JP2003173139A - 公開検証可能暗号化装置、その復号装置、暗号化プログラムおよび復号プログラム - Google Patents
公開検証可能暗号化装置、その復号装置、暗号化プログラムおよび復号プログラムInfo
- Publication number
- JP2003173139A JP2003173139A JP2001371405A JP2001371405A JP2003173139A JP 2003173139 A JP2003173139 A JP 2003173139A JP 2001371405 A JP2001371405 A JP 2001371405A JP 2001371405 A JP2001371405 A JP 2001371405A JP 2003173139 A JP2003173139 A JP 2003173139A
- Authority
- JP
- Japan
- Prior art keywords
- key
- ciphertext
- signature
- encryption
- public
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 公開検証を可能としたまま、暗号化、復号の
各計算量及び暗号文のビット長を低減する。 【解決手段】 暗号文を受信する者の公開鍵pkと、乱
数rをセッション鍵配送手段100に入力してセッショ
ン鍵ssと、これを復号するための公開情報phを生成
し、ssとphをハッシュしてその結果を共通鍵hsと
し(200)、shで平文mを共通鍵暗号により暗号化
して暗号文cを作り(300)、rを秘密鍵(phを公
開鍵)としてcに対する署名Sを生成し、暗号文C=
(ph,c,S)を出力する。Cの復号はph,c,S
を用いて署名検証を行い、合格すると、pkに対する秘
密鍵skでphを復号してssを得、ssとphをハッ
シュしてshを作り、shでcを復号する。
各計算量及び暗号文のビット長を低減する。 【解決手段】 暗号文を受信する者の公開鍵pkと、乱
数rをセッション鍵配送手段100に入力してセッショ
ン鍵ssと、これを復号するための公開情報phを生成
し、ssとphをハッシュしてその結果を共通鍵hsと
し(200)、shで平文mを共通鍵暗号により暗号化
して暗号文cを作り(300)、rを秘密鍵(phを公
開鍵)としてcに対する署名Sを生成し、暗号文C=
(ph,c,S)を出力する。Cの復号はph,c,S
を用いて署名検証を行い、合格すると、pkに対する秘
密鍵skでphを復号してssを得、ssとphをハッ
シュしてshを作り、shでcを復号する。
Description
【0001】
【発明の属する技術分野】この発明は、適応的選択暗号
文攻撃に対する防御としての暗号文が正しいものか否か
の検証を任意の第三者が行うことができる公開検証可能
な暗号化装置、その復号装置、及びこれら装置に用いら
れるプログラムに関する。
文攻撃に対する防御としての暗号文が正しいものか否か
の検証を任意の第三者が行うことができる公開検証可能
な暗号化装置、その復号装置、及びこれら装置に用いら
れるプログラムに関する。
【0002】
【従来の技術】公開鍵暗号に対する最も有効な攻撃とし
て適応的選択暗号文攻撃が知られている。しかしこの攻
撃に対しては、暗号文が正しい暗号文か否かを検証する
手段を設け、その手段による検証結果が正しくなければ
復号者がその不正な暗号文の復号を拒絶することによっ
て無効化することができることが知られている。この防
御手段を有効にするには、暗号文作成者(攻撃者)が、
不正であるにもかかわらず検証に合格してしまうような
暗号文を作成できないことが求められる。
て適応的選択暗号文攻撃が知られている。しかしこの攻
撃に対しては、暗号文が正しい暗号文か否かを検証する
手段を設け、その手段による検証結果が正しくなければ
復号者がその不正な暗号文の復号を拒絶することによっ
て無効化することができることが知られている。この防
御手段を有効にするには、暗号文作成者(攻撃者)が、
不正であるにもかかわらず検証に合格してしまうような
暗号文を作成できないことが求められる。
【0003】従来より、この防御手段としての検証手段
の手順として二つの方式が知られている。一つは、平文
にあらかじめ規定した冗長性を添加してから暗号化し、
受信者は暗号文を復号したのち、平文が正しい冗長性を
有していることを確認することによって検証を行う方
法。もう一つは、暗号文が正しいことを証明する非対話
ゼロ知識証明を暗号文に添付し、受信者はその証明が正
しいことを検証した後、復号を行う方法である。前者に
おいては、復号の後に検証が行われるため、復号鍵を知
る者しか検証を行うことができない。このような方式を
私的検証可能な方法と呼ぶ。私的検証可能な方法はBe
llare氏とRogaway氏によるOAEP−RS
A(“Optimal Asymmetric Encryption,”in the Proc
eedings of Advances in Cryptology. Eurocrypt'94,pa
ges 92-111,LNCS 950,Springer-Verlag,1995)に代表さ
れる。一般的に、私的検証可能な方法における検証手段
は、ハッシュ関数数回分の演算量で済むことが多く、非
常に効率的な為、本来の暗号方式の暗号化および復号に
対するオーバーヘッドが小さいという利点を持つ。
の手順として二つの方式が知られている。一つは、平文
にあらかじめ規定した冗長性を添加してから暗号化し、
受信者は暗号文を復号したのち、平文が正しい冗長性を
有していることを確認することによって検証を行う方
法。もう一つは、暗号文が正しいことを証明する非対話
ゼロ知識証明を暗号文に添付し、受信者はその証明が正
しいことを検証した後、復号を行う方法である。前者に
おいては、復号の後に検証が行われるため、復号鍵を知
る者しか検証を行うことができない。このような方式を
私的検証可能な方法と呼ぶ。私的検証可能な方法はBe
llare氏とRogaway氏によるOAEP−RS
A(“Optimal Asymmetric Encryption,”in the Proc
eedings of Advances in Cryptology. Eurocrypt'94,pa
ges 92-111,LNCS 950,Springer-Verlag,1995)に代表さ
れる。一般的に、私的検証可能な方法における検証手段
は、ハッシュ関数数回分の演算量で済むことが多く、非
常に効率的な為、本来の暗号方式の暗号化および復号に
対するオーバーヘッドが小さいという利点を持つ。
