JP2002519939A - 鍵共有攻撃防御方法 - Google Patents

鍵共有攻撃防御方法

Info

Publication number
JP2002519939A
JP2002519939A JP2000557579A JP2000557579A JP2002519939A JP 2002519939 A JP2002519939 A JP 2002519939A JP 2000557579 A JP2000557579 A JP 2000557579A JP 2000557579 A JP2000557579 A JP 2000557579A JP 2002519939 A JP2002519939 A JP 2002519939A
Authority
JP
Japan
Prior art keywords
key
protocol
sts
mac
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000557579A
Other languages
English (en)
Other versions
JP2002519939A5 (ja
JP4750274B2 (ja
Inventor
メネゼス,アルフレッド,ジェイ.
ブレイク−ウィルソン,シモン
Original Assignee
サーティコム コーポレーション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by サーティコム コーポレーション filed Critical サーティコム コーポレーション
Publication of JP2002519939A publication Critical patent/JP2002519939A/ja
Publication of JP2002519939A5 publication Critical patent/JP2002519939A5/ja
Application granted granted Critical
Publication of JP4750274B2 publication Critical patent/JP4750274B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords

Abstract

(57)【要約】 2つの通信者間で交換される、身元情報を含んだメッセージによるSTS(station-to-station)プロトコルにおいて、上記通信者間で共通の共有鍵を設定するための、鍵共有攻撃を防止するための鍵一致プロトコルを提供する。上記情報が、上記通信者のどちらか一方によって身元確認することができるものであり、これによって、共有鍵が設定される。

