JP2002164877A - キーエスクローおよびグループ通信方法 - Google Patents

キーエスクローおよびグループ通信方法

Info

Publication number
JP2002164877A
JP2002164877A JP2000287922A JP2000287922A JP2002164877A JP 2002164877 A JP2002164877 A JP 2002164877A JP 2000287922 A JP2000287922 A JP 2000287922A JP 2000287922 A JP2000287922 A JP 2000287922A JP 2002164877 A JP2002164877 A JP 2002164877A
Authority
JP
Japan
Prior art keywords
key
secret
user
public
generates
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000287922A
Other languages
English (en)
Inventor
Toru Inoue
井上  徹
Koichi Sakurai
幸一 櫻井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ADVANCED MOBILE TELECOMM SECUR
Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd
Original Assignee
ADVANCED MOBILE TELECOMM SECUR
Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ADVANCED MOBILE TELECOMM SECUR, Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd filed Critical ADVANCED MOBILE TELECOMM SECUR
Priority to JP2000287922A priority Critical patent/JP2002164877A/ja
Publication of JP2002164877A publication Critical patent/JP2002164877A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/04Masking or blinding

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Physics (AREA)
  • Physics & Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Computing Systems (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 3者間で、予備通信なしで、ElGamal暗号に
よるグループ通信を行なう。 【解決手段】 センター1は、有限体GF(q)上の楕円
曲線Eと、E上の点P,Qを公開する。ユーザA,B,C
は、それぞれ秘密乱数(整数)a,b,cを持ち、公開鍵
A(=a*P),PB(=b*P),PC(=c*P),QA(=a
*Q),QB(=b*Q),QC(=c*Q)を公開する。送信
者は、公開情報と自分の秘密鍵より、Weilペアリングま
たはTateペアリングを利用して共通鍵を求める。これを
メッセージMに加算して送る。受信者は、公開情報と自
分の秘密情報より共通鍵を計算して、メッセージMを復
号する。予備通信なしで、3者間でElGamal暗号通信を
行なうことができる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、キーエスクローお
よびグループ通信方法に関し、特に、3者間で予備通信
することなく暗号鍵を共有するキーエスクローおよびグ
ループ通信方法に関する。
【0002】
【従来の技術】従来、暗号通信を行なうための暗号鍵を
安全かつ簡単に共有する方法の1つとして、Diffie-Hel
lmanの鍵配送法がある。この方法に基づく従来のElGama
l暗号を、図5を参照して簡単に説明する。予め、セン
ター1は、有限体GF(q)(qは素数pの自然数ベキ
乗)の原始元gを公開する。ユーザーAがユーザーBと
暗号通信する場合には、ユーザーAは、秘密鍵(整数)
Aを生成して秘密に保持するとともに、gをxA乗して
公開鍵YAとする。すなわち、 YA=g^xA を生成して公開する。ユーザーBも、その秘密鍵xB
公開鍵YBを作る。すなわち、 YB=g^xB を生成して公開する。
【0003】ユーザーAは、乱数(整数)aを発生し、 C1=g^a を生成する。ユーザーAは、 C2=M×YB^a を生成して、送りたいメッセージMをマスクする。ユー
ザーAは、C1,C2を、ユーザーBに送信する。
【0004】C1,C2を受信したユーザーBは、 C2/(C1^xB) =M×(YB)^a/((g^a)^xB) =M×(g^xB)^a/((g^a)^xB) =M を計算して、メッセージMを取り出す。
【0005】ところで、Diffie-Hellmanの鍵配送法は、
2者間で暗号鍵を共有する方法であるが、Diffie-Hellm
anの鍵配送法と同様に、予備通信なしで3者で暗号鍵を
共有する暗号鍵配送方法が、文献1[Antoine Joux,“A
One Round Protocol for Tripartite Diffie-Hellma
n”,Algorithmic Number Theory, 4-th International
Symposium,ANTS-4,pp.385-393, Leiden, The Netherla
nds,July 2-7,2000]に開示されている。文献1によれ
ば、有限体上の楕円曲線上の点のWeilペアリングあるい
はTateペアリングを利用して、3者間での暗号鍵の共有
が実現できる。
【0006】Weilペアリングを簡単に説明する。詳細
は、文献1を参照されたい。Weilペアリングenは、楕
円曲線E上の2点から有限体GF(q)への写像E[n]×
E[n]→μnであらわされる。E[n]は、楕円曲線E上
の位数nの点(n*P=Oとなる点)の集合である。μ
nは、1のn乗根の集合である。Weilペアリングenは、
有限体GF(q)の代数的閉包上の有理関数fAとfBによ
り、 en(P,Q)=fA(B)/fB(A) と定義される。ただし、nはqと互いに素な整数であ
り、P,Qは、E[n]の元である。AとBは、排他的台
をもつ次数0の因子である。因子については後で説明す
る。Aは、(P)−(O)と線形同値であり、Bは、(Q)−
(O)と線形同値であり、 div(fA)=nA div(fB)=nB である。fA(B),fB(A)は、楕円曲線E上の点から有
限体GF(q)上への写像である。したがって、このWeil
ペアリングenも、楕円曲線上の2点から有限体GF
(q)上への写像であり、 en(a*P,b*Q)=en(P,Q)ab なる性質を持つ。あるPとQに“独立”なXが与えられ
たら、楕円曲線上の離散対数問題 Q=λ*P は、有限体GF(q)上の離散対数問題 en(Q,X)=en(P,X)^λ に変換できる。
【0007】Weilペアリングの値の計算方法を簡単に説
明する。P,Q(∈E)に対して、楕円曲線E上のランダ
ムな点T,Uを選び、(P+T)と(Q+U)を計算する。
因子AとBを、 A=(P+T)−(T) B=(Q+U)−(U) として、有理関数fA,fBを計算する。さらに、f
A(B),fB(A)を求めて、 {fA(Q+U)/fA(U)}/{fB(P+T)/fB(T)} を計算する。この値が零か未定義の場合は、最初に戻っ
てランダムな点T,Uを選びなおして計算する。さもな
ければ、この値をen(P,Q)とする。
【0008】Weilペアリングの値の計算方法は、文献2
[山中忠和、大岸聖史、境隆一、笠原正雄、“楕円曲線
上のペアリングを用いた暗号方式の計算量評価”、電子
情報通信学会技術報告ISEC2000-10(2000-05),pp.1-7,2
000年5月16日]に詳述されている。
【0009】Weilペアリングを使って共通暗号鍵を得る
方法を簡単に説明する。詳細は、文献1を参照された
い。ユーザーA,B,Cが暗号鍵を共有する場合に、各人
が公開鍵を一度だけ同報通信して、各人で共有鍵を生成
する方法であり、以下のように鍵配送を行なう。まず、
Weilペアリングを使って、 FW(x,P,Q)=en(P,Q)x を定義する。ユーザーA,B,Cは、それぞれ秘密鍵とし
て、整数a,b,cを生成して秘密に保持するとともに、
公開鍵(a*P,a*Q),(b*P,b*Q),(c*P,
c*Q)を生成して同報通信する。a*Pは、楕円曲線
上の点Pを、楕円曲線上で定義された加法演算により、
整数aの回数だけ加算したものである。a*Q,b*P,
b*Q,c*P,c*Qも同様である。ユーザーAは、
自己の秘密鍵aと、受信した公開鍵b*P,c*Qか
ら、 FW(a,b*P,c*Q)=en(P,Q)abc を得る。ユーザーBも同様に、 FW(b,a*P,c*Q)=en(P,Q)abc を得る。ユーザーCも同様に、 FW(c,a*P,b*Q)=en(P,Q)abc を得る。en(P,Q)abcを共通鍵として暗号通信を行な
う。
【0010】Tateペアリングを使って共通暗号鍵を得る
方法を簡単に説明する。詳細は、文献1を参照された
い。Tateペアリングは、Weilペアリングを更に複雑にし
たものである。因子D1とD2のTateペアリングは、 tn(D1,D2)=fD1(D2)^{(pk−1)/n} で定義される。Tateペアリングについても、文献2に計
算法が詳述されている。このTateペアリングは、有限体
GF(q)上の楕円曲線上の2点R,Sを単純に固定する
と、 tn((λ*P)−(O),(R)−(S))=tn((P)−(O),
(R)−(S))λ となる。関数FTを、 FT(x,D1,D2)=tn(D1,D2)x と定義する。
【0011】各人は次の計算をして、 FT(a,(b*P)−(b*Q),(c*P+c*Q)−(O)) =FT(1,(P)−(Q),(P+Q)−(O))abcT(b,(a*P)−(a*Q),(c*P+c*Q)−(O)) =FT(1,(P)−(Q),(P+Q)−(O))abcT(c,(b*P)−(b*Q),(a*P+a*Q)−(O)) =FT(1,(P)−(Q),(P+Q)−(O))abc 共通の値FT(1,(P)−(Q),(P+Q)−(O))abcを得
る。
【0012】以下に、具体的な例で計算ステップを示
す。512ビット以上の素数pを選ぶ。素体GF(p)上
の既約多項式(x2+1)を選び、(−1)の平方根のひ
とつをiとして、p2の要素をもつ拡大体GF(p2)を構
成する。楕円曲線Eとして、超特異曲線(supersingula
r curve) y2=x3+x を選ぶ。 (p+1)を割り切る大きな素数nを選ぶ。nは、例え
ば160ビット位のサイズである。楕円曲線E上の位数n
の2点P,Qを選ぶ。サイズはp2(約1024ビット以上)
となる。 Tateペアリングを使って、FT(1,(P)−(Q),(P+
Q)−(O))を計算する。結果は複素数類似の形となる。 ユーザーAは、a、b*P、b*Q、c*P、c*Q
の値をいれて、FT(a,(b*P)−(b*Q),(c*P+
c*Q)−(O))を計算できる。したがって、 FT(a,(b*P)−(b*Q),(c*P+c*Q)−(O)) =FT(1,(P)−(Q),(P+Q)−(O))abc を確認できる。ユーザーB,Cも同様にして共有鍵を計
算できる。
【0013】ここで因子の説明をする。代数曲線上の因
子(divisor)は、曲線E上の点Pの形式的な和であ
る。有限個の整数nPと点P∈Eに対し、因子Dは、 D=ΣP∈EP(P) と定義する。例えば、Dが点P,Q,Qの形式的な和であ
る時、 D=(P)+2(Q) と記す。Dの次数をdeg(D)と書き、ΣnPで与える。次
数が0の因子の集合は加法群となり、D0で表す。
【0014】楕円曲線E上の関数体K(E)のある関数f
が与えられたとき、単純に、多重度を考慮した零点の形
式的和から、多重度を考慮した極の形式的和を引き算し
て作られる次数0の因子、div(f)を作ることができ
る。関数fを代数的閉体上の有理式とする。P∈Eにお
いて、fが位数nの零点を持つ時、 vP(f)=n と定義する。P∈Eにおいて、fが位数nの極を持つ
時、 vP(f)=−n と定義する。有理関数fに対応した因子をΣvP(f)
(P)で定義し、div(f)と表記して主因子(principal
divisor)と呼ぶ。ここで、div(f)∈D0である。主因
子Dを、 D=Σii(Pi) とすると、 Σii*Pi=O となる。次数0の因子D1とD2の差D1−D2が主因子と
なるとき、D1とD2は線形同値であるという。
【0015】楕円曲線E上の主因子 D=Σii(Pi) から、 D=div(f) となる有理関数fを計算する方法を説明する。まず、有
理関数fの因子を、 div(f)=Σii((Pi)−(O)) と表わす。各iに対して、 Pi=ai*Pi を計算して、 ai((Pi)−(O))=(Pi)−(O)+div(fi) を、iについてすべて足し合わせる。
【0016】2因子D1,D2を加算する時は、P1,P2
Eと、f1,f2∈K(E)より、 D1=(P1)−(O)+div(f1) D2=(P2)−(O)+div(f2) のとき、その和は D1+D2=(P1+P2)−(O)+div(f123) と計算する。ここで、f3は、 f3=L/v である。図6に示すように、Lは、P1,P2を通る直線
の方程式であり、例えば、点(x3,y3)を通る傾きm
の直線であれば、 L=(y−y3)−m(x−x3) となる。vは、楕円曲線Eと直線Lとの交点(−P1−P
2)とその共役点(P1+P 2)を通る垂直線の方程式であ
る。例えば、点(x3,y3)を通る垂直線であれば、 v=x−x3 となる。ただし、P2=−P1の時は、v=1となる。P
2=P1の時は、Lは接線となる。なお、 ai((Pi)−(O))=(Pi)−(O)+div(fi) のfを求める場合は、 (Pi)−(O)=(Pi)−(O)+div(1) を2倍する計算を繰り返し、aiを2のベキ乗の和で表
わすようにして求めることができる。この結果を、すべ
てのiについて足すと、 Σii*Pi=O であるから、右辺の(Pi)の合計は、(O)となり、d
iv( )の中にfが因子分解された形で求まる。
【0017】文献3[Alfred Menezes,“Elliptic Curv
e Public Key Cryptosystems”, Kluwer Academic publ
ishers, 1993,pp.63-68]には、主因子から有理関数f
を計算する手順が、例とともに示されている。
【0018】
【発明が解決しようとする課題】しかし、上記従来のEl
Gamal暗号では、2者間でしか暗号通信をすることがで
きず、3者間で暗号通信を行なう場合は、共有暗号鍵の
配布のための通信が必要になるという問題があった。ま
た、従来のAntoine Jouxの方法では、3者間におけるDi
ffie-Hellman式の鍵共有ができるが、メッセージの送信
には改めて共有暗号鍵による暗号通信が必要になるとい
う問題があった。
【0019】本発明は、上記従来の問題を解決し、Anto
ine Jouxの方法を用いて、3者間でElGamal暗号による
グループ通信を可能とすることを目的とする。また、3
者の1員を捜査員として、2者間の暗号通信を傍受可能
とすることを目的とする。
【0020】
【課題を解決するための手段】上記の課題を解決するた
めに、本発明では、グループ通信方法を、Weilペアリン
グまたはTateペアリングを利用して共通鍵を求め、メッ
セージを共通鍵でマスクして同報通信し、受信者は公開
鍵と自身の秘密鍵から共通鍵を求めて、メッセージを復
号する構成とした。このように構成したことにより、3
者間でElGamal暗号通信を行なうことができる。
【0021】また、キーエスクロー方法を、Weilペアリ
ングまたはTateペアリングを利用して共通鍵を求め、メ
ッセージを共通鍵でマスクして送信し、受信者は公開鍵
と自身の秘密鍵から共通鍵を求めて、メッセージを復号
する構成とした。このように構成したことにより、2者
間のElGamal暗号通信を傍受することができる。
【0022】
【発明の実施の形態】以下、本発明の実施の形態につい
て、図1〜図4を参照しながら詳細に説明する。
【0023】(第1の実施の形態)本発明の第1の実施
の形態は、WeilペアリングまたはTateペアリングを利用
して共通鍵を求め、メッセージを共通鍵でマスクして同
報通信し、受信者は公開鍵と自身の秘密鍵から共通鍵を
求めて、メッセージを復号するグループ通信方法であ
る。
【0024】図1は、本発明の第1の実施の形態におけ
るグループ通信方法を示す構成図である。図1におい
て、センター1は、共有鍵の基礎となるデータを公開す
る機関である。ユーザーの1人が兼ねてもよい。ユーザ
ーA(2)とB(3)とC(4)は、通常の暗号通信を
行なうユーザーである。図2は、本発明の第1の実施の
形態におけるグループ通信方法を示す流れ図である。
【0025】上記のように構成された本発明の第1の実
施の形態におけるグループ通信方法の手順を説明する。
図1に示すような、センター1とユーザーA,B,Cから
なる通信システムにおいて、ユーザーA,B,Cの間でグ
ループ暗号通信を行なう方法の例を説明する。図1に示
すユーザーA,B,Cは、通常の暗号通信を行なうユーザ
ーである。
【0026】最初に、図1に示すセンター1は、公開情
報(E,P,Q)を公開する。すなわち、センター1
は、512ビット以上の素数pを選び、有限体GF(p)上
の既約多項式として、(x2+1)を選び、p2の要素を
もつ拡大体GF(p2)を構成する。GF(p2)上の楕円曲
線Eとして、超特異曲線(supersingular curve)、 y2=x3+x を選ぶ。超特異曲線では、点の間の加算演算が簡単にな
るからである。GF(p2)上の楕円曲線Eと、楕円曲線
E上の位数nの点P,Qとを公開する。nは、(p+
1)の大きな素因数であり、160ビット程度の大きさと
する。これが、図2に示す最初のステップである。図2
では、個別に送信するように描いてあるが、実際は同報
通信により公開する。
【0027】第2に、ユーザA,B,Cは、公開鍵(PA,
A),(PB,QB),(PC,QC)を公開する。すなわ
ち、ユーザA,B,Cは、それぞれ秘密鍵(整数)a,b,
cを生成して秘密に保持するとともに、公開鍵PA(=a
*P),PB(=b*P),PC(=c*P),QA(=a*Q),Q
B(=b*Q),QC(=c*Q)を計算して公開する。これ
が、図2に示す2番目から4番目のステップである。図
2では、個別に送信するように描いてあるが、実際は同
報通信により公開する。
【0028】第3に、ユーザーAは、通信文(C1,
2)を送信する。ユーザーAが送信した暗号文を、ユ
ーザーBとCが受信する。ユーザーAは、新たに乱数を
発生し、古い秘密鍵aと置き換える。ユーザーAは、公
開鍵PA,QAを計算しなおし、 PA=a*P QA=a*Q C1=(PA,QA) を得る。
【0029】Weilペアリングを利用して共通鍵FTAを計
算する。すなわち、ユーザーAは、PB,QCに対応する
有理関数fB,fCを求め、en(PB,QC)を計算して、 FTA=FW(a,PB,QC)=en(PB,QC)a を得る。FTAをメッセージMに加算して、 C2=M+FTA のようにマスクして隠す。ユーザーAは、ユーザーBと
Cに、通信文(C1,C2)を送る。
【0030】ユーザーBは、C1より得た新しいPA,QA
と、公開情報PC,QCと、自分の秘密情報bより、ユー
ザーAと同様にして、 FTB=FW(b,PA,QC)=en(PA,QC)b を得る。FTA=FTBとなるので、FTBを暗号文C2からキャ
ンセルして、 M=C2−FTB のように、メッセージMを復号することができる。
【0031】ユーザーCは、ユーザーAからの通信文 C1=(PA,QA) C2=M+FTA を受け取り、C1と、公開情報PB,QBと、自分の秘密情
報cより、 FTC=FW(c,PB,QA)=en(PB,QA)c を計算する。FTA=FTCが成り立っているので、ユーザー
Cは、暗号文C2よりFTCをキャンセルして、 M=C2−FTC のように、メセージMを取り出すことができる。ユーザ
ーBまたはCが送信する場合も、同様にして通信可能で
ある。
【0032】Tateペアリングを利用する場合は、ユーザ
ーAは、公開情報PB,QB,PC,QCより、 D1=(PB)−(QB) D2=(PC+QC)−(O) とし、D1に対応する有理関数fD1を計算し、fD1(D2)
を計算して、 tn(D1,D2)=fD1(D2)^{(p2−1)/n} FTA=FT(a,D1,D2)=tn(D1,D2)a を得る。FTAをメッセージMに加算して、 C2=M+FTA のようにマスクする。ユーザーAは、ユーザーBとC
に、通信文(C1,C2)を送る。
【0033】ユーザーBは、C1より得た新しいPA,QA
と、公開情報PC,QCと、自分の秘密情報bより、ユー
ザーAと同様にして、 FTB=FT(b,(PA)−(QA),(PC+QC)−(O)) 得る。ここで、 FTA=FTB となるので、FTBを暗号文C2からキャンセルして、 M=C2−FTB のように、メッセージMを復号することができる。
【0034】ユーザーCは、ユーザーAからの通信文 C1=(PA,QA) C2=M+FTA を受け取り、C1と、公開情報PB,QBと、自分の秘密情
報cより、 FTC=FT(c,(PB)−(QB),(PA+QA)−(O)) を計算する。ここで、 FTA=FTC が成り立っているので、ユーザーCは、暗号文C2よりF
TCをキャンセルして、 M=C2−FTC のように、メセージMを取り出すことができる。
【0035】上記の例では、送信者(ユーザーA)が、
マスクしたメッセージとともに、新しい公開鍵(PA,
A)を送信する方法を説明したが、別の例として、全員
の公開鍵を送信する方法を説明する。DRF(data rec
over field)なる一種のヘッダーを設け、そのヘッダー
文の構成を(PA,QA,PB,QB,PC,QC)とする。常
に、ユーザーA、B、Cの公開鍵を、各送信データに付
加して送信する。すなわち、ユーザーAがユーザーBに
暗号通信するときには、ユーザーAは、PA,QAを最新
のデータに更新して、 DRF=(PA,QA,PB,QB,PC,QC) を送る。ユーザーB、Cが送信するときも、PB,QB
たはPC,QCを更新してDRFを送信する。通信相手
は、自分の秘密鍵とDRFから、共通鍵を計算できる。
DRFを使うことによって、通信者は、公開鍵を検索す
ることなく、受信データのみから暗号文を復号できる。
【0036】上記のように、本発明の第1の実施の形態
では、グループ通信方法を、WeilペアリングまたはTate
ペアリングを利用して共通鍵を求め、メッセージを共通
鍵でマスクして同報通信し、受信者は公開鍵と自身の秘
密鍵から共通鍵を求めて、メッセージを復号する構成と
したので、3者間でElGamal暗号通信を行なうことがで
きる。
【0037】(第2の実施の形態)本発明の第2の実施
の形態は、WeilペアリングまたはTateペアリングを利用
して共通鍵を求め、メッセージを共通鍵でマスクして送
信し、受信者と捜査員は、公開鍵と自身の秘密鍵から共
通鍵を求めて、メッセージを復号するキーエスクロー方
法である。
【0038】図3は、本発明の第2の実施の形態におけ
るキーエスクロー方法を示す構成図である。図1におい
て、センター1は、共有鍵の基礎となるデータを公開す
る機関である。ユーザーの1人が兼ねてもよい。ユーザ
ーA(2)とB(3)は、通常の暗号通信を行なうユー
ザーである。捜査員C(5)は、許可を受けて通信を傍
受する鍵供託機関の捜査員である。図4は、本発明の第
2の実施の形態におけるグループ通信方法を示す流れ図
である。
【0039】上記のように構成された本発明の第2の実
施の形態におけるキーエスクロー方法の手順を説明す
る。図3に示すような、センター1とユーザーA,Bと
捜査員Cからなる通信システムにおいて、ユーザーA,
Bの間で暗号通信を行ない、捜査員Cが傍受する方法の
例を説明する。図3に示すユーザーA,Bは、通常の暗
号通信を行なうユーザーである。最初に、図3に示すセ
ンター1は、公開情報(E,P,Q)を公開する。これ
は、第1の実施の形態と同じである。
【0040】第2に、ユーザA,Bと捜査員Cは、公開
鍵(PA,QA),(PB,QB),(PC,QC)を公開する。
すなわち、ユーザA,Bと捜査員Cは、それぞれ秘密鍵
(整数)a,b,cを生成して秘密に保持するとともに、
公開鍵PA(=a*P),PB(=b*P),PC(=c*P),Q
A(=a*Q),QB(=b*Q),QC(=c*Q)を計算して
公開する。これが、図4に示す2番目から4番目のステ
ップである。
【0041】第3に、ユーザーAは、暗号文(C1,
2)を送信する。ユーザーAが送信した暗号文を、ユ
ーザーBが受信し、捜査員Cが傍受する。ユーザーAの
送信手順とユーザーBの受信手順は、第1の実施の形態
と同じである。
【0042】捜査員Cは、ユーザーAからの通信文 C1=(PA,QA) C2=M+FTA を傍受する。捜査員Cは、 C1=(PA,QA) と、公開情報PB,QBと、自分の秘密情報cより、 FTC=FW(c,PB,QA)=en(PB,QA)c または、 FTC=FT(c,(PB)−(QB),(PA+QA)−(O)) を計算する。FTA=FTCが成り立っているので、捜査員C
は、暗号文C2よりFTCをキャンセルして、 M=C2−FTC のように、メセージMを取り出すことができる。ユーザ
ーBが送信する場合も、同様にして実現可能である。捜
査員Cが送信することはないので、秘密鍵cと公開鍵P
C、QCを更新することはない。
【0043】上記の例では、送信者(ユーザーA)が、
マスクしたメッセージとともに、新しい公開鍵(PA,
A)を送信する方法を説明したが、別の例として、全員
の公開鍵を送信する方法を説明する。DRF(data rec
over field)なる一種のヘッダーを設け、そのヘッダー
文の構成を(PA,QA,PB,QB,PC,QC)とする。常
に、ユーザーA,Bの最新の公開鍵と、捜査員Cの公開
鍵を、各送信データに付加して送信する。すなわち、ユ
ーザーAがユーザーBに暗号通信するときには、ユーザ
ーAは、PA,QAを最新のデータに更新して、DRF=
(PA,QA,PB,QB,PC,QC)を送る。ユーザーBが送
信するときも、PB,QBを更新してDRFを送信する。
捜査員Cの公開鍵PC,QCは、更新されることはない。
通信相手と捜査機関のいずれも、自分の秘密鍵とDRF
から、共通鍵を計算できる。DRFを使うことによっ
て、通信者は、公開鍵を検索することなく、受信データ
のみから暗号文を復号できる。
【0044】上記の例では、捜査員Cが秘密鍵cを保持
して、自分で共通鍵を生成して、傍受した暗号文を解読
する方法を説明したが、鍵供託機関(エスクローエージ
ェント)が共通鍵を生成するようにしてもよい。すなわ
ち、エスクローエージェントを、捜査員用に秘密鍵cを
保管して、捜査員からDRFの解読を依頼されれば、捜
査員を認証した後、共通鍵を捜査員に提供する機関とす
る。法執行時などで、捜査員が暗号文とDRFを入手し
た時は、エスクローエージェントヘ送れば、エスクロー
エージェントは、自分の秘密鍵cとDRFから再生した
公開鍵PA,QA,PB,QBから共通鍵を作り、捜査員に提
供する。
【0045】上記のように、本発明の第2の実施の形態
では、キーエスクロー方法を、WeilペアリングまたはTa
teペアリングを利用して共通鍵を求め、メッセージを共
通鍵でマスクして送信し、受信者と捜査員は、公開鍵と
自身の秘密鍵から共通鍵を求めて、メッセージを復号す
る構成としたので、捜査員は、2者間のElGamal暗号通
信を傍受することができる。
【0046】
【発明の効果】以上の説明から明らかなように、本発明
では、グループ通信方法を、WeilペアリングまたはTate
ペアリングを利用して共通鍵を求め、メッセージを共通
鍵でマスクして同報通信し、受信者は公開鍵と自身の秘
密鍵から共通鍵を求めて、メッセージを復号する構成と
したので、予備通信なしで、3者間でElGamal暗号通信
を行なうことができるという効果が得られる。
【0047】また、キーエスクロー方法を、Weilペアリ
ングまたはTateペアリングを利用して共通鍵を求め、メ
ッセージを共通鍵でマスクして送信し、受信者は公開鍵
と自身の秘密鍵から共通鍵を求めて、メッセージを復号
する構成としたので、捜査員は、予備通信なしで、2者
間のElGamal暗号通信を傍受することができるという効
果が得られる。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態におけるグループ通
信方法を示す構成図、
【図2】本発明の第1の実施の形態におけるグループ通
信方法を示す流れ図、
【図3】本発明の第2の実施の形態におけるキーエスク
ロー方法を示す構成図、
【図4】本発明の第2の実施の形態におけるキーエスク
ロー方法を示す流れ図、
【図5】従来のElGamal暗号による通信方法を示す図、
【図6】楕円曲線とその上の点の加法を示す図である。
【符号の説明】
1 センター 2 ユーザーA 3 ユーザーB 4 ユーザーC 5 捜査員C
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 11/26 Fターム(参考) 5J104 AA01 AA16 AA25 EA04 NA02 NA16 5K030 GA15 HA05 KX28 LD02 LD19

Claims (6)

    【特許請求の範囲】
  1. 【請求項1】 センターとユーザーA,B,Cからなる
    暗号通信システムのグループ通信方法において、前記セ
    ンターは、有限体GF(q)上の楕円曲線Eと、前記楕円
    曲線E上の点P,Qとを公開し、前記ユーザーAは、秘
    密鍵aを生成して秘密に保持するとともに、公開鍵PA
    (=a*P),QA(=a*Q)を公開し、前記ユーザ
    ーBは、秘密鍵bを生成して秘密に保持するとともに、
    公開鍵P B(=b*P),QB(=b*Q)を公開し、前
    記ユーザーCは、秘密鍵cを生成して秘密に保持すると
    ともに、公開鍵PC(=c*P),QC(=c*Q)を公
    開し、送信者X(前記ユーザーA,B,Cのいずれか)
    は、秘密鍵xを生成して秘密に保持するとともに、公開
    鍵PX(=x*P),QX(=x*Q)を生成して、 C1=(PX,QX) とし、マスクFを、Weilペアリングen(P,Q)に基づい
    て、 F=f(x,PY,QZ)=en(PY,QZ)x=en(P,Q)^(x
    yz) (PY,QZは、送信者以外の公開鍵)とし、メッセージ
    Mと前記マスクFとから、 C2=M+F を生成し、暗号文(C1,C2)を送信し、受信者Y(X
    以外の前記ユーザーA,B,Cのいずれか)は、前記マ
    スクFを、 F=f(y,PX,QZ)=f(1,P,Q)^(xyz) =en(P,Q)^(xyz) により生成し、 M=C2−F により前記メッセージMを得ることを特徴とするグルー
    プ通信方法。
  2. 【請求項2】 センターとユーザーA,B,Cからなる
    暗号通信システムのグループ通信方法において、前記セ
    ンターは、有限体GF(q)上の楕円曲線Eと、前記楕円
    曲線E上の点P,Qとを公開し、前記ユーザーAは、秘
    密鍵aを生成して秘密に保持するとともに、公開鍵PA
    (=a*P),QA(=a*Q)を公開し、前記ユーザ
    ーBは、秘密鍵bを生成して秘密に保持するとともに、
    公開鍵P B(=b*P),QB(=b*Q)を公開し、前
    記ユーザーCは、秘密鍵cを生成して秘密に保持すると
    ともに、公開鍵PC(=c*P),QC(=c*Q)を公
    開し、送信者X(前記ユーザーA,B,Cのいずれか)
    は、秘密鍵xを生成して秘密に保持するとともに、公開
    鍵PX(=x*P),QX(=x*Q)を生成して、 C1=(PX,QX) とし、マスクFを、Tateペアリングtn((P)−(Q),(P
    +Q)−(O))に基づいて、 F=FT(x,(PY)−(QY),(PZ+QZ)−(O)) =tn((P)−(Q),(P+Q)−(O))xyz (PY,QY,PZ,QZは、送信者以外の公開鍵)とし、メ
    ッセージMと前記マスクFとから、 C2=M+F を生成し、暗号文(C1,C2)を送信し、受信者Y(X
    以外の前記ユーザーA,B,Cのいずれか)は、前記マ
    スクFを、 F=tn((P)−(Q),(P+Q)−(O))xyz により生成し、 M=C2−F により前記メッセージMを得ることを特徴とするグルー
    プ通信方法。
  3. 【請求項3】 前記送信者Xは、前記ユーザーA、B、
    Cの公開鍵を記入したヘッダーを前記暗号文に付加して
    通信することを特徴とする請求項1または2記載のグル
    ープ通信方法。
  4. 【請求項4】 センターとユーザーA,Bと捜査員Cか
    らなる暗号通信システムのキーエスクロー方法におい
    て、前記センターは、楕円曲線E(GF(q))と、前
    記楕円曲線E上の点P,Qとを公開し、前記ユーザーA
    は、秘密鍵aを生成して秘密に保持するとともに、公開
    鍵PA(=a*P),QA(=a*Q)を公開し、前記ユ
    ーザーBは、秘密鍵bを生成して秘密に保持するととも
    に、公開鍵PB(=b*P),QB(=b*Q)を公開
    し、前記捜査員Cは、秘密鍵cを生成して秘密に保持す
    るとともに、公開鍵PC(=c*P),QC(=c*Q)
    を公開し、送信者X(前記ユーザーAまたはB)は、秘
    密鍵xを生成して秘密に保持するとともに、公開鍵PX
    (=x*P),QX(=x*Q)を生成して、 C1=(PX,QX) とし、マスクFを、Weilペアリングen(P,Q)に基づい
    て、 F=f(x,PY,QZ)=en(PY,QZ)x=en(P,Q)^(x
    yz) (PY,QZは、送信者以外の公開鍵)とし、メッセージ
    Mと前記マスクFとから、 C2=M+F を生成し、暗号文(C1,C2)を送信し、受信者Y(X
    以外の前記ユーザーAまたはBまたは前記捜査員Cのい
    ずれか)は、前記マスクFを、 F=f(y,PX,QZ)=f(1,P,Q)^(xyz) =en(P,Q)^(xyz) により生成し、 M=C2−F により前記メッセージMを得ることを特徴とするキーエ
    スクロー方法。
  5. 【請求項5】 センターとユーザーA,Bと捜査員Cか
    らなる暗号通信システムのキーエスクロー方法におい
    て、前記センターは、楕円曲線E(GF(q))と、前
    記楕円曲線E上の点P,Qとを公開し、前記ユーザーA
    は、秘密鍵aを生成して秘密に保持するとともに、公開
    鍵PA(=a*P),QA(=a*Q)を公開し、前記ユ
    ーザーBは、秘密鍵bを生成して秘密に保持するととも
    に、公開鍵PB(=b*P),QB(=b*Q)を公開
    し、前記捜査員Cは、秘密鍵cを生成して秘密に保持す
    るとともに、公開鍵PC(=c*P),QC(=c*Q)
    を公開し、送信者X(前記ユーザーAまたはB)は、秘
    密鍵xを生成して秘密に保持するとともに、公開鍵PX
    (=x*P),QX(=x*Q)を生成して、 C1=(PX,QX) とし、マスクFを、Tateペアリングtn((P)−(Q),(P
    +Q)−(O))に基づいて、 F=FT(x,(PY)−(QY),(PZ+QZ)−(O)) =tn((P)−(Q),(P+Q)−(O))xyz (PY,QY,PZ,QZは、送信者以外の公開鍵)とし、メ
    ッセージMと前記マスクFとから、 C2=M+F を生成し、暗号文(C1,C2)を送信し、受信者Y(X
    以外の前記ユーザーAまたはBまたは前記捜査員Cのい
    ずれか)は、前記マスクFを、 F=tn((P)−(Q),(P+Q)−(O))xyz により生成し、 M=C2−F により前記メッセージMを得ることを特徴とするキーエ
    スクロー方法。
  6. 【請求項6】 前記送信者Xは、前記ユーザーA、Bと
    前記捜査員Cの公開鍵を記入したヘッダーを前記暗号文
    に付加して通信することを特徴とする請求項4または5
    記載のキーエスクロー方法。
JP2000287922A 2000-09-14 2000-09-22 キーエスクローおよびグループ通信方法 Pending JP2002164877A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000287922A JP2002164877A (ja) 2000-09-14 2000-09-22 キーエスクローおよびグループ通信方法

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2000-280311 2000-09-14
JP2000280311 2000-09-14
JP2000287922A JP2002164877A (ja) 2000-09-14 2000-09-22 キーエスクローおよびグループ通信方法

Publications (1)

Publication Number Publication Date
JP2002164877A true JP2002164877A (ja) 2002-06-07

Family

ID=26600017

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000287922A Pending JP2002164877A (ja) 2000-09-14 2000-09-22 キーエスクローおよびグループ通信方法

Country Status (1)

Country Link
JP (1) JP2002164877A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008519303A (ja) * 2004-11-04 2008-06-05 フランス テレコム 双線形アプリケーションの計算の安全化された委託方法
US8130964B2 (en) * 2001-08-13 2012-03-06 The Board Of Trustees Of The Leland Stanford Junior University Systems and methods for identity-based encryption and related cryptographic techniques

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8130964B2 (en) * 2001-08-13 2012-03-06 The Board Of Trustees Of The Leland Stanford Junior University Systems and methods for identity-based encryption and related cryptographic techniques
JP2008519303A (ja) * 2004-11-04 2008-06-05 フランス テレコム 双線形アプリケーションの計算の安全化された委託方法
JP4740253B2 (ja) * 2004-11-04 2011-08-03 フランス・テレコム 双線形アプリケーションの計算の安全化された委託方法

Similar Documents

Publication Publication Date Title
EP3616384B1 (en) Orthogonal access control for groups via multi-hop transform encryption
KR101418254B1 (ko) 암호 시스템, 암호 통신 방법, 암호화 장치, 키 생성 장치, 복호 장치, 콘텐츠 서버 장치, 프로그램, 기억매체
KR100406754B1 (ko) 피케이아이 기반의 상업용 키위탁 방법 및 시스템
US8320559B1 (en) Identity-based-encryption system
US7356688B1 (en) System and method for document distribution
EP2359524B1 (en) Method and apparatus for pseudonym generation and authentication
US7263191B2 (en) Method and apparatus for encrypting data
JP2005252384A (ja) 暗号化データ保管サーバシステム、暗号化データ保管方法及び再暗号化方法
Herranz Attacking pairing-free attribute-based encryption schemes
Chen et al. A restricted proxy re‐encryption with keyword search for fine‐grained data access control in cloud storage
Dolev et al. Efficient private multi-party computations of trust in the presence of curious and malicious users
JP4288184B2 (ja) 鍵更新方法、暗号システム、暗号サーバ、端末装置及び外部装置
Catalano et al. A certificateless approach to onion routing
KR20030047148A (ko) Rsa를 이용한 클라이언트/서버 기반의 메신저 보안 방법
JP2002164877A (ja) キーエスクローおよびグループ通信方法
JP3895245B2 (ja) 鍵の更新が可能な利用者の識別情報に基づく暗号化方法及び暗号システム
JP4146252B2 (ja) 不正者特定可能な匿名通信方法、それに使用される利用者装置、及び中継サーバ装置
JP2005176144A (ja) 端末装置、通信システム及び通信方法
JP2005198187A (ja) 暗号方法、暗号システム及び端末装置
Kuchta et al. Secure certificateless proxy re-encryption without pairing
Paul et al. Non-transferability in proxy re-encryption revisited.
Yu et al. Achieving flexibility for ABE with outsourcing via proxy re-encryption
JP2002252609A (ja) キーエスクロー方式
JPH0798563A (ja) 楕円曲線による署名、認証及び秘密通信方式
JPH1173104A (ja) ディフィーヘルマン、rsa及びラビンに関する非対称暗号化の公に検証可能な回復方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040323

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050405