【0004】一方、後者は非対話ゼロ知識証明が任意の
第三者に対して検証可能であることから、公開検証可能
な方法と呼ぶ。公開検証可能な方法はNaor氏とYu
ng氏によるDouble Encryption方式(“Public-key cr
yptosystems provably secure against chosen ciphert
ext attacks”,Proceedings of the 22nd Annual Symp
osium on the Theory of Computing,pages,427.437,199
0)が知られている。この方法は、一つの平文を二つの
公開鍵暗号で別々に暗号化して二つの暗号文を作成し、
それらの暗号文が同一の平文に基づくものであることを
保証する非対話ゼロ知識証明を添付して、二つの暗号文
と一緒に復号者へ送信するものである。後年、Shou
p氏とGennaro氏によって同様の概念に基づくよ
り効率的な方法(“Securing Threshold Cryptosystems
Against Chosen Ciphertext Attack,”In the proceed
ings of Advances in Cryptology. Eurocrypt'98, page
s1.16,LNCS 1403,Springer-Verlag,1998)が示されてい
る。さらに、Double Encryptionの概念に基づかないよ
り効率的な方法(Y.Tsiounis and M.Yung,“On thesecu
rity of ElGamal based encryption,” PKC' 98,LNCS 1
431, Springer-Verlag,1998)がElGamal暗号に
対して知られているが、その安全性は、一般的に用いら
れる暗号的仮定よりも強い現実的でない仮定に基づいて
検討されているに過ぎない(同出)。
第三者に対して検証可能であることから、公開検証可能
な方法と呼ぶ。公開検証可能な方法はNaor氏とYu
ng氏によるDouble Encryption方式(“Public-key cr
yptosystems provably secure against chosen ciphert
ext attacks”,Proceedings of the 22nd Annual Symp
osium on the Theory of Computing,pages,427.437,199
0)が知られている。この方法は、一つの平文を二つの
公開鍵暗号で別々に暗号化して二つの暗号文を作成し、
それらの暗号文が同一の平文に基づくものであることを
保証する非対話ゼロ知識証明を添付して、二つの暗号文
と一緒に復号者へ送信するものである。後年、Shou
p氏とGennaro氏によって同様の概念に基づくよ
り効率的な方法(“Securing Threshold Cryptosystems
Against Chosen Ciphertext Attack,”In the proceed
ings of Advances in Cryptology. Eurocrypt'98, page
s1.16,LNCS 1403,Springer-Verlag,1998)が示されてい
る。さらに、Double Encryptionの概念に基づかないよ
り効率的な方法(Y.Tsiounis and M.Yung,“On thesecu
rity of ElGamal based encryption,” PKC' 98,LNCS 1
431, Springer-Verlag,1998)がElGamal暗号に
対して知られているが、その安全性は、一般的に用いら
れる暗号的仮定よりも強い現実的でない仮定に基づいて
検討されているに過ぎない(同出)。
【0005】
【発明が解決しようとする課題】第1の問題点は、私的
検証可能な方法では、受信者がある暗号文を不正と結論
して拒絶した場合に、第三者は、その行為が正当な検証
に基づく結果であるか否かを確認することはできないこ
とにある。その理由は、復号者は、たとえ不正な暗号文
を検出したとしても、それを復号した平文を第三者に示
すことが安全上許されない(第三者に不正な暗号文の復
号結果を見せてしまうと、適応的選択暗号文攻撃を可能
としてしまう)為である。
検証可能な方法では、受信者がある暗号文を不正と結論
して拒絶した場合に、第三者は、その行為が正当な検証
に基づく結果であるか否かを確認することはできないこ
とにある。その理由は、復号者は、たとえ不正な暗号文
を検出したとしても、それを復号した平文を第三者に示
すことが安全上許されない(第三者に不正な暗号文の復
号結果を見せてしまうと、適応的選択暗号文攻撃を可能
としてしまう)為である。
【0006】第2の問題点は、公開検証可能な方法で
は、送信文全体が大きくなる上、暗号化と復号のどちら
の計算量も増大することである。その理由は、公開検証
可能な方式が二重暗号化に基づいて構成されているため
である。第3の問題点は、公開検証可能で二重暗号化
(Double Encryption)に基づかない方法は、安全性の
根拠が不明確である点にある。 特性・性能向上、高速化、セキュリティ向上 この発明の目的は、安全性の根拠が明確、公開検証可
能、送信文が小さく、送信者装置、受信者装置の計算量
が小さい暗号化装置、その復号装置、これらに用いられ
るプログラムを提供することにある。
は、送信文全体が大きくなる上、暗号化と復号のどちら
の計算量も増大することである。その理由は、公開検証
可能な方式が二重暗号化に基づいて構成されているため
である。第3の問題点は、公開検証可能で二重暗号化
(Double Encryption)に基づかない方法は、安全性の
根拠が不明確である点にある。 特性・性能向上、高速化、セキュリティ向上 この発明の目的は、安全性の根拠が明確、公開検証可
能、送信文が小さく、送信者装置、受信者装置の計算量
が小さい暗号化装置、その復号装置、これらに用いられ
るプログラムを提供することにある。
【0007】
【課題を解決するための手段】この発明による暗号化装
置によれば、受信者装置の公開鍵pkおよび乱数rを用
いて、セッション鍵配送手段100によってセッション
鍵ssとセッション鍵復号のための公開情報phとが生
成され、このphと乱数rに対しハッシュ手段200で
ハッシュ関数が適用され、そのハッシュした値hsが共
通鍵として生成され、共通鍵暗号暗号化手段300にお
いて入力平文mが共通鍵ssで暗号化されて暗号文cが
生成される。また、署名手段400によって、乱数rを
秘密鍵、公開情報phを公開鍵とし、暗号文cを署名対
象文書とした署名Sが生成され、これら(ph,c,
