、当該暗号方式が安全であることを証明することができない。例えば、鍵関連データを1回のみ抽出する場合において鍵関連データを抽出できる確率が10−9であるとすると、鍵関連データを10回すべて抽出できる確率は、10−18となり、極めて小さくなってしまう。
そこで、本発明は、このような状況に鑑みてなされたものであり、すべての鍵関連データを抽出できる確率を一定の値以上としつつ、暗号方式の安全性を証明することができる署名検証装置、暗号化装置、署名検証方法及び暗号化方法を提供することを目的とする。
上述した問題を解決するため、本発明は、次のような特徴を有している。まず、本発明の第1の特徴は、所定の暗号方式(しきい値暗号方式)にしたがった暗号システムにおいて用いられる署名検証装置(復号サーバ4001〜400n)であって、署名対象データ(暗号文c)、及び前記署名対象データに対応する署名情報(署名情報v)を取得する取得部(受信部401)と、所定の条件において、前記署名対象データと前記署名対象データの検証に用いられる検証鍵(検証鍵vk)とを用いて、署名鍵(署名鍵Sgk)を用いれば容易に構成できるが前記署名鍵を用いなければ構成が困難な鍵関連データを略1の確率で抽出できるか否かを検証する検証部(検証部403)とを備え、前記所定の条件は、前記暗号システムにおいて用いられる少なくとも一部のシステムパラメータ(システムパラメータparams)を任意に決定できる場合、前記署名情報の生成に用いられるハッシュ関数(ハッシュ関数H)への入力値、及び前記入力値に対応する前記ハッシュ関数からの出力値を取得できる場合、または、出力が常に一様分布にしたがって決まり、他の出力と無相関な関数であるランダムオラクルの存在を仮定した場合、のうち、少なくとも何れかであることを要旨とする。
このような署名検証装置によれば、所定の条件の下、署名対象データと、署名対象データの検証に用いられる検証鍵とを用いて、署名鍵を用いれば容易に構成できるが署名鍵を用いなければ構成が困難な鍵関連データを抽出できるか否かが検証される。このため、選択暗号文攻撃における安全性の証明において、鍵関連データの抽出を何度も行ってもすべての鍵関連データを抽出できる確率が小さくなることを回避しつつ、署名対象データの安全性を検証することができる。
本発明の第2の特徴は、所定の暗号方式(しきい値暗号方式)にしたがった暗号システムにおいて用いられる暗号化装置(データ用共通鍵暗号化装置600)であって、署名鍵(署名鍵Sgk)の元となる署名鍵元データ(署名鍵元データS)を用いて、暗号化対象データ(平文m)の暗号化に用いられるデータ用共通鍵(データ用共通鍵k)を暗号化した暗号データ(暗号データh)を出力する暗号データ出力部(暗号データ出力部605)と、署名対象データ、前記署名対象データに対応する署名情報及び前記暗号データを含む補強暗号文(補強暗号文C)を出力する補強暗号文出力部(補強暗号文出力部607)と、少なくとも前記暗号データを入力として前記署名対象データ、及び前記署名対象データの検証に用いられる検証鍵を出力する検証鍵出力部(検証鍵出力部609)とを備え、前記署名情報は、所定の条件において、前記署名対象データと前記署名対象データの検証に用いられる検証鍵とを用いて、前記署名鍵を用いれば容易に構成できるが前記署名鍵を用いなければ構成が困難な鍵関連データを略1の確率で抽出できるように構成され、前記所定の条件は、前記暗号システムにおいて用いられる少なくとも一部のシステムパラメータ(システムパラメータparams)を任意に決定できる場合、前記署名情報の生成に用いられるハッシュ関数(ハッシュ関数H)への入力値、及び前記入力値に対応する前記ハッシュ関数からの出力値を取得できる場合、または、出力が常に一様分布にしたがって決まり、他の出力と無相関な関数であるランダムオラクルの存在を仮定した場合、のうち、少なくとも何れかであることを要旨とする。
本発明の第3の特徴は、所定の暗号方式にしたがった暗号システムにおいて用いられる署名検証方法であって、署名対象データ、及び前記署名対象データに対応する署名情報を取得するステップと、所定の条件において、前記署名対象データと前記署名対象データの検証に用いられる検証鍵とを用いて、署名鍵を用いれば容易に構成できるが署名鍵を用いなければ構成が困難な鍵関連データを略1の確率で抽出できるか否かを検証するステップとを備え、前記所定の条件は、前記暗号システムにおいて用いられる少なくとも一部のシステムパラメータを任意に決定できる場合、前記署名情報の生成に用いられるハッシュ関数への入力値、及び前記入力値に対応する前記ハッシュ関数からの出力値を取得できる場合、または、出力が常に一様分布にしたがって決まり、他の出力と無相関な関数であるランダムオラクルの存在を仮定した場合、のうち、少なくとも何れかであることを要旨とする。
本発明の第4の特徴は、所定の暗号方式にしたがった暗号システムにおいて用いられる暗号化方法であって、署名鍵の元となる署名鍵元データを用いて、暗号化対象データの暗号化に用いられるデータ用共通鍵を暗号化した暗号データを出力するステップと、署名対象データ、前記署名対象データに対応する署名情報及び前記暗号データを含む補強暗号文を出力するステップとを備え、前記署名情報は、所定の条件において、前記署名対象データと前記署名対象データの検証に用いられる検証鍵とを用いて、署名鍵を用いれば容易に構成できるが署名鍵を用いなければ構成が困難な鍵関連データを略1の確率で抽出できるように構成され、前記所定の条件は、前記暗号システムにおいて用いられる少なくとも一部のシステムパラメータを任意に決定できる場合、前記署名情報の生成に用いられるハッシュ関数への入力値、及び前記入力値に対応する前記ハッシュ関数からの出力値を取得できる場合、または、出力が常に一様分布にしたがって決まり、他の出力と無相関な関数であるランダムオラクルの存在を仮定した場合、のうち、少なくとも何れかであることを要旨とする。
本発明の特徴によれば、すべての鍵関連データを抽出できる確率を一定の値以上としつつ、暗号方式の安全性を証明する署名検証装置、暗号化装置、署名検証方法及び暗号化方法を提供することができる。
次に、本発明の実施形態について説明する。なお、以下の図面の記載において、同一または類似の部分には、同一または類似の符号を付している。ただし、図面は模式的なものであり、各寸法の比率などは現実のものとは異なることに留意すべきである。
したがって、具体的な寸法などは以下の説明を参酌して判断すべきものである。また、図面相互間においても互いの寸法の関係や比率が異なる部分が含まれていることは勿論である。
(暗号システムの全体概略構成)
図1は、本実施形態に係る暗号システムの全体概略構成図である。図1に示すように、本実施形態に係る暗号システムは、情報提供サーバ100、端末装置200、暗号文管理サーバ300、復号サーバ4001〜400n、端末装置500及びデータ用共通鍵暗号化装置600を含む。
また、本実施形態に係る暗号システムは、公開鍵暗号方式における復号鍵を複数の分散鍵に分散し、当該分散鍵を有する複数の復号サーバ(復号サーバ4001〜400n)が共同で処理を実行しなければ、平文mを復元できないようにした、いわゆる“しきい値暗号方式”(例えば、Pierre-Alain Fouque and David Pointcheval、“Threshold Cryptosystems Secure against Chosen-Ciphertext Attacks”、ASIACRYPT 2001, pp.351-368、2001年)にしたがった暗号システムである。しきい値暗号方式では、分散鍵を秘密の状態としつつ復号を実行することができる。
通信ネットワーク10は、暗号システムに含まれる各サーバ及び端末装置を接続する通信ネットワークである。また、本実施形態では、端末装置200及び端末装置500は、無線基地局11A,11Bとの間において無線通信を実行する無線通信端末装置である。なお、端末装置200及び端末装置500は、無線ではなく、有線によって通信ネットワーク10に接続する端末装置であってもよい。
情報提供サーバ100は、端末装置200から端末装置500に対して送信される情報(具体的には、平文m)の暗号化及び復号に必要な情報(以下、提供情報)、例えば、公開情報pkや分散鍵skなどを提供する。
端末装置200は、本実施形態に係るしきい値暗号方式に基づいて、平文mを暗号化した補強暗号文Cを生成する。また、端末装置200は、生成した補強暗号文Cを暗号文管理サーバ300に送信する。なお、補強暗号文Cの生成方法については後述する。
暗号文管理サーバ300は、端末装置200から送信された補強暗号文Cを格納する。また、暗号文管理サーバ300は、復号サーバ4001〜400nまたは端末装置500からの要求に応じて、格納している補強暗号文Cを送信する。
復号サーバ400〜400nは、暗号文管理サーバ300から送信された補強暗号文Cの正当性を検証するとともに、補強暗号文Cを用いて、平文mの部分的な復号情報である部分復号情報δを生成する。また、復号サーバ4001〜400nは、生成した部分復号情報δを端末装置500に送信する。
さらに、復号サーバ4001〜400nは、署名鍵Sgkを用いれば容易に構成できるが、署名鍵Sgkを用いなければ構成が困難な鍵関連データを抽出できるか否かを検証する機能を有する。本実施形態において、復号サーバ4001〜400nは、署名検証装置を構成する。
端末装置500は、復号サーバ4001〜400nから送信された部分復号情報δを検証する。また、端末装置500は、検証した部分復号情報δを用いて、平文mを復元する。
データ用共通鍵暗号化装置600は、端末装置200によって生成された署名情報vに基づいて生成されたデータ用共通鍵を用いて平文mが暗号化された補強暗号文Cを生成する。また、データ用共通鍵暗号化装置600は、生成した補強暗号文Cを通信先(不図示)に送信する。本実施形態において、データ用共通鍵暗号化装置600は、暗号化装置を構成する。
(暗号システムの機能ブロック構成)
次に、本実施形態に係る暗号システムの機能ブロック構成について説明する。なお、本実施形態では、位数qの群Gにおいて演算を実行するものとする。
また、本実施形態では、素数p(p-1はqを割り切る)に対して、Zp-1の部分群G(位数q)における利用方法を例として説明するが、楕円曲線上でも同様の演算を実行することができる。
さらに、群Gの生成元の一つをg1と定義する。また、特にただし書きがない場合、演算は、mod pにより実行されるものとする。
(1)情報提供サーバ100
図2は、情報提供サーバ100の機能ブロック構成図である。図2に示すように、情報提供サーバ100は、提供情報生成部101、鍵データベース103及び送信部105を備える。
提供情報生成部101は、公開情報pkや分散鍵skなどを生成する。具体的には、提供情報生成部101は、定義域{0, q-1}の範囲内において、一様な確率で値を一つ選択し、選択した値(乱数x)を秘密情報xとする。
提供情報生成部101は、(1式)を用いて、公開鍵(h)を生成する。
Figure 2008135869
また、提供情報生成部101は、所定の方式(例えば、Shamir法)に基づいて、分散鍵skを生成する。具体的には、提供情報生成部101は、秘密情報xを複数(n個)に分散し、複数(n個)の分散鍵sk1,…, ski,…, sknを生成する。
より具体的には、提供情報生成部101は、0<i<tに対して、aiUZLと定義するとともに、a0=xと定義する。なお、“ZX”とは、0以上X未満の整数の集合(ZX=Z/XZ)を表す。また、“X∈UG”は、Gから一様な確率で要素Xを選択することを示す。
提供情報生成部101は、(2式)及び(3式)を用いて、分散鍵sk1,…, ski,…, sknを生成する。
Figure 2008135869
Figure 2008135869
さらに、提供情報生成部101は、(4式)を用いて、複数(n個)の部分復号検証鍵share vk1,…, share vki,…, share vknを生成する。
Figure 2008135869
ここで、νは、群Gの生成元の一つである。
また、提供情報生成部101は、端末装置200において用いられるハッシュ関数H1及びハッシュ関数H2(例えば、SHA-1)を選択することができる。提供情報生成部101は、選択したハッシュ関数H1及びハッシュ関数H2を示す情報(関数情報)を端末装置200などに提供することができる。
さらに、提供情報生成部101は、署名対象データの検証に用いられる検証鍵vk、任意の方法によって定められたシード(例えば、乱数)、平文mの暗号処理及び暗号化された署名対象データの復号処理に用いられる公開鍵及び復号鍵を生成することができる。
鍵データベース103は、提供情報生成部101によって生成された公開情報pk(公開鍵)、分散鍵sk1,…, ski,…, skn及び部分復号検証鍵share vk1,…, share vki,…, share vknなどを格納する。
また、鍵データベース103は、端末装置200において用いられるハッシュ関数H1及びハッシュ関数H2を格納することができる。
送信部105は、鍵データベース103に格納されている情報、具体的には、公開情報pk(公開鍵)、分散鍵sk1,…, ski,…, skn及び部分復号検証鍵share vk1,…, share vki,…, share vkn、シード、復号鍵などの提供情報を、暗号システムを構成する他のサーバなどに送信する。
また、送信部105は、鍵データベース103に格納されているハッシュ関数H1及びハッシュ関数H2を、端末装置200や復号サーバ4001〜400nなどに送信することができる。
(2)端末装置200
図3は、端末装置200の機能ブロック構成図である。図3に示すように、端末装置200は、受信部201、乱数生成部203、暗号文生成部207、検証鍵生成部209、第1ハッシュ値生成部211、第2ハッシュ値生成部213、署名情報生成部215、署名部217及び送信部219を備える。
受信部201は、情報提供サーバ100から公開情報pkを受信する。また、受信部201は、第1ハッシュ値生成部211において用いられるハッシュ関数H1、及び第2ハッシュ値生成部213において用いられるハッシュ関数H2を、情報提供サーバ100から受信することができる。
乱数生成部203は、署名情報vなどの生成に用いられる乱数sを生成する。具体的には、乱数生成部203は、定義域{0, q-1}の範囲内において、一様な確率で値を選択し、選択した値を乱数sとする。
暗号文生成部207は、平文mを暗号化し、暗号文cを生成する。具体的には、暗号文生成部207は、(5式)及び(6式)を用いて演算を実行し、暗号文cを生成する。
Figure 2008135869
Figure 2008135869
ここで、Hは、ハッシュ関数(例えば、SHA-1)を示す。また、*は、排他的論理和を示す。
検証鍵生成部209は、乱数rを用いて、暗号文cの検証に用いられる検証鍵vkを生成する。具体的には、検証鍵生成部209は、(7式)を用いて検証鍵vkを生成する。
