JP2000165374A - ユーザー装置への秘密の固有情報の配送方法、暗号送信装置、暗号受信装置 - Google Patents

ユーザー装置への秘密の固有情報の配送方法、暗号送信装置、暗号受信装置

Info

Publication number
JP2000165374A
JP2000165374A JP10339258A JP33925898A JP2000165374A JP 2000165374 A JP2000165374 A JP 2000165374A JP 10339258 A JP10339258 A JP 10339258A JP 33925898 A JP33925898 A JP 33925898A JP 2000165374 A JP2000165374 A JP 2000165374A
Authority
JP
Japan
Prior art keywords
information
exponent
secret
public
power
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP10339258A
Other languages
English (en)
Inventor
Hatsuichi Tanaka
初一 田中
Toru Inoue
井上  徹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KODO IDO TSUSHIN SECURITY GIJU
Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd
Original Assignee
KODO IDO TSUSHIN SECURITY GIJU
Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KODO IDO TSUSHIN SECURITY GIJU, Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd filed Critical KODO IDO TSUSHIN SECURITY GIJU
Priority to JP10339258A priority Critical patent/JP2000165374A/ja
Publication of JP2000165374A publication Critical patent/JP2000165374A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 秘密に保持するデータが少なく秘密保持が容
易であり、メモリー容量も少なくてすむ、ユーザー装置
への秘密の固有情報の配送方法を提供する。 【解決手段】 センター1と各ユーザーA2,B3,
・・・間、および、各ユーザーA2,B3・・・間の通
信をするネットワークが構成されている。各ユーザーA
2,B3,C4・・・は、固有のID情報を、センター
1へ登録すると同時に公開する。センター1は、各ユー
ザー固有のID情報に対応する第1および第2の秘密の
固有情報eφ,sφを計算するアルゴリズムを用いて、
配送用の秘密の固有情報dφ(φ=A,B,C・・・)
を計算して、十分安全な通信路あるいはICカードへ入
れて各ユーザーA2,B3,C4へ配送する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、暗号システム、鍵
共有システム、証明通信システム、ディジタル署名シス
テム等において、センターがあらかじめ複数のユーザー
に、初期値として各ユーザーに固有の秘密の固有情報を
配送しておくことにより、統一的にシステムを管理する
技術に関するものである。一例として、暗号通信システ
ムでは、各ユーザーが、例えば、共有鍵を持ち、メッセ
ージを平文として暗号化して送信し、受信側で同一の共
有鍵によって復号して安全な通信を行うことができる。
ここでユーザーとは、情報をやり取りする主体を示し、
通信装置、通信端末、機械、計算機などの装置である。
CPUおよびメモリー等を内蔵するメモリーカード、チ
ップカード等のICカードを含む。メッセージとは、テ
キスト,音声,画像,プログラムリストなどのデータで
ある。
【0002】
【従来の技術】統一的な暗号方式の一つとして、従来よ
り公開鍵暗号方式が知られている。その一例として、R
SA暗号方式がある。P,Qを2つの大きな素数とし、
N=PQとする。すると、Nのカーマイケル関数(Carm
ichael function)は、L=lcm{P−1,Q−1}で与
えられる。ここでlcmは最小公倍数を表す。eをLと互
いに素な正数とし、eの逆元としてdをd=e-1(mod
L)として定義する。ここでメッセージブロックMが
与えられたとして、暗号化と復号が次のように実行され
る。 暗号化 C=Me (mod N) 復号 M=Cd (mod N)
【0003】また、公開鍵暗号方式の別の一例として、
エルガマル(ElGamal)の公開鍵暗号方式がある。Pを
大きな素数とし、gをガロア体GF(P)の原始元と
し、Pとgは公開する。ユーザーAがユーザーBに対し
てメッセージMの暗号Cを送りたいとする。まず、Bは
Bの秘密の固有情報sB(sBは1≦sB≦P−2)なる
乱数を選び、次式のhを公開鍵として公開する。
【数1】
【0004】それからユーザーAは、乱数r(rは0≦
r≦P−2)を発生し、メッセージMを暗号化して暗号
C=(C1,C2)を得る。ここで、
【数2】 であり、この暗号文CをユーザーBへ送信する。
【0005】最終的にC=(C1,C2)を受信したユー
ザーBは、Bの秘密の固有情報sBを使って、以下のよ
うに、メッセージMを復号する。
【数3】
【0006】上述した「公開鍵暗号方式」では、暗号化
鍵と復号化鍵とが異なっており、暗号化鍵から復号化鍵
を容易に求められない特徴がある。暗号化鍵は、公開鍵
として公開されたファイルなどに登録されており、通信
の際に、相手の公開鍵を利用して暗号をかけて通信する
ことができる。この方式は、公開ファイルを参照すれ
ば、どのユーザーとも暗号化鍵の共有が可能である。し
かしながら公開ファイルに対する管理が必要である。
【0007】これに対し、いわゆる「IDベース暗号シ
ステム」という鍵配送方式があり、通信相手のID情報
(住所や生年月日、電子メールアドレス、顔写真、指紋
など、ユーザーの固定情報)を用いるだけで、公開ファ
イルを参照することなく暗号鍵を共有する方式がある。
この方式の一例が、例えば、特開昭63―36634
「暗号鍵共有方式並びに同方式用装置」として知られて
いる。
【0008】図8は、従来のIDベース暗号システムの
説明図である。図中、1はセンター、2はユーザーA、
3はユーザーB、4はユーザーCである。まず、センタ
ー1は、センターのアルゴリズムGを生成し、秘密に保
つ。ネットワーク内のユーザーA2,ユーザーB3,ユ
ーザーC4,・・・のID情報を、それぞれ、yA
B,yCとする。センター1は、ユーザーの秘密のアル
ゴリズムXA,XB,XCを、XA=G(yA),XB=G
(yB),XC=G(yC)のように、センター1のアル
ゴリズムGとID情報とを用いて生成する。すなわち、
AはAだけに、XBはBだけにというように、各ユーザ
ーA2,B3,C4,・・・に固有のユーザーアルゴリ
ズムXA,XB,XCを生成し、該当ユーザーへ配る。こ
のような準備を行った後、自分を除く各ユーザーの全て
のID情報yA,yB,yCを、自分のユーザーアルゴリ
ズムXA,XB,XCに入力して、共有の鍵k=X
A(yB,yC),XB(yA,yC),XC(yA,yB)を
得る方式である。各ユーザーはセンターからのユーザー
アルゴリズムを秘密に保管する。
【0009】この方式は、センター1においては、セン
ターアルゴリズムGを秘密に保持しなければならない。
一方、各ユーザーA2,B3,C4は、各ユーザーに固
有のアルゴリズムXA,XB,XCを秘密に保持しなけれ
ばならないという不便がある。また、一般に結託しきい
値が存在し、何人かのユーザーが結託するとシステムの
秘密が明らかになり、暗号通信が役に立たなくなる。ま
た、センターが各ユーザー専用のアルゴリズムを秘密に
保持しなければならないので、秘匿しておくべきデータ
量を記憶するためのメモリー容量が大きくなるという問
題もある。
【0010】次に、従来の署名システムおよび認証シス
テムについて説明する。従来の署名システムとしては、
上述したRSA暗号方式,エルガマル暗号方式などを適
用した署名が知られている。また、従来の認証システム
としては、メッセージ認証とユーザー認証がある。メッ
セージ認証には、認証子を用いる方法が用いられてい
る。証明者(prover)は、認証子(メッセージオーセン
ティケーションコード、MACとも呼ばれる)を作成
し、これをメッセージとともに送信する。検証者(veri
fier)は、それを受けてメッセージから認証子を作成
し、これが送られてきた認証子と一致するかどうかでメ
ッセージが改竄されてないかどうかを確かめる。認証子
を作成するには、一般的に、秘密鍵をパラメータとする
ハッシュ関数を使う。送信側と受信側とで鍵を共有し、
鍵を知らなければメッセージに対する認証子が作れな
い。このように、署名方法、認証方法について種々のも
のが従来より知られているが、上述したIDベース暗号
システムと共通性のあるものがなかった。
【0011】
【発明が解決しようとする課題】本発明は、上述した問
題点を解決するためになされたもので、アルゴリズムを
公開してもよいため、秘密に保持するデータが少なくな
り、秘密保持が容易であり、データを保持するメモリー
容量も少なくてすむ、ユーザー装置への秘密の固有情報
の配送方法を提供することを目的とするものである。
【0012】この秘密の固有情報は、暗号システムのみ
ならず、鍵共有システム、認証システム、ディジタル署
名システムにも幅広く適用できる。本発明は、また、こ
の秘密の固有情報を用いた、暗号システム、鍵共有シス
テム、認証システム、ディジタル署名システムのユーザ
ー装置を提供することを目的とするものである。
【0013】
【課題を解決するための手段】本発明は、請求項1に記
載の発明においては、ユーザー装置への秘密の固有情報
の配送方法において、メッセージを送受信する複数のユ
ーザー装置の前記各ユーザー装置のそれぞれに対し、セ
ンター装置において、第1および第2の秘密の固有情報
が割り当てられ、前記第1の秘密の固有情報を有する羃
指数としたガロア体GF(P)の原始元gの羃に基づい
た第1の公開情報、および、前記第2の秘密の固有情報
を有する羃指数とした前記原始元gの羃に基づいた第2
の公開情報を、前記複数のユーザー装置に対して公開状
態にするとともに、前記第1の秘密の固有情報および前
記第2の秘密の固有情報が割り当てられた前記各ユーザ
ー装置に対し、前記センター装置から、前記第2の公開
情報の前記羃指数を前記第1の公開情報の前記羃指数で
除算した値に等しくなる値を配送用の秘密の固有情報と
して、あらかじめ配送するものである。したがって、第
1,第2の秘密の固有情報が、全てのユーザー装置に対
する第1,2の公開情報と、この固有情報に対応するユ
ーザー装置のみに対する配送用の秘密の固有情報とし
て、実質的に配送されるため、配送が簡単である。ま
た、第1,第2の秘密の固有情報が、そのまま直接には
各ユーザー装置に提供されないため、秘密保持の安全性
が高い。アルゴリズムを公開してもよいため、秘密に保
持するデータが少なくなり、秘密保持が容易であり、デ
ータを保持するメモリー容量も少なくてすむ。
【0014】請求項2に記載の発明においては、請求項
1に記載のユーザー装置への秘密の固有情報の配送方法
において、Pを第1の素数、p,qを第2,第3の素数
としてP=2pq+1とし、前記第1の公開情報の前記
羃指数は、前記第1の秘密の固有情報にpまたは−pを
乗算したmod(P−1)の演算値であり、前記第2の
公開情報の前記羃指数は、前記第2の秘密の固有情報に
pを乗算したmod(P−1)の演算値であり、前記配
送用の秘密の固有情報は、前記第2の秘密の固有情報を
前記第1の秘密の固有情報で除算した値に、前記第3の
素数qに前記各ユーザー装置に割り当てられた秘密の乱
数の2倍を加算したmod(P−1)の演算値である。
したがって、各ユーザー装置に割り当てられた秘密の乱
数を用いることによって未知数が1つ増え、攻撃に強く
なる。
【0015】請求項3に記載の発明においては、請求項
1または2に記載のユーザー装置への秘密の固有情報の
配送方法において、前記複数のユーザー装置に対し、前
記センター装置において、前記複数のユーザー装置に共
通の第1および第2の秘密ベクトルが割り当てられ、前
記複数のユーザー装置の公開された固有情報および公開
された2つの関数に基づいて、それぞれ、第1および第
2のIDベクトルが作成され、前記第1の秘密の固有情
報は、前記第1の秘密ベクトルと前記ユーザー装置の第
1のIDベクトルとの内積に基づいたものであり、前記
第2の秘密の固有情報は、前記第2の秘密ベクトルと前
記ユーザー装置の第2のIDベクトルの内積に基づいた
ものである。したがって、各ユーザー装置の公開された
固有情報によるIDベクトルとセンター装置の秘密ベク
トルに基づいて各ユーザー装置の秘密の固有情報を作成
するため、アルゴリズムが簡単である。また、公開鍵の
ファイル管理のような管理の煩わしさを軽減することが
できる。
【0016】請求項4に記載の発明においては、請求項
3に記載のユーザー装置への秘密の固有情報の配送方法
において、前記第1の秘密ベクトルは、0<xi<(p
/m)1/2なる奇数のm個の奇数化された乱数の要素xi
からなる、X={x0,x1,…,xm-1}であり、前記
第2の秘密ベクトルは、0<yi<Pなるn個の乱数の
要素yiからなるY={y0,y1,…,yn-1}であり、
前記第1のIDベクトルは、ユーザー装置φの前記公開
された固有情報IDφをハッシュ関数fに入力して作成
された、α<(p/m)1/2なるα進数で表わされるm
個の奇数化された要素φi (f)からなる、f(IDφ)=
(φ0 (f),φ1 (f),・・・φm-1 (f))であり、前記第2
のIDベクトルは、ユーザー装置φの前記公開された固
有情報ID φをハッシュ関数hに入力して作成された、
q進数で表わされるn個の要素φi ( h)からなるh(ID
φ)=(φ0 (h),φ1 (h),・・・φn-1 (h))である。し
たがって、請求項3に記載のユーザー装置への秘密の固
有情報の配送方法を容易に実施することができる。
【0017】請求項5に記載の発明においては、暗号受
信装置に、第1および第2の秘密の固有情報が割り当て
られ、前記第1の秘密の固有情報を有する羃指数とした
ガロア体GF(P)の原始元gの羃に基づいた第1の公
開情報、および、前記第2の秘密の固有情報を有する羃
指数とした前記原始元gの羃に基づいた第2の公開情報
が公開状態にあり、前記第2の公開情報の前記羃指数を
前記第1の公開情報の前記羃指数で除算した値に等しく
なる値が、配送用の秘密の固有情報として前記暗号受信
装置にあらかじめ配送されており、暗号送信装置から前
記暗号受信装置に暗号文を送信する暗号システムにおけ
る前記暗号送信装置であって、乱数を羃指数とした前記
第1の公開情報の羃に基づいた第1の送信情報、およ
び、前記乱数を羃指数とした前記第2の公開情報の羃に
メッセージを乗算した第2の送信情報を計算し、前記第
1の送信情報および前記第2の送信情報を送信するもの
である。また、請求項6に記載の発明においては、請求
項4に記載の発明と同じ暗号システムにおける前記暗号
受信装置であって、第1の送信情報、および、第2の送
信情報を受信し、前記配送用の秘密の固有情報を羃指数
とした前記第1の送信情報の羃と、前記第2の送信情報
とに基づいて前記メッセージを復号するものである。し
たがって、請求項5に記載の暗号送信装置においては、
第1,2の公開情報を用いるだけであるので、秘密に保
持しなければならない情報がない。乱数は、任意に変更
できる。また、請求項6に記載の暗号受信装置において
は、配送用の秘密の固有情報を用いるだけで、第1,第
2の秘密の固有情報を直接には必要としないので、秘密
保持の安全性が高い。
【0018】請求項7に記載の発明においては、共有鍵
受信装置に、第1および第2の秘密の固有情報が割り当
てられ、前記第1の秘密の固有情報を有する羃指数とし
たガロア体GF(P)の原始元gの羃に基づいた第1の
公開情報、および、前記第2の秘密の固有情報を有する
羃指数とした前記原始元gの羃に基づいた第2の公開情
報が公開状態にあり、前記第2の公開情報の前記羃指数
を前記第1の公開情報の前記羃指数で除算した値に等し
くなる値が、配送用の秘密の固有情報として、前記共有
鍵受信装置にあらかじめ配送されており、共有鍵送信装
置から前記共有鍵受信装置に共有鍵を送信する鍵共有シ
ステムにおける前記共有鍵送信装置であって、乱数を羃
指数とした前記第1の公開情報の羃に基づいた第1の送
信情報、および、前記乱数を羃指数とした前記第2の公
開情報の羃に共有鍵を乗算した第2の送信情報を計算
し、前記第1の送信情報および前記第2の送信情報を送
信するものである。また、請求項8に記載の発明におい
ては、前記請求項7に記載の発明と同じ鍵級友システム
における前記共有鍵受信装置であって、第1の送信情
報、および、第2の送信情報を受信し、前記配送用の秘
密の固有情報を羃指数とした前記第1の送信情報の羃
と、前記第2の送信情報とに基づいて前記共有鍵を復元
するものである。したがって、請求項7に記載の共有鍵
送信装置においては、第1,2の公開情報を用いるだけ
であるので、秘密に保持しなければならない情報がな
い。乱数は、任意に変更できる。また、請求項8に記載
の共有鍵受信装置においては、配送用の秘密の固有情報
を用いるだけで、第1,第2の秘密の固有情報を直接に
は必要としないため、秘密保持の安全性が高い。
【0019】請求項9に記載の発明においては、共有鍵
受信装置に、第1および第2の秘密の固有情報が割り当
てられ、前記第1の秘密の固有情報を有する羃指数とし
たガロア体GF(P)の原始元gの羃に基づいた第1の
公開情報、および、前記第2の秘密の固有情報を有する
羃指数とした前記原始元gの羃に基づいた第2の公開情
報が公開状態にあり、前記第2の公開情報の前記羃指数
を前記第1の公開情報の前記羃指数で除算した値に等し
くなる値が、配送用の秘密の固有情報として、前記共有
鍵受信装置にあらかじめ配送されており、共有鍵送信装
置から前記共有鍵受信装置に共有鍵を送信する鍵共有シ
ステムにおける前記共有鍵送信装置であって、乱数を羃
指数とした前記第1の公開情報の羃を計算し、前記共有
鍵として格納するとともに、前記乱数を負の羃指数とし
た前記第2の公開情報の羃を計算して、送信情報とし、
該送信情報を前記共有鍵受信装置に送信するものであ
る。また、請求項11に記載の発明においては、請求項
9に記載の発明と同じ鍵共有システムにおける共有鍵受
信装置であって、送信情報を受信し、前記配送用の秘密
の固有情報を羃指数とした前記送信情報に基づいて前記
共有鍵を復元するものである。したがって、請求項9に
記載の共有鍵送信装置においては、第1,2の公開情報
を用いるだけであるので、秘密に保持しなければならな
い情報がない。乱数は、任意に変更できる。また、請求
項11に記載の共有鍵受信装置においては、配送用の秘
密の固有情報を用いるだけで、第1,第2の秘密の固有
情報を直接には必要としないため、秘密保持の安全性が
高い。
【0020】請求項10に記載の発明においては、請求
項7または9に記載の共有鍵送信装置において、前記共
有鍵を用いて平文を暗号文に変換するとともに、前記共
有鍵を最初に送信した後、前記暗号文を送信するまでの
間にダミー情報を送信するものである。したがって、共
有鍵受信装置においては、即時性を要求するシステム等
において、先頭の鍵情報の部分を受け取って共有鍵を計
算し終わったときに暗号文を受け取ることができる。
【0021】請求項12に記載の発明においては、証明
ユーザー装置に、第1および第2の秘密の固有情報が割
り当てられ、前記第1の秘密の固有情報を有する羃指数
としたガロア体GF(P)の原始元gの羃に基づいた第
1の公開情報、および、前記第2の秘密の固有情報を有
する羃指数とした前記原始元gの羃に基づいた第2の公
開情報が公開状態にあり、前記第2の公開情報の前記羃
指数を前記第1の公開情報の前記羃指数で除算した値に
等しくなる値が、配送用の秘密の固有情報として、前記
証明ユーザー装置にあらかじめ配送されており、前記証
明ユーザー装置から検証ユーザー装置に前記証明ユーザ
ー装置の公開された固有情報を第1の送信情報として送
信することにより、前記検証ユーザー装置が前記証明ユ
ーザー装置の認証を行う3パスの零知識証明システムに
おける前記証明ユーザー装置であって、前記証明ユーザ
ー装置の公開された固有情報を送信した後に、返送情報
を受信し、前記配送用の秘密の固有情報を羃指数とした
前記返送情報の羃に基づいた第2の送信情報を計算し、
該第2の送信情報を前記検証ユーザー装置に送信するも
のである。また、請求項13に記載の発明においては、
請求項12に記載の発明と同じ3パスの零知識証明シス
テムにおける前記検証ユーザー装置であって、乱数を羃
指数とした前記第1の公開情報の羃に基づいた返送情
報、および、前記乱数を羃指数とした前記第2の公開情
報の羃に基づいた検証情報を計算し、前記返送情報を送
信し、第2の受信情報を前記検証情報に基づいて検証す
ることにより、前記証明ユーザー装置の認証を行うもの
である。したがって、請求項12に記載の証明ユーザー
装置においては、配送用の秘密の固有情報を用いるだけ
で、第1,第2の秘密の固有情報を直接には必要としな
いため、秘密保持の安全性が高い。また、請求項13に
記載の検証ユーザー装置においては、第1,2の公開情
報を用い、秘密に保持しなければならない情報がない。
乱数は、任意に変更できる。
【0022】請求項14に記載の発明においては、ディ
ジタル署名ユーザー装置に、第1および第2の秘密の固
有情報が割り当てられ、前記第1の秘密の固有情報を有
する羃指数としたガロア体GF(P)の原始元gの羃に
基づいた第1の公開情報、および、前記第2の秘密の固
有情報を有する羃指数とした前記原始元gの羃に基づい
た第2の公開情報が公開状態にあり、前記第2の公開情
報の前記羃指数を前記第1の公開情報の前記羃指数で除
算した値に等しくなる値が、配送用の秘密の固有情報と
してあらかじめ配送されており、前記ディジタル署名ユ
ーザー装置からディジタル署名検証ユーザー装置にディ
ジタル署名付きメッセージを送信するディジタル署名シ
ステムにおける前記ディジタル署名ユーザー装置であっ
て、乱数と前記配送用の秘密の固有情報との積に基づい
た第1の送信情報と、前記乱数を羃指数とした前記第2
の公開情報の羃に、前記メッセージがハッシュ関数を用
いて圧縮された圧縮情報が乗算された第2の送信情報と
を、前記メッセージとともに、前記ディジタル署名検証
ユーザー装置に送信するものである。また、請求項15
に記載の発明においては、請求項14に記載の発明と同
じディジタル署名システムにおける前記ディジタル署名
検証ユーザー装置であって、受信された第1の送信情報
を羃指数とした前記第1の公開情報と第2の送信情報と
に基づいて検証式を計算し、該検証式が受信された前記
メッセージをハッシュ関数で圧縮された値になるとき
に、前記メッセージが前記ディジタル署名ユーザー装置
によって送信されたことを検証するものである。したが
って、請求項14に記載のディジタル署名ユーザー装置
においては、第2の公開情報と配送用の秘密の固有情報
を用いるだけで、第1,第2の秘密の固有情報を直接に
は必要としないため、秘密保持の安全性が高い。乱数
は、任意に変更できる。また、請求項15に記載のディ
ジタル署名検証ユーザー装置においては、第1の公開情
報を用いるだけであるので、秘密に保持しなければなら
ない情報がない。
【0023】
【発明の実施の形態】図1は、本発明のユーザー装置へ
の秘密の固有情報の配送方法の実施の一形態の説明図で
ある。この図は、センター1の準備フェーズを示す図で
ある。センター1と各ユーザーA2,B3,・・・間、
および、各ユーザーA2,B3・・・間の通信をするネ
ットワークが構成されている。各ユーザーA2,B3,
C4・・・は、固有のID情報、例えば住所、生年月
日、電子メールアドレス等のID情報を、センター1へ
登録すると同時に公開し、他のユーザーA2,B3,・
・・C4も通信時に利用できるようにする。
【0024】センター1は、各ユーザー固有のID情報
に対応する第1および第2の秘密の固有情報eφ,sφ
を計算するアルゴリズムを用いて、配送用の秘密の固有
情報dφ(φはユーザーを表わす。すなわち、φ=A,
B,C,・・・)を計算して、十分安全な通信路あるい
はICカードへ入れて各ユーザーA2,B3,C4へ配
送する。各ユーザーは、配送された配送用の秘密の固有
情報dA,dB,dC,・・・をそれぞれのメモリーに格
納する。まず、センター1の基礎的なアルゴリズムを説
明した上で、センター1が各ユーザーA2,B3・・・
用の、データdφを計算する手順を説明する。
【0025】PをP=2pq+1なる大きな素数とす
る。ここで、p,q(p<q)は素数である。gは、ガ
ロア体GF(P)における原始元とする。Xを、X=
{x0,x1,…,xm-1}なる集合とする。ただし、m
は奇数とする。xiは、
【数4】 なる乱数とする。もし、xiが偶数なら、1を加算して
奇数に修正しておく。Yを、Y={y0,y1,…,y
n-1}なる集合とする。ただし、yiは、0<y i<Pな
る任意の乱数とする。
【0026】次に、ユーザーのID情報を変形するため
の、第1の一方向性ハッシュ関数f(IDφ)を導入す
る。
【数5】 ここで、αは正整数である。上式において、ベクトル表
現の各要素は、例えばα進数で表した各桁となってい
る。もし、φi (f)が偶数なら、1を加算して奇数に修正
しておく。これをここでは、奇数化とよぶ。
【0027】次に、ユーザーのID情報を変形するため
の、第2の一方向性ハッシュ関数hを導入する。
【数6】 次に、乱数Xの各要素xiを原始元gの指数とする次の
式を導入する。
【数7】
【0028】上述したgf(i)を要素とする集合を次
のように表現する。 Gf={gf(i):0≦i≦m―1}
【0029】同様に、乱数Yの各要素yiを原始元gの
指数とする次の方程式を計算する。
【数8】 上述したgh(j)を要素とする集合を次のように表現
する。 Gh={gh(j):0≦j≦n−1}
【0030】さらに、第1の一方向性ハッシュ関数fと
集合Gfの各要素とに基づいて、次式の第1の秘密の固
有情報を生成する。
【数9】 なお、eφがp未満となる理由は、xiφi<(p/m)
であり、元の数がmであるからである。また、eφが奇
数となるのは、φi (f),xiとも奇数で、かつ、mも奇
数であるからである。
【0031】同様に、第2の一方向性ハッシュ関数hと
集合Ghの各要素とに基づいて、次式の第2の秘密の固
有情報を生成する。
【0032】
【数10】 また、上述した2つの秘密の固有情報eφ,sφから、
次の配送用の秘密の固有情報dφを生成する。 dφ=eφ -1・sφ+2q・rφ (mod P−1) ここで、eφ -1は常に存在する。なぜならeφはpより
小さい奇数であり、かつ、eφのmodulusは、P−1=
2pq (p<q)、すなわち、偶数であるから、0に
ならない。なお、rφの値に特に制約はないが、d
φは、mod Pの演算をするため、r φについても、も
ともとrφ<P−1としておけば、一意に決まるから演
算上好ましい。センター1は、どのrφをどのユーザー
φのdφに用いたかを特定できるようにしている。この
φは、乱数を用いて、かつ、ユーザーφごとに異なら
せた方が無難である。しかし、必ずしもユーザφごとに
異なる値とする必要はない。
【0033】最終的に信頼できるセンター1は、{P,
f,h,m,n,α,Gf,Gh,IDφ(φ=A、B、
C、…)}を公開し、dφをユーザーφに十分安全な通
信路またはICカードに入れて、各ユーザーA2,B
3,C4へ配送する。各ユーザーは、配送された鍵
A,dB,dC,・・・をそれぞれのメモリーに格納す
る。ユーザーの鍵を求めるアルゴリズムGf,Ghは、ユ
ーザーに共通であり、かつ、このアルゴリズムは公開し
ても安全性に影響がない。第1の秘密の固有情報eφ
および、第2の秘密の固有情報sφを保持していても良
いが、最小限保持する必要があるのは、乱数の値X,Y
の組だけですむ。したがって、設計ならびに秘密を保持
するメモリー領域を大幅に減らすことが可能である。各
ユーザーφ(φ=A,B,C,・・・)においては、上
述した公開情報に基づいて、後述する第1の公開情報g
φfおよび第2の公開情報gφhを作成する。各ユーザー
φは、これら第1,第2の公開情報gφf,gφh、およ
び、配送用の秘密の固有情報を用いて、暗号システム、
鍵共有システム,3パスプロトコルの零知識証明を用い
た認証システム、ディジタル署名システムを構築するこ
とができる。以下、各システムについて説明する。な
お、第1,第2の公開情報gφf,gφhについては、各
ユーザーφにおいて、他の公開情報に基づいて、所望の
ユーザの第1,第2の公開情報gφf,gφhを計算す
る。しかし、これらをセンターにおいて計算しておき、
第1,第2の公開情報gφf,gφh自体を直接的に公開
することもできる。
【0034】図2は、本発明の暗号送信装置および暗号
受信装置を説明するための暗号システムのブロック図で
ある。ユーザーA2が平文(メッセージ)M(Mは0<
M<Pなる整数とする)をユーザーB3へ安全に送信す
る場合を示す。まず、ユーザーA2の側について説明す
る。ユーザーB3の公開ID情報IDBを、公開された
一方向性関数f(ID φ)によって変形して、IDベク
トルvB (f)=f(IDB)とする。各要素を、秘密の乱
数Xに由来する公開情報Gfの各要素の指数としたも
の、の乗積を計算することにより、第1の公開情報(公
開鍵)gBfを計算する。
【0035】計算結果は、第1の秘密の固有情報e
φ(φ=B)に(−1)を乗算した−e Bを原始元gの
指数とした値になっている。
【数11】 同様に、ユーザーB3の公開ID情報IDBを公開され
た一方向性関数h(IDφ)によって変形して、IDベ
クトルvB (h)=h(IDB)とする。各要素を秘密の乱
数Yに由来する公開情報Ghの各要素の指数としたもの
の乗積を計算することによって、第2の公開情報(公開
鍵)gBhを計算する。計算結果は、第2の秘密の固有情
報sφ(φ=B)を原始元gの指数とした値になってい
る。
【数12】 それから、ユーザーA2は、上述した公開鍵gBf,gBh
を安全に伝送するために、乱数rを発生して、rを
Bf,gBhの指数とする次のC1,C2の2式を計算す
る。ただし、C2には平文Mが乗算される。なお、この
乱数rは、ユーザA2が決める値であって、先に説明し
た、センター1から配送される配送用の秘密の固有情報
φ中の乱数rφとは、独立した乱数である。
【数13】 ユーザーA2は、暗号文C=(C1,C2)を得て、Cを
ユーザーB3へ送信する。
【0036】次に、ユーザーB3の側について説明す
る。暗号文Cを受け取ったユーザーB3は、図1を参照
して説明したセンター1の準備フェーズにおいて、セン
ター1からユーザーB3に、安全な伝送路によって送ら
れた配送用の秘密の固有情報d Bを使って、次式のよう
に平文Mを復号する。
【数14】
【0037】なお、指数部においては、mod(P−1)
の演算を行う。−(P−1)reB Bにmod(P−1)
の演算をすると0になることから、右辺がMとなる。し
たがって、配送用の秘密の固有情報dφの dφ=eφ -1・sφ+2q・rφ の右辺第2項のユーザーφの乱数rφは、上述した演算
過程において、第1の秘密の固有情報eφ,第2の秘密
の固有情報sφのキャンセルとともに、消失してしま
う。その結果、マスクされた平文Mが復号される。
【0038】上述した説明から明らかなように、本発明
は、どのユーザーφ(φ=A,B,C,・・・)も、そ
の公開情報(公開鍵)gBf,gBhを、センター1の秘密
の乱数X,Yに由来する公開情報Gf,Gh、および、送
信先のユーザーφのID情報に基づくIDベクトルvφ
(f)=f(IDφ),vφ (h)=h(IDφ)によって与
えられ、この公開鍵gφf=g-p×eφ,gφh=g
p×sφを使って、平文Mから暗号文C=(C1,C2)を
生成して送信することができる。この暗号文Cを受信し
たユーザーφ(φ=A,B,C,・・・)は、センター
1から安全に配送された配送用の秘密の固有情報(秘密
鍵)dφを、dφ=eφ -1・sφ+2q・rφ (mod
P−1)として与えられることに特徴がある。
【0039】図3は、本発明の共有鍵送信装置および共
有鍵受信装置を説明するための予備通信不要(Non-inte
ractive)な鍵共有(タイプ1)システムの説明図であ
る。図2を参照して説明した暗号システムにおいて、平
文Mの代わりに、ユーザーA2からKABなる鍵を送信す
ることにより、ユーザーB3は、鍵KABを復号する。そ
の結果、ユーザーA2とユーザーB3との間で、鍵KAB
を共有することができる。この鍵共有(タイプ1)方式
では、ユーザーAは共有鍵KABの値を任意に決めること
ができる。ここで共有鍵とは、ユーザーA2、ユーザー
B3間で共有したい鍵をいい、鍵自体は共通鍵、公開鍵
を問わない。すなわち、DES暗号などの共通鍵方式の
時は共通鍵を、RSA暗号などの公開鍵方式のときは秘
密鍵(公開鍵は公開ファイルによってすでに共有されて
いると考えられる)を意味する。
【0040】図4は、本発明の共有鍵受信装置および共
有鍵送信装置を説明するための予備通信不要(Non-inte
ractive)な鍵共有(タイプ2)システムの説明図であ
る。共有鍵を任意に決める必要がないときに、図3に示
した鍵共有(タイプ1)よりも簡単になる。ユーザーA
2の側において、ユーザーB3の公開情報(公開鍵)gBf
=g-p×eB(mod P)およびgBh=gp×sB(mod
P)(mod P)を、図2の暗号システムと同様に、公開
情報GfとGhと、ユーザーB3のIDベクトルvB (f)
B (h)より計算する。それからユーザーA2は、乱数r
を発生し、次式を計算する。 KAB=gBh r=gp×r×sB (mod P)
【0041】共有鍵KABの情報を含んだ鍵情報Sは、B
の公開鍵gBf=g-p×eB(mod P)の(―r)乗の冪
で与えられる。すなわち、 S=gBf -r=gp×r×eB (mod P) そして、鍵情報SをユーザーB3に送信する。すなわ
ち、ユーザーA2は、ユーザーB3のID情報であるI
Bを、公開ファイルより得て共通鍵KABを作成する。
ユーザーA2は、共有鍵作成のためのパラメータSと、
ユーザーB3へ送信する平文を共通鍵KABを用いて既に
暗号化した暗号文とを、ともに送信する。
【0042】ユーザーBにおいては、鍵情報Sを受け取
る。この鍵情報Sと、センター1から安全に配送された
ユーザーB3の配送用の秘密の固有情報dBとを使っ
て、簡単な計算で、ユーザーA2との共有鍵KABを得
る。すなわち、共有鍵KABは、伝送された鍵情報Sのd
B乗の冪によって与えられる。 SdB=(gp×r×eBdB (mod P) =gp×r×sB (mod P) =KAB すなわち、ユーザB3は、パラメータSにセンターから
配送された鍵dBを用いて共通鍵KABを計算し、この共
通鍵KABを用いて、ユーザーB3に送信された暗号文か
ら平文Mを復号する。
【0043】この鍵共有(タイプ1)システムおよび鍵
共有(タイプ2)システムにおいては、ユーザーA2
が、共有鍵KABの情報を含んだ鍵情報Sを先頭に配置
し、その後に、ユーザーB3との共有鍵となるはずの値
ABをあらかじめ計算して平文Mを暗号化した暗号文
を、同時に送信することができる。したがって、ユーザ
ーB3は、先頭部分より共有鍵KABを取り出して、この
鍵で暗号化された暗号文を平文Mに復号することにな
る。これは、電子メールのような蓄積系では容易に実現
できる。しかし、即時性を要求するシステム等では、先
頭の鍵情報Sの部分を受け取って共有鍵KABを計算する
までの遅延時間を考慮しなければならない。
【0044】図5は、鍵共有(タイプ1)システムおよ
び鍵共有(タイプ2)システムに用いる伝送フォーマッ
トの説明図である。鍵情報Sのデータと暗号文のデータ
との間に、共有鍵KABを計算する時間に相当するダミー