S)が送信文、つまり暗号文として出力される。
置によれば、受信者装置の公開鍵pkおよび乱数rを用
いて、セッション鍵配送手段100によってセッション
鍵ssとセッション鍵復号のための公開情報phとが生
成され、このphと乱数rに対しハッシュ手段200で
ハッシュ関数が適用され、そのハッシュした値hsが共
通鍵として生成され、共通鍵暗号暗号化手段300にお
いて入力平文mが共通鍵ssで暗号化されて暗号文cが
生成される。また、署名手段400によって、乱数rを
秘密鍵、公開情報phを公開鍵とし、暗号文cを署名対
象文書とした署名Sが生成され、これら(ph,c,
S)が送信文、つまり暗号文として出力される。
【0008】暗号文(ph,c,S)に対するこの発明
による復号装置によれば、署名検証手段500により、
Sが公開情報phを公開鍵とした、文書(暗号文)cに
対する正しい署名であることが検証され、ここでSが正
しくない場合には復号結果をNG(不合格)として終了
し、正しければ、以下の手順を実行する。公開鍵pkに
対する秘密鍵skにより公開情報phがセッション鍵復
号手段600で復号されセッション鍵ssが生成され、
少くともssがハッシュ手段700によってハッシュさ
れ、ハッシュ値として共通鍵hsが生成され、暗号文c
がその共通鍵hsで共通鍵暗号復号手段800によって
復号され、平文mが得られる。
による復号装置によれば、署名検証手段500により、
Sが公開情報phを公開鍵とした、文書(暗号文)cに
対する正しい署名であることが検証され、ここでSが正
しくない場合には復号結果をNG(不合格)として終了
し、正しければ、以下の手順を実行する。公開鍵pkに
対する秘密鍵skにより公開情報phがセッション鍵復
号手段600で復号されセッション鍵ssが生成され、
少くともssがハッシュ手段700によってハッシュさ
れ、ハッシュ値として共通鍵hsが生成され、暗号文c
がその共通鍵hsで共通鍵暗号復号手段800によって
復号され、平文mが得られる。
【0009】暗号化装置、復号装置のいずれにおいて
も、ハッシュ手段への入力にphも含めても良い。作用 平文mに対するこの暗号文(ph,c,S)を攻撃者が
入手して、さらに、適応的に選択した暗号文(ph′,
c′,S′)に対する復号結果m′を入手した場合、つ
まり署名検証に成功したことを想定する。ここで、(p
h,c,S)と(ph′,c′,S′)は完全一致では
ないとする。署名手段によって署名Sを添付したことに
より、検証鍵として用いるphとph′が等しい場合
に、(c,S)と(c′,S′)が異なるような場合に
は、署名検証に成功していることになるから公開鍵pk
とする署名の偽造に成功したことになる。そうでなけれ
ば(c′,S′)の署名検証に成功せず、(c,S)と
(c′,S′)が異なるとも等しいとも云えない。つま
り署名手段が十分安全ならば、このような偽造は不可能
である。従って、攻撃者が適応的に選択した暗号文では
phとph′が等しくあってはならない。
も、ハッシュ手段への入力にphも含めても良い。作用 平文mに対するこの暗号文(ph,c,S)を攻撃者が
入手して、さらに、適応的に選択した暗号文(ph′,
c′,S′)に対する復号結果m′を入手した場合、つ
まり署名検証に成功したことを想定する。ここで、(p
h,c,S)と(ph′,c′,S′)は完全一致では
ないとする。署名手段によって署名Sを添付したことに
より、検証鍵として用いるphとph′が等しい場合
に、(c,S)と(c′,S′)が異なるような場合に
は、署名検証に成功していることになるから公開鍵pk
とする署名の偽造に成功したことになる。そうでなけれ
ば(c′,S′)の署名検証に成功せず、(c,S)と
(c′,S′)が異なるとも等しいとも云えない。つま
り署名手段が十分安全ならば、このような偽造は不可能
である。従って、攻撃者が適応的に選択した暗号文では
phとph′が等しくあってはならない。
【0010】一方、生成したセッション鍵ssからハッ
シュ手段を通じて共通の暗号化鍵hsを作成するため、
ハッシュ手段としてその入出力関係が無相関になるよう
な十分安全なハッシュであると仮定すると、鍵配送手段
の復号結果ssを完全に(1ビットの情報の欠落もな
く)知り得た場合にしかcの復号に必要な情報hsを得
ることができない。よって、phとph′が異なる場合
には、ハッシュの出力hsとhs′が入力とは無相関に
変化し、mとm′は何ら相関を持たないことになり、
m′からmの情報を得ることはできない。さらに、秘密
鍵暗号による暗号化が安全ならばc単体からmに関する
情報を得ることもできない。
シュ手段を通じて共通の暗号化鍵hsを作成するため、
ハッシュ手段としてその入出力関係が無相関になるよう
な十分安全なハッシュであると仮定すると、鍵配送手段
の復号結果ssを完全に(1ビットの情報の欠落もな
く)知り得た場合にしかcの復号に必要な情報hsを得
ることができない。よって、phとph′が異なる場合
には、ハッシュの出力hsとhs′が入力とは無相関に
変化し、mとm′は何ら相関を持たないことになり、
m′からmの情報を得ることはできない。さらに、秘密
鍵暗号による暗号化が安全ならばc単体からmに関する
情報を得ることもできない。
【0011】暗号化および復号における演算量は、鍵配
送および暗号化を一度しか用いていないため、従来の二
重暗号化による方法に比較して半分程度の演算量とな
る。また、従来の非対話ゼロ知識証明による平文の等価
性の証明は、結局、二つの暗号文に対応する平文をそれ
ぞれ知っているという事実(知識)の証明を行うのに対
し、この発明では一つの暗号文に対応する平文の知識の
証明を、署名を生成できるという事実によって証明する
ため、つまり署名Sを生成できる人は乱数rを知ってお
り、rを知っていればcを作ることができ、またcから
mを知ることができるから、証明、検証の演算量ともに
二重暗号化に基づく従来方法よりも少なくて済む。
送および暗号化を一度しか用いていないため、従来の二
重暗号化による方法に比較して半分程度の演算量とな
る。また、従来の非対話ゼロ知識証明による平文の等価
性の証明は、結局、二つの暗号文に対応する平文をそれ
ぞれ知っているという事実(知識)の証明を行うのに対
し、この発明では一つの暗号文に対応する平文の知識の
証明を、署名を生成できるという事実によって証明する
ため、つまり署名Sを生成できる人は乱数rを知ってお
り、rを知っていればcを作ることができ、またcから
mを知ることができるから、証明、検証の演算量ともに
二重暗号化に基づく従来方法よりも少なくて済む。
【0012】
【発明の実施の形態】次に、この発明の実施の形態につ
