JP2005503716A - ネットワークダイナミックスに基づく鍵一致プロトコル - Google Patents
ネットワークダイナミックスに基づく鍵一致プロトコル Download PDFInfo
- Publication number
- JP2005503716A JP2005503716A JP2003529686A JP2003529686A JP2005503716A JP 2005503716 A JP2005503716 A JP 2005503716A JP 2003529686 A JP2003529686 A JP 2003529686A JP 2003529686 A JP2003529686 A JP 2003529686A JP 2005503716 A JP2005503716 A JP 2005503716A
- Authority
- JP
- Japan
- Prior art keywords
- station
- columns
- length
- sub
- stations
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
- H04L9/0858—Details about key distillation or coding, e.g. reconciliation, error correction, privacy amplification, polarisation coding or phase coding
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Detection And Prevention Of Errors In Transmission (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
要約書なし。
Description
【技術分野】
【0001】
本発明は暗号システムに関し、特に、無ノイズの公開チャンネル上で通信する二人の関係者間で記録される時間差分に基づく無条件に安全な暗号鍵を生成する方法、に関する。本出願は、「シルベスタ行列に基づくハッシュ関数」と題された同一日付で出願された我々の該当出願に関連している。
【背景技術】
【0002】
古典的な暗号システムのアキレス健は、全面的に安全な通信チャンネル上で秘密裏に鍵が送信された後に始めて秘密裏の通信が実行可能となる、という事実である。[非特許文献6、7]においてロモナコは、この事実を暗号技術の「キャッチ22」と呼び、以下のように言及している。
【0003】
「キャッチ22。アリスとボブが秘密裏に通信を実行できる以前に、彼等はまず秘密裏に通信を実行せねばならない。」
【0004】
ロモナコは続けて、現在利用されている公開鍵暗号システムを含めた更なる諸々の困難に言及している。公開鍵インフラ(PKI)の幾つかの他の欠陥に関する議論として、米国一般会計局報告[非特許文献9]がある。
【0005】
を、アリスとボブ用に生成された共通鍵とする。即ち、
は長さ
のある二進ベクトルである。すると、
は一回性のパッドとして、以下のように使用し得る。
を、アリスがボブに送信したいメッセージとする。即ち、同様に
は長さ
のある二進ベクトルである。アリスは、
と符号化する。ここで、
は、ビット的加算即ち排他的論理和、を表わす。従って、
ではなく、
が公開チャンネル上に送信される。するとボブは、全く同様の仕方でこれを復号化する。即ち、ボブはメッセージ
を受け取り、このメッセージはビット的加算の性質から
に他ならない。
【0006】
もう一つの方法として、リジンダエル[非特許文献13]の鍵暗号システム又はData Encryption Standard(DES)[非特許文献14]のような標準的な対称鍵暗号システムにおいて、該鍵
が使用され得る。その際の基本的アイデアは、
をビット的加算即ち排他的論理和を表わすように符号化することである。従って、
ではなく、
が公開チャンネル上に送信される。するとボブは、全く同様の仕方でこれを復号化する。即ち、ボブはメッセージ
を復号化し、このメッセージはビット的加算の性質から
に他ならない。
【0007】
もう一つの方法として、リジンダエル[非特許文献12]の鍵暗号システム又はData Encryption Standard(DES)[非特許文献13]のような標準的な対称鍵暗号システムにおいて、該鍵
が使用され得る。その際の基本的アイデアは、
と符号化することであり、ここで、
はパラメータ
を有するリジンダエル順列を表わす。すると、メッセージを獲得する為に、ボブは
によりこれを復号化する。ここで、
の逆関数である。
【0008】
今日まで、このような共通鍵
を構築する為の実際的なプロトコルにおいては、セキュリティを確保する為に、様々な数学的問題に関係する未証明の数学的仮定が利用されて来た。このような数学的問題として、例えば、因数分解問題、離散対数問題、及びディフィ・ヘルマン問題が存在する。現在利用されている暗号システムに関連した他の重要な困難は、最小限のセキュリティを確保する為にさえ、非常に長い鍵長が必要であることである。[非特許文献17]の論文においてR.A.モリンは、楕円曲線暗号に関して、最小限のセキュリティ確保の為に必要最低限300ビットの鍵長が使用されるべきであり、又より複雑で重要な通信の際には500ビットの鍵長が使用されるべきである、と指摘している。更に、同文献において、RSA暗号に関して2048ビットの鍵長を推奨している。
【0009】
[非特許文献20]の第5章においてジュリアン ブラウンは、鍵長512ビットのRSAに依拠した金融分野における暗号化システムの例を挙げている。これは即ち、イングランド銀行により1997年に導入されたCRESTシステムである。彼は、著名な暗号技術者A・レンストラの、この暗号に関する以下の言葉を引用している。「512ビットの鍵でさえ、既に暗号パンク達の手の届く範囲にあるかも知れない。原理的には、彼等はこの程度の鍵長なら一夜にして破り得るのではないだろうか。」
【0010】
(ネットワーク通信の到着時間におけるランダム性)
コンピュータネットワークは、幾つかのプロトコル層[非特許文献14]の重ね合わせにより形成されている非常に複雑なシステムである。図1は、典型的なネットワークにおけるこのような層を示す。こうした層が如何に協働するかに関する以下の分析により、ネットワークにおけるランダム性が説明される。
【0011】
最下層は、二個のコンピュータを接続する。即ち、最下層は何らかの物理的な手段によりこれらの間にチャンネルを形成する層であり、物理層と呼ばれる。
【0012】
二番目の層は、該チャンネルから(「ノイズ」と呼ばれる)ランダムな物理エラーを除去し、一点から他の点に到る無エラーの通信路を形成する。この層即ちデータリンク層は、送信エラー処理を主として担当する。該送信エラーは、データが物理接続上を送信される際に(ビットを表わす)電気的インパルスとして生成される。エラー検出技術[非特許文献15]は、多くのプロトコルにおける送信エラーを特定する為に使用される。一旦エラーが検出されると、該プロトコル層はデータの再送信を要求する。データリンク層におけるランダムエラーは、タイミング遅延を記録して測定され得る。
【0013】
メディアアクセス層は、単一のチャンネル上における全通信の割り当て及びスケジュール調整処理、を担当する。ネットワーク化環境においては、インターネットを含めて、多くのコンピュータが単一のチャンネル上で通信を遂行する。パケット伝送におけるバースト現象は周知の特徴的現象であり、単一のチャンネル[非特許文献16]上で通信を遂行する個々の多くのコンピュータの制御不能な振る舞いに起因し、送信時間におけるランダムな変動をもたらす。
【0014】
ネットワーク層は、情報に対するルーティング処理を担当し、二個のコンピュータ間の現実的又は仮想的接続を形成する。該ルーティングは、ルーティングアルゴリズムの種類と各ルータに対する負荷、に依存する。これらの二つの因子は、送信時間をランダムに変動させる。
【0015】
トランスポート層は、最後のアプリケーション層とのインターフェイスとして機能し、該トランスポート層は、送信者から受信者へ至る端末間の、信頼し得る接続志向のバイトストリーム、を提供する。この目的の為に、トランスポート層は接続の確立と管理を担当する。トランスポート層の動作と関係する時間は、ネットワーク内の全てのデバイスと使用中のアルゴリズム、に依存する。従って、送信時間の変動はトランスポート層においても発生して、タイミング遅延に寄与してしまう。
【0016】
しかしながら、ネットワークのみがタイミングの変動に影響を与えるのではない。送信と受信のコンピュータは、ネットワーク内のパケットに対するサービスに起因する内部遅延、を有する。従って、タイミングを測定する動作さえも又、ランダムな変動を導入してしまう。(到着タイミングに対する摂動効果の分析を示す[0035]の補遺B,を参照せよ。)
【非特許文献1】
Charles Bennett,Francois Bessette,Gilles Brassard,Louis Salvail,and John Smolin,Experimental quantum cryptography,EUROPCRYPT ’90(Arhus,Denmark),1990,pp.253−265.
【非特許文献2】
Charles H.Bennett,Gilles Brassard,and Jean−Marc Robert,Privacy Amplification by Public Discussion,Siam J.of Computing,17,no.2(1988),pp.210−229.
【非特許文献3】
Aiden Bruen and David Wehlau,Method for the Construction of Hash Functions Based on Sylvester Matrices,Balanced Incomplete Block Designs,and Error−Correcting Codes,Irish Patent Co−pending Irish Patent Application.
【非特許文献4】
Aiden Bruen and David Wehlau,A Note On Bit−Reconciliation Algorithms,Non−Elephant Encryption Systems Technical Note 01.xx NE2,2001.
【非特許文献5】
Samuel J.Lomonaco,A quick glance at quantum cryptography,Cryptologia 23(1999),no.1,pp.1−41.
【非特許文献6】
A Rosetta Stone for Quantum Mechanics With An Introduction to Quantum Computation,quant−ph/0007045(2000).
【非特許文献7】
Ueli M.Maurer,Secret Key Agreement By Public Discussion From Common Information,IEEE Transactions on Information Theory 39 no.3(1993),pp.733−742.
【非特許文献8】
United States General Accounting Office,Advances and Remaining Challenges to Adoption of Ppublic Key Infrastructure Technology,GAO 01−227 Report,February 2001,Report to the Chairman,Subcommittee on Government Efficiency,Financial Management and Intergovernmental Relations,Committee on Government Reform,House of Representatives.
【非特許文献9】
Claude E.Shannon,Communication Theory of Secrecy Systems,Bell System Technical Journal 28(1949),656−715.
【非特許文献10】
David Wehlau,Report for Non−Elephant Encryption,Non−Elephant Encryption Technical Note 01.08.2001.
【非特許文献11】
A.D.Wyner,Ther Wire−Tap Channel,Bell System Technical Journal 54 no.8(1975),1355−1387.
【非特許文献12】
Joan Daemon and Vincent Rijnmeien,The Rijndael Block Cypher,June 1998,http://csrc.nist.gov/encryption/aes/rijndael/rijndael.pdf
【非特許文献13】
Bruce Schneier,Applied Cryptography,2nd Edition,John Wiley & Sons,New York,1996,Chapter 12.
【非特許文献14】
Andrew Tanenbaum,Computer Networks,Prentice Hall,1996.
【非特許文献15】
Claude E.Shannon,A Mathematical theory of Communication,Bell System Technical Journal 27(1948),pp.379−423 and 623−656.
【非特許文献16】
Will E.Leland,Murad S.Taqq,Walter Willinger,and Daniel V.Wilson,On the Self−Similar Nature of Ethernet(登録商標) Traffic,Proc.SIGCOMM(San Francisco,CA; Deepinder P.Sidhu,Ed.),1993,pp.183−193.
【非特許文献17】
R.A.Mollin,An Introduction to Cryptography,Chapman & Hall/CRC,2000.Chapter 6.
【非特許文献18】
Gerald Staruiala and Mario Forcinito,A Novel Application of The Entropic Transformation Concept to Cryptography,Non−Elephant Encryption,Inc.White Paper,November 2000.
【非特許文献19】
Douglas R.Stinson,Cryptography:Theory and Practice,CRC Press,1995.
【非特許文献20】
Julian R.Brown,The Quest for the Quantum Computer,Simon & Schuster,New York,2001.
【発明の開示】
【発明が解決しようとする課題】
【0017】
本発明は、可能な最大強度のセキュリティ即ち無条件のセキュリティを有し、且つ如何なる追加ハードウエアも必要としない、ネットワークダイナミックスに基づく鍵一致プロトコル、の生成の為の効率的且つ現実的なシステムと方法を提供するものである。この分野における先行技術に関する仕事は、理論的[非特許文献11]であるか又は現実的には無理であるか、のいずれかである。現実的には無理というのは、通信衛星や無線送信機アレイのような高価で複雑なハードウエアと、これらのデバイス[非特許文献7]と通信する為の付随コンピュータハードウエアに基づく追加チャンネル、の設置が必要であるからである。全ての先行する暗号鍵は、計算セキュリティの弱い基準を満たすに過ぎない。
【実施例】
【0018】
本発明は、二人の通信当事者間でのパケットの往復動作タイミングに基づく相対的な時間系列を導入する。これらのパケットは効率的で無条件に安全な鍵一致プロトコルを生成する為の基本的な構成ブロックを形成し、又、該鍵一致プロトコルは現在の対称及び非対称鍵暗号システムに対する置換システムとして使用され得る。本発明は、量子暗号化[非特許文献1、5、及び20第6章]の分野で使用されるアイデアに基づく無条件に安全な暗号システムと方法、を提供する。更に、本発明は初めて、情報理論、エラー訂正符号、ブロック設計、及び古典統計の諸分野における基本結果(とそれらの相互関連性)を利用した暗号プロトコル、を提供する。本発明のシステムと方法は、現存する暗号システムと比較して計算的により高速で、より単純で、且つより安全である。更に、本発明により提供される無条件のセキュリティにより、本発明のシステムと方法は、スーパーコンピュータからの全ての攻撃及び量子コンピュータからさえの全ての攻撃に対して難攻不落である。このことは、全ての先行プロトコルと鋭い対照を成すものである。
【0019】
本発明は、ネットワーク遷移時間の二特性を利用するプロトコルを提供する。該二特性とは即ち、ネットワーク遷移時間のランダム性と、このランダム性にもかかわらず二人の通信当事者により測定されたその平均タイミングは多数回の反復測定において収束するという事実、の二点である。その結果は、以下の通りである。あるパケットが第一当事者即ちアリス即ちAを基準にした往復動作を完了し、且つ第二当事者即ちボブ即ちBを基準にした往復動作を完了する為に必要とする相対的な時間を測定することにより、二個の相関するランダム変数が得られる。
【0020】
一好適実施例において、AとBはパケットを交互にラリーする作業に従事して、パケットの往復動作の回数を個別に計算する。該パケットの内容は非本質的なので、パケットは何らかの付加目的に使用されても良い。該往復動作回数のみが、関心事である。図2は、本発明の相対往復動作回数ジェネレーターの一往復動作、を示す。図2は、その過程を模式的に示すものである。
【0021】
段階1−アリスとボブは本発明のシステムと方法を採用して、測定されたパケット往復動作回数の系列から順列化された残留ビット列を構成する:
アリスとボブはネットワーク上でパケットを交換して、その往復動作回数を記録する。更に、連続する往復動作回数の所定個数の小桁数ビットを連結することにより、各々一個のビット列を形成する。一旦充分数のビットが連結されたら、この連結過程は停止される。次に、アリスとボブの双方は所定の順列化を該連結された各ビット列に適用して、互いに等鍵長の順列化された残留未処理鍵
を形成する。
【0022】
段階2−アリスとボブはこれらの被順列化残留未処理鍵を採用して、調停鍵を生成する:
アリスとボブは各々の被順列化残留未処理鍵
を系統的に副ブロックに分割して、各副ブロック毎にパリティを計算、交換、比較する。次に、各副ブロックの低桁数ビットを切り捨てて、該変更された副ブロックをそれらの元々の順序で再連結する。不一致パリティを有するブロックの場合は、不一致ビットが特定され消去されるまで該分割過程が反復される。
【0023】
段階3−アリスとボブは彼等の該共通の調停鍵から、無条件に安全なパッド即ち鍵を生成する:
盗聴者であるイヴが有し得るかもしれない如何なる部分情報も消去する為のプライバシー増幅が、所定の専用ハッシュ関数[非特許文献4]を用いてアリスとボブの双方により適用される。これにより、該調停鍵から、所定鍵長の、無条件に安全な最終鍵が生成される。
【0024】
一好適実施例において、本発明の鍵一致システムは三つの段階を含む。第一段階は順列化された残留ビット列の構成であり、二人の通信当事者アリスとボブがパケットを交互にラリーしてその往復動作回数を記録する。この初期ビット列構成の後においても、幾つかのビットは依然として異なり得る。従って、アリスとボブは、情報調停と呼ばれる第二段階に参入する。該第二段階では、アリスとボブは完全に同一の鍵を所有することになる。しかしながら、イヴが調停されたビット列に関する部分知識をシャノンビットの形で有し得る。従って、プライバシー増強と呼ばれる第三の最終段階が実行されて、イヴにより収集された如何なる部分情報も消去される。
【0025】
段階I−アリスとボブはパケットを交互にラリーして、載端された往復動作回数からビット列を生成する。次に、このビット列は系統的に順列化される。この処理手続きは、以下の通りである。
(i) アリスはボブにネットワークパケットを送信し、その時間
をログ記録する。
(ii) ボブはその受信時間を
と記録し、他のネットワークパケットを用いて直ちにアリスに応答する。
(iii) アリスはその受信時間を
と記録し、ネットワークパケットを用いて直ちに応答する。
(iv) ボブはその受信時間を
と記録し、他のネットワークパケットを用いて直ちにアリスに応答する。
(v) アリスとボブは、各々、
を計算する。
ネットワーク接続の品質に応じて、
の数ビットのみを保有する。高桁数ビットは落す即ち切り捨てる。典型的な実験データと該載端の基準は[非特許文献18]に見出し得る。
適切な確率分布を取ることにより、
が等しいことを示し得る。
(vi) 充分数のビットを生成する為に、ステップ(i)乃至(v)を繰り返す。該充分数のビットは、次に所定鍵長のビット列として連結される。
【0026】
段階II−一旦充分数のビットが生成されたら、この過程は停止される。アリスとボブは該相対的な時間系列を用いて、無条件に安全なパッド即ち鍵を生成せねばならない。技術に習熟した人ならば、参考文献リスト中の様々な論文の研究から、これ以後において様々なアプローチが存在し得ることを推測できよう。本発明では、大雑把に言ってベネット他[非特許文献1]のそれに初期状態で関連するアプローチ、を用いる。しかしながら、[非特許文献3、4、10]において、幾つかの変更と改良が指摘されている。これらの変更は、代数符号理論、情報理論、ブロック設計、及び古典統計における基本結果に基づき、以下の諸結果をもたらす:
(a) 鍵長に対する先験的制限;
(b) 初期ビット相関及び後続ビット相関と鍵長の見積もり方法;
(c) 各段階での最適アプローチ方法の正確な処理手続き;
(d)
に収束することの厳密証明;
(e) 停止規則;
(f) 同等性の検証処理手続き;及び
(g) プライバシー増強用の新規で系統的なハッシュ関数。
【0027】
段階Iの後、アリスとボブは各々の二進アレイ
を所有し、双方が段階IIの以下のステップを遂行する:
(vii) シャッフルと分割。アリスとボブは順列化を
に適用する。次に彼等は、これらの順列化された残留未処理鍵を長さ
の副ブロックに分割する。
(viii)
におけるパリティ交換と二分検索: アリスとボブにより、パリティは長さ4の各副ブロック毎に計算され交換される。同時に彼等は、如何なる新規情報もイヴに露呈しないように、各副ブロックの最下位ビットを切り捨てる。パリティが一致すれば、アリスとボブは各副ブロックの上位三ビットを保有する。パリティが不一致ならば、[非特許文献1]と[非特許文献5]([非特許文献4]も参照)にまさしく言及されているように、アリスとボブは二分検索を遂行して各副ブロックの最下位因子を切り捨てる。ステップ(vii)と(viii)における該処理手続きは、
で表わされる。
(ix) 相関の見積もり: 該新規鍵の鍵長から、
間の求める初期ビット相関
[非特許文献4]を計算し得る。更に、
を用いて、求める相関
を計算し得る。
(x) 最適な
におけるシャッフル、パリティ交換、及び二分検索: 隣接鍵を分離する為に、残留鍵
に対して順列化fを適用する。非限定的な例として、一つのこうしたfは、ビット順序を
から順序
へシャッフルすることにより実装され得る。ここに、
である。
相関
が判明したら、[非特許文献4]中の表を用いて
に対するその最適値を選択する。
の場合の(viii)と(ix)と同様に、処理手続き
を実施する。
が適用された後に、
から、又は残留鍵の新規の共通鍵長から、求める該相関を計算する。停止条件が成立するまで、(xi)を繰り返す。
(xi) 停止条件: 鍵長
と相関
に対して、停止条件
が成立する。ここに、εは所定の小さな正数である。次に、検証処理手続きに進む。その例は、以下の通りである。
(xii) 検証処理手続き: 残留鍵
を、共に鍵長
の鍵とする。
を、
を満たす最小の整数とする。二進行列
を、以下のように構成する:
a. エントリ
は、
要素の恒等行列
のエントリである。
b.
の
行目は、全要素が1のベクトルである。即ち、
である。
c.
列目の最上位の
個のエントリを、二進ベクトル
で表わす。従って、
である。次に、該ベクトル
は全て異なるという条件を課す。従って、集合
は、長さ
の、異なる
個の全二進ベクトルの集合に同等である。
d.
の行を、
で表わす。長さnの行ベクトルとして書かれた残留鍵
を、x,yで表わす。ゼロから成る長さ
の一行を
の右側に各々隣接させた結果生成されるベクトルを、
で表わす。従って、
である。
e. 該検証基準は、
の成立を点検することである。検証基準が満足されない場合は、
から最初の
個のビットを除去し、ステップ(x)、(xi)を繰り返し、更に検証基準が満足されるか否かを再度チェックする。最終的には、検証基準は満足される。
この段階で、アリスとボブは、彼等が今や同一の鍵を共有している事実を確認したことになる。一旦この事実が確認されれば、段階2で変換されたような最終的な残留未処理鍵は、
から最初の
個のビットを除去することにより変更される。こうして生成された我々の新規鍵を「調停鍵」と改めて命名することとし、更に段階3でプライバシー増幅が遂行される。
【0028】
段階III−この段階では既に、アリスとボブは該共通の調停鍵を所有している。この調停鍵が盗聴者であるイヴに対して部分的にしか秘匿されていない、という場合があり得る。これは、イヴがこの鍵に関するある程度の情報をシャノンビットの形で有し得ているかもしれない、という意味である。そこでアリスとボブは、部分秘密鍵からの最終秘密鍵の抽出処理であるプライバシー増強処理、を開始する([非特許文献1]と[非特許文献2]を参照)。ベネット、ブラサァード、ロバートによる周知結果([非特許文献19]を参照)によれば、該最終秘密鍵に関してイヴの有し得る平均情報は、以下に説明するように、2−S/ln2 シャノンビット以下である(シャノン[非特許文献9]も参照)。
(xiii) プライバシー増強−イヴの有し得るシャノンビット数の上限を
とし、
をアリスとボブが自在に調整し得るセキュリティパラメータとする。「シルベスタ行列、平衡した不完全ブロック設計、及びエラー訂正符号に基づくハッシュ関数の構成方法」と題するアイルランド同時係属出願(その全開示内容は全面的に包含される[非特許文献3])において開示されているハッシュ関数を、アリスとボブは適用する。このハッシュ関数は、鍵長
の調停鍵から鍵長
の最終秘密鍵を生成する。
【0029】
本発明のシステムと方法は、以下のようにネットワークダイナミックスに基づく無条件に安全な鍵一致方式、を提供するものである。段階Iにおいて、アリスとボブは各々の未処理鍵の残留ビットを順列化し、鍵はネットワークノイズに起因する遅延を取り込む。段階IIにおいて、段階Iで形成された鍵はロモナコ[非特許文献5]の処理を受ける。即ち、段階IIにおいて、アリスとボブは残留未処理鍵を長さ
のブロックに分割する。最終鍵の鍵長の上限が見積もられ、この上限に任意に近い鍵長を生ずる
の値の系列も見積もられる[非特許文献4]。段階IIにおいて、アリスとボブはこれらの各ブロック毎に全体的パリティチェックを公開的に比較し、比較されたブロックの最終ビットを切り捨てるべきかを各回確認する。全体的パリティチェックが一致しない毎に、アリスとボブはこのエラーの二進検索を開始する。即ち、不一致ブロックを二個の副ブロックに二分し、各副ブロックの最下位ビットを切り捨てながら、これらの各副ブロック毎にパリティを公開的に比較する。彼等は、パリティが一致しない副ブロックの二分検索を続行する。この二分検索は、エラービットが特定され消去されるまで続行される。その後、彼等は次の
ブロックに進む。
【0030】
次に段階Iが反復される。即ち、適切な順列化が選択、適用されて、被順列化残留未処理鍵が得られる。次に段階IIが反復される。即ち、該残留未処理鍵が長さ
のブロックに分割され、パリティが比較される、等である。各ステップに従う求めるビット相関(以下を参照)の正確な数式は、[非特許文献4]で得られている。[非特許文献4]では、この相関が1に収束することも示されている。[非特許文献4]では更に、調停鍵の鍵長と収束の為のステップ数が表に示されている。
【0031】
該アレイ
において対応するビットが一致する確率は、ビット相関確率又は単にビット相関、として知られている。各往復動作がビット相関の増加の為に使用し得ることが示される([非特許文献4]を参照)。例えば、0.7のビット相関で開始されたとすると、
において一往復動作後にはビット相関は略0.77に増加し、更に0.87に増加する。
においては、対応数は0.84と0.97である。
の様々な値に対して、本発明のプロトコルの一往復動作後の鍵長を見積もることも可能である[非特許文献4]。
【0032】
今や該最終秘密鍵は、完全な秘匿性を実現する一回性のパッドとして使用し得るか、或いはリジンダエル[非特許文献12]の鍵暗号システム又はトリプルDES[19]のような対称鍵暗号システム用の鍵として使用し得る。
