JP2004515160A - メッセージ認証システムのためのしきい値暗号方法およびシステム - Google Patents

メッセージ認証システムのためのしきい値暗号方法およびシステム Download PDF

Info

Publication number
JP2004515160A
JP2004515160A JP2002546357A JP2002546357A JP2004515160A JP 2004515160 A JP2004515160 A JP 2004515160A JP 2002546357 A JP2002546357 A JP 2002546357A JP 2002546357 A JP2002546357 A JP 2002546357A JP 2004515160 A JP2004515160 A JP 2004515160A
Authority
JP
Japan
Prior art keywords
message
share
key
shares
authenticator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2002546357A
Other languages
English (en)
Inventor
エスキシオグル,アーメツト マーシツト
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thomson Licensing SAS
Original Assignee
Thomson Licensing SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thomson Licensing SAS filed Critical Thomson Licensing SAS
Publication of JP2004515160A publication Critical patent/JP2004515160A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26606Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing entitlement messages, e.g. Entitlement Control Message [ECM] or Entitlement Management Message [EMM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/258Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
    • H04N21/25808Management of client data
    • H04N21/25816Management of client data involving client authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • H04N7/163Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing by receiver means only
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence

Abstract

メッセージを認証するための方法および装置であって、この方法は、第1のシェアを表すデータを装置で受信すること、前記第1のシェアと前記装置に記憶された少なくとも2つの追加シェアとを使用して鍵を構成すること、および、前記構成した鍵を使用してメッセージを認証することを含んでいる。

Description

【0001】
(発明の分野)
本発明は、メッセージ認証(message authentication:通報認証)を提供するためのシステムおよび方法に関する。秘密分散(secret sharing)の概念を利用することにより、このシステムは、メッセージの受信側に完全な(full)鍵(key:キー)を送信することを必要としない。鍵全体を送信するのではなく、送信側から受信した少なくとも1つのシェア(share:分担、割り当て、一部、断片)と、受信側に記憶された少なくとも2つのシェアを使用して鍵を回復する。
【0002】
(発明の背景)
近年の電子配信ネットワークでは、メッセージ認証が情報セキュリティの重要な課題である。この課題は、メッセージの受信側に送信側の識別(identity:身元)を保証することによって達成される。2進数列(binary sequnece)として表現されるメッセージには、封印した封筒などの物理的な保護は不可能なので、暗号法(cryptography)を用いたディジタル・ツールが開発されてきた。メッセージ認証のためのあらゆる暗号方法の主要な弱点は、これらが固定の対称鍵(symmetric key)または公開鍵(public key)を含むアルゴリズムを使用する点にある。秘密分散に基づく新しい鍵の移送方式について述べるが、この方式は、新しいメッセージごとに新しい鍵で認証できるようにし、鍵またはメッセージへの攻撃(attack)に対するシステムの抵抗力を強化するものである。
【0003】
認証(authentication)は、情報セキュリティの最も重要な4つの目的のうちの1つである。他の目的は、機密性(confidentiality:秘密性)、データ保全性(data integrity:完全性)、および否認防止(non−repudiation)である。通信ネットワークでは、これらの目的の幾つかまたはすべてを達成することが必要となる場合がある。
【0004】
機密性(秘密性)に関しては、情報を秘密にしておくべき適用例があることに留意されたい。暗号化技法は、データを理解不可能なフォーマット(形式)に変換することによって機密性をもたらす。これは可逆的なプロセスであり、正しい鍵を保持する者は、データを回復することができる。
【0005】
データ保全性(完全性)に関しては、ユーザは、許可されない方法で情報が改変されていないことを保証する必要がある。ハッシング関数(hashing function)は、データのコンパクトな表現を生成するものであり、一般に、データ保全性をチェックするのに使用される。
【0006】
最後に、否認防止に関しては、例えば、当事者が電子取引への関与などの行為を否認した結果として争議が生じたとき、信頼できる第三者が審判者として関与することで解決することができる。
【0007】
認証には「エンティティ(entity)」認証と「メッセージ(message)」認証の、2つの基本タイプがある。メッセージ認証は、メッセージの発信元の識別を保証する。エンティティ認証は、メッセージの発信元の識別、およびメッセージの発信元のアクティブな関与を保証する。
【0008】
図6に、2人の当事者(AとB)がメッセージ交換用プロトコルを使用して通信する通信チャネルを示す。当事者Aは、メッセージMの送信側であり、当事者Bは、受信側である。通信ネットワークのタイプに応じて、当事者Bは、メッセージ受信時に少なくとも3つの情報を必要とする。即ち、(1)メッセージMを送信した当事者の識別(identity)の保証(一般に、「メッセージ」認証と呼ばれる)、(2)メッセージMが、伝送中に改変されなかったという証拠(データ保全性)、および(3)メッセージが送信されたときに当事者A(即ち、送信側)がアクティブ(active)であったことの表示(一般に、「エンティティ」認証と呼ばれる)である。
【0009】
前述のように、メッセージ認証は、メッセージMの発信元である当事者Aの識別を保証する。また、メッセージMが伝送中に改変された場合は、当事者Aは発信元になり得ないので、メッセージ認証はデータ保全性の証拠も含んでいる。一方、エンティティ認証は、当事者Bに対して、当事者Aの識別だけでなくそのアクティブな関与も保証する。2人の当事者は、どちらの方向にもメッセージが流れるようにするために、相互に認証することが必要な場合もある。一般に、相互認証には、対称鍵または公開鍵方式に基づくチャレンジ・レスポンス・プロトコル(challenge−response protocol)、およびゼロ知識プロトコル(zero−knowledge protocol)が使用される。
【0010】
メッセージ認証は、瞬時性(timeliness)も固有性(uniqueness)も保証しないものの、一方の当事者(例えば当事者A)がメッセージ・プロトコルの実行中にアクティブでない場合の通信に非常に有用である。リプレイ攻撃(replay attack)(即ち、侵害者が当事者Aになりすまし、プロトコルを得ようとして前に使用されたメッセージを送信する)を回避するために、時間的に変化するデータ(例えば、シーケンス番号やタイム・スタンプなど)をメッセージMに付加することができる。
【0011】
「ハッシング(hashing)」と呼ばれる暗号プロセスは、データ保全性およびメッセージ認証の方式の極めて重要な部分である。ハッシュ関数は、任意の有限長のメッセージを受け取り、固定長の出力を生成する。暗号の適用例では、ハッシュ値は、実際のメッセージをより短く表現したものと考えられる。ハッシュ関数は、(1)鍵なし(unkeyed)ハッシュ関数(即ち、入力パラメータはメッセージだけ)と(2)鍵付き(keyed)ハッシュ関数(即ち、入力パラメータはメッセージおよび秘密鍵)の2つのグループに分類される。
【0012】
特定のクラスの「鍵なしハッシュ関数」は、マニピュレーション(変更)検出コード(MDC:Manipulation Detection Code)を含んでいる。マニピュレーション検出コード(MDC)は、メッセージMを圧縮する方式に依り様々である。幾つかの例として、(a)ブロック暗号(block cipher)に基づくハッシュ関数、(b)モジュラー演算(modular arithmetic)に基づくハッシュ関数、および(c)カスタマイズされたハッシュ関数がある。
【0013】
メッセージ認証に使用される鍵付きハッシュ関数は、メッセージ認証コード(MAC:Message Authentication Code)に基づいて分類される。メッセージ認証コード(MAC)は、カスタマイズすることもでき、ブロック暗号を使用して構成することもでき、また、マニピュレーション検出コード(MDC)から導出することもできる。
【0014】
メッセージ認証方法は、どのように対称鍵または公開鍵暗号を利用するかによって(a)メッセージ認証コード(MAC)、(b)メッセージ暗号化、および(c)ディジタル署名(digital signature)に分類することができる。
【0015】
図7に、メッセージ認証コード(MAC)を使用したメッセージ認証方法のブロック図を示す。メッセージMが、メッセージ認証コード(MAC)アルゴリズムに入力され、メッセージ認証コード(MAC)アルゴリズムは、両当事者(即ち、送信側(当事者A)と受信側(当事者B))が共有する鍵Kを使用してメッセージ認証コード(MAC)を計算する。次いで、当事者Aは、メッセージ認証コード(MAC)をメッセージMに付加し、複合信号(composite signal)を当事者Bに送信する。
【0016】
図8に、メッセージ暗号化を使用したメッセージ認証方法のブロック図を示す。メッセージ暗号化は、対称鍵暗号化と公開鍵暗号化の2通りの方式で達成することができる。対称鍵暗号化では、メッセージMを受信側(例えば、当事者B)に送信する前に対称鍵で暗号化する。受信側(例えば、当事者B)は、対称鍵のコピーを使用してメッセージを復号する。公開鍵暗号化では、メッセージMを公開鍵で暗号化し、受信側で対応する秘密鍵を使用して復号する。図8に示すように、どちらの方法に従う場合でも、メッセージMが暗号化アルゴリズムに入力され、暗号化アルゴリズムは、鍵K(対称または公開)を使用して暗号化済みメッセージE(M)を生成する。
【0017】
図9に、ディジタル署名を使用したメッセージ認証方法のブロック図を示す。この方法では、送信側(例えば、当事者A)は、秘密鍵(Kprivate)を使用してメッセージMにディジタル署名する。メッセージMのサイズに応じて、適切な署名アルゴリズムを使用することができる。当事者Aは、秘密鍵を所有する唯一の当事者なので、受信側(例えば、当事者B)には、メッセージMが当事者Aによって生成されたものであることが保証される。
【0018】
メッセージ認証コード(MAC)生成、メッセージ暗号化、およびディジタル・メッセージ署名(即ち、3つのメッセージ認証タイプすべて)に固定の鍵を使用する場合、セキュリティ・レベルは制限され、それによりシステムは、暗号解読される可能性がある。
【0019】
「メッセージ認証コード(MAC)」方法に関しては、送信側と受信側によって共有される対称鍵の存続時間中は、この対称鍵をすべてのメッセージに使用する必要がある。これにより、この方法は鍵回復およびメッセージ認証コード(MAC)偽造のための攻撃を受けやすくなる。可能な攻撃には、(1)鍵空間(key space)に対する攻撃と(2)メッセージ認証コード(MAC)値に対する攻撃の2つがある。侵害者が、メッセージ認証コード(MAC)鍵を決定することができる場合、侵害者は、どんなメッセージについてもメッセージ認証コード(MAC)値を生成できることになる。「t」ビットの鍵サイズおよび固定入力の場合、正しいnビットのメッセージ認証コード(MAC)を見つけることができる確率は約2−tである。メッセージ認証コード(MAC)偽造の目的は、鍵を知らずに所定のメッセージについてのメッセージ認証コード(MAC)を生成すること、または所定のメッセージ認証コード(MAC)についてのメッセージを見つけることである。nビットのメッセージ認証コード(MAC)アルゴリズムの場合、この目的を達成できる確率は約2−nである。要するに、メッセージ認証コード(MAC)アルゴリズムに対するブルート・フォース攻撃(brute force attack)に必要な労力は、最低(2,2)になる。
【0020】
メッセージ暗号化方法に関しては、この方法もまたブルート・フォース攻撃を受けやすい。例えば、56ビットデータ暗号化規格(DES)(対称)アルゴリズムの場合、鍵は、255個のデータ暗号化規格(DES)演算をすべてテストすることによって決定することができる。線形暗号解読や差分暗号解読のようなより効率的な攻撃では、より少ないプロセッシング時間で鍵を回復することができる。
【0021】
ディジタル署名方法に関しては、安全であることが証明されている公開鍵署名アルゴリズムはない。公開鍵アルゴリズムのセキュリティは、離散対数を計算することの困難さ、または大きな数を因数分解することの困難さに基づいている。固定の公開/秘密鍵の対であれば、公開鍵またはメッセージ上の署名を使用して攻撃が可能である。適用例によっては、送信側の公開鍵の認証は、複雑な公開鍵インフラストラクチャ(infrastructure:基盤)を必要とする大きな問題である。
【0022】
従って、現在、より高度なセキュリティを与えるが固定の鍵を使用しない、メッセージ認証を提供するための方法およびシステムが必要とされている。
【0023】
(発明の概要)
本発明は、メッセージの認証を提供するための方法および装置を定める。この方法は、第1のシェア(share)を表すデータを受信側局(station:ステーション)で受信すること、前記第1のシェアと前記受信側局に記憶された少なくとも2つの追加シェアとを使用して鍵を構成すること、および、前記構成した鍵を使用してメッセージを認証することを含んでいる。
【0024】
本発明の第1の例示的な実施形態によれば、第1および第2のシェアを使用する。第1および第2のシェアはユークリッド平面(Euclidean plane)上の点であり、鍵を構成するステップは、第1および第2のシェアによってユークリッド平面上に形成される線のY切片(Y−intercept)を計算することを含んでいる。
【0025】
本発明の第2の例示的な実施形態によれば、第1、第2、第3のシェアを使用する。第1、第2、第3のシェアは、ユークリッド平面上の点であり、鍵を構成するステップは、第1、第2、第3のシェアによってユークリッド平面上に形成される放物曲線のY切片を計算することを含んでいる。
【0026】
本発明の第3の例示的な実施形態によれば、第1、第2、第3、第4のシェアを使用する。第1、第2、第3、第4のシェアは、ユークリッド平面上の点であり、鍵を構成するステップは、第1、第2、第3、第4のシェアによってユークリッド平面上に形成される曲線のY切片を計算することを含んでいる。一般に、必要とされるセキュリティ・レベルに応じて、任意の数のシェアを使用することができる。
【0027】
(実施形態の詳細な説明)
本発明は、2人以上の当事者間で送信されるメッセージを予め組み込まれた秘密分散法を用いて認証するメッセージ認証システムを含んでいる。予め組み込まれた秘密分散法を用いることにより、メッセージ認証システムのセキュリティ(安全性)およびフレキシビリティ(柔軟性)(例えば、種々の鍵を使用することによる)が向上する。
【0028】
本発明は、アジ・シャミル氏(Adi Shamir)によって元々開発された、「しきい値法(threshold scheme)」として知られる秘密分散法の適用を採用する(A.Shamir「How to share a secret」Communications of the ACM、Vol.22、No.11、612〜613ページ、1979年11月参照)。シャミル氏によって提案されるような(t,n)しきい値法は、秘密(情報)(secret)を再構成するために断片のうち少なくともt個(≦n)が必要になるような形で、秘密をn個の断片(「シェア(share)」または「シャドウ(shadow)」と呼ばれることがある)に分割するものである。完全なしきい値法は、(t−1)個以下の断片(「シェア」または「シャドウ」)が分っても、秘密に関する情報は何も提供されないしきい値法である。
【0029】
例えば、(2,5)しきい値法では、秘密は5つのシェアに分割されるが、秘密を再構成するには2つのシェアしか必要でない。このような(2,5)しきい値法を用いて、銀行のマネージャが、主金庫に対する錠の組合せを5人の出納係の間で分割することができる。このようにすれば、任意の2人の出納係が協働すれば金庫を開けることができるが、1人の出納係だけでは金庫を開けることはできない。シャミル氏の(t,n)しきい値法では、より大きい値をtに選択して(t−1)個の秘密をスマート・カード(smart card)に記憶すれば、暗号文攻撃に対するシステムの抵抗力は高まるものの、多項式を構成するための計算はより多くなる。
【0030】
このようなしきい値法は、対称鍵を回復する際の計算要件を低減する。モジュラー(modular)べき乗計算を必要とするRSA(Rivest‐Shamir‐Adleman)復号と比較して、新しい鍵それぞれにつき単純な操作が行われるだけである(即ち、x=0における多項式の値が計算される)。加えて、セキュリティは完全である(即ち、(x,y)が分っても、秘密の値はすべて依然として等しい確率を有する)。
【0031】
本発明は、シャミル氏の秘密分散の原理を利用して、メッセージを認証するための鍵の識別を秘匿する。具体的には、本発明者は、ユークリッド平面上の2つ以上の点で形成される特定の線または曲線のY切片を鍵が構成する方式を提案する。
【0032】
この方式の最も単純な実施形態では、あらかじめシェアが記憶された状態の装置(device:デバイス)(例えば、受信機)が製造される(後述の通り、これはしばしば「予め組み込まれた(prepositioned)」分散秘密法と呼ばれる)。この記憶されたシェアを使用して鍵を計算し、次いでこの鍵を使用してメッセージ認証子(message authenticator)を得る。メッセージ認証子は、例えば、図7に関して先に説明したタイプのもの(例えば、メッセージ認証コード(MAC))とすることもでき、当業者に周知の異なる認証子とすることもできる。メッセージ信号を送信するとき、追加の、即ち「アクティブ化(activating)」シェアも一緒に送信する。アクティブ化シェアを知っていても記憶済みシェアを知らなければ意味がないので、この方式では「アクティブ化」シェアを暗号化する必要はないことに留意されたい。装置は、「アクティブ化」シェアを受け取ると、記憶済みシェアと「アクティブ化」シェアとによって形成される線のY切片を見つけることによって計算される鍵を使用して、メッセージ認証子を計算する。新しい鍵が必要になる度に、送信側で新しい「アクティブ化」シェアを選択し、それにより記憶済みシェアと「アクティブ化」シェアとによって形成される線のY切片を変更することができる。このようにして、有限数の鍵を定め、装置のハードウェアもソフトウェアも変更せずに鍵を利用することができる。前述の「装置」には、アナログまたはディジタル・テレビジョン(DTV)受信機、セットトップ・ボックス(STB)、ビデオカセット・レコーダ(VCR)、および当業者に知られた他の等価な装置など、多くの様々なタイプの装置を含めることができることに留意されたい。話を簡単にするために、以下の記述では、一般的な「受信機」構造を中心に説明する。
【0033】
鍵の生成および配布のプロセスは、以下のステップを実施するためのプログラムを開発することによって自動化することができる。
(a)秘密Sを選択する。これはユークリッド平面のY軸に沿った値となる。
(b)Sを使用してメッセージ認証子を生成する。このメッセージ認証子は、例えばMACとすることができる。
(c)点(0,S)と別の点(x,y)を通る1次多項式f(x)を構成する。
(d)xにおけるf(x)を計算する。xはxと等しくはなり得ない。
(e)メッセージおよびメッセージ認証子(message authenticator:メッセージ認証符号)(例えば、MAC)と共に、(x,y)を配布する。
【0034】
前述のような方式は、秘密の一部が装置(例えば、受信側)に「予め組み込まれる」ので、しばしば「予め組み込まれた」分散秘密法と呼ばれる。上の例では、「予め組み込まれた」シェアは、受信側で記憶されているシェアである。このような「予め組み込まれた」分散秘密法は、暗号学の分野で他者によって考察されている(例えば、G.J.Simmons「How to(really)share a secret」Advances in Cryptology−CRYPTO’88 Proceedings、Springer−Verlag、390〜448ページ、1990年、およびG.J.Simmons「Prepositioned shared secret and/or shared control schemes」Advances in Cryptology−EUROCRYPT’89 Proceedings、Springer−Verlag、436〜467ページ、1990年参照)。所定のシェアを予め組み込むことにより、鍵は、受信側のどんな回路も変更せずに比較的容易に変更することができ、「アクティブ化」シェアを変更する必要があるだけである。
【0035】
上記のアルゴリズムは、2つのシェア(即ち、ユークリッド平面上の線の2点)だけを有する秘密Sを利用した予め組み込まれた秘密分散法を概説したものであることに留意されたい。当然、より多くのシェア(点(point))から他の秘密Sを計算し、それにより暗号解読をより困難にすることもできる。予め組み込まれた秘密分散法の重要な面は、シェアの幾つかが受信側に「予め組み込まれる」ことである。
【0036】
本発明は、特定位置(場所)(例えば、受信側ハードウェア)に秘密のシェアの少なくとも1つを記憶することを含んでいる。次いで、記憶したシェアを「アクティブ化」シェアと共に使用して、秘密を構成する。例えば(4,4)方式では、4つのシェアのうち3つを特定位置(例えば、受信側)に記憶することが好ましい。次いで、秘密を得るための最後のシェア(本明細書では「アクティブ化(activating)」シェアとも呼ぶ)をこの位置に送信する。本発明では、秘密はシェア自体ではなく、シェアがユークリッド平面上の点として表されたときにシェアによって形成される線、または曲線(より高次の多項式の場合)のY切片であることに留意することが重要である。
【0037】
図1、図2A、および図2Bは共に、本発明の第1の例示的な実施形態によるメッセージ認証システム100を、示すものである。メッセージ認証システム100は、メッセージ・ソース(送信側)40およびメッセージ受信機50を含んでいる。メッセージ・ソース40は、秘密鍵を使用して、メッセージからメッセージ認証子を生成する。通常、認証子は、メッセージと共に受信機50に送信される。受信機50は、同じ鍵を構成し、この鍵を使用して認証子を計算する。受信機で構成された認証子と、メッセージと共に送信された認証子とが同じである場合は、このメッセージは真正(authentic)であると決定される。第1の例示的な実施形態では、秘密は2つのシェアから得られる。前述のように、各シェアはユークリッド平面上の点で定められる。
【0038】
具体的には、受信機50に秘密の第1のシェア(または、データ点)が記憶される。第1のシェアは、ユークリッド平面上の単一の点(即ち(x,y)の形式)と考えることができる。メッセージ・ソース40は、特定の認証プロトコルで受信機50にメッセージを送信する。メッセージに加えて、メッセージ・ソース40は、メッセージ認証子および第2の(即ち、「アクティブ化」シェア(秘密の第2の部分である)も送信する。第1のシェアと同様、第2のシェアも、同じユークリッド平面からの第2の単一の点(即ち、(x,y)の形式)とすることができる。
【0039】
第1の例示的な実施形態では、メッセージ、メッセージ認証子(例えば、メッセージ認証コード(MAC))、および第2の(「アクティブ化」)シェアは、受信機50によって受信され、受信機の内部で処理される。受信機50は、第2の(「アクティブ化」)シェア(例えば、(x,y))と記憶済みの第1のシェア(例えば、(x,y))とを使用して、鍵(即ち、秘密)を再構成(または回復)する。次いで、受信機50は、再構成した鍵を使用して、メッセージ認証子(例えば、メッセージ認証コード(MAC))を生成する。受信機50で計算されたメッセージ認証子(例えば、メッセージ認証コード(MAC))が、メッセージ・ソース40から送信されたメッセージ認証子と同じである場合は、メッセージは真正と見なされ、メッセージ認証子が同じでない場合は、メッセージは拒否される。
【0040】
鍵の回復(recovery)は、第1および第2のシェアを利用して多項式を構成することによって達成される。即ち、構成された多項式のY切片が鍵である。例えば、(x,y)および(x,y)がある場合、鍵は、この所定の有限体中でSの値を計算することによって構成され、以下のようになる。
S=f(0)=y−((y−y)/(x−x))×(x
【0041】
図2Aに、本発明の第1の例示的な実施形態のグラフを示す。このグラフは、例示的なシェア(x,y)および(x,y)と、これらによって形成される線を示しており、この線は特定の点でY軸と交差する(この点が鍵である)。例として、図2Aのプロットは、モジュラー算術ではなく実数を使用して得られる。
【0042】
第1の例示的な実施形態に関して述べたような手法では、複数のメッセージ・ソース40が、記憶される(第1の)シェア(x,y)を共用することができ、これが受信機50に記憶される。次いで、メッセージ・ソース40は、独自の「アクティブ化」(第2の)シェア(即ち、(x,y))を自由に選択することができ、それによって広範囲の秘密を定めることができる。同一のY切片(即ち、同一の鍵)を伴う多項式を構成する確率は低い。ただし、可能な第2の(アクティブ化)シェアの範囲は、各サービス・プロバイダが重ならない固有の範囲を有するように割り振ることもできる(図2B参照)。
【0043】
本発明の第1の例示的な実施形態による例を考察するために、点(x,y)=(17,15)、(x,y)=(5,10)、およびp=23と仮定する。(x,y)および(x,y)を通る1次多項式
f(x)=ax+a(mod23)
は、以下の式を解くことによって構成することができる。
×(17)+a=15(mod23)
×(5)+a=10(mod23)
解(a,a)=(10,6)は、以下の多項式をもたらす。
f(x)=10x+6(mod23)
秘密Sの値は、f(0)を計算することによって発見することができる。
S=f(0)=6(mod23)
【0044】
従って、上の例によれば、秘密の値は、即ち、鍵の値は6(mod23)になる。当然、この秘密の値は、(x,y)の値が変わる度に変化することになる。
【0045】
図3に、(第1の例示的な実施形態の2つのシェアとは対照的に)3つのシェアを利用する本発明の第2の例示的な実施形態による鍵回復方式を示す。第2の例示的な実施形態では、鍵の回復は、第1、第2、第3のシェア(例えば、(x,y)、(x,y)、(x,y))を利用して2次多項式(即ち、放物曲線)を構成することによって達成される。構成された2次多項式のY切片が鍵である。
【0046】
本発明の第2の例示的な実施形態による例を考察するために、点(x,y)=(17,15)、(x,y)=(5,10)、(x,y)=(12,6)、およびp=23と仮定する。(x,y)、(x,y)、(x,y)を通る2次多項式
f(x)=a+ax+a(mod23)
は、以下の式を解くことによって構成することができる。
×(17)+a×(17)+a=15(mod23)
×(12)+a×(12)+a=6(mod23)
×(5)+a×(5)+a=10(mod23)
解(a,a,a)=(10,20,5)は、以下の多項式をもたらす。
f(x)=10x+20x+5(mod23)
秘密Sの値は、f(0)を計算することによって発見することができる。
S=f(0)=5(mod23)
【0047】
図3に示すように、第1、第2、第3のシェアは、ユークリッド平面上の点として表すことができる。例として、図4のプロットはモジュラー算術ではなく実数を使用して得られる。
【0048】
図4に、4つのシェアを利用する本発明の第3の例示的な実施形態による鍵回復方式を示す。第3の例示的な実施形態では、鍵の回復は、第1、第2、第3、第4のシェア(例えば(x,y)、(x,y)、(x,y)、(x,y))を利用して3次多項式(即ち、曲線)を構成することによって達成される。構成された3次多項式のY切片が鍵である。
【0049】
本発明の第3の例示的な実施形態による例を考察するために、点(x,y)=(17,15)、(x,y)=(5,10)、(x,y)=(12,6)、(x,y)=(3,12)、およびp=23と仮定する。(x,y)、(x,y)、(x,y)、(x,y)を通る3次多項式
f(x)=a+a+ax+a(mod23)
は、以下の式を解くことによって構成することができる。
×(17)+a×(17)+a×(17)+a=15(mod23)
×(12)+a×(12)+a×(12)+a=6(mod23)
×(5)+a×(5)+a×(5)+a=10(mod23)
×(3)+a×(3)+a×(3)+a=12(mod23)
解(a,a,a,a)=(18,19,0,22)は、以下の多項式をもたらす。
f(x)=18x+19x+0x+22(mod23)
秘密Sの値は、f(0)を計算することによって発見することができる。
S=f(0)=22(mod23)
【0050】
図4に示すように、第1、第2、第3、第4のシェアは、ユークリッド平面上の点として表すことができる。例として、図4のプロットはモジュラー算術ではなく実数を使用して得られる。
【0051】
複数のシェアを使用して、通信ネットワークにおける好都合な鍵移送方式を構成することもできる。実例として、ディジタル・ネットワークにおける重要な問題であるコード認証を用いることができる。今後、オーディオ/ビデオ・データを扱う高性能の家庭娯楽装置が、ディジタル配信ネットワーク(例えば、衛星、ケーブル、地上、インターネット)を介して様々な用途のソフトウェアを受信することになる。このコードのソースを識別することは、コンテンツを配信するサービス・プロバイダと、コンテンツを利用する装置のメーカとの両方にとって必須条件である。サービス・プロバイダは、許可(許諾)された装置だけがそのアプリケーションを受信および使用することを保証したい。装置メーカは、未許可(無許諾)サービスがその装置を使用することを懸念する。所定の放送システムで、種々の装置グループが様々な方式で許可(許諾)を受けると仮定する。以下に挙げる例で、どのように予め組み込まれた秘密分散を用いて必要な鍵の階層構造を確立することができるかについて説明する。
【0052】
次のようにコード認証(code atuhentication)のための異なる3つの認証レベルを有するブロードキャスト(放送、配信)システムを検討する。
(1)レベル1受信機:放送「領域」中のすべての受信機に、1つの共通シェア(即ち、領域中のすべての受信機に共通のシェア)を割り当てる。
(2)レベル2受信機:指定のグループ中のすべての受信機に、追加の共通シェア(即ち、指定のグループ中のすべての受信機に共通のもう1つのシェア)を割り当てる。
(3)レベル3受信機:各受信機に固有の追加シェアを割り当てる。
【0053】
前述の受信機を「アクティブ化」シェアと共に使用して、ある種のメッセージを認証することができる。レベル1受信機は1つのシェアだけを含み、レベル2受信機は2つのシェアを含み、レベル3受信機は3つのシェアを含むので、各受信機は異なる鍵セット(set:組)を提供することになる。従って、放送領域内のすべての受信機(即ち、レベル1受信機)は、一般のメッセージを受信して認証する機能を有するが、レベル2受信機だけは、幾つかの追加のメッセージを受信して認証する機能を有し、レベル3受信機だけは、その他に幾つかの追加のメッセージを受信して認証する機能を有する。レベル1〜3受信機中に組み込まれるシェアは、秘密(例えば、鍵)を計算するために「アクティブ化」シェアと共に使用することのできる「予め組み込まれた」情報を構成することに留意されたい。
【0054】
図5に、どのようにユークリッド平面を使用して複数シェア方式を構成するかを示す。理解されるように、異なる3つの認証レベルは、3つのY切片に対応する(即ち、「地域鍵(regional key)」、「グループ鍵(group key)」、「個人鍵(individual key)」)。1次多項式(レベル1即ち、「地域(regional)」許可に対応する)は、「アクティブ化シェア」およびレベル1共通シェアを通る線を構成する。2次多項式(レベル2即ち、「グループ(group)」許可に対応する)は、「アクティブ化」シェア、レベル1共通シェア、およびレベル2シェアを通る放物線を構成する。3次多項式(レベル3即ち、「個人(individual)」許可に対応する)は、「アクティブ化」シェア、レベル1共通シェア、レベル2シェア、およびレベル3シェアを通る曲線を構成する。この例では、異なる各鍵(即ち、個人、グループ、地域)を計算するのに「アクティブ化」シェアを使用していることに留意されたい。例として、図5のプロットはモジュラー算術ではなく実数を使用して得られる。
【0055】
上の例を用いて、以下の表に、シェアと種々の許可レベルとの関係を記述する。
【表1】
Figure 2004515160
【0056】
前述の方法および装置について、ユーザ間で真正のメッセージを配信するためのメッセージ認証システムのコンテキストで述べたが、本発明の原理は、マルチメディア・コンテンツへの条件付きアクセス(CA:Conditional Access)を提供するための方法および装置にも適用することができる。
【0057】
前述の方法および装置の幾つかの利点には、次のことが含まれる。
(a)鍵を回復する際の受信側に対する計算要件が削減される(即ち、各鍵につき単純な操作しか実施されない)。これは、モジュラーべき乗の計算を必要とするRSA復号とは対照的である。
【0058】
(b)セキュリティは「完全」である。言い換えれば、アクティブ化シェアがあっても、秘密の値はすべて依然として等しい確率を有する。より高次の多項式であるほど、アクティブ化シェアを得て秘密を決定する作業はより一層困難になる。
【0059】
(c)送信側と受信側の間で共有される「予め組み込まれた」情報の所定のセットに対し、異なる鍵を容易に導出して頻繁に使用することができる(即ち、「アクティブ化」シェアを変更することによって)。
【0060】
(d)各受信側に異なるシェアを割り当てることにより、異なる許可レベルを定めることができる。
【0061】
(e)セキュリティは、証明されていない数学的仮定に依拠しない(即ち、RSAのセキュリティは、整数因数分解の問題の困難さに基づく)。
【0062】
前述の方式は、対称鍵システムと公開鍵システムの利点を効果的に結合する。「予め組み込まれた」情報は、受信側の秘密鍵と考えることができる。構成される対称鍵は、権利の付与制御メッセージ(Entitlement Control Message:ECM)の一部として送信される公開情報によって決定される。鍵は、メッセージ・ソースでは生成されないので、これらを配布時に保護するための追加の暗号は必要ない。
【0063】
前述の方式の効果は、次のことを含めた様々な仕方で高めることができる。
【0064】
(1)分散秘密に応じて鍵を定める。一般に、鍵は、秘密の値において予め定められた関数を評価することによって生成することができる。例えば、分散秘密(例えば関数f(x)のY切片)が実数7であった場合、鍵は7の平方根として定めることができる。このようにすれば、たとえ秘密を発見しても鍵を計算できるとは限らない。あるいは、多項式の係数が得られた後で他の任意の定義を用いることもできる。実際上は、関数はエントロピー保存特性を有することが必要な場合がある(即ち、エントロピー(秘密)=エントロピー[f(秘密)])。
【0065】
(2)多項式関数の次数(従って秘密を発見するのに必要なシェアの数)を、時間依存の秘密のシステム・パラメータにする。例えば、秘密を定める多項式f(x)の次数は、1日ごと、1時間ごとなどで変化する。最初に多項式の次数を決定しなければならないので、暗号解読はより要求の厳しい作業になる。
【0066】
(3)アクティブ化シェアを送信前にマスク(mask)する。次いで、メッセージと共に送信されたアクティブ化シェアを、受信側が予め定められたプロセスでマスク解除(unmask)することができる。マスキングの一例では、認証するのにはアクティブ化シェアのハッシュ値(hash value)を使用するが、送信するのはそうでなくアクティブ化シェアである。次いで、受信側はハッシング(hashing)を実施して実際の値を決定する。
【0067】
(4)冗長なアクティブ化シェアを追加する。実際のアクティブ化シェアと共に送信された追加のアクティブ化シェアを、受信側が予め定められたプロセスでフィルタリングして除去する。
【0068】
上記の改良を任意に組み合わせると、アクティブ化シェアの実際の値を送信時に秘匿するのに役立ち、メッセージに対する追加のセキュリティ・レベルを導入できる。
【0069】
以上の考察では、メッセージ認証コード(Message Authentication Code:MAC)をメッセージ認証子として使用することに主に中心を据えているが、本発明の範囲を逸脱することなく他のメッセージ認証方法も使用できることは、当業者なら理解するであろう(例えば、メッセージ暗号化。図8および本明細書中の関連する記述を参照されたい)。
【0070】
秘密を形成する際に1次、2次、3次の多項式を使用することのできる秘密分散法に関して本発明を述べたが、任意の次数の多項式(例えば4次、5次など)も使用できることは当業者には理解されるであろう。実際、より高次の多項式であるほど、推定しなければならないシェアの数が増加するので、より低い多項式に勝る追加のセキュリティをもたらすという点で好ましい。更に、以上の記述では単一のスマート・カード(smart card)を使用するシステムに焦点を合わせているが、複数のスマート・カードを使用し、各スマート・カードに1つまたは複数のシェア値を記憶することもできることは、当業者には理解されるであろう。
【図面の簡単な説明】
【図1】
本発明の第1の例示的な実施形態によるメッセージ認証システムを示すブロック図である。
【図2A】
本発明の第1の例示的な実施形態による、認証鍵の決定を表すグラフである。
【図2B】
図1による、各受信機について重ならない固有の範囲を割り振ることを表すグラフである。
【図3】
本発明の第2の例示的な実施形態による、認証鍵の決定を表すグラフである。
【図4】
本発明の第3の例示的な実施形態による、認証鍵の決定を表すグラフである。
【図5】
本発明の第1〜3の例示的な実施形態による、複数の認証鍵の決定を表すグラフである。
【図6】
従来のメッセージ認証システムを示すブロック図である。
【図7】
メッセージ認証コード(MAC)を使用したメッセージ認証システムを示すブロック図である。
【図8】
メッセージ暗号化を使用したメッセージ認証システムを示すブロック図である。
【図9】
ディジタル署名を使用したメッセージ認証システムを示すブロック図である。

Claims (20)

  1. メッセージを認証する方法であって、
    第1のシェアを表すデータを装置で受け取るステップと、
    前記第1のシェアと前記装置に記憶された少なくとも2つの追加シェアである第2および第3のシェアとを使用して鍵を構成するステップ、および、
    前記構成した鍵を使用してメッセージを認証するステップを含む方法。
  2. 前記第1、第2、および第3のシェアが、ユークリッド平面上の点である、請求項1に記載の方法。
  3. 前記メッセージを認証するステップが、メッセージ認証コードを使用して前記メッセージを認証するステップを含む、請求項1に記載の方法。
  4. 前記メッセージを認証するステップが、復号鍵を使用して前記メッセージを認証するステップを含む、請求項1に記載の方法。
  5. メッセージの認証を提供する方法であって、
    メッセージ認証子および前記メッセージを装置で受け取るステップと、
    第1のシェアを表すデータを前記装置で受け取るステップと、
    前記第1のシェアと前記装置に記憶された第2、および第3のシェアとを使用して鍵を構成するステップ、および、
    前記構成した鍵および前記メッセージ認証子を使用して前記メッセージを認証するステップを含み、
    前記鍵を構成するステップが、前記第1、第2および第3のシェアによってユークリッド平面上に形成される曲線のY切片を計算するステップを含む方法。
  6. 前記メッセージ認証子がメッセージ認証コードを含む、請求項5に記載の方法。
  7. 第1の装置から第2の装置に送られるメッセージを認証するためのシステムであって、
    前記第2の装置が、
    メッセージおよびメッセージ認証子を受け取るステップと、
    第1のシェアを表すデータを受け取り、前記第1のシェアと前記第2の装置に記憶された第2、および第3のシェアとを使用して鍵を構成するステップと、
    前記構成した鍵および前記メッセージ認証子を使用して前記メッセージを認証するステップとを実施し、
    前記鍵を構成するステップが、前記第1、第2および第3のシェアによってユークリッド平面上に形成される曲線のY切片を計算するステップを含むシステム。
  8. 少なくとも1つのメッセージ・ソース(源)と、
    前記少なくとも1つのメッセージ・ソース(源)から送られたメッセージ、メッセージ認証子、および第1のシェアを受け取るための少なくとも1つのメッセージ受信機とを備えるメッセージ認証システムであって、
    前記少なくとも1つのメッセージ受信機が、前記メッセージを認証するために第2、第3のシェアを記憶しており、前記第2、第3のシェアが前記第1のシェアと共に使用されて前記メッセージが認証される、メッセージ認証システム。
  9. 前記第1のシェアおよび前記少なくとも2つの追加シェアが、少なくとも2次多項式関数上の点である、請求項1に記載の方法。
  10. 前記少なくとも2つの追加シェアが少なくとも3つの追加シェアを含み、従って前記第1のシェアおよび前記少なくとも3つの追加シェアが、少なくとも3次多項式関数上の点である、請求項1に記載の方法。
  11. 前記鍵が、前記第1のシェアおよび前記少なくとも2つの追加シェアから計算される秘密の値を含む、請求項1に記載の方法。
  12. 前記鍵が、前記第1のシェアおよび前記少なくとも2つの追加シェアから計算される秘密の値の関数を含む、請求項1に記載の方法。
  13. 前記第1のシェアおよび前記少なくとも2つの追加シェアが多項式関数上の点を含む、請求項1に記載の方法。
  14. 前記多項式関数の次数が定期的に変更される、請求項13に記載の方法。
  15. 前記第1のシェアが前記装置中で受け取られる前に前記第1のシェアをマスクするステップを更に含む、請求項1に記載の方法。
  16. 前記第1のシェアのマスク済みバージョンから前記第1のシェアを計算するステップを更に含む、請求項15に記載の方法。
  17. 第1のシェアおよび少なくとも1つの冗長シェアを送るステップを更に含む、請求項1に記載の方法。
  18. 前記第1のシェアを受け取った後で前記少なくとも1つの冗長シェアをフィルタリングして除去するステップを更に含む、請求項17に記載の方法。
  19. メッセージ認証システムを運営する方法であって、
    メッセージ、メッセージ認証子、および第1のシェアを送信側局から受信側局に送るステップと、
    前記メッセージ、前記メッセージ認証子、および前記第1のシェアを前記受信側局で受け取るステップと、
    前記第1のシェアと前記受信側局に記憶された少なくとも2つの追加シェアとを使用して鍵を構成するステップと、
    前記構成した鍵および前記メッセージ認証子を使用して前記メッセージを認証するステップとを含む方法。
  20. 送信機と、
    前記送信機から送られたメッセージ、メッセージ認証子、および第1のシェアを受け取るための受信機とを備えるメッセージ認証システムであって、
    前記受信機が、前記メッセージを認証するために第2、第3のシェアを記憶しており、前記第2、第3のシェアが前記第1のシェアと共に使用されて前記メッセージが認証される、メッセージ認証システム。
JP2002546357A 2000-11-29 2001-09-24 メッセージ認証システムのためのしきい値暗号方法およびシステム Withdrawn JP2004515160A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US25378100P 2000-11-29 2000-11-29
PCT/US2001/029842 WO2002045340A2 (en) 2000-11-29 2001-09-24 Threshold cryptography scheme for message authentication systems

Publications (1)

Publication Number Publication Date
JP2004515160A true JP2004515160A (ja) 2004-05-20

Family

ID=22961673

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2002546354A Withdrawn JP2004515159A (ja) 2000-11-29 2001-09-24 条件付きアクセス・システムのためのしきい値暗号方法およびシステム
JP2002546357A Withdrawn JP2004515160A (ja) 2000-11-29 2001-09-24 メッセージ認証システムのためのしきい値暗号方法およびシステム

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2002546354A Withdrawn JP2004515159A (ja) 2000-11-29 2001-09-24 条件付きアクセス・システムのためのしきい値暗号方法およびシステム

Country Status (8)

Country Link
EP (2) EP1366594A2 (ja)
JP (2) JP2004515159A (ja)
KR (2) KR20040010565A (ja)
CN (2) CN1484901A (ja)
AU (2) AU2001296294A1 (ja)
BR (2) BR0115575A (ja)
MX (2) MXPA03004599A (ja)
WO (2) WO2002045337A2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005124168A (ja) * 2003-10-14 2005-05-12 Microsoft Corp デジタル権利管理システム
JP2007189345A (ja) * 2006-01-11 2007-07-26 Nippon Telegr & Teleph Corp <Ntt> 複数鍵認証端末装置及び複数鍵認証管理装置及び複数鍵認証システム及びプログラム
JP2008219178A (ja) * 2007-02-28 2008-09-18 Kddi Corp 端末装置、データ管理装置およびコンピュータプログラム
JP2012090162A (ja) * 2010-10-21 2012-05-10 Kddi Corp 鍵管理システム、鍵管理方法及びコンピュータプログラム

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7620187B1 (en) 2005-03-30 2009-11-17 Rockwell Collins, Inc. Method and apparatus for ad hoc cryptographic key transfer
CN101194459B (zh) * 2005-06-08 2013-11-27 皇家飞利浦电子股份有限公司 用于移动躯体传感器网络的预分配确定性密钥
JP4909796B2 (ja) * 2007-04-24 2012-04-04 Kddi株式会社 秘密情報管理システム、秘密情報管理方法およびプログラム
GB2451505A (en) 2007-08-01 2009-02-04 Iti Scotland Ltd Key distribution in a network using key shares in a secret sharing scheme
US7958354B1 (en) 2008-02-14 2011-06-07 Rockwell Collins, Inc. High-order knowledge sharing system to distribute secret data
JP2008167505A (ja) * 2008-03-26 2008-07-17 Dainippon Printing Co Ltd 公開鍵暗号処理システムおよび方法
US11170094B2 (en) 2016-01-27 2021-11-09 Secret Double Octopus Ltd. System and method for securing a communication channel
WO2017130200A1 (en) * 2016-01-27 2017-08-03 Secret Double Octopus Ltd System and method for securing a communication channel

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7610614B1 (en) * 1999-02-17 2009-10-27 Certco, Inc. Cryptographic control and maintenance of organizational structure and functions

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005124168A (ja) * 2003-10-14 2005-05-12 Microsoft Corp デジタル権利管理システム
JP4672317B2 (ja) * 2003-10-14 2011-04-20 マイクロソフト コーポレーション デジタル権利管理システム
JP2007189345A (ja) * 2006-01-11 2007-07-26 Nippon Telegr & Teleph Corp <Ntt> 複数鍵認証端末装置及び複数鍵認証管理装置及び複数鍵認証システム及びプログラム
JP2008219178A (ja) * 2007-02-28 2008-09-18 Kddi Corp 端末装置、データ管理装置およびコンピュータプログラム
JP2012090162A (ja) * 2010-10-21 2012-05-10 Kddi Corp 鍵管理システム、鍵管理方法及びコンピュータプログラム

Also Published As

Publication number Publication date
KR20030094217A (ko) 2003-12-11
MXPA03004822A (es) 2003-09-25
AU2002212977A1 (en) 2002-06-11
BR0115575A (pt) 2003-07-29
EP1366594A2 (en) 2003-12-03
WO2002045340A3 (en) 2002-10-17
CN1483259A (zh) 2004-03-17
WO2002045340A2 (en) 2002-06-06
WO2002045337A3 (en) 2002-09-06
BR0115573A (pt) 2003-07-29
WO2002045337A2 (en) 2002-06-06
CN1484901A (zh) 2004-03-24
EP1348276A2 (en) 2003-10-01
JP2004515159A (ja) 2004-05-20
AU2001296294A1 (en) 2002-06-11
KR20040010565A (ko) 2004-01-31
MXPA03004599A (es) 2003-09-04

Similar Documents

Publication Publication Date Title
US7200752B2 (en) Threshold cryptography scheme for message authentication systems
US5937066A (en) Two-phase cryptographic key recovery system
EP1155527B1 (en) Protecting information in a system
US6550008B1 (en) Protection of information transmitted over communications channels
US5815573A (en) Cryptographic key recovery system
US6298153B1 (en) Digital signature method and information communication system and apparatus using such method
US5907618A (en) Method and apparatus for verifiably providing key recovery information in a cryptographic system
US7848525B2 (en) Hybrid broadcast encryption method
US20060195402A1 (en) Secure data transmission using undiscoverable or black data
JP4130653B2 (ja) 擬似公開鍵暗号方法及びシステム
EP1234404B1 (en) Generation of a mathematically constrained key using a one-way function
KR20020016636A (ko) 자가 인증 암호문 연결
US6516414B1 (en) Secure communication over a link
Wang et al. Improved one-to-many authentication scheme for access control in pay-TV systems
US20140082361A1 (en) Data encryption
JP2004515160A (ja) メッセージ認証システムのためのしきい値暗号方法およびシステム
Eskicioglu et al. A key transport protocol based on secret sharing applications to information security
US20110066857A1 (en) Method for secure delivery of digital content
Eskicioglu A prepositioned secret sharing scheme for message authentication in broadcast networks
US20020196937A1 (en) Method for secure delivery of digital content
Gennaro et al. Secure key recovery
JP3862397B2 (ja) 情報通信システム
Sakuraii et al. A key escrow system with protecting user's privacy by blind decoding
US20020112166A1 (en) Encryption method and apparatus with escrow guarantees
Sarkar 1 Overview of Cryptographic Primitives for Secure Communication

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20060725

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20060810

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20061115

RD05 Notification of revocation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7425

Effective date: 20080318

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080415

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080924

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20091008