JP2000132095A - 暗号化方法、復号化方法、認証方法、暗号化装置、復号化装置、認証装置、認証文送信者装置、認証文受信者装置、暗号通信システム及び認証システム - Google Patents

暗号化方法、復号化方法、認証方法、暗号化装置、復号化装置、認証装置、認証文送信者装置、認証文受信者装置、暗号通信システム及び認証システム

Info

Publication number
JP2000132095A
JP2000132095A JP11076245A JP7624599A JP2000132095A JP 2000132095 A JP2000132095 A JP 2000132095A JP 11076245 A JP11076245 A JP 11076245A JP 7624599 A JP7624599 A JP 7624599A JP 2000132095 A JP2000132095 A JP 2000132095A
Authority
JP
Japan
Prior art keywords
mod
authenticator
authentication
public key
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP11076245A
Other languages
English (en)
Other versions
JP3041293B2 (ja
Inventor
Takeshi Takagi
剛 高木
Shozo Naito
昭三 内藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP11076245A priority Critical patent/JP3041293B2/ja
Publication of JP2000132095A publication Critical patent/JP2000132095A/ja
Application granted granted Critical
Publication of JP3041293B2 publication Critical patent/JP3041293B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 従来のRSA暗号と同程度の強度を持ちつ
つ、暗号化・復号化・認証処理の高速化を実現する暗号
化・復号化・認証方式を提供する。 【解決手段】 暗号化装置10は、N(≧2)個の素数
1 ,p2 ,…,pN である第1の秘密鍵と、k1、k
2、・・・、kNを任意の正の整数とするときの積p1
k1 2 k2…pN kNである第1の公開鍵nと、p1 −1,
2 −1,…,pN−1の最小公倍数をLとするとき、
ed≡1(mod L)を満たす第2の公開鍵e及び第2の
秘密鍵dとを用いて、平文Mから、C≡Me (mod n)
に従って暗号文Cを得る。復号化装置19は、第1の秘
密鍵に対して、所定のループ演算を用いて、平文Mの、
1 k1,p2 k2,…,pN kNをそれぞれ法とする、剰余
p1k1,Mp2k2,…,MpNkNを求め、さらに中国剰余定
理を適用して、平文Mに復元する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、デジタルTV・衛
星放送におけるペイ・パー・ビュー(pay per
view)システム・情報流通における鍵配送・電子メ
ール・電子決済等の通信におけるデータの秘匿および通
信者の個人認証に好適な暗号化・復号化・認証の高速化
を実現するための方式に関する。
【0002】
【従来の技術】近年、通信分野において、伝送される情
報の秘匿等の通信者間の秘密性を保護する技術として暗
号化技術が有効に働くことから、各種暗号化技術が提案
されている。これら暗号化技術の性能は、暗号方式の安
全強度と暗号化・復号化に要する速度の観点から評価し
うる。すなわち安全強度が高く、暗号化・複合化の速度
が速い暗号方式が優れた暗号方式である。
【0003】このような暗号化技術の中に、RSA(Ri
vest Shamir Adleman)暗号として知られる、べき乗剰
余演算を用いるタイプの公開鍵暗号方式があり、既に実
用化されている。このRSA暗号方式では、公開鍵が素
因数分解できれば、暗号文から平文を得ることができる
ことが、文献「R.Rivest,A.Shamir and L.Adleman;"Ame
thod for obtaining digital signatures and public-k
ey cryptosystems.",Comm.,ACM,vol.21,No.2,pp.120-12
6,(1978) 」に示されている。
【0004】このRSA暗号方式などの公開鍵暗号方式
は、公開された情報である公開鍵から秘密鍵を得ること
が計算量的に困難であることに安全性の根拠を置いてお
り、そのため公開鍵のサイズを大きく取れば、それだけ
安全強度が増すことになる。一方では、このRSA暗号
方式は、高次のべき乗計算を行うため計算量が多く、暗
号化・復号化にかなりの時間がかかるという大きな欠点
を有していた。
【0005】例えば、べき乗計算の次数を減らすことに
より、暗号化・復号化を高速にできるが、そのためには
公開鍵のサイズを小さくするしかなく、これは暗号方式
の安全強度の低下につながることになる。
【0006】以下、RSA暗号方式を具体的に説明す
る。
【0007】まず、それぞれ任意の相異なる素数である
p,qを第1の秘密鍵とすると、第1の公開鍵nは、 n=pq で求められる。
【0008】ここで、(p−1)と(q−1)の最小公
倍数であるLは、 L= lcm(p−1,q−1) として求められる。
【0009】次に、任意の整数eを第2の公開鍵とする
と、第2の秘密鍵dは、ユークリッドの互除法を用い
て、 ed≡1(mod L) として求められる。
【0010】これにより、平文Mおよびその暗号文C
は、 C≡Me (mod n),M≡Cd (mod n) となる。
【0011】ここで、第2の公開鍵eの値は、例えば1
3程度と小さくとることができるので、暗号化の処理
は、極めて高速とすることができるが、第2の秘密鍵d
の値は、ほぼnのサイズとなることから、復号化処理は
かなり遅くなる。
【0012】一方、べき乗剰余演算の処理量は、数のサ
イズの3乗に比例する。この特性を利用して、中国剰余
定理が復号化処理を高速化するために用いられる。
【0013】中国剰余定理を用いる復号化処理を以下に
示す。
【0014】dp ≡d(mod p−1),dq ≡d(mod
q−1),uq≡1(mod p),Mp ≡Cdp(mod
p),Mq ≡Cdq(mod q),M≡((Mp −Mq )u
(mod p))q+Mq ここで、uはpを法とするときのqの逆元である。
【0015】ここで、p,q,dp ,dq のサイズは、
nのサイズの半分なので、pあるいはqを法とするべき
乗剰余演算を、8倍高速化して処理することが可能とな
り、その結果、全体として、4倍の高速化が可能とな
る。
【0016】さらに、RSA暗号方式では、nが素因数
分解されれば容易に解読されてしまう。現時点で、脅威
となりえる可能性のある素因数分解アルゴリズムとして
は、「数体ふるい法」および「楕円曲線法」がある。
【0017】それぞれの必要な計算量は、数体ふるい法
ではnのサイズの準指数オーダであり、楕円曲線法が素
数のサイズの準指数オーダである。楕円曲線法は、その
オーダーが高いことおよび係数が大きいことにより現実
的には問題とならない。一方、数体ふるい法により素因
数分解の今までの最大数のレコードが達成されており、
その値としては10進140桁程度である。従って、n
が1024ビット程度の場合、これらの方法を用いた攻
撃は、現実的に脅威とはならない。
【0018】なお、安全性の根拠に関する文献は、岡
本、太田(共編):暗号・ゼロ知識証明・数論(共立出
版、1995)に詳しい。
【0019】また、公開鍵暗号装置は、一般に公開鍵と
秘密鍵の演算を逆に適用することにより認証装置として
も使用することができる場合もある。
【0020】
【発明が解決しようとする課題】このように本発明の目
的は、上記の従来知られていたRSA暗号方式について
の課題を克服し得る新たな暗号化・復号化及び認証の方
式を提供することにある。
【0021】より具体的には、本発明の目的は、(1)
従来知られる有理整数環上のRSA暗号方式と比較し
て、同程度の安全強度を持つ暗号化・復号化の方式を実
現し、(2)従来のRSA暗号方式より暗号化・復号化
処理が高速である暗号化・復号化の方式を実現し、
(3)認証にも利用可能であり、単一の装置で暗号通信
と認証の両用が可能となるような暗号化・復号化の方式
を実現し、(4)従来のRSA暗号方式に基づく認証方
式より認証子生成および認証確認が高速である認証方式
を実現することにある。
【0022】
【課題を解決するための手段】本発明は、上記の目的を
達成するため、以下の手段を提供する。
【0023】即ち、本発明の第1の特徴は、N(≧2)
個の素数p1 ,p2 ,…,pN を第1の秘密鍵とし、k
1、k2、・・・、kNを任意の正の整数とするときの
積p1 k1 2 k2…pN kNを第1の公開鍵nと設定するステ
ップと、前記第1の秘密鍵を用いて、第2の公開鍵eお
よび第2の秘密鍵dを、p1 −1,p2 −1,…,pN
−1の最小公倍数をLとするとき、 ed≡1(mod L) を満たすように決定するステップと、前記第1の公開鍵
nと第2の公開鍵eとを用いて、平文Mから、 C≡Me (mod n) に従い暗号文Cを得るステップとを含むことを特徴とす
る暗号化方法を提供する点にある。
【0024】本発明の第2の特徴は、前記設定ステップ
は、3つの素数p1=p,p2=qおよびp3=rを前記
第1の秘密鍵とし、k=k1、l=k2およびm=k3と
するときの積pk l m を前記第1の公開鍵nとする
点にある。
【0025】本発明の第3の特徴は、前記設定ステップ
は、2つの素数p1=pおよびp2=qを前記第1の秘密
鍵とし、k=k1 とするときの積pkqを前記第1の公
開鍵nとする点にある。
【0026】本発明の第4の特徴は、前記決定ステップ
は、さらに、 dp :=d(mod p−1),dq :=d(mod q−1) を満たす剰余dp ,dq を求め、前記第2の秘密鍵を、
前記d、dp 及びdqの組となるよう決定する点にあ
る。
【0027】本発明の第5の特徴は、N(≧2)個の素
数p1 ,p2 ,…,pN である第1の秘密鍵と、k1、
k2、・・・、kNを任意の正の整数とするときの積p1
k12 k2…pN kNである第1の公開鍵nと、p1 −1,
2 −1,…,pN −1の最小公倍数をLとするとき、 ed≡1(mod L) を満たす第2の公開鍵e及び第2の秘密鍵dとを用い
て、平文Mから、 C≡Me (mod n) に従って得られた暗号文Cを復号化する復号化方法であ
って、前記第1の秘密鍵p1 ,p2 ,…,pN に対し
て、所定のループ演算を用いて、前記平文Mの、p
1 k1,p2 k2,…,pN kNをそれぞれ法とする、剰余M
p1k1,Mp2k2,…,MpNkNを取得するステップと、前記
剰余Mp1k1,Mp2k2,…,MpNkNに中国剰余定理を適用
して、前記平文Mを復元するステップとを含むことを特
徴とする復号化方法を提供する点にある。
【0028】本発明の第6の特徴は、前記暗号文Cは、
3つの素数p1=p、p2=qおよびp3=rである前記
第1の秘密鍵と、k=k1、l=k2、m=k3とすると
きの積pk l m である前記第1の公開鍵nとを用い
て得られ、前記取得ステップは、 dp:=d(mod p-1); dq:=d(mod q-1); dr:=d(mod r-1); とするとき、 K0 p :=Cdp(mod p); K0 q :=Cdq(mod q); K0 r :=Cdr(mod r); の整数のべき乗剰余計算により、p、qおよびrのそれ
ぞれを法とするK0 p,K0 q およびK0 r を取得し、前記
0 p ,K0 q およびK0 r のそれぞれに対して前記所定
のループ演算を適用することにより、pk ,ql 及びr
m のそれぞれを法とする剰余Mpk,MqlおよびMrmを取
得し、前記復元ステップは、前記剰余Mpk,Mqlおよび
rmに対して前記中国剰余定理を適用する点にある。
【0029】本発明の第7の特徴は、前記暗号文Cは、
2つの素数p1=pおよびp2=qである前記第1の秘密
鍵と、k=k1とするときの積pkqである前記第1の公
開鍵nとを用いて得られ、前記取得ステップは、 dp:=d(mod p-1); dq:=d(mod q-1); とするとき、 Ko :=Cdp(mod p); Mq :=Cdq(mod q); の整数のべき乗剰余計算により、前記平文Mのpを法と