いて図面を参照して詳細に説明する。図1にこの発明の
暗号化装置の実施の形態を示す。暗号化装置はセッショ
ン鍵配送手段100、ハッシュ手段200、共通鍵暗号
暗号化手段300、署名手段400から構成される。セ
ッション鍵配送手段100は、この暗号化装置により作
成された暗号文Cを受信する受信者の装置の公開鍵pk
と乱数rを入力とし、共有されるセッション鍵ssおよ
び受信者装置がセッション鍵を回復するためのヒントと
なる公開情報phを生成して出力する。公開鍵pkは装
置内の記憶部10に予め格納されているものを用いる
か、認証機関装置から前記受信者の公開鍵証明書を取得
して用いる。乱数rは乱数生成部20により生成する。
セッション鍵ssは例えば乱数rをそのまま用い、公開
情報phは例えば公開鍵pkで乱数rを暗号化したもの
ph=Epk(r)を作成する。
いて図面を参照して詳細に説明する。図1にこの発明の
暗号化装置の実施の形態を示す。暗号化装置はセッショ
ン鍵配送手段100、ハッシュ手段200、共通鍵暗号
暗号化手段300、署名手段400から構成される。セ
ッション鍵配送手段100は、この暗号化装置により作
成された暗号文Cを受信する受信者の装置の公開鍵pk
と乱数rを入力とし、共有されるセッション鍵ssおよ
び受信者装置がセッション鍵を回復するためのヒントと
なる公開情報phを生成して出力する。公開鍵pkは装
置内の記憶部10に予め格納されているものを用いる
か、認証機関装置から前記受信者の公開鍵証明書を取得
して用いる。乱数rは乱数生成部20により生成する。
セッション鍵ssは例えば乱数rをそのまま用い、公開
情報phは例えば公開鍵pkで乱数rを暗号化したもの
ph=Epk(r)を作成する。
【0013】ハッシュ手段200は、全ての入力文字列
を一定の長さに非可逆圧縮して出力する手段であり、理
想的には、その出力値からは入力文字列に関して何の情
報も得ることができないことが望ましい。このハッシュ
手段200にセッション鍵ssと公開情報phが入力さ
れ、ss及びphがハッシュされて、共通鍵暗号暗号化
手段300が必要とする長さのハッシュ値が共通鍵hs
として生成される。共通鍵暗号暗号化手段300は暗号
化すべき平文mと暗号化鍵、つまり共通鍵hsを入力と
して、mをskで暗号化した暗号文c=Esk(m)を出
力する。この共通鍵暗号暗号化手段300は、受動的攻
撃に対して強秘匿でなければならない。受動的攻撃に対
して強秘匿であるとは、攻撃者が、任意に選んだ二つの
平文m0,m1のいずれか一方に対する暗号文cを入手
してこれがいずれの平文を暗号化した結果であるかを1
/2よりも有意に大きい確率で言い当てることができな
いことを指す。One-time-padはこの性質をもつ共通鍵暗
号の代表例である。
を一定の長さに非可逆圧縮して出力する手段であり、理
想的には、その出力値からは入力文字列に関して何の情
報も得ることができないことが望ましい。このハッシュ
手段200にセッション鍵ssと公開情報phが入力さ
れ、ss及びphがハッシュされて、共通鍵暗号暗号化
手段300が必要とする長さのハッシュ値が共通鍵hs
として生成される。共通鍵暗号暗号化手段300は暗号
化すべき平文mと暗号化鍵、つまり共通鍵hsを入力と
して、mをskで暗号化した暗号文c=Esk(m)を出
力する。この共通鍵暗号暗号化手段300は、受動的攻
撃に対して強秘匿でなければならない。受動的攻撃に対
して強秘匿であるとは、攻撃者が、任意に選んだ二つの
平文m0,m1のいずれか一方に対する暗号文cを入手
してこれがいずれの平文を暗号化した結果であるかを1
/2よりも有意に大きい確率で言い当てることができな
いことを指す。One-time-padはこの性質をもつ共通鍵暗
号の代表例である。
【0014】署名手段400は、暗号文cと乱数rを入
力として、cを署名対象文書とし、rを秘密鍵(phを
公開鍵)とした署名Sを生成する。この署名手段400
は適応的選択文書攻撃に対して潜在的偽造が不可能な署
名手段でなければならない。出力部20は公開情報p
h、暗号文c、署名Sを暗号文C=(ph,c,S)と
して出力する。暗号化装置の動作手順を図2に示す。乱
数rを生成し(S1)、受信者の公開鍵pkを取得し
(S2) 公開鍵pkおよび乱数rを用いて、セッション鍵配送の
手段により、セッション鍵回復のための公開情報ph
と、セッション鍵ssを生成する(S3)。
力として、cを署名対象文書とし、rを秘密鍵(phを
公開鍵)とした署名Sを生成する。この署名手段400
は適応的選択文書攻撃に対して潜在的偽造が不可能な署
名手段でなければならない。出力部20は公開情報p
h、暗号文c、署名Sを暗号文C=(ph,c,S)と
して出力する。暗号化装置の動作手順を図2に示す。乱
数rを生成し(S1)、受信者の公開鍵pkを取得し
(S2) 公開鍵pkおよび乱数rを用いて、セッション鍵配送の
手段により、セッション鍵回復のための公開情報ph
と、セッション鍵ssを生成する(S3)。
【0015】次に、hとssとに対しハッシュ関数を適
用して共通鍵暗号による暗号化に必要とする長さのハッ
シュ値を共通鍵hsとして生成する(S4)。平文mを
共通鍵hsにより暗号化して暗号文cを作成する(S
5)。暗号文cに対する署名Sを、乱数rを秘密鍵(公
開情報phを公開鍵)として生成する(S6)。この
(h,c,S)の三つ組みを暗号文Cとして出力し、例
えば受信者の装置へ送信する(S7)。
用して共通鍵暗号による暗号化に必要とする長さのハッ
シュ値を共通鍵hsとして生成する(S4)。平文mを
共通鍵hsにより暗号化して暗号文cを作成する(S
5)。暗号文cに対する署名Sを、乱数rを秘密鍵(公
開情報phを公開鍵)として生成する(S6)。この
(h,c,S)の三つ組みを暗号文Cとして出力し、例
えば受信者の装置へ送信する(S7)。
【0016】ステップS1の乱数rの生成と、ステップ
S2の公開鍵pkの取得は何れを先に行ってもよい。平
文mは通常、一旦記憶部10に格納したのを読み出して
共通鍵hsにより暗号化する。この発明の復号装置の実
施形態を図3に示す。復号装置は署名検証手段500、
セッション鍵復号手段600、ハッシュ手段700,共
通鍵暗号復号手段800から構成される。署名検証手段
500は公開情報ph、暗号文c、署名Sを入力して、
暗号文cを署名対象文書、Sをその署名とした場合にこ
れが公開情報phに対する正しい署名文書対となること
を検証する。この検証に不合格(NG)であれば暗号文
Cは不正であるとして処理を停止し、そのことを例えば
図に示していない表示器に表示する。合格であればその
ことをセッション鍵復号手段600へ通知する。
S2の公開鍵pkの取得は何れを先に行ってもよい。平
文mは通常、一旦記憶部10に格納したのを読み出して
共通鍵hsにより暗号化する。この発明の復号装置の実
施形態を図3に示す。復号装置は署名検証手段500、
セッション鍵復号手段600、ハッシュ手段700,共
通鍵暗号復号手段800から構成される。署名検証手段
500は公開情報ph、暗号文c、署名Sを入力して、
暗号文cを署名対象文書、Sをその署名とした場合にこ
れが公開情報phに対する正しい署名文書対となること
を検証する。この検証に不合格(NG)であれば暗号文
Cは不正であるとして処理を停止し、そのことを例えば
図に示していない表示器に表示する。合格であればその
ことをセッション鍵復号手段600へ通知する。
【0017】セッション鍵復号手段600は、署名検証
合格通知と公開情報phを入力し、これを生成する際に
用いた公開鍵pkと対応する秘密鍵skを用いてphを
処理して、セッション鍵ssを得る。skはこの装置の
記憶部50に格納されてある。ハッシュ手段700は暗
号化装置で用いるハッシュ手段200と同一のものであ
り、セッション鍵ssと公開情報phを入力して、これ
らをハッシュしそのハッシュ値を共通鍵hsとして出力
する。
合格通知と公開情報phを入力し、これを生成する際に
用いた公開鍵pkと対応する秘密鍵skを用いてphを
処理して、セッション鍵ssを得る。skはこの装置の
記憶部50に格納されてある。ハッシュ手段700は暗
号化装置で用いるハッシュ手段200と同一のものであ
り、セッション鍵ssと公開情報phを入力して、これ
らをハッシュしそのハッシュ値を共通鍵hsとして出力
する。
【0018】共通鍵暗号復号手段800は、暗号化装置
の共通鍵暗号暗号化手段300に対応する復号手段であ
り、暗号文cと共通鍵hsを入力して、cをhsにより
復号し、平文mを出力する。図4を参照してこの復号装
置の動作手順を説明する。入力部60に暗号文Cが入力
され、例えば受信入力されると必要に応じて記憶部50
に一時格納するなどの受信処理を行い(S1)、入力さ
れた公開情報ph、暗号文c、署名S中のcを署名対象
文書、Sを署名と見なした場合にそれらが公開情報ph
に対する正しい署名文書対となることを検証する(S
2)。
の共通鍵暗号暗号化手段300に対応する復号手段であ
り、暗号文cと共通鍵hsを入力して、cをhsにより
復号し、平文mを出力する。図4を参照してこの復号装
置の動作手順を説明する。入力部60に暗号文Cが入力
され、例えば受信入力されると必要に応じて記憶部50
に一時格納するなどの受信処理を行い(S1)、入力さ
れた公開情報ph、暗号文c、署名S中のcを署名対象
文書、Sを署名と見なした場合にそれらが公開情報ph
に対する正しい署名文書対となることを検証する(S
2)。
【0019】この検証に不合格となる場合は、暗号文を
不正と見なして処理の実行を中止する(S3)。この署
名検証が合格となると、記憶部50から秘密鍵skを取
り出し(S4)、秘密鍵skにより公開情報phを復号
して、セッション鍵ssを取得する(S5)。セッショ
ン鍵ssと公開情報phに対しハッシュ関数を適用し
て、そのハッシュ値を共通鍵hsとして生成する(S
6)。この共通鍵hsによって、暗号文cを復号して平
文mを得る(S7)。この平文mを表示器、プリンタ、
送信機などの出力部70へ出力する。
不正と見なして処理の実行を中止する(S3)。この署
名検証が合格となると、記憶部50から秘密鍵skを取
り出し(S4)、秘密鍵skにより公開情報phを復号
して、セッション鍵ssを取得する(S5)。セッショ
ン鍵ssと公開情報phに対しハッシュ関数を適用し
て、そのハッシュ値を共通鍵hsとして生成する(S
6)。この共通鍵hsによって、暗号文cを復号して平
文mを得る(S7)。この平文mを表示器、プリンタ、
送信機などの出力部70へ出力する。
【0020】暗号化装置においてハッシュ手段200へ
の入力はセッション鍵ssのみとしてもよく、その場合
は復号装置におけるハッシュ手段700への入力は復号
したセッション鍵ssのみとする。実施例 以下に具体的実施例を説明する。セッション鍵配送手段
100およびセッション鍵復号手段600としてRSA
暗号による鍵配送を用い、ハッシュ手段200及び70
0として関数SHA−1を用い、共通鍵暗号暗号化手段
300、復号手段800として、128bit鍵長ブロ
ック暗号を用い、署名手段400、署名検証手段800
として、Guillow-Quisquater署名を用いた場合である。
の入力はセッション鍵ssのみとしてもよく、その場合
は復号装置におけるハッシュ手段700への入力は復号
したセッション鍵ssのみとする。実施例 以下に具体的実施例を説明する。セッション鍵配送手段
100およびセッション鍵復号手段600としてRSA
暗号による鍵配送を用い、ハッシュ手段200及び70
0として関数SHA−1を用い、共通鍵暗号暗号化手段
300、復号手段800として、128bit鍵長ブロ
ック暗号を用い、署名手段400、署名検証手段800
として、Guillow-Quisquater署名を用いた場合である。
【0021】受信者の装置の公開鍵pkはRSA暗号の
公開鍵とする。すなわち、pk=(n,e)であり、n
は大きな2つの素数p,qの積であり、eは160bi
t以上の素数とする。対応する秘密鍵skはsk=
(n,d)であり、dはed=1modLCM(p−1,
q−1)となる整数である。LCM(A,B)はAとB
の最小公倍数を表わす。乱数rはr<nを満たすものと
する。セッション鍵配送手段100は公開鍵pk=
(n,e)を用いて公開情報phおよびセッション鍵s
sを次式で算出して出力する。
公開鍵とする。すなわち、pk=(n,e)であり、n
は大きな2つの素数p,qの積であり、eは160bi
t以上の素数とする。対応する秘密鍵skはsk=
(n,d)であり、dはed=1modLCM(p−1,
q−1)となる整数である。LCM(A,B)はAとB
の最小公倍数を表わす。乱数rはr<nを満たすものと
する。セッション鍵配送手段100は公開鍵pk=
(n,e)を用いて公開情報phおよびセッション鍵s
sを次式で算出して出力する。
【0022】ph=re modn,ss=r
このphとssの2進表現をビット結合して一つのビッ
ト列と見なし(以降、a‖bはaとbの2進表現のビッ
ト結合を表すものとする)、これをハッシュ手段200
へ入力する。ハッシュ手段200で入力されたビット列
にハッシュ関数SHA−1が適用され、その関数値出力
のうち、先頭から128ビットを取り出して、それを共
