【発明の詳細な説明】
制御自写像公開鍵システム
本発明は公開鍵暗号法(public key cryptography)に関するものである。
暗号法システムまたは体系は、メッセージを記号化して電子的に保管したり送
信したり、メッセージの機密や保全を管理するとともに、メッセージの発信元を
証明するために用いられる。
単式鍵暗号法(single key ryptography)または対称式暗号法(symmetriccrypto
graphy)では、単式鍵を使って、データや送信されたメッセージをあらかじめ決
められている数式に基づいて暗号化したり解読したりする。このような単式また
は対称式の暗号法では、単式鍵が秘密に保持されなければならない。さもなけれ
ば、暗号化されたデータやメッセージは簡単に解読されてしまうであろう。
より安全な暗号化システムは二重鍵暗号化(two-key encryption)の方法を含む
。典型的な非対称式暗号化システム(asymmetric encryption system)は二つの鍵
を持つ。一般に一部のメディアで使用できるように作られているコードである公
開鍵(public key)と、データの正当な持ち主または意図されたメッセージの受け
手のみが使用可能なコードである非公開鍵(private key)である。既に知られて
いる非対称式公開鍵暗号化システムとしては、RSAや複合型PGP(hybridPGP
)というシステムが使われている。RSAはRC2、RC4、RC5などの暗号
化規則(encryption algorithm)を使用する。複合型PGP暗号化システムでは、
暗号化規則の始めとして、対称式IDEA法(symmetric IDEA method)の「行動
鍵(session key)」を使って、平常文(plain text)で書かれたデータやメッセー
ジを暗号文(cyphertext)に変換することから始まる。その後、その行動鍵はデー
タの正当な所有者またはメッセージの受け取り手の公開鍵を使って非対称式RS
A鍵配列システムに暗号化され、受け取り手が非公開鍵を使って行動鍵を解読し
暗号文から平常文を取り出すのである。
従来の公開鍵暗号化システムでは、使用者を識別したりデータ偽造や受け取り
手がだまされて別の人がメッセージを送ってきたと考えるような暗号メッセージ
を送るような詐欺を避けるために、使用者の公開鍵が使用されている。デジタル
式にメッセージを送るために、送り手は非公開鍵を使用しさえすればよく、それ
により他のだれでもその送り手の公開鍵を使ってメッセージが本物かどうかを証
明することができる。他の利用法としては、製品の偽造を避けるために、例えば
アメリカドル紙幣なら、特定の連続した数字、最後の9桁がすべてゼロである数
字などを選び、非公開鍵を使ってその連続した数字を暗号化する。検査官は公開
鍵を使ってすぐに紙幣の偽造を発見することができる。
ところが、これらのさまざまな公開鍵暗号化規則は計算の難点がある。データ
および電子通信の機密、保全、信憑性を提供するためには、公開鍵の改善が必要
である。
本発明は、制御(tame)自写像を基盤とした公開鍵暗号化システムまたは体系(t
ame automorphism based public key encryption system or scheme)に関するも
のである。本発明では、電子的に送られるかあるいは人間の手で記号化されたメ
ッセージを暗号化したり解読したりするための制御自写像を基盤とした暗号化規
則を提供するコンピュータプログラムについて検討する。
本発明の暗号化規則においては、まず始めに平常文で書かれたデータやメッセ
ージを電子的に送信するためにコンピュータが使用される。この暗号化の方法で
は、電子媒体を通して送れるように暗号文で書かれたデータやメッセージを作る
。そのデータの正当な所有者またはメッセージの受け取り手の使用するコンピュ
ータシステムは、制御自写像を基盤とした解読化規則を使って、暗号文を解読し
原文である平常文のメッセージを取り出す。このようにして、データは安全に守
られるであろうし、メッセージも電波や公開ネットワーク上を安全に送られるで
あろう。図の概要
本発明に関して以上述べてきたことやその他の特徴や目的、そしてそれらを達
成するための方法をより明らかにし発明自体をより理解しやすくするために、参
考として以下で添付した図を使って具体的に説明する。
図1は本発明の第一の方法のフローチャートの図である。
図2は本発明の第二の方法のフローチャートの図である。そして、
図3は本発明のコンピュータシステムの概要図である。
図で引用されている語は種々の説明を通じて対応する部分を表わしている。図
は本発明を具体的に表わすものであるが、必ずしも正しく縮尺されているわけで
はなく、また一部は本発明をよりよく描き説明するために誇張されているであろ
う。本稿中で示される例はいろいろな形で本発明を具体的に描くものであり、そ
れらはいかなる方法でも本発明の範囲を限定するものと解釈されることはない。発明の説明
以下に発表される内容は、それに続く詳細な説明で公表される正確な形を完全
に示すものでも、また発明を限定するものでもない。むしろ、この分野の技術を
持つ他の人々がその内容を利用できるように選ばれ描かれている。本発明の暗号
化と解読化の方法は、特定のハードウェアやシステム形態に限定されるものでは
なく、むしろ、広くいろいろなコンピュータハードウェアやソフトウェアでも利
用できるであろう。本発明は、データの保管、データの真偽の証明、デジタルま
たはアナログ形式のメッセージの変換を含む。変換においては暗号化規則を必要
とし、そして解読化規則を用いて解読される。公開鍵の方法論では、一般に二つ
の暗号化の鍵のうちの一つが使用され、もう一つの暗号化の鍵が非公開に保持さ
れる。
図1は公開−非公開鍵の暗号化体系を示したフローチャートである。ステップ
10では、メッセージが制御自写像を基盤とした規則を用いて暗号文に暗号化さ
れる。それについては、以下にさらに詳しく述べる。暗号文で書かれたメッセー
ジはステップ12送信され、ステップ14で受信される。最後に、その暗号文は
ステップ16でふたたび制御自写像を基盤とした規則を用いて非公開鍵で解読さ
れる。
似たような手順が図2にも示されているが、ステップ20では最初の暗号化に
非公開鍵が使われる。ステップ22と24は暗号文の送信と受信に関連し、ステ
ップ26で暗号文は公開鍵を使って解読される。
これらのステップを実行するコンピュータシステムが図3に描かれている。コ
ンピュータ32と32’は制御自写像を基盤とした暗号化および解読化規則の使
用を可能にするプログラム30と30’が組み込まれている。34と34’の送
信装置として、例えばモデム、スマートカード(smart card)(例えば、電子的に
あらかじめプログラムされたクレジットカードのようなものなど)、ハードディ
スク・ファイルシステム、または実際の製品につけられている連続番号などが、
メッセージを送信するために使用されるであろう。また、この発明の方法はコン
ピュータ32と32’に保管されたデータを暗号化することで、その不当な干渉
や変更を防ぐであろう。本発明では電子的な交信が強化されているが、本発明の
方法は人間の手によるデータの真偽の証明のための交信にも利用されるであろう
。暗号化規則を作るためには、暗号化と解読化を遂行するのに使われる方程式の
数理媒介変数(mathematical parameters)を定義する必要がある。数学的背景
[1]序論
Kを q=2mエレメント(element)の有限フィールド(finite field)とする。K[x1
,…,xn]をx1からxnまでのn個の変数をKで割る多項式環とする。K[x1,…,xn]
の自写像φiの連続を以下のように考える。
(1):φi(x1)=x1+hi(x2,…,xn)
(2):φi(x2):x2
………
(n):φi(xn):xn
あるいは、以下のように考える。
φi=可逆一次変換(invertible linear transformations)
上記の自写像は制御自写像と呼ばれる。制御自写像の逆関数もまた制御自写像で
あることを示すのは容易である。以下のどちらかの形で表わされる。
(1)':φi -1(x1)=x1-hi(x2,…,xn)
(2)':φi -1(x2)=x2
………
(n)':φi -1(xn)=xn
あるいは、以下のように考える。
φi -1=可逆一次変換(invertible linear transformations)
すべての制御自写像によって生成された群は制御自写像群(tame automorphism
group)と呼ばれる。K[x1,…,xn]の自写像群がn>2の自写像群かどうかは数学
に
おける公然の問題である。
見解1:一次変換φiは恒等写像(identity map)または順列(permutation)にな
りうる。変数x1,…,xnの順序に意味がないのは明らかである。π=Πφiを制御自
写像群のエレメントとする。それによって、以下が得られる。
(1:yi=π(xi):fi(x1,…,xn)、但しi=1,…,n
(2:xi=π1(yi)=gi(y1,…,yn)、但しi=1,…,n
見解2:一般に、制御自写像φは一次変換かあるいは以下のような変数x1,…,xn
がいかなる順序でもよい式かのどちらかであると都合がいい。
(1)":φi(x1)=x1+hi1(x2,…,xn)=y1
(2)":φi(x2)=x2+hi2(x3,….xn)=y2
………
(j)":φi(xj)=xj+hij(xj+1.…,xn)=yj
………
(n)":φi(xn)=xn=yn
命題:制御自写像φiを前段落で示したように定義されるとする。逆関数φi -1
(yj)=yj-hij(φi -1(yj+1,…,φi -1(yn))が得られる。
証明:容易である。例えば、4つの変数の場合は、以下である。
