JP2002515128A - 秘密キー証明書 - Google Patents

秘密キー証明書

Info

Publication number
JP2002515128A
JP2002515128A JP51311896A JP51311896A JP2002515128A JP 2002515128 A JP2002515128 A JP 2002515128A JP 51311896 A JP51311896 A JP 51311896A JP 51311896 A JP51311896 A JP 51311896A JP 2002515128 A JP2002515128 A JP 2002515128A
Authority
JP
Japan
Prior art keywords
key
certificate
public key
party
private key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
JP51311896A
Other languages
English (en)
Inventor
ブランズ,ステファヌス・アルフォンスス
Original Assignee
ブランズ,ステファヌス・アルフォンスス
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ブランズ,ステファヌス・アルフォンスス filed Critical ブランズ,ステファヌス・アルフォンスス
Publication of JP2002515128A publication Critical patent/JP2002515128A/ja
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/04Masking or blinding

Abstract

(57)【要約】 秘密キー証明書を形成し発行する、暗号学的方法及び装置が、開示されている。公共キー証明書の周知の暗号学的技法においては、公共キー証明書は、証明書交付局による公共キーへのデジタルな署名であるが、それとは違って、公共キー及び対応する秘密キー証明書からなる対は、誰によっても生成されることができる。しかし、秘密キー、照合する公共キー、およびこの公共キーに対応する秘密キー証明書からなる三つ組は、証明書交付局が参加する場合においてのみ、生成されることができる。さらに、秘密キー証明書の、公共キー名簿および制限的発行手続きへの応用もまた、説明されている。

Description

【発明の詳細な説明】 秘密キー証明書 発明の背景 1.発明の分野 本発明は暗号技術、特に公共キー暗号法に基づく、証明書概型を実施するため の方法及び装置に関する。 2.背景技術 公共キー証明書は、通常単に証明書と呼ばれ、安全なキー管理にとって重要な 暗号道具である。その概念は、ある特別に任命された当事者(一般に証明書交付 局と呼ばれる)が、それ自身の秘密キーで、他の当事者たちの公共キーにデジタ ルな署名をすることによって、これら他の当事者たちの公共キーを証明するとい うことである。様々な媒体を通じて、証明書交付局のこの公共キーを広く流布す ることによって、誰でも、それが真正であると確信することができる。公共キー 証明書は、証明書交付局による、公共キーへのデジタルな署名であるので、他の 当事者の公共キーに関する証明書は、証明書交付局のこの公共キーを使って、誰 でも検証できる。実質的な効果は、他人に扮する詐欺行為や同様の攻撃を防ぐこ とができるということである。 実際の応用に当たっては、証明書交付局の証明書は、付加的な情報を証明でき るし、また多分証明すべきであろう。一片の証明書は、公共キーと並んで、この 公共キーに結びつく、当事者の名前、雇用主、電話番号、電子メール住所、そし て利用権のリスト等の情報を、証明することが可能である。 この証明書発行過程の実用性を容易にするため、公共キーを、階層構造に従っ て、再帰的に証明することができる。例えば、電子現金システムにおいて、主要 銀行が、すべての地方銀行の公共キーを、証明することができる。地方銀行は他 方、この証明された公共キーを使って、POS端末における公共キーを、証明す ることができる。そしてPOS端末での公共キーに対応する、秘密キーを、ホス トから送られる情報を解読するために、使うことができる。階層的な証明書交付 過程は、樹を構築するようなものと考えられる。この時、各ノードは、一つの公 共キー、及びこの公共キーに関する証明書を、含んでいる。一つ一つのノードに おける公共キーに関する、証明書は、このキーへの署名である。そしてこのデジ タルな署名は、親ノードに結びつく当事者が、この親ノードの公共キーに対応す る、秘密キーを適用することによって、計算したものである。誰でも、再帰的に 、ルートノードから、検証すべき公共キーが属するノードまで、下降することに よって、この公共キーの正当性を検証することができる(あるいは逆にルートノ ードまで上昇することによって)。しばしば暗に提案されている、証明書交付の 階層は、暗号キーの寿命から導かれるものである。則ち、攻撃により脆弱なキー はより頻繁に変更され、より長い寿命を持ったキーにより証明される。 公共キーは、いわゆる公共キー名簿に記載され、公共キー名簿はCD−ROM やその他の媒体で提供される。他の当事者に宛てる通信を暗号化するためには、 この他の当事者の公共キーを、公共キー名簿の中に探し出し、証明書の正当性を 検証し、この通信を、この公共キーで暗号化すればよい。それからこの他の当事 者に送ることができ、当事者双方の間に、何ら折衝の必要はない。このようにし て、例えば、暗号化された電子メールを、コンピューターネットワークを通じて 送ることができる。 このような証明書の機構が、公共キー名簿の保全を不必要にするため、公共キ ーは、必ずしも公共キー名簿に掲載されている必要はない。公共キーは、そのキ ーに結びつく当事者、あるいは必ずしも信頼できなくてもよい、任意の当事者、 例えば、コンピューターネットワークのサーバーの依頼に応じて、(証明書とと もに)送ってもよい。 信任状転送用の暗号学的機構においては、発行時の証明書交付局が、ユーザー の公共キーに関する、証明書を発行することができる。発行する信任状のタイプ は、例えば、証明書交付局が計算する署名のタイプによって、表すことができる 。従って、ユーザーが信任状を受取人に転送する場合、ユーザー自身の、証明さ れた公共キーに対応する、秘密キーを使って、受取人の身分や取引の明細のよう な情報を記述している、受取人の通信に、デジタルな署名をすることができる。 ここで、この証明書は、受取人に当てる信任状が、法律的に有効であることを証 明 する一方、ユーザーによってなされる署名は、ユーザーが受取人に進んでこの信 任状を送ったということを証明する。 信任状の、プライバシーが保護された転送のためには、証明書交付局によって 発行される情報は、発行手続きの執行に関連させてはならない。ユーザーが、証 明書交付局と折衝しながら、発行手続きを隠蔽することができる、特別の技法は 、いくつか知られている。 重要であるとともに役に立つ一方で、公共キー証明書の技法は、それに伴う若 干の問題を有している。その第一はプライバシーに関することである。近い将来 に使用可能となる様々な電子システムの供給者が、システムに参加する人に対し て、その人の公共キーを証明する前に、一定の基準を満たすことを要求するであ ろうことは考えられることである。これらの基準には、社会的地位、収入、職種 、信頼性等が含まれるであろう。公共キー証明書は、公共キーへの、証明書交付 局のデジタルな署名であるので、公共キーと証明書からなる一対は、あるシステ ムにどの当事者が参加していて、どの当事者が参加していないかということを公 表する。このことは、どの当事者が、証明書交付局によって定められた基準を満 たし、どの当事者が満たさない可能性があるかということを、明らかにする。同 様に、公共キーとともに証明される可能性のある、雇用主、電話番号、利用権等 の付加的な情報の信憑性も公表される。その結果、公共キー証明書は、誰でも、 証明済みの公共キーが集められたリスト、例えば公共キー名簿を探し回って、そ の中から、他の当事者の人物像を引き出すことができるようにする。この問題は 、公共キー名簿を使う代わりに、参加者に、依頼に応じてのみ公共キーを送らせ るようにしても、取り除けない。 第二の問題は、公共キー名簿の出版が、知られているかまたは選ばれた公共キ ーへの、証明書交付局の大量のデジタルな署名を、公表するということである。 知られているデジタル署名概型のほとんどは、知られているまたは(適応的に) 選択される攻撃にたいして、安全であると信じられているが、ごくわずかの署名 概型だけが、本質的に逆関数を実際に求められない関数の存在を仮定すれば、安 全であると証明されているだけである。不幸にして、これらの概型は、現在のと ころ、大規模に使用するには実用的でない。公共キー名簿は莫大な数の見出しを 含むことになるので、証明書交付局は効率的な署名概型を使わなければならない 。このことから、公共キー名簿に掲載されている署名が、証明書交付局の署名概 型を破ろうとする試みを、助けることになるかもしれない。すなわち、これらの 署名が、知られているかまたは(適応的に)選択される通信攻撃を仕掛けるため に、使われるかもしれない。この問題も同様、公共キー名簿を使う代わりに、参 加者に、依頼に応じてのみ公共キーを送らせるようにしても、取り除けない。 第三の問題は、信任状の、プライバシーが保護された転送のための機構におい て、公共キー証明書発行手続きを隠蔽することにある(公共キー暗号法における 、隠蔽技法の議論に関しては、例えばChaumのUS特許No.4,759, 063を参照せよ)。多くの状況において、証明書交付局は、ユーザーがその核 心部の内容を隠蔽できることを、好まない。むしろ、発行情報の中で、ユーザー の隠蔽操作によって変更できないような情報を、符号化しようとするであろう。 例えば、匿名で信任状を転送する機構において、この符号化された情報は、この 信任状が発行される先のユーザーに特有のもので、従ってこのユーザーのすべて の匿名の元像を関連させるかもしれない。こののことから、ユーザーは、他のユ ーザーの信任状を、たとえ双方が協力しても、使うことができないように保証さ れる。限られた回数だけ示される信任状、例えば電子現金システムにおけるコイ ンのような場合、この符号化される情報は、信任状が予め決められた限度を超え る回数示されたときに限って、公表されるように手筈をすることができる。この 場合は、これらの信任状をオンラインで検証する手間を無くする。このような目 的のためには、証明書交付局が秘密キー、公共キー、そして公共キー証明書を発 行する場合、公共キーと証明書は、ユーザーによって隠蔽されることができるが 、秘密キーの非定数関数はできないような、発行手続きが必要となる。このよう な発行手続きは、制限的隠蔽署名発行手続きと呼ばれ、1994年8月11日に 提出された特許出願・出願番号PCT/ML94/00179に記載され請求さ れており、ここに参照によって含められている。安全性の見地からは、証明書が 公共キー証明書である場合、制限的隠蔽署名発行手続きの、知られているどの構 造も、満足すべきものではない。これは深刻な問題である。なぜなら制限的隠蔽 署名発行手続きは、信任状の、プライバシーが保護されたオフライン転送のため の、効率的かつ安全な機構の建設にとって、決定的に重要だからである。 1994年8月11日に提出された特許出願・出願番号PCT/ML94/0 0179はまた、発行される証明書が、公共キーへのデジタル署名でない(従っ て公共キー証明書ではない)場合における、制限的隠蔽署名発行手続きの、創意 ある構成法を記述し請求している。そこに詳細に説明されているように、効率的 かつ安全な、制限的隠蔽署名発行手続きの構成法は、証明書が、公共キーへの発 行者の署名であるという要件を除けば、遥かに簡単になる。特許出願・出願番号 PCT/ML94/00179に記述され請求されているほとんどの、(より正 確には、最後に記述されているもの以外の)制限的隠蔽署名発行手続きの例は、 この創意ある方法によって構成されている。 特許出願・出願番号PCT/ML94/00179に記述され請求されている この創意ある方法は、公共キー証明書に関する上記第三の問題を克服するが、上 記の最初の二つの問題には回答していない。本発明は、公共キー証明書に関する 、これらすべて三つの問題を克服する一般的方法を記述する。 発明の目的 従って、本発明の目的のひとつは、誰もが公共キー並びに対応する証明書から なる一対を作成することが可能であるとともに、証明書交付局が保持している特 別の秘密キーの知識がなければ、秘密キー、照合する公共キー、及び対応する証 明書を生成することは、実際上不可能であるようにすることである。このため、 本発明は、以後秘密キー証明書と呼ぶ新種の証明書を提供する。 本発明の他のひとつの目的は、公共キー名簿のような証明済みの公共キーの掲 載が、プライバシーに関する情報の、信憑性を明らかにすることを、防止するこ とである。このため、本発明は、公共キー証明書に代えて秘密キー証明書を用い る。 本発明のもうひとつ目的は、公共キー名簿におけるような、証明済みの公共キ ーの掲載が、証明書交付局の署名概型に対する、知られているか選択される通信 攻撃にとって、助けとなるような情報を公表することを、防止することである。 このため、本発明は、公共キー証明書に代えて、秘密キー証明書を用いる。 本発明のいまひとつの目的は、よく知られている、デジタルな署名概型から、 秘密キー証明書及びそのための発行手続きを構成する、技法を説明することであ る。この署名概型は、本技術において、一般に、ファイアット/シャミルタイプ として言及されている。(Fiat,A.and Shamir,A.,"How to prove yourself: practical solutionsto identificationandsignature problems,'Crypto'86,Sp ringer-Verlag(1987),186-194を参照せよ)。 本発明のさらにもうひとつの目的は、効率的かつ安全な、制限的隠蔽署名発行 手続きを構成することである。このため本発明は、公共キー交付局に秘密キー、 照合する公共キー、及び対応する秘密キー証明書からなる三つ組を発行させて、 公共キーと証明書は受け取る当事者によって隠蔽できるが、秘密キーの少なくと も一部は隠蔽できないようにする 本発明のさらにもうひとつの目的は、公共キー証明書に代わる秘密キー証明書 の、再帰的応用によって、階層的な証明書交付を実施することである。 本発明のさらにもうひとつの目的は、この発明の他の目的を達成する、効率的 、経済的、そして実用的な装置と方法を、提供することである。 本発明の他の特徴、目的、そして効果は、以下の説明と添付されている請求項 目を、図面と共に読むことによって、評価されるであろう。 図面の簡単な説明 図1は本発明の教えるところに従う、例示的な秘密キー証明書システムの、代 表的な構成および機能を示す図である。 図2は本発明の教えるところに従う、第一の好ましい実施例のための、秘密キ ー証明書発行手続きの、フローチャートを示す。 図3は、本発明の教えるところに従う、第一の好ましい実施例のための、秘密 キー証明書発行手続きであって、証明書交付局が受取人の秘密キーを知らなくて もよいものの、フローチャートを示す。 図4は、本発明の教えるところに従う、第一の好ましい実施例のための、秘密 キー証明書発行手続きであって、秘密キー証明書における潜在的チャンネルを防 止するものの、フローチャートを示す。 図5は、本発明の教えるところに従う、第一の好ましい実施例のための、秘密 キー証明書発行手続きであって、受取人が発行される情報を完全に隠蔽するもの の、フローチャートを示す。 図6は本発明の教えるところに従う、第一の好ましい実施例のための、制限的 隠蔽秘密キー証明書発行手続きの、第一のフローチャートを示す。 図7は本発明の教えるところに従う、第一の好ましい実施例のための、制限的 隠蔽秘密キー証明書発行手続きの、第二のフローチャートを示す。 図8は本発明の教えるところに従う、第二の好ましい実施例のための、秘密キ ー証明書発行手続きの、フローチャートを示す。 図9は、本発明の教えるところに従う、第二の好ましい実施例のための、秘密 キー証明書発行手続きであって、証明書交付局が受取人の秘密キーを知らなくて もよいものの、フローチャートを示す。 図10は、本発明の教えるところに従う、第二の好ましい実施例のための、秘 密キー証明書発行手続きであって、秘密キー証明書における裏口チャンネルを防 止するものの、フローチャートを示す。 図11は、本発明の教えるところに従う、第二の好ましい実施例のための、秘 密キー証明書発行手続きであって、受取人が発行される情報を完全に隠蔽するも のの、フローチャートを示す。 図12は本発明の教えるところに従う、第二の好ましい実施例のための、制限 的隠蔽秘密キー証明書発行手続きの、フローチャートを示す。 発明の要約 本発明の上記及び他の目的に沿って、本発明の概略を手短に述べる。以下の要 約においては、ある程度の単純化と省略がなされるが、それは本発明のいくつか の様相を浮き彫りにするためであり、それを制限するものではない。本技術分野 における通常の技能を持つ者が本発明を作りまた使うことができるようにするの に適切な、好ましい実施例の詳細は、後に述べる。 要するに、公共キー証明書の第一義的な目的は、暗号法システムの参加者に対 してその人の公共キーそのものを証明するというより、むしろその公共キーに関 してその人がなすことができる仕事を保証することである。暗号法システムにお ける、三つの最もよく知られている公共キー暗号法の課題を考えてみよう。すな わち、デジタル署名、身分証明、そして暗号化である。証明書の意図された目的 は、デジタル署名をする、公共キーに対応する秘密キーについての知識を証明す る、そして公共キーで暗号化された通信を解読するという仕事が、証明書交付局 の許可によって使用を許可された秘密キーを使ってなされることを、保証するこ とである。言い換えれば証明されるべきものは秘密キーであって必ずしも公共キ ーではない。 非公式的に言えば、秘密キー証明書は、証明書交付局による秘密キーへのデジ タル署名であって、その秘密キーに照合する公共キーへの署名ではない。より正 確に言えば、秘密キー、照合する公共キー、及び対応する秘密キー証明書からな る三つ組は、実際上、証明書交付局によってのみ作成されことができるが、公共 キー、及び対応する秘密キー証明書からなる一対は、実際上、誰によっても作成 されことができる。 公共キー名簿において、当事者たちは、彼らの公共キーと対応する証明書と共 に、掲載される。もしそれら証明書が秘密キー証明書であれば、名簿のどの項目 も、誰によっても作成され得るので、名簿中の情報は、合法的な参加について、 識別できる情報を明らかにしない(もしこの名簿が現在または過去の一時点に公 開文書であれば)。もし電話番号、郵便用住所、使用権のような付加的情報が含 まれているならば、この情報は偽物である可能性もある。公共キー名簿中の項目 が、証明書交付局によって証明されいるのかどうか、ユーザーには分からないよ うに保証するため,例えばCD−ROM上の公共キー名簿作成者は、公共キーに 結びつく当事者たちに、もし彼らがこのCD−ROM上に掲載されることを望む ならば、彼ら自身の公共キーを提出させて、名簿中の項目を集めることができる 。 同じ理由から、この名簿に掲載されている情報は、証明書交付局の署名概型を 攻撃するためには、大して役に立たない。特に、もし公共キー及び対応する秘密 キー証明書からなる一対が、証明書発行手続きが証明書交付局との間で行われて いるときに適用される確率分布から区別できない確率分布で、証明書交付局の協 力がなくても、作成され得るならば、この情報は何の役にも立たない。 KACによって証明されていないキーを持っている攻撃者は、証明書交付局の 署名概型を全く最初から破ろうとする場合に、何らかの有利な条件を得ようとす れば、このシステムの合法的な参加者の秘密キーを知る必要があろう。一般に、 秘密キーを明らかにするためには、それが誤用されないよう、大きな信頼を要し 、従って、実際には、公共キー証明書に代えて、秘密キー証明書を使えば、KA Cの署名概型を破ろうとする攻撃を仕掛けるのは、遥かに困難となろう。 安全な公共キー暗号法による設計、例えば、公共キーに対応する秘密キーにつ いての知識を証明する、公共キーに対応する秘密キーで通信に署名する、そして 公共キーで暗号化された通信を解読するという、上に述べた仕事のための設計は 、その公共キーに対応する秘密キーを知っている場合にのみ、実際上実行可能で ある。従って、あるユーザーがそのような仕事を成功裏に達成できるという事実 は、彼が自分の公共キーに対応する秘密キーを知っていることの証拠であり、こ のことはまた、証明書が証明書交付局によって発行されたことを証明する。 次の事例は、秘密キー証明書の使用を評価する際に、助けとなる。 1.第一当事者が、暗号化された通信を、第二当事者に転送したいとする。公 共キー名簿から、第一当事者は、第二当事者の公共キーと、証明書交付局によっ て発行されたと想定される、対応する秘密キー証明書を引き出す。第一当事者は 、第二当事者の公共キーを用いて、その通信を暗号化し、それを第二当事者に転 送する。第一当事者は、公共キー名簿に掲載されている情報が、本物かどうか知 らないけれども、もし第二当事者が、解読によって元の通信を回復することがで きるならば、証明書交付局が、公共キー名簿に掲載されている文字列を計算した ことは、保証される。言うまでもなく、第二当事者の第一当事者に対する適切な 対応が、第一当事者に、この二つの場合を区別させる。 2.第二当事者が、第一当事者宛の通信に、デジタル署名するとする。この通 信、第二当事者のデジタル署名、そして公共キー名簿に掲載されている第二当事 者に伴う情報を与えられた第一当事者は、このデジタル署名が本物であることを 確認することができるだけでなく、それが実際に証明されたキーでなされたもの であることも保証される。勿論、もしこの署名が法律上何らかの重要性を持って いるならば、誰でもこれら二つの事実を確認することができる。 3.第二当事者が、第一当事者によって発行される秘密キー証明書を得たいと する。この目的のために、第一当事者は、自分の秘密キーを応用して、第二当事 者の公共キーに関する秘密キー証明書を発行する。第二当事者は、第一当事者の 公共キーを使って、第一当事者によって発行されたこの秘密キー証明書が、法的 に有効であることを確認することができるだけでなく、もし確認した場合には、 第一当事者の公共キーに関する秘密キー証明書が、証明書交付局によって発行さ れたものであることもまた保証される。一般に、秘密キー証明書の再帰的な応用 は、公共キー証明書から形成される階層的証明書の樹と、同じ安全性を提供する 階層的証明書の樹が、形成されるようにする。 秘密キー証明書の例と、対応する発行手続きについて、今から述べる。本技術 における通常の習慣に従って、任意の整数lに対して、Zlは整数の集合{0, ...,l−1}を表すことにする。ここで加法と乗法はlを法として定義され る。Gqは素の位数qの一つの群を表すとせよ。ここでqに対して離散的対数を 計算する実用的なアルゴリズムは知られていない。Hはその値域がZ2tに含まれ る一方向細切り関数(one-way hash-function)、ここでtは適当に大きな安全 パラメータ、である。証明書交付局の秘密キーは、Zqに属するある数x0であり 、それに対応する公共キーは(g,h0)である。ここでh0はgx0を表し、gと h0は共にGqに属する。自分のキーを証明してもらいたい当事者たちは、証明書 交付局と同じキー設定を用いる。すなわち、当事者Uの秘密キーは、Zqに属す るある数xであり、それに対応する公共キーはh=gxである。hに関する秘密 キー証明書は対(c,r)であって、cはZ2tに属しrはGqに属しcはH(h 、gr(h0h)-c,I)に等しいものである。ここで、Iは、この秘密キーが属 する当事者に関する、付加的な情報からなる文字列であり、取捨選択できるよう に含まれている。 本技術について通常の技能を持つ者にとって明らかなように、証明書交付局の 効力ある証明書は、秘密キーx0+x mod qで作成されるgx上のシュノル署 名である(Schnorr,C.,'Efficient signature generated by smart cards,"Jo urnal of Cryptology,Vol.4,No.3(19910,pp.161-174を参照せよ)。誰で も、実際上、検証関係が成立する対(h,(c,r))を生成することができる 。それには、Zqに属する任意のSに対して、hをh0 -1Sに等しく取り、Zqに 属する任意のtに対して、aをgtに等しく取ればよい。このとき、対(c,S c+t mod q)はc=H(h,a,I)のとき、hに照合する。しかしなが ら、このような対を秘密キーlogghと共に実際に生成する技術は、シュノル 署名を偽造することを可能にする。 秘密キー証明書を発行するに当たって、証明書交付局は次のような手順を踏め ばよい。証明書交付局は、無作為にZqに属する数wを生成し、a=gwを計算す る。次にc=H(h、a、I)とr=c(x0+x)+w mod qを計算し、 (c,r)を当事者Uに転送する。詳細な説明のところで明らかにされるように 、発行手続きは、証明書交付局がUの秘密キーを知る必要性を、防止するように 、変更する事ができる。さらにUにとっての種々の隠蔽能力を発行手続きに織り 込むことができる。 要約すれば、本発明は、公共キー暗号法に基づく証明書技法を説明する。この 技法は、公共キー証明書のよく知られた暗号法技法に関する、いくつかの問題を 解決する。 発明の詳細な説明 図2から12における記号表現は、本技術について通常の技能を持つ者にとっ て明らかであると信ずるが、曖昧のないよう、ここで最初に復習する。 種々の秘密キー証明書発行手続きがフローチャートによって説明されている。 これらの手続きに参加する当事者たちによってなされる作用は、フローチャート ボックスの中にグループとしてまとめられている。一つのフローチャートボック スに記載されている作用を行う当事者は、そのボックスが置かれている列によっ て指示されている。この列には、当事者のタイプを表す記号によって、ラベルが 付けられている。「当事者」という語は、この手続きにおいて一つまたは複数の ステップを実行する、代理人と見なされるかも知れない実体を、示すために使わ れる。それはまた、これらのステップを実行するための手段と見なされるかもし れないし、デジタル論理回路による適切な構成からなるかもしれない。例えば、 図中のどのボックスまたはボックスの集まりも、本技術において周知であるよう な、ハードワイヤーで配線された専用の組み合わせ論理またはマイクロプロセッ サーのような適切にプログラムされる機械によって実現され得る。そのためには 、その手段が、記憶、入出力、そして対応するボックスまたはボックスの集まり に記述されている変換ステップを、実行することができればよい(無作為源生成 関数は除かれるかもしれない)。 本技術における通常の習慣に従って、任意の整数lに対してZlは整数の集合 {0,..,l−1}を表すことにする。Zlにおける加法と乗法はlを法とし て定義される。集合Zl *はlと互いに素である{0,1,...,l−1}の元 からなる集合を表す。Zl *における乗法はlを法として定義される。本技術にお いて周知のように、Zlはlを法とする整数環と呼ばれ、Zl *はlを法とする乗 法群と呼ばれる。 記号←は割り当てを表し、その左辺の変数または記号に右辺の値が割り当てら れる。この割り当ては必ずしも記憶空間が実際に確保されることを意味しない。 中途結果の値は揮発性メモリーにおいて処理されるかもしれないからである。 り、手続きは等式が成立しない場合に停止する。 記号∈Rは、その左辺の各数が、右辺の集合から一様分布に従って選択され、 他の何ものからも独立していることを示す。実際には、疑似無作為技法を使うこ とができ、一様分布からの多少の偏りは、安全性またはプライバシーあるいはそ の両方にとって、評価できるほど大きいロスを伴うことなく許される。そのよう な技法は、本技術においてよく知られている。 もう一つの作用は、語「送る」によって表されコロンと一つまたは幾つかの数 に続く。これは、これらの数が、ボックス中に記載されている作用を行う当事者 によって、手続きに参加している第二の当事者に送られることを示す。ボックス 間の方向付き結線は、ボックスにグループとしてまとめられている作用が、実行 される順序を示している。 秘密キー証明書システムの装置 安全な秘密キー証明書のための装置を以下正確に説明する。この装置は次の五 つの手段から構成される。 1.少なくとも一つの安全パラメーターが入力として与えられたとき、証明書 交付局によって、この暗号システムに参加したい当事者たちのキーを証明するた めに使用される、一つの秘密キー及びそれに照合する公共キーを、出力する第一 キー生成手段。 本技術における通常の技能を持つ者に明らかなように、出力の2進長と安全パ ラメーターは多項式的な(望ましくは線形な)関係にある。 第一キー生成手段は確率的性質を持っていて、キーのこの対は本質的に無作為 な方法によって生成される。望ましくは、この無作為化の過程が、無作為性を持 ったある物理的な源泉の出力に基づくのがよい。可能性としては、その出力と、 暗号学的に強い、疑似乱数発生部の出力を、例えば、ビットごとに両者のAND −ORを取ることによって、結合して求めればよい。 2.少なくとも一つの安全パラメーターが入力として与えられたとき、証明書 交付局が、この暗号システムに参加したい当事者によって使われる、一つの秘密 キー及びそれに照合する公共キーからなる一対のキーを、出力する第二キー生成 手段。 第一キー生成手段と同じく、この出力は適切な無作為化過程の結果である。こ の手段は、この当事者自身によってまたは証明書交付局または両者によって、操 作されることができる。第一及び第二キー生成手段は同じものであってもよいし 、異なるものであってもよい。 3.証明書交付局の公共キーおよび一つの公共キーと仮定的な秘密キー証明書 からなる一対が入力として与えられたとき、「Yes」または「No」として解 釈される回答を出力する証明書検証手段。 通常、検証関係は決定論的であるが、必ずしもそうである必要はない。すなわ ち、証明書検証手段は、確率的性質を持っていてもよく、この仮定的な秘密キー 証明書が、この公共キーに関する秘密キー証明書であるかどうかを、多くの無作 為的な試行を繰り返すことによって決定してもよい。 証明書検証手段は、この仮定的な秘密キー証明書が、この公共キーに関する秘 密キー証明書であるとき、そしてそのときにのみ、「Yes」を出力する。言い 換えれば、証明書検証手段は、ある公共キーに関するある秘密キー証明書が、何 であるかを定義する。 4.証明書交付局の秘密キー、および、証明書を必要とするある当事者の秘密 キーと照合する公共キーからなる一対が、入力として与えられたとき、後者のこ の秘密キーへの、次の条件を満たすデジタル署名を、出力する証明書発行手段。 すなわち、証明書検証手段が、証明書交付局の公共キー、および、一つの公共キ ーとこの発行されるデジタル署名からなる一対が、入力として与えられるとき、 「Yes」を出力する(従って証明書発行手段のこの出力は、この公共キーに関 する秘密キー証明書である)。 証明書発行手段は確率的性質を持っていてもよく、そうでなくてもよい。明ら かに、公共キーは、通常、秘密キーから計算できるので、通常、証明書交付局の 秘密キーとこの当事者の秘密キーだけが与えられればよい。 評価されるであろうように、証明書発行手段は、自分のキーを証明してもらい たい当事者が、その秘密キーを証明書交付局に内密にすることができるようなも のであり得る。そのような場合、証明書発行手段そのものは、この当事者によっ て制御される手段、および証明書交付局によって制御される手段、ならびにこれ ら両者間の交信のための適切なインターフェースから構成される。当事者によっ て制御される手段は、この当事者の秘密キーを(そして多分、この当事者の公共 キーをも)入力として受け取り、証明書交付局によって制御される手段は、証明 書交付局の秘密キーを(そして多分、証明書交付局の公共キーをも)入力として 受け取る。最終的な出力は、この当事者によって制御される手段と、証明書発行 局によって制御される手段によって、処理された結果であり、適当な中間結果は 、 上記インターフェースを通じて交換される。証明書発行手段を構成する手段によ ってなされる正確な作用は、以下「秘密キー証明書発行手続き」と呼ぶことにす る暗号法の手続きによって、記述されなければならない。 さらにもう一つの変形として、証明書交付局が、秘密キー証明書を必要とする 当事者の、任意の公共キーに対する秘密キー達をも、計算するようにしてもよい 。なぜなら証明書交付局は、付加的な落とし戸情報を知っているからである。 これら及び他の変形は、実施例を研究することによって評価されよう。例えば 、証明書発行過程は、当事者によって制御される手段によって、後に本テキスト に説明されている種々の評価基準に従い、隠蔽されることができる。 5.証明書交付局の公共キーが入力として与えられたとき、ひとつの公共キー および照合する証明書からなる一対を、出力する証明書シミュレーション手段。 出力されるこの公共キーは、第二キー生成手段によって出力され得るものであ る(出力され得る対の一部として)。語「照合する」は、証明書検証手段が、証 明書交付局の公共キーと証明書シミュレーション手段の出力を、入力として与え られれば、「Yes」を出力することを意味する。証明書シミュレーション手段 は確率的な性質を持つもので、その出力の確率分布は、この公共キーが第二キー 生成手段によって生成され、この証明書が証明書発行手段によって生成されると きに、成立する確率分布と、本質的に区別不能であるべきである。 本技術に関する通常の技能を持つものに明らかであろうように、「本質的に」 区別不能ということは、「計算的に」または「統計的に」または「完全に」区別 不能ということを意味し、これら各々は、本技術においてよく知られている正確 な数学的意味を持っている。勿論、実用的な目的には、区別不能性は、それほど 強くなくてもよい。例えば、ある入力が与えられたときに、証明書シミュレーシ ョン手段によって生産される、可能な出力の集合が、十分大きさえすれば、一つ の公共キーおよび照合する秘密キーの、シミュレーションされる対と、「真正の 」対は、実際上区別できないかもしれない。 当事者達が、証明書交付局の協力なしに、一つの公共キーおよび対応する秘密 キーからなる対達を、生成したい場合の応用においては、証明書シミュレーショ ン手段は、明らかに、構成されなければならない。しかしながら、後に例示され るように、証明書シミュレーション手段を常に構成する必要はない。 上述の五つ手段のどれも、本技術において周知であるような、ハードワイヤー で配線された専用の組み合わせ論理、またはマイクロプロセッサーのような、適 切にプログラムされる機械によって、実現され得る。 証明書交付局によって発行される、公共キーに関する秘密キー証明書は、この 公共キーに対応する秘密キー達への、デジタル署名としての効力を持っている。 従って証明書交付局以外の当事者が、証明書交付局の関与なしに、秘密キー、照 合する公共キー(この二つが第二キー生成手段によって生成され得たことを意味 する)、対応する秘密キー証明書(証明書交付局の公共キー、および、この公共 キーとこの証明書が、入力として与えられたときに、証明書検証手段が「Yes 」を出力したであろうことを意味する)からなる、新しい三つ組を生成すること はあり得ない。 ここで強調しておきたいのは、秘密キー証明書が、公共キーに関する秘密キー 証明書と言われることで、秘密キーに関する証明書ではないことである。すなわ ち、証明書発行手段と証明書シミュレーション手段は、共に、一つの公共キーと 、この公共キーに関する一片の秘密キー証明書を出力することができる。このこ とは、公共キーと秘密キー証明書の間には、公共的に検証できる関係が存在する ことを、強調している。 さて図1を参照しながら、以下に、上述した構成部分の間の相互関係と協力に ついて説明する。図1におけるすべての結線は、通信の転送を含んでいる。これ らの通信は、本物性、秘密性、誤り検出、誤り訂正等のため、暗号学的または他 の方法で、コード化およびデコード化されるため、最初に保持されるかもしれな いし、途中で遅延されるかもしれない。従って、通信が転送される、個別の手段 と方法は、本発明にとって、本質的な事柄ではなく、この点に関しては、任意の 手法が使われかもしれないことが、想定されている。図中の結線は、例えば、通 信手段を表現していると、見なすこともできる。 その場合には、それらは、導体通路、光ファイバー環、赤外線伝送、パケット交 換網通路を含む、様々の典型的な手段により、実現され得る。さらに、適切な駆 動器、モーデム、または他の適当なインターフェースが、本技術において周知の ように、このような通路の終端において、必要となるかもしれない。代わりに、 これらの結線は、通信転送のためのステップと見なしてもよい。 第一キー生成手段113が、結線102上の安全パラメーターを、証明書交付 局のためのキー対に変換する。このキー対は、結線106に出力される公共キー と、結線105に出力される秘密キーからなる。キー生成手段113における変 換は、乱数生成部119その他に依存する。 第二キー生成手段112は、結線101上の安全パラメーターを、結線103 に出力される公共キーと、結線104に出力される秘密キーに、変換する。第二 キー生成手段112における、結線101上の安全パラメーターからの変換は、 乱数生成部118その他に依存する。このキー生成手段からの出力は、次に説明 されるように、証明書発行手段114によって証明される。 証明書発行手段114は、結線103、104、そして105上の三つの入力 を受け取る。結線103上の入力は、キー生成手段112によって出力される公 共キーであり、結線104上の入力は、キー生成手段112によって出力される 秘密キーである。結線105上の入力は、キー生成手段113によって出力され る、証明書交付局の秘密キーである。証明書発行手段114は、これら三つの入 力を、結線103上の公共キーに関する、秘密キー証明書に変換する。この秘密 キー証明書は、結線104上の秘密キーによるデジタル署名であり、結線107 に出力される。証明書発行手段114における、必要に応じて付加できる乱数発 生部は、図に表示されていないけれども、詳細に説明する好ましい実施例は、証 明書発行手段において、無作為性を使う。 結線107に出力される証明書は、キー生成手段112によって結線103に 出力される公共キーと共に、証明書検証手段116に入力される。結線106上 の、証明書交付局の公共キーもまた、証明書検証手段116に入力される。証明 書検証手段は、ひとつの2進値を結線110に出力する。この2進値は、結線1 03と107上の入力の正確さについての判定であると、解釈される。このブロ ック図において、証明書検証手段116への、結線107上の入力は、証明書発 行手段114からの出力であり、結線103上の入力は、証明書発行手段114 への入力と同じである。従って、結線110上の判定は、この場合、肯定「Ye s」であろう。図に示されていないのは、証明書検証手段116における、必要 に応じて付加できる乱数発生部である。詳細に説明される好ましい実施例は、証 明書検証手段において無作為性を使わない。ある種の応用のためには、証明書検 証手段に無作為性を持たせる必要があるかもしれないことは考えられる。 結線106上の証明書交付局の公共キーは、証明書シミュレーション手段11 5に入力される。乱数発生部120その他に依存して、証明書シミュレーション 手段115は、結線106上の入力を、公共キーに変換し、結線109に出力し 、また、この公共キーに関する秘密キー証明書に変換し、結線108に出力する 。証明書シミュレーション手段115のこの二つ出力と、結線106上にある証 明書交付局の公共キーは、証明書検証手段117に入力されると、一つの2進値 が結線111に出力される。この出力は、結線109と108上の入力の正確さ についての判定であり、今例示されている状況では、肯定[Yes」であろう。 証明書検証手段117は、すべての入力結線と出力結線も含めて、手段116と 同じである。これらが2度描かれているのは、唯、証明書検証手段が、証明書発 行手段114によって出力される秘密キー証明書と、証明書シミュレーション手 段115によって出力される秘密キー証明書を、区別できないことを強調するた めである。 二つの好ましい実施例にとっての、種々の典型的秘密キー証明書システムを、 これから提供する。証明書交付局は、以下CA(Certification Authorityの略 )と表し、システムの一当事者は、Uと表す(userの略)。好ましい実施例の両方 において説明される種々の秘密キー証明書は、署名概型の、本技術においてよく 知られている一クラスから、ある創意的な一般構成技法を応用することによって 構成される。このクラスは、以下、ファイアット/シャミルタイプの署名として 言及される。(ファイアット/シャミルタイプの署名概型は、挑戦−応答タイプ の、安全な、三伝送、身分証明概型から、少なくとも最初の伝送において、証明 者によって提供される通信および情報の一方向細切れとして、挑戦を受け取るこ とによって、導かれる署名概型である。Fiat,A.and Shamir,A.,"How to pro ve yourself:practical solutionsto identificationandsignature problems,'C rypto'86,Springer-Verlag(1987),186-194を参照せよ。本技術において周知の ファイアット/シャミルタイプの署名概型への参照例は、詳細な説明のところで 提供される。)この創意的技法を以下「一般構成技法」と呼び、これから説明す る。 一般構成技法 Uの一つの秘密キー、Uの対応する一つの公共キー、そしてUのこの公共キー に関する一つの秘密キー証明書からなる三つ組は、(1)CAによって使われる 署名概型、および、(2)証明されるUのキー対のタイプによって、特徴づけら れる。Uのこの公共キーをhで表し、CAの公共キーをh0で表すことにする。 実質的には、hに関する一つの秘密キー証明書は、一般構成技法を、あるファイ アット/シャミルタイプの署名概型に応用することによって、構成されるとき、 CAにより使われる署名概型の下で、公共キーh0hに対応する秘密キーでなさ れる、通信hへの、この下敷きになっているファイアット/シャミルタイプの署 名である。 結果として得られる、秘密キー証明書のための、一般的証明書シミュレーショ ン技法は、hをh0 -10'として生成することにある。ここで、CAにより使わ れる署名概型の下で、h0'に対応する秘密キーは、知られているものと仮定する 。このことは、公共キーと秘密キー証明書からなる対を、CAの協力なしに生成 することを可能にする。 評価されるであろうように、これらの例は、本発明の技法と概念をわかりやす く説明しているが、それらは唯、試案として提供されているにすぎなく、決して 制限的なものではない。例えば、以上のパラグラフにおいて説明されているもの 以外の構成技法や、それらの変形が使われるかもしれない。その一例は、第一の 好ましい実施例の終わりに提供されている。第一の好ましい実施例 第一の好ましい実施例においては、計算は、素数位数qの乗法群におけるもの である。そこでの積を求める、二つの元が等しいかどうかを決定する、ある元が ある集合に属するかどうか検証する、そして無作為に元を選択するための効率的 なアルゴリズムは知られている。この群は以下Gqと表される。Gqにおける離散 対数を計算する実際的な方法は知られていないはずである。そのような群の種々 のタイプは知られている。例えば、Zp *の位数qの一意的な部分群を取ることが できる。ここでpは任意の素数でありqはp−1の約数である。他の例は有限体 上の楕円曲線である。この理由のため、Gqに対するいかなる顕在的な選択もな されていない。 gxのような表現は、Gqにおける計算として理解されるべきである。qを法と する計算がなされる場合、(例えば、r0=c(x0+x)+w0 mod q)、 法演算子modは顕在的に表されている。ひとつの元がある群から選択される場 合、それは最小の正の代表元であると、暗に仮定されている。計算結果について も同様である。 1.第一の典型的秘密キー証明書 一般構成技法をシュノル署名概型に応用することによって構成される、第一の 好ましい実施例における第一の典型的秘密キー証明書を、以下詳しく説明する( Schnorr,C.,“Efficient signature generated by smart cards,”Journal of Cryptology,Vol.4,No.3(19910,pp.161-174を参照せよ)。 KACのキー生成手段:CAの秘密キーはZqのある数x0であり、対応する公 共キーは、Gq×Gqにおける(g、h0)である。ここでgはGqの生成元であり 、h0はgx0を表す。好ましくは、x0は、Zqにおいて一様分布にしたがって無 作為に選択され、gは、Gq/{1}において一様分布にしたがって無作為に選 択される。 対(g、h0)とGqの説明はCAによって一般に公開される。CAはまた、 ある細切り関数Hを公開する。Hの値域は、例えば、ある適切な安全パラメータ ーtについて、Z2tに含まれる(本技術における通常の技能を持つ者に明らとな る だろうように、Z2tの代わりに、十分大きいlに対してZlを取ることができる 。上記選択は単に具体性のためである)。この関数は、シュノル署名概型を安全 にすると信じられる要件を、満たすべきである。好ましくは、Hは衝突しないこ とである。このことは、独立変数の二つの異なった値にたいして、Hの値が同じ になるように計算する事が、実際上あり得ないということを、意味する。衝突し ないと信じられているそのようなHは、本技術における通常の技能を持つ者には よく知られている。 証明書検証手段:Uの、Gqにおける公共キーhに関する、秘密キー証明書は 、Z2t×Zqにおける対(c,r)であって、cがH(h,gr(h0h)-c,I )に等しいものである。ここでIは、Uの名前を含み、可能性として、住所、雇 用者、電子メール住所、そして利用権のリスト等の付加的な情報からなる文字列 である。細切り値にIを含めることは、厳密には必要でないが、実用上要求され るかもしれない。 この秘密キー証明書は、代わりにGq×Zqにおける対(a,r)とすることも できる。この場合には、gr(h0h)-cがaに等しければ、この対がhに関する 秘密キー証明書である。ここで、cはH(h,a,I)として計算される。 本技術における通常の技能を持つ者に明らかであろうように、この秘密キー証 明書は、一般構成技法を、シュノル身分証明概型に応用することによって、構成 される。この証明書は、実質的には、公共キーh0hに対応する秘密キーlogg (h0h)でなされる、hへのシュノル署名である。 Uのキー生成手段:秘密キー証明書を定義するには、CAによって用いられる 署名概型に加えて、Uのキー対のタイプが特定されなければならない。一般形式 においては、Uの秘密キーは、組(x1,...,xk)であって、各xiがZqに 属し、hがΠi=1 ki xiに等しいものである。ここで、g1,...,gkは無作 為に選択されるGqの生成元である(それらすべてがgと異ならなくてもよい) 。それらはまた、g,h0、そしてGq及びHの説明と共にCAによって出版され る。 好ましくは、各gi(1≦i≦k)に対して、CAはloggiを知っている べきである(発行手続きを処理するためには)。ここで、CAはg1,..., gkを次のように生成することができる。先ずZqの元y1,...,ykを無作為 に生成し、それからgiをgyiに等しく取る(CAは、元gi達の一つをgに等し く取ってもよい。そのような選択は、図6のフローチャートに示されているよう に、発行手続きの制限的隠蔽を許す。本技術における通常の技能を持つ者に明ら かであろうように、gi達の一つをgに等しく取る代わりに、このgiをgの公に 知られている累乗に取っても、同じ効果が得られる)。見られるように、公共キ ーh0hに対応する秘密キーは、CAによって用いられるこの署名概型において 、数logg(h0h)であり、これはx0+Σi=1 kiimod qに等しい。も しg1,...,gkの上記生成過程が使われる場合には、CAは、この数を計算 することができる。 実際には、キー対のより簡単な形式を使いたいかもしれない。最も簡単な形式 は、Uの秘密キーがGqの元xであり、公共キーhがgxに等しい場合におけるも のである(すなわち、ただ一つのgiがあり、それがgに等しい場合である)。 このときには、Uは、シュノル署名を計算したり、彼の秘密キーに関する知識を 証明するというような、暗号学的仕事を実行することができる(下に詳しい例が 三つ提供されている)。他の簡単な形式は、Uの秘密キーが対(x1、x2)であ り、hがg1 x12 x2に等しい場合におけるものである。ここで、上に述べたよう に、g1とg2の一方は、gに等しく取ることができる(あるいは両方。ただし、 そのときには、hがgxに等しい場合の、より簡単な形式に勝るような、効果は 何もない)。この形式もまた、Uが署名を計算したり、彼の秘密キーに関する知 識を証明するというような暗号学的仕事を実行することを可能にする。図6のフ ローチャートに明らかにされるだろうように、この第二の形式は、制限的隠蔽署 名手続きを構成する上で、特別重要である。そこにおいては、そのような手続き のために、g1はg(あるいはgの公に知られた累乗)に取ることが必要とされ 、Uはlogg2もlogh02も計算できないことが要求される。 証明書シミュレーション手段:誰も、hを、Zqの任意のsに対して、h0 -1s に等しく取り、aを、Zqの任意のtに対して、gtに等しく取ることによっ て、検証関係が成立するような対h、(c、r)を、実際上生成することができ る。このとき、cはH(h,a,I)に等しく、対(c,sc+t mod q) は、hに関する秘密キー証明書である。しかしながら、上記三つのパラグラフに おいて説明した、Uのためのキー生成概型の一つに従って、公共キーhに対応す る秘密キーと共に、このような対を実際に生成する能力は、シュノル署名を偽造 することを可能にする。 完全な秘密キー署名システムはまた、秘密キー証明書自身の記述に加えて、証 明書発行手続きの記述を必要とする。記述された秘密キー証明書を発行するため の、種々の典型的な手続きが、構成され得る。これらの証明書発行手続きの各々 は、この証明書がCAによって発行される先のUが、この秘密キー、公共キー、 そして秘密キー証明書を、無作為化し隠蔽することができる程度によって、特徴 づけられる。種々の証明書発行手続きのための、典型的な実施例を提供する前に 、本技術における通常の技能を持つ者が、記述される秘密キー証明書がどのよう に実用的に使用されるかを、評価するために、助けとなるよう、幾つかの例を提 供する。 1.1.第一の典型的秘密キー証明書の例 一般性を失うことなく、以下の諸例において、ある公共キー名簿が用いれるこ とを仮定する(代わりに、公共キーおよび公共キーに関する秘密キー証明書が、 依頼に応じて送られてもよい)。公共キー名簿の項目は、次の形式で掲載されて いるであろう。 秘密キー証明書がシミュレーション可能であることから、これら項目のどれも が、CAの協力なしに生成されることができたであろう。 本技術に関する通常の技能を持つ者に明らかであろうように、公共キー名簿の 項目のうち、数Iiは、必ずしもこの項目に結びつく当事者の身元証明を、示す 必要はない。代わりに、それは、この当事者の仮名を示しているかもしれないし 、この当事者は、そのような仮名を複数個持っているかもしれない。 簡単のため、これらの例の各々において、Uのキー対は、最も単純な形式、す なわち、秘密キーはZqのある数x、そして対応する公共キーhはgxに等しいも のとする。本技術に関する通常の技能を持つ者に明らかであろうように、Uがそ れとは異なるタイプのキー対を用いる場合にも、同様の例を提供することができ る。特に、Uのためのキー対の、より一般的な形式が、用いられる場合における 多くの技法と例は、特許出願・出願番号PCT/NL94/00179に、説明 され請求されている。 例1:ユーザーU1が、暗号化された、Gqに属する通信mを、U2に送りたい と想定せよ(電子ファクシミリ、電子メール、またはその他の適当な媒体によっ て)。使用される暗号模型は、群Gqにおけるエルガマル概型である(Elgamal,T .,"A public key cryptosystem and a signature scheme based on discrete l ogarithms ,"IEEE Transactions on Information Theory,vol.IT-31,No.4,1 985,pp.469-472)。公共キー名簿から、U1は、U2の公共キーh2と文字列(c2 、r2)を検索する。もしc2がH(h2、gr2(h02-c2、I2)に等しけれ ば、U1は、安全に、上記暗号化された通信を、U2に転送することができる。こ こで、U2は、Zqのある数sを無作為に生成し、対(gs、h2 sm)をU2に転送 する。もしU2がmを解読し回復することができれば,U2はlogg2を知って いるに違いない(本技術に関する通常の技能を持つ者に明らかであろうように、 このことは、Gqにおけるディッフィーヘルマンのキー交換仮定の下で、無作為 に選択されたmについて成立する)。このことは一方、U2は自分だけで、(h2 ,(c2,r2))を生成することはできなかったであろうことを、示す。言い換 えれば、U2は、自分のキー対がCAによって証明されている時またそのときに 限っ てのみ、mを回復することができるということを、U1は確信できる。勿論、実 際上は、U1とU2の間の両方向の通信が、他方の当事者のキーがCAによって証 明されているのかどうかを、直ちに明らかにする。 例2:U2が、シュノル署名概型を用いて、U1宛のある通信mに、デジタル署 名することを想定せよ(代わりに、エルガマル署名概型を使うこともできる)。 U1は、U2から、cがH(m,gr2 -c)に等しいような、ある対(c、r)を 受け取る。もしU2の公共キーh2が、公共キー名簿に、c2がH(h2,gr2(h02-c2,I2)に等しいような一対(c2、r2)とともに、掲載されているな らば、U2がこの署名を計算できるという事実は、U1に対して,U2のこのキー 対が、CAによって証明されたものであることを、知らせる(シュノル署名概型 が破られることができない限り。しかし、その場合には、両ユーザー達のこの署 名概型もまた安全でない)。評価されるであろうように、この事実は、誰によっ ても検証されることができ、従って、法的意義がある。なぜなら、(1)ある公 共キーとこの公共キーに関する秘密キー証明書からなる一対、(2)ある通信、 (3)偽造された証明済み公共キーに対応する秘密キーでなされた、この通信へ のデジタル署名からなる、三つ組を偽造することは、実際上ありそうもないから である。 例3:U2が、U1に対して、公共キー名簿中のU2の項目がCAによって証明 されていることを、この証明の写しをU1に送ることなく、確証したいと想定せ よ(この確認を第三者に転送するために、この写しが使われるかもしれないので )。U2はそこで、秘密キーlogg2の知識を、零知識手続きにおいて、U2に 確証する。これは、例えば、次のようにすればなされ得る。U2は、Gqのある元 aをU1に転送する。ここでaは、Zqの無作為に選択されたある数wに対して、 gwに等しい。U1は、ある所定の小さな領域、例えば{0、1}から無作為に選 択される挑戦cで応答し、それをU2に転送する。U2はclogg2+w mo d q(以下rと表記する)で応答しなければならない。この応答の正確さは、 gr2 -cがaに等しいかどうかを検証することによって、U1が検証することが できる。この三手の折衝は、意味のある回数、繰り返される。もしU2が常に正 しく応答するならば、かれはlogg2を知っているに違いない。したがって、 名簿の項目がCAによって証明されたものであることが、確証される。本技術に おいて周知のように、これは零知識手続きである。U1の確認は転送されること ができない。この手続きの実行の写しは、区別できない確率分布の下で、公共キ ー名簿中の項目と共に、生成することが実際上可能である。 1.2.第一の典型的証明書発行手続き 証明書発行手段 :上述した秘密キー証明書を発行するための、種々の、証明書発 行手続きを、以下に説明する。前と同様、顕在性のため、これらの手続きの各々 において、Uのキー対は最も単純な形式、すなわち、Uの秘密キーはZqのある 数x、それに対応する公共キーhはgxに等しいものとする。通常の技能を持つ 者は、これらの創意的な技法を、前に述べたUの他のタイプのキー対に適応する よう、直接応用することができると信じられる。 UにしてCAによって発行される、秘密キー証明書は、Z2t×Zqにおける対 (c,r)であって、cがΠ(h,gr(h0h)-c,I)に等しいものであるこ とを想起せよ。ここで、hはUの公共キーである。 図2を参照しながら、第一の好ましい実施例における、第一の秘密キー証明書 発行手続きのフローチャートを、以下詳細に説明する。 ボックス21は先ず、CAが、Uによって用いられるよう、Zqに属する、あ る秘密キーxを生成することを示す。その第2行に示されているように、Uの、 それに対応する公共キーhは、gxに等しく取られる。本技術に関する通常の技 能を持つ者に明らかであろうが、代わりに、xはUによって生成され、それから CAに通報されてもよい。あるいはまた、UとCAが協力して、例えば、xが互 いに無作為であるようにして、xを生成してもよい。 ボックス22は先ず、CAが、Zqのある数wを無作為に生成することを示す 。第2行は、CAがgwを計算することを示す。このgwは以下aと表す。第3と 第4行は、CAがH(h,a,I)とc(x0+x)+w mod qを計算する ことを示す。このH(h,a,I)を以下cと表し、c(x0+x)+w mod qをrと表す。CAはそれから、第5行に述べられているように、秘密キーx と 対(c、r)をUに転送する。 ボックス23は先ず、Uが自分の公共キーhを、gxに設定することによって 、計算することを示す。第2行は、cが三つ組(h,gr(h0h)-c,I)の細 切り値に等しいかどうかを、Uが検証することを示す。 明らかに、もしこの等式が成立するならば、対(c,r)は、Uの公共キーh に関する、秘密キー証明書であり、Uが、hに対応する秘密キーを知っている。 1.3.第二の典型的証明書発行手続き 図2の証明書発行手続きにおいては、CAはUの秘密キーを知っていなければ らない。 図3を参照しながら、第一の好ましい実施例における、Uの秘密キーをCAか ら隠す、秘密キー証明書発行手続きのフローチャートを、次に詳しく説明する。 ボックス31は先ず、Uが、Zqに属するある数xを無作為に生成することを 示す。このxは彼の秘密キーとなる。第2行は、Uが、これに対応する公共キー hをgxに等しく設定することによって計算することを示す。Uはそれから、第 3行に示されているように、hをCAに転送する。 ボックス32は先ず、CAが、Zqに属するある数wを、無作為に生成するこ とを示す。第2行は、CAがgwを計算することを示す。このgwは以下aによっ て表される。第3行と4行はCAがH(h,a,I)とcx0+w mod qを 計算することを示す。これらはそれぞれcとr0で表される。第5行は、CAが この対(c、r0)をUに転送することを示す。 ボックス33は先ず、cが三つ組(h,gr00 -c,I)の細切り値に等しい かどうかを、Uが検証することを示す。第2行に示されているように、もしそう である場合には、Uはr0+cx mod qを計算する。これはrと表される。 本技術における通常の技能を持つ者によって、容易に確かめられるように、対 (c,r)は、公共キーhに関するある秘密キー証明書であり、Uは、hに対応 する秘密キーを知っている。 この典型的な手続きにおいては、秘密キーxは、Uによって自由に選択される 。本技術における通常の技能を持つ者に明らかであろうように,CAは、Uの秘 密 キーを無作為化する事ができる。このためには、例えば、CAは、ボックス32 において、hの代わりにhgx'を使う。ここで、x’は、CAによってZqから 無作為に選択され、CAがhを受け取った後にのみ、Uに知らせられる(さらに 、CAは、Uがhを明らかにする前に、x’についての約束を転送するように依 頼されることができる)。この場合には、Uの秘密キーはx+x’mod qに 等しい。 1.4.第三の典型的証明書発行手続き 同じ公共キーに関する多くの秘密キー証明書(c,r)が存在するので、CA は特定のものを選択し、内部者によって解読されることができるように、その中 の情報を符号化するかもしれない。 図4を参照しながら、第一の好ましい実施例における、CAから秘密キーを隠 し、裏口チャンネルを防止する、秘密キー証明書発行手続きの、フローチャート を、これから詳しく説明する。 ボックス41は先ず、CAが、Zqのある数w0を無作為に生成することを示す 。第2行は,CAがgw0を計算することを示す。このgw0は以下、さらなる参照 のため、a0と表わされる。第3行は、CAがa0をUに転送することを示す。 ボックス42は先ず、Uが、Zqのある数xを無作為に生成することを示す。 このxは彼の秘密キーとなる。第2行は、Uが、それに対応する公共キーhを、 gxに等しくなるように設定することによって計算する。第3行は、Uが、Zqの ある数wを無作為に生成することを示し、第4行は、Uが、gwを計算すること を示す。これはaと表される。最後に、第5行に記述されているように、Uが対 (h,a)をCAに転送する。 ボックス43は先ず、CAがH(h,a0a,I)を計算することを示す。こ れは、さらなる参照のため、cと表される。第2行は、CAがcx0+w0 mo d qを計算することを示す。これはr0と表される。第3行に記述されているよ うに、CAはそれから、r0をUに転送する。 ボックス44は先ず、Uが、CAがボックス43の第1行で行ったように、c を計算することを示す。第2行は、aa0がgr00 -cに等しいかどうかを、Uが 検証することを示す。第3行が示すように、このことが成立する場合には、Uは 、r0+cx+w mod qを計算する。これはrと表される。 本技術における通常の技能を持つ者によって容易に確かめられるように、対( c,r)は、公共キーhに関する、ある無作為化された秘密キー証明書であり( CAはその中のどんな情報も復号化することができないことを、意味する)、U は、hに対応する秘密キーを知っている。 本技術における通常の技能を持つ者に明らかであろうが、Uは、ボックス42 において、aの代わりに、wをCAに転送することもできる。CAは、そのとき 、ボックス43において、cx0+w0+w mod qそのものを計算することが できる。それに対して、Uは、cx mod qのみを加えなければならない。 1.5.第四の典型的証明書発行手続き これまで説明してきた発行手続きにおいては、CAは、Uの公共キーを知って いる。公共キー名簿の普通の利用にとって、これは通常、定義から導かれる実状 である。なぜなら、そのような利用をする誰もが、この公共キーをUと結びつけ ることができるからである。 信任状転送のための暗号学的機構においては、しかしながら、公共キー名簿は 一切使われない。ある信任状を表現する情報は、この信任状の所有者がその所有 をある受取人に示したいときには、この所有者によってのみ示される。一般的に 用いられている機構においては、ある公共キーと、この公共キーに関する公共キ ー証明書が転送される。Uの公共キーに対応する、秘密キーは、Uが、転送に署 名する、または、付加的な情報の所有を証明する等の、付随的な事を行えるよう にする(オンラインの機構では、Uは、秘密キーを知る必要なしに済ませるかも しれない。また公共キーは、ある通信またはそれに関する一方向細切りであり得 る)。この信任状はCAによって発行され、発行される信任状のタイプは、例え ば、CAが計算する署名のタイプによって表されることができる。CAの証明書 は、受取人に当てるこの信任状が、法律的に有効であることを証明する一方、U によって彼の秘密キーでなされる署名は、Uがこの受取人に、進んでこの信任状 を転送したということを証明する。もし転送機構が、プライバシーを保護すべき ものならば、CAは、この公共キーとこの証明書が何であるかを知っていなけれ ばならない。なぜなら、これらは転送されるとき明るみになるからである。 さて、図5に移って、第二の好ましい実施例における、完全に隠蔽される秘密 キー発行手続きのフローチャートをこれから詳しく説明する。 今までの図におけるフローチャートと違って、文字列Iは、もしそれが、彼の 名前のような、Uに関する情報を明らかにするならば、勿論、hおよびaといっ しょに細切れにされてはならない。そうでなければ、証明書発行手続きを隠蔽す る意味が全然無いだろう。Uが受け取った情報をさらに転送したいその相手先の 当事者を示す様な、文字列Iを、Uが細切りすることを、CAは要求するかもし れないが、都合のため、文字列Iは以後、省略される。 ボックス51は先ず、CAが、Zqのある数w0を無作為に生成することを示す 。第2行は、CAがgw0を計算することを示す。このgw0は以下、さらなる参照 のため、a0と表わされる。第3行に示されているように、CAはそれからa0を Uに転送する。 ボックス52は先ず、Uが、Zqのある数xを無作為に生成することを示す。 このxは彼の秘密キーとなる。第2行は、Uが、それに対応する公共キーhを、 gxに等しくなるように設定することによって、計算するすることを示す。第3 行は、Uが、Zqのある二つの数t,uを無作為に生成することを示す。これら の乱数を使って、第4行は、Uが、a0t0 uを計算することによって、いかに a0を隠すかを示す。この数はさらなる参照のため、aと表される。第5行は、 UがH(h、a)を計算することを示す。これはcと表される。Uは、第6行に 記述されているように、c+u mod qを計算しこのcを隠蔽する。この計算 した数は、さらなる参照のため、c0と表される。第7行に示されているように 、Uはそれから、c0をCAに転送する。 ボックス53は先ず、CAが、c00+w0 mod qを計算することを示す 。これはさらなる参照のためr0と表わされる。第2行に示されているように、 CAはそれからr0をUに転送する。 ボックス54は先ず、Uが、gr00 -c0がa0に等しいかどうか検証すること を示す。第2行に示されているように、このことが成立する場合には、Uは、r0 +cx+t mod qを計算する。これはrと表される。 1.6.第五の典型的証明書発行手続き これまで説明してきた証明書発行手続きは、Uによって用いられることができ る、様々な程度の無作為化を、織り込んだ技法を、実質的には表明している。 特に価値のある無作為化は、Uが、完全に公共キーおよび秘密キー証明書を隠 蔽することができるものである。そこでは、CAは、この対に関して何の情報も 得ることができないが、Uも、この公共キーに対応する秘密キーを完全に隠蔽す ることはできない。より具体的には、Uの秘密キーは、少なくとも二つの数から なるベクトルであり、Uは、このベクトルの数たちの前もって決定された非定数 関数を、隠蔽することはできない。このような発行手続きはひとつの制限的隠蔽 署名手続きであり、例えば、特許出願・出願番号PCT/NL94/00179 において記述され請求されているものである。 この技法の恩恵は、Uが、CAによる事後の探索を、可能にすることなく(公 共キーと証明書は完全に隠蔽されているので)、信任状(制限的隠蔽署名手続き を実行し、秘密キー、照合する公共キー、そしてこの公共キーに関する秘密キー 証明書を、検索することにより、得られる)を示すことができる一方、手続きの 適切な提示は(このためには、Uは、彼の秘密キーを使って、さらなる作用を実 行しなければならない),Uが実行することのできる作用の範囲を、限定するこ とができる、ということである。特許出願・出願番号PCT/NL94/001 79においては、制限的隠蔽発行手続きを実行することによって得られる、信任 状を転送するための幅広い種々の技法が、記述され請求されている。 さて、図6に移って、第一の好ましい実施例のための、制限的隠蔽秘密キー証 明書発行手続きの第一のフローチャートを、詳しく説明する。この手続きはまた 、特許出願・出願番号PCT/NL94/00179において記述され請求され ているが、評価されるように、この手続きが、一つの制限的隠蔽秘密キー証明書 発行手続きであることを明白に示すために、ここに含められている(本記法を使 って)。 Uのキー対は、これまで使われてきたものとは異なわなければならない。なぜ なら、この秘密キーは少なくとも二つの数からなるベクトルであるからである。 具体性のため、次の選択が行われる。Uの秘密キーはZq×Zqの一対(x,I) であって、gx1 Iがhに等しいものである。ここで、CAは、Zqのある(秘密 の)数yを無作為に生成し、g1をgyに設定することによって、g1を生成する 。本技術における通常の技能を持つ者に明らかであろうように,このことは、C A以外の当事者がlogg1を計算することが、実際上不可能であることを意味 する。 この対の第二の数Iは、CAによって、証明書発行手続きの間、Uの秘密キー に符号化される。UはIを修正することはできないけれども、自分で、Zqのx を無作為に生成することができる。ここで、実質的には、hはGqから、Iとは 独立に、無作為に生成される。すでに述べたように、数IはUの身分証明に関連 しているかもしれないが、信任状の仕様のような無関係な情報を含んでいるかも しれない。 ボックス61は先ず、CAが、Zqのある数w0を、無作為に生成することを示 す。第2行は、CAが、gw0を計算することを示す。このgw0は以下、さらなる 参照のため、a0と表わされる。第3行に示されているように、CAはそれから 、a0をUに転送する。 ボックス62は先ず、UがZqのある数xを生成することを示す。対(x,I )は彼の秘密キーとなる。第2行は、Uが、それに対応する公共キーhを、gx 1 Iに等しくなるように設定することによって計算することを示す。さらに、第 3行に示されているように、Uが、Zqのある二つの乱数t,uを生成する。こ れらの乱数は、隠蔽されたrとcを得るために使われる。第4行は、Uが、a0 t(h01 Iuを計算することを示す。この数は、さらなる参照のため、aと 表される。第5行に示されているように、Uはそれから、H(h、a)を計算す る。これはcと表される。第6行は、Uがc+u mod qを計算する事を特定 している。これはc0と表される。第7行に示されているように、Uは、それか らc0をCAに転送する。 ボックス63は先ず、CAが、c0(x0+yI)+w0 mod qを計算する ことを示す。これは、さらなる参照のため、r0と表わされる。第2行に示され ているように、CAはそれから、r0をUに転送する。 ボックス64は先ず、Uが、gr0(h01 I-c0がa0に等しいかどうかを、 検証することを示す。第2行に示されているように、このことが成立する場合に は、Uは、r0+cx+t mod qを計算する。これはrと表される。 本技術における通常の技能を持つ者によって、容易に確かめられるように、対 (c,r)は、Uの公共キーhに関する、ある秘密キー証明書であり、Uはhに 対応するある秘密キーを知っている。Uは、hと(c,r)を完全に隠蔽したけ れども、この秘密キーを完全に隠蔽することは、実際上不可能である。すなわち 、Uのこの秘密キーは対(x,I')であり、gx1 I'がhに等しく、もし(c 、r)がhに関するある秘密キー証明書であるならば、I'は、qを法として、 Iに等しいところのものである。ここで、Iは、ボックス63において、CAが その応答r0へ符号化したものである。 1.7.二つ以上の受け取り当事者 評価されるだろうように、図6に示されている手続きはまた、この秘密キー証 明書を、Uおよび付随的な第三の当事者Τに対して発行するときにも、使われる 。ただし、このΤは、次のように、本質的にCAの管理下にあるものである。す なわち、Uは、この公共キーおよびこの公共キーに関するこの秘密キー証明書を 知るようになり、この公共キーに対応するこの秘密キーは、UとΤによって、そ ののどちらも単独には決定することができないように、共有されるということで ある。この目的のために、CAは最初に、IをΤに知らせるが、Uには知らせな い。Uに対してはg1 Iだけを通報する。図6に示されている手続きは、全くその ままである。しかし今や、Uは、引き続く証明書提示手続きにおいて、署名のみ を計算することができる、あるいは、Τが協力するとき、この秘密キーに関する 知識を証明することができる。なぜなら、ΤはIを知っており、Uはxを知って おり、証明済みのこの公共キーはgx1 Iであるからである。評価されるであろ うように、CAが、IのみをΤに知らせる、初期設定によって、Τは、必ずしも この秘 密キー証明書発行手続きに参加する必要はない。特許出願・出願番号PCT/N L94/00179においては、次のような、引き続く証明書提示手続きを導く 技法が、詳述され請求されている。すなわち、ΤとUが、異なった挑戦に対して 、少なくとも二度、提示手続きを行うとき、Iが計算されることができるか、ま たは、UとΤが何度提示手続きを行っても、Iは決して計算されることができな い、ような手続きである。 証明書が、上のパラグラフにおいて述べたように、発行される場合における、 証明書発行手続きの他の修正は、本技術における通常の技能を持つ者に明らかで あろう。そのような修正の一つは、図6において、g1がgに等しく取られるこ とである(それに対応して、yは1に等しい)。その場合には、Τは発行手続き の終わりにIを知り、Uはxを知り、証明された公共キーはgx+Iに等しい。評 価されるだろうように、結果として実施される、発行手続きは、実質的には、図 5に記述されているものである。ただし、CAの役割は、今や、CAとΤによっ て演じられる。秘密キーx0を使う代わりに、彼らの秘密キーは、今や、x0+I mod qである。 2.第二の典型的秘密キー証明書 これまで説明してきた典型的なフローチャートの各々は、発行手続きの個別な タイプを明らかにしている。発行される秘密キー証明書は、これらすべてのフロ ーチャートにおいて同じである。 前に述べたように、一般構成技法は、ファイアット/シャミルタイプの他のど の署名概型にも同様に適用されることができる。これまで提供してきた詳細な説 明は、本技術における通常の技能を持つ者が、一般構成技法を、他のファイアッ ト/シャミルタイプの署名に、直接応用することを可能にするけれども、例示的 目的のため、一般構成技法を、幾つかの他のファイアット/シャミルタイプの署 名に応用してみることにする。これらの証明書のための、発行手続きについては 、一切述べない。なぜなら、本技術における通常の技能を持つ者が、図2から6 の創意的な技法を、これら新しい証明書に応用することは、容易であると信じら れるからである(隠蔽される発行を許さないようにみえる、一つの特殊な証明書 を 除いて。これはこの特殊な証明書の説明に際して後に述べる)。 第二の好ましい実施例における、第二の典型的秘密キー証明書を、これから説 明する。これは、一般構成技法を、オカモト署名概型に応用することによって、 構成される(Okamoto,T.,"Provably secure and practical identification sc hemes and corresponding signature schemes ,"Section 6.1.Crypto'92,Lectu re Notes in computer science 740,Springer-Verlag(1993),pp.31-53を参照 せよ)。 KACのキー生成手段:CAの秘密キーは、Zq×Zqの一対(x1、x2)であ り、対応する公共キーは、Gq×Gqにおける(g1,g2、h0)であり、g1,g2 はGqのジェネレータであり、h0はg1 x12 x2を表す。好ましくは、x1をx2 はZq内において一様に乱数として選ばれ、g1とg2はGq\{1}から一様に乱 数として選ばれる。 三つ組(g1、g2、h0)とGqの説明は、CAによって一般に公開される。C Aはまた、ある細切り関数Hを公開する。Hの値域は、例えば、ある適切な安全 パラメーターtについて、Z2tに含まれる。この関数は、オカモト署名概型を安 全にすると信じられる要件を、満たすべきである。好ましくは、Hは衝突しない ことである。 証明書検証手段:Uの、Gqにおける、公共キーhに関する、秘密キー証明書 は、Z2t×Zq×Zqにおける三つ組(c,r1、r2)であって、cがH(h,g1 r12 r2(h0h)-c,I)に等しいものである。 この秘密キー証明書は、代わりに、Gq×Zq×Zqにおける三つ組(a,r1、 r2)とすることもできる。この場合には、g1 r12 r2(h0h)-cがaに等しけ れば、この三組がhに関する秘密キー証明書である。ここで、cはH(h,a, I)として計算される。 この証明書は、実質的には、公共キーh0hに対応する一つの秘密キーでなさ れる、hへのオカモト署名である。 Uのキー生成手段:第一の好ましい実施例のための第一の秘密キー証明書に関 して、前に提供したキー対の議論が、ここでも同様に適用される。(この技術 における通常の技能を持つ者に明らかであろうように、都合上ここで選ばれた記 号、g1、g2、x1、x2は、そのときの議論における記号を意味しない)。 証明書発行手段:本技術における通常の技能を持つ者は、(a)図2から6の 発行手続き、および(b)Uと付随的な当事者Τに対して秘密キー証明書を発行 するための、あの創意的な技法のために、それらの創意的な技法を直接応用して 、本秘密キー証明書のための、同様の証明書発行手続きを構成することができる と信じられる。 3.第三の典型的秘密キー証明書 一般構成技法を、ブリッケル/マッカーリー署名概型に応用することによって 構成される、第一の好ましい実施例における、第三の典型的秘密キー証明書を、 以下詳しく説明する(Brickell,e.and Mccurley,K.,"An interactive identif ication scheme based on discrete logarithms and factoring ,"Journal of Cr yptology,Vol.5,no.1(1992),pp.29-39を参照せよ)。 本技術において周知のように、ブリッケル/マッカーリー技法は、シュノルと オカモト両者の署名概型に適用されることができる。この技法は、群Gqの位数 qが、Uに知られないままにするよう保証することからなる。代わりに、シュノ ルまたはオカモト概型における、qを法として行われる計算は、qの大きな倍数 計算によって置き換えられる。この目的のために、その記述において、Gqは、 Zp *の位数qの一意的な部分群と仮定される。ここでpは、p−1がqの倍数で あるような素数であり、p−1は、qの大きさに比べられるような、もう一つの 約数を持っているようなものである(これはp−1の効率的な因数分解を防ぐた めである)。CAのみがqを知っていて、その内部使用のための計算を早める。 顕在性のために、シュノル署名概型への応用を、以下では仮定する。 KACのキー生成手段:これは、第一の秘密キー証明書に関するものと同じで ある。唯、今回は、Gqが上に述べたような特別の形式であり、qは一般に公開 されない。CAさえもqを知らない場合に備えて、x0はZp-1から無作為に選択 される。 証明書検証手段:Uの、Gqにおける、公共キーhに関する、秘密キー証明 書は、Z2t×Zp-1における対(c,r)であって、cがH(h,gr(h0h)- c ,I)に等しいものである。 第一の秘密キー証明書と同じく、この秘密キー証明書は、代わりに、Gq×Zp -1 における対(a,r)とすることもできる。 Uのキー生成手段:第一の好ましい実施例における、第一の秘密キー証明書に 関して、前に提供したキー対の議論は、ここでも同様に適用される。ただし、U の秘密キー(あるいは、一般型においては、秘密キーにおける各要素の数)は、 Zp-1から選ばれるという違いはある。 証明書発行手段:再び、(a)図2から6の発行手続き、および(b)Uと付 随的な当事者Tに対して秘密キー証明書を発行するためのあの創意的な技法のた めに、それらの創意的な技法を直接応用して、本秘密キー証明書のための、同様 の証明書発行手続きを構成することは容易なことである。ここでは、qを法とし て行われるすべての計算は、p−1を法とする計算に置き換えられなければなら ない(もしCAがqを知っているならば、勿論、CAはやはりZp-1のwに対し て、gwを計算することができる)。 4.第四の典型的秘密キー証明書 一般構成技法をDSAに応用することによって構成される、第一の好ましい実 施例における第四の典型的秘密キー証明書を、以下詳しく説明する(NIST,“Spe cifications for a digital signature standard(DSS) ,”Federal information Proocessing Standards Pub.(draft),Aug.19,(1991)を参照せよ)。 KACのキー生成手段:CAの秘密キーはZqのある数x0であり、対応する公 共キーは、Gq×Gqにおける(g、h0)である。ここでgはGqの生成元であり 、h0はgx0を表す。 対(g、h0)とGqの説明はCAによって一般に公開される。CAはまた、あ る細切り関数Hを公開する。Hの値域は、例えば、ある適切な安全パラメーター tについて、Z2tに含まれる。この関数は、DSAを安全にすると信じられる要 件を、満たすべきである。 証明書検証手段:Uの、Gqにおける、公共キーhに関する、秘密キー証明 書は、Zq×Zqにおける対(a,r)であって、gcr-1(h0h)ar-1 modq がaに等しくなるものである。ここで、cはH(h,I)を表す。 Uのキー生成手段:第一の好ましい実施例における、第一の秘密キー証明書に 関して、前に提供したキー対の議論は、ここでも同様に適用される。 証明書発行手段:本技術における通常の技能を持つ者は、図2の発行手続きを 直接修正して、本秘密キー証明書のための、同様の証明書発行手続きを、構成す ることができるものと信じられる。この特別の実現に関して、次のことに注意し ておくことは重要である。すなわち、本申請に記述されている、他の秘密キー証 明書とは違って、図3から6の発行手続きと同様の発行手続きを、どのようにし て構成するかは、明らかでない。 5.第五の典型的秘密キー証明書 一般構成技法のある種の変形が同様に使用できることを、これから明らかにす る。一般構成技法のひとつの変形を、シュノル署名概型に応用することによって 構成される、第一の好ましい実施例における、第五の典型的秘密キー証明書を、 以下詳しく説明する。 KACのキー生成手段:これは、第一の秘密キー証明書に関するものと同じで ある。 証明書検証手段:Uの、Gqにおける、公共キーhに関する、秘密キー証明書 は、Z2t×Zqにおける対(c,r)であって、cがH(h,gr-c、I)に等 しいものである。 この秘密キー証明書は、代わりに、Gq×Zqにおける対(a,r)であって、 gr-cがaに等しいものとすることもできる。ここで、cはH(h,a,I) として計算される。 この秘密キー証明書は、一般構成技法を応用することによって、シュノル身分 証明概型から構成されないようである。というのは、公共キーh0が検証関係か ら消えてしまっているようだからである。しかし、今回は、h0は、Uによって 使われるキー対の定義に現れなければならない。言い換えれば、単に、一般構成 技法のわずかな変形が応用されたのである。Uのキー生成手段:一般に、この修正された秘密キー証明書が、安全である ない。ここで、無作為に選択される元giのどれも、g(またはgの公に知られ ている累乗)に等しくない。第一の秘密キー証明書と同じく、g1,...,gk は、無作為に選択されるGqの生成元であり、g,h0、そしてGq及びHの説明 と共にCAによって出版される。 実際には、キー対の、より簡単な形式を使いたいかもしれない。最も簡単な形 式は、Uの秘密キーがGqの元xであり、公共キーhが(h0xに等しく、hが 1に等しくない場合におけるものである。他の簡単な形式は、Uの秘密キーが対 (x1、x2)であり、hがg1 x10 x1に等しい場合におけるものである。 第一の好ましい実施例における、第一の秘密キー証明書のために提供されたす べての発行技法を、この修正された秘密キー証明書のための発行手続きを構成す るために、直接応用するすることができることを明らかにするために、この修正 された秘密キー証明書のための、その実現が最も困難なタイプの発行手続きをこ れから説明する。 さて、図7に移って、第一の好ましい実施例のための、制限的隠蔽秘密キー証 明書発行手続きの第二のフローチャートを詳しく説明する。 Uの秘密キーはZq×Zqの一対(x,I)であって、公共キーhはg1 x0 Iに 等しい。前のフローチャートにおけると同じく、CAは、Zqのある(秘密の) 数yを無作為に生成し、g1をgyに設定することによって、g1を生成する。本 手続きにおいてUによって行われる隠蔽は、前の手続きにおけるものとは異なる が、その制限性はやはり成立する。CAがUの秘密キー(x,I)に符号化する 数はI/x mod qである。 前の、フローチャートにおけると同じく、本発行手続きの開始に当たって、C Aは、Zqの数Iに関して決定を行う。そしてこのIは、CAによって、証明書 発行手続きの間、Uの秘密キーに符号化される。 ボックス71は先ず、CAが、Zqのある数w0を無作為に生成することを示す 。0と表わされる。第3行に示されているように、CAはそれから、a0をUに転 送する。 ボックス72は先ず、UがZqのある数xを生成することを示す。対(x,I x mod q)は彼の秘密キーとなる。第2行は、Uが、それに対応する公共キ ーhを、(h01 Ixに等しくなるように設定することによって計算する。さら に、第3行に特定化されているように、Uが、Zqのある二つの乱数t,uを生 成する。これらの乱数は、隠蔽されたrとcを得るために使われる。第4行は、 Uが、a0 xt(h01 Ixuを計算することを示す。この数はaと表される。第 5行に示されているように、UはそれからH(h、a)を計算する。これはcと 表される。第6行は、Uがc+u mod qを計算する事を示す。これはc0と 表される。第7行に示されているように、Uはそれから、c0をCAに転送する 。 ボックス73は先ず、CAがc0(x0+yI)+w0 mod qを計算するこ とを示す。これは、さらなる参照のため、r0と表わされる。第2行に示されて いるように、CAはそれから、r0をUに転送する。 することを示す。第2行に示されているように、このことが成立する場合には、 Uは、r0+x+t mod qを計算する。これはrと表される。 本技術における通常の技能を持つ者によって、容易に確かめられるように、対 (c,r)は、Uの公共キーhに関する、ある秘密キー証明書であり、Uは、h に対応するある秘密キーを知っている。次のことが成立する。すなわち、Uのこ の秘密キーは対(x,I')であり、h0 x1 I'がhに等しく、もし(c、r)が hに関するある秘密キー証明書であるならば、I'/x mod qは、qを法と して、Iに等しいところのものである。ここで、Iは、ボックス73において、 CAがその応答r0へ符号化したものである。 第二の好ましい実施例 第二の好ましい実施例ににおいては、計算は、nを法とする乗法群Zn *におい て行われる。ここで、nは二つの相異なる大きな素数の積である。この群の位数 は、せいぜい、発行する当事者にしか知られることがないので、指数の計算は、 Zn *の位数の真の約数でない、ある数vを法として、行われる。この理由によっ て、以下に説明される、隠蔽された証明書発行手続きにおいては、div vを 含む表現が現れる。x div vはxをvで割ったときの整数部分である(任意 の自然数xはx mod v+v(x div v)に等しいことを想起せよ)。 Zn *における乗法及び除法は常にnを法として行われるので、演算子modn は常に省略される。従って、例えば、wvはwv mod nを表す。他の法演算が 行われる場合には、その法演算子は顕在的に表される(例えば、c0=c+u m od v)。もし数が群または環から選択される場合には、常に、最小の正の剰 余が意味される。例えば、w∈Rn *は、wが、nと互いに素である数の全体か らなる{1,...,n−1}の部分集合から、無作為に選択されることを意味 する(実用的には、この部分集合は{1,...,n−1}そのものとしてもよ い)。 本技術における通常の技能を持つ者に明らかであろうように、vは合成数でも 素数でもよい。 第一の好ましい実施例におけると同じく、典型的秘密キー証明書は、すべて、 ファイアット/シャミル署名概型から、一般構成技法を応用することによって、 構成される。説明の構造は、第一の好ましい実施例における説明の構造と同様で ある。すなわち、まず最初に、一つの特別のシステムの詳細な説明を、種々の発 行手続きの説明と共に発表し、続いて、一般構成技法が、どのように他のファイ アット/シャミルタイプの概型に応用されるかについて、説明する。 1.第一の典型的秘密キー証明書 一般構成技法を、ギユ/キスカテ署名概型に応用することによって、構成され る、第一の好ましい実施例における、第一の典型的秘密キー証明書を、以下詳し く説明する(Guillou,1.and Quisquater,J.,"A practical zero-knowledge protocol fitted to security microprocessor minimizing both transmission and memory ,"Lecture notes in computer Science 330,Proceedings of Eurocr ypt'88,springer-V e rlag 91989),pp.123-128を参照せよ)。 KACのキー生成手段:vをZn *の一つの元とせよ。vの都合のよい選択 は、vをφ(n)と互いに素である素数に取ることである。ここでφ(n)はZn * の元の数である。 CAの秘密キーはZn *のある数x0であり、対応する公共キーh0は、x0 vに等 しい。好ましくは、x0は、Zn *において、一様分布にしたがって無作為に選択 される。 三組(n,v,h0)はCAによって一般に公開される。CAはさらに、ある 細切り関数Hを公開する。Hの値域は、例えば、ある適切な安全パラメーターt と信じられる要件を、満たすべきであり、好ましくは、Hは衝突しないことであ る。 証明書検証手段:Uの、Zn *における、公共キーhに関する、秘密キー証明書 は、Z2t×Zn *における対(c,r)であって、cがH(h,rv(h0h)-c, I))に等しいものである。ここで、Iは、第一の好ましい実施例において述べ たものと同じであり、前と同じく、Iを含めることは、厳密には必要でない。 この秘密キー証明書は、代わりに、Zn *×Zn *における対(a,r)とするこ ともできる。この場合には、rv(h0h)-cがaに等しければ、この対がhに関 する秘密キー証明書である。ここで、cはH(h,a,I)として計算される。 本技術における通常の技能を持つ者に明らかであろうように、この秘密キー証 明書は、一般構成技法を、ギユ/キスカテ身分証明概型に応用することによって 、構成される。この証明書は、実質的には、公共キーh0hに対応する秘密キー (h0h)1/vでなされる、hへのギユ/キスカテ署名である。 Uのキー生成手段:一般形式においては、Uの秘密キーは、組(z1,... ,zk;x)であって、各ziがZvに属し、xがZn *に属し、hが(Πi=1 ki 1,...,zk;x1,...,x1)であって、hが、適当な指数viに対して 、の技能を持つ者にとって、、開示される創意的な技法を、このより一般的な形式 に応用することは、一本道のことであると信じられる。)ここで、g1,... , ものである(この条件は、nの素の約数pとqを、p−1とq−1が共に大きな 素の約数を持つようなものに取ることによって満たされる)。これらすべての数 は、n,v,h0及び、Hの説明と共に、CAによって、公に手にはいるように される。評価されるであろうように、任意の整数v1が、Uのキー対のために用 いられることができる。今後、具体性のため、v1は常にvに等しく取られる。 好ましくは、各gi(1≦i≦k)にたいして、CAは、発行手続きを導くた めに、gi 1/vを知っているべきである。公共キーh0hに対応するCAの秘密キ 実際には、キー対のより簡単な形式を使いたいかもしれない。最も簡単な形式 式とも、Uが署名を計算したり、彼の秘密キーに関する知識を証明することを許 これらの仕事のための、安全な発行手続きは、本技術において、何も知られてい ない。)図12のフローチャートに明らかにされるだろうように、この第二の形 式は、制限的隠蔽署名手続きを構成する上で、特別重要である。 証明書シミュレーション手段:本技術における通常の技能を持つ者は、次のによって、検証関係が成立するような対h、(c、r)を、誰でも、実際上生成 することができるということである。このとき、cはH(h,a,I)に等しく 、対(c,sct)はhに関する秘密キー証明書である。しかしながら、上記三 つのパラグラフにおいて説明した、キー概型の一つに従って、公共キーhに対応 する秘密キーと共に、このような対を実際に生成する能力は、ギユ/キスカテ署 名を偽造することを可能にする。 種々の証明書発行手続きのための、典型的な実施例を提供する前に、本技術に おける通常の技能を持つ者が、記述される秘密キー証明書がどのように実用的に 使用されるかを、評価するために、助けとなるよう、幾つかの例を提供する。 1.1.第一の典型的秘密キー証明書の例 される数であり、好ましくは、大きな位数を持ち、またCAによって、公に手に である。公共キー名簿から、U1は、U2の公共キーh2と文字列(c2、r2)を 安全に上記暗号化された通信をU2に転送することができる。ここで、U2は、あ る数sを無作為に生成し、対(gs、h2 sm)をU2に転送する。もしU2がmを 解読し回復することができれば,U2はlogg2を知っているに違いない(本 技術に周知のように、このことは、因数分解の仮定の下で、無作為に選択された mについて成立する)。このことは一方、U2が自分だけで(h2,(c2,r2) )を生成することは、できなかったであろうことを示す。 る公共キーhはxvに等しいものと仮定する。U2が、ギユ/キスカテ署名概型を 用いて、U1宛の、ある通信mにデジタル署名することを想定せよ。U1は、U2 から、cがH(m,rv2 -c)に等しいような、ある対(c、r)を受け取る。 2)に等しいような一対(c2、r2)とともに、掲載されているならば、U2が この署名を計算できるという事実は、U1に対して,U2のこのキー対が、CAに よって証明されたものであることを、知らせる。これら二つのの事実は、誰によ っても検証されることができ、従って、法的意義がある。 1.2.第一の典型的証明書発行手続き 証明書発行手段:上述した秘密キー証明書を、発行するための、第一の好まし い実施例において述べたものと同様の、種々の、証明書発行手続きを、以下に 説明する。顕在性のため、これらのフローチャートの各々において、Uのキー対 は、最も単単純な形式、すなわち、Uの秘密キーはZn *のある数x、それに対応 する公共キーhはxvに等しいものとする。通常の技能を持つ者は、これらの創 意的な技法を、Uの他のタイプのキー対に適応するよう、直接応用することがで きると信じられる。 図8を参照しながら、第二の好ましい実施例における、第一の秘密キー証明書 発行手続きのフローチャートを、以下詳細に説明する。本技術における通常の技 能を持つ者に明らかであろうように、この発行手続きは、図2の手続きと同じ機 能性を持っている。 ボックス81は先ず、CAがUによって用いらるよう、Zn *に属する、ある秘 密キーxを生成することを示す。その第2行に示されているように、μの、それ に対応する公共キーhは、xvに等しく取られる。 ボックス82は先ず、CAがZn *のある数wを無作為に生成することを示す。 第2行は、CAがwvを計算することを示す。このwvを、さらなる参照のため、 aと表わす。第3と第4行は、CAがH(h,a,I)と(x0x)cwを計算す ることを示す。このH(h,a,I)を以下cと表し、(x0x)cwをrと表す 。CAはそれから、第5行に述べられているように、秘密キーxと対(c、r) をUに転送する。 ボックス83は先ず、Uが、自分の公共キーhを、xvに設定することによっ て、計算することを示す。第2行は、cが三つ組(h,rv(h0h)-c,I)の 細切り値に等しいかどうかを、Uが検証することを示す。 もしこの等式が成立するならば、対(c,r)は、Uの公共キーhに関する、 秘密キー証明書であり、Uは、hに対応する秘密キーを知っている。 本技術における通常の技能を持つ者に明らかであろうように、もしCAが、n の素因数分解を知るっているならば、ボックル82において、CAは、単に、Zn * の任意の数を取ることができる。勿論、v乗根が含まれるので、CAは、この 数を、Zn *のすべてのv乗の集合から、生成しなければならい。もし、例えば、 vがφ(n)と互いに素なある数の2倍であるならば、nを法とするv乗根 は、Zn *における平方剰余に対してのみ存在する。 1.3.第二の典型的証明書発行手続き 第一の好ましい実施例におけると同様、CAがUの秘密キーを知っていなけれ ばならないという必要は、Uに計算の一部を実行させることによって除かれる。 図9に移って、第二の好ましい実施例における、Uの秘密キーをCAから隠す 、秘密キー証明書発行手続きのフローチャートを、次に詳しく説明する。本技術 における通常の技能を持つ者に明らかであろうように、この発行手続きは、図3 の手続きと同じ機能性を持っている。 ボックス91は先ず、UがZn *に属するある数xを無作為に生成することを示 す。このxは彼の秘密キーとなる。第2行は、Uがこれに対応する公共キーhを xvに等しく設定することによって計算することを示す。Uはそれから、第3行 に示されているように、hをCAに転送する。 ボックス92は先ず、CAがZn *に属するある数wを、無作為に生成する。第 2行はCAがwvを計算することを示す。このwvはさらなる参照のため、aによ って表される。第3行と4行は、CAがH(h,a,I)とx0 cwを計算するこ とを示す。これらはそれぞれcとr0で表される。第5行は、CAがこの対(c 、r0)をUに転送することを示す。 ボックス93は先ず、cが三つ組(h,r0 v0 -c,I)の細切り値に等しい かどうかを、Uが検証することを示す。第2行に示されているように、もしそう である場合には、Uはr0cを計算する。これはrと表される。 本技術における通常の技能を持つ者によって、容易に確かめられるように、対 (c,r)は、公共キーhに関するある秘密キー証明書であり、Uは、hに対応 する秘密キーを知っている。 1.4.CAから秘密キーを隠すこと 第一の好ましい実施例と違って、RSA関数は落とし戸を持っている(すなわ ち、nの素因数分解)。もしCAがこの素因数分解を知っているならば、たとえ 、Uが図9の発行手続き使って、隠そうとしても、CAは常に、秘密キーを計算 することができる。それにも関わらず、UがCAから秘密キーを隠すことは意味 が ある。すなわち、複数の秘密キーが、同一の公共キーに対応し、Uがその唯一つ だけ(または対応する秘密キーのごく一部)を知っている場合である。次の例は このことを評価するために助けとなろう。 (h1、h2)は彼の公共キーである。本技術において周知のように、この公共キ 上記発効手続きの一本道の修正は、Uのため、彼の公共キー(h1、h2)に関す る秘密キー証明書を取ってやる(この証明書は、例えば、対(c、r)であって 、cが(h1,h2,rv(h01-c,I)に等しいものである)。勿論、本技 術における通常の技能を持つ者に明らかであろうように、署名の偽造を防ぐには 、署名ののための検証関係における数mは、通信そのものであることに代えて、 すくなくとも、通信と公共キーの一方向細切りに等しくなければならない。今や 、たとえCAが素因数分解を知っていても、従って、(h1、h2)に対応するす べての秘密キーを、計算することができても、Uによって知られている特別の秘 密キーを、特定することができる確率は、無視できる。本技術において周知のよ うに、この署名概型は、立会人の見分けがつかない。このことは他方、もしCA が、別の秘密キーを使って、Uの署名を偽造すれば、Uはg1 1/vを計算すること ができ、従って、CAの不正行為を証明することができることを、意味する。 もしCAが、どんな秘密キーも計算する能力を持つべきでないならば、数nは 、CAがその素因数を知らないように、生成されなければならない。この目的の ためには、nを生成する過程は、nの生成後、素因数を破棄する、信用できる安 全な装置によってか、あるいは別の信用できる当事者によって、実施されなけれ ばならない。 1.5.第三の典型的証明書発行手続き 第一の実施例におけると同様、同じ公共キーに関する、多くの秘密キー証明書 (c,r)が、存在するので、CAは特定のものを選択し、その中の情報を符号 化するかもしれない。 図10に移って、第二の好ましい実施例における、CAから秘密キーを隠し、 裏口チャンネルを防止する、秘密キー証明書発行手続きのフローチャートを、こ れから詳しく説明する。本技術における通常の技能を持つ者に明らかであろうよ うに、この発行手続きは、図4の手続きと同じ機能性を持っている。 ボックス101は先ず、CAが、Zn *のある数w0を、無作為に生成すること を示す。第2行は,CAがw0 vを計算することを示す。このw0 vは、さらなる参 照のため、a0と表わされる。第3行は、CAがa0をUに転送することを示す。 ボックス102は先ず、Uが、Zn *のある数xを、無作為に生成することを示 す。このxは彼の秘密キーとなる。第2行は、Uが、それに対応する公共キーh を、xvに等しくなるように設定することによって計算することを示す。第3行 は、Uが、Zn *のある数wを無作為に生成することを示し、第4行は、Uが、wv を計算することを示す。これはaと表される。最後に、第5行に記述されてい るように、Uが、対(h,a)をCAに転送する。 ボックス103は先ず、CAがH(h,a0a,I)を計算することを示す。 これは、さらなる参照のため、cと表される。第2行は、CAがX0 c0を計算 することを示す。これはr0と表される。第3行に記述されているように、CA はそれから、r0をUに転送する。 ボックス104は先ず、Uが、CAがボックス103の第1行で行ったように 、cを計算する。第2行は、aa0が r0 v0 -cに等しいかどうかを、Uが検証 することを示す。第3行が示すように、このことが成立する場合には、Uが、r0cwを計算する。これはrと表される。 本技術における通常の技能を持つ者によって容易に確かめられるように、対( c,r)は、公共キーhに関する、Uによって無作為化された、ある秘密キー証 明書であり、Uは、hに対応する秘密キーを知っている。 本技術における通常の技能を持つ者に明らかであろうが、Uは、ボックス10 2において、aの代わりに、wをCAに転送することもできる。CAは、そのと き、ボックス103において、x0 c0wそのものを計算する。それに対して、 Uは、今回は、xcmod nを掛けなければならない。この事は、しかしながら 、CAにとっては、別の計算コストを意味する。すなわち、CAは、今や、Zn * における、もう一つの累乗計算をしなければならない。他方、Uの計算コストは 実質的に、減少しない。 1.6.第四の典型的証明書発行手続き さて、図11に移って、第二の好ましい実施例における、完全に隠蔽される秘 密キー発行手続きのフローチャートを、これから詳しく説明する。本技術におけ る通常の技能を持つ者に明らかであろうように、この発行手続きは、図5の手続 きと同じ機能性を持っている。 第一の好ましい実施例において議論されたように、都合のため、文字列Iは、 以後、省略される。 ボックス111は先ず、CAが、Zn *のある数w0を無作為に生成することを 示す。第2行は、CAがw0 vを計算することを示す。このw0 vは、さらなる参照 のため、a0と表わされる。第3行に示されているように、CAはそれから、a0 をUに転送する。 ボックス112は先ず、Uが、Zn *のある数xを、無作為に生成することを示 す。このxは彼の秘密キーとなる。第2行は、Uが、それに対応する公共キーh を、xvに等しくなるように設定することによって、計算することを示す。第3 行は、Uが、Zn *のある数tを、無作為に生成することを示す。第4行は、Uが 、Zvのある数uを、無作為に生成することを示す。これらの乱数を使って、第 5行は、Uが、a0v0 uを計算することによって、いかにa0を隠すかを示す 。この数は、さらなる参照のため、aと表される。第6行は、UがH(h、a) を計算することを示す。これはcと表される。Uは、第7行に記述されているよ うに、c+u mod vに、このcを隠蔽する。この計算した数は、さらなる参 照のため、c0と表される。第8行に示されているように、Uはそれから、c0を CAに転送する。 なる参照のため、r0と表わされる。第2行に示されているように、CAはそれ から、r0をUに転送する。 ることを示す。第2行に示されているように、このことが成立する場合には、U は、r0cth0 c+u div vを計算する。これはrと表される。本技術における通 常の技能を持つ者に明らかであろうように、(c,r)は、Uの公共キーhに関 する、ある秘密キー証明書である。さらに、CAがこの発行手続きの実行中に見 ることができるものは、対(h、(c、r))から独立している。 1.7.第五の典型的証明書発行手続き さて、図12に移って、第二の好ましい実施例のための、制限的隠蔽秘密キー 証明書発行手続きの一つのフローチャートを、詳しく説明する。この手続きはま た、特許出願・出願番号PCT/NL94/00179において記述され請求さ れているが、評価されるように、この手続きが、一つの制限的隠蔽秘密キー証明 書発行手続きであることを、明白に示すために、ここに含められている(本記法 を使って)。本技術における通常の技能を持つ者に明らかであろうように、この 発行手続きは、図6の手続きと同じ機能性を持っている。 Uのキー対は、これまで使われてきたものとは異なわなければならない。なぜ なら、この秘密キーは、少なくとも二つの数からなるベクトルであるからである 。 密の)数yを、無作為に生成し、g1をyvに等しく設定することによって、g1 を生成する。 この対の第二の数Iは、CAによって、証明書発行手続きの間、UがIを、v を法としてIと異なる数I’に変更することができないようにするため、Uの秘 密キーに符号化される。一方、Uは、自分で、Zn *において、xを無作為に生成 することができる。したがって、実質的には、hは、Zn *から、Iとは独立 に、無作為に生成される。すでに述べたように、数Iは、Uの身分証明に関連し ているかもしれないが、信任状の仕様のような無関係な情報を含んでいるかもし れない。 ボックス121は先ず、CAが、Zn *のある数w0を、無作為に生成すること を示す。第2行は、CAがw0 vを計算することを示す。このw0 vは、さらなる参 照のため、a0と表わされる。第3行に示されているように、CAはそれから、 a0をUに転送する。 ボックス122は先ず、Uが、Zn *のある数xを生成することを示す。対(x ,I)は彼の秘密キーとなる。第2行は、Uが、それに対応する公共キーhを、 xv1 Iに等しくなるように設定することによって、計算することを示す。さら に、第3行と第4行に示されているように、Uが、Zn *のある乱数tと,Zvの 乱数Uを生成する。これらの乱数は、隠蔽されたrとcを得るために使われる。 第5行は、Uが、a0v(h01 Iuを計算することを示す。この数は、さらな る参照のため、aと表される。第6行に示されているように、Uはそれから、H (h、a)を計算する。これはcと表される。第7行は、Uがc+u mod v を計算する事を特定している。これはc0と表される。第8行に示されているよ うに、Uはそれから、c0をCAに転送する。は、さらなる参照のため、r0と表わされる。第2行に示されているように、C Aはそれから、r0をUに転送する。 検証することを示す。第2行に示されているように、このことが成立する場合に は、Uは、r0ct(h01 Ic+u div vを計算する。これはrと表される。 本技術における通常の技能を持つ者によって、容易に確かめられるように、対 (c,r)は、Uの公共キーhに関する、ある秘密キー証明書であり、Uはhに 対応する秘密キーを知っている。Uは、hと(c,r)を完全に隠蔽したけれど も、この秘密キーを完全に隠蔽することは、実際上不可能である。すなわち、U のこの秘密キーは対(x,I’)であり、xv1 I'がhに等しく、もし(c、r ) が、hに関する、ある秘密キー証明書であるならば、I’は、vを法として、I に等しいところのものである。ここで、Iは、ボックス123において、CAが その応答r0へ符号化したものである。 1.8.二つ以上の受け取り当事者 第一の好ましい実施例におけると同様、図11と12に示されている手続きは また、この秘密キー証明書を、Uおよび付随的な第三の当事者Τに対して発行す るときにも、使われる。ただし、このΤは次のように、本質的にCAの管理下に あるものである。すなわち、Uはこの公共キーとこの公共キーに関するこの秘密 キー証明書を知るようになり、この公共キーに対応するこの秘密キーは、UとΤ によって、そののどちらも単独には決定することができないように、共有される ということである。 図11に基づく、そのような可能性のある使用を、これから説明する。CAに よって、Uのために使用される秘密キーは、今やIx0である(公共キーは依然 としてx0 v)。ここで、IはΤに知られているが、Uには知られていない。Uは Ivだけを知っている。図11に記述されている、CAとUの間の発行手続きが 、それから行われる。ここで、CAは、ボックス113の第一行で、数r0を( x0 うに、Τは、この発行手続きの終わりに、Iを知っており、Uはxを知っており 、証明済みのこの公共キーは(Ix)vである。評価されるであろうように、C AがIのみをΤに知らせる初期設定によって、Τは必ずしもこの秘密キー証明書 発行手続きに参加する必要はない。特許出願・出願番号PCT/NL94/00 179においては、発行手続きに続いて、ある証明書提示手続きを導く技法が、 詳述され請求されている。 証明書が、上のパラグラフにおいて述べたようにして、発行される場合におけ る、証明書発行手続きの他の修正は、本技術における通常の技能を持つ者に明ら かであると信じられる(例えば、ΤとUが、形式g1 Ivを持った、証明済み公 共キーを、最後に手に入れるような修正)。 2.第二の典型的秘密キー証明書 第一の好ましい実施例におけると同様、他の様々の秘密キー証明書を、以下説 明する。それらの各々は、ファイアット/シャミルタイプの署名概型から、一般 構成技法を応用することによって、構成される。 第二の好ましい実施例における、第二の典型的秘密キー証明書を、これから説 明する。これは、一般構成技法を、オカモト署名技概型に応用することによって 、構成される(Okamoto,T.,"Provably secure and practical identification schemes and corresponding signature schemes ,"Crypto'92,Lecture Notes in computer science 740,Springer-Verlag(1993),pp.31-53のSection 3.2/3.3 およびSection 6を参照せよ)。 数をもつある元である。 組(g,v,h0,n)はCAによって一般に公開される。CAはまた、ある 細切り関数Hを公開する。Hの値域は、例えば、ある適切な安全パラメーターt られる要件を、満たすべきである。 しければ、この三つ組が、hに関する秘密キー証明書である。ここで、cはH( h,a,I)として計算される。 この証明書は、実質的には、公共キーh0hに対応する一つの秘密キーでなさ れる、hへのオカモト署名である。 Uのキー生成手段:第二の好ましい実施例のための、第一の秘密キー証明書に 関して、前に提供したキー対の議論が、ここでも同様に適用される。(この技術 における通常の技能を持つ者に明らかであろうように、都合上ここで選ばれた 記号、x1、x2は、そのときの議論における記号を意味しない)。 証明書発行手段:本技術における通常の技能を持つ者は、(a)図8から12 の発行手続き、および(b)Uと付随的な当事者Τに対して秘密キー証明書を発 行するためのあの創意的な技法のために、それらの創意的な技法を直接応用して 、本秘密キー証明書のための、同様の証明書発行手続きを、構成することができ ると信じられる。 3.第三の典型的秘密キー証明書 一般構成技法をファイアット/シャミル署名概型に応用することによって構成 される、第二の好ましい実施例における、第三の典型的秘密キー証明書を、以下 詳しく説明する(Fiat,A.and Shamir,A.,"How to prove yourself:practic al solutionsto identificationandsignature problems ,"Crypto'86,Springer- Verlag(1987),186-194を参照せよ)。KACのキー生成手段:CAの秘密キーは、組(x1,...,xk)であっ k)であって、各hiが(xi -12に等しいものである。(2乗の代わりに、他 の累乗を用いてもよい。) 組(h1,...,hk,n)はCAによって、公に知らされる。CAはまた、 ある細切り関数Hを公開する。Hの値域は、例えば、ある適切な安全パラメータ を安全にすると信じられる要件を、満たすべきである。 え字jは1からkまでに亙り、(ci1,...,cik)は数cの2進展開におけ ijが1に等しいようなjについての、すべての積を表す。 CAの公共キー(h1,...,hk)がベクトルh0であり、Uの公共キー( h1 ',...,hk')がベクトルhであると考えることができる。そのとき、この 秘密キーは、実質的には、ファイアット/シャミル署名概型の下で、公共キーh0 hに対応する一つの秘密キーでなされる、hへのファイアット/シャミル署名 である。ここで、ベクトル積h0hは要素ごとに(h11',...,hkk') と定義される。 Uのキー生成手段:Uのキー対はCAのそれと同じタイプである。より正確に 言えば、公共キー(h1',...,hk')に対応する秘密キーh'はベクトル( x1',...,xk')であって、(xi')-2=hi'となるものである。証明書発行手段:本技術における通常の技能を持つ者は、(a)図8から12 の発行手続き、および(b)Uと付随的な当事者Τに対して秘密キー証明書を発 行するためのあの創意的な技法のために、それらの創意的な技法を直接応用して 、本秘密キー証明書のための同様の証明書発行手続きを、構成することができる と信じられる。 4.第四の典型的秘密キー証明書 さらに、もう一つのファイアット/シャミルタイプの署名概型はファイゲ/フ ァイアット/シャミル署名概型である(Feige,U.,Fiat,A.and Shamir,a., "Zero-knowledge proofs of identity,"Journal of cryptology 1(1988),pp.7 7-94を参照せよ)。この概型はファイアット/シャミル概型の一つの修正である 。一般構成技法のこの概型への応用は、第二の好ましい実施例における、第三の 典型的秘密キー証明書の構成に、極めて類似しているので、詳しい説明はここで は省略する。再び、(a)図2から6の発行手続き、および(b)Uと付随的な 当事者Τに対して秘密キー証明書を発行するためのあの創意的な技法のために、 本秘密キー証明書のための、同様の証明書発行手続きは、直接容易に構成するこ とができる。 5.第五の典型的秘密キー証明書 第一の好ましい実施例におけると同様、一般構成技法のある種の変形を、同様 に使用できることを、これから明らかにする。一般構成技法のひとつの変形を、 シュノル署名概型に応用することによって、構成される、第二の好ましい実施例 における、もう一つの典型的秘密キー証明書を、以下詳しく説明する。 KACのキー生成手段:これは、第一の秘密キー証明書に関するものと同じで ある。 に等しいものである。 て、rv-cがaに等しいものとすることもできる。ここで、cはH(h,a, I)として計算される。 Uのキー生成手段:一般に、この修正された秘密キー証明書が安全であるた ない。(本技術における通常の技能を持つ者は、より一般的な形式(x1,.. .,xk;xk+1,z1,...,z1)であって、hが、適当な指数viに対して 、 る、位数の大きい元であり、v,h0、n、そしてHの説明と共にCAによって 出版される。せいぜい、CAはg1,...,gkの各々のv乗根を知っているべ きである。 実際には、キー対のより簡単な形式を使いたいかもしれない。最も簡単な形式 に等しくない場合におけるものである。他の簡単な形式は、Uの秘密キーが対( x 第一の好ましい実施例におけると同様、第一の好ましい実施例における、第一 の秘密キー証明書のために提供されたすべての発行技法を、この修正された秘密 キー証明書のための発行手続きを構成するために、直接応用するすることができ る。本技術における通常の技能を持つ者は、それらのフローチャートとともに、 これらの創意的な技法を研究することによって、容易にそのような応用を達成す ることができると信じられる。 代わりに、ここでは、本技術における通常の技能を持つ者が、一般構成技法を 応用する方が、本修正を応用するより有利であると評価することを、助けるため に、次の二つの点に言及しておく。 (1)本秘密キー証明書のための、制限的隠蔽秘密キー証明書発行手続きは、 図7のフローチャートと同様であるが、それについて考えよ。もし、Uの秘密キ I/x mod vはCAによって、この秘密キーに符号化される。(Uはこの商 を修正することができない)。しかしながら、この形式のUのキー対にとって、 安全な署名概型と知識の証明法は、本技術において何も知られていない。他方、 な、Uのためのキー対を使えば、CAによってこの秘密キーに符号化された情報 は、Iとxから効率よく再構成することができないと言う問題が生じる。従って 、 vに等しいような三つ組(I1,I2;x)に取らなければならない。これは、第 一の秘密キー証明書のための制限的隠蔽発行手続きにおいて用いられるキー対よ り、非能率的である。 (2) 評価されるだろうように、一般構成技法を使って構成されるシステム の安全性は、下敷きになっているファイアット/シャミル署名概型の安全性と、 より緊密に関連している。 結論 以上でもって、二つの好ましい実施例の詳しい説明を終了する。本発明の説明 は例として与えたが、様々な修正、代わりに用いられる構成、そして同等なもの は、本発明の精神と範囲から離れることなく用いられることができる。例えば、 多くの、本質的に同等な、表現を評価する順序、表現を評価する方法、フローチ ャートボックス内での移動、フローチャートボックスに作用をまとめる方法、そ して、フローチャートボックスを順序づける方法がある。ここで行われた特定の 選択は、発表における明瞭性のためである。 ある種の変形および置換は、本技術における通常の技能を持つ者に明らかであ ろう。様々のそのような変形と置換は、本文において、指摘し、時には、詳しく 説明したが、次の幾つかの例に照らして、より完全に評価されよう。 第一に、説明した典型的秘密キー証明書は、ファイアット/シャミルタイプの 署名概型から、一般的な、次のような構成技法によって、導かれる。すなわち、 Uの公共キーをhによって、CAのそれをh0によって表せば、hに関する一つ の秘密キー証明書は、実質的には、公共キーh0hに対応する一つの秘密キーで なされる、通信hへの、下敷きになっているシャミル/ファイアットタイプの一 つの署名である。第一の好ましい実施例の説明の終わりに示したように、一般構 成技法の変形もまた適用され得る。評価されであろうように、一般構成技法にお ける特定の形式h0hは、本質的ではない。例えば、1と異なる一定の整数kに 対して、形式h0kを取っても、明らかに良いだろう。一般構成技法の本質は、 秘密キー証明書が、この証明書を、実質的に、Uの公共キーへの一つの署名とす ることによって、どのファイアット/シャミルタイプの署名概型からも構成され るということである。。ここで、この署名は、下敷きになっているファイアット /シャミルタイプの署名概型の署名であり、このファイアット/シャミルタイプ の署名概型の下で、Uの公共キーとCAの秘密キーとの適当な関数である公共キ ーに対応する、一つの秘密キーでなされる、署名である。 第二に、階層的な証明書交付が、秘密キー証明書と共に、実施されることがで きる。本技術における通常の技能を持つ者に明らかであろうように、Uは他方、 一つの秘密キー証明書を、他の当事者に発行するため、彼のこの証明済みのキー 対を使うことができる。以下同様。このようにして、階層的証明書交付の樹を構 成することができる。この樹における各ノードは、一つの公共キーとこの公共キ ーに関する一つの秘密キー証明書からなると考えられる。ここで、一つの親ノー ドは、各子ノードの公共キーに関する、秘密キー証明書を発行することによって 、子ノードのキー対を証明する。この証明書は、この親ノードの公共キーに対応 する一つの秘密キーを使って計算される。もし、例えば、一つのノードに結びつ く当事者によって、解読がなされ得るならば、この当事者は、このノードの公共 キーに対応する、秘密キーを知っているに違いない。このことは、他方、このノ ー ドの秘密キー証明書が、親ノードに結びつく当事者によって証明されたことを意 味する。従って、今度は、この当事者が、親ノードの公共キーに対応する、秘密 キーを知っていることを意味する。従って、親ノードの秘密キー証明書が、親ノ ードの親ノーに結びつく当事者によって、計算されたことを意味する。以下同様 にして、ルートノードまでずっと遡る。 第三に、秘密キー証明書の技法は、安全な署名概型を構成するために用いるこ とができる。一つの通信に署名するために、署名者である当事者は、第一の秘密 キーおよび照合する第一の公共キーを持っていて、先ず、一度だけの秘密キーお よび照合する一度だけの公共キーを生成する。ここで、語「一度だけの」は、こ れらのキーが、この署名する当事者によって、一度だけ使われることを強調する ために用いる。この署名する当事者はそれから、この一度だけの公共キーに関す る秘密キー証明書を、第一の公共キーに関して計算する。署名当事者は、第一の 公共キーを知っているので、このことができる。署名当事者は、それから、この 通信に、この一度だけの公共キーに関して、署名する。署名当事者は、一度だけ の秘密キーを知っているので、このことができる。署名当事者のこの通信への署 名は、結果として、この一度だけの公共キー、この一度だけの公共キーに関する 秘密キー証明書、そしてこの一度だけの公共キーに関してなされるこの通信への 署名からなる。この署名を検証するためには、証明書検証手段が、この秘密キー 証明書を検証するために使われる。そして、この通信への署名は、一度だけの公 共キーを用いて、検証される。署名当事者は、ある通信に署名しなければならな いときは、その度ごとに、新しい一度だけの秘密キーおよび照合する一度だけの 公共キーを、独立して無作為に、生成することができる。実質的には、秘密キー 証明書発行技法を用いて、安全なデジタル署名を構成するこの方法は、前パラグ ラフにおいて明らかにした、階層的証明書交付の例において応用されたものと同 じである。 さらに、本技術における通常の技能を持つ者にとっては、ここで明らかにした 創意的な技法と手続きの一部が、いかに有効に用いられるかも、明らかであろう 。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,DE, DK,ES,FR,GB,GR,IE,IT,LU,M C,NL,PT,SE),OA(BF,BJ,CF,CG ,CI,CM,GA,GN,ML,MR,NE,SN, TD,TG),AP(KE,MW,SD,SZ,UG), AM,AU,BB,BG,BR,BY,CA,CN,C Z,EE,FI,GE,HU,IS,JP,KG,KP ,KR,KZ,LK,LR,LT,LV,MD,MG, MN,MX,NO,NZ,PL,RO,RU,SG,S I,SK,TJ,TM,TT,UA,UG,US,UZ ,VN