する剰余Ko およびqを法とする剰余Mq を取得し、前
記K0 に対して前記所定のループ演算を適用することに
より、前記平文Mのpk を法とする剰余Mpkを取得し、
前記復元ステップは、前記剰余Mpk,Mqに対して前記
中国剰余定理を適用する点にある。
【0030】本発明の第8の特徴は、前記所定のループ
演算は、 (a)Ao :=Ko ; と初期設定し、(b)i=1 から( k−1)について Fi :=Ai-1 e (mod pi+1 ); Ei :=(C−Fi )(mod pi+1 ); Bi :=Ei /pi in Z; Ki :=((eFi-1i-1i )(mod p); Ai :=Ai-1 +pii in Z; の反復計算を行い、 (c)Mpk:=Ak-1 . と設定することにより実行される点にある。
【0031】本発明の第9の特徴は、前記復元ステップ
は、 q1 :=q-1(mod pk ); v1 :=((Mpk−Mq )q1 )(mod pk ); M :=(Mq +qv1 ). の計算により前記平文Mを復元する点にある。
【0032】本発明のだい10の特徴は、前記復元ステ
ップは、 p1 :=(pk -1(mod q); v1 :=((Mq −Mpk)p1 )(mod q); M :=(Mpk+pk 1 ). の計算により前記平文Mを復元する点にある。
【0033】本発明の第11の特徴は、前記復元ステッ
プは、 p1 :=(pk -1(mod q); q1 :=q-1(mod pk ); M :=(q1 qMpk+p1 k q )(mod pkq). の計算により前記平文Mを復元する点にある。
【0034】本発明の第12の特徴は、送信者から受信
者に送信される認証文の認証を行う認証方法であって、
(a)送信側において、N(≧2)個の素数p1
2 ,…,pN を第1の秘密鍵とし、k1、k2、・・
・、kNを任意の正の整数とするときの積p1 k12 k2
N kNを第1の公開鍵nとし、第2の公開鍵eおよび第
2の秘密鍵dを、p1 −1,p2 −1,…,pN −1の
最小公倍数をLとするとき、 ed≡1(mod L) を満たすように設定するステップと、(b)送信側にお
いて、ハッシュ関数hを用いて認証文Mをハッシュ化す
ることにより、認証子h(M)を得るステップと、
(c)送信側において、前記第1の秘密鍵p1 ,p2
…,pN に対して所定のループ演算を用いて、暗号化認
証子h(C)のp1 k1,p2 k2,…,pN kNをそれぞれ法
とする、剰余h(C)p1k1,h(C)p2k2,…,h
(C)pNkNを取得し、前記剰余h(C)p1k1,h(C)
p2k2,…,h(C)pNkNに中国剰余定理を適用すること
により、 h(M)≡h(C)e (mod n) に従って認証子h(M)の暗号化認証子h(C)を取得
するステップと、(d)前記送信者から前記受信者へ前
記暗号化認証子h(C)及び前記認証文Mを送信するス
テップと、(e)受信側において、前記第2の公開鍵e
を用いて、送信者から受信される前記暗号化認証子h
(C)から、h(C)e (mod n)を計算することによ
り、第1の認証子h(M)1 を取得するステップと、
(f)受信側において、前記ハッシュ関数hを用いて、
送信者から受信される前記認証文Mのハッシュ化を行う
ことにより、第2の認証子h(M)2 を取得するステッ
プと、(g)受信側において、前記第1の認証子h
(M)1 と前記第2の認証子h(M)2 とが一致してい
るか否かを検証することにより、前記認証文Mの正当性
を判断するステップとを含むことを特徴とする認証方法
を提供する点にある。
【0035】本発明の第13の特徴は、前記暗号化認証
子h(C)は、3つの素数p1=p、p2=qおよびp3
=rである前記第1の秘密鍵と、k=k1、l=k2およ
びm=k3であるときの積pk l m である前記第1
の公開鍵nとを用いて得られ、前記ステップ(c)は、 dp:=d(mod p-1); dq:=d(mod q-1); dr:=d(mod r-1); とするとき、 h(K)0 p :=h(M)dp(mod p); h(K)0 q :=h(M)dq(mod q); h(K)0 r :=h(M)dr(mod r); の整数のべき乗剰余計算により、p、qおよびrのそれ
ぞれを法とするh(K)0 p ,h(K)0 q およびh
(K)0 r を求め、前記h(K)0 p ,h(K)0 q
よびh(K)0 r のそれぞれに対して前記所定のループ
演算を適用することにより、pk ,ql およびrm のそ
れぞれを法とする剰余h(C)pk,h(C)qlおよびh
(C)rmを求め、前記剰余h(C)pk,h(C)qlおよ
びh(C)rmに対して前記中国剰余定理を適用する点に
ある。
【0036】本発明の第14の特徴は、前記暗号化認証
子h(C)は、2つの素数p1=pおよびp2=qである
前記第1の秘密鍵と、k=k1であるときの積pkqであ
る前記第1の公開鍵nとを用いて得られ、前記ステップ
(c)は、 dp:=d(mod p-1); dq:=d(mod q-1); とするとき、 h(K)0 :=h(M)dp(mod p); h(C)q :=h(M)dq(mod q); の整数のべき乗剰余計算により、前記暗号化認証子h
(C)の、pを法とする剰余h(K)0 と、qを法とす
る剰余h(C)q とを取得し、前記h(K)0 に対して
前記所定のループ演算を適用することにより、前記暗号
化認証子h(C)の、pk を法とする剰余h(C)pk
取得し、前記剰余h(C)pk及びh(C)qに対して前
記中国剰余定理を適用する点にある。
【0037】本発明の第15の特徴は、前記所定のルー
プ演算は、(a)h(A)o :=h(K)o ;と初期設定
し、(b)i=1 から( k−1)について h(F)i :=(h(A)i-1 e )(mod pi+1 ); h(E)i :=(h(M)−h(F)i )(mod p
i+1 ); h(B)i :=h(E)i /pi in Z; h(K)i :=((eh(F)i -1h(A)i-1
(B)i )(mod p); h(A)i :=h(A)i-1 +pi h(K)i in Z; の反復計算を行い、(c)h(C)pk:=h(A)k-1
と設定することにより実行される点にある。
【0038】本発明の第16の特徴は、前記ステップ
(c)は、 q1 :=q-1(mod pk ); v1 :=((h(C)pk−h(C)q )q1 )(mod
k ); h(C) :=(h(C)q +qv1 ). の計算により前記中国剰余定理を適用する点にある。
【0039】本発明の第17の特徴は、前記ステップ
(c)は、 p1 :=(pk -1(mod q); v1 :=((h(C)q −h(C)pk)p1 )(mod q); h(C) :=(h(C)pk+pk 1 ). の計算により前記中国剰余定理を適用する点にある。
【0040】本発明の第18の特徴は、前記ステップ
(c)は、 p1 :=(pk -1(mod q); q1 :=q-1(mod pk ); h(C) :=(q1 qh(C)pk+p1 k
(C)q )(mod pkq). の計算により前記中国剰余定理を適用する点にある。
【0041】本発明の第19の特徴は、N(≧2)個の
素数p1 ,p2 ,…,pN を第1の秘密鍵とし、k1、
k2、・・・、kNを任意の正の整数とするときの積p
1 k12 k2…pN kNを第1の公開鍵nと設定し、前記第
1の秘密鍵を用いて、第2の公開鍵eおよび第2の秘密
鍵dを、p1 −1,p2 −1,…,pN −1の最小公倍
数をLとするとき、 ed≡1(mod L) を満たすように決定する暗号化・復号化鍵生成処理部
と、前記第1の公開鍵nおよび第2の公開鍵eを用い
て、平文Mから、 C≡Me (mod n) に従い暗号文Cを得る暗号化処理部とを具備することを
特徴とする暗号化装置を提供する点にある。
【0042】本発明の第20の特徴は、N(≧2)個の
素数p1 ,p2 ,…,pN である第1の秘密鍵と、k
1、k2、・・・、kNを任意の正の整数とするときの
積p1 k 12 k2…pN kNである第1の公開鍵nと、p1
−1,p2 −1,…,pN −1の最小公倍数をLとする
とき、 ed≡1(mod L) を満たす第2の公開鍵eおよび第2の秘密鍵dとを用い
て、平文Mから、 C≡Me (mod n) に従って得られた暗号文Cを復号化する復号化装置であ
って、前記第1の秘密鍵p1 ,p2 ,…,pN に対し
て、所定のループ演算を用いて、前記平文Mの、
1 k1,p2 k2,…,pN kNをそれぞれ法とする、剰余
p1k1,Mp2k2,…,MpNkNを求める計算処理部と、前
記剰余Mp1k1,Mp2k2,…,MpNkNに中国剰余定理を適
用して、前記平文Mを復元する復号化処理部とを具備す
ることを特徴とする復号化装置を提供する点にある。
【0043】本発明の第21の特徴は、N(≧2)個の
素数p1 ,p2 ,…,pN を第1の秘密鍵とし、k1、
k2、・・・、kNを任意の正の整数とするときの積p
1 k1,p2 k2,…,pN kNを第1の公開鍵nとし、前記
第1の秘密鍵を用いて、第2の公開鍵eおよび第2の秘
密鍵dを、p1 −1,p2 −1,…,pN −1の最小公
倍数をLとするとき、 ed≡1(mod L) を満たすように決定する暗号化・復号化鍵生成処理部
と、前記第1の公開鍵nおよび第2の公開鍵eを用い
て、平文Mから、 C≡Me (mod n) に従い暗号文Cを得る暗号化処理部とを有する送信装置
と、前記第1の秘密鍵p1 ,p2 ,…,pN に対して、
所定のループ演算を用いて、前記平文Mの、p1 k1,p
2 k2,…,pN kNをそれぞれ法とする、剰余Mp1k1,M
p2k2,…,MpNkNを求める計算処理部と、前記剰余M
p1k1,Mp2k2,…,MpNkNに中国剰余定理を適用して、
前記平文Mに復元する復号化処理部とを有する受信装置
とを具備することを特徴とする暗号通信システムを提供
する点にある。
【0044】本発明の第22の特徴は、送信者から受信
者に送信される認証文の認証に用いる認証文送信者装置
であって、N(≧2)個の素数p1 ,p2 ,…,pN
第1の秘密鍵とし、k1、k2、・・・、kNを任意の
正の整数とするときの積p1 k 12 k2…pN kNを第1の
公開鍵nとし、第2の公開鍵eおよび第2の秘密鍵d
を、p1 −1,p2 −1,…,pN −1の最小公倍数を
Lとするとき、 ed≡1(mod L) を満たすように設定する暗号化・復号化鍵生成処理部
と、ハッシュ関数hを用いて認証文Mをハッシュ化する
ことにより、認証子h(M)を得る認証文ハッシュ化処
理部と、前記第1の秘密鍵p1 ,p2 ,…,pN に対し
て所定のループ演算を用いて、認証子h(C)の
1 k1,p2 k2,…,pN kNをそれぞれ法とする剰余h
(C)p1k1,h(C)p2k2,…,h(C)pNkNを求め、
前記剰余h(C)p1 k1,h(C)p2k2,…,h(C)
pNkNに中国剰余定理を適用することにより、 h(M)≡h(C)e (mod n) に従って認証子h(M)の暗号化認証子h(C)を得、
前記受信者へ前記暗号化認証子h(C)及び前記認証文
Mを送信する認証子暗号化処理部とを具備することを特
徴とする認証文送信者装置を提供する点にある。
【0045】本発明の題23の特徴は、N(≧2)個の
素数p1 ,p2 ,…,pN である第1の秘密鍵と、k
1、k2、・・・、kNを任意の正の整数とするときの
積p1 k 12 k2…pN kNである第1の公開鍵nと、p1
−1,p2 −1,…,pN −1の最小公倍数をLとする
とき、 ed≡1(mod L) を満たす第2の公開鍵eおよび第2の秘密鍵dとを用い
て、送信者から受信者に送信される認証文の認証に用い
る認証文受信者装置であって、前記第2の公開鍵eを用
いて、前記送信者から受信される暗号化認証子h(C)
から、h(C)e(mod n)を計算することにより、第
1の認証子h(M)1 を得る認証子復号化処理部と、ハ
ッシュ関数hを用いて、前記送信者から受信される認証
文Mのハッシュ化を行うことにより、第2の認証子h
(M)2 を得る認証文ハッシュ化処理部と、前記第1の
認証子h(M)1 と前記第2の認証子h(M)2 とが一
致しているか否かを検証することにより、前記認証文M
の正当性を判断する認証確認処理部とを具備することを
特徴とする認証文受信者装置を提供する点にある。
【0046】本発明の題24の特徴は、送信者から受信
者に送信される認証文の認証を行う認証システムであっ
て、N(≧2)個の素数p1 ,p2 ,…,pN を第1の
秘密鍵とし、k1、k2、・・・、kNを任意の正の整
数とするときの積p1 k12 k 2…pN kNを第1の公開鍵
