JP4963835B2 - 暗号化方法と復号方法、それらの方法を利用した装置、システム、およびプログラム - Google Patents

暗号化方法と復号方法、それらの方法を利用した装置、システム、およびプログラム Download PDF

Info

Publication number
JP4963835B2
JP4963835B2 JP2006005261A JP2006005261A JP4963835B2 JP 4963835 B2 JP4963835 B2 JP 4963835B2 JP 2006005261 A JP2006005261 A JP 2006005261A JP 2006005261 A JP2006005261 A JP 2006005261A JP 4963835 B2 JP4963835 B2 JP 4963835B2
Authority
JP
Japan
Prior art keywords
key
common session
encryption
session key
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006005261A
Other languages
English (en)
Other versions
JP2007189456A (ja
Inventor
幹 安田
英一郎 藤崎
鉄太郎 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006005261A priority Critical patent/JP4963835B2/ja
Publication of JP2007189456A publication Critical patent/JP2007189456A/ja
Application granted granted Critical
Publication of JP4963835B2 publication Critical patent/JP4963835B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、暗号化方法と復号方法、それらの方法を利用した装置、システム、プログラムおよび記録媒体に関する。
まず、本明細書中で使用する用語について説明する。「暗号化する」とは、データ(ビット列、以下「平文」とも呼ぶ)をある鍵(ビット列)を用いて他の(通常元のデータとはまったく異なる)ビット列(以下「暗号文」とも呼ぶ)に変換することを言う。ただし、暗号文だけからでは平文に関する情報を得ることが困難なこと、対応する平文と暗号文の組だけからでは鍵に関する情報を得ることが困難なことなど、状況によって様々な安全性が要求される。「暗号化装置」とは、データを暗号化する装置を指す。また、「復号する」とは、鍵を用いて暗号文を元のデータ(平文)に復元することを言い、「復号装置」とは、暗号化されたデータを復号する装置を指す。さらに、単に「暗号」、「暗号技術」、「暗号アルゴリズム」、「暗号装置」、「暗号方法」、「暗号手段」、「暗号システム」というときは、暗号化と復号の両方を含むものとする。
一般に、暗号は公開鍵暗号と共通鍵暗号の2種類に類別できる。公開鍵暗号は、送信側が受信側の(秘密ではない)公開鍵を使ってデータ(平文)を暗号化して送信するために利用される。一方、共通鍵暗号は、送信側と受信側が同じ鍵を秘密に保持しているときデータ(平文)を暗号化して送信するために利用される。通常、公開鍵暗号は共通鍵暗号より低速なため、暗号化通信を行う際には、共通鍵暗号で問題となる秘密鍵の共有問題(鍵配送問題)の解決に公開鍵暗号を利用し、秘密鍵が共有された後の通信秘匿には共通鍵暗号を用いることが多い。公開鍵暗号システムは、公開鍵を登録する公開鍵簿、送信装置、および受信装置からなるシステムである。公開鍵暗号システムは公開鍵暗号のみでも実装できるが、公開鍵暗号で鍵配送をし、その時共有された秘密鍵で、共通鍵暗号を使って平文を暗号化通信するのが一般的な公開鍵暗号(ハイブリッド暗号)システムである。
標準化が進められているハイブリッド暗号の実現方法として、KEM(Key Encapsulation Mechanism)−DEM(Data Encapsulation Mechanism)による構成がある(非特許文献1)。この構成について以下に説明する。
図1に鍵カプセル化手段(KEM)100の機能構成を示す。本手段は、鍵ビット長パラメータ部KL110、鍵生成部KG120、暗号化アルゴリズム部KE130、復号アルゴリズム部KD140から構成される。鍵ビット長パラメータ部KL110は、確定的アルゴリズムを実行する構成部であって、セキュリティパラメータλから秘密鍵のビット長パラメータklを出力する。記号では、kl=KL(λ)と表すこととする。ここで、セキュリティパラメータλとは、0以上の整数であって、送信者と受信者の間であらかじめ定まっているものとする。セキュリティパラメータλは理論上必要なパラメータであって、これを引数に取る各アルゴリズムが、λに関する多項式時間内で終了することを規定するために設けてあるものである。鍵生成部KG120は、確率的アルゴリズムを実行する構成部であって、セキュリティパラメータλから公開鍵pkと私有鍵skの組を出力する。記号では、(pk,sk)←KG(λ)と表すこととする。暗号化アルゴリズム部KE130は、確率的アルゴリズムを実行する構成部であって、公開鍵pkから秘密鍵aと暗号化した秘密鍵eの組を出力する。記号では、(a,e)←KE(pk)と表すこととする。ここで秘密鍵aは、ビット長がklの0または1からなり、記号ではa∈{0,1}klと表す。また暗号化した秘密鍵は、ビット長が任意の0または1からなり、記号ではe∈{0,1}と表す。復号アルゴリズム部KD140は、確定的アルゴリズムを実行する構成部であって、私有鍵skを用いて暗号化された秘密鍵eを復号し、秘密鍵aを出力する。記号では、a=KDsk(e)と表すこととする。鍵カプセル化手段(KEM)100では、任意の(pk,sk)←KG(λ)と(a,e)←KE(pk)に対して、常にa=KDsk(e)が成り立つ。
図2にデータカプセル化手段(DEM)200の機能構成を示す。本手段は、鍵ビット長パラメータ部DL210、暗号化アルゴリズム部DE220、復号アルゴリズム部DD230から構成される。鍵ビット長パラメータ部DL210は、確定的アルゴリズムを実行する構成部であって、セキュリティパラメータλから秘密鍵のビット長パラメータdlを出力する。記号では、dl=DL(λ)と表すこととする。暗号化アルゴリズム部DE220は、確定的アルゴリズムの構成部であって、秘密鍵aを用いて平文mを暗号化し、暗号文cを出力する。記号では、c=DE(m)と表すこととする。ここで秘密鍵aは、ビット長がdlの0または1からなるビット列である(a∈{0,1}dl)。また平文mおよび暗号文cは、ビット長が任意の0または1からなるビット列である(m∈{0,1}、c∈{0,1})。復号アルゴリズム部DD230は、確定的アルゴリズムを実行する構成部であって、秘密鍵aを用いて暗号文cを復号し、平文mを出力する。記号では、m=DD(c)と表すこととする。データカプセル化手段(DEM)200では、任意のa∈{0,1}dlとm∈{0,1}に対して、常にDD(DE(m))=mが成り立つ。
図3に、実際に暗号を用いた通信を行う場合の送受信装置の機能構成例を示す。送受信装置H1000−i(iは0または1)は、暗号化装置HE600−i、復号装置HD700−i、記録装置800−iから構成される。暗号化装置HE600−iと復号装置HD700−i、は、鍵カプセル化手段(KEM)100の構成部とデータカプセル化手段(DEM)200の構成部とを組み合わせた構成となっている。
