JP2001036516A - 秘密鍵生成方法,暗号化方法及び暗号通信方法 - Google Patents

秘密鍵生成方法,暗号化方法及び暗号通信方法

Info

Publication number
JP2001036516A
JP2001036516A JP11203903A JP20390399A JP2001036516A JP 2001036516 A JP2001036516 A JP 2001036516A JP 11203903 A JP11203903 A JP 11203903A JP 20390399 A JP20390399 A JP 20390399A JP 2001036516 A JP2001036516 A JP 2001036516A
Authority
JP
Japan
Prior art keywords
entity
key
unique
law
entities
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP11203903A
Other languages
English (en)
Other versions
JP3953235B2 (ja
Inventor
Ryuichi Sakai
隆一 境
Yasumichi Murakami
恭通 村上
Masao Kasahara
正雄 笠原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Murata Machinery Ltd
Original Assignee
Murata Machinery Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Murata Machinery Ltd filed Critical Murata Machinery Ltd
Priority to JP20390399A priority Critical patent/JP3953235B2/ja
Publication of JP2001036516A publication Critical patent/JP2001036516A/ja
Application granted granted Critical
Publication of JP3953235B2 publication Critical patent/JP3953235B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 LLLアルゴリズムに基づく攻撃に対して安
全性が高い暗号化方式を提供する。 【解決手段】 各エンティティのID情報に基づく各エ
ンティティ固有の公開鍵と各エンティティ固有の乱数と
を用いて、各エンティティ固有の法により、秘密鍵(ベ
クトルs)が生成されて各エンティティへ送付される。
各エンティティは、その送付された自身の秘密鍵と公開
された通信対象のエンティティの公開鍵とを用いて、両
エンティティ間に固有の共通の法により、暗号化処理及
び復号処理に使用する両エンティティ間に共有の共有鍵
を生成する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、エンティティ間で
暗号通信を行う暗号通信システムにおける秘密鍵生成方
法,暗号化方法及び暗号通信方法に関する。
【0002】
【従来の技術】高度情報化社会と呼ばれる現代社会で
は、コンピュータネットワークを基盤として、ビジネス
上の重要な文書・画像情報が電子的な情報という形で伝
送通信されて処理される。このような電子情報は、容易
に複写が可能である、複写物とオリジナルとの区別が困
難であるという性質があり、情報保全の問題が重要視さ
れている。特に、「コンピュータリソースの共有」,
「マルチアクセス」,「広域化」の各要素を満たすコン
ピュータネットワークの実現が高度情報化社会の確立に
不可欠であるが、これは当事者間の情報保全の問題とは
矛盾する要素を含んでいる。このような矛盾を解消する
ための有効な手法として、人類の過去の歴史上主として
軍事,外交面で用いられてきた暗号技術が注目されてい
る。
【0003】暗号とは、情報の意味が当事者以外には理
解できないように情報を交換することである。暗号にお
いて、誰でも理解できる元の文(平文)を第三者には意
味がわからない文(暗号文)に変換することが暗号化で
あり、また、暗号文を平文に戻すことが復号であり、こ
の暗号化と復号との全過程をまとめて暗号系と呼ぶ。暗
号化の過程及び復号の過程には、それぞれ暗号化鍵及び
復号鍵と呼ばれる秘密の情報が用いられる。復号時には
秘密の復号鍵が必要であるので、この復号鍵を知ってい
る者のみが暗号文を復号でき、暗号化によって情報の秘
密性が維持され得る。
【0004】暗号化鍵と復号鍵とは、等しくても良い
し、異なっていても良い。両者の鍵が等しい暗号系は、
共通鍵暗号系と呼ばれ、米国商務省標準局が採用したD
ES(Data Encryption Standards)はその典型例であ
る。また、両者の鍵が異なる暗号系の一例として、公開
鍵暗号系と呼ばれる暗号系が提案された。この公開鍵暗
号系は、暗号系を利用する各ユーザ(エンティティ)が
暗号化鍵と復号鍵とを一対ずつ作成し、暗号化鍵を公開
鍵リストにて公開し、復号鍵のみを秘密に保持するとい
う暗号系である。公開鍵暗号系では、この一対となる暗
号化鍵と復号鍵とが異なり、一方向性関数を利用するこ
とによって暗号化鍵から復号鍵を割り出せないという特
徴を持たせている。
【0005】公開鍵暗号系は、暗号化鍵を公開するとい
う画期的な暗号系であって、高度情報化社会の確立に必
要な上述した3つの要素に適合するものであり、情報通
信技術の分野等での利用を図るべく、その研究が活発に
行われ、典型的な公開鍵暗号系としてRSA暗号系が提
案された。このRSA暗号系は、一方向性関数として素
因数分解の困難さを利用して実現されている。また、離
散対数問題を解くことの困難さ(離散対数問題)を利用
