JP2002051036A - キーエスクロー方式 - Google Patents

キーエスクロー方式

Info

Publication number
JP2002051036A
JP2002051036A JP2000233272A JP2000233272A JP2002051036A JP 2002051036 A JP2002051036 A JP 2002051036A JP 2000233272 A JP2000233272 A JP 2000233272A JP 2000233272 A JP2000233272 A JP 2000233272A JP 2002051036 A JP2002051036 A JP 2002051036A
Authority
JP
Japan
Prior art keywords
key
server
session key
user
session
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
JP2000233272A
Other languages
English (en)
Inventor
Bijiyou Boku
美娘 朴
Toru Inoue
井上  徹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ADVANCED MOBILE TELECOMM SECUR
Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd
Original Assignee
ADVANCED MOBILE TELECOMM SECUR
Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ADVANCED MOBILE TELECOMM SECUR, Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd filed Critical ADVANCED MOBILE TELECOMM SECUR
Priority to JP2000233272A priority Critical patent/JP2002051036A/ja
Publication of JP2002051036A publication Critical patent/JP2002051036A/ja
Ceased legal-status Critical Current

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

(57)【要約】 【課題】 キーエクスロー方式の鍵保管機関を無くして
も、モバイル端末を利用する捜査機関が、リアルタイム
で通信傍受できるようにする。 【解決手段】 プロキシサーバー(P)を導入して、鍵
配送サーバー(KDS)から、ユーザー間の暗号通信用
のセッション鍵を常に同時に配布してもらう。プロキシ
サーバー(P)は、鍵配送サーバー(KDS)から配布
されてくる暗号化された鍵を保管する。捜査機関(I)
が裁判所の許可や捜査令状をもって、セッション鍵の引
渡しを要求してきたら、プロキシサーバー(P)は、鍵
生成サーバー(KGS)に依頼して、要求してきた捜査
機関端末を認証し、傍聴対象(target person)が間違
いないか認証する。捜査機関(I)の公開鍵によって暗
号化したセッション鍵を捜査機関(I)に引き渡す。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、キーエスクロー方
式に関し、特に、捜査機関のモバイル暗号通信システム
において、供託されたユーザー暗号鍵を取得して暗号文
を解読するキーエスクロー方式に関する。
【0002】
【従来の技術】モバイル通信システムにおいては、モバ
イル端末が通信システムの正規の加入者であることを確
認するために、モバイル端末からサービス要求があった
場合に、ユーザー認証を行なう必要がある。
【0003】サービス機関へのサービス要求に対して、
ユーザーの身元を確認する認証方式として、ケルベロス
(Kerberos)システムがある。このシステムでの認証
は、チケットと呼ばれる暗号化情報を用いて行われる。
しかし、ケルベロスは、ユーザーと種々のサービス機関
との間の認証に重きをおいているため、ユーザー間の暗
号通信に用いる場合、暗号文の作成者の証明(署名者認
証)ができないという欠点がある。つまり、自分に不利
な認証は否認できるという欠点がある。また、ユーザー
と認証サーバー間の秘密鍵が長期にわたって保管される
ため、悪質な攻撃にさらされやすいという欠点もある。
【0004】これらの欠点を補うために、公開鍵方式を
用いることでディジタル署名を可能にしたシステムに、
ヤシャ(Yaksha)システムがある。図4に、ヤシャ(Ya
ksha)システムを示す。ここで、鍵配送サーバー(YA
S)は、Yakshaの鍵配送(初期チケット生成)サーバーで
あり、ユーザーを認証し、正しいユーザーを確認する。
鍵生成機関(YGS)は、Yakshaのサービスチケットを
生成し、配送するサーバーである。
【0005】図4において、初期チケット要求1は、あ
るサービスを受けようとするクライアントのユーザーC
1が、鍵配送サーバー(YAS)へ出す初期チケット(t
gt ticket=ticket granting ticket)要求である。初