φi -1(y1)=y1-hi1(y2-hi2(y3-hi3(y4),y4),y3-hi3(y4),y4)
φi -1(y2)=y2-hi2(y3-hi3(y4),y4)
φi -1(y3)=y3-hi3(y4)
φi -1(y4)=y4
一般に、φi -1(y1)の総次数(total degree)は非常に速く増加する。多項式φi -1
(yj)を書き出すのは難しい。
系1:{y'j}が与えられているときに、帰納法を用いて{φi -1(y'j)}の値を得
るのは容易である。始めにφi -1(y'n)=y'nがある。もし帰納法的にφi -1(y'j+1)
,…,φi -1(y'n)ならば、φi -1(y'j)=y'j-hij(φi -1(yj+1,…,φi -1(yn))となる
。
証明:容易である。
系2:φiが上記の式の制御自写像である因数分解π=Πi=n i=1φiを与えられ
れ
ば、π-1(y'i)を得るのは容易である。
証明:通常のように、π-1=Πi=n i=1φi -1である。系1から続く。
見解3:多項式としての逆写像φi -1を書き出すのは難しい。というのは、あ
とで指摘するように次数がとても高くなりうるからである。もしn=2かつdeg
f1≧2ならば、f1とf2の最高次数は任意のゼロ以外の定数(non-zeroconstant)
までで同じ一次式の累乗でなければならず、そしてdeg f1とdeg f2はその二つの
次数の小さい方で割り切れる(参考文献[1][12][13][17]を参照
)。したがって、逆関数giはさらなる制御自写像を実行することでその次数を
減少させることにより帰納的に元に戻すことができる。ところが、n≧3の場合
は上記の考察はもはや有効ではない。
見解4:n≧3の場合は、制御自写像群のエレメントπを制御自写像Πφiの積
に因数分解する定理がない。
見解5:もしn≧4ならば、{mi:i=1,…,n}を正整数とし、Imを写像τmの中心
(kernel)のイデアル(ideal)とする。τm(xi)=tmi,mi>0のときに、
K[x1,x2,…,xn]をK[t]にする。そして、イデアルImの最小生成数は束縛され
ない自由なものになる(参考文献[6]を参照)。公開鍵システム(The public Key System)
原理:使用者に2つの制御自写像φ1とφ2を選ばせπ=φ2φ1とするが、その
因数分解は隠しておく。使用者は多項式π(xi)=fi(x1,…,xn)とフィールドKの
ときの写像πを公表する。x'1,…,x'n∈Kを平常文とする。送り手は、x1,…,xn
の値が x'1,…,x'nであるときにy1=fi(x'1,…,x'n)(=π(x'i))の値をもとめる。
その結果をy1’,…,y'nとする。これらは暗号文である。正当な受け取り手はx'1
=π1(y'i)(=gi(y'1,…,y'n))=φ1 -1(φ2 -1(y'i))を使って平常文に戻す。この式
は系2から容易に導き出される。
見解6:一般に、π=φk…φ2φ1をk≧2の制御自写像の積と考えてもよいだ
ろう。K[x1,…,xn]の制御自写像群の場合は、制御自写像の積としてのエレメン
トの唯一の因数分解はまだわかっていない。k≧3の場合は、π=φk…φ2φ1=
Ψ2Ψ1となるような制御自写像Ψ1、Ψ2が常にあるのかどうかわかっていない。
上記の原理を実行できる方法の一つは以下である。n≧3と正整数s,tを選ぶ
。フィールドKを2mエレメントの有限フィールドであるF2mとする。使用者は
以下の方法で制御自写像群のエレメントπを選ぶ。
(1)*:φ1(x1)=x1 (4)*:φ2(xn)=xn 例
m=1、n=101、s=100とする。さらに、qj(xj+1,…,x101)を次数
4の斉次多項式(homogenous polynomial)(必要ならばゼロの可能性もある)と
する。この多項式は以下の特性を持つ。(1)各変数は各項でせいぜい一次に現
われる。(2)各変数は完全に二項に現われるかまたは全く現われないかのどち
らかである。τji(x1),sj(x1)を99より小さい次数のx1の多項式とする。以下
の例を考えてみよう。
(1)**:φ1(x1)=x1 (3)**:φ2(xj)=xj+qj(xj+1,…x101)、但しj=2,…,101
(4)**:φ2(xn):xn 集合{rji(xi)},{sj(x1)}=2の項の数を数えてみよう。s2(x1)対して100の
項がある。j=3のとき、s3(x1)に対して100の項があり、r3,2に対して10
0の項がある。続いて、j=101のとき、s101(x1)に対して100の項があり
、r101,2,…,r101,100に対して9,900の項がある。合計して、集合{ri,(x1
)},{sj(x1)}
π1(y1)=φ1 -1φ2 -1(yj)=xj(=gj(y1,…,y101))
より大きくなる。逆関数πは以下の式となる。
