JP2005520395A - 多項式に基づいたマルチユーザ用の鍵生成および認証方法と認証システム - Google Patents
多項式に基づいたマルチユーザ用の鍵生成および認証方法と認証システム Download PDFInfo
- Publication number
- JP2005520395A JP2005520395A JP2003575553A JP2003575553A JP2005520395A JP 2005520395 A JP2005520395 A JP 2005520395A JP 2003575553 A JP2003575553 A JP 2003575553A JP 2003575553 A JP2003575553 A JP 2003575553A JP 2005520395 A JP2005520395 A JP 2005520395A
- Authority
- JP
- Japan
- Prior art keywords
- party
- value
- polynomial
- secret
- argument
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 239000013598 vector Substances 0.000 claims description 22
- 239000011159 matrix material Substances 0.000 claims description 21
- 238000004891 communication Methods 0.000 claims description 12
- 238000012886 linear function Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 2
- 230000006870 function Effects 0.000 description 14
- 230000008901 benefit Effects 0.000 description 7
- 238000012795 verification Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000009877 rendering Methods 0.000 description 5
- 238000013459 approach Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000012938 design process Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2805—Home Audio Video Interoperability [HAVI] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
- H04L2209/603—Digital right managament [DRM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】多項式Pの階数を増加させなくても、グローバルな秘密の異なるシェアをより多数、当事者に配布可能にする方法を提供すること。
【解決手段】デジタル権利管理 (DRM: Digital Rights Management) フレームワークにしたがって動作する家庭ネットワーク (100) 内のデバイス (101〜105) であることが好ましい第一当事者と第二当事者との間の共通の秘密を生成する方法。これらのデバイスは、信頼できる第三当事者 (TTP: Trusted Third Party) により予め配布されているパラメータ、および他方の当事者から得たパラメータを用いて、2つの多項式 P(x, y) と Q(x, z) の積を評価することにより、共通の秘密を計算する。これらの当事者は、他方の当事者がゼロ知識プロトコルまたはコミットメントに基づいたプロトコルを用いて同じ秘密を生成済みであることを、後で検証することが好ましい。この方法は、特に、チップインディスク・タイプのデバイスなどのパワーが非常に低いデバイスに適している。
【解決手段】デジタル権利管理 (DRM: Digital Rights Management) フレームワークにしたがって動作する家庭ネットワーク (100) 内のデバイス (101〜105) であることが好ましい第一当事者と第二当事者との間の共通の秘密を生成する方法。これらのデバイスは、信頼できる第三当事者 (TTP: Trusted Third Party) により予め配布されているパラメータ、および他方の当事者から得たパラメータを用いて、2つの多項式 P(x, y) と Q(x, z) の積を評価することにより、共通の秘密を計算する。これらの当事者は、他方の当事者がゼロ知識プロトコルまたはコミットメントに基づいたプロトコルを用いて同じ秘密を生成済みであることを、後で検証することが好ましい。この方法は、特に、チップインディスク・タイプのデバイスなどのパワーが非常に低いデバイスに適している。
Description
本発明は、
第一当事者と第二当事者との間の共通の秘密を生成する方法であって、
前記第一当事者が、値 p1 と、第一引数が前記値 p1 により固定されている対称多項式 P(x, y) とを保持し、かつ、
前記第一当事者が、
前記第二当事者に前記値 p1 を送信するステップと、
前記第二当事者から値 p2 を受信するステップと、
多項式 P(p1, y) の p2 を求めることにより秘密 S1 を計算するステップと、
を行う方法に関する。
第一当事者と第二当事者との間の共通の秘密を生成する方法であって、
前記第一当事者が、値 p1 と、第一引数が前記値 p1 により固定されている対称多項式 P(x, y) とを保持し、かつ、
前記第一当事者が、
前記第二当事者に前記値 p1 を送信するステップと、
前記第二当事者から値 p2 を受信するステップと、
多項式 P(p1, y) の p2 を求めることにより秘密 S1 を計算するステップと、
を行う方法に関する。
本発明は、更に、このような方法を実行するように構成されている、第一当事者と、第二者当事者と、信頼できる第三当事者とを有するシステム、このシステム内で第一当事者または第二当事者として機能するように構成されているデバイス、およびコンピュータ・プログラム製品に関する。
第一段落による方法の一実施例は、R. Blom の「非公開鍵の配布、暗号学における進歩 (Non-public key distribution, Advances in Cryptology)」(Crypto 82の議事録、231〜236頁、1983年)から知られている。
認証は、デジタル通信ネットワークとコンテンツ保護システムで、重要な役割を演ずる。互いに通信するデバイスは、互いの信頼性について確信を抱いている必要がある。これらのデバイスは、信頼できない当事者に秘密情報を与えるべきではない。認証手順は、処理パワーを大量に必要とする公開鍵技術に基づいていることが多い。多くのアプリケーションでは、この(処理)パワーを利用することができないので、この場合、これらの公開鍵技術をそのまま適用することはできない。
時折提案される解決策は、消費パワーがかなり少ない対称暗号を用いることに基づいている。しかしながら、これらの暗号には、グローバル・システムの秘密が各デバイス内で必要となり、これは多数出回る製品には望ましくない、という欠点がある。
デジタル通信ネットワークは、CE 用アプリケーションでもますます一般的になりつつあるため、安価かつ低パワーの認証プロトコルの必要性が高まっている。パワーに関する制約は、一般に、携帯型 CE デバイス、スマートカードなどに該当するが、本出願の同一出願人による国際特許公開公報第 02/017316 号(社内整理番号 PHNL010233)に解説されているような「チップインディスク (CID: Chip In Disc)」タイプの製品の場合、特に厳しい。
CID の背景にある基本的なアプローチは、CD または DVD のようなキャリア上にチップを配置した後に、このチップをコンテンツ保護のために用いることである。このチップは、プレーヤを信用できることが確信でき次第、プレーヤがコンテンツをプレイすること(チップが持っているデスクランブル鍵へのアクセスをプレーヤに与えること)を可能にする。他方、プレーヤは、信頼できないディスク上のコンテンツは全くプレイしないであろう。したがって、プレーヤと CID の両方に、認証のための何らかの手段が必要となる。
留意すべき重要な点は、チップが自由に使用できるパワーが非常に限られている(約0.5 mW)ので、非常に複雑な計算を行うことができないことである。このことは、(RSA または ElGamal などの)公開鍵技術を直ちに使用することができないことを意味する。CID 認証問題は、CE の世界での認証問題の典型例である。
上記に参照されている Blom による論文は、2変数の対称多項式に基づいた秘密共有プロトコルを用いた共通鍵、つまり、会議鍵の生成方法を開示している。このプロトコルは、図1に示されている。基本的に、「証明者」(P と略記する)と呼ばれる一方の当事者が、「検証者」(V と略記する)と呼ばれるシステム内の別の当事者に、検証者にも知られている秘密を自分が知っているということを確信させようと試みる。検証者が確信した場合、証明者は認証される。
システム内で、信頼できる第三者 (TTP: Trusted Third Party) は、(n+1)×(n+1) の対称行列Tを選択する。この行列のエントリ
は、2変数のn次多項式Pの各係数を表している。この多項式Pは、以下のように定義される。
は、2変数のn次多項式Pの各係数を表している。この多項式Pは、以下のように定義される。
この多項式の領域内の全ての x と y に対して、
であることは明らかである。例えば
のように、引数 x を特定値に固定することにより、多項式 P を1変数の n 次多項式の空間上に投射させることができる。多項式 P の定義、行列 T の対称性、およびこの結果得られる P(x, y) の対称性から、全ての p と q に対して
が成り立つ。
であることは明らかである。例えば
のように、引数 x を特定値に固定することにより、多項式 P を1変数の n 次多項式の空間上に投射させることができる。多項式 P の定義、行列 T の対称性、およびこの結果得られる P(x, y) の対称性から、全ての p と q に対して
が成り立つ。
Blom によると、他方のデバイスと共通の秘密を生成可能であることが必要な全てのデバイスは、対 (Pp(y), p)(つまり、多項式 P は p が固定されており、かつこの値 p は、P(x, y) から Pp(y) を生成するために用いられたものである)を受信する。デバイス (Pp, p) と (Pq, q) との間で共有される秘密は、p と q を交換することにより生成される Pp(q) = Pq(p) と、これらの多項式を評価して P の秘密 S1 と V の秘密 S2 を生じさせることにより与えられる。
このアプローチの場合、グローバルな秘密は、対称であるという理由により
個の独立したエントリを持つ行列 T から成る。この秘密のシェア (share) は、各々の値 p と、
の形態の n + 1個の係数を有する多項式 Pp(y) の形態で、全ての当事者に与えられる。
個の独立したエントリを持つ行列 T から成る。この秘密のシェア (share) は、各々の値 p と、
の形態の n + 1個の係数を有する多項式 Pp(y) の形態で、全ての当事者に与えられる。
こうすることにより、未知数 tij が
個である n + 1 個の線形方程式が全ての当事者に与えられるので、一当事者がグローバルな秘密 T を取り出すことは明らかに不可能となる。異なる一値 p を全当事者が有している n + 1 の当事者が協力した場合にしか、行列Tを取り出すことはできない。
個である n + 1 個の線形方程式が全ての当事者に与えられるので、一当事者がグローバルな秘密 T を取り出すことは明らかに不可能となる。異なる一値 p を全当事者が有している n + 1 の当事者が協力した場合にしか、行列Tを取り出すことはできない。
このことは、この公知のプロトコルの主な欠点を示している。つまり、pi の異なる値の数が n+1 個未満でない限り、十分な数の当事者が協力すれば、グローバルな秘密 T を取り出すことが可能となってしまう。しかしながら、このことは、グローバル・システムの秘密 T を明らかにさせないようにするために、異なるシェアの数が、多項式の次数に限定されてしまうことを意味している。更に、二者の当事者が通信すると、これらの当事者が常に同じ共通の秘密を生成してしまう。
本発明の目的は、多項式 P の階数を増加させる必要なく、グローバルな秘密のより多数の異なるシェアを、当事者に配布可能にする方法を提供することである。
この目的は、本発明によると、第一当事者が、
値 q1 と、
第一引数が値 q1 により固定されている対称多項式 Q(x, y) と、
を更に保持し、かつ更に、
第二当事者に q1 を送信するステップと、
第二当事者から値 q2 を受信するステップと、
秘密S1を
として計算するステップと、
を行うことを特徴とする方法で達成される。
値 q1 と、
第一引数が値 q1 により固定されている対称多項式 Q(x, y) と、
を更に保持し、かつ更に、
第二当事者に q1 を送信するステップと、
第二当事者から値 q2 を受信するステップと、
秘密S1を
として計算するステップと、
を行うことを特徴とする方法で達成される。
pi の値の数を依然として n に限定しつつ、より多数の異なるシェアを当事者に配布することができる。システム全体での qi の値の数は、Blom のシステムの場合のように多項式 P の次数により限定されることはなく、Q 領域内の可能な要素の数 qi のみにより限定される。こうすることにより、十分な数の qi によってグローバルな秘密の固有なシェアを全ての当事者に供給することが可能となる。
一実施例の場合、第一当事者は、
乱数 r1 を得るステップと、
を計算するステップと、
第二当事者に
を送信するステップと、
第二当事者から
を受信するステップと、
秘密 S1 を
として計算するステップと、
を更に行う。乱数 r1 と r2 は、q1 と q2 の値を隠す。このことにより、盗聴者つまり非準拠のデバイスが q1 と q2 について何かを知ってしまうことが、非常に困難となる。第二に、r1 と r2 の値は、多項式 P と Q の評価の結果、結局乗算されるので、計算された秘密S1と S2 は、乱文字も持つことになる。このことは、S1 と S2 が後で対称暗号内の鍵として用いられれば、盗聴者が暗号を破ることが困難となることを意味する。更に今度は、2つのデバイス間での全ての新たなセッションで、異なる共通の秘密を生成することが可能となる。
乱数 r1 を得るステップと、
を計算するステップと、
第二当事者に
を送信するステップと、
第二当事者から
を受信するステップと、
秘密 S1 を
として計算するステップと、
を更に行う。乱数 r1 と r2 は、q1 と q2 の値を隠す。このことにより、盗聴者つまり非準拠のデバイスが q1 と q2 について何かを知ってしまうことが、非常に困難となる。第二に、r1 と r2 の値は、多項式 P と Q の評価の結果、結局乗算されるので、計算された秘密S1と S2 は、乱文字も持つことになる。このことは、S1 と S2 が後で対称暗号内の鍵として用いられれば、盗聴者が暗号を破ることが困難となることを意味する。更に今度は、2つのデバイス間での全ての新たなセッションで、異なる共通の秘密を生成することが可能となる。
更なる一実施例の場合、第一当事者は、任意に選択された値 r により乗算された値 q1 と、個々の多項式 P(p1, y) と Q(q1, z) ではなく積 Q(q1, z)P(p1, y) を保持し、かつ第一当事者は、
を計算するステップと、
第二当事者に
を送信するステップと、
第二当事者から
を受信するステップと、
秘密 S1 を
として計算するステップと、
を行う。このようにして、値 q1 と q2 は、デバイスにアクセスしかつグローバルな秘密 T、および/または、値 q1 または q2 を知ろうと試みる敵対者には機密となる。
を計算するステップと、
第二当事者に
を送信するステップと、
第二当事者から
を受信するステップと、
秘密 S1 を
として計算するステップと、
を行う。このようにして、値 q1 と q2 は、デバイスにアクセスしかつグローバルな秘密 T、および/または、値 q1 または q2 を知ろうと試みる敵対者には機密となる。
更なる一実施例の場合、第一当事者と第二当事者は、生成された秘密 S1 と S2 の各々に非線形関数を用いた後に、この秘密を更なる通信内の秘密鍵として用いる。この非線形関数は、一方向ハッシュ関数として実施されることが好ましいが、多項式の形態を取ることもできる。非線形関数を用いることにより、前後方向へのスキームが安全になる。換言すれば、攻撃者が鍵を入手したとしても、この入手された鍵から、前または後の鍵を導出することはできない。
第二当事者が秘密S1を知っているということを、第一当事者は後で検証することが好ましい。第一当事者は、第二当事者が秘密 S1 を知っているということを検証するために、ゼロ知識プロトコルを適用することもできる。このプロトコルは、公開値
と
を用いる Guillou-Quisquater プロトコルであることが好ましい。このことの利点は、本発明では
の値が低い場合でも、Guillou-Quisquater プロトコルにより、敵対者はチャレンジを予期することができなくなるので、このプロトコルが非常に安全になり得ることである。更に、Guillou-Quisquater プロトコルは、通信とメモリ使用の点で効率的である。
と
を用いる Guillou-Quisquater プロトコルであることが好ましい。このことの利点は、本発明では
の値が低い場合でも、Guillou-Quisquater プロトコルにより、敵対者はチャレンジを予期することができなくなるので、このプロトコルが非常に安全になり得ることである。更に、Guillou-Quisquater プロトコルは、通信とメモリ使用の点で効率的である。
これに代えて、第一当事者は、コミットメントに基づいたプロトコルを適用して、第二当事者が秘密 S1 を知っているということを検証することができる。DES、Lombok、またはAES などの対称暗号に基づいたコミットメント・プロトコルを用いることは、この方法を実行するデバイス内でのパワー消費の点で非常に効率的である。第一当事者は、同一の対称暗号を後で commit 関数として用いて、暗号化されているランダムなチャレンジの復号化に自らをコミットさせることが好ましい。こうすることにより得られる更なる利点は、チャレンジを暗号化するためのハードウエアおよび/またはソフトウエアが、コミット関数を実行するために再使用可能となるので、この実施態様の複雑さが低減されることである。
他の有利な実施例は、従属請求項に提示されている。
本発明のこれらの態様と他の態様は、図面に示されている実施例から明らかとなり、かつこれらの実施例を参照することにより解明されるであろう。
図面全体に渡って、同じ参照番号は、同様なまたは対応する特徴を示している。図面に示されている特徴の幾つかは、通常、ソフトウエア内で実施され、かつそれ自体で、ソフトウエア・モジュールまたはオブジェクトなどのソフトウエアの実体を表している。
図2は、ネットワーク110を介して相互接続されているデバイス101〜105を有するシステム100を概略的に示している。この実施例の場合、システム100は家庭内ネットワークである。典型的なデジタル家庭ネットワークには、例えば、ラジオ受信器、チューナ/デコーダ、CD プレーヤ、1対のスピーカ、テレビジョン、VCR、テープデッキなどの幾つかのデバイスが含まれている。これらのデバイスは、1つのデバイス(例えばテレビジョン)が別のデバイス(例えば VCR)を制御することができるように、通常は相互接続されている。通常は、1つのデバイス(例えばチューナ/デコーダまたはセット・トップ・ボックス (STB: set top box) など)が中央のデバイスとなって、他のデバイスに対する中央制御を行う。
コンテンツは、通常は、音楽、歌、映画、テレビ番組、画像のようなものを含んでおり、住宅用のゲートウェイ、つまりセット・トップ・ボックス101を通して受信される。ソースは、ブロードバンド・ケーブル・ネットワーク、インターネット接続、衛星ダウンリンクなどへの接続とすることも可能である。次に、コンテンツをネットワーク110上でシンクに転送して、レンダリングさせることができる。シンクは、例えば、テレビ表示装置102、携帯型表示デバイス103、移動電話104、および/または、オーディオ再生デバイス105とすることもできる。
コンテンツ品目をレンダリングさせる適格な方法は、デバイスのタイプとコンテンツのタイプに依存する。例えば、ラジオ受信器の場合、レンダリングには、オーディオ信号を生成することと、これらの信号をラウド・スピーカにフィードすることが含まれる。テレビ受信器の場合、レンダリングには通常、オーディオ信号とビデオ信号を生成することと、これらの信号を表示画面とラウド・スピーカにフィードすることが含まれる。他のタイプのコンテンツに対しても、同様の適切な処置を行わなければならない。レンダリングには、受信された信号の復号化つまりデスクランブリング、オーディオ信号とビデオ信号との同期化などの動作を含めてもよい。
システム100内のセット・トップ・ボックス101、または他の何れかのデバイスは、受信されたコンテンツを記録し、かつ後で再生することを可能にする、適切な大きさのハードディスクなどの格納媒体S1を有してもよい。格納装置S1は、セット・トップ・ボックス101が接続されている、ある種類のパーソナル・デジタル・レコーダ (PDR: Personal Digital Recorder)(例えばDVD+RWレコーダ)とすることができる。CD (Compact Disc) またはDVD(Digital Versatile Disc)などのキャリア120上に格納されているシステム100に、コンテンツを設けることもできる。
携帯型表示デバイス103と移動電話104は、例えば Bluetooth(登録商標) または IEEE 802.11b を用いている基地局111を使用して、ネットワーク110にワイヤレス接続される。他のデバイスは、従来の結線接続を用いて接続される。デバイス101〜105の相互作用を可能にさせるには、相互運用性に関する幾つかの規格を利用することができる。これらの規格によって、異なるデバイスがメッセージと情報を交換し、かつ互いに制御し合うことが可能となる。周知の規格の1つとして、ホーム・オーディオ・ビデオ相互運用性 (HAVi: Home Audio/Video Interoperability) 規格バージョン1.0が挙げられる。これは、2000年1月に公布され、かつインターネット上のアドレス http://www.havi.org/ から入手可能である。他の周知の規格として、(D2B: domestic digital bus)規格、IEC 1030に解説されている通信プロトコル、およびユニバーサル・プラグ・アンド・プレイ(http://www.upnp.org)が挙げられる。
多くの場合に重要な点は、家庭ネットワーク内のデバイス101〜105が、コンテンツのコピーを無権限で作らないようにさせることである。こうするには、デジタル著作権管理 (DRM: Digital Rights Management) システムと通常呼ばれているセキュリティ・フレームワークが必要である。
このようなフレームワークの1つの場合、家庭ネットワークは、概念的に、条件付きアクセス(CA: conditional access)領域とコピー保護(CP: copy protection)領域とに分割される。通常、シンクは CP 領域内に配置される。こうすることにより、コンテンツがシンクに提供された場合に、このコピー保護スキームが CP 領域内に配置されているので、コンテンツのコピーを無権限で作ることが不可能となる。CP 領域内のデバイスは、一時的なコピーを作る格納媒体を有してもよいが、このようなコピーは、CP 領域からエクスポートしてはならない。このフレームワークは、本出願と同一の出願人による国際特許出願第 PCT/IB02/04803号(社内管理番号 PHNL010880)に説明されている。
セキュリティ・フレームワークを実施する家庭内ネットワーク内の全てのデバイスは、選択された特定のアプローチとは無関係に、実施要件にしたがってセキュリティ・フレームワークを実施する。これらのデバイスは、このフレームワークを用いて互いに認証を行い、かつコンテンツを安全に配布することができる。コンテンツへのアクセスは、セキュリティ・システムにより管理される。このことにより、保護されていないコンテンツが無権限のデバイスに漏れてしまうことがなくなり、かつ信頼できないデバイスから生じたデータがシステムに入ってしまうことがなくなる。
デバイスはコンテンツの配布を、デバイスが予め認証に成功している他のデバイスにしか行わないことが重要である。こうすることによって、敵対者が不当なデバイスを使用してコピーを無権限に作ってしまうことが不可能になる。デバイスがそれ自身の認証に成功することができるのは、権限を与えられた製造業者によりデバイスが組み立てられており、例えば、認証に成功するために必要な特定の秘密を、権限を与えられた製造業者しか知らないか、またはこれらの製造業者のデバイスに、信頼できる第三者により発行された認定が与えられている場合のみである。
秘密の共有
何れの認証スキームでも、何らかのグローバルな秘密、つまり、共通情報が存在していなければならない。また、別の当事者に自らを認証させることを望んでいるいかなる当事者も、この他の当事者と共通の何らかの情報を、少なくとも持っていなくてはならない。グローバルな秘密を全てのデバイスに与えることは、理論的には可能だが、実際には薦められない。なぜならば、(例えば1つのデバイスがハッキングされることによって)グローバルな秘密が知られてしまった場合、信頼できる当事者にグローバルな秘密を最初に配布した信頼できる第三者 (TTP: Trusted Third Party) の役割を、敵対者が支配してしまうことがあり得るからである。こうして、非準拠のデバイスがシステムに入ってしまい、かつ初期システムの安全性が損なわれ、認証が無駄になってしまう。グローバルな秘密が完全に知られてしまっているので、非準拠のデバイスを検出することが不可能となってしまうであろう。
何れの認証スキームでも、何らかのグローバルな秘密、つまり、共通情報が存在していなければならない。また、別の当事者に自らを認証させることを望んでいるいかなる当事者も、この他の当事者と共通の何らかの情報を、少なくとも持っていなくてはならない。グローバルな秘密を全てのデバイスに与えることは、理論的には可能だが、実際には薦められない。なぜならば、(例えば1つのデバイスがハッキングされることによって)グローバルな秘密が知られてしまった場合、信頼できる当事者にグローバルな秘密を最初に配布した信頼できる第三者 (TTP: Trusted Third Party) の役割を、敵対者が支配してしまうことがあり得るからである。こうして、非準拠のデバイスがシステムに入ってしまい、かつ初期システムの安全性が損なわれ、認証が無駄になってしまう。グローバルな秘密が完全に知られてしまっているので、非準拠のデバイスを検出することが不可能となってしまうであろう。
このことを解決する可能な方法は、秘密の共有 (secret sharing) である。つまり、信頼できる全ての当事者が、グローバルな秘密のシェアを1つ入手するのである。このシェアにより、信頼できる当事者は他の当事者に自らを十分に認証させることができるが、(こうすることが仮にも可能な場合に)グローバルな秘密を再構築させるためには、多数のシェアが必要となる。1つのデバイスが損なわれてしまった場合、グローバルな秘密のシェアは1つしか知られることがないので、このデバイスを無効にさせるための手段を講じることができる。
本発明は、当事者が共通の秘密を決定することを可能にする秘密共有プロトコルを用いる。その後、当事者は通常、他の当事者が秘密を知っているということを検証するであろう(以下のセクション「秘密の検証」を参照されたい)。しかしながら、当事者は、明示的に照合を行うことなく、先へ進んでもよい。例えば、秘密を暗号化鍵として用いて、他の当事者に送信される何らかの情報を暗号化することができる。他の当事者は、同じ秘密を持っていなければ、情報を復号化することはできない。この秘密は、他の当事者に暗示的に権限を与えるのである。
図3は、証明者 P と、検証者 V と、信頼できる第三者 TTP とを有する、図2のシステムを一般化したものを概略的に示している。本発明によると、検証者Vは、信頼できる第三者 TTP から受信された情報を用いて、証明者 P を認証することを望む。この認証は、検証者 V が信頼に足るものであることが証明者 P にも分かるように、相互に行われることが好ましい。
検証者 V を証明者 P に認証させるために必要な情報は、TTP から当事者 P と V に予め配布されていることが想定されている。この配布は、当事者 P と V と、TTP との間の通信チャネル上で行うことができる。こうすることによりプロトコルは動的になり、かつ予め配布された秘密に対する無権限のアクセスを敵対者が得てしまった場合に、情報を容易に更新することが可能となる。
証明者 P と検証者 V を、必要な機能性を提供するチップが備えられているキャリア120のようなデバイスと、オーディオ再生デバイス105とすることができる。このような場合、TTP から証明者と検証者への通信チャネルは、おそらく存在しないことがほとんどであろう。したがって、秘密の配布は、例えば、キャリア120またはデバイス105が製造されている工場内で、予め行われなければならない。
証明者 P は、ネットワーク・モジュール301、暗号プロセッサ302、および格納媒体303を有する。証明者 P は、ネットワーク・モジュール301を用いて、検証者 V とのデータの送受信を行うことができる。ネットワーク・モジュール301は、ネットワーク110に接続したり、または検証者Vとの直接接続(例えばワイヤレス・チャネル)を確立することができる。
暗号プロセッサ302は、本発明による方法を実行するように構成されている。このプロセッサ302は、通常はハードウエアとソフトウエアの組み合わせとして実現されるが、ハードウエアまたはソフトウエアの内部で、例えば、ソフトウエア・モジュールまたはオブジェクトの集まりとして完全に実現させることもできる。
証明者 P は、例えば、多項式 P と Q の係数を格納媒体303内に格納することができるが、認証が成功した後に検証者Vに配布したい幾つかのコンテンツを保持させるために、格納媒体303を使用してもよい。更に、TTP から受信された情報を格納させるために、格納媒体303を使用してもよい。システムのセキュリティを高めるためには、個々の多項式 P と Q を格納するのではなく、積 Qq(z)Pp(y) を代わりに格納すべきである。
同様に、検証者Vは、ネットワーク・モジュール311と、暗号プロセッサ312と、証明者 P の格納装置に対応した機能性を有する格納装置313とを有している。検証者 V が、チップインディスクを有するキャリア120として具現化される場合、格納装置313は、何れの(光)ディスクでも利用可能な格納装置に対応してもよいが、チップインディスク上の ROM 内に格納させることが好ましい。
さらに、証明者 P と検証者 V には、暗号的に強い疑似乱数を提供する、(ハードウエアおよび/またはソフトウエア内の)擬似乱数生成器304、314を設けてもよい。これらの疑似乱数は、本発明による方法の好ましい実施例で用いられる。次に、証明者 P を検証者 V に認証させる幾つかの実施例を、図4と図5を参照しながら説明する。
2つの対称多項式を用いて共通の秘密を生成する
図4は、本発明の好ましい一実施例による、各々2変数の2つの対称多項式に基づいた秘密共有プロトコルを示している。当事者により行われる設定とステップの部分は、図1を参照して既に説明済みなので、ここでは繰り返さない。
図4は、本発明の好ましい一実施例による、各々2変数の2つの対称多項式に基づいた秘密共有プロトコルを示している。当事者により行われる設定とステップの部分は、図1を参照して既に説明済みなので、ここでは繰り返さない。
対称多項式 P は、対称多項式 Q(x, z)(例えば、
)により乗算される。多項式 P の pi を固定させることに加えて、今度は同様に多項式 Q も qi を固定させる。次に証明者は、p1 が固定されている多項式 P ではなく、還元された多項式の積、
および値 p1 と q1 を、TTP から受信する。同様に、検証者は、p2 が固定されている多項式Pではなく、還元された多項式の積、
および値 p2 と q2 を受信する。証明者と検証者は、これらの多項式を、これらの係数の形態、
で格納することが好ましい。
)により乗算される。多項式 P の pi を固定させることに加えて、今度は同様に多項式 Q も qi を固定させる。次に証明者は、p1 が固定されている多項式 P ではなく、還元された多項式の積、
および値 p1 と q1 を、TTP から受信する。同様に、検証者は、p2 が固定されている多項式Pではなく、還元された多項式の積、
および値 p2 と q2 を受信する。証明者と検証者は、これらの多項式を、これらの係数の形態、
で格納することが好ましい。
値 q1 と q2 は、最初に TTP によって、乱因子
により乗算されることが好ましい。こうして、証明者および/または検証者を具現化しているデバイスに対する無権限のアクセスを得てしまう可能性がある敵対者に対して、値 q1 と q2 が機密になるので、敵対者が権限のあるデバイスとして通用してしまうことがなくなる。
により乗算されることが好ましい。こうして、証明者および/または検証者を具現化しているデバイスに対する無権限のアクセスを得てしまう可能性がある敵対者に対して、値 q1 と q2 が機密になるので、敵対者が権限のあるデバイスとして通用してしまうことがなくなる。
上記の内容から、下式が成り立つ。
この式は、実際の値 q を隠すためにブラインド化因子
が用いられている場合でも、証明者と検証者は、これらが持っている要素 pi と qi、および証明者と検証者が他の当事者から受信した要素 pi と qi を用いて、共通の秘密を多項式 P と Q の積として生成できるということを示している。
この式は、実際の値 q を隠すためにブラインド化因子
が用いられている場合でも、証明者と検証者は、これらが持っている要素 pi と qi、および証明者と検証者が他の当事者から受信した要素 pi と qi を用いて、共通の秘密を多項式 P と Q の積として生成できるということを示している。
ここで、pi の値の数を n 以下に限定してしまうと、多項式 P と Q の係数を取り出すことができなくなってしまう。システム全体での qi の値の数は、Blom のシステムの場合と同様、多項式 P の次数により限定されてしまうことはなく、Q の領域内の可能な要素 qi によって限定されるだけである。こうすることにより、十分な数の値 qi によってグローバルな秘密の独自のシェア、全ての当事者に供給することが可能となる。
当事者 P と V は、多項式 P と Q との積、および値 pi と qi (または
)
を受信すると、図4に示されているように、共通の秘密の生成を試みる。両方の当事者は、それらの pi と qi(または
)の値を交換し、かつそれらの各々の秘密 S1 と S2 を算出する。当事者 P と V は、各々の乱数 r1 と r2 を最初に生成することが好ましい。次に、当事者 P と V は、
と
を各々算出し、かつ値 q1 と q2 自体ではなく、
と
の積を交換する。こうすることには幾つかの利点がある。これらの利点の内、乱数 r1 と r2 が q1 と q2 の値を隠すことによって、盗聴者または非準拠のデバイスが、q1とq2に関して何かを知ってしまうことが非常に困難となる、という事実が挙げられる。さらに、当事者の一方(例えば、証明者 P)が、その秘密 S1 を、
として計算することが可能になる。
)
を受信すると、図4に示されているように、共通の秘密の生成を試みる。両方の当事者は、それらの pi と qi(または
)の値を交換し、かつそれらの各々の秘密 S1 と S2 を算出する。当事者 P と V は、各々の乱数 r1 と r2 を最初に生成することが好ましい。次に、当事者 P と V は、
と
を各々算出し、かつ値 q1 と q2 自体ではなく、
と
の積を交換する。こうすることには幾つかの利点がある。これらの利点の内、乱数 r1 と r2 が q1 と q2 の値を隠すことによって、盗聴者または非準拠のデバイスが、q1とq2に関して何かを知ってしまうことが非常に困難となる、という事実が挙げられる。さらに、当事者の一方(例えば、証明者 P)が、その秘密 S1 を、
として計算することが可能になる。
本システムの更なる改良点は、両当事者が、計算された秘密 S1 と S2 に非線形関数を適用した後に、この秘密を秘密鍵として用いることにより、達成することができる。この非線形関数は、一方向ハッシュ関数として実施することが好ましいが、多項式の形態を取ることもできる。
限定された対称多項式を用いて共通の秘密を生成する
図5は、多項式 P が限られた数の点でしか対称でない、図4のプロトコルに基づいた変種を示している。多項式 P は、対称行列 T に基づいていており、かつ多項式 P(x, y) が、P の領域内の全ての x と y の値に対して対称であることを示すことができる。しかしながら、n 個を超える異なる値 pi が用いられる場合、敵対者が行列 T を再構築することが理論的には可能となる。したがって、多項式 P は、
個の値 p1, …, pm (
) でしか対称とならない必要がある。限られた数の点でしか対称でない多項式を組み立てる方法を説明するために、最初に幾つかの定義を提示する。
図5は、多項式 P が限られた数の点でしか対称でない、図4のプロトコルに基づいた変種を示している。多項式 P は、対称行列 T に基づいていており、かつ多項式 P(x, y) が、P の領域内の全ての x と y の値に対して対称であることを示すことができる。しかしながら、n 個を超える異なる値 pi が用いられる場合、敵対者が行列 T を再構築することが理論的には可能となる。したがって、多項式 P は、
個の値 p1, …, pm (
) でしか対称とならない必要がある。限られた数の点でしか対称でない多項式を組み立てる方法を説明するために、最初に幾つかの定義を提示する。
2つの n 次ベクトル
と
の内積は、
により与えられる。
と
とのテンソル積
は、
により与えられる。
と
の内積は、
により与えられる。
と
とのテンソル積
は、
により与えられる。
長さがn+1のバンデルモンド・ベクトル
は、
により与えられる p に関連付けられる。特に明言しない限り、全てのバンデルモンド・ベクトルは、長さが n + 1 である。また、表記を容易にするために、下付きの n は省略する。
である別個の値のサブセット {p1, …, pm} が与えられると、バンデルモンド・ベクトル
が形成される。これらの
個のベクトルは、線形独立である。したがって、これらのベクトルは、サブ空間
の基底ベクトルである。
は、
により与えられる p に関連付けられる。特に明言しない限り、全てのバンデルモンド・ベクトルは、長さが n + 1 である。また、表記を容易にするために、下付きの n は省略する。
である別個の値のサブセット {p1, …, pm} が与えられると、バンデルモンド・ベクトル
が形成される。これらの
個のベクトルは、線形独立である。したがって、これらのベクトルは、サブ空間
の基底ベクトルである。
次に、
に対する可能な全てのテンソル積
を考える。テンソル算法からは、これらの
個のテンソル積がテンソル空間
の基底を形成することが知られている。全てのベクトル
に対して、下式が成り立つ。
に対する可能な全てのテンソル積
を考える。テンソル算法からは、これらの
個のテンソル積がテンソル空間
の基底を形成することが知られている。全てのベクトル
に対して、下式が成り立つ。
上記の定義を用いて多項式 P(x, y) を内積として書き直すと、下式が得られる。
式中、
は、ベクトル (t00, …, t0n, t10, …, tnn) を表している。すなわち、
は、行列 T のエントリを含んでいる。P は、その書き直された形態でも対称のままである。
式中、
は、ベクトル (t00, …, t0n, t10, …, tnn) を表している。すなわち、
は、行列 T のエントリを含んでいる。P は、その書き直された形態でも対称のままである。
次に、
個の別個要素 p1, …, pm を選択する。これらの要素を用いてバンデルモンド・ベクトル
を組み立て、かつこれらのバンデルモンド・ベクトルから、テンソル積
を組み立てる。次に、上述したように空間
の垂直空間
からベクトル
を選択する。次に、多項式 P の書き直された形態は、好ましいセット {p1, …, pm} から選択された点で評価することができる。ベクトル
はベクトル
に加算可能であり、かつ
であることから、下式が得られる。
個の別個要素 p1, …, pm を選択する。これらの要素を用いてバンデルモンド・ベクトル
を組み立て、かつこれらのバンデルモンド・ベクトルから、テンソル積
を組み立てる。次に、上述したように空間
の垂直空間
からベクトル
を選択する。次に、多項式 P の書き直された形態は、好ましいセット {p1, …, pm} から選択された点で評価することができる。ベクトル
はベクトル
に加算可能であり、かつ
であることから、下式が得られる。
換言すれば、ベクトル
から、行列、
を導出し、かつこの行列
を行列 T に加算した場合、好ましいセット内の全ての pi と pj には、依然として P(pi, pj) = P(pj, pi) が成り立つ。
から、行列、
を導出し、かつこの行列
を行列 T に加算した場合、好ましいセット内の全ての pi と pj には、依然として P(pi, pj) = P(pj, pi) が成り立つ。
TTP は上記の所見を用いて、以下の動作を行うことによりシステムを設定する。
1. TTP は、(n+1)×(n+1) の対称行列 T をランダムに選択し、かつ任意値
を選択することが好ましい。
2. TTP は、
個の別個の要素 p1, …, pm (
) をランダムに選択する。
3. TTP は、テンソル積
から、空間
を計算する。
4. TTP は、
個の要素 p1, …, pm から、最初の
個の要素を選択することが好ましい。こうして、システムの更新が可能となる(以下のセクション「更新可能性」で説明する)。
1. TTP は、(n+1)×(n+1) の対称行列 T をランダムに選択し、かつ任意値
を選択することが好ましい。
2. TTP は、
個の別個の要素 p1, …, pm (
) をランダムに選択する。
3. TTP は、テンソル積
から、空間
を計算する。
4. TTP は、
個の要素 p1, …, pm から、最初の
個の要素を選択することが好ましい。こうして、システムの更新が可能となる(以下のセクション「更新可能性」で説明する)。
TTP は、次にデバイスを発行することができる。つまり、TTP が、グローバルな秘密のシェアをデバイスに提供すると、これらのデバイスは、グローバルな秘密のシェアを有する他のデバイスに自らを(相互に)認証させることができるようになる。このようなデバイスは、多くの場合、認定されたデバイス、または権限のあるデバイスと呼ばれる。認定済みのデバイスは、他の認定済みのデバイスとの相互認証に次いで、無権限のデバイスを検出することができる。この検出は通常、このデバイスの認証が失敗することによって行うことができる。
デバイスを発行するために、TTP は以下のステップを行う。
1. TTP は、デバイス
に対して、
をランダムに選択し、かつ
個の要素 p1, …, pm を有するセットから、好ましくは
個の要素を有する選択されたサブセットから、pi をランダムに選択する。
2. TTP は、
から行列
を生成し、かつ行列
を形成する
3. TTP は、
から2変数の多項式 P(x, y) を組み立て、かつ
と表現することができる一変数の多項式 P(pi, y) の係数を計算する。
4. TTP は、値pi,
とベクトル
を、デバイス
に配布する。
1. TTP は、デバイス
に対して、
をランダムに選択し、かつ
個の要素 p1, …, pm を有するセットから、好ましくは
個の要素を有する選択されたサブセットから、pi をランダムに選択する。
2. TTP は、
から行列
を生成し、かつ行列
を形成する
3. TTP は、
から2変数の多項式 P(x, y) を組み立て、かつ
と表現することができる一変数の多項式 P(pi, y) の係数を計算する。
4. TTP は、値pi,
とベクトル
を、デバイス
に配布する。
当事者 P と V は、これらの各々の情報を受信すると、図5に示されているように、次はそれらの値 pi と
を交換し、かつ P と V の各々の秘密 S1 と S2 を下式のように生成する。
を交換し、かつ P と V の各々の秘密 S1 と S2 を下式のように生成する。
S1=S2 であれば、これらの当事者は共通の秘密を生成済みである。これらの当事者は、他の当事者も秘密を知っているということを暗示的に結論付けるか、または他の当事者が同じ秘密を知っているということを明示的に検証することができる。この点に関しては、下記の「秘密の検証」で説明する。
更新可能性
更新可能性は、システム100のようなシステム向けの、いかなる認証スキームまたはいかなる共通鍵生成スキームの重要な側面である。TTP は、元の秘密への無権限のアクセスを得てしまった敵を撃退するために、デバイス101〜105内に組み込まれている秘密を周期的に交換させることを望む場合がある。
更新可能性は、システム100のようなシステム向けの、いかなる認証スキームまたはいかなる共通鍵生成スキームの重要な側面である。TTP は、元の秘密への無権限のアクセスを得てしまった敵を撃退するために、デバイス101〜105内に組み込まれている秘密を周期的に交換させることを望む場合がある。
図5に示されている実施例を用いて、前のセクションで説明した属性を利用することにより、システム100に更新可能性を導入することができる。最初に、TTPは、
(
) が空間
に広がるように、要素 p1, …, pm (
) のみを用いてデバイスを発行する。しかしながら、行列
は、
から導出された
を用いる。デバイス
内に格納されている多項式を
と表した場合、このデバイスには対
が含まれる。
(
) が空間
に広がるように、要素 p1, …, pm (
) のみを用いてデバイスを発行する。しかしながら、行列
は、
から導出された
を用いる。デバイス
内に格納されている多項式を
と表した場合、このデバイスには対
が含まれる。
ここで、敵が
個の要素 pi と、更に何らかのデバイス多項式
とを、例えば、デバイスを破り開けることによって、どうにか取り出すことができたと想定する。これで敵は、新たなベクトル
を生成し、かつ
を含むデバイスを発行することが可能となった。これらのデバイスは、値 p1, …, pm の内の1つを含む準拠する全てのデバイスと協働してしまうであろう。すなわち、敵のデバイスは、準拠デバイスから
を受信し、かつ、
と評価し、かつ第二当事者は、
と評価する。この式は、両方の評価が等しいことを示している。
個の要素 pi と、更に何らかのデバイス多項式
とを、例えば、デバイスを破り開けることによって、どうにか取り出すことができたと想定する。これで敵は、新たなベクトル
を生成し、かつ
を含むデバイスを発行することが可能となった。これらのデバイスは、値 p1, …, pm の内の1つを含む準拠する全てのデバイスと協働してしまうであろう。すなわち、敵のデバイスは、準拠デバイスから
を受信し、かつ、
と評価し、かつ第二当事者は、
と評価する。この式は、両方の評価が等しいことを示している。
これらのようなデバイスが敵により発行されているということに TTP が気づいた場合、TTPは、
のテンソル積が空間
に広がるように、
(
)
を用いてデバイスを発行し始めることができる。
であることに留意されたい。したがって、敵が
と選択してしまっている場合、これらの新たなデバイスは、敵のデバイスと協働してしまうであろう。
が
内でランダムに選択されていれば、
が
内にも存在してしまう確率は非常に僅かとなる。
のテンソル積が空間
に広がるように、
(
)
を用いてデバイスを発行し始めることができる。
であることに留意されたい。したがって、敵が
と選択してしまっている場合、これらの新たなデバイスは、敵のデバイスと協働してしまうであろう。
が
内でランダムに選択されていれば、
が
内にも存在してしまう確率は非常に僅かとなる。
このことによって、システムには、ある程度の更新可能性が与えられる。つまり、TTP により発行された新たな準拠デバイスが敵のデバイスと協働しない確率は、非常に高くなる。システムを更新させることができる最大回数は、
(nは多項式Pの次数)である。この回数は、更新毎に、
の値が1つ加算されると、発生する。
(nは多項式Pの次数)である。この回数は、更新毎に、
の値が1つ加算されると、発生する。
秘密の検証
当事者の各々が秘密を独立して生成した後、プロトコルの次のステップは、他の当事者が秘密を知っているということを検証することである。当事者の内の一者は、自分が秘密を知っていることを他の当事者に証明可能であれば、他の当事者に認証される。更に、他の当事者が同様に自らを第一当事者に認証させて、相互認証を達成してもよい。
当事者の各々が秘密を独立して生成した後、プロトコルの次のステップは、他の当事者が秘密を知っているということを検証することである。当事者の内の一者は、自分が秘密を知っていることを他の当事者に証明可能であれば、他の当事者に認証される。更に、他の当事者が同様に自らを第一当事者に認証させて、相互認証を達成してもよい。
検証者は、証明者が秘密を知っているということを検証したら、次に秘密 S1 を用いて、何らかの情報を証明者に安全に通信させることができる。例えば、暗号化されているコンテンツにアクセスするために必要な暗号化鍵を、S1 により暗号化することができる。この暗号化の結果は、証明者に伝送可能である。今度は証明者が、S2(これが S1 に等しいということは、検証が成功したことにより証明済みである)を用いてこの暗号化鍵を回復させ、次いで暗号化されているコンテンツを復号化させ、かつこのコンテンツにアクセスすることができる。
上記のように生成された秘密を一当事者が知っているということを検証する方法は、幾つかある。好ましい2つの実施例は、ゼロ知識プロトコルとコミットメントに基づいたプロトコルとに基づいている。
ゼロ知識に基づいた検証
最初に、ゼロ知識(ZK: zero-knowledge)プロトコルに基づいた検証について説明する。ZKプロトコルは、A. Menezes、P. van Oorschot、および S. van Stone による、「応用暗号学の手引き (Handbook of Applied Cryptography)」(CRC Press、405〜416頁、1996年)で論じられている。好ましい一実施例では、メモリ要件と通信の点で効率的であるという理由から、(GQ: Guillou-Quisquater) ゼロ知識プロトコルが用いられている。GQ プロトコルは、本出願と同一の代理人による、米国特許第 140,634 号(社内整理番号 PHQ 87030)から知られている。
最初に、ゼロ知識(ZK: zero-knowledge)プロトコルに基づいた検証について説明する。ZKプロトコルは、A. Menezes、P. van Oorschot、および S. van Stone による、「応用暗号学の手引き (Handbook of Applied Cryptography)」(CRC Press、405〜416頁、1996年)で論じられている。好ましい一実施例では、メモリ要件と通信の点で効率的であるという理由から、(GQ: Guillou-Quisquater) ゼロ知識プロトコルが用いられている。GQ プロトコルは、本出願と同一の代理人による、米国特許第 140,634 号(社内整理番号 PHQ 87030)から知られている。
図4と図5を参照して上述したように、当事者 P と V の両者は、それらの多項式を評価し、かつこうして値 S1 と S2 を各々得ている。次に、何れかの当事者は、自分が S1 を知っているということを、他方の当事者にZKで証明しなければならない。GQ プロトコルは公開鍵暗号法に基づいているので、2つの素数 p と q の積である合成数
、および
となるような数
が必要である。
、および
となるような数
が必要である。
Pは、
の
乗根を知っているということを V に証明する。図6には、GQ プロトコルが示されている。ここで、値
と
は公開されている。このプロトコルは、以下のステップにしたがって進行する。
1. V が、
を計算するステップ。
2. P が、乱数
を選択し、かつ re を V に送信するステップ。
3. V が、ランダムなチャレンジ
を選択し、かつ c を P に送信するステップ。
4. P が、
によって応答するステップ。
5. V が、ye を算出し、かつ、
である場合のみ、(この式が S1=S2 であることを示しているので)P は V と同じ秘密を知っていると結論付けるステップ。
の
乗根を知っているということを V に証明する。図6には、GQ プロトコルが示されている。ここで、値
と
は公開されている。このプロトコルは、以下のステップにしたがって進行する。
1. V が、
を計算するステップ。
2. P が、乱数
を選択し、かつ re を V に送信するステップ。
3. V が、ランダムなチャレンジ
を選択し、かつ c を P に送信するステップ。
4. P が、
によって応答するステップ。
5. V が、ye を算出し、かつ、
である場合のみ、(この式が S1=S2 であることを示しているので)P は V と同じ秘密を知っていると結論付けるステップ。
GQ プロトコルの ZK 属性のため、V も盗聴者も、P の秘密 S1 に関する何かを知ることはない。P が V により承認されると直ちに、P と V の役割は入れ替わり、かつ V は、
の
乗根を知っているということを、P に示すであろう。このようにして、P と V は相互認証される。
の
乗根を知っているということを、P に示すであろう。このようにして、P と V は相互認証される。
このプロトコルの設定は、上述文献の記述内容とは多少異なる。すなわち、通常は、
が公表され、かつ P がチャレンジ
を予期した場合、P は第一メッセージとして
を送信し、かつ S2 を知らなくても、依然として、V による承認を受けることができる。適切なチャレンジを選択する確率は、e-1 である。現在の設定では、
を公表する必要はない。このことによって、予期されたチャレンジから P が
を計算することは不可能となり、かつこのことによって、不当な承認が行われてしまう確率が
に低減される。したがって、
を 2 程度の低さに選択して、エラー確率は
のまま GQ を Fiat-Shamir プロトコルに有効に変換することが、1ラウンドで可能となる。このことは、デバイスがモジュラ指数化を、例えば RSA とは対照的に、小さな指数で行えばよいことを意味する。
が公表され、かつ P がチャレンジ
を予期した場合、P は第一メッセージとして
を送信し、かつ S2 を知らなくても、依然として、V による承認を受けることができる。適切なチャレンジを選択する確率は、e-1 である。現在の設定では、
を公表する必要はない。このことによって、予期されたチャレンジから P が
を計算することは不可能となり、かつこのことによって、不当な承認が行われてしまう確率が
に低減される。したがって、
を 2 程度の低さに選択して、エラー確率は
のまま GQ を Fiat-Shamir プロトコルに有効に変換することが、1ラウンドで可能となる。このことは、デバイスがモジュラ指数化を、例えば RSA とは対照的に、小さな指数で行えばよいことを意味する。
これをより効率的なものにさせるには、Montgomery の表現法を用いた実施態様を考えてもよい(P.L.Montgomeryの「試行除算を用いないモジュラ乗算 (Modular multiplication without trial division)」(Mathematics of Computation, 第44巻、第170番、519〜521頁、1985年4月)を参照されたい)。
コミットメントに基づいた検証
ZK プロトコルに代えて、コミットメントに基づいたプロトコルを用いて、一方の当事者は、他の当事者が秘密を知っているということを検証することができる。このアプローチの利点の1つは、非常に効率的に実施可能な対称鍵暗号法が利用可能であることである。
ZK プロトコルに代えて、コミットメントに基づいたプロトコルを用いて、一方の当事者は、他の当事者が秘密を知っているということを検証することができる。このアプローチの利点の1つは、非常に効率的に実施可能な対称鍵暗号法が利用可能であることである。
前の状況とは対照的に、当事者 P と V の両方が検証者と証明者の役割を同時に果たすので、このことによりプロトコルの通信が効率的になる。前記のように、 P は S1 を算出し、かつ V は S2 を算出する。このプロトコル(図7を参照されたい)は、以下のステップを行う。
1. V が、対称暗号のブロック長にマッチングした長さの乱数
を選択するステップ。
2. V が、S2 を鍵とした対称暗号を用いて
を暗号化し、かつこの暗号化されたもの ES2(r) を P に送信するステップ。
3. Pが、このメッセージを S1 を用いて復号化し、
を得るステップ。
4. P が、乱数
を選択し、かつ
へのコミットメントを V に送信するステップ。このコミットメントは、以下に説明する関数
として得られる。
5. Vが、
を P に送信し、かつ P が、
であるか否かを照合し、
でない場合は、V との更なる通信を停止させるステップ。
6. P が、
と
を V に送信するステップ。V は、このコミットメントを開き、かつ
であるか否かを照合し、かつこの照合が満たされない場合は、P との更なる通信を停止させる。
1. V が、対称暗号のブロック長にマッチングした長さの乱数
を選択するステップ。
2. V が、S2 を鍵とした対称暗号を用いて
を暗号化し、かつこの暗号化されたもの ES2(r) を P に送信するステップ。
3. Pが、このメッセージを S1 を用いて復号化し、
を得るステップ。
4. P が、乱数
を選択し、かつ
へのコミットメントを V に送信するステップ。このコミットメントは、以下に説明する関数
として得られる。
5. Vが、
を P に送信し、かつ P が、
であるか否かを照合し、
でない場合は、V との更なる通信を停止させるステップ。
6. P が、
と
を V に送信するステップ。V は、このコミットメントを開き、かつ
であるか否かを照合し、かつこの照合が満たされない場合は、P との更なる通信を停止させる。
関数は、コミットメントの結合属性と隠れ属性を実施する必要がある。結合とは、コミットメント内の値
を変える、P の能力のことである。
となるような値
を P が見つけることは、困難または不可能でなければならない。隠れ属性とは、
の受信後に
に関する情報を得る、Vの能力のことである。実際には、暗号ハッシュ関数つまり一方向関数が
関数として用いられることが多い。
を変える、P の能力のことである。
となるような値
を P が見つけることは、困難または不可能でなければならない。隠れ属性とは、
の受信後に
に関する情報を得る、Vの能力のことである。実際には、暗号ハッシュ関数つまり一方向関数が
関数として用いられることが多い。
この設定では、
を暗号化するために用いられる対称暗号は、
関数として用いることもできる。隠れ属性が満たされることは自明である。なぜならば、V は、ランダムに選択された R に関する知識がなければ、V の算出パワー量とは無関係に、
に関する情報を得ることはできないからである。したがって、コミットメントは、無条件に隠れている。対称暗号の場合には、EK(x) = z は K の一方向関数(xとzは既知)であることが知られており、つまり、
と
が与えられても、
となるような値
を、255 回未満の演算で見つけ出す方法は分からない、という事実から、結合属性は成り立っている。したがって、コミットメントは、算出を行うことにより結合される。
を暗号化するために用いられる対称暗号は、
関数として用いることもできる。隠れ属性が満たされることは自明である。なぜならば、V は、ランダムに選択された R に関する知識がなければ、V の算出パワー量とは無関係に、
に関する情報を得ることはできないからである。したがって、コミットメントは、無条件に隠れている。対称暗号の場合には、EK(x) = z は K の一方向関数(xとzは既知)であることが知られており、つまり、
と
が与えられても、
となるような値
を、255 回未満の演算で見つけ出す方法は分からない、という事実から、結合属性は成り立っている。したがって、コミットメントは、算出を行うことにより結合される。
次に、プロトコルの完全性と安定性について考える。完全性とは、両当事者が、プロトコルを正確に実行し、かつ
である場合のことである。したがって、両当事者は、対称暗号の精査と対称属性とにより、
のときは
であることを見出すであろう。
である場合のことである。したがって、両当事者は、対称暗号の精査と対称属性とにより、
のときは
であることを見出すであろう。
安定性とは、P が S1 を知らないか、または V が S2 を知らない場合に、相互に承認してしまう状況に関する。P は、承認を不当に受けるために、V へのコミットメントとしてどのような値 z でも送信することができる。P は、V から
を受信した後、
となるような値
を見つけなければならない。上述したように、
は、
を見つけ出すことを困難な問題にさせる、与えられた x と z に対する K の一方向関数である。
を受信した後、
となるような値
を見つけなければならない。上述したように、
は、
を見つけ出すことを困難な問題にさせる、与えられた x と z に対する K の一方向関数である。
同様に、V は、S2 を知らない場合、P に対してどのような値 z でも選択することができる。P は、ER(DS2(z)) によって応答するであろう。V は、承認されるためには、DS2(z) を得なければならない。このことは、コミットメントがランダムな値
によって無条件に隠れているので、非常に困難である。偶然に S1 が弱い DES 暗号化鍵である場合、V は、DS1(z) = z となるような z を選択すれば、承認されてしまうであろう。弱い鍵の場合、このような定点は 232 個あり、かつ P により不当に承認されてしまう確率は、232/264 = 2-32 である。
によって無条件に隠れているので、非常に困難である。偶然に S1 が弱い DES 暗号化鍵である場合、V は、DS1(z) = z となるような z を選択すれば、承認されてしまうであろう。弱い鍵の場合、このような定点は 232 個あり、かつ P により不当に承認されてしまう確率は、232/264 = 2-32 である。
本発明の幾つかの利点
本発明の方法により、本発明が実行されるデバイス内で必要なエネルギー(パワー)を相当節約すること、および RSA に基づいた認証と比較して処理時間を実質的に節約することが達成される。
本発明の方法により、本発明が実行されるデバイス内で必要なエネルギー(パワー)を相当節約すること、および RSA に基づいた認証と比較して処理時間を実質的に節約することが達成される。
一般に、パワー消費は、実施態様のアーキテクチャに依存する。例えば、このアーキテクチャを変化させて、クロック・スピードとパワー消費をトレードすることができる。第二の重要な要因は、用いられる技術である。つまり、最小特徴サイズが小さく、かつ供給電圧が低い最新技術は、一般に、古い技術よりも余りパワーを必要としないであろう。
以下の表は、各プロトコルの異なる部分に必要な作用力の推定値を、n(多項式の次数)、k(値のビット長)、l(GQ モジュラスのビット長)、および h(RSA モジュラスのビット長)で記したものである。この推定された作用力は、単精度乗算(つまり、2ビットの乗算を、2つの k ビットの数を乗算させることで行うこと)で表現されている。
以下の表は、n、k、l、およびhの幾つかの値の場合ごとにサブプロトコルが必要とするエネルギーの推定値(ジュール)、および0.5 mWのパワーを利用できるチップインディスク・アプリケーションに本発明が用いられた場合の処理時間量を示している。
上記の値は、単精度乗算毎に必要となるエネルギーの推定値に基づいていることに留意すべきである。実エネルギーは、選択されたアーキテクチャ、レイアウト、設計プロセスでの最適化目標(例えば、パワーまたはスピード)などに依存する。それでもやはり、上記の表内のデータは、異なるプロトコルに必要なエネルギー比に対する見識を与えてくれる。最後の列では、次数が2048の多項式と、64ビットの値の場合でさえ、新たなプロトコルの方がRSAよりも30〜100倍効率的であることが分かる。
最大 0.5 mW のパワーが利用可能な CID の特殊な場合、RSA プロトコルには約1秒必要だが、対称多項式に基づいたプロトコルには、多くても 52 ms だけ必要となることが導き出せる。
上述の実施例は、本発明を限定しているのではなく例示しているのであり、かつ当業者は、添付の請求の範囲の範囲内で、代替実施例を多数設計できることに留意すべきである。上記では、コンテンツ保護とデジタル権利管理との関連で認証方法が詳述されているが、本発明は、勿論、この関連事項には制限されない。
本発明は、特に、パワー消費量が低いことが重要な場合に、コンポーネントおよび/またはデバイスのいかなる対の間でのインタフェースで認証を行うためのユニバーサルな組み立てブロックとして考えることができる。したがって、本発明は、例えば、CD2内、セット・トップ・ボックス内、ワイヤレス・スマートカード内、有線ネットワークまたはワイヤレス・ネットワークなどにも適用可能である。本発明は、人間である検証者が人間である証明者を、各々に相互接続された2つのデバイスを用いて認証する必要がある場合にも有効である。
上記で、「乱数」または「任意に選択された数」という用語が用いられている場合、これには、真にランダムなイベントから導出されたシード値を用いてまたは用いずに、ハードウエアおよび/またはソフトウエア内で実施される擬似乱数生成器を使用して選択された数が含まれていることが明らかとなるであろう。本方法のセキュリティは、擬似乱数生成器の品質に依存するところが大きい。
請求項では、括弧間に配置されている何れの引用符号も、請求項を限定するものと解釈してはならない。「有する」という語は、請求項に列挙されているもの以外の要素またはステップの存在を除外するものではない。ある要素の前にある語「1つの」という語は、そのような要素が複数存在することを除外するものではない。本発明は、幾つかの個別要素を有するハードウエアと、最適にプログラムされたコンピュータとにより実施可能である。
幾つかの手段を列挙しているデバイス請求項では、これらの手段の幾つかを、全く同一ハードウエア品目により具現化させることができる。特定の手段が相互に異なる従属クレーム内に詳述されているという単なる事実は、これらの手段の組み合わせを有利に用いることができないことを示している訳ではない。
100…家庭ネットワーク
101…セット・トップ・ボックス
102…テレビ表示装置
103…携帯型表示デバイス
104…移動電話
105…オーディオ再生デバイス
110…ネットワーク
111…基地局
120…キャリア
301…ネットワーク・モジュール
302…暗号プロセッサ
303…格納媒体
304…擬似乱数生成器
311…ネットワーク・モジュール
312…暗号プロセッサ
313…格納装置
314…擬似乱数生成器
101…セット・トップ・ボックス
102…テレビ表示装置
103…携帯型表示デバイス
104…移動電話
105…オーディオ再生デバイス
110…ネットワーク
111…基地局
120…キャリア
301…ネットワーク・モジュール
302…暗号プロセッサ
303…格納媒体
304…擬似乱数生成器
311…ネットワーク・モジュール
312…暗号プロセッサ
313…格納装置
314…擬似乱数生成器
Claims (19)
- 第一当事者と第二当事者との間の共通の秘密を生成する方法であって、
前記第一当事者が、値 p1 と、第一引数が前記値 p1 により固定されている対称多項式 P(x, y) とを保持し、かつ、
前記第一当事者が、
前記第二当事者に前記値 p1 を送信するステップと、
前記第二当事者から値 p2 を受信するステップと、
多項式 P(p1, y) のp2 を求めることにより共通の秘密 S1 を計算するステップと、
を行う方法において、
前記第一当事者が、値 q1 と、第一引数が前記値 q1 により固定されている対称多項式 Q(x, z) とを更に保持し、かつ
前記第二当事者に q1 を送信するステップと、
前記第二当事者から値 q2 を受信するステップと、
前記秘密 S1 を
として計算するステップと、
を更に行うことを特徴とする方法。 - 前記第一当事者が、
乱数 r1 を得るステップと、
を計算するステップと、
前記第二当事者に
を送信するステップと、
前記第二当事者から
を受信するステップと、
前記秘密 S1 を
として計算するステップと、
を更に実行する、請求項1の方法。 - 前記第一当事者が、
任意に選択された値 r により乗算された前記値 q1、および、
個々の多項式 P(p1, y) と Q(q1, z) ではなく積 Q(q1, z)P(p1, y) を保持し、かつ
前記第一当事者が、
を計算するステップと、
前記第二当事者に
を送信するステップと、
前記第二当事者から
を受信するステップと、
前記秘密 S1 を
として計算するステップと、
を行う、請求項2の方法。 - 前記対称多項式 P(x, y) の前記第一引数が前記値 p2 により固定され、前記対称多項式 Q(x, z) の前記第一引数が前記値 q2 により固定されている状態で、前記第二当事者が、値 p2 と値 q2 を保持し、かつ、
前記第二当事者が、
前記第一当事者に q2 を送信するステップと、
前記第一当事者から q1 を受信するステップと、
秘密 S2 を
として計算するステップと、
を行い、
このことにより、前記秘密 S2 が前記秘密 S1 に等しい場合は前記共通の秘密が生成済みとなる、請求項1の方法。 - 信頼できる第三者が、
(n+1)×(n+1) の対称行列 T を選択するステップと、
行列 T からのエントリを前記多項式 P の各係数として用いて前記多項式 P を構築するステップと、
前記多項式 Q(x, y) を構築するステップと、
前記値 p1、前記値 p2、前記値 q1、および前記値 q2 を選択するステップと、
と
前記値 p1 と、前記値 q1 と、第一引数が前記値 p1 により固定されている前記多項式 P(x, y) と、第一引数が前記値 q1 により固定されている前記多項式 Q(x, z) とを、前記第一当事者に送信するステップと、
前記値 p2 と、前記値 q2 と、第一引数が前記値 p2 により固定されている前記多項式 P(x, y) と、第一引数が値 q2 により固定されている前記多項式 Q(x, z) とを、前記第二当事者に送信するステップと、
を行う、請求項1の方法。 - 前記信頼できる第三者が、更に、
値 r を任意に選択し、
前記第一当事者に、前記値 q1 ではなく値 r×q1 を送信し、かつ前記個々の多項式 P(p1, y) と Q(q1, z) ではなく前記積 Q(q1, z)P(p1, y) を送信し、かつ、
前記第二当事者に、前記値 q2 ではなく値
を送信し、かつ前記個々の多項式 P(p2, y) と Q(q2, z) ではなく前記積 Q(q2, z)P(p2, y) を送信する、
請求項5の方法。 - 前記信頼できる第三者が、更に、
前記値 p1 と前記 p2 を含む
個の値 pi を有するセットを選択するステップと、
値 pi の前記セットから組み立てられたバンデルモンド・ベクトル
のテンソル積
から空間
を計算するステップと、
前記空間
の垂直空間
から、ベクトル
とベクトル
を選択するステップと、
前記ベクトル
から行列
を構築し、かつ前記ベクトル
から行列
を構築するステップと、
前記行列
からのエントリを用いて多項式
を構築し、かつ第一引数が前記値 p1 により固定されている前記多項式
を前記第一当事者に送信するステップと、
前記行列
からのエントリを用いて多項式
を構築し、かつ第一引数が前記値 p2 により固定されている前記多項式
を前記第二当事者に送信するステップと、
を行う請求項5の方法。 - 値 pi の数
(
)
が、追加された当事者に配布される、請求項5の方法。 - 前記第一当事者と前記第二当事者が、前記生成された秘密 S1 と S2 の各々に非線形関数を用いた後に、この秘密を更なる通信内で秘密鍵として用いる、請求項1の方法。
- 一方向ハッシュ関数が、前記生成された秘密 S1 と S2 に適用される、請求項9の方法。
- 多項式の形態をした非線形関数が、前記生成された秘密 S1 と S2 に適用される、請求項9の方法。
- 前記第二当事者が前記秘密 S1 を知っていることを検証するステップを更に含む、請求項1の方法。
- 前記第一当事者が、ゼロ知識プロトコルを後で適用して、前記第二当事者が前記秘密 S1 を知っていることを検証する、請求項12の方法。
- 前記第一当事者が、コミットメントに基づいたプロトコルを後で適用して、前記第二当事者が前記秘密 S1 を知っていることを検証する、請求項12の方法。
- 前記第二当事者が、ランダムなチャレンジを暗号化する対称暗号を用い、かつ前記暗号化されたランダムなチャレンジを前記第一当事者に送信し、かつ、
前記第一当事者が、前記同一の対称暗号をコミット関数として後で用いて、前記暗号化されたランダムなチャレンジの復号化に自分自身をコミットさせる、
請求項14の方法。 - 上記請求項の何れかの方法を実行するように構成されている、第一当事者 (P) と、第二当事者 (V) と、信頼できる第三者 (TTP) とを有するシステム。
- 請求項16の前記システム内で、前記第一当事者として、および/または、前記第二当事者として動作するように構成されているデバイス (P)。
- 前記多項式 P と前記多項式 Q を、これらの各々の係数の形態で格納するための記憶手段を有する、請求項17のデバイス。
- 上記請求項1〜15の何れかの方法を、一つ以上のプロセッサに実行させるための、コンピュータ・プログラム製品。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP02075983 | 2002-03-13 | ||
| PCT/IB2003/000655 WO2003077470A1 (en) | 2002-03-13 | 2003-02-14 | Polynomial-based multi-user key generation and authentication method and system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005520395A true JP2005520395A (ja) | 2005-07-07 |
Family
ID=27798863
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003575553A Pending JP2005520395A (ja) | 2002-03-13 | 2003-02-14 | 多項式に基づいたマルチユーザ用の鍵生成および認証方法と認証システム |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US20050265550A1 (ja) |
| EP (1) | EP1486027B1 (ja) |
| JP (1) | JP2005520395A (ja) |
| KR (1) | KR20040093128A (ja) |
| CN (1) | CN1643840A (ja) |
| AT (1) | ATE314763T1 (ja) |
| AU (1) | AU2003252817A1 (ja) |
| DE (1) | DE60303018T2 (ja) |
| WO (1) | WO2003077470A1 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009519658A (ja) * | 2005-12-14 | 2009-05-14 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 低リソース試験器の認証方法及びシステム |
| JP2011518455A (ja) * | 2008-03-06 | 2011-06-23 | クゥアルコム・インコーポレイテッド | 数値比較アソシエーション・モデルにおけるイメージ・ベースの中間者保護 |
| JP2012521109A (ja) * | 2009-03-20 | 2012-09-10 | 四川▲長▼虹▲電▼器股▲分▼有限公司 | 身元認証及び共有鍵生成の方法 |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7840806B2 (en) * | 2002-10-16 | 2010-11-23 | Enterprise Information Management, Inc. | System and method of non-centralized zero knowledge authentication for a computer network |
| US8239917B2 (en) * | 2002-10-16 | 2012-08-07 | Enterprise Information Management, Inc. | Systems and methods for enterprise security with collaborative peer to peer architecture |
| WO2005043808A1 (en) * | 2003-11-03 | 2005-05-12 | Koninklijke Philips Electronics N.V. | Method and device for efficient multiparty multiplication |
| US7647498B2 (en) | 2004-04-30 | 2010-01-12 | Research In Motion Limited | Device authentication |
| EP1596529B1 (en) * | 2004-04-30 | 2007-12-05 | Research In Motion Limited | Cryptographic device authentication |
| EP1766849A1 (en) * | 2004-07-08 | 2007-03-28 | Koninklijke Philips Electronics N.V. | Method of providing digital certificate functionality |
| WO2006024042A2 (en) * | 2004-08-27 | 2006-03-02 | Ntt Docomo, Inc. | Provisional signature schemes |
| WO2006035374A1 (en) * | 2004-09-30 | 2006-04-06 | Koninklijke Philips Electronics N.V. | Polynomial-based key distribution system and method |
| US8645694B2 (en) * | 2004-09-30 | 2014-02-04 | Koninklijke Philips N.V. | Method of authentication based on polyomials |
| KR20070086052A (ko) | 2004-11-12 | 2007-08-27 | 코닌클리케 필립스 일렉트로닉스 엔.브이. | 헤드폰 세트를 통해 콘텐트들을 공유하는 장치 및 방법 |
| KR101078915B1 (ko) | 2005-12-01 | 2011-11-01 | 텔레폰악티에볼라겟엘엠에릭슨(펍) | 키 관리 |
| JP4630826B2 (ja) * | 2006-01-27 | 2011-02-09 | 株式会社東芝 | 復号鍵生成方法、コンテンツ提供側システム、ユーザ側システム、追跡システム、コンテンツ提供方法、暗号化コンテンツ復号方法、プログラム、暗号化装置及び復号装置 |
| US8761398B2 (en) | 2006-05-02 | 2014-06-24 | Koninkljijke Philips N.V. | Access to authorized domains |
| US9253183B2 (en) * | 2006-11-16 | 2016-02-02 | Mark Stephen Meadows | Systems and methods for authenticating an avatar |
| US20080120558A1 (en) | 2006-11-16 | 2008-05-22 | Paco Xander Nathan | Systems and methods for managing a persistent virtual avatar with migrational ability |
| CN100579007C (zh) * | 2007-08-07 | 2010-01-06 | 上海交通大学 | 生成密钥的方法、通信系统、通信设备和服务器 |
| JP5097166B2 (ja) | 2008-05-28 | 2012-12-12 | エーエスエムエル ネザーランズ ビー.ブイ. | リソグラフィ装置及び装置の動作方法 |
| US8245308B2 (en) * | 2008-06-04 | 2012-08-14 | Microsoft Corporation | Using trusted third parties to perform DRM operations |
| CN101299752B (zh) * | 2008-06-26 | 2010-12-22 | 上海交通大学 | 基于信任的新鲜性建立密码协议安全性的方法 |
| US8345861B2 (en) * | 2008-08-22 | 2013-01-01 | Red Hat, Inc. | Sharing a secret using polynomial division over GF(Q) |
| US20100046740A1 (en) * | 2008-08-22 | 2010-02-25 | Schneider James P | Embedding a secret in a larger polynomial |
| US7915637B2 (en) * | 2008-11-19 | 2011-03-29 | Nantero, Inc. | Switching materials comprising mixed nanoscopic particles and carbon nanotubes and method of making and using the same |
| US9106414B2 (en) * | 2009-09-09 | 2015-08-11 | Edward W. Laves | Method and apparatus for wirelessly transmitting high volume content to an electronic device |
| JP5594034B2 (ja) * | 2010-07-30 | 2014-09-24 | ソニー株式会社 | 認証装置、認証方法、及びプログラム |
| JP5790288B2 (ja) * | 2011-08-12 | 2015-10-07 | ソニー株式会社 | 情報処理装置、及び情報処理方法 |
| JP5790290B2 (ja) * | 2011-08-12 | 2015-10-07 | ソニー株式会社 | 情報処理装置、情報処理方法、プログラム、及びプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| CN104303450A (zh) * | 2012-05-21 | 2015-01-21 | 皇家飞利浦有限公司 | 密码密钥的确定 |
| CN106685980B (zh) * | 2017-01-13 | 2019-12-20 | 桂林电子科技大学 | 一种大文件的加密方法 |
| EP3725028A1 (en) * | 2017-12-13 | 2020-10-21 | Nchain Holdings Limited | System and method for securely sharing cryptographic material |
| US11003777B2 (en) * | 2018-04-16 | 2021-05-11 | International Business Machines Corporation | Determining a frequency at which to execute trap code in an execution path of a process executing a program to generate a trap address range to detect potential malicious code |
| FR3085815B1 (fr) | 2018-07-11 | 2022-07-15 | Ledger | Gouvernance de securite du traitement d'une requete numerique |
| WO2020027758A2 (en) * | 2018-08-03 | 2020-02-06 | Istanbul Teknik Universitesi | Systems and methods for generating shared keys, identity authentication and data transmission based on simultaneous transmission on wireless multiple- access channels |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4996711A (en) * | 1989-06-21 | 1991-02-26 | Chaum David L | Selected-exponent signature systems |
| US5202921A (en) * | 1991-04-01 | 1993-04-13 | International Business Machines Corporation | Method and apparatus for authenticating users of a communication system to each other |
| CA2169449A1 (en) * | 1993-08-13 | 1995-02-23 | Frank Thomson Leighton | Secret key exchange |
| US5539826A (en) * | 1993-12-29 | 1996-07-23 | International Business Machines Corporation | Method for message authentication from non-malleable crypto systems |
| US5953420A (en) * | 1996-10-25 | 1999-09-14 | International Business Machines Corporation | Method and apparatus for establishing an authenticated shared secret value between a pair of users |
| US6076163A (en) * | 1997-10-20 | 2000-06-13 | Rsa Security Inc. | Secure user identification based on constrained polynomials |
| US6298153B1 (en) * | 1998-01-16 | 2001-10-02 | Canon Kabushiki Kaisha | Digital signature method and information communication system and apparatus using such method |
-
2003
- 2003-02-14 KR KR10-2004-7014259A patent/KR20040093128A/ko not_active Application Discontinuation
- 2003-02-14 US US10/507,190 patent/US20050265550A1/en not_active Abandoned
- 2003-02-14 DE DE60303018T patent/DE60303018T2/de not_active Expired - Lifetime
- 2003-02-14 WO PCT/IB2003/000655 patent/WO2003077470A1/en active IP Right Grant
- 2003-02-14 CN CNA038059126A patent/CN1643840A/zh active Pending
- 2003-02-14 AU AU2003252817A patent/AU2003252817A1/en not_active Abandoned
- 2003-02-14 AT AT03743944T patent/ATE314763T1/de not_active IP Right Cessation
- 2003-02-14 EP EP03743944A patent/EP1486027B1/en not_active Expired - Lifetime
- 2003-02-14 JP JP2003575553A patent/JP2005520395A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009519658A (ja) * | 2005-12-14 | 2009-05-14 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 低リソース試験器の認証方法及びシステム |
| JP2011518455A (ja) * | 2008-03-06 | 2011-06-23 | クゥアルコム・インコーポレイテッド | 数値比較アソシエーション・モデルにおけるイメージ・ベースの中間者保護 |
| US9398046B2 (en) | 2008-03-06 | 2016-07-19 | Qualcomm Incorporated | Image-based man-in-the-middle protection in numeric comparison association models |
| JP2012521109A (ja) * | 2009-03-20 | 2012-09-10 | 四川▲長▼虹▲電▼器股▲分▼有限公司 | 身元認証及び共有鍵生成の方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE60303018D1 (de) | 2006-02-02 |
| AU2003252817A1 (en) | 2003-09-22 |
| DE60303018T2 (de) | 2006-08-24 |
| CN1643840A (zh) | 2005-07-20 |
| EP1486027B1 (en) | 2005-12-28 |
| ATE314763T1 (de) | 2006-01-15 |
| WO2003077470A1 (en) | 2003-09-18 |
| US20050265550A1 (en) | 2005-12-01 |
| KR20040093128A (ko) | 2004-11-04 |
| EP1486027A1 (en) | 2004-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1486027B1 (en) | Polynomial-based multi-user key generation and authentication method and system | |
| US8688973B2 (en) | Securing communications sent by a first user to a second user | |
| JP4723251B2 (ja) | 機器固有の機密保護データの安全な組み込みと利用 | |
| CN104094267B (zh) | 安全共享来自源装置的媒体内容的方法、装置和系统 | |
| JP3864401B2 (ja) | 認証システム、電子機器、認証方法、および記録媒体 | |
| JP4790731B2 (ja) | 派生シード | |
| EP1636664B1 (en) | Proof of execution using random function | |
| EP1271875A1 (en) | Device arranged for exchanging data, and method of manufacturing | |
| US20080059809A1 (en) | Sharing a Secret by Using Random Function | |
| CN111092717A (zh) | 智能家居环境下基于组认证安全可靠的通信方法 | |
| JP2006174356A (ja) | 擬似公開鍵暗号方法及びシステム | |
| Chen et al. | Security of the TCG privacy-CA solution | |
| Khan et al. | Pragmatic authenticated key agreement for IEEE Std 802.15. 6 | |
| JP2009141674A (ja) | Idベース暗号システム、方法 | |
| Tseng et al. | A robust user authentication scheme with self‐certificates for wireless sensor networks | |
| CN107872312B (zh) | 对称密钥动态生成方法、装置、设备及系统 | |
| Juang | Efficient user authentication and key agreement in wireless sensor networks | |
| KR20110053578A (ko) | 유비쿼터스 컴퓨팅 네트워크 환경에서 커뮤니티 컴퓨팅을 위한 디바이스 멤버 인증방법 | |
| Akand et al. | Composable Anonymous Proof-of-Location With User-Controlled Offline Access | |
| Paar et al. | Key Management | |
| Chiou | Authenticated blind issuing of symmetric keys for mobile access control system without trusted parties | |
| JP2004064783A (ja) | 分散ネットワークを安全にするための装置および方法 | |
| CN115766268A (zh) | 处理方法、装置、设备及存储介质 | |
| Reddy et al. | Securely propagating authentication in an ensemble of personal devices using single sign-on | |
| Kim et al. | Research Article Secure and Efficient Anonymous Authentication Scheme in Global Mobility Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060116 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20060801 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090609 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091126 |