データを挿入することにより、共有鍵KABを計算する時
間だけ遅らせて暗号文を送信している。
【0045】図6は、本発明の証明ユーザー装置および
検証ユーザー装置を有する3パスプロトコルの零知識証
明を用いた認証システムの説明図である。ユーザーA2
を、秘密の情報を持っている証明者(Prover)とし、ユー
ザーB3を、検証者(verifier)とする。まず、ユーザ
ーA2は、ユーザー12のID情報IDAをユーザーB
3に送信する。ユーザーB3は、図5に示した暗号シス
テムと同様に、ユーザーA2の公開ID情報IDAを、
公開された一方向性関数f(IDφ)によって変形し
て、IDベクトルvA (f)=f(IDB)を計算する。各
要素を秘密の乱数Xに由来する公開情報Gfの各要素の
指数としたものの乗積を計算することにより、ユーザー
A2の第1の公開鍵gAf=g-peA (mod P)を計算
する。
【0046】また、ユーザーA2の公開ID情報IDA
を、公開された一方向性関数h(IDφ)によって変形
して、IDベクトルvA (h)=h(IDB)を計算する。
そして、秘密の乱数Yに由来する一般的な公開情報Gh
とから、 gAh=gpsA(mod P) を計算する。次に、乱数rを発生してユーザーA2は、
次式を計算する。 R=(g-p×eAr=g-p×r×eA (mod P) V=(gp×sAr=gp×r×sA (mod P)
【0047】ユーザーBは、情報RをユーザーAに送信
する。ユーザーAは、情報Rを受け取って、図1に示し
たセンター準備フェーズにおいてセンター1から安全に
配送されたAの配送用の秘密の固有情報dAを用いて次
式を計算する。 U=RdA=g-p×r×eA×dA=g-p×r×sA (mod
P) 次に、ユーザーA2は、情報UをユーザーB3に返信す
る。最終的に、ユーザーB3は、次式をチェックする。 U・V=1 (mod P)
【0048】もし、ユーザーA2が、配送用の秘密の固
有情報dAを保持する、正当なユーザーであるなら、次
式が満足される。 U・V=g-p×r×sA・gp×r×sA=1 (mod P) もしユーザA2が配送用の秘密の固有情報dAを持たな
い不正なユーザーであるなら、正しい情報U=g
-p×r×sA (mod P)を得ることができない。ゆえ
に、U・V=1 (mod P)が成立しない。すなわ
ち、ユーザー認証においては、ユーザーA2は通信相手
のユーザーB3に、自分のIDベクトル(IDA)を送
り、ユーザーB3は、それを基に2種類の式R,Vを作
り、その一つRをユーザーA2に返して秘密の情報(d
A=eA -1・sA+2q・rA)を操作(R)dAしてもら
い、返送してもらう。ユーザーB3は、チェック式U・
V=1をたてて検査を行う。
【0049】図7は、本発明のディジタル署名ユーザー
装置およびディジタル署名検証ユーザー装置を有するデ
ィジタル署名システムの説明図である。ユーザーA2が
ユーザーB3にディジタル署名付きメッセージMを送信
するとする。まず、大きなメッセージMのブロックを、
Pより小さなブロックmに、一方向性ハッシュ関数H
(M)=mを用いて圧縮する。この関数Hは公開情報と
する。P−1と互いに素な乱数rを導入して、検証式
は、次式のように定義される。 H(M)=u・vt (mod P) ここで、 t=r・dA (mod P−1) u=m・gp×r×sA (mod P) v=g-p×eA (mod P)である。ペアー
(t,u)がMのディジタル署名である。
【0050】メッセージブロックMに署名するアルゴリ
ズムは次のようになる。ユーザーA2は、公開ID情報
IDAを、公開された一方向性関数h(IDφ)によっ
て変形して、IDベクトルvA (h)=h(IDB)を計算
する。そして、秘密の乱数Yに由来する一般的な公開情
報Ghから、第2の公開情報(公開鍵)gAh=g
p×sA(mod P)を計算する。また、P−1と互いに素
なる乱数rを発生し、図4においてセンター1から安全
に配送されたユーザーAの配送用の秘密の固有情報d A
を用いて、メッセージMのディジタル署名(t,u)を
得るために、次式を計算する。 t=r・dA (mod P) u=H(M)・(gp×sAr=m・gp×r×sA (mod
P) 署名されたメッセージは、{M,(t,u)}となる。
【0051】このメッセージを受信したユーザーB3
は、ユーザーA2の公開ID情報ID Aを、公開された
一方向性関数f(IDφ)によって変形して、IDベク
トルvA (f)=f(IDA)とする。各要素を秘密の乱数
Xに由来する公開情報Gfの各要素の指数としたものの
乗積を計算することにより、ユーザーAの第1の公開情
報 (公開鍵) gAf=g-p×eA (mod P) を計算する。この第1の公開情報(公開鍵)を用いて、
情報v v=g-p×eA を求めて、そして次の検証式が満足されるかどうかチェ
ックする。
【0052】H(M)=u・vt (mod P) もし、署名(t,u)が、上述した検証式を満足すれ
ば、メッセージMは、ユーザーA2によって送信され、
署名(t,u)は、ユーザーA2によって作成されたも
のである。なぜなら、配送用の秘密の固有情報dAは、
ユーザーA2以外のどのユーザーφにも知らされず、か
つ、署名(t,u)を得るために必要な値であるからで
ある。ゆえに、ユーザーA2は、ユーザーA2自身が、
メッセージMを送信したことを後で拒否できない。すな
わち、ディジタル署名においては、メッセージMを、ハ
ッシュ関数(m)を用いて圧縮し、その値がユーザーA
2しか持たない配送用の秘密の鍵(dφ=eφ -1・sφ
+2q・rφ)によって生成されていることを、ユーザ
ーB3が第1の公開情報(公開鍵)(g-p×eA)を用い
て検証することができる。
【0053】上述した説明では、どの発明の実施の形態
においても、IDベクトルvφ (f)=f(IDφ)の各
要素φi fを任意のα進数とし,vφ (h)=h(IDφ
の各要素φj hを任意のq進数としたが、α=q=2とし
て2進数の場合にも適用できる。α=q=2の場合、各
要素φi f,φj hは、すべて0または1になるので、gBf
,Bhを計算する際に、羃乗の項がなくなり、各要素gf
(i),gh(j)を、対応する“1”のところだけ乗
算すればよく、計算が著しく簡単になる。
【0054】上述した説明では、図1のセンターの準備
フェーズにおいて説明したように、G fの要素であるgf
(i)は、gf(i)=g-xiと定義していた。これに代えて、 gf(i)=g+xi と定義してもよい。このように定義した場合、第1の公
開情報(公開鍵)gBfは、 gBf=geB となる。配送用の秘密の固有情報dφを、 dφ=−eφ -1・sφ+2q・rφ として、各ユーザに配送する。あるいは、 dφ=eφ -1・sφ+2q・rφ を配送しても、各ユーザーにおいて、(−dφ)を用い
て暗号文の復号等を行えばよい。例えば、図2を参照し
て説明した暗号システムにおいて、平文Mに復号する際
に、C2・C1 dBに代えて、 C2・C1 -dB=M (mod P) とすればよい。このように、原始元gの指数に(−1)
を掛けるかどうかは、他の式との関係で決まるものであ
り、どちらでもよい。また、送信情報であるC1,C
2,S,U,uにおいて、指数を−rとして送信しても
よく、この場合、受信側の装置で行う演算を変更すれば
よい。指数の極性を変更しても、結局、同じものに基づ
いて送信情報を作成している。
【0055】最後に、安全性について検討する。本発明
は、離散対数問題を解くことは困難であるという仮定の
下に暗号システム等が構成されている。この仮定の下
に、ユーザー間の共謀があっても、任意のユーザーαの
秘密の情報を暴くことはできないことを示す。まず、 dφ=eφ -1・sφ+2q・rφ (mod P−
1) つまり、 eφ・dφ=sφ+2q・rφ・eφ (mod P−
1) である。
【0056】ここで、第1,第2の秘密の固有情報eφ
とsφとは未知であり、固有のユーザー φに特有のも
のである。その結果、方程式は、第1,第2の秘密の固
有情報eφとsφと に関して解けない。しかし、第
1,第2の秘密の固有情報eφとsφは、次の線形方程
式によって与えられる。
【数15】 すると次の攻撃が考えられる。任意のユーザーαの秘密
の固有情報dαは次の方程式を解いて得られる。
【数16】
【0057】ここで、xi(0≦xi≦m−1),y
i(0≦yi≦n−1)なる(m+n)個の未知数があ
り,ユーザーαのIDベクトルvα (f)とvα (h)を使っ
て、eαとsαを計算する。最終的にどのようなαの秘
密の情報でも次式で計算される
【数17】 この攻撃は成功するように思える。しかし、集めうる方
程式が特異(あるいは非決定的non-deterministic)な
方程式に限られる。また、rαは秘密であるから、未知
数は1つ増えm+n+1となる。上で得られた斎次方程
式は、単なる特異(non-deterministic)な方程式であ
り、それゆえ、われわれはそれらを解くことができな
い。
【0058】別の任意のユーザーαの配送用の秘密の固
有情報(鍵)dαを暴くには、まず、公開情報GfとGh
で与えられている方程式の集合を解くことである。
【数18】
