JP2012151648A - 情報共有方法、情報共有システム、情報共有装置、及びプログラム - Google Patents
情報共有方法、情報共有システム、情報共有装置、及びプログラム Download PDFInfo
- Publication number
- JP2012151648A JP2012151648A JP2011008726A JP2011008726A JP2012151648A JP 2012151648 A JP2012151648 A JP 2012151648A JP 2011008726 A JP2011008726 A JP 2011008726A JP 2011008726 A JP2011008726 A JP 2011008726A JP 2012151648 A JP2012151648 A JP 2012151648A
- Authority
- JP
- Japan
- Prior art keywords
- information
- information sharing
- output
- sharing device
- arbitrary value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】第1情報共有装置がtを生成してT∈Gを出力する。第2情報共有装置がyを生成してY∈Gを出力する。第1情報共有装置は、演算式Vjがそれぞれ表す共有情報Uj生成する。第2情報共有装置は、演算式Wjにそれぞれ従って共有情報Ujを生成する。Vj,Wjは巡回群Gでの演算を表し、VmとVnとは互いに相違し、WmとWnとは互いに相違し、Uj=g(r(j,0,0)・a・b+r(j,0,1)・a・y+r(j,1,0)・b・t+r(j,1,1)・t・y)を満たし、(r(m,0,0), r(m,1,0), r(m,0,1), r(m,1,1))と(r(n,0,0), r(n,1,0), r(n,0,1), r(n,1,1))とが一次独立である。
【選択図】図1
Description
基本的なDiffie-Hellman鍵交換方式では、以下のように鍵交換が行われる。
[公開パラメータ]
Gを素数位数qの巡回群とし、gを巡回群Gの生成元とする。巡回群Gと生成元gとは、第1情報共有装置と第2情報共有装置とに公開される。
[鍵交換]
第1情報共有装置は、ランダムな任意値t∈Zqを生成し、T=gt∈Gを第2情報共有装置に送り、第2情報共有装置は、ランダムな任意値y∈Zqを生成し、Y=gy∈Gを第1情報共有装置に送る。なお、Zqはqを法とする剰余類の完全代表系を要素とする剰余環を表す。第1情報共有装置は鍵K=Yt∈Gを計算し、第2情報共有装置は鍵K=Ty∈Gを計算する。ここで、巡回群Gは可換群であるからYt=gy・t=gt・y=Tyとなり、第1情報共有装置と第2情報共有装置とで同一の鍵Kが共有される。
これに対し、以下のようにすれば中間者攻撃1の問題を解決できる。
[公開パラメータ]
Gを素数位数qの巡回群とし、gを巡回群Gの生成元とする。巡回群Gと生成元gとは、第1情報共有装置と第2情報共有装置とに公開される。
[鍵交換]
第1情報共有装置は、自らの秘密鍵a∈Zqを用い、A=ga∈Gを第2情報共有装置に送る。第2情報共有装置は、自らの秘密鍵b∈Zqを用い、B=gb∈Gを第1情報共有装置に送る。第1情報共有装置は鍵K=Ba∈Gを計算し、第2情報共有装置は鍵K=Ab∈Gを計算する。ここで、巡回群Gは可換群であるからBa=gb・a=ga・b=Abとなり、第1情報共有装置と第2情報共有装置とで同一の鍵Kが共有される。また、攻撃者の装置ADVは、第1情報共有装置の秘密鍵aも第2情報共有装置の秘密鍵bも知らないため、上述の中間者攻撃1を行うことができない。
これに対し、以下のような方式が想定できる。
[公開パラメータ]
Gを素数位数qの巡回群とし、gを巡回群Gの生成元とする。巡回群Gと生成元gとは、第1情報共有装置と第2情報共有装置とに公開される。
[鍵交換]
第1情報共有装置は、ランダムな任意値t∈Zqを生成し、T=gt∈Gを第2情報共有装置に送り、第2情報共有装置は、ランダムな任意値y∈Zqを生成し、Y=gy∈Gを第1情報共有装置に送る。第1情報共有装置は、自らの秘密鍵a∈Zqを用い、鍵K=(Y・B)(t+a)∈Gを計算し、第2情報共有装置は、自らの秘密鍵b∈Zqを用い、鍵K=(T・A)(y+b)∈Gを計算する。ここで、巡回群Gは可換群であるから(Y・B)(t+a)=g(y+b)・(t+a)=g(t+a)・(y+b)=(T・A)(y+b)となり、第1情報共有装置と第2情報共有装置とで同一の鍵Kが共有される。また、任意値t,yに応じて鍵Kの値が異なるため、第1情報共有装置と第2情報共有装置との間で上記の処理を行うたびに共有される鍵Kが変化する。さらに、攻撃者の装置ADVは、第1情報共有装置の秘密鍵aも第2情報共有装置の秘密鍵bも知らないため、上述の中間者攻撃1を行うことができない。
第1情報共有装置に成りすます攻撃者の装置ADVは、まず、ランダムな任意値t'∈Zqを生成し、T'=gt'/A∈Gを計算し、T'を第1情報共有装置が出力したTとして偽って第2情報共有装置に送る。第2情報共有装置は、ランダムな任意値y∈Zqを生成し、Y=gy∈Gを攻撃者の装置ADVに送る。攻撃者の装置ADVは鍵K=(Y・B)t'∈Gを計算し、第2情報共有装置は、自らの秘密鍵b∈Zqを用い、鍵K=(T'・A)(y+b)∈Gを計算する。ここで、攻撃者の装置ADVが計算する鍵KはK=(Y・B)t'=g(y+b)・t'∈Gを満たす。一方、第2情報共有装置が計算する鍵KはK=(T'・A)(y+b)=((gt'/A)・A)(y+b)=gt'・(y+b)∈G満たす。巡回群Gは可換群であるから、攻撃者の装置ADVが計算する鍵Kと第2情報共有装置が計算する鍵Kとが一致する。すなわち、攻撃者の装置ADVは、第1情報共有装置の秘密鍵aを持たないにもかかわらず、第2情報共有装置と同一の鍵Kを共有でき、中間者攻撃が成立する。これは、攻撃者の装置ADVがT'=gt'/A∈Gを第2情報共有装置に送ることで、第2情報共有装置が鍵Kを計算する際に第1情報共有装置の公開鍵Aの成分が打ち消されることになることに基づく。同様に、攻撃者の装置ADVが第2情報共有装置に成りすまし、第1情報共有装置と同一の鍵Kを共有することも可能である。
これに対し、以下のような方式が存在する(非特許文献1参照)。
[公開パラメータ]
Gを素数位数qの巡回群とし、gを巡回群Gの生成元とする。巡回群Gの任意の元を0以上q1/2以下の整数に写すハッシュ関数をF:G→[0, q1/2]とする。任意の値をLビットのビット列に写すハッシュ関数をHとする。Lは正整数であり、qをビット表現した場合のビット長をLとする。第1情報共有装置の識別子をIDAとし、第2情報共有装置の識別子をIDBとする。巡回群Gと生成元gとハッシュ関数F, Hと識別子IDA, IDBとは、第1情報共有装置と第2情報共有装置とに公開される。
第1情報共有装置は、ランダムな任意値t∈Zqを生成し、T=gt∈Gを第2情報共有装置に送り、第2情報共有装置は、ランダムな任意値y∈Zqを生成し、Y=gy∈Gを第1情報共有装置に送る。
第1情報共有装置は、d=F(T)とe=F(Y)とを計算し、自らの秘密鍵a∈Zqを用いて共有情報U1=(Y・Be)(t+a)∈Gと共有情報U2=(Y・B)(t+a・d)∈Gとを計算し、鍵K=H(U1, U2, IDA, IDB, T, Y)を計算する。第2情報共有装置は、d=F(T)とe=F(Y)とを計算し、自らの秘密鍵b∈Zqを用いて共有情報U1=(T・A)(y+b・e)∈Gと共有情報U2=(T・Ad)(y+b)∈Gとを計算し、鍵K=H(U1, U2, IDA, IDB, T, Y)を計算する。
本発明はこのような点に鑑みてなされたものであり、高い安全性を確保しつつ、低い演算量で共有情報Uj(j=1,...,J)を共有することが可能な技術を提供することを目的とする。
〔定義〕
まず、本形態で使用する用語及び記号を定義する。
Zq:Zqはqを法とする剰余環を表す。Zqの要素の一例は、qを法とする剰余類の完全代表系である。qを法とする剰余類の完全代表系の一例は{0,...,q-1}である。なお、qは正整数であり、qをビット表現した場合のビット長を例えばL(Lは正整数)とする。安全性の面から位数qは素数であることが望ましい。また、位数qが素数でない場合には、位数qの最大因数のビット長がL以上であることが望ましい。素数であるか否かが不明な正整数をqとして用いてもよい。
係数r(j,0,0), r(j,0,1), r(j,1,0), r(j,1,1)∈Zqは定数であってもよいし、短期公開鍵、公開鍵、ユーザID、公開パラメータなどに依存して値が決まるものであってもよい。
[双線形性]すべてのΩ1∈G1,Ω2∈G2及びν,κ∈Zqについて以下の関係を満たす。
e(Ω1 ν,Ω2 κ)=e(Ω1,Ω2)ν・κ
[非退化性]すべての
Ω1∈G1,Ω2∈G2
を巡回群GTの単位元に写す写像ではない。
[計算可能性]あらゆるΩ1∈G1,Ω2∈G2についてe(Ω1,Ω2)を効率的に計算するアルゴリズムが存在する。
双線形写像eの具体例は、WeilペアリングやTateペアリングなどのペアリング演算のための関数やアルゴリズムである。
<原理>
第1実施形態の原理を説明する。第1実施形態では、第1情報共有装置で任意値tを生成し、任意値tと巡回群Gの生成元gとを用い、出力情報T=gt∈Gを生成して出力する。第2情報共有装置で任意値yを生成し、任意値yと生成元gとを用い、出力情報Y=gy∈Gを生成して出力する。第1情報共有装置で、出力情報Yの入力を受け付け、第2情報共有装置の秘密情報bに対応する公開情報B=gb∈Gと、出力情報Yと、第1情報共有装置の秘密情報aと、任意値tとを用い、各演算式Vj(j=1,...,J、Jは2以上の整数)がそれぞれ表す共有情報Uj(j=1,...,J)を生成する。第2情報共有装置で、出力情報Tの入力を受け付け、第1情報共有装置の秘密情報aに対応する公開情報A=ga∈Gと、出力情報Tと、第2情報共有装置の秘密情報bと、任意値yとを用い、各演算式Wj(j=1,...,J)がそれぞれ表す共有情報Uj(j=1,...,J)を生成する。
第1実施形態の構成を例示する。図1に例示するように、第1実施形態の情報共有システム1は、情報共有装置110と情報共有装置120とを有する。
情報共有装置110は、記憶部111と入力部112と出力部113と制御部114と任意値生成部115と出力情報生成部116と共有情報生成部117と鍵生成部118とを有する。また、情報共有装置120は、記憶部121と入力部122と出力部123と制御部124と任意値生成部125と出力情報生成部126と共有情報生成部127と鍵生成部128とを有する。
なお、情報共有装置110,120は、それぞれ、制御部114,124の制御のもと各処理を実行する。また、各演算過程で得られるデータは記憶部111,121に格納され、必要に応じて他の演算に用いられる。
次に、第1実施形態の処理を例示する。
[前処理]
システム管理者などによって位数q、剰余環Zq、巡回群G、生成元g、ハッシュ関数H、第1情報共有装置110の秘密鍵(秘密情報)a∈Zq及び公開鍵(公開情報)A=ga∈G、第2情報共有装置120の秘密鍵(秘密情報)b∈Zq及び公開鍵(公開情報)B=gb∈Gが定められる。秘密鍵a及び公開鍵A,Bは第1情報共有装置110の記憶部111に格納され、秘密鍵bは第2情報共有装置120の記憶部121に格納される。また、任意値生成部115,125は、剰余環Zqの元を生成するように構成され、出力情報生成部116,126は、生成元gを用いて巡回群G上の演算が可能なように構成され、共有情報生成部117,217は、巡回群G上の演算が可能なように構成され、鍵生成部118,128は、ハッシュ関数Hを用いたハッシュ演算が可能なように構成される。
次に、図2A及び図2Bを用い、第1実施形態の鍵交換処理を説明する。
第1情報共有装置110(図1)の任意値生成部115がランダムな短期秘密鍵(任意値)tを以下の式(1)のように生成し、生成した短期秘密鍵tを記憶部111に格納する(ステップS111)。
t∈Zq …(1)
例えば、任意値生成部115は、SHA-1等の公知のハッシュ関数を用いて構成される、計算量理論に基づく擬似乱数生成アルゴリズム等を用いて発生させた擬似乱数を用いて短期秘密鍵t∈Zqを生成する。
T=gt∈G …(2)
記憶部111に格納された公開鍵A,B及び出力情報Tは出力部112に送られ、出力部112は(A,B,T)を出力する(ステップS113)。出力された(A,B,T)は、ネットワークや可搬型記録媒体などを介して第2情報共有装置120に送られる。第2情報共有装置120の入力部122は(A,B,T)の入力を受け付け、(A,B,T)は記憶部121に格納される(ステップS121)。
y∈Zq …(3)
例えば、任意値生成部125は、SHA-1等の公知のハッシュ関数を用いて構成される、計算量理論に基づく擬似乱数生成アルゴリズム等を用いて発生させた擬似乱数を用いて短期秘密鍵y∈Zqを生成する(ステップS122)。
Y=gy∈G …(4)
記憶部121に格納された公開鍵A,B、出力情報T及び出力情報Yは出力部123に送られ、出力部123は(A,B,T,Y)を出力する(ステップS124)。出力された(A,B,T,Y)は、ネットワークや可搬型記録媒体などを介して第1情報共有装置110に送られる。第1情報共有装置110の入力部112は(A,B,T,Y)の入力を受け付け、(A,B,T,Y)は記憶部111に格納される(ステップS114)。
Uj=Br(j,0,0)・a+r(j,1,0)・t・Yr(j,0,1)・a+r(j,1,1)・t …(5)
式(5)に変形可能な式の例は以下の式(6)-(8)などである。
Uj=Br(j,1,0)・t+r(j,0,0)・a・Yr(j,1,1)・t+r(j,0,1)・a …(6)
Uj=Ba・r(j,0,0)+t・r(j,1,0)・Ya・r(j,0,1)+t・r(j,1,1) …(7)
Uj=Yr(j,0,1)・a+r(j,1,1)・t・Br(j,0,0)・a+r(j,1,0)・t …(8)
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、ベクトル(r(m,0,0), r(m,1,0), r(m,0,1), r(m,1,1))とベクトル(r(n,0,0), r(n,1,0), r(n,0,1), r(n,1,1))とが一次独立である。好ましくは前述の条件1又は条件2を満たす。生成された共有情報Uj(j=1,...,J)は記憶部111に格納される(ステップS115)。
K=H(U1,...,UJ, A, B, T, Y) …(9)
を生成し、生成した鍵Kを出力する(ステップS116)。
Uj=Ar(j,0,0)・b+r(j,0,1)・y・Tr(j,1,0)・b+r(j,1,1)・y …(10)
式(10)に変形可能な式の例は以下の式(11)-(13)などである。
Uj=Ar(j,0,1)・y+r(j,0,0)・b・Tr(j,1,1)・y+r(j,1,0)・b …(11)
Uj=Ab・r(j,0,0)+y・r(j,0,1)・Tb・r(j,1,0)+y・r(j,1,1) …(12)
Uj=Tr(j,1,0)・b+r(j,1,1)・y・Ar(j,0,0)・b+r(j,0,1)・y …(13)
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、ベクトル(r(m,0,0), r(m,1,0), r(m,0,1), r(m,1,1))とベクトル(r(n,0,0), r(n,1,0), r(n,0,1), r(n,1,1))とが一次独立である。好ましくは前述の条件1又は条件2を満たす。生成された共有情報Uj(j=1,...,J)は記憶部121に格納される(ステップS125)。
K=H(U1,...,UJ, A, B, T, Y) …(14)
を生成し、生成した鍵Kを出力する(ステップS126)。
巡回群Gは可換群であること、及び剰余環Zqが可換環であることから、式(5)は以下のように変形できる。式(6)-(8)などの式(5)に変形可能な式も同様である。ただし、上付き添え字の「pj(a,t,b,y)」はpj(a,t,b,y)を表す。
Br(j,0,0)・a+r(j,1,0)・t・Yr(j,0,1)・a+r(j,1,1)・t
=gb(r(j,0,0)・a+r(j,1,0)・t)+y(r(j,0,1)・a+r(j,1,1)・t)
=g(r(j,0,0)・a・b+r(j,0,1)・a・y+r(j,1,0)・b・t+r(j,1,1)・t・y)
=gpj(a,t,b,y)
同様に式(10)は以下のように変形でき、式(5)と等しいことが分かる。式(11)-(13)などの式(10)に変形可能な式も同様である。
Ar(j,0,0)・b+r(j,0,1)・y・Tr(j,1,0)・b+r(j,1,1)・y
=ga(r(j,0,0)・b+r(j,0,1)・y)+t(r(j,1,0)・b+r(j,1,1)・y)
=g(r(j,0,0)・a・b+r(j,0,1)・a・y+r(j,1,0)・b・t+r(j,1,1)・t・y)
=gpj(a,t,b,y)
次に、本発明のおける第2実施形態を説明する。第2実施形態は双線形写像を用いる例である。以下では第1実施形態との相違点を中心に説明し、第1実施形態と共通する事項については説明を省略する。
第2実施形態の原理を説明する。第2実施形態では、第1情報共有装置で、任意値tを生成し、任意値tと巡回群G1の生成元g1とを用い、出力情報T=g1 t∈G1を生成して出力する。第2情報共有装置で、任意値yを生成し、任意値yと生成元g2とを用い、出力情報Y=g2 y∈G2を生成して出力する。第1情報共有装置で、出力情報Yの入力を受け付け、第2情報共有装置の公開情報B=g2 b∈G2と、出力情報Yと、秘密情報z及び第1情報共有装置の公開情報A=g1 a∈G1に対応する第1情報共有装置の秘密情報C=Az∈G1と、g1 zである公開情報P1及び/又はg2 zである公開情報P2と、任意値tとを用い、各演算式Vj(j=1,...,J、Jは2以上の整数)がそれぞれ表す共有情報Uj(j=1,...,J)を生成する。第2情報共有装置で、出力情報Tの入力を受け付け、第1情報共有装置の公開情報A=g1 a∈G1と、出力情報Tと、秘密情報z及び公開情報Bに対応する第2情報共有装置の秘密情報D=Bz∈G2と、公開情報P1及び/又は公開情報P2と、任意値yとを用い、各演算式Wj(j=1,...,J)がそれぞれ表す共有情報Uj(j=1,...,J)を生成する。
第2実施形態の構成を例示する。図3に例示するように、第2実施形態の情報共有システム2は、情報共有装置210と情報共有装置220とを有する。
情報共有装置210は、記憶部211と入力部212と出力部213と制御部114と任意値生成部115と出力情報生成部216と共有情報生成部217と鍵生成部218とを有する。また、情報共有装置220は、記憶部221と入力部222と出力部223と制御部124と任意値生成部125と出力情報生成部226と共有情報生成部227と鍵生成部228とを有する。
次に、第2実施形態の処理を例示する。
[前処理]
位数q、剰余環Zq、巡回群G1,G2,GT、生成元g1,g1,gT、双線形写像e:G1×G2→GT、ハッシュ関数H,H1,H2、マスタ秘密鍵(秘密情報)z∈Zq、g1 zであるマスタ公開鍵(公開情報)P1及び/又はg2 zであるマスタ公開鍵(公開情報)P2が定められる。第1情報共有装置210を利用するユーザの識別子IDA(例えばIDA∈{0,1}*)、及び第2情報共有装置220を利用するユーザの識別子IDB(例えばIDB∈{0,1}*)が定められる。識別子IDAに対して鍵(公開情報)A=H1(IDA)∈G1が設定され、識別子IDBに対して鍵(公開情報)B=H2(IDB)∈G2が設定される。A,Bはa,b∈ZqについてA=g1 a∈G1及びB=g2 b∈G2を満たす。さらにマスタ秘密鍵zを用い、Aに対応する第1情報共有装置210の秘密鍵(秘密情報)C=Az∈G1と、Bに対応する第2情報共有装置220の秘密鍵(秘密情報)D=Bz∈G2とが設定される。これらの処理はシステム管理者などによってなされる。第2実施形態ではG1=G2、g1=g2、H1=H2、P1=P2とする。
次に、図4A及び図4Bを用い、第2実施形態の鍵交換処理を説明する。
第1情報共有装置210(図3)の任意値生成部115がランダムな短期秘密鍵(任意値)tを前述の式(1)のように生成し、生成した短期秘密鍵tを記憶部211に格納する(ステップS111)。
T=g1 t∈G1 …(15)
記憶部211に格納された識別子IDA,IDB及び出力情報Tは出力部212に送られ、出力部212は(IDA,IDB,T)を出力する(ステップS213)。出力された(IDA,IDB,T)は、ネットワークや可搬型記録媒体などを介して第2情報共有装置220に送られる。第2情報共有装置220の入力部222は(IDA,IDB,T)の入力を受け付け、(IDA,IDB,T)は記憶部221に格納される(ステップS221)。
Y=g2 y∈G2 …(16)
記憶部221に格納された識別子IDA,IDB、出力情報T及び出力情報Yは出力部223に送られ、出力部223は(IDA,IDB,T,Y)を出力する(ステップS224)。出力された(A,B,T,Y)は、ネットワークや可搬型記録媒体などを介して第1情報共有装置210に送られる。第1情報共有装置210の入力部212は(IDA,IDB,T,Y)の入力を受け付け、(IDA,IDB,T,Y)は記憶部211に格納される(ステップS214)。
Uj=e(Cr(j,0,0)・P1 r(j,1,0)・t,B)・e(Cr(j,0,1)・P1 r(j,1,1)・t,Y) …(17)
式(17)に変形可能な式の例は以下の式(18)-(20)などである。
Uj=e(Cr(j,0,1)・P1 r(j,1,1)・t,Y)・e(Cr(j,0,0)・P1 r(j,1,0)・t,B) …(18)
Uj=e(P1 r(j,1,0)・t・Cr(j,0,0),B)・e(P1 r(j,1,1)・t・Cr(j,0,1),Y) …(19)
Uj=e(P1 r(j,1,1)・t・Cr(j,0,1),Y)・e(P1 r(j,1,0)・t・Cr(j,0,0),B) …(20)
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、ベクトル(r(m,0,0), r(m,1,0), r(m,0,1), r(m,1,1))とベクトル(r(n,0,0), r(n,1,0), r(n,0,1), r(n,1,1))とが一次独立である。好ましくは前述の条件1又は条件2を満たす。生成された共有情報Uj(j=1,...,J)は記憶部211に格納される(ステップS215)。
UJ+1=Yt∈G2 …(21)
K=H(U1,...,UJ, IDA, IDB, T, Y) …(22)
を生成し、生成した鍵Kを出力する(ステップS217)。
Uj=e(A,Dr(j,0,0)・P2 r(j,0,1)・y)・e(T,Dr(j,1,0)・P2 r(j,1,1)・y) …(23)
式(17)に変形可能な式の例は以下の式(24)-(26)などである。
Uj=e(T,Dr(j,1,0)・P2 r(j,1,1)・y)・e(A,Dr(j,0,0)・P2 r(j,0,1)・y) …(24)
Uj=e(A,P2 r(j,0,1)・y・Dr(j,0,0))・e(T,P2 r(j,1,1)・y・Dr(j,1,0)) …(25)
Uj=e(T,P2 r(j,1,1)・y・Dr(j,1,0))・e(A,P2 r(j,0,1)・y・Dr(j,0,0)) …(26)
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、ベクトル(r(m,0,0), r(m,1,0), r(m,0,1), r(m,1,1))とベクトル(r(n,0,0), r(n,1,0), r(n,0,1), r(n,1,1))とが一次独立である。好ましくは前述の条件1又は条件2を満たす。生成された共有情報Uj(j=1,...,J)は記憶部221に格納される(ステップS225)。
UJ+1=Ty∈G1 …(27)
K=H(U1,...,UJ, IDA, IDB, T, Y) …(28)
を生成し、生成した鍵Kを出力する(ステップS227)。
双線形写像eの双線形性、巡回群Gが可換群であること、及び剰余環Zqが可換環であることから、式(17)は以下のように変形できる。式(18)-(20)などの式(17)に変形可能な式も同様である。ただし、上付き添え字の「pj(a,t,b,y)」はpj(a,t,b,y)を表す。
e(Cr(j,0,0)・P1 r(j,1,0)・t,B)・e(Cr(j,0,1)・P1 r(j,1,1)・t,Y)
=e(g1 r(j,0,0)・a・z+r(j,1,0)・t・z,g2 b)・e(g1 r(j,0,1)・a・z+r(j,1,1)・t・z,g2 y)
=gT r(j,0,0)・a・b・z+r(j,1,0)・t・b・z・gT r(j,0,1)・a・y・z+r(j,1,1)・t・y・z
=gT z(r(j,0,0)・a・b+r(j,0,1)・a・y+r(j,1,0)・b・t+r(j,1,1)・t・y)
=gT z・pj(a,t,b,y)
同様に式(23)は以下のように変形でき、式(17)と等しいことが分かる。式(24)-(26)などの式(23)に変形可能な式も同様である。
e(A,Dr(j,0,0)・P2 r(j,0,1)・y)・e(T,Dr(j,1,0)・P2 r(j,1,1)・y)
=e(g1 a, g2 r(j,0,0)・b・z+r(j,0,1)・y・z)・e(g1 t, g2 r(j,1,0)・b・z+r(j,1,1)・y・z)
=gT a(r(j,0,0)・b・z+r(j,0,1)・y・z)・gT t(r(j,1,0)・b・z+r(j,1,1)・y・z)
=gT z(r(j,0,0)・a・b+r(j,0,1)・a・y+r(j,1,0)・b・t+r(j,1,1)・t・y)
=gT z・pj(a,t,b,y)
Yt=g2 y・t=g1 t・y=Ty
次に、本発明のおける第2実施形態の変形例を説明する。この変形例は、G1とG2が同一であるか否か、g1とg2が同一であるか否か、H1とH2が同一であるか否か、P1とP2が同一であるか否かにかかわらず、実行可能なものである。以下では第1,2実施形態との相違点を中心に説明し、第1,2実施形態と共通する事項については説明を省略する。
第2実施形態の変形例の構成を例示する。図5に例示するように、第2実施形態の変形例の情報共有システム3は、情報共有装置310と情報共有装置320とを有する。
情報共有装置310は、記憶部311と入力部312と出力部313と制御部114と任意値生成部115と出力情報生成部316と共有情報生成部317と鍵生成部318とを有する。また、情報共有装置320は、記憶部321と入力部322と出力部323と制御部124と任意値生成部125と出力情報生成部326と共有情報生成部327と鍵生成部328とを有する。
次に、第2実施形態の変形例の処理を例示する。
[前処理]
G1=G2、g1=g2、H1=H2、P1=P2であってもなくてもよいこと以外、第2実施形態と同様である。
次に、図6A及び図6Bを用い、第3実施形態の鍵交換処理を説明する。
任意値生成部115及び出力情報生成部316が前述のステップS111及びS212の処理をそれぞれ実行する。さらに第1情報共有装置310(図5)の出力情報生成部316が、記憶部311から短期秘密鍵tを読み出し、短期秘密鍵tと巡回群G2の生成元g2とを用い、出力情報T2を以下の式(29)のように生成し、生成した出力情報Tを記憶部311に格納する(ステップS312)。
T2=g2 t∈G2 …(29)
記憶部311に格納された識別子IDA,IDB及び出力情報T,T2は出力部312に送られ、出力部312は(IDA,IDB,T,T2)を出力する(ステップS313)。出力された(IDA,IDB,T,T2)は、ネットワークや可搬型記録媒体などを介して第2情報共有装置320に送られる。第2情報共有装置320の入力部222は(IDA,IDB,T,T2)の入力を受け付け、(IDA,IDB,T,T2)は記憶部321に格納される(ステップS321)。
Y1=g1 y∈G1 …(30)
記憶部321に格納された識別子IDA,IDB、出力情報T,T2及び出力情報Y1,Yは出力部323に送られ、出力部323は(IDA,IDB,T,T2,Y1,Y)を出力する(ステップS324)。出力された(IDA,IDB,T,T2,Y1,Y)は、ネットワークや可搬型記録媒体などを介して第1情報共有装置310に送られる。第1情報共有装置310の入力部312は(IDA,IDB,T,T2,Y1,Y)の入力を受け付け、(IDA,IDB,T,T2,Y1,Y)は記憶部311に格納される(ステップS314)。
1UJ+1=Y1 t∈G1 …(31)
2UJ+1=Yt∈G2 …(32)
K=H(U1,...,UJ, 1UJ+1,2UJ+1 IDA, IDB, T, T2, Y1, Y) …(33)
を生成し、生成した鍵Kを出力する(ステップS317)。
1UJ+1=Ty∈G1 …(34)
2UJ+1=T2 y∈G2 …(35)
K=H(U1,...,UJ, 1UJ+1,2UJ+1 IDA, IDB, T, T2, Y1, Y) …(36)
を生成し、生成した鍵Kを出力する(ステップS327)。
第2実施形態と同様、第1情報共有装置310で生成された共有情報Uj(j=1,...,J)と第2情報共有装置320で生成された共有情報Uj(j=1,...,J)とはそれぞれ等しくなる。
巡回群G1,G2が可換群であること、及び剰余環Zqが可換環であることから、式(31)は以下のように変形でき、式(34)と等しいことが分かる。
Y1 t=g1 y・t=g1 t・y=Ty∈G1
同様に、式(32)は以下のように変形でき、式(35)と等しいことが分かる。
Yt=g2 y・t=g2 t・y=T2 y∈G2
なお、本発明は上述の実施の形態に限定されるものではない。例えば、第1実施形態ではK=H(U1,...,UJ, A, B, T, Y)の計算によって、第2実施形態ではK=H(U1,...,UJ, IDA, IDB, T, Y)の計算によって、その変形例ではK=H(U1,...,UJ, 1UJ+1,2UJ+1 IDA, IDB, T, T2, Y1, Y)の計算によってそれぞれ鍵Kを生成した。しかし、すべての共有情報Uj(j=1,...,J)を含む情報γとし、K=H(γ)の計算によって鍵を生成するのであれば、その他の情報をγとして鍵Kを生成してもよい。ただし、第1情報共有装置と第2情報共有装置とでのγは同一の構成とする。例えば第1実施形態において、K=H(U1,...,UJ)、K=H(U1,...,UJ, A, B)、K=H(U1,...,UJ, T, Y)、K=H(U1,...,UJ, A, B, T, Y, Ψ)、K=H(U1,...,UJ, Ψ)などによって鍵Kが生成されてもよい。Ψは公開パラメータやアルゴリズムIDなどの付加情報である。またγを構成するビット列の結合順序に限定はない。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、各形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
110〜310 第1情報共有装置
120〜320 第2情報共有装置
Claims (14)
- 第1情報共有装置と第2情報共有装置とが情報を共有する情報共有方法であって、
前記第1情報共有装置で、任意値tを生成するステップと、
前記第1情報共有装置で、前記任意値tと巡回群Gの生成元gとを用い、出力情報T=gt∈Gを生成するステップと、
前記第1情報共有装置で、前記出力情報Tを出力するステップと、
前記第2情報共有装置で、任意値yを生成するステップと、
前記第2情報共有装置で、前記任意値yと前記生成元gとを用い、出力情報Y=gy∈Gを生成するステップと、
前記第2情報共有装置で、前記出力情報Yを出力するステップと、
前記第1情報共有装置で、前記出力情報Yの入力を受け付けるステップと、
前記第1情報共有装置で、前記第2情報共有装置の秘密情報bに対応する公開情報B=gb∈Gと、前記出力情報Yと、前記第1情報共有装置の秘密情報aと、前記任意値tとを用い、各演算式Vj(j=1,...,J、Jは2以上の整数)がそれぞれ表す共有情報Uj(j=1,...,J)を生成するステップと、
前記第2情報共有装置で、前記出力情報Tの入力を受け付けるステップと、
前記第2情報共有装置で、前記第1情報共有装置の秘密情報aに対応する公開情報A=ga∈Gと、前記出力情報Tと、前記第2情報共有装置の秘密情報bと、前記任意値yとを用い、各演算式Wj(j=1,...,J)がそれぞれ表す前記共有情報Uj(j=1,...,J)を生成するステップと、を有し、
前記演算式Vj(j=1,...,J)及び前記演算式Wj(j=1,...,J)は、それぞれ、前記巡回群Gでの演算を表し、
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、前記演算式VmとVnとが互いに相違し、前記演算式WmとWnとが互いに相違し、
前記共有情報Uj(j=1,...,J)は、それぞれ、r(j,0,0), r(j,0,1), r(j,1,0), r(j,1,1)に対してg(r(j,0,0)・a・b+r(j,0,1)・a・y+r(j,1,0)・b・t+r(j,1,1)・t・y)を満たし、
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、ベクトル(r(m,0,0), r(m,1,0), r(m,0,1), r(m,1,1))とベクトル(r(n,0,0), r(n,1,0), r(n,0,1), r(n,1,1))とが一次独立である、
ことを特徴とする情報共有方法。 - 請求項1の情報共有方法であって、
前記演算式Vjは、Uj=Br(j,0,0)・a+r(j,1,0)・t・Yr(j,0,1)・a+r(j,1,1)・t又はそれに変形可能な式であり、
前記演算式Wjは、Uj=Ar(j,0,0)・b+r(j,0,1)・y・Tr(j,1,0)・b+r(j,1,1)・y又はそれに変形可能な式である、
ことを特徴とする情報共有方法。 - 第1情報共有装置と第2情報共有装置とが情報を共有する情報共有方法であって、
前記第1情報共有装置で、任意値tを生成するステップと、
前記第1情報共有装置で、前記任意値tと巡回群G1の生成元g1とを用い、出力情報T=g1 t∈G1を生成するステップと、
前記第1情報共有装置で、前記出力情報Tを出力するステップと、
前記第2情報共有装置で、任意値yを生成するステップと、
前記第2情報共有装置で、前記任意値yと前記生成元g2とを用い、出力情報Y=g2 y∈G2を生成するステップと、
前記第2情報共有装置で、前記出力情報Yを出力するステップと、
前記第1情報共有装置で、前記出力情報Yの入力を受け付けるステップと、
前記第1情報共有装置で、前記第2情報共有装置の公開情報B=g2 b∈G2と、前記出力情報Yと、秘密情報z及び前記第1情報共有装置の公開情報A=g1 a∈G1に対応する前記第1情報共有装置の秘密情報C=Az∈G1と、g1 zである公開情報P1及び/又はg2 zである公開情報P2と、前記任意値tとを用い、各演算式Vj(j=1,...,J、Jは2以上の整数)がそれぞれ表す共有情報Uj(j=1,...,J)を生成するステップと、
前記第2情報共有装置で、前記出力情報Tの入力を受け付けるステップと、
前記第2情報共有装置で、前記第1情報共有装置の公開情報A=g1 a∈G1と、前記出力情報Tと、前記秘密情報z及び前記公開情報Bに対応する前記第2情報共有装置の秘密情報D=Bz∈G2と、前記公開情報P1及び/又は前記公開情報P2と、前記任意値yとを用い、各演算式Wj(j=1,...,J)がそれぞれ表す前記共有情報Uj(j=1,...,J)を生成するステップと、を有し、
前記演算式Vj(j=1,...,J)及び前記演算式Wj(j=1,...,J)は、それぞれ、前記巡回群G1の元と前記巡回群G2の元とから巡回群GTの元を得る双線形写像e:G1×G2→GTを含み、
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、前記演算式VmとVnとが互いに相違し、前記演算式WmとWnとが互いに相違し、
前記共有情報Uj(j=1,...,J)は、それぞれ、r(j,0,0), r(j,0,1), r(j,1,0), r(j,1,1)に対してgT z・(r(j,0,0)・a・b+r(j,0,1)・a・y+r(j,1,0)・b・t+r(j,1,1)・t・y)∈GTを満たし、
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、ベクトル(r(m,0,0), r(m,1,0), r(m,0,1), r(m,1,1))とベクトル(r(n,0,0), r(n,1,0), r(n,0,1), r(n,1,1))とが一次独立である、
ことを特徴とする情報共有方法。 - 請求項3の情報共有方法であって、
前記演算式Vjは、Uj=e(Cr(j,0,0)・P1 r(j,1,0)・t,B)・e(Cr(j,0,1)・P1 r(j,1,1)・t,Y)又はそれに変形可能な式であり、かつ、
前記演算式Wjは、Uj=e(A,Dr(j,0,0)・P2 r(j,0,1)・y)・e(T,Dr(j,1,0)・P2 r(j,1,1)・y)又はそれに変形可能な式である、
ことを特徴とする情報共有方法。 - 請求項3又は4の情報共有方法であって、
G1=G2及びg1=g2であり、
前記第1情報共有装置で、Ytを共有情報UJ+1として生成するステップと、
前記第2情報共有装置で、Tyを前記共有情報UJ+1として生成するステップと、
を有する情報共有方法。 - 請求項3又は4の情報共有方法であって、
前記第1情報共有装置で、前記任意値tと前記生成元g2とを用い、出力情報T2=g2 t∈G2を生成するステップと、
前記第1情報共有装置で、前記出力情報T2を出力するステップと、
前記第2情報共有装置で、前記任意値yと前記生成元g1とを用い、出力情報Y1=g1 y∈G2を生成するステップと、
前記第2情報共有装置で、前記出力情報Y1を出力するステップと、
前記第1情報共有装置で、Y1 tを共有情報1UJ+1として生成するステップと、
前記第1情報共有装置で、Ytを共有情報2UJ+1として生成するステップと、
前記第2情報共有装置で、Tyを共有情報1UJ+1として生成するステップと、
前記第2情報共有装置で、T2 yを共有情報2UJ+1として生成するステップと、
を有する情報共有方法。 - 請求項1から6の何れかの情報共有方法であって、
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、すべてのι(ι=0,1)に対するベクトル(r(m,ι,0), r(m,ι,1))とベクトル(r(n,ι,0), r(n,ι,1))とが一次独立であり、かつ、少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、すべてのθ(θ=0,1)に対するベクトル(r(m,0,θ), r(m,1,θ))とベクトル(r(n,0,θ), r(n,1,θ))とが一次独立であり、かつ、
aとtとの線形結合をLAj(a,t)とし、bとyとの線形結合をLBj(b,y)とした場合における、すべてのj=1,...,Jについてr(j,0,0)・a・b+r(j,0,1)・a・y+r(j,1,0)・b・t+r(j,1,1)・t・y=LAj(a,t)・LBj(b,y)を満たす、
ことを特徴とする情報共有方法。 - 請求項1から6の何れかの情報共有方法であって、
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、すべてのι(ι=0,1)に対するベクトル(r(m,ι,0), r(m,ι,1))とベクトル(r(n,ι,0), r(n,ι,1))とが一次独立であり、かつ、少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、すべてのθ(θ=0,1)に対するベクトル(r(m,0,θ), r(m,1,θ))とベクトル(r(n,0,θ), r(n,1,θ))とが一次独立であり、かつ、
u0=a, v0=b, u1=t, v1=yとし、u0とu1との線形結合をLAj,ι,*(u0,u1)とし、v0とv1との線形結合をLBj,ι,*(v0,v1)とした場合における、すべてのι(ι=0,1)についてr(j,ι,0)・uι・v0+r(j,ι,1)・uι・v1=LAj,ι,*(u0,u1)・LBj,ι,*(v0,v1)を満たし、かつ、u0とu1との線形結合をLAj,*,θ(u0,u1)とし、v0とv1との線形結合をLBj,*,θ(v0,v1)とした場合における、すべてのθ(θ=0,1)についてr(j,0,θ)・u0・vθ+r(j,1,θ)・u1・vθ=LAj,*,θ(u0,u1)・LBj,*,θ(v0,v1)を満たす、
ことを特徴とする情報共有方法。 - 請求項1から8の何れかの情報共有方法であって、
前記第1情報共有装置で、前記第1情報共有装置で得られた前記共有情報Uj(j=1,...,J)を含む情報を関数に入力して得られる鍵を生成するステップと、
前記第2情報共有装置で、前記第2情報共有装置で得られた前記共有情報Uj(j=1,...,J)を含む情報を前記関数に入力して得られる前記鍵を生成するステップと、
を有する情報共有方法。 - 他の装置と情報を共有する情報共有装置であって、
任意値tを生成する任意値生成部と、
前記任意値tと巡回群Gの生成元gとを用い、出力情報T=gt∈Gを生成する出力情報生成部と、
前記出力情報Tを出力する出力部と、
出力情報Yの入力を受け付ける入力部と、
前記第2情報共有装置の秘密情報bに対応する公開情報B=gb∈Gと、前記出力情報Yと、秘密情報aと、前記任意値tとを用い、各演算式Vj(j=1,...,J、Jは2以上の整数)がそれぞれ表す共有情報Uj(j=1,...,J)を生成する共有情報生成部と、を有し、
前記演算式Vj(j=1,...,J)は、それぞれ前記巡回群Gでの演算を表し、
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、前記演算式VmとVnとが互いに相違し、
前記共有情報Uj(j=1,...,J)は、それぞれ、r(j,0,0), r(j,0,1), r(j,1,0), r(j,1,1)に対してg(r(j,0,0)・a・b+r(j,0,1)・a・y+r(j,1,0)・b・t+r(j,1,1)・t・y)を満たし、
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、ベクトル(r(m,0,0), r(m,1,0), r(m,0,1), r(m,1,1))とベクトル(r(n,0,0), r(n,1,0), r(n,0,1), r(n,1,1))とが一次独立である、
ことを特徴とする情報共有装置。 - 他の装置と情報を共有する情報共有装置であって、
任意値tを生成する任意値生成部と、
前記任意値tと巡回群G1の生成元g1とを用い、出力情報T=g1 t∈G1を生成する出力情報生成部と、
前記出力情報Tを出力する出力部と、
前記出力情報Yの入力を受け付ける入力部と、
前記第2情報共有装置の公開情報B=g2 b∈G2と、前記出力情報Yと、秘密情報z及び前記第1情報共有装置の公開情報A=g1 a∈G1に対応する前記第1情報共有装置の秘密情報C=Az∈G1と、g1 zである公開情報P1及び/又はg2 zである公開情報P2と、前記任意値tとを用い、各演算式Vj(j=1,...,J、Jは2以上の整数)がそれぞれ表す共有情報Uj(j=1,...,J)を生成する共有情報生成部と、を有し、
前記演算式Vj(j=1,...,J)は、それぞれ、前記巡回群G1の元と前記巡回群G2の元とから巡回群GTの元を得る双線形写像e:G1×G2→GTを含み、
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、前記演算式VmとVn(m,n∈{1,...,J},m≠n)とが互いに相違し、
前記共有情報Uj(j=1,...,J)は、それぞれ、r(j,0,0), r(j,0,1), r(j,1,0), r(j,1,1)に対してgT z・(r(j,0,0)・a・b+r(j,0,1)・a・y+r(j,1,0)・b・t+r(j,1,1)・t・y)∈GTを満たし、
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、ベクトル(r(m,0,0), r(m,1,0), r(m,0,1), r(m,1,1))とベクトル(r(n,0,0), r(n,1,0), r(n,0,1), r(n,1,1))とが一次独立である、
ことを特徴とする情報共有装置。 - 第1情報共有装置と第2情報共有装置とを有し、
前記第1情報共有装置は、
任意値tを生成する第1任意値生成部と、
前記任意値tと巡回群Gの生成元gとを用い、出力情報T=gt∈Gを生成する第1出力情報生成部と、
前記出力情報Tを出力する第1出力部と、を有し、
前記第2情報共有装置は、
任意値yを生成する第2任意値生成部と、
前記任意値yと前記生成元gとを用い、出力情報Y=gy∈Gを生成する第2出力情報生成部と、
前記出力情報Yを出力する第出力部と、を有し、
前記第1情報共有装置は、さらに、
前記出力情報Yの入力を受け付ける第1入力部と、
前記第2情報共有装置の秘密情報bに対応する公開情報B=gb∈Gと、前記出力情報Yと、前記第1情報共有装置の秘密情報aと、前記任意値tとを用い、各演算式Vj(j=1,...,J、Jは2以上の整数)がそれぞれ表す共有情報Uj(j=1,...,J)を生成する第1共有情報生成部と、を有し、
前記第2情報共有装置は、さらに、
前記出力情報Tの入力を受け付ける第2入力部と、
前記第1情報共有装置の秘密情報aに対応する公開情報A=ga∈Gと、前記出力情報Tと、前記第2情報共有装置の秘密情報bと、前記任意値yとを用い、各演算式Wj(j=1,...,J)がそれぞれ表す前記共有情報Uj(j=1,...,J)を生成する第2共有情報生成部と、を有し、
前記演算式Vj(j=1,...,J)及び前記演算式Wj(j=1,...,J)は、それぞれ、前記巡回群Gでの演算を表し、
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、前記演算式VmとVnとが互いに相違し、前記演算式WmとWnとが互いに相違し、
前記共有情報Uj(j=1,...,J)は、それぞれ、r(j,0,0), r(j,0,1), r(j,1,0), r(j,1,1)に対してg(r(j,0,0)・a・b+r(j,0,1)・a・y+r(j,1,0)・b・t+r(j,1,1)・t・y)を満たし、
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、ベクトル(r(m,0,0), r(m,1,0), r(m,0,1), r(m,1,1))とベクトル(r(n,0,0), r(n,1,0), r(n,0,1), r(n,1,1))とが一次独立である、
ことを特徴とする情報共有システム。 - 第1情報共有装置と第2情報共有装置とを有し、
前記第1情報共有装置は、
任意値tを生成する第1任意値生成部と、
前記任意値tと巡回群G1の生成元g1とを用い、出力情報T=g1 t∈G1を生成する第1出力情報生成部と、
前記出力情報Tを出力する第1出力部と、を有し、
前記第2情報共有装置は、
任意値yを生成する第2任意値生成部と、
前記任意値yと前記生成元g2とを用い、出力情報Y=g2 y∈G2を生成する第2出力情報生成部と、
前記出力情報Yを出力する第2出力部と、を有し、
前記第1情報共有装置は、さらに、
前記出力情報Yの入力を受け付ける第1入力部と、
前記第2情報共有装置の公開情報B=g2 b∈G2と、前記出力情報Yと、秘密情報z及び前記第1情報共有装置の公開情報A=g1 a∈G1に対応する前記第1情報共有装置の秘密情報C=Az∈G1と、g1 zである公開情報P1及び/又はg2 zである公開情報P2と、前記任意値tとを用い、各演算式Vj(j=1,...,J、Jは2以上の整数)がそれぞれ表す共有情報Uj(j=1,...,J)を生成する第1共有情報生成部と、を有し、
前記第2情報共有装置は、さらに、
前記出力情報Tの入力を受け付ける第2入力部と、
前記第1情報共有装置の公開情報A=g1 a∈G1と、前記出力情報Tと、前記秘密情報z及び前記公開情報Bに対応する前記第2情報共有装置の秘密情報D=Bz∈G2と、前記公開情報P1及び/又は前記公開情報P2と、前記任意値yとを用い、各演算式Wj(j=1,...,J)がそれぞれ表す前記共有情報Uj(j=1,...,J)を生成する第2共有情報生成部と、を有し、
前記演算式Vj(j=1,...,J)及び前記演算式Wj(j=1,...,J)は、それぞれ、前記巡回群G1の元と前記巡回群G2の元とから巡回群GTの元を得る双線形写像e:G1×G2→GTを含み、
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、前記演算式VmとVnとが互いに相違し、前記演算式WmとWnとが互いに相違し、
前記共有情報Uj(j=1,...,J)は、それぞれ、r(j,0,0), r(j,0,1), r(j,1,0), r(j,1,1)に対してgT z・(r(j,0,0)・a・b+r(j,0,1)・a・y+r(j,1,0)・b・t+r(j,1,1)・t・y)∈GTを満たし、
少なくとも一部のm,n∈{1,...,J}(m≠n)の組について、ベクトル(r(m,0,0), r(m,1,0), r(m,0,1), r(m,1,1))とベクトル(r(n,0,0), r(n,1,0), r(n,0,1), r(n,1,1))とが一次独立である、
ことを特徴とする情報共有システム。 - 請求項10又は11の情報共有装置としてコンピュータを機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011008726A JP5449214B2 (ja) | 2011-01-19 | 2011-01-19 | 情報共有方法、情報共有システム、情報共有装置、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011008726A JP5449214B2 (ja) | 2011-01-19 | 2011-01-19 | 情報共有方法、情報共有システム、情報共有装置、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012151648A true JP2012151648A (ja) | 2012-08-09 |
JP5449214B2 JP5449214B2 (ja) | 2014-03-19 |
Family
ID=46793496
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011008726A Active JP5449214B2 (ja) | 2011-01-19 | 2011-01-19 | 情報共有方法、情報共有システム、情報共有装置、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5449214B2 (ja) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH02288746A (ja) * | 1989-04-17 | 1990-11-28 | Trw Inc | 暗号システムにおける安全キー発生装置及び安全セッションキー発生方法 |
JPH088895A (ja) * | 1994-06-10 | 1996-01-12 | Sun Microsyst Inc | インターネット手順のキー管理のための方法ならびにその装置 |
JP2000502553A (ja) * | 1995-04-21 | 2000-02-29 | サーティコム・コーポレーション | 内在的署名を用いた鍵一致及び輸送プロトコル |
US20070043946A1 (en) * | 2005-08-18 | 2007-02-22 | Microsoft Corporation | Key confirmed authenticated key exchange with derived ephemeral keys |
US20070055880A1 (en) * | 2005-08-18 | 2007-03-08 | Microsoft Corporation | Authenticated key exchange with derived ephemeral keys |
JP2009130872A (ja) * | 2007-11-28 | 2009-06-11 | Nippon Telegr & Teleph Corp <Ntt> | 鍵共有方法、第1装置、第2装置、及び、それらのプログラム |
JP2009526411A (ja) * | 2005-02-10 | 2009-07-16 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 装置またはネットワークによって相互接続された2当事者間の交換の方法、信号伝送媒体、および装置(チャレンジ・レスポンス署名および高性能で安全なDiffie−Hellmanプロトコルに関する方法および構造) |
-
2011
- 2011-01-19 JP JP2011008726A patent/JP5449214B2/ja active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH02288746A (ja) * | 1989-04-17 | 1990-11-28 | Trw Inc | 暗号システムにおける安全キー発生装置及び安全セッションキー発生方法 |
JPH088895A (ja) * | 1994-06-10 | 1996-01-12 | Sun Microsyst Inc | インターネット手順のキー管理のための方法ならびにその装置 |
JP2000502553A (ja) * | 1995-04-21 | 2000-02-29 | サーティコム・コーポレーション | 内在的署名を用いた鍵一致及び輸送プロトコル |
JP2009526411A (ja) * | 2005-02-10 | 2009-07-16 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 装置またはネットワークによって相互接続された2当事者間の交換の方法、信号伝送媒体、および装置(チャレンジ・レスポンス署名および高性能で安全なDiffie−Hellmanプロトコルに関する方法および構造) |
US20070043946A1 (en) * | 2005-08-18 | 2007-02-22 | Microsoft Corporation | Key confirmed authenticated key exchange with derived ephemeral keys |
US20070055880A1 (en) * | 2005-08-18 | 2007-03-08 | Microsoft Corporation | Authenticated key exchange with derived ephemeral keys |
JP2009130872A (ja) * | 2007-11-28 | 2009-06-11 | Nippon Telegr & Teleph Corp <Ntt> | 鍵共有方法、第1装置、第2装置、及び、それらのプログラム |
Non-Patent Citations (2)
Title |
---|
KIM, M.: "Strongly Secure Authenticated Key Exchange without NAXOS' Approach", LECTURE NOTES IN COMPUTER SCIENCE, vol. 5824, JPN6013061900, 2009, pages 174 - 191, XP019132545, ISSN: 0002704960 * |
USTAOGLU, B.: "Comparing SessionStateReveal and EphemeralKeyReveal for Diffie-Hellman Protocols", LECTURE NOTES IN COMPUTER SCIENCE, JPN6013061897, 2009, pages 183 - 197, XP019131885, ISSN: 0002704959 * |
Also Published As
Publication number | Publication date |
---|---|
JP5449214B2 (ja) | 2014-03-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Alabdulatif et al. | Towards secure big data analytic for cloud-enabled applications with fully homomorphic encryption | |
Cheon et al. | Cryptanalysis of the new CLT multilinear map over the integers | |
Liu et al. | Efficient and privacy-preserving outsourced calculation of rational numbers | |
JP5562475B2 (ja) | 秘密分散システム、分散装置、分散管理装置、取得装置、それらの処理方法、秘密分散方法、プログラム | |
Xu et al. | Tc-PEDCKS: Towards time controlled public key encryption with delegatable conjunctive keyword search for Internet of Things | |
US10812265B1 (en) | Using cryptographic co-processors in a supersingular isogeny-based cryptosystem | |
US11902432B2 (en) | System and method to optimize generation of coprime numbers in cryptographic applications | |
EP2675107B1 (en) | Encryption processing system, key generation device, encryption device, decryption device, key delegation device, encryption processing method, and encryption processing program | |
TW201629829A (zh) | 用於加密操作之指數分拆技術 | |
Su et al. | How to securely outsource the inversion modulo a large composite number | |
JP2018036418A (ja) | 暗号システム、暗号方法及び暗号プログラム | |
JP6767933B2 (ja) | パラメータ変換方法、パラメータ変換装置、パラメータ変換プログラム、ペアリング演算方法、ペアリング演算装置、及びペアリング演算プログラム | |
Al-Zubi et al. | Efficient signcryption scheme based on El-Gamal and Schnorr | |
JP5449214B2 (ja) | 情報共有方法、情報共有システム、情報共有装置、及びプログラム | |
JP5227201B2 (ja) | ビットコミットメントシステム、ビットコミットメント方法、ビットコミットメント送信装置、ビットコミットメント受信装置、ビットコミットメント送信方法、ビットコミットメント受信方法、ビットコミットメントプログラム | |
JP4773941B2 (ja) | 代理署名装置、署名者装置、署名検証装置及びそれらのプログラム | |
US10805081B1 (en) | Processing batches of point evaluations in a supersingular isogeny-based cryptosystem | |
JP5491260B2 (ja) | 情報共有方法、情報共有システム、情報共有装置、及びプログラム | |
JP4598269B2 (ja) | 楕円曲線上の高速有限体演算 | |
Elashry et al. | An efficient variant of Boneh-Gentry-Hamburg’s identity-based encryption without pairing | |
Yang et al. | Secure-channel free certificateless searchable public key authenticated encryption with keyword search | |
Chrapek et al. | HEAR: Homomorphically Encrypted Allreduce | |
WO2023228408A1 (ja) | パラメータ生成システム、パラメータ生成方法、及びパラメータ生成プログラム | |
JP5506633B2 (ja) | 代理計算システム、端末装置、代理計算装置、代理計算方法、及びプログラム | |
JP6777569B2 (ja) | ペアリング演算装置、ペアリング演算方法、およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121225 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131217 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131224 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5449214 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |