JP4284867B2 - 標準モデル上で適応的選択暗号文攻撃に対して安全な公開鍵暗号方法 - Google Patents

標準モデル上で適応的選択暗号文攻撃に対して安全な公開鍵暗号方法 Download PDF

Info

Publication number
JP4284867B2
JP4284867B2 JP2001009646A JP2001009646A JP4284867B2 JP 4284867 B2 JP4284867 B2 JP 4284867B2 JP 2001009646 A JP2001009646 A JP 2001009646A JP 2001009646 A JP2001009646 A JP 2001009646A JP 4284867 B2 JP4284867 B2 JP 4284867B2
Authority
JP
Japan
Prior art keywords
ciphertext
sender
side device
receiver
communication method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001009646A
Other languages
English (en)
Other versions
JP2002215019A5 (ja
JP2002215019A (ja
Inventor
玄次 西岡
尚宜 佐藤
洋一 瀬戸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2001009646A priority Critical patent/JP4284867B2/ja
Priority to US10/046,224 priority patent/US20020146117A1/en
Publication of JP2002215019A publication Critical patent/JP2002215019A/ja
Publication of JP2002215019A5 publication Critical patent/JP2002215019A5/ja
Application granted granted Critical
Publication of JP4284867B2 publication Critical patent/JP4284867B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3013Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/26Testing cryptographic entity, e.g. testing integrity of encryption key or encryption algorithm

Landscapes

  • Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は,公開鍵暗号方法及び公開鍵暗号を用いた暗号通信に関する。
【0002】
【従来の技術】
現在まで,様々な公開鍵暗号方式が提案されている。なかでも,
文献1「R. L. Rivest, A. Shamir, L. Adleman: A method for obtaining digital signatures and public-key cryptosystems, Commun. of the ACM, Vol.21, No.2, pp.120-126, 1978.」
に掲載されている方法が最も有名であり,最も実用化されている公開鍵暗号でる。その他には,
文献2「V. S. Miller: Use of Elliptic Curves in Cryptography, Proc. of Crypto'85, LNCS218, Springer-Verlag, pp.417-426 (1985)」,
文献3「N. Koblitz: Elliptic Curve Cryptosystems, Math. Comp., 48, 177, pp.203-209 (1987)」
等に記載の楕円曲線を用いた方法が効率的な公開鍵暗号として知られている。
【0003】
安全性について証明可能な方法として,まず,選択平文攻撃を対象としたものは,
文献4「M. O. Rabin: Digital Signatures and Public-Key Encryptions as Intractable as Factorization, MIT, Technical Report, MIT/LCS/TR-212 (1979)」
に記載されている暗号方法,
文献5「T. ElGamal: A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms, IEEE Trans. On Information Theory, IT-31, 4, pp.469-472(1985)」
に記載されている暗号方法,
文献6「S. Goldwasser and S. Micali: Probabilistic Encryption, JCSS, 28, 2, pp.270-299 (1984) 」に記載されている暗号方法,
文献7「M. Blum and S. Goldwasser: An Efficient probabilistic public-key encryption scheme which hides all partial information, Proc. of Crypto'84, LNCS196, Springer-Verlag, pp.289-299 (1985)」
に記載されている暗号方法,
文献8「S. Goldwasser and M. Bellare: Lecture Notes on Cryptography, http:/www-cse.ucsd.edu/users/ mihir/ (1997)」
に記載されている暗号方法,
文献9「T. Okamoto and S. Uchiyama. A New Public-Key Cryptosystem as Secure as Factoring, Proc. of Eurocrypt'98, LNCS1403, Springer Verlag, pp.308-318 (1998)」
に記載されている暗号方法,
などが知られている。
【0004】
また,選択暗号文攻撃に対して安全性証明可能な方法としては,
文献10「D. Dolve, C. Dwork and M. Naor.: Non-malleable cryptography, In 23rd Annual ACM Symposium on Theory of Computing, pp.542-552 (1991)」
に記載されている暗号方法,
文献11「M. Naor and M. Yung.: Public-key cryptosystems provably secure against chosen ciphertext attacks, Proc. of STOC, ACM Press, pp.427-437 (1990)」
に記載されている暗号方法,
文献12「M. Bellare and P. Rogaway,. Optimal Asymmetric Encryption How to Encrypt with RSA, Proc. of Eurocrypt'94, LNCS950, Springer Verlag, pp.92-111 (1994)」
に記載されている暗号方法,
文献13「R. Cramer and V. Shoup: A Practical Public Key Cryptosystem Provably Secure against Adaptive Chosen Ciphertext Attack, Proc. of Crypto98, LNCS1462, Springer-Verlag, pp.13-25 (1998)」
に記載されている暗号方法,などが知られている。また,
文献14「M. Bellare, A. Desai, D. Pointcheval and P. Rogaway. : Relations Among Notions of Security for Public-Key Encryption Schemes, Proc. of Crypto'98, LNCS1462, Springer Verlag, pp.26-45 (1998)」
では,IND-CCA2(適応的選択暗号文攻撃に対して“強秘匿”であること)とNM-CCA2(適応的選択暗号文攻撃に対して“頑強”であること)の等価性が示され,現在,この条件を満たす公開鍵暗号が最も安全であると考えられている。
【0005】
【発明が解決しようとする課題】
文献12に記載されている公開鍵暗号方法は,実用的ではあるが,理想的ランダム関数の存在を前提として安全性の証明が行われている。理想的ランダム関数を実システムにおいて構築することは不可能なため,文献12の方法を実システムに適用する場合には,理想的ランダム関数の部分は実用的ハッシュ関数に置き換えられる。このため,実システムでは安全性の証明ができない。
【0006】
文献13では,理想的ランダム関数の代わりに汎用一方向性ハッシュ関数の存在を前提としてIND-CCA2であることが証明できる公開鍵暗号方法を提供している。汎用一方向性ハッシュ関数は(暗号学的仮定の下で)実際に構築可能なので,文献13に記載されている方法は標準モデル上で安全性が証明できる方法である。しかし,実システムに適用する場合,効率性を高める目的で,SHA-1などの実用的なハッシュ関数を汎用的ハッシュ関数と仮定して用いるため,安全性証明可能の条件に強い仮定が必要になる。また,文献13では,汎用的一方向性ハッシュ関数の存在を前提としない公開鍵暗号方法も提案されているが,汎用的一方向性ハッシュ関数の存在を前提とする方法に比べて効率性が悪くなる。
【0007】
本発明の主たる目的は,標準モデル(理想的関数の存在等を仮定しない現実の計算機モデル)で,最も強力な攻撃方法である適応的選択暗号文攻撃に対して安全性の証明が可能であり(IND-CCA2),かつ,実用的な公開鍵暗号方法を提供することである。
【0008】
本発明の他の目的は,Diffe-Hellman 決定問題の困難性のみを仮定し,実システムに適用した場合においても,安全性の証明が可能な実用的公開鍵暗号方法を提供することである。
【0009】
また,本発明の他の目的は,本発明に依る公開鍵暗号方法を用いた暗号通信方法,さらには,これらの方法を実行するプログラム,装置またはシステムを提供することである。
【0010】
【課題を解決するための手段】
上記目的を達成するための手段として,適応的選択暗号文攻撃に対しての安全性を確保するため,不正な暗号文が(シミュレートされた)復号化オラクルに入力された場合には拒否されるように,平文と乱数を組み合わせて暗号文を作成する。復号化オラクルが与えられた環境とは,ターゲットとなる暗号文以外の任意の暗号文に対して,その復号化結果を無条件に得られる環境を指す。 具体的な実現方法の1つとしては,
[鍵生成]
【0011】
【数69】
Figure 0004284867
【0012】
なる秘密鍵を作成し,さらに,
【0013】
【数70】
Figure 0004284867
【0014】
なる公開鍵を作成する。
[暗号化]
送信者は,平文m(|m|=k3,但し|x|はxの桁数を表す)に対して,乱数α=α1||α2(|α1|=k1,|α2|=k2)を作成し,
【0015】
【数71】
Figure 0004284867
【0016】
を計算する。さらに,乱数 r∈Zqを選び,
【0017】
【数72】
Figure 0004284867
【0018】
を計算し,(u1,u2,e,v)を暗号文として前記受信者に送信する。
[復号化]
受信者は,自身の秘密鍵を用いて,暗号文から,
【0019】
【数73】
Figure 0004284867
【0020】
なる α'1,α'2,m'(|α'1|=k1,|α'2|=k2,|m'|=k3)を計算し,
【0021】
【数74】
Figure 0004284867
【0022】
が成立すればm'を復号化結果として出力し(但し,α'=α'1||α'2),成立しなければ該暗号文を拒否する旨を復号化結果として出力する。
【0023】
【発明の実施の形態】
暗号化装置,復号化装置が新規,図4が無い,図が少ない
以下,図面を用いて,本発明の実施例について説明する。
【0024】
図1は,本発明の実施例のシステム構成を示す図である。このシステムは,送信者側装置100と受信者側装置200から構成されている。さらに,送信者側装置100と受信者側装置200は通信回線300で接続されている。
【0025】
