JP2003521197A - 鍵暗号化の供託および回復システムによる通信方法 - Google Patents
鍵暗号化の供託および回復システムによる通信方法Info
- Publication number
- JP2003521197A JP2003521197A JP2001555258A JP2001555258A JP2003521197A JP 2003521197 A JP2003521197 A JP 2003521197A JP 2001555258 A JP2001555258 A JP 2001555258A JP 2001555258 A JP2001555258 A JP 2001555258A JP 2003521197 A JP2003521197 A JP 2003521197A
- Authority
- JP
- Japan
- Prior art keywords
- key
- entity
- session key
- session
- cipher
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
(57)【要約】
本発明は、通信セッションを開始するエンティティが、該エンティティの秘密鍵(Sa)と初期値(IV)とにより初期化される疑似ランダムジェネレータを用いてセッション鍵(SK)を生成する方法に関する。メッセージは、セッション鍵により符号化される。セッション鍵については、供託機関(Ta)により検索することができ、供託機関(Ta)は、秘密鍵(Sa)をアーカイブし、かつ、初期値(IV)を回復することができる。本発明は、安全な通信システムに応用可能である。
Description
【0001】
本発明の目的は、鍵暗号化の供託(escrow)および回復(recovery)処理を考
慮に入れる通信方法である。これらの処理は、1つまたは幾つかの予め定義され
た団体(例えば、会社のネットワークのセキュリティ管理者、信頼された第三者
、および、場合によっては、実際の暗号化システムユーザー)に、必要であれば
、通信中に用いられ、交換されたデータに基づくセッション鍵を回復する可能性
を保証する。セッション鍵を回復する可能性は、社内において鍵を合法的に傍受
または回復する必要性から生じ得る。
慮に入れる通信方法である。これらの処理は、1つまたは幾つかの予め定義され
た団体(例えば、会社のネットワークのセキュリティ管理者、信頼された第三者
、および、場合によっては、実際の暗号化システムユーザー)に、必要であれば
、通信中に用いられ、交換されたデータに基づくセッション鍵を回復する可能性
を保証する。セッション鍵を回復する可能性は、社内において鍵を合法的に傍受
または回復する必要性から生じ得る。
【0002】
本発明は、安全な通信サービスにおける応用性を有する。
【0003】
本質的には、2人の話者またはエンティティa,b間の通信中に交換されたデ
ータから、この通信を解読するために用いられるセッション鍵を再構築する能力
を、1つまたは幾つかの供託機関に保証する2つのタイプの鍵供託/回復技術が
存在する。これら2つのタイプの技術については、エンティティと1つまたは複
数の供託機関との間における各々の通信中に発生するデータ交換を一切必要とせ
ずに導入することができる(“オフライン”として知られている方法)。
ータから、この通信を解読するために用いられるセッション鍵を再構築する能力
を、1つまたは幾つかの供託機関に保証する2つのタイプの鍵供託/回復技術が
存在する。これら2つのタイプの技術については、エンティティと1つまたは複
数の供託機関との間における各々の通信中に発生するデータ交換を一切必要とせ
ずに導入することができる(“オフライン”として知られている方法)。
【0004】
〈タイプ1:供託機関により鍵を分配するための静的鍵(static key)のファ
イリング〉 このタイプの技術は、話者の間で確立されたセッション鍵が、該話者のうちの
1人(例えば、b)による静的秘密鍵(すなわち、セッション毎に更新されない
鍵)の所有権に依存する鍵交換プロトコルを用いる場合のシステムに適用される
。鍵交換プロトコルにおいてbにより用いられる秘密鍵は、供託機関によってフ
ァイリングされる(または、幾つかの供託機関の間で分配される)。この秘密鍵
の所有権によって、1つまたは複数の供託機関が、必要に応じて、aとbとの間
において交換された全てのセッション鍵を、この鍵を確立するためのプロトコル
において用いられたメッセージから再構築することが可能となる。この鍵の供託
および回復方法の一例は、"Lecture Notes in Computer Science 1029, Cryptog
raphy Policy and Algorithms Conference"(Springer Verlag社、1996年)
の第98〜104頁に掲載された"A Proposed Architecture for Trusted Third
Party Services"(N.ジェフリーズ(Jefferies)、C.ミッチェル(Mitchel
l)、および、M.ウォーカー(Walker)著)という論文に提供されている。こ
れは、この第1のタイプの技術における主要な方法の1つであり、現在では、欧
州において検討されている。
イリング〉 このタイプの技術は、話者の間で確立されたセッション鍵が、該話者のうちの
1人(例えば、b)による静的秘密鍵(すなわち、セッション毎に更新されない
鍵)の所有権に依存する鍵交換プロトコルを用いる場合のシステムに適用される
。鍵交換プロトコルにおいてbにより用いられる秘密鍵は、供託機関によってフ
ァイリングされる(または、幾つかの供託機関の間で分配される)。この秘密鍵
の所有権によって、1つまたは複数の供託機関が、必要に応じて、aとbとの間
において交換された全てのセッション鍵を、この鍵を確立するためのプロトコル
において用いられたメッセージから再構築することが可能となる。この鍵の供託
および回復方法の一例は、"Lecture Notes in Computer Science 1029, Cryptog
raphy Policy and Algorithms Conference"(Springer Verlag社、1996年)
の第98〜104頁に掲載された"A Proposed Architecture for Trusted Third
Party Services"(N.ジェフリーズ(Jefferies)、C.ミッチェル(Mitchel
l)、および、M.ウォーカー(Walker)著)という論文に提供されている。こ
れは、この第1のタイプの技術における主要な方法の1つであり、現在では、欧
州において検討されている。
【0005】
〈タイプ2:合法的フィールドによる動的暗号鍵(dynamic encryption key)
(セッション鍵)の回復〉 前述の技術に対して、この第2のタイプの技術は、セッション鍵の交換中に用
いられる静的秘密鍵を事前にファイリングすることを必要としないが、供託機関
のみが理解できるフォーマットの形でセッション鍵SKに関する情報を含む1つ
または幾つかの合法的フィールド(legal fields)を、安全な通信中にaとbと
の間において交換されるメッセージ内に挿入することを必要とする。セッション
鍵SK(または、この鍵に関する情報)については、例えば、供託機関のRSA
公開鍵を用いて符号化することができる。IBM社が提唱する“安全な鍵回復(
Secure Key Recovery)”(SKR)プロトコルが、このタイプの技術に含まれ
る。
(セッション鍵)の回復〉 前述の技術に対して、この第2のタイプの技術は、セッション鍵の交換中に用
いられる静的秘密鍵を事前にファイリングすることを必要としないが、供託機関
のみが理解できるフォーマットの形でセッション鍵SKに関する情報を含む1つ
または幾つかの合法的フィールド(legal fields)を、安全な通信中にaとbと
の間において交換されるメッセージ内に挿入することを必要とする。セッション
鍵SK(または、この鍵に関する情報)については、例えば、供託機関のRSA
公開鍵を用いて符号化することができる。IBM社が提唱する“安全な鍵回復(
Secure Key Recovery)”(SKR)プロトコルが、このタイプの技術に含まれ
る。
【0006】
これら2つのタイプの技術は、異なる国または別個の管轄区の話者の間で用い
られることが望まれるオープンアプリケーションの保護(例えば、安全な電子メ
ールシステム)に関して、ある欠点を呈している。安全なアプリケーションが国
際間の通信のために用いられそうな場合には、以下の2つの条件が満たされるべ
きである: (i)全ての関連通信に関して、各々の国は、このアプリケーションのために
、鍵の供託/回復システムを配置するか否かを自由に決めることができる必要が
ある。 (ii)鍵の供託/回復システムを適所に備えた各々の国において、国際間の通
信を符号化するためのセッション鍵を万一の場合には回復する資格を与えられた
機関は、このことを、各々の傍受毎に、他国の機関と協力する必要なしに行うこ
とができる必要がある。
られることが望まれるオープンアプリケーションの保護(例えば、安全な電子メ
ールシステム)に関して、ある欠点を呈している。安全なアプリケーションが国
際間の通信のために用いられそうな場合には、以下の2つの条件が満たされるべ
きである: (i)全ての関連通信に関して、各々の国は、このアプリケーションのために
、鍵の供託/回復システムを配置するか否かを自由に決めることができる必要が
ある。 (ii)鍵の供託/回復システムを適所に備えた各々の国において、国際間の通
信を符号化するためのセッション鍵を万一の場合には回復する資格を与えられた
機関は、このことを、各々の傍受毎に、他国の機関と協力する必要なしに行うこ
とができる必要がある。
【0007】
これにより、前述した既知の技術は、部分的にのみであっても、以下の条件を
満たさなくなる: − 第1のタイプの方法に関して、関連セッション鍵の分配方法が、公開鍵の
暗号化(詳細には、この用途のために、非常に多くのセキュリティ製品において
用いられているRSA暗号化)に依存する場合には、国際間の協力がなければ、
鍵分配のために用いられる秘密鍵がファイリングされた国においてのみ、通信に
おけるセッション鍵の回復が可能となるだけであること。この問題は、ある著者
たちに、ディフィー−ヘルマン(Diffie-Hellman)の概論と類似した、より対称
的な鍵交換方法に依存する鍵の供託/回復システムを唱道させている(前述した
N.ジェフリーズらの論文を参照)。これらのシステムは、前述の条件(ii)を
満たし、かつ、場合によっては、ある適合によって、条件(i)をさらに満たす
こともできるが、これらのシステムは、RSAアルゴリズムの利用を顕著に除外
するという強い制約を、鍵分配のために用いられる方法に対してもたらす。 − 第2のタイプの方法に関して、合法的フィールドを用いて宛先国において
鍵を回復することは、宛先国に適合する鍵供託/回復技術を送信国が確立してい
ること(すなわち、合法的フィールドの送信が宛先国の供託機関にとって理解で
きるものであること)に依存すること。この制約は、前述の条件(i)と矛盾す
る。
満たさなくなる: − 第1のタイプの方法に関して、関連セッション鍵の分配方法が、公開鍵の
暗号化(詳細には、この用途のために、非常に多くのセキュリティ製品において
用いられているRSA暗号化)に依存する場合には、国際間の協力がなければ、
鍵分配のために用いられる秘密鍵がファイリングされた国においてのみ、通信に
おけるセッション鍵の回復が可能となるだけであること。この問題は、ある著者
たちに、ディフィー−ヘルマン(Diffie-Hellman)の概論と類似した、より対称
的な鍵交換方法に依存する鍵の供託/回復システムを唱道させている(前述した
N.ジェフリーズらの論文を参照)。これらのシステムは、前述の条件(ii)を
満たし、かつ、場合によっては、ある適合によって、条件(i)をさらに満たす
こともできるが、これらのシステムは、RSAアルゴリズムの利用を顕著に除外
するという強い制約を、鍵分配のために用いられる方法に対してもたらす。 − 第2のタイプの方法に関して、合法的フィールドを用いて宛先国において
鍵を回復することは、宛先国に適合する鍵供託/回復技術を送信国が確立してい
ること(すなわち、合法的フィールドの送信が宛先国の供託機関にとって理解で
きるものであること)に依存すること。この制約は、前述の条件(i)と矛盾す
る。
【0008】
"Communications of the ACM"(第39巻、No.3、1996年3月)にお
いて出版されたD.E.デニング(Denning)の論文"Descriptions of Key Escr
ow Systems"、および、"Communications of the ACM"(第39巻、No.3、1
996年3月)において出版されたD.E.デニング(Denning)/D.K.ブ
ランスタッド(Branstad)の論文"A Taxonomy of Key Recovery Encryption Sys
tems"の両方は、30以上の鍵供託/回復システムに関する記述および比較的分
析を提供している。
いて出版されたD.E.デニング(Denning)の論文"Descriptions of Key Escr
ow Systems"、および、"Communications of the ACM"(第39巻、No.3、1
996年3月)において出版されたD.E.デニング(Denning)/D.K.ブ
ランスタッド(Branstad)の論文"A Taxonomy of Key Recovery Encryption Sys
tems"の両方は、30以上の鍵供託/回復システムに関する記述および比較的分
析を提供している。
【0009】
ここでは、添付の図1および図2に例示される2つの例に制限することができ
る。
る。
【0010】
最初に、図1は、各々が暗号作成(cryptography)手段(図示せず)に適応し
、かつ、各々には身元IDa,IDbと、公開鍵Pa,Pbと、暗号化秘密鍵Sa,
Sbと、証明書Ca,Cbとが備えられている2つのエンティティ〈a〉,〈b〉
を示している。さらに、2つのエンティティ〈a〉,〈b〉に関連した2つの供
託機関Ta,Tbが備えられており、これら2つの供託機関は、各々が、関連エン
ティティの秘密鍵Sa,Sbと、自らの証明書Ca,Cbとをファイリングする。こ
れらの証明書は、秘密鍵と公開鍵との関係と、秘密鍵が正しくファイリングされ
たこととを証明する。証明書機関はこの図に示されていない。証明書は、UIT
−Tの推奨X509に従うことができる。
、かつ、各々には身元IDa,IDbと、公開鍵Pa,Pbと、暗号化秘密鍵Sa,
Sbと、証明書Ca,Cbとが備えられている2つのエンティティ〈a〉,〈b〉
を示している。さらに、2つのエンティティ〈a〉,〈b〉に関連した2つの供
託機関Ta,Tbが備えられており、これら2つの供託機関は、各々が、関連エン
ティティの秘密鍵Sa,Sbと、自らの証明書Ca,Cbとをファイリングする。こ
れらの証明書は、秘密鍵と公開鍵との関係と、秘密鍵が正しくファイリングされ
たこととを証明する。証明書機関はこの図に示されていない。証明書は、UIT
−Tの推奨X509に従うことができる。
【0011】
これらの異なる手段の間における通信方法は、以下の処理を含む:
A)メッセージMの送信セッションaに携わるエンティティ〈a〉は、
・証明書Ca,Cbの有効性(validity)をチェックし、
・疑似ランダムジェネレータ(図示せず)を導入するためのセッション鍵SK
を生成し、 ・他のエンティティの公開鍵Pbによってセッション鍵SKを符号化するため
に自らの暗号作成手段を用い、かつ、セッション鍵SKによって、対称的暗号化
アルゴリズムにしたがって、メッセージMを符号化し、 ・自分の身元IDaまたは証明書Caと、暗号化されたセッション鍵Pb(SK)
と、符号化されたメッセージESK(M)とを送信する。 B)前記送信を受信するエンティティ〈b〉は、 ・証明書Ca,Cbの有効性をチェックし、 ・自らの秘密鍵Sbを用いて、セッション鍵SKを回復し、 ・セッション鍵SKを用いて、メッセージMを解読する。
を生成し、 ・他のエンティティの公開鍵Pbによってセッション鍵SKを符号化するため
に自らの暗号作成手段を用い、かつ、セッション鍵SKによって、対称的暗号化
アルゴリズムにしたがって、メッセージMを符号化し、 ・自分の身元IDaまたは証明書Caと、暗号化されたセッション鍵Pb(SK)
と、符号化されたメッセージESK(M)とを送信する。 B)前記送信を受信するエンティティ〈b〉は、 ・証明書Ca,Cbの有効性をチェックし、 ・自らの秘密鍵Sbを用いて、セッション鍵SKを回復し、 ・セッション鍵SKを用いて、メッセージMを解読する。
【0012】
このような方法によって、供託機関Tbは、必要であれば、自らがファイリン
グした秘密鍵Sbによって、セッション鍵SKを回復することもでき、かつ、こ
れにより、送信されたメッセージを回復することもできる。
グした秘密鍵Sbによって、セッション鍵SKを回復することもでき、かつ、こ
れにより、送信されたメッセージを回復することもできる。
【0013】
この方法は、ある欠点を有している。すなわち、供託機関Tbが、(自らが秘
密鍵Tbをファイリングしたことにより)セッション鍵SKを回復することがで
き、かつ、これにより、送信されたメッセージを回復することができても、供託