通鍵hsとする。共通鍵暗号暗号化手段300におい
て、共通鍵hsにより平文mをブロック暗号暗号化して
暗号文cを得る。
ト列と見なし(以降、a‖bはaとbの2進表現のビッ
ト結合を表すものとする)、これをハッシュ手段200
へ入力する。ハッシュ手段200で入力されたビット列
にハッシュ関数SHA−1が適用され、その関数値出力
のうち、先頭から128ビットを取り出して、それを共
通鍵hsとする。共通鍵暗号暗号化手段300におい
て、共通鍵hsにより平文mをブロック暗号暗号化して
暗号文cを得る。
【0023】署名手段400において、秘密鍵をr、公
開鍵ph=re modn、署名対象文書を暗号文cとするG
uillow-Quisquater署名Sを以下のように生成する。ま
ず、0<w<nなる乱数wを生成し、u=H(c‖we
modn)を計算する。ここで、H()は予め定められた
ハッシュ関数である。次に、s=wru modnを求め、
S=(u,s)とする。このようにして生成した暗号文
C=(h,c,S)の復号は以下の手順で行う。
開鍵ph=re modn、署名対象文書を暗号文cとするG
uillow-Quisquater署名Sを以下のように生成する。ま
ず、0<w<nなる乱数wを生成し、u=H(c‖we
modn)を計算する。ここで、H()は予め定められた
ハッシュ関数である。次に、s=wru modnを求め、
S=(u,s)とする。このようにして生成した暗号文
C=(h,c,S)の復号は以下の手順で行う。
【0024】まず、署名検証手段500において、検証
式u=H(c‖se ph-umodn)が成立するか否かに
よりGuillow-Quisquater署名Sを検証する。検証に不合
格ならば手順を中止する。合格する場合は次の手順に進
む。セッション鍵復号手段600により、秘密鍵sk=
(d,n)を用いて、RSA復号を実行する。すなわ
ち、phからr=phd modnを計算してrを復号す
る。次に、r‖phをハッシュ手段700に入力して関
数SHA−1を適用してそのハッシュ値の先頭から12
8ビットを共通鍵hsとする。共通鍵復号手段800に
おいて、共通鍵hsにより入力暗号文cを復号し、平文
mを得る。
式u=H(c‖se ph-umodn)が成立するか否かに
よりGuillow-Quisquater署名Sを検証する。検証に不合
格ならば手順を中止する。合格する場合は次の手順に進
む。セッション鍵復号手段600により、秘密鍵sk=
(d,n)を用いて、RSA復号を実行する。すなわ
ち、phからr=phd modnを計算してrを復号す
る。次に、r‖phをハッシュ手段700に入力して関
数SHA−1を適用してそのハッシュ値の先頭から12
8ビットを共通鍵hsとする。共通鍵復号手段800に
おいて、共通鍵hsにより入力暗号文cを復号し、平文
mを得る。
【0025】セッション鍵配送手段100およびセッシ
ョン鍵復号手段600としてDiffie-Hellman鍵配送を用
いると同時に、署名手段400、署名検証手段500と
してSchnorr署名、DSA署名、ElGamal
署名等の離散対数に基づく署名方法を用いてもよい。ハ
ッシュ手段への入力は、ssのみとしても良い。図1に
示した暗号化装置、図2に示した復号装置をそれぞれコ
ンピュータにより暗号化プログラム、復号プログラムを
実行させて機能させてもよい。この場合は、それぞれ暗
号化プログラムを暗号化装置に、復号プログラムを復号
装置に、CD−ROM、可撓性磁気ディスクからインス
トールし、又は通信回線を介してダウンロードして、そ
れらのプログラムを実行させればよい。暗号化プログラ
ムは例えば図2に示した方法をコンピュータに実行させ
るためのプログラムであり、復号プログラムは例えば図
4に示したプログラムをコンピュータに実行させるため
のプログラムである。
ョン鍵復号手段600としてDiffie-Hellman鍵配送を用
いると同時に、署名手段400、署名検証手段500と
してSchnorr署名、DSA署名、ElGamal
署名等の離散対数に基づく署名方法を用いてもよい。ハ
ッシュ手段への入力は、ssのみとしても良い。図1に
示した暗号化装置、図2に示した復号装置をそれぞれコ
ンピュータにより暗号化プログラム、復号プログラムを
実行させて機能させてもよい。この場合は、それぞれ暗
号化プログラムを暗号化装置に、復号プログラムを復号
装置に、CD−ROM、可撓性磁気ディスクからインス
トールし、又は通信回線を介してダウンロードして、そ
れらのプログラムを実行させればよい。暗号化プログラ
ムは例えば図2に示した方法をコンピュータに実行させ
るためのプログラムであり、復号プログラムは例えば図
4に示したプログラムをコンピュータに実行させるため
のプログラムである。
【0026】
【発明の効果】第1の効果は、暗号化および復号の計算
量が少ないことにある。その理由は、従来のdouble enc
ryptionによる二回暗号化を施す構成方法に対して、こ
の発明では、セッション鍵配送手段および共通鍵暗号暗
号化手段を一度しか実行しないためである。復号におい
ても同様の理由で計算量は小さくて済む。第2の効果
は、鍵配送方法、署名方法、秘密鍵暗号方法がそれぞれ
安全ならば、この発明装置により作られた暗号文Cは適
応的選択暗号文攻撃に対して安全であることを示すこと
ができることである。
量が少ないことにある。その理由は、従来のdouble enc
ryptionによる二回暗号化を施す構成方法に対して、こ
の発明では、セッション鍵配送手段および共通鍵暗号暗
号化手段を一度しか実行しないためである。復号におい
ても同様の理由で計算量は小さくて済む。第2の効果
は、鍵配送方法、署名方法、秘密鍵暗号方法がそれぞれ
安全ならば、この発明装置により作られた暗号文Cは適
応的選択暗号文攻撃に対して安全であることを示すこと
ができることである。
【0027】その理由は、以下の通りである。平文mに
対するこの発明装置による暗号文(ph,c,S)を攻
撃者が入手して、さらに、適応的に選択した暗号文(p
h′,c′,S′)に対する復号結果m′を入手した場
合を想定する。ここで、(ph,c,S)と(ph′,
c′,S′)は完全一致ではないとする。署名手段によ
って署名Sを添付したことにより、phとph′が等し
い場合に署名検証に成功し(c,S)と(c′,S′)
が異なるような場合には、公開鍵をphとする署名の偽
造に成功したことになる。署名手段が十分安全ならば、
このような偽造は不可能である。従って、攻撃者が適応
的に選択した暗号文ではphとph′が等しくなるはず
がない。一方、生成したセッション鍵ssからハッシュ
手段を通じて暗号化鍵hsを作成するため、ハッシユ手
段としてその入出力関係が無相関になるような十分安全
なハッシュであると仮定すると、鍵配送手段の復号結果
ssを完全に(1ビットの情報の欠落もなく)知り得た
場合にしか暗号文cの復号に必要な情報hsを得ること
ができない。よって、phとph′が異なる場合には、
ハッシュの出力hsとhs′が入力とは無相関に変化
し、mとm′は何ら相関を持たないことになり、m′か
らmの情報を得ることはできない。さらに、秘密鍵暗号
による暗号化が安全ならばc単体からmに関する情報を
得ることもできない。よって、鍵配送方法、署名方法、
秘密鍵暗号方法がそれぞれ安全ならば、この暗号化装置
による暗号文は適応的選択暗号文攻撃に対して安全とい
える。
対するこの発明装置による暗号文(ph,c,S)を攻
撃者が入手して、さらに、適応的に選択した暗号文(p
h′,c′,S′)に対する復号結果m′を入手した場
合を想定する。ここで、(ph,c,S)と(ph′,
c′,S′)は完全一致ではないとする。署名手段によ
って署名Sを添付したことにより、phとph′が等し
い場合に署名検証に成功し(c,S)と(c′,S′)
が異なるような場合には、公開鍵をphとする署名の偽
造に成功したことになる。署名手段が十分安全ならば、
このような偽造は不可能である。従って、攻撃者が適応
的に選択した暗号文ではphとph′が等しくなるはず
がない。一方、生成したセッション鍵ssからハッシュ
手段を通じて暗号化鍵hsを作成するため、ハッシユ手
段としてその入出力関係が無相関になるような十分安全
なハッシュであると仮定すると、鍵配送手段の復号結果
ssを完全に(1ビットの情報の欠落もなく)知り得た
場合にしか暗号文cの復号に必要な情報hsを得ること
ができない。よって、phとph′が異なる場合には、
ハッシュの出力hsとhs′が入力とは無相関に変化
し、mとm′は何ら相関を持たないことになり、m′か
らmの情報を得ることはできない。さらに、秘密鍵暗号
による暗号化が安全ならばc単体からmに関する情報を
得ることもできない。よって、鍵配送方法、署名方法、
秘密鍵暗号方法がそれぞれ安全ならば、この暗号化装置
による暗号文は適応的選択暗号文攻撃に対して安全とい
える。
【図1】この発明による暗号化装置の機能構成例を示す
図。
図。
【図2】図1に示した装置の処理手順の例を示す流れ
図。
図。
【図3】この発明による暗号復号装置の機能構成例を示
す図。
す図。
【図4】図3に示した装置の処理手順の例を示す流れ
図。
図。
Claims (6)
- 【請求項1】 受信者の公開鍵pkおよび乱数rが入力
され、セッション鍵ssとセッション鍵復号のための公
開情報phとを生成するセッション鍵配送手段と、 上記セッション鍵ssが入力され、そのセッション鍵s
sをハッシュして共通鍵hsを生成するハッシュ手段
と、 平文mと上記共通鍵hsが入力され、共通鍵hsにより
平文mを暗号化して暗号文cを生成する共通鍵暗号暗号
化手段と、 上記乱数rと上記暗号文cが入力され、乱数rを秘密
鍵、上記公開情報phを公開鍵として暗号文cに対する
署名Sを生成する署名手段と、 上記公開情報ph、上記暗号文c、上記署名Sを暗号文
Cとして出力する出力手段と、 を具備する公開検証可能暗号化装置。 - 【請求項2】 上記ハッシュ手段は上記公開情報phも
入力され、上記セッション鍵ssと上記公開情報phに
対してハッシュして上記共通鍵hsを生成する手段であ
ることを特徴とする請求項1記載の公開検証可能暗号化
装置。 - 【請求項3】 公開情報ph、暗号文c及び署名Sより
なる暗号文Cが入力され、署名Sが公開情報phを公開
鍵とする暗号文cに対する正しい署名であることを検証
する署名検証手段と、 秘密鍵skと上記公開情報phが入力され、秘密鍵sk
で公開情報phを復号してセッション鍵ssを得るセッ
ション鍵復号手段と、 上記セッション鍵ssが入力され、そのセッション鍵s
sに対してハッシュして共通鍵hsを生成するハッシュ
手段と、 上記署名検証手段により正しい署名であると検証された
暗号文cと共通鍵hsが入力され、暗号文cを共通鍵h
sで復号して平文mを出力する共通鍵暗号復号手段とを
具備する公開検証可能暗号復号装置。 - 【請求項4】 上記ハッシュ手段は、上記公開情報ph
も入力され、上記セッション鍵ssと上記公開情報ph
に対してハッシュして上記共通鍵hsを生成する手段で
あることを特徴とする請求項3記載の公開検証可能暗号
復号装置。 - 【請求項5】 乱数rを生成する処理と、 受信者の公開鍵pkを取得する処理と、 上記公開鍵pkおよび上記乱数rを用いてセッション鍵
配送処理によりセッション鍵ssとセッション鍵復号の
ための公開情報phとを生成する処理と、 少くとも上記セッション鍵ssに対しハッシュ関数を適
用して共通鍵hsを生成する処理と、 上記共通鍵hsを用いて平文mを共通鍵暗号により暗号
化して暗号文cを生成する処理と、 上記乱数rを秘密鍵、上記公開情報phを公開鍵として
上記暗号文cに対する署名Sを生成する処理と、 上記公開情報ph、上記暗号文c、上記署名Sを暗号文
Cとして出力する処理とをコンピュータに実行させるた
めの暗号化プログラム。 - 【請求項6】 入力された公開情報ph、暗号文c及び
署名Sよりなる暗号文Cを受信する処理と、 署名Sが公開情報phを公開鍵とする暗号文cに対する
正しい署名であることを検証する処理と、 秘密鍵skを記憶部より取り出す処理と、 上記秘密鍵skで上記公開情報phをセッション鍵復号
処理により復号してセッション鍵ssを生成する処理
と、 少くとも上記セッション鍵ssに対してハッシュ関数を
適用して共通鍵hsを生成する処理と、 上記署名検証処理により正しい署名であると検証された
暗号文cに対し共通鍵hsで共通鍵暗号復号により平文
mを生成する処理と、 上記平文mを送出する処理とをコンピュータに実行させ
るための暗号復号プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001371405A JP2003173139A (ja) | 2001-12-05 | 2001-12-05 | 公開検証可能暗号化装置、その復号装置、暗号化プログラムおよび復号プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001371405A JP2003173139A (ja) | 2001-12-05 | 2001-12-05 | 公開検証可能暗号化装置、その復号装置、暗号化プログラムおよび復号プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003173139A true JP2003173139A (ja) | 2003-06-20 |
