JP7191015B2 - 秘密値の共有に達すること - Google Patents

秘密値の共有に達すること Download PDF

Info

Publication number
JP7191015B2
JP7191015B2 JP2019522443A JP2019522443A JP7191015B2 JP 7191015 B2 JP7191015 B2 JP 7191015B2 JP 2019522443 A JP2019522443 A JP 2019522443A JP 2019522443 A JP2019522443 A JP 2019522443A JP 7191015 B2 JP7191015 B2 JP 7191015B2
Authority
JP
Japan
Prior art keywords
integer
value
secret
mod
common
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019522443A
Other languages
English (en)
Other versions
JP2019533382A (ja
Inventor
ルドヴィクス マリヌス ジェラルドゥス マリア トルヒュイゼン
ロナルド リートマン
モーション オスカー ガルシア
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV filed Critical Koninklijke Philips NV
Publication of JP2019533382A publication Critical patent/JP2019533382A/ja
Application granted granted Critical
Publication of JP7191015B2 publication Critical patent/JP7191015B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols

Description

本発明は、秘密値の共有に達することに関する。本発明は、特に、秘密値の完全な共有に達するために、既に秘密値の近似的共有状態にある2つのデバイスに関する。
現在のアプリケーションの多くは、2つのパーティーAとパーティーBとがシェアされる値を生成することを望む鍵交換プロトコルを使用する。このようなプロトコルは、よく知られたディフィー・ヘルマン鍵交換プロトコルに関係する。暗号解析に耐えるために、パーティーは、プロトコルにおける演算にいくつかの小さなエラーを導入する。その結果、パーティーAとパーティーBとは、例えば、ほぼ共有するが必ずしも完全に共有するとは限らないv、vといった値を取得し得る。完全な共有に到達するために、パーティーのうちの一方、例えばAが、演算された秘密値vを表すビット値例えばhを、他方のパーティーBに送信する。パーティーAは、更に、値vから値sを演算する。次に、パーティーBは、hとパーティーB自体の値vとから値sを演算する。システムの設計は、値vと値vとが互いに十分に近い場合に、秘密値sと秘密値sとが等しくなるようにされる。このようなシステムの一例が、J.Ding、X.Xie、及びX.Lin、「A simple provably secure key exchange scheme based on the learning with errors problem」、Cryptology ePrint Archive、Report 2012/688、2012、http://eprint.iacr.org/2012/688.pdf(以下「Ding」と表記される)に開示されている。
C. Peikert、「Lattice Cryptography for the Internet」、Proceedings of the 6th Workshop on Post-Quantum Cryptography、PQ Crypto 2014、Springer LNCS、Vol.8772、2014、197~219頁(以下「Peikert」と表記される)は、生成された秘密のシェアされる値sと値sとが統計的にバイアスされていない、すなわち一様に分散される方法を開示する。Peikertの構成では、2つのパーティーにより取得される秘密値は、1つの単一ビットである。
Joppe Bos、Craig Costello、Leo Ducas、Ilya Mironov、Michael Naehrig、Valeria Nikolaenko、Ananth Raghunathan、及びDouglas Stebila、「Frodo:Take off the ring!Practical,Quantum-Secure Key Exchange from LWE」、IACR Cryptology ePrint Archive、Report 2016/659、https://eprint.iacr.org/2016/659(以下「Bos」又は「Frodo」と表記される)は、パーティーが整数の集合にわたって一様に分散された秘密値を共有するように、Peikertの方法の拡張形態を開示する。引用された従来の方法では、1つの単一の調整ビットが送信される。Peikertの方法とBosの方法との両方において、パーティーが多くのビットを共有する必要がある場合、この方法は、共有に達するための複数のインスタンスに並行して適用される。上述の参照例のすべてにおいて、完全な鍵共有は、2つのパーティーにより演算された最初に取得された値v、値vが過度に異なってはいない場合に達成され得る。
2つのデバイス間において秘密値の共有に達する改善された手法を提供することが有益である。
この課題をより適切に解決するために、本発明の第1の態様は、
第1のデバイスから調整データhを表す情報を受信するように構成された受信器であって、0≦h<2δであって、δは1より大きな整数である、受信器と、
整数値の数字b及び
Figure 0007191015000001
 の式に基づいて共通の秘密sを演算するように構成されたプロセッサであって、ここで、bは0≦b<qを満たし、Bは正の整数であり、qは2B+δ+1の整数倍であり、q、B、δ、及びcはシステムパラメータである、プロセッサと、
を備える、第1のデバイスと秘密値の共有に達するための第2のデバイスを提供する。
ヘルパーデータは0≦h<2δの範囲内であって、δは1より大きな整数であるので、第1のデバイスが第2のデバイスに送信するヘルパーデータhは、複数のビットからなる。このシステムでは、値aと値bとの間における近似的共有により緩い条件を課している間であっても、完全な鍵共有が達成され得る。記載されるデバイスは、第2のデバイスが第1のデバイスから受信するヘルパーデータhを使用して共通の秘密sを特定することを可能にするので、完全な共有が達成される。
特に、a≡b+e(mod q)という意味で、第1のデバイスが、数字bの近似的共有に数字aを使用するときであって、ここで、eは数字aと数字bとの間の差を表し、
Figure 0007191015000002
 という制約がaとbとの間の比較的大きな差を可能にするとき、完全な共有が達成される。この特徴は、より安全な鍵交換アルゴリズムの使用を可能にする。
代替的に、所与の近似的共有条件に対して、本システムは、例えばPeikert又はBosに開示される従来技術の場合より、少なくとももう1つのビットを含む秘密値sの完全な共有に達するために使用され得る。
特定の例において、プロセッサは、鍵交換プロトコルに基づいてbを演算するように構成されている。この鍵交換プロトコルは、鍵の近似的共有につながる、例えばDing、Peikert、及びBosにおいて開示される鍵交換プロトコルのうちの1つ、又はその変形例である。記載されるデバイスは、続いて、上で概説したように、効果的な手法で完全な共有に達することを可能にする。
特定の例において、q=2、及びδ=m-B-1であり、ここで、mは正の整数である。この構成は、比較的少ない調整ビットを使用しながら、複数のビットの共有に到達することを可能にする。
特定の例において、プロセッサは、値β及びb≡wβ(mod q)の式に基づいて値bを演算するように構成されており、ここで、wN≡1(mod q)であり、Nは1より大きな整数であって、qと互いに素である。これは、α≡β+Ne(mod q)の条件に従って、第1のデバイスの値αと第2のデバイスの値βとの間に近似的共有状態が存在する状況をサポートすることを可能にし、ここで、
Figure 0007191015000003
 である。
本発明の他の態様によると、第2のデバイスと秘密値の共有に達するための第1のデバイスが開示され、第1のデバイスは、
整数値の数字a及び
Figure 0007191015000004
 の式に基づいて共通の秘密sを決定することであって、ここで、aは0≦a<qを満たし、Bは正の整数であり、qは2B+δ+1の整数倍であり、δは1より大きな整数であり、q、B、δ、及びcはシステムパラメータである、共通の秘密sを決定することと、
Figure 0007191015000005
 の式に基づいて、調整データhを決定することと、
を行うように構成されたプロセッサと、
第2のデバイスに調整データhを表す情報を送信するように構成された送信器と、
を備える。
ヘルパーデータhは0≦h<2δの範囲内であり、ここで、δは1より大きな整数であるので、第1のデバイスが第2のデバイスに送信するヘルパーデータhは、複数のビットからなる。このシステムにおいて、第1のデバイスと第2のデバイスとの値aと値bとの間の近似的共有により緩い条件を課している間であっても、完全な鍵共有が達成され得る。記載されるデバイスは、第2のデバイスが共通の秘密sを特定するために必要とするヘルパーデータhを生成及び送信することを可能にするので、完全な共有が達成される。
特に、a≡b+e(mod q)という意味で、第1のデバイスが数字bの近似的共有に数字aを使用するときであって、ここで、eは数字aと数字bとの間の差を表し、
Figure 0007191015000006
 という制約が、aとbとの間の比較的大きな差を可能にするとき、完全な共有が達成される。この特徴は、より安全な鍵交換アルゴリズムの使用を可能にする。
代替的に、所与の近似的共有条件に対して、本システムは、例えばPeikert又はBosに開示される従来技術の場合より、少なくとももう1つのビットを含む秘密値sの完全な共有に達するために使用され得る。
特定の例において、プロセッサは、鍵交換プロトコルに基づいてaを演算するように構成されている。この鍵交換プロトコルは、鍵の近似的共有につながる、例えば、Ding、Peikert、及びBosにおいて開示される鍵交換プロトコルのうちの1つ、又はその変形例である。
特定の例において、q=2であり、ここで、mは正の整数であり、共通の秘密sは(a+c)mod 2の二進展開のB個の最上位ビットに対応し、調整データhが二進展開の次のδビットに対応する。これは、一緒にaを形成するデータ成分の特に魅力的な表現である。更に異なったより具体的な例では、δ=m-B-1である。この値は、ヘルパーデータhのために比較的少ないビットを使用しながら、一度に複数のビットを調整することを可能にする、例えば、この値のδは、同じ近似的共有条件のもとで、Bosに開示される方法を使用する場合に比べて、もう1つのビットを調整することを可能にする。
特定の例において、c=0である。この場合、共通の秘密sは、aと
Figure 0007191015000007
 との、最も近い整数に切り下げられた商に等しい。
特定の例において、
Figure 0007191015000008
 である。この場合、共通の秘密sは、aと
Figure 0007191015000009
 との、最も近い整数に丸められた商に等しく、丸めは、中央の場合には切り上げるように実施される。
特定の例において、
Figure 0007191015000010
 である。この場合、共通の秘密sは、aと
Figure 0007191015000011
 との、最も近い整数に丸められた商に等しく、丸めは、中央の場合には切り下げるように実施される。
特定の例において、プロセッサは、値αと式a≡wα(mod q)とに基づいて値aを演算するように構成されており、ここで、wN≡1(mod q)であり、Nは1より大きな整数であって、Nはqと互いに素である。これは、条件α≡β+Ne(mod q)に従った、第1のデバイスの値αと第2のデバイスの値βとの間における近似的共有状態が存在する状況をサポートことを可能にし、ここで、
Figure 0007191015000012
 である。
本発明の別の一態様によると、上述の第1のデバイスと第2のデバイスとを備えるシステムが提示され、a≡b+e(mod q)という意味で、数字aが数字bとの近似的共有状態にあり、ここで、eは数字aと数字bとの間の差を表し、
Figure 0007191015000013
 である。これは、値aと値bとに関して近似的共有状態にある2つのデバイスが、第1のデバイスから第2のデバイスに調整データhを送信することにより、共通の秘密sに対して完全な共有に達することを可能にする。
本発明の別の一態様によると、第1のデバイスと秘密値の共有に達する方法が、第2のデバイスにより実施され、本方法は、
第1のデバイスから調整データhを表す情報を受信することであって、ここで、0≦h<2δであり、δは1より大きな整数である、受信することと、
整数値の数字b及び
Figure 0007191015000014
 の式に基づいて共通の秘密sを演算することであって、ここで、bは0≦b<qを満たし、Bは正の整数であり、qは2B+δ+1の整数倍であり、q、B、δ、及びcはシステムパラメータである、演算することと、
を有する。
本発明の別の一態様によると、第2のデバイスと秘密値の共有に達する方法が、第1のデバイスにより実施され、本方法は、
整数値の数字a及び
Figure 0007191015000015
 の式に基づいて共通の秘密sを決定することであって、ここで、aは0≦a<qを満たし、Bは正の整数であり、qは2B+δ+1の整数倍であり、δは1より大きな整数であり、q、B、δ、及びcはシステムパラメータである、決定することと、
Figure 0007191015000016
 の式に基づいて調整データhを決定することと、
第2のデバイスに調整データhを表す情報を送信することと、
を有する。
本発明の上述の実施形態、実施態様、及び/又は態様のうちの2つ以上が、有用と考えられる任意の手法により組み合わされることが当業者により理解される。デバイスの説明される変更及び変形に対応した本方法の変更及び変形が本説明に基づいて当業者により実行され得る。
本発明のこれらの態様及び他の態様が、添付図面を参照しながら以下で更に詳細に説明される。
第1のデバイスと秘密値の共有に達するための第2のデバイスのブロック図である。 第2のデバイスと秘密値の共有に達するための第1のデバイスのブロック図である。 第1のデバイスと秘密値の共有に達するための第2のデバイスにより実施される方法のフロー図である。 第2のデバイスと秘密値の共有に達するための第1のデバイスにより実施される方法のフロー図である。 秘密値の共有に達するための第1のデバイスと第2のデバイスとを備えるシステムのタイミング図である。 システムにおいて使用される識別子のビット長の説明を示す図である。
請求項により規定される本発明の例示的な実施形態及びそれらの実施形態の均等物の包括的な理解を助けるために、添付図面を参照しながら以下の説明が提供される。以下の説明は、その理解を助ける様々な特定の詳細事項を含むが、これらの詳細事項は例示にすぎないとみなされる。従って、当業者は、本明細書において説明される実施形態の様々な変形及び変更が、本発明の範囲から逸脱することなくなされ得ることを認識する。加えて、よく知られた機能及び構築物の説明が、明確且つ簡潔となるように省略される。
本開示において次の表記が使用される。すなわち、ν≧2である任意の2つの整数xと整数νとに対して、〈x〉νは、
0≦〈x〉ν≦ν-1 及び 〈x〉ν≡x mod ν
を満たす整数を表す。更に、任意の実数yに対して、
Figure 0007191015000017
 という表記は、yを最も近い整数に切り下げた結果を表し、
Figure 0007191015000018
 という表記は、yを最も近い整数に切り上げた結果を表す。例えば、
Figure 0007191015000019
Figure 0007191015000020
 及び
Figure 0007191015000021
 である。
特定の実施形態において、2つのパーティーAとパーティーBとが、パーティーAが数字aを演算し、パーティーBが数字bを演算する特定のプロトコルを使用する。プロトコルは、aとbとが演算された手法を理由として、それらが近似的共有するようにされなければならない。この近似的共有は、AとBとに知られたシステム定数q、B、及びδの観点から表され、ここで、q、δ、及びBは正の整数であり、qは次のように、2B+δ+1の整数倍である。すなわち、aとbとの両方が区間[0,q)内の整数であり、
a≡b+e(mod q) (式1)
を満たし、ここで、
Figure 0007191015000022
 である。本開示を使用することで、2つのパーティーは、一方のパーティー、例えばパーティーAがパーティーBにδビットの調整データを送信したことにより、共通のBビットの秘密Sに到達し得る。もう1つの整数システムパラメータc及びその関連性は、以下で開示される。整数hと整数vとは、次式の
Figure 0007191015000023
 により規定され、ここで、
Figure 0007191015000024
 及び
Figure 0007191015000025
 である。
特に、
Figure 0007191015000026
 である。q=2である特別な場合には、秘密値sは、
Figure 0007191015000027
 の二進展開のB個の最上位ビットに対応し、hは、
Figure 0007191015000028
 の二進展開の次の上位δビットに対応し、νは、
Figure 0007191015000029
 のm-B-δ個の最下位ビットに対応する。
Figure 0007191015000030
 を法として式(1)を検討することにより、次式が得られる。
Figure 0007191015000031
Figure 0007191015000032
 であり、式(2)が満たされるので、次式が得られる。
Figure 0007191015000033
 式(5)と式(6)とを組み合わせることにより、次式が得られる。
Figure 0007191015000034
 式(1)と式(3)とを組み合わせることとにより、次式が得られ、
Figure 0007191015000035
 更に、式(8)から、次式が得られる。
Figure 0007191015000036
 式(9)と式(7)とを組み合わせること、及び、性質S∈[0,2)を使用することにより、パーティーBが、
Figure 0007191015000037
 の式を使用してSを演算し得ることになる。式(10)を簡略化することにより、パーティーBが、代替的に、
Figure 0007191015000038
 の式を使用してSを演算し得ることになる。式(10)及び式(11)は、b、hとシステムパラメータq、B、及びδとからSが演算され得ることを示す。従って、パーティーAがパーティーBにhを表す情報を送信した場合、パーティーBは、パーティーAとパーティーBとの間における共通の秘密として使用され得るSを入手し得る。式(3)は、
Figure 0007191015000039
 を意味するので、0≦h<2δとなり、従って、hはδビットで表され得る。
c=0の場合、aと(q/2)との、最も近い整数に切り下げられた商に秘密Sが等しいことを、式(4)が表すことが確認される。c=q/2B+1を選択した場合、秘密Sは、aとq/2との、(2を法として)最も近い整数に丸められた(中央の場合、すなわち、ある整数kに対してaが
Figure 0007191015000040
 に等しい場合には、切り上げられた)商に等しい。c=q/(2B+1)-1を選択した場合、秘密Sは、aとq/2との、2を法として最も近い整数に丸められ、中央の場合に切り下げられた商に等しい。所望により、cの他の値が、別の結果を取得するために使用される。cに対するこれらの特別な選択に対して、パーティーBによるSの演算は簡略化され得る。実際、パーティーBは、
Figure 0007191015000041
 の式を使用して、及び、
Figure 0007191015000042
 として、Sを取得し得る。
q=2の場合、共通の秘密Sは、aのB個の最上位ビットから構成されており、ヘルパーデータhは、aの後続のδビットからなる。更に、aが一様に分散されている場合、ヘルパーデータhを与えられた共通の秘密Sも同様に、一様に分散される。すなわち、敵対者は、ヘルパーデータhの観察から、共通の秘密Sに関する情報を取得することができない。
「近似的共有」条件は一般化され得ることに留意されたい。例えば、qと互いに素である、すなわち、Nとqとの最大公約数が1となるある整数Nに対して、
a≡b+Ne(mod q) (式14)
という条件により式(1)を置換することが可能である。式(2)に記述されるeの絶対値に対する条件は、同じままに維持される。すなわち、
Figure 0007191015000043
 となる。例えば、ある整数mに対してq=2である場合、Nは、任意の奇数であり得る。このような場合において、秘密及びヘルパーデータの演算は、次の導関数を使用して実施され得る。wN≡1(mod q)となるように、wが整数であると仮定する。qとNとが互いに素であるので、このような整数が存在する。α:=〈wa〉及びβ:=〈wb〉と仮定する。従って、α≡β+e(mod q)となる。従って、両パーティーは、a及びbの代わりに、それぞれα及びβを使用して、前述のように、
Figure 0007191015000044
 という秘密を共有し得る。
δ=1及びq=2の場合であって、aと2m-Bとの商に最も近い整数として秘密Sを取得する場合、1つの調整ビットhが送信され、両パーティーは、例えば、|e|≦2m-B-2であるときに常に、Bビットの秘密sを共有し得る。q=2且つδ=m-B-1である場合、両パーティーは、|e|≦2m-B-1-1であるときに常に、Bビットの秘密sを共有し得る。従って、調整ビットの数を増やすことにより、両パーティーは、1ビット分長い秘密値を共有し得る。
本明細書において説明される技術を使用すると、aのm-B-δ≧1個の最下位ビットに関する情報の交換をせずに、秘密に関して共有に達することが可能である。δを変化させることにより、調整データを送信することに関する帯域幅要求と、完全な共有の成功に関する近似要求との間のトレードオフを達成することが可能である。
図1は、第1のデバイス250と秘密値の共有に達するための第2のデバイス150の一例のブロック図を示す。第2のデバイス150は、アンテナ100と受信器101とプロセッサ102とメモリ105とを備える。アンテナ100は、信号を受信するための受信器101に接続されている。動作時、メモリ105は、データブロック103と演算ブロック104とを含む。アンテナ100は、適切な通信規格を使用して、無線で信号を送信及び/又は受信するために使用される。代替的な実施態様において、アンテナ100は、有線(ネットワーク)接続により置換される。本開示では受信器102のみが必要とされるが、実用的な実施態様は、例えばアンテナ100を使用して信号を送信するための送信器を更に備える。プロセッサ102は、受信器101とメモリとを含むデバイスの動作を制御する。メモリ105のデータブロック103は、システムパラメータ(例えばq、B、δ、及びc)、秘密s、受信された調整データh、値b、及び暗号化される又は暗号解読される内容等の他のデータが挙げられるがこれらに限定されない様々なデータを記憶するために使用される。δ演算ブロック104は、別のデバイス(例えば第1のデバイス250)との秘密値の共有に達するための少なくとも1つの方法を実施する実行可能コンピュータコードを含む。
受信器101は、第1のデバイスから調整データhを表す情報を受信するように構成されており、ここで、0≦h<2δであり、δは1より大きな整数である。プロセッサ102は、整数値の数字b及び
Figure 0007191015000045
 の式に基づいて、共通の秘密sを演算するように構成されている。
例えば、sは、上述の式が維持される値となるように選択され得、ここで、0≦s<2である。
値bは0≦b<qを満たし、システムパラメータBは正の整数であり、システムパラメータqは2B+δ+1の整数倍である。これらのシステムパラメータは、例えば、デバイスに予めプログラムされるか、又は、信頼性のあるパーティーから受信される、これらのシステムパラメータは必ずしも秘密に保たれるとは限らない。
プロセッサ102は、共通の秘密sを演算する前に、bを演算するように構成されている。このような演算は、鍵交換プロトコルに基づく。そのために、第2のデバイス150は、鍵交換プロトコルに従って、第2のデバイス150の受信器102又は任意選択的な送信器を介して第1のデバイス250又は、(図示されない)第三者である中間体等の別のデバイスと更なる情報を交換する。この鍵交換プロトコルの詳細は本開示の範囲外である。第1のデバイス250が、a≡b+e(mod q)という意味で、数字bの近似的共有に数字aを使用する限り、第1のデバイス250が、図2を参照して以下で開示されるように調整データhを演算した場合、第2のデバイスが調整データhを使用して共通の秘密sを特定し得ることが、第2のデバイスの性質であり、ここで、eは数字aと数字bとの間の差を表し、ここで、
Figure 0007191015000046
 である。
特定の値のcに対して、共通の秘密sの演算は、簡略化され得る(式12及び式13を更に参照されたい)。第2のデバイスのプロセッサ102は、
Figure 0007191015000047
 の式を評価することによりsを演算するように構成され得る。更に、第2のデバイスのプロセッサ102は、
Figure 0007191015000048
 の式を評価することによりsを演算するように構成され得、この式は代替的に、
Figure 0007191015000049
 のように実施され得る。
特定の例において、q=2及びδ=m-B-1であり、ここで、mは正の整数であり、>B+3である。
別の一例において、プロセッサ102は、値βと式b≡wβ(mod q)とに基づいて値bを演算するように構成されており、ここで、wN≡1(mod q)であり、ここで、Nは1より大きな整数であって、qと互いに素である。これは、例えば、式14に関係してここまでに説明される、aとbとの間のより大きな差をサポートすることを可能にする。
図2は、第2のデバイス150と秘密値の共有に達するための第1のデバイス250の一例を描いたブロック図を示す。第1のデバイス250は、アンテナ200と送信器201とプロセッサ202とメモリ205とを備える。アンテナ200は、信号を受信するための送信器201に接続されている。動作時、メモリ205は、データブロック203と演算ブロック204とを含む。アンテナ200は、適切な通信規格を使用して、無線で信号を送信及び/又は受信するために使用される。代替的な実施態様において、アンテナ200は、有線(ネットワーク)接続により置換される。本開示の説明では、送信器202のみが必要とされるが、実用的な実施態様は、例えばアンテナ200を使用して信号を受信するための受信器を更に備える。プロセッサ202は、送信器201とメモリ205とを含むデバイスの動作を制御する。メモリ205のデータブロック203は、システムパラメータ(例えばq、B、δ、及びc)、秘密s、調整データh、値b、及び暗号化される又は暗号解読される内容等の他のデータが挙げられるがこれらに限定されない様々なデータを記憶するために使用される。演算ブロック204は、別のデバイス(例えば第2のデバイス150)との秘密値の共有に達するための少なくとも1つの方法を実施する実行可能コンピュータコードを含む。
実用的な実施態様において、プロセッサ202は、整数値a及び
Figure 0007191015000050
 の式に基づいて共通の秘密sを決定するように構成される。これは、代替的に
Figure 0007191015000051
 と表記され、ここで、値aは0≦a<qを満たし、システムパラメータBは正の整数であり、システムパラメータqは2B+δ+1の整数倍であり、システムパラメータδは1より大きな整数である。
共通の秘密sを特定する前又は特定した後(又は同時に)、プロセッサ202は、
Figure 0007191015000052
 の式に基づいて調整データhを特定する。
これは、代替的に、
Figure 0007191015000053
 と表記される。
送信器201は、プロセッサ202の制御下で、第2のデバイスに、調整データhを表す情報を送信するように構成される。例えば、調整データhを表す情報は、調整データhの二進表現、又は調整データhの符号化された表現であり得る。
特定の例において、プロセッサ202は、鍵交換プロトコルに基づいてaを演算するように構成されている。そのために、第1のデバイス250は送信器201又は任意選択的な受信器を使用して、鍵交換プロトコルに従って、第2のデバイス150、又は(図示されない)第三者である中間体等の別のデバイスと更なる情報を交換する。この鍵交換プロトコルの詳細は、本開示の範囲外である。第1のデバイス250が、第2のデバイス150に追加的な調整データhを提供し得ることが、第1のデバイス250の性質である。第1のデバイス250がa≡b+e(mod q)という意味で、第2のデバイス150により使用される数字bの近似的共有に数字aを使用する限り、第2のデバイス150は、図1を参照して本明細書において説明される手法で調整データhに数字bを組み合わせることにより、調整データhを使用して共通の秘密sを特定し得、ここで、eが数字aと数字bとの間の差を表し、ここで、
Figure 0007191015000054
 である。
特定の一実施態様例において、q=2であり、ここで、mは正の整数であり、共通の秘密sは(a+c)mod 2の二進展開のB個の最上位ビットに対応し、調整データhは(a+c)mod 2の二進展開の次の上位δビットに対応する。例えば、δ=m-B-1は、aとbとの間の共有にどの程度近似的でなければならないかに関係した比較的緩い制約を可能にするとともに、比較的少ないビットの調整データδを送信しながら、調整され得る比較的大きなビット数を提供する。しかし、この値は、単に一例として提示される。
秘密sは、いくつかの異なる手法により値aから導出され得る。例えば、システムパラメータcを変化させることにより、異なる挙動が実現され得る。最適な性能を得るために、第1のデバイスと第2のデバイスとの両方において(cを含む)同じ値のシステムパラメータが使用されなければならない。例えば、共通の秘密sが、aと
Figure 0007191015000055
 との、最も近い整数に切り下げられた商に等しくなるようにc=0が選択され得る。代替的に、
Figure 0007191015000056
 は、共通の秘密sがaと
Figure 0007191015000057
 との、最も近い整数に丸められた商に等しくなるように選択され、丸めは、中央の場合には切り上げるように実施される。更に、代替的に、
Figure 0007191015000058
 は、共通の秘密sがaと
Figure 0007191015000059
 との、最も近い整数に丸められた商に等しくなるように選択され、丸めは、中央の場合には切り下げるように実施される。
特定の一実施態様例において、プロセッサは、値αと式a≡wα(mod q)とに基づいて値aを演算するように構成されており、ここで、wN≡1(mod q)であり、Nは1より大きな整数であって、Nはqと互いに素である。これは、例えば式14に関係してここまでに説明されるaとbとの間のより大きな差をサポートすることを可能にする。
プロセッサ102及び202は、メモリに記憶されたプログラムを実行すること、及び例えば送信器、受信器、メモリ等の周辺機器を制御することが可能な任意の種類のコンピュータプロセッサであり得る。例えば、プロセッサ102又は202は、マイクロ制御装置又はマイクロプロセッサであり得る。このようなプロセッサは、当技術分野においてよく知られている電子デバイスである。更に、プロセッサ102、202は、複数のサブプロセッサを備え、並行して特定のタスクを実施するように連携し得る。メモリ105又は205は、揮発性又は不揮発性の手法によりデジタルデータを記憶することが可能な任意の種類のメモリであり得る。メモリ105又は205は、コンピュータ可読であり、データを入手及び/又は記憶するために、それぞれのプロセッサ102、202により使用され得る。このようなメモリ105、205は、電子デバイスである。よく知られた例として、フラッシュメモリ、ランダムアクセス(RAM)メモリ、読み出し専用メモリ(ROM)、及び磁気又は光学ドライブが挙げられる。これらの種類のメモリの組み合わせが各デバイスに使用される。
特定の例において、1つのデバイスが、第1のデバイスと第2のデバイスとの両方のすべてのコンポーネント及び機能を備える。例えば、デバイスは、第1のデバイス及び第2のデバイスの役割間において役割を切り替え得る。
第1のデバイスから第2のデバイスへのデータ送信は直接的な通信によるものである。代替的に、送信は、ネットワークを介して実施され、調整データは、第2のデバイスに達する前に、ネットワークにおけるいくつかのノードを通る。例えば、データ送信は、Wi-Fi(登録商標)、Bluetooth(登録商標)、3G、4G、LTEデータネットワーク技術を使用し得る。
図3は、第1のデバイスと秘密値の共有に達するための第2のデバイスにより実施される方法を示す。図4は、第2のデバイスと秘密値の共有に達するための第1のデバイスにより実施される方法を示す。図5は、第1のデバイス501と第2のデバイス502とが共有に達するためにどのように連携し得るかを示す。図3及び図4に示されるステップに対応した図5に示されるステップは、同じ参照符号を使用して示される。
図3及び図5を参照すると、第2のデバイスは、ステップ301から本方法を開始する。開始は、適切な内部又は外部信号、又は、例えばユーザーにより提供された入力により引き起こされる。例えば、第1のデバイスが第2のデバイスとの通信を構成しようと試みるときに本方法が開始される。ステップ302において、システムパラメータq、B、δ、及びcが決定される。例えば、これらのシステムパラメータは、メモリ103から入手される。任意選択的に、矢印503により示されるように、このステップは、使用されるシステムパラメータに関して第1デバイスと第2のデバイスとの間でネゴシエーションすることを伴い得、例えば、両方のデバイスによりサポートされたパラメータの集合に関してメッセージが交換され得る。Bは正の整数であり、δが1より大きな整数であり、qは2B+δ+1の整数倍である。ステップ303において、数字bが決定される。例えば、この数字は、第2のデバイスに利用可能なデータから演算される。代替的に、数字bは、外部供給源、例えば信頼性のあるパーティーから、好ましくは暗号化された形態で受信される。数字bは、格子ベース鍵交換プロトコルの一部として取得され得る。矢印504により示されるように、値bは、第1のデバイス501の対応する値aと近似的共有状態にある。ステップ304において、第2のデバイスは、矢印505により示されるように調整データhを表す情報を受信する。情報は、暗号化された形態で第2のデバイスに送信され、例えば第2のデバイスにより暗号解読される。調整データは、0≦h<2δの範囲内である。ステップ305において、第2のデバイスは、
Figure 0007191015000060
 の式に基づいてsを演算する。例えば
Figure 0007191015000061
 である。sの他の表現も可能である。
ステップ306において、任意選択的に、共通の秘密sに基づいて鍵が特定される、次に、本方法は、ステップ307において終了とされる。任意選択的に、第2のデバイスは、この時点から、共通の秘密s及び/又は共通の秘密sに基づく鍵を使用することを開始し得る。可能な用途は、例えば暗号化、暗号解読、デジタル署名生成及び検証といった、データ、例えば内容の暗号処理が挙げられる多くの用途のうちの任意の1つ又は複数によるものであり得る。例えば、共通の秘密sは、矢印506により示されるように、第1のデバイスと第2のデバイスとの間におけるメッセージの安全な交換のために使用され得る。更に、共通の秘密s及び/又は共通の秘密sから導出された鍵は、後の使用のために、第2のデバイスのメモリに記憶され得る。
図4及び図5を参照すると、第1のデバイスは、ステップ401から本方法を開始する。開始は、適切な内部又は外部信号、又は、例えばユーザーにより提供された入力により始動される。例えば、本方法は、第2のデバイスが第1のデバイスとの通信を構成しようと試みるときに開始される。ステップ402において、システムパラメータq、B、δ、及びcが決定される。例えば、これらのシステムパラメータがメモリから入手される。任意選択的に、矢印503により示されるように、このステップは、使用されるシステムパラメータに関して第1デバイスと第2のデバイスとの間においてネゴシエーションすることを伴い得、例えば、両方のデバイスによりサポートされたパラメータの集合を特定するために、メッセージが交換され得る。Bは正の整数であり、δは1より大きな整数であり、qは2B+δ+1の整数倍である。ステップ403において、第1のデバイスが、数字aを決定する。この決定は、例えば鍵交換プロトコルに基づく。例えば、この数字aは、第1のデバイスに利用可能にするデータから演算される。代替的に、数字aは、外部供給源、例えば信頼性のあるパーティーから、好ましくは暗号化された形態で受信される。数字aは、格子ベース鍵交換プロトコルの一部として取得され得る。矢印504により示されるように、値aは、第2のデバイス502の対応する値bと近似的共有状態にある。ステップ404において、第1のデバイスが調整データhを決定する。この調整データは、
Figure 0007191015000062
 の式に基づく。
調整データは、0≦h<2δの範囲内であり得る。ステップ405において、第1のデバイスが、第2のデバイスに、矢印505により示されるように調整データhを表す情報を送信する。情報は、例えば、暗号化された形態で第2のデバイスに情報を送信するために、第1のデバイスにより暗号化される。ステップ406において、第1のデバイスが、共通の秘密sを決定する。このステップは、他のステップの前に実施される。代替的な実施態様において、数aを決定する前に共通の秘密sが決定され、第1のデバイスは、共通の秘密sから数字aを導出する。共通の秘密sは、
Figure 0007191015000063
 の式に基づいて演算される。他の表記では、
Figure 0007191015000064
 となる。sの他の表現も可能である。ステップ407において、任意選択的に共通の秘密sに基づいて鍵が決定される。代替的に、共通の秘密sは、予め決定された鍵に基づく。次に、本方法は、ステップ408において終了とされる。任意選択的に、第1のデバイスは、共通の秘密s及び/又は鍵を使用し得る。可能な用途は、例えば、暗号化、暗号解読、デジタル署名生成及び検証といった、内容等のデータの暗号処理が挙げられる多くのもののうちの任意の1つ又は複数によるものであり得る。例えば、共通の秘密s又は鍵は、矢印506により示されるように、第1のデバイスと第2のデバイスとの間におけるメッセージの安全な交換のために使用され得る。更に、共通の秘密s及び/又は鍵は、後の使用のために第2のデバイスのメモリに記憶され得る。
図6は、q=2且つc=0の特定の場合に対して、a、s、h、m、B、及びqの間において可能な関係を概念的に描いた一例を示す。この図では、aの二進表現が(左側の)最上位ビットから(右側の)最上位ビットまで示される。数字601において、共通の秘密sがaのB個の最上位ビットにより表されることが示される。数字602において、調整データhがaの(B+1)番目から(B+δ)番目までの最上位ビットにより表されることが示される。数字603において、残りの(B+δ+1)番目からq番目のビット、すなわちaのm-B-δ個の最下位ビットは、共通の秘密sと調整データhとのいずれによっても表されないことが示される。この特徴は、調整データhのビット数に関係したデータの削減、及び/又は、aとbとの間の近似的共有に関係した許容範囲の増加を可能にする。
本開示において、1つを上回る調整ビットを送信し得る調整方法が提示される。本明細書において開示される技術は、例えば、近似的共有が「どの程度近似的で」なければならないかに関してより厳密さの低い条件を課しながら、パーティーが特定の数のビットを共有することをもたらすために使用される。近似的共有に対する、より厳密さの低い条件を可能にすることは、システムのセキュリティーを改善し得る。代替的に、ほぼ同じ近似条件を使用して(すなわち、同様のセキュリティー保証を使用することで)、本方法の例は、2つのパーティーが1ビット分長い秘密値を共有することを可能にする。以下、本方法の利点のうちのいくつか、及び、その影響が数値例により開示される。
Bosは、量子安全鍵交換方法を開示する。一方のパーティーが、別のパーティーに小さなシードと、Zからの要素を含む
Figure 0007191015000065
 の行列とを送信する。それに対応して、
Figure 0007191015000066
 の行列と、調整ビットを含む二進値の
Figure 0007191015000067
 の行列とが送信される。両方のパーティーが、
Figure 0007191015000068
 の行列を構築し、その行列の各エントリーから、B個の共通ビットが抽出される。(下記の表において「長さ」というラベルの付いた)抽出されたビットの総数は、従って、
Figure 0007191015000069
 に等しく、送信されたビットの総数は、
Figure 0007191015000070
 に等しい。表1は、Bosの表2において提案される例の圧縮されたバージョンである。
Figure 0007191015000071
Bosによると、1つの調整ビットが送信される場合、それらの数字に2m-B-2未満の違いがある場合(ここで、mはq=2となるものである)、パーティーが共通のBビットの秘密を共有することが保証される。本明細書において開示される技術を使用した結果は、同じ条件下で、δ=m-B-2個の調整ビットが送信される場合、2つのパーティーがB+1ビットの秘密を共有し得ることを示す。調整データの量は、従って、行列エントリー当たりlog(q)-B-2ビットに等しく、使用される帯域幅の合計は、
Figure 0007191015000072
 に等しい。本明細書において開示される技術において見られるように、共有されるビット数は、Bosの開示におけるビット数より大きく、
Figure 0007191015000073
 及び/又は、
Figure 0007191015000074
 を減らすこと、つまりは、全体的な帯域幅の使用を減らすことができる。本明細書において開示される技術を使用して、表2に示す結果が得られた。(「割合」というラベルの付いた)最も右の列は、提案される調整スキームの使用される帯域幅とBosに開示されるシステムの使用される帯域幅との割合を示す。
Figure 0007191015000075
本発明が、本発明を実施するように適応されたコンピュータプログラム、特に担体内の、又は担体上のコンピュータプログラムにも適用されることが理解される。プログラムは、例えば部分的にコンパイルされた形態の、又は、本発明に従った方法の実施態様における使用に適した任意の他の形態の、ソースコード、オブジェクトコード、ソースコードとオブジェクトコードとの中間のコードの形態であってよい。このようなプログラムが、多くの異なるアーキテクチャ設計を採用してよいことが更に理解される。例えば、本発明に従った方法又はシステムの機能を実施するプログラムコードは、1つ又は複数のサブルーチンに再分割されてよい。これらのサブルーチン間で機能を分散する多くの異なる手法が、当業者に明らかとなる。サブルーチンは、1つの実行可能ファイルに一緒に記憶されて内蔵プログラムを形成してよい。このような実行可能ファイルは、コンピュータにより実行可能な命令、例えば、プロセッサ命令及び/又はインタープリター命令(例えばJava(登録商標)インタープリター命令)を含んでよい。代替的に、サブルーチンのうちの1つ又は複数又はすべてが、少なくとも1つの外部ライブラリファイルに記憶されてよく、静的に、又は動的に、例えば実行時に主プログラムにリンクされてよい。主プログラムは、サブルーチンのうちの少なくとも1つに対する少なくとも1つのコールを含む。サブルーチンは、互いに対するコールを更に含んでよい。コンピュータプログラムに関する一実施形態は、本明細書に記載される方法のうちの少なくとも1つの各処理ステップに対応したコンピュータにより実行可能な命令を備える。これらの命令は、サブルーチンに再分割されてよく、及び/又は、静的に、又は動的にリンクされてよい1つ又は複数のファイルに記憶されてよい。コンピュータプログラムに関する別の一実施形態は、本明細書に記載されるシステム及び/又は製品のうちの少なくとも1つの各手段に対応した、コンピュータにより実行可能な命令を備える。これらの命令は、サブルーチンに再分割されてよく、及び/又は、静的に、又は動的にリンクされてよい1つ又は複数のファイルに記憶されてよい。
コンピュータプログラムの担体は、プログラムを収容することが可能な任意の実体又はデバイスであってよい。例えば、担体は、ROM、例えば、CD ROM又は半導体ROM、又は、磁気記憶媒体、例えば、フラッシュドライブ又はハードディスク等の記憶媒体を含んでよい。更に、担体は、電気又は光学ケーブルを介して、又は、無線又は他の手段により搬送されてよい電気又は光信号等の伝送可能担体であってよい。プログラムがこのような信号において具現化される場合、担体は、このようなケーブル、又は、他のデバイス又は手段により構成されてよい。代替的に、担体は、プログラムが中に組み込まれた集積回路であってよく、この集積回路は、関連する方法を実施するように適応されているか、又は、関連する方法の実施に使用される。
上述の実施形態は本発明を限定するのではなく例示すること、及び、当業者が添付の請求項の範囲から逸脱することなく、多くの代替的な実施形態を設計することが可能であることが留意されなければならない。特許請求の範囲において括弧間に位置するいずれの参照符号も、請求項を限定すると解釈されてはならない。「備える」という動詞及びその活用形の使用は、請求項に記載された要素又はステップ以外の要素又はステップの存在を排除しない。要素に先行する「a」又は「an」という冠詞は、複数のこのような要素の存在を排除しない。本発明は、いくつかの区別される要素を備えるハードウェアにより、及び適切にプログラムされたコンピュータにより実施されてよい。いくつかの手段を列挙したデバイスの請求項において、これらの手段のうちのいくつかは、同じ1つの部材のハードウェアにより具現化されてよい。単に特定の手段が相互に異なる従属請求項に記載されているということが、利点を得るためにこれらの手段の組み合わせが使用不可能なことを示すわけではない。

Claims (13)

  1. 第1のデバイスと秘密値の共有に達するための第2のデバイスであって、
    前記第1のデバイスは、
    整数値の数字a及び
    Figure 0007191015000076
     の式に基づいて共通の秘密sを決定することであって、
    ここで、aは0≦a<qを満たし、Bは正の整数であり、qは2 B+δ+1 の整数倍であり、δは1より大きな整数であり、q、B、δ、及びcはシステムパラメータである、
    共通の秘密sを決定することと、
    Figure 0007191015000077
     の式に基づいて調整データhを決定することと、
    を行うプロセッサと、
    前記第2のデバイスに前記調整データhを表す情報を送信する送信器であって、
    ここで、前記数字aはa≡b+e(mod q)という意味で、前記数字bと近似的共有状態にあり、eは前記数字aと前記数字bとの間の差を表し、
    Figure 0007191015000078
     である、送信器と、を備え、
    前記第2のデバイスは、
    前記第1のデバイスから前記調整データhを表す情報を受信する受信器であって、ここで、0≦h<2δであって、δは1より大きな整数である、受信器と、
    整数値の数字b及び
    Figure 0007191015000079
     の式に基づいて共通の秘密sを演算するプロセッサであって、ここで、bは0≦b<qを満たし、Bは正の整数であり、qは2B+δ+1の整数倍であり、q、B、δ、及びcはシステムパラメータである、プロセッサと、を備え、
    前記第1のデバイスが、a≡b+e(mod q)という意味で、前記数字bと近似的共有状態にある数字aをもち、ここで、eは前記数字aと前記数字bとの間の差を表し、
    Figure 0007191015000080
     である、第2のデバイス。
  2. 前記プロセッサが、鍵交換プロトコルに基づいてbを演算する、
    請求項1に記載の第2のデバイス。
  3. q=2、及びδ=m-B-1であり、ここで、mは正の整数である、
    請求項1に記載の第2のデバイス。
  4. 前記プロセッサが、値β及びb≡wβ(mod q)の式に基づいて前記整数値bを演算し、ここで、wN≡1(mod q)であり、Nは1より大きな整数であってqと互いに素である、
    請求項1に記載の第2のデバイス。
  5. 請求項1に記載の第2のデバイスと第1のデバイスとを備えるシステムであって、
    前記第1のデバイスは、
    整数値の数字a及び
    Figure 0007191015000081
     の式に基づいて共通の秘密sを決定することであって、
    ここで、aは0≦a<qを満たし、Bは正の整数であり、qは2B+δ+1の整数倍であり、δは1より大きな整数であり、q、B、δ、及びcはシステムパラメータである、
    共通の秘密sを決定することと、
    Figure 0007191015000082
     の式に基づいて調整データhを決定することと、
    を行うプロセッサと、
    前記第2のデバイスに前記調整データhを表す情報を送信する送信器であって、
    ここで、前記数字aはa≡b+e(mod q)という意味で、前記数字bと近似的共有状態にあり、eは前記数字aと前記数字bとの間の差を表し、
    Figure 0007191015000083
     である、送信器と、
    を備える、システム。
  6. 請求項1に記載の第2のデバイスと秘密値の共有に達するための第1のデバイスであって、前記第1のデバイスは、
    整数値の数字a及び
    Figure 0007191015000084
     の式に基づいて共通の秘密sを決定することであって、ここで、aは0≦a<qを満たし、Bは正の整数であり、qは2B+δ+1の整数倍であり、δは1より大きな整数であり、q、B、δ、及びcはシステムパラメータである、共通の秘密sを決定することと、
    Figure 0007191015000085
     の式に基づいて調整データhを決定することと、
    を行うプロセッサと、
    前記第2のデバイスに前記調整データhを表す情報を送信する送信器と、を備え、
    前記第2のデバイスが、a≡b+e(mod q)という意味で、前記数字aと近似的共有状態にある数字bを有し、ここで、eは前記数字aと前記数字bとの間の差を表し、
    Figure 0007191015000086
     である、第1のデバイス。
  7. 前記プロセッサが、鍵交換プロトコルに基づいてaを演算する、
    請求項6に記載の第1のデバイス。
  8. q=2であり、mは正の整数であり、前記共通の秘密sは(a+c)mod 2の二進展開のB個の最上位ビットに対応し、前記調整データhは前記二進展開の次のδビットに対応する、
    請求項6に記載の第1のデバイス。
  9. δ=m-B-1である、
    請求項8に記載の第1のデバイス。
  10. 前記共通の秘密sが、aと、
    Figure 0007191015000087
     との、最も近い整数に切り下げられた商に等しくなるようにc=0であることと、
    前記共通の秘密sが、aと、
    Figure 0007191015000088
     との、最も近い整数に丸められた商に等しくなるように
    Figure 0007191015000089
     であることであって、当該丸めが中央の場合には切り上げるように実施されることと、
    前記共通の秘密sが、aと、
    Figure 0007191015000090
     との、最も近い整数に丸められた商に等しくなるように
    Figure 0007191015000091
     であることであって、当該丸めが中央の場合には切り下げるように実施されることと、
    のうちの少なくとも1つが満たされる、
    請求項6に記載の第1のデバイス。
  11. 前記プロセッサが、値α及びa≡wα(mod q)の式に基づいて値aを演算し、ここで、wN≡1(mod q)であり、Nは1より大きな整数であり、Nはqと互いに素である、
    請求項6に記載の第1のデバイス。
  12. 請求項6に記載の第1のデバイスと秘密値の共有に達するための第2のデバイスにより実施される方法であって、前記方法は、
    前記第1のデバイスから前記調整データhを表す情報を受信するステップであって、ここで、0≦h<2δであり、δは1より大きな整数である、受信するステップと、
    整数値b及び
    Figure 0007191015000092
     の式に基づいて共通の秘密sを演算するステップであって、
    ここで、bは0≦b<qを満たし、Bは正の整数であり、qは2B+δ+1の整数倍であり、q、B、δ、及びcはシステムパラメータである、
    演算するステップと、を有し、
    前記第1のデバイスが、a≡b+e(mod q)という意味で、前記数字bと近似的共有状態にある数字aをもち、ここで、eは前記数字aと前記数字bとの間の差を表し、
    Figure 0007191015000093
     である、方法。
  13. 請求項1に記載の第2のデバイスと秘密値の共有に達するための第1のデバイスにより実施される方法であって、前記方法は、
    整数値a及び、
    Figure 0007191015000094
     の式に基づいて共通の秘密sを決定するステップであって、
    ここで、aは0≦a<qを満たし、Bは正の整数であり、qは2B+δ+1の整数倍であり、δは1より大きな整数であり、q、B、δ、及びcはシステムパラメータである、
    共通の秘密sを決定するステップと、
    Figure 0007191015000095
     の式に基づいて調整データhを決定するステップと、
    前記第2のデバイスに前記調整データhを表す情報を送信するステップと、を有し、
    前記第2のデバイスが、a≡b+e(mod q)という意味で、前記数字aと近似的共有状態にある数字bを有し、ここで、eは前記数字aと前記数字bとの間の差を表し、
    Figure 0007191015000096
     である、方法。
JP2019522443A 2016-11-04 2017-10-31 秘密値の共有に達すること Active JP7191015B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP16197277 2016-11-04
EP16197277.3 2016-11-04
PCT/EP2017/077843 WO2018083075A1 (en) 2016-11-04 2017-10-31 Reaching agreement on a secret value

Publications (2)

Publication Number Publication Date
JP2019533382A JP2019533382A (ja) 2019-11-14
JP7191015B2 true JP7191015B2 (ja) 2022-12-16

Family

ID=57326177

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019522443A Active JP7191015B2 (ja) 2016-11-04 2017-10-31 秘密値の共有に達すること

Country Status (10)

Country Link
US (1) US11451381B2 (ja)
EP (1) EP3535925B1 (ja)
JP (1) JP7191015B2 (ja)
CN (1) CN109923829B (ja)
BR (1) BR112019008747A2 (ja)
CA (1) CA3042443A1 (ja)
ES (1) ES2798325T3 (ja)
PL (1) PL3535925T3 (ja)
RU (1) RU2765148C2 (ja)
WO (1) WO2018083075A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3402118A1 (en) 2017-05-10 2018-11-14 Koninklijke Philips N.V. Key agreement devices and method
US10951415B2 (en) * 2019-03-13 2021-03-16 Digital 14 Llc System, method, and computer program product for implementing zero round trip secure communications based on noisy secrets with a polynomial secret sharing scheme
US10892891B2 (en) * 2019-03-13 2021-01-12 Digital 14 Llc System, method, and computer program product for zero round trip secure communications based on two noisy secrets

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006504362A (ja) 2002-10-24 2006-02-02 テレフオンアクチーボラゲット エル エム エリクソン(パブル) セキュア通信
WO2015197368A1 (en) 2014-06-27 2015-12-30 Koninklijke Philips N.V. Device for determining a shared key
CN105580309A (zh) 2013-07-12 2016-05-11 皇家飞利浦有限公司 密钥协商设备和方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6487661B2 (en) * 1995-04-21 2002-11-26 Certicom Corp. Key agreement and transport protocol
US7403623B2 (en) * 2002-07-05 2008-07-22 Universite Libre De Bruxelles High-rate quantum key distribution scheme relying on continuously phase and amplitude-modulated coherent light pulses
CN101288260A (zh) * 2005-01-27 2008-10-15 美商内数位科技公司 使用未由他人分享联合随机衍生秘钥方法及系统
JP2008252299A (ja) * 2007-03-29 2008-10-16 Hitachi Ltd 暗号処理システム及び暗号処理方法
US8208628B2 (en) * 2007-10-15 2012-06-26 University Of Connecticut, Center For Science And Technology Commercialization Systems and methods for key generation in wireless communication systems
US8689352B2 (en) * 2008-12-18 2014-04-01 Sap Ag Distributed access control for document centric collaborations
US8732468B2 (en) * 2009-03-09 2014-05-20 The Regents Of The University Of Michigan Protecting hardware circuit design by secret sharing
KR101070473B1 (ko) * 2009-10-13 2011-10-06 아주대학교산학협력단 동적 그룹키 생성 방법
US8549299B2 (en) * 2011-02-28 2013-10-01 Certicom Corp. Accelerated key agreement with assisted computations
WO2013042143A1 (en) * 2011-09-19 2013-03-28 Telespazio S.P.A. Management of synchronized symmetric keys for securing data exchanged by communication nodes
US20160156611A1 (en) * 2013-08-19 2016-06-02 Lynxguard Ltd. Multiparty secret protection system
US9438417B2 (en) * 2014-08-12 2016-09-06 Robert Bosch Gmbh System and method for shared key agreement over untrusted communication channels
US10200356B2 (en) * 2014-10-29 2019-02-05 Nec Corporation Information processing system, information processing apparatus, information processing method, and recording medium

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006504362A (ja) 2002-10-24 2006-02-02 テレフオンアクチーボラゲット エル エム エリクソン(パブル) セキュア通信
CN105580309A (zh) 2013-07-12 2016-05-11 皇家飞利浦有限公司 密钥协商设备和方法
WO2015197368A1 (en) 2014-06-27 2015-12-30 Koninklijke Philips N.V. Device for determining a shared key

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
BOS, Joppe et al.,Frodo: Take off the ring! Practical, Quantum-Secure Key Exchange from LWE,Cryptology ePrint Archive,International Association for Cryptologic Research,2016年09月,Report 2016/659, Version 20160910:010217,pp. 1-26,[2021年11月18日検索],インターネット,<URL: https://eprint.iacr.org/2016/659/20160910:010217>

Also Published As

Publication number Publication date
US20190349192A1 (en) 2019-11-14
EP3535925A1 (en) 2019-09-11
US11451381B2 (en) 2022-09-20
EP3535925B1 (en) 2020-03-25
BR112019008747A2 (pt) 2019-07-16
RU2019117057A (ru) 2020-12-04
CA3042443A1 (en) 2018-05-11
PL3535925T3 (pl) 2020-08-10
CN109923829A (zh) 2019-06-21
WO2018083075A1 (en) 2018-05-11
JP2019533382A (ja) 2019-11-14
ES2798325T3 (es) 2020-12-10
CN109923829B (zh) 2023-07-14
RU2019117057A3 (ja) 2021-04-01
RU2765148C2 (ru) 2022-01-26

Similar Documents

Publication Publication Date Title
US7564970B2 (en) Exponential data transform to enhance security
US8737608B2 (en) Exponential data transform to enhance security
US9973334B2 (en) Homomorphically-created symmetric key
AU2010200320B2 (en) Permutation Data Transform to Enhance Security
US20200259649A1 (en) Configurable device for lattice-based cryptography
JP6328152B2 (ja) 共有鍵を導出するよう構成されたネットワークデバイス
JP7191015B2 (ja) 秘密値の共有に達すること
US8077861B2 (en) Permutation data transform to enhance security
Tutoveanu Active implementation of end-to-end post-quantum encryption
KR102022333B1 (ko) 공개키 암호 알고리즘을 이용한 암호화/복호화 방법 및 장치
CN117318986A (zh) 一种基于多重加密的数据传输方法及系统
AU2012254921B2 (en) Permutation Data Transform to Enhance Security
Verma et al. An Ultra-Secure Router-to-Router Key Exchange System

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201030

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211020

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220301

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220719

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221004

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20221004

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20221014

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20221021

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221206

R150 Certificate of patent or registration of utility model

Ref document number: 7191015

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150