図2は,実施例における送信者側装置100の内部構成を示す。送信者側装置100は,乱数生成手段101,べき乗算手段102,演算手段103,剰余演算手段104,メモリ105,通信装置106,入力装置107,暗号化装置108を備えている。暗号化対象となる平文mは,入力装置107を用いて入力するか,送信者側装置100上で作成するか,または,通信装置106あるいは図示していない記憶媒体を介して取り込む。
【0026】
図3は,実施例における受信者側装置200の内部構成を示す。受信者側装置200は,鍵生成手段201,べき乗算手段202,剰余演算手段203,演算手段204,メモリ205,通信装置206,復号化装置108,を備えている。このほか,図示していないが,復号化結果を,表示,音などの手段により当該装置の使用者(受信者)に示すための出力装置を備える。
【0027】
送信者側装置100,受信者側装置200は,いずれもCPUとメモリとを備えた計算機を用いて所定のプログラムを実行させることにより構成することができる。乱数生成手段101,鍵生成手段201,べき乗算手段202,剰余演算手段203はいずれも専用のハードウェアを用いて構成しても良いし,演算手段上(CPU)上で動作するプログラムとして構成しても良い。各プログラムは,可搬型記憶媒体や通信回線上の通信媒体といった計算機が読みとり可能な媒体上に具現化され,これらの媒体を介して計算機のメモリに格納される。
【0028】
図4は,実施例2の概要を示す図である。
【0029】
図5は,実施例4の概要を示す図である。
【0030】
図6は,実施例6の概要を示す図である。
(実施例1)
本実施例は,公開鍵暗号方法について説明する。
【0031】
図1は,本実施例のシステム構成を示す。
1.鍵生成処理
受信者側装置200内の鍵生成手段201は,受信者Bの操作により,予め,
【0032】
【数75】
Figure 0004284867
【0033】
なる秘密情報を作成し,
【0034】
【数76】
Figure 0004284867
【0035】
なる公開情報を作成し(但し,群Gは群G'の部分群とし,X1,X2は正整数からなる有限集合で,
【0036】
【数77】
Figure 0004284867
【0037】
を満たすものとする。また,Mは平文空間とする),公開情報を通信回線300などを介して出力し,送信者側装置100へ送付するか,または公開する。公開する方法として,例えば第3者(公開情報管理機関)への登録など,周知の方法を用いることが可能である。その他の情報については,メモリ205に格納する。
2.暗復号化処理
(1)送信者側装置100は,送信者Aの操作により,平文m(m∈M)に対して,乱数生成手段101を用いて,乱数α1∈X1,α2∈X2,r∈Zqを選び,べき乗算手段102,演算手段103,剰余演算手段104を用いて,
【0038】
【数78】
Figure 0004284867
【0039】
を計算する(但し,α=α1||α2)。さらに,送信者側装置100は,送信者Aの操作により,(u1,u2,e,v)を暗号文として,通信装置106を用いて通信回線300を介して受信者側装置200に送信する。
(2)受信者側装置200は,受信者Bの操作により,保持している上記秘密情報と,受信者側装置200内のべき乗算手段202,剰余演算手段203,演算手段204を用いて暗号文から,
【0040】
【数79】
Figure 0004284867
【0041】
なる α'1,α'2,m'(α'1∈X1,α'2∈X2,m'∈M)を計算し,
【0042】
【数80】
Figure 0004284867
【0043】
が成立すればm'を復号化結果として出力し(但し,α'=α'1||α'2),成立しなければ該暗号文を拒否する旨を復号化結果として出力する。
【0044】
本実施例による方法では,GにおけるDiffie-Hellman 決定問題の困難性を前提として,適応的選択暗号文攻撃に対して強秘匿であることを示すことができる。GにおけるDiffie-Hellman 決定問題とは,「g1,g2∈Gに対して,
【0045】
【数81】
Figure 0004284867
【0046】
のいずれかの集合に属するシーケンスδが与えられたとき,δがいずれに属するかを言い当てる問題」である。Diffie-Hellman 決定問題を1/2よりも良い確率で解くことが難しいとき,Diffie-Hellman 決定問題は困難であると言う(Diffie-Hellman 決定問題については,文献13等に述べられている)。
安全性の証明方法の手順としては,本実施例の方法を破るアルゴリズムが存在すれば,そのアルゴリズムを利用して,(具体的には,文献12で述べられている方法と同様の方法にて),Diffie-Hellman 決定問題を解くアルゴリズムを構築することができることを示す。
また,Diffie-Hellman 決定問題を解くアルゴリズムが存在したとしても,本実施例の方法を破るアルゴリズムは見つかっていないため,本実施例の方法を破る事は少なくともDiffie-Hellman 決定問題を解く以上に困難である。
【0047】
さらに,本実施例による方法では,送信者側装置100は,送信者Aの操作により暗号文を作成するに当たり,予め乱数α1∈X1,α2∈X2,r∈Zqを選び,
【0048】
【数82】
Figure 0004284867
【0049】
を前もって計算して保存しておくことが可能である。これにより,暗号化処理の負担を大幅に減らし処理時間を短縮することが可能になる。
(実施例2)
本実施例は,実施例1における公開鍵暗号方法の実現方法の1つについて述べる。
【0050】
図1は,本実施例のシステム構成を示す。図4は本実施例の概要を示す。
1.鍵生成処理
受信者側装置200内の鍵生成手段201は,受信者Bの操作により,予め,
【0051】
【数83】
Figure 0004284867
【0052】
なる秘密情報を作成し,
【0053】
【数84】
Figure 0004284867
【0054】
なる公開情報を作成し,公開情報を通信回線300などを介して出力し,送信者側装置100へ送付するか,または公開する。公開する方法として,例えば第3者(公開情報管理機関)への登録など,周知の方法を用いることが可能である。その他の情報については,メモリ205に格納する。
2.暗復号化処理
(1)送信者側装置100は,送信者Aの操作により,平文m(|m|=k3,但し|x|はxの桁数を表す)に対して,乱数生成手段101を用いて,乱数α=α1||α2(|α1|=k1,|α2|=k2)を選び,
【0055】
【数85】
Figure 0004284867
【0056】
を計算し,さらに,乱数生成手段101を用いて,乱数 r∈Zqを選び,べき乗算手段102,演算手段103,剰余演算手段104を用いて,
【0057】
【数86】
Figure 0004284867
【0058】
を計算する。さらに,送信者側装置100は,送信者Aの操作により,(u1,u2,e,v)を暗号文として,通信装置106を用いて通信回線300を介して受信者Bの受信者側装置200に送信する。
【0059】
(2) 受信者側装置200は,受信者Bの操作により,保持している上記秘密情報と,受信者側装置200内のべき乗算手段202,剰余演算手段203,演算手段204を用いて暗号文から,
【0060】
【数87】
Figure 0004284867
【0061】
なる α'1,α'2,m'(|α'1|=k1,|α'2|=k2,|m'|=k3)を計算し,
【0062】
【数88】
Figure 0004284867
【0063】
が成立すればm' を復号結果として出力し(但し,α'=α'1||α'2),成立しなければ該暗号文を拒否する旨を復号化結果として出力する。
【0064】
本実施例による方法では,送信者側装置100は,送信者Aの操作により暗号文を作成するに当たり,予め乱数α1,α2(|α1|=k1,|α2|=k2),r∈Zqを選び,
【0065】
【数89】
Figure 0004284867
【0066】
を前もって計算して保存しておくことで,暗号化処理負担を大幅に減少させることが可能である。
(実施例3)
本実施例は,共通鍵暗号(対称型暗号)を用いて,メッセージの送信者であるAが受信者であるBに対して,送信データmを暗号化し、暗号化鍵を実施例1で述べた公開鍵暗号により暗号化して鍵配送する場合について説明する。
【0067】
図1は,本実施例のシステム構成を示す。
1.鍵生成処理
受信者側装置200内の鍵生成手段201は,受信者Bの操作により,予め,
【0068】
【数90】
Figure 0004284867
【0069】
なる秘密情報を作成し,
【0070】
【数91】
Figure 0004284867
【0071】
なる公開情報を作成し(但し,群Gは群G'の部分群とし,X1,X2は正整数からなる有限集合で,
【0072】
【数92】
Figure 0004284867
【0073】
を満たすものとする。また,Mは鍵空間とする),公開情報を通信回線300などを介して出力し,送信者側装置100へ送付するか,または公開する。公開する方法として,例えば第3者(公開情報管理機関)への登録など,周知の方法を用いることが可能である。その他の情報については,メモリ205に格納する。
2.暗復号化処理
(1)送信者側装置100は,送信者Aの操作により,鍵データK(K∈M)に対して,乱数生成手段101を用いて,乱数α1∈X1,α2∈X2,r∈Zqを選び,べき乗算手段102,演算手段103,剰余演算手段104を用いて,
【0074】
【数93】
Figure 0004284867
【0075】
を計算し(但し,α=α1||α2),送信データmの暗号文Cを(対称型)暗号化関数Eとその鍵データKを用いて,
【0076】
【数94】
Figure 0004284867
【0077】
にて作成する。さらに,送信者側装置100は,送信者Aの操作により,(u1,u2,e,v,C)を暗号文として,通信装置106を用いて通信回線300を介して受信者側装置200に送信する。