Figure 2008135869
ここで、u1が検証鍵vkに相当する。
第1ハッシュ値生成部211は、少なくとも検証鍵vkをハッシュ関数H1(第1のハッシュ関数)に入力し、ハッシュ値hAを生成する。
具体的には、第1ハッシュ値生成部211は、(8式)を用いてハッシュ値hAを生成する。
Figure 2008135869
ここで、g2がハッシュ値hAに相当する。
第2ハッシュ値生成部213は、少なくもハッシュ値hA及び暗号文cをハッシュ関数H2(第2のハッシュ関数)に入力し、ハッシュ値hBを生成する。
具体的には、第2ハッシュ値生成部213は、(9式)を用いてハッシュ値hBを生成する。
Figure 2008135869
ここで、eがハッシュ値hBに相当する。また、第2ハッシュ値生成部213は、(10式)〜(12式)を用いて、w1、w2及びu2を演算する。
Figure 2008135869
Figure 2008135869
Figure 2008135869
署名情報生成部215は、乱数rを用いて、暗号文cに対応する署名情報vを生成する。具体的には、署名情報生成部215は、ハッシュ値hA、ハッシュ値hB及び署名鍵元データSを用いて署名情報vを生成する。
Figure 2008135869
本実施形態では、f及びu2が署名情報vに相当する。
また、署名情報生成部215は、暗号文cなどの生成に用いられるシードを生成する。なお、シードとは、任意の方法によって定められた数字列や文字列などである。本実施形態では、署名情報生成部215は、シードとして乱数rを生成する。具体的には、署名情報生成部215は、乱数生成部203と同様の方法によって、乱数rを生成する。
署名部217は、署名情報vを含む署名σを暗号文cに付加する。具体的には、署名部217は、署名σを(e,u2, f)として、暗号文cに付加する。
さらに、署名部217は、暗号文cに署名σが付加された補強暗号文Cを出力する。なお、補強暗号文Cは、(14式)に示すような構成を有する。
Figure 2008135869
上述した署名情報生成部215は、出力が常に一様分布にしたがって決まり、他の出力と無相関な関数であるランダムオラクルの存在を仮定した場合、検証鍵vkから作成できない情報(例えば、hやu1を用いて実行したしきい値暗号方式にしたがった演算結果)を、検証鍵vk及び署名情報vを用いて抽出できる。
より忠実には、ランダムオラクルの存在を仮定した場合、署名部217は、部分復号情報δを圧倒的に高い確率で抽出できる署名σを付加することができる。
さらに、署名情報生成部215は、検証鍵vkを用いて有効であると判断された署名σと、検証鍵vkとのペアに基づいて、検証鍵vkと同一の検証鍵、さらには、検証鍵vkと異なる他の検証鍵と、署名σとのペアを作成することができない署名情報vを生成することができる。
例えば、通常の署名では、(vk,σ,m)から(vk,σ',m')を得ることができない(ここで、少なくともσ≠σ'もしくはm≠m'の何れかが成立)。本実施形態に係る署名では、(vk,σ,m)から(vk',σ',m')を得ることができない(ここで、少なくともvk', σ', m'は、σ≠σ'、m≠mもしくはvk≠vk'の何れかが成立)。
また、署名部217は、上述したように、e(ハッシュ値hB)及びf(署名情報v)を含む署名σを前記署名対象データに付加することができる。さらに、署名部217は、e(ハッシュ値hB)と、e(ハッシュ値hB)及び乱数rを用いて生成されたf(署名情報v)とを含む署名σを、u1(検証鍵vk)とともに、乱数rを平文mの暗号化における乱数として用いて暗号化された暗号文cに付加することができる。
送信部219は、署名部217によって出力された補強暗号文Cを暗号文管理サーバ300に送信する。
(3)暗号文管理サーバ300
図4は、暗号文管理サーバ300の機能ブロック構成図である。図4に示すように、暗号文管理サーバ300は、受信部301、暗号文管理部303、暗号文データベース305及び送信部307を備える。
受信部301は、端末装置200から補強暗号文Cを受信する。また、受信部301は、復号サーバ4001〜400nから補強暗号文Cの送信要求を受信する。
暗号文管理部303は、受信部301が受信した補強暗号文Cを、送信元の端末装置ごとに管理する。また、暗号文管理部303は、受信部301が受信した補強暗号文Cを暗号文データベース305に格納する。
暗号文データベース305は、受信部301が受信した補強暗号文Cを格納するデータベースである。暗号文データベース305は、受信部301が受信した補強暗号文Cと、当該補強暗号文Cに対応する公開情報pkとを対応付けて格納する。
送信部307は、復号サーバ4001〜400nからの補強暗号文Cの送信要求に応じて、補強暗号文Cを復号サーバ4001〜400nに送信する。
(4)復号サーバ4001〜400n
図5は、復号サーバ4001の機能ブロック構成図である。図4に示すように、復号サーバ4001は、受信部401、検証部403、部分復号情報生成部405、送信部407及び記憶部409を備える。
なお、本実施形態では、復号サーバは複数(400〜400n)設けられており、他の復号サーバも復号サーバ4001と同一の機能ブロック構成を有する。
受信部401は、暗号文管理サーバ300から分散鍵sk及び補強暗号文Cを受信する。また、受信部401は、暗号文c(署名対象データ)、及び暗号文cに対応する署名情報vを取得する。本実施形態において、受信部401は、取得部を構成する。
検証部403は、補強暗号文Cに含まれる暗号文cが正当であることを検証する。具体的には、検証部403は、ハッシュ関数H1と、ハッシュ関数H2と、ハッシュ値hA及びハッシュ値hBを用いて生成され暗号文c(署名対象データ)に付加されている署名σとを用いて暗号文cが正当であることを検証する。
より具体的には、検証部403は、(15式)を用いてg2を求める。
Figure 2008135869
さらに、検証部403は、(16式)を用いて当該演算が成立するか否かを判定する。検証部403は、当該演算が成立する場合、暗号文cが正当であると判定する。
Figure 2008135869
すなわち、検証部403は、ハッシュ関数H1と、ハッシュ関数H2と、ハッシュ値hA及びハッシュ値hBを用いて生成され暗号文cに付加されている署名σと、u1(検証鍵vk)とを用いて、暗号文cが正当であることを検証する。
また、検証部403は、部分復号情報δが正当であることを検証することができる。検証部403は、部分復号情報δが正当であることを証明する正当性証明情報pfを端末装置500に送信することができる。
さらに、検証部403は、他の出力と無相関な関数であるランダムオラクルの存在を仮定した場合、暗号文cと、暗号文cの検証に用いられる検証鍵vkとを用いて、署名鍵Sgkを用いれば容易に構成できるが、署名鍵Sgkを用いなければ構成が困難な鍵関連データzを抽出できるか否かを検証することができる。
具体的には、検証部403は、(16式)が成立するかによって、鍵関連データzを抽出できるか否かを検証する。
部分復号情報生成部405は、部分復号情報δを生成する。具体的には、部分復号情報生成部405は、検証部403によって暗号文cが正当であることが検証されたことに応じて、暗号文cを復号する。具体的には、部分復号情報生成部405は、(17式)を用いて部分復号情報δ(δi)を生成する。
Figure 2008135869
送信部407は、部分復号情報生成部405によって生成された部分復号情報δを端末装置500に送信する。
記憶部409は、ハッシュ関数H1及びハッシュ関数H2を記憶する。なお、本実施形態では、記憶部409にハッシュ関数H1及びハッシュ関数H2に記憶されているが、ハッシュ関数H1及びハッシュ関数H2は、必要なときに、通信ネットワーク10などを介して外部から取得してもよい。
(5)端末装置500
図6は、端末装置500の機能ブロック構成図である。図6に示すように、端末装置500は、受信部501、検証部503、平文復元部505、送信部507、出力部509及び記憶部511を備える。
受信部501は、復号サーバ4001〜400nのそれぞれによって復号された部分復号情報δを、復号サーバ4001〜400nから受信する。すなわち、受信部501は、平文mが暗号化された暗号文cの少なくとも一部分を復号することによって生成された複数の部分復号情報δ(δ1〜δn)を受信する。
また、受信部501は、部分復号情報δが正当であることを示す正当性証明情報pfを、復号サーバ4001〜400nから受信する。さらに、受信部501は、情報提供サーバ100から部分復号検証鍵share vk1,…, share vki,…, share vknを受信する。
検証部503は、部分復号情報δ(δ1〜δn)が正当であることを検証する。具体的には、検証部503は、ハッシュ関数H1と、ハッシュ関数H2と、ハッシュ値hA及びハッシュ値hBを用いて生成され暗号文c(署名対象データ)に付加されている署名σと、部分復号検証鍵share vk1,…, share vki,…, share vknとを用いて、部分復号情報δ(δ1〜δn)が正当であることを検証する。
より具体的には、検証部503は、上述した非特許文献1に記載されている方法にしたがって、部分復号検証鍵share vk1,…, share vki,…, share vknのそれぞれと、それらの生成元νと、正当性証明情報pfとを用いて、複数の部分復号情報δ1〜δnのそれぞれを検証する。
平文復元部505は、検証部503によって暗号文cが正当であることが検証されたことに応じて、受信部501が受信した部分復号情報δ(δ1〜δn)を結合し、平文mを復元する。具体的には、平文復元部505は、(18式)及び(19式)を用いて平文mを復元する。
Figure 2008135869
Figure 2008135869
送信部507は、補強暗号文Cの送信要求を暗号文管理サーバ300に送信する。また、送信部507は、補強暗号文Cの復号要求を復号サーバ4001〜400nに送信する。
出力部509は、平文復元部505によって復元された平文mを出力、例えば、表示部(不図示)に表示したり、文書ファイルとして生成したりすることができる。
記憶部511は、ハッシュ関数H1及びハッシュ関数H2を記憶する。なお、本実施形態では、記憶部511にハッシュ関数H1及びハッシュ関数H2に記憶されているが、ハッシュ関数H1及びハッシュ関数H2は、必要なときに、通信ネットワーク10などを介して外部から取得してもよい。
(6)データ用共通鍵暗号化装置
図7は、データ用共通鍵暗号化装置600の機能ブロック構成図である。図7に示すように、データ用共通鍵暗号化装置600は、受信部601、暗号文生成部603、暗号データ出力部605、補強暗号文出力部607、検証鍵出力部609及び送信部611を備える。
受信部601は、他の装置(不図示)から暗号化される平文m(暗号化対象データ)などを受信する。
暗号文生成部603は、平文mを暗号化し、暗号文cを生成する。具体的には、暗号文生成部603は、暗号文生成部207と同様に、(5式)及び(6式)を用いて演算を実行し、暗号文cを生成する。
暗号データ出力部605は、署名鍵Sgkの元となる署名鍵元データSを生成し、暗号化対象データ(平文m)の暗号化に用いられるデータ用共通鍵kを暗号化した暗号データhを出力する。具体的には、暗号データ出力部605は、(5式)〜(14式)の演算を実行する。なお、本実施形態では、署名鍵Sgkと署名鍵元データSとは、同一である。
補強暗号文出力部607は、暗号文c(署名対象データ)、暗号文cに対応する署名情報v及び暗号データhを含む補強暗号文Cを出力する。具体的には、補強暗号文出力部607は、(14式)によって補強暗号文Cを出力する。
なお、署名情報vは、他の出力と無相関な関数であるランダムオラクルの存在を仮定した場合、暗号文cと、暗号文cの検証に用いられる検証鍵vkとを用いて、署名鍵Sgkを用いれば容易に構成できるが署名鍵Sgkを用いなければ構成が困難な鍵関連データzを抽出できるように構成される。
検証鍵出力部609は、少なくとも暗号データhを入力として暗号文c(署名対象データ)、及び暗号文cの検証に用いられる検証鍵vkを出力する。なお、検証鍵出力部609は、暗号データh自体を検証鍵vkとして出力してもよい。
送信部611は、補強暗号文出力部607が出力した補強暗号文Cを通信先(不図示)に送信する。
(暗号システムの動作)
次に、上述した暗号システムの動作について説明する。具体的には、(1)鍵生成処理、(2)暗号化処理、(3)復号及び復元処理、及び(4)データ用共通鍵を用いた補強暗号文Cの生成及び送信処理の内容について説明する。
(1)鍵生成処理
図8は、暗号システムの全体概略シーケンス図である。まず、鍵生成処理について説明する。図8に示すように、ステップS10において、情報提供サーバ100は、暗号システムを構成する他の装置に提供される提供情報を生成する。
具体的には、情報提供サーバ100は、公開情報pk(公開鍵)、分散鍵sk1,…, ski,…, skn及び部分復号検証鍵share vk1,…, share vki,…, share vknを生成する。
ステップS20において、情報提供サーバ100は、生成した公開情報pkを端末装置200、暗号文管理サーバ300、復号サーバ4001〜400n及び端末装置500にそれぞれ送信する。
ステップS30において、情報提供サーバ100は、生成した分散鍵sk1,…, ski,…, sknを復号サーバ4001〜400nに送信する。例えば、情報提供サーバ100は、分散鍵sk1を復号サーバ4001に送信する。
ステップS40において、情報提供サーバ100は、生成した部分復号検証鍵share vk1,…, share vki,…, share vknを端末装置500に送信する。
(2)暗号化処理
次に、暗号化処理について説明する。図8に示すように、ステップS100において、端末装置200は、平文mの暗号化処理を実行する。具体的には、端末装置200は、図9に示す暗号化処理フローにしたがって、平文mの暗号化処理を実行する。
図9に示すように、ステップS101において、端末装置200は、署名鍵元データSを選択する。
ステップS103において、端末装置200は、(5式)を用いて、べき乗演算を実行する。
ステップS105において、端末装置200は、(7式)を用いた演算を実行し、u1(検証鍵vk)を生成する。
ステップS107において、端末装置200は、(8式)を用いた演算を実行し、g2(ハッシュ値hA)を演算する。
ステップS109において、端末装置200は、(11式)を用いて、u2を演算する。
ステップS111において、端末装置200は、乱数sを選択する。
ステップS113において、端末装置200は、(10式)を用いて、w1を演算する。
ステップS115において、端末装置200は、(11式)を用いて、w2を演算する。
なお、ステップS101〜S115の処理順序は、必ずしも図9に示したフローにしたがう必要はない。また、ステップS101〜S115の処理は、平文mが決定する前に、予め実行することができる。
ステップS117において、端末装置200は、(6式)を用いた演算を実行し、暗号文cを生成する。
ステップS119において、端末装置200は、(9式)を用いた演算を実行し、e(ハッシュ値hB)を生成する。
ステップS121において、端末装置200は、(13式)を用いた演算を実行し、f(署名情報v)を生成する。
ステップS123において、端末装置200は、(14式)を用いた演算を実行し、補強暗号文Cを生成する。
次に、図8に示すように、ステップS200において、端末装置200は、生成した補強暗号文Cを暗号文管理サーバ300に送信する。
ステップS210において、暗号文管理サーバ300は、受信した補強暗号文Cを格納する。
(3)復号及び復元処理
次に、復号及び復元処理について説明する。図8に示すように、ステップS220において、端末装置500は、補強暗号文Cの送信要求を暗号文管理サーバ300に送信する。
ステップS230において、暗号文管理サーバ300は、当該送信要求に基づいて、格納している補強暗号文Cを端末装置500に送信する。なお、ステップS220及びS230の処理は省略しても構わない。
ステップS240において、端末装置500は、補強暗号文Cに含まれる暗号文cの復号要求を復号サーバ4001〜400nに送信する。
ステップS250において、復号サーバ4001〜400は、当該復号要求に基づいて、補強暗号文Cの送信要求を暗号文管理サーバ300に送信する。
ステップS260において、暗号文管理サーバ300は、当該送信要求に基づいて、格納している補強暗号文Cを端末装置500に送信する。
ステップS270において、復号サーバ4001〜400nは、補強暗号文Cに含まれる暗号文cの正当性を検証する。具体的には、復号サーバ4001〜400nは、図10に示すフローにしたがって正当性検証処理と復号処理を実行する
図10に示すように、ステップS271において、復号サーバ(例えば、復号サーバ4001)は、(15式)を用いてg2を求める。ステップS273において、復号サーバは、(16式)を用いてe'を求める。
ステップS275において、復号サーバは、当該演算が成立するか否かを判定する。当該演算が成立する場合(ステップS275のYES)、ステップS277において、復号サーバは、暗号文cが正当であると判定し、暗号文cを復号する。
一方、当該演算が成立しない場合(ステップS275のNO)、ステップS279において、復号サーバは、暗号文cが正当でないと判定し、Invalid symbolを出力する。
さらに、復号サーバ4001〜400nは、他の出力と無相関な関数であるランダムオラクルの存在を仮定した場合、暗号文cと、暗号文cの検証に用いられる検証鍵vkとを用いて、署名鍵Sgkを用いれば容易に構成できるが、署名鍵Sgkを用いなければ構成が困難な鍵関連データzを抽出できるか否かを検証することができる。具体的には、復号サーバ4001〜400nは、(16式)が成立するかによって、鍵関連データzを抽出できるか否かを検証する。
次いで、図8に示すように、ステップS280において、復号サーバ4001〜400nは、部分復号情報δ(δ1〜δn)を生成する。具体的には、復号サーバ4001〜400nのそれぞれは、(17式)を用いて部分復号情報δを生成する。
ステップS290において、復号サーバ4001〜400nは、生成した部分復号情報δ(δ1〜δn)を端末装置500に送信する。
ステップS300において、端末装置500は、受信した部分復号情報δ(δ1〜δn)の正当性を検証する。具体的には、端末装置500は、(18式)を用いて演算を実行し、部分復号検証鍵share vk1,…, share vki,…, share vknのそれぞれと、それらの生成元νと、正当性証明情報pfとを用いて、複数の部分復号情報δ1〜δnのそれぞれを検証する。
ステップS310において、端末装置500は、部分復号情報δ(δ1〜δn)を結合し、(19式)を用いて平文mを復元する。
(4)データ用共通鍵を用いた補強暗号文Cの生成及び送信処理
図11は、データ用共通鍵を用いた補強暗号文Cの生成及び送信処理フローを示す。図11に示すように、ステップS410において、データ用共通鍵暗号化装置600は、署名鍵元データSを生成するとともに、生成した署名鍵元データSを用いて暗号データhを生成する。具体的には、データ用共通鍵暗号化装置600は、(5式)〜(14式)の演算を実行する。
ステップS420において、データ用共通鍵暗号化装置600は、暗号文c、暗号文cに対応する署名情報v及び暗号データhを含む補強暗号文Cを出力する。具体的には、データ用共通鍵暗号化装置600は、(14式)によって補強暗号文Cを出力する。
ステップS430において、データ用共通鍵暗号化装置600は、補強暗号文Cを通信先(不図示)に送信する。
(変更例1)
上述した本発明の実施形態では、Diffie-Hellman(DH)に基づくしきい値暗号方式を例として説明したが、例えば、RSAに基づくしきい値暗号方式にも本発明を適用することができる。また、これらのしきい値暗号方式に基づいて、一般的な公開鍵暗号方式において用いられる情報(秘密鍵や公開鍵)を構成することもできる。
例えば、RSAの場合、鍵生成としてはじめにΛ/2ビットの素数p, qを生成する。ここで、セキュリティパラメータΛ2を導入する。また、gcd(e, φ(N)) = 1 となるような整数eを選択する。暗号文の生成は以下のように実行する。まず、0からN-1までの範囲で一様な確率で乱数sを演算し、h = seとなるhを求める。検証鍵はhになり、これらを用いて、以下の演算を実行する。
署名σ = (u, v)は以下のように生成する。平文のビット数を“l”(エル)としてハッシュ関数は(20式)のように定義する。また、特にただし書きがない場合、演算はmod Nにより実行されるものとする。
Figure 2008135869
まず、(21式)による演算を実行する。次いで、乱数rj(j = 1, 2, . . .,Λ2)、(22式)及び(23式)を用いて、コミット値CTを演算する。
Figure 2008135869
Figure 2008135869
Figure 2008135869
次に、(24式)を用いて、チャレンジctを得る。
Figure 2008135869
さらに、(25式)を用いて、レスポンスRを返す。また、暗号文は、(26式)に示すような構成となる。
Figure 2008135869
Figure 2008135869
検証は以下のように実行する。まず、(27式)による演算を実行する。
Figure 2008135869
次に、(28式)が成立するか否かを判定する。なお、sの抽出は、Hの監視により可能となることにより安全性の証明を実行する。
Figure 2008135869
なお、暗号文が正しい場合、hを部分復号し、部分復号情報を出力する。部分復号、部分復号情報の検証及び復号処理の方法は、「P.-A.Fouque, G.Poupard and J.Stern, "Sharing Decryption in the Context of Voting or Lotteries," Financial Cryptography 2000, pp.90-104, 2000」において紹介されている方法を用いることができる。
(変更例2)
上述した実施形態では、(16式)が成立するか否かによって鍵関連データzを抽出できるか否かを検証したが、鍵関連データzを抽出できるか否かの検証は、以下のように変更することができる。すなわち、他の出力と無相関な関数であるランダムオラクルの存在を仮定した場合において、出力g2(式8参照)をhaと決めてもよい。ここで、aは、ランダムに選択され、第1ハッシュ値生成部211に記憶される。
この場合、(11式)において、u2を1/a乗することによって得られるhSを鍵関連データzとして用いる。
(変更例3)
上述した実施形態では、他の出力と無相関な関数であるランダムオラクルの存在を仮定した場合を所定の条件としたが、所定の条件は、以下のように変更することができる。すなわち、ランダムオラクルの存在を仮定した場合に代えて、暗号システムにおいて用いられる少なくとも一部のシステムパラメータparamsの一部、例えば、g2を任意に決定できる場合とすることができる。
この場合、(8式)及び(15式)は用いられず、g2が固定値となる。具体的には、g2は、haと決められる。また、(9式)及び(16式)において、ハッシュ関数H2への入力にu1が追加される。
また、この場合、上述した変更例2と同様に、(11式)において、u2を1/a乗することによって得られるhSを鍵関連データとして用いる。
(変更例4)
上述した実施形態では、他の出力と無相関な関数であるランダムオラクルの存在を仮定した場合を所定の条件としたが、所定の条件は、さらに以下のように変更することができる。すなわち、ランダムオラクルの存在を仮定した場合に代えて、署名情報vの生成に用いられるハッシュ関数H(20式及び22式参照)への入力値、及び当該入力値に対応するハッシュ関数Hからの出力値を取得できる場合とすることができる。
この場合、(22式)において、C0j及びC1jに入力されるhと、re jとを共通とする。hと、re jとを共通とすると、rj及びRjSが得られる。RjSをrjで除算することによって得られるSを鍵関連データとして用いる。
(作用・効果)
以上説明した本実施形態に係る暗号システムによれば、所定の条件の下(例えば、ランダムオラクルの存在を仮定した場合)、暗号文c(署名対象データ)と、暗号文cの検証に用いられる検証鍵vkとを用いて、署名鍵Sgkを用いれば容易に構成できるが署名鍵Sgkを用いなければ構成が困難な鍵関連データzを抽出できるか否かが検証される。このため、選択暗号文攻撃における安全性の証明において、鍵関連データzの抽出を何度も行ってもすべての鍵関連データzを抽出できる確率が小さくなることを回避しつつ、暗号文cの安全性を検証することができる。
上述した非特許文献1において開示されている方法では、署名データから電子署名に用いられる署名鍵Sgkに関連する鍵関連データzを略1の確率で抽出できるという実際とは異なる仮定を用いている。しかしながら、このような仮定を満たすことは現実的には不可能である。つまり、実際には、有り得ない仮定の下で暗号方式の安全性を証明しているため、真に当該暗号方式の安全性を証明していることにはならない。
本実施形態では、所定の条件の下(例えば、ランダムオラクルの存在を仮定した場合)、鍵関連データzを略1の確率で抽出できる(つまり、無視できる程度の確率でしか抽出が失敗しない)署名データを用いているため、鍵関連データの抽出が何度も行われても、すべての鍵関連データを抽出できる確率が小さくならないのである。つまり、鍵関連データの抽出が何度も行われる場合でも暗号方式の安全性を示すことができる。
また、本実施形態では、署名データを他のプロトコル(暗号化、認証または二重に署名を行う場合)と併用しても鍵関連データzを略1の確率で抽出できる。このため、暗号方式の安全性を確実に示しつつ、多様な要求に柔軟に対応することができる。
さらに、本実施形態では、署名データから鍵関連データzを略1の確率で抽出できる。一般的に、署名データから鍵関連データzを略1の確率で抽出できる署名は、署名データから鍵データ、つまり、署名鍵Sgkを略1の確率で抽出できる署名よりも、構成が簡単になる。構成が簡単になれば、署名に関する演算量や署名データのサイズを抑制することができる。
(その他の実施形態)
上述したように、本発明の一実施形態を通じて本発明の内容を開示したが、この開示の一部をなす論述及び図面は、本発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態が明らかとなろう。
例えば、上述した本発明の実施形態では、端末装置200は、無線通信端末装置としたが、端末装置200は、携帯情報端末(PDA)やICカードであってもよい。
上述した本発明の実施形態では、暗号文管理サーバ300を介して補強暗号文Cを送受信する形態としたが、端末装置200は、暗号文管理サーバ300を用いずに、復号サーバ4001〜400nに直接補強暗号文Cを送信するようにしてもよい。さらに、復号サーバ4001〜400nが端末装置500の機能を兼ね備え、平文mを復元するようにしてもよい。
また、端末装置200の機能及び端末装置500の機能を1台の端末装置に具備してもよい。或いは、端末装置200の機能及びデータ用共通鍵暗号化装置600の機能を1台の端末装置に具備してもよい。さらに、上述した暗号システムを構成する各装置の機能は、コンピュータや通信端末装置において実行可能なプログラムとしても提供することもできる。
上述した本発明の実施形態では、乱数rを用いて暗号化された暗号文cを署名対象データとしていて、かつ乱数rをシードとして用いているが、暗号化されていない署名対象データに署名σを付加してもよい。
このように、本発明は、ここでは記載していない様々な実施の形態などを含むことは勿論である。したがって、本発明の技術的範囲は、上述の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
本発明の実施形態に係る暗号システムの全体概略構成図である。 本発明の実施形態に係る情報提供サーバの機能ブロック構成図である。 本発明の実施形態に係る端末装置(暗号化側)の機能ブロック構成図である。 本発明の実施形態に係る暗号文管理サーバの機能ブロック構成図である。 本発明の実施形態に係る復号サーバの機能ブロック構成図である。 本発明の実施形態に係る端末装置(復元側)の機能ブロック構成図である。 本発明の実施形態に係る暗号化装置の機能ブロック構成図である。 本発明の実施形態に係る暗号システムの全体概略シーケンス図である。 本発明の実施形態に係る端末装置(暗号化側)における暗号化処理フローである。 本発明の実施形態に係る復号サーバにおける正当性検証処理と復号処理のフローである。 本発明の実施形態に係る暗号化装置におけるデータ用共通鍵を用いた補強暗号文の生成及び送信処理フローである。
符号の説明
10…通信ネットワーク、11A,11B…無線基地局、100…情報提供サーバ、101…提供情報生成部、103…鍵データベース、105…送信部、200…端末装置、201…受信部、205…乱数生成部、207…暗号文生成部、209…検証鍵生成部、211…第1ハッシュ値生成部、213…第2ハッシュ値生成部、215…署名情報生成部、217…署名部、219…送信部、300…暗号文管理サーバ、301…受信部、303…暗号文管理部、305…暗号文データベース、307…送信部、400〜400…復号サーバ、401…受信部、403…検証部、405…部分復号情報生成部、407…送信部、409…記憶部、500…端末装置、501…受信部、503…検証部、505…平文復元部、507…送信部、509…出力部、511…記憶部、600…データ用共通鍵暗号化装置、601…受信部、603…暗号文生成部、605…暗号データ出力部、607…補強暗号文出力部、609…検証鍵出力部、611…送信部

Claims (4)

  1. 所定の暗号方式にしたがった暗号システムにおいて用いられる署名検証装置であって、
    署名対象データ、及び前記署名対象データに対応する署名情報を取得する取得部と、
    所定の条件において、前記署名対象データと前記署名対象データの検証に用いられる検証鍵とを用いて、署名鍵を用いれば容易に構成できるが前記署名鍵を用いなければ構成が困難な鍵関連データを略1の確率で抽出できるか否かを検証する検証部と
    を備え、
    前記所定の条件は、
    前記暗号システムにおいて用いられる少なくとも一部のシステムパラメータを任意に決定できる場合、
    前記署名情報の生成に用いられるハッシュ関数への入力値、及び前記入力値に対応する前記ハッシュ関数からの出力値を取得できる場合、または、
    出力が常に一様分布にしたがって決まり、他の出力と無相関な関数であるランダムオラクルの存在を仮定した場合、
    のうち、少なくとも何れかである署名検証装置。
  2. 所定の暗号方式にしたがった暗号システムにおいて用いられる暗号化装置であって、
    署名鍵の元となる署名鍵元データを用いて、暗号化対象データの暗号化に用いられるデータ用共通鍵を暗号化した暗号データを出力する暗号データ出力部と、
    署名対象データ、前記署名対象データに対応する署名情報及び前記暗号データを含む補強暗号文を出力する補強暗号文出力部と、
    少なくとも前記暗号データを入力として前記署名対象データ、及び前記署名対象データの検証に用いられる検証鍵を出力する検証鍵出力部と
    を備え、
    前記署名情報は、所定の条件において、前記署名対象データと前記署名対象データの検証に用いられる前記検証鍵とを用いて、前記署名鍵を用いれば容易に構成できるが前記署名鍵を用いなければ構成が困難な鍵関連データを略1の確率で抽出できるように構成され、
    前記所定の条件は、
    前記暗号システムにおいて用いられる少なくとも一部のシステムパラメータを任意に決定できる場合、
    前記署名情報の生成に用いられるハッシュ関数への入力値、及び前記入力値に対応する前記ハッシュ関数からの出力値を取得できる場合、または、
    出力が常に一様分布にしたがって決まり、他の出力と無相関な関数であるランダムオラクルの存在を仮定した場合、
    のうち、少なくとも何れかである暗号化装置。
  3. 所定の暗号方式にしたがった暗号システムにおいて用いられる署名検証方法であって、
    署名対象データ、及び前記署名対象データに対応する署名情報を取得するステップと、
    所定の条件において、前記署名対象データと前記署名対象データの検証に用いられる検証鍵とを用いて、署名鍵を用いれば容易に構成できるが前記署名鍵を用いなければ構成が困難な鍵関連データを略1の確率で抽出できるか否かを検証するステップと
    を備え、
    前記所定の条件は、
    前記暗号システムにおいて用いられる少なくとも一部のシステムパラメータを任意に決定できる場合、
    前記署名情報の生成に用いられるハッシュ関数への入力値、及び前記入力値に対応する前記ハッシュ関数からの出力値を取得できる場合、または、
    出力が常に一様分布にしたがって決まり、他の出力と無相関な関数であるランダムオラクルの存在を仮定した場合、
    のうち、少なくとも何れかである署名検証方法。
  4. 所定の暗号方式にしたがった暗号システムにおいて用いられる暗号化方法であって、
    署名鍵の元となる署名鍵元データを用いて、暗号化対象データの暗号化に用いられるデータ用共通鍵を暗号化した暗号データを出力するステップと、
    署名対象データ、前記署名対象データに対応する署名情報及び前記暗号データを含む補強暗号文を出力するステップと
    を備え、
    前記署名情報は、所定の条件において、前記署名対象データと前記署名対象データの検証に用いられる検証鍵とを用いて、前記署名鍵を用いれば容易に構成できるが前記署名鍵を用いなければ構成が困難な鍵関連データを略1の確率で抽出できるように構成され、
    前記所定の条件は、
    前記暗号システムにおいて用いられる少なくとも一部のシステムパラメータを任意に決定できる場合、
    前記署名情報の生成に用いられるハッシュ関数への入力値、及び前記入力値に対応する前記ハッシュ関数からの出力値を取得できる場合、または、
    出力が常に一様分布にしたがって決まり、他の出力と無相関な関数であるランダムオラクルの存在を仮定した場合、
    のうち、少なくとも何れかである暗号化方法。
JP2006319129A 2006-11-27 2006-11-27 署名検証装置、暗号化装置、署名検証方法及び暗号化方法 Expired - Fee Related JP4960688B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006319129A JP4960688B2 (ja) 2006-11-27 2006-11-27 署名検証装置、暗号化装置、署名検証方法及び暗号化方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006319129A JP4960688B2 (ja) 2006-11-27 2006-11-27 署名検証装置、暗号化装置、署名検証方法及び暗号化方法