nとし、第2の公開鍵eおよび第2の秘密鍵dを、p1
−1,p2 −1,…,pN −1の最小公倍数をLとする
とき、 ed≡1(mod L) を満たすように設定する暗号化・復号化鍵生成処理部
と、ハッシュ関数hを用いて認証文Mをハッシュ化する
ことにより、認証子h(M)を得る認証文ハッシュ化処
理部と、送信側において、前記第1の秘密鍵p1
2 ,…,pN に対して所定のループ演算を用いて、暗
号化認証子h(C)のp1 k1,p2 k2,…,pN kNをそ
れぞれ法とする剰余h(C)p1k1,h(C)p2k2,…,
h(C)pNkNを求め、前記剰余h(C)p1k1,h(C)
p2k2,…,h(C)pNkNに中国剰余定理を適用すること
により、 h(M)≡h(C)e (mod n) に従って認証子h(M)の暗号化認証子h(C)を得、
前記受信者へ前記暗号化認証子h(C)及び前記認証文
Mを送信する認証子暗号化処理部とを有する送信装置
と、前記第2の公開鍵eを用いて、前記送信者から受信
される前記暗号化認証子h(C)から、h(C)e (mo
d n)を計算することにより、第1の認証子h(M)1
を得る認証子復号化処理部と、前記ハッシュ関数hを用
いて、前記送信者から受信される前記認証文Mのハッシ
ュ化を行うことにより、第2の認証子h(M)2 を得る
認証文ハッシュ化処理部と、前記第1の認証子h(M)
1 と前記第2の認証子h(M)2 とが一致しているか否
かを検証することにより、前記認証文Mの正当性を判断
する認証確認処理部とを有する受信装置とを具備するこ
とを特徴とする認証システムを提供する点にある。
【0047】本発明の第25の特徴は、N(≧2)個の
素数p1 ,p2 ,…,pN を第1の秘密鍵とし、k1、
k2、・・・、kNを任意の正の整数とするときの積p
1 k12 k2…pN kNを第1の公開鍵nと設定し、前記第
1の秘密鍵を用いて、第2の公開鍵eおよび第2の秘密
鍵dを、p1 −1,p2 −1,…,pN −1の最小公倍
数をLとするとき、 ed≡1(mod L) を満たすように決定する暗号化・復号化鍵生成処理と、
記第1の公開鍵nおよび第2の公開鍵eを用いて、平文
Mから、 C≡Me (mod n) に従い暗号文Cを得る暗号化処理とを含む処理をコンピ
ュータに実行せしめる暗号化プログラムを記録すること
を特徴とするコンピュータ読み取り可能な記録媒体を提
供する点にある。
【0048】本発明の第26の特徴は、N(≧2)個の
素数p1 ,p2 ,…,pN である第1の秘密鍵と、k
1、k2、・・・、kNを任意の正の整数とするときの
積p1 k 12 k2…pN kNである第1の公開鍵nと、p1
−1,p2 −1,…,pN −1の最小公倍数をLとする
とき、 ed≡1(mod L) を満たす第2の公開鍵eおよび第2の秘密鍵dとを用い
て、平文Mから、 C≡Me (mod n) に従って得られた暗号文Cを復号化する復号化プログラ
ムを記録するコンピュータ読み取り可能な記録媒体であ
って、前記第1の秘密鍵p1 ,p2 ,…,pNに対し
て、所定のループ演算を用いて、前記平文Mの、
1 k1,p2 k2,…,pN kNをそれぞれ法とする、剰余
p1k1,Mp2k2,…,MpNkNを求める計算処理と、前記
剰余Mp1k1,Mp2k2,…,MpNkNに中国剰余定理を適用
して、前記平文Mを復元する復号化処理とを含む処理を
コンピュータに実行せしめる復号化プログラムを記録す
ることを特徴とするコンピュータ読み取り可能な記録媒
体を提供する点にある。
【0049】本発明の第27の特徴は、送信者から受信
者に送信される認証文の認証に用いる認証文送信プログ
ラムを記録するコンピュータ読み取り可能な記録媒体で
あって、N(≧2)個の素数p1 ,p2 ,…,pN を第
1の秘密鍵とし、k1、k2、・・・、kNを任意の正
の整数とするときの積p1 k12 k2…pN kNを第1の公
開鍵nとし、第2の公開鍵eおよび第2の秘密鍵dを、
1 −1,p2 −1,…,pN −1の最小公倍数をLと
するとき、 ed≡1(mod L) を満たすように設定する暗号化・復号化鍵生成処理と、
ハッシュ関数hを用いて認証文Mをハッシュ化すること
により、認証子h(M)を得る認証文ハッシュ化処理
と、前記第1の秘密鍵p1 ,p2 ,…,pN に対して所
定のループ演算を用いて、認証子h(C)のp1 k1,p
2 k2,…,pN kNをそれぞれ法とする剰余h
(C)p1k1,h(C)p2k2,…,h(C)pNkNを求め、
前記剰余h(C)p1k1,h(C)p2k2,…,h(C)
pNkNに中国剰余定理を適用することにより、 h(M)≡h(C)e (mod n) に従って認証子h(M)の暗号化認証子h(C)を得、
前記受信者へ前記暗号化認証子h(C)及び前記認証文
Mを送信する認証子暗号化処理とを含む処理をコンピュ
ータに実行せしめる認証文送信プログラムを記録するこ
とを特徴とするコンピュータ読み取り可能な記録媒体を
提供する点にある。
【0050】本発明の第28の特徴は、N(≧2)個の
素数p1 ,p2 ,…,pN である第1の秘密鍵と、k
1、k2、・・・、kNを任意の正の整数とするときの
積p1 k 12 k2…pN kNである第1の公開鍵nと、p1
−1,p2 −1,…,pN −1の最小公倍数をLとする
とき、 ed≡1(mod L) を満たす第2の公開鍵eおよび第2の秘密鍵dとを用い
て、送信者から受信者に送信される認証文の認証に用い
る認証文受信プログラムを記録するコンピュータ読み取
り可能な記録媒体であって、前記第2の公開鍵eを用い
て、前記送信者から受信される暗号化認証子h(C)か
ら、h(C)e (mod n)を計算することにより、第1
の認証子h(M)1 を得る認証子復号化処理と、ハッシ
ュ関数hを用いて、前記送信者から受信される認証文M
のハッシュ化を行うことにより、第2の認証子h(M)
2 を得る認証文ハッシュ化処理と、前記第1の認証子h
(M)1 と前記第2の認証子h(M)2 とが一致してい
るか否かを検証することにより、前記認証文Mの正当性
を判断する認証確認処理とを含む処理をコンピュータに
実行せしめる認証文受信プログラムを記録することを特
徴とするコンピュータ読み取り可能な記録媒体を提供す
る点にある。
【0051】
【発明の実施の形態】以下、図面を用いて本発明の実施
の形態を詳細に説明する。
【0052】尚、後述するように、本発明に係る暗号化
・復号化方式は一般には、n=p1 k12 k2…pN kN
して構成可能であるが、より実用的な例であるn=p1
k12 の場合を最初に説明する。
【0053】以下において、pk qは、一般的な表現で
あるp1 k12 k2…pN kN(但し、p1 ,p2 ,…,p
N はN (≧2)個の素数)において、N=2,p1
p、p2=q、k1=k、k2 =1としたときの、特殊
な場合に対応する。
【0054】図1は、本発明の一実施形態に係る暗号通
信システムの全体構成を示す。
【0055】図1に示す暗号通信システムは、通信路1
4を介して接続される暗号化装置10と、復号化装置1
9からなる。暗号化装置10は、入力として与えられた
平文Mから暗号文Cを得、得られた暗号文Cを通信路1
4を介して復号化装置19に送信する暗号化処理部13
を具備する。復号化装置19は、暗号化処理部13から
送信される暗号文Cを平文Mに復元し、得られた平文M
を出力する復号化処理部15を具備する。復号化処理部
15は、ループ演算処理部17を有する。
【0056】さらに、暗号化装置10は、暗号化処理部
13と復号化処理部15との双方に接続される暗号化・
復号鍵生成処理部11も具備する。暗号化・復号化鍵生
成処理部11は、暗号化処理部13に第一の公開鍵nお
よび第2の公開鍵eを供給し、一方、復号化処理部15
に第1の秘密鍵p、qと、第2の秘密鍵dと、任意の正
整数kと、第1の公開鍵nと、第2の公開鍵eとを供給
する。
【0057】次に、暗号化装置10の動作を、図2を参
照しながら詳細に説明する。
【0058】まず、暗号化・復号化鍵が暗号化・復号化
鍵生成処理部11で以下のように生成される(ステップ
S101)。
【0059】ここでは、第1の秘密鍵は2個の有理素数
p,qとして与えられる。また第1の公開鍵は、それら
の積すなわちn=pk qとして与えられる。また、最小
公倍数を求める関数lcmを用いて、 L= lcm(p−1,q−1) となる最小公倍数Lを第1の秘密鍵p、qから求める。
【0060】次に、 ed≡1(mod L) を満たす、eおよびdを求める。
【0061】さらに、それぞれ(p−1)、(q−1)
を法とする当該dについての剰余dp ,dq を dp :=d(mod p−1),dq :=d(mod q−1) により求める。
【0062】尚、ここで記号”:=”は、右辺を計算して
左辺に代入する演算を示す。そして、d,dp ,dq
3つの数を1組として第2の秘密鍵とし、eを第2の公
開鍵とする。
【0063】これにより第1の公開鍵n、第2の公開鍵
e、第1の秘密鍵p,qおよび第2の秘密鍵d,dp
q が設定される。
【0064】次に、暗号化処理部13において、暗号文
Cが以下のように得られる(ステップS102)。
【0065】暗号化処理部13は、第1の公開鍵nと第
2の公開鍵eを用い、平文Mを、式 C≡Me (mod n) により暗号化し、得られた暗号文Cを受信側に送信す
る。
【0066】次に、復号化装置19の動作を、図3を用
いて詳細に説明する。
【0067】復号化処理部15は、通信路を介して暗号
化処理部13から入力される暗号文Cと、暗号化・復号
化鍵生成処理部11から入力される第1の秘密鍵p,
q、第2の秘密鍵d、第2の公開鍵eおよび任意の正の
整数kから、以下の代入演算処理を行うことにより、平
文Mを出力として得る。尚、ここで記号”:=”は、右辺
を計算して左辺に代入する演算を示す。
【0068】(ステップS201)第2の秘密鍵dに対
して、それぞれ(p−1)と(q−1)を法とする値d
p、dq を次の式で得る。
【0069】dp :=d(mod p−1),dq :=d(mod
q−1). 尚、これらd(mod p−1),d(mod q−1)は、暗
号化・復号化の都度に計算する必要はなく、秘密鍵とし
て事前に一度、作成しておけば十分である。この場合、
dは、これらd(mod p−1),d(mod q−1)を作
成するための中間段階で必要となるのみである。
【0070】(ステップS202)暗号文Cから、pと
qのそれぞれを法とする平文Mの剰余Ko、Mq を以下
のように求める。
【0071】Ko :=Cdp(mod p),Mq :=Cdq(mod
q); (ステップS203)高木剛「pkqを法とする高速R
SA型暗号」(The 1999Symposium on Cryptography an
d Information Security Kobe, Japan, January26-29,
1999)及び本願発明者による特願平9−156903に
開示された高速復号化アルゴリズムに従った以下のルー
プ演算をループ演算処理部17において実行することに
より、pk を法とする平文Mの剰余Mpk を求める。
【0072】Ao :=Ko ; FORi=1 to (k−1)do begin Fi :=Ai-1 e (mod pi+1 ); Ei :=(C−Fi )(mod pi+1 ); Bi :=Ei /pi in Z; Ki :=((eFi-1i-1i )(mod p); Ai :=Ai-1 +pii in Z; end Mpk:=Ak-1 . (ステップS204)剰余Mpk とMq に中国剰余定理
を適用することで、合成数nに対する平文Mの剰余を求
め、復号が完了する。
【0073】より具体的には、中国剰余定理は、以下の
式を用いて適用できる。
【0074】q1 :=q-1(mod pk ); v1 :=((Mpk−Mq )q1 )(mod pk ); M :=(Mq +qv1 ). あるいは、中国剰余定理は、以下の式を用いても適用で
きる。
【0075】p1 :=(pk -1(mod q); v1 :=((Mq −Mpk)p1 )(mod q); M :=(Mpk+pk 1 ). あるいは、中国剰余定理は、以下の式を用いても適用で
きる。
【0076】p1 :=(pk -1(mod q); q1 :=q-1(mod pk ); M :=(q1 qMpk+p1 k q )(mod pkq). 次に、図1に示す暗号通信システムにおける各処理部の
機能を処理手順に従って説明する。
【0077】まず段階1として、暗号化・復号化鍵生成
処理部11において、第1の秘密鍵となる2個の素数
p,qを生成し、これら2個の素数p,qから、積n=
kqを求め第1の公開鍵とする。このとき、kは、安
全強度と処理速度とを考慮に入れて、任意の整数が選ば
れる。また、第1の公開鍵nに対するn=pkqの式か
ら理解されるように、nのサイズ(例えば桁数)が一定
ならkを大きくすると、p,qのそれぞれのサイズが小
さくでき、その分、素因数分解が容易になり(つまり
p,qの値が知られ易くなり)、従ってこの暗号方式の
安全強度が低下する。
【0078】次に、これら2つの素数p,qから最小公
倍数Lを計算し、第2の公開鍵eおよび第2の秘密鍵d
を、ed≡1(mod L)に従って生成する。この最小公
倍数Lの計算は、まず拡張ユークリッドの互除法を使っ
て、最大公約数を求め、次に残りの因子を掛けて最小公
倍数を求めることによりなしうる。
【0079】なお、この時点でのe、dの対は、ed≡
1(mod L)により一意的に定まる。この条件を満たす
対なら原理的にはどんな対でもかまわないものの、通
常、暗号化を高速にするために、第2の公開鍵eを小さ
い値に設定する。このため、第2の秘密鍵dはかなり大
きくなることから、従来方式を用いた場合には復号化処
理が遅くなる。なお、第2の公開鍵eおよび第2の秘密
鍵dは、法Lに関して、逆数関係にあり、従って第2の
公開鍵eおよび最小公倍数Lが分かれば第2の秘密鍵d
を求めることができる。
【0080】次に段階2として、暗号化処理部13にお
いて、受信側の第2の公開鍵eを用い、式 C≡Me (mod n) によって暗号化が実行され、暗号文Cが受信側に送信さ
れる。
【0081】さらに段階3として、復号化処理部15に
おいて、前述の高速復号化アルゴリズムにより、Mpk
M(mod pk )及び、Mq ≡Cdq(mod q)が得られ、
これら2つの数に中国剰余定理が適用される。この中国
剰余定理によれば、ある未知数の複数の法に対する剰余
が知られているときに、これら複数の法の積を法とする
未知数(解)が一意的に求められることから、平文Mを
復元することができる。
【0082】次に、本実施形態に係る暗号化の具体例を
挙げる。
【0083】まず、k=2の場合の例は、要約すると以
下のようになる。
【0084】 公開鍵 e = 5 公開鍵 n = 40270132689707 秘密鍵 d = 234982541 秘密鍵 p = 34273 秘密鍵 q = 34283 平文 M = 1234567890 暗号文 C = 10229049760163 A0=K0 = 20157 Mq = 2777 K1 = 1748 Mp = A0 + K1 = 59929361 平文 M = 1234567890 この具体例では、第1の秘密鍵p,qのそれぞれの値
は、n1/(k+1) 程度である。また最小公倍数LはRSA
暗号方式より小さいn2/(k+1) 程度であるため、暗号化
・復号化の高速化の実現に貢献できる。
【0085】より具体的には、Cd mod nの計算時間
は、O((log n)2 (log d))であり、Cd mod p,C
d mod qの計算時間は、O(1/3log n)2 (2/3
log n)となる。このため、全体の処理時間は、RSA
暗号化システムの処理時間の0.148倍である。本具
体例における処理は、中国剰余定理を使うQuisquater-C
oureur法(O(1/2log n)2 (1log n)の計算時間
となる)より、3倍強だけ高速になる。
【0086】次に、k=3の場合の例は、要約すると以
下のようになる。
【0087】 公開鍵 e = 5 公開鍵 n = 627252701350243 秘密鍵 d = 7515005 秘密鍵 p = 5003 秘密鍵 q = 5009 平文 M = 123456789012345 暗号文 C = 287551735059915 A0=K0p = 1732 Mq = 3412 K1p = 4821 A1=24121195 K2p=4395 Mp2 =A2 = A1 + p22 = 110031010750 平文 M = 123456789012345 尚、上記の暗号化・復号化方式は、3つの素数p1
p,p2=qおよびp3=rを第1の秘密鍵に、k=k
1、l=k2およびm=k3とするときの積pk lm
第1の公開鍵nにした場合にも適用できることは明らか
である。
【0088】この場合、復号化は、まず以下の整数のべ
き乗剰余計算式により、p、q、rをそれぞれ法とする
0 p ,K0 q およびK0 r を得る。
【0089】 K0 p :=Cdp(mod p); K0 q :=Cdq(mod q); K0 r :=Cdr(mod r); 但し、 dp:=d(mod p-1); dq:=d(mod q-1); dr:=d(mod r-1); 次に、K0 p ,K0 q およびK0 r に対してループ演算を
適用することによりpk ,ql ,rm をそれぞれ法とす
る剰余Mpk,MqlおよびMrmを求め、最後に剰余Mpk
qlおよびMrmに対して中国剰余定理を適用する。
【0090】尚、上記の暗号化・復号化方式はまた、N
(≧2)個の素数p1 ,p2 ,…,pN を第1の秘密鍵
とし、k1、k2、・・・、kNを任意の正の整数とす
るときの積p1 k1 2 k2…pN kNを第1の公開鍵nとし、
1 −1,p2 −1,…,pN −1の最小公倍数をLと
するとき、 ed≡1(mod L) を満たすe,dを第2の公開鍵eおよび第2の秘密鍵d
とした場合に一般化できることは明らかである。
【0091】この一般化されたケースでは、暗号文C
は、平文Mから上記の第1の公開鍵nと第2の公開鍵e
を用いて、以下の式に従い求めることができる。
【0092】C≡Me (mod n) この場合にはまた、復号化は、まず、第1の秘密鍵p
1 ,p2 ,…,pN に対して前述の高速復号化アルゴリ
ズムのループ演算を行ってp1 k1,p2 k2,…,pN kN
をそれぞれ法とする、平文Mの剰余Mp1k1,Mp2k2
…,MpNkNを求め、次に、剰余Mp1k1,Mp2k2,…,M
pNkNに対して中国剰余定理を適用することにより実現で
きる。
【0093】次に、図4は本発明の一実施形態に係る認
証システムの全体構成を示す。
【0094】図4に示す認証装置は、通信路26により
相互に接続される送信者装置20と、受信者装置33か
らなる。送信者装置20は、入力認証文(平文)Mをハ
ッシュ化処理して認証子h(M)を出力する認証文ハッ
シュ化処理部23と、この認証文ハッシュ化処理部23
から出力される認証子h(M)を暗号化し、得られた暗
号化認証子h(C)を通信路26を介して送信する認証
子暗号化処理部25とを具備する。
【0095】受信者装置33は、暗号化認証子h(C)
から第1の認証子h(M)1 を得る認証子復号化処理部
27と、認証文Mから第2の認証子h(M)2 を得る認
証文ハッシュ化処理部29とを具備し、双方とも通信路
26を介して認証子暗号化処理部25に接続される。受
信者装置33は、さらに、認証子復号化処理部27と認
証文ハッシュ化処理部29とに接続され、認証文Mの認
証を確認する認証確認処理部31を具備する。
【0096】さらに、送信者装置20はまた、認証用暗
号化・復号化鍵を認証子暗号化処理部25及び認証子復
号化処理部27にそれぞれ出力する認証用暗号化・復号
化鍵生成処理部21を具備する。
【0097】図4に示すこの認証システムは、自身の認
証文を認証してもらいたい者が自らの秘密鍵により認証
文の暗号化を行って生成した認証子を受信者側に送信す
る認証方式を実現する。
【0098】次に、図4に示す認証システムにおける各
処理部の動作を、図5を参照して処理手順に従い説明す
る。
【0099】まず段階1として(ステップS301)、
認証用暗号化・復号化鍵生成処理部21において、第1
の秘密鍵として2個の素数p,qを生成し、この2個の
素数p,qから、積n=pkqを求め第1の公開鍵とす
る。このときkは、安全強度と処理速度を考慮して、任
意の整数が選択される。また、第1の公開鍵nに対する
n=pkqの式から理解されるように、nのサイズ(例
えば桁数)が一定の場合、kを大きくすると、p,qの
サイズが小さくなり、その分、素因数分解が容易になり
(つまりp,qの値が知られ易くなり)、従ってこの認
証システムの安全強度が低下する。
【0100】次にこれらの素数p,qから最小公倍数L
を計算し、第2の公開鍵eと、第2の秘密鍵dを、以下
の式に従って生成する。
【0101】ed≡1(mod L) 次に、段階2として(ステップ302)、認証文ハッシ
ュ化処理部23において、平文の認証文Mが、ハッシュ
関数hによりハッシュ化され、認証子h(M)が得られ
る。ただし、0≦h(M)<nとする。ここで、ハッシ
ュ関数は、メッセージ長を短くするために用いる。例え
ば、ハッシュ化処理は、メッセージの先頭から何文字か
を抽出する。また、ある程度のスクランブル機能を持た
せる。尚、受信側と送信側とでは同じハッシュ関数が使
用される。
【0102】次に、段階3として(ステップS30
3)、認証子暗号化処理部25において、送信側の第1
の公開鍵であるnと第2の秘密鍵であるdを用い、前述
の高速復号化アルゴリズムの技術により暗号化認証子h
(C)が計算される。なお、認証においては、復号化処
理と暗号化処理とは、上記の暗号化・復号化方式の場合
と全く逆になることから、暗号化認証子h(C)の計算
は、中国剰余定理を使って、高速に演算処理することが
できる。
【0103】この演算処理の後に、暗号化認証子h
(C)と認証文Mの組は通信路を介して受信側に送信さ
れる。
【0104】次に、段階4として(ステップS30
4)、認証子復号化処理部27において、受信側は、送
信側の第2の公開鍵eを利用して、 h(M)1 ≡h(C)e (mod n) を計算することによって、暗号化認証子h(C)を復号
化し、第1の認証子h(M)1 を得る。
【0105】次に、段階5として(ステップS30
5)、認証文ハッシュ化処理部29において、受信側
は、ハッシュ関数hを用いて、認証文Mのハッシュ化を
行い、第2の認証子h(M)2 を得る。
【0106】次に、段階6として(ステップS30
6)、認証確認処理部31において、第1の認証子h
(M)1 と第2の認証子h(M)2 が一致しているか否
かに従い、認証文の正当性が判断され、一致(Ye
s)、不一致(No)のいずれかが出力される。
【0107】より具体的には、本発明に係る認証方式
は、以下のように実現される。
【0108】最も一般化された場合、送信側は、N(≧
2)個の素数の組p1 ,p2 ,…,pN を第1の秘密鍵
とし、k1,k2,・・・,kNを任意の正の整数とするときの
積p1 k12 k2…pN kN第1の公開鍵nとするとともに、
1 −1,p2 −1,…,pN−1の最小公倍数をLと
するとき、 ed≡1(mod L) を満たすe,dをそれぞれ第2の公開鍵e及び第2の秘
密鍵dとする。
【0109】次に、送信側は、ハッシュ関数hにより認
証文Mをハッシュ化することで認証子h(M)を得、第
1の秘密鍵p1 ,p2 ,…,pN に対して、前述の高速
復号化アルゴリズムのループ演算を用いて、暗号化認証
子h(C)の、p1 k1,p2 k2,…,pN kNをそれぞれ法
とする、剰余h(C)p1k1,h(C)p2k2,…,h
(C)pNkN を求め、さらにこれら剰余h(C)p1k1
h(C)p2k2,…,h(C)pNkN に中国剰余定理を適
用することで、 h(M)≡h(C)e(mod n) に従って、認証子h(M)の暗号化認証子h(C)を得
る。
【0110】次に、暗号化認証子h(C)及び認証文M
は、送信側から受信側に送信される。
【0111】次に、受信側は、第2の公開鍵eを利用し
て送信側から受信される暗号化認証子h(C)から、h
(C)e (mod n)を計算することによって、第1の認
証子h(M)1 を得るとともに、ハッシュ関数hを用い
て、送信側から受信される認証文Mのハッシュ化を行っ
て第2の認証子h(M)2 を得る。
【0112】次に、第1の認証子h(M)1 と第2の認
証子h(M)2 が一致しているか否かを判断することに
より、受信側で認証文Mの正当性が判断される。
【0113】以下、上記の一般式を特殊化した場合を説
明する。
【0114】まず、3つの素数p1=p、p2=q、p3
=rである第1の秘密鍵と、k=k1、l=k2およびm
=k3であるときの積pk l m である第1の公開鍵
nとを用いて、暗号化認証子h(C)を得る特殊な場合
においては、送信側は、まず、 dp:=d(mod p-1); dq:=d(mod q-1); dr:=d(mod r-1); とするとき、 h(K)0 p :=h(M)dp(mod p); h(K)0 q :=h(M)dq(mod q); h(K)0 r :=h(M)dr(mod r); の整数のべき乗剰余計算により、p、q、rをそれぞれ
法とするh(K)0 p,h(K)0 q およびh(K)0 r
を求め、次に、h(K)0 p ,h(K)0 qおよびh
(K)0 r のそれぞれに対して上記ループ演算を適用す
ることにより、pk ,ql およびrm のそれぞれを法と
する剰余h(C)pk,h(C)qlおよびh(C)rmを求
め、さらに、剰余h(C)pk,h(C)qlおよびh
(C)rmに対して中国剰余定理を適用することによっ
て、暗号化認証子h(C)を得ることは、上記から明ら
かである。
【0115】また、2つの素数p1=pおよびp2=qで
ある第1の秘密鍵と、k=k1とするときの積pkqで
ある第1の公開鍵nとを用いて、暗号化認証子h(C)
を得る特殊な場合においては、送信側は、まず、 dp:=d(mod p-1); dq:=d(mod q-1); とするとき、 h(K)0 :=h(M)dp(mod p); h(C)q :=h(M)dq(mod q); の整数のべき乗剰余計算により、pを法とする剰余h
(K)0 と、qを法とする剰余h(C)q とを求め、次
に、h(K)0 に対して上記ループ演算を適用すること
により、pk を法とする剰余h(C)pkを求め、さら
に、剰余h(C)pk、h(C)q に対して中国剰余定理
を適用することによって、暗号化認証子h(C)を得る
ことは、上記から明らかである。
【0116】この場合、ループ演算は、以下のように実
行される。
【0117】h(A)o :=h(K)o ; FOR i=1 to( k−1) do begin h(F)i :=(h(A)i-1 e )(mod pi+1 ); h(E)i :=(h(M)−h(F)i )(mod p
i+1 ); h(B)i :=h(E)i /pi in Z; h(K)i :=((eh(F)i -1h(A)i-1
(B)i )(mod p); h(A)i :=h(A)i-1 +pi h(K)i in Z; end h(C)pk:=h(A)k-1 . また、この場合には、中国剰余定理は、以下の式を用い
て適用できる。
【0118】q1 :=q-1(mod pk ); v1 :=((h(C)pk−h(C)q )q1 )(mod
k ); h(C) :=(h(C)q +qv1 ). あるいは、中国剰余定理は、以下の式を用いても適用で
きる。
【0119】p1 :=(pk -1(mod q); v1 :=((h(C)q −h(C)pk)p1 )(mod q); h(C) :=(h(C)pk+pk 1 ). あるいは、中国剰余定理は、以下の式を用いても適用で
きる。
【0120】p1 :=(pk -1(mod q); q1 :=q-1(mod pk ); h(C) :=(q1 qh(C)pk+p1 k
(C)q )(mod pkq). 上述してきたように、それぞれの素数はn1/(k+1) 程度
のサイズであり、現在知られる最速の素因数分解アルゴ
リズムである数体ふるい法・楕円曲線法ともに防ぐのに
十分である。また、第2の公開鍵eは小さく設定される
ので、第2の秘密鍵dは最小公倍数Lと同程度の大きさ
になる。ここで、最小公倍数Lはn2/(k +1) 程度のサイ
ズであってRSA暗号方式のものより小さくなり、この
ため暗号化・復号化の高速化の実現に貢献する。
【0121】また本実施形態では、k=3の場合、n=
3 qの合成数を法とすることから、p,qのそれぞれ
のサイズは、nのサイズの1/4となる。p3 を法とす
る復号化処理は、pを法とする処理とほぼ同じ計算量で
あり、その結果、p3 ,qを法とする処理が、それぞれ
64倍高速になる。こうして、全体の処理としては、3
2倍高速化が可能となる。これは従来実現されていた4
倍の高速化と比較しても、非常に高速である。
【0122】以上説明したように、本実施形態は、N
(≧2)個の素数p1 ,p2 ,…,pN を第1の秘密鍵
とし、k1,k2,・・・,kNを任意の正の整数とするときの
積p1 k12 k2…pN kN第1の公開鍵nとしたので、従
来、知られる有理整数環上のRSA暗号と同程度の安全
性強度を持ち、かつ暗号化・復号化処理の高速化が実現
できる。さらに、認証にも利用可能であり、かつ認証子
作成および認証確認の高速化が実現できるという効果を
奏するものである。
【0123】さらに、本実施形態に係る暗号方式は、p
1 −1,p2 −1,…,pN −1の最小公倍数をLとす
るとき、 ed≡1(mod L) を満たすe,dの組を生成し、それぞれ第2の公開鍵e
を暗号化の鍵とし、第2の秘密鍵dを復号化の鍵とした
ので、復号化の鍵dのサイズはLのサイズと同程度にす
ることができる。
【0124】これに対し、例えばRSA暗号方式の場
合、p1 k12 k2…pN kN(但し、p1,p2 ,…,pN
N(≧2)個の素数)を第1の公開鍵nとした場合、オ
イラー関数φ(n)を、 φ(n)=n(1−1/p1 )(1−1/p2 )…(1
−1/pN) で表すとき、 ed≡1(mod φ(n)) を満たすe,dの組を生成し、それぞれeを暗号化の鍵
とし、dを復号化の鍵とするので、復号化の鍵dのサイ
ズはφ(n)のサイズとなり本発明の場合のサイズLに
比較するとかなり長大である。
【0125】尚、上述した他にも、本発明の本旨を逸脱
することなく、上記の実施形態に様々な変更変形を成し
得ることが可能であることはいうまでもなく、これらの
変形変更はすべて本発明の範囲に含まれるものである。
【0126】
【発明の効果】上述したように、本発明は、N(≧2)
個の素数p1 ,p2 ,…,pN を第1の秘密鍵とし、k
1,k2,・・・,kNを任意の正整数とするときの積p1 k12
k2…pN kN第1の公開鍵nとしたので、従来、知られる
有理整数環上のRSA暗号と同程度の安全強度を持ち、
かつ暗号化・復号化処理の高速化が実現できる。さら
に、認証にも利用可能であり、かつ認証子作成および認
証確認の高速化が実現できる。
【図面の簡単な説明】
【図1】本発明の一実施形態に係る暗号通信システムの
構成を示すブロック図である。
【図2】図1の暗号通信システムにおける暗号化装置の
暗号化処理を示すフローチャートである。
【図3】図1の暗号通信システムにおける復号化装置の
復号化処理を示すフローチャートである。
【図4】本発明の一実施形態に係る認証システムの構成
を示すブロック図である。
【図5】図4の認証システムにおける認証処理を示すフ
ローチャートである。
【符号の説明】 10 暗号化装置 11 暗号化・復号化鍵生成処理部 13 暗号化処理部 14、26 通信路 15 復号化処理部 17 ループ演算処理部 19 復号化装置 20 送信者装置 21 認証用暗号化・復号化鍵生成処理部 23 認証文ハッシュ化処理部 25 認証子暗号化処理部 27 認証子復号化処理部 29 認証文ハッシュ化処理部 31 認証確認処理部 33 受信者装置
─────────────────────────────────────────────────────
【手続補正書】
【提出日】平成11年12月8日(1999.12.
8)
【手続補正1】
【補正対象書類名】明細書
【補正対象項目名】特許請求の範囲
【補正方法】変更
【補正内容】
【特許請求の範囲】
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0045
【補正方法】変更
【補正内容】
【0045】本発明の23の特徴は、N(≧2)個の
素数p ,p ,…,p である第1の秘密鍵と、
k1、k2、…、kNを任意の正の整数(ただし少なく
ともひとつのj(1≦j≦N)に対してkj≧2)とす
るときのべき乗積p k1 k2…p kNである第
1の公開鍵nと、p −1,p −1,…,p−1
の最小公倍数をLとするとき、 ed≡1(mod L) を満たす第2の公開鍵eおよび第2の秘密鍵dとを用い
て、送信者から受信者に送信される認証文の認証に用い
る認証文受信者装置であって、前記第2の公開鍵eを用
いて、前記送信者から受信される暗号化認証子h(C)
から、h(C)(mod n)を計算することにより、第
1の認証子h(M) を得る認証子復号化処理部と、
ハッシュ関数hを用いて、前記送信者から受信される認
証文Mのハッシュ化を行うことにより、第2の認証子h
(M) を得る認証文ハッシュ化処理部と、 前記第
1の認証子h(M) と前記第2の認証子h(M)
とが一致しているか否かを検証することにより、前記認
証文Mの正当性を判断する認証確認処理部とを具備する
ことを特徴とする認証文受信者装置を提供する点にあ
る。
【手続補正3】
【補正対象書類名】明細書
【補正対象項目名】0046
【補正方法】変更
【補正内容】
【0046】本発明の24の特徴は、送信者から受信
者に送信される認証文の認証を行う認証システムであっ
て、(i) N(≧2)個の素数p ,p ,…,p
を第1の秘密鍵とし、k1、k2、…、kNを任意の正
の整数(ただし少なくともひとつのj(1≦j≦N)に
対してkj≧2)とするときのべき乗積p k1
k2…p kNを第1の公開鍵nとし、第2の公開鍵e
および第2の秘密鍵dを、p −1,p −1,…,
−1の最小公倍数をLとするとき、 ed≡1(mod L) を満たすように設定する暗号化・復号化鍵生成処理部
と、ハッシュ関数hを用いて認証文Mをハッシュ化する
ことにより、認証子h(M)を得る認証文ハッシュ化処
理部と、送信側において、前記第1の秘密鍵p ,p
,…,p のそれぞれに対して所定のループ演算を
用いて、暗号化認証子h(C)のp k1,p k2
…,p kNをそれぞれ法とする剰余h(C)p1k1
h(C)p2k ,…,h(C)pNkNを求め、前記剰余
h(C)p1k1,h(C)p2k2,…,h(C)pNkN
に中国剰余定理を適用することにより、認証子h(M)
の暗号化認証子h(C)を得、前記受信者へ前記暗号化
認証子h(C)及び前記認証文Mを送信する認証子暗号
化処理部とを有する送信装置と、(ii) 前記第2の公開
鍵eを用いて、前記送信者から受信される前記暗号化認
証子h(C)からh(C)(mod n)を計算すること
により、第1の認証子h(M) を得る認証子復号化
処理部と、前記ハッシュ関数hを用いて、前記送信者か
ら受信される前記認証文Mのハッシュ化を行うことによ
り、第2の認証子h(M) を得る認証文ハッシュ化
処理部と、前記第1の認証子h(M) と前記第2の
認証子h(M) とが一致しているか否かを検証する
ことにより、前記認証文Mの正当性を判断する認証確認
処理部とを有する受信装置、とを具備することを特徴と
する認証システムを提供する点にある。
【手続補正4】
【補正対象書類名】明細書
【補正対象項目名】0052
【補正方法】変更
【補正内容】
【0052】尚、後述するように、本発明に係る暗号化
・復号化方式は一般には、n=p k1 k2…p
kN のべき乗積(少なくともひとつのj(1≦j≦N)
に対してkj≧2)として構成可能であるが、より実用
的な例であるn=p k1 の場合(k1≧2)を最
初に説明する。
【手続補正5】
【補正対象書類名】明細書
【補正対象項目名】0072
【補正方法】変更
【補正内容】
【0072】Ao :=Ko ; For i=1 to (k−1) do Begin Fi :=Ai−1e(mod pi+1 ); Ei :=(C−Fi )(mod pi+1 ); Bi :=Ei /p in Z; Ki :=((eFi )-1Ai-1 Bi )(mod p); Ai :=Ai-1 +pi Ki in Z; end Mpk:=Ak-1 (ステップS204)剰余Mp と剰余Mqに中国剰余
定理を適用することで、合成数nに対する平文Mの剰余
を求め、復号が完了する。ここで、このループ演算が機
能するためには、(k−1)は少なくとも1以上でなけ
ればならないから、kは2以上(k≧2)であることは
一目瞭然である。
【手続補正6】
【補正対象書類名】明細書
【補正対象項目名】0089
【補正方法】変更
【補正内容】
【0089】 K0 p :=Cdp(mod p); K0 q :=Cdq(mod q); K0 r :=Cdr(mod r); 但し、 dp:=d(mod p-1); dq:=d(mod q-1); dr:=d(mod r-1); 次に、p、qおよびrのそれぞれを法とする
、およびK のそれぞれに対して、n=p
qの場合に行ったのと同様のループ演算を適用すること
により、p、q、rをそれぞれ法とする剰余M
pk、Mql、M rmを求め、最後に剰余Mpk、M
ql、Mrmに対して中国剰余定理を適用する。
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5J104 AA01 AA07 AA08 AA21 AA22 JA23 JA28 KA01 KA05 LA01 LA03 NA02 NA12 NA17 NA18 PA05 PA08 PA10

Claims (28)

    【特許請求の範囲】
  1. 【請求項1】 N(≧2)個の素数p1 ,p2 ,…,p
    N を第1の秘密鍵とし、k1、k2、・・・、kNを任
    意の正の整数とするときの積p1 k1 2 k2…pN kNを第1
    の公開鍵nと設定するステップと、 前記第1の秘密鍵を用いて、第2の公開鍵eおよび第2
    の秘密鍵dを、p1 −1,p2 −1,…,pN −1の最
    小公倍数をLとするとき、 ed≡1(mod L) を満たすように決定するステップと、前記第1の公開鍵
    nと第2の公開鍵eとを用いて、平文Mから、 C≡Me (mod n) に従い暗号文Cを得るステップとを含むことを特徴とす
    る暗号化方法。
  2. 【請求項2】 前記設定ステップは、 3つの素数p1=p,p2=qおよびp3=rを前記第1
    の秘密鍵とし、k=k1、l=k2およびm=k3とする
    ときの積pk l m を前記第1の公開鍵nとすること
    を特徴とする請求項1に記載の暗号化方法。
  3. 【請求項3】 前記設定ステップは、 2つの素数p1=pおよびp2=qを前記第1の秘密鍵と
    し、k=k1 とするときの積pkqを前記第1の公開鍵
    nとすることを特徴とする請求項1に記載の暗号化方
    法。
  4. 【請求項4】 前記決定ステップは、さらに、 dp :=d(mod p−1),dq :=d(mod q−1) を満たす剰余dp ,dq を求め、前記第2の秘密鍵を、
    前記d、dp 及びdqの組となるよう決定することを特
    徴とする請求項3に記載の暗号化方法。
  5. 【請求項5】 N(≧2)個の素数p1 ,p2 ,…,p
    N である第1の秘密鍵と、k1、k2、・・・、kNを
    任意の正の整数とするときの積p1 k12 k2…pN kNであ
    る第1の公開鍵nと、p1 −1,p2 −1,…,pN
    1の最小公倍数をLとするとき、 ed≡1(mod L) を満たす第2の公開鍵e及び第2の秘密鍵dとを用い
    て、平文Mから、 C≡Me (mod n) に従って得られた暗号文Cを復号化する復号化方法であ
    って、 前記第1の秘密鍵p1 ,p2 ,…,pN に対して、所定
    のループ演算を用いて、前記平文Mの、p1 k1,p
    2 k2,…,pN kNをそれぞれ法とする、剰余Mp1k1,M
    p2k2,…,MpNkNを取得するステップと、 前記剰余Mp1k1,Mp2k2,…,MpNkNに中国剰余定理を
    適用して、前記平文Mを復元するステップとを含むこと
    を特徴とする復号化方法。
  6. 【請求項6】 前記暗号文Cは、 3つの素数p1=p、p2=qおよびp3=rである前記
    第1の秘密鍵と、k=k1、l=k2、m=k3とすると
    きの積pk l m である前記第1の公開鍵nとを用い
    て得られ、 前記取得ステップは、 dp:=d(mod p-1); dq:=d(mod q-1); dr:=d(mod r-1); とするとき、 K0 p :=Cdp(mod p); K0 q :=Cdq(mod q); K0 r :=Cdr(mod r); の整数のべき乗剰余計算により、p、qおよびrのそれ
    ぞれを法とするK0 p,K0 q およびK0 r を取得し、 前記K0 p ,K0 q およびK0 r のそれぞれに対して前記
    所定のループ演算を適用することにより、pk ,ql
    びrm のそれぞれを法とする剰余Mpk,MqlおよびMrm
    を取得し、 前記復元ステップは、 前記剰余Mpk,MqlおよびMrmに対して前記中国剰余定
    理を適用することを特徴とする請求項5に記載の復号化
    方法。
  7. 【請求項7】 前記暗号文Cは、 2つの素数p1=pおよびp2=qである前記第1の秘密
    鍵と、k=k1とするときの積pkqである前記第1の公
    開鍵nとを用いて得られ、 前記取得ステップは、 dp:=d(mod p-1); dq:=d(mod q-1); とするとき、 Ko :=Cdp(mod p); Mq :=Cdq(mod q); の整数のべき乗剰余計算により、前記平文Mのpを法と
    する剰余Ko およびqを法とする剰余Mq を取得し、 前記K0 に対して前記所定のループ演算を適用すること
    により、前記平文Mのpk を法とする剰余Mpkを取得
    し、 前記復元ステップは、 前記剰余Mpk,Mqに対して前記中国剰余定理を適用す
    ることを特徴とする請求項5に記載の復号化方法。
  8. 【請求項8】 前記所定のループ演算は、 (a)Ao :=Ko ; と初期設定し、 (b)i=1 から( k−1)について Fi :=Ai-1 e (mod pi+1 ); Ei :=(C−Fi )(mod pi+1 ); Bi :=Ei /pi in Z; Ki :=((eFi-1i-1i )(mod p); Ai :=Ai-1 +pii in Z; の反復計算を行い、 (c)Mpk:=Ak-1 . と設定することにより実行されることを特徴とする請求
    項7に記載の復号化方法。
  9. 【請求項9】 前記復元ステップは、 q1 :=q-1(mod pk ); v1 :=((Mpk−Mq )q1 )(mod pk ); M :=(Mq +qv1 ). の計算により前記平文Mを復元することを特徴とする請
    求項7に記載の復号化方法。
  10. 【請求項10】 前記復元ステップは、 p1 :=(pk -1(mod q); v1 :=((Mq −Mpk)p1 )(mod q); M :=(Mpk+pk 1 ). の計算により前記平文Mを復元することを特徴とする請
    求項7に記載の復号化方法。
  11. 【請求項11】 前記復元ステップは、 p1 :=(pk -1(mod q); q1 :=q-1(mod pk ); M :=(q1 qMpk+p1 k q )(mod pkq). の計算により前記平文Mを復元することを特徴とする請
    求項7に記載の復号化方法。
  12. 【請求項12】 送信者から受信者に送信される認証文
    の認証を行う認証方法であって、 (a)送信側において、N(≧2)個の素数p1
    2 ,…,pN を第1の秘密鍵とし、k1、k2、・・
    ・、kNを任意の正の整数とするときの積p1 k12 k 2
    N kNを第1の公開鍵nとし、第2の公開鍵eおよび第
    2の秘密鍵dを、p1−1,p2 −1,…,pN −1の
    最小公倍数をLとするとき、 ed≡1(mod L) を満たすように設定するステップと、 (b)送信側において、ハッシュ関数hを用いて認証文
    Mをハッシュ化することにより、認証子h(M)を得る
    ステップと、 (c)送信側において、前記第1の秘密鍵p1 ,p2
    …,pN に対して所定のループ演算を用いて、暗号化認
    証子h(C)のp1 k1,p2 k2,…,pN kNをそれぞれ法
    とする、剰余h(C)p1k1,h(C)p2k2,…,h
    (C)pNkNを取得し、前記剰余h(C)p1k1,h(C)
    p2k2,…,h(C)pNkNに中国剰余定理を適用すること
    により、 h(M)≡h(C)e (mod n) に従って認証子h(M)の暗号化認証子h(C)を取得
    するステップと、 (d)前記送信者から前記受信者へ前記暗号化認証子h
    (C)及び前記認証文Mを送信するステップと、 (e)受信側において、前記第2の公開鍵eを用いて、
    送信者から受信される前記暗号化認証子h(C)から、
    h(C)e (mod n)を計算することにより、第1の認
    証子h(M)1 を取得するステップと、 (f)受信側において、前記ハッシュ関数hを用いて、
    送信者から受信される前記認証文Mのハッシュ化を行う
    ことにより、第2の認証子h(M)2 を取得するステッ
    プと、 (g)受信側において、前記第1の認証子h(M)1
    前記第2の認証子h(M)2 とが一致しているか否かを
    検証することにより、前記認証文Mの正当性を判断する
    ステップとを含むことを特徴とする認証方法。
  13. 【請求項13】 前記暗号化認証子h(C)は、 3つの素数p1=p、p2=qおよびp3=rである前記
    第1の秘密鍵と、k=k1、l=k2およびm=k3であ
    るときの積pk l m である前記第1の公開鍵nとを
    用いて得られ、 前記ステップ(c)は、 dp:=d(mod p-1); dq:=d(mod q-1); dr:=d(mod r-1); とするとき、 h(K)0 p :=h(M)dp(mod p); h(K)0 q :=h(M)dq(mod q); h(K)0 r :=h(M)dr(mod r); の整数のべき乗剰余計算により、p、qおよびrのそれ
    ぞれを法とするh(K)0 p ,h(K)0 q およびh
    (K)0 r を求め、 前記h(K)0 p ,h(K)0 q およびh(K)0 r
    それぞれに対して前記所定のループ演算を適用すること
    により、pk ,ql およびrm のそれぞれを法とする剰
    余h(C)pk,h(C)qlおよびh(C)rmを求め、 前記剰余h(C)pk,h(C)qlおよびh(C)rmに対
    して前記中国剰余定理を適用することを特徴とする請求
    項12に記載の認証方法。
  14. 【請求項14】 前記暗号化認証子h(C)は、 2つの素数p1=pおよびp2=qである前記第1の秘密
    鍵と、k=k1であるときの積pkqである前記第1の公
    開鍵nとを用いて得られ、 前記ステップ(c)は、 dp:=d(mod p-1); dq:=d(mod q-1); とするとき、 h(K)0 :=h(M)dp(mod p); h(C)q :=h(M)dq(mod q); の整数のべき乗剰余計算により、前記暗号化認証子h
    (C)の、pを法とする剰余h(K)0 と、qを法とす
    る剰余h(C)q とを取得し、 前記h(K)0 に対して前記所定のループ演算を適用す
    ることにより、前記暗号化認証子h(C)の、pk を法
    とする剰余h(C)pkを取得し、 前記剰余h(C)pk及びh(C)qに対して前記中国剰
    余定理を適用することを特徴とする請求項12に記載の
    認証方法。
  15. 【請求項15】 前記所定のループ演算は、 (a)h(A)o :=h(K)o ; と初期設定し、 (b)i=1 から( k−1)について h(F)i :=(h(A)i-1 e )(mod pi+1 ); h(E)i :=(h(M)−h(F)i )(mod p
    i+1 ); h(B)i :=h(E)i /pi in Z; h(K)i :=((eh(F)i -1h(A)i-1
    (B)i )(mod p); h(A)i :=h(A)i-1 +pi h(K)i in Z; の反復計算を行い、 (c)h(C)pk:=h(A)k-1 . と設定することにより実行されることを特徴とする請求
    項14に記載の認証方法。
  16. 【請求項16】 前記ステップ(c)は、 q1 :=q-1(mod pk ); v1 :=((h(C)pk−h(C)q )q1 )(mod
    k ); h(C) :=(h(C)q +qv1 ). の計算により前記中国剰余定理を適用することを特徴と
    する請求項14に記載の認証方法。
  17. 【請求項17】 前記ステップ(c)は、 p1 :=(pk -1(mod q); v1 :=((h(C)q −h(C)pk)p1 )(mod q); h(C) :=(h(C)pk+pk 1 ). の計算により前記中国剰余定理を適用することを特徴と
    する請求項14に記載の認証方法。
  18. 【請求項18】 前記ステップ(c)は、 p1 :=(pk -1(mod q); q1 :=q-1(mod pk ); h(C) :=(q1 qh(C)pk+p1 k
    (C)q )(mod pkq). の計算により前記中国剰余定理を適用することを特徴と
    する請求項14に記載の認証方法。
  19. 【請求項19】 N(≧2)個の素数p1 ,p2 ,…,
    N を第1の秘密鍵とし、k1、k2、・・・、kNを
    任意の正の整数とするときの積p1 k12 k2…pN kN
    第1の公開鍵nと設定し、前記第1の秘密鍵を用いて、
    第2の公開鍵eおよび第2の秘密鍵dを、p1 −1,p
    2 −1,…,pN −1の最小公倍数をLとするとき、 ed≡1(mod L) を満たすように決定する暗号化・復号化鍵生成処理部
    と、前記第1の公開鍵nおよび第2の公開鍵eを用い
    て、平文Mから、 C≡Me (mod n) に従い暗号文Cを得る暗号化処理部とを具備することを
    特徴とする暗号化装置。
  20. 【請求項20】 N(≧2)個の素数p1 ,p2 ,…,
    N である第1の秘密鍵と、k1、k2、・・・、kN
    を任意の正の整数とするときの積p1 k12 k 2…pN kN
    である第1の公開鍵nと、p1 −1,p2 −1,…,p
    N −1の最小公倍数をLとするとき、 ed≡1(mod L) を満たす第2の公開鍵eおよび第2の秘密鍵dとを用い
    て、平文Mから、 C≡Me (mod n) に従って得られた暗号文Cを復号化する復号化装置であ
    って、 前記第1の秘密鍵p1 ,p2 ,…,pN に対して、所定
    のループ演算を用いて、前記平文Mの、p1 k1
    2 k2,…,pN kNをそれぞれ法とする、剰余Mp1k1
    p2k2,…,MpNkNを求める計算処理部と、 前記剰余Mp1k1,Mp2k2,…,MpNkNに中国剰余定理を
    適用して、前記平文Mを復元する復号化処理部とを具備
    することを特徴とする復号化装置。
  21. 【請求項21】 N(≧2)個の素数p1 ,p2 ,…,
    N を第1の秘密鍵とし、k1、k2、・・・、kNを
    任意の正の整数とするときの積p1 k1,p2 k 2,…,p
    N kNを第1の公開鍵nとし、前記第1の秘密鍵を用い
    て、第2の公開鍵eおよび第2の秘密鍵dを、p1
    1,p2 −1,…,pN −1の最小公倍数をLとすると
    き、 ed≡1(mod L) を満たすように決定する暗号化・復号化鍵生成処理部
    と、前記第1の公開鍵nおよび第2の公開鍵eを用い
    て、平文Mから、 C≡Me (mod n) に従い暗号文Cを得る暗号化処理部とを有する送信装置
    と、 前記第1の秘密鍵p1 ,p2 ,…,pN に対して、所定
    のループ演算を用いて、前記平文Mの、p1 k1
    2 k2,…,pN kNをそれぞれ法とする、剰余Mp1k1
    p2k2,…,MpNkNを求める計算処理部と、 前記剰余Mp1k1,Mp2k2,…,MpNkNに中国剰余定理を
    適用して、前記平文Mに復元する復号化処理部とを有す
    る受信装置とを具備することを特徴とする暗号通信シス
    テム。
  22. 【請求項22】 送信者から受信者に送信される認証文
    の認証に用いる認証文送信者装置であって、 N(≧2)個の素数p1 ,p2 ,…,pN を第1の秘密
    鍵とし、k1、k2、・・・、kNを任意の正の整数と
    するときの積p1 k12 k2…pN kNを第1の公開鍵nと
    し、第2の公開鍵eおよび第2の秘密鍵dを、p1
    1,p2 −1,…,pN −1の最小公倍数をLとすると
    き、 ed≡1(mod L) を満たすように設定する暗号化・復号化鍵生成処理部
    と、 ハッシュ関数hを用いて認証文Mをハッシュ化すること
    により、認証子h(M)を得る認証文ハッシュ化処理部
    と、 前記第1の秘密鍵p1 ,p2 ,…,pN に対して所定の
    ループ演算を用いて、認証子h(C)のp1 k1
    2 k2,…,pN kNをそれぞれ法とする剰余h(C)
    p1k1,h(C)p2k2,…,h(C)pNkNを求め、前記剰
    余h(C)p1k1,h(C)p2k2,…,h(C)pNkNに中
    国剰余定理を適用することにより、 h(M)≡h(C)e (mod n) に従って認証子h(M)の暗号化認証子h(C)を得、
    前記受信者へ前記暗号化認証子h(C)及び前記認証文
    Mを送信する認証子暗号化処理部とを具備することを特
    徴とする認証文送信者装置。
  23. 【請求項23】 N(≧2)個の素数p1 ,p2 ,…,
    N である第1の秘密鍵と、k1、k2、・・・、kN
    を任意の正の整数とするときの積p1 k12 k 2…pN kN
    である第1の公開鍵nと、p1 −1,p2 −1,…,p
    N −1の最小公倍数をLとするとき、 ed≡1(mod L) を満たす第2の公開鍵eおよび第2の秘密鍵dとを用い
    て、送信者から受信者に送信される認証文の認証に用い
    る認証文受信者装置であって、 前記第2の公開鍵eを用いて、前記送信者から受信され
    る暗号化認証子h(C)から、h(C)e (mod n)を
    計算することにより、第1の認証子h(M)1を得る認
    証子復号化処理部と、 ハッシュ関数hを用いて、前記送信者から受信される認
    証文Mのハッシュ化を行うことにより、第2の認証子h
    (M)2 を得る認証文ハッシュ化処理部と、 前記第1の認証子h(M)1 と前記第2の認証子h
    (M)2 とが一致しているか否かを検証することによ
    り、前記認証文Mの正当性を判断する認証確認処理部と
    を具備することを特徴とする認証文受信者装置。
  24. 【請求項24】 送信者から受信者に送信される認証文
    の認証を行う認証システムであって、 N(≧2)個の素数p1 ,p2 ,…,pN を第1の秘密
    鍵とし、k1、k2、・・・、kNを任意の正の整数と
    するときの積p1 k12 k2…pN kNを第1の公開鍵nと
    し、第2の公開鍵eおよび第2の秘密鍵dを、p1
    1,p2 −1,…,pN −1の最小公倍数をLとすると
    き、 ed≡1(mod L) を満たすように設定する暗号化・復号化鍵生成処理部
    と、 ハッシュ関数hを用いて認証文Mをハッシュ化すること
    により、認証子h(M)を得る認証文ハッシュ化処理部
    と、 送信側において、前記第1の秘密鍵p1 ,p2 ,…,p
    N に対して所定のループ演算を用いて、暗号化認証子h
    (C)のp1 k1,p2 k2,…,pN kNをそれぞれ法とす
    る剰余h(C)p1k1,h(C)p2k2,…,h(C)pNkN
    を求め、前記剰余h(C)p1k1,h(C)p2k2,…,h
    (C)pNkNに中国剰余定理を適用することにより、 h(M)≡h(C)e (mod n) に従って認証子h(M)の暗号化認証子h(C)を得、
    前記受信者へ前記暗号化認証子h(C)及び前記認証文
    Mを送信する認証子暗号化処理部とを有する送信装置
    と、 前記第2の公開鍵eを用いて、前記送信者から受信され
    る前記暗号化認証子h(C)から、h(C)e (mod
    n)を計算することにより、第1の認証子h(M)1
    得る認証子復号化処理部と、 前記ハッシュ関数hを用いて、前記送信者から受信され
    る前記認証文Mのハッシュ化を行うことにより、第2の
    認証子h(M)2 を得る認証文ハッシュ化処理部と、 前記第1の認証子h(M)1 と前記第2の認証子h
    (M)2 とが一致しているか否かを検証することによ
    り、前記認証文Mの正当性を判断する認証確認処理部と
    を有する受信装置とを具備することを特徴とする認証シ
    ステム。
  25. 【請求項25】 N(≧2)個の素数p1 ,p2 ,…,
    N を第1の秘密鍵とし、k1、k2、・・・、kNを
    任意の正の整数とするときの積p1 k12 k2…pN kN
    第1の公開鍵nと設定し、前記第1の秘密鍵を用いて、
    第2の公開鍵eおよび第2の秘密鍵dを、p1 −1,p
    2 −1,…,pN −1の最小公倍数をLとするとき、 ed≡1(mod L) を満たすように決定する暗号化・復号化鍵生成処理と、
    前記第1の公開鍵nおよび第2の公開鍵eを用いて、平
    文Mから、 C≡Me (mod n) に従い暗号文Cを得る暗号化処理とを含む処理をコンピ
    ュータに実行せしめる暗号化プログラムを記録すること
    を特徴とするコンピュータ読み取り可能な記録媒体。
  26. 【請求項26】 N(≧2)個の素数p1 ,p2 ,…,
    N である第1の秘密鍵と、k1、k2、・・・、kN
    を任意の正の整数とするときの積p1 k12 k 2…pN kN
    である第1の公開鍵nと、p1 −1,p2 −1,…,p
    N −1の最小公倍数をLとするとき、 ed≡1(mod L) を満たす第2の公開鍵eおよび第2の秘密鍵dとを用い
    て、平文Mから、 C≡Me (mod n) に従って得られた暗号文Cを復号化する復号化プログラ
    ムを記録するコンピュータ読み取り可能な記録媒体であ
    って、 前記第1の秘密鍵p1 ,p2 ,…,pN に対して、所定
    のループ演算を用いて、前記平文Mの、p1 k1
    2 k2,…,pN kNをそれぞれ法とする、剰余Mp1k1
    p2k2,…,MpNkNを求める計算処理と、 前記剰余Mp1k1,Mp2k2,…,MpNkNに中国剰余定理を
    適用して、前記平文Mを復元する復号化処理とを含む処
    理をコンピュータに実行せしめる復号化プログラムを記
    録することを特徴とするコンピュータ読み取り可能な記
    録媒体。
  27. 【請求項27】 送信者から受信者に送信される認証文
    の認証に用いる認証文送信プログラムを記録するコンピ
    ュータ読み取り可能な記録媒体であって、 N(≧2)個の素数p1 ,p2 ,…,pN を第1の秘密
    鍵とし、k1、k2、・・・、kNを任意の正の整数と
    するときの積p1 k12 k2…pN kNを第1の公開鍵nと
    し、第2の公開鍵eおよび第2の秘密鍵dを、p1
    1,p2 −1,…,pN −1の最小公倍数をLとすると
    き、 ed≡1(mod L) を満たすように設定する暗号化・復号化鍵生成処理と、 ハッシュ関数hを用いて認証文Mをハッシュ化すること
    により、認証子h(M)を得る認証文ハッシュ化処理
    と、 前記第1の秘密鍵p1 ,p2 ,…,pN に対して所定の
    ループ演算を用いて、認証子h(C)のp1 k1
    2 k2,…,pN kNをそれぞれ法とする剰余h(C)
    p1k1,h(C)p2k2,…,h(C)pNkNを求め、前記剰
    余h(C)p1k1,h(C)p2k2,…,h(C)pNkNに中
    国剰余定理を適用することにより、 h(M)≡h(C)e (mod n) に従って認証子h(M)の暗号化認証子h(C)を得、
    前記受信者へ前記暗号化認証子h(C)及び前記認証文
    Mを送信する認証子暗号化処理とを含む処理をコンピュ
    ータに実行せしめる認証文送信プログラムを記録するこ
    とを特徴とするコンピュータ読み取り可能な記録媒体。
  28. 【請求項28】 N(≧2)個の素数p1 ,p2 ,…,
    N である第1の秘密鍵と、k1、k2、・・・、kN
    を任意の正の整数とするときの積p1 k12 k 2…pN kN
    である第1の公開鍵nと、p1 −1,p2 −1,…,p
    N −1の最小公倍数をLとするとき、 ed≡1(mod L) を満たす第2の公開鍵eおよび第2の秘密鍵dとを用い
    て、送信者から受信者に送信される認証文の認証に用い
    る認証文受信プログラムを記録するコンピュータ読み取
    り可能な記録媒体であって、 前記第2の公開鍵eを用いて、前記送信者から受信され
    る暗号化認証子h(C)から、h(C)e (mod n)を
    計算することにより、第1の認証子h(M)1を得る認
    証子復号化処理と、 ハッシュ関数hを用いて、前記送信者から受信される認
    証文Mのハッシュ化を行うことにより、第2の認証子h
    (M)2 を得る認証文ハッシュ化処理と、 前記第1の認証子h(M)1 と前記第2の認証子h
    (M)2 とが一致しているか否かを検証することによ
    り、前記認証文Mの正当性を判断する認証確認処理とを
    含む処理をコンピュータに実行せしめる認証文受信プロ
    グラムを記録することを特徴とするコンピュータ読み取
    り可能な記録媒体。
JP11076245A 1998-03-26 1999-03-19 暗号化方法、復号化方法、認証方法、暗号化装置、復号化装置、認証装置、認証文送信者装置、認証文受信者装置、暗号通信システム及び認証システム Expired - Fee Related JP3041293B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP11076245A JP3041293B2 (ja) 1998-03-26 1999-03-19 暗号化方法、復号化方法、認証方法、暗号化装置、復号化装置、認証装置、認証文送信者装置、認証文受信者装置、暗号通信システム及び認証システム

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
JP10-79836 1998-03-26
JP7983698 1998-03-26
JP23608498 1998-08-21
JP10-236084 1998-08-21
JP11076245A JP3041293B2 (ja) 1998-03-26 1999-03-19 暗号化方法、復号化方法、認証方法、暗号化装置、復号化装置、認証装置、認証文送信者装置、認証文受信者装置、暗号通信システム及び認証システム

Publications (2)

Publication Number Publication Date
JP2000132095A true JP2000132095A (ja) 2000-05-12
JP3041293B2 JP3041293B2 (ja) 2000-05-15

Family

ID=27302098

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11076245A Expired - Fee Related JP3041293B2 (ja) 1998-03-26 1999-03-19 暗号化方法、復号化方法、認証方法、暗号化装置、復号化装置、認証装置、認証文送信者装置、認証文受信者装置、暗号通信システム及び認証システム

Country Status (1)

Country Link
JP (1) JP3041293B2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005033990A1 (ja) * 2003-09-30 2005-04-14 Melodies & Memories Global Limited コンテンツ利用制御プログラム、コンテンツ利用制御方法およびコンテンツ利用制御装置
JP2008293018A (ja) * 2007-05-22 2008-12-04 Harris Corp 引き起こされた非位取り誤りによる暗号化
JP2012226819A (ja) * 2011-04-21 2012-11-15 Sk Hynix Inc 不揮発性メモリ装置及びそのプログラム方法
JP2018025587A (ja) * 2016-08-08 2018-02-15 株式会社日立製作所 秘匿演算技術およびその方法
CN109636553A (zh) * 2018-11-13 2019-04-16 平安科技(深圳)有限公司 凭证管理方法、装置、计算机设备及存储介质
CN114978603A (zh) * 2022-04-25 2022-08-30 福建师范大学 一种具有接收判定能力的数据合并传输方法及其系统

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005033990A1 (ja) * 2003-09-30 2005-04-14 Melodies & Memories Global Limited コンテンツ利用制御プログラム、コンテンツ利用制御方法およびコンテンツ利用制御装置
JPWO2005033990A1 (ja) * 2003-09-30 2006-12-14 株式会社メロディーズアンドメモリーズグローバル コンテンツ利用制御プログラム、コンテンツ利用制御方法およびコンテンツ利用制御装置
JP2008293018A (ja) * 2007-05-22 2008-12-04 Harris Corp 引き起こされた非位取り誤りによる暗号化
JP2012226819A (ja) * 2011-04-21 2012-11-15 Sk Hynix Inc 不揮発性メモリ装置及びそのプログラム方法
JP2018025587A (ja) * 2016-08-08 2018-02-15 株式会社日立製作所 秘匿演算技術およびその方法
CN109636553A (zh) * 2018-11-13 2019-04-16 平安科技(深圳)有限公司 凭证管理方法、装置、计算机设备及存储介质
CN109636553B (zh) * 2018-11-13 2024-05-07 平安科技(深圳)有限公司 凭证管理方法、装置、计算机设备及存储介质
CN114978603A (zh) * 2022-04-25 2022-08-30 福建师范大学 一种具有接收判定能力的数据合并传输方法及其系统
CN114978603B (zh) * 2022-04-25 2023-12-29 福建师范大学 一种具有接收判定能力的数据合并传输方法及其系统

Also Published As

Publication number Publication date
JP3041293B2 (ja) 2000-05-15

Similar Documents

Publication Publication Date Title
EP0946018B1 (en) Scheme for fast realization of a decryption or an authentication
Nyberg et al. Message recovery for signature schemes based on the discrete logarithm problem
EP0997016B1 (en) Method and apparatus for fast elliptical encryption with direct embedding
US6697488B1 (en) Practical non-malleable public-key cryptosystem
US11075748B2 (en) Encryption for low-end devices through computation offloading
Galla et al. Implementation of RSA
Heninger RSA, DH, and DSA in the Wild
CN111262709B (zh) 基于陷门哈希函数的无证书签密系统及方法
US20050021973A1 (en) Cryptographic method and apparatus
US6337909B1 (en) Generation of session keys for El Gamal-like protocols from low hamming weight integers
JP3041293B2 (ja) 暗号化方法、復号化方法、認証方法、暗号化装置、復号化装置、認証装置、認証文送信者装置、認証文受信者装置、暗号通信システム及び認証システム
US20040208317A1 (en) Encrypting device, decrypting device, cryptosystem including the same devices, encrypting method, and decrypting method
JP3694242B2 (ja) 署名付き暗号通信方法及びその装置
JP2617091B2 (ja) 暗号通信システム
JPH07118709B2 (ja) 秘密情報通信方式
JP3278790B2 (ja) 公開鍵暗号方法及び公開鍵暗号システム
Shepherd et al. The quadratic residue cipher and some notes on implementation
EP0854603B1 (en) Generation of session parameters for el gamal-like protocols
Gandhi et al. Enhanced RSA Cryptosystem: A Secure and Nimble Approach
Rama et al. RSA public key cryptosystem using modular multiplication
KR100679627B1 (ko) 암복호화방법
Daniel et al. An Efficient Forward Secure Authenticated Encryption Scheme with Ciphertext Authentication Based on Two Hard Problems
JP3518671B2 (ja) 暗号通信方法
JPH08251155A (ja) 暗号装置および復号化装置および暗号・復号化装置および暗号システム
Darwish et al. New hybrid cryptosystem for internet applications

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080303

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090303

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090303

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100303

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110303

Year of fee payment: 11

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110303

Year of fee payment: 11

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120303

Year of fee payment: 12

LAPS Cancellation because of no payment of annual fees