変数 y1,…,y101のそれぞれの多項式φ1 -1(yi)は、i=1,…,101のときに
99i-1より大きい(of degree >99i-1)をもつことが見解2から導き出される。
その次数はかなり大きい。さらに、φ1,φ2を知っている正当な使用者にとっy'1
,…,y'101からx'1,…,x'101に戻すのは易しいことが系2から導き出される。システムのための暗号分析(Cryptoanalysis)
正当な使用者にとって、n、m、s、t、hj、pj、qj、制御自写像πを選
び、逆写像π1=φ1 -1,φ2 -1(系2参照)、i=1,…,nの多項式fiを作るのは手
間のかかることではない。送り手にとって手間がかかるのは主に多項式y'i=fi(x
'i,…,x'n)の解を求めるときである。
システムを攻撃するのに4つの方法がある。(1)xiを不確定係数(indeterm
inate coefficient)を持つyiの多項式とする。xiを使って十分に実験をしyi
を決定し、それから不確定係数のある一次方程式のシステムを解いて多項式gi
を見つける。(2)結果をy1=fi(x1,…,xn)にあてはめて平常文xiに戻す。(3)
写像φ1、φ2を直接もとめる。(4)ニュートン多角形法(Newton PolyhedronMet
hod)を用いて写像φ1、φ2をもとめる。
以上の4つの方法にかかる労力について検討してみよう。
(1)見解2で指摘したようにgiの総次数はとても高いので、仮にそれらを
すべて2sと仮定する。すると、可能性として(2s+1)(2s+2)…(2s+n-1)/n!のn
倍の項がありうる。これは一次系(linear system)の次元である。結論として、
システムを解くためには少なくとも((1/(n-1)!)((2s)n))2.5回の乗法が必要にな
る。フィールドKでは、各乗法に2m回の変換操作が行われる。合計で、2m((1/
(n-1)!)((2s)n))2.5回の変換操作をして、システムが解ける。
例えば、前述の例にスターリング公式(Sterling Formula)を使用して、以下の
ような概算をしてみる。
すると、10183より多くの変換操作が必要となる。毎秒109回実行できるよう
な高速コンピュータを使うとする。一年は3.1536×107秒であるから、1
0166となる。
(2)結果を使って方程式yi=fi(x1,…,xn)から変数xjを消去し、それから式
xi,=gi,(y1,…,yn)を得るために最後の変数xjの方程式を解く。
既存の複合分析(complexity analysis)(参考文献[6]P75を参照)は〇(
n3s5nlog2(dm))である。本発明の例では、必要な変換操作数は10509より多い。
変換操作をするのに高速コンピュータでも3×10492年はかかるであろう。
(3)写像φ1、φ2を直接見つける。φ1の式はπ(xi)の最後の式に隠されて
いる。始めにφ2を見つける。多項式gj(xj+1,…,xn)が次数4の斉次である場合
を考えよう。n個の変数には次数4の単項式が(n(n+1)(n+2)(n+3))/4!ある。こ
れは、前述の方程式(3)*における可能な多項式qjの空間次元(dimension of spa
ce)である。
先の例で、(3)**における可能なqiの数τの簡単な下の界(lower bound)を見
つけよう。すべての変数x2,…,x101を8個の変数からなる11のかたまりと12
個の変数からなるかたまり1つに分離すると仮定する。以下の式を考えてみよう
。
x2x3x4x5+x4x5x6x7+x6x7x8x9+x8x9x2x3
すべての可能な類似の式の数は8!/244である。12個の変数からなるかたまり
に対応する式は12!/256ある。ゆえに、τ≧(100!/8!1112!)(8!/26)11(12!/273)〜
(100100/8881212)(6.02)1031(1.24)107>(2.89)10147となる。言いかえれば、
高速コンピュータですべての場合を見るだけでも少なくとも10130年かかるこ
とになる。
(4)ニュートン多角形法は、n次元空間におけるfiのゼロでない項のべき
指数の集合の凸面域(convex hall)についての研究である。この方法は多項式fi
について有意義な情報を与えてくれるであろう。多くのデータはfiにおける変
数xi mod 2の出現の数によって与えられる。これらのデータから、多項式
qj(xj+1,…,x101)について推測できるであろう。本発明の例では、これらのデー
タは隠されている。署名(signatures)
本発明では自写像πが使われ、そしてどんなy'1,y'2,…,y'nでも与えられるの
で、正当な使用者はデジタル型の署名としてx'i=π-1(y'i)を使って容易にx'1,x
'2,…,x'nを出すことができる。公開鍵体系(Public Key Scheme)
本発明では、以上の制御自写像の方法を強めて以下のような公開鍵体系を作り
出す([3]章を参照)。その利点の一つは、含まれる多項式がすべて二次方程
式であるという点である。まず、以下の[2]章で技術的な面を検討する。
[2]二つの概念
h1,…,hsを変数x1,…,xtの多項式とする。h1,…,hsの多項式を考えると、x1,
…,xtのときのある式rがh1,…,hsの多項式Qの最高次数をもつ式になるであろ
う。以下のように定義をする。
定義:r(x1,…,xt)を式とする。シンボルgendeg(r)における生成次数を以下の
ようにQ(h1,…,hs)の最小次数とする。
Q(h1(x1,…,x't),…,hs(x1,…,x't))=r+lower terms
もし以上の条件が満たされれば、Qはrの(最小)生成多項式(generatingpolyn
ominal)と呼ばれる。もしそのような多項式Qがなければ、gendeg(r)=∞と定義す
る。
例1:フィールドKを2mのエレメントとし、t=16、s=27とする。そ
して、以下を仮定する。
h3=x1x2;
h4=x1x3;
h5=x1x4;
h6=x1x5;
h7=x2x4;
h8=x2x5;
h9=x3x4+x6x7;
h10=x3x5+x8x9;
h11=x3x6;
h12=x5x7;
h13=x3x9;
h14=x4x8;
h15=x6x8;
h16=x6x9;
h17=x7x8+x10x11;
h18=x7x9+x12+13;
h19=x7x10;
h20=x9x11;
h21=x7x12;
h22=x8x13;
h23=x10x12;
h24=x11x13;
h25=x2 1+x14;
h26=x2 14x15;
h27=x2 15+x16;
すると、以下のように、Qはhiにおける次数8のx2 16の生成多項式となる。
Q=h4 1h4 2+h4 3h4 4+h4 5h4 6+h2 7h2 8(h2 9h2 10+h2 11h2 12+h2 13h2 14)+
h2 7h2 8h15h16(h17h18+h19h20+h21h22+h23h24)+h8 25+h4 26+h2 27
以下の例はあとで使用される。
例2:フィールドKを2mのエレメントとする。そして、以下を仮定する。
P1=x2 1;
p2=x2 2;
p3=x3x2;
p4=x1x3+x4x2;
p5=x1x4+x5x2;
p6=x1x5+x6x2;
p7=x1x2+x5x6;
すると、以下のPはKにおける上記の多項式中の最小定義多項式(minimaldefini
ng polynominal)となる。この式は次数9である。
見解6:多項式Q、Pは次の章で公開鍵体系を作るのに使用される。体系の安
全はQ、Pの次数とその複雑性にかかっている。Q、Pの次数は二つの例が示し
たテクニックによって容易に増加できる。したがって、Q、Pの次数を8、9で
あることを基盤としたいかなる攻撃も容易にしりぞけられる。
以下のように新しい数を考えてみる。hiを次数式qiを持つ(x1,…,xt)の多項
式とする。diffdim(hi)=dim({(∂(qi)/∂(xj)):j=1,…,t}を生成したベクトル空
間)を定義しよう。前述の例では、diffdim(hi)=0,2,4である。
[3]体系(Scheme)
前章で検討した多項式Q、Pと似たような多項式の組み合わせならばどれでも
体系を作り出すのに使用できる。前章の二つの例をとりあげ、そこで定義した表
記、とくに生成多項式Q(h1,…,h27)、多項式h1,…,h27、斉次多項式piを使用し
て考察する。n=70、r=30とする。フィールドKを2mの有限フィールド
F2mとする。以下の表記を使うことにする。指数i=1,…,64をj=1,…,7、k=0,…,
8のときのi=1,i=1+j+7kとして10個のかたまりに分ける。使用者はランダムに
以下を選ぶ。
αi=αi(x1,…,xi)=xiを含む1次式、但しi=1,…,70
βi={x1,…,x54}の1次式、但しi=65,…,70,98,99,100
γ={x1,…,x54}の1次式、但しi=65,…,70,98,99,100
使用者は、φ1を以下のようにどんなランダムな可逆一次変換としても選べる。
φ1(xi)=ai+{x1,…,x70}およびa,≠0、但しi,…,70のときの1次式
φ1(xi)=xi、但しi=71,…,100
使用者は、φ2、φ3を以下の条件(1)*から(7)*を満たす制御自写像として、φ4
を条件(8)*を満たす可逆一次変換として選ぶ。
(1)*:φ2(x1)=x1
(2)*:φ2(xi)=αi+Pj(x1+6k,…,x6+6k)、ここでi=1+j+7k,
但し、i=2,…,64
(3)*:φ2(xi)=αi+β2 i+γi、但しi=65,…,70
(4)*:φ2(xi)=x1+hi-70(x55,…,x70)、但しi=71,…,97
(5)*:φ2(xi)=xi+β2 i+γi、但しi=98,99,100
(6)*:φ3(xj)=xj、但しj=2,…,100.