した公開鍵暗号系も種々の手法が提案されてきた。
【0006】また、各エンティティの住所,氏名等の個
人を特定するID(Identity)情報を利用する暗号系が
提案された。この暗号系では、ID情報に基づいて送受
信者間で共通の暗号化鍵を生成する。また、このID情
報に基づく暗号技法には、(1)暗号文通信に先立って
送受信者間での予備通信を必要とする方式と、(2)暗
号文通信に先立って送受信者間での予備通信を必要とし
ない方式とがある。特に、(2)の手法は予備通信が不
要であるので、エンティティの利便性が高く、将来の暗
号系の中枢をなすものと考えられている。
【0007】この(2)の手法による暗号系は、ID−
NIKS(ID-based non-interactive key sharing sch
eme)と呼ばれており、通信相手のID情報を用いて予備
通信を行うことなく暗号化鍵を共有する方式を採用して
いる。ID−NIKSは、送受信者間で公開鍵,秘密鍵
を交換する必要がなく、また鍵のリスト及び第三者によ
るサービスも必要としない方式であり、任意のエンティ
ティ間で安全に通信を行える。
【0008】図4は、このID−NIKSのシステムの
原理を示す図である。信頼できるセンタの存在を仮定
し、このセンタを中心にして共有鍵生成システムを構成
している。図4において、エンティティXの特定情報で
あるエンティティXの名前,住所,電話番号等のID情
報は、ハッシュ関数h(・)を用いてh(IDX )で表
す。センタは任意のエンティティXに対して、センタ公
開情報{PCi },センタ秘密情報{SCi }及びエン
ティティXのID情報h(IDX )に基づいて、以下の
ように秘密情報SXiを計算し、秘密裏にエンティティX
へ配布する。 SXi=Fi ({SCi },{PCi },h(IDX ))
【0009】エンティティXは他の任意のエンティティ
Yとの間で、暗号化,復号のための共有鍵KXYを、エン
ティティX自身の秘密情報{SXi},センタ公開情報
{PC i }及び相手先のエンティティYのID情報h
(IDY )を用いて以下のように生成する。 KXY=f({SXi},{PCi },h(IDY )) また、エンティティYも同様にエンティティXへの鍵を
共有鍵KYXを生成する。もし常にKXY=KYXの関係が成
立すれば、この鍵KXY,KYXをエンティティX,Y間で
暗号化鍵,復号鍵として使用できる。
【0010】上述した公開鍵暗号系では、例えばRSA
暗号系の場合にその公開鍵の長さは現在の電話番号の十
数倍となり、極めて煩雑である。これに対して、ID−
NIKSでは、各ID情報を名簿という形式で登録して
おけば、この名簿を参照して任意のエンティティとの間
で共有鍵を生成することができる。従って、図4に示す
ようなID−NIKSのシステムが安全に実現されれ
ば、多数のエンティティが加入するコンピュータネット
ワーク上で便利な暗号系を構築できる。このような理由
により、ID−NIKSが将来の暗号系の中心になると
期待されている。
【0011】
【発明が解決しようとする課題】通信相手のID情報を
用いて予備通信を行うことなく暗号化鍵及び復号鍵とな
る共有鍵を互いに共有するようなID−NIKSにあっ
ては、複数のエンティティの結託等の攻撃に対して十分
に安全であることが望まれる。しかしながら、以上のよ
うなID−NIKSにおいては、攻撃法が検討されて、
適当な人数のエンティティが結託すればセンタの秘密パ
ラメータが露呈するという問題を含んでいる。暗号学的
に安全なID−NIKSを構築できるか否かは、高度情
報化社会に重要な問題であり、より理想的な暗号方式の
探究が進められている。
【0012】上述したような結託攻撃に対して安全性を
高めるために、センタから各エンティティへ配布される
秘密鍵に予め乱数成分を加えておき、鍵共有の際の非線
形操作によってこの乱数成分を除去して共有鍵を得るよ
うにした方式(以下、先行例1という),2つの有限体
上での演算により各エンティティ毎に乱数成分を含む複
数個1組の秘密鍵を生成し、鍵共有の際に整数環上でこ
れらの秘密鍵を加算することにより乱数成分を除去して
共有鍵を得るようにした方式(特願平10−262035号,特
願平10−338190号等、以下、先行例2という)等が、本
発明者等によって考案されている。
【0013】このような先行例1,先行例2は何れも、
秘密鍵生成関数及び鍵共有関数が分離不可能であり、鍵
共有が十分に高い確率で成功するという特徴があり、従
来のID−NIKSに比較して結託攻撃に対して強い。
しかしながら、IDベクトルの次元が比較的小さい場合
には、LLL(Lenstra-Lenstra-Lovasz)アルゴリズム
の適用によって、第三者の秘密鍵を偽造する攻撃ばかり
でなく、センタの秘密行列を導く攻撃も行える可能性が
あるということが解明された。
【0014】本発明は斯かる事情に鑑みてなされたもの
であり、LLLアルゴリズムに基づく攻撃に対して安全
性が高い秘密鍵生成方法,暗号化方法及び暗号通信方法
を提供することを目的とする。
【0015】
【課題を解決するための手段】請求項1に係る秘密鍵生
成方法は、平文を暗号文に暗号化する際に使用される各
エンティティ固有の秘密鍵を、整数を法とした合同演算
により生成する方法において、各エンティティ毎に固有
の法を設定し、設定した法に従って各エンティティ固有
の秘密鍵を生成することを特徴とする。
【0016】請求項2に係る暗号化方法は、センタから
一方のエンティティへ送付された該一方のエンティティ
固有の秘密鍵と公開された他方のエンティティの公開鍵
とから求めた共有鍵を利用して平文を暗号文に暗号化す
る暗号化方法において、前記一方及び他方のエンティテ
ィ夫々で固有の法を設定し、設定した両エンティティの
固有の法に基づいて共通の法を求め、求めた共通の法に
より前記共有鍵を生成することを特徴とする。
【0017】請求項3に係る暗号通信方法は、センタか
ら各エンティティへ各エンティティ固有の秘密鍵を送付
し、一方のエンティティが前記センタから送付された該
エンティティ固有の秘密鍵と公開された他方のエンティ
ティの公開鍵とから求めた共有鍵を利用して平文を暗号
文に暗号化して他方のエンティティへ伝送し、該他方の
エンティティが伝送された暗号文を、前記センタから送
付された該エンティティ固有の秘密鍵と公開された前記
一方のエンティティの公開鍵とから求めた、前記共有鍵
と同一の共有鍵を利用して元の平文に復号することによ
り、エンティティ間で情報の通信を行う暗号通信方法に
おいて、前記各エンティティ毎に固有の法を設定し、設
定した前記各エンティティ固有の法により前記各エンテ
ィティ固有の秘密鍵を生成し、通信対象の両エンティテ
ィ固有の法に基づいて共通の法を求め、求めた共通の法
により前記共有鍵を生成することを特徴とする。
【0018】本発明では、、各エンティティ毎に各エン
ティティ固有の法を設定し、設定した法により各エンテ
ィティ固有の秘密鍵を生成する。よって、先行例1,2
も含めた従来のID−NIKSのように、秘密鍵を生成
する際に全エンティティで共通の法を用いることがない
ので、LLLアルゴリズムを用いた攻撃に対して強力と
なる。
【0019】
【発明の実施の形態】以下、本発明の実施の形態につい
て具体的に説明する。図1は、本発明の暗号通信システ
ムの構成を示す模式図である。情報の隠匿を信頼できる
1個の統括センタ1とdg 個の分割センタ10とが設定さ
れている。これらの統括センタ1及び分割センタ10とし
ては、例えば社会の公的機関を該当できる。この統括セ
ンタ1と、この暗号系システムを利用するユーザとして
の複数の各エンティティa,b,…,zとは秘密通信路
2a,2b,…,2zにより接続されており、この秘密
通信路2a,2b,…,2zを介してセンタ1から秘密
の鍵情報が各エンティティa,b,…,zへ伝送される
ようになっている。また、2人のエンティティの間には
通信路3ab,3az,3bz,…が設けられており、この通
信路3ab,3az,3bz,…を介して通信情報を暗号化し
た暗号文が互いのエンティティ間で伝送されるようにな
っている。
【0020】本発明は、先行例1の手法を基本とした方
式及び先行例2の手法を基本とした方式の何れにも適用
可能であるが、以下の例では先行例1の手法を基本とし
た方式に本発明を適用した場合について説明する。
【0021】(統括センタ1での準備処理) 第1IDベクトル(df 次元,各成分はLf ビッ
ト)を生成するための一方向性関数f(・)を公開す
る。 第2IDベクトル(dg 次元,各成分はGF(2)
の元)を生成するための一方向性関数g(・)を公開す
る。 エンティティiの固有の乱数ベクトルri (dr
元,各成分はLr ビット)を生成する。
【0022】但し、エンティティiの第1IDベクト
ル,第2IDベクトルは夫々、下記(1),(2)で表
すものとし、第2IDベクトルwi に対して成分が1と
なるインデックスの集合をWi ={j|wij=1}とす
る。
【0023】
【数1】
【0024】(j番目(j=1,2,・・・,dg )の
分割センタ10での準備処理) 素数P(j) を生成して、これを公開する。 秘密対称行列T(j) を生成する。
【0025】(エンティティの登録処理)エンティティ
iに登録を依頼された統括センタ1及び各分割センタ10
は、以下のような処理を行う。 統括センタ1は、j∈Wi なるj番目の分割センタ
10に対して、エンティティi用の秘密ベクトルxi の計
算を依頼する。 j番目の分割センタ10は、ベクトルvi を用いて、
エンティティi用の秘密ベクトルxi (j) を下記(3)
に従って計算し、これを統括センタ1へ送付する。 ベクトルxi (j) ≡T(j) ベクトルvi (mod P(j) ) …(3) 統括センタ1は、エンティティiに固有の法Pi
下記(4)に従って求めた後、中国人の剰余定理を用い
て秘密ベクトルxi を下記(5)に従って計算する。こ
こで、秘密ベクトルxi はPi を法として一意に定ま
る。
【0026】
【数2】
【0027】 統括センタ1は、更に、個人秘密乱数
ベクトルri を用いてエンティティiの秘密鍵si を下
記(6)に従って計算し、これをエンティティiへ秘密
裏に送る。
【0028】
【数3】
【0029】(エンティティ間の共有鍵の生成処理)エ
ンティティiは、以下のような計算手順によって、通信
対象のエンティティmとの共有鍵Kimを求める。 エンティティiとエンティティmとの間での共通の
法Pimを下記(7)に従って求める。
【0030】
【数4】
【0031】 下記(8)に従ってKim′を計算す
る。
【0032】
【数5】
【0033】 下記(9)に従って共有鍵Kimを計算
する。但し、Dは統括センタ1が予め公開している自然
数であり、下記(10)の条件を満たす。
【0034】
【数6】
【0035】次に、上述した暗号システムにおけるエン
ティティ間の情報の通信について説明する。図2は、2
人のエンティティi,m間における情報の通信状態を示
す模式図である。図2の例は、エンティティiが平文
(メッセージ)Mを暗号文Cに暗号化してそれをエンテ
ィティmへ伝送し、エンティティmがその暗号文Cを元
の平文(メッセージ)Mに復号する場合を示している。
【0036】エンティティi側には、エンティティmの
個人識別情報IDm を入力し、関数h(・)を利用して
ベクトルvm (公開鍵)を得る公開鍵生成器11と、統括
センタ1から送られる秘密鍵ベクトルsi と公開鍵生成
器11からの公開鍵であるベクトルvm と公開された自然
数Dとに基づいてエンティティiが求めるエンティティ
mとの共有鍵Kimを生成する共有鍵生成器12と、共有鍵
imを用いて平文(メッセージ)Mを暗号文Cに暗号化
して通信路30へ出力する暗号化器13とが備えられてい
る。
【0037】また、エンティティm側には、エンティテ
ィiの個人識別情報IDi を入力し、関数h(・)を利
用してベクトルvi (公開鍵)を得る公開鍵生成器21
と、統括センタ1から送られる秘密のベクトルsm と公
開鍵生成器21からの公開鍵であるベクトルvi と公開さ
れた自然数Dとに基づいてエンティティmが求めるエン
ティティiとの共有鍵Kmiを生成する共有鍵生成器22
と、共有鍵Kmiを用いて通信路30から入力した暗号文C
を平文(メッセージ)Mに復号して出力する復号器23と
が備えられている。
【0038】次に、動作について説明する。エンティテ
ィiからエンティティmへ情報を伝送しようとする場
合、まず、エンティティmの個人識別情報IDm が公開
鍵生成器11に入力されてベクトルvm (公開鍵)が得ら
れ、得られたベクトルvm が共有鍵生成器12へ送られ
る。また、統括センタ1及び分割センタ10にて上記
(3)〜(6)に従って求められたベクトルsi が共有
鍵生成器12へ入力される。そして、上記式(7)〜
(9)に従って共有鍵Kimが求められ、暗号化器13へ送
られる。暗号化器13において、この共有鍵Kimを用いて
平文(メッセージ)Mが暗号文Cに暗号化され、暗号文
Cが通信路30を介して伝送される。
【0039】通信路30を伝送された暗号文Cはエンティ
ティmの復号器23へ入力される。エンティティiの個人
識別情報IDi が公開鍵生成器21に入力されてベクトル
i(公開鍵)が得られ、得られたベクトルvi が共有
鍵生成器22へ送られる。また、統括センタ1及び分割セ
ンタ10にて上記(3)〜(6)に従って求められたベク
トルsm が共有鍵生成器22へ入力される。そして、上記
式(7)〜(9)に従って共有鍵Kmiが求められ、復号
器23へ送られる。復号器23において、この共有鍵Kmi
用いて暗号文Cが平文(メッセージ)Mに復号される。
【0040】なお、先行例1の手法を基本とした方式に
本発明を適用した場合について説明したが、本発明は先
行例2の手法を基本とした方式にも適用できる。この場
合には、例えば、上記(6)に加えて下記(11)のよう
な秘密鍵ベクトルsi ′を用いて、鍵共有を行うように
すれば良い。但し、Qi はエンティティi固有の法であ
る。この場合には、鍵共有の段階で個人秘密乱数ベクト
ルri が消去されるので、そのベクトルri の成分を大
きく設定することが可能である。
【0041】
【数7】
【0042】以下、本発明の方式におけるエンティティ
間での鍵共有に必要な諸条件について説明する。
【0043】(各要素のビット数)十分に高い確率で鍵
共有を成功させるためには、エンティティiに固有の秘
密乱数ベクトルri の各成分の大きさLr を log 2(P
im),Dよりも十分小さく設定する必要がある。即ち、
下記(12)とし、更に下記(13)となるようにすれば良
い。また、LLL法による結託攻撃に対してより安全に
するためには、下記(14)を満たすようにLr を設定す
る。なお、eは桁上がりのための余裕、kは設計値であ
る。
【0044】
【数8】
【0045】(関数g)関数gにより、第2IDベクト
ルwi が定まるが、ベクトルwi は、秘密鍵ベクトルx
i の法Pi 及び鍵共有の際に用いる法Pimの設定に用い
られる。従って、法Pi 及び法Pimがある程度以上の大
きさになるように、ベクトルwi の成分が1となる個数
(ベクトルwi の重み=#Wi )及び#{Wi ∩Wm
の大きさを適切に与える必要がある。
【0046】#Wi 及び#{Wi ∩Wm }がある一定の
大きさよりも必ず大きくなるようなベクトルwi ,ベク
トルwm を生成するためには、例えばID情報をある一
方向性関数h(・)に通したデータをM系列符号のよう
な定重み符号で符号化すれば良い。符号長nビット,重
み2dの定重み符号語を第2IDベクトルとした場合、
異なる2つの符号語の1の位置はd箇所で必ず一致す
る。従って、この定重み2dの符号語を用いることによ
り、法Pimの大きさをある大きさ以上にすることが可能
である。
【0047】例えば、3ビットの情報記号に対して、符
号長n=23 −1=7,重み2d=2k-1 =4となる定
重み符号を考える。この場合、情報記号は(0,0,
0)を除いて3ビットで表せるので、7種類存在する。
エンティティiの第2IDベクトルが符号語(1,1,
1,0,0,1,0)、エンティティmの第2IDベク
トルが符号語(1,0,0,1,0,1,1)で与えら
れた場合、Pim=P(1)(6) となる。
【0048】(定重み符号による第2IDベクトルの生
成)後述するように、第2IDベクトルの0の成分の割
合が高ければ高い程、LLL法を用いた結託攻撃に対す
る安全性は高くなるが、0の成分の割合を高くすれば、
#{Wi ∩Wm }をある値以上に保つことは容易でな
い。これを実現するために、以下のような定重み符号を
階層的に適用する。
【0049】 h(・)を一方向性関数として、エン
ティティのID情報から生成した値をb=2k −1進数
で表記する。即ち、下記(15)のように定義する。
【0050】
【数9】
【0051】 wij′を符号化し、この符号語をcij
とする。但し、符号化は、M系列(例:k=3の場合に
(1001011))をwij′ビットだけ左巡回シフトすることに
よって行う。 ci0の0の位置をbビットの0に置き換え、1の位
置を左から順に下記(16)に示すbビットの符号語で置
き換える。これにより、符号長b2 ,重み(2 k-1 2
の符号語に拡大することができる。
【0052】
【数10】
【0053】 以上の処理をt回階層的に繰り返すこ
とにより、符号長bt ,重み(2k- 1 t の符号語に拡
大することができる。なお、異なる第2IDベクトルの
ビットANDをとった場合の1の個数、即ち#Wimは必
ず(2k-2 t 以上となる。
【0054】上記〜を簡単な例で説明する。k=
3,b=2k −1=7,t=2とした場合、以下のよう
になる。 h(IDA )=14761 =6+3・7+0・72 +1・7
3 +2・74 ベクトルwA ′=(6,3,0,1,2) ベクトルwA ′の符号化: (6,3,0,1,2)→(1100101, 1011100, 100101
1, 0010111, 0101110) この場合、g(IDA )の計算結果は、下記(17)で与
えられる。
【0055】
【数11】
【0056】次に、本発明のID−NIKSに対するL
LLアルゴリズムを用いた攻撃手法について考察する。
【0057】(第三者の秘密ベクトルの偽造攻撃)LL
Lアルゴリズムを用いて犠牲エンティティvの秘密鍵ベ
クトルsv の近似値を求める手法について検討する。犠
牲エンティティvの秘密鍵ベクトルsv の近似値を求め
るためには、犠牲エンティティvと同じ法Pv またはそ
れを因数に含む法で生成された結託エンティティの秘密
鍵ベクトルが必要である。即ち、第2IDベクトルが犠
牲エンティティvのそれと同じか、それを含むような第
2IDベクトルを有する結託エンティティが必要であ
り、第2IDベクトルの構成を工夫することにより、こ
の攻撃法を不可能とすることができる。
【0058】また、犠牲エンティティvの法Pv の因数
を部分的に含む法を有する結託エンティティによる攻撃
法も考えられるが、もし各P(j) における法で攻撃を行
おうとしても、ベクトルri の成分がP(j) よりも大き
くなり、攻撃は不可能である。また、先行例2の手法に
基づく方式では、ベクトルri の成分がより大きく設定
可能であり、この攻撃法はより困難となる。更に、攻撃
の最終段階で中国人の剰余定理を適用する必要があり、
そのときに各結託エンティティ固有の小さな乱数項に大
きな値が乗じられるので、このような攻撃手法も成功す
る確率は十分低い。
【0059】(センタ秘密行列を求める結託攻撃法)L
LLアルゴリズムを適用して、直接センタの秘密対称行
列Tを導く攻撃に関して検討する。ここで、tp,j は対
称行列Tの第p行第j列の成分であり、対称行列Tは、
T≡T(j) (mod P(j) )(j=1,2,・・・,
g )を満たす。
【0060】結託エンティティiの秘密鍵ベクトルsi
の第1成分は、下記(18)で表せる。これをri1につい
て解くと、下記(19)となる。式(19)における既知項
は下記(20)であり、未知項は下記(21)である。
【0061】
【数12】
【0062】ここで、n人の結託エンティティ(i=
1,2,・・・,n)の上記式(19)における既知項と
未知項とから、下記(22)の行列方程式を構成する。
【0063】
【数13】
【0064】上記(22)の右辺の[−r11,−r12,・
・・,−r1n]は小さなベクトルであるため、これを格
子の最小基底ベクトルと見なしてLLLアルゴリズムを
適用した場合には、下記(23)に示す未知項が求まる可
能性がある。
【0065】
【数14】
【0066】下記(24)に示す未知項は、下記(25)に
示す法のもとに一意に定まり、それらの桁数は下記(2
6)に示すものの桁数にほぼ等しくなる。
【0067】
【数15】
【0068】一方、エンティティiが保有する秘密成分
は、法Pi を用いて導出されており、未知項tp,j と結
託エンティティiが保有する秘密成分との桁数の大きさ
の比は、関数g(・)の次元数dg とその成分が1であ
る個数との比にほぼ等しくなる。この比をRとした場
合、このような結託攻撃が成功するためには、少なくと
もdf Rの結託エンティティが必要となる。
【0069】従って、結託攻撃に対してより安全な方式
にするためには、この比Rを大きくすれば良い。例え
ば、前述したようなM系列定重み符号を階層的に用いて
g(・)を構成する場合、各パラメータをk=3,t=
4としたとき、その次元dg は74 =2401となるのに対
して、その重みは44 =256 であり、比Rは約9.38とな
る。この場合、鍵共有の際に用いる法Piwの大きさを規
定するパラメータ#Wimは24 =16となる。更に、P
(j) を20ビット程度の素数とした場合、 log 2(P im
は約320 であり、結託攻撃に用いる共通の法の大きさ
は、下記(27)となる。
【0070】
【数16】
【0071】この場合の本発明の方式に対する結託攻撃
では、結託エンティティ数を9df以上必要とし、LL
Lアルゴリズムを用いた攻撃の際の計算は48020 ビット
程度の演算になって、膨大な計算量を必要とする。
【0072】このように本発明の方式は、結託閾値と個
々の乗除算の計算量との二点に関して、先行例1,2に
比べて、LLLアルゴリズムを用いた結託攻撃に対して
より安全な方式となっている。
【0073】図3は、本発明の記録媒体の実施の形態の
構成を示す図である。以下に説明する記録媒体に記録さ
れており、上記(4)に示す各エンティティ固有の法を
求める処理と、上記(5),(6)に示す各エンティテ
ィ固有の秘密鍵を計算する処理とを含むプログラムがロ
ードされるコンピュータ40は、統括センタ1側に設けら
れている。また、以下に説明する記録媒体に記録されて
おり、上記(7)に示すエンティティ間での共通の法を
求める処理と、上記(8),(9)に示すエンティティ
間の共有鍵を計算する処理とを含むプログラムがロード
されるコンピュータ40は、各エンティティ側に設けられ
ている。
【0074】図3において、コンピュータ40とオンライ
ン接続する記録媒体41は、コンピュータ40の設置場所か
ら隔たって設置される例えばWWW(World Wide Web)の
サーバコンピュータを用いてなり、記録媒体41には前述
の如きプログラム41a が記録されている。記録媒体41か
ら読み出されたプログラム41a がコンピュータ40を制御
することにより、統括センタ1において各エンティティ
固有の秘密鍵を生成し、各エンティティにおいて通信対
象のエンティティに対する共有鍵を生成する。
【0075】コンピュータ40の内部に設けられた記録媒
体42は、内蔵設置される例えばハードディスクドライブ
またはROMなどを用いてなり、記録媒体42には前述の
如きプログラム42a が記録されている。記録媒体42から
読み出されたプログラム42aがコンピュータ40を制御す
ることにより、統括センタ1において各エンティティ固
有の秘密鍵を生成し、各エンティティにおいて通信対象
のエンティティに対する共有鍵を生成する。
【0076】コンピュータ40に設けられたディスクドラ
イブ40aに装填して使用される記録媒体43は、運搬可能
な例えば光磁気ディスク,CD−ROMまたはフレキシ
ブルディスクなどを用いてなり、記録媒体43には前述の
如きプログラム43a が記録されている。記録媒体43から
読み出されたプログラム43a がコンピュータ40を制御す
ることにより、統括センタ1において各エンティティ固
有の秘密鍵を生成し、各エンティティにおいて通信対象
のエンティティに対する共有鍵を生成する。
【0077】
【発明の効果】以上詳述したように、本発明では、各エ
ンティティ毎に各エンティティ固有の法を設定し、設定
した法により各エンティティ固有の秘密鍵を生成するよ
うにしたので、LLLアルゴリズムに基づく攻撃に対し
て安全性を高くすることが可能となる。
【0078】また、本発明の暗号通信システムでは、1
つの統括センタと複数の分割センタとが設けられ、各分
割センタがエンティティの秘密ベクトルを求めるように
したので、全てのエンティティの秘密を1つのセンタが
握るようなことはなく、BigBrother 問題を解決できて
いる。
【0079】(付記)なお、以上の説明に対して更に以
下の項を開示する。 (1) 請求項1に記載の秘密鍵生成方法であって、前
記各エンティティ固有の秘密鍵を、各エンティティの公
開鍵と各エンティティ固有の乱数とを用いて、前記設定
した法による合同演算によって生成する秘密鍵生成方
法。 (2) 第(1)項に記載の秘密鍵生成方法であって、
前記各エンティティの公開鍵は、各エンティティの特定
情報に基づいて求める秘密鍵生成方法。 (3) 請求項1,第(1),(2)項の何れかに記載
の秘密鍵生成方法であって、各エンティティ毎に固有の
法を、階層的符号化手法を用いて設定する秘密鍵生成方
法。 (4) 請求項2に記載の暗号化方法であって、前記各
エンティティ固有の秘密鍵を、各エンティティの公開鍵
と各エンティティ固有の乱数とを用いて、前記各エンテ
ィティ固有の法により生成する暗号化方法。 (5) 請求項2,第(4)項の何れかに記載の暗号化
方法であって、前記各エンティティの公開鍵は、各エン
ティティの特定情報に基づいて求める暗号化方法。 (6) 請求項2,第(4),(5)項の何れかに記載
の暗号化方法であって、各エンティティ固有の法、及び
/または、両エンティティ共通の法を、階層的符号化手
法を用いて設定する暗号化方法。 (7) 請求項3に記載の暗号通信方法であって、前記
各エンティティ固有の秘密鍵を、各エンティティの公開
鍵と各エンティティ固有の乱数とを用いて、前記各エン
ティティ固有の法により生成する暗号通信方法。 (8) 請求項3,第(7)項の何れかに記載の暗号通
信方法であって、前記各エンティティの公開鍵は、各エ
ンティティの特定情報に基づいて求める暗号通信方法。 (9) 請求項3,第(7),(8)項の何れかに記載
の暗号通信方法であって、各エンティティ固有の法、及
び/または、両エンティティ共通の法を、階層的符号化
手法を用いて設定する暗号通信方法。 (10) 送信すべき情報である平文を暗号文に暗号化
する処理、及び、送信された暗号文を元の平文に復号す
る処理を、複数のエンティティ間で相互に行う暗号通信
システムにおいて、前記各エンティティ毎に固有の法を
設定し、設定した法により各エンティティ固有の秘密鍵
を生成して各エンティティへ送付するセンタと、該セン
タから送付された自身固有の秘密鍵と通信対象のエンテ
ィティ固有の公開鍵とを用いて、前記暗号化処理及び復
号処理を行うための共有鍵を生成する複数のエンティテ
ィとを有する暗号通信システム。 (11) 第(10)項に記載の暗号通信システムであ
って、両エンティティの設定した固有の法に基づいて共
通の法を求め、求めた共通の法により前記共有鍵を生成
するようにした暗号通信システム。 (12) コンピュータに、平文を暗号文に暗号化する
際に使用されるエンティティに固有の秘密鍵を、整数を
法とした合同演算により生成させるためのプログラムが
記録されているコンピュータでの読み取りが可能な記録
媒体において、前記エンティティに固有の法を設定する
ことをコンピュータに実行させるプログラムコード手段
と、設定した法に従って前記エンティティに固有の秘密
鍵を生成することをコンピュータに実行させるプログラ
ムコード手段とを含むプログラムが記録されている記録
媒体。 (13) コンピュータに、平文を暗号文に暗号化する
処理、及び、暗号文を元の平文に復号する処理を行う際
に用いられる通信対象の両エンティティ間の共有鍵を生
成させるためのプログラムが記録されているコンピュー
タでの読み取りが可能な記録媒体において、設定された
前記両エンティティ夫々の固有の法に基づいて共通の法
を求めることをコンピュータに実行させるプログラムコ
ード手段と、求めた共通の法により前記共有鍵を生成す
ることをコンピュータに実行させるプログラムコード手
段とを含むプログラムが記録されている記録媒体。
【図面の簡単な説明】
【図1】本発明の暗号通信システムの構成を示す模式図
である。
【図2】2人のエンティティ間における情報の通信状態
を示す模式図である。
【図3】記録媒体の実施の形態の構成を示す図である。
【図4】ID−NIKSのシステムの原理構成図であ
る。
【符号の説明】
1 統括センタ 10 分割センタ 11,21 公開鍵生成器 12,22 共有鍵生成器 13 暗号化器 23 復号器 30 通信路 40 コンピュータ 41,42,43 記録媒体
───────────────────────────────────────────────────── フロントページの続き (72)発明者 村上 恭通 京都府京都市伏見区竹田向代町136番地 村田機械株式会社本社工場内 (72)発明者 笠原 正雄 大阪府箕面市粟生外院4丁目15番3号 Fターム(参考) 5J104 AA16 AA41 EA04 EA24 EA26 JA03 JA21 NA02

Claims (3)

    【特許請求の範囲】
  1. 【請求項1】 平文を暗号文に暗号化する際に使用され
    る各エンティティ固有の秘密鍵を、整数を法とした合同
    演算により生成する方法において、各エンティティ毎に
    固有の法を設定し、設定した法に従って各エンティティ
    固有の秘密鍵を生成することを特徴とする秘密鍵生成方
    法。
  2. 【請求項2】 センタから一方のエンティティへ送付さ
    れた該一方のエンティティ固有の秘密鍵と公開された他
    方のエンティティの公開鍵とから求めた共有鍵を利用し
    て平文を暗号文に暗号化する暗号化方法において、前記
    一方及び他方のエンティティ夫々で固有の法を設定し、
    設定した両エンティティの固有の法に基づいて共通の法
    を求め、求めた共通の法により前記共有鍵を生成するこ
    とを特徴とする暗号化方法。
  3. 【請求項3】 センタから各エンティティへ各エンティ
    ティ固有の秘密鍵を送付し、一方のエンティティが前記
    センタから送付された該エンティティ固有の秘密鍵と公
    開された他方のエンティティの公開鍵とから求めた共有
    鍵を利用して平文を暗号文に暗号化して他方のエンティ
    ティへ伝送し、該他方のエンティティが伝送された暗号
    文を、前記センタから送付された該エンティティ固有の
    秘密鍵と公開された前記一方のエンティティの公開鍵と
    から求めた、前記共有鍵と同一の共有鍵を利用して元の
    平文に復号することにより、エンティティ間で情報の通
    信を行う暗号通信方法において、前記各エンティティ毎
    に固有の法を設定し、設定した前記各エンティティ固有
    の法により前記各エンティティ固有の秘密鍵を生成し、
    通信対象の両エンティティ固有の法に基づいて共通の法
    を求め、求めた共通の法により前記共有鍵を生成するこ
    とを特徴とする暗号通信方法。
JP20390399A 1999-07-16 1999-07-16 暗号通信方法及び暗号通信システム Expired - Fee Related JP3953235B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP20390399A JP3953235B2 (ja) 1999-07-16 1999-07-16 暗号通信方法及び暗号通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP20390399A JP3953235B2 (ja) 1999-07-16 1999-07-16 暗号通信方法及び暗号通信システム

Publications (2)

Publication Number Publication Date
JP2001036516A true JP2001036516A (ja) 2001-02-09
JP3953235B2 JP3953235B2 (ja) 2007-08-08

Family

ID=16481624

Family Applications (1)

Application Number Title Priority Date Filing Date
JP20390399A Expired - Fee Related JP3953235B2 (ja) 1999-07-16 1999-07-16 暗号通信方法及び暗号通信システム

Country Status (1)

Country Link
JP (1) JP3953235B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7213004B2 (en) * 2001-04-12 2007-05-01 Koninklijke Philips Electronics N.V. Apparatus and methods for attacking a screening algorithm based on partitioning of content

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7213004B2 (en) * 2001-04-12 2007-05-01 Koninklijke Philips Electronics N.V. Apparatus and methods for attacking a screening algorithm based on partitioning of content

Also Published As

Publication number Publication date
JP3953235B2 (ja) 2007-08-08

Similar Documents

Publication Publication Date Title
JP7164580B2 (ja) ウォレット管理システムと併せたブロックチェーンベースのシステムのための暗号鍵のセキュアなマルチパーティ損失耐性のある記憶及び転送
US6859533B1 (en) System and method for transferring the right to decode messages in a symmetric encoding scheme
US7239701B1 (en) Key sharing method, secret key generating method, common key generating method and cryptographic communication method in ID-NIKS cryptosystem
CN105025024B (zh) 一种基于无证书条件代理重加密系统与方法
JP2001211153A (ja) 秘密鍵生成方法
Son et al. Conditional proxy re-encryption for secure big data group sharing in cloud environment
Mandal et al. A cryptosystem based on vigenere cipher by using mulitlevel encryption scheme
JP4450969B2 (ja) 鍵共有システム,秘密鍵生成装置,共通鍵生成システム,暗号通信方法,暗号通信システム及び記録媒体
JP2001211154A (ja) 秘密鍵生成方法,暗号化方法及び暗号通信方法
CN114095171A (zh) 一种基于身份的可穿刺代理重加密方法
JP2006227411A (ja) 通信システム、暗号化装置、鍵生成装置、鍵生成方法、復元装置、通信方法、暗号化方法、暗号復元方法
Harn et al. A novel threshold cryptography with membership authentication and key establishment
Backes et al. Fully secure inner-product proxy re-encryption with constant size ciphertext
JP2004201124A (ja) 公開鍵暗号方法,署名方法,暗号通信システム及びコンピュータプログラム
JP3953235B2 (ja) 暗号通信方法及び暗号通信システム
Kumar et al. New password embedding technique using elliptic curve over finite field
JP3622072B2 (ja) 暗号通信方法
Varfolomeev On the comparison of methods for asymmetric execution of cryptographic primitives and protocols in the context of using small parameters and short keys
JP3592118B2 (ja) 暗号化装置,暗号通信方法,暗号通信システム及び記録媒体
JP3464153B2 (ja) 暗号通信方法及び暗号通信システム
JP3587746B2 (ja) 秘密鍵生成器,暗号化装置,暗号通信方法,暗号通信システム及び記録媒体
Shi et al. A novel one‐to‐many and many‐to‐one asymmetric encryption model and its algorithms
JP2000216768A (ja) 暗号化方法及び暗号通信方法並びに暗号通信システム
JP2001053738A (ja) 秘密鍵生成方法,暗号化方法及び暗号通信方法
JP3283202B2 (ja) 暗号通信方法

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20040817

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041015

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20041021

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20050624

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070323

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070424

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees