JP2000115157A - 紛失通信方法 - Google Patents
紛失通信方法Info
- Publication number
- JP2000115157A JP2000115157A JP10280699A JP28069998A JP2000115157A JP 2000115157 A JP2000115157 A JP 2000115157A JP 10280699 A JP10280699 A JP 10280699A JP 28069998 A JP28069998 A JP 28069998A JP 2000115157 A JP2000115157 A JP 2000115157A
- Authority
- JP
- Japan
- Prior art keywords
- information
- random number
- transmitted
- mod
- transmitting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 計算量及び通信量を削減する。
【解決手段】 送信装置100で送信したい情報の組m
i (i=0,…,k−1)を暗号化して(110)、暗
号文ci を乱数uで撹乱して(130)予備情報vi と
して受信装置200へ送る。装置200は受信したvi
から受信したいj個のvij(j=0,…,f−1)(1
<f<k)を選択し(210)、これらを、生成した乱
数rj で撹乱して(230)質問情報xj として装置1
00へ送る。装置100ではxj からuを除し(14
0)、その出力wj を復号して(150)の回答情報y
j として装置200へ送る。装置200ではyj からr
j を除去してmijを得る(240)。
i (i=0,…,k−1)を暗号化して(110)、暗
号文ci を乱数uで撹乱して(130)予備情報vi と
して受信装置200へ送る。装置200は受信したvi
から受信したいj個のvij(j=0,…,f−1)(1
<f<k)を選択し(210)、これらを、生成した乱
数rj で撹乱して(230)質問情報xj として装置1
00へ送る。装置100ではxj からuを除し(14
0)、その出力wj を復号して(150)の回答情報y
j として装置200へ送る。装置200ではyj からr
j を除去してmijを得る(240)。
Description
【0001】
【発明の属する技術分野】この発明は、同時契約,配達
証明等で必要となる段階的秘密交換法に必要な1−ou
t−of−2紛失通信方法に関して、安全性を保証しつ
つ、同時に通信量を削減できる、効率のよい通信方法を
提案するものである。
証明等で必要となる段階的秘密交換法に必要な1−ou
t−of−2紛失通信方法に関して、安全性を保証しつ
つ、同時に通信量を削減できる、効率のよい通信方法を
提案するものである。
【0002】
【従来の技術】1−out−of−2紛失通信方法の代
表的な例として、EGL法(Even,S.etal. “A Randomi
zed Protocol for Signing Contracts ”,Communicati
ons of the ACM,Vol.28,No.6,pp.637-647,(1985))を利
用したものがある。1−out−of−2紛失通信と
は、送信者が二つの情報m0 ,m1 を受信者に送信する
際に、受信者にはm0 ,m1 の一方しか受信されず、も
う一方は通信路にて紛失してしまうものであり、送信情
報の同時受信不能性と送達確認不能性を備えるものであ
る。ここで、同時受信不能性とは、受信者が、送信され
た情報m0 ,m1 の両方を受信できないことであり、送
達確認不能性とは、送信者が、送信する情報m0 ,m1
のどちらが受信者に送信されたかを確認することができ
ないことである。
表的な例として、EGL法(Even,S.etal. “A Randomi
zed Protocol for Signing Contracts ”,Communicati
ons of the ACM,Vol.28,No.6,pp.637-647,(1985))を利
用したものがある。1−out−of−2紛失通信と
は、送信者が二つの情報m0 ,m1 を受信者に送信する
際に、受信者にはm0 ,m1 の一方しか受信されず、も
う一方は通信路にて紛失してしまうものであり、送信情
報の同時受信不能性と送達確認不能性を備えるものであ
る。ここで、同時受信不能性とは、受信者が、送信され
た情報m0 ,m1 の両方を受信できないことであり、送
達確認不能性とは、送信者が、送信する情報m0 ,m1
のどちらが受信者に送信されたかを確認することができ
ないことである。
【0003】EGL法は、以下の通りである。まず前提
として、送信者は、公開鍵暗号方式を利用し、自分の公
開鍵暗号の鍵をP、対応する秘密鍵をSとしているもの
とする。このとき、暗号化関数、復号化関数をそれぞれ
EP ,DS とすると、DS (EP (m))=mとなる。
ここでは、簡単のため、EP :ZN →ZM (ZN ,ZM
は整数環)とする。つまりEPは集合ZN の要素を集合
ZM の要素に変換する。
として、送信者は、公開鍵暗号方式を利用し、自分の公
開鍵暗号の鍵をP、対応する秘密鍵をSとしているもの
とする。このとき、暗号化関数、復号化関数をそれぞれ
EP ,DS とすると、DS (EP (m))=mとなる。
ここでは、簡単のため、EP :ZN →ZM (ZN ,ZM
は整数環)とする。つまりEPは集合ZN の要素を集合
ZM の要素に変換する。
【0004】Step1 送信装置は、乱数r0 とr1
(r0 ,r1 ∈ZM )を選び、これを受信装置に送る。
Step2 受信装置は、ランダムにb∈{0,1}を
選び、さらに乱数x∈ZN を生成する。受信装置は、 q=EP (x)+rb mod M を送信装置に送る。ここで、amod bは、aをbで割っ
たときの余りを表す。
(r0 ,r1 ∈ZM )を選び、これを受信装置に送る。
Step2 受信装置は、ランダムにb∈{0,1}を
選び、さらに乱数x∈ZN を生成する。受信装置は、 q=EP (x)+rb mod M を送信装置に送る。ここで、amod bは、aをbで割っ
たときの余りを表す。