(2)受信者側装置200は,受信者Bの操作により,保持している上記秘密情報と,受信者側装置200内のべき乗算手段202,剰余演算手段203,演算手段204を用いて暗号文から,
【0078】
【数95】
Figure 0004284867
【0079】
なる α'1,α'2,K'(α'1∈X1,α'2∈X2,K'∈M)を計算し,
【0080】
【数96】
Figure 0004284867
【0081】
が成立すれば(但し,α'=α'1||α'2),
【0082】
【数97】
Figure 0004284867
【0083】
にて復号化を行い,復号化結果を出力する。成立しなければ該暗号文を拒否する旨を復号化結果として出力する。
【0084】
暗号文Cの別なる作成方法としては,該送信者は,暗号文Cを(対称型)暗号化関数Eとその鍵データKを用いて,
【0085】
【数98】
Figure 0004284867
【0086】
にて作成し,該受信者は,
【0087】
【数99】
Figure 0004284867
【0088】
が成立することを検査し(但し,[x]kはxの上位k桁を表す。),検査をパスした場合に
【0089】
【数100】
Figure 0004284867
【0090】
により,復号化を行う。但し,[x]-kはxの上位k桁を除いた整数列を表す。
【0091】
さらに,本実施例による方法では,送信者側装置100は,送信者Aの操作により暗号文を作成するに当たり,予め乱数α1∈X1,α2∈X2,r∈Zqを選び,
【0092】
【数101】
Figure 0004284867
【0093】
を前もって計算して保存しておくことが可能である。これにより,暗号化処理の負担を大幅に減らし処理時間を短縮することが可能になる。
(実施例4)
本実施例は,共通鍵暗号(対称型暗号)を用いて,メッセージの送信者であるAが受信者であるBに対して,送信データmを暗号化し、暗号化鍵を実施例2で述べた公開鍵暗号により暗号化して鍵配送する場合について説明する。
【0094】
図1は,本実施例のシステム構成を示す。また,図5は,本実施例の概要を示す。
1.鍵生成処理
受信者側装置200内の鍵生成手段201は,受信者Bの操作により,予め,
【0095】
【数102】
Figure 0004284867
【0096】
なる秘密情報を作成し,
【0097】
【数103】
Figure 0004284867
【0098】
なる公開情報を作成し,公開情報を通信回線300などを介して出力し,送信者側装置100へ送付するか,または公開する。公開する方法として,例えば第3者(公開情報管理機関)への登録など,周知の方法を用いることが可能である。その他の情報については,メモリ205に格納する。
2.暗復号化処理
(1)送信者側装置100は,送信者Aの操作により,鍵データK(|K|=k3,但し|x|はxの桁数を表す。)に対して,乱数生成手段101を用いて,乱数α=α1||α2(|α1|=k1,|α2|=k2)を選び,
【0099】
【数104】
Figure 0004284867
【0100】
を計算し,さらに,乱数生成手段101を用いて,乱数 r∈Zqを選び,べき乗算手段102,演算手段103,剰余演算手段104を用いて,
【0101】
【数105】
Figure 0004284867
【0102】
を計算する。さらに,送信者側装置100は,送信者Aの操作により,送信データmの暗号文Cを(対称型)暗号化関数Eとその鍵データKを用いて,
【0103】
【数106】
Figure 0004284867
【0104】
にて作成し,(u1,u2,e,v,C)を暗号文として,通信装置106を用いて通信回線300を介して受信者側装置200に送信する。
(2)受信者側装置200は,受信者Bの操作により,保持している上記秘密情報と,受信者側装置200内のべき乗算手段202,剰余演算手段203,演算手段204を用いて暗号文から,
【0105】
【数107】
Figure 0004284867
【0106】
なる α'1,α'2,K'(|α'1|=k1,|α'2|=k2,|K'|=k3)を計算し,
【0107】
【数108】
Figure 0004284867
【0108】
が成立すれば(但し,α'=α'1||α'2),
【0109】
【数109】
Figure 0004284867
【0110】
にて復号化を行い,復号化結果を出力する。成立しなければ該暗号文を拒否する旨を復号化結果として出力する。
【0111】
暗号文Cの別なる作成方法としては,送信者は,暗号文Cを(対称型)暗号化関数Eとその鍵データKを用いて,
【0112】
【数110】
Figure 0004284867
【0113】
にて作成し,該受信者は,
【0114】
【数111】
Figure 0004284867
【0115】
が成立することを検査し,検査をパスした場合に
【0116】
【数112】
Figure 0004284867
【0117】
により復号化を行う。但し,[x]-kはxの上位k桁を除いた整数列を表す。
【0118】
本実施例による方法では,送信者側装置100は,送信者Aの操作により暗号文を作成するに当たり,予め乱数α1,α2(|α1|=k1,|α2|=k2),r∈Zqを選び,
【0119】
【数113】
Figure 0004284867
【0120】
を前もって計算して保存しておくことで,暗号化処理負担を大幅に減少させることが可能である。
(実施例5)
本実施例は,実施例1で述べた公開鍵暗号をベースに対称型暗号を用いて,メッセージの送信者であるAが受信者であるBに対して,送信データmを暗号通信によって送信する場合について説明する。本実施例によれば,実施例3の方法に比べて効率性に優れ,対称型暗号が選択平文攻撃に対して頑強(IND-CPA)であるとき,最強暗号(NM-CCA2)であることが証明できる。また,本実施例による方式では,鍵K自身を送信するのではなく,各々が作成できるようにシードを共有させている。
【0121】
図1は,本実施例のシステム構成を示す。
1.鍵生成処理
受信者側装置200内の鍵生成手段201は,受信者Bの操作により,予め,
【0122】
【数114】
Figure 0004284867
【0123】
なる秘密情報を作成し,
【0124】
【数115】
Figure 0004284867
【0125】
なる公開情報を作成し(但し,群Gは群G'の部分群とし,X1,X2は正整数からなる有限集合で,
【0126】
【数116】
Figure 0004284867
【0127】
を満たすものとする。),公開情報を通信回線300などを介して出力し,送信者側装置100へ送付するか,または公開する。公開する方法として,例えば第3者(公開情報管理機関)への登録など,周知の方法を用いることが可能である。その他の情報については,メモリ205に格納する。
2.暗復号化処理
(1)送信者側装置100は,送信者Aの操作により,送信データm(m∈M,Mは平文空間)に対して,乱数生成手段101を用いて,乱数α1∈X1,α2∈X2,r∈Zqを選び,べき乗算手段102,演算手段103,剰余演算手段104を用いて,
【0128】
【数117】
Figure 0004284867
【0129】
を計算し(但し,α=α1||α2),送信データmの暗号文Cを(対称型)暗号化関数Eを用いて,
【0130】
【数118】
Figure 0004284867
【0131】
にて作成する。さらに,送信者側装置100は,送信者Aの操作により,(u1,u2, ,v,C)を暗号文として,通信装置106を用いて通信回線300を介して受信者側装置200に送信する。
(2)受信者側装置200は,受信者Bの操作により,保持している上記秘密情報と,受信者側装置200内のべき乗算手段202,剰余演算手段203,演算手段204を用いて,
【0132】
【数119】
Figure 0004284867
【0133】
を計算し,さらに暗号文から,
【0134】
【数120】
Figure 0004284867
【0135】
なる α'1,α'2(α'1∈X1,α'2∈X2)を計算し,
【0136】
【数121】
Figure 0004284867
【0137】
が成立すれば(但し,α'=α'1||α'2),
m'を復号化結果を出力する。成立しなければ該暗号文を拒否する旨を復号化結果として出力する。
【0138】
さらに,本実施例による方法では,送信者側装置100は,送信者Aの操作により暗号文を作成するに当たり,予め乱数α1∈X1,α2∈X2,r∈Zqを選び,u1,u2, ,vを前もって計算して保存しておくことが可能である。これにより,暗号化処理の負担を大幅に減らし処理時間を短縮することが可能になる。
(実施例6)
本実施例は,実施例2で述べた公開鍵暗号をベースに対称型暗号を用いて,メッセージの送信者であるAが受信者であるBに対して,送信データmを暗号通信によって送信する場合について説明する。
【0139】
図1は,本実施例のシステム構成を示す。また,図6は,本実施例の概要を示す。
1.鍵生成処理
受信者側装置200内の鍵生成手段201は,受信者Bの操作により,予め,
【0140】
【数122】
Figure 0004284867
【0141】
なる秘密情報を作成し,
【0142】
【数123】
Figure 0004284867
【0143】
なる公開情報を作成し,公開情報を通信回線300などを介して出力し,送信者側装置100へ送付するか,または公開する。公開する方法として,例えば第3者(公開情報管理機関)への登録など,周知の方法を用いることが可能である。その他の情報については,メモリ205に格納する。
2.暗復号化処理
送信者側装置100は,送信者Aの操作により,平文mに対して,乱数生成手段101を用いて,乱数α=α1||α2(|α1|=k1,|α2|=k2,但し|x|はxの桁数を表す)を選び,さらに,乱数生成手段101を用いて,乱数 r∈Zqを選び,べき乗算手段102,演算手段103,剰余演算手段104を用いて,
【0144】
【数124】
Figure 0004284867
【0145】