Claims (1)

  1. 【特許請求の範囲】 1.第一の当事者が、秘密キー証明書と呼ばれる証明書を、第二の当事者に対し て発行する暗号学的方法であって、この方法が、 上記第一の当事者による使用のために、少なくとも部分的に上記第二の当事者 に知られない第一の秘密キー、およびそれに対応する第一の公共キーを生成す るステップ、 上記第二の当事者による使用のために、第二の秘密キー、およびそれに対応す る第二の公共キーを生成するステップ、 ある証明書発行手続きにおいて、上記第一の当事者によって、上記第二の当事 者に対して、公に検証可能な関係に従って、上記第二の公共キーに対応する、 秘密キー証明書を発行するステップであって、この秘密キー証明書が、第一の 当事者による上記第二の秘密キーへのデジタルな署名であり、上記第二の当事 者が、実際上、上記第一の当事者の援助なしに、公共キー達及びそれらにに対 応する秘密キー達を生成することが可能なステップ、 からなる方法。 2.上記第二の公共キー、それに対応する上記秘密キー証明書、および、上記第 二の当事者に関する情報が、ある公共キー名簿に掲載される、請求項1に記載の 方法。 3.上記第二の当事者が、上記第二の秘密キーを用いて、デジタルな署名をする こと、公共キー概型に従って、上記第二の公共キーに対応する、一つの秘密キー の知識を、上記第二の秘密キーを示すことなく、証明すること、上記第二の秘密 キーで暗号化されたある通信を解読すること、または、ある公共キーに対応する 、ある秘密キーを発行することの、少なくとも一つを行う、請求項1記載の方法 。 4.上記第一の当事者が、 一度だけの秘密キー及びそれに対応する一度だけの公共キーを無作為に生成し 上記一度だけの公共キーに対応する秘密キー証明書を、上記第一の秘密キーを 適用することによって計算し、 上記通信への、上記一度だけの公共キーに関する、デジタルな署名を、上記一 度だけの秘密キーを適用することによって、計算することによって、 第三の当事者宛の通信に署名し、上記第一の当事者による、上記通信への上記 のデジタルな署名が、上記一度だけの公共キー、上記一度だけの公共キーに対 応する上記秘密キー証明書、および上記一度だけの公共キーに関してなされた 、上記通信への上記のデジタルな署名からなる、請求項1記載の方法。 5.上記第二の当事者が上記証明書発行手続きにおいて、上記第二の秘密キーを 、上記第一の当事者に明らかにしない、請求項1記載の方法。 6.上記第二の当事者が、上記証明書発行手続きにおいて、上記第二の秘密キー 、上記第二の公共キー、及び対応する上記秘密キー証明書を隠蔽する、請求項1 記載の方法。 7.上記第二の当事者が、上記証明書発行手続きにおいて、上記第二の公共キー 、及び対応する上記秘密キー証明書を隠蔽するが、上記第二の秘密キーの前もっ て決定された非定数関数を隠蔽しない、請求項1記載の方法。 8.上記第二の当事者が、第一の当事者の利益のために行動する第一の部分当事 者、および、第二の部分当事者からなり、上記第二の秘密キーが、これら二つの 部分当事者のいずれに対しても知らされない、請求項1記載の方法。 9.上記秘密キー証明書が、上記第一の公共キーと上記第二の公共キーのある組 み合わせであるところのある公共キーに関してなされる、ファイアット/シャミ ルタイプのデジタルな署名キーである、請求項1記載の方法。 10.上記のデジタルな署名がシュノルのデジタル署名である、請求項1記載の 方法。 11.上記第二の秘密キーが、上記第二の当事者の資格及び信用性の集まりを表 現する、請求項1記載の方法。 12.上記秘密キー証明書が、上記第一の当事者によって上記第二の当事者に対 して発行される、信任状を表現する、請求項1記載の方法。 13.第一の当事者が、秘密キー証明書と呼ばれる証明書を、第二の当事者に対 して発行する、暗号学的システムを実施するための装置であって、 少なくとも一つの安全パラメーターが入力として与えられたとき、第一の当事 者よって使用されるために、第一の秘密キー及びそれに照合する第一の公共キ ーからなる一対を、出力する第一キー生成手段、 少なくとも一つの安全パラメーターが入力として与えられたとき、第二の当事 者によって使われる、第二の秘密キー及びそれに照合する第二の公共キーから なる一対を、出力する第二キー生成手段、 上記第一の公共キー、および、第三の公共キーとこの第三の公共キーに対応す る仮定的な秘密キー証明書からなる一対が、入力として与えられたとき、上記 仮定的な証明書が、上記第三の公共キーに対応するかどうかに依存して、それ ぞれ、肯定的または否定的に応答する、証明書検証手段、 上記第一の秘密キー、および上記第二の秘密キー、および上記第二の公共キー が、入力として与えられたとき、上記第二の公共キーに対応する一つの秘密キ ー証明書を出力する、証明書発行手段であって、この秘密キー証明書が、上記 第一の当事者による上記第二の秘密キーへのデジタルな署名である証明書発行 手段、および 第一の公共キーが入力として与えられたとき、第四の公共キーおよびこの第四 の公共キーに対応する秘密キー証明書を出力する、証明書シミュレーション手 段であって、この証明書シミュレーション手段の出力の確率分布は、一つの公 共キーが上記第二キー生成手段によって生成され、それに対応する秘密キー証 明書が上記証明書発行手段によって生成されるときに成立する確率分布から、 本質的に区別不可能である、証明書シミュレーション手段、 からなる装置。
JP51311896A 1994-10-14 1995-10-12 秘密キー証明書 Ceased JP2002515128A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US08/321,855 US5606617A (en) 1994-10-14 1994-10-14 Secret-key certificates
US08/321,855 1994-10-14
PCT/NL1995/000350 WO1996012362A2 (en) 1994-10-14 1995-10-12 Secret-key certificates

Publications (1)

Publication Number Publication Date
JP2002515128A true JP2002515128A (ja) 2002-05-21

Family

ID=23252322

Family Applications (1)

Application Number Title Priority Date Filing Date
JP51311896A Ceased JP2002515128A (ja) 1994-10-14 1995-10-12 秘密キー証明書

Country Status (11)

Country Link
US (1) US5606617A (ja)
EP (1) EP0786178B1 (ja)
JP (1) JP2002515128A (ja)
AT (1) ATE211870T1 (ja)
AU (1) AU705406B2 (ja)
CA (1) CA2200592A1 (ja)
DE (1) DE69524968D1 (ja)
DK (1) DK0786178T3 (ja)
ES (1) ES2170167T3 (ja)
PT (1) PT786178E (ja)
WO (1) WO1996012362A2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012253589A (ja) * 2011-06-03 2012-12-20 Nippon Telegr & Teleph Corp <Ntt> 多重暗号化鍵配送システム、多重暗号化鍵配送方法、プログラム
JP2013140402A (ja) * 2003-10-28 2013-07-18 Certicom Corp 公開鍵を検証可能に生成する方法及び装置

Families Citing this family (216)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5668878A (en) * 1994-02-28 1997-09-16 Brands; Stefanus Alfonsus Secure cryptographic methods for electronic transfer of information
WO1996031034A1 (en) * 1995-03-27 1996-10-03 Stefanus Alfonsus Brands System for ensuring that the blinding of secret-key certificates is restricted, even if the issuing protocol is performed in parallel mode
WO1997002679A1 (en) * 1995-06-30 1997-01-23 Stefanus Alfonsus Brands Restritedly blindable certificates on secret keys
US5638445A (en) * 1995-09-19 1997-06-10 Microsoft Corporation Blind encryption
US7822989B2 (en) * 1995-10-02 2010-10-26 Corestreet, Ltd. Controlling access to an area
US6766450B2 (en) * 1995-10-24 2004-07-20 Corestreet, Ltd. Certificate revocation system
US6487658B1 (en) 1995-10-02 2002-11-26 Corestreet Security, Ltd. Efficient certificate revocation
US8015597B2 (en) 1995-10-02 2011-09-06 Corestreet, Ltd. Disseminating additional data used for controlling access
US8732457B2 (en) * 1995-10-02 2014-05-20 Assa Abloy Ab Scalable certificate validation and simplified PKI management
US7600129B2 (en) 1995-10-02 2009-10-06 Corestreet, Ltd. Controlling access using additional data
US5793868A (en) * 1996-08-29 1998-08-11 Micali; Silvio Certificate revocation system
US7716486B2 (en) 1995-10-02 2010-05-11 Corestreet, Ltd. Controlling group access to doors
US7337315B2 (en) 1995-10-02 2008-02-26 Corestreet, Ltd. Efficient certificate revocation
US6097811A (en) * 1995-11-02 2000-08-01 Micali; Silvio Tree-based certificate revocation system
US5666416A (en) * 1995-10-24 1997-09-09 Micali; Silvio Certificate revocation system
US7353396B2 (en) 1995-10-02 2008-04-01 Corestreet, Ltd. Physical access control
US5717758A (en) * 1995-11-02 1998-02-10 Micall; Silvio Witness-based certificate revocation system
US8261319B2 (en) 1995-10-24 2012-09-04 Corestreet, Ltd. Logging access attempts to an area
US5680461A (en) * 1995-10-26 1997-10-21 Sun Microsystems, Inc. Secure network protocol system and method
US6301659B1 (en) 1995-11-02 2001-10-09 Silvio Micali Tree-based certificate revocation system
US5745574A (en) * 1995-12-15 1998-04-28 Entegrity Solutions Corporation Security infrastructure for electronic transactions
US5812670A (en) * 1995-12-28 1998-09-22 Micali; Silvio Traceable anonymous transactions
US5944823A (en) * 1996-10-21 1999-08-31 International Business Machines Corporations Outside access to computer resources through a firewall
US6009173A (en) * 1997-01-31 1999-12-28 Motorola, Inc. Encryption and decryption method and apparatus
GB2321741B (en) * 1997-02-03 2000-10-04 Certicom Corp Data card verification system
US5920630A (en) * 1997-02-25 1999-07-06 United States Of America Method of public key cryptography that includes key escrow
DE69720971T2 (de) * 1997-05-28 2003-10-30 Siemens Ag Computersystem und Verfahren zum Schutz von Software
US6229894B1 (en) * 1997-07-14 2001-05-08 Entrust Technologies, Ltd. Method and apparatus for access to user-specific encryption information
DE19748954A1 (de) * 1997-10-29 1999-05-06 Francotyp Postalia Gmbh Verfahren für eine digital druckende Frankiermaschine zur Erzeugung und Überprüfung eines Sicherheitsabdruckes
US6411715B1 (en) * 1997-11-10 2002-06-25 Rsa Security, Inc. Methods and apparatus for verifying the cryptographic security of a selected private and public key pair without knowing the private key
US6453416B1 (en) * 1997-12-19 2002-09-17 Koninklijke Philips Electronics N.V. Secure proxy signing device and method of use
DE19801241C2 (de) 1998-01-12 1999-11-04 Deutsche Telekom Ag Verfahren zur Generierung asymmetrischer Kryptoschlüssel beim Anwender
US6349289B1 (en) * 1998-01-16 2002-02-19 Ameritech Corporation Method and system for tracking computer system usage through a remote access security device
JP3812123B2 (ja) * 1998-02-12 2006-08-23 富士ゼロックス株式会社 認証方法および装置
US6108644A (en) * 1998-02-19 2000-08-22 At&T Corp. System and method for electronic transactions
WO1999048243A1 (en) * 1998-03-18 1999-09-23 Kent Ridge Digital Labs A method of exchanging digital data
US6571337B1 (en) 1998-06-24 2003-05-27 International Business Machines Corporation Delayed secure data retrieval
DE19831190C1 (de) * 1998-07-11 1999-10-28 Tracto Technik Vorrichtung und Verfahren zum Längsunterteilen erdverlegter Rohre
US6243467B1 (en) 1998-07-23 2001-06-05 The United States Of America As Represented By The National Security Agency Method of elliptic curve cryptographic digital signature generation and verification using reduced base tau expansion in non-adjacent form
US6859791B1 (en) 1998-08-13 2005-02-22 International Business Machines Corporation Method for determining internet users geographic region
US6959288B1 (en) 1998-08-13 2005-10-25 International Business Machines Corporation Digital content preparation system
US7110984B1 (en) * 1998-08-13 2006-09-19 International Business Machines Corporation Updating usage conditions in lieu of download digital rights management protected content
US6389403B1 (en) 1998-08-13 2002-05-14 International Business Machines Corporation Method and apparatus for uniquely identifying a customer purchase in an electronic distribution system
US6983371B1 (en) 1998-10-22 2006-01-03 International Business Machines Corporation Super-distribution of protected digital content
US6611812B2 (en) 1998-08-13 2003-08-26 International Business Machines Corporation Secure electronic content distribution on CDS and DVDs
US6226618B1 (en) 1998-08-13 2001-05-01 International Business Machines Corporation Electronic content delivery system
RU2153191C2 (ru) 1998-09-29 2000-07-20 Закрытое акционерное общество "Алкорсофт" Способ изготовления вслепую цифровой rsa-подписи и устройство для его реализации (варианты)
RU2157001C2 (ru) 1998-11-25 2000-09-27 Закрытое акционерное общество "Алкорсофт" Способ проведения платежей (варианты)
FR2787264B1 (fr) 1998-12-15 2001-11-02 Bull Sa Procede de creation et gestion d'au moins une cle cryptographique et systeme pour sa mise en oeuvre
US6430688B1 (en) 1998-12-22 2002-08-06 International Business Machines Corporation Architecture for web-based on-line-off-line digital certificate authority
DE19961151A1 (de) 1999-01-29 2000-08-03 Ibm Verfahren zum Erstellen und Lesen eines neuen Zertifikatstyps zur Zertifizierung von Schlüsseln
US7519178B1 (en) * 1999-02-24 2009-04-14 International Business Machines Corporation Method, system and apparatus for ensuring a uniform distribution in key generation
US7814009B1 (en) 1999-05-14 2010-10-12 Frenkel Marvin A Anonymous on-line cash management system
US7461250B1 (en) * 1999-07-22 2008-12-02 Rsa Security, Inc. System and method for certificate exchange
GB9925227D0 (en) 1999-10-25 1999-12-22 Internet Limited Data storage retrieval and access system
US6834110B1 (en) 1999-12-09 2004-12-21 International Business Machines Corporation Multi-tier digital TV programming for content distribution
US7213005B2 (en) * 1999-12-09 2007-05-01 International Business Machines Corporation Digital content distribution using web broadcasting services
US7315948B1 (en) * 1999-12-10 2008-01-01 International Business Machines Corporation Time stamping method employing a separate ticket and stub
US6754815B1 (en) 2000-03-31 2004-06-22 Intel Corporation Method and system for scrubbing an isolated area of memory after reset of a processor operating in isolated execution mode if a cleanup flag is set
US6934817B2 (en) * 2000-03-31 2005-08-23 Intel Corporation Controlling access to multiple memory zones in an isolated execution environment
US7194634B2 (en) * 2000-03-31 2007-03-20 Intel Corporation Attestation key memory device and bus
US7013481B1 (en) 2000-03-31 2006-03-14 Intel Corporation Attestation key memory device and bus
US6996710B1 (en) 2000-03-31 2006-02-07 Intel Corporation Platform and method for issuing and certifying a hardware-protected attestation key
US6957332B1 (en) 2000-03-31 2005-10-18 Intel Corporation Managing a secure platform using a hierarchical executive architecture in isolated execution mode
US7356817B1 (en) 2000-03-31 2008-04-08 Intel Corporation Real-time scheduling of virtual machines
US7073071B1 (en) 2000-03-31 2006-07-04 Intel Corporation Platform and method for generating and utilizing a protected audit log
US6990579B1 (en) 2000-03-31 2006-01-24 Intel Corporation Platform and method for remote attestation of a platform
US6769058B1 (en) 2000-03-31 2004-07-27 Intel Corporation Resetting a processor in an isolated execution environment
US7111176B1 (en) 2000-03-31 2006-09-19 Intel Corporation Generating isolated bus cycles for isolated execution
US7013484B1 (en) 2000-03-31 2006-03-14 Intel Corporation Managing a secure environment using a chipset in isolated execution mode
US6760441B1 (en) 2000-03-31 2004-07-06 Intel Corporation Generating a key hieararchy for use in an isolated execution environment
US7082615B1 (en) 2000-03-31 2006-07-25 Intel Corporation Protecting software environment in isolated execution
US7089418B1 (en) 2000-03-31 2006-08-08 Intel Corporation Managing accesses in a processor for isolated execution
JP2001352321A (ja) 2000-04-06 2001-12-21 Sony Corp 情報処理システム、情報処理方法、および情報記録媒体、並びにプログラム提供媒体
US7814208B2 (en) 2000-04-11 2010-10-12 Science Applications International Corporation System and method for projecting content beyond firewalls
US7493486B1 (en) * 2000-06-09 2009-02-17 Verizon Laboratories, Inc. Method and apparatus for supporting cryptographic-related activities in a public key infrastructure
US6976162B1 (en) * 2000-06-28 2005-12-13 Intel Corporation Platform and method for establishing provable identities while maintaining privacy
US6978375B1 (en) 2000-09-08 2005-12-20 International Business Machines Corporation System and method for secure authentication of external software modules provided by third parties
US7793111B1 (en) * 2000-09-28 2010-09-07 Intel Corporation Mechanism to handle events in a machine with isolated execution
US7389427B1 (en) 2000-09-28 2008-06-17 Intel Corporation Mechanism to secure computer output from software attack using isolated execution
JP2002215585A (ja) * 2000-11-16 2002-08-02 Fuji Xerox Co Ltd 個人証明書サブジェクト名処理装置および方法
ATE405110T1 (de) * 2000-11-17 2008-08-15 Sony Deutschland Gmbh Informationsübertragung via einem ad hoc netz
KR20020042083A (ko) * 2000-11-30 2002-06-05 오경수 공개키 기반구조에서 개인키 이동과 로밍서비스를 위한이중암호화 및 송/수신방법
GB0030804D0 (en) * 2000-12-16 2001-01-31 Ncr Int Inc Method of conducting transactions
US7215781B2 (en) * 2000-12-22 2007-05-08 Intel Corporation Creation and distribution of a secret value between two devices
US6907600B2 (en) 2000-12-27 2005-06-14 Intel Corporation Virtual translation lookaside buffer
US7035963B2 (en) * 2000-12-27 2006-04-25 Intel Corporation Method for resolving address space conflicts between a virtual machine monitor and a guest operating system
US7818808B1 (en) 2000-12-27 2010-10-19 Intel Corporation Processor mode for limiting the operation of guest software running on a virtual machine supported by a virtual machine monitor
US7225441B2 (en) * 2000-12-27 2007-05-29 Intel Corporation Mechanism for providing power management through virtualization
US7117376B2 (en) * 2000-12-28 2006-10-03 Intel Corporation Platform and method of creating a secure boot that enforces proper user authentication and enforces hardware configurations
JP4284867B2 (ja) * 2001-01-18 2009-06-24 株式会社日立製作所 標準モデル上で適応的選択暗号文攻撃に対して安全な公開鍵暗号方法
US7711122B2 (en) * 2001-03-09 2010-05-04 Arcot Systems, Inc. Method and apparatus for cryptographic key storage wherein key servers are authenticated by possession and secure distribution of stored keys
US7272831B2 (en) 2001-03-30 2007-09-18 Intel Corporation Method and apparatus for constructing host processor soft devices independent of the host processor operating system
US7096497B2 (en) * 2001-03-30 2006-08-22 Intel Corporation File checking using remote signing authority via a network
US20020144121A1 (en) * 2001-03-30 2002-10-03 Ellison Carl M. Checking file integrity using signature generated in isolated execution
JP2002319932A (ja) * 2001-04-19 2002-10-31 Sony Corp 情報記録装置、情報再生装置、および情報記録方法、情報再生方法、並びにプログラム
CN1535440A (zh) * 2001-04-27 2004-10-06 麻省理工学院 用于微支付交易的方法和系统
US6968334B2 (en) * 2001-05-15 2005-11-22 Nokia Corporation Method and business process to maintain privacy in distributed recommendation systems
US7191440B2 (en) 2001-08-15 2007-03-13 Intel Corporation Tracking operating system process and thread execution and virtual machine execution in hardware or in a virtual machine monitor
US6744753B2 (en) * 2001-11-01 2004-06-01 Nokia Corporation Local service handover
US7555287B1 (en) 2001-11-01 2009-06-30 Nokia Corporation Customized messaging between wireless access point and services
US7151764B1 (en) 2001-11-01 2006-12-19 Nokia Corporation Service notification on a low bluetooth layer
US7024555B2 (en) * 2001-11-01 2006-04-04 Intel Corporation Apparatus and method for unilaterally loading a secure operating system within a multiprocessor environment
US7103771B2 (en) * 2001-12-17 2006-09-05 Intel Corporation Connecting a virtual token to a physical token
US20030126454A1 (en) * 2001-12-28 2003-07-03 Glew Andrew F. Authenticated code method and apparatus
US7308576B2 (en) 2001-12-31 2007-12-11 Intel Corporation Authenticated code module
US20030126453A1 (en) * 2001-12-31 2003-07-03 Glew Andrew F. Processor supporting execution of an authenticated code instruction
US7340214B1 (en) 2002-02-13 2008-03-04 Nokia Corporation Short-range wireless system and method for multimedia tags
US7480806B2 (en) * 2002-02-22 2009-01-20 Intel Corporation Multi-token seal and unseal
US7124273B2 (en) * 2002-02-25 2006-10-17 Intel Corporation Method and apparatus for translating guest physical addresses in a virtual machine environment
US7631196B2 (en) 2002-02-25 2009-12-08 Intel Corporation Method and apparatus for loading a trustable operating system
US7102640B1 (en) * 2002-03-21 2006-09-05 Nokia Corporation Service/device indication with graphical interface
US7028149B2 (en) 2002-03-29 2006-04-11 Intel Corporation System and method for resetting a platform configuration register
US7069442B2 (en) 2002-03-29 2006-06-27 Intel Corporation System and method for execution of a secured environment initialization instruction
US20030191943A1 (en) * 2002-04-05 2003-10-09 Poisner David I. Methods and arrangements to register code
US20030196096A1 (en) * 2002-04-12 2003-10-16 Sutton James A. Microcode patch authentication
US7076669B2 (en) * 2002-04-15 2006-07-11 Intel Corporation Method and apparatus for communicating securely with a token
US20030196100A1 (en) * 2002-04-15 2003-10-16 Grawrock David W. Protection against memory attacks following reset
US7058807B2 (en) * 2002-04-15 2006-06-06 Intel Corporation Validation of inclusion of a platform within a data center
US7127548B2 (en) 2002-04-16 2006-10-24 Intel Corporation Control register access virtualization performance improvement in the virtual-machine architecture
DE60308251T2 (de) * 2002-04-17 2007-08-30 Canon K.K. Vorrichtung zur Bereitstellung von öffentlichen Schlüsselzertifikaten
US7139890B2 (en) 2002-04-30 2006-11-21 Intel Corporation Methods and arrangements to interface memory
AU2003230257A1 (en) * 2002-05-06 2003-11-11 Bentley Systems, Inc. Method and system for digital rights management and digital signatures
US7103313B2 (en) * 2002-06-05 2006-09-05 Nokia Corporation Automatic determination of access point content and services for short-range wireless terminals
US20030229794A1 (en) * 2002-06-07 2003-12-11 Sutton James A. System and method for protection against untrusted system management code by redirecting a system management interrupt and creating a virtual machine container
US6820177B2 (en) 2002-06-12 2004-11-16 Intel Corporation Protected configuration space in a protected environment
US7142674B2 (en) * 2002-06-18 2006-11-28 Intel Corporation Method of confirming a secure key exchange
US7392415B2 (en) * 2002-06-26 2008-06-24 Intel Corporation Sleep protection
US20040003321A1 (en) * 2002-06-27 2004-01-01 Glew Andrew F. Initialization of protected system
US7024559B1 (en) 2002-06-28 2006-04-04 The United States Of America As Represented By The National Security Agency Method of elliptic curve digital signature using expansion in joint sparse form
US7062043B1 (en) 2002-06-28 2006-06-13 The United States Of America As Represented By The National Security Agency Method of elliptic curve digital signature using coefficient splitting
US6996748B2 (en) 2002-06-29 2006-02-07 Intel Corporation Handling faults associated with operation of guest software in the virtual-machine architecture
US7124327B2 (en) 2002-06-29 2006-10-17 Intel Corporation Control over faults occurring during the operation of guest software in the virtual-machine architecture
US7296267B2 (en) * 2002-07-12 2007-11-13 Intel Corporation System and method for binding virtual machines to hardware contexts
US8239917B2 (en) * 2002-10-16 2012-08-07 Enterprise Information Management, Inc. Systems and methods for enterprise security with collaborative peer to peer architecture
US7840806B2 (en) * 2002-10-16 2010-11-23 Enterprise Information Management, Inc. System and method of non-centralized zero knowledge authentication for a computer network
US7165181B2 (en) 2002-11-27 2007-01-16 Intel Corporation System and method for establishing trust without revealing identity
US20040117532A1 (en) * 2002-12-11 2004-06-17 Bennett Steven M. Mechanism for controlling external interrupts in a virtual machine system
US7073042B2 (en) 2002-12-12 2006-07-04 Intel Corporation Reclaiming existing fields in address translation data structures to extend control over memory accesses
US7318235B2 (en) 2002-12-16 2008-01-08 Intel Corporation Attestation using both fixed token and portable token
US20040117318A1 (en) * 2002-12-16 2004-06-17 Grawrock David W. Portable token controlling trusted environment launch
US7900017B2 (en) * 2002-12-27 2011-03-01 Intel Corporation Mechanism for remapping post virtual machine memory pages
US20040128345A1 (en) * 2002-12-27 2004-07-01 Robinson Scott H. Dynamic service registry
US20040128465A1 (en) * 2002-12-30 2004-07-01 Lee Micheil J. Configurable memory bus width
US7076802B2 (en) * 2002-12-31 2006-07-11 Intel Corporation Trusted system clock
WO2004075035A1 (en) * 2003-02-21 2004-09-02 Telefonaktiebolaget Lm Ericsson (Publ) Service provider anonymization in a single sign-on system
US20040181517A1 (en) * 2003-03-13 2004-09-16 Younghee Jung System and method for social interaction
CN1761926B (zh) * 2003-03-21 2010-09-01 皇家飞利浦电子股份有限公司 对关于用户和数据之间的关联的信息给出用户访问的方法和设备
US20040205029A1 (en) * 2003-04-11 2004-10-14 Eastman Kodak Company Method for securely purchasing goods and/or services over the internet
EP1627488A4 (en) * 2003-05-13 2008-06-04 Corestreet Ltd EFFICIENT AND SECURE DATA ACTUALITY SYSTEMS
EP1636936A2 (en) * 2003-06-17 2006-03-22 Visa International Service Association Method and systems for securely exchanging data in an electronic transaction
WO2005001653A2 (en) * 2003-06-24 2005-01-06 Corestreet, Ltd. Access control
US7415708B2 (en) * 2003-06-26 2008-08-19 Intel Corporation Virtual machine management using processor state information
US7793227B2 (en) 2003-08-12 2010-09-07 Yahoo! Inc. Method and system of providing customizable buttons
US20050044292A1 (en) * 2003-08-19 2005-02-24 Mckeen Francis X. Method and apparatus to retain system control when a buffer overflow attack occurs
US7245718B2 (en) * 2003-08-26 2007-07-17 Mitsubishi Electric Research Laboratories, Inc. Low bandwidth zero knowledge authentication protocol and device
US7287197B2 (en) * 2003-09-15 2007-10-23 Intel Corporation Vectoring an interrupt or exception upon resuming operation of a virtual machine
US7424709B2 (en) 2003-09-15 2008-09-09 Intel Corporation Use of multiple virtual machine monitors to handle privileged events
US7739521B2 (en) * 2003-09-18 2010-06-15 Intel Corporation Method of obscuring cryptographic computations
US7409545B2 (en) * 2003-09-18 2008-08-05 Sun Microsystems, Inc. Ephemeral decryption utilizing binding functions
US7610611B2 (en) * 2003-09-19 2009-10-27 Moran Douglas R Prioritized address decoder
US7366305B2 (en) * 2003-09-30 2008-04-29 Intel Corporation Platform and method for establishing trust without revealing identity
US7177967B2 (en) * 2003-09-30 2007-02-13 Intel Corporation Chipset support for managing hardware interrupts in a virtual machine system
US7237051B2 (en) 2003-09-30 2007-06-26 Intel Corporation Mechanism to control hardware interrupt acknowledgement in a virtual machine system
US20050080934A1 (en) 2003-09-30 2005-04-14 Cota-Robles Erik C. Invalidating translation lookaside buffer entries in a virtual machine (VM) system
US7636844B2 (en) * 2003-11-17 2009-12-22 Intel Corporation Method and system to provide a trusted channel within a computer system for a SIM device
KR20060097131A (ko) * 2003-11-19 2006-09-13 코아스트리트 리미티드 분산 위임 인증 경로 획득 및 검증
US20050108534A1 (en) * 2003-11-19 2005-05-19 Bajikar Sundeep M. Providing services to an open platform implementing subscriber identity module (SIM) capabilities
US20050108171A1 (en) * 2003-11-19 2005-05-19 Bajikar Sundeep M. Method and apparatus for implementing subscriber identity module (SIM) capabilities in an open platform
US8156343B2 (en) 2003-11-26 2012-04-10 Intel Corporation Accessing private data about the state of a data processing machine from storage that is publicly accessible
US20050136837A1 (en) * 2003-12-22 2005-06-23 Nurminen Jukka K. Method and system for detecting and using context in wireless networks
US8037314B2 (en) 2003-12-22 2011-10-11 Intel Corporation Replacing blinded authentication authority
CA2872032A1 (en) * 2004-01-09 2005-08-04 Corestreet, Ltd. Signature-efficient real time credentials for ocsp and distributed ocsp
US20050152539A1 (en) * 2004-01-12 2005-07-14 Brickell Ernie F. Method of protecting cryptographic operations from side channel attacks
US7802085B2 (en) 2004-02-18 2010-09-21 Intel Corporation Apparatus and method for distributing private keys to an entity with minimal secret, unique information
US7356735B2 (en) * 2004-03-30 2008-04-08 Intel Corporation Providing support for single stepping a virtual machine in a virtual machine environment
US7620949B2 (en) 2004-03-31 2009-11-17 Intel Corporation Method and apparatus for facilitating recognition of an open event window during operation of guest software in a virtual machine environment
US7647498B2 (en) * 2004-04-30 2010-01-12 Research In Motion Limited Device authentication
JP4463815B2 (ja) * 2004-05-05 2010-05-19 リサーチ イン モーション リミテッド 安全なメッセージを送信するシステムおよび方法
US7490070B2 (en) 2004-06-10 2009-02-10 Intel Corporation Apparatus and method for proving the denial of a direct proof signature
US20050288056A1 (en) * 2004-06-29 2005-12-29 Bajikar Sundeep M System including a wireless wide area network (WWAN) module with an external identity module reader and approach for certifying the WWAN module
US7305592B2 (en) * 2004-06-30 2007-12-04 Intel Corporation Support for nested fault in a virtual machine environment
US8363835B2 (en) * 2004-07-21 2013-01-29 Sanyo Electric Co., Ltd. Method for transmission/reception of contents usage right information in encrypted form, and device thereof
US7840962B2 (en) * 2004-09-30 2010-11-23 Intel Corporation System and method for controlling switching between VMM and VM using enabling value of VMM timer indicator and VMM timer value having a specified time
US20060075075A1 (en) * 2004-10-01 2006-04-06 Malinen Jouni I Method and system to contextually initiate synchronization services on mobile terminals in an enterprise environment
US8146078B2 (en) 2004-10-29 2012-03-27 Intel Corporation Timer offsetting mechanism in a virtual machine environment
US7205882B2 (en) * 2004-11-10 2007-04-17 Corestreet, Ltd. Actuating a security system using a wireless device
US8924728B2 (en) * 2004-11-30 2014-12-30 Intel Corporation Apparatus and method for establishing a secure session with a device without exposing privacy-sensitive information
US8533777B2 (en) * 2004-12-29 2013-09-10 Intel Corporation Mechanism to determine trust of out-of-band management agents
US7395405B2 (en) 2005-01-28 2008-07-01 Intel Corporation Method and apparatus for supporting address translation in a virtual machine environment
WO2006122575A1 (de) * 2005-05-20 2006-11-23 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum erstellen und übertragen eines schlüsselpaars zwischen einer zertifizierungsautorität und einem empfänger
ATE492956T1 (de) * 2005-09-06 2011-01-15 Nero Ag Verfahren und vorrichtung zur ermittlung eines kommunikationsschlüssels zwischen einem ersten kommunikationspartner und einem zweiten kommunikationspartner unter benutzung einer dritten partei
WO2007028407A1 (en) * 2005-09-06 2007-03-15 Nero Ag Method for signing a data package and signing apparatus
US7809957B2 (en) 2005-09-29 2010-10-05 Intel Corporation Trusted platform module for generating sealed data
US8014530B2 (en) 2006-03-22 2011-09-06 Intel Corporation Method and apparatus for authenticated, recoverable key distribution with no database secrets
FR2905187B1 (fr) * 2006-08-22 2012-11-16 Ingenico Sa Terminal de paiement electronique biometrique et procede de transaction
US8181227B2 (en) * 2006-08-29 2012-05-15 Akamai Technologies, Inc. System and method for client-side authenticaton for secure internet communications
US7613915B2 (en) * 2006-11-09 2009-11-03 BroadOn Communications Corp Method for programming on-chip non-volatile memory in a secure processor, and a device so programmed
KR20080050937A (ko) * 2006-12-04 2008-06-10 삼성전자주식회사 인증 수행 방법 및 그 장치
US7958057B2 (en) * 2007-03-28 2011-06-07 King Fahd University Of Petroleum And Minerals Virtual account based new digital cash protocols with combined blind digital signature and pseudonym authentication
EP1986146A1 (en) * 2007-04-27 2008-10-29 Gemplus Transaction method between two entities providing anonymity revocation for tree-based schemes without trusted party
US7877331B2 (en) * 2007-09-06 2011-01-25 King Fahd University Of Petroleum & Minerals Token based new digital cash protocols with combined blind digital signature and pseudonym authentication
US9177313B1 (en) 2007-10-18 2015-11-03 Jpmorgan Chase Bank, N.A. System and method for issuing, circulating and trading financial instruments with smart features
US7522723B1 (en) 2008-05-29 2009-04-21 Cheman Shaik Password self encryption method and system and encryption by keys generated from personal secret information
US9621341B2 (en) * 2008-11-26 2017-04-11 Microsoft Technology Licensing, Llc Anonymous verifiable public key certificates
FR2969879A1 (fr) * 2010-12-23 2012-06-29 France Telecom Acces anonyme a un service au moyen de certificats agreges
DE102012017826A1 (de) * 2012-09-10 2014-03-13 Giesecke & Devrient Gmbh Verfahren zur Erstellung einer abgeleiteten Instanz eines Originaldatenträgers
KR101390480B1 (ko) * 2013-10-15 2014-04-30 펜타시큐리티시스템 주식회사 정품 인증 서비스 제공 장치 및 방법
US10243738B2 (en) 2015-12-04 2019-03-26 Microsoft Technology Licensing, Llc Adding privacy to standard credentials
WO2018152611A1 (en) * 2017-02-23 2018-08-30 Infosec Global Inc. Elliptic curve cryptography scheme for edwards curves having a differential side-channel attack countermeasure
US10361852B2 (en) 2017-03-08 2019-07-23 Bank Of America Corporation Secure verification system
US10425417B2 (en) 2017-03-08 2019-09-24 Bank Of America Corporation Certificate system for verifying authorized and unauthorized secure sessions
US10432595B2 (en) 2017-03-08 2019-10-01 Bank Of America Corporation Secure session creation system utililizing multiple keys
US10374808B2 (en) 2017-03-08 2019-08-06 Bank Of America Corporation Verification system for creating a secure link
CN107612697B (zh) 2017-10-20 2020-04-14 阿里巴巴集团控股有限公司 数字证书申请方法和装置
JP2021527270A (ja) * 2018-06-10 2021-10-11 ブレイブ・ソフトウエア・インコーポレイテッドBrave Software,Inc. アテンションアプリケーションユーザ分類プライバシー

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4759063A (en) * 1983-08-22 1988-07-19 Chaum David L Blind signature systems
US4947430A (en) * 1987-11-23 1990-08-07 David Chaum Undeniable signature systems
US5005200A (en) * 1988-02-12 1991-04-02 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US4868877A (en) * 1988-02-12 1989-09-19 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US5373561A (en) * 1992-12-21 1994-12-13 Bell Communications Research, Inc. Method of extending the validity of a cryptographic certificate
US5475753A (en) * 1993-11-12 1995-12-12 Matsushita Electric Corporation Of America Apparatus and method for certifying the delivery of information

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013140402A (ja) * 2003-10-28 2013-07-18 Certicom Corp 公開鍵を検証可能に生成する方法及び装置
JP2012253589A (ja) * 2011-06-03 2012-12-20 Nippon Telegr & Teleph Corp <Ntt> 多重暗号化鍵配送システム、多重暗号化鍵配送方法、プログラム

Also Published As

Publication number Publication date
ES2170167T3 (es) 2002-08-01
DK0786178T3 (da) 2002-04-29
ATE211870T1 (de) 2002-01-15
WO1996012362A3 (en) 1996-05-30
US5606617A (en) 1997-02-25
PT786178E (pt) 2002-05-31
WO1996012362A2 (en) 1996-04-25
DE69524968D1 (de) 2002-02-14
EP0786178A1 (en) 1997-07-30
AU3755695A (en) 1996-05-06
CA2200592A1 (en) 1996-04-25
EP0786178B1 (en) 2002-01-09
AU705406B2 (en) 1999-05-20

Similar Documents

Publication Publication Date Title
JP2002515128A (ja) 秘密キー証明書
He et al. A pairing‐free certificateless authenticated key agreement protocol
JP3522447B2 (ja) 認証交換方法および付加型公衆電子署名方法
US7533270B2 (en) Signature schemes using bilinear mappings
US6298153B1 (en) Digital signature method and information communication system and apparatus using such method
US5146500A (en) Public key cryptographic system using elliptic curves over rings
Lueks et al. Fast revocation of attribute-based credentials for both users and verifiers
KR100718489B1 (ko) 신규의 공정한 은닉 서명을 위한 서명 방법, 컴퓨터 프로그램, 장치 및 서명 시스템
JP2005500740A (ja) Idベース暗号化および関連する暗号手法のシステムおよび方法
GB2490407A (en) Joint encryption using base groups, bilinear maps and consistency components
JP2008512060A (ja) 仮署名スキーム
JP2002534701A (ja) 寄託されない署名専用キーを用いた自動回復可能な自動可能暗号システム
EP2686978B1 (en) Keyed pv signatures
KR20030062401A (ko) 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법
JP2014515125A (ja) データの暗号化のための方法、コンピュータ・プログラム、および装置
JP2012516603A (ja) データ処理システム内で暗号クレデンシャルの動的集合を管理するための方法、装置、コンピュータ・プログラム、およびデータ処理システム(データ処理システム内の暗号クレデンシャルの管理)
JP3513324B2 (ja) ディジタル署名処理方法
KR20010013155A (ko) 자동 복구가능하고 자동 증명가능한 암호체계들
Li et al. Attribute-based anonymous credential: Delegation, traceability, and revocation
JP2012516604A (ja) データ処理システム内でデータ項目の集合を示す暗号アキュムレータを提供するための方法、装置、コンピュータ・プログラム、およびデータ処理システム(データ処理システム内のデータ項目の検証)
Fan et al. Using malleable signatures to allow multi-show capability in digital credentials
JP3862397B2 (ja) 情報通信システム
Kumar et al. Provable Secure Escrow-Free Identity-Based Signature Scheme for Smart City Environment
Wang et al. Collusion-resistance in optimistic fair exchange
EP1924022A2 (en) Signature schemes using bilinear mappings

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050531

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20050831

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20051017

A313 Final decision of rejection without a dissenting response from the applicant

Free format text: JAPANESE INTERMEDIATE CODE: A313

Effective date: 20060116

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060328