【0005】Step3送信装置は、 y0 =DS (q−r0 mod M) y1 =DS (q−r1 mod M) を計算する。送信装置は、 c0 =m0 +y0 mod N c1 =m1 +y1 mod N を計算し、c0 とc1 を受信装置に送る。
【0006】Step4 受信装置は、 mb =cb −xmod N を得る。つまりランダムに選んだb=0又はb=1と対
応してm0 =c0 −xmod N又はm1 =c1 −xmod N
の何れかを得る。この方法が同時受信不能性を満たすこ
とは、以下のように示される。
応してm0 =c0 −xmod N又はm1 =c1 −xmod N
の何れかを得る。この方法が同時受信不能性を満たすこ
とは、以下のように示される。
【0007】まず、明らかに、受信装置は所望の情報m
b を得ることができる。一方、選択された以外の情報m
d (dはb=0の場合は1、b=1の場合は0、つまり
bと1との排他的論理和)を求めることは DS (q−rd mod M)=DS (EP (x)+rb −r
d mod M) を求めることと等価である。したがって、EP (x)が
ランダムな値をとると仮定すると、この公開鍵暗号が安
全であればmd を求めることは困難となる。
b を得ることができる。一方、選択された以外の情報m
d (dはb=0の場合は1、b=1の場合は0、つまり
bと1との排他的論理和)を求めることは DS (q−rd mod M)=DS (EP (x)+rb −r
d mod M) を求めることと等価である。したがって、EP (x)が
ランダムな値をとると仮定すると、この公開鍵暗号が安
全であればmd を求めることは困難となる。
【0008】次に、送達確認不能性は、送信装置にとっ
ては乱数xを予測できないために、受信装置が選択した
値(b)を送られてきたqから推定することは難しく、
よって、どちらのmi を受信したかを判定するのは困難
であることから導かれる。このEGL法を1−out−
of−k紛失通信(k>2)に拡張することは容易に行
なえる。すなわち、Step1で送る乱数の数をk個に
拡張(ri (i=0,…,k−1))し、Step3で
そのすべての乱数についてyi (i=0,…,k−1)
を求め、 yi =DS (q−ri mod M)(i=0,…,k−1) このyi から同様にci (i=0,…,k−1)を ci =mi +yi mod N(i=0,…,k−1) と計算して送信すれば、受信装置は、k個の情報m
i (i=0,…,k−1)の中から所望の情報mj (0
<j<k)を得ることができる。
ては乱数xを予測できないために、受信装置が選択した
値(b)を送られてきたqから推定することは難しく、
よって、どちらのmi を受信したかを判定するのは困難
であることから導かれる。このEGL法を1−out−
of−k紛失通信(k>2)に拡張することは容易に行
なえる。すなわち、Step1で送る乱数の数をk個に
拡張(ri (i=0,…,k−1))し、Step3で
そのすべての乱数についてyi (i=0,…,k−1)
を求め、 yi =DS (q−ri mod M)(i=0,…,k−1) このyi から同様にci (i=0,…,k−1)を ci =mi +yi mod N(i=0,…,k−1) と計算して送信すれば、受信装置は、k個の情報m
i (i=0,…,k−1)の中から所望の情報mj (0
<j<k)を得ることができる。
【0009】また、さらにf−out−of−k紛失通
信(k>2,1<f<k)に拡張するには、先と同様に
Step1で送る乱数の数をk個に拡張し、Step2
では、f個の乱数xj (j=0,…,f−1)より、q
j (j=0,…,f−1)を qj =EP (xj )+rj mod M と計算して、送信装置に送り、Step3にて、q
j (j=0,…,f−1)と送信装置が生成した乱数r
i (i=0,…,k−1)からyij(i=0,…,k−
1,j=0,…,f−1)を yij=DS (qj −ri mod M)(i=0,…,k−
1,j=0,…,f−1) として、さらに、cij(i=0,…,k−1,j=0,
…,f−1)を cij=mi +yij modN(i=0,…,k−1,j=
0,…,f−1) と求めて送信すれば、受信装置は、k個の情報mi (i
=0,…,k−1)の中から所望の情報mij(j=0,
…,f−1)を得ることができる。
信(k>2,1<f<k)に拡張するには、先と同様に
Step1で送る乱数の数をk個に拡張し、Step2
では、f個の乱数xj (j=0,…,f−1)より、q
j (j=0,…,f−1)を qj =EP (xj )+rj mod M と計算して、送信装置に送り、Step3にて、q
j (j=0,…,f−1)と送信装置が生成した乱数r
i (i=0,…,k−1)からyij(i=0,…,k−
1,j=0,…,f−1)を yij=DS (qj −ri mod M)(i=0,…,k−
1,j=0,…,f−1) として、さらに、cij(i=0,…,k−1,j=0,
…,f−1)を cij=mi +yij modN(i=0,…,k−1,j=
0,…,f−1) と求めて送信すれば、受信装置は、k個の情報mi (i
=0,…,k−1)の中から所望の情報mij(j=0,
…,f−1)を得ることができる。
【0010】ここで用いられたような公開鍵暗号方式の
代表的な例として、RSA暗号法(Rivest,R.L. etal.
“A Method for Obtaining Digital Signatures and Pu
blic-Key Cryptosystems”,Communications of the AC
M,Vol.21,No.2,pp.120-126,(1978) )があげられる。R
SA暗号法は、以下の通りである。利用者は、復号用鍵
P(d,Nの組)と暗号用鍵S(e,Nの組)を N=p×q e×d≡1(mod L) ただし、L=LCM{(p−1),(q−1)} をみたすように生成し、暗号用鍵Pを公開し、暗号用鍵
Sを秘密に管理する。ここで、pとqは相異なる2つの
大きな素数とし、LCM{a,b}は整数aとbの最小
公倍数を示している。また、a≡b(mod L)は、a−
bがLの倍数であることを表す。
代表的な例として、RSA暗号法(Rivest,R.L. etal.
“A Method for Obtaining Digital Signatures and Pu
blic-Key Cryptosystems”,Communications of the AC
M,Vol.21,No.2,pp.120-126,(1978) )があげられる。R
SA暗号法は、以下の通りである。利用者は、復号用鍵
P(d,Nの組)と暗号用鍵S(e,Nの組)を N=p×q e×d≡1(mod L) ただし、L=LCM{(p−1),(q−1)} をみたすように生成し、暗号用鍵Pを公開し、暗号用鍵
Sを秘密に管理する。ここで、pとqは相異なる2つの
大きな素数とし、LCM{a,b}は整数aとbの最小
公倍数を示している。また、a≡b(mod L)は、a−
bがLの倍数であることを表す。
【0011】暗号化関数EP と復号化関数DS を EP (m)=me mod N DS (c)=cd mod N で定義すると、m∈ZN となる整数mに対して DS (EP (m))=m となる。
【0012】このように、RSA暗号法を利用した場
合、EP :ZN →ZN となるため、M=Nとして、紛失
通信方法を実現することとなる。
合、EP :ZN →ZN となるため、M=Nとして、紛失
通信方法を実現することとなる。
【0013】
【発明が解決しようとする課題】前述のEGL法では、
送信装置が(Step3において)受信装置から送られ
てきたqと送信装置自らが生成した乱数ri を組合せ
て、ci を計算しなくてはならず、しかも、その計算は
受信装置が選択した情報mj には依存していなかった。
そのため、1−out−of−2紛失通信をf−out
−of−k紛失通信に拡張した際には、送信装置は、送
信される情報の個数がfであるにもかかわらず、すべて
の情報の個数kに依存した形で(k×f個の)送信デー
タを作成しなくてはならなかった。
送信装置が(Step3において)受信装置から送られ
てきたqと送信装置自らが生成した乱数ri を組合せ
て、ci を計算しなくてはならず、しかも、その計算は
受信装置が選択した情報mj には依存していなかった。
そのため、1−out−of−2紛失通信をf−out
−of−k紛失通信に拡張した際には、送信装置は、送
信される情報の個数がfであるにもかかわらず、すべて
の情報の個数kに依存した形で(k×f個の)送信デー
タを作成しなくてはならなかった。
【0014】紛失通信が応用される同時契約,配達証明
などでは、実際に送られる通信量や送受信装置の計算量
を削減したいという要求があり、そのためEGL法では
非常に非効率である。この発明の目的は、送受信装置の
計算量と通信量を削減した効率のよい紛失通信方法を実
現することにある。
などでは、実際に送られる通信量や送受信装置の計算量
を削減したいという要求があり、そのためEGL法では
非常に非効率である。この発明の目的は、送受信装置の
計算量と通信量を削減した効率のよい紛失通信方法を実
現することにある。
【0015】
【課題を解決するための手段】そこで、送信装置が送信
すべきデータ量を削減することから、このデータが受信
装置が選択した情報のみに依存するように方式を設計す
ればよい。RSA暗号法の鍵を先と同様に、暗号化鍵
(e,N),復号化鍵(d,N)とし、暗号化関数EP
と復号化関数DS を EP (m)=me mod N DS (c)=cd mod N とする。今、平文mを暗号化した暗号文をcとした時
に、このcに対して乱数r(r∈ZN )を用いて、 x=cre mod N と撹乱したとする。このとき、このxはx≡(mr)e
(mod N)なる関係を満たすため、x=EP (mr)と
して考えることができる。よって、このxを復号したも
のをy(=DS (x))とすると、 y≡xr(mod N) となり、このyより乱数成分rを除去する(この場合は
rで法N上の除算を行なう)ことにより、mを求めるこ
とができる。乱数rをランダムに選んだ場合に、情報x
からcを推定することは不可能である。
すべきデータ量を削減することから、このデータが受信
装置が選択した情報のみに依存するように方式を設計す
ればよい。RSA暗号法の鍵を先と同様に、暗号化鍵
(e,N),復号化鍵(d,N)とし、暗号化関数EP
と復号化関数DS を EP (m)=me mod N DS (c)=cd mod N とする。今、平文mを暗号化した暗号文をcとした時
に、このcに対して乱数r(r∈ZN )を用いて、 x=cre mod N と撹乱したとする。このとき、このxはx≡(mr)e
(mod N)なる関係を満たすため、x=EP (mr)と
して考えることができる。よって、このxを復号したも
のをy(=DS (x))とすると、 y≡xr(mod N) となり、このyより乱数成分rを除去する(この場合は
rで法N上の除算を行なう)ことにより、mを求めるこ
とができる。乱数rをランダムに選んだ場合に、情報x
からcを推定することは不可能である。
【0016】また、平文mを暗号化した暗号文をcとし
た時に、このcに対して乱数u(u∈ZN )を用いて、 v=cu modN と撹乱したとする。このとき、このvをさらにx=v
(r)e (mod N)のように撹乱したとしても、 w=xu-1 modN としてwを求めてみると、明らかにw=EP (mr)と
いう関係を満たしている。
た時に、このcに対して乱数u(u∈ZN )を用いて、 v=cu modN と撹乱したとする。このとき、このvをさらにx=v
(r)e (mod N)のように撹乱したとしても、 w=xu-1 modN としてwを求めてみると、明らかにw=EP (mr)と
いう関係を満たしている。
【0017】このような性質は、例えば、暗号化関数が
準同型性を満たし、かつ、暗号文空間が可換群であるよ
うな暗号方式に備わっているものである(すなわち、R
SA暗号法もこれらの性質を満たす暗号方式である)。
まず、いくつかの集合を定義する。Йを可算無限集合と
する。N∈Йに対して、|N|をNの適切な表現の長さ
とし、また、N∈Йに対して、XN ,YN を有限集合と
する。ここで、XN を暗号文空間、YN を平文空間と考
えるとする。
準同型性を満たし、かつ、暗号文空間が可換群であるよ
うな暗号方式に備わっているものである(すなわち、R
SA暗号法もこれらの性質を満たす暗号方式である)。
まず、いくつかの集合を定義する。Йを可算無限集合と
する。N∈Йに対して、|N|をNの適切な表現の長さ
とし、また、N∈Йに対して、XN ,YN を有限集合と
する。ここで、XN を暗号文空間、YN を平文空間と考
えるとする。
【0018】いま、暗号化関数EP が準同型性を満たす
とは、任意のy,y′∈YN に対し、それぞれ、暗号文
x=EP (y),x′=EP (y′)を考えた場合に、 x○x′=EP (y●y′) を満たす演算○と●が定義できることである。また、暗
号化空間XN が可換群であるとは、任意のx,x′∈X
N に対し、x○x′=x′○xを満たすことである。
とは、任意のy,y′∈YN に対し、それぞれ、暗号文
x=EP (y),x′=EP (y′)を考えた場合に、 x○x′=EP (y●y′) を満たす演算○と●が定義できることである。また、暗
号化空間XN が可換群であるとは、任意のx,x′∈X
N に対し、x○x′=x′○xを満たすことである。
【0019】以下、暗号文cを乱数rで撹乱する関数を
χP (c,r)と表記し、撹乱されたyから乱数rによ
る影響を除去する関数をδP (y,r)で表すものとす
る。また、暗号文cを乱数uで撹乱する関数をξ
P (c,u)と表記し、情報xから乱数uによる影響を
除去する関数をψP (x,u)で表すものとする。これ
らの関数χP (c,r),δP (y,r),ξP (c,
u),ψP (x,u)を、例えば暗号化関数EP が準同
型性を満たし、かつ、暗号文空間が演算○に対し可換群
を満たすような暗号方式の場合は、次のように定義する
ことができる(ここで、c=EP (m)として、平文m
の暗号文をcとし、r-1は、演算●におけるrの逆元、
u-1は、演算○におけるuの逆元とする)。
χP (c,r)と表記し、撹乱されたyから乱数rによ
る影響を除去する関数をδP (y,r)で表すものとす
る。また、暗号文cを乱数uで撹乱する関数をξ
P (c,u)と表記し、情報xから乱数uによる影響を
除去する関数をψP (x,u)で表すものとする。これ
らの関数χP (c,r),δP (y,r),ξP (c,
u),ψP (x,u)を、例えば暗号化関数EP が準同
型性を満たし、かつ、暗号文空間が演算○に対し可換群
を満たすような暗号方式の場合は、次のように定義する
ことができる(ここで、c=EP (m)として、平文m
の暗号文をcとし、r-1は、演算●におけるrの逆元、
u-1は、演算○におけるuの逆元とする)。
【0020】χP (c,r)=c○EP (r) δP (y,r)=y●r-1 ξP (c,u)=c○u ψP (x,u)=x○u-1 まず、c=EP (m)であるから、χP (c,r)は χP (c,r)=c○EP (r)=EP (m)○E
P (r)=EP (m●r) となりcを撹乱できている。よって、これを復号した結
果yはm●rとなり、δ P (y,r)よりmを得ること
ができる。
P (r)=EP (m●r) となりcを撹乱できている。よって、これを復号した結
果yはm●rとなり、δ P (y,r)よりmを得ること
ができる。
【0021】また、ξP (c,u)で撹乱された値vを
さらにχP (v,r)として撹乱しても、 χP (v,r)=v○EP (r)=ξP (c,u)○E
P (r)=c○u○E P (r)=c○EP (r)○u となるので、この値xと関数ψP (x,u)からc○E
P (r)を得ることができる。
さらにχP (v,r)として撹乱しても、 χP (v,r)=v○EP (r)=ξP (c,u)○E
P (r)=c○u○E P (r)=c○EP (r)○u となるので、この値xと関数ψP (x,u)からc○E
P (r)を得ることができる。
【0022】いま、暗号文空間は演算○に対して群をな
すので、uをランダムに選んだ場合、ξP (c,u)の
出力もランダムとなる。また、EP は暗号化関数である
ので、rをランダムに選んだ場合、EP (r)の結果も
十分にランダムとなり、上と同様にχP (c,r)の出
力もランダムとなる。
すので、uをランダムに選んだ場合、ξP (c,u)の
出力もランダムとなる。また、EP は暗号化関数である
ので、rをランダムに選んだ場合、EP (r)の結果も
十分にランダムとなり、上と同様にχP (c,r)の出
力もランダムとなる。
【0023】
【発明の実施の形態】以下、図面と共にこの発明の実施
例を詳細に説明する。図1はこの発明の原理を示す機能
構成図である。送信装置100は、受信装置200と通
信路300を介して結合されているとする。また、送信
装置100には、送信したい情報mi (i=0,…,k
−1)が入力され、受信装置200には、受信したいm
ijに対応する情報の組ij (j=0,…,f−1)が入
力されると、mij(j=0,…,f−1)が出力される
ものとする。
例を詳細に説明する。図1はこの発明の原理を示す機能
構成図である。送信装置100は、受信装置200と通
信路300を介して結合されているとする。また、送信
装置100には、送信したい情報mi (i=0,…,k
−1)が入力され、受信装置200には、受信したいm
ijに対応する情報の組ij (j=0,…,f−1)が入
力されると、mij(j=0,…,f−1)が出力される
ものとする。
【0024】図2に、この発明の通信シーケンス例を、
図3に送信装置100のブロック図を、図4に受信装置
200のブロック図を示す。この発明の第一の実施例の
紛失通信方法を説明する。Step1 送信装置100
には外部より送信したい情報の組mi (i=0,…,k
−1)が入力される。この情報を暗号器110により暗
号化 ci =EP (mi )(i=0,…,k−1) を行ない、この暗号文ci (i=0,…,k−1)と、
乱数生成器120で生成されたuを撹乱器130を用い
て vi =ξP (ci ,u)(i=0,…,k−1) と撹乱し、出力された予備情報vi (i=0,…,k−
1)を受信装置200へ送信する(つまり、従来技術の
Step3に相当することを行なっている)。
図3に送信装置100のブロック図を、図4に受信装置
200のブロック図を示す。この発明の第一の実施例の
紛失通信方法を説明する。Step1 送信装置100
には外部より送信したい情報の組mi (i=0,…,k
−1)が入力される。この情報を暗号器110により暗
号化 ci =EP (mi )(i=0,…,k−1) を行ない、この暗号文ci (i=0,…,k−1)と、
乱数生成器120で生成されたuを撹乱器130を用い
て vi =ξP (ci ,u)(i=0,…,k−1) と撹乱し、出力された予備情報vi (i=0,…,k−
1)を受信装置200へ送信する(つまり、従来技術の
Step3に相当することを行なっている)。
【0025】Step2 受信装置200には、入力と
して、受信したい情報の識別情報の組ij (j=0,
…,f−1)が与えられ、受信した予備情報vi (i=
0,…,k−1)から選択器210を用いて、選択され
た予備情報の組vij(j=0,…,f−1)を求め、乱
数生成器220を用いて乱数rj (j=0,…,f−
1)を生成して、撹乱器230を用いて質問情報x
j (j=0,…,f−1)を xj =χP (vij,rj )(j=0,…,f−1) と計算して、送信装置100に送信する(つまり、従来
は受信装置が乱数qを送信し、これを受信して送信装置
がci が送信したが、この実施例では受信装置200は
受信したいmi に依存したxj を送信している)。
して、受信したい情報の識別情報の組ij (j=0,
…,f−1)が与えられ、受信した予備情報vi (i=
0,…,k−1)から選択器210を用いて、選択され
た予備情報の組vij(j=0,…,f−1)を求め、乱
数生成器220を用いて乱数rj (j=0,…,f−
1)を生成して、撹乱器230を用いて質問情報x
j (j=0,…,f−1)を xj =χP (vij,rj )(j=0,…,f−1) と計算して、送信装置100に送信する(つまり、従来
は受信装置が乱数qを送信し、これを受信して送信装置
がci が送信したが、この実施例では受信装置200は
受信したいmi に依存したxj を送信している)。
【0026】Step3 送信装置100は、受信した
質問情報xj (j=0,…,f−1)と先に生成した乱
数uを乱数成分除去器140に入力して wj =ψP (xj ,u)(j=0,…,f−1) を計算し、この出力wj (j=0,…,f−1)を復号
器150を用いて復号し、回答情報yj (j=0,…,
f−1)を yj =DS (wj )(j=0,…,f−1) と計算し、受信装置200へ送信する。
質問情報xj (j=0,…,f−1)と先に生成した乱
数uを乱数成分除去器140に入力して wj =ψP (xj ,u)(j=0,…,f−1) を計算し、この出力wj (j=0,…,f−1)を復号
器150を用いて復号し、回答情報yj (j=0,…,
f−1)を yj =DS (wj )(j=0,…,f−1) と計算し、受信装置200へ送信する。
【0027】Step4 受信装置200は、受信した
回答情報yj (j=0,…,f−1)と、撹乱器230
で用いた乱数rj (j=0,…,f−1)を乱数成分除
去器240に入力し、受信したい情報mij(j=0,
…,f−1)を得る。 mij=δP (yj ,rj )(j=0,…,k−1) 次に、図5に送信情報長を可変にした場合の送信装置4
00の機能構成を、図6に送信情報長を可変にした場合
の受信装置500の機能構成を示す。つまり送信情報m
i のビット数が少ないと安全性に問題があるためmi に
乱数を連結するようにする。
回答情報yj (j=0,…,f−1)と、撹乱器230
で用いた乱数rj (j=0,…,f−1)を乱数成分除
去器240に入力し、受信したい情報mij(j=0,
…,f−1)を得る。 mij=δP (yj ,rj )(j=0,…,k−1) 次に、図5に送信情報長を可変にした場合の送信装置4
00の機能構成を、図6に送信情報長を可変にした場合
の受信装置500の機能構成を示す。つまり送信情報m
i のビット数が少ないと安全性に問題があるためmi に
乱数を連結するようにする。
【0028】以下、この発明の第二の実施例の紛失通信
方式を説明する。Step1 送信装置400には外部
より送信したい情報の組mi (i=0,…,k−1)が
入力される。この情報と乱数生成器410で生成した乱
数ti (i=0,…,k−1)を連結器420で連結
し、連結された情報si (i=0,…,k−1)を暗号
器430により暗号化を行ない、暗号文ci (i=0,
…,k−1)と、乱数生成器440で生成されたuを撹
乱器450を用いて撹乱し、出力された予備情報v
i (i=0,…,k−1)を受信装置500へ送信す
る。ここで、mi のビット数とmi に対しどのようにt
i を連結するかは送信側と受信側であらかじめ決められ
ているものとする。
方式を説明する。Step1 送信装置400には外部
より送信したい情報の組mi (i=0,…,k−1)が
入力される。この情報と乱数生成器410で生成した乱
数ti (i=0,…,k−1)を連結器420で連結
し、連結された情報si (i=0,…,k−1)を暗号
器430により暗号化を行ない、暗号文ci (i=0,
…,k−1)と、乱数生成器440で生成されたuを撹
乱器450を用いて撹乱し、出力された予備情報v
i (i=0,…,k−1)を受信装置500へ送信す
る。ここで、mi のビット数とmi に対しどのようにt
i を連結するかは送信側と受信側であらかじめ決められ
ているものとする。
【0029】Step2 受信装置500には、入力と
して、受信したい情報の識別情報の組ij (j=0,
…,f−1)が与えられ、受信した予備情報vi (j=
0,…,k−1)から選択回路510を用いて、選択さ
れた予備情報の組vij(j=0,…,f−1)を求め、
乱数生成器520を用いて乱数rj (j=0,…,f−
1)を生成して、撹乱器530を用いて質問情報x
j (j=0,…,f−1)を計算して、送信装置400
に送信する。
して、受信したい情報の識別情報の組ij (j=0,
…,f−1)が与えられ、受信した予備情報vi (j=
0,…,k−1)から選択回路510を用いて、選択さ
れた予備情報の組vij(j=0,…,f−1)を求め、
乱数生成器520を用いて乱数rj (j=0,…,f−
1)を生成して、撹乱器530を用いて質問情報x
j (j=0,…,f−1)を計算して、送信装置400
に送信する。
【0030】Step3 送信装置400は、受信した
質問情報xj (j=0,…,f−1)と先に生成した乱
数uを乱数成分除去器460に入力して、出力wj (j
=0,…,f−1)を復号器470を用いて復号し、回
答情報yj (j=0,…,f−1)を受信装置500へ
送信する。Step4 受信装置500は、受信したy
j (j=0,…,k−1)と、撹乱器530で用いた乱
数rj (j=0,…,f−1)を乱数成分除去器540
に入力し、出力sij(j=0,…,f−1)を計算し、
これを乱数成分分離器550に入力することにより、受
信したい情報mij(j=0,…,f−1)を得る。
質問情報xj (j=0,…,f−1)と先に生成した乱
数uを乱数成分除去器460に入力して、出力wj (j
=0,…,f−1)を復号器470を用いて復号し、回
答情報yj (j=0,…,f−1)を受信装置500へ
送信する。Step4 受信装置500は、受信したy
j (j=0,…,k−1)と、撹乱器530で用いた乱
数rj (j=0,…,f−1)を乱数成分除去器540
に入力し、出力sij(j=0,…,f−1)を計算し、
これを乱数成分分離器550に入力することにより、受
信したい情報mij(j=0,…,f−1)を得る。
【0031】なお、xP (c,r),δP (y,r)と
しては、暗号文cを乱数rを撹乱し、その撹乱された質
問情報xを復号し、その復号情報yから乱数rを除去で
き、また、乱数uによる撹乱による影響を受けないよう
な撹乱であればどのような手法でもよい。この発明で
は、暗号文ci を乱数uで撹乱したviを受信装置へ送
信することにより、当紛失通信方法を複数回実行したと
しても、受信装置が先の通信で紛失した情報を不正に入
手することは不可能である。
しては、暗号文cを乱数rを撹乱し、その撹乱された質
問情報xを復号し、その復号情報yから乱数rを除去で
き、また、乱数uによる撹乱による影響を受けないよう
な撹乱であればどのような手法でもよい。この発明で
は、暗号文ci を乱数uで撹乱したviを受信装置へ送
信することにより、当紛失通信方法を複数回実行したと
しても、受信装置が先の通信で紛失した情報を不正に入
手することは不可能である。
【0032】
【発明の効果】ここでは、f−out−of−k紛失通
信として、通信量をEGL法と比較する。ともに公開鍵
暗号方式にRSA暗号法を利用とするものとし(ZM =
ZN 、すなわち、M=N)、この発明における送信装置
が行なう撹乱、および、乱数除去と受信装置が行なう乱
数除去は、ZN 上の乗除算で行なうものとする。また、
法N上での加算と乗除算に必要な計算量は、乱数生成や
暗号・復号操作に必要な計算量に比べて無視できるもの
とし、受信装置が行なう撹乱に必要な計算量は、暗号操
作に必要な計算量と同じであるとする。 (1)送信装置の処理量 まず、EGL法において、送信装置は、ri (i=0,
…,k−1)の生成にk回の乱数生成、ci,j (i=
0,…,k−1,J=0,…,f−1)の計算kf回の
復号操作を必要とする。
信として、通信量をEGL法と比較する。ともに公開鍵
暗号方式にRSA暗号法を利用とするものとし(ZM =
ZN 、すなわち、M=N)、この発明における送信装置
が行なう撹乱、および、乱数除去と受信装置が行なう乱
数除去は、ZN 上の乗除算で行なうものとする。また、
法N上での加算と乗除算に必要な計算量は、乱数生成や
暗号・復号操作に必要な計算量に比べて無視できるもの
とし、受信装置が行なう撹乱に必要な計算量は、暗号操
作に必要な計算量と同じであるとする。 (1)送信装置の処理量 まず、EGL法において、送信装置は、ri (i=0,
…,k−1)の生成にk回の乱数生成、ci,j (i=
0,…,k−1,J=0,…,f−1)の計算kf回の
復号操作を必要とする。
【0033】k回 : 乱数生成 kf回: 復号操作 一方、この発明方法では、送信装置はci (i=0,
…,k−1)の計算にk回の暗号操作、yj (j=0,
…,f−1)の計算にf回の復号操作を必要としてい
る。
…,k−1)の計算にk回の暗号操作、yj (j=0,
…,f−1)の計算にf回の復号操作を必要としてい
る。
【0034】1回 : 乱数生成 k回 : 暗号操作 f回 : 復号操作 EGL法は、kf回の暗号・復号操作が必要なのに対
し、この発明の方法は、k+f回の暗号・復号操作です
み、k≫fの場合(k=1の場合を除く)に非常に効率
的であると言える。また、f=1の場合で比較しても、
暗号・復号操作の回数は一つしか違っていないので、送
信装置の処理量はほぼ同程度であると言える。
し、この発明の方法は、k+f回の暗号・復号操作です
み、k≫fの場合(k=1の場合を除く)に非常に効率
的であると言える。また、f=1の場合で比較しても、
暗号・復号操作の回数は一つしか違っていないので、送
信装置の処理量はほぼ同程度であると言える。
【0035】また、EGL法では、k回の送信装置の乱
数生成が必要であるのに対して、この発明方法ではkに
依存せず1回の乱数生成だけで十分である。 (2)受信装置の処理量 まず、EGL法において、受信装置は、qj (j=0,
…,f−1)の生成にf回の乱数生成、f回の暗号操作
を必要とする。
数生成が必要であるのに対して、この発明方法ではkに
依存せず1回の乱数生成だけで十分である。 (2)受信装置の処理量 まず、EGL法において、受信装置は、qj (j=0,
…,f−1)の生成にf回の乱数生成、f回の暗号操作
を必要とする。
【0036】f回 : 乱数生成 f回 : 暗号操作 一方、この発明方法では、受信装置はxj (j=0,
…,f−1)の計算にf回の乱数生成、f回の暗号操作
を必要としている。 f回 : 乱数生成 f回 : 暗号操作 よって、受信装置の処理量は同程度であると言える。 (3)システム内の通信量 まず、EGL法では、送信装置からri (i=0,…,
k−1)が、受信装置からqj (j=0,…,f−1)
が、さらに送信装置からCi,j (i=0,…,k−1,
j=0,…,f−1)が送られるため、その通信量は (k+f+kf)×|N|bits で与えられる(ただし、|N|は法Nのビット長)。
…,f−1)の計算にf回の乱数生成、f回の暗号操作
を必要としている。 f回 : 乱数生成 f回 : 暗号操作 よって、受信装置の処理量は同程度であると言える。 (3)システム内の通信量 まず、EGL法では、送信装置からri (i=0,…,
k−1)が、受信装置からqj (j=0,…,f−1)
が、さらに送信装置からCi,j (i=0,…,k−1,
j=0,…,f−1)が送られるため、その通信量は (k+f+kf)×|N|bits で与えられる(ただし、|N|は法Nのビット長)。
【0037】一方、この発明方法では、送信装置からc
i (i=0,…,k−1)が、受信装置からxj (j=
0,…,f−1)が、さらに送信装置からyj (j=
0,…,f−1)が送られるため、その通信量は (k+2f)×|N|bits で与えられる。
i (i=0,…,k−1)が、受信装置からxj (j=
0,…,f−1)が、さらに送信装置からyj (j=
0,…,f−1)が送られるため、その通信量は (k+2f)×|N|bits で与えられる。
【0038】よって、k=2、f=1のときには、約2
0%の通信量の削減が可能であり、k≫fの場合により
顕著に通信量が削減されることになる。
0%の通信量の削減が可能であり、k≫fの場合により
顕著に通信量が削減されることになる。
【図1】この発明の原理の機能構成を示すブロック図。
【図2】この発明の紛失通信における送信装置と受信装
置の通信文の交信の様子を示す図。
置の通信文の交信の様子を示す図。
【図3】この発明の第一の実施例における送信装置の機
能構成を示すブロック図。
能構成を示すブロック図。
【図4】その受信装置の機能構成を示すブロック図。
【図5】送信情報長を可変にした実施例の送信装置の機
能構成を示すブロック図。
能構成を示すブロック図。
【図6】送信情報長を可変にした実施例の受信装置の機
能構成を示すブロック図。
能構成を示すブロック図。
Claims (2)
- 【請求項1】 送信装置がk個(k>2)の情報の中か
らf個(1<f<k)を受信装置へ送信する通信方法に
おいて、 送信装置は、複数の情報mi (i=0,…,k−1)を
暗号化し、暗号文ci(i=0,…,k−1)を、生成
した乱数uにより撹乱して予備情報vi (i=0,…,
k−1)を生成し、これを受信装置に送信し、 受信装置は、受信した予備情報vi (i=0,…,k−
1)から受信したい情報に対応(ij (j=0,…,f
−1))するf個の予備情報を選択し、選択された予備
情報の組vij(j=0,…,f−1)を、生成した乱数
rj (j=0,…,f−1)で撹乱して質問情報x
j (j=0,…,f−1)を生成し、これを送信装置に
送信し、 送信装置は、受信した質問情報xj (j=0,…,f−
1)から乱数成分uを除去して、この出力wj (j=
0,…,f−1)を復号して回答情報yj (j=0,
…,f−1)を生成し、これを受信装置に送信し、 受信装置は、受信した回答情報yj (j=0,…,f−
1)から乱数成分rj(j=0,…,k−1)を除去し
て、選択した情報mij(j=0,…,f−1)を得るこ
とを特徴とする紛失通信方法。 - 【請求項2】 送信装置は、乱数ti (i=0,…,k
−1)を生成し、乱数ti を上記情報mi (i=0,
…,k−1)と連結し、その連結された情報s i (i=
0,…,k−1)を暗号化して上記暗号文ci (i=
0,…,k−1)とし、 受信装置は、受信した回答情報yj (j=0,…,k−
1)から乱数成分riを除去して情報sij(j=0,
…,f−1)を得、その情報sijから送信装置が連結し
た乱数成分tij(j=0,…,f−1)を分離して選択
した情報mij(j=0,…,k−1)を得ることを特徴
とする請求項1記載の紛失通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10280699A JP2000115157A (ja) | 1998-10-02 | 1998-10-02 | 紛失通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10280699A JP2000115157A (ja) | 1998-10-02 | 1998-10-02 | 紛失通信方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000115157A true JP2000115157A (ja) | 2000-04-21 |
Family
ID=17628726
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10280699A Pending JP2000115157A (ja) | 1998-10-02 | 1998-10-02 | 紛失通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000115157A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006108840A (ja) * | 2004-10-01 | 2006-04-20 | Nippon Telegr & Teleph Corp <Ntt> | 紛失通信路構成方法、この方法を実施する装置、プログラム |
| JP2012528532A (ja) * | 2009-05-29 | 2012-11-12 | アルカテル−ルーセント | リセット可能な耐タンパー性ハードウェアトークンを使用する、効率的な秘匿関数計算の方法 |
| JP2013128166A (ja) * | 2011-12-16 | 2013-06-27 | Internatl Business Mach Corp <Ibm> | 紛失通信によりメッセージを送信するシステム |
| JP2017501445A (ja) * | 2013-12-20 | 2017-01-12 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 暗号アルゴリズムにおける演算子リフティング |
-
1998
- 1998-10-02 JP JP10280699A patent/JP2000115157A/ja active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006108840A (ja) * | 2004-10-01 | 2006-04-20 | Nippon Telegr & Teleph Corp <Ntt> | 紛失通信路構成方法、この方法を実施する装置、プログラム |
| JP4576191B2 (ja) * | 2004-10-01 | 2010-11-04 | 日本電信電話株式会社 | 紛失通信路構成方法、この方法を実施する装置、プログラム |
| JP2012528532A (ja) * | 2009-05-29 | 2012-11-12 | アルカテル−ルーセント | リセット可能な耐タンパー性ハードウェアトークンを使用する、効率的な秘匿関数計算の方法 |
| JP2013128166A (ja) * | 2011-12-16 | 2013-06-27 | Internatl Business Mach Corp <Ibm> | 紛失通信によりメッセージを送信するシステム |
| US9571271B2 (en) | 2011-12-16 | 2017-02-14 | International Business Machines Corporation | Sending messages by oblivious transfer |
| JP2017501445A (ja) * | 2013-12-20 | 2017-01-12 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 暗号アルゴリズムにおける演算子リフティング |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP0460538B1 (en) | Cryptographic communication method and cryptographic communication device | |
| US5588061A (en) | System and method for identity verification, forming joint signatures and session key agreement in an RSA public cryptosystem | |
| US6396926B1 (en) | Scheme for fast realization of encrytion, decryption and authentication | |
| US20060083370A1 (en) | RSA with personalized secret | |
| JPH1165439A (ja) | N進表現暗号による通信および認証方法、ならびにそれらの装置、およびn進表現暗号による通信および認証プログラムを格納した記憶媒体 | |
| JPH0918469A (ja) | 暗号通信装置、システム及び暗号装置 | |
| CN110011995A (zh) | 多播通信中的加密和解密方法及装置 | |
| US5351298A (en) | Cryptographic communication method and apparatus | |
| KR20040009766A (ko) | 암호 시스템에서 송수신 장치 및 방법 | |
| EP1366594A2 (en) | Threshold cryptography scheme for message authentication systems | |
| JP3517663B2 (ja) | 暗号通信方法及び暗号通信システム | |
| JPH0916678A (ja) | 暗号通信装置及び暗号通信システム | |
| JP3658004B2 (ja) | 通信システム | |
| US7321658B2 (en) | Padding application method ensuring security of cryptosystem and encryptor/decryptor | |
| KR100388059B1 (ko) | 비대칭키 암호 알고리즘을 이용한 데이터 암호화 시스템및 그 방법 | |
| EP0973293A2 (en) | Public-key cryptography with increased protection against selective ciphertext attack | |
| JP2000115157A (ja) | 紛失通信方法 | |
| Nalwaya et al. | A cryptographic approach based on integrating running key in feedback mode of elgamal system | |
| JP3694242B2 (ja) | 署名付き暗号通信方法及びその装置 | |
| JPH11145951A (ja) | 紛失通信方法 | |
| Budiman et al. | A tutorial on using Benaloh public key cryptosystem to encrypt text | |
| JP3862397B2 (ja) | 情報通信システム | |
| KR100425589B1 (ko) | 케이씨디에스에이를 이용한 서명 암호화 방법 | |
| US20040205337A1 (en) | Digital message signature and encryption | |
| JPH09149025A (ja) | 暗号通信方法及び暗号通信システム |