Description

【発明の詳細な説明】
この発明は、暗号化システムに関するものであり、特に、鍵共有攻撃を防止す
るために、鍵一致プロトコルの改良を行ったものである。
【0001】 〔背景技術〕 鍵の設定は、複数の主体(entities)が共有の秘密鍵を確立するプロセスである
【0002】 上記鍵は、例えば機密性やデータの正当性などを目的として、暗号化を行う際
に用いられるものである。理想的には、設定された鍵は、両者が面と向かって設
定した鍵としての特性を正確に有しているべきものであり、鍵空間から偏りなく
ランダムに設定されるべきものであり、権利を有していない主体がその鍵につい
て何ら知ることができない(計算上の限界がある)ものであるべきである。
【0003】 広く言えば、鍵設定プロトコルとしては、鍵輸送(key transport) プロトコル
と、鍵一致(key agreement) プロトコルとの2種類の方法が存在する。鍵輸送プ
ロトコルは、第1の主体によって鍵が生成され、この鍵が第2の主体に安全に伝
達される方法である。鍵一致プロトコルは、各主体が情報を提供し合って、これ
らを繋げる(joint) ことによって共有の秘密鍵を設定する方法である。
【0004】 ここで、AおよびBという2者の誠実な(例えば法律に則った)主体を想定す
る。両者は、正確にプロトコルのステップを実行するものとする。簡単に言えば
、主体Aが、特別に身元が確認された第2の主体B以外のものが秘密鍵の値を知
ることができないことを確認できる場合には、鍵一致プロトコルは、暗示鍵認証
(implicit key authentication) (Aに対するBの認証)を供給することになる
。なお、暗示鍵認証は、Aが、Bが鍵を実際に有しているかを確認できることが
必ずしも必要とされるものではないという特性を有している。関係する両方の主
体に対して暗示鍵認証を供給する鍵一致プロトコルは、認証鍵一致プロトコル(
AKプロトコル)と呼ばれる。
【0005】 また、主体Aが、第2の主体Bが実際に計算された一致鍵を有していることを
確認できる場合には、鍵一致プロトコルは、明示鍵確認(explicit key confirma
tion) (Aに対するBの確認)を供給する、と言われる。また、Aが、Bが一致
鍵を計算することができることを確認できる場合には、鍵一致プロトコルは、暗
示鍵確認(implicit key authentication) を供給する、と言われる。暗示鍵確認
は、明示鍵確認よりもAに対する保証が強くなるが(特に、前者が後者を含む場
合)、全ての実際の目的に対して、実際には保証を同等とすることができる。こ
れは、Bは、明示鍵確認プロセスの後に、即座にその鍵を削除することが可能で
あるからである。
【0006】 暗示鍵認証(Aに対するBの認証)と(暗示または明示)鍵確認(Aに対する
Bの確認)との両方が供給されるならば、鍵設定プロトコルは明示鍵認証(Aに
対するBの認証)を供給すると言われる。関係する両方の主体に対して明示鍵認
証を供給する鍵一致プロトコルは、鍵確認を伴う認証鍵一致プロトコル(AKC
プロトコル)と呼ばれる。
【0007】 AKプロトコルまたはAKCプロトコルに対する、未知の鍵共有攻撃(UKS
攻撃(unknown key-share attack))は、主体Aが、Aが認識していない(例えば
、Aが、Bではない主体Eと鍵を共有していると信じている場合など)うちに、
主体Bに対して鍵の共有が強制されることによって行われる。なお、AKプロト
コルまたはAKCプロトコルがUKS攻撃に屈してしまうとしても、これらのプ
ロトコルの暗示鍵認証特性が否定されるものではない。これは、定義によれば、
暗示鍵認証の供給は、Aがそのプロトコルによって誠実な主体(Eではない)と
関係する場合を前提としたものとなっているからである。
【0008】 station-to-station(STS)プロトコルは、Diffie-Hellmanの方式を基本に
したAKCプロトコルであり、(相互)暗示鍵認証と(相互)鍵確認との両方を
供給するプロトコルを意味している。また、このSTSプロトコルは、さらに、
所望とする安全性の特性、例えば秘密事項の転送や鍵の妥協(key compromise)に
よるなりすまし(impersonation) などに対する安全性の特性を有するようになっ
ている。W. Diffie et al., “Authentication and authenticated key exchang
es”, Designs, Codes and Cryptography, 2 (1992) 107-125 には、STSの2
つの主要な変形例が示されている。1つは、鍵確認が、MACアルゴリズム(S
TS−MAC)による一致鍵Kを用いることによって供給されるものであり、も
う1つは、Kが暗号化方式(STS−ENC)によって用いられるものである。
STS−MACは、多くの実際の場面において、STS−ENCよりも好ましい
ものとなっている。また、STS−ENCによって、鍵確認を供給するための暗
号化を行うと、信用度が低くなる。これは、暗号化方式の目的は、機密性を供給
するものであり、鍵の所有を検証するための認証機構ではないからである。ST
S−ENCが、STS−MACよりも有利である点は、STS−ENCが、匿名
性の供給を容易にすることができることである。
【0009】 STSに関連した多くのプロトコルが文献に出現している。しかしながら、こ
れらのプロトコルは、STSの小さな変形例(minor variants)であるとみなすこ
とができないものであることに注意すべきである。
【0010】 明瞭にすることを目的として、最初に、以降の説明において用いる表記を次の
ように概説しておく。 A,B 誠実な主体 E 攻撃者 SA 署名方式SによるAの(個人)署名鍵 PA SによるAの公開照合鍵 SA (M) メッセージMにおけるAの署名 CertA Aの名前、公開署名鍵PA、およびその他情報を含んだ証明書 EK (M) 鍵Kによる対称鍵暗号化方式を用いた、Mの暗号 MACK (M) 鍵Kに基づくメッセージ認証コード G,α,n Diffle-Hellmanパラメータ;αは、有限群Gの首位の位数(prime
order) nの要素 rA Aの、短命(ephemeral) Diffle-Hellman個人鍵;1≦rA≦n−1 K 短命Diffle-Hellman共有秘密;K=αrArB 2つのSTS変形例を以下に示す。これらの記述において、Aを開始者(initi
ator) と呼び、Bを応答者(responder) と呼ぶことにする。
【0011】 〔STS−MACプロトコル〕 以下に、STS−MACプロトコルについて説明する。開始者Aがランダムな
秘密の整数rA(1≦rA≦n−1)を選択し、Bに対してメッセージ(1)を
送信する。(1)を受信すると、Bは、ランダムな秘密の整数rB(1≦rB≦
n−1)を選択し、共有秘密K=αrArBを計算し、Aに対してメッセージ(2)
を送信する。(2)を受信すると、Aは、Bの署名鍵PBの認証を検証するため
にCertB を使用し、メッセージ(αrB,αrA)上の署名を検証し、共有秘密
Kを計算し、SB (αrB,αrA)のMACを検証した後に、Bに対してメッセー
ジ(3)を送信する。(3)を受信すると、Bは、Aの署名鍵PAの認証を検証
するためにCertA を使用し、メッセージ(αrA,αrB)上の署名を検証し、
共有秘密Kを計算し、SB (αrA,αrB)のMACを検証する。もし、Aまたは
Bにおいて行われる任意の段階のチェックや検証が失敗した場合には、その主体
がプロトコルの動作を終了させ、拒絶する。 (1)A→B A,αrA (2)A←B CertB ,αrB,SB (αrB,αrA),MACK (SB (α rB ,αrA)) (3)A→B CertA ,SA (αrA,αrB),MACK (SA (αrA,α rB )) 〔STS−ENCプロトコル〕 以下に、STS−ENCプロトコルについて説明する。簡潔に説明するために
、AおよびBによって行われるチェックに関しては、以下では省略する。 (1)A→B A,αrA (2)A←B CertB ,αrB,EK (SB (αrB,αrA)) (3)A→B CertA ,EK (SA (αrA,αrB)) 鍵一致プロトコルに対する未知の鍵共有(UKS)攻撃について、より明確に
理解するために、UKS攻撃によって引き起こされる損害の結果に関する仮想的
なシナリオについてここで考えてみる。Aが銀行の支店であり、Bが口座の所有
者であると仮定する。銀行の本社によって、口座所有者の口座情報に関する証明
書が発行される。電子預金のプロトコルが、AKCプロトコルによって、銀行の
支店に対して鍵の交換を行うためのものであると仮定する。このプロトコルを実
行した結果、証明書内の口座番号に対して暗号化された金額が預金される。ここ
で、暗号化された預金額のメッセージにおいて、さらなる認証が行われなかった
場合を仮定する(例えば、帯域幅を節約するためなど)。ここで、上記したUK
S攻撃がうまく行われた場合には、Bの口座に代えて、Eの口座が作られること
になる。
【0012】 AKCプロトコルに対するUKS攻撃は、AKプロトコル(鍵確認を提供しな
い)に対するUKS攻撃よりも重大な結果を招くことに注意することが重要であ
る。
【0013】 AKプロトコルにおいて一致された鍵は、鍵確認なしに用いられることはない
。実際、ある基準では、AKプロトコルにおいて一致された鍵の鍵確認を命令す
る保守的な方法が採用されている。適当な鍵確認が続いて供給される場合には、
UKS攻撃の企みは検出されることになる。この理由により、上記の仮想的なシ
ナリオ(特に、鍵一致プロトコルが終了した後に行われるさらなる認証がないと
仮定した場合)は、AKCプロトコルが用いられた場合には(鍵確認がすでに供
給されているので)現実的なものとなる一方、AKプロトコルが用いられた場合
には(鍵確認がまだ供給されていないので)非現実的なものとなる。
【0014】 応答者に対するUKS攻撃において、攻撃者Eは、例えばPE=PAというよ
うに、Aの公開鍵PAを自分自身のものとして登録する。AがBにメッセージ(
1)を送信したとき、Eはそれを横取りし、Aの身元情報をEのものとして置き
換える。そして、Eは、BからAに対するメッセージ(2)を変化させないで送
る。最後に、Eはメッセージ(3)を横取りし、CertA をCertE に置き
換える。PA=PEとなっているので、SA (αrA,αrB)=SE(αrA,αrB )となる。よって、Bは、鍵Kを受領し、Kは実際にはAと共有されているにも
拘らず、Eと共有されていると信じることになる。なお、EはKの値を知ること
がないことになっている。この攻撃について以下に説明する。A!→Bという符
号は、Aが、Bに対してメッセージを送ることを意図しているにも拘らず、攻撃
者によって横取りされて、Bに送信されていない状態を示している。 (1)A!→B A,αrA (1’)E→B E,αrA (2)E←B CertB ,αrB,SB (αrB,αrA),MACK (SB (α rB ,αrA)) (2’)A←E CertB ,αrB,SB (αrB,αrA),MACK (SB
αrB,αrA)) (3)A!→B CertA ,SA (αrB,αrA),MACK (SA (αrB
αrA)) (3’)E→B CertA ,SA (αrB,αrA),MACK (SA (αrB
αrA)) 同様に、主体Eは、Bの公開鍵PBを自分自身のものとして登録することによ
って、開始者Aに対してUKS攻撃を行うことができる。この攻撃について以下
に説明する。 (1)A→E A,αrA (1’)E→B E,αrA (2)A←!B CertB ,αrB,SB (αrB,αrA),MACK (SB
αrB,αrA)) (2’)A←E CertE ,αrB,SB (αrB,αrA),MACK (SB
αrB,αrA)) (3)A→E CertA ,SA (αrB,αrA),MACK (SA (αrB,α rA )) (3’)E→B CertA ,SA (αrB,αrA),MACK (SA (αrB
αrA)) 新しいオンラインUKS攻撃について説明するにあたって、次のような仮定を
設けることにする。第1に、STSにおいて用いられる署名方式Sが、次のよう
な2つの署名鍵を選択する特性を有していると仮定する。PA(Aの公開鍵)、
および、メッセージMにおけるAの署名SA が知られているとする。この場合、
攻撃者は、SA がメッセージMにおけるEの署名となっている鍵の組(PE;S
E)を選択することが可能となっている。
【0015】 第2に、Eは、STSプロトコルが実行されている際に証明された公開鍵を得
ることができる。この仮定は、例えば、メッセージの移動における遅延が通常で
ある場合や、CAがオンラインとなっている場合などにおいて、ありがちなこと
である。
【0016】 この応答者に対する新しいUKS攻撃は、前記した、応答者に対する公開鍵代
理攻撃と同様のものとなっている。Aがメッセージ(3)を送った後に、Eはそ
れを横取りし、SE(αrA,αrB)=SA (αrA,αrB)というように、用いら
れている署名方式における鍵の組(PE;SE)を選択する。その後、EはPE
に対する証明書CertE を入手し、メッセージ(3’)をBに送信する。
【0017】 この開始者に対する新しいUKS攻撃は、前記した、開始者に対する公開鍵代
理攻撃と同様のものとなっている。Bがメッセージ(2)を送った後に、Eはそ
れを横取りし、SE(αrB,αrA)=SB (αrB,αrA)というように、用いら
れている署名方式における鍵の組(PE;SE)を選択する。その後、EはPE
に対する証明書CertE を入手し、メッセージ(2’)をBに送信する。
【0018】 オンラインUKS攻撃では、攻撃者は、選択されている公開鍵PEに相当する
個人鍵SEを知っている。よって、公開鍵代理攻撃の場合とは異なり、証明プロ
セスにおいて、主体が、公開鍵に相当する個人鍵を所有しているという証明書発
行の権利を証明することを必要とすることによっては、このオンライン攻撃を防
ぐことはできない。
【0019】 出願人は、STSプロトコルが安全に対して欠如している特性を有しているこ
とを発見した。それは、未知の鍵共有攻撃を最小にするために、STSプロトコ
ルが有していることが望まれるものである。
【0020】 〔発明の開示〕 本発明の総体的な特徴としては、オンラインUKS攻撃を防ぐために、署名さ
れたメッセージにおけるフローナンバー(flow number) とともに、送信者と受信
者との身元情報を含んだステップが、鍵一致プロトコルにおいて備えられている
ことである。
【0021】 本発明の1つの特徴としては、応答者に対するオンラインUKS攻撃を最小に
するために、第1のフロー(first flow)において、証明書CertA を送る主体
Aのうちの一者が、STS−MACプロトコルにおいて備えられていることであ
る。
【0022】 本発明の他の特徴としては、明示ではなく、暗示鍵確認のステップが備えられ
ていることである。
【0023】 本発明のさらに他の特徴としては、署名されたメッセージではなく、鍵導出関
数において主体の身元情報が含まれていることである。
【0024】 本発明のさらに他の特徴としては、STS−ENCおよびSTS−MACプロ
トコルによるアプリケーションが備えられていることである。
【0025】 本発明の好適な実施形態に係る上記の特徴およびその他の特徴は、添付図面を
参照した次の詳細な説明で明白になるであろう。
【0026】 〔発明の実施における好適な形態〕 図1に示すように、電子通信システム10は、通信経路16によって接続され
ている送信者12および受信者14で示されているAおよびBの2つの通信者を
有している。通信者12および14のそれぞれは、情報処理および経路16を通
しての情報の移動の準備を行う暗号化ユニット18および20を有している。第
3の主体22は攻撃者として説明される。
【0027】 鍵設定/一致プロトコルにおいて、本発明の実施形態では、主体同志の間で、
次に示すようなメッセージの流れが行われる。 項目1 (1)A→E A,αrA (2)A←B CertB ,αrB,SB (2,B,A,αrB,αrA),MAC K (SB (2,B,A,αrB,αrA)) (3)A→B CertA ,SA (3,A,B,αrA,αrB),MACK (3
,A,B,SA (αrA,αrB)) 従来の技術で説明した、元のSTS−MACプロトコル、および上記のように
修正したプロトコルでは、一致鍵Kが、明示鍵確認を提供することを目的として
、MAC鍵として用いられている。受動的な攻撃者(passive adversary) は、K
に関する何らかの情報、すなわち、Kに基づいて知らされたメッセージのMAC
を有している。この攻撃者は、これを用いることによって、Kと、鍵空間1から
ランダムに偏りなく選択された鍵とを区別することが可能となる。ここでの鍵空
間は、K={αi :1≦i≦n−1}で示される。また、この方法において、明
示鍵確認を供給することによる他の欠点としては、一致鍵Kが、MACアルゴリ
ズムとは異なる原始的な暗号化方式によって用いられる可能性があることである
。これによって、鍵が1つの以上の目的で使われるべきではないという暗号化に
おける基本原理が犯されることになる。
【0028】 明示ではなく、暗示鍵確認が達成される2つの方法としては、次のようなもの
がある。 (i)同じ共有秘密からK,K’=H(αrArB)(Hは、暗号化ハッシュ関数)
の2つの鍵を取り出す。 (ii)K’=H1 (αrArB),K=H2 (αrArB)(H1 ,H2 は、独立した
ランダムオラクル(oracles) である) の2つの鍵を取り出す。
【0029】 Kは、一致セッション鍵として用いられる一方、K’は、そのセッションにお
けるMAC鍵として用いられる。この改訂されたプロトコルについて以下に説明
する。 項目2 (1)A→E A,αrA (2)A←B CertB ,αrB,SB (2,B,A,αrB,αrA),MAC K' (SB (2,B,A,αrB,αrA)) (3)A→B CertA ,SA (3,A,B,αrA,αrB),MACK'(3
,A,B,SA (αrA,αrB)) 署名されたメッセージに主体の身元情報が含まれる代わりに、共有秘密αrArB から共有鍵を導出することを目的として、鍵導出関数の中に、それらが含まれる
ことになる。項目1におけるプロトコルでは、共有鍵はK=H(αrArB,A,B
)となるが、項目2におけるプロトコルでは、共有鍵は、K,K’=H(αrArB ,A,B)、および(ii)K’=H1 (αrArB,A,B),K=H2 (αrArB ,A,B)となる。
【0030】 しかしながら、鍵導出関数は、暗号化の世界において良く研究されていないの
で、鍵導出関数において所望とされる特性がまだ特定されていない。よって、項
目1および2において示したプロトコルは、鍵導出関数に身元情報が含まれる変
形例においても好ましく用いることができる。
【0031】 項目2によるプロトコルは、暗示鍵確認を提供している。ほかの主体が実際に
共有鍵Kを計算したという保証がない場合には、それぞれの主体は、他の主体が
共有秘密αrArBを計算したという保証を得ることができる。MACがフローの中
に含まれていない場合には、暗示鍵確認がさらに(いくらか低い程度で)供給さ
れることになる。この改訂されたプロトコルを以下に示す。 項目3 (1)A→B A,αrA (2)A←B CertB ,αrB,SB (2,B,A,αrB,αrA) (3)A→B CertA ,SA (3,A,B,αrA,αrB) オンラインUKS攻撃は、STS−ENCに対しては実行することができない
。これは、署名SA (αrA,αrB)および署名SB (αrB,αrA)が、攻撃者に
知られていないからである。しかしながら、予防策として、フローナンバーおよ
び送信者と意図されている受信者との身元情報が、署名されたメッセージに含ま
れるようにするか、上記の鍵導出関数に身元情報が含まれるようにするというよ
うな修正を行うことが好ましい。
【0032】 発明の詳細な説明の項においてなされた具体的な実施態様または実施例は、あ
くまでも、本発明の技術内容を明らかにするものであって、そのような具体例に
のみ限定して狭義に解釈されるべきものではなく、本発明の精神と次に記載する
特許請求事項との範囲内で、いろいろと変更して実施することができるものであ
る。例えば、STS−MACに関して複数の項目を記載したが、これらは、ST
S−ENCに関しても同様に定義されうるものである。さらに、これらは、例え
ば楕円曲線群のような他の群に適用することも可能である。
【図面の簡単な説明】
【図1】 データ通信システムの概要を示すブロック図である。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,SD,SL,SZ,UG,ZW),E A(AM,AZ,BY,KG,KZ,MD,RU,TJ ,TM),AL,AM,AT,AU,AZ,BA,BB ,BG,BR,BY,CA,CH,CN,CU,CZ, DE,DK,EE,ES,FI,GB,GD,GE,G H,GM,HR,HU,ID,IL,IN,IS,JP ,KE,KG,KP,KR,KZ,LC,LK,LR, LS,LT,LU,LV,MD,MG,MK,MN,M W,MX,NO,NZ,PL,PT,RO,RU,SD ,SE,SG,SI,SK,SL,TJ,TM,TR, TT,UA,UG,US,UZ,VN,YU,ZW Fターム(参考) 5J104 AA16 AA41 EA04 EA26 JA03 NA02