機関Taには、異なる事情がもたらされる。その理由は、供託機関Taが秘密鍵S b を有していないためである。したがって、国際間の通信の場合には稀である供
託機関Ta,Tb間の協力について想定する必要がある。
密鍵Tbをファイリングしたことにより)セッション鍵SKを回復することがで
き、かつ、これにより、送信されたメッセージを回復することができても、供託
機関Taには、異なる事情がもたらされる。その理由は、供託機関Taが秘密鍵S b を有していないためである。したがって、国際間の通信の場合には稀である供
託機関Ta,Tb間の協力について想定する必要がある。
【0014】
この問題点は、鍵交換方法が、RSA暗号化の例のように、それぞれが公開鍵
および秘密鍵である一組の鍵を用いる非対称的な暗号化−解読システムに依存し
ているという事実から、特に生じている。ある著者たちは、ディフィー−ヘルマ
ン(Diffie-Hellman)として公知のプロトコルと類似した、より対称的な方法を
唱道している。この方法については、図2に示されている。ここに見られる手段
は、図1の手段と顕著に類似している(すなわち、2つのエンティティ〈a〉,
〈b〉、および、2つの供託機関Ta,Tb)。ディフィー−ヘルマン・プロトコ
ルのパラメータは、モジュール(module)として知られる大きな素数pと、ジェ
ネレータ番号(generator number)gとからなる。2つの供託機関Ta,Tbは、
これらの数p,gと関連している。〈a〉のための秘密鍵Saは、Taにファイリ
ングされている秘密指数(secret exponent)αであり、かつ、〈a〉のための
公開鍵は、Pa=gαである。証明書Caは、公開鍵Pa=gαを含んでいる。同
じことが、エンティティ〈b〉にも当てはまる(すなわち、Sb=β,Pb=gβ )。
および秘密鍵である一組の鍵を用いる非対称的な暗号化−解読システムに依存し
ているという事実から、特に生じている。ある著者たちは、ディフィー−ヘルマ
ン(Diffie-Hellman)として公知のプロトコルと類似した、より対称的な方法を
唱道している。この方法については、図2に示されている。ここに見られる手段
は、図1の手段と顕著に類似している(すなわち、2つのエンティティ〈a〉,
〈b〉、および、2つの供託機関Ta,Tb)。ディフィー−ヘルマン・プロトコ
ルのパラメータは、モジュール(module)として知られる大きな素数pと、ジェ
ネレータ番号(generator number)gとからなる。2つの供託機関Ta,Tbは、
これらの数p,gと関連している。〈a〉のための秘密鍵Saは、Taにファイリ
ングされている秘密指数(secret exponent)αであり、かつ、〈a〉のための
公開鍵は、Pa=gαである。証明書Caは、公開鍵Pa=gαを含んでいる。同
じことが、エンティティ〈b〉にも当てはまる(すなわち、Sb=β,Pb=gβ )。
【0015】
エンティティ〈b〉へメッセージを送信するために、エンティティ〈a〉は、
セッション鍵SKを生成し、かつ、 ・(Pa=gαを含む)自らの証明書Caと、 ・鍵gαβを用いるアルゴリズムEによって符号化されたセッション鍵(Eg αβ (SK))と、 ・セッション鍵SKにより符号化されたメッセージ(ESK(M))と によって、エンティティ〈b〉へアドレッシングする。
セッション鍵SKを生成し、かつ、 ・(Pa=gαを含む)自らの証明書Caと、 ・鍵gαβを用いるアルゴリズムEによって符号化されたセッション鍵(Eg αβ (SK))と、 ・セッション鍵SKにより符号化されたメッセージ(ESK(M))と によって、エンティティ〈b〉へアドレッシングする。
【0016】
Taがαと〈b〉の公開鍵Pb=gβとを識別することによって、Taが(gβ)
α=gβαを計算することが可能となる。これについては、(gα)β=gαβを
計算することができるTbにも当てはまる。したがって、gαβは、〈a〉,〈
b〉により共有される。
α=gβαを計算することが可能となる。これについては、(gα)β=gαβを
計算することができるTbにも当てはまる。したがって、gαβは、〈a〉,〈
b〉により共有される。
【0017】
したがって、各々の機関Ta,Tbは、セッション鍵(SK)を回復することが
でき、かつ、同様に、メッセージ(M)を回復することもできる。
でき、かつ、同様に、メッセージ(M)を回復することもできる。
【0018】
しかし、ここで再び述べると、この原則は、両方の当事者間の同意を必要とす
る。
る。
【0019】
本発明のねらいは、通信を行う当事者間での同意を一切必要としない方法を提
案することにより、これらの欠点を補修することであり、この場合に、セッショ
ン鍵およびメッセージの回復については、通信において交換されたデータのみを
用いることにより行うことができる。
案することにより、これらの欠点を補修することであり、この場合に、セッショ
ン鍵およびメッセージの回復については、通信において交換されたデータのみを
用いることにより行うことができる。
【0020】
正確には、本発明の目的は、
− 第1暗号作成手段(MCa)からなり、かつ、第1身元(IDa)と、鍵分配
のための第1公開鍵(Pa)と、該第1公開鍵(Pa)に対応する鍵分配のための
第1秘密鍵(Sa)とを備えた第1エンティティ(a)と、 − 第2暗号作成手段(MCb)からなり、かつ、第2身元(IDb)と、鍵分配
のための第2公開鍵(Pb)と、該第2公開鍵(Pb)に対応する鍵分配のための
第2秘密鍵(Sb)とを備えた第2エンティティ(b)と を導入する鍵暗号化の供託および回復システムによって符号化される通信方法で
あって、 (i)エンティティ(a,b)のうちの少なくとも一方がセッション鍵(SK
)を生成し、かつ、他方のエンティティの公開鍵(Pb,Pa)により符号化され
たセッション鍵からなる暗号を形成し、この場合に、他方のエンティティ(b,
a)は、前記暗号を、自らの秘密鍵(Sb,Sa)によって解読し、かつ、セッシ
ョン鍵(SK)を回復する、というセッション鍵(SK)を確立するための予備
的段階と、 (ii)エンティティ(a,b)は、前記予備的段階において確立されているセ
ッション鍵(SK)により符号化されたメッセージ(M)からなる暗号ESK(M)
を形成し、この場合に、各々のエンティティは、受信された暗号を、セッション
鍵(SK)によって解読し、かつ、これにより、各々のエンティティへ送信され
たメッセージを回復する、というメッセージ(M)交換段階と からなる方法において、 前記方法は、さらに、エンティティ(a,b)のうちの一方と関連した少なく
とも1つの供託機関(Ta,Tb)を導入し、この場合に、この機関は、関連した
エンティティ(a,b)の秘密鍵(Sa,Sb)をファイリングし、 前記予備的段階において、セッション鍵(SK)を生成するエンティティ(a
,b)は、関連した供託機関(Ta,Tb)により識別される疑似ランダムジェネ
レータ(PRGa,PRGb)を導入し、かつ、自らの秘密鍵(Sa,Sb)と、供
託機関(Ta,Tb)により識別されるアルゴリズムにより関連データから導き出
された初期値(IV)とによって、この疑似ランダムジェネレータを初期化する
ことを特徴とする方法である。
のための第1公開鍵(Pa)と、該第1公開鍵(Pa)に対応する鍵分配のための
第1秘密鍵(Sa)とを備えた第1エンティティ(a)と、 − 第2暗号作成手段(MCb)からなり、かつ、第2身元(IDb)と、鍵分配
のための第2公開鍵(Pb)と、該第2公開鍵(Pb)に対応する鍵分配のための
第2秘密鍵(Sb)とを備えた第2エンティティ(b)と を導入する鍵暗号化の供託および回復システムによって符号化される通信方法で
あって、 (i)エンティティ(a,b)のうちの少なくとも一方がセッション鍵(SK
)を生成し、かつ、他方のエンティティの公開鍵(Pb,Pa)により符号化され
たセッション鍵からなる暗号を形成し、この場合に、他方のエンティティ(b,
a)は、前記暗号を、自らの秘密鍵(Sb,Sa)によって解読し、かつ、セッシ
ョン鍵(SK)を回復する、というセッション鍵(SK)を確立するための予備
的段階と、 (ii)エンティティ(a,b)は、前記予備的段階において確立されているセ
ッション鍵(SK)により符号化されたメッセージ(M)からなる暗号ESK(M)
を形成し、この場合に、各々のエンティティは、受信された暗号を、セッション
鍵(SK)によって解読し、かつ、これにより、各々のエンティティへ送信され
たメッセージを回復する、というメッセージ(M)交換段階と からなる方法において、 前記方法は、さらに、エンティティ(a,b)のうちの一方と関連した少なく
とも1つの供託機関(Ta,Tb)を導入し、この場合に、この機関は、関連した
エンティティ(a,b)の秘密鍵(Sa,Sb)をファイリングし、 前記予備的段階において、セッション鍵(SK)を生成するエンティティ(a
,b)は、関連した供託機関(Ta,Tb)により識別される疑似ランダムジェネ
レータ(PRGa,PRGb)を導入し、かつ、自らの秘密鍵(Sa,Sb)と、供
託機関(Ta,Tb)により識別されるアルゴリズムにより関連データから導き出
された初期値(IV)とによって、この疑似ランダムジェネレータを初期化する
ことを特徴とする方法である。
【0021】
応用様式によれば、前記予備的段階においてセッション鍵(SK)を生成する
エンティティ(a,b)と関連した供託機関(Ta,Tb)は、関連したエンティ
ティと同一の疑似ランダムジェネレータ(PRGa,PRGb)を導入し、前記初
期値(IV)と、該供託機関がファイリングした関連エンティティ(a,b)の
秘密鍵(Sa,Sb)とによって、このジェネレータを初期化し、かつ、これによ
り、セッション鍵(SK)を回復する。
エンティティ(a,b)と関連した供託機関(Ta,Tb)は、関連したエンティ
ティと同一の疑似ランダムジェネレータ(PRGa,PRGb)を導入し、前記初
期値(IV)と、該供託機関がファイリングした関連エンティティ(a,b)の
秘密鍵(Sa,Sb)とによって、このジェネレータを初期化し、かつ、これによ
り、セッション鍵(SK)を回復する。
【0022】
他の応用様式によれば、前記予備的段階においてセッション鍵(SK)を生成
していないエンティティ(b,a)と関連した供託機関(Tb,Ta)は、該供託
機関がファイリングした関連エンティティ(b,a)の秘密鍵(Sb,Sa)によ
って、セッション鍵の暗号(Pb(SK),Pa(SK))を解読し、かつ、これによ
り、セッション鍵(SK)を回復する。
していないエンティティ(b,a)と関連した供託機関(Tb,Ta)は、該供託
機関がファイリングした関連エンティティ(b,a)の秘密鍵(Sb,Sa)によ
って、セッション鍵の暗号(Pb(SK),Pa(SK))を解読し、かつ、これによ
り、セッション鍵(SK)を回復する。
【0023】
前記初期値(IV)については、セッション鍵を確立するための予備的段階に
おいてエンティティ(a,b)間で交換されたデータから導き出すことができ、
または、所定個数の値を生成することが可能なデータを用いた連続的な試行から
得ることもでき、この場合に、前記個数は、供託機関により費やされる時間と考
慮される応用性とが両立できるように、十分に制限される。
おいてエンティティ(a,b)間で交換されたデータから導き出すことができ、
または、所定個数の値を生成することが可能なデータを用いた連続的な試行から
得ることもでき、この場合に、前記個数は、供託機関により費やされる時間と考
慮される応用性とが両立できるように、十分に制限される。
【0024】
序論において説明したように、供託機関については、認可された第三者、また
は、会社のネットワークのセキュリティ管理者、または、実際のユーザーでさえ
あってもよい(したがって、供託は、“自己供託(self-escrow)”である)。
は、会社のネットワークのセキュリティ管理者、または、実際のユーザーでさえ
あってもよい(したがって、供託は、“自己供託(self-escrow)”である)。
【0025】
本発明の方法については、最初に、ある一定の初期条件を明記し、次に、ユー
ザーの暗号作成手段において展開される手順について略述し、最後に、鍵回復手
順について記述することにより、説明することができる。
ザーの暗号作成手段において展開される手順について略述し、最後に、鍵回復手
順について記述することにより、説明することができる。
【0026】
〈A.初期条件〉
セッション鍵を確立するためにエンティティ〈a〉により用いられる公開鍵を
備えた鍵暗号化システムの秘密鍵Saは、供託機関Taによってファイリングされ
る。〈a〉の身元IDaと公開鍵Paとの関係を証明する証明書Ca(例えば、U
IT−Tの推奨X509に従う証明書)を、(Taにより予め指定された)証明
書機関CAがエンティティ〈a〉に対して引き渡すためには、このファイリング
に左右される必要がある。〈a〉がCAからの証明書を所有することは、公開鍵
Paに対応する秘密鍵SaのファイリングがTaによって事実上(effectively)発
生したことを立証する。実際には、証明書機関CAおよび第三者的な供託機関T a は、全く同一の団体であってもよく、または、契約書に署名した2つの別個の
団体であってもよい。状況に応じて、秘密鍵Saの生成については、ユーザー〈
a〉または第三者Taにより行うことができる。
備えた鍵暗号化システムの秘密鍵Saは、供託機関Taによってファイリングされ
る。〈a〉の身元IDaと公開鍵Paとの関係を証明する証明書Ca(例えば、U
IT−Tの推奨X509に従う証明書)を、(Taにより予め指定された)証明
書機関CAがエンティティ〈a〉に対して引き渡すためには、このファイリング
に左右される必要がある。〈a〉がCAからの証明書を所有することは、公開鍵
Paに対応する秘密鍵SaのファイリングがTaによって事実上(effectively)発
生したことを立証する。実際には、証明書機関CAおよび第三者的な供託機関T a は、全く同一の団体であってもよく、または、契約書に署名した2つの別個の
団体であってもよい。状況に応じて、秘密鍵Saの生成については、ユーザー〈
a〉または第三者Taにより行うことができる。
【0027】
〈B.ユーザーの暗号作成手段における手順〉
“〈a〉の暗号作成手段”(MCaとして記される)は、安全な通信中におけ
る〈a〉のためのセッションおよび暗号化鍵を確立するための暗号作成計算を可
能にするソフトウェアおよびマテリアルリソースであるものとして理解される。
例えば、安全な電子メールシステムのクライアントソフトウェアを、暗号作成手
段と考えることができる。
る〈a〉のためのセッションおよび暗号化鍵を確立するための暗号作成計算を可
能にするソフトウェアおよびマテリアルリソースであるものとして理解される。
例えば、安全な電子メールシステムのクライアントソフトウェアを、暗号作成手
段と考えることができる。
【0028】
ユーザーの暗号作成手段MCaが、Taにより提供される第三者的供託サービス
に従うためには、以下の条件を満たす必要がある: (i)(セッションおよび暗号化鍵を確立するための)MCa暗号化関数のパ
フォーマンスについては、Taにより指定された証明書機関CAからの証明書Ca 、および、これに対応する秘密鍵Saの存在に左右される必要がある。暗号作成
手段MCaは、証明書Caが有効であることをチェックする必要があるだけでなく
、Ta内に含まれる秘密鍵Saと公開鍵Paとの間に事実上の(effective)関係が
存在することがチェックする必要もある。これらのチェックは、第三者的な供託
機関TaがMCaにより用いられるセッション鍵を回復できることを保証するため
に必要である。 (ii)MCaにより導入される鍵を生成するための方法(典型的には、〈a〉
が話者〈b〉との安全なセッションを開始する際のセッション鍵SKを生成する
ために用いられる鍵生成アルゴリズム)については、Taにより識別される疑似
ランダムジェネレータ(pseudo-random generator)PRGである必要があり、
かつ、そのシード(すなわち、前記ジェネレータの値が計算される元となる入力
)は、 − 秘密鍵Sa(または、変形例によれば、この鍵の関数H(Sa))と、 − 〈a〉とその話者との間における通信の非符号化部分内に含まれる変数デ
ータ(variable data)(例えば、日付および時刻)から、または、MCa内部で
管理される計量器から、Taにより識別されるアルゴリズムにより導き出される
初期値IVと からなる。
に従うためには、以下の条件を満たす必要がある: (i)(セッションおよび暗号化鍵を確立するための)MCa暗号化関数のパ
フォーマンスについては、Taにより指定された証明書機関CAからの証明書Ca 、および、これに対応する秘密鍵Saの存在に左右される必要がある。暗号作成
手段MCaは、証明書Caが有効であることをチェックする必要があるだけでなく
、Ta内に含まれる秘密鍵Saと公開鍵Paとの間に事実上の(effective)関係が
存在することがチェックする必要もある。これらのチェックは、第三者的な供託
機関TaがMCaにより用いられるセッション鍵を回復できることを保証するため
に必要である。 (ii)MCaにより導入される鍵を生成するための方法(典型的には、〈a〉
が話者〈b〉との安全なセッションを開始する際のセッション鍵SKを生成する
ために用いられる鍵生成アルゴリズム)については、Taにより識別される疑似
ランダムジェネレータ(pseudo-random generator)PRGである必要があり、
かつ、そのシード(すなわち、前記ジェネレータの値が計算される元となる入力
)は、 − 秘密鍵Sa(または、変形例によれば、この鍵の関数H(Sa))と、 − 〈a〉とその話者との間における通信の非符号化部分内に含まれる変数デ
ータ(variable data)(例えば、日付および時刻)から、または、MCa内部で
管理される計量器から、Taにより識別されるアルゴリズムにより導き出される
初期値IVと からなる。
【0029】
疑似ランダムジェネレータは、以下の条件を満たす必要がある:
(i)このジェネレータの出力値(典型的には、セッション鍵SK)は、Sa
(または、H(Sa))と初期値IVとから導き出すことが容易である必要がある
。好ましい生成様式によれば、初期値IVの大きさについては、20〜40ビッ
トの間という事実上の大きさに制限することができ、これにより、秘密鍵Saが
識別された場合には、たとえIVの正確な値が損失されても、ジェネレータの出
力値の回復が、徹底的な調査によって、なおも可能である。 (ii)Sa(または、H(Sa))に関する情報は、IV値、および、対応するP
RG(Sa,IV)またはPRG(H(Sa),IV)の出力値のセットから予測するこ
とが困難である必要がある。 (iii)様々なIV値に対するPRG(Sa,IV)またはPRG(H(Sa),IV
)の出力に関連する情報は、Sa(または、H(Sa))の値が識別されていない場
合には、予測することが困難である必要がある。
(または、H(Sa))と初期値IVとから導き出すことが容易である必要がある
。好ましい生成様式によれば、初期値IVの大きさについては、20〜40ビッ
トの間という事実上の大きさに制限することができ、これにより、秘密鍵Saが
識別された場合には、たとえIVの正確な値が損失されても、ジェネレータの出
力値の回復が、徹底的な調査によって、なおも可能である。 (ii)Sa(または、H(Sa))に関する情報は、IV値、および、対応するP
RG(Sa,IV)またはPRG(H(Sa),IV)の出力値のセットから予測するこ
とが困難である必要がある。 (iii)様々なIV値に対するPRG(Sa,IV)またはPRG(H(Sa),IV
)の出力に関連する情報は、Sa(または、H(Sa))の値が識別されていない場
合には、予測することが困難である必要がある。
【0030】
〈C.鍵回復手順〉
ユーザー〈a〉と受信者〈b〉との間における安全な通信を符号化するために
、Taにより、または、Taによりファイリングされた秘密鍵Saにアクセスする
資格を与えられた機関により用いられるセッション鍵SKの鍵回復のために、2
つの別個の手順が存在し、これらの手順は以下の通りである: (i)セッション鍵SKが〈b〉により生成され、〈a〉により受信され、か
つ、〈a〉の公開鍵Paによって符号化されれば、Taは、ファイリングされた秘
密鍵Saによって、鍵分配プロトコルにおいて送信された暗号Pa(SK)を復号化
することにより、鍵SKを回復することができる。 (ii)セッション鍵SKが〈a〉の暗号作成手段MCaによって生成され、〈
b〉へ送信され、かつ、〈b〉の公開鍵Pbの下で符号化されれば、Taは、〈a
〉と〈b〉との間で交換された非暗号データから初期値IVを回復することがで
き、かつ、IVとファイリングされたSaの値とによって、SK=PRG(Sa,
IV)、または、SK=PRG(H(Sa),IV)を計算することにより、SKの値
を再構築することができる。IVが計量器の内容である場合には、または、IV
の事実上の大きさが制限される場合には、または、どちらの場合の理由によって
も、IVを非暗号データから回復することができない可能性があるが、考えられ
得るIV値に関する徹底的なテストを通して、各々のIVに対して得られたSK
=PRG(Sa,IV)値、または、SK=PRG(H(Sa),IV)値が正しいか否
かをチェックすることにより、Taがセッション鍵SKを回復することが、なお
も可能である。
、Taにより、または、Taによりファイリングされた秘密鍵Saにアクセスする
資格を与えられた機関により用いられるセッション鍵SKの鍵回復のために、2
つの別個の手順が存在し、これらの手順は以下の通りである: (i)セッション鍵SKが〈b〉により生成され、〈a〉により受信され、か
つ、〈a〉の公開鍵Paによって符号化されれば、Taは、ファイリングされた秘
密鍵Saによって、鍵分配プロトコルにおいて送信された暗号Pa(SK)を復号化
することにより、鍵SKを回復することができる。 (ii)セッション鍵SKが〈a〉の暗号作成手段MCaによって生成され、〈
b〉へ送信され、かつ、〈b〉の公開鍵Pbの下で符号化されれば、Taは、〈a
〉と〈b〉との間で交換された非暗号データから初期値IVを回復することがで
き、かつ、IVとファイリングされたSaの値とによって、SK=PRG(Sa,
IV)、または、SK=PRG(H(Sa),IV)を計算することにより、SKの値
を再構築することができる。IVが計量器の内容である場合には、または、IV
の事実上の大きさが制限される場合には、または、どちらの場合の理由によって
も、IVを非暗号データから回復することができない可能性があるが、考えられ
得るIV値に関する徹底的なテストを通して、各々のIVに対して得られたSK
=PRG(Sa,IV)値、または、SK=PRG(H(Sa),IV)値が正しいか否
かをチェックすることにより、Taがセッション鍵SKを回復することが、なお
も可能である。
【0031】
前述した基本的手順(i),(ii)を組み合わせることにより、セッション鍵
を確立するためのより複雑なプロトコルが〈a〉と〈b〉との間で用いられる場
合であっても、Taは、なおも、セッション鍵を回復することができる。例とし
て、以下のプロトコルについて考えることができる: 〈b〉は、秘密値SK1を生成し、かつ、該秘密値SK1を〈a〉へ送信し、
該秘密値SK1は、〈a〉の公開鍵Paの下で符号化される。〈a〉は、秘密値
SK2を生成し、かつ、該秘密値SK2を〈b〉へ送信し、該秘密値SK2は、
〈b〉の公開鍵Pbの下で符号化される。〈a〉および〈b〉は、SK1,SK
2値の排他的論理和に等しいセッション鍵SKを計算する(SK=K1 XOR
K2)。このタイプのプロトコルによって、Taは、前述した手順(i)を用い
ることによりSK1を回復することができ、手順(ii)を用いることによりSK
2を回復することができ、かつ、これにより、これら2つの値からSKを回復す
ることができる。
を確立するためのより複雑なプロトコルが〈a〉と〈b〉との間で用いられる場
合であっても、Taは、なおも、セッション鍵を回復することができる。例とし
て、以下のプロトコルについて考えることができる: 〈b〉は、秘密値SK1を生成し、かつ、該秘密値SK1を〈a〉へ送信し、
該秘密値SK1は、〈a〉の公開鍵Paの下で符号化される。〈a〉は、秘密値
SK2を生成し、かつ、該秘密値SK2を〈b〉へ送信し、該秘密値SK2は、
〈b〉の公開鍵Pbの下で符号化される。〈a〉および〈b〉は、SK1,SK
2値の排他的論理和に等しいセッション鍵SKを計算する(SK=K1 XOR
K2)。このタイプのプロトコルによって、Taは、前述した手順(i)を用い
ることによりSK1を回復することができ、手順(ii)を用いることによりSK
2を回復することができ、かつ、これにより、これら2つの値からSKを回復す
ることができる。
【0032】
たった今説明した方法については、秘密鍵Saに関係する情報が唯一のエンテ
ィティTaによってファイリングされずに、別個の第三者的な供託機関によって
ファイリングされる2つの“部分”に分割されるという変形例にしたがって導入
することができる。
ィティTaによってファイリングされずに、別個の第三者的な供託機関によって
ファイリングされる2つの“部分”に分割されるという変形例にしたがって導入
することができる。
【0033】
例えば、〈a〉の秘密鍵Saは、RSA秘密指数〈d〉からなる。この秘密値
については、d1+d2=dであるような2つの“部分”d1,d2に分割する
ことができる。d1,d2(および、〈a〉の公開モジュール(public module
)na)をファイリングする責任をそれぞれが有する2つの供託機関Ta,Tbは
、以下のことを行うことができる: ・ 秘密値〈d〉に関する自分側の「部分」を開示することなく、自らが鍵S a の秘密関数を事実上計算することが可能であることをチェックすること。これ
を行うためには、供託機関Ta,Tbの各々がモジュールnと、自分側の「部分」
により決定された入力値の累乗とを計算し、次に、得られた値を、これらの値の
間において乗算してモジュールnaとすれば十分である。 ・ (必要に応じて、秘密鍵Saに関する自分側の「部分」を、他方の第三者
または傍受機関へ開示することにより、)セッション鍵を確立するためのプロト
コルのデータから、セッション鍵SKを回復すること。
については、d1+d2=dであるような2つの“部分”d1,d2に分割する
ことができる。d1,d2(および、〈a〉の公開モジュール(public module
)na)をファイリングする責任をそれぞれが有する2つの供託機関Ta,Tbは
、以下のことを行うことができる: ・ 秘密値〈d〉に関する自分側の「部分」を開示することなく、自らが鍵S a の秘密関数を事実上計算することが可能であることをチェックすること。これ
を行うためには、供託機関Ta,Tbの各々がモジュールnと、自分側の「部分」
により決定された入力値の累乗とを計算し、次に、得られた値を、これらの値の
間において乗算してモジュールnaとすれば十分である。 ・ (必要に応じて、秘密鍵Saに関する自分側の「部分」を、他方の第三者
または傍受機関へ開示することにより、)セッション鍵を確立するためのプロト
コルのデータから、セッション鍵SKを回復すること。
【図1】 非対称として公知の方法を示す図である。
【図2】 対称として公知の方法を示す図である。
【図3】 本発明による方法を示す図である。
〈a〉,〈b〉 エンティティ
Ca,Cb 証明書
IDa,IDb 身元
Pa,Pb 公開鍵
Sa,Sb 秘密鍵
Ta,Tb 供託機関
IV 初期値
SK セッション鍵
─────────────────────────────────────────────────────
フロントページの続き
(72)発明者 ティエリー・バリトー
フランス・F−92170・ヴァンヴ・アヴニ
ュー・ドゥ・ヴェルダン・29
(72)発明者 パスカル・ショヴォー
フランス・F−92130・イシ・レ・ムリノ
ー・アヴニュー・ドゥ・ラ・レピュブリー
ク・36
Fターム(参考) 5J104 AA16 EA04 EA12 EA13 EA24
FA00 JA21 MA05 NA02 NA03
NA04
Claims (12)
- 【請求項1】 − 第1暗号作成手段(MCa)からなり、かつ、第1身元
(IDa)と、鍵分配のための第1公開鍵(Pa)と、該第1公開鍵(Pa)に対
応する鍵分配のための第1秘密鍵(Sa)とを備えた第1エンティティ(a)と
、 − 第2暗号作成手段(MCb)からなり、かつ、第2身元(IDb)と、鍵分配
のための第2公開鍵(Pb)と、該第2公開鍵(Pb)に対応する鍵分配のための
第2秘密鍵(Sb)とを備えた第2エンティティ(b)と を導入する鍵暗号化の供託および回復システムによって符号化される通信方法で
あって、 (iii)エンティティ(a,b)のうちの少なくとも一方がセッション鍵(S
K)を生成し、かつ、他方のエンティティの公開鍵(Pb,Pa)により符号化さ
れたセッション鍵からなる暗号を形成し、この場合に、他方のエンティティ(b
,a)は、前記暗号を、自らの秘密鍵(Sb,Sa)によって解読し、かつ、セッ
ション鍵(SK)を回復する、というセッション鍵(SK)を確立するための予
備的段階と、 (iv)エンティティ(a,b)は、前記予備的段階において確立されているセ
ッション鍵(SK)により符号化されたメッセージ(M)からなる暗号ESK(M)
を形成し、この場合に、各々のエンティティは、受信された暗号を、セッション
鍵(SK)によって解読し、かつ、これにより、各々のエンティティへ送信され
たメッセージを回復する、というメッセージ(M)交換段階と からなる方法において、 前記方法は、さらに、エンティティ(a,b)のうちの一方と関連した少なく
とも1つの供託機関(Ta,Tb)を導入し、この場合に、この機関は、関連した
エンティティ(a,b)の秘密鍵(Sa,Sb)をファイリングし、 前記予備的段階において、セッション鍵(SK)を生成するエンティティ(a
,b)は、関連した供託機関(Ta,Tb)により識別される疑似ランダムジェネ
レータ(PRGa,PRGb)を導入し、かつ、自らの秘密鍵(Sa,Sb)と、供
託機関(Ta,Tb)により識別されるアルゴリズムにより関連データから導き出
された初期値(IV)とによって、この疑似ランダムジェネレータを初期化する
ことを特徴とする方法。 - 【請求項2】 前記予備的段階においてセッション鍵(SK)を生成するエ
ンティティ(a,b)と関連した供託機関(Ta,Tb)は、関連したエンティテ
ィと同一の疑似ランダムジェネレータ(PRGa,PRGb)を導入し、前記初期
値(IV)と、該供託機関がファイリングした関連エンティティ(a,b)の秘
密鍵(Sa,Sb)とによって、このジェネレータを初期化し、かつ、これにより
、セッション鍵(SK)を回復することを特徴とする請求項1に記載の方法。 - 【請求項3】 前記予備的段階においてセッション鍵(SK)を生成してい
ないエンティティ(b,a)と関連した供託機関(Tb,Ta)は、該供託機関が
ファイリングした関連エンティティ(b,a)の秘密鍵(Sb,Sa)によって、
セッション鍵の暗号(Pb(SK),Pa(SK))を解読し、かつ、これにより、セ
ッション鍵(SK)を回復することを特徴とする請求項1に記載の方法。 - 【請求項4】 前記初期値(IV)は、セッション鍵(SK)を確立するた
めの予備的段階においてエンティティ(a,b)間で交換されたデータから導き
出されることを特徴とする請求項1から請求項3のいずれかに記載の方法。 - 【請求項5】 前記供託機関は、徹底的なテストを通して、限られた数の値
を得ることが可能なデータから、初期値(IV)を得ることを特徴とする請求項
2に記載の方法。 - 【請求項6】 前記エンティティ(a,b)の疑似ランダムジェネレータ(
PRGa,PRGb)は、該エンティティ(a,b)の秘密鍵(Sa,Sb)の一方
向関数(H(Sa),H(Sb))により初期化されることを特徴とする請求項1に記
載の方法。 - 【請求項7】 少なくとも1つの第1証明書機関(CAa,CAb)は、対応
する秘密鍵(Sa,Sb)のファイリングが、対応する供託機関(Ta,Tb)によ
って事実上発生した場合に、また、発生した場合にのみ、エンティティの身元(
IDa,IDb)と公開鍵(Pb,Pa)との関係を証明する証明書(Ca,Cb)を
引き渡し、 セッション鍵(SK)を確立するための前記予備的段階、および、前記メッセ
ージ交換段階は、暗号作成手段(MCa,MCb)において、両方ともに、証明書
(Ca,Cb)の有効性と、この証明書に含まれる公開鍵(Pb,Pa)と分配秘密
鍵(Sa,Sb)との事実上の関係に左右されることを特徴とする請求項1に記載
の方法。 - 【請求項8】 前記エンティティ(a,b)のうちの少なくとも一方に関し
て、証明書機関(CAa,CAb)、および、このエンティティに関連した供託機
関(Ta,Tb)は、1つの機関の下で結合されることを特徴とする請求項1に記
載の方法。 - 【請求項9】 前記供託機関(Ta,Tb)は、2つの部分的機関(Ta 1,T a 2 )(Tb 1,Tb 2)に分割され、これらの部分的機関の各々は、分配秘密鍵(S a ,Sb)の部分(Sa 1,Sa 2)(Sb 1,Sb 2)をファイリングし、 前記2つの部分的機関は、どちらも、分配秘密鍵(Sa,Sb)を自分だけで再
構築することが不可能であるが、 前記部分的機関の両方は、協力することにより、分配秘密鍵を再構築すること
が可能であり、 前記部分的機関の両方は、秘密鍵を再構築することを可能にする秘密鍵の部分
を自らが保持していることを保証することができることを特徴とする請求項1に
記載の方法。 - 【請求項10】 セッション鍵を確立するための前記予備的段階の間におい
て、 − 第1エンティティは、第1の部分的セッション鍵(SKa)を生成し、第
2エンティティ(b)の公開鍵(Pb)により符号化された該第1の部分的セッ
ション鍵(SKa)の第1暗号Pb(SKa)を形成し、この第1暗号を第2エンテ
ィティ(b)へ送信し、 − 第2エンティティ(b)は、第2の部分的セッション鍵(SKb)を生成
し、第1エンティティ(a)の公開鍵(Pa)により符号化された該第2の部分
的セッション鍵(SKb)の第2暗号Pa(SKb)を形成し、この第2暗号を第1
エンティティ(a)へ送信し、 − 2つのエンティティ(b,a)は、第1および第2暗号を、自らの秘密鍵
(Sb,Sa)によって解読し、第1および第2の部分的セッション鍵(SKa,
SKb)を回復し、かつ、これらの部分的セッション鍵からセッション鍵(SK
)を形成することを特徴とする請求項1に記載の方法。 - 【請求項11】 前記エンティティ(a,b)は、第1および第2の部分的
セッション鍵(SKa,SKb)間の排他的論理和演算によって、セッション鍵(
SK)を形成することを特徴とする請求項10に記載の方法。 - 【請求項12】 前記エンティティ(a,b)のうちの一方と関連した供託
機関(Ta,Tb)は、実在のユーザーであることを特徴とする請求項1から請求
項11のいずれかに記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR00/01185 | 2000-01-31 | ||
| FR0001185A FR2804561B1 (fr) | 2000-01-31 | 2000-01-31 | Procede de communication avec sequestre et recuperation de cle de chiffrement |
| PCT/FR2001/000285 WO2001056222A1 (fr) | 2000-01-31 | 2001-01-30 | Procede de communication avec sequestre et recuperation de cle de chiffrement |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003521197A true JP2003521197A (ja) | 2003-07-08 |
Family
ID=8846480
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001555258A Withdrawn JP2003521197A (ja) | 2000-01-31 | 2001-01-30 | 鍵暗号化の供託および回復システムによる通信方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20030012387A1 (ja) |
| EP (1) | EP1254534A1 (ja) |
| JP (1) | JP2003521197A (ja) |
| FR (1) | FR2804561B1 (ja) |
| WO (1) | WO2001056222A1 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005244988A (ja) * | 2004-02-27 | 2005-09-08 | Microsoft Corp | 装置用セキュリティアソシエーション |
| JP2014514860A (ja) * | 2011-04-22 | 2014-06-19 | アルカテル−ルーセント | セキュリティアソシエーションの発見法 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2829644A1 (fr) | 2001-09-10 | 2003-03-14 | St Microelectronics Sa | Procede securise de transmission de donnees multimedia |
| GB2376392B (en) * | 2001-12-07 | 2003-05-07 | Ericsson Telefon Ab L M | Legal interception of IP traffic |
| GB2390270A (en) * | 2002-06-27 | 2003-12-31 | Ericsson Telefon Ab L M | Escrowing with an authority only part of the information required to reconstruct a decryption key |
| US7900051B2 (en) | 2002-09-10 | 2011-03-01 | Stmicroelectronics S.A. | Secure multimedia data transmission method |
| WO2007020566A1 (en) * | 2005-08-19 | 2007-02-22 | Nxp B.V. | Circuit arrangement for and method of performing an inversion operation in a cryptographic calculation |
| US8418235B2 (en) * | 2006-11-15 | 2013-04-09 | Research In Motion Limited | Client credential based secure session authentication method and apparatus |
| KR20080084480A (ko) * | 2007-03-16 | 2008-09-19 | 삼성전자주식회사 | 매개 모듈을 이용한 디바이스간의 상호 인증 방법 및 그시스템 |
| US7864960B2 (en) * | 2007-05-31 | 2011-01-04 | Novell, Inc. | Techniques for securing content in an untrusted environment |
| JP5273963B2 (ja) * | 2007-07-23 | 2013-08-28 | 修 亀田 | 擬似乱数の生成方法及び装置、並びに擬似乱数を用いた暗号化方法及び装置 |
| JP5139028B2 (ja) * | 2007-10-24 | 2013-02-06 | エイチジーエスティーネザーランドビーブイ | コンテンツデータ管理システム及び方法 |
| WO2010108994A2 (fr) * | 2009-03-26 | 2010-09-30 | Trustseed | Procede et dispostif d'archivage d'un document |
| FR2943870B1 (fr) * | 2009-03-26 | 2022-03-11 | Trustseed | Procede et dispositif de chiffrement d'un document |
| CN104393989A (zh) * | 2014-10-30 | 2015-03-04 | 北京神州泰岳软件股份有限公司 | 一种密钥协商方法及装置 |
| CN104735085A (zh) * | 2015-04-15 | 2015-06-24 | 上海汉邦京泰数码技术有限公司 | 一种终端双因子安全登录防护方法 |
| CN107925715B (zh) * | 2015-09-07 | 2020-10-16 | 索尼公司 | 成像设备、其控制方法和程序 |
| CN107704749A (zh) * | 2017-10-25 | 2018-02-16 | 深圳竹云科技有限公司 | 基于U盾验证算法的Windows系统安全登录方法 |
| SG10201801094VA (en) | 2018-02-08 | 2019-09-27 | Huawei Int Pte Ltd | System and method for computing an escrow session key and a private session key for encoding digital communications between two devices |
| JP7469164B2 (ja) | 2020-06-26 | 2024-04-16 | 川崎重工業株式会社 | 積付用ロボットハンド、ロボット及び物品保持方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5315658B1 (en) * | 1992-04-20 | 1995-09-12 | Silvio Micali | Fair cryptosystems and methods of use |
| MX9602773A (es) * | 1994-01-13 | 1997-05-31 | Bankers Trust Co | Sistema criptografico y metodo con aspecto de deposito de plica de clave. |
| US5438622A (en) * | 1994-01-21 | 1995-08-01 | Apple Computer, Inc. | Method and apparatus for improving the security of an electronic codebook encryption scheme utilizing an offset in the pseudorandom sequence |
| US5557765A (en) * | 1994-08-11 | 1996-09-17 | Trusted Information Systems, Inc. | System and method for data recovery |
| US5631961A (en) * | 1995-09-15 | 1997-05-20 | The United States Of America As Represented By The Director Of The National Security Agency | Device for and method of cryptography that allows third party access |
| US5633929A (en) * | 1995-09-15 | 1997-05-27 | Rsa Data Security, Inc | Cryptographic key escrow system having reduced vulnerability to harvesting attacks |
| US5937066A (en) * | 1996-10-02 | 1999-08-10 | International Business Machines Corporation | Two-phase cryptographic key recovery system |
| US6483920B2 (en) * | 1996-12-04 | 2002-11-19 | Bull, S.A. | Key recovery process used for strong encryption of messages |
| US5920630A (en) * | 1997-02-25 | 1999-07-06 | United States Of America | Method of public key cryptography that includes key escrow |
| US6058188A (en) * | 1997-07-24 | 2000-05-02 | International Business Machines Corporation | Method and apparatus for interoperable validation of key recovery information in a cryptographic system |
| US6151395A (en) * | 1997-12-04 | 2000-11-21 | Cisco Technology, Inc. | System and method for regenerating secret keys in diffie-hellman communication sessions |
| US6754820B1 (en) * | 2001-01-30 | 2004-06-22 | Tecsec, Inc. | Multiple level access system |
-
2000
- 2000-01-31 FR FR0001185A patent/FR2804561B1/fr not_active Expired - Fee Related
-
2001
- 2001-01-30 JP JP2001555258A patent/JP2003521197A/ja not_active Withdrawn
- 2001-01-30 WO PCT/FR2001/000285 patent/WO2001056222A1/fr active Application Filing
- 2001-01-30 EP EP01904002A patent/EP1254534A1/fr not_active Withdrawn
- 2001-01-30 US US10/181,598 patent/US20030012387A1/en not_active Abandoned
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005244988A (ja) * | 2004-02-27 | 2005-09-08 | Microsoft Corp | 装置用セキュリティアソシエーション |
| JP2014514860A (ja) * | 2011-04-22 | 2014-06-19 | アルカテル−ルーセント | セキュリティアソシエーションの発見法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1254534A1 (fr) | 2002-11-06 |
| FR2804561A1 (fr) | 2001-08-03 |
| WO2001056222A1 (fr) | 2001-08-02 |
| US20030012387A1 (en) | 2003-01-16 |
| FR2804561B1 (fr) | 2002-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2187035C (en) | Computer network cryptographic key distribution system | |
| CA2197915C (en) | Cryptographic key recovery system | |
| US8687812B2 (en) | Method and apparatus for public key cryptography | |
| EP0916209B1 (en) | Cryptographic key recovery system | |
| JP2003521197A (ja) | 鍵暗号化の供託および回復システムによる通信方法 | |
| KR100568233B1 (ko) | 인증서를 이용한 기기 인증 방법 및 상기 방법을 이용하여기기 인증을 수행하는 디지털 컨텐츠 처리 기기 | |
| GB2491896A (en) | Secret key generation | |
| JP2020532177A (ja) | データの高度なセキュリティ、高速暗号化および、伝送のためのコンピュータ実装システムおよび方法 | |
| JP2001211154A (ja) | 秘密鍵生成方法,暗号化方法及び暗号通信方法 | |
| CN111953487B (zh) | 一种密钥管理系统 | |
| Rana et al. | A comprehensive survey of cryptography key management systems | |
| KR20030047148A (ko) | Rsa를 이용한 클라이언트/서버 기반의 메신저 보안 방법 | |
| CN112019553B (zh) | 一种基于ibe/ibbe数据共享方法 | |
| Prabhu et al. | Security in computer networks and distributed systems | |
| Cooley et al. | GROK: A practical system for securing group communications | |
| JPH11187008A (ja) | 暗号鍵の配送方法 | |
| Mishra et al. | A certificateless authenticated key agreement protocol for digital rights management system | |
| CN113141249B (zh) | 一种门限解密方法、系统及可读存储介质 | |
| Fumy | Key management techniques | |
| JP7097581B2 (ja) | 通信システム、サーバ装置、通信方法、及びプログラム | |
| JP3884593B2 (ja) | 秘密鍵生成装置,暗号化装置,暗号通信方法,暗号通信システム及び記録媒体 | |
| JP3657803B2 (ja) | 秘密鍵生成装置,暗号化装置,暗号通信方法,暗号通信システム,共通鍵生成装置及び記録媒体 | |
| Raiturkar et al. | Efficient and Secure Cloud Data Distribution and Sharing Scheme in Groups | |
| Harn et al. | A protocol for establishing secure communication channels in a large network | |
| Kumar et al. | Web Application Security on Top of Public Cloud |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20080401 |