Family
ID=19180456
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001371405A Pending JP2003173139A (ja) | 2001-12-05 | 2001-12-05 | 公開検証可能暗号化装置、その復号装置、暗号化プログラムおよび復号プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003173139A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005295164A (ja) * | 2004-03-31 | 2005-10-20 | Fujitsu Fip Corp | 共通鍵暗号方式における安全な秘密鍵配送方法およびプログラム |
| JP2008124988A (ja) * | 2006-11-15 | 2008-05-29 | Nippon Telegr & Teleph Corp <Ntt> | 公開鍵暗号方法、暗号化装置、復号化装置、公開鍵暗号システム、プログラムおよび記録媒体 |
| JP2013048417A (ja) * | 2011-08-29 | 2013-03-07 | Thomson Licensing | signcryption方法と装置及び対応するsigncryption検証方法と装置 |
-
2001
- 2001-12-05 JP JP2001371405A patent/JP2003173139A/ja active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005295164A (ja) * | 2004-03-31 | 2005-10-20 | Fujitsu Fip Corp | 共通鍵暗号方式における安全な秘密鍵配送方法およびプログラム |
| JP2008124988A (ja) * | 2006-11-15 | 2008-05-29 | Nippon Telegr & Teleph Corp <Ntt> | 公開鍵暗号方法、暗号化装置、復号化装置、公開鍵暗号システム、プログラムおよび記録媒体 |
| JP2013048417A (ja) * | 2011-08-29 | 2013-03-07 | Thomson Licensing | signcryption方法と装置及び対応するsigncryption検証方法と装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10530585B2 (en) | Digital signing by utilizing multiple distinct signing keys, distributed between two parties | |
| US9882717B2 (en) | System and method for generating a server-assisted strong password from a weak secret | |
| JP4774492B2 (ja) | 認証システム及び遠隔分散保存システム | |
| Klíma et al. | Attacking RSA-based sessions in SSL/TLS | |
| US7574596B2 (en) | Cryptographic method and apparatus | |
| US7899184B2 (en) | Ends-messaging protocol that recovers and has backward security | |
| US6697488B1 (en) | Practical non-malleable public-key cryptosystem | |
| Kirkwood et al. | Failure is not an option: Standardization issues for post-quantum key agreement | |
| US20060083370A1 (en) | RSA with personalized secret | |
| US7986778B2 (en) | Cryptographic method and apparatus | |
| US20050005100A1 (en) | Cryptographic method and system | |
| CN111211897B (zh) | 一种基于随机预言模型的时间控制加密安全增强方法 | |
| US20080013721A1 (en) | Asymmetric cryptography with discretionary private key | |
| Boyd | Modern data encryption | |
| WO2015173827A1 (en) | Methods and devices for securing keys when key-management processes are subverted by an adversary | |
| Dent | Hybrid cryptography | |
| US20050240762A1 (en) | Cryptographic method and apparatus | |
| KR100396740B1 (ko) | 계산적 디피-헬만 가정에 기반하는 안전성 증명 가능한공개키 암호화 방법 | |
| Mu et al. | m out of n Oblivious Transfer | |
| US20050021973A1 (en) | Cryptographic method and apparatus | |
| JP2006319485A (ja) | 署名装置、署名暗号化装置、検証装置、復号装置、復元装置、情報提供装置、通信システム、署名方法、署名暗号化方法及び検証方法 | |
| JP2003173139A (ja) | 公開検証可能暗号化装置、その復号装置、暗号化プログラムおよび復号プログラム | |
| KR100323799B1 (ko) | 안전성이 증명가능한 타원곡선 공개키 암호화 시스템 | |
| Yeun | Design, analysis and applications of cryptographic techniques | |
| Duc et al. | DiAE: Re-rolling the DiSE |