Claims (7)

    【特許請求の範囲】
  1. 【請求項1】 通信者間で身元の情報を含んだメッセージを交換し、上記情報が、上記通信者
    のどちらか一方によって身元確認することができるものであり、これによって、
    共有鍵が設定されるステップを有している、2つの通信者間での共通の共有鍵の
    設定方法。
  2. 【請求項2】 署名されるメッセージの中に、フローナンバーを含んだ送信者および受信者の
    身元が供給されるステップを含んでいる、請求項1記載の方法。
  3. 【請求項3】 上記メッセージの交換のステップが、STS−MACプロトコルに基づいてい
    る、請求項1記載の方法。
  4. 【請求項4】 受信者に対するオンラインUKS攻撃を最小にすることを目的として、第1の
    フローにおいて、送り手の証明書が送られるステップを有している、請求項3記
    載の方法。
  5. 【請求項5】 署名されたメッセージではなく、鍵導出関数に、通信者の身元が供給されるス
    テップを有している、請求項1記載の方法。
  6. 【請求項6】 上記メッセージの交換が、STS−ENCプロトコルに基づいている、請求項
    1記載の方法。
  7. 【請求項7】 上記メッセージの交換が、STS−MACプロトコルに基づいている、請求項
    1記載の方法。
JP2000557579A 1998-06-26 1999-06-28 鍵共有攻撃防御方法 Expired - Lifetime JP4750274B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CA2,241,705 1998-06-26
CA002241705A CA2241705C (en) 1998-06-26 1998-06-26 A method for preventing key-share attacks
PCT/CA1999/000595 WO2000001109A1 (en) 1998-06-26 1999-06-28 A method for preventing key share attacks

Publications (3)

Publication Number Publication Date
JP2002519939A true JP2002519939A (ja) 2002-07-02
JP2002519939A5 JP2002519939A5 (ja) 2006-07-20
JP4750274B2 JP4750274B2 (ja) 2011-08-17

Family

ID=4162587

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000557579A Expired - Lifetime JP4750274B2 (ja) 1998-06-26 1999-06-28 鍵共有攻撃防御方法

Country Status (7)

Country Link
US (1) US6850620B2 (ja)
EP (1) EP1090478B1 (ja)
JP (1) JP4750274B2 (ja)
AU (1) AU4493599A (ja)
CA (1) CA2241705C (ja)
DE (1) DE69942875D1 (ja)
WO (1) WO2000001109A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003503864A (ja) * 1998-11-03 2003-01-28 シーメンス アクチエンゲゼルシヤフト 第1インスタンスおよび第2インスタンスを認証する方法および装置
JP2009525647A (ja) * 2006-01-30 2009-07-09 シーメンス アクチエンゲゼルシヤフト 第1の通信機と第2の通信機とのあいだでの共通鍵の指定方法、および、第1の通信機と第2の通信機とのあいだでの共通鍵の指定装置

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2277633C (en) 1999-07-19 2009-10-20 Certicom Corp. Split-key key-agreement protocol
FR2829644A1 (fr) * 2001-09-10 2003-03-14 St Microelectronics Sa Procede securise de transmission de donnees multimedia
EP1320006A1 (en) 2001-12-12 2003-06-18 Canal+ Technologies Société Anonyme Processing data
US7565537B2 (en) * 2002-06-10 2009-07-21 Microsoft Corporation Secure key exchange with mutual authentication
US7900051B2 (en) 2002-09-10 2011-03-01 Stmicroelectronics S.A. Secure multimedia data transmission method
WO2004071046A1 (de) * 2003-01-20 2004-08-19 Siemens Aktiengesellschaft Datenübertragung zwischen rechnern
US7646872B2 (en) 2004-04-02 2010-01-12 Research In Motion Limited Systems and methods to securely generate shared keys
EP1735945B1 (en) 2004-04-02 2009-08-05 Research In Motion Limited Deploying and provisioning wireless handheld devices
EP1906587A3 (en) * 2004-10-29 2008-04-16 Thomson Licensing, Inc. Secure authenticated channel
US7545932B2 (en) 2004-10-29 2009-06-09 Thomson Licensing Secure authenticated channel
US8495375B2 (en) * 2007-12-21 2013-07-23 Research In Motion Limited Methods and systems for secure channel initialization
EP2073430B1 (en) 2007-12-21 2013-07-24 Research In Motion Limited Methods and systems for secure channel initialization transaction security based on a low entropy shared secret
US8452017B2 (en) * 2007-12-21 2013-05-28 Research In Motion Limited Methods and systems for secure channel initialization transaction security based on a low entropy shared secret

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH02291740A (ja) * 1989-05-01 1990-12-03 Fujitsu Ltd 署名機能を持つ鍵配送方式
JPH07212356A (ja) * 1993-12-30 1995-08-11 Internatl Business Mach Corp <Ibm> 通信パートナの認証方法及びシステム
US5491750A (en) * 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for three-party entity authentication and key distribution using message authentication codes
JPH0897813A (ja) * 1994-09-27 1996-04-12 Oki Electric Ind Co Ltd 通信方法および装置
WO1996033566A1 (en) * 1995-04-21 1996-10-24 Certicom Corp. Method for secure session key generation and authentication
JPH09171349A (ja) * 1995-12-19 1997-06-30 Nec Corp デジタル署名方法
JPH11256901A (ja) * 1998-03-09 1999-09-21 Advance Co Ltd 暗号鍵管理方式
US6212636B1 (en) * 1997-05-01 2001-04-03 Itt Manufacturing Enterprises Method for establishing trust in a computer network via association
US6246771B1 (en) * 1997-11-26 2001-06-12 V-One Corporation Session key recovery system and method
JP2002514841A (ja) * 1998-05-01 2002-05-21 サーティコム コーポレーション 認証鍵一致プロトコル

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH02291740A (ja) * 1989-05-01 1990-12-03 Fujitsu Ltd 署名機能を持つ鍵配送方式
JPH07212356A (ja) * 1993-12-30 1995-08-11 Internatl Business Mach Corp <Ibm> 通信パートナの認証方法及びシステム
US5491750A (en) * 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for three-party entity authentication and key distribution using message authentication codes
JPH0897813A (ja) * 1994-09-27 1996-04-12 Oki Electric Ind Co Ltd 通信方法および装置
WO1996033566A1 (en) * 1995-04-21 1996-10-24 Certicom Corp. Method for secure session key generation and authentication
JPH09171349A (ja) * 1995-12-19 1997-06-30 Nec Corp デジタル署名方法
US6212636B1 (en) * 1997-05-01 2001-04-03 Itt Manufacturing Enterprises Method for establishing trust in a computer network via association
US6246771B1 (en) * 1997-11-26 2001-06-12 V-One Corporation Session key recovery system and method
JPH11256901A (ja) * 1998-03-09 1999-09-21 Advance Co Ltd 暗号鍵管理方式
JP2002514841A (ja) * 1998-05-01 2002-05-21 サーティコム コーポレーション 認証鍵一致プロトコル

Non-Patent Citations (15)

* Cited by examiner, † Cited by third party
Title
CSND199801878004, 眞壁 幸一, "ビジネスで使うインターネット(13)", OAビジネスパソコン 第15巻 第3号, 19970301, 第15巻, p.51〜55, JP, 電波新聞社 *
CSNG199901109004, 松本 勉 Tsutomu MATSUMOTO, "暗号鍵の共有 Cryptographic Key Sharing", 電子情報通信学会技術研究報告 Vol.89 No.482 IEICE Technical Report, 19900327, 第89巻, p.33〜47, JP, 社団法人電子情報通信学会 The Institute of Electro *
CSNG200300179007, 廣瀬 勝一 Shouichi Hirose, "安全な認証付Diffie−Hellman鍵共有プロトコルとその会議鍵配布への応用 A secure authentic", 電子情報通信学会技術研究報告 Vol.97 No.252 IEICE Technical Report, 19970912, Vol.97 No.252, p.87〜96, JP, 社団法人電子情報通信学会 The Institute of Electro *
CSNG200400816001, 辻井 重男 Shigeo TSUJII, "共通鍵暗号系におけるID情報に基づくDiffie−Hellman型鍵共有方式 A Non−Interactive Iden", 電子情報通信学会技術研究報告 Vol.88 No.494 IEICE Technical Report, 19890324, Vol.88 No.494, p.1〜6, JP, 社団法人電子情報通信学会 The Institute of Electro *
JPN6009061007, MIHIR BELLARE, "Entity Authentication and Key Distribution", Crypto’93 proceedings, 199308, p.1−29 *
JPN6009061010, 眞壁 幸一, "ビジネスで使うインターネット(13)", OAビジネスパソコン 第15巻 第3号, 19970301, 第15巻, p.51〜55, JP, 電波新聞社 *
JPN6009061014, 松本 勉 Tsutomu MATSUMOTO, "暗号鍵の共有 Cryptographic Key Sharing", 電子情報通信学会技術研究報告 Vol.89 No.482 IEICE Technical Report, 19900327, 第89巻, p.33〜47, JP, 社団法人電子情報通信学会 The Institute of Electro *
JPN6009061018, 辻井 重男, 暗号と情報セキュリティ, 19900329, 初版, p.94〜95, 株式会社昭晃堂 *
JPN6009061020, 櫻井幸一, 暗号理論の基礎, 19961101, 初版, p.290〜293, 共立出版株式会社 *
JPN6009061023, Colin Boyd, "Design and Analysis of Key Exchange Protocols via Secure Channel Identification", LNCS, 1995, Vol. 917, p.171−181, Springer *
JPN6010050713, 廣瀬 勝一 Shouichi Hirose, "安全な認証付Diffie−Hellman鍵共有プロトコルとその会議鍵配布への応用 A secure authentic", 電子情報通信学会技術研究報告 Vol.97 No.252 IEICE Technical Report, 19970912, Vol.97 No.252, p.87〜96, JP, 社団法人電子情報通信学会 The Institute of Electro *
JPN6010050714, Whitfield Diffie et al, "Authentication and Authenticated Key Exchanges", online, 19920306 *
JPN6010050717, Simon Blake−Wilson et al, "Key Agreement Protocols and their Security Analysis", online, 19970909 *
JPN6010050718, 辻井 重男 Shigeo TSUJII, "共通鍵暗号系におけるID情報に基づくDiffie−Hellman型鍵共有方式 A Non−Interactive Iden", 電子情報通信学会技術研究報告 Vol.88 No.494 IEICE Technical Report, 19890324, Vol.88 No.494, p.1〜6, JP, 社団法人電子情報通信学会 The Institute of Electro *
JPN6010050719, Simon Blake−Wilson et al, "Entity Authentication and Authenticated Key Transport Protocols Employing Asymmetric Techniques", online, 19970828 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003503864A (ja) * 1998-11-03 2003-01-28 シーメンス アクチエンゲゼルシヤフト 第1インスタンスおよび第2インスタンスを認証する方法および装置
JP2009525647A (ja) * 2006-01-30 2009-07-09 シーメンス アクチエンゲゼルシヤフト 第1の通信機と第2の通信機とのあいだでの共通鍵の指定方法、および、第1の通信機と第2の通信機とのあいだでの共通鍵の指定装置
US8261076B2 (en) 2006-01-30 2012-09-04 Siemens Aktiengesellschsft Method and device for agreeing shared key between first communication device and second communication device

Also Published As

Publication number Publication date
US6850620B2 (en) 2005-02-01
EP1090478B1 (en) 2010-10-20
EP1090478A1 (en) 2001-04-11
CA2241705A1 (en) 1999-12-26
JP4750274B2 (ja) 2011-08-17
WO2000001109A1 (en) 2000-01-06
CA2241705C (en) 2006-06-20
DE69942875D1 (de) 2010-12-02
US20010021256A1 (en) 2001-09-13
AU4493599A (en) 2000-01-17

Similar Documents

Publication Publication Date Title
Aiello et al. Just fast keying: Key agreement in a hostile internet
JP4781269B2 (ja) 鍵合意および移送プロトコル
JP5702813B2 (ja) 内在的証明書方式
US7716482B2 (en) Conference session key distribution method in an ID-based cryptographic system
JP2000502553A (ja) 内在的署名を用いた鍵一致及び輸送プロトコル
CN110020524B (zh) 一种基于智能卡的双向认证方法
JP2000511382A (ja) 第1のコンピュータユニットと第2のコンピュータユニットの間の暗号化キー管理方法
WO2007011897A2 (en) Cryptographic authentication, and/or establishment of shared cryptographic keys, using a signing key encrypted with a non-one-time-pad encryption, including (but not limited to) techniques with improved security against malleability attacks
JP2003536320A (ja) 複数のサーバを使用した遠隔パスワード認証のためのシステム、方法およびソフトウェア
JP2001313634A (ja) 通信方法
JP2002532985A (ja) 改良された加入者認証プロトコル
JPH1041932A (ja) 暗号キー回復方法及び装置
JPH04117826A (ja) 認証機能付き鍵配送方式
CN110959163A (zh) 能够在多个存储节点上安全存储大型区块链的计算机实现的系统和方法
Chen et al. A round-and computation-efficient three-party authenticated key exchange protocol
JP2002519939A (ja) 鍵共有攻撃防御方法
JP4783340B2 (ja) 移動ネットワーク環境におけるデータトラフィックの保護方法
CN109067774B (zh) 一种基于信任令牌的安全接入系统及其安全接入方法
JP2948294B2 (ja) 認証機能付き鍵配送システムにおける端末
CN116388995A (zh) 一种基于puf的轻量级智能电网认证方法
Chatterjee et al. A novel multi-server authentication scheme for e-commerce applications using smart card
CN110572257A (zh) 基于身份的抗量子计算数据来源鉴别方法和系统
Smart et al. Certificates, key transport and key agreement
CN100596066C (zh) 一种基于h323系统的实体认证方法
TWI840358B (zh) 用以使用區塊鏈來執行基元式互換之電腦實施系統及方法

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060526

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060526

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091124

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20091127

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20091130

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091217

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100223

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100831

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20101126

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20101203

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20101227

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110107

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110131

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110207

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110420

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110519

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4750274

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140527

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term