期チケット送信2は、鍵配送サーバー(YAS)がユー
ザーC1を認証し、正しいユーザーであることが確認さ
れたら行なう初期チケット(tgt ticket)送信である。
サービスチケット要求3は、鍵配送サーバー(YAS)
から初期チケットをもらったユーザーC1が鍵生成機関
(YGS)へ出すサービスチケット(s-ticket)要求で
ある。サービスチケット送信4は、鍵生成機関(YG
S)からユーザーC1へ行なうサービスチケット(s-tic
ket)送信である。サービス要求5は、ユーザーC1がサ
ービス機関(S)またはユーザーC2へサービスチケッ
トを伝送するサービス要求である。サービス提供6は、
それに対するサービス機関(S)によるサービス提供で
ある。
【0006】次に、Yakshaシステムにおける鍵共有・鍵
供出機能について説明する。鍵共有においては、ユーザ
ーC1による鍵配布要求を受けた鍵配送サーバー(YA
S)は、ユーザーC1,C2に、両者間で使用する共通鍵
Kを暗号化(署名)して、ユーザーC1に配送する。共
通鍵Kを配布してもらったユーザーC1は、その鍵をユ
ーザーC2に送ることによって、ユーザーC1,C2間の鍵
共有ができる。
【0007】鍵供出について説明する。犯罪捜査などの
目的で、捜査機関が鍵配送サーバー(YAS)に鍵提出
を要求してきた場合、鍵配送サーバー(YAS)は、捜
査機関の鍵提出要求文が正当であるかを判断し、ユーザ
ーC1,C2間の共通鍵Kを捜査機関向けに暗号化して送
信する。捜査機関は、それを鍵生成機関(YGS)に提
示し、ブラインド復号してもらうことによって、ユーザ
ー間の通信傍受が可能になる。したがって、鍵生成機関
(YGS)は、捜査機関に通信傍受されているユーザー
を知ることができ、ユーザーのプライバシー侵害の問題
になるという欠点があった。
【0008】これに対して、従来のYakshaを改良した方
式が、文献1[宮崎真悟、石本関、新保淳、桜井幸一、
“ElGamal型協力署名の構成と鍵管理・鍵寄託システム
への応用”、情報処理学会論文誌、Vol.38,no.10,pp.20
74-2082 Oct.,1997]に紹介されている。図5に、改良
されたシステムを示す。ここでは、鍵保管機関(T)が
新たに設けられ、鍵生成機関が生成した鍵の保管およ
び、捜査機関が通信傍受した暗号文の復号を行ってい
る。鍵保管機関は、捜査機関が無制限に通信傍受を続け
るのを防ぐために、鍵の貸し出しをしないものである。
また、鍵保管機関に通信傍受した文書の内容を知られる
のを防ぐために、通信傍受文書の復号にはブラインド復
号を用いる。このシステムにおける鍵共有・鍵供出手続
きは以下のようになる。
【0009】まず、鍵配送のための準備段階として、鍵
生成機関(YGS)はセッション鍵を生成し、セッショ
ン鍵のIDと共に、自分の秘密鍵で暗号化したセッショ
ン鍵Kを、鍵配送サーバー(YAS)に送信する。また
同時に、鍵保管機関に、そのセッション鍵と鍵のIDを
送信する。鍵生成機関(YGS)は、鍵配送サーバーと
鍵保管機関に配送済みのセッション鍵および鍵IDを削
除する。このような鍵配送の準備が終わると、鍵配送サ
ーバー(YAS)は、ユーザーからの要求に応じて鍵の
配送を行なう。
【0010】次に、鍵共有における鍵配送について述べ
る。図5に示す2者間通信を行なうユーザーC1,C2の
鍵共有手続きにおいて、鍵配送要求1は、ユーザーC1
から鍵配送サーバー(YAS)への鍵配送要求である。
この要求に対して、手続き2で、セッション鍵Kを鍵生
成機関(YGS)の公開鍵によって暗号化して、ユーザ
ーC1,C2に配送する。手続き3,4において、ユーザ
ーC1,C2は、鍵生成機関に共通鍵Kを知られることな
く復号してもらう(ブラインド復号)。
【0011】鍵供出について説明する。図6に示すよう
に、捜査令状提示7で、捜査機関(I)が鍵配送サーバ
ー(YAS)に捜査令状を提示して、傍受した暗号通信
の復号のための鍵を要求する。この要求に対して、手続
き8で、鍵配送サーバー(YAS)が捜査機関(I)を
認証し、正しい捜査機関であることが確認されたら、そ
の鍵を直接渡さないで、鍵IDを鍵保管機関(T)の公
開鍵で暗号化して送る。手続き9、10において、捜査機
関(I)は、セッション鍵の要求は行なわず、鍵保管機
関(T)に、通信傍受したメッセージをブラインド復号
化してもらう。これは、ユーザーの通信を無制限に通信
傍受されるのを防ぐためである。
【0012】次に、このシステムの署名方式について述
べる。ここでは、公開鍵暗号の秘密鍵を2つに拡張し
て、サーバーとユーザー間での暗号通信とElGamal協力
署名(巡回署名)を実現している。つまり、2者で1つ
の署名を協力して作成している。ここで用いるパラメー
タpは素数である。ユーザー1は秘密鍵x1を持ち、ユ
ーザー2は秘密鍵x2を持つ。両者共通の公開鍵は、y
=g^(x1+x2) modpである。秘密鍵x1、x2は、ユー
ザーに別々に保管される。鍵のペアーが3つでき、3通
りの署名ができる。秘密鍵x1のみによる署名(確認に
はx2と公開鍵(y×g^(−x2),g,p)が必要)と、
秘密鍵x2のみによる署名(確認にはx1と公開鍵(y×
g^(−x1),g,p)が必要)と、秘密鍵x1,x2の協力
署名(確認には公開鍵(y,g,p)が必要)である。こ
こで、署名者1と署名者2による協力署名は、以下のよ
うに行なう。署名者1をS1、署名者2をS2とする。
【0013】(1)S1は、乱数k1,Kを用意して、 r1=g^(−k1) modp を作成し、秘密鍵x2に対する公開鍵y×g^x1を用い
て暗号化したメッセージ(C1,C2)を、r1とともにS2
に送る。メッセージ(C1,C2)は、 C1=g^K modp C2=M×(y×g^(−x1))^K modp である。
【0014】(2)S2は M=C2/C1^x2 modp として、S1から送られてきた暗号文を復号(確認)
し、取り出したMとr1と乱数k2から、 r12=M×r1×g^(−k2) modp s2=k2−x2・×r12 mod(p-1) を作成し、それらをS1に送る。
【0015】(3)S1は、入手したr12,s2から、 s1=k1−x1×r12 mod(p-1) s12=s1+s2 mod(p-1) r12'=r12 mod(p-1) を作成し、 M=g^s12×y^r12'×r12 modp として署名を確認して、(r12,s12)を、検証を要求
する人物へ送る。(r12,s12)と公開鍵(y,g,p)
によって、誰でも署名を検証することができる。
【0016】
【発明が解決しようとする課題】しかし、上記の従来の
方式では、ユーザーのプライバシー保護のため、鍵保管
機関を導入しているが、鍵保管機関は、すべての鍵を長
期にわたり保管しており、ここが攻撃の対象になり易い
という問題がある。また、通信傍受時は、捜査機関が裁
判所の許可や令状をもらって、鍵配送サーバー(YA
S)に認証してもらって、傍受した暗号文を鍵保管機関
に提出し、ブラインド復号してもらうので、暗号文復号
までの時間がかかりすぎるという問題がある。
【0017】また、従来のElgamal方式による巡回署名
方式は、署名すべきメッセージ以外に、付加的に別のメ
ッセージを送ることができなかった。最終的な検証は誰
でも確認できるが、これが不都合な時がある。すなわ
ち、鍵供託システムの場合、裁判所などの許可を得た正
当な捜査機関であることを認証する場合、正当な捜査機
関であることを認証して、メッセージを復元するのが誰
でも可能であるので、誰が捜査されているかという情報
を誰でも入手でき、プライバシー侵害の恐れがある。鍵
供託システムにおいては、鍵管理サーバー、例えば上記
のYakshaシステムでは、鍵生成機関(YGS)だけが検
証できればよい。あるいは、捜査機関だけが検証できれ
ば良い。
【0018】また、ユーザーがモバイル端末を利用する
ケースが増加しており、端末の移動性を考慮し、捜査機
関もモバイル端末に対する移動通信に対応可能にしなけ
ればならない。
【0019】本発明では、上記従来の問題を解決して、
攻撃の対象になり易い鍵保管機関を無くし、さらに、モ
バイル端末を利用する捜査機関が、いつでもどこでも本
システムにアクセスできるようにし、リアルタイムな通
信傍受が可能なキーエクスロー方式を提供することを目
的とする。
【0020】
【課題を解決するための手段】上記の課題を解決するた
めに、本発明では、鍵生成サーバーと鍵配送サーバーと
ダミーユーザー用のプロキシサーバーとを具備する暗号
通信のキーエスクロー方式の鍵生成サーバーに、ユーザ
ー間の暗号通信用のセッション鍵を生成して提供する手
段を備え、鍵配送サーバーに、ユーザーからセッション
鍵の配布要求を受け付ける手段と、ユーザーおよび端末
を認証する手段と、正しいユーザーであることが確認さ
れたことに応じてセッション鍵をユーザーに配布する手
段と、セッション鍵をプロキシサーバーへ送る手段とを
備え、プロキシサーバーに、セッション鍵を保管する手
段と、裁判所などの令状に基づいた捜査機関からのセッ
ション鍵提出要求を受け付ける手段と、セッション鍵提
出要求に応じてセッション鍵を捜査機関に転送する手段
とを備えた構成とした。このように構成したことによ
り、攻撃の対象になり易い鍵保管機関を無くすことがで
きる。
【0021】また、鍵生成サーバーに、セッション鍵を
鍵生成サーバーの公開鍵で暗号化した暗号化セッション
鍵を鍵配送サーバーに提供する手段を備え、プロキシサ
ーバーに、セッション鍵提出要求に応じて暗号化セッシ
ョン鍵を鍵生成サーバーにブラインド復号してもらい捜
査機関の公開鍵で暗号化したセッション鍵を捜査機関に
転送する手段を備えた。このように構成したことによ
り、蓄積されている鍵への攻撃の危険性が減少する。
【0022】また、プロキシサーバーに、確認者指定の
一種である証明者限定署名がされたセッション鍵提出要
求を鍵生成サーバーに送って捜査機関を認証してもらう
手段と、捜査機関へ鍵転送するように指示するメッセー
ジを鍵生成サーバーから受け取る手段とを設けた。この
ように構成したことにより、捜査機関のみが最終的に自
分の秘密鍵で署名検証でき、プライバシー保護機能を高
めることができる。ユーザーのプライバシーは保護され
たまま、捜査機関はほとんど瞬時に、傍聴対象の通信鍵
の回復が可能になり、リアルタイムでユーザー間通信と
同時に通信傍受が可能となる。
【0023】また、プロキシサーバーに、移動通信可能
な捜査機関のモバイル端末からのアクセスを受け付ける
手段を設けた。このように構成したことにより、モバイ
ル端末を利用する捜査機関は、いつでもどこでもシステ
ムにアクセスでき、鍵を取得してリアルタイムな通信傍
受が可能になる。
【0024】
【発明の実施の形態】以下、本発明の実施の形態につい
て、図1〜図3を参照しながら詳細に説明する。
【0025】(第1の実施の形態)本発明の第1の実施
の形態は、ユーザー間のセッション鍵を鍵配送サーバー
からプロキシサーバーに配布して保管し、捜査機関が要
求したときに認証して、捜査機関の公開鍵によって暗号
化したセッション鍵を捜査機関に渡すキーエスクロー方
式である。
【0026】図1は、本発明の第1の実施の形態におけ
るキーエスクロー方式のシステム構成図である。図1に
おいて、鍵生成サーバー(KGS)は、セッション鍵を
生成する手段である。鍵配送サーバー(KDS)は、セ
ッション鍵と鍵IDを保管し、各クライアントにセッシ
ョン鍵を配布する手段である。ユーザーA、Bは、暗号
通信を行なうクライアントである。プロキシサーバー
(P)は、鍵配送サーバーにダミーユーザーとして登録
されているプロキシサーバーである。モバイル端末M
は、捜査機関(I)のモバイル端末である。
【0027】図2は、本発明の第1の実施の形態におけ
るキーエスクロー方式の鍵共有プロトコルを示す図であ
る。図2において、生成鍵送信15は、鍵生成サーバー
(KGS)から、暗号化したセッション鍵を、鍵配送サ
ーバー(KDS)に送信する手順である。鍵配布要求11
は、ユーザーAから鍵配送サーバー(KDS)への鍵配
布要求手順である。暗号化セッション鍵配布12は、暗号
化したセッション鍵を、鍵配送サーバー(KDS)から
各ユーザーに配送する手順である。ブラインド復号要求
13は、各ユーザーから鍵生成サーバー(KGS)へのセ
ッション鍵のブラインド復号の依頼手順である。ブライ
ンド復号セッション鍵配布14は、ブラインド復号したセ
ッション鍵を配送する手順である。
【0028】図3は、本発明の第1の実施の形態におけ
るキーエスクロー方式の捜査機関(I)による鍵取得プ
ロトコルを示す図である。図3において、鍵引渡要求21
は、捜査機関(I)が鍵引渡要求をプロキシサーバー
(P)へ出す手順である。捜査機関認証要求22は、プロ
キシサーバー(P)が、鍵生成サーバー(KGS)に、
捜査機関(I)の確認者限定署名の確認を要求する手順
である。捜査機関認証確認23は、鍵生成サーバーが、正
しい捜査機関であることを確認した結果を回答する手順
である。ブラインド復号要求24は、プロキシサーバー
(P)が、暗号化されたセッション鍵を、プロキシサー
バー(P)の公開鍵で暗号化して鍵生成サーバー(KG
S)に渡して、ブラインド復号を依頼する手順である。
ブラインド復号鍵送付25は、鍵生成サーバー(KGS)
からプロキシサーバー(P)へ、ブラインド復号したセ
ッション鍵を送付する手順である。セッション鍵配布26
は、プロキシサーバー(P)が、自分の秘密鍵で復号
し、捜査機関(I)の公開鍵によって暗号化したセッシ
ョン鍵を捜査機関(I)に引き渡す手順である。
【0029】上記のように構成された本発明の第1の実
施の形態におけるキーエスクロー方式の動作を説明す
る。最初に、ユーザー間の鍵共有プロトコルを説明す
る。図1,2の生成鍵送信15において、鍵生成サーバー
(KGS)は、セッション鍵を生成して、生成したセッ
ション鍵に鍵IDを与えると共に、鍵生成サーバー(K
GS)の公開鍵で暗号化したセッション鍵と鍵IDを、
鍵配送サーバー(KDS)に送信する。鍵配送サーバー
(KDS)は、鍵生成サーバー(KGS)から送られた
暗号化セッション鍵と鍵IDを保管する。暗号化セッシ
ョン鍵は、鍵生成サーバー(KGS)の秘密鍵で復号し
ないと使用できないので、安全に保管できる。
【0030】図1,2のセッション鍵配布要求11におい
て、ユーザーBと暗号通信しようとするユーザーAは、
鍵配送サーバー(KDS)に、ユーザーBのIDを添え
て、セッション鍵配布要求文を送り、ユーザーBとの暗
号通信のための鍵配布を要求する。
【0031】図1,2の暗号化セッション鍵配布12にお
いて、鍵配送サーバー(KDS)は、ユーザーおよび端
末を認証し、鍵生成サーバー(KGS)の公開鍵で暗号
化してあるセッション鍵を、ユーザーAとユーザーBそ
れぞれの公開鍵で暗号化して、ユーザーAとユーザーB
に配送する。また、それと同時に、鍵生成サーバー(K
GS)の公開鍵で暗号化してあるセッション鍵を、ダミ
ーユーザーであるプロキシサーバー(P)へ配送する。
プロキシサーバー(P)は、鍵配送サーバー(KDS)
に、ユーザー間セッション鍵を一時的に保管するための
ダミーサーバーとして登録されている。プロキシサーバ
ー(P)は、通信傍受を行なわない平時は、暗号化され
た鍵をそのまま保管する。プロキシサーバー(P)は、
イントラネット内部の管理の行き届いた部屋で管理する
ことにより、安全性を増すことができる。
【0032】図1,2のブラインド復号要求13では、ユ
ーザーAとユーザーBが、鍵生成サーバー(KGS)
へ、暗号化されたセッション鍵のブラインド復号を依頼
する。
【0033】図1,2のブラインド復号セッション鍵配
布14では、ユーザーAとユーザーBは、鍵生成サーバー
(KGS)から、ブラインド復号したセッション鍵を配
送してもらう。ユーザーA、Bは、2者間通信を行なう
クライアント同士として、鍵生成サーバー(KGS)か
らブラインド復号してもらったセッション鍵を自分の秘
密鍵で復号することによって、共通鍵を得ることができ
る。ユーザーA、Bは、セッション鍵で暗号通信を行な
うことができる。
【0034】第2に、図1と図3を参照して、捜査機関
(I)による鍵取得プロトコルを説明する。捜査機関
(I)が裁判所の許可や捜査令状をもって、セッション
鍵の引渡しを要求してきたら、プロキシサーバー(P)
は、要求してきた捜査機関を認証し、傍受対象(target
person)が間違いないか認証する。裁判所などの令状
を提示した捜査機関(I)を認証し、認証が確認された
捜査機関(I)の端末だけに、必要なときだけ、セッシ
ョン鍵をブラインド復号して渡す。モバイル端末Mは、
捜査機関(I)が機動性を要する捜査に利用する。
【0035】図1,3の鍵引渡要求21において、ユーザ
ーA、B間の暗号通信を傍受しようとする捜査機関
(I)は、裁判所などから交付された捜査令状などを含
む鍵引渡要求文に対して、署名の確認者を鍵生成サーバ
ー(KGS)に指定して、自分の秘密鍵によって確認者
限定署名を行ない、プロキシサーバー(P)へ提出す
る。
【0036】図1,3の捜査機関認証要求22において、
プロキシサーバー(P)は、鍵生成サーバー(KGS)
に、捜査機関(I)がした確認者限定署名の確認を要求
する。
【0037】図1,3の捜査機関認証確認23において、
鍵生成サーバー(KGS)は、正しい捜査機関であるこ
とを確認したら、プロキシサーバー(P)に、ユーザー
A、B間の暗号化されたセッション鍵を捜査機関(I)
へ渡すように、メッセージを入れて指示する。
【0038】図1,3のブラインド復号要求24におい
て、プロキシサーバー(P)は、鍵生成サーバー(KG
S)の公開鍵で暗号化されたセッション鍵を、プロキシ
サーバーの公開鍵で暗号化して、鍵生成サーバー(KG
S)にブラインド復号要求を出す。
【0039】図1,3のブラインド復号鍵送付25におい
て、鍵生成サーバー(KGS)は、ブラインド復号した
セッション鍵を、プロキシサーバー(P)へ送付する。
【0040】図1,3のセッション鍵引渡26において、
プロキシサーバー(P)は、ブラインド復号されたセッ
ション鍵を自分の秘密鍵で復号し、捜査機関(I)の公
開鍵によって暗号化して、捜査機関(I)に引き渡す。
捜査機関(I)は、引き渡された暗号化セッション鍵
を、自分の秘密鍵で復号して、傍受したユーザー間の暗
号通信の復号に使用する。
【0041】上記のように、本発明の第1の実施の形態
では、キーエスクロー方式を、ユーザー間のセッション
鍵を鍵配送サーバーからプロキシサーバーに配布して保
管し、捜査機関が要求したときに認証して、捜査機関の
公開鍵によって暗号化したセッション鍵を捜査機関に引
き渡す構成としたので、攻撃の対象になり易い鍵保管機
関を無くしても、捜査機関はリアルタイムで通信傍受で
きる。
【0042】(第2の実施の形態)本発明の第2の実施
の形態は、確認者指定の巡回署名を利用したキーエスク
ロー方式である。本発明の第2の実施の形態におけるキ
ーエスクロー方式の基本的な構成は、図1〜3に示した
第1の実施の形態と同じである。
【0043】本発明の第2の実施の形態におけるキーエ
スクロー方式では、2つのメッセージを持つNyberg-Rue
ppelメッセージ復元型署名を、巡回署名に拡張し、さら
に、確認者指定署名に変形する。捜査機関の認証方式と
しては、複数のメッセージを持つNyberg-Rueppelメッセ
ージ復元型署名[荒木俊輔、上原聡、今村恭己著“制限
された確認者をもつNyberg-Rueppelメッセージ復元型署
名の応用”、The 2000Symposium on Cryptograph and I
nformation Security SCIS-2000,C26, Okinawa, Japan,
Jan.,26-28,2000を参照]を、巡回署名に拡張する。
【0044】2つのメッセージの一方のメッセージは、
鍵生成サーバー(KGS)が捜査機関へ伝えるメッセー
ジとする。認証が正しくなされたら、プロキシサーバー
は、ユーザーAとBの共通鍵を、鍵生成サーバー(KG
S)にブラインド復号してもらい、捜査機関端末へ伝送
する。したがって、捜査機関のみが最終的に自分の秘密
鍵で署名検証でき、プライバシー保護機能を高めること
ができる。これにより、ユーザーのプライバシーは保護
されたまま、捜査機関はほとんど瞬時に、傍聴対象の通
信鍵の回復が可能になり、リアルタイムでユーザー間通
信と同時に通信傍受が可能となる。
【0045】本実施の形態では、第1署名者を捜査機関
とし、第2署名者を鍵生成サーバー(KGS)とする。
mは、鍵生成サーバー(KGS)が捜査機関へ鍵を渡せ
るよう伝えるメッセージとする。mは、タイムスタンプ
に使ってもよい。
【0046】以下、2つのメッセージを持つNyberg-Rue
ppelメッセージ復元型署名を、巡回署名に拡張し、さら
に、確認者指定署名に変形する方法を説明する。確認者
Bの秘密鍵をbとする。確認者Bの公開鍵aは a=g^b modp で与えられる。aをg,pとともに公開する。
【0047】署名者1をS1、署名者2をS2とする。S
1、S2の秘密鍵をx1,x2とする。yを共通の公開鍵と
する。yは、 y=a^(x1+x2) modp である。また、もうひとつ公開鍵 yy=g^(x1+x2) modp を定義する。
【0048】(1)S1は、乱数k1,Kを用意して r1=a^(−k1) modp r2=M×r1 を作成し、秘密鍵x2に対する公開鍵y×a^x1を用い
て暗号化したメッセージ(C1,C2)を、r1とともにS2
に送る。メッセージ(C1,C2)は、 C1=a^K modp C2=M×(y×a^(−x1))^K modp である。
【0049】(2)S2は、 M=C2/C1^x2 modp として、S1から送られてきた暗号文を復号(確認)
し、取り出したMとr1と乱数k2から、 r12=M×r1×a^(−k2) modp s'2=k2−m×x2×r12 mod(p-1) を作成し、それら(m,r12,s'2)をS1に送る。ここ
で、mは第2のメッセージである。
【0050】(3)S1は、入手したr12,s'2から、 s'1=k1−m×x1×r12 mod(p-1) s12=s'1+s'2 mod(p-1) を作成し、 M=a^(−s12)×yy^(r'12×m×b)×r12 modp として署名を確認して、(r12,s12,m)を、検証を要
求する人物Bへ送る。ここで、 r12'=r12 mod(p−1) である。(r12,s12)と公開鍵(y,g,p)とmとに
より、秘密鍵bによってBだけが署名を検証することが
できる。
【0051】このbの代わりに、署名者S1の秘密鍵x1
を使って生成したa(=g^x1)とすると、署名者しか
検証できないので、証明者限定署名となる。
【0052】上記のように、本発明の第2の実施の形態
では、キーエスクロー方式を、確認者指定の巡回署名を
利用する構成としたので、捜査機関のみが署名検証で
き、プライバシー保護機能を高めることができる。
【0053】
【発明の効果】以上の説明から明らかなように、本発明
では、鍵生成サーバーと鍵配送サーバーとダミーユーザ
ー用のプロキシサーバーとを具備する暗号通信のキーエ
スクロー方式の鍵生成サーバーに、ユーザー間の暗号通
信用のセッション鍵を生成して提供する手段を備え、鍵
配送サーバーに、ユーザーからセッション鍵の配布要求
を受け付ける手段と、ユーザーおよび端末を認証する手
段と、正しいユーザーであることが確認されたことに応
じてセッション鍵をユーザーに配布する手段と、セッシ
ョン鍵をプロキシサーバーへ送る手段とを備え、プロキ
シサーバーに、セッション鍵を保管する手段と、裁判所
などの令状に基づいた捜査機関からのセッション鍵提出
要求を受け付ける手段と、セッション鍵提出要求に応じ
てセッション鍵を捜査機関に転送する手段とを備えた構
成としたので、鍵保管機関が不要となるため、蓄積され
ている鍵への攻撃の心配がない。プロキシサーバーは、
現在ユーザー間通信で使われている鍵だけを保管してお
り、従来の鍵保管機関に比べて、攻撃の危険性が減少す
るという効果が得られる。
【0054】また、鍵の回復時には、捜査機関からの鍵
配送サーバーへのプロトコルが一切不要となり、プロキ
シサーバーから鍵を伝送してもらうと同時に、リアルタ
イム通信傍受が可能になるため、従来の鍵保管機関への
ブラインド復号が不要になり、通信プロトコルの大幅な
削減となる。
【0055】また、捜査機関は、証明者限定署名を用い
ることにより、捜査機関のみが巡回署名を最終確認で
き、よりプライバシー保護機能を高めることができる。
ユーザーのプライバシーは保護されたまま、捜査機関は
ほとんど瞬時に、傍聴対象の通信鍵の回復が可能にな
り、リアルタイムでユーザー間通信と同時に通信傍受が
可能となるという効果が得られる。
【0056】また、プロキシサーバーは、管理の行き届
いたサーバー側で管理することができ、正当なモバイル
端末は、どこからでも、正当なユーザーとしてプロキシ
サーバーから認証してもらい、鍵を取得できる。さら
に、鍵配布の準備フェーズでも、鍵保管機関へ鍵を配送
するプロトコルが不要になるので、その分安全性が増
す。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態におけるキーエスク
ロー方式の構成図、
【図2】本発明の第1の実施の形態におけるキーエスク
ロー方式の鍵共有プロトコルを示す図、
【図3】本発明の第1の実施の形態におけるキーエスク
ロー方式の捜査機関による鍵取得プロトコルを示す図、
【図4】従来のヤシャ(Yaksha)システムの構成図、
【図5】従来の改良されたヤシャ(Yaksha)システムの
構成図、
【図6】従来の供託鍵取得方法を示す図である。
【符号の説明】
1 初期チケット要求 2 初期チケット送信 3 サービスチケット要求 4 サービスチケット送信 5 サービス要求 6 サービス提供 7 捜査令状提示 8 認証OK 9 鍵要求 10 鍵送信 11 セッション鍵配布要求 12 暗号化セッション鍵配布 13 暗号化セッション鍵のブラインド復号要求 14 ブラインド復号セッション鍵配布 15 生成鍵送信 21 鍵引渡要求 22 捜査機関認証要求 23 捜査機関認証確認 24 ブラインド復号要求 25 ブラインド復号鍵送付 26 セッション鍵引渡 KGS 鍵生成サーバー KDS 鍵配送サーバー A,B,C1,C2 ユーザー S サービス機関 P プロキシサーバー M 捜査機関Iのモバイル端末 YAS 鍵生成機関 YGS 鍵配送サーバー T 鍵保管機関 I 捜査機関
───────────────────────────────────────────────────── フロントページの続き (72)発明者 井上 徹 神奈川県横浜市港北区新横浜三丁目20番8 号 株式会社高度移動通信セキュリティ技 術研究所内 Fターム(参考) 5J104 AA07 AA16 EA04 EA12 EA16 EA19 KA01 NA03 PA01 PA07 5K067 AA32 BB04 DD17 HH24 HH36

Claims (4)

    【特許請求の範囲】
  1. 【請求項1】 鍵生成サーバーと鍵配送サーバーとダミ
    ーユーザー用のプロキシサーバーとを具備する暗号通信
    のキーエスクロー方式において、前記鍵生成サーバー
    は、ユーザー間の暗号通信用のセッション鍵を生成して
    提供する手段を備え、前記鍵配送サーバーは、ユーザー
    から前記セッション鍵の配布要求を受け付ける手段と、
    ユーザーおよび端末を認証する手段と、正しいユーザー
    であることが確認されたことに応じて前記セッション鍵
    を前記ユーザーに配布する手段と、前記セッション鍵を
    前記プロキシサーバーへ送る手段とを備え、前記プロキ
    シサーバーは、前記セッション鍵を保管する手段と、裁
    判所などの令状に基づいた捜査機関からのセッション鍵
    提出要求を受け付ける手段と、前記セッション鍵提出要
    求に応じて前記セッション鍵を前記捜査機関に転送する
    手段とを備えたことを特徴とするキーエスクロー方式。
  2. 【請求項2】 鍵生成サーバーと鍵配送サーバーとダミ
    ーユーザー用のプロキシサーバーとを具備する暗号通信
    のキーエスクロー方式において、前記鍵生成サーバー
    は、ユーザー間の暗号通信用のセッション鍵を生成する
    手段と、前記セッション鍵を前記鍵生成サーバーの公開
    鍵で暗号化した暗号化セッション鍵を前記鍵配送サーバ
    ーに提供する手段とを備え、前記鍵配送サーバーは、ユ
    ーザーから前記セッション鍵の配布要求を受け付ける手
    段と、ユーザーおよび端末を認証する手段と、正しいユ
    ーザーであることが確認されたことに応じて前記暗号化
    セッション鍵を前記ユーザーに配布する手段と、前記暗
    号化セッション鍵を前記プロキシサーバーへ送る手段と
    を備え、前記プロキシサーバーは、前記暗号化セッショ
    ン鍵を保管する手段と、裁判所などの令状に基づいた捜
    査機関からのセッション鍵提出要求を受け付ける手段
    と、前記セッション鍵提出要求に応じて前記暗号化セッ
    ション鍵を前記鍵生成サーバーにブラインド復号しても
    らい前記捜査機関の公開鍵で暗号化したセッション鍵を
    前記捜査機関に転送する手段とを備えたことを特徴とす
    るキーエスクロー方式。
  3. 【請求項3】 前記プロキシサーバーに、確認者指定の
    一種である証明者限定署名がされた前記セッション鍵提
    出要求を前記鍵生成サーバーに送って前記捜査機関を認
    証してもらう手段と、前記捜査機関へ鍵転送するように
    指示するメッセージを前記鍵生成サーバーから受け取る
    手段とを設けたことを特徴とする請求項2記載のキーエ
    スクロー方式。
  4. 【請求項4】 前記プロキシサーバーに、移動通信可能
    な捜査機関のモバイル端末からのアクセスを受け付ける
    手段を設けたことを特徴とする請求項1〜3のいずれか
    に記載のキーエスクロー方式。
JP2000233272A 2000-08-01 2000-08-01 キーエスクロー方式 Ceased JP2002051036A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000233272A JP2002051036A (ja) 2000-08-01 2000-08-01 キーエスクロー方式

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000233272A JP2002051036A (ja) 2000-08-01 2000-08-01 キーエスクロー方式

Publications (1)

Publication Number Publication Date
JP2002051036A true JP2002051036A (ja) 2002-02-15

Family

ID=18725813

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000233272A Ceased JP2002051036A (ja) 2000-08-01 2000-08-01 キーエスクロー方式

Country Status (1)

Country Link
JP (1) JP2002051036A (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100458255B1 (ko) * 2002-07-26 2004-11-26 학교법인 성균관대학 프록시서버를 이용한 키 분배 방법
JP2007267064A (ja) * 2006-03-29 2007-10-11 Hitachi Ltd ネットワークセキュリィテイ管理システム、暗号化通信の遠隔監視方法及び通信端末。
WO2010150813A1 (ja) * 2009-06-23 2010-12-29 パナソニック電工株式会社 暗号鍵配布システム
JP2011508991A (ja) * 2007-11-30 2011-03-17 テレフオンアクチーボラゲット エル エム エリクソン(パブル) セキュアな通信のための鍵管理
CN103458401A (zh) * 2013-09-05 2013-12-18 北京一诺正思信息技术有限公司 一种语音加密通信系统及通信方法
JP2014099891A (ja) * 2014-01-06 2014-05-29 Telefon Ab L M Ericsson セキュアな通信のための鍵管理
US11212094B2 (en) * 2017-09-27 2021-12-28 Banco Bilbao Vizcaya Argentaria, S.A. Joint blind key escrow

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100458255B1 (ko) * 2002-07-26 2004-11-26 학교법인 성균관대학 프록시서버를 이용한 키 분배 방법
JP2007267064A (ja) * 2006-03-29 2007-10-11 Hitachi Ltd ネットワークセキュリィテイ管理システム、暗号化通信の遠隔監視方法及び通信端末。
JP4720576B2 (ja) * 2006-03-29 2011-07-13 株式会社日立製作所 ネットワークセキュリィテイ管理システム、暗号化通信の遠隔監視方法及び通信端末。
JP2011508991A (ja) * 2007-11-30 2011-03-17 テレフオンアクチーボラゲット エル エム エリクソン(パブル) セキュアな通信のための鍵管理
WO2010150813A1 (ja) * 2009-06-23 2010-12-29 パナソニック電工株式会社 暗号鍵配布システム
JP5432999B2 (ja) * 2009-06-23 2014-03-05 パナソニック株式会社 暗号鍵配布システム
US8817985B2 (en) 2009-06-23 2014-08-26 Panasonic Corporation Encryption key distribution system
CN103458401A (zh) * 2013-09-05 2013-12-18 北京一诺正思信息技术有限公司 一种语音加密通信系统及通信方法
JP2014099891A (ja) * 2014-01-06 2014-05-29 Telefon Ab L M Ericsson セキュアな通信のための鍵管理
US11212094B2 (en) * 2017-09-27 2021-12-28 Banco Bilbao Vizcaya Argentaria, S.A. Joint blind key escrow

Similar Documents

Publication Publication Date Title
US7688975B2 (en) Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure
US5535276A (en) Yaksha, an improved system and method for securing communications using split private key asymmetric cryptography
US7231526B2 (en) System and method for validating a network session
US7734045B2 (en) Multifactor split asymmetric crypto-key with persistent key security
US7334255B2 (en) System and method for controlling access to multiple public networks and for controlling access to multiple private networks
US7571471B2 (en) Secure login using a multifactor split asymmetric crypto-key with persistent key security
US5440635A (en) Cryptographic protocol for remote authentication
US5418854A (en) Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system
US20070067618A1 (en) Asymmetric crypto-graphy with rolling key security
CN111159684B (zh) 一种基于浏览器的安全防护系统和方法
JP2005505991A (ja) 公衆サーバからコンテンツを要求した場合にクライアントのプライバシーを提供するための方法およびシステム
CN111277412B (zh) 基于区块链密钥分发的数据安全共享系统及方法
CN108809633B (zh) 一种身份认证的方法、装置及系统
JP2004509399A (ja) ネットワークにわたって配布されるオブジェクトを保護するためのシステム
CN110505055B (zh) 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统
JPH08297638A (ja) 利用者認証方式
US20050141718A1 (en) Method of transmitting and receiving message using encryption/decryption key
CN110519222B (zh) 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统
US20050210247A1 (en) Method of virtual challenge response authentication
JPH10340255A (ja) ネットワーク利用者認証方式
JP2002051036A (ja) キーエスクロー方式
KR19990038925A (ko) 분산 환경에서 안전한 양방향 인증 방법
JP2005175992A (ja) 証明書配布システムおよび証明書配布方法
CN112035820B (zh) 一种用于Kerberos加密环境下的数据解析方法
CN111447060A (zh) 一种基于代理重加密的电子文档分发方法

Legal Events

Date Code Title Description
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040427

A045 Written measure of dismissal of application [lapsed due to lack of payment]

Free format text: JAPANESE INTERMEDIATE CODE: A045

Effective date: 20040824