【0059】xiとyjについて解いて、X={x0
1,…,xm-1}とY={y0,y1,…,yn-1}を得
て、上の攻撃法の(A)式以降に適用すればよい。しか
し、これは、g,pが未知数であるから離散対数問題よ
りも難しいため解けない。上述した2つ以外に攻撃法が
なく、離散対数問題が解けない以上、ユーザーの共謀に
よっては解けない。
【0060】次に、計算量の見積もりを行う。羃乗演算
をE、乗算をM、除算をD、加算をAで示す。結果は次
のとおりである。(P)と(P−1)は、計算のmodulu
sを示し、(Div)は除算を意味する。センターのア
ルゴリズム
【表1】 暗号システム
【表2】 鍵共有(タイプ2)
【表3】 ここで、鍵シード(Key seed)とは、図4を参照して説
明したタイプ2の鍵共有におけるSのことである。3パ
ス零知識証明プロトコル
【表4】 ディジタル署名
【表5】
【0061】なお、上述した説明では、P=2pq+1
とした。これに代えて、P=2p+1(Pは大きな素
数、pは素数)とし、 gf(i)=g-xi (mod P),gh=gyi (mod
P) gφf=g-eφ (mod P),gφh=g (mod
P) dφ=(eφ-1・sφ (mod P−1) としてもよい。このdφは、上述した説明のdφの第2
項を最初からなくしたものに等しい。この場合、攻撃に
対する強さは低下するが、演算は簡単になる。上述した
暗号システムおよびタイプ1の鍵共有システムにおいて
は、C1=g-r×eB (mod P),C2=M・gr×sB
(mod P)となる。上述したイプ2の鍵共有システ
ムにおいては、KAB=gr×sB (mod P),S=g
r×eB (mod P)となる。上述した3パスの零知識証
明システムにおいては、R=g-r×eA (mod P),
V=gr×sA (mod P)となる。上述したディジタル
署名システムにおいては、u=m・gr×sA (mod
P),v=g-eA (mod P)となる。
【0062】上述した説明では、通信における秘密の固
有情報の配送方法等について説明したが、複数のユーザ
ー間で、メッセージを、光ディスク,磁気ディスク,半
導体メモリー等の記録媒体に、書き込み装置を用いて書
き込むことにより、メッセージを蓄積し、蓄積されたメ
ッセージを読み出し装置を用いて読み出す場合の、秘密
の固有情報の配送方法,暗号システム,鍵共有システ
ム,3パスのゼロ知識証明システム,ディジタル署名シ
ステム等に本発明を用いても好適である。この場合、書
き込みが送信、読み出しが受信に対応することになる。
【0063】
【発明の効果】上述した説明から明らかなように、本発
明のユーザー装置への秘密の固有情報の配送方法は、秘
密保持が容易であり、データを保持するメモリー容量も
少なくてすむという効果がある。この秘密の固有情報を
用いることにより、暗号システムのみならず、鍵共有シ
ステム、認証システム、ディジタル署名システムにも幅
広く適用できる。相手のID情報さえ入力すれば、通信
したい相手へ暗号通信ができ、相手との共有鍵が容易に
得られ、ディジタル署名も可能で、相手認証等も可能で
ある。
【図面の簡単な説明】
【図1】本発明のユーザー装置への秘密の固有情報の配
送方法の実施の一形態の説明図である。
【図2】本発明の暗号送信装置および暗号受信装置を説
明するための暗号システムのブロック図である。
【図3】本発明の共有鍵送信装置および共有鍵受信装置
を説明するための予備通信不要な鍵共有(タイプ1)シ
ステムの説明図である。
【図4】本発明の共有鍵受信装置および共有鍵送信装置
を説明するための予備通信不要な鍵共有(タイプ2)シ
ステムの説明図である。
【図5】鍵共有(タイプ2)システムに用いる伝送フォ
ーマットの説明図である。
【図6】本発明の証明ユーザー装置および検証ユーザー
装置を有する3パスプロトコルの零知識証明を用いた認
証システムの説明図である。
【図7】本発明のディジタル署名通信システムおよびデ
ィジタル署名検証ユーザー装置を有するディジタル署名
システムの説明図である。
【図8】従来のIDベース暗号システムの説明図であ
る。
【符号の説明】
1はセンター、2はユーザーA、3はユーザーB、4は
ユーザーC
───────────────────────────────────────────────────── フロントページの続き (72)発明者 井上 徹 神奈川県横浜市港北区新横浜三丁目20番地 8 株式会社高度移動通信セキュリティ技 術研究所内 Fターム(参考) 5J104 AA07 AA09 AA16 EA01 EA19 EA21 EA22 EA26 EA27 JA22 KA08 LA06 MA06 NA02 NA07 NA12 NA16 NA22 NA24 NA35 PA07

Claims (15)

    【特許請求の範囲】
  1. 【請求項1】 メッセージを送受信する複数のユーザー
    装置の前記各ユーザー装置のそれぞれに対し、センター
    装置において、第1および第2の秘密の固有情報が割り
    当てられ、 前記第1の秘密の固有情報を有する羃指数としたガロア
    体GF(P)の原始元gの羃に基づいた第1の公開情
    報、および、前記第2の秘密の固有情報を有する羃指数
    とした前記原始元gの羃に基づいた第2の公開情報を、
    前記複数のユーザー装置に対して公開状態にするととも
    に、 前記第1の秘密の固有情報および前記第2の秘密の固有
    情報が割り当てられた前記各ユーザー装置に対し、前記
    センター装置から、前記第2の公開情報の前記羃指数を
    前記第1の公開情報の前記羃指数で除算した値に等しく
    なる値を配送用の秘密の固有情報として、あらかじめ配
    送する、 ことを特徴とするユーザー装置への秘密の固有情報の配
    送方法。
  2. 【請求項2】 Pを第1の素数、p,qを第2,第3の
    素数としてP=2pq+1とし、 前記第1の公開情報の前記羃指数は、前記第1の秘密の
    固有情報にpまたは−pを乗算したmod(P−1)の
    演算値であり、 前記第2の公開情報の前記羃指数は、前記第2の秘密の
    固有情報にpを乗算したmod(P−1)の演算値であ
    り、 前記配送用の秘密の固有情報は、前記第2の秘密の固有
    情報を前記第1の秘密の固有情報で除算した値に、前記
    第3の素数qに前記各ユーザー装置に割り当てられた秘
    密の乱数の2倍を加算したmod(P−1)の演算値で
    あることを特徴とする請求項1に記載のユーザー装置へ
    の秘密の固有情報の配送方法。
  3. 【請求項3】 前記複数のユーザー装置に対し、前記セ
    ンター装置において、前記複数のユーザー装置に共通の
    第1および第2の秘密ベクトルが割り当てられ、 前記複数のユーザー装置の公開された固有情報および公
    開された2つの関数に基づいて、それぞれ、第1および
    第2のIDベクトルが作成され、 前記第1の秘密の固有情報は、前記第1の秘密ベクトル
    と前記ユーザー装置の第1のIDベクトルとの内積に基
    づいたものであり、 前記第2の秘密の固有情報は、前記第2の秘密ベクトル
    と前記ユーザー装置の第2のIDベクトルの内積に基づ
    いたものである、 ことを特徴とする請求項1または2に記載のユーザー装
    置への秘密の固有情報の配送方法。
  4. 【請求項4】 前記第1の秘密ベクトルは、0<xi
    (p/m)1/2なる奇数のm個の奇数化された乱数の要
    素xiからなる、X={x0,x1,…,xm-1}であり、 前記第2の秘密ベクトルは、0<yi<Pなるn個の乱
    数の要素yiからなるY={y0,y1,…,yn-1}であ
    り、 前記第1のIDベクトルは、ユーザー装置φの前記公開
    された固有情報IDφをハッシュ関数fに入力して作成
    された、α<(p/m)1/2なるα進数で表わされるm
    個の奇数化された要素φi (f)からなる、f(IDφ)=
    (φ0 (f),φ1 ( f),・・・φm-1 (f))であり、 前記第2のIDベクトルは、ユーザー装置φの前記公開
    された固有情報IDφをハッシュ関数hに入力して作成
    された、q進数で表わされるn個の要素φi (h)からなる
    h(IDφ)=(φ0 (h),φ1 (h),・・・φn-1 (h))で
    ある、 ことを特徴とする請求項3に記載のユーザー装置への秘
    密の固有情報の配送方法。
  5. 【請求項5】 暗号受信装置に、第1および第2の秘密
    の固有情報が割り当てられ、 前記第1の秘密の固有情報を有する羃指数としたガロア
    体GF(P)の原始元gの羃に基づいた第1の公開情
    報、および、前記第2の秘密の固有情報を有する羃指数
    とした前記原始元gの羃に基づいた第2の公開情報が公
    開状態にあり、 前記第2の公開情報の前記羃指数を前記第1の公開情報
    の前記羃指数で除算した値に等しくなる値が、配送用の
    秘密の固有情報として前記暗号受信装置にあらかじめ配