を計算する。さらに,送信者側装置100は,送信者Aの操作により,送信データmの暗号文Cを(対称型)暗号化関数Eを用いて,
【0146】
【数125】
Figure 0004284867
【0147】
にて作成し,(u1,u2, ,v,C)を暗号文として,通信装置106を用いて通信回線300を介して受信者側装置200に送信する。
【0148】
受信者側装置200は,受信者Bの操作により,保持している上記秘密情報と,受信者側装置200内のべき乗算手段202,剰余演算手段203,演算手段204を用いて,
【0149】
【数126】
Figure 0004284867
【0150】
を計算し,さらに暗号文から,
【0151】
【数127】
Figure 0004284867
【0152】
なる α'1,α'2(|α'1|=k1,|α'2|=k2)を計算し,
【0153】
【数128】
Figure 0004284867
【0154】
が成立すれば(但し,α'=α'1||α'2),
m'を復号化結果として出力する。成立しなければ該暗号文を拒否する旨を復号化結果として出力する。
【0155】
さらに,本実施例による方法では,送信者側装置100は,送信者Aの操作により暗号文を作成するに当たり,予め乱数α1,α2(|α1|=k1,|α2|=k2),r∈Zqを選び,u1,u2, ,vを前もって計算して保存しておくことが可能である。これにより,暗号化処理の負担を大幅に減らし処理時間を短縮することが可能になる。
(実施例7)
本実施例は,実施例1で述べた公開鍵暗号と他の非対称型暗号を用いて,メッセージの送信者であるAが受信者であるBに対して,送信データmを暗号通信によって送信する場合について説明する。本実施例によれば,他の弱い非対称型暗号(NM-CPA)を最強暗号(NM-CCA2)に変換することができる。
【0156】
図1は,本実施例のシステム構成を示す。
1.鍵生成処理
受信者側装置200内の鍵生成手段201は,受信者Bの操作により,予め,
【0157】
【数129】
Figure 0004284867
【0158】
なる秘密情報を作成し,
【0159】
【数130】
Figure 0004284867
【0160】
なる公開情報を作成し(但し,群Gは群G'の部分群とし,X1,X2は正整数からなる有限集合で,
【0161】
【数131】
Figure 0004284867
を満たすものとする。Mは平文空間),公開情報を通信回線300などを介して出力し,送信者側装置100へ送付するか,または公開する。公開する方法として,例えば第3者(公開情報管理機関)への登録など,周知の方法を用いることが可能である。その他の情報については,メモリ205に格納する。
2.暗復号化処理
(1)送信者側装置100は,送信者Aの操作により,乱数生成手段101を用いて,乱数α1∈X1,α2∈X2,r∈Zqを選び,べき乗算手段102,演算手段103,剰余演算手段104を用いて,
【0162】
【数132】
Figure 0004284867
【0163】
を計算し(但し,α=α1||α2),送信データmの暗号文Cを(非対称型)暗号化関数Epkを用いて,
【0164】
【数133】
Figure 0004284867
にて作成する。さらに,送信者側装置100は,送信者Aの操作により,(u1,u2,e,v)を暗号文として,通信装置106を用いて通信回線300を介して受信者側装置200に送信する。
(2)受信者側装置200は,受信者Bの操作により,保持している上記秘密情報と,受信者側装置200内のべき乗算手段202,剰余演算手段203,演算手段204を用いて暗号文から,
【0165】
【数134】
Figure 0004284867
【0166】
なる α'1,α'2,m'(α'1∈X1,α'2∈X2,m'∈M)を計算し,
【0167】
【数135】
Figure 0004284867
【0168】
が成立すれば(但し,
【0169】
【数136】
Figure 0004284867
【0170】
とする)m'を復号化結果として出力する。成立しなければ該暗号文を拒否する旨を復号化結果として出力する。 さらに,本実施例による方法では,送信者側装置100は,送信者Aの操作により暗号文を作成するに当たり,予め乱数α1∈X1,α2∈X2,r∈Zqを選び,u1,u2,vを前もって計算して保存しておくことが可能である。これにより,暗号化処理の負担を大幅に減らし処理時間を短縮することが可能になる。
(実施例8)
本実施例は,実施例7と同様に,実施例2で述べた公開鍵暗号をベースに非対称型暗号を用いて,メッセージの送信者であるAが受信者であるBに対して,送信データmを暗号通信によって送信する場合について説明する。
【0171】
図1は,本実施例のシステム構成を示す。また,図6は,本実施例の概要を示す。
1.鍵生成処理
受信者側装置200内の鍵生成手段201は,受信者Bの操作により,予め,
【0172】
【数137】
Figure 0004284867
【0173】
なる秘密情報を作成し,
【0174】
【数138】
Figure 0004284867
【0175】
なる公開情報を作成し,公開情報を通信回線300などを介して出力し,送信者側装置100へ送付するか,または公開する。公開する方法として,例えば第3者(公開情報管理機関)への登録など,周知の方法を用いることが可能である。その他の情報については,メモリ205に格納する。
2.暗復号化処理
送信者側装置100は,送信者Aの操作により,乱数生成手段101を用いて,乱数α=α1||α2(|α1|=k1,|α2|=k2,但し|x|はxの桁数を表す)を選び,さらに,乱数生成手段101を用いて,乱数 r∈Zqを選び,べき乗算手段102,演算手段103,剰余演算手段104を用いて,
【0176】
【数139】
Figure 0004284867
【0177】
を計算する。さらに,送信者側装置100は,送信者Aの操作により,送信データm(正整数)の暗号文Cを(非対称型)暗号化関数Eを用いて,
【0178】
【数140】
Figure 0004284867
【0179】
にて作成し,(u1,u2,e,v)を暗号文として,通信装置106を用いて通信回線300を介して受信者側装置200に送信する。
【0180】
受信者側装置200は,受信者Bの操作により,保持している上記秘密情報と,受信者側装置200内のべき乗算手段202,剰余演算手段203,演算手段204を用いて暗号文から,
【0181】
【数141】
Figure 0004284867
【0182】
なる α'1,α'2,m'(|α'1|=k1,|α'2|=k2,m'は正整数)を計算し,
【0183】
【数142】
Figure 0004284867
【0184】
が成立すれば(但し,
【0185】
【数143】
Figure 0004284867
【0186】
とする),m'を復号化結果として出力する。成立しなければ該暗号文を拒否する旨を復号化結果として出力する。 また,本実施例による方法では,送信者側装置100は,送信者Aの操作により暗号文を作成するに当たり,予め乱数α1,α2(|α1|=k1,|α2|=k2),r∈Zqを選び,u1,u2,vを前もって計算して保存しておくことで,暗号化処理負担を大幅に減少させることが可能である。
【0187】
以上,各実施例では,送信者と受信者が各々の装置を利用して暗号通信を行うという一般形で述べたが,具体的には様々なシステムに適用される。
【0188】
例えば,電子ショッピングシステムでは,送信者はユーザであり,送信者側装置はパソコンなどの計算機であり,受信者は小売店またはその従業者,受信者側装置は小売店側装置,具体的には当該店舗におけるパソコンなどの計算機となる。このとき,ユーザが注文した商品等の注文書または注文書を暗号化した鍵は,本実施例による方法により暗号化されて小売店側装置に送信される。
【0189】
また,電子メール暗号化システムでは,各々の装置はパソコンなどの計算機であり,送信者のメッセージまたはメッセージを暗号化した鍵は,本実施例による方法により暗号化されて受信者の計算機に送信される。
【0190】
その他にも,従来の暗号化技術が使われている様々なシステムに適用することが可能である。
【0191】
したがって,各実施例における平文mまたはメッセージmには,さまざまなディジタル化されたデータ(マルチメディアデータ)を適用することができる。
【0192】
なお,本実施例における各計算は,CPUがメモリ内の各プログラムを実行することにより行われるものとして説明したが,プログラムだけではなく,いずれかがハードウェア化された演算装置であって,他の演算装置や,CPUと,データのやりとりを行うものであっても良い。
【0193】
【発明の効果】
本発明の公開鍵暗号方法により,最も強力な攻撃法である適応的選択暗号文攻撃に対して安全であることが保証された効率的な暗号通信と,その応用装置,システムを実現することができる。
【図面の簡単な説明】
【図1】本発明の実施例のシステム構成を示す図である。
【図2】本発明の実施例における送信者側装置の内部構成を示す図である。
【図3】本発明の実施例における受信者側装置の内部構成を示す図である。
【図4】本発明の実施例2の概要を示す図である。
【図5】本発明の実施例4の概要を示す図である。
【図6】本発明の実施例6の概要を示す図である。
【符号の説明】
100…送信者側装置,101…送信者側装置100内の乱数生成手段,102…送信者側装置100内のべき乗算手段,103…送信者側装置100内の演算手段,104…送信者側装置100内の剰余演算手段,105…送信者側装置100内のメモリ,106…送信者側装置100内の通信装置,107…送信者側装置100内の入力装置,108…送信者側装置100内の暗号化装置,200…受信者側装置,201…受信者側装置200内の鍵生成手段,202…受信者側装置200内のべき乗算手段,203…受信者側装置200内の剰余演算手段,204…受信者側装置200内の演算手段,205…受信者側装置200内のメモリ,206…受信者側装置200内の通信装置,207…受信者側装置200内の復号化装置,300…通信回線。

Claims (15)

  1. 送信者側装置が,受信者の公開鍵を用いて送信データを暗号化し,受信者側装置へ送信する公開鍵暗号通信方法であって,
    前記送信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,乱数生成手段と,通信手段と,を備え,
    前記受信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,通信手段と,を備え,
    Figure 0004284867
     を前記受信者の秘密鍵とし
    Figure 0004284867
     を前記受信者の公開鍵(但し,群Gは群G'部分群とし,X1,X2は正整数からなる有限集合で,
    Figure 0004284867
    を満たすものとする。また,Mは平文空間とする)とした場合に
    (1)前記送信者側装置は,平文m(m∈M)に対して,乱数α1∈X1,α2∈X2,r∈Zqを選び,
    Figure 0004284867
     計算し(但し,α=α1||α2),計算結果(u1,u2,e,v)を暗号文として前記受信者側装置に送信し,
    (2)前記受信者側装置は,秘密鍵を用いて,該暗号文(u 1 ,u 2 ,e,v)から,
    Figure 0004284867
     なる α'1,α'2,m'(α'1∈X1,α'2∈X2,m'∈M)を計算し,
    Figure 0004284867
    が成立すれば m'を復号化結果とし(但し,α'=α'1||α'2),成立しなければ該暗号文(u 1 ,u 2 ,e,v)を拒否する旨を復号化結果として出力する
    ことを特徴とする公開鍵暗号通信方法。
  2. 送信者側装置が,受信者の公開鍵を用いて送信データを暗号化し,受信者側装置へ送信する公開鍵暗号通信方法であって,
    前記送信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,乱数生成手段と,通信手段と,を備え,
    前記受信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,通信手段と,を備え,
    Figure 0004284867
     を前記受信者の秘密鍵とし
    Figure 0004284867
     を前記受信者の公開鍵とした場合に
    (1)前記送信者側装置は,平文m(|m|=k3,但し|x|はxの桁数を表す)に対して,乱数α=α1||α2(|α1|=k1,|α2|=k2)を作成し,
    Figure 0004284867
    を計算し,さらに乱数 r∈Zqを選び,
    Figure 0004284867
     計算し,計算結果(u1,u2,e,v)を暗号文として前記受信者側装置に送信し,
    (2)前記受信者側装置は,秘密鍵を用いて,該暗号文(u 1 ,u 2 ,e,v)から,
    Figure 0004284867
    なる α'1,α'2,m'(|α'1|=k1,|α'2|=k2,|m'|=k3)を計算し,
    Figure 0004284867
    が成立すれば m' を復号化結果とし(但し,α'=α'1||α'2),成立しなければ該暗号文(u 1 ,u 2 ,e,v)を拒否する旨を復号化結果として出力する
    ことを特徴とする公開鍵暗号通信方法。
  3. 請求項2に記載の公開鍵暗号通信方法において,
    該送信者側装置は該暗号文を作成するに当たり,予め,乱数α1,α2(|α1|=k1,|α2|=k2),r∈Zqを選び,
    Figure 0004284867
     を計算し,保存しておく
    ことを特徴とする公開鍵暗号通信方法。
  4. 送信者側装置は,受信者側装置に対して暗号化されたデータを送信する暗号通信方法であって,
    前記送信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,乱数生成手段と,通信手段と,を備え,
    前記受信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,通信手段と,を備え,
    Figure 0004284867
     を前記受信者の秘密鍵とし
    Figure 0004284867
     を前記受信者の公開鍵(但し,群Gは群G'の部分群とし, X1,X2は正整数からなる有限集合で,
    Figure 0004284867
    を満たすものとする。また,Mは鍵空間とする)とした場合に
    (1)前記送信者側装置鍵データK(K∈M)に対して,乱数α1∈X1,α2∈X2,r∈Zqを選び,
    Figure 0004284867
     計算し(但し,α=α1||α2),さらに送信データmについて,
    Figure 0004284867
     を計算し,計算結果(u1, u2, e, v, C)を暗号文として前記受信者側装置に送信し,
    (2)前記受信者側装置は,秘密鍵を用いて,該暗号文(u 1 ,u 2 ,e,v,C)から,
    Figure 0004284867
    なるα'1,α'2,K'(α'1∈X1,α'2∈X2,K'∈M)を計算し,
    Figure 0004284867
    が成立すれば(但し,α'=α'1||α'2),
    Figure 0004284867
     を計算することにより,前記暗号文(u 1 ,u 2 ,e,v,C)の復号化結果を出力し,成立しなければ該暗号文(u 1 ,u 2 ,e,v,C)を拒否する旨を復号化結果として出力する
    ことを特徴とする暗号通信方法。
  5. 請求項記載の暗号通信方法において,
    該送信者側装置は,
    Figure 0004284867
     を計算(但し,fはkビットの値を出力する公開された関数)し,
    該受信者側装置は,
    Figure 0004284867
    が成立することを検査し(但し[x]kはxの上位kビットを表す),検査をパスした場合に
    Figure 0004284867
     を計算し,mを復号化結果(但し,[x]-k は x の上位kビットを除いたビット列を表す)として出力する
    ことを特徴とする公開鍵暗号方法。
  6. 送信者側装置は,受信者側装置に対して暗号化されたデータを送信する暗号通信方法であって,
    前記送信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,乱数生成手段と,通信手段と,を備え,
    前記受信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,通信手段と,を備え,
    Figure 0004284867
     を前記受信者の秘密鍵とし
    Figure 0004284867
     を前記受信者の公開鍵とした場合に
    前記送信者側装置は鍵データK(|K|=k3,但し|x|はxの桁数を表す)に対して,乱数α=α1||α2(|α1|=k1,|α2|=k2)を作成し,
    Figure 0004284867
    を計算し,さらに乱数 r∈Zqを選び,
    Figure 0004284867
    を計算し,さらに送信データについて,
    Figure 0004284867
     を計算し,計算結果(u1,u2,e,v,C)を暗号文として前記受信者側装置に送信し,
    前記受信者側装置は,秘密鍵を用いて,該暗号文(u 1 ,u 2 ,e,v,C)から,
    Figure 0004284867
    なる α'1,α'2,K'(|α'1|=k1,|α'2|=k2,|K'|=k3)を計算し,
    Figure 0004284867
    が成立すれば(但し,α'=α'1||α'2),
    Figure 0004284867
     を計算することにより,前記暗号文(u 1 ,u 2 ,e,v,C)の復号化結果を出力し,成立しなければ該暗号文(u 1 ,u 2 ,e,v,C)を拒否する旨を復号化結果として出力する
    ことを特徴とする暗号通信方法。
  7. 請求項記載の暗号通信方法において,
    該送信者側装置
    Figure 0004284867
     を計算(但し,fはkビットの値を出力する公開された関数)し,
    該受信者側装置は,
    Figure 0004284867
    が成立することを検査し(但し[x]kはxの上位kビットを表す),検査をパスした場合に
    Figure 0004284867
     を計算し,mを復号化結果(但し,[x]-k は x の上位kビットを除いたビット列を表す)として出力する
    ことを特徴とする暗号通信方法。
  8. 請求項または記載の暗号通信方法において,
    該送信者側装置は該暗号文を作成するに当たり,予め乱数α1,α2(|α1|=k1,|α2|=k2),r∈Zqを選び,
    Figure 0004284867
     を計算し,保存しておく
    ことを特徴とする暗号通信方法。
  9. 送信者側装置は,受信者側装置に対して暗号化されたデータを送信する暗号通信方法であって,
    前記送信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,乱数生成手段と,通信手段と,を備え,
    前記受信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,通信手段と,を備え,
    Figure 0004284867
     を前記受信者の秘密鍵とし
    Figure 0004284867
     を前記受信者の公開鍵(但し,群Gは群G'の部分群とし,X1,X2は正整数からなる有限集合で,
    Figure 0004284867
    を満たすものとする)とした場合に
    (1)前記送信者側装置は,乱数α1∈X1,α2∈X2,r∈Zqを選び,
    Figure 0004284867
     計算し(但し,α=α1||α2),さらに送信データmについて,
    Figure 0004284867
     を計算し,計算結果(u1,u2 ,v,C)を暗号文として前記受信者側装置に送信し,
    (2)前記受信者側装置は,秘密鍵を用いて,
    Figure 0004284867
    を計算し,さらに該暗号文(u 1 ,u 2 ,v,C)から,
    Figure 0004284867
    なるα'1,α'2(α'1∈X1,α'2∈X2)を計算し,
    Figure 0004284867
    が成立すれば(但し,α'=α'1||α'2),m'を復号化結果として出力し,成立しなければ該暗号文(u 1 ,u 2 ,v,C)を拒否する旨を復号化結果として出力する
    ことを特徴とする暗号通信方法。
  10. 送信者側装置は,受信者側装置に対して暗号化されたデータを送信する暗号通信方法であって,
    前記送信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,乱数生成手段と,通信手段と,を備え,
    前記受信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,通信手段と,を備え,
    Figure 0004284867
     を前記受信者の秘密鍵とし
    Figure 0004284867
     を前記受信者の公開鍵とした場合に
    (1)前記送信者側装置は,乱数α=α1||α2(|α1|=k1,|α2|=k2,但し|x|はxの桁数を表す)を作成し,
    さらに乱数 r∈Zqを選び,
    Figure 0004284867
    を計算し,さらに送信データmについて
    Figure 0004284867
     を計算(但し,Eは(対称型)暗号化関数)計算結果(u1,u2 ,v,C)を暗号文として前記受信者側装置に送信し,
    (2)前記受信者側装置は,秘密鍵を用いて,
    Figure 0004284867
    を計算し,さらに該暗号文(u 1 ,u 2 ,v,C)から,
    Figure 0004284867
    なる α'1,α'2(|α'1|=k1,|α'2|=k2)を計算し,
    Figure 0004284867
    が成立すれば(但し,α'=α'1||α'2),m'を復号化結果として出力し,成立しなければ該暗号文(u 1 ,u 2 ,v,C)を拒否する旨を復号化結果として出力する
    ことを特徴とする暗号通信方法。
  11. 送信者側装置は,受信者側装置に対して暗号化されたデータを送信する暗号通信方法であって,
    前記送信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,乱数生成手段と,通信手段と,を備え,
    前記受信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,通信手段と,を備え,
    Figure 0004284867
     を前記受信者の秘密鍵とし
    Figure 0004284867
     を前記受信者の公開鍵(但し,群Gは群G'の部分群とし,X1,X2は正整数からなる有限集合で,
    Figure 0004284867
    を満たすものとする。Mは平文空間)とした場合に
    (1)前記送信者側装置は,乱数α1∈X1,α2∈X2,r∈Zqを選び,
    Figure 0004284867
     計算し(但し,α=α1||α2
    Figure 0004284867
     を計算(但し,mは送信データ, E pk は,非対称型暗号化関数)計算結果(u1,u2,e,v)を暗号文として前記受信者側装置に送信し,
    (2)前記受信者側装置は,秘密鍵を用いて,該暗号文(u 1 ,u 2 ,e,v)から,
    Figure 0004284867
    なるα'1,α'2,m'(α'1∈X1,α'2∈X2,m'∈M)を計算し,
    Figure 0004284867
    が成立すれば(但し,
    Figure 0004284867
    とする)m'を復号化結果と,成立しなければ該暗号文(u 1 ,u 2 ,e,v)を拒否する旨を復号化結果として出力する
    ことを特徴とする暗号通信方法。
  12. 送信者側装置は,受信者側装置に対して暗号化されたデータを送信する暗号通信方法であって,
    前記送信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,乱数生成手段と,通信手段と,を備え,
    前記受信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,通信手段と,を備え,
    Figure 0004284867
     を前記受信者の秘密鍵とし
    Figure 0004284867
     を前記受信者の公開鍵とした場合に
    (1)送信者側装置は,乱数α=α1||α2(|α1|=k1,|α2|=k2,但し|x|はxの桁数を表す)を作成し,さらに乱数 r∈Zqを選び,
    Figure 0004284867
    を計算し,さらに送信データm(正整数)について,
    Figure 0004284867
     を計算し,計算結果(u1,u2,e,v)を暗号文として前記受信者側装置に送信し,
    (2)前記受信者側装置は,前記受信者の該秘密鍵を用いて,該暗号文(u 1 ,u 2 ,e,v)から,
    Figure 0004284867
    なる α'1,α'2,m'(|α'1|=k1,|α'2|=k2,m'は正整数)を計算し,
    Figure 0004284867
    が成立すれば(但し,
    Figure 0004284867
    とする),m'を復号化結果として出力し,成立しなければ該暗号文(u 1 ,u 2 ,e,v)を拒否する旨を復号化結果として出力する
    ことを特徴とする暗号通信方法。
  13. 請求項11または12記載の暗号通信方法において,
    前記受信者側装置は,さらに,鍵生成手段を備え,
    前記受信者側装置は,前記公開鍵を生成し,公開する
    ことを特徴とする暗号通信方法。
  14. 請求項11に記載の暗号通信方法において,
    該送信者側装置は該暗号文を作成するに当たり,予め,乱数α1,α2(α1∈X12∈X2),r∈Zqを選び,u1,u2,v を計算し,保存しておく
    ことを特徴とする暗号通信方法。
  15. 請求項12に記載の暗号通信方法において,
    該送信者側装置は該暗号文を作成するに当たり,予め乱数α1,α2(|α1|=k1,|α2|=k2),r∈Zqを選び,u1,u2,v を計算し,保存しておく
    ことを特徴とする暗号通信方法。
JP2001009646A 2001-01-18 2001-01-18 標準モデル上で適応的選択暗号文攻撃に対して安全な公開鍵暗号方法 Expired - Fee Related JP4284867B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2001009646A JP4284867B2 (ja) 2001-01-18 2001-01-18 標準モデル上で適応的選択暗号文攻撃に対して安全な公開鍵暗号方法
US10/046,224 US20020146117A1 (en) 2001-01-18 2002-01-16 Public-key cryptographic schemes secure against an adaptive chosen ciphertext attack in the standard model

