JP2010039489A - 楕円曲線暗号に基づいた署名暗号化スキーム - Google Patents

楕円曲線暗号に基づいた署名暗号化スキーム Download PDF

Info

Publication number
JP2010039489A
JP2010039489A JP2009179135A JP2009179135A JP2010039489A JP 2010039489 A JP2010039489 A JP 2010039489A JP 2009179135 A JP2009179135 A JP 2009179135A JP 2009179135 A JP2009179135 A JP 2009179135A JP 2010039489 A JP2010039489 A JP 2010039489A
Authority
JP
Japan
Prior art keywords
signature
encrypted
data
elliptic curve
random point
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009179135A
Other languages
English (en)
Inventor
Sheng-Bo Xu
シェン−ボ・シュ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Irdeto Access BV
Original Assignee
Irdeto Access BV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Irdeto Access BV filed Critical Irdeto Access BV
Publication of JP2010039489A publication Critical patent/JP2010039489A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/234Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs
    • H04N21/2347Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs involving video stream encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/26Testing cryptographic entity, e.g. testing integrity of encryption key or encryption algorithm

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Multimedia (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】本発明は、楕円曲線暗号に基づいてデータを署名暗号化する方法およびシステムを提供する。
【解決手段】ヘッドエンドシステムにおいて、データは、ランダム点Rを使用して暗号化されるとともに、前記ランダム点Rを使用してデジタル署名される。前記データの署名暗号化の後、前記ランダム点Rのx座標Rxのみと、前記署名の署名コンポーネントssignatureのみとが、前記データに付加される。スマートカードにおいて、前記署名暗号化されたデータは、前記ランダム点Rを使用して検証されるとともに、前記ランダム点Rを使用して復号される。
【選択図】図5

Description

本発明は、楕円曲線暗号、限定受信システム、ヘッドエンドシステム、およびスマートカードに基づいて、データを暗号化およびデジタル署名する方法に関する。
現在、限定受信システムは、よく知られており、現在利用可能な有料テレビシステムとともに幅広く使用されている。そのようなシステムは、各受信パッケージに対してセットトップボックスおよびスマートカードを所有する受信契約者によって受信される、制御語(サービス暗号鍵とも呼ばれる)によって暗号化されたサービスの送信に基づいている。一般に、これらのサービスは、ヘッドエンドシステムによって放送ストリームで送信される。その実装は、セットトップボックスの機能が、テレビ受信機のような装置、パーソナルビデオレコーダ、携帯電話、スマートフォン、またはコンピュータ機器に一体化されることが、知られている。スマートカードの実装は、スマートカードが、動作前に手動でセットトップボックスに挿入される個別のカード、またはセットトップボックスに一体化された表面実装装置であることが、知られている。スマートカードに実装されるソフトウェアは、セットトップボックス内のソフトウェアモジュールとして実行することが、知られている。特定のサービスプロバイダからの受信パッケージに対するスマートカードは、パッケージ内の暗号化されたサービスが、復号および視聴されることを可能にする。放送ストリームは、権限管理メッセージ(EMM)(鍵管理メッセージ(KMM)とも呼ばれる)と、権限制御メッセージ(ECM)とをさらに有し、これらは、スマートカードがサービスを復号するために必要とされる。制御語は、サービスデータを保護する1次セキュリティ機構であり、比較的周期的に変化する。ECMは、制御語を暗号化された形式で搬送するために使用されるため、比較的周期的に送信される。EMMは、制御語を取り出すためにECMを復号するため、視聴/使用の権限の付加または除去に関する他のデータを復号するため、および/または他のユーザ特定データを復号するために使用される、秘密鍵を搬送するために使用される。そのため、様々な種類のEMMが存在し、様々な頻度の周波数で送信されるが、ECMが送信される周波数よりも常にいくらか遅い、または非常に遅い。
楕円曲線暗号は、EMMおよびECMのようなメッセージを暗号化およびデジタル署名するための既知の技術である。楕円曲線暗号技術を実装する楕円曲線暗号システムは、所定の楕円曲線領域変数によって決定される有限フィールドにわたる楕円曲線に関して演算動作を行う。楕円曲線領域変数は、暗号化および署名のため、ヘッドエンドシステムに格納されるとともに、復号および署名検証のため、スマートカードに格納される。
楕円曲線領域パラメータは、一般に、次の楕円曲線領域変数のうち1つを使用する。すなわち、有限フィールド
Figure 2010039489
 (以下、Fpと記載する)にわたる楕円曲線領域変数と、
Figure 2010039489
 (以下、F2^mと記載する)にわたる楕円曲線領域変数とである。
Fpにわたる楕円曲線領域変数は、p,a,b,G,n,hである。変数pは、有限フィールドFpを特定する素数である。変数a∈Fpおよびb∈Fpは、方程式y2=x3+a*x+bによって定義される楕円曲線E(Fp)を特定する。変数Gは、楕円曲線上の点の循環部分群の基点(Gx, Gy)である。変数nは、Gのオーダー、すなわち、n・G=O(Oは、無限遠における点である)となるような、負でない最小素数nである。変数hは、補因子|E(Fp)|/nである。
F2^mにわたる楕円曲線領域変数は、m,f(x),a,b,G,n,hである。変数mは、有限フィールドF2^mを特定する整数である。変数f(x)は、F2^mの表現を特定する度数mの既約2元多項式(irreducible binary polynomial)である。変数a∈F2^mおよびb∈F2^mは、F2^mにおける方程式y2+x*y=x3+a*x2+bによって定義される楕円曲線E(F2^m)を特定する。変数Gは、楕円曲線上の点の循環部分群の基点(Gx, Gy)である。変数nは、Gのオーダー、すなわち、n・G=O(Oは、無限遠における点である)となるような、負でない最小素数nである。変数hは、補因子|E(F2^m)|/nである。
暗号化は、復号鍵の処理を除いて誰かに読まれないようにするアルゴリズム(暗号化とも呼ばれる)を使用して、情報(平文とも呼ばれる)を変換する過程である。楕円曲線暗号に基づいた既知の公開鍵暗号化スキームは、楕円曲線統合暗号化スキーム(Elliptic Curve Integrated Encryption Scheme (ECIES))である。ECIESは、たとえば、M. Abdalla, M. Bellare, P. Rogaway, “DHAES: An encryption scheme based on the Diffie-Hellman problem”, http://www-cse.ucsd.edu/users/mihir/papers/dhies.html, 18 September 2001.に記載されているとともに、たとえばANSI X9.63およびIEEE P1363Aで標準化されており、それらは引用によってその全体が本明細書に組み込まれる。ECIESは、暗号化/復号過程において、受信機の私有鍵(変数dreceiverと称する)と、公開鍵(変数Qreceiverと称する)と使用する。ここで、変数dreceiverは、一般に、[1, n-1]の区間内でランダムに選択された整数である。変数Qreceiverは、一般に、dreceiver・Gに等しい。
ECIESを使用して平文メッセージを暗号化するために、ヘッドエンドシステムは、以下のステップを実行する。第1に、乱数rが生成されるとともに、ランダム点R=r・Gが、R=(Rx, Ry)で得られるように計算される。第2に、共有秘密S=Pxが導かれる。ただし、P=(Px, Py)=r・Qreceiverである(さらに、Pは、無限遠における点ではない)。第3に、kE=KDF(S)を計算することによって対称暗号鍵を導くために、ISO/IEC 18033-2で定義されるKDF1またはKDF2のような鍵導出関数(KDF)が使用される。第4に、メッセージは、E(kE;message)を計算することにより、暗号鍵kEを使用して暗号化される。第5に、暗号化の結果は、R||encrypted_message、すなわち、暗号化されたメッセージと連結されたランダム点R、としての出力である。
ECIESを使用してメッセージを復号するために、スマートカードは、以下のステップを実行する。第1に、共有秘密S=Pxが導かれる。ただし、P=(Px, Py)=dreceiver・Rである。第2に、kE=KDF(S)を計算することによって対称暗号鍵を導くために、KDFが使用される。第3に、メッセージは、E-1(kE;encrypted_message)を計算することにより、暗号鍵kEを使用して復号される。