    送されており、 暗号送信装置から前記暗号受信装置に暗号文を送信する
    暗号システムにおける前記暗号送信装置であって、 乱数を羃指数とした前記第1の公開情報の羃に基づいた
    第1の送信情報、および、前記乱数を羃指数とした前記
    第2の公開情報の羃にメッセージを乗算した第2の送信
    情報を計算し、前記第1の送信情報および前記第2の送
    信情報を送信する、 ことを特徴とする暗号送信装置。
  6. 【請求項6】 暗号受信装置に、第1および第2の秘密
    の固有情報が割り当てられ、 前記第1の秘密の固有情報を有する羃指数としたガロア
    体GF(P)の原始元gの羃に基づいた第1の公開情
    報、および、前記第2の秘密の固有情報を有する羃指数
    とした前記原始元gの羃に基づいた第2の公開情報が公
    開状態にあり、 前記第2の公開情報の前記羃指数を前記第1の公開情報
    の前記羃指数で除算した値に等しくなる値が、配送用の
    秘密の固有情報として、前記暗号受信装置にあらかじめ
    配送されており、 暗号送信装置から前記暗号受信装置に暗号文を送信する
    暗号システムにおける前記暗号受信装置であって、 第1の送信情報、および、第2の送信情報を受信し、前
    記配送用の秘密の固有情報を羃指数とした前記第1の送
    信情報の羃と、前記第2の送信情報とに基づいて前記メ
    ッセージを復号することを特徴とする暗号受信装置。
  7. 【請求項7】 共有鍵受信装置に、第1および第2の秘
    密の固有情報が割り当てられ、 前記第1の秘密の固有情報を有する羃指数としたガロア
    体GF(P)の原始元gの羃に基づいた第1の公開情
    報、および、前記第2の秘密の固有情報を有する羃指数
    とした前記原始元gの羃に基づいた第2の公開情報が公
    開状態にあり、 前記第2の公開情報の前記羃指数を前記第1の公開情報
    の前記羃指数で除算した値に等しくなる値が、配送用の
    秘密の固有情報として、前記共有鍵受信装置にあらかじ
    め配送されており、 共有鍵送信装置から前記共有鍵受信装置に共有鍵を送信
    する鍵共有システムにおける前記共有鍵送信装置であっ
    て、 乱数を羃指数とした前記第1の公開情報の羃に基づいた
    第1の送信情報、および、前記乱数を羃指数とした前記
    第2の公開情報の羃に共有鍵を乗算した第2の送信情報
    を計算し、前記第1の送信情報および前記第2の送信情
    報を送信する、ことを特徴とする共有鍵送信装置。
  8. 【請求項8】 共有鍵受信装置に、第1および第2の秘
    密の固有情報が割り当てられ、 前記第1の秘密の固有情報有する羃指数としたガロア体
    GF(P)の原始元gの羃に基づいた第1の公開情報、
    および、前記第2の秘密の固有情報を有する羃指数とし
    た前記原始元gの羃に基づいた第2の公開情報が公開状
    態にあり、 前記第2の公開情報の前記羃指数を前記第1の公開情報
    の前記羃指数で除算した値に等しくなる値が、配送用の
    秘密の固有情報として、前記共有鍵受信装置にあらかじ
    め配送されており、 共有鍵送信装置から前記共有鍵受信装置に共有鍵を送信
    する鍵共有システムにおける前記共有鍵受信装置であっ
    て、 第1の送信情報、および、第2の送信情報を受信し、前
    記配送用の秘密の固有情報を羃指数とした前記第1の送
    信情報の羃と、前記第2の送信情報とに基づいて前記共
    有鍵を復元する、 ことを特徴とする共有鍵受信装置。
  9. 【請求項9】 共有鍵受信装置に、第1および第2の秘
    密の固有情報が割り当てられ、 前記第1の秘密の固有情報を有する羃指数としたガロア
    体GF(P)の原始元gの羃に基づいた第1の公開情
    報、および、前記第2の秘密の固有情報を有する羃指数
    とした前記原始元gの羃に基づいた第2の公開情報が公
    開状態にあり、 前記第2の公開情報の前記羃指数を前記第1の公開情報
    の前記羃指数で除算した値に等しくなる値が、配送用の
    秘密の固有情報として、前記共有鍵受信装置にあらかじ
    め配送されており、 共有鍵送信装置から前記共有鍵受信装置に共有鍵を送信
    する鍵共有システムにおける前記共有鍵送信装置であっ
    て、 乱数を羃指数とした前記第1の公開情報の羃を計算し、
    前記共有鍵として格納するとともに、前記乱数を負の羃
    指数とした前記第2の公開情報の羃を計算して、送信情
    報とし、該送信情報を前記共有鍵受信装置に送信する、 ことを特徴とする共有鍵送信装置。
  10. 【請求項10】 前記共有鍵を用いて平文を暗号文に変
    換するとともに、前記共有鍵を最初に送信した後、前記
    暗号文を送信するまでの間にダミー情報を送信する、 ことを特徴とする請求項7または9に記載の共有鍵送信
    装置。
  11. 【請求項11】 共有鍵受信装置に、第1および第2の
    秘密の固有情報が割り当てられ、 前記第1の秘密の固有情報を有する羃指数としたガロア
    体GF(P)の原始元gの羃に基づいた第1の公開情
    報、および、前記第2の秘密の固有情報を有する羃指数
    とした前記原始元gの羃に基づいた第2の公開情報が公
    開状態にあり、 前記第2の公開情報の前記羃指数を前記第1の公開情報
    の前記羃指数で除算した値に等しくなる値が、配送用の
    秘密の固有情報として、前記共有鍵受信装置にあらかじ
    め配送されており、 共有鍵送信装置から前記共有鍵受信装置に共有鍵を送信
    する鍵共有システムにおける共有鍵受信装置であって、 送信情報を受信し、前記配送用の秘密の固有情報を羃指
    数とした前記送信情報に基づいて前記共有鍵を復元す
    る、 ことを特徴とする共有鍵受信装置。
  12. 【請求項12】 証明ユーザー装置に、第1および第2
    の秘密の固有情報が割り当てられ、 前記第1の秘密の固有情報を有する羃指数としたガロア
    体GF(P)の原始元gの羃に基づいた第1の公開情
    報、および、前記第2の秘密の固有情報を有する羃指数
    とした前記原始元gの羃に基づいた第2の公開情報が公
    開状態にあり、 前記第2の公開情報の前記羃指数を前記第1の公開情報
    の前記羃指数で除算した値に等しくなる値が、配送用の
    秘密の固有情報として、前記証明ユーザー装置にあらか
    じめ配送されており、 前記証明ユーザー装置から検証ユーザー装置に前記証明
    ユーザー装置の公開された固有情報を第1の送信情報と
    して送信することにより、前記検証ユーザー装置が前記
    証明ユーザー装置の認証を行う3パスの零知識証明シス
    テムにおける前記証明ユーザー装置であって、 前記証明ユーザー装置の公開された固有情報を送信した
    後に、返送情報を受信し、前記配送用の秘密の固有情報
    を羃指数とした前記返送情報の羃に基づいた第2の送信
    情報を計算し、該第2の送信情報を前記検証ユーザー装
    置に送信する、 ことを特徴とする証明ユーザー装置。
  13. 【請求項13】 証明ユーザー装置に、第1および第2
    の秘密の固有情報が割り当てられ、 前記第1の秘密の固有情報を有する羃指数としたガロア
    体GF(P)の原始元gの羃に基づいた第1の公開情
    報、および、前記第2の秘密の固有情報を有する羃指数
    とした前記原始元gの羃に基づいた第2の公開情報が公
    開状態にあり、 前記第2の公開情報の前記羃指数を前記第1の公開情報
    の前記羃指数で除算した値に等しくなる値が、配送用の
    秘密の固有情報として、前記証明ユーザー装置にあらか
    じめ配送されており、 前記証明ユーザー装置から検証ユーザー装置に前記証明
    ユーザー装置の公開された固有情報を第1の送信情報と
    して送信することにより、前記検証ユーザー装置が前記
    証明ユーザー装置の認証を行う3パスの零知識証明シス
    テムにおける前記検証ユーザー装置であって、 乱数を羃指数とした前記第1の公開情報の羃に基づいた
    返送情報、および、前記乱数を羃指数とした前記第2の
    公開情報の羃に基づいた検証情報を計算し、前記返送情
    報を送信し、第2の受信情報を前記検証情報に基づいて
    検証することにより、前記証明ユーザー装置の認証を行
    う、 ことを特徴とする検証ユーザー装置。
  14. 【請求項14】 ディジタル署名ユーザー装置に、第1
    および第2の秘密の固有情報が割り当てられ、 前記第1の秘密の固有情報を有する羃指数としたガロア
    体GF(P)の原始元gの羃に基づいた第1の公開情
    報、および、前記第2の秘密の固有情報を有する羃指数
    とした前記原始元gの羃に基づいた第2の公開情報が公
    開状態にあり、 前記第2の公開情報の前記羃指数を前記第1の公開情報
    の前記羃指数で除算した値に等しくなる値が、配送用の
    秘密の固有情報としてあらかじめ配送されており、 前記ディジタル署名ユーザー装置からディジタル署名検
    証ユーザー装置にディジタル署名付きメッセージを送信
    するディジタル署名システムにおける前記ディジタル署
    名ユーザー装置であって、 乱数と前記配送用の秘密の固有情報との積に基づいた第
    1の送信情報と、前記乱数を羃指数とした前記第2の公
    開情報の羃に、前記メッセージがハッシュ関数を用いて
    圧縮された圧縮情報が乗算された第2の送信情報とを、
    前記メッセージとともに、前記ディジタル署名検証ユー
    ザー装置に送信する、 ことを特徴とするディジタル署名ユーザー装置。
  15. 【請求項15】 ディジタル署名ユーザー装置に、第1
    および第2の秘密の固有情報が割り当てられ、 前記第1の秘密の固有情報を有する羃指数としたガロア
    体GF(P)の原始元gの羃に基づいた第1の公開情
    報、および、前記第2の秘密の固有情報を有する羃指数
    とした前記原始元gの羃に基づいた第2の公開情報が公
    開状態にあり、 前記第2の公開情報の前記羃指数を前記第1の公開情報
    の前記羃指数で除算した値に等しくなる値が、配送用の
    秘密の固有情報としてあらかじめ配送されており、 前記ディジタル署名ユーザー装置からディジタル署名検
    証ユーザー装置にディジタル署名付きメッセージを送信
    するディジタル署名システムにおける前記ディジタル署
    名検証ユーザー装置であって、 受信された第1の送信情報を羃指数とした前記第1の公
    開情報と第2の送信情報とに基づいて検証式を計算し、
    該検証式が受信された前記メッセージがハッシュ関数で
    圧縮された値になるときに、前記メッセージが前記ディ
    ジタル署名ユーザー装置によって送信されたことを検証
    する、 ことを特徴とするディジタル署名検証ユーザー装置。
JP10339258A 1998-11-30 1998-11-30 ユーザー装置への秘密の固有情報の配送方法、暗号送信装置、暗号受信装置 Pending JP2000165374A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP10339258A JP2000165374A (ja) 1998-11-30 1998-11-30 ユーザー装置への秘密の固有情報の配送方法、暗号送信装置、暗号受信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP10339258A JP2000165374A (ja) 1998-11-30 1998-11-30 ユーザー装置への秘密の固有情報の配送方法、暗号送信装置、暗号受信装置

Publications (1)

Publication Number Publication Date
JP2000165374A true JP2000165374A (ja) 2000-06-16

Family

ID=18325757

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10339258A Pending JP2000165374A (ja) 1998-11-30 1998-11-30 ユーザー装置への秘密の固有情報の配送方法、暗号送信装置、暗号受信装置

Country Status (1)

Country Link
JP (1) JP2000165374A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100480377B1 (ko) * 2002-11-15 2005-04-07 엘지엔시스(주) 스마트 카드를 이용한 네트워크 전용장치의 환경설정 및인증방법
US6912654B2 (en) * 2000-01-25 2005-06-28 Murata Kikai Kabushiki Kaisha Secret key generating method, encryption method, cryptographic communication method and cryptographic communication system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6912654B2 (en) * 2000-01-25 2005-06-28 Murata Kikai Kabushiki Kaisha Secret key generating method, encryption method, cryptographic communication method and cryptographic communication system
KR100480377B1 (ko) * 2002-11-15 2005-04-07 엘지엔시스(주) 스마트 카드를 이용한 네트워크 전용장치의 환경설정 및인증방법

Similar Documents

Publication Publication Date Title
US10903991B1 (en) Systems and methods for generating signatures
US10530585B2 (en) Digital signing by utilizing multiple distinct signing keys, distributed between two parties
US6154841A (en) Digital signature method and communication system
US5299263A (en) Two-way public key authentication and key agreement for low-cost terminals
JP2606419B2 (ja) 暗号通信システムと暗号通信方法
US5150411A (en) Cryptographic system allowing encrypted communication between users with a secure mutual cipher key determined without user interaction
US6483921B1 (en) Method and apparatus for regenerating secret keys in Diffie-Hellman communication sessions
US5631961A (en) Device for and method of cryptography that allows third party access
US5907618A (en) Method and apparatus for verifiably providing key recovery information in a cryptographic system
EP0821504B1 (en) Method and system for depositing private key used in RSA cryptosystem
US6249585B1 (en) Publicly verifiable key recovery
US6122742A (en) Auto-recoverable and auto-certifiable cryptosystem with unescrowed signing keys
US9088419B2 (en) Keyed PV signatures
US7171559B1 (en) Method of exchanging digital data
US6243466B1 (en) Auto-escrowable and auto-certifiable cryptosystems with fast key generation
US20220038267A1 (en) Methods and devices for secured identity-based encryption systems with two trusted centers
Shen et al. Identity-based authenticated encryption with identity confidentiality
JP3513324B2 (ja) ディジタル署名処理方法
NZ501273A (en) Auto-recoverable auto-certifiable cryptosystems
JP4307589B2 (ja) 認証プロトコル
JP2000165374A (ja) ユーザー装置への秘密の固有情報の配送方法、暗号送信装置、暗号受信装置
JPH06112935A (ja) 暗号通信方法
Zheng Signcryption or how to achieve cost (signature & encryption)<< cost (signature)+ cost (encryption)
JP3862397B2 (ja) 情報通信システム
JPH11202767A (ja) ディジタル署名方式、それを用いた通信装置及び情報通信システム