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001009646A JP4284867B2 (ja) 2001-01-18 2001-01-18 標準モデル上で適応的選択暗号文攻撃に対して安全な公開鍵暗号方法

Publications (3)

Publication Number Publication Date
JP2002215019A JP2002215019A (ja) 2002-07-31
JP2002215019A5 JP2002215019A5 (ja) 2005-11-24
JP4284867B2 true JP4284867B2 (ja) 2009-06-24

Family

ID=18877089

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001009646A Expired - Fee Related JP4284867B2 (ja) 2001-01-18 2001-01-18 標準モデル上で適応的選択暗号文攻撃に対して安全な公開鍵暗号方法

Country Status (2)

Country Link
US (1) US20020146117A1 (ja)
JP (1) JP4284867B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004126514A (ja) * 2002-08-06 2004-04-22 Hitachi Ltd 公開鍵暗号通信方法
JP4908750B2 (ja) * 2004-11-25 2012-04-04 ローム株式会社 半導体装置
US20070071233A1 (en) * 2005-09-27 2007-03-29 Allot Communications Ltd. Hash function using arbitrary numbers

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5224162A (en) * 1991-06-14 1993-06-29 Nippon Telegraph And Telephone Corporation Electronic cash system
US5365589A (en) * 1992-02-07 1994-11-15 Gutowitz Howard A Method and apparatus for encryption, decryption and authentication using dynamical systems
US5297206A (en) * 1992-03-19 1994-03-22 Orton Glenn A Cryptographic method for communication and electronic signatures
US5375170A (en) * 1992-11-13 1994-12-20 Yeda Research & Development Co., Ltd. Efficient signature scheme based on birational permutations
ATE187588T1 (de) * 1993-08-17 1999-12-15 R3 Security Engineering Ag Verfahren zur digitalen unterschrift und verfahren zur schlüsselübereinkunft
FR2714780B1 (fr) * 1993-12-30 1996-01-26 Stern Jacques Procédé d'authentification d'au moins un dispositif d'identification par un dispositif de vérification.
ATE202439T1 (de) * 1994-01-13 2001-07-15 Certco Inc Verschlüsselungseinrichtung und verfahren mit möglichkeit zur gesicherten zentralen schlüsselablage
US5557346A (en) * 1994-08-11 1996-09-17 Trusted Information Systems, Inc. System and method for key escrow encryption
US5606617A (en) * 1994-10-14 1997-02-25 Brands; Stefanus A. Secret-key certificates
JPH11508707A (ja) * 1995-06-30 1999-07-27 ブランズ,ステファヌス・アルフォンスス 秘密鍵上の制限的にブラインド可能な証明書
JPH09233068A (ja) * 1996-02-23 1997-09-05 Digital Vision Lab:Kk 電子認証システム
JPH09284272A (ja) * 1996-04-19 1997-10-31 Canon Inc エンティティの属性情報に基づく暗号化方式、署名方式、鍵共有方式、身元確認方式およびこれらの方式用装置
GB9610154D0 (en) * 1996-05-15 1996-07-24 Certicom Corp Tool kit protocol
JP2000500886A (ja) * 1996-08-16 2000-01-25 ベル コミュニケーションズ リサーチ,インコーポレイテッド ランダムに生成されたペアをプリコンピューティングすることによるアクセラレイティング公開鍵暗号技術
US5974151A (en) * 1996-11-01 1999-10-26 Slavin; Keith R. Public key cryptographic system having differential security levels
US5907618A (en) * 1997-01-03 1999-05-25 International Business Machines Corporation Method and apparatus for verifiably providing key recovery information in a cryptographic system
US6782100B1 (en) * 1997-01-29 2004-08-24 Certicom Corp. Accelerated finite field operations on an elliptic curve
US6236729B1 (en) * 1997-06-06 2001-05-22 Hitachi, Ltd. Key recovery method and system
JP3613936B2 (ja) * 1997-07-07 2005-01-26 富士ゼロックス株式会社 アクセス資格認証装置
JP3562262B2 (ja) * 1997-10-17 2004-09-08 富士ゼロックス株式会社 認証方法および装置
US6081598A (en) * 1997-10-20 2000-06-27 Microsoft Corporation Cryptographic system and method with fast decryption
JP4113274B2 (ja) * 1998-02-05 2008-07-09 富士ゼロックス株式会社 認証装置および方法
JPH11242434A (ja) * 1998-02-26 1999-09-07 Hitachi Ltd 楕円曲線暗号実行方法及び暗号処理システム
US6212277B1 (en) * 1998-03-05 2001-04-03 Matsushita Electric Industrial Co., Ltd. Elliptic curve transformation device, utilization device and utilization system
US6697488B1 (en) * 1998-08-26 2004-02-24 International Business Machines Corporation Practical non-malleable public-key cryptosystem
US6813358B1 (en) * 1998-11-17 2004-11-02 Telcordia Technologies, Inc. Method and system for timed-release cryptosystems
US6813357B1 (en) * 1998-12-25 2004-11-02 Matsushita Communication Industrial Co., Ltd. Exclusive key sharing method
US6859533B1 (en) * 1999-04-06 2005-02-22 Contentguard Holdings, Inc. System and method for transferring the right to decode messages in a symmetric encoding scheme
JP2001255814A (ja) * 2000-03-10 2001-09-21 Murata Mach Ltd 復号方法、復号装置、及び復号プログラムの記録媒体
KR100396740B1 (ko) * 2000-10-17 2003-09-02 학교법인 한국정보통신학원 계산적 디피-헬만 가정에 기반하는 안전성 증명 가능한공개키 암호화 방법
US7360080B2 (en) * 2000-11-03 2008-04-15 International Business Machines Corporation Non-transferable anonymous credential system with optional anonymity revocation
US7164765B2 (en) * 2001-04-11 2007-01-16 Hitachi, Ltd. Method of a public key encryption and a cypher communication both secure against a chosen-ciphertext attack
JP4086503B2 (ja) * 2002-01-15 2008-05-14 富士通株式会社 暗号演算装置及び方法並びにプログラム
US9064364B2 (en) * 2003-10-22 2015-06-23 International Business Machines Corporation Confidential fraud detection system and method

Also Published As

Publication number Publication date
JP2002215019A (ja) 2002-07-31
US20020146117A1 (en) 2002-10-10

Similar Documents

Publication Publication Date Title
Boneh et al. Chosen-ciphertext security from identity-based encryption
Bresson et al. A simple public-key cryptosystem with a double trapdoor decryption mechanism and its applications
Ivan et al. Proxy Cryptography Revisited.
Yum et al. New signcryption schemes based on KCDSA
US7649991B2 (en) Method of a public key encryption and a cypher communication both secure against a chosen-ciphertext attack
Coron What is cryptography?
US6473508B1 (en) Auto-recoverable auto-certifiable cryptosystems with unescrowed signature-only keys
JP4830860B2 (ja) 署名装置、検証装置、証明装置、暗号化装置、及び復号化装置
Zheng et al. Practical approaches to attaining security against adaptively chosen ciphertext attacks
US20020041684A1 (en) Public-key encryption and key-sharing methods
EP2686978B1 (en) Keyed pv signatures
Gorantla et al. A survey on id-based cryptographic primitives
Liu et al. New efficient identity based encryption without pairings
JP4284867B2 (ja) 標準モデル上で適応的選択暗号文攻撃に対して安全な公開鍵暗号方法
Zhong An overview of rsa and oaep padding
JP2000047581A (ja) 暗号化方法,暗号化・復号装置及び暗号通信システム
Nieto et al. A public key cryptosystem based on the subgroup membership problem
US20020015491A1 (en) Public key encryption method and communication system using public key cryptosystem
Zheng Signcryption or how to achieve cost (signature & encryption)<< cost (signature)+ cost (encryption)
Mohapatra Signcryption schemes with forward secrecy based on elliptic curve cryptography
JP4230162B2 (ja) 公開鍵暗号通信方法
Awasthi et al. An efficient scheme for sensitive message transmission using blind signcryption
JP3278790B2 (ja) 公開鍵暗号方法及び公開鍵暗号システム
WO2000045548A1 (fr) Chiffreur a cle non protegee et procede de partage de cle
Zaiter Multi Key Algorithm for Security Enhancement of RSA Algorithm Using Matlab

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050926

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050926

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050926

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060418

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090123

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090303

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090316

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120403

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120403

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees