JP2002514841A - 認証鍵一致プロトコル - Google Patents
認証鍵一致プロトコルInfo
- Publication number
- JP2002514841A JP2002514841A JP2000547728A JP2000547728A JP2002514841A JP 2002514841 A JP2002514841 A JP 2002514841A JP 2000547728 A JP2000547728 A JP 2000547728A JP 2000547728 A JP2000547728 A JP 2000547728A JP 2002514841 A JP2002514841 A JP 2002514841A
- Authority
- JP
- Japan
- Prior art keywords
- key
- subject
- public
- session
- principal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
(57)【要約】
ディジタルデータ通信システムにおける、一組の主体iとjとの間の鍵一致方法であって、主体(entity)iおよびjのそれぞれは、個人鍵(private key) およびそれに対応する公開鍵(public key)ペアであるS(i) P(i) とS(j)P(j) とを持っており、上記のシステムは、1つの群の要素を生成するための広域のパラメータをもっている鍵一致方法において、(a)主体iが、ランダムな個人セッション値(private session value) R(i) を選択し、(b)上記個人セッション値R(i) に相当する公開セッション値(public session value)を上記主体jに転送し、(c)主体jが、第1の関数H1 を利用し、主体iの公開鍵とjの個人鍵とから導かれる長い句の共有秘密鍵(long term shared secret key) k’を算出し、(d)上記主体jは、上記鍵k’を利用し、主体の身元i、jと主体の公開セッション鍵とに関する認証メッセージ(authenticated message) を算出し、上記認証メッセージを主体iへ転送し、(e)上記主体iが、上記認証メッセージを確認し、(f)上記主体iが、上記第1の関数H1 に従って、上記主体jの公開鍵と主体iの個人鍵とから導かれる上記長い句の共有秘密鍵k’を算出し、(g)上記主体iは、上記長い句の共有秘密鍵k’を利用し、上記主体iおよびjの身元情報と上記公開セッション鍵とに関する認証メッセージを算出し、上記認証メッセージを上記主体jへ転送し、(h)主体jは、上記受け取られた認証メッセージを確認し、(i)上記主体iおよびjの両方が、上記認証メッセージを確認し、各々のセッション公開鍵と個人鍵とを利用する短い句(short term)の共有秘密鍵の算出を行うように設定されているステップを含む鍵一致方法。
Description
本発明は、暗号システム、特に、暗号システムに用いられる認証鍵一致(authe
nticated key agreement) プロトコルに関するものである。
nticated key agreement) プロトコルに関するものである。
【0001】 鍵一致の問題は、2つの主体が、分散型のネットワーク(distributed network
) を通じて、秘密状態で鍵の情報を一致させたいときに生じる。。鍵一致の問題
の解決法では、有限群でのDiffie-Hellman問題によって安全性を確保しているも
のが、広範囲で使用されている。
) を通じて、秘密状態で鍵の情報を一致させたいときに生じる。。鍵一致の問題
の解決法では、有限群でのDiffie-Hellman問題によって安全性を確保しているも
のが、広範囲で使用されている。
【0002】 仮に、主体iが、主体jと秘密鍵の情報(secret keying information)を一致
させることを望んでいるとする。それぞれの側(each party)は、iおよびj以外
の誰も、鍵の情報を算出できないという保証を望む。これを認証鍵一致(authen
ticated key agreement;AK)問題と呼ぶ。この問題は、一致させる鍵の主体を
選ばない場合の鍵一致問題より、明らかに難しい問題である。なぜなら、この問
題では、iが、鍵はj以外の誰とも共用されないことを保証するためである。
させることを望んでいるとする。それぞれの側(each party)は、iおよびj以外
の誰も、鍵の情報を算出できないという保証を望む。これを認証鍵一致(authen
ticated key agreement;AK)問題と呼ぶ。この問題は、一致させる鍵の主体を
選ばない場合の鍵一致問題より、明らかに難しい問題である。なぜなら、この問
題では、iが、鍵はj以外の誰とも共用されないことを保証するためである。
【0003】 AK問題を解決するために、Diffie-Hellman問題に関する手法がいくつか提案
されている。しかしながら、多くの場合、目的の達成を実証できそうな、実用的
な解決策はなく、このような不具合は、欠陥のあるプロトコルの使用に結びつい
ている。
されている。しかしながら、多くの場合、目的の達成を実証できそうな、実用的
な解決策はなく、このような不具合は、欠陥のあるプロトコルの使用に結びつい
ている。
【0004】 AK問題においては、iは、ただjのみがその鍵を算出できることを望んでい
るだけであって、jが実際にその鍵を算出することを望んでいる訳ではないので
、解決方法は、暗黙の(鍵)認証(implicit (key) authentication)を供給する
ことであるとよく言われている。この他に、もし、jが一致鍵を実際に算出した
ことを、iが確かめたい場合には、いわゆる明白な証明(explicit authenticat
ion )を示すために、鍵一致プロトコルに鍵確認(key confirmation)が組み込ま
れる。その場合の目的は、鍵確認を伴った認証鍵一致(authenticated key conf
irmation; AKC)と呼ばれるものである。鍵確認は、iが本当にjと通信して
いるという保証を、本質的に加えるものである。このようにして、鍵確認の目的
は、Diffie-Hellmanにおいて定義されたような主体の証明(entity authenticati
on) の目的と一致する。しかしながら、もっと正確にいうと、AKAプロトコル
に主体の認証を組み込むことは、jが実際にその鍵を算出したという強い保証よ
りも、むしろ、jがその鍵を算出できるという付加的な保証を、iに供給するこ
とになる。
るだけであって、jが実際にその鍵を算出することを望んでいる訳ではないので
、解決方法は、暗黙の(鍵)認証(implicit (key) authentication)を供給する
ことであるとよく言われている。この他に、もし、jが一致鍵を実際に算出した
ことを、iが確かめたい場合には、いわゆる明白な証明(explicit authenticat
ion )を示すために、鍵一致プロトコルに鍵確認(key confirmation)が組み込ま
れる。その場合の目的は、鍵確認を伴った認証鍵一致(authenticated key conf
irmation; AKC)と呼ばれるものである。鍵確認は、iが本当にjと通信して
いるという保証を、本質的に加えるものである。このようにして、鍵確認の目的
は、Diffie-Hellmanにおいて定義されたような主体の証明(entity authenticati
on) の目的と一致する。しかしながら、もっと正確にいうと、AKAプロトコル
に主体の認証を組み込むことは、jが実際にその鍵を算出したという強い保証よ
りも、むしろ、jがその鍵を算出できるという付加的な保証を、iに供給するこ
とになる。
【0005】 区別可能な多種類の攻撃が、従来の方法(schemes) に対して提案されていた。
これには、プロトコルの耐えうるべき主要な攻撃が2つあった。1つ目は、消極
的な攻撃であり、プロトコルを実行し、プロトコルを実行している正当な主体を
単に観察することによって、攻撃者(adversary) がプロトコルの目的達成を妨害
するというものである。2つ目は、積極的な攻撃であり、メッセージを配列した
り、メッセージを横取りしたり、メッセージに応答したり、メッセージを変更し
たりするなどの何らかの可能な方法で、攻撃者が通信自体を破壊するというもの
である。
これには、プロトコルの耐えうるべき主要な攻撃が2つあった。1つ目は、消極
的な攻撃であり、プロトコルを実行し、プロトコルを実行している正当な主体を
単に観察することによって、攻撃者(adversary) がプロトコルの目的達成を妨害
するというものである。2つ目は、積極的な攻撃であり、メッセージを配列した
り、メッセージを横取りしたり、メッセージに応答したり、メッセージを変更し
たりするなどの何らかの可能な方法で、攻撃者が通信自体を破壊するというもの
である。
【0006】 攻撃者は、合理的にみて、分散型ネットワークの中でこれらの能力をもってい
ると想定される。したがって、消極的攻撃、積極的攻撃の両方に耐えうることは
、安定したプロトコルにとって欠かせない。
ると想定される。したがって、消極的攻撃、積極的攻撃の両方に耐えうることは
、安定したプロトコルにとって欠かせない。
【0007】 それゆえ、上記した攻撃の強みの少なくとも1部を緩和する鍵一致プロトコル
を供給することが望まれている。
を供給することが望まれている。
【0008】 [発明の要約] ディジタルデータ通信システムにおける、一組の主体iとjとの間の鍵一致方
法であって、主体(entity)iおよびjのそれぞれは、個人鍵(private key) およ
びそれに対応する公開鍵(public key)ペアであるS(i) P(i) とS(j) P(j) と
を持っており、上記のシステムは、1つの群の要素を生成するための広域のパラ
メータをもっている鍵一致方法において、 (a)主体iが、ランダムな個人セッション値(private session value) R(i
) を選択し、 (b)上記個人セッション値R(i) に相当する公開セッション値(public sess
ion value)を上記主体jに転送し、 (c)主体jが、第1の関数H1 を利用し、主体iの公開鍵とjの個人鍵とか
ら導かれる長い句の共有秘密鍵(long term shared secret key) k’を算出し、 (d)上記主体jは、上記鍵k’を利用し、主体の身元i、jと主体の公開セ
ッション鍵とに関する認証メッセージ(authenticated message) を算出し、上記
認証メッセージを主体iへ転送し、 (e)上記主体iが、上記認証メッセージを確認し、 (f)上記主体iが、上記第1の関数H1 に従って、上記主体jの公開鍵と主
体iの個人鍵とから導かれる上記長い句の共有秘密鍵k’を算出し、 (g)上記主体iは、上記長い句の共有秘密鍵k’を利用し、上記主体iおよ
びjの身元情報と上記公開セッション鍵とに関する認証メッセージを算出し、上
記認証メッセージを上記主体jへ転送し、 (h)主体jは、上記受け取られた認証メッセージを確認し、 (i)上記主体iおよびjの両方が、上記認証メッセージを確認し、各々のセ
ッション公開鍵と個人鍵とを利用する短い句(short term)の共有秘密鍵の算出を
行うように設定されているステップを含む鍵一致方法。
法であって、主体(entity)iおよびjのそれぞれは、個人鍵(private key) およ
びそれに対応する公開鍵(public key)ペアであるS(i) P(i) とS(j) P(j) と
を持っており、上記のシステムは、1つの群の要素を生成するための広域のパラ
メータをもっている鍵一致方法において、 (a)主体iが、ランダムな個人セッション値(private session value) R(i
) を選択し、 (b)上記個人セッション値R(i) に相当する公開セッション値(public sess
ion value)を上記主体jに転送し、 (c)主体jが、第1の関数H1 を利用し、主体iの公開鍵とjの個人鍵とか
ら導かれる長い句の共有秘密鍵(long term shared secret key) k’を算出し、 (d)上記主体jは、上記鍵k’を利用し、主体の身元i、jと主体の公開セ
ッション鍵とに関する認証メッセージ(authenticated message) を算出し、上記
認証メッセージを主体iへ転送し、 (e)上記主体iが、上記認証メッセージを確認し、 (f)上記主体iが、上記第1の関数H1 に従って、上記主体jの公開鍵と主
体iの個人鍵とから導かれる上記長い句の共有秘密鍵k’を算出し、 (g)上記主体iは、上記長い句の共有秘密鍵k’を利用し、上記主体iおよ
びjの身元情報と上記公開セッション鍵とに関する認証メッセージを算出し、上
記認証メッセージを上記主体jへ転送し、 (h)主体jは、上記受け取られた認証メッセージを確認し、 (i)上記主体iおよびjの両方が、上記認証メッセージを確認し、各々のセ
ッション公開鍵と個人鍵とを利用する短い句(short term)の共有秘密鍵の算出を
行うように設定されているステップを含む鍵一致方法。
【0009】 [好ましい実施の形態の詳細な説明] 本発明において用いられている、以下におおまかに示された記号(後述)は、
「New Directions in Cryptography」という表題を付けられたIEEE Transaction
on Information Theory , November 1976 のDiffie-Hellmanの論文を利用して
詳細に説明されており、その文献は、この明細書の参考文献となるものである。
「New Directions in Cryptography」という表題を付けられたIEEE Transaction
on Information Theory , November 1976 のDiffie-Hellmanの論文を利用して
詳細に説明されており、その文献は、この明細書の参考文献となるものである。
【0010】 図1に示すように、データ通信システム10は、通信チャンネル16で接続さ
れている通信側(sender)iおよび受信側(recipient) jとして設計された一組の
主体(entities)または通信器(correspondents)を含んでいる。各通信器であるi
、jは、後述する、ディジタル情報を加工し、この情報をチャンネル16を通じ
て伝達するように整える暗号化ユニットを含んでいる。また、暗号化ユニットは
、専用プロセッサーか、一般的な目的に用いられる計算器をプログラミングする
ための特殊な暗号機能を実行するソフトウェアーを含んでいる、汎用のプロセッ
サーかのどちらかである。
れている通信側(sender)iおよび受信側(recipient) jとして設計された一組の
主体(entities)または通信器(correspondents)を含んでいる。各通信器であるi
、jは、後述する、ディジタル情報を加工し、この情報をチャンネル16を通じ
て伝達するように整える暗号化ユニットを含んでいる。また、暗号化ユニットは
、専用プロセッサーか、一般的な目的に用いられる計算器をプログラミングする
ための特殊な暗号機能を実行するソフトウェアーを含んでいる、汎用のプロセッ
サーかのどちらかである。
【0011】 以下では、k(i)(j)(便宜上、k(i)(j)は、kijを示す)は、jの公開値を有
するiの鍵ペアk(i) であり、トラン(tran)は、i、j間で送受信されたメッセ
ージの配列されたセット(ordered set) の転写物であり、一致した鍵である。
するiの鍵ペアk(i) であり、トラン(tran)は、i、j間で送受信されたメッセ
ージの配列されたセット(ordered set) の転写物であり、一致した鍵である。
【0012】 プロトコルは、倍数的に増加していく群 Z* p ={1,2,..... ,p−1}(pは素数)内の主要な配列(order )q
の要素αによって生成された下位群(subgroup)における数学的処理(arithmetic
operations) の言葉で記述されている。各々の場合において、主体の秘密値は、
群Z* q の要素S(i) ={1,2,... ,q−1}であり、対応する公開値は、
P(i) =αS(i) MODp 2 なるP(i) であり、iの鍵ペアは、Ki'=(S(i)
,P(i) )である(便宜上、S(i) はSi 、P(i) はPi を示す)。複数のプロ
トコル(protocols) が、何らかの有限群内での数学的処理の言葉で、等しく記述
できるということには注意すべきであり、もちろん、これにより、Diffie-Hellm
an問題に基づく安全性の前提をその群に転換することが必要となる。さらに、プ
ロトコルの特定の実行(particular run)は、セッションと呼ばれているものもあ
る。例えば、プロトコルの実行中に一致した鍵の情報(keying information)はセ
ッション鍵(session key) に属する。プロトコルの実行を形成する個々のメッセ
ージは、フローと呼ばれる。
の要素αによって生成された下位群(subgroup)における数学的処理(arithmetic
operations) の言葉で記述されている。各々の場合において、主体の秘密値は、
群Z* q の要素S(i) ={1,2,... ,q−1}であり、対応する公開値は、
P(i) =αS(i) MODp 2 なるP(i) であり、iの鍵ペアは、Ki'=(S(i)
,P(i) )である(便宜上、S(i) はSi 、P(i) はPi を示す)。複数のプロ
トコル(protocols) が、何らかの有限群内での数学的処理の言葉で、等しく記述
できるということには注意すべきであり、もちろん、これにより、Diffie-Hellm
an問題に基づく安全性の前提をその群に転換することが必要となる。さらに、プ
ロトコルの特定の実行(particular run)は、セッションと呼ばれているものもあ
る。例えば、プロトコルの実行中に一致した鍵の情報(keying information)はセ
ッション鍵(session key) に属する。プロトコルの実行を形成する個々のメッセ
ージは、フローと呼ばれる。
【0013】 後述するように、プロトコルは、様々な基本命令(primitives)を採用している
。これらの基本命令のうち、使用されている2つの基本命令に、認証子(messag
e authentication codes; MAC)とDiffie-Hellman法(Diffie-Hellman schem
es; DHS)とがある。もちろん、確認するための他の基本命令を使用すること
を望むアプリケーションがあってもよい。例えば、もし、一致したセッション鍵
を後で暗号に使用するのであれば、MACを実行して無駄に時間を使うよりもむ
しろ、鍵の確認をするための暗号方法(encryption schemes)を採用することの方
が目的にかなっていると思われる。
。これらの基本命令のうち、使用されている2つの基本命令に、認証子(messag
e authentication codes; MAC)とDiffie-Hellman法(Diffie-Hellman schem
es; DHS)とがある。もちろん、確認するための他の基本命令を使用すること
を望むアプリケーションがあってもよい。例えば、もし、一致したセッション鍵
を後で暗号に使用するのであれば、MACを実行して無駄に時間を使うよりもむ
しろ、鍵の確認をするための暗号方法(encryption schemes)を採用することの方
が目的にかなっていると思われる。
【0014】 図2に、本発明にかかるAKCプロトコル(プロトコル1)の第1の実施形態
を示すグラフ表示を、符号22によって概して示す。ここでは、ランダムに独立
して選択された要素を∈R で示し、連鎖内の固有の符号化(unique encoding thr
ough concatenation) (または、どれか他の固有の符号化)をコンマ(commas)
で示している。H1 とH2 とは、独立したランダムオラクルを表しており、(p
,q,α)は、全体のパラメータである。ランダムオラクルは、以下の方法での
コイントスの言葉で定義されてもよい。すべての側(party) に、ブラックボック
スのランダム関数H( ・ ) :{0,1 }k →{0,1 }k が与えられていると仮定す
る。最初にHにx という一連の数字を当てはめる(queried) と、Hは、H(x) と
してその最初のk回のコイントスに相当する長さkの一連の数字をもどしてくる
。第2の一連の数字x ’を当てはめると、まず、Hは、x とx ’とを比較する。
もし、x ’がnと等しければ、Hは再び最初のk回のコイントスH(n)をもどし
てくる。それ以外は、Hは、H(x')としてその2回目のk回のトスをもどしてく
る。例を挙げると(In instantiations) 、Hは、一般的にハッシュ関数Hによっ
て表されている。主体(entity)iが、主体jとPの実行を開始することを望むと
き、iは、ランダムな要素R(i) ∈R Z* q を選択し、jにαR(i)を送る。この
一連の数字を受け取って、jは、2≦αR(i)≦p−1、および( αR(i)) q =1
をチェックし、それから、jは、R(i) ∈R Z* q を選んで、αR(j)、およびk
'=H1 (αS(i)S(j))を算出する。最後に、jは、MACk(j)(2,i,j,α R(j) , αR(i))を算出するために、k’を使用して、この認証メッセージ(authe
nticated message) をiへ送る( MACk'( m)が、ただのaでなく、ペア(m
,a)を表しているのを思い出すべきである)。この一連の数字を受け取って、
iは、このメッセージの形が修正されているか否かおよび、2≦αR(j)≦p−1
および(αR(j))q =1であることをチェックする。主体iは、それから、k’
=H1(αS(i)S(j))を算出し、αS(j)がjの長い句の公開鍵(long term public
key)であることを思い出して、受けとられた認証メッセージが適切であることを
確認する。認証メッセージが適切であることを確認したら、iはメッセージを受
け取って、jに、MACk(j)( 3,i,j,αR(i), αR(j))を送り返す。この
一連の数字を受け取って、jは、メッセージの形式をチェックして、認証メッセ
ージが適切であることを確認し、受け取る。両方の側は、k=H2(αR(i)R(j))
である一致したセッション鍵を算出する。もし、どれかの段階で、iやjのチェ
ックや立証が失敗したら、その失敗した側はプロトコルの実施を終了させて、拒
絶する。
を示すグラフ表示を、符号22によって概して示す。ここでは、ランダムに独立
して選択された要素を∈R で示し、連鎖内の固有の符号化(unique encoding thr
ough concatenation) (または、どれか他の固有の符号化)をコンマ(commas)
で示している。H1 とH2 とは、独立したランダムオラクルを表しており、(p
,q,α)は、全体のパラメータである。ランダムオラクルは、以下の方法での
コイントスの言葉で定義されてもよい。すべての側(party) に、ブラックボック
スのランダム関数H( ・ ) :{0,1 }k →{0,1 }k が与えられていると仮定す
る。最初にHにx という一連の数字を当てはめる(queried) と、Hは、H(x) と
してその最初のk回のコイントスに相当する長さkの一連の数字をもどしてくる
。第2の一連の数字x ’を当てはめると、まず、Hは、x とx ’とを比較する。
もし、x ’がnと等しければ、Hは再び最初のk回のコイントスH(n)をもどし
てくる。それ以外は、Hは、H(x')としてその2回目のk回のトスをもどしてく
る。例を挙げると(In instantiations) 、Hは、一般的にハッシュ関数Hによっ
て表されている。主体(entity)iが、主体jとPの実行を開始することを望むと
き、iは、ランダムな要素R(i) ∈R Z* q を選択し、jにαR(i)を送る。この
一連の数字を受け取って、jは、2≦αR(i)≦p−1、および( αR(i)) q =1
をチェックし、それから、jは、R(i) ∈R Z* q を選んで、αR(j)、およびk
'=H1 (αS(i)S(j))を算出する。最後に、jは、MACk(j)(2,i,j,α R(j) , αR(i))を算出するために、k’を使用して、この認証メッセージ(authe
nticated message) をiへ送る( MACk'( m)が、ただのaでなく、ペア(m
,a)を表しているのを思い出すべきである)。この一連の数字を受け取って、
iは、このメッセージの形が修正されているか否かおよび、2≦αR(j)≦p−1
および(αR(j))q =1であることをチェックする。主体iは、それから、k’
=H1(αS(i)S(j))を算出し、αS(j)がjの長い句の公開鍵(long term public
key)であることを思い出して、受けとられた認証メッセージが適切であることを
確認する。認証メッセージが適切であることを確認したら、iはメッセージを受
け取って、jに、MACk(j)( 3,i,j,αR(i), αR(j))を送り返す。この
一連の数字を受け取って、jは、メッセージの形式をチェックして、認証メッセ
ージが適切であることを確認し、受け取る。両方の側は、k=H2(αR(i)R(j))
である一致したセッション鍵を算出する。もし、どれかの段階で、iやjのチェ
ックや立証が失敗したら、その失敗した側はプロトコルの実施を終了させて、拒
絶する。
【0015】 実行する上で、主体iは、プロトコル1の最初のフローにその身元(identity)
を付けることを望むこともある。メッセージのレベルではなくパケットレベルで
、関係者の身元を確認することを望むアプリケーションもあるかもしれないので
、本例では、この身元は削除される。この例では、それゆえ、再びiの身元を確
認することは、不必要である。
を付けることを望むこともある。メッセージのレベルではなくパケットレベルで
、関係者の身元を確認することを望むアプリケーションもあるかもしれないので
、本例では、この身元は削除される。この例では、それゆえ、再びiの身元を確
認することは、不必要である。
【0016】 主体が、プロトコル1における2つの区別できる鍵、つまり確認用の鍵と、次
回使用のためのセッション鍵としてのもう1つの鍵と、を使用することに着目す
べきである。特に、1つ以上の基本命令によって同じ鍵が使用されている場合、
確認鍵およびセッション鍵の両方の役割を果たす同じ鍵を共通として使用するこ
とは、不利な点である。
回使用のためのセッション鍵としてのもう1つの鍵と、を使用することに着目す
べきである。特に、1つ以上の基本命令によって同じ鍵が使用されている場合、
確認鍵およびセッション鍵の両方の役割を果たす同じ鍵を共通として使用するこ
とは、不利な点である。
【0017】 プロトコル1は、主体が長い句の秘密値(long-term secret value)とセッショ
ン特有の秘密値(session-specific secret value) とを用いた方法で提案された
、ほとんどのAKCプロトコルとは異なっている。提案されたほとんどのプロト
コルは、すべての鍵の構成に長い秘密句(long-term secrets) および短い秘密句
(short-term secrets)の両方を使用する。プロトコル1では、長い秘密句および
短い秘密句は、極めて独立した方法で使用される。長い秘密句は、セッション独
立確認鍵(session-independent confirmation key)を形成するためだけに使用さ
れ、短い秘密句は、一致したセッション鍵を形成するためだけに使用される。概
念的には、このアプローチは、伝統的な手法に比して、有利な点と、不利な点と
の両方を有している。良い面は、長い句の鍵および短い句の鍵の使用は別々であ
るため、長い秘密句の鍵の露見(compromise)の影響をはっきりさせるために役
立つことである。長い秘密句の露見は、将来のセッションの安全性に致命的であ
り、直ちに改善されなくてはならない。一方、短い秘密句の露見は、特定のセッ
ションのみに影響する。悪い面は、主体の両方が、プロトコル1における長い句
の共有秘密鍵k’を持ちつづけなければならないことである。
ン特有の秘密値(session-specific secret value) とを用いた方法で提案された
、ほとんどのAKCプロトコルとは異なっている。提案されたほとんどのプロト
コルは、すべての鍵の構成に長い秘密句(long-term secrets) および短い秘密句
(short-term secrets)の両方を使用する。プロトコル1では、長い秘密句および
短い秘密句は、極めて独立した方法で使用される。長い秘密句は、セッション独
立確認鍵(session-independent confirmation key)を形成するためだけに使用さ
れ、短い秘密句は、一致したセッション鍵を形成するためだけに使用される。概
念的には、このアプローチは、伝統的な手法に比して、有利な点と、不利な点と
の両方を有している。良い面は、長い句の鍵および短い句の鍵の使用は別々であ
るため、長い秘密句の鍵の露見(compromise)の影響をはっきりさせるために役
立つことである。長い秘密句の露見は、将来のセッションの安全性に致命的であ
り、直ちに改善されなくてはならない。一方、短い秘密句の露見は、特定のセッ
ションのみに影響する。悪い面は、主体の両方が、プロトコル1における長い句
の共有秘密鍵k’を持ちつづけなければならないことである。
【0018】 [プロトコル2] プロトコル2は、プロトコル1の不利な点のいくつかを処分するように設計さ
れたAKCプロトコルである。図3にグラフで示している。主体iおよびjによ
って行われる行為は、使用される両方の鍵の算出において、主体が、短い句およ
び長い句の値の両方を使用していること以外は、プロトコル1と同様である。特
に、主体は、このセッションのためのMAC鍵としてk’=H2(αR(i)R(j), α S(i)S(j) )を使用し、一致したセッション鍵として、k=H2(αR(i)R(j),αS( i)S(j) )を使用している。プロトコル1と違い、プロトコル2では、それぞれの
鍵を作るために、両方の長い秘密句および両方の短い秘密句が使用されている。
これは、これらの値のうちの1つの露見の影響を分かりにくくし、さらに、iと
jとの間の各セッションにおいて、MACメッセージに使用された長い句の共用
鍵が無いことも意味している。しかしながら、両者はまだ長い秘密句の値αS(i) S(j) を共用している。この値は、それゆえ、S(i) S(j) 自身とともに、露見に
対して、注意深く保護されていなくてはならない。概念的には、プロトコル2に
おけるAK段階と鍵の確認段階とを分離することは可能である。
れたAKCプロトコルである。図3にグラフで示している。主体iおよびjによ
って行われる行為は、使用される両方の鍵の算出において、主体が、短い句およ
び長い句の値の両方を使用していること以外は、プロトコル1と同様である。特
に、主体は、このセッションのためのMAC鍵としてk’=H2(αR(i)R(j), α S(i)S(j) )を使用し、一致したセッション鍵として、k=H2(αR(i)R(j),αS( i)S(j) )を使用している。プロトコル1と違い、プロトコル2では、それぞれの
鍵を作るために、両方の長い秘密句および両方の短い秘密句が使用されている。
これは、これらの値のうちの1つの露見の影響を分かりにくくし、さらに、iと
jとの間の各セッションにおいて、MACメッセージに使用された長い句の共用
鍵が無いことも意味している。しかしながら、両者はまだ長い秘密句の値αS(i) S(j) を共用している。この値は、それゆえ、S(i) S(j) 自身とともに、露見に
対して、注意深く保護されていなくてはならない。概念的には、プロトコル2に
おけるAK段階と鍵の確認段階とを分離することは可能である。
【0019】 [プロトコル3] 図4は、安全なAKプロトコルの実施の形態であり、プロトコル3の実施にお
けるiとjとによってなされた行為を示している。もし、攻撃者(adversary) が
未確認のセッション鍵を明らかにできるなら、プロトコル3は、安全なAKプロ
トコルではないことになるので、以下に示す攻撃に注目しなくてはならない。E
が、1つはП3 i,j 、もう1つはПu i,j を用いる2つのプロトコルを実行しは
じめたとする。П3 i,j がαR(i)を送り、Пu i,j がαR'(i) を送ると想定する
と、Eは、αR(i)をПu i,j へ転送し、αR'(i) をПa i,j へ転送する。ここで
、Пu i,j によって得られる同一鍵(the (same) key)を明らかにすることによ
り、Eは、П3 i,j によって得られるセッション鍵k=H2(αR(i)R(j), αS(i) S(j) ) を見つけることができる。
けるiとjとによってなされた行為を示している。もし、攻撃者(adversary) が
未確認のセッション鍵を明らかにできるなら、プロトコル3は、安全なAKプロ
トコルではないことになるので、以下に示す攻撃に注目しなくてはならない。E
が、1つはП3 i,j 、もう1つはПu i,j を用いる2つのプロトコルを実行しは
じめたとする。П3 i,j がαR(i)を送り、Пu i,j がαR'(i) を送ると想定する
と、Eは、αR(i)をПu i,j へ転送し、αR'(i) をПa i,j へ転送する。ここで
、Пu i,j によって得られる同一鍵(the (same) key)を明らかにすることによ
り、Eは、П3 i,j によって得られるセッション鍵k=H2(αR(i)R(j), αS(i) S(j) ) を見つけることができる。
【0020】 このプロトコルでは、認証鍵一致と、鍵の確認とが分離されている時には、注
意しなくてはならない。上記のプロトコル3は、分散型演算(distributed compu
ting) の完全形態(full model)となるAKプロトコルではないが、それでもなお
、プロトコル2のように、安全なAKCプロトコルに変えることができる。ここ
で問題(issue) となるのは、確認されていない鍵を攻撃者が学びとれると予期す
ることが現実的であるかどうかである。
意しなくてはならない。上記のプロトコル3は、分散型演算(distributed compu
ting) の完全形態(full model)となるAKプロトコルではないが、それでもなお
、プロトコル2のように、安全なAKCプロトコルに変えることができる。ここ
で問題(issue) となるのは、確認されていない鍵を攻撃者が学びとれると予期す
ることが現実的であるかどうかである。
【0021】 それゆえ、この説明では、AKとAKCとの目的を分離しようとしている。認
証鍵一致を鍵の確認から分離しようとした理由は、鍵の確認を得るために、ある
特定の実行を、柔軟に選択できるようにするためである。例えば、構成的な考え
(architectural considerations)では、鍵一致と鍵の確認とは分離されている
必要があることもある、つまり、コンピュータネットワークを通じてセッション
鍵を一致させることに続いて、リアルタイムの電話での会話中に、鍵確認を行う
システムがあってもよい。一方、その代わりに、後の通信を暗号化するための鍵
を使用することにより、暗黙のうちに確認が実行されることを好むシステムがあ
ってもよい。
証鍵一致を鍵の確認から分離しようとした理由は、鍵の確認を得るために、ある
特定の実行を、柔軟に選択できるようにするためである。例えば、構成的な考え
(architectural considerations)では、鍵一致と鍵の確認とは分離されている
必要があることもある、つまり、コンピュータネットワークを通じてセッション
鍵を一致させることに続いて、リアルタイムの電話での会話中に、鍵確認を行う
システムがあってもよい。一方、その代わりに、後の通信を暗号化するための鍵
を使用することにより、暗黙のうちに確認が実行されることを好むシステムがあ
ってもよい。
【0022】 DHSsによる主要な配列(prime order) の下位群の使用を明白にしている理
由は、鍵が無理やりに、Z* p という小さな下位群の中に置かれているかも知れ
ないという事実を利用するAKプロトコルに対する、多種多様な既知のセッショ
ン鍵攻撃を避けるためである。安全性の証明の観点から言うと、下位群Z* p よ
りも、むしろ、Z* p 内に定義されたDHSsについて、同様にうまく仮説を立
てることができた。
由は、鍵が無理やりに、Z* p という小さな下位群の中に置かれているかも知れ
ないという事実を利用するAKプロトコルに対する、多種多様な既知のセッショ
ン鍵攻撃を避けるためである。安全性の証明の観点から言うと、下位群Z* p よ
りも、むしろ、Z* p 内に定義されたDHSsについて、同様にうまく仮説を立
てることができた。
【0023】 プロトコル3の場合のように、関係している主体がプロトコルの送信の開始者
あるいはプロトコルの応答者のどちらであるのかを識別するための非対象を、以
前からある多くのAKプロトコルが、一致した鍵の形成(formation) の中に、含
んでいることを特に注意するべきである。
あるいはプロトコルの応答者のどちらであるのかを識別するための非対象を、以
前からある多くのAKプロトコルが、一致した鍵の形成(formation) の中に、含
んでいることを特に注意するべきである。
【0024】 [プロトコル4] 再度、このプロトコルでは、iおよびjの行動を言葉で示すかわりに、これら
の行動を図5に示している。一見すると、プロトコル4は、算出された共有の値
はαS(i)R(j)+S(j)R(i) であり、良く知られているMTIプロトコルとほとんど
同一であるかのように見えるかもしれないが、以下の違いに注目すべきである。
主体iは、自身が送信開始者であるか応答者であるかによって、プロトコル4で
異なった鍵を算出する。第1の場合、iはk=H2(αS(i)R(j), αS(j)R(i)) を
算出し、第2の場合、k=H2(αS(j)R(i), αS(i)R(j)) を算出している。上記
したように、このような非対称は安全なAKプロトコルでは望ましい。もちろん
、こういう非対称はいつも望ましい訳ではない。(iが送信開始者であるか応答
者であるかを問わず、iが同じ鍵の算出を必要とする特別な環境があるかもしれ
ない。) もし、プロトコル4が実際には安全なAKプロトコルであるということを示せ
るなら、プロトコル2と同じ考え方で、安全なAKCプロトコルに変えることが
できる。
の行動を図5に示している。一見すると、プロトコル4は、算出された共有の値
はαS(i)R(j)+S(j)R(i) であり、良く知られているMTIプロトコルとほとんど
同一であるかのように見えるかもしれないが、以下の違いに注目すべきである。
主体iは、自身が送信開始者であるか応答者であるかによって、プロトコル4で
異なった鍵を算出する。第1の場合、iはk=H2(αS(i)R(j), αS(j)R(i)) を
算出し、第2の場合、k=H2(αS(j)R(i), αS(i)R(j)) を算出している。上記
したように、このような非対称は安全なAKプロトコルでは望ましい。もちろん
、こういう非対称はいつも望ましい訳ではない。(iが送信開始者であるか応答
者であるかを問わず、iが同じ鍵の算出を必要とする特別な環境があるかもしれ
ない。) もし、プロトコル4が実際には安全なAKプロトコルであるということを示せ
るなら、プロトコル2と同じ考え方で、安全なAKCプロトコルに変えることが
できる。
【0025】 1つの問題点は、ランダムオラクル(random oracles)H1 とH2 とを、どうや
って証明する(instantiate) かである。SHA−1のようなハッシュ関数は、ほ
とんどのアプリケーションに対して十分な安全性を与えるべきである。独立した
ランダムオラクルの証明を与えることは、いろいろな方法で使用される。例えば
、プロトコル1の実行に、以下のものを使用してもよい。
って証明する(instantiate) かである。SHA−1のようなハッシュ関数は、ほ
とんどのアプリケーションに対して十分な安全性を与えるべきである。独立した
ランダムオラクルの証明を与えることは、いろいろな方法で使用される。例えば
、プロトコル1の実行に、以下のものを使用してもよい。
【0026】 H1(X):=SHA−1(01,X)およびH2(X):=SHA−1(10,X) プロトコル2で使用されたランダムオラクルの特に効果的な証明(instantiatio
n )は、SHA−1や、RIPEMD−160を使うと可能である。80ビット
のセッション鍵とMAC鍵とが必要とされていると想定すれば、第1の80ビッ
トのSHA−1(αR(i)R(j), αS(i)S(j)) は、k’として使用でき、第2の8
0ビットはkとして使用される。もちろん、こういった効果的な実行は、考えら
れる最高の安全性の保証の証明を提供しないかもしれない。
n )は、SHA−1や、RIPEMD−160を使うと可能である。80ビット
のセッション鍵とMAC鍵とが必要とされていると想定すれば、第1の80ビッ
トのSHA−1(αR(i)R(j), αS(i)S(j)) は、k’として使用でき、第2の8
0ビットはkとして使用される。もちろん、こういった効果的な実行は、考えら
れる最高の安全性の保証の証明を提供しないかもしれない。
【0027】 AKCプロトコルの実行で、バンド幅(bandwidth) を節約することは容易であ
る。フロー2や3で、全ての認証メッセージ(m,a)を送るのではなく、両方
のケースで、主体がmのほとんどを削除することができ、メッセージの余りの部
分を受取人が計算する。
る。フロー2や3で、全ての認証メッセージ(m,a)を送るのではなく、両方
のケースで、主体がmのほとんどを削除することができ、メッセージの余りの部
分を受取人が計算する。
【0028】 アプリケーションによっては、新しいセッション鍵が望まれるたびに、プロト
コルを実行することは好ましくないかもしれない。特にプロトコル2を例を挙げ
て考えると、主体は、H2(αR(i)R(j), αS(i)S(j), counter)という一致した鍵
を算出することを望んでもよい。
コルを実行することは好ましくないかもしれない。特にプロトコル2を例を挙げ
て考えると、主体は、H2(αR(i)R(j), αS(i)S(j), counter)という一致した鍵
を算出することを望んでもよい。
【0029】 だから、新しい鍵が望まれるたびにプロトコル全体を実行するのではなく、ほ
とんどの場合には、回数(counter) を単純に増加させるだけである。そうすると
、主体は、使用しているセッション鍵が新しいものであると確信するために、プ
ロトコル自体を使用するという手段をときどき用いるだけでよい。
とんどの場合には、回数(counter) を単純に増加させるだけである。そうすると
、主体は、使用しているセッション鍵が新しいものであると確信するために、プ
ロトコル自体を使用するという手段をときどき用いるだけでよい。
【0030】 プロトコル1、2、3では、静的なDiffie-Hellman番号(α1 S(i)S(j))の場
合には、実行と安全性との理由により、短命な(ephemeral )Diffie-Hellman番
号(α2 R(i)R(j))の算出の場合よりも、より大きな(おそらくもっと安全な)
群を使用してもよい。静的な番号(static number )は、より多く使用されるで
あろうから、もっと大きな群であることが望ましい。静的な番号は、セッション
鍵の算出において処理速度を向上させるために蓄えられていてもよい。
合には、実行と安全性との理由により、短命な(ephemeral )Diffie-Hellman番
号(α2 R(i)R(j))の算出の場合よりも、より大きな(おそらくもっと安全な)
群を使用してもよい。静的な番号(static number )は、より多く使用されるで
あろうから、もっと大きな群であることが望ましい。静的な番号は、セッション
鍵の算出において処理速度を向上させるために蓄えられていてもよい。
【0031】 なお、最後に、対応する公開値に関して証明書を発行する前に、証明書を使用
してG(Gが、各主体のための鍵ペアを生成すると仮定すると)を実際に証明す
るには、秘密値に関して知っていることをチェックをすべきである。証明組織(
Certification Hierarchy )の具体化には、これが賢明な予防であると我々は信
じている。
してG(Gが、各主体のための鍵ペアを生成すると仮定すると)を実際に証明す
るには、秘密値に関して知っていることをチェックをすべきである。証明組織(
Certification Hierarchy )の具体化には、これが賢明な予防であると我々は信
じている。
【0032】 なお、発明を実施するための最良の形態の項においてなした具体的な実施態様
または実施例は、あくまでも、本発明の技術内容を明らかにするものであって、
そのような具体例にのみ限定して狭義に解釈されるべきものではなく、本発明の
精神および次に記載する特許請求の範囲内で、いろいろと変更して実施すること
ができるものである。
または実施例は、あくまでも、本発明の技術内容を明らかにするものであって、
そのような具体例にのみ限定して狭義に解釈されるべきものではなく、本発明の
精神および次に記載する特許請求の範囲内で、いろいろと変更して実施すること
ができるものである。
【0033】 この明細書のなかで用いられた用語や表現は、説明の用語であって制限ではな
く、そういった用語と表現を使用することにおいて、示され、記載された特徴の
同意語を除外しようとするものではない。しかし、様々な修正はこの発明におけ
る請求の範囲内で可能であることは認められる。
く、そういった用語と表現を使用することにおいて、示され、記載された特徴の
同意語を除外しようとするものではない。しかし、様々な修正はこの発明におけ
る請求の範囲内で可能であることは認められる。
【図1】 ディジタルデータ通信システムの概略図である。
【図2】 本発明に関する鍵一致プロトコルの実施例である。
【図3】 本発明に関する鍵一致プロトコルの実施例である。
【図4】 本発明に関する鍵一致プロトコルの実施例である。
【図5】 本発明に関する鍵一致プロトコルの実施例である。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,SD,SL,SZ,UG,ZW),E A(AM,AZ,BY,KG,KZ,MD,RU,TJ ,TM),AE,AL,AM,AT,AU,AZ,BA ,BB,BG,BR,BY,CA,CH,CN,CU, CZ,DE,DK,EE,ES,FI,GB,GD,G E,GH,GM,HR,HU,ID,IL,IN,IS ,JP,KE,KG,KP,KR,KZ,LC,LK, LR,LS,LT,LU,LV,MD,MG,MK,M N,MW,MX,NO,NZ,PL,PT,RO,RU ,SD,SE,SG,SI,SK,SL,TJ,TM, TR,TT,UA,UG,US,UZ,VN,YU,Z A,ZW (72)発明者 メネゼス,アルフレッド カナダ,オンタリオ州 エヌ2ジェイ 4 エス3,ワーテルロー,ウィロウ ストリ ート 6,アパートメント 1604 Fターム(参考) 5J104 AA08 AA16 AA38 AA41 EA04 LA01 NA02 NA03 【要約の続き】 の個人鍵とから導かれる上記長い句の共有秘密鍵k’を 算出し、(g)上記主体iは、上記長い句の共有秘密鍵 k’を利用し、上記主体iおよびjの身元情報と上記公 開セッション鍵とに関する認証メッセージを算出し、上 記認証メッセージを上記主体jへ転送し、(h)主体j は、上記受け取られた認証メッセージを確認し、(i) 上記主体iおよびjの両方が、上記認証メッセージを確 認し、各々のセッション公開鍵と個人鍵とを利用する短 い句(short term)の共有秘密鍵の算出を行うように設定 されているステップを含む鍵一致方法。
Claims (1)
- 【請求項1】 ディジタルデータ通信システムにおける、一組の主体iとjとの間の鍵一致方
法であって、主体(entity)iおよびjのそれぞれは、個人鍵(private key) およ
びそれに対応する公開鍵(public key)ペアであるS(i) P(i) とS(j) P(j) と
を持っており、上記のシステムは、1つの群の要素を生成するための広域のパラ
メータをもっている鍵一致方法において、 (a)主体iが、ランダムな個人セッション値(private session value) R(i
) を選択し、 (b)上記個人セッション値R(i) に相当する公開セッション値(public sess
ion value)を上記主体jに転送し、 (c)主体jが、第1の関数H1 を利用し、主体iの公開鍵とjの個人鍵とか
ら導かれる長い句の共有秘密鍵(long term shared secret key) k’を算出し、 (d)上記主体jは、上記鍵k’を利用し、主体の身元i、jと主体の公開セ
ッション鍵とに関する認証メッセージ(authenticated message) を算出し、上記
認証メッセージを主体iへ転送し、 (e)上記主体iが、上記認証メッセージを確認し、 (f)上記主体iが、上記第1の関数H1 に従って、上記主体jの公開鍵と主
体iの個人鍵とから導かれる上記長い句の共有秘密鍵k’を算出し、 (g)上記主体iは、上記長い句の共有秘密鍵k’を利用し、上記主体iおよ
びjの身元情報と上記公開セッション鍵とに関する認証メッセージを算出し、上
記認証メッセージを上記主体jへ転送し、 (h)主体jは、上記受け取られた認証メッセージを確認し、 上記主体iおよびjの両方が、上記認証メッセージを確認し、各々のセッショ
ン公開鍵と個人鍵とを利用する短い句(short term)の共有秘密鍵の算出を行うよ
うに設定されているステップを含む鍵一致方法。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US09/070,794 US6336188B2 (en) | 1998-05-01 | 1998-05-01 | Authenticated key agreement protocol |
| CA 2236495 CA2236495C (en) | 1998-05-01 | 1998-05-01 | Authenticated key agreement protocol |
| CA2,236,495 | 1998-05-01 | ||
| CA09/070,794 | 1998-05-01 | ||
| PCT/CA1999/000356 WO1999057844A1 (en) | 1998-05-01 | 1999-05-03 | Authenticated key agreement protocol |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002514841A true JP2002514841A (ja) | 2002-05-21 |
Family
ID=25680181
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000547728A Pending JP2002514841A (ja) | 1998-05-01 | 1999-05-03 | 認証鍵一致プロトコル |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP1075746B1 (ja) |
| JP (1) | JP2002514841A (ja) |
| AU (1) | AU3590299A (ja) |
| DE (1) | DE69928519T2 (ja) |
| WO (1) | WO1999057844A1 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002519939A (ja) * | 1998-06-26 | 2002-07-02 | サーティコム コーポレーション | 鍵共有攻撃防御方法 |
| JP2007529162A (ja) * | 2003-10-16 | 2007-10-18 | 松下電器産業株式会社 | 暗号通信システム、通信装置 |
| JP2009525647A (ja) * | 2006-01-30 | 2009-07-09 | シーメンス アクチエンゲゼルシヤフト | 第1の通信機と第2の通信機とのあいだでの共通鍵の指定方法、および、第1の通信機と第2の通信機とのあいだでの共通鍵の指定装置 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6487661B2 (en) | 1995-04-21 | 2002-11-26 | Certicom Corp. | Key agreement and transport protocol |
| US7243232B2 (en) | 1995-04-21 | 2007-07-10 | Certicom Corp. | Key agreement and transport protocol |
| US7334127B2 (en) | 1995-04-21 | 2008-02-19 | Certicom Corp. | Key agreement and transport protocol |
| US6785813B1 (en) | 1997-11-07 | 2004-08-31 | Certicom Corp. | Key agreement and transport protocol with implicit signatures |
| US7107246B2 (en) * | 1998-04-27 | 2006-09-12 | Esignx Corporation | Methods of exchanging secure messages |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0481121A1 (de) * | 1990-10-19 | 1992-04-22 | Siemens Aktiengesellschaft | Authentifizierung für verschlüsselte Kommunikation |
-
1999
- 1999-05-03 WO PCT/CA1999/000356 patent/WO1999057844A1/en active IP Right Grant
- 1999-05-03 JP JP2000547728A patent/JP2002514841A/ja active Pending
- 1999-05-03 EP EP99917701A patent/EP1075746B1/en not_active Expired - Lifetime
- 1999-05-03 AU AU35902/99A patent/AU3590299A/en not_active Abandoned
- 1999-05-03 DE DE69928519T patent/DE69928519T2/de not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002519939A (ja) * | 1998-06-26 | 2002-07-02 | サーティコム コーポレーション | 鍵共有攻撃防御方法 |
| JP4750274B2 (ja) * | 1998-06-26 | 2011-08-17 | サーティコム コーポレーション | 鍵共有攻撃防御方法 |
| JP2007529162A (ja) * | 2003-10-16 | 2007-10-18 | 松下電器産業株式会社 | 暗号通信システム、通信装置 |
| JP4771946B2 (ja) * | 2003-10-16 | 2011-09-14 | パナソニック株式会社 | 暗号通信システム、通信装置 |
| JP2009525647A (ja) * | 2006-01-30 | 2009-07-09 | シーメンス アクチエンゲゼルシヤフト | 第1の通信機と第2の通信機とのあいだでの共通鍵の指定方法、および、第1の通信機と第2の通信機とのあいだでの共通鍵の指定装置 |
| US8261076B2 (en) | 2006-01-30 | 2012-09-04 | Siemens Aktiengesellschsft | Method and device for agreeing shared key between first communication device and second communication device |
Also Published As
| Publication number | Publication date |
|---|---|
| DE69928519D1 (de) | 2005-12-29 |
| AU3590299A (en) | 1999-11-23 |
| EP1075746A1 (en) | 2001-02-14 |
| WO1999057844A1 (en) | 1999-11-11 |
| EP1075746B1 (en) | 2005-11-23 |
| DE69928519T2 (de) | 2006-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Zeng et al. | E-AUA: An efficient anonymous user authentication protocol for mobile IoT | |
| US6336188B2 (en) | Authenticated key agreement protocol | |
| Agrawal et al. | PASTA: password-based threshold authentication | |
| CN110266482B (zh) | 一种基于区块链的非对称群组密钥协商方法 | |
| JP4527358B2 (ja) | 鍵供託を使用しない、認証された個別暗号システム | |
| Ateniese et al. | Identity-based chameleon hash and applications | |
| CN110011795B (zh) | 基于区块链的对称群组密钥协商方法 | |
| US7796761B2 (en) | Distribution and authentication of public keys using random numbers and diffie-hellman public keys | |
| Boyd et al. | Efficient one-round key exchange in the standard model | |
| US7694136B2 (en) | Method for distributing and authenticating public keys using hashed password protection | |
| EP1526676A1 (en) | Conference session key distribution method on an id-based cryptographic system | |
| US8681986B2 (en) | Single-round password-based key exchange protocols | |
| JP2002532985A (ja) | 改良された加入者認証プロトコル | |
| Wu et al. | Cryptanalysis of a communication-efficient three-party password authenticated key exchange protocol | |
| CN113824570A (zh) | 一种基于区块链的安全终端的认证方法和系统 | |
| Guo et al. | Cross-channel: Scalable off-chain channels supporting fair and atomic cross-chain operations | |
| JP2002519939A (ja) | 鍵共有攻撃防御方法 | |
| Bicakci et al. | Server assisted signatures revisited | |
| JP2002514841A (ja) | 認証鍵一致プロトコル | |
| US6507656B1 (en) | Non malleable encryption apparatus and method | |
| Wei et al. | A two-factor authenticated key exchange protocol based on RSA with dynamic passwords | |
| CN115801261A (zh) | 一种基于国密算法的密文求交方法 | |
| CN116015592A (zh) | 一种满足零知识证明的同态加密系统 | |
| CN114710294A (zh) | 一种新型区块链隐私保护方法 | |
| Porambage et al. | Public key based protocols–ec crypto |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060502 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090317 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20090617 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20090624 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090929 |