(7)*:φ3(x1)=x1+b1Q(x71…,x97)),b1≠0
(8)*:π(xi)=φ4φ3φ2φ1(xi)=πi(xi,…,x100),πi(0,…,0)=0
フィールドKとi=1,…,100の多項式fi(xi,…,x70)=πi(x1,…,x70,0,…,0)は公
表される。体系の詳細
先行する段落に関わる表記(notions)や指数(indices)のために、φ2の式を具
体的に書き出すと以下のようになる。
(1)*:φ2(x1)=x1
(2)*:φ2(x2)=α2+p1(x1,…,x6)=α2+x2 1,
(2)*:φ2(x3)=α3+p2(x1,…,x6)=α3+x2 2,
(2)*:φ2(x4)=α4+p3(x1,…,x6)=α4+x3x2,
(2)*;φ2(x5)=α5+p4(x1,…,x6)=α5+x3x1+x4x2,
(2)*:φ2(x6)=α6+p5(x1,…,x6)=α6+x4x1+x5x2,
(2)*:φ2(x7)=α7+p6(x1,…,x6)=α7+x5x1+x6x2,
(2)*:φ2(x8)=α8+p7(x1,…,x6)=α8+x1x2+x5x6,
(2)*:φ2(x9)=α9+p1(x7,…,x12)=α9+x2 7,
(2)*:φ2(x10)=α10+p2(x7,…,x12)=α10+x2 8,
……
(2)*:φ2(x58)=α58+p1(x49,…,x54)=α58+x2 49,
(2)*:φ2(x59)=α59+p2(x49,…,x54)=α59+x2 50,
(2)*:φ2(x60)=α60+p3(x49,…,x54)=α60+x51x50,
(2)*:φ2(x61)=α61+p4(x49,…,x54)=α61+x51x49+x52x50,
(2)*:φ2(x62)=α62+p5(x49,…,x54)=α62+x52x49+x53x50,
(2)*:φ2(x63)=α63+p6(x49,…,x54)=α63+x49x53+x54x50,
(2)*:φ2(x64)=α64+p7(x49,…,x54)=α64+x49x50+x53x54,
(3)*:φ2(x65)=α65+β2 65+γ65
……
(3)*:φ2(x70)=α70+β2 70+γ70
(4)*:φ2(x71)=x71+h1(x55,…,x70)=x2 55+x56x57,
(4)*:φ2(x72)=x72+h2(x55,…,x70)=x72+x2 55+x58x59,
(4)*:φ2(x73)=x73+h3(x55,…,x70)=x73+x55x56,
(4)*:φ2(x74)=x74+h4(x55,…,x70)=x74+x55x57,
……
(4)*:φ2(x96)=x96+h26(x55,…,x70)=x96+x2 68+x69,
(4)*:φ2(x97)=x97+h27(x55,…,x70)=x97+x2 69+x70,
(5)*:φ2(x98)=x98+β2 98+γ98
(5)*:φ2(x99)=x99+β2 99+γ99
(5)*:φ2(x100)=x100+β2 100+γ100 平常文、使用者、簡潔性(Plaintexts,Users,and Compactness)
平常文の可能な数を数えよう。平常文の数はx'1,…,x'70の選択の数であるか
ら、270mの平常文がありうることがわかる。豊富な体系を持つために、そして
平常文-暗号文の対応表の形成への攻撃を避けるために、また有限フィールドF2 m
上のx2m i-xi,=0 のような恒等式を使って次数を小さくするのを避けるために、
m≧20であることが必要になる。
大勢の使用者の使用を可能にするためには大量の平常文を持てることも同様に
大切である。たくさんの使用者に可能にするために、まずmと70に関して式を
出す。これは、式φ=φ1φ2φ3φ4の自写像φの数に等しい。これらの自写像φ
の微値(negligible proportion)がφ=φ1φ2φ3φ4=φ'1φ'2φ'3φ'4よりも大
きいと仮定すると、使用者数は(φ4の選択)×(φ3の選択)×(φ2の選択)×(φ1
の選択)に
項についての似たような計算では、可能な総使用者数は27953mより大きくなる。
系2と先行する条件から、以下が得られる。
φ1、φ4は一次変換なので、π-1における理論上の総項数は100(Πj(213+i)/100
!>10254となる。写像πの式は公開されていない。その式を知らなければ、π-1
を計算することはできない。
体系の簡潔性について考えよう。次数2の多項式の項数が(71)(72)/2!である
ことは容易にわかる。100個の多項式があるので、総項数は255,600と
なる。簡単な仕掛けを使えば、この数を191,988に縮小できるであろう。
さらに小さくすることも可能と思われる。これは送り手にかかる手間である。正
当な受け取り手にとって、φ1 -1、φ2 -1、φ3 -1、φ4 -1の総項数は25,000
である。
技術の改良とともに、新しい生成多項式や定義多項式Q、Pが発見され、項数
も減少されるであろう。 エラー探知機能(Error Detecting Function)
使用者は、暗号文(y'1,…,y'100)を受け取ると、φ1 -1φ2 -1φ3 -1φ4 -1を使っ
て解読
あるにちがいない。 マスターキー機能(Master Key Function)
98、99、100から指数の集合を選ぶ。この指数集合からiを持つxiに
よって生成された対応する補空間と、1,…,100から残りの指数のxjによって生
成した補空間は、どちらも不変であるように、φ4を選ぶ。エレメントの体系が
マスターキーである。もう一つの鍵はこの指数集合からiを持つfiをすべて消去
することで作成できる。
マスターキーを作り出すもう一つの方法は、多項式Q(f1,…,fn,…,fn+r+s)を
みつけることである。この多項式とその特殊化形Q(f1,…,fn+r,0,…,0)は公開鍵
体系を作成するのに使用できる。そして、空間{c1,…,cn+r,0,…,0}が不変を
保つようにφ1を求め、i=n+r+1,…,n+r+sのときの特殊化形xi→0を使用してマ
スターキーを作り出す。
「マスターキー/一般の鍵」の関係は、関連する4つの一次変換φ1、φ'1、
φ4、φ'4のどれかを入れ替えればこわせる。
署名(Signatures) う。
jが54以下の不動整数、例えば50のときに、V={(d1,…,dj,0,…,0)}と
するように求める。τ:(c1,…,cj,…,c100)→(c1,…,cj)を投写像(projection)応の全射写像となる。さらに、この写像は制御されているので、もし(y'1,…,y'j
)の値がわかっていれば、射像の逆が見い出せる。この逆写像が署名を作る。
[4]体系のための暗号分析
I.直接法
正当な使用者にとって、αj、βj、γj、bj、および制御自写像πを選び、逆
写像π-1=φ1 -1φ2 -1φ3 -1φ4 -1(系3を参考)、そしてi=1,…,100のときの多
項式fi(x1,…,x70)=πi(x1,…,x70,0,…,0)を作るのはさほど大変ではない。送
り手にとって手間がかかるのは、おもに多項式y'j=fi(x'1,…,x'70)の解をもと
める点である。
この体系を直接に攻撃する方法は3通りある。(1)累乗の級数をもとめるた
めの「逆公式」(inverse formula)を使いπ-1の多項式をみつける方法がある(
参考文献[9]を参考)。π'だけが与えられており、理論的には存在しないπ' -1
を見つける方法はない。(2)xiを不確定係数を持つyiの多項式とする。xi
を使って十分に実験を行ってyiを決定しその不確定係数における一次方程式系
を解いて多項式giを見つける方法である。または、(3)方程式y'i=fi(x'1,…,
x'70)の結果を用い、一つだけ残してすべてのx'iを除き、y'1,…,y'100のとき
のx'jの式を取り出す。
このとき、逆写像π-1の項数は、10254を超えている。上記の3つの方法は
効力がなくなる。唯一の攻撃可能な方法はφiかそれと同等の式を取り出すこと
である。
II.生成多項式の検索(Search for the Generating Polynominal)
公開鍵体系の作成の方法を知っていれば、以下のように段階を踏んで検索を始
められるであろう。すべての多項式f1,…,f100の不変次数の単項式すべてを考慮
に入れる。これは[4]章の例1と2から導き出される。f1,…,f100における次
数9または8の多項式を考えなければならない。次数9では、次元はC108 9≒4(1
012)である。次数8では、次元は≒3.26(1011)である。これらは現在のコンピュ
ータ技術の域を超えている。必要ならば、最高次数のQ、Pを選ぶことで体系を
守れるであろう。
III.次数式の認定(Identify Degree Forms)
φ2(xi)の最高次数式であるViを見つけなければならない。fiの最高次数式
をuiとする。U=uiによって生成されたベクトル空間}とする。[4]章で指
摘したように、hiのある多項式のdiffdimは4である。ゆえに、ある定数kがあ
るときに
が成り立ち、diffdim(vk)=4となるような適当な数(z1,…,z100)を見つけたい。
必要条件は、xjに関連したwのすべての部分導関数(partial derivative)wjは
次元が4であるベクトル空間で生成される。Uij=Σaijkxkをxjに関連したuiの
部分導関数とする。以上の情報を使う方法がいくつかある。
A: Aiを100×100の係数行列(coefficient matrix)(aijk)とし、A=z1
(A1)+z2(A2)+…+z100(A100)とする。Aは変数zi,…,z100における係数一次式(c
oefficient linear form)の4列であると仮定する。これは次数5の100個の
変数について100個の斉次方程式を作り出す。これは参考文献[7]の75ペ
ージから導き出される。それによると、この方程式を解くのに必要な時間
B: diffdim(vk)=4であるから、あるC1、C2、C3、C4、C5については、
Σj=15CjWy=0 である。Bjを100×100の係数行列(aijk)とし、Σj=15CjBj
とする。Bは変数ci,…,c5における係数一次式の100より小さい列となる。こ
れは次数100の5個の変数について5個の斉次方程式を作り出す。これは参考
文献[7]の75ページから導き出される。それによると、この方程式を解くの
に必要な時間はO(m252(1002.5))となる。その数は(m2)2.5(1051)とほぼ等しい。
C: 数体F2mからランダムな数字の組み合わせ(u'i,…,u'5)をためしてもい
い。もしm=20をとれば、可能な組み合わせの総数は25m 〜1013である。
1年は3(107)秒である。1秒に109の変換操作を行う高速コンピュータ
を使うとしよう。上記のA、B、Cの方法で二次方程式を見つけるためには、そ
れぞれ、m21O320、m21034、1013年かかる。
本発明は模範的なデザインとして描かれているが、この公開の意図および範囲
内でさらに修正されるであろう。それゆえ、この出願は本発明の一般原理を使っ
てのいかなる応用、使用、改良も含むことを意図としている。さらに、この出願
は本発明が関わる分野の既知の通例的な慣習から始まり、現公開からの発展をも
含むことを意図としている。
[参考文献]
[1] ABHYANKAR,S.S.and M0H,T.T.,Embeddings of the line in the plane.,Jou
rnal flir die reine and angewandte Mathematik.,276(1975),148-166.
[2]BAJAJ,C.GARRITY,T.WARREN,J.,On the Application of Multi-Equationa1Res
ultants,Purdue University,Dept.of C.S.Technical Report CSD-TR.826(1988).
[3]BERLEKAMP,E.R.,Factoring polynomials over finite fields,Bell SystemTe
ch.J.,46(1967),1953-1859.
[4]BRANDSTR0M,H.,A public-key cryptosystem based iupon equations over a
finite field,Cryptologia,7(1983),347-358.
[5]BRBNT,R.,and KUNG,H.,,Fast Algorithms for Manipulating Formal PowerSe
rics,Journal of ACM,,25 Number4(1978),581-595.
[6]BRESINSKY,H.,0n Prime Ideals With Generic Zero xi=tni,Proc.Amer.Math
Soc.,47 Number 2(1975),329-332.
[7]CANNY,JOHN F.,The Complexity of Robot Motion Planning,The MIT Press,C
ambridge,Massachusetts,1988.
[8]COHEN,HENRI,A course in Computational Algebraic Number Theory,Springe
r-Verlag,Berlin Heidelberg New York London Paris Tokyo Hong KongBarcelon
a Budapest,1983
[9]DICKERSON,MATHEW,The inverse of an automophism in Polynomial Time,J.S
ymbolic Computation(1992(13)),209-220.
[10]LIDL,R and H.NIEDERREITER,Finite fields,Addison-Wesley,Reading,Massa
chusetts,1983.
[11]LIDL,R,On Cryptosystcms Based on Polynomials and Finite Fields,Advan
cesin Cryptology(Proceedings of EUR0CRYPT 84)(1984),10-15.
[12]MOH,T.T.,0n the Classification Problem of Embedded Lincs inCharactcr
istic p,,Algebraic Gcometry and Commutative Algebra in honor of M.Naga
ta(1988)Vol.I,267.280.
[13]NAGATA,M.,0n the automorphism group of K[X,Y],,Lectures inMathematic
s,Tokyo,1972.
[14]H.NIEDERREITER,New Deteoninistic Factorization Algorithms forPolynom
ials over Finite Fields,Contemporary Mathematics(Finite Fie1ds),168(1993
),251-268.
[15]R.L.RIVEST,A.SHAMIR & L.ADLEMAN,A Method for Obtaining DigitalSigna
tures and Public Key Cryptosystems,ACM 21,120-126(Feb.1978).
[16]J.H0PCR0FT,J.ULLMAN,Introduction to Automata Theory,Languages &Compu
tation,Addison Wesley,Reading,Massachusetts,1979.
[17]W.VAN DER KULK,On polynomial rings in two variables,,Nieuw Archiefvo
or Wiskunde.(3),I(1953),33-41.
─────────────────────────────────────────────────────
フロントページの続き
(81)指定国 EP(AT,BE,CH,DE,
DK,ES,FI,FR,GB,GR,IE,IT,L
U,MC,NL,PT,SE),OA(BF,BJ,CF
,CG,CI,CM,GA,GN,ML,MR,NE,
SN,TD,TG),AP(KE,LS,MW,SD,S
Z,UG),UA(AM,AZ,BY,KG,KZ,MD
,RU,TJ,TM),AL,AM,AT,AU,AZ
,BB,BG,BR,BY,CA,CH,CN,CZ,
DE,DK,EE,ES,FI,GB,GE,HU,I
L,IS,JP,KE,KG,KP,KR,KZ,LK
,LR,LS,LT,LU,LV,MD,MG,MK,
MN,MW,MX,NO,NZ,PL,PT,RO,R
U,SD,SE,SG,SI,SK,TJ,TM,TR
,TT,UA,UG,US,UZ,VN