値
と3に対する該アルゴリズムの単純化アルゴリズムが、[0034]の補遺Aに説明されている。
【0033】
上述の実施例は添付請求範囲に定義される本発明の請求範囲から乖離することなく逸脱することが可能な単なる例に過ぎない、ことが技術に習熟した人には理解されよう。
【0034】
前述した該調停鍵の抽出における
に対する処理手続きを、より詳細に説明する。
アリスとボブは彼等各々のビット列
を対
に分割する。
が奇数長を有していれば、その最終ビットを落とす。ブロック
の処理に当たり、以下のように進める。
アリスは、彼女のブロックのパリティは数
(モジュール2)である、と宣告する。
ボブは、このパリティと彼のブロックのパリティとを比較する。
(モジュール2)が
(モジュール2)と等しければ、要素
を破棄し、要素
を保有する。しかしながら、
(モジュール2)と
(モジュール2)が異なれば、四個の要素
を破棄する。
ビット列
をサイズ3のブロック、即ち
に各々分割する。
のサイズが3で割り切れなければ、
の最終の一個又は二個の要素を適当に切り捨てる。サイズ3の各ブロック、例えばブロック
の処理に当たり、再びそのパリティを検定し以下のように進める。
ケース1:パリティが一致すれば、要素
を破棄する。
ケース2:パリティが一致しなければ、要素
を破棄する。次に
であれば、サイズ3の両ブロックを破棄する。しかしながら
であれば、要素
を破棄する。
が増加するにつれ、収束に必要な往復動作数は増加するが、鍵長はより長くなる。最適な処理手続きは、[非特許文献4]に説明されている。
【0035】
(補遺B−被摂動チャンネル模型)
単純化された理論模型によると、ノイズを有するチャンネルにおいて、観測者により導入された摂動はある条件下で検出し得る。ネットワークのダイナミックスを模倣した機械的なシステムを分析することにより、我々はこの検出確率を査定した。
該模型の動作は以下の通りである。一個の粒子がノードAで放出される。該粒子は、ポテンシャルφ(x,t)上をノードBに向かってポテンシャルF0により駆動される。熱ノイズが存在するので、Bに向かう粒子の運動は該ポテンシャルにより偏向されたランダムウォークとなる。従って、粒子は有限時間でBに到着する。その平均到着時間は、ランジュヴァン方程式:
により記述される。ここに、wはウイーナ過程{dwはガウス型の白ノイズ}であり、ζはノイズ強度である。方程式1の解は、フォック・プランク方程式に従うマルコフ過程x(t)である。我々は、該粒子のBへの第一到着時間に対応する解を捜した:
τA,Bは元々のポテンシャルφ(x)に対して一回計算され、次に被摂動ポテンシャルφ’(x)に対して一回計算され、更に両者の差分を計算した。該ポテンシャルのこの被摂動ポテンシャルは、
と定義される。ここに、hは点c∈[A,B]におけるポテンシャル障壁の高さであり、εは摂動効果が伝播する距離の半値幅である。ε→0の極限で該摂動は点cにおけるディラックのδ関数となる。
単純なポテンシャルφ(x)=定数を用いて得た解によると、到着時間は摂動と共に変化(増加)し、この増加はノイズζ→0と共により顕著になる(図3)。この模型からの結論がある通信チャンネルに適用し得ることを保障する条件は、現在NE2で活発に研究中である。
【図面の簡単な説明】
【0036】
【図1】図1は、典型的な多層コンピュータネットワークプロトコルを示す。
【図2】図2は、順列化された残留ビット列を各通信関係者により生成する為の、二人の通信関係者間での一ラリー往復動作を示す。
【図3】図3は、平均到着時間をチャンネルノイズ(ノイズパラメータ)の関数として示す。
【0001】
本発明は暗号システムに関し、特に、無ノイズの公開チャンネル上で通信する二人の関係者間で記録される時間差分に基づく無条件に安全な暗号鍵を生成する方法、に関する。本出願は、「シルベスタ行列に基づくハッシュ関数」と題された同一日付で出願された我々の該当出願に関連している。
【背景技術】
【0002】
古典的な暗号システムのアキレス健は、全面的に安全な通信チャンネル上で秘密裏に鍵が送信された後に始めて秘密裏の通信が実行可能となる、という事実である。[非特許文献6、7]においてロモナコは、この事実を暗号技術の「キャッチ22」と呼び、以下のように言及している。
【0003】
「キャッチ22。アリスとボブが秘密裏に通信を実行できる以前に、彼等はまず秘密裏に通信を実行せねばならない。」
【0004】
ロモナコは続けて、現在利用されている公開鍵暗号システムを含めた更なる諸々の困難に言及している。公開鍵インフラ(PKI)の幾つかの他の欠陥に関する議論として、米国一般会計局報告[非特許文献9]がある。
【0005】
【0006】
もう一つの方法として、リジンダエル[非特許文献13]の鍵暗号システム又はData Encryption Standard(DES)[非特許文献14]のような標準的な対称鍵暗号システムにおいて、該鍵
【0007】
もう一つの方法として、リジンダエル[非特許文献12]の鍵暗号システム又はData Encryption Standard(DES)[非特許文献13]のような標準的な対称鍵暗号システムにおいて、該鍵
【0008】
今日まで、このような共通鍵
【0009】
[非特許文献20]の第5章においてジュリアン ブラウンは、鍵長512ビットのRSAに依拠した金融分野における暗号化システムの例を挙げている。これは即ち、イングランド銀行により1997年に導入されたCRESTシステムである。彼は、著名な暗号技術者A・レンストラの、この暗号に関する以下の言葉を引用している。「512ビットの鍵でさえ、既に暗号パンク達の手の届く範囲にあるかも知れない。原理的には、彼等はこの程度の鍵長なら一夜にして破り得るのではないだろうか。」
【0010】
(ネットワーク通信の到着時間におけるランダム性)
コンピュータネットワークは、幾つかのプロトコル層[非特許文献14]の重ね合わせにより形成されている非常に複雑なシステムである。図1は、典型的なネットワークにおけるこのような層を示す。こうした層が如何に協働するかに関する以下の分析により、ネットワークにおけるランダム性が説明される。
【0011】
最下層は、二個のコンピュータを接続する。即ち、最下層は何らかの物理的な手段によりこれらの間にチャンネルを形成する層であり、物理層と呼ばれる。
【0012】
二番目の層は、該チャンネルから(「ノイズ」と呼ばれる)ランダムな物理エラーを除去し、一点から他の点に到る無エラーの通信路を形成する。この層即ちデータリンク層は、送信エラー処理を主として担当する。該送信エラーは、データが物理接続上を送信される際に(ビットを表わす)電気的インパルスとして生成される。エラー検出技術[非特許文献15]は、多くのプロトコルにおける送信エラーを特定する為に使用される。一旦エラーが検出されると、該プロトコル層はデータの再送信を要求する。データリンク層におけるランダムエラーは、タイミング遅延を記録して測定され得る。
【0013】
メディアアクセス層は、単一のチャンネル上における全通信の割り当て及びスケジュール調整処理、を担当する。ネットワーク化環境においては、インターネットを含めて、多くのコンピュータが単一のチャンネル上で通信を遂行する。パケット伝送におけるバースト現象は周知の特徴的現象であり、単一のチャンネル[非特許文献16]上で通信を遂行する個々の多くのコンピュータの制御不能な振る舞いに起因し、送信時間におけるランダムな変動をもたらす。
【0014】
ネットワーク層は、情報に対するルーティング処理を担当し、二個のコンピュータ間の現実的又は仮想的接続を形成する。該ルーティングは、ルーティングアルゴリズムの種類と各ルータに対する負荷、に依存する。これらの二つの因子は、送信時間をランダムに変動させる。
【0015】
トランスポート層は、最後のアプリケーション層とのインターフェイスとして機能し、該トランスポート層は、送信者から受信者へ至る端末間の、信頼し得る接続志向のバイトストリーム、を提供する。この目的の為に、トランスポート層は接続の確立と管理を担当する。トランスポート層の動作と関係する時間は、ネットワーク内の全てのデバイスと使用中のアルゴリズム、に依存する。従って、送信時間の変動はトランスポート層においても発生して、タイミング遅延に寄与してしまう。
【0016】
しかしながら、ネットワークのみがタイミングの変動に影響を与えるのではない。送信と受信のコンピュータは、ネットワーク内のパケットに対するサービスに起因する内部遅延、を有する。従って、タイミングを測定する動作さえも又、ランダムな変動を導入してしまう。(到着タイミングに対する摂動効果の分析を示す[0035]の補遺B,を参照せよ。)
【非特許文献1】
Charles Bennett,Francois Bessette,Gilles Brassard,Louis Salvail,and John Smolin,Experimental quantum cryptography,EUROPCRYPT ’90(Arhus,Denmark),1990,pp.253−265.
【非特許文献2】
Charles H.Bennett,Gilles Brassard,and Jean−Marc Robert,Privacy Amplification by Public Discussion,Siam J.of Computing,17,no.2(1988),pp.210−229.