デジタル署名は、紙に手で書かれた署名のセキュリティ特性を模擬するために使用される、非対称暗号の一種である。デジタル署名は、メッセージの認証を提供する。楕円曲線暗号に基づいた既知の公開鍵署名アルゴリズムは、楕円曲線署名アルゴリズム(Elliptic Curve Digital Signature Algorithm (ECDSA))である。ECDSAは、たとえば、引用によりその全体が本明細書に組み込まれる、ANSI X9.62、FIPS 186-2、IEEE P1363、およびISO 15942-2で標準化されている。ECDSAは、署名/検証過程において、送信機の私有鍵(変数dsenderと称する)と、公開鍵(変数Qsenderと称する)とを使用する。ここで、変数dsenderは、一般に、[1, n-1]の区間内でランダムに選択された整数である。変数Qsenderは、一般に、dsender・Gと等しい。
ECDSAを使用してメッセージをデジタル署名するために、ヘッドエンドシステムは、以下のステップを実行する。第1に、メッセージのハッシュeが、e=H(message)として計算される。ただし、Hは、FIPS PUB 180-1で定義されるSHA-1のような暗号ハッシュ関数である。第2に、ランダム整数kが、[1, n-1]から選択される。第3に、署名コンポーネントrsignature=x1(mod n)が計算される。ただし、(x1, y1)=k・Gである。rsignatureが0に等しい場合、第2ステップが繰り返される。第4に、署名コンポーネントssignature=k-1*(e+rsignature*dsender)(mod n)が計算される。ssignatureが0に等しい場合、第2ステップが繰り返される。第5に、得られる署名は、rsignature||ssignature、すなわち、署名コンポーネントssignatureと連結された署名コンポーネントrsignature、としての出力である。
ECDSAを使用してメッセージをデジタル署名するために、スマートカードは、以下のステップを実行する。第1に、署名コンポーネントssignatureと、署名コンポーネントrsignatureとが、[1, n-1]の整数であるか検証される。そうでない場合、署名は無効である。第2に、メッセージのハッシュeが、e=H(message)として計算される。ただし、Hは、署名の生成で使用したものと同一の関数である。第3に、w=ssignature -1(mod n)が計算される。第4に、u1=e*w(mod n)と、u2=rsignature*w(mod n)とが計算される。第5に、(x1, y1)=u1・G+u2・Qsenderが計算される。第6に、x1=rsignature(mod n)である場合、署名は有効であり、またはそうでない場合、無効であると断定される。
データの暗号化およびデジタル署名の両方の過程は、署名暗号化として同様に知られている。
図1Aには、ECIES暗号を適用する前後のEMMまたはECMの先行技術例が示されている。この例において、暗号化されていないECM/EMM 10は、6バイトのヘッダ11と、50バイトのペイロード12を有している。ペイロード12は、ECIESと192バイトの公開鍵とを使用して暗号化される。同様に、ECC-192を使用して暗号化することも知られている。それにより暗号化されたEMM/ECM 20は、ヘッダ11と、48バイトのランダム点R=(Rx, Ry) 21と、50バイトの暗号化されたペイロード22とを有している。したがって、この例において暗号化されたEMM/ECMパケット20は、ランダム点R 21の48バイトのオーバーヘッドにより、暗号化後では48バイト長くなっている。異なるサイズのランダム点R=(Rx, Ry)を得るために、異なるサイズの公開鍵を使用することが可能である。
図1Bには、ECDSAデジタル署名を適用する前後の暗号化されたEMMまたはECMの先行技術例が示されている。この例において、暗号化されたECM/EMM 20は、6バイトのヘッダ11と、48バイトのランダム点R=(Rx, Ry) 21と、50バイトの暗号化されたペイロード22とを有している。暗号化されたEMM/ECMは、ECDSAと192バイトの公開鍵とを使用してデジタル署名される。同様に、ECC-192を使用してデジタル署名することも知られている。それにより署名および暗号化されたEMM/ECM 30は、暗号化されたECM 20と、24バイトの署名コンポーネントrsignature 31と、24バイトの署名コンポーネントssignature 32とを含んでいる。したがって、この例においてデジタル署名および暗号化されたEMM/ECMパケット30は、署名コンポーネントrsignature 31の24バイトのオーバーヘッドと、署名コンポーネントssignature 32の24バイトのオーバーヘッドとにより、デジタル署名後で、48バイト長くなっている。異なるサイズの署名コンポーネントを得るために、異なるサイズの公開鍵を使用することが可能である。
ECIESおよびECDSAは、メッセージのサイズを増大させる。ECC-192の例において、全体で96バイトが、CIESおよびECDSAの適用後、メッセージに付加される。一般に184バイトのデータパケットサイズを有するEMMおよびECMに対して、このオーバーヘッドは、重大である。
特許文献1には、点kPを得るために、値kで楕円曲線E上の点Pを乗算する方法が開示されている。前記方法は、2進数フィールドF2^mのみにおける楕円曲線に関して開示されている。前記方法は、レジスタに格納される2進数のベクトルとして数kを表現するステップと、連続する点の組(P1, P2)を形成するステップとを具備し、点の組は、Pだけ異なり、逐次連続する点の組は、(mP, (m+1)P)から(2mP, (2m+1)P)を計算する、または(mP, (m+1)P)から((2m+1)P, (2m+2)P)を計算することのいずれかによって、選択される。前記計算は、計算の間、前記点のy座標を使用せずに行ってもよく、計算の終了時にy座標を取り出すことが可能であるため、計算の間、反転動作の使用を回避することによって、暗号処理機能が高速化される。非特許文献1は、同様に、2つのパーティ間の署名検証を促進する方法を開示している。非特許文献1において、署名暗号化されたメッセージは、不都合にも、メッセージの暗号化およびデジタル署名によって、メッセージに付加されるオーバーヘッドによりサイズの増加を有している。
欧州特許出願公開第0874307A1号明細書
本発明の目的は、楕円曲線暗号に基づいてデータを暗号化およびデジタル署名するための改良された方法を提供することである。
本発明の態様によれば、処理結果を得るために、楕円曲線暗号に基づいてデータを処理する方法が、提案される。前記方法は、暗号化されたデータを得るために、ランダム点Rを使用して、データを暗号化するステップを具備している。前記方法は、処理結果を得るために、ランダム点Rを使用して、暗号化されたデータをデジタル署名するステップをさらに具備している。
したがって、楕円曲線暗号に基づいてデータを暗号化するステップと、デジタル署名するステップとを具備する本発明の方法は、暗号化ステップで計算されるランダムデータを再利用するデジタル署名の生成を有利に可能し、署名暗号化後のデータオーバーヘッドを減少することを可能にする。
請求項2の実施形態は、ランダム点Rのy座標Ryを有さず、かつ署名コンポーネントrsignatureを有さずに、処理結果を有利に可能にする。
請求項3の実施形態は、権限管理メッセージまたは権限制御メッセージの署名暗号化を有利に可能にする。
本発明の態様によれば、処理結果を得るために、楕円曲線暗号に基づいてデータを処理する方法が、提案される。前記方法は、ランダム点Rを使用して、データを検証するステップを具備している。前記方法は、前記処理結果を得るために、ランダム点Rを使用して、前記データを復号するステップをさらに具備している。
したがって、データ(楕円曲線暗号に基づいて署名暗号化されたデータ)を検証するステップと、復号するステップとを具備する本発明の方法は、前記データのデジタル署名検証および復号を有利に可能し、同一のランダム点Rが、両方のステップで使用され、署名暗号化されたデータにおけるデータオーバーヘッドの減少を可能にする。
請求項6の実施形態は、ランダム点Rのy座標Ryを有さず、かつ署名コンポーネントrsignatureを有さずに、データの署名検証および復号を有利に可能にする。
請求項7の実施形態は、署名暗号化された権限管理メッセージ、または署名暗号化された権限制御メッセージの署名検証および復号を有利に可能にする。
請求項4および8の実施形態は、限定受信システムで使用される、本発明の方法を有利に可能にする。
本発明の態様によれば、ヘッドエンドシステムと、1つまたは複数のスマートカードとを具備する限定受信システムが、提案される。前記限定受信システムは、上述のステップのうち1つまたは複数を実行するように配置されている。したがって、本発明の限定受信システムは、署名暗号化後のデータオーバーヘッドを減少することによって、データの署名暗号化を有利に可能にする。
本発明の態様によれば、ヘッドエンドシステムが提案される。前記ヘッドエンドシステムは、上述のステップのうち1つまたは複数を実行するように配置されている。したがって、本発明のヘッドエンドシステムは、署名暗号化の後のデータオーバーヘッドを減少することによって、署名暗号化を有利に可能にする。
本発明の態様によれば、スマートカードが提案される。前記スマートカードは、上述のステップのうち1つまたは複数を実行するように配置されている。したがって、本発明のスマートカードは、減少されたデータオーバーヘッドを有する、署名暗号化されたデータの署名検証および復号を有利に可能にする。
以下で、本発明の実施形態をより詳細に記載する。しかし、これらの実施形態が、本発明に対する保護の範囲を限定するものとして解釈されないことは、自明である。
添付の図面に示される例示的な実施形態を参照しながら、本発明の態様をより詳細に説明する。
ECIESを適用する前後のECMまたはEMMの先行技術例を示す図である。 ECDSAを適用する前後のECMまたはEMMの先行技術例を示す図である。 本発明の例示的な実施形態の限定受信システムを示す概略図である。 本発明の例示的な実施形態の、データを暗号化するステップとデジタル署名するステップとを具備する方法のステップを示す図である。 本発明の例示的な実施形態の、データを検証するステップと復号するステップとを具備する方法のステップを示す図である。 本発明の例示的な実施形態のECIESおよびECDSAを適用する前後のECMまたはEMMを示す図である。
図1Aおよび1Bは、背景技術の節においてすでに説明した、ECIES(図1A)およびECDSA(図1B)の適用前後のECMまたはEMMの先行技術例を示している。
本発明は、一般に、限定受信システムで適用され、EMMおよびECMは、署名暗号化された形式で送信される。本発明は、限定受信システムにおける適用に限定されず、データが署名暗号化される任意のシステムにおいて使用してもよい。
図2には、一般的な限定受信システム100が示されている。図2は、署名暗号化に含まれる主な要素のみを示し、図示されていない他の要素は、限定受信システム100の部分である。限定受信システム100において、ヘッドエンドシステム110は、署名暗号化されたEMMと署名暗号化されたECMとを、放送ネットワーク130を通してスマートカード120に送信する。スマートカード120は、たとえば、署名暗号化されたEMM/ECMを受信するとともに、署名暗号化されたEMM/ECMをスマートカード120に転送する、セットトップボックス(図示せず)内に位置している。図2は、1つのスマートカード120を示しているのみであるが、一般に、限定受信システムでは複数のスマートカードが存在する。複数のスマートカードの場合、ヘッドエンドシステム110は、各スマートカードにEMM/ECMを送信することができる。
前記ヘッドエンドシステム100は、プロセッサ111、メモリ112、暗号化モジュール113、およびデジタル署名モジュール114を具備している。プロセッサ111を使用して、暗号化モジュール111は、メモリ112から平文EMMを読み出す。図5を参照すると、平文EMM 40は、ヘッダ部41およびペイロード部42を有している。代替的に、暗号化モジュール113は、メモリ112からの平文ECMを読み出すこともできる。プロセッサ111を使用して、平文EMM 40のペイロード部42は、以下で記載する、改良されたECIESスキームを使用して暗号化される。それにより暗号化されたEMM 50は、ヘッダ部41と、暗号化されたペイロード部52と、ランダム点Rのx座標Rx 51とを有している。次に、暗号化されたEMM 50は、デジタル署名モジュール114に通される。暗号化されたEMM 50を一時的に格納するために、メモリ112を使用してもよい。次に、プロセッサ111を使用して、暗号化されたEMM 50は、デジタル署名モジュール114において、以下に記載する、改良されたECDSAアルゴリズムを使用して、デジタル署名される。それにより署名暗号化されたEMM 60は、ヘッダ部41と、暗号化されたペイロード部52と、ランダム点Rのx座標Rx 51のみと、署名の署名コンポーネントssignature 61のみとを有している。署名暗号化されたEMM 60は、放送ネットワーク130を通してスマートカード120に送信される。
前記スマートカード120は、プロセッサ121と、メモリ122と、署名検証モジュール123と、復号モジュール124とを具備している。セットトップボックス(図示せず)を通して、スマートカード120は、署名暗号化されたEMM 60を受信するとともに、メモリ122に格納する。プロセッサ121を使用して、署名暗号化されたEMM 60は、メモリ122から読み出されるとともに、署名検証モジュール123において、以下に記載する、改良されたECDSAを使用して検証される。署名暗号化されたEMM 60が本物として検証された場合、署名暗号化されたEMM 60の暗号化されたペイロード部52は、復号モジュール124において、以下に記載する、改良されたECIESスキームを使用して復号される。その結果として、平文EMMのペイロード部42が得られる。
図3を参照すると、本発明によるデータの暗号化1000およびデジタル署名2000は、改良されたECIESスキームと、改良されたECDSAスキームとを使用する。EMMを署名暗号化するために、前記ヘッドシステム110は、以下の情報を入力として使用する。
・平文EMM 40(たとえば、図5に示される)、ヘッダ部41およびペイロード部42を有している。
・楕円曲線領域変数p, a, b, G, n, h、ただし、hは、好ましくは5未満の小さい値であり、以下の例において、その値は1である。
・受信するスマートカード120の公開鍵Qreceiver、領域変数によって定義される楕円曲線のxおよびy座標の両方を有するランダム点である。
・送信するヘッドエンドシステム110の私有鍵dsender、整数である。
前記EMMの署名暗号化の暗号化部1000において、乱数rが、ステップ1001で生成されるとともに、ランダム点R=r・G=(Rx, Ry)が、ステップ1002で計算される。次に、共有秘密S=Pxは、ステップ1003で導かれる。ただし、P=(Px, Py)=r・Qreceiverである。ステップ1004で、Pは、無限遠における点であるかチェックされる。もしそうである場合、ステップ1001が、繰り返される。そうでない場合、対称暗号鍵kE=KDF(S)が、ステップ1005で導かれる。ステップ1006で、EMM 40のペイロード部42が、暗号鍵kEを使用して暗号化される。それにより暗号化されたEMM 50は、ヘッダ部41と、ランダム点Rのx座標Rx 51と、暗号化されたペイロード52とを有している。
前記EMMの署名暗号化のデジタル署名部2000において、ハッシュ関数、たとえばSHA-1が、暗号化されたEMM 50のハッシュ値eを計算する(2001)ために使用される。すなわち、e=H(暗号化されたEMM 50)が計算される。ステップ2002で、署名コンポーネントSsignatureが、EMMの署名暗号化の暗号化部1000で使用されたものと同一の乱数rおよびx座標Rxを使用して計算される。すなわち、Ssignatureは、Ssignature=r-1*(e+Rx*dsender)として計算される(2002)。ステップ2003で、sは、0に等しいかチェックされる。もしそうである場合、ステップ1が、繰り返される。それにより署名暗号化されたEMM 60は、ヘッダ部41と、ランダム点Rのx座標Rx 51と、暗号化されたペイロード52と、署名コンポーネントSsignature 61とを有している。
図4を参照すると、本発明によるデータの検証3000および復号4000は、改良されたECIESスキームと、改良されたECDSAスキームとを使用する。EMMを検証および復号するために、スマートカード120は、以下の情報を入力として使用する。
・署名暗号化されたEMM 60、(たとえば、図5に示される)、ヘッダ部41と、ランダム点Rのx座標Rx 51と、暗号化されたペイロード52と、署名コンポーネントSsignature 61とを有している。
・EMMの署名暗号化で使用されたものと同一の楕円曲線領域変数p, a, b, G, n, h。
・送信するヘッドエンドシステムの公開鍵Qsender、領域変数によって定義される楕円曲線のxおよびy座標の両方を有するランダム点である。
・受信するスマートカード120の私有鍵dreceiver、整数である。
前記検証部3000において、ステップ3001で、ランダム点Rの受信されたx座標Rx 51と、署名コンポーネントSsignature 61とが、[1, n-1]の範囲内の整数であるか検証される。もしそうでない場合、署名暗号化されたEMM 60は、本物ではない、すなわち、ヘッドエンドシステム110によって生成され署名暗号化されたEMMとは異なる。本物でないEMMは、破棄されるとともに、それ以上処理されない。そうでない場合、ステップ3002で、ハッシュ値e=H(暗号化されたEMM 50)が、暗号化されたEMM 50、すなわち、署名コンポーネントssignature 61を有さない署名暗号化されたEMM 60に対して計算される。ここで、Hは、署名の生成で使用されたものと同一の関数、たとえば、同一のSHA-1関数である。ステップ3003で、w=ssignature -1(mod n)が、計算される。ステップ3004で、u1=e*w(mod n)と、u2=Rx*w(mod n)とが、計算される。ステップ3005で、(x1, y1)=u1・G+u2・Qsenderが、計算される。ステップ3006で、X1=Rx(mod n)であるかどうか検証される。もしそうでない場合、署名暗号化されたEMM 60は、本物ではない、すなわち、ヘッドエンドシステム110によって生成され署名暗号されたEMMとは異なる。本物ではないEMMは、破棄されるとともに、それ以上処理されない。そうでない場合、署名暗号化されたEMM 60は、本物であるとともに、復号される。
前記復号部4000において、ステップ4001で、ランダム点Rのy座標Ryが、Rxから計算されるとともに、点R’=(Rx, R’y)が、構成される。R’yは、Ryまたは-R’yのいずれかに等しい。ステップ4002で、P’=(Px, P’y)=dreceiver・R’が、計算される。ステップ4003で、Pは、無限遠における点であるか検証される。もしそうである場合、署名暗号化されたEMMは、破棄されるとともに、それ以上処理されない。そうでない場合、対称暗号鍵KEが、KE=KDF(Px)を計算することによって、導かれる(4004)。導かれたKEを用いて、署名暗号化されたEMM 60の暗号化されたペイロード部52が、ステップ4005で復号されるとともに、平文ペイロード42が得られる。
本発明は、上記の特定の例に限定されない。図3および4に示された、暗号化部1000、デジタル署名部2000、検証部3000、および復号部4000は、たとえば、同一の入力によって同一の結果に達するような、異なる計算ステップを使用してもよい。
40 平文EMM
41 ヘッダ部
42 ペイロード部
50 暗号化されたEMM
51 ランダム点Rのx座標Rx
52 暗号化されたペイロード部
60 署名暗号化されたEMM
61 署名コンポーネントssignature

Claims (11)

  1. 処理結果を得るために、楕円曲線暗号に基づいてデータを処理する方法であって、
    暗号化されたデータを得るために、ランダム点Rを使用して前記データを暗号化するステップと、
    前記処理結果を得るために、前記ランダム点Rを使用して前記暗号化されたデータをデジタル署名するステップと
    を具備することを特徴とする方法。
  2. 前記データを暗号化するステップは、楕円曲線統合暗号化スキームを使用し、乱数rが、ランダム点Rを計算するために使用されるとともに、前記ランダム点Rのx座標Rxと暗号化されたデータとが、暗号結果を形成し、
    前記暗号化されたデータをデジタル署名するステップは、楕円曲線デジタル署名アルゴリズムを使用し、前記暗号結果のハッシュが計算されるとともに、前記乱数rとランダム点Rのx座標Rxとが、署名の署名コンポーネントssignatureを計算するために使用され、
    前記方法は、前記暗号化されたデータと、前記ランダム点Rのx座標Rxのみと、前記署名の署名コンポーネントssignatureのみとを有する、前記処理結果を出力することを特徴とする請求項1に記載の方法。
  3. 前記データを暗号化するステップは、暗号化されたペイロード部を得るために、権限管理メッセージまたは権限制御メッセージのペイローブ部を暗号化することを含み、
    前記暗号化されたデータをデジタル署名するステップは、署名暗号化された権限管理メッセージまたは署名暗号化された権限制御メッセージを得るために、前記権限管理メッセージまたは権限制御メッセージの暗号化されたペイロード部およびヘッダ部をデジタル署名することを含むことを特徴とする請求項1または2に記載の方法。
  4. 前記方法のステップは、限定受信システムのヘッドエンドシステムで実行され、
    前記方法は、前記署名暗号化された権限管理メッセージまたは署名暗号化された権限制御メッセージを、前記ヘッドエンドシステムからスマートカードに送信するステップをさらに具備することを特徴とする請求項3に記載の方法。
  5. 処理結果を得るために、楕円曲線暗号に基づいてデータを処理する方法であって、
    ランダム点Rを使用してデータを検証するステップと、
    前記処理結果を得るために、前記ランダム点Rを使用してデータを復号するステップと
    を具備することを特徴とする方法。
  6. 前記データは、暗号化されたデータと、前記ランダム点Rのx座標Rxのみと、署名の署名コンポーネントssignatureのみとを有し、
    前記データを検証するステップは、楕円曲線デジタル署名アルゴリズムを使用し、前記ランダム点Rのx座標Rxが、前記署名の署名コンポーネントrsignatureとして使用されるとともに、署名コンポーネントrsignatureおよびssignatureが、前記署名の検証を計算するために使用され、
    前記データを復号するステップは、楕円曲線統合暗号化スキームを使用し、前記ランダム点Rのx座標Rxは、前記ランダム点Rのy座標Ryを計算するために使用されることを特徴とする請求項5に記載の方法。
  7. 前記データを検証するステップは、署名暗号化された権限管理メッセージまたは署名暗号化された権限制御メッセージの暗号化されたペイロード部およびヘッダ部を検証することを含み、
    前記データを復号するステップは、復号された権限管理メッセージ、または復号された権限制御メッセージを得るために、前記署名暗号化された権限管理メッセージ、または前記署名暗号化された権限制御メッセージのペイロード部を復号することを含むことを特徴とする請求項5または6に記載の方法。
  8. 前記方法のステップは、限定受信システムのスマートカードで実行され、
    前記方法は、ヘッドエンドシステムから前記署名暗号化された権限管理メッセージ、または前記署名暗号化された権限制御メッセージを受信するステップをさらに具備することを特徴とする請求項7に記載の方法。
  9. ヘッドエンドシステムと、1つまたは複数のスマートカードとを具備する限定受信システムであって、
    前記ヘッドエンドシステムは、請求項4に記載のステップを実行するように配置され、
    前記1つまたは複数のスマートカードは、請求項8に記載のステップを実行するように配置されることを特徴とする限定受信システム。
  10. 請求項1〜4のいずれか1項に記載のステップを実行するように配置されることを特徴とするヘッドエンドシステム。
  11. 請求項5〜8のいずれか1項に記載のステップを実行するように配置されることを特徴とするスマートカード。
JP2009179135A 2008-08-05 2009-07-31 楕円曲線暗号に基づいた署名暗号化スキーム Pending JP2010039489A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP08161784A EP2151947A1 (en) 2008-08-05 2008-08-05 Signcryption scheme based on elliptic curve cryptography

Publications (1)

Publication Number Publication Date
JP2010039489A true JP2010039489A (ja) 2010-02-18

Family

ID=40637091

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009179135A Pending JP2010039489A (ja) 2008-08-05 2009-07-31 楕円曲線暗号に基づいた署名暗号化スキーム

Country Status (6)

Country Link
US (1) US8213604B2 (ja)
EP (1) EP2151947A1 (ja)
JP (1) JP2010039489A (ja)
KR (1) KR101590779B1 (ja)
CN (1) CN101645773B (ja)
CA (1) CA2670184A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012090438A1 (ja) * 2010-12-28 2012-07-05 三洋電機株式会社 端末装置
JP2020503718A (ja) * 2018-11-07 2020-01-30 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited ゼロ知識証明を用いたアカウント注釈モデルに基づくブロックチェーンデータの保護

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010124390A1 (en) 2009-04-30 2010-11-04 Certicom Corp. System and method for authenticating rfid tags
EP2572281A4 (en) * 2010-05-17 2017-06-07 Jon Parsons System and method for multi-dimensional secretion of digital data
CN103155481A (zh) * 2010-10-15 2013-06-12 塞尔蒂卡姆公司 具有消息恢复的数字签名的认证加密
CN103444128B (zh) * 2011-03-18 2017-04-05 塞尔蒂卡姆公司 密钥pv签名
EP2566098A1 (en) * 2011-08-29 2013-03-06 Thomson Licensing Signcryption method and device and corresponding signcryption verification method and device
FR2985126B1 (fr) * 2011-12-21 2014-02-07 Oberthur Technologies Procede de determination du cofacteur d'une courbe elliptique, composant electronique, et produit programme d'ordinateur correspondants.
CN103905187B (zh) * 2012-12-26 2018-04-03 厦门雅迅网络股份有限公司 一种基于内容的网络通信加密方法
US20150006900A1 (en) * 2013-06-27 2015-01-01 Infosec Global Inc. Signature protocol
GB2528874A (en) * 2014-08-01 2016-02-10 Bae Systems Plc Improvements in and relating to secret communications
US9800418B2 (en) 2015-05-26 2017-10-24 Infosec Global Inc. Signature protocol
CN110417543B (zh) * 2018-04-27 2022-03-08 腾讯科技(深圳)有限公司 一种数据加密方法、装置和存储介质
US11005655B2 (en) * 2018-10-31 2021-05-11 Dell Products L.P. System and method of providing information to a device
CN110612700B (zh) * 2019-03-15 2021-06-22 创新先进技术有限公司 基于恢复的公钥进行认证
TWI751433B (zh) * 2019-08-19 2022-01-01 中華電信股份有限公司 安全通訊金鑰協商方法
CN110932863B (zh) * 2019-11-19 2023-01-13 中国人民武装警察部队工程大学 一种基于编码的广义签密方法
CN115580402B (zh) * 2022-12-09 2023-03-17 蓝象智联(杭州)科技有限公司 一种用于安全多方计算的数据隐匿查询方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000502857A (ja) * 1995-12-29 2000-03-07 サイエンティフィック―アトランタ・インコーポレーテッド 多数のサービス・プロバイダを備えた接続指向双方向ネットワークにおいて条件付アクセスを与える方法および装置
JP2004521428A (ja) * 2001-06-08 2004-07-15 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 制御ワードを用いて暗号化されたサービスに選択的にアクセスするデバイス及び方法並びにスマートカード

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6246767B1 (en) * 1995-04-03 2001-06-12 Scientific-Atlanta, Inc. Source authentication of download information in a conditional access system
DE69840463D1 (de) 1997-03-25 2009-03-05 Certicom Corp Beschleunigte Finite-Feld-Operationen auf einer elliptischen Kurve
FR2807898B1 (fr) * 2000-04-18 2002-06-28 Gemplus Card Int Procede de cryptographie sur courbes elliptiques
GB0308305D0 (en) * 2003-04-10 2003-05-14 Hewlett Packard Development Co Digital message encryption and authentication
US7957525B2 (en) * 2003-10-31 2011-06-07 Ntt Docomo, Inc. Encryption and signature schemes using message mappings to reduce the message size
US20050135610A1 (en) * 2003-11-01 2005-06-23 Liqun Chen Identifier-based signcryption
US7594261B2 (en) * 2005-02-08 2009-09-22 Microsoft Corporation Cryptographic applications of the Cartier pairing
CN100586065C (zh) * 2006-04-24 2010-01-27 北京易恒信认证科技有限公司 Cpk可信认证系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000502857A (ja) * 1995-12-29 2000-03-07 サイエンティフィック―アトランタ・インコーポレーテッド 多数のサービス・プロバイダを備えた接続指向双方向ネットワークにおいて条件付アクセスを与える方法および装置
JP2004521428A (ja) * 2001-06-08 2004-07-15 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 制御ワードを用いて暗号化されたサービスに選択的にアクセスするデバイス及び方法並びにスマートカード

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
JPN6013041293; Tso, R. et al.: 'ECDSA-Verifiable Signcryption Scheme with Signature Verification on the Signcrypted Message' Lecture Notes in Computer Science Vol.4990, 20080718, p.11-24 *
JPN6013041294; Information Security and Cryptology: Third SKLOIS Conference, Inscrypt 2007, Xining, China, August 3 , 20130814 *
JPN6014021144; Certicom Research: 'SEC1:Elliptic Curve Cryptography' STANDARDS FOR EFFICIENT CRYPTOGRAPHY Ver 1.0, 20000920, [online] *
JPN6014021146; Ian Blake, et al.: Elliptic Curves in Cryptography , 1999, p.76-78, Cambridge University Press *
JPN6014021148; イアン・F.ブラケ他: 楕円曲線暗号 , 2001, p.79, 80, 株式会社ピアソン・エデュケーション *
JPN6014048292; Paulo S. L. M. Barreto: 'Why public elliptic curve parameters are public' [online] , 20050708 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012090438A1 (ja) * 2010-12-28 2012-07-05 三洋電機株式会社 端末装置
JP2013138464A (ja) * 2010-12-28 2013-07-11 Sanyo Electric Co Ltd 通信装置
JP2020503718A (ja) * 2018-11-07 2020-01-30 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited ゼロ知識証明を用いたアカウント注釈モデルに基づくブロックチェーンデータの保護

Also Published As

Publication number Publication date
EP2151947A1 (en) 2010-02-10
CN101645773A (zh) 2010-02-10
KR101590779B1 (ko) 2016-02-18
CA2670184A1 (en) 2010-02-05
CN101645773B (zh) 2016-01-27
US20100034382A1 (en) 2010-02-11
US8213604B2 (en) 2012-07-03
KR20100017054A (ko) 2010-02-16

Similar Documents

Publication Publication Date Title
US8213604B2 (en) Signcryption scheme based on elliptic curve cryptography
EP1155527B1 (en) Protecting information in a system
US6550008B1 (en) Protection of information transmitted over communications channels
KR100564832B1 (ko) Nrss 인터페이스를 가로지르는 오디오/비디오 데이터를 보호하기 위한 방법 및 시스템
US8364964B2 (en) Registering client devices with a registration server
US8892908B2 (en) Cryptography module for use with fragmented key and methods for use therewith
JP2005515701A (ja) データ伝送リンク
JP2005515701A6 (ja) データ伝送リンク
US20070282749A1 (en) Content distribution system
EP2487828A1 (en) Method and device for generating control words
US6516414B1 (en) Secure communication over a link
KR101516114B1 (ko) 인증서 기반 프록시 재암호화 방법 및 이를 위한 시스템
Jiang et al. Secure communication between set-top box and smart card in DTV broadcasting
KR101991775B1 (ko) Fpga기반의 데이터 암복호화 방법
KR101533950B1 (ko) 브로드캐스트 암호화 방법 및 시스템
CN112954388A (zh) 一种数据文件的获取方法、装置、终端设备和存储介质
Yoon et al. ECC-based key exchange protocol for IPTV service
CN114039725B (zh) 一种基于sm9的模糊身份基加密方法
JP3862397B2 (ja) 情報通信システム
KR102190886B1 (ko) 조건부 액세스 시스템의 컨트롤 워드 보호
TW200810483A (en) Digital content protection system
KR100412540B1 (ko) 인증서 폐지 기능을 갖는 보안 시스템
KR101020416B1 (ko) 소스인증 및 부인방지를 제공하는 수신제한 시스템 및 그 방법
JP2000148011A (ja) ランダム関数利用公開鍵暗号の暗号装置、復号装置、及びプログラム記録媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120718

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130820

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20131120

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20131125

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140526

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20140822

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20140827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141117

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20150216

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150420