JP3560860B2 - 秘密分散システム、装置及び記憶媒体 - Google Patents
秘密分散システム、装置及び記憶媒体 Download PDFInfo
- Publication number
- JP3560860B2 JP3560860B2 JP20989199A JP20989199A JP3560860B2 JP 3560860 B2 JP3560860 B2 JP 3560860B2 JP 20989199 A JP20989199 A JP 20989199A JP 20989199 A JP20989199 A JP 20989199A JP 3560860 B2 JP3560860 B2 JP 3560860B2
- Authority
- JP
- Japan
- Prior art keywords
- partial
- institutions
- result
- mod
- secret key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
Description
【発明の属する技術分野】
本発明は、素因数分解問題に基づく暗号系の秘密分散システム、装置及び記憶媒体に係り、特に、n個の機関に秘密鍵を秘密分散し、その中の任意のt個の機関により、秘密鍵を算出せずに分散復号及び署名を実現し得る秘密分散システム、装置及び記憶媒体に関する。
【0002】
【従来の技術】
従来、素因数分解問題に基づく暗号系として、例えばRSA暗号系を用いた秘密分散の分野では、しきい値法と呼ばれる秘密分散方式がある。ここで、しきい値法は、秘密情報をn個の部分情報に分散したとき、n個中のt個の部分情報により秘密情報を完全に復元するが、t−1個の部分情報では秘密情報を全く復元できないという、しきい値tを境にした秘密情報の復元特性をもっている(なお、1<t<n)。
【0003】
この種の秘密分散方式としては、RSA暗号系に、しきい値法の概念を導入し、秘密鍵を(t,n)型で秘密分散させる(t,n)型の秘密分散方式が知られている(Y. Frankel, P. Gemmell, P. D. MacKenzie and M. Yung, Optimal−resilience proactive public−key cryptosystems, 38th Annual Symposium on Foundations of Computer Science, pp. 384−393, 1997.(以下、文献[FGMY97]という)、及びT. Okamoto, Threshold key−recovery systems for RSA, Security Protocols, LNCS 1361, pp. 191−200, 1997. (以下、文献[Oka97]という))。
【0004】
中でも、文献[FGMY97]は、ディーラー(分配者)の存在する環境において、秘密鍵dを算出せずに、任意t個の機関で復号や署名の可能な方式を示している。すなわち、合成数Nの異なる素因数を知るディーラーが、素因数を知らなくても任意のt個の部分情報で復号や署名の可能な秘密鍵dを作成可能な方式である。
【0005】
一方、ディーラーの存在しない環境において、しきい値法ではなく、全ての機関で鍵生成を行う(n,n)型の秘密分散方式が知られている(D. Boneh and M. Franklin, Efficient generation of shared RSA keys, Advances in Cryptology−CRYPTO 97, LNCS 1294, pp. 425−439, 1997.(以下、文献[BF97]という))。
【0006】
文献[BF97]の方式では、鍵生成を実行すると、秘密鍵dに対して(n,n)型の秘密分散が同時に行われる。また、保持する部分情報を用いた全ての機関からの部分出力を合成することにより、秘密鍵dを算出せずに暗号文を復号可能となっている。
【0007】
詳しくは、文献[BF97]では、以下にアルゴリズムを示すように、(2,2)型の秘密分散から(2,n)型の秘密分散(n≧3を効率的に構築する方式が述べられている。
【0008】
なお、説明の簡単のため、秘密鍵dを知るユーザがいて、このユーザが秘密鍵dを(2,n)型で秘密分散すると仮定する。また、機関Pの総数nに対し、部分情報の組合せを示す秘密分散多項式の個数は、r+1であるとし、r=「log n」であるとする(本明細書中、「」は、その括弧内の値以上の最小の整数を示す)。
【0009】
まず、ユーザは、(2,2)型の秘密分散をr+1回実行するため、r+1個の独立多項式d=d0,0 +d0,1 =d1,0 +d1,1 =…=dr,0 +dr,1 を個別に作成する。
【0010】
次に、総数nの機関における個々の機関の識別番号をzとし(z∈[0,n])、識別番号zの2進表示をz(2)=βr βr−1 … β0とする。ユーザは、0番目〜n番目の全ての機関P0〜Pn を対象とし、順次、z番目の機関Pzに、r+1個の部分情報:{dr, β r,dr−1, β r−1,…,d0, β 0 }を送る。これにより、全ての機関P0〜Pn には、識別番号zの2進表示に対応する部分情報の集合が配送される。
【0011】
配送完了後、機関の番号を唯一に設定することで、任意の2個の機関Pi,Pj(i≠j)は、r+1個の(2,2)型の部分情報のうち、番号z(2)で互いにビットβの異なる同一桁iの部分情報(di,0 ,di,1 )から、秘密鍵dを復元可能となっている(di,0 +di,1 =d)。
【0012】
次に、上述した(2,2)型から(2,n)型の秘密分散を構築する方式のように、秘密分散の型を拡張するための関連技術について述べる。
この種の技術としては、(t,l)型を用いた(t,lm)型の秘密分散方式がある(S. R. Blackburm, M. Burmester, Y. Desmedt and P. R. Wild, Efficient multiplicative sharing schemes, Advances in Cryptology−EURO−CRYPT 96, pp. 107−118, 1996.(以下、文献[BBDW96]という))。但し、文献[BBDW96]の方式は、正の整数mに対し、次の(1)式を満たすlに関するものである。
【0013】
【数1】
【0014】
t=2 b≧1 → l≧1
t=3 b≧3 → l≧3
t=4 b≧6 → l≧6
となり、t≧4ではt<lとなる。すなわち、t≧4では、(t,t)型を用いた(t,n)型の秘密分散方式を構築不可能となっている。
【0015】
このため、以下では、同文献[BBDW96]における(3,3)型を用いた(3,33)型の秘密分散方式を説明する。m=2,l=3,t=3とし、(2)式に示すように、bを算出する。
【0016】
【数2】
【0017】
まず、(3,3)型の秘密分散をb+1=4回実行し、(3)式に示すように、秘密鍵dに対する4つの独立多項式を構築する。
【0018】
また、f(x)=a0 +a1 X (mod 3)とする。
【0019】
ここで、同文献[BBDW96]では、最終的な機関(ここでは32 個の機関)の集合をP´としたとき、f(X)は(4)式のように記載される(pp.113の1行目、なお、式中の“d”は、本明細書中では“m”と表記した)。
【0020】
【数3】
【0021】
しかしながら、この(4)式は、次の(5)式の誤りと推測される。
【0022】
【数4】
【0023】
但し、a0,a1∈F3であり、f(∞)=a1とする。
【0024】
f1 (x)=0 (mod 3)
f2 (x)=1 (mod 3)
f3 (x)=2 (mod 3)
f4 (x)=0+X (mod 3)
f5 (x)=1+X (mod 3)
f6 (x)=2+X (mod 3)
f7 (x)=0+2X (mod 3)
f8 (x)=1+2X (mod 3)
f9 (x)=2+2X (mod 3)
各機関fjは(d0,fj( ∞ ) ,d1,fj(0) ,d2,fj(1) ,d3,fj(2) )を持つ。具体的に各機関に保管される部分情報の集合は図12に示す通りであり、機関の組合せと対象の部分情報は図13に示す通りである。
【0025】
図12に示すように、例えば機関f1 ,f4 ,f8 (2行目)で分散復号を行う際は、X=∞に対応する部分情報を取り出す。それぞれ(d0,0 ,d0,1 ,d0,2 )による計算を行い、秘密鍵dに相当する出力を算出可能となっている。
【0026】
また、図13中、a〜lのいずれかのアルファベット符号の付された組合せは、各機関の同一の組合せにおいて、秘密鍵dに相当する出力の算出ルートが3種類あることを示している(なお、図13中の“d”は単なるアルファベット符号であり、秘密鍵dではない)。例えば符号bの付された機関の組合せ(f1 ,f2 ,f3 )では、X=0,1,2の何れでも秘密鍵dを回復する3個の部分情報を揃えることが可能である。
【0027】
また一方、上述した文献[BF97]における(n,n)型の秘密分散方式に対し、しきい値法の概念を導入した方式がある(Y. Frankel, P. D. MacKenzie and M. Yung, Robust efficient distributed RSA−key generation, Proceedings of the thirtieth annual ACM symposium on theory of computing, pp. 663−672, 1998.(以下、文献[FMY98]という))。
【0028】
文献[FMY98]の方式では、文献[BF97]の(n,n)型の秘密分散に基づく(t,n)型の鍵生成・共有方式が示されている。具体的には、まず(n,n)型の鍵生成を行い、秘密鍵dに対する和の多項式を生成する。次に、各機関Piは、部分情報diのディーラーとなり、Sum−to−Poly (和から複数個へ)の変換を行う。このとき、各機関Piは、全ての機関Pj からの部分情報djに対する共有情報を合成し、最終的に秘密鍵dに対する秘密分散を行って、秘密鍵dの(t,n)型の秘密共有を実現する。
【0029】
これにより、文献[FMY98]の方式では、総数n個のうち、任意のt個の機関PがRSA秘密鍵dを算出でき、鍵回復が可能となっている。
【0030】
【発明が解決しようとする課題】
しかしながら以上のような秘密分散システムでは、以下のようにそれぞれ問題がある。
文献[BBDW96]の方式では、t=3におけるn>32の場合とt≧4の場合には(t,lm )型の秘密分散の構築が不可であるため、(2,n)型の秘密分散の構築手法が一般化されていない。
【0031】
また一方、文献[FMY98]の方式では、秘密鍵dを算出せずに、秘密鍵dを用いた署名や復号を試みる時には問題を生じる。例えば、公開鍵(e,N)で暗号化された暗号文C=Me (mod N)があるとする。この暗号文Cを任意のt個の機関(この集合をΛとする)で復号するとき、各機関Pjは、(6)式のようなラグランジュの補間係数λj, Λを算出し、この補間係数λj, Λからそれぞれ部分出力を得る必要がある。
【0032】
【数5】
【0033】
しかしながら、いずれの機関Pjも合成数N(=pq)の素因数を知らないため、巾の位数φ(N)を法としたl−jの乗法逆元が算出不可能となり、ラグランジュの補間係数λj, Λも算出不可能となる。よって、ラグランジュの補間係数λj, Λを算出時に使う部分出力が算出不可能となり、(7)式の如き、部分出力の合成により平文を復元するための分散復号が実行不可能となってしまう。
【0034】
【数6】
【0035】
本発明は上記実情を考慮してなされたもので、分配者の無い環境で秘密鍵を算出せずに、n個の機関のうち、任意t個の機関による分散復号や署名を実現し得る(t,n)型の秘密分散システム、装置及び記憶媒体を提供することを目的とする。
【0036】
【課題を解決するための手段】
請求項1に対応する発明は、公開鍵及び秘密鍵dを用いるRSA暗号系に適用され、互いに送受信可能なn個の機関及びユーザ装置を備え、n個の機関に前記秘密鍵dの部分最終情報が分散されたとき、その中の任意のt個の機関により、前記秘密鍵dを算出せずに復号結果又は署名結果を生成可能な(t,n)型の秘密分散システムであって、前記n個の各機関としては、前記公開鍵及び前記秘密鍵dを生成する手段と、この秘密鍵dに基づいて生成された(n,n)型の1個の部分情報d i (0≦ i ≦n)を保持する手段と、tを底としたnの対数log t n以上の最小の整数をrとしたとき、前記部分情報d i を(t,n)型のt(r+1)個の部分乱数とし、そのうちのr+1個の部分乱数を前記各機関の識別番号のt進表示(t j 桁目の値 k 、0≦ k ≦t−1、0≦ j ≦r)に基づいて、それぞれ各機関に分散する手段と、前記各機関から分散されたn(r+1)個の部分乱数をt進表示の桁t j 毎にまとめてr+1個の部分最終情報d j,k を得る手段と、前記ユーザ装置から受けた処理対象データを前記部分最終情報d j,k に基づいて演算処理し、得られた部分出力を前記ユーザ装置に返信する手段とを有し、前記ユーザ装置としては、前記t個の機関を選択し、この選択したt個の各機関に処理対象データを送信する手段と、前記t個の各機関から受信した部分出力を合成して前記復号結果又は署名結果を得る手段とを備えた秘密分散システムである。
【0038】
また、請求項2に対応する発明は、第1の公開鍵(e,N)及び秘密鍵dと、第2の公開鍵(L2,N)とを用いるRSA暗号系(eとL2とは最大公約数が1であり、法Nは共通)に適用され、互いに送受信可能なn個の機関及びユーザ装置を備え、n個の機関に前記秘密鍵dの部分情報sjが分散されたとき、その中の任意のt個の機関により、前記秘密鍵dを算出せずに復号結果を生成可能な(t,n)型の秘密分散システムであって、前記n個の各機関としては、前記ユーザ装置から受けた復号対象データC2(=Me (mod N))を演算処理して得られた部分出力Zjを前記ユーザ装置に返信する手段とを有し、前記ユーザ装置としては、前記n個の機関のうちのt個の機関を選択し、この選択したt個の各機関に前記復号対象データC2を送信する手段と、前記t個の各機関から受信した部分出力Zjを合成して前記復号結果C1(=ML ^2 (mod N)、^はべき乗を示す記号)を得る手段と、前記復号結果C1、前記復号対象データC2及び下記式に基づいて、演算処理を実行し、最終復号結果Mを求める手段とを備えた秘密分散システムである。
【0039】
a1=(L2)-1 (mod e)
a2=(a1L2−1)/e
M=C1 a1(C2 a2)-1 (mod N)
さらに、請求項3に対応する発明は、請求項2に対応する秘密分散システムにおいて、前記復号対象データC2に代えて、署名対象データS2(=M)を用い、前記復号結果C1に代えて、署名結果S1(=Md L ^2(mod N)、^はべき乗を示す記号)を用い、前記最終復号結果Mを求める手段に代えて、前記署名結果S1(=(Md)e)、前記署名対象データS2(=(Md)L ^2)及び下記式に基づいて、演算処理を実行し、最終署名結果Mdを求める手段とを備えた秘密分散システムである。
【0040】
a1=(L2)-1 (mod e)
a2=(a1L2−1)/e
Md=S1 a1(S2 a2)-1 (mod N)
また、請求項4に対応する発明は、公開鍵及び秘密鍵dを用いるRSA暗号系に適用され、互いに送受信可能なn個の機関及びユーザ装置を備え、n個の機関に前記秘密鍵dの部分最終情報が分散されたとき、その中の任意のt個の機関から得られた部分出力により、前記秘密鍵dを算出せずに復号結果又は署名結果を生成可能な(t,n)型の秘密分散システムに使用されるコンピュータ読み取り可能な記憶媒体であって、前記n個の各機関内のコンピュータに、前記公開鍵及び前記秘密鍵dを生成する手段と、この秘密鍵dに基づいて生成された(n,n)型の1個の部分情報di(0≦i≦n)を保持する手段と、tを底としたnの対数logtn以上の最小の整数をrとしたとき、前記部分情報diを(t,n)型のt(r+1)個の部分乱数とし、そのうちのr+1個の部分乱数を前記各機関の識別番号のt進表示(tj桁目の値k、0≦k≦t−1、0≦j≦r)に基づいて、それぞれ各機関に分散する手段と、前記各機関から分散されたn(r+1)個の部分乱数をt進表示の桁tj毎にまとめてr+1個の部分最終情報dj,kを得る手段、前記ユーザ装置から受けた処理対象データを前記部分最終情報dj,kに基づいて演算処理し、得られた部分出力を前記ユーザ装置に返信する手段、を実現させるためのプログラムを記憶したコンピュータ読み取り可能な記憶媒体である。
【0041】
さらに、請求項5に対応する発明は、第1の公開鍵(e,N)及び秘密鍵dと、第2の公開鍵(L2,N)とを用いるRSA暗号系(eとL2とは最大公約数が1であり、法Nは共通)に適用され、互いに送受信可能なn個の機関及びユーザ装置を備え、n個の機関に前記秘密鍵dの部分情報sjが分散されたとき、その中の任意のt個の機関により、前記秘密鍵dを算出せずに復号結果を生成可能な(t,n)型の秘密分散システムに使用される記憶媒体であって、前記n個の各機関内のコンピュータに、前記ユーザ装置から受けた復号対象データC2(=Me (mod N))を演算処理して得られた部分出力Zjを前記ユーザ装置に返信する手段、を実現させるためのプログラムを記憶し、前記ユーザ装置内のコンピュータに、前記n個の機関のうちのt個の機関を選択し、この選択したt個の各機関に前記復号対象データC2を送信する手段、前記t個の各機関から受信した部分出力Zjを合成して前記復号結果C1(=ML ^2 (mod N)、^はべき乗を示す記号)を得る手段、前記復号結果C1、前記処理対象データC2及び下記式に基づいて、演算処理を実行し、最終復号結果Mを求める手段、を実現させるためのプログラムを記憶したコンピュータ読み取り可能な記憶媒体である。
【0042】
a1=(L2)-1 (mod e)
a2=(a1L2−1)/e
M=C1 a1(C2 a2)-1 (mod N)
また、請求項6に対応する発明は、請求項5に対応する記憶媒体において、前記復号対象データC2に代えて、署名対象データS2(=M)を用い、前記復号結果C1に代えて、署名結果S1(=Md L ^2(mod N)、^はべき乗を示す記号)を用い、前記最終復号結果Mを求める手段に代えて、前記署名結果S1(=(Md)e)、前記署名対象データS2(=(Md)L ^2)及び下記式に基づいて、演算処理を実行し、最終署名結果Mdを求める手段とを実現させるためのプログラムを記憶したコンピュータ読み取り可能な記憶媒体である。
【0043】
a1=(L2)-1 (mod e)
a2=(a1L2−1)/e
Md=S1 a1(S2 a2)-1 (mod N)
また、請求項7に対応する発明は、請求項4に対応する発明に関する機関装置である。請求項8,9に対応する発明は、請求項5,6に対応する発明に関するユーザ装置である。請求項10,11に対応する発明は、請求項5,6に対応する発明に関する機関装置である。
(作用)
従って、請求項1,4,7に対応する発明は以上のような手段を講じたことにより、n個の各機関が、公開鍵及び秘密鍵dを生成し、この秘密鍵dに基づいて生成された(n,n)型の1個の部分情報di(0≦i≦n)を保持し、tを底としたnの対数logtn以上の最小の整数をrとしたとき、この部分情報diを(t,n)型のt(r+1)個の部分乱数とし、そのうちのr+1個の部分乱数を各機関の識別番号のt進表示(tj桁目の値k、0≦k≦t−1、0≦j≦r)に基づいて、それぞれ各機関に分散し、各機関から分散されたn(r+1)個の部分乱数をt進表示の桁tj毎にまとめてr+1個の部分最終情報dj,kを得る。
【0044】
続いて、ユーザ装置が、t個の機関を選択し、この選択したt個の各機関に処理対象データを送信し、t個の機関が、ユーザ装置から受けた処理対象データを部分最終情報dj,k に基づいて演算処理し、得られた部分出力をユーザ装置に返信し、ユーザ装置が、t個の各機関から受信した部分出力を合成して復号結果又は署名結果を得る。
【0045】
このように、分配者の無い環境で秘密鍵を算出せずに、n個の機関のうち、任意t個の機関による分散復号や署名を実現することができ、また、ラグランジュ補間法を用いず、高い処理効率を実現することができる。
【0046】
また、請求項2,5,8,10に対応する発明は、第1の公開鍵(e,N)及び秘密鍵dと、第2の公開鍵(L2,N)とを用いるRSA暗号系(eとL2とは最大公約数が1であり、法Nは共通)において、n個の機関に秘密鍵dの部分情報sjが分散されたとき、ユーザ装置が、n個の機関のうちのt個の機関を選択し、この選択したt個の各機関に復号対象データC2を送信し、t個の各機関が、ユーザ装置から受けた復号対象データC2(=Me (mod N))を演算処理して得られた部分出力Zjをユーザ装置に返信し、ユーザ装置が、t個の各機関から受信した部分出力Zjを合成して復号結果C1(=ML ^2 (mod N))を得ると共に、復号結果C1、処理対象データC2及び所定の式(a1=(L2)-1 (mod e)、a2=(a1L2−1)/e、M=C1 a1(C2 a2)-1 (mod N))に基づいて、演算処理を実行し、最終復号結果Mを求める。
【0047】
これにより、分配者の無い環境で秘密鍵を算出せずに、n個の機関のうち、任意t個の機関による分散復号を実現することができ、また、所定条件の公開鍵を用いたラグランジュ補間法に基づき、高い確実性を実現することができる。
【0048】
さらに、請求項3,6,9,11に対応する発明は、前記復号対象データC2に代えて、署名対象データS2(=M)を用い、復号結果C1に代えて、署名結果S1(=Md L ^2(mod N)、^はべき乗を示す記号)を用い、最終復号結果Mを求める手段に代えて、署名結果S1(=(Md)e)、署名対象データS2(=(Md)L ^2)及び所定の式(a1=(L2)-1 (mod e)、a2=(a1L2−1)/e、Md=S1 a1(S2 a2)-1 (mod N))に基づいて、演算処理を実行し、最終署名結果Mdを求める。
【0049】
これにより、請求項2,5,8,10に対応する作用と同様の作用を署名処理において実現することができる。
【0050】
【発明の実施の形態】
次に、本発明の各実施形態について図面を参照して説明する。なお、第1の実施形態は、ラグランジュ補間法を用いず、高い処理効率を実現したものであり、第2の実施形態は、所定条件の公開鍵を用いたラグランジュ補間法に基づき、高い確実性を実現したものであって、両者ともノンディーラーモデルのしきい値法による分散復号及び署名の可能な(t,n)型の秘密分散システムとなっている。以下、順次説明する。
【0051】
(第1の実施形態)
本実施形態は、文献[BF97]における(2,2)型から(2,n)型の秘密分散を構築する方式を一般化した(t,n)型の秘密分散システムである。
具体的には、文献[BF97]の方式を用いて各機関Pi が秘密鍵dの(n,n)型の部分情報di を保持すると、全ての機関P1 〜Pn がそれぞれ部分情報di を(t,n)型の部分乱数情報として分配し、各機関P1 〜Pn が部分乱数情報を桁毎にまとめて複数の部分情報dj,k を得る(t,n)型の秘密分散システムとなっている。
【0052】
図1は本発明の第1の実施形態に係る秘密分散システムの構成を示す模式図である。この秘密分散システムは、各々計算機システムとしてのn個の機関P1 〜Pn 及びユーザ装置Uが互いにネットワークを介して接続されている。
【0053】
なお、各機関P1 〜Pn は、互いに同一構成を有するので、ここでは任意の機関Pi (但し、1 ≦i ≦n )を代表例として説明する。
【0054】
機関Pi は、公開鍵(e ,N)及び秘密鍵dを生成する機能と、[BF97]の方式に基づいて、秘密鍵dを(2,n)型の部分情報とし、そのうちのr+1個の部分情報をそれぞれ各機関P1 〜Pn に分散する機能と、分散されたr+1個の部分情報に基づいて、(n,n)型の1個の部分情報di を保持する機能と、この部分情報di を(t,n)型の部分乱数とし、そのうちのr+1個の部分乱数を機関の識別番号のt進表示に基づいて、それぞれ各機関P1 〜Pn に分散する機能と、各機関P1 〜Pn から分散されたn(r+1)個の部分乱数をt進表示の桁tj 毎にまとめてr+1個の部分情報dj,k を得る機能と、ユーザ装置Uから受けた暗号文Cを復号処理して得られた部分出力Xz をユーザ装置Uに返信する機能とをもっている。
【0055】
また、各機関Pi は、任意のt個が選択された場合、図示しないが、“P”に代えて“T”の表記を用いる。例えば“機関Pz ”は選択されているとき、“機関Tz ”と表記される。
【0056】
ユーザ装置Uは、n個の機関P1 〜Pn のうちのt個の機関Tz を選択する機能と、公開鍵(e ,N)で暗号化された暗号文Cをt個の各機関Tz に送信する機能と、各機関Tz から受信した部分出力Xz を合成して平文Mを得る機能とをもっている。
【0057】
次に、各機関P1 〜Pn 及びユーザ装置Uの具体的なハードウェア構成について述べる。具体的には、機関Pi 及びユーザ装置Uは、ハードウェア的には図2に示すように、CPU11、コントローラ12、メモリ13、通信デバイス14、ディスプレイ15、キーボード16及びプリンタ17が互いにバス18を介して接続された計算機システムである。
【0058】
これらの構成のうち、メモリ13は、いわゆる主記憶(RAM等)と二次記憶装置(ハードディスク等)の双方を含むものである。この主記憶上に読み込まれたプログラムと、このプログラムに従うCPU11の制御とにより、機関Pi が行うべき機能が実現される。すなわち、各機関P1 〜Pn 及びユーザ装置Uは、ソフトウェア的には、上述したそれぞれの機能を行うように、互いに異なる構成を有するものである。これらハードウェア及びソフトウェアの結合からなるそれぞれの機能の詳細な内容は、以下の動作説明において詳細に述べる。
【0059】
但し、各機関P1 〜Pn は、ユーザ装置Uから受信したデータを演算処理し、結果をユーザ装置Uに返信するためのハードウェアがあればよいので、例えばディスプレイ15、キーボード16及びプリンタ17などを適宜、省略してもよい。同様に、ユーザ装置Uにおいても、例えばプリンタ17を省略してもよい。
【0060】
次に、以上のように構成された秘密分散システムの動作を説明する。
((t,n)型の秘密分散)
各機関P1 〜Pn は、公開鍵(e ,N)及び秘密鍵dを生成すると、文献[BF97]の方式に基づいて、秘密鍵dを(2,n)型の部分情報とし、そのうちのr+1個の部分情報をそれぞれ各機関P1 〜Pn に分散する。
【0061】
各機関P1 〜Pn は、[BF97]の方式によるr+1個の部分情報に基づき、合成数Nにおける互いに異なる2つの素因数p,qと、秘密鍵dとを(n,n)型で秘密共有している。
【0062】
すなわち、各機関Pi (1≦i≦n)は、図3に示すように、次の(8)式を満たす部分情報di をそれぞれ保管している(ST1)。
【0063】
d=d1 +d2 +…+dn …(8)
次に、全ての各機関Pi は、自己の部分情報di のディーラーとして機能する。すなわち、全ての各機関Pi は、(9)式に示すように、自己の部分情報di を示す(t,n)型の部分乱数情報Sj,l(0≦j ≦r,0≦l≦t−2)を生成する(ST2)。但し、r=「logt n」である。
【0064】
【数7】
【0065】
なお、この部分乱数情報Sj,lの生成処理は、全ての各機関Pi が、それぞれ次に示す如き、自己の部分情報di を示すr+1個の独立多項式を作成することと等価である。
【0066】
次に、全ての各機関Piは、識別番号をzとしたとき、以下のステップST3〜ST4に示すように、各機関Pz (1≦z≦n)と互いに部分乱数情報Sj,lを分散しあう。
すなわち、機関Pzの識別番号zを(10)式に示すように、t進数に変換する(ST3)。
z=βr,ztr +βr−1,z tr−1 +…+ βj,z tj +…+β0,z …(10)
簡単のため、(10)式を(11)式のように表記する。
z(t)=βr,z βr−1,z … βj,z … β0,z …(11)
但し、t進値βr,z∈{0,…,t−1}
また、各機関Piは、z(t)における各桁tj毎のt進値βに基づいて、次に示すr+1個の部分乱数情報を含む集合Sを機関Pzに送信する(ST4)。
【0067】
【数8】
【0068】
各機関Pz は、自己を含む全ての各機関Piから得た集合Sに基づいて、次の(12)式に示すように、各桁j 毎の部分乱数情報Sj,lの総和をとって部分情報dj,k を算出する(ST5)。但し、k ∈{βr,z βr−1,z … β0,z},0≦j≦rである。
【0069】
【数9】
【0070】
各機関Pz は、桁j の数に対応するr+1個の部分情報dj,k を保管する(ST6)。なお、部分情報dj,k は、秘密鍵dの部分集合である。
【0071】
秘密鍵dと部分秘密鍵dj,k との関係は、以下の(13)式に示す通りである。
例えば、(3,27)型の秘密分散における機関z=20の保管情報は、以下の通りである。
【0072】
r=「log3 27」=3
20=0×33 +2×32 +0×31 +2×30
20(3)=0202 (3進表示)
よって、機関P20は、次の(14)式に示す全ての部分情報のうち、識別番号zの3進表示(0202)に対応する部分情報(d3,0 ,d2,2 ,d1,0 ,d0,2 )を保管する。
【0073】
(分散復号化)
n個の機関P1 〜Pn のうち、任意のt個の機関Tz (この集合をΛとする)は、ユーザ装置Uからの復号依頼により、ユーザ装置Uの公開鍵(e ,N)で暗号化されたデータC=Me (mod N)を図4のステップST11〜ST16に示すように分散復号化する。
【0074】
すなわち、ユーザ装置Uは、(15)式に示すように、t個の機関Tz の識別番号zをそれぞれt進表示に変換する(ST11)。
【0075】
z(t)=βr,z βr−1,z … β0,z …(15)
続いて、ユーザ装置Uは、t個の機関Ta,Tb∈Λ(a≠b)におけるt進表示の各桁tj (0≦j≦r)毎に、t進表示の値βが全て異なる(βj,a ≠βj,b)という条件を満たす桁tj が有るか否かを判定する(ST12)。
【0076】
この条件を満たす桁tj がないとき、この集合Λによる分散復号は不可能であるため、集合Λ内の機関Tzを多少入れ換えて(ST13)、ステップST11から再実行する。
【0077】
ステップST2で条件を満たす桁tj があるとき、ユーザ装置Uは、暗号化データCを各機関Tz に送信する(ST14)。
【0078】
各機関Tz は、tj 桁に対応する部分情報dj,k (k=βj,z )に基づいて、暗号化データCを復号処理し、得られた部分出力Xz (=Cdj,k (mod N))をそれぞれユーザ装置Uに返信する(ST15)。
【0079】
ユーザ装置は、t個の各機関Tz (z∈Λ)から受信したt個の部分出力Xz(z∈Λ)を(16)式のように合成し、平文Mを復元することができる(ST16)。
【0080】
【数10】
【0081】
また、以上の動作は、暗号化データC(=Me (mod N))をt個の各機関Tzに送ることにより、平文Mを分散復号した場合である。これに限らず、本実施形態は、図5に示すように、暗号化データCに代えて、署名対象データMをt個の各機関Tzに送信したとき(ST14a)、前述した部分出力Xzの合成により、署名Md (mod N)を得ることもできる(ST16a)。
上述したように本実施形態によれば、n個の各機関P1 〜Pn が、公開鍵及び秘密鍵dを生成し、この秘密鍵dに基づいて生成された(n,n)型の1個の部分情報di (0≦i ≦n)を保持し、tを底としたnの対数logt n以上の最小の整数をrとしたとき、この部分情報di を(t,n)型のt(r+1)個の部分乱数Sj とし、そのうちのr+1個の部分乱数Sj を各機関Piの識別番号zのt進表示(tj 桁目の値k 、0≦k ≦t−1、0≦j ≦r)に基づいて、それぞれ各機関P1 〜Pn に分散し、これら分散されたn(r+1)個の部分乱数をt進表示の桁tj 毎にまとめてr+1個の部分情報dj,k を得る。
【0082】
続いて、ユーザ装置Uが、t個の機関Tzを選択して暗号化データC(又は署名対象データ)を送信し、t個の機関Tzが、暗号化データC(又は署名対象データ)を部分情報dj,k に基づいて演算処理し、得られた部分出力Xzをそれぞれユーザ装置Uに返信し、ユーザ装置Uが、t個の部分出力Xzを合成して復号結果(又は署名結果)を得る。
【0083】
このように、分配者の無い環境で秘密鍵を算出せずに、n個の機関のうち、任意t個の機関による分散復号や署名を実現することができる。また、復号分散時に、ラグランジュの補間係数を算出する手間を省略でき、高い処理効率を実現することができる。
【0084】
また、本実施形態は、予め暗号文への入力を表として保持でき、ラグランジュの補間係数の算出が不要な分だけ、文献[FMY98]の方式よりも、演算の処理効率を向上させることができる。
【0085】
さらに、本実施形態は、全ての組合せに応じたラグランジュの補間係数を表として保管する場合、文献[FMY98]の方式よりも、保管する情報の量を低減させることができる。
【0086】
例えば、文献[FMY98]の方式は、ラグランジュの補間法に基づくしきい値法を用いた分散復号化を行う。ここでは、秘密鍵dが各機関P1 〜Pn のもつ部分情報の単純和ではなく、各機関Pj は、前述したラグランジュの補間係数λj, Λを算出し、合成する必要がある。よって、補間係数λj, Λを予め算出して表に保管する場合、1つの部分情報と参加機関Tz の全ての組合せに応じたnCt個の補間係数λj, Λを算出して保管する必要がある。
【0087】
一方、本実施形態では、「logt n」+1個の部分情報から機関の組合せに対応する部分情報を選択すればよい。よって、保管される部分情報は、「logt n」+1個でよく、少ない情報量となっている。
【0088】
ところで、本実施形態の方式によれば、t個の機関の組合せが悪いとき、暗号文を分散復号できない場合がある。この場合について(3,27)型の秘密分散を例に挙げて補足的に説明する。今、秘密鍵dについて、以下のr+1個の多項式が成立しているとする。
【0089】
まず、分散復号が可能な場合を示す。27個の機関のうち、機関P20,P23,P26が分散復号プロトコルに介入するとき、復号操作Cd =Med=Mは成功する。ここで、各機関P20,P23,P26の3進表示は、P20=0202,P23=0212,P26=0222であり、それぞれの保管情報は図6に示す通りとなっている。ここで、31 桁に注目すると、(17)式に示すように、d=d1,0 +d1,1 +d1,2 からdによる復号化処理が可能となる。
ところが、P23に代えてP11を用いた各機関P20,P23,P11では、復号操作は失敗する。すなわち、各機関の3進表示は、P20=0202,P23=0212,P11=0102であり、それぞれの保管情報は図7に示す通りである。
【0090】
この場合、秘密鍵dを構成する3つの部分情報(dj,0 +dj,1 +dj,2 )がどの桁j でも揃わず、いずれかの部分情報が2つ以上の機関において重複(衝突)している。このように保管する部分情報の重複により、分散復号の不可能な場合がある。
【0091】
この場合、別のt個の機関を選択し直す必要がある。
ここで、機関の総数nが大きく、t個以上の機関を比較的自由に選択可能な場合、本実施形態の(t,n)型の秘密分散が適している。すなわち、機関の総数nが大きいときには復号不能となっても、t個の機関Pを再編成して分散復号プロトコルをし直せばよい。
【0092】
逆にnの数が小さく、機関Pの選択の余地がない場合は、全ての組合せに応じた関係式を作成する方式が適している。例えば、エルガマル(ElGamal) 暗号系では、n個のうちの任意のt個の機関がグループの鍵で暗号化された暗号文を復号することができる技術が提案されている(T. P. Pedersen, A threshold cryptosystem without a trusted party, Advances in Cryptology−Eurocrypt 91, LNCS 547, pp.522−526, 1991.(以下、文献[Ped91b]という))。すなわち、文献[Ped91b]の方式のように任意のt個の機関で分散復号・鍵復元を行うには、秘密鍵dに関するn Ct 個の独立な関係式を作成すればよい。具体的には、ある組合せ(Λ)のときは(18)式のように該当する関係式により分散復号を行う方式である。
【0093】
d=d1, Λ+d2, Λ+…+dt, Λ …(18)
しかしながら、文献[Ped91b]の方式では、衝突の可能性はないものの、機関の総数nに比例して関係式の数が膨大になってしまう。よって、衝突の可能性の低い範囲で、独立多項式を最小限に抑えることが好ましい。
【0094】
各方式はそれぞれ長所・短所があるので、第1実施形態の方式(再編成する方式)、第1実施形態の方式において関係式を用いる方式、あるいは後述する第2の実施形態の方式(補間法を用いる方式)のいずれを選択するかは、機関の総数nや処理効率、使用される環境、復号処理不能が許されるか否かなどの条件に応じて使い分けることが好ましい。
【0095】
(第2の実施形態)
次に、本発明の第2の実施形態について説明するが、その前に本実施形態の前提となるRSA共通法誤用プロトコルについて述べる。
【0096】
RSA暗号系において、1つのメッセージMを、互いに共通する法Nと、互いに異なる公開指数e1,e2とを用いる条件の下でそれぞれ暗号化し、得られた2つの異なる暗号文C1 ,C2 があるとする。この場合、合成数Nの素因数が不明でも、2つの暗号文C1 ,C2 からメッセージMを復元できる(G. J. Simmons, Aweak privacy protocol using the RSA cryptoalgolithm, Cryptologia, vol. 7, pp.180−182, 1983.(以下、文献[Sim83]という))。
【0097】
この文献[Sim83]の方式において、前述した2つの暗号文C1 ,C2 は、次の(19)式〜(20)式に示すように得られている。
【0098】
C1 =Me1 (mod N) …(19)
C2 =Me2 (mod N) …(20)
ここで、異なる公開指数e1,e2 の最大公約数gcd (e1,e2)=1である場合、以下のステップSTc1〜STc3を行うと、2つの暗号文C1 ,C2 からメッセージMを復元できる(D. R. Stinson, CRYPTOGRAPHY : Theory and Practice, CRCPress, Inc. Boca Raton, Florida, U.S.A., 1995. (以下、文献[Sti95]という))。
【0099】
(ステップSTc1)a1 =e1−1 (mod e2)
(ステップSTc2)a2 =(a1e1 −1)/e2
(ステップSTc3)M=C1 a1 (C2 a2 )−1 (mod N)
また、上記処理(Step c1 〜c3)を次のように表記する。
【0100】
Common(e1,e2)→M
以上のように、RSA暗号系においては、所定の条件を満たすとき、メッセージMを復元可能なプロトコルが存在する。このプロトコルがRSA共通法誤用プロトコルと呼ばれている。
【0101】
さて次に、本発明の第2の実施形態に係る秘密分散システムについて説明する。本実施形態は、文献[Sim83]及び[Sti95]等のRSA共通法誤用プロトコルを適用可能な条件で公開鍵を作成し、文献[FMY98]の手法により、秘密鍵dの部分情報sj を分散する(t,n)型の秘密分散システムである。
【0102】
なお、RSA共通法誤用プロトコルを適用可能な条件とは、次の(a)〜(c)を全て満たすことに相当する。
(a)メッセージMが同じである。
(b)法Nが共通する。
(c)互いに異なる公開指数(e1,e2)の最大公約数gcd (e1,e2)=1である。
但し、以下の説明では、公開指数(e1,e2)を(L2 ,e )と表記している。また、公開指数L2 の元となるLは、L=n!に代えて、L=(n−1)!としてもよい。
また、ユーザ装置及び各機関は、ハードウェア的な構成に関しては図1及び図2に示した通りとし、機能に関しては第1実施形態とは異なるので、以下に説明する。
【0103】
なお、各機関P1 〜Pn は、前述同様に、任意の機関Pi (但し、1 ≦i ≦n )を代表例として説明する。
機関Pi は、[FMY98]の方式に基づいて、法Nの部分情報(pj ,qj )を作成する機能と、これら部分情報pj ,qj をそれぞれ各機関P1 〜Pn に分散する機能と、各機関Pj の(pj ,qj )を基に、公開鍵(e ,N)を生成する機能と、秘密鍵dから(t,n)型の部分情報sj を得る機能と、夫々部分情報(pj ,qj )及びsj を保持する機能と、ユーザから受けた暗号文C(=C2 =Me (mod N))を復号処理して得られた部分出力Zj をユーザ装置Uに返信する機能とをもっている。
【0104】
ユーザ装置Uは、n個の機関のうちのt個の機関Tz を選択する機能と、公開鍵(e ,N)で暗号化された暗号文C2 (= Me (mod N))をt個の各機関Tz に送信する機能と、各機関Tz から受信した部分出力Zj を合成して暗号文C1 (= ML2(mod N))を得る機能と、2つの暗号文(ML2,Me )から、前述したRSA共通法誤用プロトコルCommon(L2 ,e )→Mを用いて、メッセージMを算出する機能とをもっている。
【0105】
次に、以上のように構成された秘密分散システムの動作を説明する。
((t,n)型の秘密分散)
各機関は互いに、文献[FMY98]の方式に基づいて、秘密鍵dを(t,n)型の部分情報とし、対応する部分情報sj を個別にn個の機関P1 〜Pn に分散する。
【0106】
具体的には、各機関Pj は、法Nの構成要素(pj ,qj)を作成し、夫々送信する。各機関Pj は、他の各機関Pj から受けた(pj ,qj)の合成N=(p1 +p2 +…+pn )(q1 +q2 +…+qn )が異なる2つの素数の積であるか否かを判定し、異なる素数の積であるとき、正当として次に進む。
【0107】
各機関Pj は(pj ,qj)を基に、公開鍵(e,N)を生成し、各機関Pj の保持すべき秘密鍵dの部分情報dj を算出する((n,n)型秘密分散完了)。
【0108】
d=d1 +d2 +…+dj +…+dn
次に、各機関Pj は、(n,n)型の秘密鍵dをSum−to−Poly の技術により、(t,n)型の秘密鍵dに変換する((t,n)型秘密分散完了)。
【0109】
このとき、t−1個の乱数{b1,…bt−1}∈Zに対し、(21)式の如き、多項式を定める。
f(x)=d+b1x+b2x2+…+bt−1xt−1 …(21)
この式は、y切片を秘密鍵dとしたk−1次の多項式であり、ラグランジュの補間法により、k個の座標点(j ,f(j))から一意に定まる性質をもっている。但し、k−1個の座標点からは一意に定まらず、任意のy切片が可能となり、秘密鍵dを得られない性質もある。
【0110】
各機関Pj は、各機関P1 〜Pn の自己の識別番号j (1≦j ≦n)を独立変数xとして上記多項式f(x) に代入してf(j) を計算し、f(x) 上のy座標を示す部分情報sj (=f(j) )を各機関Pj 毎に得る。
【0111】
各機関Pj は、得られた(t,n)型の部分情報sj と、予め保持する、法Nの素因数pqの部分情報(pj ,qj )とを保管する。なお、(n,n)型の部分情報dj も保持されるが、本実施形態では特に使用されない。
【0112】
(分散復号化)
n個の機関のうち、任意のt個の機関Tz (この集合をΛとする)は、ユーザ装置Uからの復号依頼により、ユーザ装置Uの公開鍵(e ,N)で暗号化されたデータC=Me (mod N)を図8のステップST21〜ST24に示すように分散復号化する。ここで、L=n!かつ最大公約数gcd (e ,L2 )=1とする。
【0113】
すなわち、ユーザ装置Uは、暗号文C(=Me (mod N))をt個の各機関Tj(∈Λ)に送信する(ST21)。
各機関Tjは、次の(22)式〜(24)式の通り、それぞれ自己の部分情報sjを用いて部分出力Zjを算出し、得られた部分出力Zjをユーザ装置Uに返信する(ST22)。
【0114】
【数11】
【0115】
ユーザ装置Uは、次の(25)式のように、t個の各機関Tjから受ける部分出力Zj を合成し、暗号文ML2(mod N)を算出する(ST23)。
【0116】
【数12】
【0117】
ユーザ装置Uは、元の暗号文Me と、この暗号文ML2との互いに異なる2つの暗号文(ML2,Me )から、前述したRSA共通法誤用プロトコルCommon(L2 ,e )→Mを用いて、メッセージMを算出する(ST24)。なお、本実施形態と、前述したプロトコルとの対応関係は、(ML2,Me )=(C1 ,C2 )であり、(L2 ,e )=(e1,e2)である。ここで、RSA共通法誤用プロトコルは、(26)式に示すように、健全性を有している。
【0118】
C1a1 (C2a2 )−1=ML 2a1 − ea2 =M(mod N) …(26)
(分散署名)
なお、ユーザ装置Uは、分散復号に限らず、t個の機関Tzに分散署名を行わせてもよい。
この場合、ユーザ装置Uは、図9に示すように、復号対象の暗号文Cに代えて、署名対象データS1(=M)を用い(ST21a)、復号結果の暗号文ML2に代えて、署名結果S2(=( Md)L ^2(mod N)、^ はべき乗を示す記号)を用いる(ST23a)。
【0119】
そして、ユーザ装置Uは、(C1 ,C2 )=(Md L ^2,M)=(( Md)L ^2,( Md)e )から、前述同様に、以下のRSA共通法誤用プロトコルに基づいて、署名Md を算出する(ST24a)。
【0120】
a1=(L2 )−1 (mod e )
a2=(a1L2 −1)/e
M=C1 a1 (C2 a2 )−1 (mod N)
ここで、RSA共通法誤用プロトコルは、(27)式に示すように、健全性を有している。
【0121】
(分散署名の変形例)
なお、上述した分散署名は、図10に示すように変形してもよい。すなわち、ステップST23aの後、ユーザ装置Uは、この署名対象データS1及び署名結果S2の組を図示しない相手先の署名検証装置に送信する(ST25a)。
署名検証装置は、署名対象データS1及び第1公開鍵(e ,N)から第1比較データD1(=Me (mod N))を算出し、署名結果S2及び第2公開鍵(e ,N)から第2比較データD2(=ML ^2 (mod N))を算出する(ST26a)。
【0122】
続いて、署名検証装置は、第1並びに第2比較データD1,D2及び下記(28)式〜(30)式のRSA共通法誤用プロトコルに基づいて、演算処理を実行し、出力Mを求める(ST27a)。
【0123】
a1=(L2 )−1 (mod e ) …(28)
a2=(a1L2 −1)/e …(29)
M=D1 a1 (D2 a2 )−1 (mod N) …(30)
ここで、出力Mと署名対象データS1とが一致するとき、署名検証装置は、ユーザ装置Uの署名を正当と認める(ST28a)。
上述したように本実施形態によれば、RSA共通法誤用プロトコルを適用可能な条件のRSA暗号系において、n個の機関P1 〜Pn に秘密鍵dの部分情報sj が分散されたとき、ユーザ装置Uが、t個の機関Tzを選択して暗号化データC1を送信し、t個の各機関Tzが、暗号化データC1(=Me (mod N))を演算処理して得られた部分出力Zj をユーザ装置に返信し、ユーザ装置Uが、t個の部分出力Zj を合成して復号結果C2(=ML ^2 (mod N))を得ると共に、復号結果C2、処理対象データC1及びRSA共通法誤用プロトコルに基づいて、演算処理を実行し、最終復号結果Mを求める。
【0124】
これにより、分配者の無い環境で秘密鍵を算出せずに、n個の機関のうち、任意t個の機関による分散復号を実現することができ、また、所定条件の公開鍵を用いたラグランジュ補間法に基づき、高い確実性を実現することができる。
【0125】
さらに、復号対象データC2に代えて、署名対象データS2(=M)を用い、復号結果C1に代えて、署名結果S1(=Md L ^2(mod N)、^ はべき乗を示す記号)を用いることにより、RSA共通法誤用プロトコルを用いて、演算処理を実行し、署名Mdを求める。
【0126】
これにより、分散復号と同様に、分散署名を行うことができる。
すなわち、本実施形態によれば、所定の条件で公開鍵を作成することにより、t個の機関の組合せとは無関係に、確実に復号処理・署名処理を実行することができる。
【0127】
なお、ここでノン・ディーラーモデルでの上述した機能を実現する本実施形態方式と、ディーラーモデルでの機能((t,n)型での分散復号/分散署名)を実現する文献[FGMY97]の方式とを比較して述べる。
【0128】
本実施形態方式は、文献[FGMY97]の方式と同じく、α,βを係数として次の(30)式のユークリッド公式を前提とする。
【0129】
e α+L2 β=1 …(30)
但し、gcd (e ,L2 )=1
【数13】
【0130】
本実施形態方式では、復号時に部分出力Zj を合成した後に、合成出力からユークリッドアルゴリズムによりMを算出するので、このMの算出処理の分だけ、文献[FGMY97]の方式よりも処理効率が低下している(文献[FGMY97]の方式は、ディーラーが鍵分散時にユークリッド公式を作成するので、復号時に各機関の部分出力を合成し、合成出力がメッセージMとなる)。
【0131】
しかしながら、文献[FGMY97]の方式は、Nのオイラー関数φ(N)を知るディーラーが必要であり、d≡P+L2k(mod φ(N))を満たすL 2kを複数の機関に秘密分散して共有する。ここで、ディーラーが秘密鍵dと素因数p,qを紛失した場合、この複数の機関から秘密鍵dを回復できない。理由は、L2kを回復しても、法φ(N)を紛失しているので、L2kから秘密鍵dを算出できないからである。但し、法φ(N)でdに合同なP+L2kを算出することはできる。
【0132】
すなわち、文献[FGMY97]の方式では、ディーラーの存在する環境において、分散署名や分散復号を行えるが、ディーラーへのdそのものの鍵回復を行えない。文献[FGMY97]の方式では、鍵回復を行う際に、ディーラーモデルの文献(T. P. Pedersen, Distributed provers with applications to undeniable signatures, Advances in Cryptology−Eurocrypt 91, LNCS 547, pp.221−238, 1991. (以下、文献[Ped91a]という))の方式又は文献[Oka97]の方式といった別の方式を用いる必要がある。ここで、分散RSA暗号系における従来方式及び本発明方式の位置づけを整理すると、各方式は、図11に示すように分類される。
【0133】
一方、本発明方式は、ディーラーの存在する環境では、文献[Ped91a]との組合せにより分散署名及び分散復号を実現でき、ディーラーの存在しない環境では、前述した通り、文献[FMY98]等との組合せにより分散署名及び分散復号を実現することができる。
【0134】
なお、上述した第1及び第2の実施形態は、ディーラーの存在しない環境の場合を述べているので、以下に、ディーラーの存在する環境に適用する場合の変形例1,2について簡単に説明する。
【0135】
すなわち、変形例1は、第1の実施形態をディーラーモデルに適用する場合であり、ディーラーとしてのユーザ装置Uは、(13)式を満たす全ての部分秘密鍵dj,k を作成し、各機関に振り分ける作業を行う。この変形例1によれば、前述したステップST1〜ST4までの複雑な処理を省略できる分だけ、効率を向上させることができる。
【0136】
また、変形例2は、第2の実施形態を文献[Ped91a]と組合せた場合であり、文献[FMY98]と組合せた結果と同じ機能を果たすことができる。
【0137】
すなわち、本発明は、(t,n)型の秘密分散であれば、ディーラーの有無とは無関係に実現でき、上述した各実施形態に限らず、n羽の鳥のうち、任意のt羽の鳥を異なる巣箱に入れるような関数群(K. Kurosawa and D. Stinson, Personal communication, June 1996 Referred in Desmedts paper. (Y. Desmedt, Some recent research aspects of threshold cryptography, Information Security, LNCS 1396, pp. 158−173, 1997. ))を適宜利用して実現することができる。
【0138】
尚、本発明における記憶媒体としては、磁気ディスク、フロッピーディスク、ハードディスク、光ディスク(CD−ROM、CD−R、DVD等)、光磁気ディスク(MO等)、半導体メモリ等、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0139】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が本実施形態を実現するための各処理の一部を実行しても良い。
【0140】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0141】
また、記憶媒体は1つに限らず、複数の媒体から本実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0142】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、本実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0143】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0144】
また、本発明は、RSA暗号系に限らず、素因数分解問題に基づく暗号系であれば、RSA暗号系以外の暗号系に適用してもよい。
その他、本発明はその要旨を逸脱しない範囲で種々変形して実施できる。
【0145】
【発明の効果】
以上説明したように本発明によれば、分配者の無い環境で秘密鍵を算出せずに、n個の機関のうち、任意t個の機関による分散復号や署名を実現し得る(t,n)型の秘密分散システム、装置及び記憶媒体を提供できる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態に係る秘密分散システムの構成を示す模式図
【図2】同実施形態における各機関及びユーザ装置のハードウェア構成を示すブロック図
【図3】同実施形態における秘密分散動作を説明するためのフローチャート
【図4】同実施形態における復号化動作を説明するためのフローチャート
【図5】同実施形態における署名動作を説明するためのフローチャート
【図6】同実施形態における復号可能な例を説明するための各機関の保管情報を示す模式図
【図7】同実施形態における復号不可能な例を説明するための各機関の保管情報を示す模式図
【図8】本発明の第2の実施形態における復号化動作を説明するためのフローチャート
【図9】同実施形態における署名動作を説明するためのフローチャート
【図10】同実施形態における変形動作を説明するためのフローチャート
【図11】従来方式と本発明方式との位置付けを示す分類図
【図12】従来の方式における各機関に保管される部分情報の集合を示す模式図
【図13】従来の方式における機関の組合せと対象の部分情報を示す模式図
【符号の説明】
1…ネットワーク
U…ユーザ装置
P1 〜Pn ,Pi …機関
Claims (11)
- 公開鍵及び秘密鍵dを用いるRSA暗号系に適用され、互いに送受信可能なn個の機関及びユーザ装置を備え、n個の機関に前記秘密鍵dの部分最終情報が分散されたとき、その中の任意のt個の機関により、前記秘密鍵dを算出せずに復号結果又は署名結果を生成可能な(t,n)型の秘密分散システムであって、
前記n個の各機関は、
前記公開鍵及び前記秘密鍵dを生成する手段と、
この秘密鍵dに基づいて生成された(n,n)型の1個の部分情報di(0≦i≦n)を保持する手段と、
tを底としたnの対数logtn以上の最小の整数をrとしたとき、前記部分情報diを(t,n)型のt(r+1)個の部分乱数とし、そのうちのr+1個の部分乱数を前記各機関の識別番号のt進表示(tj桁目の値k、0≦k≦t−1、0≦j≦r)に基づいて、それぞれ各機関に分散する手段と、
前記各機関から分散されたn(r+1)個の部分乱数をt進表示の桁tj毎にまとめてr+1個の部分最終情報dj,kを得る手段と、
前記ユーザ装置から受けた処理対象データを前記部分最終情報dj,kに基づいて演算処理し、得られた部分出力を前記ユーザ装置に返信する手段とを有し、
前記ユーザ装置は、
前記t個の機関を選択し、この選択したt個の各機関に処理対象データを送信する手段と、
前記t個の各機関から受信した部分出力を合成して前記復号結果又は署名結果を得る手段と
を備えたことを特徴とする秘密分散システム。 - 第1の公開鍵(e,N)及び秘密鍵dと、第2の公開鍵(L2,N)とを用いるRSA暗号系(eとL2とは最大公約数が1であり、法Nは共通)に適用され、互いに送受信可能なn個の機関及びユーザ装置を備え、n個の機関に前記秘密鍵dの部分情報sjが分散されたとき、その中の任意のt個の機関により、前記秘密鍵dを算出せずに復号結果を生成可能な(t,n)型の秘密分散システムであって、
前記n個の各機関は、
前記ユーザ装置から受けた復号対象データC2(=Me (mod N))を演算処理して得られた部分出力Zjを前記ユーザ装置に返信する手段とを有し、
前記ユーザ装置は、
前記n個の機関のうちのt個の機関を選択し、この選択したt個の各機関に前記復号対象データC2を送信する手段と、
前記t個の各機関から受信した部分出力Zjを合成して前記復号結果C1(=ML ^2 (mod N)、^はべき乗を示す記号)を得る手段と、
前記復号結果C1、前記復号対象データC2及び下記式に基づいて、演算処理を実行し、最終復号結果Mを求める手段と
を備えたことを特徴とする秘密分散システム。
a1=(L2)-1 (mod e)
a2=(a1L2−1)/e
M=C1 a1(C2 a2)-1 (mod N) - 請求項2に記載の秘密分散システムにおいて、
前記復号対象データC2に代えて、署名対象データS2(=M)を用い、
前記復号結果C1に代えて、署名結果S1(=Md L ^2(mod N)、^はべき乗を示す記号)を用い、
前記最終復号結果Mを求める手段に代えて、
前記署名結果S1(=(Md)e)、前記署名対象データS2(=(Md)L ^2)及び下記式に基づいて、演算処理を実行し、最終署名結果Mdを求める手段と
を備えたことを特徴とする秘密分散システム。
a1=(L2)-1 (mod e)
a2=(a1L2−1)/e
Md=S1 a1(S2 a2)-1 (mod N) - 公開鍵及び秘密鍵dを用いるRSA暗号系に適用され、互いに送受信可能なn個の機関及びユーザ装置を備え、n個の機関に前記秘密鍵dの部分最終情報が分散されたとき、その中の任意のt個の機関から得られた部分出力により、前記秘密鍵dを算出せずに復号結果又は署名結果を生成可能な(t,n)型の秘密分散システムに使用されるコンピュータ読み取り可能な記憶媒体であって、
前記n個の各機関内のコンピュータに、
前記公開鍵及び前記秘密鍵dを生成する手段と、
この秘密鍵dに基づいて生成された(n,n)型の1個の部分情報di(0≦i≦n)を保持する手段と、
tを底としたnの対数logtn以上の最小の整数をrとしたとき、前記部分情報diを(t,n)型のt(r+1)個の部分乱数とし、そのうちのr+1個の部分乱数を前記各機関の識別番号のt進表示(tj桁目の値k、0≦k≦t−1、0≦j≦r)に基づいて、それぞれ各機関に分散する手段と、
前記各機関から分散されたn(r+1)個の部分乱数をt進表示の桁tj毎にまとめてr+1個の部分最終情報dj,kを得る手段、
前記ユーザ装置から受けた処理対象データを前記部分最終情報dj,kに基づいて演算処理し、得られた部分出力を前記ユーザ装置に返信する手段、
を実現させるためのプログラムを記憶したコンピュータ読み取り可能な記憶媒体。 - 第1の公開鍵(e,N)及び秘密鍵dと、第2の公開鍵(L2,N)とを用いるRSA暗号系(eとL2とは最大公約数が1であり、法Nは共通)に適用され、互いに送受信可能なn個の機関及びユーザ装置を備え、n個の機関に前記秘密鍵dの部分情報sjが分散されたとき、その中の任意のt個の機関により、前記秘密鍵dを算出せずに復号結果を生成可能な(t,n)型の秘密分散システムに使用される記憶媒体であって、
前記n個の各機関内のコンピュータに、
前記ユーザ装置から受けた復号対象データC2(=Me (mod N))を演算処理して得られた部分出力Zjを前記ユーザ装置に返信する手段、を実現させるためのプログラムを記憶し、
前記ユーザ装置内のコンピュータに、
前記n個の機関のうちのt個の機関を選択し、この選択したt個の各機関に前記復号対象データC2を送信する手段、
前記t個の各機関から受信した部分出力Zjを合成して前記復号結果C1(=ML ^2 (mod N)、^はべき乗を示す記号)を得る手段、
前記復号結果C1、前記復号対象データC2及び下記式に基づいて、演算処理を実行し、最終復号結果Mを求める手段、
を実現させるためのプログラムを記憶したコンピュータ読み取り可能な記憶媒体。
a1=(L2)-1 (mod e)
a2=(a1L2−1)/e
M=C1 a1(C2 a2)-1 (mod N) - 請求項5に記載の記憶媒体において、
前記復号対象データC2に代えて、署名対象データS2(=M)を用い、
前記復号結果C1に代えて、署名結果S1(=Md L ^2(mod N)、^はべき乗を示す記号)を用い、
前記最終復号結果Mを求める手段に代えて、
前記署名結果S1(=(Md)e)、前記署名対象データS2(=(Md)L ^2)及び下記式に基づいて、演算処理を実行し、最終署名結果Mdを求める手段と
を実現させるためのプログラムを記憶したコンピュータ読み取り可能な記憶媒体。
a1=(L2)-1 (mod e)
a2=(a1L2−1)/e
Md=S1 a1(S2 a2)-1 (mod N) - 公開鍵及び秘密鍵dを用いるRSA暗号系に適用され、互いに送受信可能なn個の機関装置及びユーザ装置を備え、n個の機関装置に前記秘密鍵dの部分最終情報が分散されたとき、その中の任意のt個の機関装置から得られた部分出力により、前記秘密鍵dを算出せずに復号結果又は署名結果を生成可能な(t,n)型の秘密分散システムに使用される各々の前記機関装置であって、
前記公開鍵及び前記秘密鍵dを生成する手段と、
この秘密鍵dに基づいて生成された(n,n)型の1個の部分情報d i (0≦ i ≦n)を保持する手段と、
tを底としたnの対数log t n以上の最小の整数をrとしたとき、前記部分情報d i を(t,n)型のt(r+1)個の部分乱数とし、そのうちのr+1個の部分乱数を前記各機関の識別番号のt進表示(t j 桁目の値 k 、0≦ k ≦t−1、0≦ j ≦r)に基づいて、それぞれ各機関に分散する手段と、
前記各機関から分散されたn(r+1)個の部分乱数をt進表示の桁t j 毎にまとめてr+1個の部分最終情報d j,k を得る手段と、
前記ユーザ装置から受けた処理対象データを前記部分最終情報d j,k に基づいて演算処理し、得られた部分出力を前記ユーザ装置に返信する手段とを備えており、
前記部分出力は、前記復号結果又は署名結果を生成するために用いられる情報であることを特徴とする機関装置。 - 第1の公開鍵( e ,N)及び秘密鍵dと、第2の公開鍵(L 2 ,N)とを用いるRSA暗号系( e とL 2 とは最大公約数が1であり、法Nは共通)に適用され、互いに送受信可能なn個の機関及びユーザ装置を備え、n個の機関に前記秘密鍵dの部分情報s j が分散されたとき、その中の任意のt個の機関における復号対象データC2の演算により得られた部分出力Z j により、前記秘密鍵dを算出せずに復号結果を生成可能な(t,n)型の秘密分散システムに使用される前記ユーザ装置であって、
前記n個の機関のうちのt個の機関を選択し、この選択したt個の各機関に前記復号対象データC2(=M e (mod N))を送信する手段と、
前記t個の各機関から受信した部分出力Z j を合成して前記復号結果C1(=M L ^2 (mod N)、 ^ はべき乗を示す記号)を得る手段と、
前記復号結果C1、前記復号対象データC2及び下記式に基づいて、演算処理を実行し、最終復号結果Mを求める手段と、
を備えたことを特徴とするユーザ装置。
a1 =(L 2 ) -1 (mod e )
a2 =( a1 L 2 −1)/ e
M=C 1 a1 (C 2 a2 ) -1 (mod N) - 請求項8に記載のユーザ装置において、
前記復号対象データC2に代えて、署名対象データS2(=M)を用い、
前記復号結果C1に代えて、署名結果S1(=M d L ^2 (mod N)、 ^ はべき乗を示す記号)を用い、
前記最終復号結果Mを求める手段に代えて、
前記署名結果S1(= ( M d ) e )、前記署名対象データS2(= ( M d ) L ^2 )及び下記式に基づいて、演算処理を実行し、最終署名結果M d を求める手段と
を備えたことを特徴とするユーザ装置。
a1 =(L 2 ) -1 (mod e )
a2 =( a1 L 2 −1)/ e
M d =S 1 a1 (S 2 a2 ) -1 (mod N) - 第1の公開鍵( e ,N)及び秘密鍵dと、第2の公開鍵(L 2 ,N)とを用いるRSA暗号系( e とL 2 とは最大公約数が1であり、法Nは共通)に適用され、互いに送受信可能なn個の機関装置及びユーザ装置を備え、
前記ユーザ装置は、
前記n個の機関装置のうちのt個の機関装置を選択し、この選択したt個の各機関装置に前記復号対象データC2を送信する手段と、
前記t個の各機関装置から受信した部分出力Z j を合成して前記復号結果C1(=M L ^2 (mod N)、 ^ はべき乗を示す記号)を得る手段と、
前記復号結果C1、前記復号対象データC2及び下記式に基づいて、演算処理を実行し、最終復号結果Mを求める手段とを備えており、
n個の機関装置に前記秘密鍵dの部分情報s j が分散されたとき、その中の任意のt個の機関装置から得られた部分出力Z j により、前記秘密鍵dを算出せずに復号結果を生成可能な(t,n)型の秘密分散システムに使用される各々の前記機関装置であって、
前記ユーザ装置から受けた復号対象データC2(=M e (mod N))を演算処理して得られた部分出力Z j を前記ユーザ装置に返信する手段を備えたことを特徴とする機関装置。
a1 =(L 2 ) -1 (mod e )
a2 =( a1 L 2 −1)/ e
M=C 1 a1 (C 2 a2 ) -1 (mod N) - 請求項10に記載の機関装置において、
前記復号対象データC2に代えて、署名対象データS2(=M)を用い、
前記復号結果C1に代えて、署名結果S1(=M d L ^2 (mod N)、 ^ はべき乗を示す記号)を用い、
前記ユーザ装置は、
前記最終復号結果Mを求める手段に代えて、
前記署名結果S1(= ( M d ) e )、前記署名対象データS2(= ( M d ) L ^2 )及び下記式に基づいて、演算処理を実行し、最終署名結果M d を求める手段と
を備えたことを特徴とする機関装置。
a1 =(L 2 ) -1 (mod e )
a2 =( a1 L 2 −1)/ e
M d =S 1 a1 (S 2 a2 ) -1 (mod N)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP20989199A JP3560860B2 (ja) | 1999-07-23 | 1999-07-23 | 秘密分散システム、装置及び記憶媒体 |
US09/488,006 US6810122B1 (en) | 1999-07-23 | 2000-01-20 | Secret sharing system and storage medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP20989199A JP3560860B2 (ja) | 1999-07-23 | 1999-07-23 | 秘密分散システム、装置及び記憶媒体 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004117134A Division JP4664615B2 (ja) | 2004-04-12 | 2004-04-12 | 秘密分散システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2001034164A JP2001034164A (ja) | 2001-02-09 |
JP3560860B2 true JP3560860B2 (ja) | 2004-09-02 |
Family
ID=16580367
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP20989199A Expired - Lifetime JP3560860B2 (ja) | 1999-07-23 | 1999-07-23 | 秘密分散システム、装置及び記憶媒体 |
Country Status (2)
Country | Link |
---|---|
US (1) | US6810122B1 (ja) |
JP (1) | JP3560860B2 (ja) |
Families Citing this family (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6934393B2 (en) * | 2000-06-09 | 2005-08-23 | Northrop Grumman Corporation | System and method for third party recovery of encryption certificates in a public key infrastructure |
US7088821B2 (en) * | 2001-05-03 | 2006-08-08 | Cheman Shaik | Absolute public key cryptographic system and method surviving private-key compromise with other advantages |
JP2002351845A (ja) * | 2001-05-24 | 2002-12-06 | Yutaka Hokura | 通信端末装置における電子情報保護システム |
US7187772B2 (en) * | 2001-08-31 | 2007-03-06 | Hewlett-Packard Development Company, L.P. | Anonymous transactions based on distributed processing |
CN1207867C (zh) * | 2001-09-28 | 2005-06-22 | 中国科学院研究生院 | 一种安全的数字签名系统及其数字签名方法 |
JP3992491B2 (ja) * | 2001-12-20 | 2007-10-17 | 日立ソフトウエアエンジニアリング株式会社 | 商品購入に対する特典データの暗号化配布装置、データ受領装置、及び暗号化配布方法 |
WO2004057461A2 (en) * | 2002-12-19 | 2004-07-08 | Ntt Communications Corporation | Data division method and device using exclusive or calculation |
JP4292835B2 (ja) * | 2003-03-13 | 2009-07-08 | 沖電気工業株式会社 | 秘密再構成方法、分散秘密再構成装置、及び秘密再構成システム |
JP4602675B2 (ja) * | 2004-02-10 | 2010-12-22 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 機密情報管理システム、機密情報管理方法、および機密情報管理プログラム、並びに機密情報管理システム用端末プログラム |
WO2005076518A1 (en) * | 2004-02-10 | 2005-08-18 | Ntt Communications Corporation | Secret information management scheme based on secret sharing scheme |
JP2005275937A (ja) * | 2004-03-25 | 2005-10-06 | Fujitsu Ltd | P2pネットワークシステム |
JP4624734B2 (ja) * | 2004-07-05 | 2011-02-02 | 西日本電信電話株式会社 | エージェント制御システムおよび方法 |
JP4736370B2 (ja) | 2004-07-27 | 2011-07-27 | 株式会社日立製作所 | ホスティング環境構築方法および計算機システム |
US7659819B2 (en) * | 2005-04-21 | 2010-02-09 | Skyetek, Inc. | RFID reader operating system and associated architecture |
US20060238304A1 (en) * | 2005-04-21 | 2006-10-26 | Sean Loving | System and method for adapting an FRID tag reader to its environment |
WO2006124289A2 (en) * | 2005-05-13 | 2006-11-23 | Temple University - Of The Commonwealth System Of Higher Education | Secret sharing technique with low overhead information content |
US20070206786A1 (en) * | 2005-08-31 | 2007-09-06 | Skyetek, Inc. | Rfid security system |
US20070094494A1 (en) * | 2005-10-26 | 2007-04-26 | Honeywell International Inc. | Defending against sybil attacks in sensor networks |
US20070206797A1 (en) * | 2006-03-01 | 2007-09-06 | Skyetek, Inc. | Seamless rfid tag security system |
US8996586B2 (en) * | 2006-02-16 | 2015-03-31 | Callplex, Inc. | Virtual storage of portable media files |
US10303783B2 (en) * | 2006-02-16 | 2019-05-28 | Callplex, Inc. | Distributed virtual storage of portable media files |
JP4807785B2 (ja) * | 2006-08-15 | 2011-11-02 | 日本電信電話株式会社 | 実行権限分散方法及びシステム |
JP5051429B2 (ja) * | 2006-11-14 | 2012-10-17 | 日本電気株式会社 | 暗号鍵管理方法、そのシステム及びそのプログラム |
US8050410B2 (en) * | 2006-12-08 | 2011-11-01 | Uti Limited Partnership | Distributed encryption methods and systems |
US20080144836A1 (en) * | 2006-12-13 | 2008-06-19 | Barry Sanders | Distributed encryption authentication methods and systems |
US8930660B2 (en) | 2007-02-16 | 2015-01-06 | Panasonic Corporation | Shared information distributing device, holding device, certificate authority device, and system |
US20110026716A1 (en) * | 2008-05-02 | 2011-02-03 | Weng Sing Tang | Method And System For On-Screen Authentication Using Secret Visual Message |
US9225520B2 (en) * | 2010-05-28 | 2015-12-29 | Adobe Systems Incorporated | System and method for deterministic generation of a common content encryption key on distinct encryption units |
US9430655B1 (en) * | 2012-12-28 | 2016-08-30 | Emc Corporation | Split tokenization |
US9949115B2 (en) * | 2014-06-10 | 2018-04-17 | Qualcomm Incorporated | Common modulus RSA key pairs for signature generation and encryption/decryption |
US11646880B2 (en) * | 2017-01-18 | 2023-05-09 | Nippon Telegraph And Telephone Corporation | Secret computation method, secret computation system, secret computation apparatus, and program |
GB201707168D0 (en) * | 2017-05-05 | 2017-06-21 | Nchain Holdings Ltd | Computer-implemented system and method |
EP3669490A1 (en) | 2017-08-15 | 2020-06-24 | Nchain Holdings Limited | Threshold digital signature method and system |
KR20240011260A (ko) | 2017-08-15 | 2024-01-25 | 엔체인 홀딩스 리미티드 | 임계치 볼트를 생성하는 컴퓨터로 구현되는 방법 |
JP7036608B2 (ja) * | 2018-02-07 | 2022-03-15 | 惠市 岩村 | 秘密分散システム |
JP7356673B2 (ja) * | 2019-02-22 | 2023-10-05 | パナソニックホールディングス株式会社 | クラウドサービスを用いた安全な秘密分散保管システム |
CN110430042B (zh) * | 2019-06-28 | 2022-11-22 | 中国人民解放军战略支援部队信息工程大学 | 一种在异构冗余系统中存储秘钥的装置及方法 |
EP3860035A1 (en) | 2020-01-29 | 2021-08-04 | Sebastien Armleder | Storing and determining a data element |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5625692A (en) * | 1995-01-23 | 1997-04-29 | International Business Machines Corporation | Method and system for a public key cryptosystem having proactive, robust, and recoverable distributed threshold secret sharing |
US6026163A (en) * | 1995-12-13 | 2000-02-15 | Micali; Silvio | Distributed split-key cryptosystem and applications |
DE69938624T2 (de) * | 1998-05-22 | 2009-06-10 | Certco Inc. | Robuste und effiziente verteilte erzeugung eines rsa-schlüssels |
-
1999
- 1999-07-23 JP JP20989199A patent/JP3560860B2/ja not_active Expired - Lifetime
-
2000
- 2000-01-20 US US09/488,006 patent/US6810122B1/en not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
US6810122B1 (en) | 2004-10-26 |
JP2001034164A (ja) | 2001-02-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3560860B2 (ja) | 秘密分散システム、装置及び記憶媒体 | |
May | Using LLL-reduction for solving RSA and factorization problems | |
Di Crescenzo et al. | Conditional oblivious transfer and timed-release encryption | |
Canetti et al. | An efficient threshold public key cryptosystem secure against adaptive chosen ciphertext attack | |
Perlner et al. | Quantum resistant public key cryptography: a survey | |
US6587946B1 (en) | Method and system for quorum controlled asymmetric proxy encryption | |
Frankel et al. | Parallel reliable threshold multisignature | |
US5146500A (en) | Public key cryptographic system using elliptic curves over rings | |
US8559631B1 (en) | Systems and methods for efficient decryption of attribute-based encryption | |
JP2020531893A (ja) | 閾値デジタル署名方法及びシステム | |
EP0936776B1 (en) | A network system using a threshold secret sharing method | |
Zheng et al. | Practical approaches to attaining security against adaptively chosen ciphertext attacks | |
Khan et al. | Analysis of asymmetric cryptography in information security based on computational study to ensure confidentiality during information exchange | |
JP3794457B2 (ja) | データの暗号化復号化方法 | |
Lysyanskaya et al. | Adaptive security in the threshold setting: From cryptosystems to signature schemes | |
Mohan et al. | Homomorphic encryption-state of the art | |
Backes et al. | Lazy revocation in cryptographic file systems | |
Ruan et al. | New approach to set representation and practical private set-intersection protocols | |
Ramesh et al. | Secure data storage in cloud: an e-stream cipher-based secure and dynamic updation policy | |
Abo-Alian et al. | Auditing-as-a-service for cloud storage | |
Cafaro et al. | Space-efficient verifiable secret sharing using polynomial interpolation | |
JP4664615B2 (ja) | 秘密分散システム | |
Longo et al. | Threshold multi-signature with an offline recovery party | |
Shepherd et al. | The quadratic residue cipher and some notes on implementation | |
JPH1155244A (ja) | 鍵回復方法および装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040210 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040412 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20040518 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040526 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 3560860 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090604 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100604 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100604 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110604 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120604 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130604 Year of fee payment: 9 |
|
EXPY | Cancellation because of completion of term |