【非特許文献3】
Aiden Bruen and David Wehlau,Method for the Construction of Hash Functions Based on Sylvester Matrices,Balanced Incomplete Block Designs,and Error−Correcting Codes,Irish Patent Co−pending Irish Patent Application.
【非特許文献4】
Aiden Bruen and David Wehlau,A Note On Bit−Reconciliation Algorithms,Non−Elephant Encryption Systems Technical Note 01.xx NE2,2001.
【非特許文献5】
Samuel J.Lomonaco,A quick glance at quantum cryptography,Cryptologia 23(1999),no.1,pp.1−41.
【非特許文献6】
A Rosetta Stone for Quantum Mechanics With An Introduction to Quantum Computation,quant−ph/0007045(2000).
【非特許文献7】
Ueli M.Maurer,Secret Key Agreement By Public Discussion From Common Information,IEEE Transactions on Information Theory 39 no.3(1993),pp.733−742.
【非特許文献8】
United States General Accounting Office,Advances and Remaining Challenges to Adoption of Ppublic Key Infrastructure Technology,GAO 01−227 Report,February 2001,Report to the Chairman,Subcommittee on Government Efficiency,Financial Management and Intergovernmental Relations,Committee on Government Reform,House of Representatives.
【非特許文献9】
Claude E.Shannon,Communication Theory of Secrecy Systems,Bell System Technical Journal 28(1949),656−715.
【非特許文献10】
David Wehlau,Report for Non−Elephant Encryption,Non−Elephant Encryption Technical Note 01.08.2001.
【非特許文献11】
A.D.Wyner,Ther Wire−Tap Channel,Bell System Technical Journal 54 no.8(1975),1355−1387.
【非特許文献12】
Joan Daemon and Vincent Rijnmeien,The Rijndael Block Cypher,June 1998,http://csrc.nist.gov/encryption/aes/rijndael/rijndael.pdf
【非特許文献13】
Bruce Schneier,Applied Cryptography,2nd Edition,John Wiley & Sons,New York,1996,Chapter 12.
【非特許文献14】
Andrew Tanenbaum,Computer Networks,Prentice Hall,1996.
【非特許文献15】
Claude E.Shannon,A Mathematical theory of Communication,Bell System Technical Journal 27(1948),pp.379−423 and 623−656.
【非特許文献16】
Will E.Leland,Murad S.Taqq,Walter Willinger,and Daniel V.Wilson,On the Self−Similar Nature of Ethernet(登録商標) Traffic,Proc.SIGCOMM(San Francisco,CA; Deepinder P.Sidhu,Ed.),1993,pp.183−193.
【非特許文献17】
R.A.Mollin,An Introduction to Cryptography,Chapman & Hall/CRC,2000.Chapter 6.
【非特許文献18】
Gerald Staruiala and Mario Forcinito,A Novel Application of The Entropic Transformation Concept to Cryptography,Non−Elephant Encryption,Inc.White Paper,November 2000.
【非特許文献19】
Douglas R.Stinson,Cryptography:Theory and Practice,CRC Press,1995.
【非特許文献20】
Julian R.Brown,The Quest for the Quantum Computer,Simon & Schuster,New York,2001.
【発明の開示】
【発明が解決しようとする課題】
【0017】
本発明は、可能な最大強度のセキュリティ即ち無条件のセキュリティを有し、且つ如何なる追加ハードウエアも必要としない、ネットワークダイナミックスに基づく鍵一致プロトコル、の生成の為の効率的且つ現実的なシステムと方法を提供するものである。この分野における先行技術に関する仕事は、理論的[非特許文献11]であるか又は現実的には無理であるか、のいずれかである。現実的には無理というのは、通信衛星や無線送信機アレイのような高価で複雑なハードウエアと、これらのデバイス[非特許文献7]と通信する為の付随コンピュータハードウエアに基づく追加チャンネル、の設置が必要であるからである。全ての先行する暗号鍵は、計算セキュリティの弱い基準を満たすに過ぎない。
【実施例】
【0018】
本発明は、二人の通信当事者間でのパケットの往復動作タイミングに基づく相対的な時間系列を導入する。これらのパケットは効率的で無条件に安全な鍵一致プロトコルを生成する為の基本的な構成ブロックを形成し、又、該鍵一致プロトコルは現在の対称及び非対称鍵暗号システムに対する置換システムとして使用され得る。本発明は、量子暗号化[非特許文献1、5、及び20第6章]の分野で使用されるアイデアに基づく無条件に安全な暗号システムと方法、を提供する。更に、本発明は初めて、情報理論、エラー訂正符号、ブロック設計、及び古典統計の諸分野における基本結果(とそれらの相互関連性)を利用した暗号プロトコル、を提供する。本発明のシステムと方法は、現存する暗号システムと比較して計算的により高速で、より単純で、且つより安全である。更に、本発明により提供される無条件のセキュリティにより、本発明のシステムと方法は、スーパーコンピュータからの全ての攻撃及び量子コンピュータからさえの全ての攻撃に対して難攻不落である。このことは、全ての先行プロトコルと鋭い対照を成すものである。
【0019】
本発明は、ネットワーク遷移時間の二特性を利用するプロトコルを提供する。該二特性とは即ち、ネットワーク遷移時間のランダム性と、このランダム性にもかかわらず二人の通信当事者により測定されたその平均タイミングは多数回の反復測定において収束するという事実、の二点である。その結果は、以下の通りである。あるパケットが第一当事者即ちアリス即ちAを基準にした往復動作を完了し、且つ第二当事者即ちボブ即ちBを基準にした往復動作を完了する為に必要とする相対的な時間を測定することにより、二個の相関するランダム変数が得られる。
【0020】
一好適実施例において、AとBはパケットを交互にラリーする作業に従事して、パケットの往復動作の回数を個別に計算する。該パケットの内容は非本質的なので、パケットは何らかの付加目的に使用されても良い。該往復動作回数のみが、関心事である。図2は、本発明の相対往復動作回数ジェネレーターの一往復動作、を示す。図2は、その過程を模式的に示すものである。
【0021】
段階1−アリスとボブは本発明のシステムと方法を採用して、測定されたパケット往復動作回数の系列から順列化された残留ビット列を構成する:
アリスとボブはネットワーク上でパケットを交換して、その往復動作回数を記録する。更に、連続する往復動作回数の所定個数の小桁数ビットを連結することにより、各々一個のビット列を形成する。一旦充分数のビットが連結されたら、この連結過程は停止される。次に、アリスとボブの双方は所定の順列化を該連結された各ビット列に適用して、互いに等鍵長の順列化された残留未処理鍵
【0022】
段階2−アリスとボブはこれらの被順列化残留未処理鍵を採用して、調停鍵を生成する:
アリスとボブは各々の被順列化残留未処理鍵
【0023】
段階3−アリスとボブは彼等の該共通の調停鍵から、無条件に安全なパッド即ち鍵を生成する:
盗聴者であるイヴが有し得るかもしれない如何なる部分情報も消去する為のプライバシー増幅が、所定の専用ハッシュ関数[非特許文献4]を用いてアリスとボブの双方により適用される。これにより、該調停鍵から、所定鍵長の、無条件に安全な最終鍵が生成される。
【0024】
一好適実施例において、本発明の鍵一致システムは三つの段階を含む。第一段階は順列化された残留ビット列の構成であり、二人の通信当事者アリスとボブがパケットを交互にラリーしてその往復動作回数を記録する。この初期ビット列構成の後においても、幾つかのビットは依然として異なり得る。従って、アリスとボブは、情報調停と呼ばれる第二段階に参入する。該第二段階では、アリスとボブは完全に同一の鍵を所有することになる。しかしながら、イヴが調停されたビット列に関する部分知識をシャノンビットの形で有し得る。従って、プライバシー増強と呼ばれる第三の最終段階が実行されて、イヴにより収集された如何なる部分情報も消去される。
【0025】
段階I−アリスとボブはパケットを交互にラリーして、載端された往復動作回数からビット列を生成する。次に、このビット列は系統的に順列化される。この処理手続きは、以下の通りである。
(i) アリスはボブにネットワークパケットを送信し、その時間
(ii) ボブはその受信時間を
(iii) アリスはその受信時間を
(iv) ボブはその受信時間を
(v) アリスとボブは、各々、
ネットワーク接続の品質に応じて、
適切な確率分布を取ることにより、
(vi) 充分数のビットを生成する為に、ステップ(i)乃至(v)を繰り返す。該充分数のビットは、次に所定鍵長のビット列として連結される。
【0026】
段階II−一旦充分数のビットが生成されたら、この過程は停止される。アリスとボブは該相対的な時間系列を用いて、無条件に安全なパッド即ち鍵を生成せねばならない。技術に習熟した人ならば、参考文献リスト中の様々な論文の研究から、これ以後において様々なアプローチが存在し得ることを推測できよう。本発明では、大雑把に言ってベネット他[非特許文献1]のそれに初期状態で関連するアプローチ、を用いる。しかしながら、[非特許文献3、4、10]において、幾つかの変更と改良が指摘されている。これらの変更は、代数符号理論、情報理論、ブロック設計、及び古典統計における基本結果に基づき、以下の諸結果をもたらす:
(a) 鍵長に対する先験的制限;
(b) 初期ビット相関及び後続ビット相関と鍵長の見積もり方法;
(c) 各段階での最適アプローチ方法の正確な処理手続き;
(d)
(e) 停止規則;
(f) 同等性の検証処理手続き;及び
(g) プライバシー増強用の新規で系統的なハッシュ関数。
【0027】
段階Iの後、アリスとボブは各々の二進アレイ
(vii) シャッフルと分割。アリスとボブは順列化を
(viii)
(ix) 相関の見積もり: 該新規鍵の鍵長から、
(x) 最適な
相関
(xi) 停止条件: 鍵長
(xii) 検証処理手続き: 残留鍵
a. エントリ
b.
c.
d.
e. 該検証基準は、
この段階で、アリスとボブは、彼等が今や同一の鍵を共有している事実を確認したことになる。一旦この事実が確認されれば、段階2で変換されたような最終的な残留未処理鍵は、
【0028】
段階III−この段階では既に、アリスとボブは該共通の調停鍵を所有している。この調停鍵が盗聴者であるイヴに対して部分的にしか秘匿されていない、という場合があり得る。これは、イヴがこの鍵に関するある程度の情報をシャノンビットの形で有し得ているかもしれない、という意味である。そこでアリスとボブは、部分秘密鍵からの最終秘密鍵の抽出処理であるプライバシー増強処理、を開始する([非特許文献1]と[非特許文献2]を参照)。ベネット、ブラサァード、ロバートによる周知結果([非特許文献19]を参照)によれば、該最終秘密鍵に関してイヴの有し得る平均情報は、以下に説明するように、2−S/ln2 シャノンビット以下である(シャノン[非特許文献9]も参照)。
(xiii) プライバシー増強−イヴの有し得るシャノンビット数の上限を
【0029】
本発明のシステムと方法は、以下のようにネットワークダイナミックスに基づく無条件に安全な鍵一致方式、を提供するものである。段階Iにおいて、アリスとボブは各々の未処理鍵の残留ビットを順列化し、鍵はネットワークノイズに起因する遅延を取り込む。段階IIにおいて、段階Iで形成された鍵はロモナコ[非特許文献5]の処理を受ける。即ち、段階IIにおいて、アリスとボブは残留未処理鍵を長さ
【0030】
次に段階Iが反復される。即ち、適切な順列化が選択、適用されて、被順列化残留未処理鍵が得られる。次に段階IIが反復される。即ち、該残留未処理鍵が長さ
【0031】
該アレイ
【0032】
今や該最終秘密鍵は、完全な秘匿性を実現する一回性のパッドとして使用し得るか、或いはリジンダエル[非特許文献12]の鍵暗号システム又はトリプルDES[19]のような対称鍵暗号システム用の鍵として使用し得る。
値
【0033】
上述の実施例は添付請求範囲に定義される本発明の請求範囲から乖離することなく逸脱することが可能な単なる例に過ぎない、ことが技術に習熟した人には理解されよう。
【0034】
アリスは、彼女のブロックのパリティは数
ボブは、このパリティと彼のブロックのパリティとを比較する。
ケース1:パリティが一致すれば、要素
ケース2:パリティが一致しなければ、要素
【0035】
(補遺B−被摂動チャンネル模型)
単純化された理論模型によると、ノイズを有するチャンネルにおいて、観測者により導入された摂動はある条件下で検出し得る。ネットワークのダイナミックスを模倣した機械的なシステムを分析することにより、我々はこの検出確率を査定した。
該模型の動作は以下の通りである。一個の粒子がノードAで放出される。該粒子は、ポテンシャルφ(x,t)上をノードBに向かってポテンシャルF0により駆動される。熱ノイズが存在するので、Bに向かう粒子の運動は該ポテンシャルにより偏向されたランダムウォークとなる。従って、粒子は有限時間でBに到着する。その平均到着時間は、ランジュヴァン方程式:
単純なポテンシャルφ(x)=定数を用いて得た解によると、到着時間は摂動と共に変化(増加)し、この増加はノイズζ→0と共により顕著になる(図3)。この模型からの結論がある通信チャンネルに適用し得ることを保障する条件は、現在NE2で活発に研究中である。
【図面の簡単な説明】
【0036】
【図1】図1は、典型的な多層コンピュータネットワークプロトコルを示す。
【図2】図2は、順列化された残留ビット列を各通信関係者により生成する為の、二人の通信関係者間での一ラリー往復動作を示す。
【図3】図3は、平均到着時間をチャンネルノイズ(ノイズパラメータ)の関数として示す。
Claims (31)
- 第一と第二の暗号局AとB間において無条件に安全な暗号鍵を生成する方法であって、
a) 前記第一と第二局AとBにおいて、所与の物理現象の測定の独立的記録から前もって決定された方法で第一と第二の被相関列LA,LBを構成する(即ち、前記第一と第二の被相関列LA,LBは対応する統計変数が独立ではない形態に構成される)段階から成り、前記被相関列の各々は有限のアルファベットから選択された桁数の所与の長さNを有し;
b) 前記第一と第二局AとBにおいて、所定の順列化g=gNをLA,LBに適用して第一と第二の被順列化列g(LA)とg(LB)を形成し、g(LA),g(LB)を各々所定の連結U1(=SA),U2,...,UmとV1(=SB),V2,...,Vmとして表現する段階から成り、ここにg=gHは所定の順列化であり、SAは前記第一の被順列化列g(LA)の副列であり、SBは前記第二の被順列化列g(LB)の副列であり、且つ
に対してUiの長さはViの長さに等しく;
c) P(SA,SB)=Pl(SA,SB)を再帰的に査定する段階から成り、ここにl=|SA|=|SB|はSAとSBの共通長であり、Pは共通長s=|U|=|V|を持つ列U,Vのある順序化された対(U,V)上で定義された関数であり、前記査定段階は
(i) 前記第一局Aにおいて、SA上の所定の関数Γの計算値Γ(SA)を前記第二局Bに送信する副段階を含み、ここにΓは列から列への写像関数であり、空列を|X|=|Y|の列X,Yに対してΓ(X)=Γ(Y)なる性質を有する空列に写像し、更に前記値を前記第二局Bに送信する副段階と;
(ii) 前記第二局Bにおいて、Γ(SA)が計算値Γ(SB)に等しければ前記第一局Aに桁数1を送信し、さもなければ桁数0を送信する副段階と;
(iii) 前記第一と第二局AとBにおいて、各々列f(SA),f(SB)を計算する副段階であって、ここにfは列から列への所定の写像関数であり、空列を空列に写像し、長さ1の全列を空列に写像し、任意の列Xに対してf(X)の長さはXの長さ以下か又はそれに等しく、且つ|X|=|Y|の列X,Yに対して|f(X)|=|f(Y)|なる性質を有し;
(iv) 前記第一と第二局AとBにおいて、Γ(SA)=Γ(SB)の場合はPl(SA,SB)=(f(SA),f(SB))と設定する副段階と;
(v) Γ(SA)≠Γ(SB)の場合は、
a. 前記第一局Aにおいて、λ=|NA|=(tが偶数又は奇数の場合に応じて各々)1/2 t又は1/2 t+1/2を有する列MA,NAの連結MANAとしてf(SA)を書く副段階であって、ここにtはf(SA),f(SB)の共通長であり、
b. 前記第二局Bにおいて、λ=|NA|=|NB|を有する列MB,NBの連結MBNBとしてf(SB)を書く副段階を実行する、副段階と;
(vi) 前記第一局Aにおいて、Γ(NA)を前記第二局Bに送信する副段階と;
(vii) 前記第二局Bにおいて、Γ(NA)=Γ(NB)ならば前記第一局Aに桁数1を送信し、さもなければ桁数0を送信する副段階と;
(viii) Γ(NA)=Γ(NB)の場合はPl(SA,SB)=(X1,Y1)と設定する副段階であって、ここにX1はPt−λ(MA,MB)の第一要素と列f(NA)との連結であり、Y1はPt−λ(MA,MB)の第二要素と列f(NB)との連結であり;
(ix) Γ(NA)≠Γ(NB)の場合はPl(SA,SB)=(X2,Y2)と設定する副段階であって、ここにX2はMAとPλ(NA,NB)の第一要素との連結であり、Y2はMBとPλ(NA,NB)の第二要素との連結であり;
(x) SA=NA,SB=NB(又はSA=MA,SB=MB)の前記副段階(i)から(ix)の繰り返しにより、Pλ(NA,NB)(又はPt−λ(MA,MB))を再帰的に計算してPl(SA,SB)を得る副段階と
d) SA=Ui,SB=Viの前記段階(c)の繰り返しによりli=|Ui|=|Vi|なるPli(Ui,Vi)を連続的に計算し、W1,W2,W3,...,Wmを連結して第一の被連結列KAを前記第一局Aにおいて構成する段階であって、ここにW1は対Pl(U1,V1)=Pl(SA,SB)の第一要素であり、Wiは対
の第一要素であり;
e) SA=Ui,SB=Viの前記段階(c)の繰り返しによりli=|Ui|=|Vi|なるPli(Ui,Vi)を連続的に計算し、列Z1,Z2,Z3,...,Zmを連結して長さnの第二の被連結列KBを前記第二局Bにおいて構成する段階であって、ここにZ1は前記対Pl(U1,V1)=Pl(SA,SB)の第二要素であり、Ziはli=|Ui|=|Vi|の前記対
の第二要素であり;
f) |KA|=|KB|から前記長さn=|KA|=|KB|を用いて所定の公式よりビット相関x=x(KA,KB)を計算する段階であって、ここに、KAとKB間の前記ビット相関が0.5以下でx>0.5となる場合は常にKBは(KB内の1と0を各々0と1で置換して得られる)ブール補数KB *で置換され;
g) x(KA,KB)が所定の停止不等式Sを満足するか否かを確認する段階と;
h) 前記停止不等式Sが満足されない場合は、LA=KA,LB=KBの前記段階(b)乃至(g)を繰り返す段階から成り;
i) 前記停止不等式Sが満足される場合は、
(i) 前記第一局Aにおいて、C(KA)を査定する副段階を実行し、ここにCは全ての非空列上で定義された所定のハッシュ関数であり;
(ii) 前記第一局Aにおいて、C(KA)を前記第二局Bに送信する副段階を実行し;
(iii) 前記第二局Bにおいて、C(KB)を査定する副段階を実行し;
(iv) 前記第二局Bにおいて、C(KB)=C(KA)ならば前記第一局Aに桁数1を送信し、さもなければ桁数0を送信する副段階を実行する;
段階から成り;
j) C(KA)=C(KB)の場合は、Λ(KA)=Λ(KB)即ち前記第一と第二局AとBにより共有される無条件に安全な暗号鍵、を構成する段階から成り、ここにΛは盗聴者が有し得る全潜在情報を消去する所定のハッシュ関数であり;
k) C(KA)≠C(KB)の場合は、前記段階(b)乃至(j)を繰り返す段階から成り、ここに各々LA=KA,LB=KBである、第一と第二の暗号局AとB間において無条件に安全な暗号鍵を生成する方法。 - 前記段階a)が
a.1) 前記第一と第二局AとBに第一の秘密列R1と第二の秘密列R2を各々提供する副段階を更に含み、R1とR2は相関しており(即ち、R1とR2に対応する統計変数は独立ではない)且つ同一長を有し;更に
a.2) 前記第一と第二の列LAとLBを前記第一と第二の秘密列R1とR2により各々置換する副段階を更に含む、請求項1に記載の第一と第二の暗号局AとB間において無条件に安全な暗号鍵を生成する方法。 - 第一と第二の暗号局AとB間において無条件に安全な暗号鍵を生成する方法であって、前記方法は、前記秘密列R1とR2が(マーラーとロビンの)限定格納模型から得られる請求項2に記載の方法、を含む。
- 前記段階i)の前記所定のハッシュ関数Cは最小距離dの二進線形符号のシンドロームであり、ここにdはある所定の正の整数である、請求項1に記載の方法。
- 前記段階a)が
a.1) 前記第一と第二局AとBにおいて、生成された第一と第二のランダム列RAとRBを各々前記第一と第二の列LAとLBに連結して、第一と第二の被連結列LARAとLBRBを生成する副段階と;
a.2) 前記第一と第二局AとBにおいて、前記第一の列LAを前記第一の被連結列LARAで置換し、前記第二の列LBを前記第二の被連結列LBRBで置換する副段階を更に含む、請求項1に記載の方法。 - 前記列R1とR2は各々被連結列R1RAとR2RBで置換され、RAは前記局Aで生成されたランダム列で、RBは前記局Bで生成されたランダム列で、且つRAとRBは同一長を有する、請求項2に記載の方法。
- 前記段階a)が、前記第一と第二局AとBにおいて、生成された第一と第二のランダムな二進列RAとRBと前記第一と第二の列LAとLBとの2を法とするドット積により前記第一と第二の列LAとLBを各々置換して、第一と第二のドット積列LA・RAとLB・RBを形成する副段階を更に含み、RAとRBは各々LAとLBと同一長を有する生成されたランダムな二進列である、請求項1に記載の方法。
- 前記列R1とR2は各々列R1・RAとR2・RBで置換され、RAは前記局Aで生成されたランダム列で、RBは前記局Bで生成されたランダム列で、且つRAとRBは各々R1とR2と同一長を有する、請求項2に記載の方法。
- 第一と第二局AとBにおいて各々第一と第二の列UとVを生成する方法であって、前記第一と第二の列UとVは所定のビット相関x0,0.5<x0<1を有し、前記方法は
i. 請求項1の前記段階a)乃至f)を実行して、ビット相関x>0.5を有する第一と第二の列KAとKBを構成する段階と;
ii. x<x0の場合には、前記ビット相関x=x(KA,KB)がx0以上か又はそれと等しくなるまで請求項1の前記段階a)乃至f)を繰り返して実行する段階と;
iii. x>x0の場合には、KAとKBを各々第一と第二の被連結列U=RAKAとV=RBKBで置換する段階から成り、ここに、RAとRBは各々前記第一と第二局AとBにおいて生成された第一と第二のランダム列で、且つRAとRBは各々UとVの前記ビット相関がx0に等しいことを保障する長さを有する、第一と第二局AとBにおいて各々第一と第二の列UとVを生成する方法。 - 第一と第二局AとBにおいて各々第一と第二の列UとVを生成する方法であって、前記第一と第二の列は0<x0<0.5の範囲の所定のビット相関x0を有し、前記方法は
i. 請求項9の前記方法によるビット相関x1=1−x0を有する第三と第四の列KAとKBを構成する段階と;
ii. KBをそのブール補数KB *で置換する段階から成り、ここに前記補数はKB内の1と0を各々0と1で置換して得られる、第一と第二局AとBにおいて各々第一と第二の列UとVを生成する方法。 - 第一と第二局AとBにおいて各々第一と第二の列UとVを生成する方法であって、前記第一と第二の列UとVは0.5<x0<1の範囲の所定のビット相関x0を有し、前記方法は
i. 請求項2の前記段階a)乃至f)を実行して、ビット相関x>0.5を有する第一と第二の被連結列KAとKBを構成する段階と;
ii. x<x0の場合には、前記ビット相関x=x(KA,KB)がx0以上か又はそれと等しくなるまで請求項2の前記段階a)乃至f)を繰り返して実行する段階と;
iii. x>x0の場合には、KAとKBを各々第三と第四の被連結列U=KARAとV=KBRBで置換する段階から成り、ここに、RAとRBは各々前記第一と第二局AとBにおいて生成された第一と第二のランダム列で、且つ前記第一と第二のランダム列は各々UとVの前記ビット相関がx0に等しいことを保障する長さを有する、第一と第二局AとBにおいて各々第一と第二の列UとVを生成する方法。 - 請求項2に記載の前記方法により生成される無条件に安全な暗号鍵の鍵長を任意の高精度で予測する方法であって、前記方法は
i. 請求項2の前記段階a)乃至e)を実行して、第一と第二の被連結列KAとKBを構成する段階と;
ii. 初期ビット相関x(KA,KB)を計算する段階と;
iii. この計算された相関に基づいて無条件に安全な暗号鍵の鍵長を見積もる段階から成る、無条件に安全な暗号鍵の鍵長を任意の高精度で予測する方法。 - i. 請求項1に記載の前記方法に従って第一と第二の無条件に安全な鍵Λ(KA)=Λ(KB)を生成する段階と;
ii. 前記第一と第二の無条件に安全な鍵Λ(KA)とΛ(KB)を連結して一回性のパッドを生成する段階から成る、無条件に安全な暗号化方法。 - サーバが複数の通信する関係者を認証して前記関係者が請求項1に記載の前記方法に従って無条件に安全な暗号鍵を生成する標準的なケルベロス構成、を備える完全な暗号システム。
- 請求項1により生成された無条件に安全な鍵と;認証アルゴリズム、を備える完全な暗号システム。
- 全列が二進列である、請求項1に記載された方法。
- 前記関数fは非空列を末尾要素を消去した前記同一非空列に写像する、請求項1に記載の方法。
- 前記アルファベットは有限アーベル群Gであり;且つ前記関数ΓはG上の列を前記列内の要素の総和に写像する、請求項1に記載の方法。
- Gは二進体でありΓは列をそのパリティに写像する、請求項18に記載の方法。
- 前記関数Γは、二個の任意列XとYに対してΓ(X)=Γ(Y)となる仕方で全列を一個の所与の固定列に写像する、請求項1に記載の方法。
- 長さ
の二進列Uに対してf(U)=Uのパリティであり;且つLAとLBの第一と第二の副列XとYに対してPl(X,Y)=(パリティ(X),パリティ(Y))となる仕方でΓ(X)=Γ(Y)である、請求項1に記載の方法。 - fは非空列を末尾要素を消去した前記同一非ナル列に写像し;Γは二進列をそのパリティに写像し;且つ前記列U1(=SA),U2,...,UmとV1(=SB),V2,...,Vmは全て共通長lを有する、請求項1に記載の方法。
- 全列は前記アルファベットG上に存在し、ここにGは有限アーベル群であり;且つ段階a)において、前記列LAとLBはLA+RAとLB+RBに各々置換され、RAとRBはLAとLBと同一長を有するG上の第一と第二のランダム列であり、+はG上の成分的和を示す、請求項1に記載の方法。
- の各iに対してfとΓは全巡回f(Ui),f(f(Ui)),f(f(f(Ui))),...,及びf(Vi),f(f(Vi)),f(f(f(Vi))),...の全副列上で事前定義され;fとΓは前記空列を前記空列に写像し;且つfは長さ1の全列を前記空列に写像する、請求項1に記載の方法。
- 前記段階a)において、前記物理現象は、前記第一局Aから前記第二局Bに至る複数のメッセージ往復動作数の前記第一局Aによる測定と、前記第二局Bから前記第一局Aに至る複数のメッセージ往復動作数の前記第二局Bによる測定を含む、請求項1に記載の方法。
- 前記段階a)において、前記物理現象は、衛星、衛星群、無線送信機、及び無線送信機群の内少なくとも一つから選択された外部送信源から発信された共通信号を含む、請求項1に記載の方法。
- 前記段階g)のSは不等式n(1−x)<εであり、ここにεは所定の正数である、請求項1に記載の方法。
- λはtの所定の分数であり、前記分数は0と1間の範囲に存する、請求項1に記載の方法。
- 第一局A内の第一列S1と第二局B内の第二列S2の同等性を所定の確率で検証する方法であって、S1とS2は同一長を有し、前記方法は
i. R1=S1とR2=S2なる請求項2の前記方法の前記段階a)乃至i)を実行する段階と;
ii. C(KA)≠C(KB)の場合は、請求項2の前記方法の前記段階b)乃至f)を実行する段階から成る、第一局A内の第一列S1と第二局B内の第二列S2の同等性を所定の確率で検証する方法。 - 第一局A内の第一秘密列Uと第二局B内の第二秘密列V間の相関を決定する方法であって、R1=UとR2=Vなる請求項2の前記方法の前記段階a)乃至i)を実行する段階を含む前記方法。
- 第一と第二局AとBにおいて各々第一と第二鍵UとVの同等性を点検する方法であって、前記方法は前記第一と第二間で使用される公開鍵交換アルゴリズムから前記第一と第二鍵UとVを得る段階と;S1=UとS2=Vとした請求項28の前記方法を実行する段階から成る、第一と第二局AとBにおいて各々第一と第二鍵UとVの同等性を点検する方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IE20010842 | 2001-09-20 | ||
| IE20020742A IE20020742A1 (en) | 2002-09-13 | 2002-09-13 | A Key Agreement Protocol Based on Network Dynamics |
| PCT/IE2002/000135 WO2003026197A2 (en) | 2001-09-20 | 2002-09-20 | A key agreement protocol based on network dynamics |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005503716A true JP2005503716A (ja) | 2005-02-03 |
Family
ID=26320333
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003529686A Pending JP2005503716A (ja) | 2001-09-20 | 2002-09-20 | ネットワークダイナミックスに基づく鍵一致プロトコル |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP1436940A2 (ja) |
| JP (1) | JP2005503716A (ja) |
| CA (1) | CA2462384A1 (ja) |
| IL (1) | IL160829A0 (ja) |
| WO (1) | WO2003026197A2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102007033845A1 (de) | 2007-07-18 | 2009-01-22 | Bernd Prof. Dr. Freisleben | Verfahren und Vorrichtung für eine verschlüsselte digitale Sprachkommunikation |
| DE102007033846A1 (de) | 2007-07-18 | 2009-01-22 | Freisleben, Bernd, Prof. Dr. | Verfahren und Vorrichtung zur Erzeugung von kryptographischen Schlüsseln zur Durchführung einer Schlüsseleinigung für eine sichere digitale Kommunikation |
| DE102007033848A1 (de) | 2007-07-18 | 2009-01-22 | Freisleben, Bernd, Prof. Dr. | Verfahren und Vorrichtung zur Erzeugung von kryptographischen Schlüsseln zur Durchführung einer Schlüsseleinigung für eine sichere digitale Kommunikation in einem IP-Netzwerk |
| DE102007033847A1 (de) | 2007-07-18 | 2009-01-22 | Bernd Prof. Dr. Freisleben | Verfahren und Vorrichtung zur kryptographischen Schlüsseleinigung für eine sichere digitale Kommunikation in Netzwerken |
-
2002
- 2002-09-20 CA CA002462384A patent/CA2462384A1/en not_active Abandoned
- 2002-09-20 JP JP2003529686A patent/JP2005503716A/ja active Pending
- 2002-09-20 WO PCT/IE2002/000135 patent/WO2003026197A2/en not_active Application Discontinuation
- 2002-09-20 IL IL16082902A patent/IL160829A0/xx unknown
- 2002-09-20 EP EP02777751A patent/EP1436940A2/en not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| WO2003026197A2 (en) | 2003-03-27 |
| EP1436940A2 (en) | 2004-07-14 |
| CA2462384A1 (en) | 2003-03-27 |
| IL160829A0 (en) | 2004-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Alexopoulos et al. | {MCMix}: Anonymous Messaging via Secure Multiparty Computation | |
| KR102116877B1 (ko) | 오류를 갖는 페어링을 이용한 새로운 암호 시스템들 | |
| CN112106322B (zh) | 基于密码的阈值令牌生成 | |
| US20190190726A1 (en) | Authentication system and device including physical unclonable function and threshold cryptography | |
| US20030215088A1 (en) | Key agreement protocol based on network dynamics | |
| JP5542474B2 (ja) | 第1の信号と第2の信号との間の類似性を検証するための方法及びシステム | |
| Maurer et al. | Secret-key agreement over unauthenticated public channels. II. Privacy amplification | |
| Nikolopoulos | Applications of single-qubit rotations in quantum public-key cryptography | |
| Bernstein et al. | Post-quantum cryptography---dealing with the fallout of physics success | |
| US11641286B2 (en) | Sybil-resistant identity generation | |
| US10601579B2 (en) | Privacy preserving comparison | |
| Prakasan et al. | Authenticated-encryption in the quantum key distribution classical channel using post-quantum cryptography | |
| KR20230093432A (ko) | 서비스 거부 공격들의 식별 | |
| Terada et al. | Password-based authenticated key exchange from standard isogeny assumptions | |
| Iovane | Computational quantum key distribution (CQKD) on decentralized ledger and blockchain | |
| Sengupta et al. | Publicly verifiable secure cloud storage for dynamic data using secure network coding | |
| JP2005503716A (ja) | ネットワークダイナミックスに基づく鍵一致プロトコル | |
| Dharminder et al. | Post‐Quantum Secure Identity‐Based Encryption Scheme using Random Integer Lattices for IoT‐enabled AI Applications | |
| JP2004179889A (ja) | 量子鍵配送方法および通信装置 | |
| Tamil Selvi et al. | Post‐Quantum Cryptosystems for Blockchain | |
| Suma et al. | An optimal swift key generation and distribution for QKD | |
| Saliba | Error correction and reconciliation techniques for lattice-based key generation protocols | |
| Chauhan et al. | Towards Building Quantum Resistant Blockchain | |
| IE20020742A1 (en) | A Key Agreement Protocol Based on Network Dynamics | |
| Sun et al. | Large-Scale Private Set Intersection in the Client-Server Setting |