図4に、図3の送受信装置での機能構成と処理フローを示す。暗号化装置HE600−iは、鍵カプセル化手段(KEM)100の暗号化アルゴリズム部KE130−i−j(jは0または1、ただし、j≠i)、データカプセル化手段(DEM)200の暗号化アルゴリズム部DE220−iから構成される。復号装置HD700−iは、鍵カプセル化装置(KEM)100の鍵生成部KG120−iと復号アルゴリズム部KD140−i、データカプセル化手段(DEM)200の復号アルゴリズム部DD230−iから構成される。また、記録装置800−iには、少なくとも私有鍵を記録する記録部810−iがある。鍵カプセル化手段(KEM)100とデータカプセル化手段(DEM)200との両方で暗号鍵aが使用される。したがって、このシステム内ではkl=dlが成立することが必要である。
図4の構成の場合、情報を送信する時に毎回、秘密鍵と暗号化された秘密鍵を生成する。このように、毎回秘密鍵を生成する方法を以下では、「ワンタイムKEM−DEM」と言う。処理フローは以下のとおりである。情報を送信する送受信装置1000−0の暗号化装置HE600−0は、暗号化アルゴリズム部KE130−0−1によって、受信側の送受信装置1000−1の公開鍵pkから秘密鍵aと暗号化した秘密鍵e(e∈{0,1})の組を得る((a,e)←KE(pk))。次に、暗号化アルゴリズム装置DE220−0で、秘密鍵aを用いて平文m(m∈{0,1})を暗号化し、暗号文c(c∈{0,1})を得る(c=DE(m))。このようにして送受信装置1000−0の暗号化装置HE600−0は、送受信装置1000−1の復号装置HD700−1への出力として、暗号化した秘密鍵eと暗号文cの組(e,c)を得る。受信側である送受信装置1000−1の復号装置HD700−1は、あらかじめ鍵生成部KG120−1で、セキュリティパラメータλから公開鍵pkと私有鍵skの組を得る((pk,sk)←KG(λ))。公開鍵pkは、あらかじめ公開され、送信側の送受信装置1000−0の暗号化装置HE600−0によって前記のように使用される。また私有鍵skは、送受信装置1000−1内の記録部810−1に記録される。暗号化装置HE600−0からの暗号化された秘密鍵eと暗号文cとの組を受信すると、復号アルゴリズム部KD140−1は、私有鍵skを用いて暗号化された秘密鍵eを復号し、秘密鍵aを得る(a=KDsk(e))。次に、復号アルゴリズム部DD230−1は、秘密鍵aを用いて暗号文cを復号し、平文mを得る(m=DD(c))。
「ワンタイムKEM−DEM」では、安全性が選択暗号文攻撃安全(IND-CCA)の鍵カプセル化手段(KEM)100とデータカプセル化手段(DEM)200とを組み合せて、より安全性が高い選択暗号文攻撃安全(IND-CCA2)のハイブリッドタイプの暗号手段を実現できることが知られている。「ワンタイムKEM−DEM」では、その使い捨て鍵という特性上、全体の安全性は、選択暗号文攻撃安全(IND-CCA2)しか議論できない。したがって、安全性をコントロールすることができない。例えば、データカプセル化手段(DEM)200の安全性を選択平文選択暗号文攻撃安全(IND-CPA2/CCA2)に強化しても、全体の安全性は選択暗号文攻撃安全(IND-CCA2)であるとしか言えない。
図3の送受信装置を用いて、秘密鍵を再利用する場合の構成例と処理フローを図5と図6に示す。このように鍵を再利用する方法を、以下では「鍵再利用KEM−DEM」と言う。図5は、1回目の情報通信時の機能構成と処理フローを示す図である。図6は、2回目以降の情報通信時の機能構成と処理フローを示す図である。図4との構成上の違いは、記録装置800’−i内に、自己の秘密鍵aを記録する記録部820−iと、送信先の秘密鍵aを記録する記録部830−iを備えていることである。1回目の情報通信時の処理と図4の処理(ワンタイムKEM−DEMの処理)との違いは、以下の2点である。暗号化装置HE600’−0の暗号化アルゴリズム部KE130−0−1が生成した秘密鍵aは、記録装置800’−0の記録部830−0に記録される。また、復号装置HD700’−0の復号アルゴリズム部KD140−1が求めた秘密鍵aは、記録装置800’−1の記録部820−1に記録される。このように、秘密鍵aを送信側と受信側の両方で記録しておくことで、2回目以降の処理フローを以下のようにすることができる。送信側の暗号化装置600’−0では、暗号化アルゴリズム装置DE220−0が、記録部830−0に記録された秘密鍵aを用いて平文m(m∈{0,1})を暗号化し、暗号文c(c∈{0,1})を得る(c=DEa1(m))。そして、暗号文cが受信側に送信される。受信側では、復号装置HD700’−1の復号アルゴリズム部DD230−1が、記録部820−1に記録された秘密鍵aを用いて暗号文cを復号し、平文mを得る(m=DDa1(c))。
「鍵再利用KEM−DEM」では、安全性の観点から、選択暗号文攻撃安全(IND-CCA)のデータカプセル化手段(DEM)200を使用することは難しい。したがって、データカプセル化手段(DEM)200には、安全性の高い選択平文選択暗号文攻撃安全(IND-CPA2/CCA2)が求められる。そして、選択暗号文攻撃安全(IND-CCA)の鍵カプセル化手段(KEM)100との組み合せによって、全体としては選択平文選択暗号文攻撃安全(IND-CPA2/CCA2)の暗号手段となる。
次に、同報通信について説明する。同報通信に特化した暗号方法の提案としては、特許文献1などがある。しかし、これらは固有の暗号アルゴリズムを用いて行うものであり、KEM−DEMハイブリッド暗号の枠組みを使用した同報通信に適した暗号方法ではない。KEM−DEMハイブリッド暗号の枠組みを使用した同報通信としては、本発明の発明者らが発表した非特許文献2がある。また、非特許文献2に対応する特許文献には、特願2005−015154号(本発明の出願日現在は、未公開)がある。以下では、非特許文献2について説明する。これは、KEM−DEMハイブリッド暗号を使用した同報通信に適した暗号方法を提供することを目的としていた。この暗号方法では、図1に示した鍵カプセル化手段(KEM)100、図2に示したデータカプセル化手段(DEM)200の他に、図7に示す鍵共有化手段(DEM)300を用いる。この方法を、以下では「KEM−DEM−DEM」という。鍵共有化手段(DEM)300は、鍵ビット長パラメータ部ML310、鍵生成部MG320、暗号化アルゴリズム部ME330、復号アルゴリズム部MD340からなる。鍵ビット長パラメータ部ML310は、確定的アルゴリズムを実行する構成部であって、セキュリティパラメータλから共通セッション鍵のビット長mlを出力する。記号では、ml=ML(λ)と表す。鍵生成部MG320は、入力の無い確率的アルゴリズムを実行する構成部として、もしくは秘密鍵a,…,aの全部または一部を入力する確定的アルゴリズムを実行する構成部として、共通セッション鍵r(r∈{0,1}ml)を出力する。記号では、確率的アルゴリズムの場合はr←MG()、確定的アルゴリズムの場合はr=MG(a,…,a)と表す。暗号化アルゴリズム部ME330は、確定的アルゴリズムを実行する構成部であって、共通セッション鍵rを各装置の秘密鍵aを用いて暗号化し、暗号化された共通セッション鍵yを出力する。記号としては、y=MEai(r)と表す。復号アルゴリズム部MD340は、確定的アルゴリズムを実行する構成部であって、暗号化された共通セッション鍵yを秘密鍵aを用いて復号し、共通セッション鍵rを出力する。記号としては、r=MDai(y)と表す。鍵共有化手段(DEM)300では、任意のa∈{0,1}kliと任意のr←MG()または確定的なr=MG(a,…,a)に対して、常にMDai(MEai(r))=rが成り立つ。
図8に暗号化同報通信を行うシステムの例を示す。この例はN+1個の送受信装置1000”−i(i=0,1,2,…,N)から構成されている。各送受信装置1000”−iは、鍵カプセル化手段(KEM)100の構成部、データカプセル化手段(DEM)200の構成部、および鍵共有化手段(DEM)300の構成部を組み合せた、暗号化装置HE600”−i、復号装置HD700”−i、記録装置800”−iから構成されている。
図9に第1回目の同報通信での暗号化装置HEと復号装置HDとの関係を示す。暗号化装置HE600”−0は、暗号化アルゴリズム部KE130−0−i(i=1〜N)によって、復号装置HDの公開鍵pkから秘密鍵aと暗号化した秘密鍵eの組を得る((a,e)←KE(pk))。次に、鍵生成部MG320−0によって、共通セッション鍵r(r∈{0,1}ml)を得る(r←MG()、またはr=MG(a,…,a))。当該共通セッション鍵rは、記録装置800”−0内の記録部850−0に記録される。次に、暗号化アルゴリズム部ME330−0は、共通セッション鍵rを各装置の秘密鍵aを用いて暗号化し、暗号化された共通セッション鍵yを得る(y=MEai(r))。また、暗号化アルゴリズム部DE220−0は、共通セッション鍵rを用いて平文mを暗号化し、暗号文cを得る(c=DE(m))。このように暗号化装置HE600”−0は、復号装置HD700”−iへの出力として、暗号化した秘密鍵eと暗号化した共通セッション鍵y、暗号文cの組(e,y,…,e,y,c)を得る。復号装置HD700”−i(i=1〜N)は、あらかじめ鍵生成部KG120−iによって、セキュリティパラメータλから公開鍵pkと私有鍵skの組を得る((pk,sk)←KG(λ))。公開鍵pkは、あらかじめ公開され、暗号化装置HE600”−0によって前記のように使用される。また私有鍵skは、あらかじめ記録装置800”−i内の記録部810−iに記録される。暗号化装置HE600”−0からの暗号化した秘密鍵eと暗号化した共通セッション鍵y、暗号文cの組(e,y,…,e,y,c)を受信すると、復号アルゴリズム部KD140−1は、私有鍵skを用いて暗号化された秘密鍵eを復号し、秘密鍵aを得る(a=KDski(e))。次に、復号アルゴリズム部MD340−iは、暗号化された共通セッション鍵yを、秘密鍵aを用いて復号し、共通セッション鍵rを得る(r=MDai(y))。当該共通セッション鍵rは、記録装置800”−i内の記録部840−iに記録される。次に、復号アルゴリズム部DD230−iは、共通セッション鍵rを用いて暗号文cを復号し、平文mを得る(m=DD(c))。
図10に、第1回目の暗号化同報通信と同じ送受信装置間で第2回目以降の暗号化同報通信を行う場合の暗号化装置HE600”−0と復号装置HD700”−iとの関係を示す。第2回目以降の暗号化同報通信を行う場合には、第1回目の暗号化同報通信で使用した共通セッション鍵rを全装置が記録しておくことにより、以下の手順で簡略化された暗号化同報通信を行う。暗号化装置HE600”−0では、暗号化アルゴリズム部DE220−0が、記録装置800”−0内の記録部850−0に記録された共通セッション鍵rを用いて平文mを暗号化し、暗号文cを得る(c=DE(m))。また、復号装置HD700”−i(i=1〜N)の復号アルゴリズム部DD230−iは、記録装置800”−i内の記録部840−iに記録された共通セッション鍵rを用いて暗号文cを復号し、平文mを得る(m=DD(c))。上記の2回目以降の同報通信では、データカプセル化手段(DEM)200の構成部のみによって暗号化と復号が行なわれる。これは、前述の鍵再利用KEM−DEMと同じである。
「KEM−DEM−DEM」は、毎回、秘密鍵や共通セッション鍵を生成するのであれば、選択暗号文攻撃安全(IND-CCA)の鍵カプセル化手段(KEM)100、データカプセル化手段(DEM)200、鍵共有化手段(DEM)300を組み合せることによって、より安全性が高い選択暗号文攻撃安全(IND-CCA2)のハイブリッドタイプの暗号手段を実現できる。しかし、共通セッション鍵を再利用するのであれば、安全性の観点から、選択平文選択暗号文攻撃安全(IND-CPA2/CCA2)のデータカプセル化手段(DEM)200を用いる必要がある。
特公平08−004265号公報 V. Shoup, "FCD 18033-2 Encryption algorithms - Part2: Asymmetric ciphers," ISO/IEC JTC 1/SC 27, Berlin, 2004. 安田幹、小林鉄太郎、青木和麻呂、藤崎英一郎、藤岡淳、「KEM−DEMにおける同報通信」,SCIS2005.
ハイブリッド暗号としてKEM−DEMハイブリッド暗号が一般的である。このKEM−DEMハイブリッド暗号では、安全性が選択暗号文攻撃安全(IND-CCA)の鍵カプセル化手段(KEM)とデータカプセル化手段(DEM)とを組み合せて、より安全性が高い選択暗号文攻撃安全(IND-CCA2)のハイブリッドタイプの暗号手段を実現できる。しかし、この「ワンタイムKEM−DEM」では、その特性上全体の安全性は選択暗号文攻撃安全(IND-CCA2)しか議論できない。したがって、安全性をコントロールすることができない。例えば、データカプセル化手段(DEM)の安全性を選択平文選択暗号文攻撃安全(IND-CPA2/CCA2)に強化しても、全体の安全性は選択暗号文攻撃安全(IND-CCA2)であるとしか言えない。
また、同じ装置同士で繰り返し暗号通信を行う場合、秘密鍵を再利用することも可能である。しかし、そのような場合には、安全性の観点から、データカプセル化手段(DEM)には、安全性の高い選択平文選択暗号文攻撃安全(IND-CPA2/CCA2)が求められる。
そして、KEM−DEMハイブリッド暗号の枠組みを使用した同報通信に適した暗号方法(KEM−DEM−DEM)でも、共通セッション鍵を再利用するためには、データカプセル化手段(DEM)には、安全性の高い平文選択暗号文攻撃安全(IND-CPA2/CCA2)が求められる。
さらに、鍵カプセル化手段(KEM)を用いない共通鍵暗号では、従来のデータカプセル化手段(DEM)の安全性を選択暗号文攻撃安全(IND-CCA)から選択平文選択暗号文攻撃安全(IND-CPA2/CCA2)に高めようとすれば、根本的に作り直す必要があり、既存の資産を流用できない。
本発明の目的は、従来のワンタイムKEM−DEMで用いている安全性が選択暗号文攻撃安全(IND-CCA)の鍵カプセル化手段(KEM)とデータカプセル化手段(DEM)の組み合せを用いながら、鍵を再利用した1対1の繰り返し通信、鍵を再利用した同報の繰り返し通信の安全性を確保した方法を提供することである。さらに、ワンタイムおよび共通鍵暗号での安全性をコントロールできる方法を提供することも目的とする。
本発明では、選択暗号文攻撃安全(IND-CCA)の鍵カプセル化手段(KEM)とデータカプセル化手段(DEM)とを組み合せた、従来のKEM−DEM暗号方式に、共有鍵遮蔽手段(SEM:Session-key Encapsulation Mechanism)を組み合せる。これにより、共有鍵遮蔽手段(SEM)の安全性をコントロールすることで全体の安全性をコントロール可能にする。共有鍵遮蔽手段(SEM)は、鍵ビット長パラメータ部、共通セッション鍵と暗号化された共通セッション鍵を生成する暗号化アルゴリズム部、および暗号化された共通セッション鍵を共通セッション鍵に復号する復号アルゴリズム部から構成される。
具体的な送受信装置では、受信側の鍵生成手段で、あらかじめ公開鍵と私有鍵の組みを生成し、公開鍵を公開すると共に、私有鍵を記録しておく。送信側では、秘密鍵暗号化手段で、受信側の前記公開鍵を用いて、秘密鍵と暗号化された秘密鍵を生成する。共通セッション鍵暗号化手段で、前記秘密鍵を用いて、共通セッション鍵と暗号化された共通セッション鍵を生成する。そして、情報暗号化手段で、通信対象の情報を、共通セッション鍵を用いて暗号化する。また、受信側では、秘密鍵復号手段で、受信した暗号化された秘密鍵を、前記私有鍵を用いて復号し、秘密鍵を求める。共通セッション鍵復号手段で、前記秘密鍵を用いて、受信した暗号化された共通セッション鍵を復号し、共通セッション鍵を求める。そして、情報復号手段で、暗号化された情報を、共通セッション鍵を用いて復号する。
送信側と受信側の両方で秘密鍵を記録しておく。そして、送信側で、記録された前記秘密鍵を用いて、共通セッション鍵と暗号化された当該共通セッション鍵を生成する。また、受信側で、記録された前記秘密鍵を用いて、受信した暗号化された共通セッション鍵を復号し、共通セッション鍵を求める。
同報通信の場合には、送信側で、各送信先の公開鍵を用いて、送信先ごとの秘密鍵と暗号化された当該秘密鍵を生成する。また、複数の前記送信先の前記秘密鍵を用いて、共通セッション鍵と、当該送信先ごとの暗号化された当該共通セッション鍵を生成する。
さらに、共通鍵暗号の場合にも、従来の選択暗号文攻撃安全(IND-CCA)のデータカプセル化手段(DEM)に、既知平文選択暗号文攻撃安全(IND-KPA/CCA)の共有鍵遮蔽手段(SEM)を組み合わせ、全体の安全性を選択平文選択暗号文攻撃安全(IND-CPA2/CCA2)とする。
本発明は、共有鍵遮蔽手段(SEM)を従来のKEM−DEM方式に付加する。鍵カプセル化手段(KEM)とデータカプセル化手段(DEM)は、従来の安全性である選択暗号文攻撃安全(IND-CCA)とし、共有鍵遮蔽手段(SEM)の安全性をコントロールすることで、全体の安全性をコントロールできる。また、秘密鍵を送信側、受信側の両方で記録しておくことにより、繰り返し通信で、鍵カプセル化手段(KEM)の処理を省略できる。また、同報通信でも、共通セッション鍵を用いることで、平文を暗号化する計算量および通信量を大幅に削減できる。しかも、共有鍵遮蔽手段(SEM)の安全性を既知平文選択暗号文攻撃安全(IND-KPA/CCA)とすることで、選択暗号文攻撃安全(IND-CCA)の鍵カプセル化手段(KEM)とデータカプセル化手段(DEM)を用いても、全体の安全性を選択平文選択暗号文攻撃安全(IND-CPA2/CCA2)とすることができる。なお、上記の共有鍵遮蔽手段(SEM)による安全性のコントロールの効果は、鍵カプセル化手段(KEM)を用いない場合にも有効である。つまり、既知平文選択暗号文攻撃安全(IND-KPA/CCA)の共有鍵遮蔽手段(SEM)と組み合わせることで、データカプセル化手段(DEM)を従来の安全性である選択暗号文攻撃安全(IND-CCA)としても、全体の安全性を選択平文選択暗号文攻撃安全(IND-CPA2/CCA2)とすることができる。
以下にこの発明の実施形態を、図面を参照して説明するが、同一の機能を有する部分は、各図中に同一参照番号を付けて重複説明を省略する。
[第1実施形態]
図11に共有鍵遮蔽手段(SEM)の構成を示す。共有鍵遮蔽手段(SEM)350は、鍵ビット長パラメータ部SL(360)、暗号化アルゴリズム部SE(370)、復号アルゴリズム部SD(380)から構成される。鍵ビット長パラメータ部SL(360)は、確定的アルゴリズムを実行する構成部であって、セキュリティパラメータλから秘密鍵と共有セッション鍵のビット長の組(al,rl)を生成する。記号では、(al,rl)=SL(λ)と表すこととする。暗号化アルゴリズム部SE370は、確率的的アルゴリズムを実行する構成部である。暗号化アルゴリズム部SE370は、n個の受信側装置の各秘密鍵a(i=1〜n)を用いて共通セッション鍵rを生成する。さらに、暗号化アルゴリズム部370は、各受信側装置の秘密鍵a(i=1〜n)を用いて共通セッション鍵rを暗号化し、暗号化された共通セッション鍵Sを出力する。記号としては、(r,S)←SE(a,…,a)と表すこととする。復号アルゴリズム部SD380は、確定的アルゴリズムを実行する構成部であって、暗号化された共通セッション鍵Sを、秘密鍵aを用いて復号し、共通セッション鍵rを出力する。記号としては、r=SDai(S)と表すこととする。共有鍵遮蔽手段(SEM)350では、任意のa∈{0,1}alと確定的な(r,S)←SE(a,…,a)に対して、常にSDai(S)=rが成り立つ。
本発明では、安全性をコントロールした共有鍵遮蔽手段(SEM)を、選択暗号文攻撃安全(IND-CCA)の鍵カプセル化手段(KEM)とデータカプセル化手段(DEM)とを組み合せた、従来のKEM−DEM暗号方式に、組み合せることで、全体の安全性をコントロールする。
具体的には、共有鍵遮蔽手段(SEM)350は、確定的な共通鍵暗号ψを用いて構成することができる。確定的な共通鍵暗号ψは、確定的アルゴリズムであって、ビット長がrlの0または1の列とビット長がalの0または1の列との組を、ビット長が任意の0または1の列に変換する({0,1}←{0,1}rl×{0,1}al)。この共通鍵暗号ψを用いた場合、暗号化アルゴリズム部SE370では、まず、任意の共通セッション鍵r∈{0,1}rlを生成する。そして、S←ψai(r)により、送信先ごとの暗号化された共通セッション鍵Sを生成する。また、復号アルゴリズム部SD380では、r=ψai −1(S)により、暗号化された共通セッション鍵Sを復号し、共通セッション鍵rを得る。選択暗号文攻撃安全(IND-CCA)な確定的共通鍵暗号ψを用いて上記のように共有鍵遮蔽手段(SEM)350を構成すれば、共有鍵遮蔽手段(SEM)350の安全性を選択暗号文攻撃安全(IND-CCA)とすることができる。同様に、既知平文選択暗号文攻撃安全(IND-KPA/CCA)な確定的共通鍵暗号ψを用いて上記のように共有鍵遮蔽手段(SEM)を構成すれば、共有鍵遮蔽手段(SEM)の安全性を既知平文選択暗号文攻撃安全(IND-KPA/CCA)とすることができる。そして、選択暗号文攻撃安全(IND-CCA)な共有鍵遮蔽手段(SEM)を用いれば、選択暗号文攻撃安全(IND-CCA)の鍵カプセル化手段(KEM)とデータカプセル化手段(DEM)と組み合せて、毎回秘密鍵を生成する場合に、全体の安全性を選択暗号文攻撃安全(IND-CCA2)とすることができる。さらに、既知平文選択暗号文攻撃安全(IND-KPA/CCA)な共有鍵遮蔽手段(SEM)を用いれば、選択暗号文攻撃安全(IND-CCA)の鍵カプセル化手段(KEM)とデータカプセル化手段(DEM)と組み合せて、毎回秘密鍵を生成する場合でも秘密鍵を再利用する場合でも、全体の安全性を選択平文選択暗号文攻撃安全(IND-CPA2/CCA2)とすることができる。
図12に、本発明の暗号化通信を行うシステムの例を示す。この例はN+1個の送受信装置2000−i(i=0,1,2,…,N)から構成されている。各送受信装置2000−iは、鍵カプセル化手段(KEM)100の構成部、データカプセル化手段(DEM)200の構成部、および共有鍵遮蔽手段(SEM)350の構成部を組み合せた、暗号化装置HE400−i、復号装置HD500−i、記録装置860−iから構成されている。
まず、1対1通信、かつ、毎回秘密鍵を生成する場合を説明する。図13に、1対1通信での、送受信装置2000−0の暗号化装置HE400−0と送受信装置2000−1の復号装置HD500−1の機能構成を示す。また、図14に処理フローを示す。なお、図13中の記録810−1、870−1は記録装置860−1内に備えられている。
復号装置HD500−1は、あらかじめ鍵生成部KG120−1によって、セキュリティパラメータλから公開鍵pkと私有鍵skの組を得る((pk,sk)←KG(λ))(S120−1)。私有鍵skは、あらかじめ記録装置860−1内の記録部810−1に記録される(S810−1)。公開鍵pkは、あらかじめ公開され、暗号化装置HE400−0によって使用される。なお、公開鍵pkは、記録装置860−1内の記録部870−1に記録した上で、公開してもよい(S870−1)。暗号化装置HE400−0の暗号化アルゴリズム部KE130−0−1は、復号装置HD500−1の公開鍵pkから秘密鍵aと暗号化した秘密鍵eの組を得る((a,e)←KE(pk))(S130−0−1)。暗号化アルゴリズム部SE370−0は、秘密鍵aを用いて、共通セッション鍵rと暗号化された共通セッション鍵Sを得る((r,S)←SE(a))(S370−0)。暗号化アルゴリズム部DE220−0は、共通セッション鍵rを用いて平文mを暗号化し、暗号文cを得る(c=DE(m))(S220−0)。このように暗号化装置HE400−0は、復号装置HD500−1への出力として、暗号化した秘密鍵eと暗号化した共通セッション鍵S、暗号文cの組(e,S,c)を得る。復号装置HD500−1は、暗号化装置HE400−0からの暗号化した秘密鍵eと暗号化した共通セッション鍵S、暗号文cの組(e,S,c)を受信する。そして、復号アルゴリズム部KD140−1は、記録部810−1に記録された私有鍵skを用いて、暗号化された秘密鍵eを復号し、秘密鍵aを得る(a=KDsk1(e))(S140−1)。次に、復号アルゴリズム部SD380−1は、暗号化された共通セッション鍵Sを、秘密鍵aを用いて復号し、共通セッション鍵rを得る(r=SDa1(S))(S380−1)。次に、復号アルゴリズム部DD230−1は、共通セッション鍵rを用いて暗号文cを復号し、平文mを得る(m=DD(c))(S230−1)。
この「KEM−SEM−DEM」は、毎回、秘密鍵や共通セッション鍵を生成する。選択暗号文攻撃安全(IND-CCA)の鍵カプセル化手段(KEM)100、データカプセル化手段(DEM)200、鍵共有化手段(DEM)300を組み合せることによって、全体の安全性を選択暗号文攻撃安全(IND-CCA2)とすることができる。また、安全性が選択暗号文攻撃安全(IND-CCA)の鍵カプセル化手段(KEM)100、データカプセル化手段(DEM)200と、既知平文選択暗号文攻撃安全(IND-KPA/CCA)の共有鍵遮蔽手段(SEM)350を組み合せることによって、全体の安全性を、安全性の高い選択平文選択暗号文攻撃安全(IND-CPA2/CCA2)とすることができる。言い換えると、鍵カプセル化手段(KEM)100、データカプセル化手段(DEM)200の安全性は、安全性が選択暗号文攻撃安全(IND-CCA)のままで、共有鍵遮蔽手段(SEM)350の安全性をコントロールすることによって、全体の安全性をコントロールすることができる。
[変形例1]
次に、1対1通信、かつ、2回目以降の通信では秘密鍵を再利用する場合を説明する。図15に、図12の送受信装置2000’−0の暗号化装置HE400’−0と送受信装置2000’−1の復号装置HD500’−1の機能構成と処理の概要を示す。また、図16に1回目の通信での処理フローを示す。なお、図15中の記録810−i、820−i、830−i、870−iは記録装置860’−i内に備えられている。図15と図13の構成との違い、図16と図14の処理フローの違いはそれぞれ2つである。1つ目は、暗号化装置HE400’−0の暗号化アルゴリズム部KE130−0−1で生成した秘密鍵aを、記録装置860’−0内の記録部830−0に記録することである(S830−0)。もう1つの違いは、復号装置500’−1の復号アルゴリズム部KD140−1で復号した秘密鍵aを、記録装置860’−1内の記録部820−1に記録することである(S820−1)。この違いによって、秘密鍵aは、送信側と受信側の両方の送受信装置で記録される。
図17に、2回目以降の通信での送受信装置2000’−0の暗号化装置HE400’−0と送受信装置2000’−1の復号装置HD500’−1の機能構成と処理の概要を示す。また、図18に2回目の通信での処理フローを示す。2回目以降の通信では、暗号化装置HE400’−0の暗号化アルゴリズム部SE370−0が、記録装置860’−0内の記録部830−0に記録された秘密鍵aを用いて、共通セッション鍵rと暗号化された共通セッション鍵Sを得る((r,S)←SE(a))(S370−0)。暗号化アルゴリズム部DE220−0は、共通セッション鍵rを用いて平文mを暗号化し、暗号文cを得る(c=DE(m))(S220−0)。そして、暗号化装置HE400’−0は受信側に、暗号化した共通セッション鍵Sと暗号文cを送信する。また、復号装置HD500’−1の復号アルゴリズム部SD380−1は、暗号化された共通セッション鍵Sを、秘密鍵aを用いて復号し、共通セッション鍵rを得る(r=SDa1(S))(S380−1)。次に、復号アルゴリズム部DD230−1は、共通セッション鍵rを用いて暗号文cを復号し、平文mを得る(m=DD(c))(S230−1)。
上記のように、秘密鍵を送信側、受信側の両方で記録しておくことにより、繰り返し通信で、鍵カプセル化手段(KEM)の処理を省略できる。しかも、共有鍵遮蔽手段(SEM)の安全性を既知平文選択暗号文攻撃安全(IND-KPA/CCA2)とすることで、選択暗号文攻撃安全(IND-CCA)の鍵カプセル化手段(KEM)とデータカプセル化手段(DEM)を用いても、全体の安全性を選択平文選択暗号文攻撃安全(IND-CPA2/CCA2)とすることができる。
[変形例2]
本変形例では、同報通信の場合を説明する。図19に、図12の送受信装置2000”−g0の暗号化装置HEg0400”−g0と送受信装置2000”−gi(i=1〜n)の復号装置HDgi500” −gi(i=1〜n)の機能構成と処理の概要を示す。なお、図19中の記録810−gi、820−gi、830−gi、870−gi、880−giは記録装置860”−i内に備えられている。gi(i=0〜n)は、図12中のN+1個の送受信装置の中から選択されたn+1個の送受信装置を識別するための番号である。また、g0は情報の送信側、g1〜gnは情報の受信側を示している。図20に1回目の通信での処理フローを示す。
復号装置HDgi500”−gi(i=1〜n)は、あらかじめ鍵生成部KG120−g1によって、セキュリティパラメータλから公開鍵pkgiと私有鍵skgiの組を得る((pkgi,skgi)←KG(λ))(S120−gi)。私有鍵skgi(i=1〜n)は、あらかじめ記録装置860”−gi内の記録部810−giに記録される(S810−gi)。公開鍵pkgi(i=1〜n)は、あらかじめ公開され、暗号化装置HEg0400−g0によって使用される。なお、公開鍵pkgiは、記録装置860”−giの記録部870−giに記録した上で、公開してもよい(S870−gi)。送受信装置2000”−g0では、リスト管理部390−g0が、同報通信の送信先である送受信装置2000”−gi(i=1〜n)を、記録部880−g0にあらかじめ登録する(S390−g0)。暗号化装置HEg0400”−g0の暗号化アルゴリズム部KE130−g0−gi(i=1〜n)は、復号装置HDgi500”−giの公開鍵pkgiから秘密鍵agiと暗号化した秘密鍵egiの組を得る((agi,egi)←KE(pkgi))(S130−g0−gi)。なお、2回目以降の同報通信で秘密鍵agi(i=1〜n)を再利用する場合は、秘密鍵agiを記録部830−g0に記録しておく(S830−g0)。暗号化アルゴリズム部SE370−g0は、秘密鍵ag1,…,agnを用いて、共通セッション鍵rと各受信側の送受信装置ごとに暗号化された共通セッション鍵Sg1,…,Sgnを得る((r,Sg1,…,Sgn)←SE(ag1,…,agn))(S370−g0)。暗号化アルゴリズム部DE220−g0は、共通セッション鍵rを用いて平文mを暗号化し、暗号文cを得る(c=DE(m))(S220−g0)。このように暗号化装置HEgo400”−0は、復号装置HDgi500−gi(i=1〜n)への出力として、暗号化した秘密鍵eg1,…,egnと暗号化した共通セッション鍵Sg1,…,Sgn、暗号文cの組(eg1,Sg1,…,egn,Sgn,c)を得る。復号装置HD500”−1は、暗号化装置HE400”−0からの暗号化した秘密鍵eg1,…,egnと暗号化した共通セッション鍵Sg1,…,Sgn、暗号文cの組(eg1,Sg1,…,egn,Sgn,c)を受信する。そして、復号アルゴリズム部KD140−gi(i=1〜n)は、記録部810−giに記録された私有鍵skgiを用いて、暗号化された秘密鍵egiを復号し、秘密鍵agiを得る(agi=KDskgi(egi))(S140−gi)。次に、復号アルゴリズム部SD380−gi(i=1〜n)は、暗号化された共通セッション鍵Sgiを、秘密鍵agiを用いて復号し、共通セッション鍵rを得る(r=SDagi(Sgi))(S380−gi)。復号アルゴリズム部DD230−gi(i=1〜n)は、共通セッション鍵rを用いて暗号文cを復号し、平文mを得る(m=DD(c))(S230−gi)。
上記の方法によれば、同報通信の場合に、共通セッション鍵を用いることで、平文を1回のみ暗号化すればよい。したがって、送信先ごとの秘密鍵を用いて送信先の数だけ平文を暗号化する従来の方法に比べ、計算量および通信量を大幅に削減できる。しかも、共有鍵遮蔽手段(SEM)の安全性を既知平文選択暗号文攻撃安全(IND-KPA/CCA)とすることで、選択暗号文攻撃安全(IND-CCA)の鍵カプセル化手段(KEM)とデータカプセル化手段(DEM)を用いても、全体の安全性を選択平文選択暗号文攻撃安全(IND-CPA2/CCA2)とすることができる。さらに、この場合、同報通信を繰り返す時には、全体の安全性を選択平文選択暗号文攻撃安全(IND-CPA2/CCA2)に保ったまま、2回目以降の鍵カプセル化手段(KEM)の処理を省略できる。
[第2実施形態]
図23に、本発明の共有鍵遮蔽手段(SEM)をデータカプセル化手段(DEM)と組み合わせた共通鍵暗号システムの構成例を示す。また、その処理フローを図24に示す。このシステムは、暗号化装置E3000−0と復号装置D3000−1から構成される。また、暗号化装置E3000−0は、暗号化アルゴリズム部SE370−0、暗号化アルゴリズム部DE220−0、復号装置D3000−1の秘密鍵を記録する記録部830−0から構成される。さらに、復号装置D3000−1は、復号アルゴリズム部SD380−1、復号アルゴリズム部DD230−1、復号装置D3000−1の秘密鍵を記録する記録部820−1から構成される。
暗号化装置E3000−0と復号装置D3000−1は、あらかじめ復号装置D3000−1の秘密鍵aを共有化し、それぞれの記録部830−0と820−1に記録しておく。暗号化装置E3000−0の暗号化アルゴリズム部SE370−0が、記録部830−0に記録された秘密鍵aを用いて、共通鍵rと暗号化された共通鍵Sを得る((r,S)←SE(a))(S370−0’)。暗号化アルゴリズム部DE220−0は、共通鍵rを用いて平文mを暗号化し、暗号文cを得る(c=DE(m))(S220−0’)。そして、暗号化装置E3000−0は受信側に、暗号化した共通鍵Sと暗号文cを送信する。また、復号装置D3000−1の復号アルゴリズム部SD380−1は、暗号化された共通鍵Sを、秘密鍵aを用いて復号し、共通鍵rを得る(r=SDa1(S))(S380−1’)。次に、復号アルゴリズム部DD230−1は、共通鍵rを用いて暗号文cを復号し、平文mを得る(m=DD(c))(S230−1’)。
このシステムでは、鍵カプセル化手段(KEM)を用いていないので、ハイブリッド暗号システムではない。しかし、以下に示す点で、従来のデータカプセル化手段(DEM)のみで構成する共通鍵暗号システムよりも優れている。従来のデータカプセル化手段(DEM)の場合、安全性を選択暗号文攻撃安全(IND-CCA)から選択平文選択暗号文攻撃安全(IND-CPA2/CCA2)に高めようとすれば、暗号化アルゴリズム部DEと復号アルゴリズム部DDとを根本的に作り直す必要がある。しかし、既知平文選択暗号文攻撃安全(IND-KPA/CCA)の共有鍵遮蔽手段(SEM)と組み合わせることで、データカプセル化手段(DEM)を従来の安全性である選択暗号文攻撃安全(IND-CCA)としても、全体の安全性を選択平文選択暗号文攻撃安全(IND-CPA2/CCA2)とすることができる。したがって、従来から用いていた選択暗号文攻撃安全(IND-CCA)のデータカプセル化手段(DEM)を流用できる。
なお、この発明の暗号化装置及び復号装置は、コンピュータにより機能させることもできる。例えばコンピュータをこの発明の暗号化装置として機能させるためには、そのコンピュータに、図13から図24に示したいずれかの方法の各ステップをコンピュータに実行させるプログラムを記録したCD−ROM、磁気ディスク、半導体記憶媒体等の記録媒体からインストールし、あるいは通信回線を介してダウンロードし、そのプログラムをコンピュータに実行させればよい。
鍵カプセル化手段(KEM)の機能構成を示す図。 データカプセル化手段(DEM)の機能構成を示す図。 実際に暗号を用いた通信を行う場合の送受信装置の機能構成例を示す図。 送受信装置での機能構成と処理フローを示す図。 秘密鍵を再利用する場合の、1回目の情報通信時の機能構成と処理フローを示す図。 秘密鍵を再利用する場合の、2回目以降の情報通信時の機能構成と処理フローを示す図。 鍵共有化手段(DEM)の機能構成を示す図。 暗号化同報通信を行うシステムの例を示す図。 第1回目の同報通信での暗号化装置HEと復号装置HDとの関係を示す図。 第1回目の暗号化同報通信と同じ送受信装置間で第2回目以降の暗号化同報通信を行う場合の暗号化装置HEと復号装置HDとの関係を示す図。 共有鍵遮蔽手段(SEM)の機能構成を示す図。 暗号化通信を行うシステムの例を示す図。 1対1通信での、暗号化装置HEと復号装置HDの機能構成を示す図。 1対1通信での、暗号化装置HEと復号装置HDの処理フローを示す図。 1対1通信、かつ、2回目以降の通信では秘密鍵を再利用する場合の、1回目の通信での暗号化装置HEと復号装置HDの機能構成を示す図。 1対1通信、かつ、2回目以降の通信では秘密鍵を再利用する場合の、1回目の通信での暗号化装置HEと復号装置HDの処理フローを示す図。 1対1通信、かつ、2回目以降の通信では秘密鍵を再利用する場合の、2回目以降の通信での暗号化装置HEと復号装置HDの機能構成を示す図。 1対1通信、かつ、2回目以降の通信では秘密鍵を再利用する場合の、2回目以降の通信での暗号化装置HEと復号装置HDの処理フローを示す図。 同報通信の場合の、1回目の通信での暗号化装置HEg0と復号装置HDgi(i=1〜n)の機能構成を示す図。 同報通信の場合の、1回目の通信での暗号化装置HEg0と復号装置HDgi(i=1〜n)の処理フローを示す図。 同報通信の場合の、2回目以降の通信での暗号化装置HEg0と復号装置HDgi(i=1〜n)の機能構成を示す図。 同報通信の場合の、2回目以降の通信での暗号化装置HEg0と復号装置HDgi(i=1〜n)の処理フローを示す図。 共有鍵遮蔽手段(SEM)をデータカプセル化手段(DEM)と組み合わせた共通鍵暗号システムの構成例を示す図。 共有鍵遮蔽手段(SEM)をデータカプセル化手段(DEM)と組み合わせた共通鍵暗号システムの処理フローを示す図。

Claims (24)

  1. 情報を暗号化する暗号化方法において、
    秘密鍵暗号化手段で、送信先の公開鍵を用いて、秘密鍵と暗号化された当該秘密鍵を生成する秘密鍵暗号化ステップと、
    共通セッション鍵暗号化手段で、前記秘密鍵を用いて、共通セッション鍵と暗号化された当該共通セッション鍵を生成する共通セッション鍵暗号化ステップと、
    情報暗号化手段で、通信対象の情報を、共通セッション鍵を用いて暗号化して暗号文を得る情報暗号化ステップと、
    を有し、
    前記通信対象の情報を暗号化するときは毎回前記共通セッション鍵暗号化ステップを実行したうえで前記情報暗号化ステップを実行し、暗号文を送信するときは暗号化された共通セッション鍵も送信する暗号化方法。
  2. 請求項1記載の暗号化方法において、
    前記共通セッション鍵暗号化ステップが、確率的に共通セッション鍵と暗号化された当該共通セッション鍵を生成する
    ことを特徴とする暗号化方法。
  3. 請求項1または2記載の暗号化方法において、
    記録手段に、前記秘密鍵を記録する秘密鍵記録ステップも有し、
    前記記録手段に、送信先の秘密鍵が記録されている場合には、
    前記共通セッション鍵暗号化ステップは、前記記録手段に記録された前記秘密鍵を用いて、共通セッション鍵と暗号化された当該共通セッション鍵を生成する
    ことを特徴とする暗号化方法。
  4. 請求項1〜3のいずれかに記載の暗号化方法において、
    前記通信対象の情報の送信先が複数ある場合に、
    前記秘密鍵暗号化ステップは、各送信先の公開鍵を用いて、送信先ごとの秘密鍵と暗号化された当該秘密鍵を生成し、
    前記共通セッション鍵暗号化ステップは、複数の前記送信先の前記秘密鍵を用いて、共通セッション鍵と、当該送信先ごとの暗号化された当該共通セッション鍵を生成する
    ことを特徴とする暗号化方法。
  5. 請求項1〜4のいずれかに記載の暗号化方法において、
    記録手段に、送信先の情報を記録するリスト管理ステップも有し、
    前記共通セッション鍵暗号化ステップは、前記記録手段に記録された前記送信先の前記秘密鍵を用いて、共通セッション鍵と、当該送信先ごとの暗号化された当該共通セッション鍵を生成する
    ことを特徴とする暗号化方法。
  6. 請求項1〜5のいずれかに記載の暗号化方法において、
    前記共通セッション鍵暗号化ステップでは、既知平文選択暗号文攻撃安全の安全性で前記共通セッション鍵を暗号化する
    ことを特徴とする暗号化方法。
  7. 暗号化された情報を復号する復号方法において、
    鍵生成手段で、公開鍵と私有鍵の組みを生成し、公開鍵を公開すると共に、私有鍵を記録しておく鍵生成ステップと、
    秘密鍵復号手段で、受信した暗号化された秘密鍵を、前記私有鍵を用いて復号し、秘密鍵を求める秘密鍵復号ステップと、
    共通セッション鍵復号手段で、前記秘密鍵を用いて、受信した暗号化された共通セッション鍵を復号し、共通セッション鍵を求める共通セッション鍵復号ステップと、
    情報復号手段で、暗号化された情報を、前記共通セッション鍵を用いて復号する情報復号ステップと、
    を有し、
    暗号化された情報を受信するときは前記暗号化された共通セッション鍵も受信し、前記暗号化された情報を復号するときは毎回前記共通セッション鍵復号ステップを実行したうえで前記情報復号ステップを実行する復号方法。
  8. 請求項7記載の復号方法において、
    記録手段に、復号された前記秘密鍵を記録する秘密鍵記録ステップも有し、
    前記記録手段に、前記秘密鍵が記録されている場合には、
    前記共通セッション鍵復号ステップは、前記記録手段に記録された前記秘密鍵を用いて、受信した暗号化された共通セッション鍵を復号し、共通セッション鍵を求める
    ことを特徴とする復号方法。
  9. 請求項7または8記載の復号方法において、
    前記共通セッション鍵復号ステップでは、既知平文選択暗号文攻撃安全の安全性で暗号化された共通セッション鍵を復号し、共通セッション鍵を求める
    ことを特徴とする復号方法。
  10. 情報を暗号化する暗号化装置において、
    送信先の公開鍵を用いて、秘密鍵と暗号化された当該秘密鍵を生成する秘密鍵暗号化手段と、
    前記秘密鍵を用いて、共通セッション鍵と暗号化された当該共通セッション鍵を生成する共通セッション鍵暗号化手段と、
    通信対象の情報を共通セッション鍵を用いて暗号化して暗号文を得る情報暗号化手段と、
    を備え、
    前記通信対象の情報を暗号化するときは毎回前記共通セッション鍵暗号化手段の処理を実行したうえで前記情報暗号化手段の処理を実行し、暗号文を送信するときは暗号化された共通セッション鍵も送信する暗号化装置。
  11. 請求項10記載の暗号化装置において、
    前記共通セッション鍵暗号化手段が、確率的に共通セッション鍵と暗号化された当該共通セッション鍵を生成する
    ことを特徴とする暗号化装置。
  12. 請求項10または11記載の暗号化装置において、
    前記秘密鍵を記録する秘密鍵記録手段も備え、
    前記秘密鍵記録手段に、送信先の秘密鍵が記録されている場合には、
    前記共通セッション鍵暗号化手段は、前記秘密鍵記録手段に記録された前記秘密鍵を用いて、共通セッション鍵と暗号化された当該共通セッション鍵を生成する
    ことを特徴とする暗号化装置。
  13. 請求項10〜12のいずれかに記載の暗号化装置において、
    前記通信対象の情報の送信先が複数ある場合に、
    前記秘密鍵暗号化手段は、各送信先の公開鍵を用いて、送信先ごとの秘密鍵と暗号化された当該秘密鍵を生成し、
    前記共通セッション鍵暗号化手段は、複数の前記送信先の前記秘密鍵を用いて、共通セッション鍵と、当該送信先ごとの暗号化された当該共通セッション鍵を生成する
    ことを特徴とする暗号化装置。
  14. 請求項10〜13のいずれかに記載の暗号化装置において、
    送信先の情報を記録するリスト管理手段も備え、
    前記共通セッション鍵暗号化手段は、前記リスト管理手段に記録された前記送信先の前記秘密鍵を用いて、共通セッション鍵と、当該送信先ごとの暗号化された当該共通セッション鍵を生成する
    ことを特徴とする暗号化装置。
  15. 請求項10〜14のいずれかに記載の暗号化装置において、
    前記共通セッション鍵暗号化手段では、既知平文選択暗号文攻撃安全の安全性で前記共通セッション鍵を暗号化する
    ことを特徴とする暗号化装置。
  16. 暗号化された情報を復号する復号装置において、
    公開鍵と私有鍵の組みを生成し、公開鍵を公開すると共に、私有鍵を記録しておく鍵生成手段と、
    受信した暗号化された秘密鍵を、前記私有鍵を用いて復号し、秘密鍵を求める秘密鍵復号手段と、
    前記秘密鍵を用いて、受信した暗号化された共通セッション鍵を復号し、共通セッション鍵を求める共通セッション鍵復号手段と、
    暗号化された情報を、前記共通セッション鍵を用いて復号する情報復号手段と、
    を備え、
    暗号化された情報を受信するときは前記暗号化された共通セッション鍵も受信し、前記暗号化された情報を復号するときは毎回前記共通セッション鍵復号手段の処理を実行したうえで前記情報復号手段の処理を実行する復号装置。
  17. 請求項16記載の復号装置において、
    復号された前記秘密鍵を記録する秘密鍵記録手段も備え、
    前記秘密鍵記録手段に、前記秘密鍵が記録されている場合には、
    前記共通セッション鍵復号手段は、前記記録手段に記録された前記秘密鍵を用いて、受信した暗号化された共通セッション鍵を復号し、共通セッション鍵を求める
    ことを特徴とする復号装置。
  18. 請求項16または17記載の復号方法において、
    前記共通セッション鍵復号手段では、既知平文選択暗号文攻撃安全の安全性で暗号化された共通セッション鍵を復号し、共通セッション鍵を求める
    ことを特徴とする復号装置。
  19. データカプセル化手段を備える暗号システムにおいて、
    セキュリティパラメータから、秘密鍵のビット長と共通セッション鍵のビット長とを求める鍵ビット長パラメータ部と、
    秘密鍵から、共通セッション鍵と暗号化された共通セッション鍵とを求める暗号化アルゴリズム部と、
    暗号化された共通セッション鍵と秘密鍵から、共通セッション鍵を求める復号アルゴリズム部と
    を備え、
    通信対象の情報を暗号化するときは毎回前記暗号化アルゴリズム部の処理を実行したうえで前記データカプセル化手段の暗号化処理を実行し、暗号化された情報を復号するときは毎回前記復号アルゴリズム部の処理を実行したうえで前記データカプセル化手段の復号処理を実行する暗号システム。
  20. 請求項19記載の暗号システムにおいて、
    前記鍵ビット長パラメータ部では、セキュリティパラメータから、秘密鍵のビット長と共通セッション鍵のビット長とを確定的に求め、
    前記暗号化アルゴリズム部では、秘密鍵から、共通セッション鍵と暗号化された共通セッション鍵とを確率的に求め、
    前記復号アルゴリズム部では、暗号化された共通セッション鍵と秘密鍵から、共通セッション鍵を確定的に求める
    ことを特徴とする暗号システム。
  21. 請求項19または20記載の暗号システムにおいて、
    さらに、鍵カプセル化手段も備える
    ことを特徴とする暗号システム。
  22. 請求項21記載の暗号システムにおいて、
    システムを構成する送受信装置が3台以上あり、
    前記暗号化アルゴリズム部では、複数の秘密鍵から、1つの共通セッション鍵と複数の暗号化された共通セッション鍵とを求める
    ことを特徴とする暗号システム。
  23. 選択暗号文攻撃安全のデータカプセル化手段を備える暗号システムにおいて、
    セキュリティパラメータから、秘密鍵のビット長と共通鍵のビット長とを求める鍵ビット長パラメータ部と、
    秘密鍵から、共通セッション鍵と暗号化された共通鍵とを求める暗号化アルゴリズム部と、
    暗号化された共通セッション鍵と秘密鍵から、共通鍵を求める復号アルゴリズム部とを有する共通鍵遮蔽手段を備え、
    通信対象の情報を暗号化するときは毎回前記暗号化アルゴリズム部の処理を実行したうえで前記データカプセル化手段の暗号化処理を実行し、暗号化された情報を復号するときは毎回前記復号アルゴリズム部の処理を実行したうえで前記データカプセル化手段の復号処理を実行し、
    前記共通鍵遮蔽手段の安全性が既知平文選択暗号文攻撃安全であること
    を特徴とする暗号システム。
  24. 請求項1〜9のいずれかに記載の方法をコンピュータに実行させるプログラム。
JP2006005261A 2006-01-12 2006-01-12 暗号化方法と復号方法、それらの方法を利用した装置、システム、およびプログラム Active JP4963835B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006005261A JP4963835B2 (ja) 2006-01-12 2006-01-12 暗号化方法と復号方法、それらの方法を利用した装置、システム、およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006005261A JP4963835B2 (ja) 2006-01-12 2006-01-12 暗号化方法と復号方法、それらの方法を利用した装置、システム、およびプログラム

Publications (2)

Publication Number Publication Date
JP2007189456A JP2007189456A (ja) 2007-07-26
JP4963835B2 true JP4963835B2 (ja) 2012-06-27

Family

ID=38344330

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006005261A Active JP4963835B2 (ja) 2006-01-12 2006-01-12 暗号化方法と復号方法、それらの方法を利用した装置、システム、およびプログラム

Country Status (1)

Country Link
JP (1) JP4963835B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012105068A (ja) * 2010-11-10 2012-05-31 Mitsubishi Heavy Ind Ltd 暗号化装置、暗号化復号化システム、暗号化方法及びコンピュータプログラム
JP2012222568A (ja) * 2011-04-07 2012-11-12 Nippon Telegr & Teleph Corp <Ntt> データ暗号化装置及びデータ復号化装置及びデータ暗号化方法及びデータ復号化方法
JP5689839B2 (ja) * 2012-02-16 2015-03-25 日本電信電話株式会社 公開鍵暗号システム、公開鍵暗号方法、受信装置、およびプログラム
JP6267657B2 (ja) * 2015-01-07 2018-01-24 日本電信電話株式会社 安全性強化方法、安全性強化システム、安全性強化装置、検証装置、およびプログラム
US10412063B1 (en) 2019-02-05 2019-09-10 Qrypt, Inc. End-to-end double-ratchet encryption with epoch key exchange

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000295209A (ja) * 1999-04-09 2000-10-20 Ntt Data Corp 鍵管理方法、鍵管理システム及び記録媒体
JP2005269396A (ja) * 2004-03-19 2005-09-29 Willcom Inc 機器認証システム

Also Published As

Publication number Publication date
JP2007189456A (ja) 2007-07-26

Similar Documents

Publication Publication Date Title
EP1803244B1 (en) Enciphering method
US6289451B1 (en) System and method for efficiently implementing an authenticated communications channel that facilitates tamper detection
CN111342976B (zh) 一种可验证的理想格上门限代理重加密方法及系统
JP5300719B2 (ja) 量子暗号リンクネットワーク用節点装置及び該節点装置用節点モジュール
US6683956B1 (en) Encrypting conversion apparatus, decrypting conversion apparatus, cryptographic communication system, and electronic toll collection apparatus
JP2007522764A (ja) データを暗号的に処理する方法及び装置
WO2016136024A1 (ja) 鍵付替え方向制御システムおよび鍵付替え方向制御方法
JP4860708B2 (ja) ストリーム暗号方法および暗号システム
JPH0918469A (ja) 暗号通信装置、システム及び暗号装置
CN110855438B (zh) 一种基于环形qkd网络的量子密钥分发方法及系统
JP4963835B2 (ja) 暗号化方法と復号方法、それらの方法を利用した装置、システム、およびプログラム
CN101179374B (zh) 通信设备、通信系统及其方法
EP3309995B1 (en) Key exchange method, key exchange system, key distribution device, communication device, and program
JP2009088641A (ja) 送受信方法、通信システムおよび送信装置
CN111194531B (zh) 用于在多个信道上发送数字数据的方法
JP4664692B2 (ja) 暗号化方法、復号方法、暗号化装置、復号装置、暗号装置、およびプログラム
JP4843511B2 (ja) 同報通信暗号化方法、情報復号方法、それらの装置、それらのプログラム、およびそれらの記録媒体
JP2023157174A (ja) 暗号通信システム、暗号通信装置および暗号通信方法
US20010046296A1 (en) Encryption method and cryptographic communication method
García et al. Quantum-resistant Transport Layer Security
JP2005167635A (ja) 装置、及び、データ送受信方法
JP5367023B2 (ja) 情報暗号化方法、情報暗号化装置、プログラム、および記録媒体
JPH06209313A (ja) 機密保持装置およびその方法
WO2010076899A1 (ja) 放送型暗号システム、送信者装置、ユーザ装置、カプセル化/脱カプセル化方法
JP2000047580A (ja) 暗号変換装置、復号変換装置、暗号通信装置および自動料金徴収装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110208

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110407

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110802

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20110818

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120117

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120321

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120327

R150 Certificate of patent or registration of utility model

Ref document number: 4963835

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150406

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350