JP2001222218A - 暗号化装置、方法、復号装置、方法、暗号システム及びプログラムを記憶した記憶媒体 - Google Patents
暗号化装置、方法、復号装置、方法、暗号システム及びプログラムを記憶した記憶媒体Info
- Publication number
- JP2001222218A JP2001222218A JP2000032461A JP2000032461A JP2001222218A JP 2001222218 A JP2001222218 A JP 2001222218A JP 2000032461 A JP2000032461 A JP 2000032461A JP 2000032461 A JP2000032461 A JP 2000032461A JP 2001222218 A JP2001222218 A JP 2001222218A
- Authority
- JP
- Japan
- Prior art keywords
- function
- ciphertext
- symk
- secret key
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 公開鍵暗号による暗号文に対する能動的な攻
撃に対して高い安全性が得られるようにする。 【解決手段】 暗号化装置100において、tビットの
平文をMとし、乱数発生器101よりkビットの乱数R
及びlビットの乱数rを発生させる。関数演算器G10
2によりRを用いて秘密鍵symK=G(R)を計算す
る。また、公開鍵暗号暗号化演算器103により、R,
rと公開鍵pkとを用いて暗号文C1 =E pk(R, r)
を生成する。また、秘密鍵暗号暗号化演算器104によ
り、上記秘密鍵symKと平文Mとを用いて暗号文C2
=symEsymK(M)を生成する。さらに、関数演算器
H105によりC3 =H(C1,R,M)を計算し、C
=(C1 ,C2 ,C3 )を暗号文として出力する。
撃に対して高い安全性が得られるようにする。 【解決手段】 暗号化装置100において、tビットの
平文をMとし、乱数発生器101よりkビットの乱数R
及びlビットの乱数rを発生させる。関数演算器G10
2によりRを用いて秘密鍵symK=G(R)を計算す
る。また、公開鍵暗号暗号化演算器103により、R,
rと公開鍵pkとを用いて暗号文C1 =E pk(R, r)
を生成する。また、秘密鍵暗号暗号化演算器104によ
り、上記秘密鍵symKと平文Mとを用いて暗号文C2
=symEsymK(M)を生成する。さらに、関数演算器
H105によりC3 =H(C1,R,M)を計算し、C
=(C1 ,C2 ,C3 )を暗号文として出力する。
Description
【0001】
【発明の属する技術分野】本発明は、文書を公開鍵暗号
を用いた暗号文に変換する暗号化装置、方法、暗号文を
解読する復号装置、方法、暗号化装置と復号装置からな
る暗号システム、及び暗号化装置、復号装置で用いられ
るプログラムを記憶した記憶媒体に関するものである。
を用いた暗号文に変換する暗号化装置、方法、暗号文を
解読する復号装置、方法、暗号化装置と復号装置からな
る暗号システム、及び暗号化装置、復号装置で用いられ
るプログラムを記憶した記憶媒体に関するものである。
【0002】
【従来の技術】一般に、暗号法は共通鍵暗号システムと
公開鍵暗号システムの二種類に大別できる。公開鍵暗号
システムは、共通鍵暗号システムで問題となる鍵配送の
問題や鍵の管理の問題などを解決する方法である。代表
的な公開鍵暗号として、RSA 暗号、Rabin暗号、ElGamal
暗号、楕円曲線暗号(楕円E1Gamal 暗号)などが挙げ
られる。
公開鍵暗号システムの二種類に大別できる。公開鍵暗号
システムは、共通鍵暗号システムで問題となる鍵配送の
問題や鍵の管理の問題などを解決する方法である。代表
的な公開鍵暗号として、RSA 暗号、Rabin暗号、ElGamal
暗号、楕円曲線暗号(楕円E1Gamal 暗号)などが挙げ
られる。
【0003】これらの公開鍵暗号のうちE1Gamal 暗号、
楕円曲線暗号(楕円EIGamal 暗号)などは、暗号化処理
に乱数が使われ、確率暗号と呼ばれる。
楕円曲線暗号(楕円EIGamal 暗号)などは、暗号化処理
に乱数が使われ、確率暗号と呼ばれる。
【0004】暗号文に対する攻撃法には、大きく分けて
受動的攻撃と能動的攻撃とがある。受動的攻撃とは、攻
撃者が単に暗号文と公開情報から平文を探索することで
ある。能動的攻撃とは、攻撃者は自分が自由に選択した
暗号文を正規の受信者に復号してもらうことができる。
能動的攻撃に対しても安全な暗号方式を用いることは、
より強い安全性を保証する暗号文を構成することを意味
する。
受動的攻撃と能動的攻撃とがある。受動的攻撃とは、攻
撃者が単に暗号文と公開情報から平文を探索することで
ある。能動的攻撃とは、攻撃者は自分が自由に選択した
暗号文を正規の受信者に復号してもらうことができる。
能動的攻撃に対しても安全な暗号方式を用いることは、
より強い安全性を保証する暗号文を構成することを意味
する。
【0005】従来、RSA 暗号のような確定的な暗号に基
づき、能動的攻撃に強い暗号文を作成する一般的な方法
としては、Bellare ,Rogaway による0AEP(0ptima1 As
ymmetric Encryption Padding )という方法が知られて
いる(M.Bellare and P.Rogaway,“0ptima1 Asymmet
ric Encryption −How to encrypt with RSA” Advance
s in Cryptology -EUROCRYPT’94,LNCS,Springer‐Ve
rlag,1995.)。この方法は、ランダム関数(例えば、SH
A などのハッシュ関数であり、その具体的な構成法は上
記論文に掲載)を2種類用いて構成する方法である。
づき、能動的攻撃に強い暗号文を作成する一般的な方法
としては、Bellare ,Rogaway による0AEP(0ptima1 As
ymmetric Encryption Padding )という方法が知られて
いる(M.Bellare and P.Rogaway,“0ptima1 Asymmet
ric Encryption −How to encrypt with RSA” Advance
s in Cryptology -EUROCRYPT’94,LNCS,Springer‐Ve
rlag,1995.)。この方法は、ランダム関数(例えば、SH
A などのハッシュ関数であり、その具体的な構成法は上
記論文に掲載)を2種類用いて構成する方法である。
【0006】
【発明が解決しようとする課題】しかしながら、上記0A
EPは確率暗号には適用できないため、確率暗号を用いて
能動的攻撃に強い暗号文を作成するための一般的な方法
は知られていなかった。
EPは確率暗号には適用できないため、確率暗号を用いて
能動的攻撃に強い暗号文を作成するための一般的な方法
は知られていなかった。
【0007】本発明は、一般的な公開鍵暗号(確率暗号
を含む)を用いて能動的攻撃に強い暗号文を作成するこ
とができるようにすることを目的としている。
を含む)を用いて能動的攻撃に強い暗号文を作成するこ
とができるようにすることを目的としている。
【0008】
【課題を解決するための手段】上記の目的を達成するた
めに、本発明による暗号化装置は、乱数R,rを発生す
る乱数発生手段(例えば実施の形態における乱数発生器
101)と、上記乱数R,rと公開鍵pkとを用いて暗
号文C1=Epk(R,r)を計算する公開鍵暗号暗号化
演算手段(同公開鍵暗号暗号化演算器103)と、上記
乱数Rと関数Gとを用いて秘密鍵symK=G(R)を
計算する第1の関数演算手段(同関数演算器G102)
と、上記秘密鍵symKと平文Mとを用いて暗号文C2
=symEsymK(M)を計算する秘密鍵暗号暗号化演算
手段(同秘密鍵暗号暗号化演算器104)と、上記乱数
Rと上記暗号文C1と上記平文Mと関数Hとを用いて暗
号文C3=H(C1,R,M)を計算する第2の関数演算
手段(同関数演算器H105)と、暗号文C=(C1,
C2,C3)を出力する出力手段とを設けている。
めに、本発明による暗号化装置は、乱数R,rを発生す
る乱数発生手段(例えば実施の形態における乱数発生器
101)と、上記乱数R,rと公開鍵pkとを用いて暗
号文C1=Epk(R,r)を計算する公開鍵暗号暗号化
演算手段(同公開鍵暗号暗号化演算器103)と、上記
乱数Rと関数Gとを用いて秘密鍵symK=G(R)を
計算する第1の関数演算手段(同関数演算器G102)
と、上記秘密鍵symKと平文Mとを用いて暗号文C2
=symEsymK(M)を計算する秘密鍵暗号暗号化演算
手段(同秘密鍵暗号暗号化演算器104)と、上記乱数
Rと上記暗号文C1と上記平文Mと関数Hとを用いて暗
号文C3=H(C1,R,M)を計算する第2の関数演算
手段(同関数演算器H105)と、暗号文C=(C1,
C2,C3)を出力する出力手段とを設けている。
【0009】本発明による復号装置は、上記暗号化装置
で生成された上記暗号文C=(C1,C2,C3)を入力
する入力手段と、上記暗号文C1と秘密鍵skとを用い
て乱数R′=Dsk(C1)を計算する公開鍵暗号復号演
算手段(同公開鍵暗号復号演算器201)と、上記乱数
R′と上記関数Gとを用いて秘密鍵symK′=G
(R′)を計算する第1の関数演算手段(同関数演算器
G202)と、上記秘密鍵symK′と上記暗号文C2
とを用いて平文M′=symDsymK′(C2)を計算す
る秘密鍵暗号復号演算手段(同秘密鍵暗号復号演算器2
03)と、上記平文M′と上記暗号文C2と乱数R′と
関数Hとを用いて暗号文C3′=H(C1,R′,M′)
を計算する第2の関数演算手段(同関数演算器H20
4)と、上記暗号文C3′と暗号文C3とを比較する比較
手段(同比較器205)とを設けている。
で生成された上記暗号文C=(C1,C2,C3)を入力
する入力手段と、上記暗号文C1と秘密鍵skとを用い
て乱数R′=Dsk(C1)を計算する公開鍵暗号復号演
算手段(同公開鍵暗号復号演算器201)と、上記乱数
R′と上記関数Gとを用いて秘密鍵symK′=G
(R′)を計算する第1の関数演算手段(同関数演算器
G202)と、上記秘密鍵symK′と上記暗号文C2
とを用いて平文M′=symDsymK′(C2)を計算す
る秘密鍵暗号復号演算手段(同秘密鍵暗号復号演算器2
03)と、上記平文M′と上記暗号文C2と乱数R′と
関数Hとを用いて暗号文C3′=H(C1,R′,M′)
を計算する第2の関数演算手段(同関数演算器H20
4)と、上記暗号文C3′と暗号文C3とを比較する比較
手段(同比較器205)とを設けている。
【0010】本発明による暗号システムは、乱数R,r
を発生する乱数発生手段と、上記乱数R,rと公開鍵p
kとを用いて暗号文C1=Epk(R,r)を計算する公
開鍵暗号暗号化演算手段と、上記乱数Rと関数Gとを用
いて秘密鍵symK=G(R)を計算する第1の関数演
算手段と、上記秘密鍵symKと平文Mとを用いて暗号
文C2=symEsymK(M)を計算する秘密鍵暗号暗号
化演算手段と、上記乱数Rと上記暗号文C1と上記平文
Mと関数Hとを用いて暗号文C3=H(C1,R,M)を
計算する第2の関数演算手段と、暗号文C=(C1,
C2,C3)を出力する出力手段とを有する暗号化装置
と、上記暗号文C=(C1,C2,C3)を入力する入力
手段と、上記暗号文C1と秘密鍵skとを用いて乱数
R′=Dsk(C1)を計算する公開鍵暗号復号演算手段
と、上記乱数R′と上記関数Gとを用いて秘密鍵sym
K′=G(R′)を計算する第3の関数演算手段(同関
数演算器G202)と、上記秘密鍵symK′と上記暗
号文C2とを用いて平文M′=symDsymK′(C2)を
計算する秘密鍵暗号復号演算手段と、上記平文M′と上
記暗号文C1と乱数R′と関数Hとを用いて暗号文C3′
=H(C1,R′,M′)を計算する第4の関数演算手
段(同関数演算器H204)と、上記暗号文C3′と暗
号文C3とを比較する比較手段とを有する復号装置とを
備えている。
を発生する乱数発生手段と、上記乱数R,rと公開鍵p
kとを用いて暗号文C1=Epk(R,r)を計算する公
開鍵暗号暗号化演算手段と、上記乱数Rと関数Gとを用
いて秘密鍵symK=G(R)を計算する第1の関数演
算手段と、上記秘密鍵symKと平文Mとを用いて暗号
文C2=symEsymK(M)を計算する秘密鍵暗号暗号
化演算手段と、上記乱数Rと上記暗号文C1と上記平文
Mと関数Hとを用いて暗号文C3=H(C1,R,M)を
計算する第2の関数演算手段と、暗号文C=(C1,
C2,C3)を出力する出力手段とを有する暗号化装置
と、上記暗号文C=(C1,C2,C3)を入力する入力
手段と、上記暗号文C1と秘密鍵skとを用いて乱数
R′=Dsk(C1)を計算する公開鍵暗号復号演算手段
と、上記乱数R′と上記関数Gとを用いて秘密鍵sym
K′=G(R′)を計算する第3の関数演算手段(同関
数演算器G202)と、上記秘密鍵symK′と上記暗
号文C2とを用いて平文M′=symDsymK′(C2)を
計算する秘密鍵暗号復号演算手段と、上記平文M′と上
記暗号文C1と乱数R′と関数Hとを用いて暗号文C3′
=H(C1,R′,M′)を計算する第4の関数演算手
段(同関数演算器H204)と、上記暗号文C3′と暗
号文C3とを比較する比較手段とを有する復号装置とを
備えている。
【0011】本発明による暗号方法は、mを平文(暗号
の対象となる文書)、rを乱数、(pk,sk)を公開
鍵と秘密鍵の対とするとき、pk,m,rより暗号文C
=E pk(m,r)が作られるような公開鍵暗号、ならび
に秘密鍵symKと平文symMとから暗号文symC
=symEsymK(symM)が作られ、上記秘密鍵sy
mKと暗号文symCとから平文symM=symD
symK(symC)が作られるような秘密鍵暗号を用いて
暗号文を生成する暗号化方法であって、HおよびGを関
数とし、暗号化処理として、平文Mと乱数R及びr、公
開鍵pkを用いてC1=Epk(R,r),C2=symE
G(R)(M)及びC3=H(C1,R,M)を生成し、 C=
(C1,C2,C3)を暗号文とするものである。
の対象となる文書)、rを乱数、(pk,sk)を公開
鍵と秘密鍵の対とするとき、pk,m,rより暗号文C
=E pk(m,r)が作られるような公開鍵暗号、ならび
に秘密鍵symKと平文symMとから暗号文symC
=symEsymK(symM)が作られ、上記秘密鍵sy
mKと暗号文symCとから平文symM=symD
symK(symC)が作られるような秘密鍵暗号を用いて
暗号文を生成する暗号化方法であって、HおよびGを関
数とし、暗号化処理として、平文Mと乱数R及びr、公
開鍵pkを用いてC1=Epk(R,r),C2=symE
G(R)(M)及びC3=H(C1,R,M)を生成し、 C=
(C1,C2,C3)を暗号文とするものである。
【0012】本発明による復号方法は、上記暗号方法に
より生成された暗号文を復号する場合に、C及び秘密鍵
sk,公開鍵pkよりR′=Dsk(C1)及びびM′=
symDG(R′) (C2)を計算し、C3′=H(C1,
R′,M′)とC3とが一致するかどうかを検証し、一
致すれば、M´を平文Mとして出力するものである。
より生成された暗号文を復号する場合に、C及び秘密鍵
sk,公開鍵pkよりR′=Dsk(C1)及びびM′=
symDG(R′) (C2)を計算し、C3′=H(C1,
R′,M′)とC3とが一致するかどうかを検証し、一
致すれば、M´を平文Mとして出力するものである。
【0013】本発明によるプログラムを記憶した記憶媒
体は、乱数R,rを発生する乱数発生手順と、上記乱数
R,rと公開鍵pkとを用いて暗号文C1=Epk(R,
r)を計算する公開鍵暗号暗号化演算手処理と、上記乱
数Rと関数Gとを用いて秘密鍵symK=G(R)を計
算する第1の関数演算手順と、上記秘密鍵symKと平
文Mとを用いて暗号文C2=symEsymK(M)を計算
する秘密鍵暗号暗号化演算手順と、上記乱数Rと上記暗
号文C1と上記平文Mと関数Hとを用いて暗号文C3=H
(C1,R,M)を計算する第2の関数演算手順と、暗
号文C=(C1,C2,C3)を出力する出力手順とを実
行するためのプログラムを記憶したものである。
体は、乱数R,rを発生する乱数発生手順と、上記乱数
R,rと公開鍵pkとを用いて暗号文C1=Epk(R,
r)を計算する公開鍵暗号暗号化演算手処理と、上記乱
数Rと関数Gとを用いて秘密鍵symK=G(R)を計
算する第1の関数演算手順と、上記秘密鍵symKと平
文Mとを用いて暗号文C2=symEsymK(M)を計算
する秘密鍵暗号暗号化演算手順と、上記乱数Rと上記暗
号文C1と上記平文Mと関数Hとを用いて暗号文C3=H
(C1,R,M)を計算する第2の関数演算手順と、暗
号文C=(C1,C2,C3)を出力する出力手順とを実
行するためのプログラムを記憶したものである。
【0014】本発明による他のプログラムを記憶した記
憶媒体は、上記記憶媒体の処理により生成された上記暗
号文C=(C1,C2,C3)を入力する入力処理と、上
記暗号文C1と秘密鍵skとを用いて乱数R′=D
sk(C1)を計算する公開鍵暗号復号化演算手順と、上
記乱数R′と上記関数Gとを用いて秘密鍵symK′=
G(R′)を計算する第1の関数演算手順と、上記秘密
鍵symK′と上記暗号文C 2とを用いて平文M′=s
ymDsymK′(C2)を計算する秘密鍵暗号復号化演算
手順と、上記平文M′と上記暗号文C1 と乱数R′と関
数Hとを用いて暗号文C 3′=H(C1,R′,M′)を
計算する第2の関数演算手順と、上記暗号文C3′と暗
号文C3 とを比較する比較手段とを実行するためのプロ
グラムを記憶したものである。
憶媒体は、上記記憶媒体の処理により生成された上記暗
号文C=(C1,C2,C3)を入力する入力処理と、上
記暗号文C1と秘密鍵skとを用いて乱数R′=D
sk(C1)を計算する公開鍵暗号復号化演算手順と、上
記乱数R′と上記関数Gとを用いて秘密鍵symK′=
G(R′)を計算する第1の関数演算手順と、上記秘密
鍵symK′と上記暗号文C 2とを用いて平文M′=s
ymDsymK′(C2)を計算する秘密鍵暗号復号化演算
手順と、上記平文M′と上記暗号文C1 と乱数R′と関
数Hとを用いて暗号文C 3′=H(C1,R′,M′)を
計算する第2の関数演算手順と、上記暗号文C3′と暗
号文C3 とを比較する比較手段とを実行するためのプロ
グラムを記憶したものである。
【0015】
【発明の実施の形態】以下、本発明の実施の形態を図面
と共に説明する。本実施の形態は、一般的な公開鍵暗号
を用いて能動的攻撃に強い暗号文を構成する方法とし
て、ランダム関数を2回利用するだけで所定の安全性が
得られる新しい暗号方式を提案するものである。
と共に説明する。本実施の形態は、一般的な公開鍵暗号
を用いて能動的攻撃に強い暗号文を構成する方法とし
て、ランダム関数を2回利用するだけで所定の安全性が
得られる新しい暗号方式を提案するものである。
【0016】図1は本実施の形態による公開鍵暗号を用
いた暗号化装置100を示すブロック図、図2は暗号化
装置100で作成された暗号文を解読(復号)する復号
装置200を示すブロック図である。上記暗号化装置1
00及び復号装置200により暗号システムが構成され
る。
いた暗号化装置100を示すブロック図、図2は暗号化
装置100で作成された暗号文を解読(復号)する復号
装置200を示すブロック図である。上記暗号化装置1
00及び復号装置200により暗号システムが構成され
る。
【0017】次に、暗号化処理及び復号処理について説
明する。まず、ある公開鍵暗号を仮定する。この公開鍵
暗号は、mを平文(暗号の対象となる文書)、rを乱
数、(pk,sk)を公開鍵と秘密鍵の対とするとき、
暗号文cは、c=Epk(m,r)で表現する。また、秘
密鍵を用いた復号関数は、Dskで表現する。このとき、
mの長さをkビット、rの長さをlビットとする。
明する。まず、ある公開鍵暗号を仮定する。この公開鍵
暗号は、mを平文(暗号の対象となる文書)、rを乱
数、(pk,sk)を公開鍵と秘密鍵の対とするとき、
暗号文cは、c=Epk(m,r)で表現する。また、秘
密鍵を用いた復号関数は、Dskで表現する。このとき、
mの長さをkビット、rの長さをlビットとする。
【0018】また、ある秘密鍵暗号を仮定する。この秘
密鍵暗号では、秘密鍵symKと平文symMから、暗
号文symC=symEsymK(symM)が作られ、ま
た、秘密鍵symKと暗号文symCから平文symM
=symDsymK(symC)が復号される。ここで、s
ymKの長さをsビットとする。
密鍵暗号では、秘密鍵symKと平文symMから、暗
号文symC=symEsymK(symM)が作られ、ま
た、秘密鍵symKと暗号文symCから平文symM
=symDsymK(symC)が復号される。ここで、s
ymKの長さをsビットとする。
【0019】また、Hを任意のサイズのデータを特定の
サイズのデータに変換するランダム関数、Gをkビット
のデータをsビットに変換するランダム関数とする(こ
のようなランダム関数の具体例については、上記OAEPの
論文を参照)。
サイズのデータに変換するランダム関数、Gをkビット
のデータをsビットに変換するランダム関数とする(こ
のようなランダム関数の具体例については、上記OAEPの
論文を参照)。
【0020】まず、図1の暗号化装置100による暗号
化処理について説明する。図1において、tビットの平
文をMとする。乱数発生器101よりkビットの乱数R
とlビットの乱数rを発生させる。そして、関数演算器
G102により乱数Rを用いて秘密鍵symK=G
(R)を計算する。
化処理について説明する。図1において、tビットの平
文をMとする。乱数発生器101よりkビットの乱数R
とlビットの乱数rを発生させる。そして、関数演算器
G102により乱数Rを用いて秘密鍵symK=G
(R)を計算する。
【0021】また、公開鍵暗号暗号化演算器103に上
記乱数R,rと公開鍵pkとを入力して暗号文C1=E
pk(R,r)を生成する。次に、秘密鍵暗号暗号化演算
器104に、上記Mと関数演算器G102で計算された
秘密鍵symKとを入力し、暗号文C2=symEsymk
(M)を生成する。さらに、関数演算器H105に、公
開鍵暗号暗号化演算器103で計算された上記暗号文C
1と乱数Rとを入力して、暗号文C3=H(C1,R,
M)を計算し、C=(C1,C2,C3)を暗号文として
出力する。
記乱数R,rと公開鍵pkとを入力して暗号文C1=E
pk(R,r)を生成する。次に、秘密鍵暗号暗号化演算
器104に、上記Mと関数演算器G102で計算された
秘密鍵symKとを入力し、暗号文C2=symEsymk
(M)を生成する。さらに、関数演算器H105に、公
開鍵暗号暗号化演算器103で計算された上記暗号文C
1と乱数Rとを入力して、暗号文C3=H(C1,R,
M)を計算し、C=(C1,C2,C3)を暗号文として
出力する。
【0022】次に、図2の復号装置200による復号処
理について説明する。図2において、復号装置200に
は、暗号化装置100で生成された暗号文C=(C1,
C2,C3)が入力される。公開鍵暗号復号演算器201
は、秘密鍵skとC1とから乱数R′=Dsk(C1)を計
算する。次に、関数演算器G202により上記R′を用
いて秘密鍵symK′=G(R′)を計算する。次に、
秘密鍵暗号復号演算器203は、上記秘密鍵symK′
とC2 から平文M′=symD symK′(C2 )を計算す
る。
理について説明する。図2において、復号装置200に
は、暗号化装置100で生成された暗号文C=(C1,
C2,C3)が入力される。公開鍵暗号復号演算器201
は、秘密鍵skとC1とから乱数R′=Dsk(C1)を計
算する。次に、関数演算器G202により上記R′を用
いて秘密鍵symK′=G(R′)を計算する。次に、
秘密鍵暗号復号演算器203は、上記秘密鍵symK′
とC2 から平文M′=symD symK′(C2 )を計算す
る。
【0023】次に、関数演算器H204により上記
C1,R′,M′より暗号文C3′=H(C1,R′,
M′)を計算する。次に、比較器205により、上記C
3′の値と暗号化装置100から入力されたC3の値とが
等しいか否かを検証する。そして、もし等しくなけれ
ば、何も出力しない(もしくは、「検証不合格(N
G)」を出力する)。もし等しければ(OKなら)、上
記M′を元の平文Mとして出力する。
C1,R′,M′より暗号文C3′=H(C1,R′,
M′)を計算する。次に、比較器205により、上記C
3′の値と暗号化装置100から入力されたC3の値とが
等しいか否かを検証する。そして、もし等しくなけれ
ば、何も出力しない(もしくは、「検証不合格(N
G)」を出力する)。もし等しければ(OKなら)、上
記M′を元の平文Mとして出力する。
【0024】このように本実施の形態によれば、ランダ
ム関数G,Hを用いることにより、暗号文Cを復号する
者は、送信者が暗号文Cの復号結果である平文Mの値を
知っていたかどうかを検証できる。従って、復号処理の
検証に合格した場合は、送信者が暗号文Cの復号結果で
ある平文Mの値を知っていたことを確認できるため、能
動的攻撃に対しても安全性を保証することができる。
ム関数G,Hを用いることにより、暗号文Cを復号する
者は、送信者が暗号文Cの復号結果である平文Mの値を
知っていたかどうかを検証できる。従って、復号処理の
検証に合格した場合は、送信者が暗号文Cの復号結果で
ある平文Mの値を知っていたことを確認できるため、能
動的攻撃に対しても安全性を保証することができる。
【0025】さらに、秘密鍵暗号(symEsymK,sy
mDsymK)及び関数G,Hの演算量が、公開鍵暗号(E
pk,Dsk)の演算量に比べて小さいと仮定すると、本実
施の形態による暗号方式の演算量は、元の公開鍵暗号
(Epk,Dsk)の演算量とほぼ同等である。即ち、本実
施の形態により処理量のオーバーヘッドをほぼ無くしな
がら、安全性を向上させることが可能である。
mDsymK)及び関数G,Hの演算量が、公開鍵暗号(E
pk,Dsk)の演算量に比べて小さいと仮定すると、本実
施の形態による暗号方式の演算量は、元の公開鍵暗号
(Epk,Dsk)の演算量とほぼ同等である。即ち、本実
施の形態により処理量のオーバーヘッドをほぼ無くしな
がら、安全性を向上させることが可能である。
【0026】尚、本実施の形態による暗号化装置100
及び復号装置200において、前述した暗号化処理及び
復号処理をそれぞれコンピュータシステムで実行する場
合、そのコンピュータシステムにおけるCPUが実行す
るプログラムを記憶した記憶装置は、本発明によるプロ
グラムを記憶した記憶媒体を構成する。この記憶媒体と
しては、各種のディスク媒体や半導体メモリ、磁気記録
媒体等を用いることができる。
及び復号装置200において、前述した暗号化処理及び
復号処理をそれぞれコンピュータシステムで実行する場
合、そのコンピュータシステムにおけるCPUが実行す
るプログラムを記憶した記憶装置は、本発明によるプロ
グラムを記憶した記憶媒体を構成する。この記憶媒体と
しては、各種のディスク媒体や半導体メモリ、磁気記録
媒体等を用いることができる。
【0027】
【発明の効果】以上説明したように本発明によれば、暗
号文に対する能動的な攻撃に対して高い安全性を保証す
ることができ、かつ少ない演算量で高い安全性を保証す
ることができる。
号文に対する能動的な攻撃に対して高い安全性を保証す
ることができ、かつ少ない演算量で高い安全性を保証す
ることができる。
【図1】 本発明の実施の形態による暗号化装置100
の構成を示すブロック図である。
の構成を示すブロック図である。
【図2】 本発明の実施の形態による復号装置200の
構成を示すブロック図である。
構成を示すブロック図である。
100 暗号化装置 101 乱数発生器 102 関数演算器G 103 公開鍵暗号暗号化演算器 104 秘密鍵暗号暗号化演算器 105 関数演算器H R,r 乱数 symK 秘密鍵 C1,C2,C3 暗号文 M 平文 200 復号装置 201 公開鍵暗号復号演算器 202 関数演算器G 203 秘密鍵暗号復号演算器 204 関数演算器H 205 比較器 sk 秘密鍵 R′ 乱数 symk′ 秘密鍵 C3′ 暗号文 M′ 平文
Claims (13)
- 【請求項1】 乱数R,rを発生する乱数発生手段と、 上記乱数R,rと公開鍵pkとを用いて暗号文C1 =E
pk(R,r)を計算する公開鍵暗号暗号化演算手段と、 上記乱数Rと関数Gとを用いて秘密鍵symK=G
(R)を計算する第1の関数演算手段と、 上記秘密鍵symKと平文Mとを用いて暗号文C2 =s
ymEsymK(M)を計算する秘密鍵暗号暗号化演算手段
と、 上記乱数Rと上記暗号文C1 と上記平文Mと関数Hとを
用いて暗号文C3=H(C1 ,R,M)を計算する第2
の関数演算手段と、 暗号文C=(C1,C2,C3)を出力する出力手段とを
設けたことを特徴とする暗号化装置。 - 【請求項2】 上記関数Hを任意のサイズのデータを特
定のサイズのデータに変換するランダム関数とし、上記
関数Gをkビットのデータをsビットに変換するランダ
ム関数とすることを特徴とする請求項1記載の暗号化装
置。 - 【請求項3】 乱数R,rと公開鍵pkとを用いて計算
された暗号文C1 =Epk(R,r)と、上記乱数Rと関
数Gとを用いて計算された秘密鍵symK=G(R)と
平文Mとから計算された暗号文C2 =symE
symK(M)と、上記乱数Rと上記暗号文C1と関数Hと
を用いて計算された暗号文C3 =H(C1,R,M)と
からなる暗号文C=(C1,C2,C3)を入力する入力
手段と、 上記暗号文C1と秘密鍵skとを用いて乱数R′=Dsk
(C1)を計算する公開鍵暗号復号演算手段と、 上記乱数R′と上記関数Gとを用いて秘密鍵symK′
=G(R′)を計算する第1の関数演算手段と、 上記秘密鍵symK′と上記暗号文C2とを用いて平文
M′=symDsymK′(C2)を計算する秘密鍵暗号復
号演算手段と、 上記平文M′と上記暗号文C1と上記乱数R′と上記関
数Hとを用いて暗号文C3′=H(C1,R,M′)を計
算する第2の関数演算手段と、 上記暗号文C3′と上記暗号文C3とを比較する比較手段
とを設けたことを特徴とする復号装置。 - 【請求項4】 上記関数Hを任意のサイズのデータを特
定のサイズのデータに変換するランダム関数とし、上記
関数Gをkビットのデータをsビットに変換するランダ
ム関数とすることを特徴とする請求項3記載の復号装
置。 - 【請求項5】 乱数R,rを発生する乱数発生手段と、 上記乱数R,rと公開鍵pkとを用いて暗号文C1 =E
pk(R,r)を計算する公開鍵暗号暗号化演算手段と、 上記乱数Rと関数Gとを用いて秘密鍵symK=G
(R)を計算する第1の関数演算手段と、 上記秘密鍵symKと平文Mとを用いて暗号文C2 =s
ymEsymK(M)を計算する秘密鍵暗号暗号化演算手段
と、 上記乱数Rと上記暗号文C1 と上記平文Mと上記関数H
とを用いて暗号文C3=H(C1,R,M)を計算する第
2の関数演算手段と、 暗号文C=(C1,C2,C3)を出力する出力手段とを
有する暗号化装置と、 上記暗号文C=(C1,C2,C3)を入力する入力手段
と、 上記暗号文C1と秘密鍵skとを用いて乱数R′=Dsk
(C1)を計算する公開鍵暗号復号演算手段と、 上記乱数R′と上記関数Gとを用いて秘密鍵symK′
=G(R′)を計算する第3の関数演算手段と、 上記秘密鍵symK′と上記暗号文C2とを用いて平文
M′=symDsymK′(C2)を計算する秘密鍵暗号復
号演算手段と、 上記平文M′と上記暗号文C1 と乱数R′と上記関数H
とを用いて暗号文C3′=H(C1,R′,M′)を計算
する第4の関数演算手段と、 上記暗号文C3′と上記暗号文C3とを比較する比較手段
とを有する復号装置とを備えたことを特徴とする暗号シ
ステム。 - 【請求項6】 上記関数Hを任意のサイズのデータを特
定のサイズのデータに変換するランダム関数とし、上記
関数Gをkビットのデータをsビットに変換するランダ
ム関数とすることを特徴とする請求項5記載の暗号シス
テム。 - 【請求項7】 mを平文(暗号の対象となる文書)、r
を乱数、(pk,sk)を公開鍵と秘密鍵の対とすると
き、pk,m,rより暗号文C=Epk(m,r)が作ら
れるような公開鍵暗号、ならびに秘密鍵symKと平文
symMとから暗号文symC=symEsymK(sym
M)が作られ、上記秘密鍵symKと暗号文symCと
から平文symM=symDsymK(symC)が作られ
るような秘密鍵暗号を用いて暗号文を生成する暗号化方
法であって、 HおよびGを関数とし、 暗号化処理として、平文Mと乱数R及びr、公開鍵pk
を用いてC1=Epk(R,r),C2=symE
G(R)(M)及びC3=H(C1,R,M)を生成し、C=
(C1,C2,C3)を暗号文とすることを特徴とする暗
号化方法。 - 【請求項8】 上記関数Hを任意のサイズのデータを特
定のサイズのデータに変換するランダム関数とし、上記
関数Gをkビットのデータをsビットに変換するランダ
ム関数とすることを特徴とする請求項7記載の暗号化方
法。 - 【請求項9】 mを平文(暗号の対象となる文書)、r
を乱数、(pk,sk)を公開鍵と秘密鍵の対とすると
き、pk,m,rより暗号文C=Epk(m,r)が作ら
れるような公開鍵暗号、ならびに秘密鍵symKと平文
symMとから暗号文symC=symEsymK(sym
M)が作られ、上記秘密鍵symKと暗号文symCと
から平文symM=symDsymK(symC)が作られ
るような秘密鍵暗号を用いて生成された暗号文であっ
て、 HおよびGを関数とし、 暗号化処理として、平文Mと乱数R及びr、公開鍵pk
を用いてC1 =Epk(R,r),C2 =symE
G(R)(M)及びC3 =H(C1 ,R,M)を生成し、C
=(C1,C2,C3)で表される暗号文を復号する復号
方法において、 C及び秘密鍵sk,公開鍵pkよりR′=Dsk(C1)
及びびM′=symDG (R′) (C2)を計算し、C3′=
H(C1,R′,M′)とC3とが一致するか否かを検証
し、一致すれば、M′を平文Mとして出力することを特
徴とする復号方法。 - 【請求項10】 上記関数Hを任意のサイズのデータを
特定のサイズのデータに変換するランダム関数とし、上
記関数Gをkビットのデータをsビットに変換するラン
ダム関数とすることを特徴とする請求項9記載の復号方
法。 - 【請求項11】 乱数R,rを発生する乱数発生手順
と、 上記乱数R,rと公開鍵pkとを用いて暗号文C1=E
pk(R,r)を計算する公開鍵暗号暗号化演算手処理
と、 上記乱数Rとランダム関数Gとを用いて秘密鍵symK
=G(R)を計算する第1の関数演算手順と、 上記秘密鍵symKと平文Mとを用いて暗号文C2=s
ymEsymK(M)を計算する秘密鍵暗号暗号化演算手順
と、 上記乱数Rと上記暗号文C1と上記平文Mと関数Hとを
用いて暗号文C3 =H(C1,R,M)を計算する第2
の関数演算手順と、 暗号文C=(C1,C2,C3)を出力する出力手順とを
実行するためのプログラムを記憶した記憶媒体。 - 【請求項12】 乱数R,rと公開鍵pkとを用いて計
算された暗号文C1=Epk(R,r)と、上記乱数Rと
関数Gとを用いて計算された秘密鍵symK=G(R)
と平文Mとから計算された暗号文C2=symE
symK(M)と、上記乱数Rと上記暗号文C1と関数Hと
を用いて計算された暗号文C3=H(C1,R,M)とか
らなる暗号文C=(C1,C2,C3)を入力する入力処
理と、 上記暗号文C1と秘密鍵skとを用いて乱数R′=Dsk
(C1)を計算する公開鍵暗号復号演算手順と、 上記乱数R′と上記関数Gとを用いて秘密鍵symK′
=G(R′)を計算する第1の関数演算手順と、 上記秘密鍵symK′と上記暗号文C2とを用いて平文
M′=symDsymK′(C2)を計算する秘密鍵暗号復
号演算手順と、 上記平文M′と上記暗号文C1 と上記乱数R′と関数H
とを用いて暗号文C3′=H(C1,R′,M′)を計算
する第2の関数演算手順と、 上記暗号文C3′と上記暗号文C3とを比較する比較手順
とを実行するためのプログラムを記憶した記憶媒体。 - 【請求項13】 上記関数Hを任意のサイズのデータを
特定のサイズのデータに変換するランダム関数とし、上
記関数Gをkビットのデータをsビットに変換するラン
ダム関数とすることを特徴とする請求項11又は12記
載のプログラムを記憶した記憶媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000032461A JP2001222218A (ja) | 2000-02-09 | 2000-02-09 | 暗号化装置、方法、復号装置、方法、暗号システム及びプログラムを記憶した記憶媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000032461A JP2001222218A (ja) | 2000-02-09 | 2000-02-09 | 暗号化装置、方法、復号装置、方法、暗号システム及びプログラムを記憶した記憶媒体 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001222218A true JP2001222218A (ja) | 2001-08-17 |
Family
ID=18557060
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000032461A Pending JP2001222218A (ja) | 2000-02-09 | 2000-02-09 | 暗号化装置、方法、復号装置、方法、暗号システム及びプログラムを記憶した記憶媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001222218A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7471792B2 (en) | 2002-12-03 | 2008-12-30 | Panasonic Corporation | Key agreement system, shared-key generation apparatus, and shared-key recovery apparatus |
| JP2013205655A (ja) * | 2012-03-28 | 2013-10-07 | Fujitsu Ltd | プログラム、情報処理方法及び情報処理装置 |
| CN110622232A (zh) * | 2017-05-25 | 2019-12-27 | 日本电信电话株式会社 | 秘密篡改探测系统、秘密篡改探测装置、秘密篡改探测方法以及程序 |
-
2000
- 2000-02-09 JP JP2000032461A patent/JP2001222218A/ja active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7471792B2 (en) | 2002-12-03 | 2008-12-30 | Panasonic Corporation | Key agreement system, shared-key generation apparatus, and shared-key recovery apparatus |
| JP2013205655A (ja) * | 2012-03-28 | 2013-10-07 | Fujitsu Ltd | プログラム、情報処理方法及び情報処理装置 |
| CN110622232A (zh) * | 2017-05-25 | 2019-12-27 | 日本电信电话株式会社 | 秘密篡改探测系统、秘密篡改探测装置、秘密篡改探测方法以及程序 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8670563B2 (en) | System and method for designing secure client-server communication protocols based on certificateless public key infrastructure | |
| CN110313146B (zh) | 模糊度增强 | |
| US7574596B2 (en) | Cryptographic method and apparatus | |
| JP3998640B2 (ja) | 暗号化及び署名方法、装置及びプログラム | |
| KR20050027254A (ko) | 데이터 처리 시스템을 위한 효율적인 암호화 및 인증 | |
| KR101516114B1 (ko) | 인증서 기반 프록시 재암호화 방법 및 이를 위한 시스템 | |
| JP4867916B2 (ja) | シャッフル復号正当性証明装置と方法、シャッフル復号検証装置と方法、プログラムと記録媒体 | |
| JP2002049310A (ja) | 暗復号装置、認証装置及び記憶媒体 | |
| KR100396740B1 (ko) | 계산적 디피-헬만 가정에 기반하는 안전성 증명 가능한공개키 암호화 방법 | |
| JP2011091517A (ja) | サインクリプションシステムおよびサインクリプション生成方法 | |
| JP2004228916A (ja) | 署名暗号方法、その装置およびそのプログラム | |
| JP2002344445A (ja) | 証明付シャッフル復号システムと証明付シャッフル復号方法、シャッフル復号検証方法 | |
| WO2012011455A1 (ja) | 暗号化装置、復号装置、暗号化方法、復号方法、および、コンピュータ・プログラム | |
| Barker et al. | Recommendation for the Transitioning of Cryptographic Algorithms and Key Lengths | |
| JP2001222218A (ja) | 暗号化装置、方法、復号装置、方法、暗号システム及びプログラムを記憶した記憶媒体 | |
| JP2004246350A (ja) | 暗号化装置および復号化装置、並びにこれらを備えた暗号システム、暗号化方法および復号化方法 | |
| KR20020051597A (ko) | 비대칭키 암호 알고리즘을 이용한 데이터 암호화 시스템및 그 방법 | |
| JP5912281B2 (ja) | 復号結果検証装置、方法、システム及びプログラム | |
| JP2004347885A (ja) | 暗号化装置処理方法、暗号復号装置処理方法、これらの装置及びプログラム | |
| JP3306384B2 (ja) | ランダム関数利用公開鍵暗号の暗号装置、復号装置、及びプログラム記録媒体 | |
| JP4000899B2 (ja) | 認証付暗号方法及び認証付復号方法及び装置及びプログラム及びコンピュータが読み取り可能な記録媒体 | |
| KR20110042419A (ko) | 멀티미디어 환경에 적용 가능한 블록암호 운용방법 | |
| JP4000900B2 (ja) | 認証付暗号方法及び認証付復号方法及び検証方法及び装置及びプログラム及びコンピュータが読み取り可能な記録媒体 | |
| JP2007151073A (ja) | 鍵生成プログラム | |
| JP2003173139A (ja) | 公開検証可能暗号化装置、その復号装置、暗号化プログラムおよび復号プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040106 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040308 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20040921 |