WO1988001120A1 - System for generating a shared cryptographic key and a communication system using the shared cryptographic key - Google Patents

System for generating a shared cryptographic key and a communication system using the shared cryptographic key Download PDF

Info

Publication number
WO1988001120A1
WO1988001120A1 PCT/JP1987/000572 JP8700572W WO8801120A1 WO 1988001120 A1 WO1988001120 A1 WO 1988001120A1 JP 8700572 W JP8700572 W JP 8700572W WO 8801120 A1 WO8801120 A1 WO 8801120A1
Authority
WO
WIPO (PCT)
Prior art keywords
algorithm
encryption key
entity
secret
center
Prior art date
Application number
PCT/JP1987/000572
Other languages
English (en)
French (fr)
Inventor
Tutomu Matumoto
Hideki Imai
Original Assignee
Kabushiki Kaisya Advance
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from JP61178652A external-priority patent/JPS6336634A/ja
Priority claimed from JP61251896A external-priority patent/JP2980320B2/ja
Application filed by Kabushiki Kaisya Advance filed Critical Kabushiki Kaisya Advance
Priority to DE3789769T priority Critical patent/DE3789769T2/de
Priority to EP87904964A priority patent/EP0277247B1/en
Publication of WO1988001120A1 publication Critical patent/WO1988001120A1/ja

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes

Description

明 細 書 共用暗号鍵生成方式および共用暗号鍵を用いた通信方式 技 術 分 野
本発明は暗号鍵を用いた暗号文による通信方式に関するも のであり、 より特定的には、 高度の機密性、 安全性を維持し つつ且つ操作性に富み、 複数のエ ンティ ティ が共用し得る、 暗号鍵を生成する方式、 およびその共用 (共有) 暗号鍵を用 いて暗号文による通信を行う通信方式に関する。
本発明の対象となるエ ンティ テ ィ としては、 人間、 装置、 機械、 ソフ トウヱァ、 あるいはそれらが構成要素と.なつたシ ステ など、 多様な'ものがある。 従って、 本発明の暗号鍵生 成装置はこれらエ ンティ ティが共有し得る暗号鍵を生成する , 而して、 本発明の通信方式は、 前記共有鍵を用いた種々の通 信、 例えば、 C P Uチップと R 0 Mチップの間の通信、 I C カー ド同士の通信、 I Cカー ドと端末と銀行セ ンタと人間と の相互間の通信、 移動体通信機相互間の通信、 パーソナル無 線機相互間の通信、 電話器相互間の通信、 人間同士の通信、 ホス ト計算機と端末とデータベースとの相互間の通信、 並列 計算機内の計算機同士の通信、 CATV放送局と加入者の間の通 信、 衛星放送、 等の通信方式に適用され得る。 背 景 技 術
情報セキュ リ ティ、 すなわちデータの機密保持並びにブラ ィパシーの確立、 エンティ ティ の認証、 通 f 相手の認証等の 確立のため、 従来から種々の暗号技術が提案されている。
暗号技術は、 共通鍵暗号化方式と公開鍵方式とに大別され る (今并他、 「暗号技術 J 、 テレビジョ ン学会誌、 Vol.39、 NOL12Q985)、 第 1140〜1147頁) 。 共通鍵暗号化方式は、 メ ッ セージの送信側と受信側とが予め秘密の共通の键を決めてお き、 送信側が平文を共通键により暗号化して伝送し、 受信側 が共通鍵で復号して平文に戻すものである。 公開鍵方式は、 公開鍵配送方式、 公開鍵暗号化方式および公開鍵ディ ジタル 署名方式を絵称したものである。 尚、 これらの暗号技術に関 する内容は、 (DA.G. onheim, "Cryptography :. A Primer", Wi ley, ew York, 1981, (2) C. H. Meyer et al. "Cryptography" , Wiley, New York, 1982, (3) D. E. Denning , "Cryptography and Data Security"Addison- esleyJ Reading, 1982, (4) D. W. Davies: e t al . "Securi ty for Computer Networks" , Wiley, Chichester: 1984等に示されている。
前述の共通鍵暗号化方式は、 最もポピュラーな方式である が、 各エンティティが、 想定されるすべての通信相手と、 他 の暗号的手段もしく は物理的手法により、 倔別に暗号鍵を共 有する方であるから、 エンティティが多数になると鍵配送の 問題が生じる。 すなわち、 共通缝は頻繁に更新するこ とが望 ましいのであるが想定される通信相手の数が多数であるとき には多大な手間がかかり、 不特定多数との暗号通信には不向 きであるという欠点を有する。
前述の公開鍵方式は、 上記鍵配送の問題を解決すべく採用 されているものであり、 その要旨を述べると、 各ェンティ テ ィが、 自分の秘密情報に基づき公開情報を作成し、 これを読 み出しは自由であるが書き込みや消去は厳重に管理された公 開ファ イ ルに登錄し、 通信の際に、 自分の秘密情報と相手の 公開情報から共有すべき暗号鍵を計箕して求めるものである , この方式によれば、 通信の際に、 必要に応じて公開ファ イ ル を参照すれば、 どのエ ンティ ティ とでも暗号鍵の共有が行え るので、 不特定多数相手の暗号通信にも適用可能である 、 という利点を有する一方、 公開ファ イ ル又はそれに相当する、 公開情報の管理機構が必要になるという問題がある。 更に、 各エ ンティ ティが相手の公開情報を参照するための作業が相 当になり、 操作性に劣るという問題がある。
暗号文による通信で達成されるセキュ リ ティ は、 通信の当. 事者であるヱ ンティ ティ だけが同一の暗号鍵を持ち、 当事者 以外のエ ンティ ティがその暗号鍵を有さないこ とに強く依存 するので、 安全で効率の良い暗号鍵共有方式が望まれている。
発明の開示
本発明は、 簡便な操作で機密性の高い暗号文を取り得る共 用暗号键生成方式を提供することを目的とする。
また本発明は、 上記により生成された暗号鍵を用いて暗号 文を伝送し得る通信方式を提供することを目的とする。
本発明の第 1 の形態によれば、 暗号鍵を共有すべき複数の エ ンティ ティ間で定められた要件の下でセ ンタだけが秘密に 保持するセ ンタアルゴリ ズムを生成し、 さ らに、 前記複数の エ ンテ ィ テ ィ の各個に固有に定められ、 公開され、 半固定的 に用いられる識別子を前記センタァルゴ ズムに適用して前 記複数のェンティ ティ の各 に固有な秘密ァルゴリズムを生 成する、 秘密アルゴリ ズム生成装置と、 少く とも前記秘密ァ ルゴリ ズムを記億するメモリを有し、 前記秘密アルゴリ ズム 生成装置における秘密アルゴリズム生成時に秘密アルゴリ ズ ム生成装置に接続されて対応するエンティ テ ィ の秘密アルゴ リ ズムが前記メ モ リ.に記憶され、 暗号文を送受すべき相手工 ンティ テ ィ の識別子を該秘密ァルゴリ ズムに適用するこ とに より共通の暗号鍵を生成する、 複数の暗号鍵生成手段と、 を 具備する、 共用暗号鍵生成方式、 が提供される。
好適には、 前記秘密アルゴリズム生成装置が、 相互に独立 に作動しそれぞれ独立な第 1次セ ンタ アルゴリ ズムを生成す る複数の第 1次センタァルゴリ ズム生成装置、 および、 該第 1次秘密アルゴリ ズム生成装置で生成された複数の第 1次セ ンタアルゴリズムを統合し、 該統合されたセンタアルゴリ ズ ムに基いて各ェンテ ィ テ ィ固有の秘密アルゴリ ズムを生成す る装置を具備し得る。
本発明の第 2 の形態によれば、 上記秘密アルゴリズム生成 装置と、 上記複数の暗号鍵生成手段と、 伝送系を介して接続 された少く とも 1対の送信および受信ヱンティティであって 送信側ェンティ ティが前記暗号鍵生成手段と^働し該暗号鍵 生成手段からの共通暗号鍵に基いて平文を暗号化する手段を 有し、 受信側エ ンテ ィ テ ィ が前記暗号鍵生成手段と協働し該 暗号鍵生成手段からの共通暗号鍵に基いて前記伝送系と介し て前記送信側エ ンティ ティ から送出された暗号文を平文に復 号する手段を有するもの、 とを具備し、 前記共通暗号鍵に基 いた暗号文を伝送する、 共用暗号鍵を用いた通信方式、 が提 供される。 図面の簡単な説明
第 1図は本癸明の 1実施例としての共用暗号鍵生成方式お よび共用暗号鍵を用いた通信方式のブロ ック図、
第 2図は第 1図のセ ンタに設けられた秘密アルゴリ ズム生 成装置 1 におけるセンタアルゴリ ズム Gの生成を示す図、 第 3図は第 1 図のセンタにおける識別子を用いた各ェ ンテ ィ ティ用の秘密アルゴリ ズムの作成と、 その配送を示す。 第 4図(a) (b)はそれぞれエ ンティ ティ A , Bにお'ける B 号 鍵 kの共有方法を示す図、
第 5図は、 第 1図の暗号生成手段として I Cカー ドを使用 した場合の実施例であり、 エ ンティ ティ Aのネ ッ トワークへ の加入、 エ ンティ ティ A用の I Cカー ドの発行、 ェ ンティ テ ィ Aにおける暗号鍵 kの計算を示す図、
第 6図および第 7図は、 2つのエ ンティ ティ の場合のセ ン タアルゴリ ズム と秘密アルゴリ ズムの生成の一例を示す図、 第 8図および第 9図は、 3つのエ ンテ ィ ティ の場合のセ ン タァルゴリ ズムと秘密アルゴリ ズムの生成の一例を示す図、 第 1 0図は安全性を向上させるための本発明の秘密アルゴ リ ズムを生成する他の方法を示す概念図、
第 1 1図は本発明の他の実施例の共用暗号鍵生成およびそ の共用暗号鍵を用いた通信を行う方式のブロ ック図、 第 1 2図 (a)〜(c) は、 それぞれ、 従来の共通鍵暗号化方 式、 従来の公開鍵方式および本発明にもとづく Key Pred i s t - r i b u t i on Sys tem の概念図、 である。 発明を実施するた'めの最良の形態 第 1図に本発明の一実施例としての共用暗号鍵生成方式お よび生成した共用暗号鍵を用いて通信を行う通信方式を図解 する。
第 1図ばエンティ ティが 2つ、 エンティ ティ Α , Βの場合 について例示する。 エンティティ Αおよびエンティティ Bは 通信回線 6、 例えば公衆回線を介して接繞される。 送信側ェ ンティ ティ 、 例えばエンティ ティ Aは、 送信- べき平文を入 力する手段 4 1、 該入力された平文を後述する共有暗号鍵 k に基いて暗号化する手段 4 2および暗号文を送出する手段 4 3から成る暗号文生成手段 4を具備する。 受信側ェンティ ティ Bは公衆回線 6を介して暗号文を受信し自分宛の通信文 であることを判断する手段 5 1、 受信暗号文を共有鍵 kを用 いて平文に復号する手段 5 2および復号された平文を出力す る手段 5 3から成る暗号文復号手段 5を具備する。 これら暗 号生成手段 4および暗号文復号手段 5それ自体の構成は従来 知られている。 暗号化手段 4 2および復号手段 5 2は、 例え ば特公昭 59 - 45269 (1975年 2月 24日、 米国特許シリ アル番号 552684に基づく優先権主張岀願) の第 8図に開示されたもの により実現され得る。 セ ンタ 一に管理機構として秘密アルゴ リ ズムを生成する装 置 1 が設けられ、 エンティ ティ A -, Bに対してそれぞれ共有 暗号鍵 kを発生する手段 2 , 3、 例えば I Cカー ドを介して 秘密アルゴ リ ズムを発行する。 すなわち秘密アルゴ リ ズム生 成装置 1 は、 エ ンテ ィ テ ィ A , Bの識別子、 例えば名前、 住 所等を定められた書式で符号化したもの、 y A , y B を入力 し、 第 2図に図示の如く、 センタアルゴ リ ズム Gを生成し、 このアルゴリ ズム Gを秘密に保つと共に、 秘密アルゴ リ ズム X A , X B を発行する。 識別子 y A , y B は、 例えば、 テ ン キ イを介して入力する。
エ ンテ ィ テ ィ Α , Βの秘密アルゴ リ ズム XA , XB はそれ ぞれ、 自己の識別子 y A , y 8 を用いて次の如く規定される , X A '= G ( y A) ' … ( Ir - 1 )
X B = G ( y B) … ( 1 — 2 ) 秘密アルゴ リ ズム生成装置 1 には、 上記秘密アルゴリ ズム 生成時、 I Cカー ド等の C P U、 およびリ ー ド ライ ト可能 なメ モリを内蔵した暗号鍵生成手段 2又は 3が装着されてお り、 秘密アルゴリ ズムが対応する暗号鍵生成手段のメ モリ に ス ト アされて、 発行される。 第 3図に、 エンティ ティ A〜 D に対応する秘密アルゴ リ ズム X A 〜 X D を発行する態様を図 解する。 明らかなように、 エンティ ティ C , Dはそれぞれ自 己の識別子 y c , y o を用いて次の秘密アルゴリ ズム X c , X D が発行される。
X c = G ( y c) … '( 1 一 3 ) X D = G ( y ο) ·♦· ( 1 — 4 ) 各ェンティティ は上記秘密アルゴリ ズムを秘密に俣眚する ことば云う までも-ない。
尚、 本発明におけるアルゴリ ズムとは、 計算の方法を、 定 められた言語で記述したものを意味し、 通常の意味での計箕 機プログラム、 及びデータ、 論理回路、 グラフ、 テューリ ン グ機械、 分散システムの勖作解折のモデルの 1つとして知ら れているペ ト リ ネッ ト、 L S Iパターン等は、 すべて本発明 におけるアルゴリ ズムの一種である。
上述の如く発行された秘密アルゴリ ズム X A , X B が装荷 (ロー ド) された暗号鍵生成手段 2 , 3をそれぞれ、 対応す る自己のェンティ ティ に装着する。 エ ンティ ティ A , Bが瑭 号鍵 kを共有したい場合、 第 1図および第 4図. (a) (b)に図示 の如く、 共有チべき相手側の識別子、 エンティ ティ Aにおい ては y B 、 エンティ ティ Bにおいては y A を、 各ェンティ テ ィ におけるキイ ボー ド等を介して、 エンティ ティ に装着され た暗号鍵生成手段 2 , 3 に入力する。 各暗号鍵生成手段は、 メモリに記億されている秘密アルゴリ ズムと入力された識別 子に基いて、 内蔵された C P Uによつてそれぞれ下記の如く 共有暗号鍵を生成する。
k = X A ( y B ) ··· ( 2 - 1 ) k = X 8 ( y A》 … ( 2 - 2 ) 暗号文生成手段 4および暗号文復号手段 5 はかゝ る共有暗 号鍵 kを用いて、 暗号又は復号を行う。
尚、 アルゴリ ズム G , X A , B , …は、 上記手順におい て同じ暗号靆 kを計箕できるように定められている必要があ る。
以上の如く構成することによ 、 センタだけが知っている セ ンタアルゴリ ズムにより変換された秘密アルゴリ ズムを各 エ ンティ ティ に配布するこ とにより機密性を維持する。 一方 各エ ンティ ティ は秘密アルゴリ ズムが装荷された暗号鍵生成 手段、 例えば I Cカー ドを装着し、 相手倒の識別子を入力す るのみで良く操作が非常に簡単となる。 この場合、 相手側の 識別子に基いて発生される暗号鍵 kを用いて暗号化、 復号化 されるので、 機密性が向上する。
更に、 いく つかの識別子と秘密アルゴリ ズムの組、 たとえ ば ( y A , X ft ) , ( y B , X B ) , ( y c . X c ) だけから、 別の識別子に対する秘密アルゴリ ズム、 たとえば y n に対す る X D を求める,ことが、 莫大な計箕量を要し、 実際上実 亍不 可能であることが一般には望ま しい。 この条件は、 ( y A , X A ) , ( y B , X B ) , ( y c , X c ) ,…だけからセ ンタのァ ルゴリ ズム Gを事実上計算できないこ とも含む。
本発明の他の実施例としては、 上記秘密アルゴリ ズムを第 5図のように、 1個又は複数個の I Cカー ド 2 a等の物理的 に保護された計算機に収容すると、 更に高いセキュ リ ティ を 有する暗号鍵共有方式が構成できる。
この場合、 各ヱンティ ティ は自分の秘密アルゴリ ズムを取 り出すことができず、 い く つかのエンティ ティが結託してそ れぞれの秘密アルゴリ ズムを集めてセ ンタアルゴリ ズム G又 は Gと等価なアルゴリ ズムを導く という行為自体をも防止で きる。 但し、 本発明においては Gが、 たとえ秘密アルゴリ ズ ムを多数利用しても安全が保たれるように構成されるので、 仮に I cカー ド等の ¾ί理的安全性が破れたとしても、 システ ム全体は安全である。
更に、 共有暗号鍵を発生させる手順も単に識別子を入力す る外は、 I Cカー ド等の内部で行えるので、 暗号鍵共有のた めのエンティティの作業上の負担は非常に軽減される。
第 5図において、 エンティ ティ Αがセンタにネ フ トワーク の加入申請を行い、.秘密アルゴリ ズム発生装置 1を介して秘 密アルゴリ ズムの埋め込まれた I Cカー ド 2 aが発行され、 エンティ ティ Aに I Cカー ド 2 aを装着した後エンティ ティ Bの識別子 y B を入力して共有の暗号鍵 kを生成している。 但し、 第 5図では秘密アルゴリズムを 1枚の I Cカー ドに埋 め込んだ例を示しているが、 秘密アルゴリ ズムを任意に分割 して I Cカー ドあるいは磁気カー ド、 磁気テープ、 バーコ一 ド、 光メ モ リ 、 I Cメ モリ 、 あるいはフロ ッ ピ一ディ スク等 いかなるデータ記憶媒体及びノ又はコ ンビュータ システム、 I Cカー ド、 ワ ンチップマイ コ ン、 演箕プロセ ッサ及びそれ 等を構成したモデム等、 計箕能力を有するいかなる装置に分 難して構成しても良い。
次に、 センタアルゴリ ズム Gと秘密アルゴリ ズムの作成方 法の例を示す。
まず、 2 つのエンティ ティ A , B間での暗号鍵共有の場合 を考える。
第 6図はセンタアルゴリ ズム Gの構成法を示すものであり Gは、 はじめに 1入力 1出力のアルゴリ ズム G t , G 2 及び 2入力 1 出力のアルゴリ ズム H , Φを用意する。 但し、 Φは 対称関数を表現するものとする。
これらのアルゴ リ ズム G , , G 2 , Η , Φを取り扱うアル ゴリ ズム or , , or 2 , を用意し、 or , により G 2 と Hを合 成してアルゴリ ズム F , を作成し、 1 により G , と Hを合 成してアルゴリ ズム F 2 を作成する。
次いで、 エンティ ティ Aの識別子 y A に , G z を施し た結果 2 A1 , z A2と前記アルゴリ ズム F t , F.2 , Φをアル ゴリ ズム により結合し、 第 7図のようなエンティ ティ Aの 秘密アルゴリ ズム X A を出力する。
第 6図中でアルゴ リ ズム or , , or 2 が行う合成は、 ァルゴ リ ズム合成法と呼ばれ、 F , , F z はそれぞれ合成アルゴリ ズムとして下記の.式により表わされる。
F , = H ( - , G2 ( * )) … ( 3 — 1 )
F 2 = H ( G , ( · ), *) … ( 3 - 2 ) 但し、 · , *はそれぞれ識別子 (バラメ ータ) を示す。 ここで、 合成アルゴリ ズム F , , F 2 からはアルゴリズム H , G , , Gz が実際上導けず、 , F 2 の内容を知ることが 難しい。 すなわち、 OBSCURE であるものを作り出す合成法で あることが判る。
第 6図のセ ンタ アルゴ リ ズム Gにより構成された第 7図の エンティ ティ Aの秘密アルゴリズム X A 及び、 同様に搆成さ れたエンティ ティ Bの秘密アルゴリ ズム X B が、 正し く機能 することは、 以下のようにして確かめられる。 X A ( y 8) = Φ ( F z A1 , y B) , F 2( y B , z AZ))
= ( H (Gt (y A) , G2( y B)) ,
H ( G , (y B) , G2( y A)))
- Φ (H ( G t ( y B), G2( y ) ,
Figure imgf000014_0001
= ( F 1 ( z B i , y A) , F 2 ( y A , z B2))
= XB (yA) ··· ( 4 )
OBSCURE なアルゴリ ズム合成法の他のものとしては、 (1) 松本他 「暗号化変換の自明でない表現を用いる非対称暗号系 J 昭和 5 8年度電子通信学会情報システム部門全国大会論文集、 1983年 9月、 a S 8 - 5、 第 1 -469〜 1 -470 、 (2) 松本他 「多変数多項式タプル非対称暗 系の構成理論」 1986年 2月 7 日、 1986年暗号と情報セキュ リ ティ シンポジウム資料 E 2、 暗号と情報セキュ リ ティ研究会、 電子通信学会情報セキユ リ ティ時限研究専門委員会、 (3)Matsumoto et al. "A crypto- graphical ly useful theorem on the connection between uni and multivariate polynomials, The Transaction of The IECE of Japan, Vol. E683 Na3, PP.139- 146 , arch 1985, (4) Imai , et al . Algebraic Method for Constructing Asym - metric Cryp tosys terns , " 3rd International Conference on Ap lied Algebra, Algebraic Algorithms and Symbol ic Compu ation, Error Correcting Codes (Jul 15- 19 , 1985 , Grenoble, France) , Springer Verlag. 等によるものがあ ヽ これ らを適用することも可能である。
次に、 2 つのエンティ ティ Α , Βについて、 センタァルゴ リ ズム G、 秘密アルゴ リ ズム X A , X B , …の行列を用いた 具体例を以下に示す。
可換環 R上の n行 m列行列の全体からなる集合を / a ( n , m) と表す。 Rには、 たとえば、 正整数 qを法とする剰余環 z <, = { 0 , 1 , 2 , - , q - 1 } などが採用できる。
まず、 G , , G z , H G R ( η , n ) を選び、 合成アル ゴ リ ズム
F = H G … ( 5 - 1 )
F 2 = G 1 H … ( 5 - 2 ) なる F , , F 2 € R ( η , n ) を計算する。 式 ( 5 — 1 ) の Tは転置を示す。
次に、 y A , y B ≡ H ( 1 , η ) に対し、 ζ Α1 , ζ A ζ B i , ζ B2e ^ R ( 1 , η ) を以下のように計算する。
z A1 = y fl G , … ( 6 - 1 ) z AZ = y A G 2 … ( 6 - 2 ) z B . = y B G , … ( 6 — 3 ) z 82 = y B G 2 ― ( 6 - 4 ) 従って、
z A. F , y Bt = ( y AG ,) (H G Z T) y B T
= y A ( G t.HHGzT y B T)
= 7 A ( G , H) ( y B G 2) T
= A F 2 z 82 ( 7 )
すなわち、
z A i F i y B = y A F 2 z ( 8 - 1 ) が成立する。 同様に次式も成り立つ。
z a 1 F I y ft T = y B F 2 z A Z ( 8 - 2")
したがって、 可換環 Rにおける乗箕を *で表すと、 *の可漠 性と式 ( 8 — 1 ), ( 8 - 2 ) により、
( z A1 F , y Bt ) * ( y B F z z A2 T)
= ( y B F 2 Z B 2 T ) * ( Z A t F ! y B T )
= ( 2 B 1 F ! y At) * ( y A F 2 z B Z ( 9 )
が成り立つ。
そこで、
G ( y A) = X A (10— 1 )
G ( y B) = X B (10- 2 )
Xft ( y B ) = ( 2 fll F ! y Bt) * ( y B F z z A2 T)
― (If- 1 )
XB ( y a) ( z F ! y a T) * ( y A F z z B Z
… (11- 2 ) のよう にアルゴリ ズム G , X a XB 、 を定めれば、 式 ( 9 ) より、
X A ( y e ) = X B ( y A ) … (12)
が成り立つ。
3つのェンティ ティ以上の場会も 2つのェンティ ティ の場 合と同様にセンタアルゴリ ズム G、 および秘密アルゴリ ズム X A , B , Xc , …を構成できる。 一例として 3 ェンティ ティ の場合を第 8図、 第 9図に示す。
最後に、 上記とは少し異なるが、 同様の考え方により構成 される具体例を 2つのエンティティ の場合につき以下に示す, 対称行列 G e ^ R ( n , n ) を選ぶ。 すなわち、 G = GT が成り立つもの とする。 - セ ンタ アルゴ リ ズム G、 秘密アルゴ リ ズム: X X を、
G y (13 1 ) G ( y = X (13 2 )
X ( y B) = x Φ ( y (14 1 ) X B ( y A) = x Φ ( y (14 2 ) と定める。 但し、
τ Φ ( y ) G … (15- 1 ) ϊ B = Φ ( y a) G … (15- 2 ) であり、 øは、 〃 R ( l , n ) から / / R ( 1 , n ) への関数 'を表すアルゴ リ ズムで、
Φ ( y ), Ψ ( y ), Φ ( y c ,…
が可換環 R上線形独立となるものとする
こ のとき、
X ( y
= x Φ ( y B))T
= ( Φ ( y A) G) ( Φ ( y B))T
= ( Φ ( y ) G ( Φ ( y 8) ) T ) T
= Φ { y G T ( y a) ) t
= ( Φ ( y 8) G) ( Φ ( y A) ) T
= x B ( Φ ( y A) ) T
= X 8 ( y (16) すなわち、
X y B) = X ( y (17) が成り立つ。 したがって、 上式の値を共有すべき暗号鍵 kと すればよい。 - 以上詳述したように、 本発明の第 1 の形態によれば、 一度 も会っていない (通信したことがない) 相手と共通の暗号鍵 を、 その相手の識別子を入力するだけで簡単かつ安全に計箕 することができ、 容易に任意の当事者間での、 暗号文による 通信を行う ことが可能となる。
以上、 本発明者により発明された暗号鍵事前分配方式 (Key Pred i s tr i bu t i o n Sys tem、 以下、 K P S と略す) とも呼ぶベ き共用暗号鍵生成装置とその共用暗号鍵を用いた通信方式に ついて述べた。
以上暗号鍵の生成を段階を追って一般的にまとめると、 次 の 3段階 (-手順) に犬別される。
a . 手順 1 : センタアルゴリ ズムの作成
b . 手順 2 : 各エンティ ティ用の秘密アルゴリ ズムの作成- 配布
c . 手順 3 : エンティ ティ相互のグループによる鍵共有 手順 1 は、 システムの立上げ時又は更新時だけに必要な操 作であり、 各センタ、 センタ p とするが、 特別なアルゴリズ ム、 すなわちセンタ p だけが秘密に保持するセンタアルゴリ ズム G pを生成することを指す。 ただし、 G pを生成する方 法については、 すべてのエ ンティ ティ も し く はエンティ ティ の代表の間で合意を得ておく ものとする。
手順 2 は、 各エンティ ティ のネツ トワークへの加入時にセ ンタとエ ンティ ティ により行われる操作である。 各ェンティ ティ、 エ ンテ ィ テ ィ 〖 とする、 に固有で公開され半固定的に 用いられる各エンティ ティ の識別子 y i に、 各セ ンタ pがセ ンタ アルゴリ ズム G pを施して各ェンチイ ティ専用の秘密ァ ルゴ リ ズム X pi = G p ( y ί ) を作成する。 エ ンテ ィ テ ィ i 用の秘密アルゴリ ズム X i i , X 2 i , … , X s iを個別に、 もし く は適当な方法により結合して、 エンティ ティ i だけに、 た とえば I Cカー ド等に装荷して、 配布する。 エンティ ティ i は受けとつた秘密アルゴリ ズムの組もし く はそれらの結合さ れたもの X i を秘密に保管する。
手順 3 は、 手順 1 , 2 の終了後に、 暗号鍵を共有したいグ ループにより行われる操作である。 グループに属する各々 の' エンティ ティ は、 グループに属する自分以外の全てのェンテ ィ ティ ¾識別子を自分の秘密アルゴリ ズムに入力することに より、 同一の暗号鍵 kを共有する。 たとえばエンティ ティ A とエンティティ Bが暗号鍵 k ABを共有したい場合は、 それぞ れ次のように k A Bを計箕する。 '
k A B = X A (2) ( y B) · ·· ( 18 - 1 ) k A B = X B <2> ( y A) · ·· (18 - 2 )
又、 エ ンテ ィ テ ィ A、 エ ンテ ィ テ ィ B 、 エ ンテ ィ テ ィ Cが 暗号鍵 k A 3 e を共有したい場合は、
k A B C = X A <3 ) ( y B , y c ) ·' ( 19 - 1 ) k Λ Β Ο = X B (3 ) ( y c , y a) ·' ( 19 - 2 ) k A B C = X c (3 ) ( y A . y B) ·' (19— 3 )
のようにしてそれぞれが k A8(: を計算する にズ 1 <e) は、 e個のエ ンテ ィ テ ィからなるグループで鍵共有を行う時 に用いるエ ンテ ィ テ ィ i の秘密アルゴ リ ズムを表す。
- 次に、 K P S—般の安全性について述べる。
K P Sにおいては、 秘密アルゴリ ズムの配布時に、 秘密ァ ルゴ リ ズムを渡すべきエ ンテ ィ テ ィを正しく認証 (同定) す る必要があるが、 エ ンテ ィ テ ィ認証 (本人確認) がきちんと 行われていることがすべての暗号的手段の大前提であるから エンティティ認証の問題は K P Sに特有の問題ではない。
K P Sにより各グループが共有する鍵 (マスタ键) は各グ ループに固有のものであり、 センタアルゴリ ズムを更新しな い限り、 不変である。 したがって、 K P Sは、 いわゆるマス タ鍵を共有するための方法であるといえる。 マスタ鍵がダル ーブ外に漏れた場合でも、 新しいマスタ鍵に代えることはで -きない。 そこで、 適当な期間の後にセ ンタ'アルゴリ ズムの更 新をすることが望ましい。 しかし、 たとえば 2つのェ ンティ ティのグループの鍵共有のために、 3つのエンティティ のグ ループに対する鍵共有用の秘密アルゴリ ズム X i ( 3 ) を用い れば、 適当な乱数、 例えば凝似乱数、 線形合同法等による乱 数を交換することにより 2つのエンティティ の間で毎回異な る鍵 kを共有することができる。 たとえば、 ェ ンティ チイ A とエ ンテ ィ テ ィ Bがどのエ ンテ ィ テ ィ の識別子とも異なる乱 数 rを用いて、
k = X A < 3 > ( y B , r ) - ( 20 - 1 ) k = B < 3 > ( r , y A ·) - (20 - 2 ) のように鍵共有鍵 kを共有できる。
さて、 K P Sにおいてはセ ンタアルゴリ ズムに関する情報 を秘密アルゴ リ ズム X i という形で各エ ンテ ィ テ ィ に分散し ているわけであるから、 単独のェ ンティ ティ又は協力した複 数のエンティ ティ により適当な計算量を費やせばセンタアル ゴリ ズム又は ¾力したェ ンティ ティ以外のェ ンティ ティ用秘 密アルゴ リ ズム X t又はその一部を必ず求めることができる。
秘密アルゴ リ ズムを、 物理的に保護され計算能力を有する 何らかの装置、 たとえば C P Uおよびメ モ リを内蔵する I C カー ド、 の中に埋め込み、 各エンティ ティが、 自分の秘密ァ ルゴリ ズムを知ることなしに実行できるような工夫を施せば、 セ ンタ アルゴ リ ズムや他のエ ンテ ィ テ ィ の秘密アルゴ リ ズム X t又はその一部'が暴かれることはない。 したがって、 物理 的セキュ リ ティが完全に保たれるような環境においては、 い かなる K P S も安全であるといえよう。
しかしながら、 現在の I Cカー ド等の物理的セキュ リ ティ は完全とはいえず、 実際には完全な物理的セキ ュ リ テ ィを期 待することは難しいので、 多 く のエンティ ティが結託 (協力) しなければセ ンタアルゴ リ ズム又は X t又はその一部を決定 するために充分な情報を得られないか、 又は、 充分な情報が 得られてもセンタアルゴ リ ズム又は X t又はその一部を求め るための計箕量が多大となるような工夫が K P Sには要求さ れると考えられる。 BiJ者ばいわゆる uncond i t i ona 1 security こ、 後者 ま 、わゆる computational secur i ty こ対応すると言 る。
unconditional secur i tyの証明は一般に難し く ない力く、 computational secur i tvの証明は現在のところ、 素因子分解 等の適当な問題を解く難しさを仮定せずにはうま く行えない, ある程度の数のヱン-ティティが結託しない限り安全である と ゝぅ意味で unconditional ly secureな K P Sをべク トスレの 1次独立性を利用して構成する場合について述べる。 第 1 0 図において、 相互に独立な複数のセ ンタ内の第 1次セ ンタァ ルゴ リ ズム生成装置 1 a〜 1 dがエ ンティ テ ィ Aの識別子 7 A を入力し、 相互にべク トルの 1次独立関孫にある第 1次 のセ ンタアルゴリ ズム gP1 ( X ) 〜 g P4 ( x) を生成する。 次いで統合セ ンタ内の装置 1 eが、 これら第 1次のセ ンタァ ルゴリ ズムを統合して、 統合セ ンタアルゴリ ズム G P ( ) を生成する。 エ ンテ ィ テ ィ Aの秘密アルゴリ ズム XA は装置 1 eにおいてセンタアルゴリ ズム G P ( X ) に基いて生成さ れる。 '
この方式ば、 セ ンタが 1 つである場合の秘密アルゴリ ズム を用いた前述の実施例に比し、 安全性が向上することはいう までもない。 すなわち、 以下、 センタが 1つの場合の線形代 数に基づく K P Sを拡充し、 安全性を向上させる手段につい て詳述する。
第 1 1図は、 第 1図に対応する構成を概略的に図解した K P Sの応用例を示す。 同図において、 送信側のェンティテ ィ Aが相手の識別子 y B を入力して秘密アルゴリ ズム Xa を 適用して共有鍵 kを生成し、 暗号手段 42 aに印加してメ ッセ ージ mから暗号文 Cを生成する。 結合手段 44a は暗号文 C、 相手側識別子 y B および自己の識別子 y a を組合せて、 「宛 先 ( y B ) 、 差出人 ( y A ) 暗号文 ( C ) 」 から成る情報を 送信手段 (図示せず) および回線 (チャネル) 6を介して相 手側に送出する。 受信側のエ ンティ ティ Bは、 受信手段 (図 示せず) を介して送信情報を入力し、 選択手段 54 a において 自己の識別子 y B を用いて自分宛ての通信文であるか否かを 判定する。 自分宛の通信文ならば相手の識別子 y A と暗号文 Cを分離手段 55 aに送出する。 分難手段 55 a は相手の識別子 y A と暗号文 Cとを分離する。 相手の識別子 y A は I Cカー ド等の暗号鍵生成手段 3 a に印加され、 秘密アルゴリ ズム X B を介して共用暗号鍵 kを発生させる。 復号手段 52 a は暗 号文 Cに共用暗号鍵 kを適用して送信側からのメ ッセージ m を復元する。
このよう、に、■ K P Sを用いると、 通常の郵便のようにメ イ ル通 、 すなわち 方向の暗,通信が簡単に実現できる'。 宛 て先が 2つ以上の場合でも、 いわゆる β 同報性の認証 " を行 いつつメ イ ル通信ができる。 なお、 電話のような対話通信に も適用できることはいうまでもない。
線形代数に基づく K P Sについて述べる。 尚、 セ ンタが 1 つの場合については、 すでに第 1図〜第 8図に関連づけた実 施例において前述した。
¾下に定義する方式を 「線形スキーム」 と名付けるこ とに する。
gを素数べき、 および、 m , s , hを正の整数として、 ベ ク トル Qを
Q = G F ( q ) … ( 2 1 ) とおき、 Q上の m次元横ベク トル全体のなすベク トル空間 を Qm で表す。
各エ ンテ ィ テ ィ 、 エ ンテ ィ テ ィ i とする、 の識別子 y i は 集合 I の元であるとし、 i ≠ j ならば y ί ≠ j j であるもの とする。
又、 Rvを、 Iから Qm への单射 ( 1対 1写像) を表現する アルゴリ ズムとする。
各セ ンタ、 セ ンタ p , p = 1 , 2 , ··· , s は、 h偭の Q上 m次対称行列 GPl , GPz , … , Gphをラ ンダムかつ一榛に他
2
のエ ンティ テ ィ とは独立に選び 2、 セ ンタアルゴリ ズム G pを 生成する。 G p は、 各 y i e I に対して秘密アルゴリ ズム X p i
Xpi ( I )- = xpi.Rr ( —) T … (22).
を作成するアルゴリ ズムであると定める。 ただし X piは、
Xpi R r (yi) GPl
R r (yi) Gp2
(23)
R r (yi) Gph
により定められる Q上の h x m行列である。 T は耘置を意味 する。 は相手の識別子 y j を入力するために設定された変 数を示す。
各エンティ ティ i は各センタからアルゴリズム Xpiを入手 し、 これからエンティ ティ 〖専用の秘密アルゴリズム X i を 次のようにして作る。
X i ( ) = X ί Rr ( ξ ) τ , … (24) x ∑ X p i (25) セ ンタ p は、 アルゴリ ズム X p iをエ ンティ ティ i だけに渡 すこ とが、 重要である。
なお、 I Cカー ド等を用いれば秘密アルゴリ ズム X i を自 動的に得る こ とも可能である。 たとえば、 まず、 ェ ンティ テ ィ i が I Cカー ドを入手し、 書き込みは誰でもできるが読み 出しはエンティ ティ i にしかできないように初期化してセン タ側に渡し、 各セ ンタに xpiを入力しても らい次々 と I C力 ― ド内部で総和をとり、 最終的に X i が作られた段階で I C カー ドをエンティ ティ i に戻しても らう、 という方法による。 いずれにしても、 最終的にエ ンティ ティ i は秘密アルゴリ ズム X i を持つ。 ·
エ ンティ ティ i とエンティ ティ j が暗号鍵を共有したい場 合、 エ ンティ ティ i は X i (yj)を、 エ ンティ ティ j は Xj (yi) を、 それぞれ鍵と して計算する。 X i (yj)と X j (yi)は共に Q上の h次元縦べク トルであり、 両者が一致することは、
X i , X j の定義から容易に導ける。
以上はグループが 2つのエ ンティ ティからなる場合である が、 一般に e個のエ ンティ ティ ( e ^ 2 ) のグループの場合 には、 前記の Gpi , すなわち双線形写像のかわりに、 e個の エ ンティ ティ についての重線形写像を用いれば同様な方式が 実現できる。
次に、 「線形スキーム」 の安全性について考える。 この方 式への攻撃と しては、 センタによる攻撃とェ ンティ ティ によ る攻撃の両方を考える必要がある。
この方法を完全に破ることば、
G j =∑ G pj ( j = 1 , 2 , … , h ) ( 26 ) なる行列 G i , G 2 , ·" , G h を並べた行列
G = C G t , G 2 , - , G h ] ··· (27 )
を決定することと等価である。
よって、 すべてのセンタが結託しない限り、 たとえいくつ かのセンタが結託したとしてもセンタアルゴリズム Gを全く 决定できない。 したがって、 いかなるグループの暗号鍵も全 く決定できない。 ,
又、 少な く とも rank G偭のエ ンテ ィ ティが結託しない限り セ ンタアルゴリ ズム Gを完全には决定できない。 rank Gは m 又は mに近い値をとる確率が大きい。
しかし、 rank G "個未満のェンティティの結託によっても、 結託ェンティティ数が増えれば增えるだけ、 Gに関する情報. したがって、 各エ ンティ ティ の秘密アルゴリ ズムに関する情 報をより多く入手できることは確かである。 そこで、 結託し たエ ンティ ティ が、 他のエ ンテ ィ テ ィ間の暗号鍵をどの程度 決定できるかを考察すると、 次の锫論を得る。
システムに加入しているすべてのェンティティの集合を E とおく。 このとき、
「 Eの部分集合 E B に属すすベてのェ ンティティが結託し ても、 E— E B に属す任意の 2つのエ ンテ ィ ティ間で共有 される暗号鍵を全ぐ決定できない」 という条伴を満足させるためには、
「各 i S E — E B についてベ-ク トノレ R r (yi)がべク トノレの 集 合 { R (yi) l j S EB } に 1 次独立である こ と」 が必要十分である。
したがって、 エ ンテ ィ テ ィ の結託に対する安全性の問題は、 べク トルの集合 U :
U = { R r (yi) I i e E }
における 1 次独立性の問題に移して論じるこ とが可能となる。 特に、 「線形符号の理論」 と密接な結びつきが生じる。
実際、 べク ト ルの集合 Uに属すすベてのべク ト ルの転置べ ク トルを横に並べてできる行列をパリ ティ検査行列とする、 符号長 n、 検査記号数 mの線形符号を C とすると、 「 Cに
(Hamming) 重み wの符号語^存在する こと」 'と、 「 (w— 1 ) エンティ ティ の結託により他のエ ンティ ティ間の鍵が決定で きる場合が存在する こ と」 は同値である。
特に、 「 Cの最小 (Hamming)重み [最小距離 ] が b + 2以 上であること」 は、 「任意の bエ ンティ ティ の結託によって も他のエ ンテ ィ テ ィ間の任意の鍵を全く 決定できない」 ため の十分条件である。
したがって、 代数的ノ代数幾何学的符号理論に基づいてァ ルゴリ ズム R r を選ぶこ とができる。 この場合、 y i を適当 なべク ト ルとみなすと Rr(yi)は y i の成分に関する単項式 を並べたものになる。 よって、 アルゴ リ ズム X i は項式 (タ プル) 等となる。 対応する線形符号としては、 ( e ) - G R M符号、 B C H符号、 R S符号、 Goppa符号等を用いる こ と になる (嵩他、 「符号理論」 コ ロナ社、 1975年) 。 しかし、 これらの Rr の評価 (計寘) をすることは、 が大きい場合. あまり効率より行えない。
ところが、 符号理論における &ilberい Varsharmovの定理を
K P Sの言葉に翻訳すると、 次の如く なる。
素数べき ¾、 正整数 m及び bが与えられたとき、
m b
< Φ ( ) … (28)
II n
ただし、
Φ ( X ) = X logq ( q - 1 ) - X log, x - ( 1 — X ) log, ( 1 — x) … (29)
を満たす、 許容結託ェンチイティ数 b以上、 秘密アルゴリ ズ ムの記憶量 hra— 4ogzq [ bit 】、 総エンティ ティ数 nの線形ス キームが存在する。 ここに hは任意の正整数である。
又、 大部分の線形スキームは^ (28)を満たすパラメ 一タを 有することも、 符号理論の結果から導ける。
そこで、 再生可能な疑似乱数系列を高速に発生するァルゴ リ ズムを こ選ぶことができる。
この点では線形符号の通常の利用法と異なっている。 逋常 の応用では、 復号アルゴリズムを効率よく実現する必要上、 何らかの構造を利用した符号を用いるが、 K P Sのための線 形スキームにおいては、 復号に相当するアルゴリズムの効率 を考える必要が全くないために、 ランダムな符号を甩ぃ得る のである。
線形スキームの安全性に蘭する以上の検討の結果を表 1に まとめた 表 1.
Figure imgf000029_0001
次に、 線形スキームに関する種々の記億量 · 計箕量を評価 する。
各センタは、 アルゴリ ズム R と h個の対称行列 G p , , G p 2 , … , Gphを記億しており、 各エ ンティ ティの加入時に、
R r (yi)を計算し、 更に R (yi)に Gp, , Gp2 , … , Gphを掛 けて x piを求めるので、 表 2 のような記億量 · 計箕量を必要 とする。 表 2 は、 線形スキームの Complexityを記億量と計算 量とで表わしたものである。 ' 表 2.
Figure imgf000030_0001
又、 各ェンティ ティ は、 ァルゴリ ズム Rと行列 X iを記億 しており、 鍵共有時に Rr(yi)を計箕し、 Rr(yj)T に x iを 掛けて暗号鍵を求めるので、 表 2のような記憶量 · 計算查を 必要とする。
なお、 m , b 与 たとき、 Gi lber t-Varsharmov bo-undよ
b
り定められる nは、 —— が小さいとき n ^ m 2 ··· (30) と近似できる。
q = 2かつ h = 6 4 としたときの数値例を、 表 3 に示す
表 3.
Figure imgf000031_0001
' 表.3より、 たとえば m = 2 13 , b = 28 の場合には、 各セ ンタが約 4ギガビ ッ ト ( G b it)を記憶し、 各エンティ ティ が 約 512キロビ ッ ト ( Kbit)を記億する線形スキ ームで、 シス テム全体を破るにはすべてのセ ンタの結託又は約 8192以上の エ ンティ ティ の結託が必要であり、 256以下のエンティ ティ が結託しても他の 2エンティ ティ間の鍵を全く 決定できない もので、 約 24。 ( = 1012) 個までのエ ンテ ィ テ ィ のう ちの任 意の 2 エ ンテ ィ テ ィ間で 6 4 ビッ トの鍵を共有できる ものが 存在するこ とがわかる。 これに対し、 すべてのエンティ ティ との鍵をあらかじめ共有しておく 原始的な方法をとつた場合- 各エンティ ティ は約 6 4テラビッ ト (Tbit)を記憶しなけれ ばならない ( 1 [ T b ] = 1024 [ Gbit ] ) 。
本発明に基づく K P Sの特徴を調べるために、 従来の他方 式と比較してみる。
従来、 暗号通信を行うには第 1 2図(a) に図示の共通鍵暗 号化方式、 および第 1 2図(b) .に図示の公開键方式が用いら れてきた。 第 1 2図(b) は左から右へそれぞれ、 公開鍵配送 方式、 公開鍵暗号化方式および公開鍵署名方式を示す。
一方、 本発明に基づく K P Sは、 第 1 2図(c) の如く模式 化される。
表 4に以上の諸方式の比較桔果を示す。 表 4において、 方 式 I , a , bは第 1 2図(a) 内の(a) (b)に対応するもの、 方 式 , a , b , c は第 1 2図(b) 内の(a) (b) (c) に対応する もの、 方式 1は第 1 2図(ど) の本発明の K P Sを示す。 評価 対象としては 各エンティ ティの Comp l ex i tyを示す、 記億量、 システム加入時の通信量: 通信量(1) 、 暗号通信準備のため の通信量 : 通信量(2) および暗号通信準備のための計箕量が ある。 また、 センタ側の評価対象としてば、 センタの必要性
(有無) 、 センタの負担、 センタの M g Bro ther 性 (B B性) およびメ ィル通信の難易性を挙げた。
表 4から、 本発明の K P Sが、 総合的にみて不特性多数の エンティ ティ間の暗号通信に対して従来の他の方式より優れ ていることが判る β
表 4
Figure imgf000033_0002
(±) n :ネッ トワークの總エンティティ数、 S :センタの数、 m :¾^¾バラメ一タ、 び :
Figure imgf000033_0001
力 されること、
a : ί§|¾ (authenticity)力^ されること。
+ 0(1) に 可能
++ sを ば十分小となる。 以上、 K P Sのための線形スキ一ムについて詳細に説明し た。 -
K P Sの実現法は線形スキームの他にも存在し得る。 たと えば、 セ ンタアルゴリ ズムをアルゴリ ズム合成法による Obs cure なアルゴリ ズムとして構成することが考えられる。 O bscure ,アルゴリ ズム合成法についての詳細は前述の諸文献 を参照されたい。

Claims

請 求 の 範 囲
1. 暗号鍵を共有すべき複数のエ ンテ ィ テ ィ間で定められ た要件の下でセンタだけが秘密に保持するセ ンタァルゴリ ズ ム ( G ) を生成し、 さ らに、 前記複数のエ ンテ ィ テ ィ の各個 に固有に定められ、 公開され、 半固定的に用いられる識別子
( y A , y a , 〜) を前記セ ンタアルゴリ ズムに適用して前 記複数のエ ンテ ィ テ ィ の各々に固有な秘密アルゴリ ズム
( X A , 8 , 〜) を生成する、 秘密アルゴリ ズム生成装置
( 1 ) と、
少く とも前記秘密アルゴリ ズムを記憶するメモリを有し、 前記秘密アルゴリ ズム生成装置における秘密アルゴリ ズム生 成時に秘密アルゴリ ズム生成装置に接続されで'対応するェン テ ィ テ ィ の秘密アルゴリ ズムが前記メ モ リ に記億され、 暗号 文を送受すべき相手エ ンテ ィ テ ィ の識別子を該秘密アルゴ リ ズムに適用することにより共通の暗号鍵 ( k ) を生成する、 複数の暗号鍵生成手段 ( 2 , 3 , 〜) と、
を具備する、 共用暗号鍵生成方式。
2. 前記秘密アルゴリ ズム生成装置が、 相互に独立に作動 しそれぞれ独立な第 1次セ ンタアルゴ リ ズム ( P . ( ) , g p z ( x ) , ··· ) を生成する複数の第 1次セ ンタァルゴ リ ズ ム生成装置 ( 1 a〜 1 d ) 、 および、 該第 1次秘密アルゴリ ズム生成装置で生成された複数の第 1次セ ンタアルゴ リ ズム を統合し、 該統合されたセ ンタアルゴリ ズムに基いて各ェ ン ティティ固有の秘密アルゴリ ズムを生成する装置 ( 1 e ) を 具備する、 請求の範囲第 1項に記載の共用暗号鍵生成方式。
3. 前記第 1次セ ンタアルゴリ ズ-ムをァルゴリ ズ厶合成法 により生成する、 請求の範囲第 2項に記載の共用暗号鍵生成 方式。
4. 前記第 1次セ ンタアルゴリ ズムは、 ベク トルの 1次独 立性を保って生成される、 請求の範囲第 3項に記載の共用暗 号鍵生成方式。
5. 前記第 1次セ ンタアルゴリ ズム は、 べク ト ルの 1次独 立性を保って生成される、 請求の範囲第 2項に記載の共用暗 号鍵生成方式。
6. 前記セ ンタアルゴリ ズムをァルゴ "ズム合成法により 生成する、 請求の範囲第 1項に記載の共用暗号鍵生成方式。
7. 前記複数の暗号鍵生成手 のそれぞれが、 秘密アルゴ リ ズムを記億し、 物理的に保護し、 暗号鍵生成のための計算 能力を有する手段を具備する、 請求の範囲第 1項に記載の共 用暗号鍵生成方式。
8. 前記暗号鍵生成手段が、 メ モ リ および演箕装置を有し て成る半導体集積カー ドである、 請求の範囲第 7項に記載の 共用暗号鍵生成方式。
9. 暗号鍵を共有すべき複数のエ ンテ ィ ティ間で定められ た要件の下でセ ンタだけが秘密に保持するセ ンタアルゴリ ズ ム ( G ) を生成し、 さらに、 前記複数のェンティティの各偭 に固有に定められ、 公開され、 半固定的に用いられる識別子 ( y A , y 8 , ··' ) を前記セ ンタアルゴリ ズムに適用して前 記複数のエ ンティ テ ィ の各々に固有な秘密ァルゴ ズム ( X A , B , 一) を生成する、 秘密アルゴ リ ズム生成装置
( 1 ) と、 - 少く とも前記秘密アルゴリ ズムを記憶するメ モ リを有し、 前記秘密アルゴリ ズム生成装置における秘密アルゴリ ズム生 成時に秘密アルゴリ ズム生成装置に接続されて対応するェン テ ィ テ ィ の秘密アルゴ リ ズムが前記メ モ リ に記憶され、 暗号 文を送受すべき相手エ ンテ ィ テ ィ の識別子を該秘密アルゴリ ズムに適用する とにより共通の暗号鍵 ( k ) を生成する、 複数の暗号鍵生成手段 ( 2 , 3 , ··· ) と、
伝送系 ( 6 ) を介して接続された少く とも 1対の送信およ び受信ェンティティ (Α , Β ) であって、 送信側ェンテ < テ ィが前記暗号準生成手段と協働し該暗号鼙生成手段からの共 通暗号鍵に基いて平文 (m) を暗号化する手段 (42 , 42 a ) を有し、 受信側エ ンテ ィ テ ィ が前記暗号鍵生成手段と協働し 該暗号鍵生成手段からの共通暗号鍵に基いて前記伝送系と介 して前記送信側エ ンテ ィ テ ィ から送出された暗号文 ( C ) を 平文に復号する手段 (52 , 52 a ) を有するもの、
とを具備し、 前記共通暗号鍵に基いた暗号文を伝送する、 共用暗号鍵を用いた通信方式。
10. 前記送信側エ ンテ ィ テ ィ が、 前記暗号文の外、 受信側 識別子および自己の識別子を送出し、
前記受信側ェンチイ ティが受信情報から前記受信側識別子 を抽出して自己宛の情報であることを確認後、 送信側の識別 子を抽出して前記暗号鍵生成手段に印加するこ とによ り共通 暗号鍵を生成させるようにした、 請求の範囲第 9項に記載の 通 ft方式,
PCT/JP1987/000572 1986-07-31 1987-07-31 System for generating a shared cryptographic key and a communication system using the shared cryptographic key WO1988001120A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE3789769T DE3789769T2 (de) 1986-07-31 1987-07-31 System zur erzeugung eines gemeinsamen geheimübertragungsschlüssels und kommunikationssystem unter verwendung des gemeinsamen geheimübertragungsschlüssels.
EP87904964A EP0277247B1 (en) 1986-07-31 1987-07-31 System for generating a shared cryptographic key and a communication system using the shared cryptographic key

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP61/178652 1986-07-31
JP61178652A JPS6336634A (ja) 1986-07-31 1986-07-31 暗号鍵共有方式
JP61251896A JP2980320B2 (ja) 1986-10-24 1986-10-24 暗号文による通信方式における暗号鍵共有方式
JP61/251896 1986-10-24

Publications (1)

Publication Number Publication Date
WO1988001120A1 true WO1988001120A1 (en) 1988-02-11

Family

ID=26498759

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP1987/000572 WO1988001120A1 (en) 1986-07-31 1987-07-31 System for generating a shared cryptographic key and a communication system using the shared cryptographic key

Country Status (5)

Country Link
US (1) US5016276A (ja)
EP (1) EP0277247B1 (ja)
DE (1) DE3789769T2 (ja)
HK (1) HK96996A (ja)
WO (1) WO1988001120A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5247603A (en) * 1992-01-24 1993-09-21 Minnesota Mining And Manufacturing Company Fiber optic connection system with exchangeable cross-connect and interconnect cards

Families Citing this family (66)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB8807020D0 (en) * 1988-03-24 1988-08-24 Racal Guardata Ltd Data-processing apparatus
DK279089D0 (da) * 1989-06-07 1989-06-07 Kommunedata I S Fremgangsmaade til overfoersel af data, et elektronisk dokument eller lignende, system til udoevelse af fremgangsmaaden samt et kort til brug ved udoevelse af fremgangsmaaden
USRE36310E (en) * 1990-06-07 1999-09-21 Kommunedata I/S Method of transferring data, between computer systems using electronic cards
US5309516A (en) * 1990-12-07 1994-05-03 Hitachi, Ltd. Group cipher communication method and group cipher communication system
US5115467A (en) * 1991-01-23 1992-05-19 General Instrument Corporation Signal encryption apparatus for generating common and distinct keys
FR2680589A1 (fr) * 1991-08-19 1993-02-26 France Telecom Procede d'emission et de reception de programmes personnalises.
GB2270446B (en) * 1992-09-04 1996-01-24 Ibm Uk Improvements in cryptography
US5396558A (en) * 1992-09-18 1995-03-07 Nippon Telegraph And Telephone Corporation Method and apparatus for settlement of accounts by IC cards
SG42847A1 (en) * 1993-05-05 1997-10-17 Zunquan Liu Device and method for data encryption
AU693094B2 (en) * 1993-05-05 1998-06-25 Zunquan Liu A repertoire of mappings for a cryptosystem
JP3029381B2 (ja) * 1994-01-10 2000-04-04 富士通株式会社 データ変換装置
US6636970B2 (en) * 1995-02-14 2003-10-21 Fujitsu Limited Software encoding using a combination of two types of encoding and encoding type identification information
WO1997031449A1 (fr) * 1996-02-21 1997-08-28 Card Call Service Co., Ltd. Methode de communication utilisant une cle cryptographique commune
CN1175615C (zh) * 1996-06-05 2004-11-10 西门子公司 在第一计算机单元和第二计算机单元之间协定安全策略的方法
US6167514A (en) * 1996-07-05 2000-12-26 Seiko Epson Corporation Method, apparatus, system and information storage medium for wireless communication
FR2763769B1 (fr) * 1997-05-21 1999-07-23 Alsthom Cge Alcatel Procede destine a permettre une communication cryptee directe entre deux terminaux de reseau radiomobile et agencements de station et de terminal correspondants
US6219791B1 (en) * 1998-06-22 2001-04-17 Motorola, Inc. Method and apparatus for generating and verifying encrypted data packets
KR100273635B1 (ko) 1998-07-31 2000-12-15 윤종용 전화기상에 가입자 입력번호를 숨김 처리하여표시하는 방법
US6788788B1 (en) 1998-09-16 2004-09-07 Murata Kikai Kabushiki Kaisha Cryptographic communication method, encryption method, and cryptographic communication system
US7065210B1 (en) 1999-01-25 2006-06-20 Murata Kikai Kabushiki Kaisha Secret key generation method, encryption method, cryptographic communications method, common key generator, cryptographic communications system, and recording media
US6985583B1 (en) 1999-05-04 2006-01-10 Rsa Security Inc. System and method for authentication seed distribution
US7080255B1 (en) 1999-05-19 2006-07-18 Murata Kikai Kabushiki Kaisha Secret key generation method, encryption method, and cryptographic communications method and system
US7607022B1 (en) * 1999-06-11 2009-10-20 General Instrument Corporation Configurable encryption/decryption for multiple services support
KR20010038851A (ko) * 1999-10-27 2001-05-15 최각진 보안통신 시스템에서의 암호키 분배 방식
JP2001211153A (ja) * 2000-01-25 2001-08-03 Murata Mach Ltd 秘密鍵生成方法
JP2001211154A (ja) * 2000-01-25 2001-08-03 Murata Mach Ltd 秘密鍵生成方法,暗号化方法及び暗号通信方法
JP2001211157A (ja) * 2000-01-25 2001-08-03 Murata Mach Ltd 秘密鍵登録方法、秘密鍵登録器、秘密鍵発行方法、暗号通信方法、暗号通信システム及び記録媒体
JP3587751B2 (ja) * 2000-01-25 2004-11-10 村田機械株式会社 共通鍵生成器,暗号通信方法,暗号通信システム及び記録媒体
US7239701B1 (en) 2000-05-02 2007-07-03 Murata Machinery Ltd. Key sharing method, secret key generating method, common key generating method and cryptographic communication method in ID-NIKS cryptosystem
JP2004512734A (ja) * 2000-10-18 2004-04-22 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 共通暗号化鍵の生成
EP1425874B1 (en) * 2001-08-13 2010-04-21 Board Of Trustees Of The Leland Stanford Junior University Systems and methods for identity-based encryption and related cryptographic techniques
US7363494B2 (en) * 2001-12-04 2008-04-22 Rsa Security Inc. Method and apparatus for performing enhanced time-based authentication
DE60323182D1 (de) * 2002-06-11 2008-10-09 Matsushita Electric Ind Co Ltd Authentifizierungssystem
US6886096B2 (en) 2002-11-14 2005-04-26 Voltage Security, Inc. Identity-based encryption system
US7412059B1 (en) 2002-11-27 2008-08-12 Voltage Security, Inc. Public-key encryption system
ATE504446T1 (de) * 2002-12-02 2011-04-15 Silverbrook Res Pty Ltd Totdüsenausgleich
US7003117B2 (en) 2003-02-05 2006-02-21 Voltage Security, Inc. Identity-based encryption system for secure data distribution
US7571321B2 (en) * 2003-03-14 2009-08-04 Voltage Security, Inc. Identity-based-encryption messaging system
US7921292B1 (en) 2003-04-04 2011-04-05 Voltage Security, Inc. Secure messaging systems
US7539876B2 (en) * 2003-04-18 2009-05-26 Via Technologies, Inc. Apparatus and method for generating a cryptographic key schedule in a microprocessor
US7519833B2 (en) * 2003-04-18 2009-04-14 Via Technologies, Inc. Microprocessor apparatus and method for enabling configurable data block size in a cryptographic engine
US7532722B2 (en) * 2003-04-18 2009-05-12 Ip-First, Llc Apparatus and method for performing transparent block cipher cryptographic functions
US7529367B2 (en) * 2003-04-18 2009-05-05 Via Technologies, Inc. Apparatus and method for performing transparent cipher feedback mode cryptographic functions
US8060755B2 (en) * 2003-04-18 2011-11-15 Via Technologies, Inc Apparatus and method for providing user-generated key schedule in a microprocessor cryptographic engine
US7502943B2 (en) * 2003-04-18 2009-03-10 Via Technologies, Inc. Microprocessor apparatus and method for providing configurable cryptographic block cipher round results
US7542566B2 (en) * 2003-04-18 2009-06-02 Ip-First, Llc Apparatus and method for performing transparent cipher block chaining mode cryptographic functions
US7844053B2 (en) * 2003-04-18 2010-11-30 Ip-First, Llc Microprocessor apparatus and method for performing block cipher cryptographic functions
US7925891B2 (en) * 2003-04-18 2011-04-12 Via Technologies, Inc. Apparatus and method for employing cryptographic functions to generate a message digest
US7392400B2 (en) * 2003-04-18 2008-06-24 Via Technologies, Inc. Microprocessor apparatus and method for optimizing block cipher cryptographic functions
US7900055B2 (en) * 2003-04-18 2011-03-01 Via Technologies, Inc. Microprocessor apparatus and method for employing configurable block cipher cryptographic algorithms
US7529368B2 (en) * 2003-04-18 2009-05-05 Via Technologies, Inc. Apparatus and method for performing transparent output feedback mode cryptographic functions
US7536560B2 (en) * 2003-04-18 2009-05-19 Via Technologies, Inc. Microprocessor apparatus and method for providing configurable cryptographic key size
US7321910B2 (en) * 2003-04-18 2008-01-22 Ip-First, Llc Microprocessor apparatus and method for performing block cipher cryptographic functions
US7017181B2 (en) * 2003-06-25 2006-03-21 Voltage Security, Inc. Identity-based-encryption messaging system with public parameter host servers
US7580521B1 (en) 2003-06-25 2009-08-25 Voltage Security, Inc. Identity-based-encryption system with hidden public key attributes
US7266847B2 (en) * 2003-09-25 2007-09-04 Voltage Security, Inc. Secure message system with remote decryption service
US7103911B2 (en) * 2003-10-17 2006-09-05 Voltage Security, Inc. Identity-based-encryption system with district policy information
US7523314B2 (en) * 2003-12-22 2009-04-21 Voltage Security, Inc. Identity-based-encryption message management system
JP2006108903A (ja) * 2004-10-01 2006-04-20 Hiromi Fukaya 暗号化データ配布方法、暗号化装置、復号化装置、暗号化プログラム及び復号化プログラム
EP1849119B1 (en) * 2005-02-18 2019-07-10 EMC Corporation Derivative seeds
US8122240B2 (en) * 2005-10-13 2012-02-21 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for establishing a security association
KR100750153B1 (ko) * 2006-01-03 2007-08-21 삼성전자주식회사 Wusb 보안을 위한 세션 키를 제공하는 방법 및 장치,이 세션 키를 획득하는 방법 및 장치
JP5479408B2 (ja) 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 車載ネットワークシステム
US8881256B1 (en) * 2011-12-21 2014-11-04 Amazon Technologies, Inc. Portable access to auditing information
US10742408B2 (en) 2017-02-27 2020-08-11 Cord3 Innovation Inc. Many-to-many symmetric cryptographic system and method
WO2018152618A1 (en) 2017-02-27 2018-08-30 Cord3 Innovation Inc. Symmetric cryptographic method and system and applications thereof

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS58219853A (ja) * 1982-06-16 1983-12-21 Fujitsu Ltd メツセ−ジフアイル暗号化方式
JPH06130827A (ja) * 1992-10-15 1994-05-13 Sharp Corp 電子写真装置における転写装置

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3962539A (en) * 1975-02-24 1976-06-08 International Business Machines Corporation Product block cipher system for data security
DE3003998A1 (de) * 1980-02-04 1981-09-24 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt System zur ver- und entschluesselung von daten
US4386233A (en) * 1980-09-29 1983-05-31 Smid Miles E Crytographic key notarization methods and apparatus
US4438824A (en) * 1981-04-22 1984-03-27 Siemens Corporation Apparatus and method for cryptographic identity verification
US4578530A (en) * 1981-06-26 1986-03-25 Visa U.S.A., Inc. End-to-end encryption system and method of operation
FR2514593B1 (fr) * 1981-10-09 1986-12-26 Bull Sa Procede et dispositif pour authentifier la signature d'un message signe
US4458109A (en) * 1982-02-05 1984-07-03 Siemens Corporation Method and apparatus providing registered mail features in an electronic communication system
JPS5945269A (ja) * 1982-09-03 1984-03-14 Nissan Motor Co Ltd フロントピラ−結合構造
JPS61166240A (ja) * 1985-01-18 1986-07-26 Hitachi Ltd 暗号鍵送付方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS58219853A (ja) * 1982-06-16 1983-12-21 Fujitsu Ltd メツセ−ジフアイル暗号化方式
JPH06130827A (ja) * 1992-10-15 1994-05-13 Sharp Corp 電子写真装置における転写装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5247603A (en) * 1992-01-24 1993-09-21 Minnesota Mining And Manufacturing Company Fiber optic connection system with exchangeable cross-connect and interconnect cards

Also Published As

Publication number Publication date
DE3789769D1 (de) 1994-06-09
US5016276A (en) 1991-05-14
EP0277247A1 (en) 1988-08-10
EP0277247A4 (en) 1990-04-10
DE3789769T2 (de) 1994-08-11
HK96996A (en) 1996-06-14
EP0277247B1 (en) 1994-05-04

Similar Documents

Publication Publication Date Title
WO1988001120A1 (en) System for generating a shared cryptographic key and a communication system using the shared cryptographic key
Hellman An overview of public key cryptography
Hellman An overview of public key cryptography
CN111314089B (zh) 一种基于sm2的两方协同签名方法及解密方法
US6298153B1 (en) Digital signature method and information communication system and apparatus using such method
CA2312331C (en) Public key encryption with digital signature scheme
US7239701B1 (en) Key sharing method, secret key generating method, common key generating method and cryptographic communication method in ID-NIKS cryptosystem
Hassan et al. An efficient outsourced privacy preserving machine learning scheme with public verifiability
Zhou et al. Identity-based proxy re-encryption version 2: Making mobile access easy in cloud
GB2490407A (en) Joint encryption using base groups, bilinear maps and consistency components
CN112383397B (zh) 一种基于生物特征的异构签密通信方法
CN115102688A (zh) 数据处理方法、多项式计算方法及电子设备
Kazmirchuk et al. The Improvement of digital signature algorithm based on elliptic curve cryptography
JP2001211154A (ja) 秘密鍵生成方法,暗号化方法及び暗号通信方法
Ramesh et al. Secure data storage in cloud: an e-stream cipher-based secure and dynamic updation policy
WO2000049768A1 (en) Method for signature splitting to protect private keys
Delgado-Segura et al. Bitcoin private key locked transactions
JP2980320B2 (ja) 暗号文による通信方式における暗号鍵共有方式
Sethia et al. Constant size CP-abe with scalable revocation for resource-constrained IoT devices
Yan et al. Identity‐based signcryption from lattices
CN116743358A (zh) 一种可否认的多接收者认证方法及系统
Mueller-Schloer et al. The implementation of a cryptography-based secure office system
El-Yahyaoui et al. A Like ELGAMAL Cryptosystem But Resistant To Post-Quantum Attacks
Boyen et al. Anonymous lattice identity-based encryption with traceable identities
Zhang et al. Efficient and secure two-party distributed signing protocol for the gost signature algorithm

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): DE FR GB IT NL

WWE Wipo information: entry into national phase

Ref document number: 1987904964

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 1987904964

Country of ref document: EP

WWG Wipo information: grant in national office

Ref document number: 1987904964

Country of ref document: EP