Publications (2)

Publication Number Publication Date
JP2008135869A true JP2008135869A (ja) 2008-06-12
JP4960688B2 JP4960688B2 (ja) 2012-06-27

Family

ID=39560418

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006319129A Expired - Fee Related JP4960688B2 (ja) 2006-11-27 2006-11-27 署名検証装置、暗号化装置、署名検証方法及び暗号化方法

Country Status (1)

Country Link
JP (1) JP4960688B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021072593A (ja) * 2019-11-01 2021-05-06 富士通株式会社 暗号処理システム及び暗号処理方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005321719A (ja) * 2004-05-11 2005-11-17 Ntt Docomo Inc 通信システム、復号装置、復元装置、鍵生成装置及び通信方法
JP2006227411A (ja) * 2005-02-18 2006-08-31 Ntt Docomo Inc 通信システム、暗号化装置、鍵生成装置、鍵生成方法、復元装置、通信方法、暗号化方法、暗号復元方法
JP2006319485A (ja) * 2005-05-10 2006-11-24 Ntt Docomo Inc 署名装置、署名暗号化装置、検証装置、復号装置、復元装置、情報提供装置、通信システム、署名方法、署名暗号化方法及び検証方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005321719A (ja) * 2004-05-11 2005-11-17 Ntt Docomo Inc 通信システム、復号装置、復元装置、鍵生成装置及び通信方法
JP2006227411A (ja) * 2005-02-18 2006-08-31 Ntt Docomo Inc 通信システム、暗号化装置、鍵生成装置、鍵生成方法、復元装置、通信方法、暗号化方法、暗号復元方法
JP2006319485A (ja) * 2005-05-10 2006-11-24 Ntt Docomo Inc 署名装置、署名暗号化装置、検証装置、復号装置、復元装置、情報提供装置、通信システム、署名方法、署名暗号化方法及び検証方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021072593A (ja) * 2019-11-01 2021-05-06 富士通株式会社 暗号処理システム及び暗号処理方法
JP7318490B2 (ja) 2019-11-01 2023-08-01 富士通株式会社 暗号処理システム及び暗号処理方法

Also Published As

Publication number Publication date
JP4960688B2 (ja) 2012-06-27

Similar Documents

Publication Publication Date Title
US7899184B2 (en) Ends-messaging protocol that recovers and has backward security
JP4962317B2 (ja) 電子入札システムおよび電子入札方法
US11870891B2 (en) Certificateless public key encryption using pairings
EP3709566B1 (en) Key exchange device, key exchange system, key exchange method, and key exchange program
CN110545169B (zh) 基于非对称密钥池和隐式证书的区块链方法和系统
CN110784314A (zh) 无证书的加密信息处理方法
WO2022167163A1 (en) Threshold key exchange
JP6468567B2 (ja) 鍵交換方法、鍵交換システム
US20190294417A1 (en) Method and system for deriving deterministic prime number
JP6368047B2 (ja) 鍵交換方法、鍵交換システム、鍵配送装置、代表通信装置、一般通信装置、およびプログラム
EP3010173B1 (en) Key storage device, key storage method, and program therefor
KR100396740B1 (ko) 계산적 디피-헬만 가정에 기반하는 안전성 증명 가능한공개키 암호화 방법
KR20040009766A (ko) 암호 시스템에서 송수신 장치 및 방법
JP4288184B2 (ja) 鍵更新方法、暗号システム、暗号サーバ、端末装置及び外部装置
US20220038267A1 (en) Methods and devices for secured identity-based encryption systems with two trusted centers
JP4758110B2 (ja) 通信システム、暗号化装置、鍵生成装置、鍵生成方法、復元装置、通信方法、暗号化方法、暗号復元方法
KR101695361B1 (ko) 페어링 연산 및 비밀키를 이용한 술어 암호화 방법
JP4856933B2 (ja) 署名装置、検証装置、復号装置、平文復元装置、情報提供装置、署名システム、通信システム、鍵生成装置及び署名方法
JP4960688B2 (ja) 署名検証装置、暗号化装置、署名検証方法及び暗号化方法
JP4563037B2 (ja) 暗号化装置および復号化装置、並びにこれらを備えた暗号システム、暗号化方法および復号化方法
JP2011091517A (ja) サインクリプションシステムおよびサインクリプション生成方法
JP2005176144A (ja) 端末装置、通信システム及び通信方法
JP2006319485A (ja) 署名装置、署名暗号化装置、検証装置、復号装置、復元装置、情報提供装置、通信システム、署名方法、署名暗号化方法及び検証方法
JP4146252B2 (ja) 不正者特定可能な匿名通信方法、それに使用される利用者装置、及び中継サーバ装置
JP2005198187A (ja) 暗号方法、暗号システム及び端末装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091002

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120228

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120323

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150330

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4960688

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees