JP2012256083A - 証明書に基づく暗号化および公開鍵構造基盤 - Google Patents

証明書に基づく暗号化および公開鍵構造基盤 Download PDF

Info

Publication number
JP2012256083A
JP2012256083A JP2012219598A JP2012219598A JP2012256083A JP 2012256083 A JP2012256083 A JP 2012256083A JP 2012219598 A JP2012219598 A JP 2012219598A JP 2012219598 A JP2012219598 A JP 2012219598A JP 2012256083 A JP2012256083 A JP 2012256083A
Authority
JP
Japan
Prior art keywords
receiving device
key
secret
node
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012219598A
Other languages
English (en)
Inventor
Craig Gentry
クレイグ、ジェントリー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Publication of JP2012256083A publication Critical patent/JP2012256083A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model

Abstract

【課題】本発明は、認証者を含む公開鍵に基づく暗号化システムにおいて、送信者から受信者に対してデジタルメッセージを送信する方法を提供する。
【解決手段】認証者は、1つのエンティティであっても良く、あるいは、階層型あるいは分散型のエンティティを構成しても良い。本発明は、受信者が認証者から最新の権限を有している場合にのみメッセージ受信者がメッセージ送信者からのメッセージを復号することができる、鍵状態の問い合わせ又はキーエスクローを伴わない、効率的なプロトコルによるメッセージの通信を可能にする。本発明は、多数(例えば数百万)のユーザを含むシステムでそのような通信を可能にする。
【選択図】図1

Description

(関連出願)
本出願は、2002年8月28日に提出された米国仮特許出願60/406,721および2002年9月20日に提出された米国仮特許出願60/412,221の利益を主張する。なお、これらの仮特許出願の全内容は、これらを参照することにより、本願に組み込まれる。
本発明は、一般に、コンピュータネットワークまたは他のタイプのシステムおよび装置を介した通信の暗号化および保護に関し、特に、公開鍵暗号化を実行する改良された方法に関する。
公開鍵暗号化に基づく通信システムのユーザは、2つの異なる鍵すなわち公開鍵と秘密鍵とによって、他のユーザと通信を行なう。ユーザの公開鍵および秘密鍵は、公開鍵/秘密鍵対を形成する。メッセージ送信者は、受信者の公開鍵を使用してメッセージを暗号化することにより、メッセージ受信者と安全に通信する。その後、送信者は、受信者自身の秘密鍵を使用してメッセージを復号する受信者に対して、メッセージを送信する。
公開鍵に基づく暗号システムのユーザに送られるメッセージの安全性は、ユーザの公開鍵の安全性に依存している。ユーザの公開鍵は、他のユーザにとって自由に利用できるものであるが、ユーザは、その秘密鍵を秘密状態に維持するとともに、ユーザに送られるメッセージを受信する権利が与えられた者だけにその秘密鍵を知られる状態にする。
公開鍵暗号化を行なうには、鍵分配等の要件を管理し且つ鍵の有効性を認証するための「構造基盤(インフラ)が必要である。メッセージ送信者は、受信者へのメッセージを暗号化する前に、受信者の公開鍵にアクセスしなければならない。また、送信者は、この鍵が有効であり且つ危うくされていないことを確認しなければならない。
公開鍵暗号システムにおいては、信頼されている第三者−「認証局」(CA)が鍵分配および認証等の機能を果たしても良い。一般に、CAは、そのクライアントユーザの各々のための「証明書」を、当該署名書の有効性を確認するためのCAの電子署名と共に発行する。証明書は、幾つかの数量を一括して安全にバインドする。通常、証明書は、クライアントの名前やクライアントの公開鍵等のパラメータを含んでいる。また、証明書の発行日および有効期限日等のパラメータが含まれていても良い。クライアントの証明書を発行することにより、CAは、関連付けられている公開鍵が本物であり且つ当該証明書の有効期間において特定のユーザに対応していることを証明する。
その意図された有効期限日前に、クライアントの証明書の取消が必要となることもあり得る。例えば、他の当事者がそのクライアントの秘密鍵を危うくする場合には、取消が必要となることがある。あるいは、クライアントが、公開鍵を使用する権利をもはや与えられないという場合もある。証明書が取消可能である場合、他のユーザは、証明書が現在有効であることを示す認証状態情報をCAが分配しない限り、その証明書に頼ることができない。そのような情報は、最新のものでなければならず、頼っている全ての当事者に対して分配されなければならない。そのような多量の情報を分配するには、CAの一部に十分なリソースが必要であり、また、そのような分配は、広範囲にわたる公開鍵暗号化の実施にとって障害となる。
鍵取消問題を扱う最も良く知られた−しかし非効率的な−公開鍵構造基盤(PKI)の案は、認証取消リスト(CRL)である。CRLは、意図された有効期限日前に取り消された証明書のリストである。CAは、このリストをその署名とともに定期的に発行して、CRLの有効性を認める。CAは多くの証明書をその意図された有効期限日前に取り消す場合があるため、特にCAが多くのクライアントを有している場合には、CRLは非常に長くなる場合がある。証明書状態のチェックを必要とする各当事者は、このリストを受信する。この手法に対する改良は、CAの前回の更新後に取り消された証明書だけの送信を必要とする。しかしながら、送信および構造基盤のコストは依然として高い。
代替の提案は、オンライン証明書状態プロトコル(OCSP)である。このプロトコルにおいて、任意のユーザは、クライアントの公開鍵の有効性を含むCAの任意のクライアントの状態に関して、CAに問い合わせることができる。CAは、証明書の現在の状態に関して新たな署名を生成することにより、各問合せに対して応答する。この案によれば、問い合せ毎の1つの署名の送信コストが低減する。しかしながら、全ての問合せに対する応答で新たな署名が必要となるため、計算コストが高くなる。また、CAが中央集中化されている場合には、CAがサービス拒絶(DoS)攻撃を受け易くなるため、安全性も減少する。
更に有望なプロトコルは、Micali「Novomodo」システムである(S. Micali、効率的な証明書取消、RSAデータセキュリティ会議の議事録1997; S. Micali, Novomodo:拡張可能な証明書検証および簡易化されるPKI管理、PKIリサーチワークショップ、2002)。Novomodoシステムは、CAと、証明書情報を分配するための1または複数のディレクトリと、複数のユーザと、を含んでいる。しかしながら、Novomodoシステムは、安全性を犠牲にすることなく、CRLおよびOCSPよりも良好な効率を得ることができる。CRLに基づくシステムよりも優れたNovomodoの利点は、CRLの長さは取り消された証明書の数とともに長くなるのに、証明書状態の問合せに対するディレクトリの応答がCRLプロトコルに比べて簡潔である、という点である。Novomodoは、OCSPよりも優れた幾つかの利点を有している。まず第1に、CAの計算的な負担が大幅に軽くなる。第2に、OCSPの分散された構成要素とは異なり、Novomodoのディレクトリは、信頼されている必要がない。第3に、Novomodoは、Dos攻撃に対してあまり影響を受けない。最後に、OCSPのディレクトリ−ユーザ間通信コストは低いが、Novomodoのそれは典型的にはもっと低い。しかしながら、Novomodoは、依然として、証明書状態問い合わせを必要とする。
証明書状態問合せを含むプロトコルに対する多くの改良は、PKI計算および送信要件を減らし且つ様々なトレードオフを提供しようとしている。一方、証明書状態問合せを除去する或いは少なくとも減らすのには、幾つかの理由がある。第1に、そのような問合せは、任意のユーザによってなされ、また、任意のクライアントに関係し得る。したがって、システム内の全てのCAサーバは、CAの全てのクライアントのために証明書状態を決定することができなければならない。第2に、クライアントからの証明書状態問合せは、CAの問合せ処理コストを増大させる。N人のクライアントの各々が10人の他のクライアントの状態を毎日問い合わせる場合、CAは10N個の問合せを処理しなければならない。第3に、非クライアントの問い合わせは、ビジネスモデルの観点から望ましくない。CAが非クライアントからの問合せをどのように扱うべきかは、経済的に不明瞭である。最後に、前述したように、CAが非クライアントからの問合せに応答しなければならない場合、CAはDos攻撃に対して影響を受け易くなる。
同一性(識別情報)に基づく暗号システムは、第三者の問い合わせを除去する。同一性に基づく暗号化システムは、ユーザの公開鍵がユーザの同一性(名前、住所、電子メールアドレス、IPアドレス等)から得られる公開鍵暗号化システムである。信頼されている第三者は、ユーザの同一性情報と信頼されている第三者によって保持されたマスターシークレットとを使用して、ユーザの秘密鍵を生成する。そのようなシステムにおいて、第1のユーザは、第2のユーザの識別情報および第2のユーザのCAのパラメータ以外の明示的な情報を得ることなく、第2のユーザへのメッセージを暗号化することができる。第2のユーザは、更新された秘密鍵をそのCAから当該ユーザが受けた時にだけ、そのメッセージを復号することができる。
同一性に基づく暗号システムの概念は、スプリンガー出版から出版の、A.Shamirによる「同一性に基づく暗号システムおよび署名スキーム」、暗号システムの進歩−Crypto' 1984年、コンピュータサイエンス196(1984)の講義ノート、P47−53で提案された。しかしながら、実用的な同一性に基づく暗号化スキームは、最近まで見当たらなかった。例えば、同一性に基づくスキームは、http://www.cesg.gov.uk/technology/id−pkc/media/ciren.pdfで利用可能なC.Cocksの「平方剰余に基づいた同一性に基づく暗号化スキーム」;スプリンガー出版から出版の、D.Boneh, M.Franklinによる「ウェイルペアリングによる同一性に基づく暗号化」、暗号システムの進歩−Crypto 2001、コンピュータサイエンス2139(2001)の講義ノート、P213−229;http://www.cs.stanford.edu/〜dabo/papers/ibe.pdfで利用可能なD.Boneh, M.Franklinによる「ウェイルペアリングによる同一性に基づく暗号化(拡張版)」、において提案された。Cocksのスキームは「平方剰余問題」に基づいており、暗号化および復号がかなり速い(ほぼRSAの速度)が、著しいメッセージ拡張がある(すなわち、暗号文のビット長が何度もプレーンテキストのビット長となる)。Boneh−Franklinのスキームは、秘匿性を「バイリニアなディフィー・ヘルマン問題」に基づいており、超特異な楕円曲線またはアーベル多様体においてウェイルペアリングまたはテートペアリングを使用する際にかなり速く効率が良い。
しかしながら、既存の同一性に基づく暗号システムは、受け入れが限られていた。この理由の主要な1つは、これらのシステムがキー・エスクローを含んでいるということである。CAは、全てのユーザの秘密鍵を生成するため、暗号システムにおける全ての秘密を知っている。その結果、既存の同一性に基づく暗号システムは、CAまたはマスターシークレットを発見する任意の他の当事者が2人のユーザの共有の秘密を決定することができるという受動的な攻撃を受け易い。
信頼されている第三者が受信者が有効な秘密鍵を保持していることを認証した時にだけ暗号システムの受信者ユーザがメッセージ送信者からのシークレットメッセージを復号することができる、という効率的なスキームが必要である。理想的には、そのようなスキームは、受信者の秘密鍵の状態に関して、メッセージ送信者が第三者を含む他の当事者に問合せすることを要求してはならない。また、そのようなスキームは、第三者キー・エスクローという欠点を有していてはならない。
したがって、本発明の目的は、鍵状態問合せ又はキー・エスクローを含まず、当該受信者が承認(例えば最新の証明書)を第三者から得た場合にだけメッセージ受信者がメッセージ送信者からのメッセージを復号することができる、効率的なプロトコルを提供することである。また、本発明の更なる目的は、幾つかの当事者による承認を条件に受信者の復号が可能になる、そのようなプロトコルを提供することである。本発明の他の目的は、第三者が暗号システム内に階層的な承認エンティティを含んでいる、そのようなプロトコルを提供することである。本発明の更に他の目的は、短い有効期間を有する秘密鍵をユーザに与える効率的な方法を提供することである。本発明の更なる目的は、多数(例えば数百万)のユーザを含むシステム内でそのような通信を行なうことができる、そのようなプロトコルを提供することである。
本発明は、安全で且つ実用的な証明書に基づく暗号化スキームを実行するための方法を提供する。
本発明の一態様においては、送信者と、受信者と、認証者とを含む公開鍵暗号化スキームで、送信者と受信者との間でデジタルメッセージを暗号化して復号する方法が提供される。本方法は、受信者公開鍵/受信者秘密鍵対を生成するステップと、受信者暗号鍵を生成するステップと、を含んでいる。認証者の秘密である鍵生成シークレットが選択される。少なくとも前記鍵生成シークレットと前記受信者暗号鍵とを使用して、受信者復号鍵が生成される。この場合、前記受信者復号鍵から形成される鍵および前記受信者暗号鍵から形成される鍵が、公開鍵/秘密鍵対である。
少なくとも前記受信者公開鍵と前記受信者暗号鍵とを使用して、デジタルメッセージが暗号化され、これにより、暗号化されたデジタルメッセージが形成される。少なくとも受信者秘密鍵と受信者復号鍵とを使用して、暗号化されたデジタルメッセージが復号される。
本発明の他の態様においては、複数の認証者を含む公開鍵暗号化システムで、送信者と受信者との間でデジタルメッセージを送信する方法であって、複数の認証者は、少なくとも1つのルート認証者と、当該ルート認証者と受信者との間の階層中にある下位レベル認証者と、を含んでいるという方法が提供される。本方法は、受信者公開鍵/秘密鍵対を生成するステップと、受信者暗号鍵を生成するステップと、を含んでいる。この場合、受信者暗号鍵は、受信者の先祖の少なくとも1つの同一性情報を使用して生成される。
ルート鍵生成シークレットが選択されるとともに、当該ルート鍵生成シークレットに基づいてルート鍵生成パラメータが生成される。その後、前記受信者暗号鍵と、前記ルート鍵生成シークレットと、対応するルート鍵生成パラメータと、に関連付けられるように、受信者復号鍵が生成される。
前記受信者公開鍵と受信者暗号鍵とを使用して、デジタルメッセージが暗号化され、これにより、暗号化されたデジタルメッセージが形成される。この場合、前記受信者復号鍵から形成される鍵および前記受信者暗号鍵から形成される鍵が、公開鍵/秘密鍵対である。暗号化されたデジタルメッセージは、少なくとも前記受信者秘密鍵と前記受信者復号鍵とを使用することにより復号される。
本発明の他の態様においては、複数の認証者を含む暗号化システム中でエンティティのための復号鍵を生成する方法であって、複数の認証者は、少なくとも1つのルート認証者と、当該ルート認証者とエンティティとの間の階層中にある下位レベル認証者と、を含んでいるという方法が提供される。
本方法は、ルート鍵生成シークレットを生成するステップと、当該ルート鍵生成シークレットに基づいてルート鍵生成パラメータを生成するステップとを含んでいる。下位レベル認証者のための下位レベル鍵生成シークレットが生成される。その後、少なくともその対応する下位レベル認証者における下位レベル鍵生成シークレットを使用して、下位レベル認証者のための下位レベル鍵生成パラメータが生成される。
エンティティのための復号鍵における有効期間を規定する復号鍵生成スケジュールが定められる。少なくともルート鍵生成シークレットと1または複数の下位レベル鍵生成シークレットとに関連付けられるように、エンティティのための復号鍵が生成される。
本発明の他の態様においては、送信者と、受信者と、複数の認証者とを含む公開鍵暗号化スキームで、送信者と受信者との間でデジタルメッセージを送信する方法であって、受信者は、認証者からの承認を有している場合にだけ、デジタルメセージを復号することができるという方法が提供される。本方法は、受信者のための受信者公開鍵/秘密鍵対を生成するステップと、認証者の各々のためのシークレット鍵を生成するステップと、を含んでいる。公開鍵は、各認証者毎に、少なくともその対応する認証者におけるシークレット鍵を使用して生成される。シークレット鍵を用いて二進数字列が署名されることにより、各認証者毎に署名が生成される。
少なくとも、受信者の公開鍵と、認証者の公開鍵と、認証者によって署名された二進数字列と、を使用して、デジタルメッセージが暗号化されて、暗号文が形成される。少なくとも受信者の秘密鍵と認証者によって生成された署名とを使用して、暗号化されたデジタルメッセージが復号される。
本発明の他の態様においては、送信者と、受信者と、複数の認証者とを含む公開鍵暗号化スキームで、送信者と受信者との間でデジタルメッセージを送信する方法であって、複数の認証者は、少なくとも1つのルート認証者と、当該ルート認証者と受信者との間の階層中にある下位レベル認証者とを含み、受信者は、認証者からの承認を有している場合にだけ、デジタルメセージを復号することができるという方法が提供される。本方法は、受信者のための受信者公開鍵/秘密鍵対を生成するステップと、ルート認証者および下位レベル認証者の各々のためのシークレット鍵を生成するステップと、を含んでいる。公開鍵は、ルート認証者および下位レベル認証者の各々のため、少なくともその対応する認証者におけるシークレット鍵を使用して生成される。
署名を生成するために、それぞれが下位レベル認証者の各々の公開鍵を含んでいる複数の文書が認証される。この場合、各下位レベル認証者の公開鍵を含む前記文書は、階層中でこの下位レベル認証者よりも上位にいる認証者によって認証される。受信者公開鍵と受信者公開鍵の有効性を規定するパラメータとを含む文書は、階層中で受信者の直ぐ上位にいる認証者によって認証される。
少なくとも、受信者の公開鍵と、認証者の公開鍵と、前記文書とを使用して、デジタルメッセージが暗号化されて、暗号文が形成される。少なくとも受信者の秘密鍵と認証者によって生成された署名とを使用して、暗号化されたデジタルメッセージが復号される。
本発明の他の態様においては、送信者と、受信者と、認証者とを含む公開鍵暗号化スキームで、送信者と受信者との間でデジタルメッセージを暗号化して復号する方法が提供される。本方法は、受信者公開鍵/受信者秘密鍵対を生成するステップと、認証者に知られた鍵生成シークレットを選択するステップと、を含んでいる。時間iに対応付けられた受信者復号鍵が生成される。この場合、この鍵は鍵生成シークレットに関連付けられ、また、iよりも遅い時間に対応付けられた受信者復号鍵ではなく、iよりも早い時間に対応付けられた受信者復号鍵は、時間iに対応付けられた受信者復号鍵から生成され得る。
前記受信者公開鍵と、時間iに対応付けられた時間パラメータまたはそれよりも早い時間に対応付けられた時間パラメータと、受信者暗号鍵と、を使用して、デジタルメッセージが暗号化されて、暗号文が形成される。これにより、暗号化されたデジタルメッセージが形成される。少なくとも前記受信者秘密鍵と時間iに対応付けられた受信者復号鍵とを使用して、前記暗号化されたデジタルメッセージが復号される。
本発明の他の態様においては、送信者と、受信者を含む複数のクライアントと、認証者とを含む公開鍵暗号化スキームで、送信者と受信者との間でデジタルメッセージを送信する方法であって、デジタルメッセージは、送信者によって暗号化されるとともに、認証者により許可された時に受信者によって復号されるという方法が提供される。本方法は、受信者公開鍵/受信者秘密鍵対を生成するステップと、受信者をB−ツリーのリーフノードに関連付ける固有の二進数列を生成するステップと、を含んでいる。受信者リーフノードの各先祖ノードに関連付けられる固有の二進数列と、受信者リーフノードおよび受信者リーフノードの先祖ノードの各々のための暗号鍵と、が生成される。
また、認証者に対して知られたマスターシークレットも生成される。各ノードのための暗号鍵は、少なくともそのノードに関連付けられた二進数列に関連付けられる。
受信者リーフノードの先祖ノードの1つに関連付けられる受信者復号鍵が生成される。この場合、当該先祖ノードは、認証者によって認証されないクライアントに関連付けられたリーフノードの先祖ではない。前記受信者復号鍵は、少なくともそのノードに関連付けられた二進数列と前記マスターシークレットとに関連付けられる。受信者リーフノードの先祖ノードに関連付けられた前記受信者復号鍵は、受信者リーフノードの先祖ノードに関連付けられた暗号鍵と共に、秘密鍵/公開鍵対を形成する。
少なくとも、受信者公開鍵と、受信者リーフノードおよび受信者リーフノードの先祖ノードに関連付けられた暗号鍵と、を使用して、送信者はデジタルメッセージを暗号化し、これにより、暗号化されたデジタルメッセージが形成される。受信者は、少なくとも、受信者秘密鍵と、受信者リーフノードの先祖ノードに関連付けられた受信者復号鍵と、を使用して、暗号化されたデジタルメッセージを復号する。
本発明の一実施の形態に係るメッセージ受信者によって行なわれるステップを表わすフローチャートを示している。 本発明の一実施の形態に係る認証者によって行なわれるステップを表わすフローチャートを示している。 本発明の一実施の形態に係るメッセージ送信者によって行なわれるステップを表わすフローチャートを示している。 本発明の他の実施の形態に係る階層型の証明書に基づく暗号化スキームを表わすフローチャートを示している。 本発明の一実施の形態に係る他の階層型の証明書に基づく暗号化スキームを表わすフローチャートを示している。 図5の方法を行なうことができる典型的な階層構造を表わすブロック図を示している。 本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージ
Figure 2012256083
をエンコードしてデコードする方法を表わすフローチャートを示している。
デジタルメッセージ
Figure 2012256083
をエンコードしてデコードする方法を表わすフローチャートを示している。
本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージ
Figure 2012256083
をエンコードしてデコードする方法を表わすフローチャートを示している。
高粒度暗号化スキームを表わす図を示している。 2進木を使用する放送暗号化スキームを表わすフローチャートを示している。 カバーコンセプトを使用する放送暗号化スキームを表わすブロック図を示している。
本発明の好ましい実施形態の以下の説明では、添付図面を参照する。
本発明の方法は、受信者がメッセージを受信することを信頼された第三者(「認証者(authorizer)」)が認証する時にだけ、暗号システムの送信者がシークレットメッセージを受信者に対して通信することを許容する効率的なプロトコルを提供する。
後述するプロトコルにおいて、名称「送信者」および「受信者」は、暗号システムの2人のユーザを表わしている。そのような暗号システムは、送信者および受信者以外の多くのユーザを含んでいても良い。具体的には、送信者は、受信者によって代表される第2のユーザに対してシークレットメッセージを通信することを望んでいる第1のユーザを表わしている。メッセージは、メッセージトラフィックを確保するために対称暗号化アルゴリズムと共に使用されるセッション鍵を含む任意のタイプのデジタル情報を含んでいても良い。
用語「認証局(Certification Authority(CA))」は、暗号システムの公開鍵の構造基盤を管理する責任を負うエンティティを示している。CAの主な機能には、デジタル認証および公開鍵の生成及び分配が含まれ得る。CAは、単一のエンティティであっても良く、あるいは、エンティティの分散型構造または階層型構造から成っていても良い。
用語「認証者(authorizer)」は、メッサージ送信者によって信頼されている第三者であって、暗号システムを使用してメッセージ受信者がメッセージ受信者に対して暗号化されたメッセージを受信する権限を有していることを認証する第三者を示している。認証者は、単一のエンティティであっても良く、あるいは、エンティティの分散型構造または階層型構造から成っていても良い。多くのシステムにおいて、認証者およびCAは同じエンティティである。しかしながら、これは常にそうであるとは限らない。メッセージ受信者がメッセージを復号できるのは、任意の特定の1または複数のエンティティからの承認を条件としても良い。
用語「認証」は、他のユーザに対して自分を特定して証明するために暗号システムの個々のユーザによって使用される識別子を示している。
認証は、当該認証に含まれている情報をユーザが信用することを可能とする特定の属性を有している。典型的には、認証は、認証所有者の同一性情報、認証所有者の公開鍵、CAの同一性情報、発行日、有効期限日、シリアル番号、認証が本物で且つ有効であることをユーザに検証させることができるパラメータ、等の情報を含む文書上のデジタル署名から成る。認証を検証するため、検証者は、署名された文書を知っていなければならない。この情報は、多くの場合、認証と共に送られる。
用語「公開鍵暗号システム」は、暗号化されたメッセージを送信者が受信者に対して送信する暗号システムを示している。送信者は、受信者の公開鍵を使用して、メッセージを暗号化する。受信者は、受信者の秘密鍵を使用して、暗号化されたメッセージを復号する。そのような公開鍵および秘密鍵は、「公開鍵/秘密鍵対」を形成する。受信者の公開鍵の知識から受信者の秘密鍵をコンピュータで(計算で)割り出すことはできない。公開鍵暗号システムの例は、秘密鍵の安全性が大きい整数を因数に分解する難易度に関連しているRSA暗号システム、および、秘密鍵の安全性が離散対数問題に関連しているエルガマル(ElGamal)暗号システムである。用語「公開鍵/秘密鍵対を形成する」とは、当業者であれば分かるように、公開鍵および秘密鍵の定義は再定義されるがメッセージを暗号化および復号する鍵の全体の能力は維持される、というような状況を含んでいる。
用語「ツリー」および「B−ツリー」は、順序付けられたデータのセットを維持するデータ構造を示している。B−ツリーは、「ノード(節)」と、「リーフ(葉)」と、ノードとリーフとを互いに接続するポインタと、から成る。「ルートノード」は、B−ツリーのベースすなわち第1レベルを規定している。ポインタは、第2レベルの各ノードに対してルートノードを接続する。
第2レベルノードは、ルートノードの子ノードである。ルートノードは、第2レベルノードの親ノードである。更に、ポインタは、各第2レベルノードをそれ自身の子ノード等に対して接続しても良い。「リーフ」ノードは、B−ツリーの最高レベルのノードである。リーフノードは、2番目の最高レベルのノードの子ノードであり、それ自身の子を有していない。ある1つのノードをルートノードに接続する、ルートノード自身を含むこれらのノードは、前記1つのノードの先祖ノードと称する。
用語「2進木(バイナリーツリー)」は、リーフノードを除く全てのノードが多くても2つの子しか有しないB−ツリーを示している。
用語「2−3ツリー」は、全ての内部ノードが2つ又は3つの子を有しているB−ツリーを示している。
用語「マークル(Merkle)ツリー」は、そのうちの幾つかが例えば一方向性ハッシュ関数等の一方向性関数Hにより特定の方法で計算される値、を記憶するノードを有しているB−ツリーを示している。リーフノードは任意の値を記憶することができるが、各内部ノードは、その複数の子における値の連結からなる一方向性関数である1つの値を記憶するべきである。例えば、ある内部ノードが2つの子を有するとともに、そのうちの一方の子が値Uを記憶し他方の子が値Vを記憶する場合には、この内部ノードは、値H(UV)を記憶する。
(認証に基づく暗号化)
本発明は、1または複数の信頼されている認証者の承認を条件として暗号システムのメッセージ受信者ユーザがメッセージ送信者からのシークレットメッセージを復号できる、「認証に基づく暗号化(CBE)」スキームについて説明する。メッセージ受信者は、メッセージを復号するために、少なくとも2つの鍵を必要とする。これらの鍵のうちの1つは、1または複数の文書上における1または複数の認証者による署名である。本発明のCBEプロトコルは、公開鍵暗号化スキームと、適合された同一性情報に基づく暗号化(IBE)スキームとを含んでいる。そのようなプロトコルにより、CBEに必要な代数構造を破壊することなく、多数のユーザ(例えば数百万のユーザ)を含むCBEスキームが可能になる。後述するプロトコルにおいて、送信者は、暗号化されたメッセージを受信者に対して通信する。
公開鍵暗号化スキームにおいて、エンティティ、例えば受信者は、自分のための公開鍵/秘密鍵対(PKB、SKB)を生成する。受信者の公開鍵は、送信者を含む暗号システムの他のユーザにとって利用可能である。
他のユーザは、この鍵を使用して、受信者に対して送られるメッセージを暗号化することができる。受信者は、自分の秘密鍵を秘密状態に維持するとともに、この秘密鍵を使用することにより、受信者の公開鍵を用いて暗号化されたメッセージを復号する。
CBEプロトコルは、任意のIBEスキームを組み入れることができる。IBEスキームは、秘密鍵ジェネレータ(PKG)と呼ばれる信頼されている第三者を使用する。セットアップのため、PKGは、マスターシークレットsを生成するとともに、sにマスクをかける公開鍵を含む特定のシステムパラメータparamsを発行する。PKGは、多くのクライアントを有していても良い。各クライアントは、それを識別する単なる文字列、例えばクライアントの電子メールアドレス、である特定のIDを有している。IBEスキームにおける主なアルゴリズムは、秘密鍵生成、暗号化、及び、復号である。
秘密鍵生成アルゴリズムにおいて、PKGは、s、params及びIDを使用して、所定のID文字列に対応する秘密鍵dIDを計算する。その後、メッセージ送信者は、暗号化アルゴリズムを使用して、params、ID及び
Figure 2012256083
を使用してメッセージMのための暗号文Cを計算する。メッセージ受信者は、params、dID及びCを使用して、
Figure 2012256083
を復元する。
CBEスキームを実行するようになっているIBEスキームにおいて、認証者は、認証者の秘密である鍵生成シークレットを使用して、受信者「復号鍵」を生成する。この復号鍵は、受信者「暗号」鍵と共に、公開鍵/秘密鍵対を形成する。一実施の形態において、受信者復号鍵は、鍵生成シークレットを使用して生成される受信者暗号鍵上の署名である。メッセージ送信者は、受信者公開鍵および受信者暗号鍵を使用してデジタルメッセージを暗号化して、暗号化されたデジタルメッセージを作成する。受信者は、受信者秘密鍵および受信者復号鍵を使用して、暗号化されたデジタルメッセージを復号する。送信者は、受信者公開鍵および受信者暗号鍵の両方を使用してメッセージを暗号化するため、受信者は、暗号化されたメッセージを復号するために、受信者秘密鍵および受信者復号鍵の両方を必要とする。両方の鍵が必要であるため、受信者復号鍵を秘密状態にしておく必要はない。例えば、受信者復号鍵は、実際には、1または複数の認証者による署名であり、復号を署名として扱うことができるため、受信者が適切な承認を受けたことの検証可能な証として復号鍵を使用することができる。
一般に、暗号鍵が文書Dに対応し、復号鍵は、署名sD、すなわち、認証者の鍵生成シークレットsを使用した文書D上の認証者の署名、に対応することができる。復号鍵、したがって暗号鍵が、メッセージ送信者に知られているスケジュールを使用して更新される場合には、送信者は、メッセージを暗号化するために使用される暗号鍵に対応する復号鍵を受信者が受信する時にのみ受信者が復号することができるメッセージを暗号化することができる。
前述したスキームは、受信者の秘密鍵が侵害されて(危うくされて)いないことを確かめるために送信者が問い合わせをする必要性を回避することにより、暗号システムの構造基盤のオーバーヘッドを低減する。送信者は、認証者が新たな復号鍵を受信者に対して発行するスケジュールおよび暗号鍵を知っているだけで済む。受信者の秘密鍵を知っている攻撃者は、最新の復号鍵が無ければ、受信者を対象とするメッセージを復号することができない。従って、CBEスキームによれば、メッセージを復号するための受信者の承認が、例えば受信者の秘密鍵が侵害されている場合に、無効にされることを許容する。そのような状況において、認証者は、受信者に対して復号鍵を発行することを止める。
前記スキームは、安全なチャンネルをわたって受信者に対し復号鍵を送信する必要がない、という更なる利点を与える。受信者の秘密鍵および復号鍵が無ければ復号が不可能であるため、受信者は、復号鍵を秘密状態に維持しないで済む。
認証者は、復号鍵を知っているため、暗号鍵によって暗号化されたメッセージを復号することができる。しかしながら、送信者は、受信者の公開鍵および暗号鍵の両方を使用して受信者に対するメッセージを二重に暗号化することにより、キー・エスクローを回避する。認証者は、受信者の秘密鍵を知らないため、そのメッセージを復号することができない。
暗号鍵は任意の文書Dに対応し得るが、多くの場合、この文書は、受信者の公開鍵(PKB)を含む受信者の識別情報(PKIDB)等のパラメータと、認証者が新たな復号鍵を発行するスケジュールに応じたパラメータと、を含んでいる。
CBEスキームにおいて、受信者の暗号鍵、受信者の公開鍵、及び、認証者が新たな復号鍵を発行するスケジュールを表わすパラメータは、送信者を含む暗号システムのユーザに対して分配される。受信者は、この機能を実行することができる。あるいは、信頼されている第三者、例えばCAまたは認証者、が分配を行なっても良い。
(有効期間および取消)
現在年において有効な暗号鍵を使用して送信者が受信者へのメッセージを暗号化する場合には、受信者は、当該年中に復号するための対応する復号鍵を使用し得る。この期間の後には、受信者は、新たな鍵を認証者から取得しなければならない。更に、現在日において有効な暗号鍵を使用して送信者がメッセージを暗号化する場合には、受信者は、新たな復号鍵を毎日取得しなければならない。この手法により、任意の特定の所望期間後に鍵が自動的に取り消されるシステムを形成することができる。同様に、暗号化の構造は、予め定められた未来の時間においてのみ、送信者からのメッセージを受信者が復号できるようになっていても良い。
暗号鍵には、受信者のセキュリティレベル等の他のパラメータが含まれていても良い。時間パラメータおよびセキュリティレベルパラメータの両方を使用して送信者がメッセージを暗号化する場合には、受信者は、要求されるセキュリティレベルパラメータを特定する最新の復号鍵を自分が有している場合にのみ、メッセージを復号することができる。受信者のセキュリティレベルが変わる場合、受信者は、送信者のメッセージを復号することができない。
(ペアリングに基づくCBEスキーム)
CBEスキームは、任意のIBEスキームを組み入れていても良い。そのようなスキームの例は、楕円曲線またはアーベル多様体に関連付けられるウェイルペアリング(Weil pairing)またはテートペアリング(Tate pairing)に基づくスキームである。本発明のCBEスキームの一実施の形態について以下に説明する。この実施形態は、Boneh−Franklin IBEスキームを使用するとともに、受信者の公開鍵(PKB)を含む受信者の識別情報(PKIDB)等のパラメータと、認証者が新たな復号鍵を発行するスケジュールに応じたパラメータと、を含む同一性情報に基づく暗号鍵を使用する。この実施の形態は効率的であり、適応性の選ばれた暗号文攻撃に対して証明的に安全である(ランダムオラクルモデルにおいて)。
添付図面を参照すると、図1は、セットアップ段階中にメッセージ受信者によってとられるステップを示すフローチャートを示している。このセットアップ段階は、暗号化されたメッセージを受信者が復号する前に生じる。ブロック101において、受信者は、公開鍵暗号化プロトコルを使用して、公開鍵/秘密鍵対を生成する。ブロック102において、受信者は識別情報を生成する。ブロック103において、受信者は、受信者の公開鍵を含む識別情報を、メッセージ送信者および認証者を含む他のユーザに対して通信する。
図2は、パラメータセットアップおよび受信者認証中に認証者によってとられるステップを示すフローチャートを示している。CBEスキームで使用されたのと同様に、Boneh−Franklin IBEスキームは、一般に、4つの無作為に選ばれたアルゴリズム、すなわち、セットアップアルゴリズムと、認証アルゴリズムと、暗号化アルゴリズムと、復号アルゴリズムとを含んでいる。ここで、認証者は、従来のIBEスキームにおける秘密鍵ジェネレータ(PKG)に相当する。
セットアップ中、認証者は、BDHパラメータジェネレータおよびセキュリティパラメータkを使用して、あるプライムオーダーqの群Γ1及びΓ2と、許容できるペアリング
Figure 2012256083
と、を生成する。ペアリングは、それがバイリニアである場合、すなわち、全てのQ,R∈Γ1および全てのa,b∈Zにおいて
Figure 2012256083
となる場合であって、非縮退的(non−degenerate)である場合、すなわち、マッピングがΓ1×Γ1における全てのペア(対)をΓ2における同一性に対して送信しない場合であって、かつ、計算可能な場合、すなわち、任意のQ,R∈Γ1において
Figure 2012256083
を計算するための効率的なアルゴリズムが存在する場合、に許容できるものとして規定される。
Boneh−Franklin IBEスキームは、例えば楕円曲線またはアーベル多様体に関連付けられるウェイルペアリングまたはテートペアリング等のペアリングに基づいている。この方法は、秘匿性をバイリニアなディフィー・ヘルマン(Bilinear Diffie−Hellman)問題に基づいている。ここで、第1の群Γ1は、楕円曲線上またはアーベル多様体上の点から成る群であることが好ましく、Γ1に関する群法則が付加的に書き込まれても良い。第2群Γ2は、有限領域の乗法群であることが好ましく、Γ2に関する群法則が乗法的に書き込まれても良い。しかしながら、本発明と整合性が取れる他のタイプの群をΓ1,Γ2として使用しても良い。
バイリニアなディフィー・ヘルマン問題は、P,aP,bP及びcPが知られているが、a,b,cが知られていない場合に
Figure 2012256083
を見つける問題である。
Figure 2012256083
であるため、Γ1においてディフィー・ヘルマン問題を解くことは、バイリニアなディフィー・ヘルマン問題を解くことである。同様に、
Figure 2012256083
である場合にgabc=(gab)cであるため、Γ2においてディフィー・ヘルマン問題を解くことは、バイリニアなディフィー・ヘルマン問題を解くことである。ここで、
Figure 2012256083
であり、また、
Figure 2012256083
である。例えば、有限領域FにわたってEが超特異な楕円曲線またはアーベル多様体であり、P∈E(F)がオーダー(次数)
Figure 2012256083
の点(Fの指数に対して互いに素)であり、
Figure 2012256083
がE上の
Figure 2012256083
−ねじれにおけるウェイルペアリングであると仮定する。Γ1がPによって生成される群であり、Γ2がFの代数的閉包の単位の
Figure 2012256083
乗根(
Figure 2012256083
−th roots of unity in the algebraic closure of F)の群であるとする。
Figure 2012256083
となるようなfがEの自己同形(automorphism)である場合、
Figure 2012256083
によって
Figure 2012256083
を定義することにより、前述した2つの条件を満たすファンクション(関数)
Figure 2012256083
が与えられる。更に、この
Figure 2012256083
は非縮退的である。例えば、
Figure 2012256083
である場合、abP=cPである。
図2のブロック201およびブロック202において、認証者は、鍵生成シークレットを選択するとともに、任意のジェネレータP∈Γ1を選択し、ランダムsc∈Z/qZを選定し、Q=scPを設定し、複数の暗号化関数
Figure 2012256083
を選択することによりシステムパラメータを定める。ここで、メッセージスペースが
Figure 2012256083
={0.1}nであり、システムパラメータがparams=(Γ1,Γ2,
Figure 2012256083
,P,Q,H1,H1’,H2)であり、認証者のマスター鍵生成シークレットがsc∈Z/qZである。
ブロック203において、認証者は、受信者の公開鍵sBPを含む受信者によって送られた識別情報を認証する。ブロック204において、認証者は、受信者の同一性に基づく復号鍵を更新するスケジュールを定める。検証が十分である場合には、認証者は、同一性に基づく復号鍵を生成する。認証者は、PB=H1(InfB)∈Γ1を計算する。この場合、InfBは、受信者の識別情報(公開鍵を含む)と、有効期間等の付随的な情報と、を含んでおり、P’B=H1’(IDrec)であり、ここで、IDrecは、受信者の公開鍵を含んでいる。その後、ブロック205において、認証者は、受信者の同一性に基づく復号鍵scPBを計算するとともに、この情報を受信者に対して送信する。また、ブロック206の場合のように、認証者は、受信者の識別情報を他のユーザに対して分配しても良い。あるいは、他のエンティティがこの機能を実行しても良い。
図3は、メッセージの暗号化中に送信者によってとられるステップを示すフローチャートを示している。ブロック301及び302において、メッセージ送信者は、受信者の公開鍵およびシステムパラメータを得る。ブロック303において、送信者は、受信者の識別情報を含んでいる受信者の同一性に基づく暗号鍵と、認証者の同一性に基づく復号鍵生成スケジュールを含む付随的な情報と、を得る。
ブロック304において、送信者は、以下のように、sBPおよびInfBの両方を用いてメッセージM∈
Figure 2012256083
を二重に暗号化する。まず最初に、送信者は、PB=H1(InfB)∈Γ1,P’B=H1’(IDrec)を計算する。ここで、IDrecは、受信者の公開鍵を含んでいる。その後、送信者は、ランダムr∈Z/qZを選択する。その後、送信者は、
Figure 2012256083
Figure 2012256083
となるように、暗号文を設定する。ブロック305において、送信者は、メッセージを受信者に対して送信する。
受信者によって受信された暗号文がC=[U,V]であるとする。復号中、受信者は、SKBおよびsCPBを使用して、Mを復元する。具体的には、受信者は、最初にSB=sCPB+sBP’Bを計算した後、
Figure 2012256083
を計算する。
CBEは、例えば、D.BonehとM.FranklinとによりIBE(2001)に関して記載された方法と同様の方法でFujisaki−Okamoto変換を使用することにより、適応性の選ばれた暗号文攻撃に対しランダムオラクルモデルにおいて安全な状態とされ得る。変換されたスキームは、2つの追加の暗号化ファンクションH3,H4と、意味的に対称な暗号化スキームEH4(σ)と、を使用する。H3は、2つの二進数字列から循環群Z/qZの整数を生成できるファンクションであり、H4は、他の二進数字列から1つの二進数字列を生成できるファンクションである。H4(σ)は、Eと共に使用される鍵である。
変換されたスキームにおいて、メッセージ送信者は、ランダムσ∈{0,1}nを選択するとともに、r=H3(σ,M)を設定する。その後、送信者は、
Figure 2012256083
となるように暗号文を設定する。ここで、
Figure 2012256083
である。
メッセージ受信者は、
Figure 2012256083
および
Figure 2012256083
を計算することにより、[U,V,W]を復号する。また、受信者は、r=H3(σ,M)を設定するとともに、U≠rPの場合に暗号文を拒絶する。
(階層型CBE)
本発明の更に他の実施の形態において、CBEスキームは、階層的な同一性情報に基づく暗号化(HIDE)スキームと公開鍵暗号化スキームとを組み合わせる。前述した非階層的なスキームの場合と同様に、暗号鍵は、任意の文書Dに対応し得る。以下の説明において、鍵は、受信者の公開鍵(PKB)を含む受信者の識別情報(PKIDB)等のパラメータと、認証者が新たな復号鍵を発行するスケジュールを表わすパラメータと、で構成される。
部分共謀抵抗(partial collusion−resistance)を用いた階層型の同一性に基づく鍵共有化スキームは、スプリンガー出版から出版のG.Hanaoka, T.Nishioka, Y.Zheng, H.Imaiによる「共謀攻撃に抗する効率的な階層型の同一性に基づく鍵共有化方法」、暗号システムの進歩−ASIACRYPT 1999、コンピュータサイエンス1716(1999)の講義ノート、P348−362、および、コンピュータジャーナルで出版されているG.Hanaoka, T.Nishioka, Y.Zheng, H.Imaiによる、「メモリサイズが小さく且つ共謀攻撃に対する抵抗が高い階層型の非インタラクティブな鍵共有化スキーム」、において与えられている。また、階層型の同一性に基づく暗号化の入門は、暗号化の進歩−EUROCRYPT 2002、コンピュータサイエンスの講義ノート、スプリンガー出版で出ている、J.Horwitz, B.Lynnによる「階層型の同一性に基づく暗号化に関して」において提供された。HorwitzおよびLynnは、第1のレベルで全共謀抵抗(total collusion−resistance)を用い且つ第2のレベルで部分共謀抵抗(partial collusion−resistance)を用いた2レベルの階層的スキームを提案した(すなわち、ユーザは、自分のドメインPKGのシークレットを取得するために共謀してその後にドメインPKGを装うことができる)。しかしながら、Horwitz−Lynnシステムは、第2のレベルで共謀抵抗を用いるために複雑化し、したがって、スキームは、実用的でもなく、また、安全ともなり得ない。
安全で且つ実用的なHIDEスキームは、同時係属の特許出願(代理人整理番号10745/107)に記載されており、その内容は、ここでの参照により本願に組み込まれる。
この階層型CBE(HCBE)スキームは、HIDEスキームをCBEに適合させるとともに、6つのランダム化アルゴリズム、すなわち、ルートセットアップアルゴリズムと、下位レベルセットアップアルゴリズムと、認証アルゴリズムと、抽出アルゴリズムと、暗号化アルゴリズムと、復号アルゴリズムと、を有している。これらのアルゴリズムのうちの4つは、階層中の関連するエンティティの同一性に依存している。各ユーザは、そのIDのタプル(ID1,....IDi)によって規定され得る位置を階層中に有していることが好ましい。階層中におけるユーザの先祖は、ルート認証者およびそのIDタプルが{(ID1,....IDi):1≦i≦(t−1)}である下位レベル認証者である。演算のために、二進数字列がIDタプルを表していることが好ましい。
ルートセットアップアルゴリズムは、前述した非階層的なスキームにおけるそれと同様である。ルート認証者は、セキュリティパラメータkを使用することにより、非階層的なスキームにおける認証者と同じ方法で、パブリックシステムパラメータparamsおよびルート鍵生成シークレットを生成する。この場合も同様に、システムパラメータは公然と利用可能であるが、ルート認証者だけがルート鍵生成シークレットを知っている。
下位レベルセットアップアルゴリズムにおいて、下位レベル認証者は、ルート認証者からシステムパラメータを検索しても良い。ルート認証者とは異なり、下位レベル認証者は、暗号化アルゴリズムで使用される「下位レベル」パラメータを有していない。しかしながら、この制約は、同一性に基づく復号鍵を生成してそのユーザに対して発行するために使用できるそれ自身の下位レベルシークレットを下位レベル認証者が生成することを必ずしも不可能にはしない。下位レベル認証者は、抽出のために、それ自身の下位レベル鍵生成シークレットを生成し得る。また、下位レベル認証者は、各抽出毎に、ランダム一時シークレットを生成し得る。
抽出アルゴリズムにおいて、親認証者(ルート認証者であろうとも、あるいは、下位レベル認証者であろうとも)は、階層中で自分の直ぐ下位にある子認証者によって送られる識別情報を検証する。また、親認証者は、子認証者の受信者の同一性に基づく復号鍵を更新するためのスケジュールを定めても良い。検証が十分である場合には、親認証者は、子認証者のために、同一性に基づく復号鍵を生成する。非階層的なスキームの場合と同様に、この同一性に基づく復号鍵は、システムパラメータと、子認証者の識別情報と、有効期間等の付随的な情報と、を使用して生成される。また、子認証者の同一性に基づく復号鍵は、少なくとも一つの先祖認証者の鍵生成シークレットに関連付けられる。その後、親認証者は、この復号鍵を子認証者に対して送る。子認証者の識別情報は、他のユーザにとって利用可能である。
認証アルゴリズムにおいて、少なくとも1つの先祖を階層中に有する署名認証者は、受信者の公開鍵PKBを含む受信者によって送られた識別情報を認証する。また、認証者は、受信者の同一性に基づく復号鍵を更新するためのスケジュールを定める。検証が十分である場合、認証者は、受信者のために、同一性に基づく復号鍵SKHIDBを生成する。非階層的なスキームの場合と同様に、鍵SKHIDBは、システムパラメータと、受信者の識別情報(公開鍵を含む)と、有効期間等の付随的な情報と、を使用して生成される。また、SKHIDBは、少なくとも一つの先祖認証者の鍵生成シークレットに関連付けられる。その後、認証者は、SKHIDBを受信者に対して送る。受信者の識別情報InfBは、他のユーザにとって利用可能である。
暗号化アルゴリズムにおいて、送信者は、対象とする受信者の公開鍵PKB及びparamsと、対象とする受信者のID−タプルおよびInfBに含められる情報を含んでいる受信者の同一性に基づく暗号鍵と、を使用して、対象とする受信者に対してメッセージ
Figure 2012256083
を二重に暗号化する。
逆に、復号アルゴリズムにおいて、受信者は、受信者の秘密鍵SKBおよび同一性に基づく復号鍵(SKHIDB)を使用して暗号文Cを復号して、メッセージ
Figure 2012256083
を復元する。
(ペアリングに基づく階層型CBE)
本発明のHCBEスキームの一実施の形態は、楕円曲線またはアーベル多様体に関連付けられるウェイルペアリングまたはテートペアリング等のペアリングに基づいているとともに、前述したバイリニア・ディフィー・ヘルマン問題に基づいている。
図4は、本発明の一実施の形態に係る、複数の認証者を含むHIDEシステムでデジタルメッセージを暗号化および復号する方法を表わすフローチャートを示している。認証者は、少なくとも1つのルート認証者と、当該ルート認証者と受信者との間の階層中にあるn個の下位レベル認証者と、を含んでいる。ここで、n≧1である。ブロック402において、ルート認証者は、ルート認証者だけに知られたルート鍵生成シークレットを選択する。その後、ブロック404において、ルート認証者は、ルート鍵生成シークレットに基づいて、ルート鍵生成パラメータを生成する。ブロック406において、下位レベル認証者は、下位レベル鍵生成シークレットを選択する。ルート鍵生成シークレットと同様に、下位レベル鍵生成シークレットの各々は、その対応する下位レベル認証者に対してのみ知られている。ブロック408においては、n個の下位レベル認証者の各々毎に、下位レベル鍵生成パラメータが生成される。下位レベル鍵生成パラメータの各々は、その対応する下位レベル認証者における下位レベル鍵生成シークレットを少なくとも使用して、生成される。ルート鍵生成パラメータと同様に、下位レベル鍵生成パラメータの各々は、その対応する下位レベル鍵生成シークレットをマスクする。
ブロック410において、送信者は、鍵生成パラメータおよび受信者の同一性に基づく暗号鍵のうちの少なくとも一方を使用して、メッセージをエンコードし、暗号文を形成する。例えば、送信者は、ルート鍵生成パラメータおよび受信者の公開鍵だけを使用してメッセージをエンコードしても良い。また、送信者は、デュアルHCBEスキームに関して後述するように、下位レベル鍵生成パラメータのうちの1つを使用しても良い。ブロック412において、下位レベル認証者は、受信者のために、同一性に基づく復号鍵を生成する。この場合、同一性に基づく復号鍵は、n個の下位レベル鍵生成シークレットのうちの少なくとも1つに関連付けられる。例えば、受信者の同一性に基づく復号鍵は、少なくとも、同一性に基づく復号鍵を受信者に対して発行した認証者の下位レベル鍵生成シークレットに関連付けられることが好ましい。あるいは、受信者の同一性に基づく復号鍵は、そのn個の全ての先祖認証者の下位レベル鍵生成シークレットおよびルート鍵生成シークレットに関連付けられても良い。ブロック414において、受信者は、少なくともその同一性に基づく復号鍵およびその秘密鍵を使用して、暗号文をデコードするとともに、メッセージを復元する。
各下位レベル認証者は、ルート認証者と同様に、鍵生成シークレットを有している。前述したように、下位レベル認証者は、このシークレットを使用して、ルート認証者が行なうのと同様、下位レベル認証者の子の各々毎に秘密鍵を生成することが好ましい。しかしながら、下位レベル認証者は、同一性に基づく復号鍵の抽出毎に同じシークレットを常に使用する必要はない。むしろ、認証者のクライアントの各々毎に、新たな鍵生成シークレットが無作為に生成されても良い。
下位レベル認証者は受信者のために同一性に基づく復号鍵を生成することができる(ブロック412)ため、ルート認証者は、それ自身、同一性に基づく復号鍵の全てを生成する必要がない。また、下位レベル認証者は、それ自身の鍵生成シークレットを使用して、そのクライアントのために同一性に基づく復号鍵を生成するため、下位レベル鍵生成シークレットを危うくしても、階層に対する安全性が損なわれるのは、限られた部分だけとなる。下位レベル認証者の破損部分は、階層中の全ての同一性に基づく復号鍵を危うくするのではなく、当該認証者の鍵生成シークレットを使用して生成された同一性に基づく復号鍵だけ(すなわち、危うくされた認証者の直接の階層的子孫であるユーザの同一性に基づく復号鍵だけ)を危うくする。
この実施形態の他の利点は、エンコードされたメッセージを受信者に送るために送信者が階層中にいる必要がないという点である。
送信者は、受信者の同一性情報と、受信者の公開鍵と、ルート認証者によって生成されたシステムパラメータと、を単に知っているだけで良い。しかしながら、本発明のHIDEスキームには、送信者が階層中にいる時に利用できるようになる特定の更なる利点がある。例えば、送信者および受信者の両方が階層中にいる場合、これらの両方の当事者の同一性を使用することにより、メッセージ暗号化の効率が高まる。この種のHCBEスキームは、送信者および受信者の両方の同一性情報が暗号化アルゴリズムおよび復号アルゴリズムのための入力として使用されるため、デュアルHCBEと称される。以下、図5および図6を参照して、デュアルHCBEスキームを使用してメッセージをエンコードおよびデコードする方法について説明する。
図5は、本発明の他の実施の形態に係る、送信者yと受信者zとの間でメッセージをエンコードおよびデコードする方法を表わすフローチャートを示している。図6は、典型的な階層構造を表すブロック図を示している。
先の実施形態と同様に、この方法は、ルート認証者602と、階層中においてルート認証者602と受信者z608との間にあるn個の下位レベル認証者604a,b,dと、を少なくとも有するHCBEシステム内で行なわれる。ここで、n≧1である。また、この実施形態における送信者y606は、階層中にいなければならず、また、階層は、ルート認証者602と送信者y606との間に、m個の下位レベル認証者604a,b,cも有している。ここで、m≧1である。ルート認証者602と送信者y606との間にあるm個の下位レベル認証者604a,b,c、および、ルート認証者602と受信者z608との間にあるn個の下位レベル認証者604a,b,dの中には、送信者y606および受信者z608の両方に共通する先祖であるl個の認証者604a,bがある。ここで、1≦l<m,nである。例えば、図6は、これらl個の共通の先祖認証者(CAy1/CAz1604aおよびCAyl/CAzl604b)のうちの2つを示している。
この実施形態の方法は、ルート認証者だけに知られたルート鍵生成シークレットをルート認証者602が選択すると、ブロック502から開始される。その後、ブロック504において、ルート認証者602は、ルート鍵生成シークレットに基づいて、ルート鍵生成パラメータを生成する。ブロック506において、下位レベル認証者604a−dは、下位レベル鍵生成シークレットを選択する。ルート鍵生成シークレットと同様に、下位レベル鍵生成シークレットの各々は、その対応する下位レベル認証者604a−dのみに知られている。ブロック508において、下位レベル鍵生成パラメータは、n個の下位レベル認証者604a−dの各々に形成される。各下位レベル鍵生成パラメータは、その対応する下位レベル認証者604a−dにおける下位レベル鍵生成シークレットを少なくとも使用して生成される。
ブロック510において、送信者の親CAym604cは、送信者y606のための同一性に基づく復号鍵を生成する。この場合、同一性に基づく復号鍵は、ルート認証者602と送信者y606との間にあるm個の下位レベル認証者604a,b,cに対応するm個の下位レベル鍵生成シークレットのうちの少なくとも1つに関連付けられるように生成される。例えば、送信者の同一性に基づく復号鍵は、少なくとも、送信者の親CAym604cの下位レベル鍵生成シークレットに関連付けられることが好ましい。あるいは、送信者の同一性に基づく復号鍵は、その直接の先祖認証者の下位レベル鍵生成シークレットのm個の全ておよびルート鍵生成シークレットに関連付けられても良い。
送信者の同一性に基づく暗号鍵は、任意の文書Dに対応し得るが、以下の説明では、鍵は、送信者の公開鍵(PKA)を含む送信者の識別情報(PKIDA)等のパラメータと、認証者が新たな復号鍵を発行するスケジュールを表わすパラメータと、を含んでいる。ブロック512において、受信者の親CAzn604dは、送信者の親CAym604cが送信者の同一性に基づく復号鍵を生成するために使用した方法と同様の方法で、受信者zのための同一性に基づく復号鍵を生成する。HCBEの場合と同様に、受信者の同一性に基づく暗号鍵は、任意の文書Dに対応し得るが、以下の説明では、鍵は、受信者の公開鍵(PKB)を含む受信者の識別情報(PKIDB)等のパラメータと、認証者が新たな復号鍵を発行するスケジュールを表わすパラメータと、を含んでいる。
ブロック514において、送信者yは、メッセージをエンコードして暗号文を形成する。送信者は、少なくとも、受信者の公開鍵と、送信者の同一性に基づく復号鍵と、ルート認証者602と送信者y606との間にあり且つ送信者y606および受信者z608の両方に共通する最下位の先祖認証者(CAyl/CAzl604b)のレベルまたはそれよりも下のレベルにある(m−l+1)個の認証者(すなわち、CAyl604bおよびCAym604c)に関連付けられた1または複数の下位レベル鍵生成パラメータと、を使用する。送信者y606は、メッセージをエンコードする際、最下位の共通する先祖認証者(CAyl/CAzl604b)よりも上にある(l−1)個の認証者(すなわち、CAy1604a)に関連付けられた下位レベル鍵生成パラメータのいずれも使用しない。この場合も同様に、下位レベル鍵生成パラメータは、受信者の識別情報と、認証者の同一性に基づく復号鍵生成スケジュールを含む付随的な情報と、に関連付けられる。
その後、ブロック516において、受信者z608は、暗号文をデコードすることにより、メッセージを復元する。受信者は、少なくとも、受信者の秘密鍵と、受信者の同一性に基づく復号鍵と、ルート認証者602と受信者z608との間にあり且つ送信者y606および受信者z608の両方に共通する最下位の先祖認証者(CAyl/CAzl604b)のレベルまたはそれよりも下のレベルにある(n−l+1)個の認証者(すなわち、CAzl604bおよびCAzn604c)に関連付けられた1または複数の下位レベル鍵生成パラメータと、を使用する。受信者y606は、メッセージをデコードする際、最下位の共通する先祖認証者(CAyl/CAzl604b)よりも上にある(l−1)個の認証者(すなわち、CAz1604a)に関連付けられた下位レベル鍵生成パラメータのいずれも使用しない。
本発明のこのようなデュアルHCBEの実施形態は、より少ない鍵生成パラメータを使用するだけで済むため、メッセージをより効率的にエンコードおよびデコードするスキームを提供する。例えば、通常のHCBEスキームにおける復号は、n個の鍵生成パラメータの全てを好ましくは必要とするが、デュアルHCBEスキームにおける復号は、(n−l)個の鍵生成パラメータだけを好ましくは必要とする。デュアルHCBEスキームでは、ルート認証者のパブリックシステムパラメータを単に得るのではなく、送信者y606に、エンコードされたメッセージを受信者z608に送る前に、その同一性に基づく復号鍵を得ることを要求する。
また、デュアルHCBEスキームによれば、送信者y606および受信者z608は、後で詳しく述べるように、限られた形式のキーエスクローを使用することができる。この共有のシークレットは、その最下位の共通する先祖CAyl/CAzl604b以外の第三者には知られない。しかしながら、本発明のCBEスキームは、キーエスクローを完全に避ける。それにもかかわらず、デュアルHCBEは、暗号文の長さ及び復号時間が短いという利点を提供し続ける。
図7は、本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージ
Figure 2012256083
をエンコードおよびデコードする方法を表わすフローチャートを示している。
図6に示されるように、受信者z608は、階層中においてルート認証者よりも(n+1)レベル下にあり、ID−タプル(IDz1,...,IDz(n+1))に関連付けられている。受信者のID−タプルは、受信者に関連付けられた同一性情報IDziと、階層中におけるそのn個の先祖下位レベル認証者の各々に関連付けられた同一性情報IDziと、を含んでいる。
この方法は、複数の要素から成る第1および第2の循環群Γ1,Γ2を生成することにより、ブロック702から開始される。ブロック704においては、ファンクション
Figure 2012256083
が選択される。この場合、ファンクション
Figure 2012256083
は、許容できるペアリング
Figure 2012256083
が第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を生成できるように選択される。ブロック706においては、第1の循環群Γ1のルートジェネレータP0が選択される。ブロック708においては、ルート認証者602に関連付けられ且つルート認証者602だけに知られたランダムルート鍵生成シークレットs0が選択される。s0は、循環群Z/qZの1つの要素であることが好ましい。ブロック710においては、ルート鍵生成パラメータQ0=s0P0が生成される。Q0は、第1の循環群Γ1の1つの要素であることが好ましい。ブロック712においては、第1のファンクションH1が選択される。この場合、ファンクションH1は、第1の二進数字列から第1の循環群Γ1の要素を生成できるように選択される。簡単のためには、第1の二進数字列から第1の循環群Γ1の要素を生成できる1つのファンクションだけが使用される必要があるが、この種の幾つかの異なるファンクションがアルゴリズムの異なる点で使用されても良い。ブロック714においては、第2のファンクションH2が選択される。この場合、ファンクションH2は、第2の循環群Γ2の要素から第2の二進数字列を生成できるように選択される。ブロック702からブロック714のファンクションは、前述した非階層型のHCBEルートセットアップアルゴリズムの一部であり、ほぼ同時に実行することができる。
次の一連のブロック(ブロック716から724)は、下位レベルセットアップアルゴリズムの一部として実行されるファンクションを示している。ブロック716においては、受信者のn個の先祖下位レベル認証者の各々に、要素PZiが生成される。1≦i≦nにおいて各要素PZi=H1(ID1,....,IDZi)は、第1の循環群Γ1の1つの要素であることが好ましい。全てのパブリック要素PZiの生成が1つのブロックで表わされているが、これらのパブリック要素PZiの生成は、同時に行なわれることなく経時的に行なわれても良い。
受信者のn個の先祖下位レベル認証者604a,b,dの各々に、下位レベルシークレットsZiが選択される(ブロック720)。下位レベルシークレットsZiは、1≦i≦nにおいて循環群Z/qZの要素であることが好ましく、また、各下位レベル鍵生成シークレットsZiは、その対応する下位レベル認証者だけに知られていることが好ましい。この場合も同様に、全ての下位レベルシークレットsZiの選択が1つのブロックで表わされているが、これらの下位レベルシークレットsZiの選択は、同時に行なわれることなく経時的に行なわれても良い。
送信者のn個の先祖下位認証者の各々に、下位レベルシークレット要素SZiが生成される(ブロック722)。1≦i≦nにおいて各下位レベルシークレット要素SZi=SZ(i−1)+sz(i−1)PZiは、第1の循環群Γ1の要素であることが好ましい。パブリック要素PZiおよびシークレットsZiと同様に、全てのシークレット要素SZiの生成が1つのブロックで表わされているが、これらのシークレット要素SZiの生成は、同時に行なわれることなく経時的に行なわれても良い。
また、受信者のn個の先祖下位レベル認証者の各々に、下位レベル鍵生成パラメータQZiも生成される(ブロック724)。1≦i≦nにおいて各鍵生成パラメータQZi=sZiP0は、第2の循環群Γ2の要素であることが好ましい。この場合も同様に、全ての鍵生成パラメータQZiの生成が1つのブロックで表わされているが、これらの鍵生成パラメータQZiの形成は、同時に行なわれることなく経時的に行なわれても良い。
次の2つのブロック(ブロック726,728)のファンクションは、前述した認証アルゴリズムの一部として実行される。ブロック726においては、受信者zに関連付けられた受信者要素PZ(n+1)が生成される。受信者要素PZ(n+1)=H1(Infz(n+1),IDZ1,....,IDZ(n))は、第1の循環群Γ1の要素であることが好ましい。ここで、Infz(n+1)は、受信者の公開鍵と受信者の同一性に基づく復号鍵の有効期間等の付随的な情報とを含んでいても良い二進数字列である。その後、ブロック728において、受信者zに関連付けられた受信者シークレット要素SZ(n+1)が生成される。また、受信者復号鍵
Figure 2012256083
も、第1の循環群Γ1の要素であることが好ましい。受信者は、受信者復号鍵およびSKBを使用して、SB=Sz(n−1)+sBP’Bを計算する。
便宜上、第1のファンクションH1は、随意的に、反復関数となるように選択されても良い。この場合、例えば、H1(ID1,...,IDzi)としてではなく、H1(Pz(i−1),IDzi)として、パブリックポイントPiが演算されても良い。
図7に示される最後の2つのブロック(ブロック730,732)は、前述した暗号化アルゴリズムおよび復号アルゴリズムを表わしている。ブロック730において、送信者は、暗号文Cを生成するためにメッセージ
Figure 2012256083
をエンコードする。このエンコードは、少なくとも受信者の公開鍵およびルート鍵生成パラメータQ0を使用することが好ましい。ブロック732において、受信者は、暗号文Cを復号して、メッセージ
Figure 2012256083
を復元する。復号は、下位レベル鍵生成パラメータQziと受信者の復号鍵Sz(n+1)と受信者の秘密鍵とを少なくとも使用することが好ましい。ここで、図8および図9を参照しながら、メッセージ
Figure 2012256083
および暗号文Cのエンコードおよびデコードにおけるパラメータおよび要素の特定の用法について説明する。
図8は、本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージ
Figure 2012256083
をエンコードおよびデコードする方法を表わすフローチャートを示している。ベーシックHCBEと呼ばれるこのスキームにおいて、ルートセットアップアルゴリズム、下位レベルセットアップアルゴリズム、抽出アルゴリズム、及び、認証アルゴリズムは、図7のブロック702から728で示した実施形態における場合と同じである。したがって、図8のフローチャートは、ブロック830aにおいてランダム暗号化パラメータrを選択することによって開始される。rは、循環群Z/qZの整数であることが好ましい。その後、ブロック830bにおいて、式
Figure 2012256083
を使用して、暗号文Cが生成される。この場合、
Figure 2012256083
であり、
Figure 2012256083
である。ここで、sBPは受信者の公開鍵であり、P’BはH1(Infrec)である。この場合、Infrecは、受信者の公開鍵を含んでいる。
メッセージは、エンコードされた後、ベーシックHCBE復号アルゴリズムにしたがってデコードされ得る。この復号アルゴリズムにおいて、メッセージ
Figure 2012256083
は、式
Figure 2012256083
を使用して暗号文Cから復元される(ブロック832)。
選択された暗号文の攻撃に対して安全な一方向暗号化スキームを作成する周知の方法は、ベーシックHCBEスキームを、選択された暗号文がランダムオラクルモデルで安全な完全HCBEスキームに変換することができる。図9は、選択された暗号文を安全な状態にする完全HIDEに基づくスキームを示している。
図9は、現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージ
Figure 2012256083
をエンコードおよびデコードする方法を表わすフローチャートを示している。本発明のこの実施形態におけるルートセットアップアルゴリズム、下位レベルセットアップアルゴリズム、抽出アルゴリズム及び認証アルゴリズムは、この実施形態のルートセットアップアルゴリズムが2つの付加的なファンクションを必要とする点を除き、図7を参照して説明された実施形態の場合と同じである。したがって、図9のフローチャートは、付加的ファンクション(ブロック915a,915b)を選択することにより開始され、暗号化アルゴリズムおよび復号アルゴリズム(ブロック930aから932d)に続く。
ルートセットアップアルゴリズムは、第3のファンクションH3(ブロック915a)および第4のファンクションH4(ブロック915b)を選択することによって終了する。第3のファンクションH3は、2つの二進数字列から循環群Z/qZの整数を生成できることが好ましい。第4のファンクションH4は、他の二進数字列から1つの二進数字列を生成できることが好ましい。
暗号化アルゴリズムは、ランダム二進数字列σの選択を表わすブロック930aから開始される。その後、ブロック930bに示されるように、ランダム二進数字列σは、ランダム整数r=H3(σ,M)を生成するために使用される。Wは、好ましくは対称暗号化アルゴリズムEと暗号鍵としてのH4(σ)とを使用して生成される実際のメッセージMの対称暗号である。
したがって、
Figure 2012256083
となる。ブロック930cにおいては、暗号文C=[U0,U2,....,Un+1,V,W]が生成される。暗号文Cは、階層中における受信者の位置および受信者の公開鍵に関連する要素U0=rP0およびUi=rPzi(2≦i≦n+1)を含んでいる。暗号文Cの第2の部分は、暗号化された形式
Figure 2012256083
のランダム二進数字列σである。ここで、
Figure 2012256083
である。要素gは、第2の循環群Γ2の構成要素であることが好ましい。暗号文Cの第3の部分は、前述した暗号化された形式の実際のメッセージである。
復号アルゴリズムは、ランダム二進数字列σの復元を示すブロック932aから開始される。ランダム二進数字列σは、式
Figure 2012256083
を使用して復元される。その後、式
Figure 2012256083
を使用して、暗号文Cからメッセージ
Figure 2012256083
が復元される(ブロック932b)。暗号文は、随意的に、内部整合性がチェックされても良い。例えば、ブロック932cに示されるように、試験的なランダム整数r’=H3(σ,M)が生成されても良い。その後、試験的なランダム整数r’は、ブロック932dにおいて、U0=r’P0およびUi=r’Pzi(2≦i≦n+1)であることを確認するために使用され得る。U0=r’P0およびUi=r’Pzi(2≦i≦n+1)である場合、暗号文Cは真正であると見なされる。
図5および図6を参照して説明したデュアルHCBEの概念は、ベーシックHCBEスキームおよび完全HCBEスキームに適用され得る。図6に示されるように、送信者および受信者の両者が階層構造内にある場合、デュアルHCBEによって、これらの両者は、自分達の暗号化された通信の効率および安全性を向上させることができる。デュアルHCBEをベーシックHCBEスキームおよび完全HCBEスキームに適用するには、付加的な情報を決定する必要がある。これらの情報の殆どは、前述した下位レベルセットアップアルゴリズムによって決定される。例えば、要素Pyi、下位レベル鍵生成シークレットsyi、下位レベルシークレット要素Syi、下位レベル鍵生成パラメータQyiは、送信者のm個の先祖下位レベル認証者のために決定されなければならない。しかしながら、送信者yおよび受信者zの両者に共通の先祖である下位レベル認証者においては、送信者yおよび受信者zの両方を解析する目的のため、これらのパラメータが同じであることが好ましい(すなわち、全てのi≦lにおいて、Pyi=Pzi,syi=szi,Syi=Szi,Qyi=Qzi)また、デュアルHCBEでは、受信者に関してこれらのパラメータを決定する前述した方法と同じ方法を使用して、送信者のための送信者パブリック要素Py(m+1)および送信者シークレット要素Sy(m+1)を決定する必要もある。
これらの付加的なパラメータが与えられると、i<lの下位レベル鍵生成パラメータQyiを使用するのではなく、送信者シークレット要素Sy(m+1)およびi≧lの下位レベル鍵生成パラメータQyiを使用することにより、デュアルHCBEの原理にしたがって、メッセージMがエンコードされ暗号文Cが形成され得る。同様に、i<lの下位レベル鍵生成パラメータQziを使用するのではなく、受信者シークレット要素Sz(m+1)およびi≧lの下位レベル鍵生成パラメータQziを使用することにより、暗号文CがデコードされメッセージMが復元され得る。
例えば、ベーシックHCBEスキーム(図7および図8)において、デュアルHCBEを適用すると、暗号文C=[U0,Ul+1,....,Un+1,V]を生成するためのメッセージ
Figure 2012256083
のエンコードが変わる。ここで、U0=rP及びUi=rPzi(2≦i≦n+1)であり、
Figure 2012256083
であり、また、
Figure 2012256083
である。要素Uiは、前述した方法と同じ方法で計算されるが、それらのうち必要なのは僅かである。しかしながら、デュアルベーシックHCBEにおいて、送信者yは、前述したようにgを生成するために必要な数よりも多い数の鍵生成パラメータQyiを使用してgylを形成する必要がある。これは、暗号化アルゴリズムが送信者の同一性を組み込んでいるためである。
復号アルゴリズムの効率の向上は更に劇的である。
メッセージ
Figure 2012256083
は、
Figure 2012256083
を使用して復元される。この場合も同様に、必要なUiパラメータは僅かである。同様に、受信者は、デュアルHCBEの場合、他の方法において必要であろうよりも少ない鍵生成パラメータQziを必要とする。
デュアル完全HCBEスキームを形成するために、完全HCBEもまた変更され得る。暗号化アルゴリズムにおける暗号文Cの生成は、C=[U0,Ul+1,....,Un+1,V,W]となるように変更される。ここで、U0=rP,Ui=rPzi(l+1≦i≦n+1)である。Wおよびrのパラメータは、依然として同じ方法
Figure 2012256083
で生成されるが、
Figure 2012256083
におけるgylパラメータは、
Figure 2012256083
を使用して生成される。
また、復号アルゴリズムも、デュアル完全HCBEスキームにおいて変更される。ランダム二進数字列σは、
Figure 2012256083
を使用して復元される。そうでなければ、メッセージ
Figure 2012256083
の復元は変わらない。
(集約署名CBE)
本発明の他の実施形態においては、承認チェーン(authorization chain)における任意のタイプの情報に関する署名を1つの点に圧縮するために、1つのスキームが使用され得る。すなわち、n人の異なるユーザからn個の別個のメッセージに関してn個の署名が与えられると、これらの全ての署名を1つの短い署名に集約することができる。http://eprint.iacr.orq/2002/175/で利用できるD.Boneh, C.Gentry, B.Lynn, H.Shachamによる「バイリニアマップからの検証可能な集約暗号化署名(eprint archive,2002)」は、複数の文書に関する複数の署名者による複数の署名が楕円曲線上の単一の点として簡潔に表わされ得る帯域効率が良い集約署名スキームについて記載している。
そのような集約署名に基づくCBEプロトコルにおいて、受信者は、受信者の秘密鍵SKBの他に認証者によって生成された署名を有している場合にだけ、暗号化されたメッセージを復号することができる。ここで、必要とされる各署名者の公開鍵(Γ1の1つの要素)は、楕円曲線上の1つの点Pのように、また、複数のメッセージを楕円曲線上の複数の点にマッピングする1つのファンクションHのように、暗号化システムのユーザにとって容易に利用できる。
集約署名CBEの一実施形態において、i番目の署名者は、その秘密鍵としてsiを選択するとともに、その公開鍵としてsiPを計算する。その後、i番目の署名者は、PMi=H(Mi)を計算することにより文書Miに署名するとともに、その署名Si=siPMiを受信者に対して送信する。
検証者を含む任意のエンティティは、
Figure 2012256083
であることをチェックすることにより、Siがi番目の署名者による本物の署名であることを検証することができる。また、任意のエンティティは、署名を総計することによって署名を集約することもできる。集約署名S、署名者の公開鍵、及び、署名されるそれぞれの文書を知っている任意のエンティティは、
Figure 2012256083
であることをチェックすることにより、集約署名が本物であることを検証することができる。
メッセージ送信者は、メッセージ受信者が復号のために受信者秘密鍵と特定の集約署名とを必要とするように、そのメッセージを暗号化する。メッセージ送信者は、メッセージ受信者の公開鍵と、特定の署名者の公開鍵と、署名される特定の文書とを使用して、
Figure 2012256083
となるように暗号文を設定することにより、メッセージMを暗号化する。ここで、
Figure 2012256083
及び
Figure 2012256083
である。
メッセージ受信者は、メッセージMの復元を可能にするべく、
Figure 2012256083
を計算する。
文書Miは、任意のタイプのデジタル情報を含み得るし、1または複数の認証者は、様々な文書に署名し得る。本発明の一実施形態において、1つの文書Miは、受信者の公開鍵における有効期間を含んでおり、また、受信者の公開鍵を含む他の識別情報を含んでいても良い。この実施形態において、受信者は、受信者の公開鍵が期間iにおいて有効であることを証明するMiに関するi番目の署名者の署名を集約署名が含んでいる場合にだけ、復号することができる。
本発明の他の実施形態において、認証者は、少なくとも1つのルート認証者と、当該ルート認証者とエンティティとの間の階層中にあるn個の下位レベル認証者と、を含む集約署名階層を形成する。ここで、n≧1である。例えば、受信者は、それよりも上位に公開鍵skP(0≦k≦t−1)を有する認証者を持つ階層中のレベルtにいても良い。各認証者は、それよりも下位にあるskPk+1(0≦k≦t−2)を形成する認証者の公開鍵を認証する。この場合、Pk+1=H1(CAk+1name,sk+1P)である。ここで、CAk+1nameは、レベル(k+1)の認証者における識別情報である。レベル(t−1)の認証者は、st−1PBを生成する受信者を認証する。この場合、PB=H1(Recipientname,sBP,i)である。ここで、Recipientnameは受信者の識別情報であり、sBPは受信者の公開鍵であり、iは受信者の公開鍵の有効期間を決定するパラメータである。
Mを暗号化するため、送信者は、ランダムr∈Z/qZを選択するとともに、暗号文
Figure 2012256083
を形成する。ここで、
Figure 2012256083
である。復号するため、受信者は、t個の証明書の集合体
Figure 2012256083
を所有しているものとする。受信者は、
Figure 2012256083
を計算した後に、
Figure 2012256083
を復号する。
ここで、暗号化は、t個のペアリング計算を含んでいる。しかしながら、復号時間および暗号文の長さは、Boneh−Franklinと同じである。この方法は、暗号文の長さが基本的にtに比例する前述した階層型スキームを超える利点を与える。
前述したスキームの場合と同様に、集約署名CBEは、Fujisaki−Okamoto変換を使用することにより、選択された暗号文をランダムオラクルモデルで安全な状態にすることができる。
(汎用ペアリングに基づく署名を使用するCBE)
以上の説明は、受信者の復号鍵がペアリングに基づく署名であるという、異なるペアリングに基づくCBEの実施形態について論じている。例えば、ペアリングに基づくCBEの最も簡単な形態において、受信者の復号鍵は、1つの文書に関する一人の認証者の署名であるΓ1の1つの要素である。HCBEおよびデュアルHCBEのペアリングに基づく実施形態において、受信者の復号鍵は、Γ1の複数の要素から成る1つの文書に関する階層的な同一性に基づく署名である。集約署名CBEのペアリングに基づく実施形態において、受信者の複合鍵は、Γ1の1つの要素に集約され得る複数の文書に関する複数の署名者による複数の署名を表している。一般に、これらの署名スキームにおける検証アルゴリズムは、公開鍵点とメッセージ点−例えば集約署名におけるsiPおよびPMi−とのペアリングの積が、署名点とダミー点−例えば集約署名におけるsiPMiおよびP−とのペアリングの積に等しい、ことを確認することによって機能する。本発明の他の実施形態においては、ペアリングに基づくCBEスキームを構成するために、任意のペアリングに基づく署名スキームが使用され得る。この場合、ここでは、ペアリングに基づく署名スキームが、公開鍵点とメッセージ点とのペアリングの積が署名点とダミー点とのペアリングの積に等しいことを確認することによって検証アルゴリズムが機能するスキームとなるように規定される。
例えば、検証アルゴリズムが
Figure 2012256083
であることを確認すると仮定する。ここで、Qは公開鍵点であり、Pはメッセージ点であり、Sは署名点であり、Dは復号点であり、必ずしも異なってはいない。署名スキームが安全である場合、安全なペアリングに基づくCBEスキームが構成され得る。送信者は、ランダムr∈Z/qZを選択するとともに、暗号文
Figure 2012256083
を生成する。ここで、
Figure 2012256083
である。メッセージ受信者が全ての署名点すなわち全ての必要な承認を有している場合、メッセージ受信者は、
Figure 2012256083
、したがってMを計算し得る。前述したように、このスキームは、Fujisaki−Okamoto変換を使用することにより、選択された暗号文をランダムオラクルモデルで安全な状態にすることができる。
(高粒度CBE)
本発明の他の実施形態は、高粒度CBEスキームを形成するために逆に機能する前方安全(forward−secure)暗号化スキームを有するCBEスキームを含んでいる。
従来の前方安全暗号化スキームにおいて、システムの寿命は、それぞれが鍵有効期間を規定する多くの時間帯に分割される。この期間は、CBEシステムにおける同一性に基づく復号鍵の有効期間に相当する。この前方安全システムにおいては、連続する時間帯中に秘密鍵が変更され、これにより、鍵が危うくされる場合でも、前の時間帯で受信者に対して送信されたメッセージを攻撃者が復号できないようにする。しかしながら、危うくされた後に送信者がその鍵を使用し続ける場合、攻撃者は、その後の時間帯で送信されたメッセージを復号することができる。http://eprint.iacr.orq/2002/060/で利用できるJ.Katzによる「前方安全公開鍵暗号化スキーム(eprint archive,2002)」は、そのような前方安全スキームについて記載している。なお、この内容は、これを参照することにより本願に組み込まれる。Katzスキームの安全性は、ランダムオラクルモデルにおけるバイリニア・ディフィー・ヘルマン仮定に基づいており、選択された暗号文の安全性を得るために拡張され得る。
本発明の高粒度CBEスキームにおいて、認証者は、特定の時間或いはその前の時間における時間パラメータセットを使用して暗号化されたメッセージであるがその後の時間における時間パラメータセットを用いて暗号化されたメッセージではないメッセージを復号するために使用できる、受信者の同一性に基づく復号鍵を発行するために逆に機能する前方安全スキームを使用する。
従来のCBEスキームにおいて、認証者は、暗号化中に使用される全ての時間にわたって、同一性に基づく復号鍵を、潜在的な各メッセージ受信者に対して発行しなければならない。鍵が危うくされる状況に対して認証者が迅速に応答できる場合には、短い時間の間だけ鍵が有効でなければならない。例えば、認証者は、1分の有効期間を有する鍵を発行することが要求され得て、これにより、1分毎に各ユーザに対して新たな鍵を発行することが要求され得る。そのような多数の鍵を全てのユーザのために送信するには、かなりのリソースが必要である。
高粒度認証復号スキームにおいて、受信者は、前方安全スキームにより、暗号化されたメッセージを読むというセッションを受信者が開始したい場合にのみ、鍵の更新を要求することができる。メッセージを読むというセッションを受信者が1日当たり4つだけ有している場合、例えば、受信者が数時間毎に1回だけその電子メールアカウントにログインする場合には、メッセージ受信者が復号する実際のメッセージの数とは無関係に、4つの鍵だけが必要とされる。各鍵により、受信者は、鍵を必要とする時よりも早い時間パラメータセットあるいは鍵を必要とする時の時間パラメータセットを使用して暗号化されたメッセージであるがその後の時間を示すパラメータを用いて暗号化されたメッセージではないメッセージの全てを復号することができる。高粒度CBEは、認証者によって送信される同一性に基づく復号鍵の数を減らすことにより、送信コストを低減する。このスキームは、オンラインスキームまたは従来の高粒度スキームと比べて様々なトレードオフを与える。
オンラインスキームにおいて、認証者は、各メッセージの復号において、受信者と協力する。したがって、オンライン手法を高粒度CBEスキームと比較すると、最も重要なメトリック(尺度)は、セッション毎に受信者が幾つのメッセージを復号したいと考えるかである。少なくとも認証者への負担を最小限に抑えるという点からは、セッション当たりのメッセージの数が多い場合には、高粒度CBEプロトコルが好ましい。
高時間粒度を組み入れる従来の手法は、メッセージ送信者がメッセージを送信する前に受信者の鍵の状態をオンラインチェックすることを必要とする。この場合も同様に、セッション当たりに多数のメッセージがある場合には、従来の手法にわたって高粒度CBEプロトコルを行なうことが好ましい。なぜなら、この場合、送信者は、各メッセージ毎に演算を行なわなければならないからである。
高い頻度で鍵の更新が成される場合、高粒度CBEスキームにより、受信者は、受信者がメッセージを読むというセッションを開始したい時にだけ、同一性に基づく復号鍵の情報をダウンロードすることができる。ダウンロードされた情報は、現在の時間に至るまでの時間パラメータを使用して暗号化されたメッセージであるがその後の時間における時間パラメータを使用して暗号化されたメッセージではないメッセージの復号を可能にする。認証者は、発生した各時間毎に別個の同一性に基づく復号鍵を計算して送信する必要がないため、従来のCBEスキームよりも認証者の負担が軽減する。前回のダウンロード後の時間において鍵を計算するために必要な情報だけをダウンロードすることにより、ダウンロードのサイズを更に小さくすることができる(しかしながら、従来のCBEスキームにおいては、受信者が認証者からの証明書を「プル」し、一方、認証者が受信者に対して証明書を「プッシュ」しても良いという事実により、幾つかの付加的な負担が認証者にのしかかる)。
必要に応じて、高粒度CBEプロトコルと階層型認証スキームとを組み合わせて、ネットワーク全体のための鍵発行義務を持つ一人の認証者に負担をかけることを避けることができる。
図10は、高粒度CBEスキームの一実施形態を表わす図を示している。ここで、スキームの寿命は、多数の時間tに分割される。例えば、1日に約211分あるため、各分に対して11ビットの二進数列b1,...,b11が割り当てられ得る。各二進数列は、特定の時間分の「同一性」を表わす時間識別パラメータを規定する。システム寿命が1日よりも長い場合、それぞれの日がシステム寿命の一部を形成する。日を特定する時間部分識別パラメータ(日の「同一性」)は、個別に特定され得る。あるいは、受信者の同一性が日を特定しても良い。
図10は、高粒度CBEプロトコルの一実施形態を示している。
図10においては、高さがtの2分木(2進木)の葉によって、一連の時間901が表わされている。ここで、一連の時間は、長さがtの文字列<i>でラベル付けされた2分木の葉に関連付けられている。すなわち、時間iは、<i>でラベル付けされた葉に関連付けられている。
リーフノードを含む2分木の各ノードw902には、認証者によりシークレット鍵skwが割り当てられる。時間i中にPKを使用して暗号化されたメッセージを復号するために、鍵ski<i>だけが必要とされる。また、鍵skew903が与えられると、子孫鍵scwo904,skw1905と、これらの鍵から得られる子孫と、を効率的に得ることができる。しかしながら、PKおよびiが与えられても、<i>の全てのプレフィックスwにおけるskewが無ければ、ski<i>を得ることができず、あるいは、iを含むまでの時間中に暗号化されたメッセージを復号することができない。
例えば、認証者は、時間1−3中のメッセージであってその後の時間中に送られたメッセージではないメッセージを受信者が復号できるようにしたい場合には、ノードに関連付けられた鍵w0 904,w10 908を受信者に与える。受信者は、鍵w0 904から、時間1−2に関連付けられた鍵すなわちw00 906,w01 907を生成することができるとともに、時間3における鍵すなわちw10 908を有している。しかしながら、受信者は、時間4 909中に、あるいは、その後の時間中に、メッセージを復号することができない。
本発明の一実施形態において、ペアリングに基づく高粒度CBEスキームは、4つのランダム化アルゴリズム、すなわち、セットアップアルゴリズムと、鍵生成・認証アルゴリズムと、暗号化アルゴリズムと、復号アルゴリズムとを有している。
セットアップ中、認証者は、前述したCBEスキームと同様に、IG,BDHパラメータジェネレータおよびセキュリティパラメータkを使用して、あるプライムオーダーqの群Γ1,Γ2と、許容できるペアリング
Figure 2012256083
と、を生成する。この場合も同様に、ペアリングは、それがバイリニアで、非縮退的で、計算できる場合に、許容できる。
認証者は、鍵生成シークレットを選択するとともに、任意のジェネレータP∈Γ1を選択し、ランダムsc∈Z/qZを選定し、Q=scPを設定し、複数の暗号化関数
Figure 2012256083
を選択することによりシステムパラメータを定める。ここで、メッセージスペースが
Figure 2012256083
={0.1}nであり、システムパラメータがparams=(Γ1,Γ2,
Figure 2012256083
,P,Q,H1,H1’,H2)であり、認証者のマスター鍵生成シークレットがsc∈Z/qZである。
その後、鍵生成・認証アルゴリズムにおいて、認証者は、受信者の同一性に基づく復号鍵を生成する。時間iにおける鍵SKiは、全ての1≦k≦tにおいて、ik=1となるように、すなわち、時間iにまで至り且つ時間iを含む全ての時間におけるシークレット鍵となるように、sk<i>と
Figure 2012256083
とから成る。ここで、SKjは、j≦iの場合、SKiから計算できる。
ユーザが認証者からSKiを要求すると、認証者は、ランダムx∈Z/qZを選択する。w=<i>で且つ全てのw=i0....ik−10(1≦k≦t)においてik=1となるように、認証者は、SW=sCH1(i0,InfZ)+xH1(w)を計算するとともに、skW={xP,Sw}を設定する。認証者は、これらのskWを受信者に対して送信する。
暗号化アルゴリズムにおいて、送信者は、ランダムrを選択するとともに、メッセージを暗号化して、暗号文を以下のごとく設定することにより、暗号文Cを形成する。
Figure 2012256083
ここで、sBPは受信者の公開鍵であり、jは送信者によって選択された時間であり、
Figure 2012256083
である。
復号アルゴリズムにおいて、SKj(j≦i)を有する受信者は、jのプレフィックスである所定のw(すなわち、所定のwは、あるk≦tにおいて、w=j0...jkである)におけるskWを知っている。このskWを使用して、受信者は、
Figure 2012256083
を計算し、その後、
Figure 2012256083
を計算することにより、C=[U0,U1,....Ut,V]を復号する。
(認証再確認とCBEとの組み合わせ)
前述したCBEスキームは、認証者が各受信者の復号鍵に個別に署名することを必要とする。例えば、システムが2億5千万人のユーザを有するとともに時間粒度が1日で且つ各ユーザが各時間単位毎に復号鍵を受ける場合、認証者は、1日当たり、2億5千万の同一性に基づく署名を生成して送信しなければならない。
良好なPKI提案は、暗号的且つアルゴリズム的な検討材料と現実世界の技術的限界とを釣り合わせなければならない。効率の点から見ると、2つの重要な要素は、各タイプのエンティティ(例えば認証者)によって行なわれる計算量、および、エンティティ間の通信コストである。本発明の他の実施形態は、認証者が新たな復号鍵をシステムのユーザに対して発行する計算効率が良い技術を提供する。
複数のユーザにわたって公開鍵演算を償却するCBEスキームは、効率に関して利点を与える。また、CBEスキームにおいて、認証者によって発行される証明書は、公開鍵暗号化スキームにおいて復号鍵としての機能も果たさなければならない。これらの復号鍵は、公開鍵演算を使用して計算されなければならない。しかしながら、B−ツリーのような効率的なデータ構造を使用することにより、認証者は、N個のクライアントを有しているにもかかわらず、1日につき、必ずしもO(N)個の公開鍵演算を行なう必要がない。
本発明の一実施形態において、認証者の各クライアントは、認証者が定期的(例えば毎日)に「再確認する」長寿命な(例えば1年)証明書を割り当てられる。長寿命な証明書は、多くの方法で生成され得る。例えば、証明書は、前述したスキームと同様のスキームを使用して生成することができる。いずれにせよ、メッセージ送信者がメッセージ受信者の長寿命な証明書を有している場合には、送信者は、CBEを使用することにより、受信者の公開鍵がその意図する満了日前に取り消される可能性を避けることができる。
暗号化においては、システム内のn人のユーザを表わす2分木の葉(リーフ)を使用する放送暗号化技術がある。ここで、ユーザのm=logN個のシークレット鍵は、葉(リーフ)の先祖(葉それ自体を含む)であるm個のノードのシークレット鍵である。図11は、そのようなシステムを示している。ここで、ユーザ4が放送に対して認証されている場合、認証者は、そのm個の先祖1101,1102,1103...1104のうちの1つのシークレット鍵を用いてセッション放送鍵を暗号化する。ユーザ4が放送に対して権利を与えられていない場合、ルートから当該葉(リーフ)への経路から「外れたところにいる(hang off)」ノードに対応するm個のシークレット鍵が代わりに使用される。
R人のユーザが放送に対して権利を与えられていないと、Rlog(N/R)個のノード鍵を使用してセッション放送鍵が暗号化される。ここで、これらのノードは、(N−R)人の権利を与えられたユーザの「カバー」を形成する。図12は、「カバー」の概念を示している。ここで、ノード1201に関連付けられた鍵は、ユーザ1,3,4,5,6,7,8,i,i+1にカバーを与えるが、他のユーザにカバーを与えない。
CBEスキームの一実施形態は、この技術を適用する。受信者をB−ツリーのリーフノードに関連付けるため、固有の二進数列が生成される。また、受信者リーフノードの各先祖ノードに関連付けられた固有の二進数列も生成される。本発明のペアリングに基づく実施形態において、認証者は、二進数列を関連する楕円曲線(またはアーベル多様体)上の複数の点Pnodeに関連付ける、ある公的な方法を定める。
これらの二進数列は、多くの方法で生成され得る。例えば、認証者は、ノードがその親の左の子か右の子かどうかに応じて、ファンクション(stringparent,O)またはファンクション(stringparent,1)として、ノードの二進数列を計算しても良い。あるいは、二進数列は、各受信者リーフノードと、当該ノードの子ノードに関連付けられた二進数列を少なくとも使用して生成された先祖に関連付けられた二進数列と、に対して割り当てられ得る。その後、1つのファンクションを使用して、各二進数列が楕円曲線上またはアーベル多様体上の1つの点にマッピングされ得る。一実施形態において、当該ファンクションはハッシュ関数であり得る。
ノードの点Pnodeに対応する復号鍵は、sCPnodeである。ここで、sCは、認証者によって維持されるマスターシークレットである。認証者は、再確認されるユーザのカバーを見つけ、その後、定期的に、そのカバーのノードに対応する復号鍵を発行する。再確認された全てのユーザは、ノードがそのリーフの先祖となるように、ある復号鍵sCPnodeを見つけることができる。また、この復号鍵は、復号鍵の有効期間を定めるパラメータに関連付けられても良い。例えば、Pnodeは、このパラメータによって決まっても良い。
復号鍵sCPnodeに関連付けられた点Pnodeが送信者に知られている場合、送信者は、受信者の公開鍵PKBと、復号鍵と共に公開鍵/秘密鍵対を形成する暗号鍵と、を使用して、受信者に対するメッセージを暗号化することができる。
しかしながら、送信者は、認証者によって使用されるカバーを知らなくても良いため、この復号鍵が受信者の先祖ノードのうちのいずれに対応しているかを知らなくても良い。したがって、送信者は、m個の別個のメッセージ暗号化を引き起こす。
送信者は、ランダムrを選択するとともに、rPを計算する。次に、送信者は、暗号文C=[rP,V1,...,Vm]を暗号化する。
ここで、
Figure 2012256083
である。Piは、連続番号b1....biに対応する識別文字列である。また、暗号文のある部分、例えばMは、受信者の公開鍵PKBを用いて暗号化される。これは、復号する必要があるsBP’Bを受信者がsBの知識を使用して計算する前述したスキームと同様の方法で行なうことができる。
取り消されていない受信者は、認証者からある復号鍵sCPiを受けてしまっている。受信者は、この鍵および受信者の秘密鍵SKBを使用して、Viのうちの1つを復号する。
復号鍵が有効期間パラメータに関連付けられている場合、認証者が受信者の復号鍵を発行するスケジュールを知っているメッセージ送信者は、受信者の公開鍵PKBと、所定の有効期間を有する復号鍵と共に公開鍵/秘密鍵対を形成する暗号鍵と、を使用して、メッセージを暗号化することができる。その後、受信者は、この期間中にメッセージを復号するだけで良い。
本発明の他の実施形態においては、有効期間パラメータの関数として、ルートノード点Ptimeだけが計算される。下位レベルノード、すなわち、受信者を表わすリーフとルートノードとの間にあるそれらのノードは、ツリーにおけるそれらの位置の関数として、例えばPb1...bi=H(b1...bi)として、計算され、時間と共に変化しない。認証者は、前述した技術を使用して、取り消されていない受信者に関連付けられた各リーフの所定の認証者のための復号鍵を生成する。b1...biにおける復号鍵は、あるランダムx∈Z/qZにおいて、形式sCPtime+x(Pb1...bi)、xPから成る。ここで、sCおよびxの両方が認証者の秘密である。
先の実施形態と比べると、これらの鍵を計算する際の認証者の計算的負担は増大されない。しかしながら、送信者の暗号化時間が減少される。暗号化するために、送信者は、ランダムrを選択してrPを計算する。その後、送信者は、以下の暗号文Cを暗号化する。
C=[rP,rPb1,....,r(Pb1+...+Pb1…bm),V] ここで、
Figure 2012256083

Figure 2012256083
である。この場合も同様に、暗号文のある部分、例えばMは、受信者の公開鍵PKBを用いて暗号化される。
取り消されていない受信者は、
Figure 2012256083

Figure 2012256083
で割ることにより復号する。また、受信者は、受信者の秘密鍵SKBを使用してメッセージを復号する。ここで、受信者は、先の実施形態よりも1回多くペアリングを行なわなければならない。しかしながら、送信者は、ゆっくりとしたペアリング計算よりも速い点乗算を行なう。
本発明の更に他の実施形態においては、前述したように、ある特定の時間の関数として、ルートノード点Ptimeだけが計算される。しかしながら、この実施形態において、認証者によって所定時間に行なわれる作業量は、取り消された受信者の総数ではなく、先の時間中に生じた取り消し数のみに依存する。
再び、下位レベルノードは、ツリーにおけるその位置の関数として、例えばPb1...bi=H(b1...bi)として、計算され、時間にしたがって変化しない。認証者は、取り消されていない各受信者の所定の先祖のための復号鍵を生成する。
認証者が、所定の時間間隔で、例えば毎時間、復号鍵の更新を行なう場合、各時間は、それに関連付けられた点Phourを有している。認証者は、放送暗号化技術を使用して、過去の時間において取り消されなかった受信者のカバーを見つける。このカバーは、O(Rlog(N/R))個の点から成る。ここで、Rは、過去の時間(全ての時間ではない)に取り消された受信者の数である。カバーの各ノードPi毎に、認証者は、点xPと共に、形式sPhour+xPiから成る1つの点を発行する。認証者は、各時間毎に、xの新たな値を選択する。その時間において所定の受信者が取り消されなかった場合、受信者は、認証者が1つの点を発行したある先祖Piを有している。この点は、その時間における受信者の再確認証明書である。
その時間毎の再確認証明書を一緒に加えることにより、受信者は、点{xi,P}と共に、形式s(Phour1+.....+Phourk)+x1P1+x2P2+....xmPmから成る集合証明書を得る。これは、受信者の更新された復号鍵である。選択された時間間隔の最後に、例えば一日の最後に、認証者は、s(Pday−P24−....−P1)を発行する。これにより、一日にわたって認証された全ての受信者は、そのプライベート点の時間成分の表示(式)を圧縮することができる。日vの時間yから日wの時間zまでの受信者の完全なプライベート点は、以下のようになる。
Srecipient=s(Pv,y+...+Pv,24+PV+1,1+....+PW,Z)+x1P1+x2P2+...+xmPm
メッセージ送信者は、PBper=Pv,y+...+Pw,z、すなわち、受信者が連続的に再確認されなければならなかった期間に対応する点、を簡単に計算することができる。送信者は、ランダムrを最初に選択した後にrPを計算することにより、受信者に対するメッセージを暗号化する。その後、送信者は、暗号文Cを以下のように設定する。
C=[rP,rP1,...,rPm,V]
ここで、
Figure 2012256083
である。この場合も同様に、暗号文のある部分、例えばMは、受信者の公開鍵PKBを用いて暗号化される。
受信者は、取り消されていない場合、以下の式により復号してMを復元する。
Figure 2012256083
また、受信者は、受信者秘密鍵SKBを使用して、復号のある部分を行なう。
後者の実施形態の利点は、認証者がN=250,000,000人のクライアントを有するとともに毎時間更新を行ない且つR個のユーザを毎時間取り消すという以下の例によって、明らかにすることができる。250,000,000人のユーザから成るシステムにおいては、そのうちの10%が毎年取り消され、約2850人のユーザが毎時間取り消される。Rlog(N/R)≒46000であるため、認証者は、毎秒約13個の再確認証明書を生成しなければならない。これは、1つのコンピュータ上では非常に妥当である。しかしながら、CAは、計算を分配できるように幾つかのコンピュータを有していても良い。署名生成は、高速ECC型演算である楕円曲線上での点乗算だけを含んでいる。
これらの証明書の分配は、多くの様々な方法で扱うことができる。1つの選択肢は、証明書が認証する受信者に対して証明書を「プッシュ」することである。潜在的には、マルチキャストがこれを非常に効率的にして、認証者の帯域の必要性を(46000certs)×(320bit/証明書)/時間≒4kbit/秒まで減らすことができるかもしれない。マルチキャストが使用されない場合、250,000,000人のユーザの全てに対して直接に証明書をプッシュするには、CAは、少なくとも22tobit/秒の接続を有していなければならない。これは、それが低い範囲であるため、実行不可能である。クライアントがその証明書を1日当たり24回未満でCAから「プル」する場合には、この数字を減らすことができる。しかし、要求される帯域はかなりの量である。複数の(信頼されていない)サーバが使用される場合には、(集合的な)22mbit/秒の接続により、サーバは証明書をクライアントに対して「プッシュ」することができる。
別の手段として、クライアントは、その証明書をサーバからプルすることができる。全てのサーバが再確認証明書の全てを記憶する必要はない。むしろ、受信者は、自分が常にその証明書を検索する特定のサーバを有していても良い。この場合、認証者ディレクトリ通信は、(4kbits/秒)×(サーバの数)ではなく、むしろ、4kbits/秒のままである。
受信者の最初の認証から現在まで通ってきた時間の数とは無関係に、受信者の認証のプルーフは、コンパクトなままである、すなわち、そのプライベート点SrecipientおよびlogN個の点{xiP}のままである。送信者に対して更に課される支出が僅かで、受信者は、約160ビット(320ビットの代わりに)を使用して各点を表わすことができる。したがって、Nが250,000,000である場合、その集合再確認証明書は約4.5kbitである。
本発明の方法は全て、好ましくは、受信者(あるいは、受信者秘密鍵が同一性に基づく場合には、秘密鍵ジェネレータ)だけが復号できるように、受信者がそれ自身の公開鍵/秘密鍵対を有している必要があるが、当業者であれば分かるように、この方法は、そのような要件を作らないことにより、すなわち、受信者秘密鍵が無くても必要な認証者からの必要な署名を有する任意のエンティティが送信者のメッセージを復号できるようにすることにより、弱められ得る。
(証明書に基づく暗号化スキームと共に使用できるシステム)
公開鍵暗号化スキームにおいて送信者と受信者との間でデジタルメッセージを送信する様々な方法について説明してきた。ここで、本発明の他の実施形態にしたがってこれらの方法を実行するシステムについて説明する。
システムは多数の端末を有しており、各端末は、前述した方法にしたがってメッセージを送信または受信するエンティティに関連付けられ得る。また、システムは、メッセージ受信者がメッセージを受ける権限を有することを認証する1または複数の認証者を有していても良い。
各端末は、メモリを有する双方向通信のプロセッサを有している。プロセッサは、前述した手続きを行なうのに適したプログラムコードを実行する。また、プロセッサは、他の端末に送信される情報を生成するのに適したプログラムコードを実行する。適したプログラムコードは、当該技術分野で知られた方法にしたがって形成され得る。メモリは、前述した方法の実行中に使用されるプログラムコード、中間結果、他の情報を記憶する。
エンティティおよび1以上の認証者が通信できる通信ネットワークが設けられる。通信ネットワークは、例えば、適した通信ネットワークを提供する、LANコンピュータネットワーク、WANコンピュータネットワーク、及び/又は、携帯電話ネットワークを含む様々な共通の形式から成っていても良い。
本発明は、特に好ましい実施形態および例示的な実施例に関して詳細に説明されてきたが、本発明の思想および範囲内で変形や修正が行われ得ることが理解される。

Claims (90)

  1. 複数の認証装置を含む暗号化システム中でエンティティのための復号鍵を生成する方法で、複数の認証装置の中には、少なくとも1つのルート認証装置と、当該ルート認証装置とエンティティとの間の階層中にあるn個の下位レベル認証装置と、が含まれる方法であって、n≧1であり、
    ルート認証装置に知られるルート鍵生成シークレットを生成するステップと、
    ルート鍵生成シークレットに基づいてルート鍵生成パラメータを生成するステップと、
    n個の下位レベル認証装置の各々に下位レベル鍵生成シークレットを生成するステップであって、各下位レベル鍵生成シークレットはその対応する下位レベル認証装置に知られている、というステップと、
    n個の下位レベル認証装置の各々に下位レベル鍵生成パラメータを生成するステップであって、各下位レベル鍵生成パラメータは少なくともその対応する下位レベル認証装置における前記下位レベル鍵生成シークレットを使用して生成される、というステップと、
    エンティティのための復号鍵における有効期間を規定する復号鍵生成スケジュールを定めるステップと、
    少なくともルート鍵生成シークレットと1または複数の下位レベル鍵生成シークレットとに関連付けられるようにエンティティのための復号鍵を生成するステップと、
    前記復号鍵をエンティティに与えるステップと、
    を備えたことを特徴とする方法。
  2. エンティティのための前記復号鍵は、有効期間を定めるパラメータに関連付けられていることを特徴とする請求項1に記載の方法。
  3. 暗号化システム中の受信装置zのための復号鍵を生成する方法で、階層中において受信装置zはルート認証装置よりも(n+1)レベル下にあり、受信装置は、受信装置に関連付けられた同一性情報IDz(n+1)と、ルート認証装置と受信装置との間の階層中にあるn個の下位レベル認証装置の各々に関連付けられた同一性情報IDziと、を含む受信装置ID−タプル(IDz1,...,IDz(n+1))に関連付けられている、という方法であって、
    複数の要素から成る第1の循環群Γ1と、複数の要素から成る第2の循環群Γ2と、を生成するステップと、
    第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を生成することができるファンクション
    Figure 2012256083
     を選択するステップと、
    第1の循環群Γ1のルートジェネレータP0を選択するステップと、
    ルート認証装置に関連付けられ且つルート認証装置に知られたランダムルート鍵生成シークレットs0を選択するステップと、
    ルート鍵生成パラメータQ0=s0P0を生成するステップと、
    第1の二進数字列から第1の循環群Γ1の1つの要素を生成することができる第1のファンクションH1を選択するステップと、
    第2の循環群Γ2の1つの要素から第2の二進数字列を生成することができる第2のファンクションH2を選択するステップと、
    n個の下位レベル認証装置の各々に、要素Pzi=H1(ID1,...,IDzi)(1≦i≦n)を生成するステップと、
    n個の下位レベル認証装置の各々に下位レベル鍵生成シークレットsziを選択するステップであって、各下位レベル鍵生成シークレットsziは、その対応する下位レベル認証装置に知られている、というステップと、
    n個の下位レベル認証装置の各々に下位レベルシークレット要素Sziを生成するステップであって、Szi=Sz(i−1)+sz(i−1)Pzi(1≦i≦n)であり、S0=Q0である、というステップと、
    n個の下位レベル認証装置の各々に下位レベル鍵生成パラメータQzi=sziP0(1≦i≦n)を生成するステップと、
    受信装置に関連付けられた受信装置要素Pz(n+1)=H1(IDz1,...,IDz(n),Inf(n+1))を生成するステップであって、Pz(n+1)は第1の循環群Γ1の1つの要素であり、Inf(n+1)は二進数字列である、というステップと、
    受信装置に関連付けられた受信装置復号鍵
    Figure 2012256083
     を生成するステップと、
    を備えたことを特徴とする方法。
  4. 受信装置要素は、Pz(n+1)=H1(IDz1,...,IDz(n+1),Inf(n+1))であり、
    Inf(n+1)は、受信装置の同一性と、同一性に基づく復号鍵における有効期間と、を含んでいることを特徴とする請求項3に記載の方法。
  5. Inf(n+1)は、受信装置によって生成された受信装置公開鍵を更に含んでいることを特徴とする請求項3に記載の方法。
  6. 第1の循環群Γ1および第2の循環群Γ2の両者は、同じプライムオーダーqから成ることを特徴とする請求項3に記載の方法。
  7. 第1の循環群Γ1は、超特異な楕円曲線上またはアーベル多様体上の複数の点から成る付加的な群であり、
    第2の循環群Γ2は、有限領域の乗法群である
    ことを特徴とする請求項3に記載の方法。
  8. 前記ファンクション
    Figure 2012256083
     は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項3に記載の方法。
  9. s0は、循環群Z/qZの要素であり、
    Q0は、第1の循環群Γ1の要素であり、
    各要素Pziは、第1の循環群Γ1の要素であり、
    各下位レベル鍵生成シークレットsziは、循環群Z/qZの要素であり 各シークレット要素Sziは、第1の循環群Γ1の要素であり、
    各下位レベル鍵生成パラメータQziは、第1の循環群Γ1の要素であり、
    受信装置要素Pz(n+1)は、第1の循環群Γ1の要素であり、
    受信装置復号鍵Sz(n+1)は、第1の循環群Γ1の要素である、
    ことを特徴とする請求項3に記載の方法。
  10. 階層型の証明書に基づく暗号化システムにおいて、送信装置yと受信装置zとの間で通信されるデジタルメッセージMを暗号化および復号する方法で、階層中において受信装置zはルート認証装置よりも(n+1)レベル下にあり、受信装置は、受信装置に関連付けられた同一性情報IDz(n+1)と、ルート認証装置と受信装置との間の階層中にあるn個の下位レベル認証装置の各々に関連付けられた同一性情報IDziと、を含む受信装置ID−タプル(IDz1,...,IDz(n+1))に関連付けられている方法であって、
    受信装置のための受信装置公開鍵/秘密鍵対を生成するステップであって、前記受信装置秘密鍵は受信装置に知られている、というステップと、
    複数の要素から成る第1の循環群Γ1と、複数の要素から成る第2の循環群Γ2と、を生成するステップと、
    第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を形成することができるファンクション
    Figure 2012256083
     を選択するステップと、
    第1の循環群Γ1のルートジェネレータP0を選択するステップと、
    ルート認証装置に関連付けられ且つルート認証装置に知られたランダムルート鍵生成シークレットs0を選択するステップと、
    ルート鍵生成パラメータQ0=s0P0を生成するステップと、
    第1の二進数字列から第1の循環群Γ1の1つの要素を生成することができる第1のファンクションH1を選択するステップと、
    第2の循環群Γ2の1つの要素から第2の二進数字列を生成することができる第2のファンクションH2を選択するステップと、
    n個の下位レベルCAの各々に、要素Pzi=H1(ID1,...,IDzi)(1≦i≦n)を生成するステップと、
    n個の下位レベル認証装置の各々に下位レベル鍵生成シークレットsziを選択するステップであって、各下位レベル鍵生成シークレットsziは、その対応する下位レベル認証装置に知られている、というステップと、
    n個の下位レベル認証装置の各々に下位レベルシークレット要素Sziを生成するステップであって、Szi=Sz(i−1)+sz(i−1)Pzi(1≦i≦n)であり、SZ0=Q0である、というステップと、
    n個の下位レベル認証装置の各々に下位レベル鍵生成パラメータQzi=sziP0(1≦i≦n)を生成するステップと、
    受信装置に関連付けられた受信装置要素Pz(n+1)=H1(IDz1,...,IDz(n),Inf(n+1))を生成するステップであって、Pz(n+1)は第1の循環群Γ1の1つの要素であり、Inf(n+1)は二進数字列である、というステップと、
    受信装置に関連付けられた受信装置シークレット要素
    Figure 2012256083
     を生成するステップであって、Inf(n+1)は受信装置シークレット要素における有効期間を含んでいる、というステップと、
    少なくとも受信装置公開鍵とルート暗号化パラメータQ0とInf(n+1)とを使用して、デジタルメッセージをエンコードして暗号文を生成するステップと、
    少なくとも受信装置秘密鍵と下位レベル鍵生成パラメータQziと受信装置シークレット要素Sz(n+1)とを使用することにより、前記暗号文CをデコードしデジタルメッセージMを復元するステップと、
    を備えたことを特徴とする方法。
  11. 第1の循環群Γ1および第2の循環群Γ2の両者は、同じプライムオーダーqから成る、請求項10に記載の方法。
  12. 第1の循環群Γ1は、超特異な楕円曲線上またはアーベル多様体上の複数の点から成る付加的な群であり、
    第2の循環群Γ2は、有限領域の乗法群である
    ことを特徴とする請求項10に記載の方法。
  13. 前記ファンクション
    Figure 2012256083
     は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項10に記載の方法。
  14. s0は、循環群Z/qZの要素であり、
    Q0は、第1の循環群Γ1の要素であり、
    各要素Pziは、第1の循環群Γ1の要素であり、
    各下位レベル鍵生成シークレットsziは、循環群Z/qZの要素であり 各シークレット要素Sziは、第1の循環群Γ1の要素であり、
    各下位レベル鍵生成パラメータQziは、第1の循環群Γ1の要素であり、
    受信装置要素Pz(n+1)は、第1の循環群Γ1の要素であり、
    受信装置シークレット要素Sz(n+1)は、第1の循環群Γ1の要素である、
    ことを特徴とする請求項10に記載の方法。
  15. メッセージMをエンコードする前記ステップは、
    ランダムパラメータrを選択するステップと、
    暗号文C=[rP,V]を生成するステップであって、
    Figure 2012256083
     であり、
    Figure 2012256083
     であり、sBPが受信装置公開鍵であり、P’BがH1(Inf(n+1))であり、Pj=H1(sz(j−1)P,Inf(n+1))である、というステップと、
    を更に含み、
    暗号文Cをデコードする前記ステップは、
    Figure 2012256083
     からデジタルメッセージMを復元するステップを更に含む、
    ことを特徴とする請求項10に記載の方法。
  16. 第1の循環群Γ1および第2の循環群Γ2の両者は、同じプライムオーダーqから成ることを特徴とする請求項10に記載の方法。
  17. 第1の循環群Γ1は、超特異な楕円曲線上またはアーベル多様体上の複数の点から成る付加的な群であり、
    第2の循環群Γ2は、有限領域の乗法群である
    ことを特徴とする請求項10に記載の方法。
  18. 前記ファンクション
    Figure 2012256083
     は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項10に記載の方法。
  19. s0は、循環群Z/qZの要素であり、
    Q0は、第1の循環群Γ1の要素であり、
    各要素Pziは、第1の循環群Γ1の要素であり、
    各下位レベル鍵生成シークレットsziは、循環群Z/qZの要素であり 各シークレット要素Sziは、第1の循環群Γ1の要素であり、
    各下位レベル鍵生成パラメータQziは、第1の循環群Γ1の要素であり、
    受信装置要素Pz(n+1)は、第1の循環群Γ1の要素であり、
    受信装置シークレット要素Sz(n+1)は、第1の循環群Γ1の要素であり、
    rは、循環群Z/qZの要素であり、
    gは、第2の循環群Γ2の要素である、
    ことを特徴とする請求項10に記載の方法。
  20. 2つの二進数字列から循環群Z/qZの整数を生成することができる第3のファンクションH3を選択するステップと、
    他の二進数列から1つの二進数列を生成することができる第4のファンクションH4を選択するステップと、
    を更に備え、
    メッセージMをエンコードする前記ステップは、
    ランダムパラメータσ∈{0,1}nを選択するステップと、
    ランダム鍵生成シークレットr=H3(σ,M)を設定するステップと、
    暗号文C=[U0,U2,....,Ui,V,W]を生成するステップであって、U0=rsBPであり、Ui=rPzi(2≦i≦n+1)であり、
    Figure 2012256083
     であり、
    Figure 2012256083
     であり、sBPが受信装置公開鍵であり、
    Figure 2012256083
     であり、W=EH4(σ)(M)であり、Eが安全対称暗号化スキームであり、H4(σ)がEと共に使用される鍵である、というステップと、
    を更に含み、
    暗号文Cをデコードする前記ステップは、
    Figure 2012256083
     を使用してランダム二進数列σを復元するステップと、
    Figure 2012256083
     を使用してメッセージMを復元するステップと、
    を更に含む、
    ことを特徴とする請求項10に記載の方法。
  21. 第1の循環群Γ1および第2の循環群Γ2の両者は、同じプライムオーダーqから成ることを特徴とする請求項20に記載の方法。
  22. 第1の循環群Γ1は、超特異な楕円曲線上またはアーベル多様体上の複数の点から成る付加的な群であり、
    第2の循環群Γ2は、有限領域の乗法群である
    ことを特徴とする請求項20に記載の方法。
  23. 前記ファンクション
    Figure 2012256083
     は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項20に記載の方法。
  24. 試験的なランダム整数r’=H3(σ,M)を演算し、
    U0=r’P0およびUi=r’Pzi(2≦i≦n+1)であることを確認する、
    ことによって、暗号文Cが本物であることを確認するステップ
    を更に含んでいる
    ことを特徴とする請求項20に記載の方法。
  25. s0は、循環群Z/qZの要素であり、
    Q0は、第2の循環群Γ2の要素であり、
    各要素Pziは、第1の循環群Γ1の要素であり、
    各下位レベル鍵生成シークレットsziは、循環群Z/qZの要素であり 各シークレット要素Sziは、第1の循環群Γ1の要素であり、
    各下位レベル鍵生成パラメータQziは、第1の循環群Γ1の要素であり、
    受信装置要素Pz(n+1)は、第1の循環群Γ1の要素であり、
    受信装置シークレット要素Sz(n+1)は、第1の循環群Γ1の要素であり、
    rは、循環群Z/qZの要素であり、
    gは、第2の循環群Γ2の要素である、
    ことを特徴とする請求項20に記載の方法。
  26. 送信装置と、受信装置と、複数のn個の認証装置と、を含む公開鍵暗号化スキームで、送信装置と受信装置との間でデジタルメッセージを送信する方法で、n≧1であり、受信装置は、認証装置からの承認を有している場合にだけ、デジタルメセージをデコードすることができる、という方法であって、
    受信装置のための受信装置公開鍵/秘密鍵対を生成するステップであって、前記受信装置秘密鍵は受信装置の秘密である、というステップと、
    認証装置の各々にシークレット鍵si(1≦i≦n)を生成するステップであって、各シークレット鍵はその対応する認証装置に知られている、というステップと、
    認証装置の各々に公開鍵を生成するステップであって、各公開鍵は少なくともその対応する認証装置におけるシークレット鍵を使用して生成される、というステップと、
    当該認証装置のシークレット鍵を用いて二進数字列Miに署名することにより、認証装置の各々に署名を生成するステップと、
    受信装置の公開鍵と、認証装置によって署名された二進数字列Miと、認証装置の公開鍵と、を少なくとも使用して、デジタルメッセージを暗号化して暗号文を形成するステップと、
    受信装置の秘密鍵と、認証装置によって生成された署名と、を少なくとも使用して、暗号文を復号するステップと、
    を備えたことを特徴とする方法。
  27. 少なくとも1つの二進数字列は、認証装置によって生成される署名の有効期間を決定するパラメータに関連付けられていることを特徴とする請求項26に記載の方法。
  28. 少なくとも1つの二進数字列は、受信装置の同一性を含む情報から生成される
    ことを特徴とする請求項27に記載の方法。
  29. 少なくとも1つの二進数字列は、受信装置公開鍵を含む情報から生成される
    ことを特徴とする請求項27に記載の方法。
  30. 送信装置と、受信装置と、複数の認証装置と、を含む公開鍵暗号化スキームで、送信装置と受信装置との間でデジタルメッセージを送信する方法で、複数の認証装置は、少なくとも1つのルート認証装置と、当該ルート認証装置と受信装置との間の階層中にあるn個の下位レベル認証装置と、を含み、n≧1であり、受信装置は、認証装置からの承認を有している場合にだけ、デジタルメッセージを復号することができるという方法であって、
    受信装置のための受信装置公開鍵/秘密鍵対を生成するステップであって、前記受信装置秘密鍵は受信装置の秘密である、というステップと、
    ルート認証装置および各下位レベル認証装置のためのシークレット鍵siを生成するステップであって、各シークレット鍵はその対応する認証装置に知られている、というステップと、
    ルート認証装置および各下位レベル認証装置のための公開鍵を生成するステップであって、各公開鍵は少なくともその対応する認証装置におけるシークレット鍵を使用して生成される、というステップと、
    それぞれが各下位レベル認証装置の公開鍵を含んでいる複数の文書を認証して署名を生成するステップであって、各下位レベル認証装置の公開鍵を含む前記文書は、階層中でその下位レベル認証装置よりも上位にいる認証装置によって認証される、というステップと、
    受信装置公開鍵を含む文書を認証するステップであって、前記文書は、階層中で受信装置の直ぐ上位にいる認証装置によって認証される、というステップと、
    受信装置の公開鍵と、認証装置の公開鍵と、文書と、を少なくとも使用して、デジタルメッセージを暗号化して暗号文を形成するステップと、
    受信装置の秘密鍵と、認証装置によって生成された署名と、を少なくとも使用して、暗号文を復号するステップと、
    を備えたことを特徴とする方法。
  31. 少なくとも1つの認証装置の公開鍵は、認証装置によって生成される署名の有効期間を決定するパラメータに関連付けられていることを特徴とする請求項30に記載の方法。
  32. 少なくとも1つの二進数字列は、受信装置の同一性を含む情報から生成される
    ことを特徴とする請求項30に記載の方法。
  33. 少なくとも1つの二進数字列は、受信装置公開鍵を含む情報から生成される
    ことを特徴とする請求項30に記載の方法。
  34. 複数の要素から成る第1の循環群Γ1と、複数の要素から成る第2の循環群Γ2と、を生成するステップと、
    第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を生成することができるファンクション
    Figure 2012256083
     を選択するステップと、
    第1の循環群Γ1のジェネレータPを選択するステップと、
    認証装置のシークレット鍵をsiとして割り当てるステップと、
    認証装置の公開鍵をsiPとして割り当てるステップと、
    二進数字列から第1の循環群Γ1の1つの要素を生成することができる第1のファンクションH1を選択するステップと、
    下位レベル認証装置の各々に要素PMiを生成するステップであって、1≦i≦n−1においてPMi=H1(siP,Mi+1)であり、Mi+1は、階層中で当該認証装置の直ぐ下位にいる認証装置の公開鍵および同一性に関連付けられている、というステップと、
    要素PMiに署名して、署名Si=siPMiを生成するステップと、
    を更に備えたことを特徴とする請求項30に記載の方法。
  35. 第1の循環群Γ1および第2の循環群Γ2の両者は、同じプライムオーダーqから成ることを特徴とする請求項34に記載の方法。
  36. 第1の循環群Γ1は、超特異な楕円曲線上またはアーベル多様体上の複数の点から成る付加的な群であり、
    第2の循環群Γ2は、有限領域の乗法群である
    ことを特徴とする請求項34に記載の方法。
  37. 前記ファンクション
    Figure 2012256083
     は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項34に記載の方法。
  38. 各鍵生成シークレットsiは、循環群Z/qZの1つの要素であり、
    各公開鍵Siは、第1の循環群Γ1の1つの要素であり、
    各要素PMiは、第1の循環群Γ1の1つの要素であり、
    受信装置秘密鍵sは、循環群Z/qZの1つの要素である、
    ことを特徴とする請求項34に記載の方法。
  39. 送信装置と、受信装置と、認証装置と、を含む公開鍵暗号化スキームで、送信装置と受信装置との間でデジタルメッセージを暗号化して復号する方法で、デジタルメッセージは送信装置によって暗号化されて受信装置により復号される方法であって、
    (a)受信装置公開鍵/受信装置秘密鍵対を生成するステップであって、前記受信装置秘密鍵は受信装置の秘密である、というステップと、
    (b)認証装置に知られた鍵生成シークレットを選択するステップと、
    (c)時間iに対応付けられた受信装置復号鍵を生成するステップであって、時間iに対応付けられた前記受信装置復号鍵は、鍵生成シークレットに関連付けられ、iよりも遅い時間に対応付けられた受信装置復号鍵ではなくiよりも早い時間に対応付けられた受信装置復号鍵は、時間iに対応付けられた前記受信装置復号鍵から生成することができる、というステップと、
    (d)前記受信装置公開鍵と、時間iに対応付けられた時間パラメータまたはそれよりも早い時間に対応付けられた時間パラメータと、受信装置暗号鍵と、を少なくとも使用して、デジタルメッセージを暗号化して暗号文を形成し、これにより、暗号化されたデジタルメッセージを形成する、というステップと、
    (e)前記受信装置秘密鍵と、時間iに対応付けられた前記受信装置復号鍵と、を少なくとも使用して、前記暗号文を復号するステップと、
    を備えたことを特徴とする方法。
  40. 時間iに対応付けられた前記受信装置復号鍵は、受信装置を識別する情報に関連付けられていることを特徴とする請求項39に記載の方法。
  41. 送信装置と、受信装置を含む複数のクライアントと、認証装置と、を含む公開鍵暗号化スキームで、送信装置と受信装置との間でデジタルメッセージを送信する方法であって、デジタルメッセージは送信装置によって暗号化されて受信装置により復号される方法であって、
    (a)受信装置のための受信装置公開鍵/受信装置秘密鍵対を生成するステップであって、前記受信装置秘密鍵は受信装置の秘密である、というステップと、
    (b)受信装置をB−ツリーのリーフノードに関連付ける固有の二進数列を生成するステップと、
    (c)受信装置リーフノードの各先祖ノードに関連付けられた固有の二進数列を生成するステップと、
    (d)受信装置リーフノードおよび受信装置リーフノードにおける先祖ノードの各々のための暗号鍵を生成するステップであって、各ノードのための暗号鍵は、少なくともそのノードに関連付けられた二進数列に関連付けられている、というステップと、
    (e)認証装置に対して知られたマスターシークレットを生成するステップと、
    (f)受信装置リーフノードの1つの先祖ノードに関連付けられた受信装置復号鍵を生成するステップであって、前記先祖ノードは、認証装置によって認証されないクライアントに関連付けられたリーフノードの先祖ではなく、前記受信装置復号鍵は、少なくともそのノードに関連付けられた二進数列と前記マスターシークレットとに関連付けられ、受信装置リーフノードの先祖ノードに関連付けられた前記受信装置復号鍵は、受信装置リーフノードの先祖ノードに関連付けられた暗号鍵を用いて、秘密鍵/公開鍵対を形成する、というステップと、
    (g)前記受信装置公開鍵と、受信装置リーフノードおよび受信装置リーフノードの先祖ノードに関連付けられた暗号鍵と、を少なくとも使用して、デジタルメッセージを暗号化することにより、暗号化されたデジタルメッセージを生成するステップと、
    (h)前記受信装置秘密鍵と、受信装置リーフノードの先祖ノードに関連付けられた受信装置復号鍵と、を少なくとも使用して、暗号化されたデジタルメッセージを復号するステップと、
    を備えたことを特徴とする方法。
  42. 受信装置リーフノードおよび当該受信装置リーフノードにおける先祖ノードの各々のための前記暗号鍵は、そのノードに関連付けられた復号鍵における有効期間を規定する有効期間パラメータに関連付けられていることを特徴とする請求項41に記載の方法。
  43. 受信装置のための長寿命な証明書を生成するステップを更に備え、
    前記証明書は、受信装置公開鍵と、受信装置をB−ツリーのリーフノードに対応付ける二進数列に関連付けられた受信装置連続番号と、有効期間パラメータと、を含んでいることを特徴とする請求項42に記載の方法。
  44. B−ツリーのノードは、楕円曲線上またはアーベル多様体上の複数の点に関連付けられていることを特徴とする請求項41に記載の方法。
  45. 受信装置をB−ツリーのリーフノードに対応付ける前記二進数列は、
    B−ツリーのルートノードに関連付けられた二進数列を選択するステップと、
    ルートノードを除く受信装置リーフノードの各先祖ノードに関連付けられた二進数列を生成するステップであって、ルートノードを除く受信装置リーフノードの各先祖ノードに関連付けられた前記二進数列は、少なくともそのノードの親に関連付けられた二進数列を使用して生成される、というステップと、
    受信装置リーフノードに関連付けられた二進数列を生成するステップであって、受信装置リーフノードに関連付けられた前記二進数列は、少なくともそのノードの親の二進数列を使用して生成される、というステップと、
    を備えた方法によって生成される
    ことを特徴とする請求項41に記載の方法。
  46. 受信装置をB−ツリーのリーフノードに対応付ける前記二進数列は、
    各受信装置リーフノードに関連付けられた二進数列を選択するステップと、
    受信装置リーフノードの先祖ノードのための二進数列を生成するステップであって、受信装置リーフノードの各先祖ノードのための前記二進数列は、少なくともそのノードの子ノードに関連付けられた二進数列を使用して生成される、というステップと、
    を備えた方法によって生成される
    ことを特徴とする請求項41に記載の方法。
  47. 前記B−ツリーは、マークルツリーである
    ことを特徴とする請求項46に記載の方法。
  48. 受信装置リーフノードにカバーを与えるノードのための復号鍵は、
    (a)複数の要素から成る第1の循環群Γ1と、複数の要素から成る第2の循環群Γ2と、を生成するステップと、
    (b)第1の二進数字列から第1の循環群Γ1の1つの要素を生成することができる第1のファンクションH1を選択するステップと、
    (c)受信装置リーフノードにカバーを与えるノードのための識別文字列Pnode=H1(InfB)を生成するステップであって、InfBはそのノードに対応付けられた二進数列に関連付けられている、というステップと、
    (d)各ノード毎にシークレット要素S=sCPnodeを生成するステップであって、シークレット要素Sは、受信装置リーフノードにカバーを与えるノードのための復号鍵である、というステップと、
    を備えた方法によって生成される
    ことを特徴とする請求項41に記載の方法。
  49. 受信装置リーフノードにカバーを与えるノードのための復号鍵における識別文字列は、有効期間パラメータにも関連付けられていることを特徴とする請求項48に記載の方法。
  50. デジタルメッセージは、
    (a)複数の要素から成る第1の循環群Γ1と、複数の要素から成る第2の循環群Γ2と、を生成するステップと、
    (b)第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を生成することができるファンクション
    Figure 2012256083
     を選択するステップと、
    (c)第1の循環群Γ1のジェネレータPを選択するステップと、
    (d)鍵生成パラメータQ=sCPを生成するステップと、
    (e)第1の二進数字列から第1の循環群Γ1の1つの要素を生成することができる第1のファンクションH1を選択するステップと、
    (f)第2の循環群Γ2の1つの要素から第2の二進数字列を生成することができる第2のファンクションH2を選択するステップと、
    (h)B−ツリーの受信装置リーフノードからルートノードへの経路を規定するm個のノードの各々のための識別文字列Pnode=H1(InfB)を生成するステップであって、InfBはそのノードに対応付けられた二進数列に関連付けられている、というステップと、
    ランダム鍵生成シークレットrを選択するステップと、
    デジタルメッセージを暗号化して、C=[rP,V1,...,Vm]となるように設定される暗号文Cを形成するステップであって、
    Figure 2012256083

    Figure 2012256083
     であり、Pnodeiはノードi(i=1,....,m)に関連付けられた識別文字列である、というステップと、
    受信装置公開鍵PKBを用いて暗号文の一部を暗号化するステップと、
    を備えた方法によって暗号化される
    ことを特徴とする請求項41に記載の方法。
  51. InfBは、有効期間パラメータにも関連付けられている
    ことを特徴とする請求項50に記載の方法。
  52. 第1の循環群Γ1および第2の循環群Γ2の両者は、同じプライムオーダーqから成ることを特徴とする請求項50に記載の方法。
  53. 第1の循環群Γ1は、超特異な楕円曲線上またはアーベル多様体上の複数の点から成る付加的な群であり、
    第2の循環群Γ2は、有限領域の乗法群であることを特徴とする請求項50に記載の方法。
  54. 前記ファンクション
    Figure 2012256083
     は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項50に記載の方法。
  55. sCは、循環群Z/qZの1つの要素であり、
    Qは、第1の循環群Γ1の1つの要素であり、
    識別文字列Pnodeは、第1の循環群Γ1の1つの要素であり、
    シークレット要素Sは、第1の循環群Γ1の1つの要素である、
    ことを特徴とする請求項51に記載の方法。
  56. 送信装置と、受信装置を含む複数のクライアントと、認証装置と、を含む公開鍵暗号化スキームで、送信装置と受信装置との間でデジタルメッセージを送信する方法で、デジタルメッセージが送信装置によって暗号化されて受信装置により復号される方法であって、
    (a)受信装置のための受信装置公開鍵/受信装置秘密鍵対を生成するステップであって、前記受信装置秘密鍵は受信装置の秘密である、というステップと、
    (b)B−ツリーのルートノードに関連付けられた二進数列を生成するステップであって、この二進数列は、受信装置リーフノードにカバーを与えるノードのための復号鍵における有効期間を規定する有効期間パラメータに関連付けられている、というステップと、
    (c)受信装置をB−ツリーのリーフノードに関連付ける固有の二進数列を生成するステップと、
    (c)ルートノードを除く受信装置リーフノードの各先祖ノードに関連付けられた固有の二進数列を生成するステップであって、この二進数列は、B−ツリーにおけるその対応するノードの位置に関連付けられる、というステップと、
    (d)受信装置リーフノードおよび受信装置リーフノードにおける先祖ノードの各々のための暗号鍵を生成するステップであって、各ノードのための暗号鍵は、少なくともそのノードに関連付けられた二進数列に関連付けられている、というステップと、
    (e)認証装置に対して知られた第1のマスターシークレットおよび第2のマスターシークレットを生成するステップと、
    (f)受信装置リーフノードにカバーを与えるノードのための復号鍵を生成するステップであって、受信装置リーフノードにカバーを与える前記ノードは、メッセージを復号することを認証されない受信装置のリーフノードの先祖ノードではなく、この復号鍵は、第1のマスターシークレットと、第2のマスターシークレットxと、受信装置リーフノードにカバーを与えるノードおよび受信装置リーフノードにカバーを与えるノードの先祖ノードに関連付けられた二進数列と、に関連付けられており、復号鍵は、受信装置リーフノードにカバーを与えるノードに関連付けられた暗号鍵を用いて、秘密鍵/公開鍵対を形成する、というステップと、
    (g)前記受信装置公開鍵と、受信装置リーフノードおよび受信装置リーフノードの先祖ノードに関連付けられた暗号鍵と、を少なくとも使用して、デジタルメッセージを暗号化することにより、暗号化されたデジタルメッセージを生成するステップと、
    (h)前記受信装置秘密鍵と、受信装置リーフノードにカバーを与えるノードに関連付けられた復号鍵と、を少なくとも使用して、暗号化されたデジタルメッセージを復号するステップと、
    を備えたことを特徴とする方法。
  57. 受信装置のための長寿命な証明書を生成するステップを更に備え、
    前記証明書は、受信装置公開鍵と、受信装置をB−ツリーのリーフノードに対応付ける二進数列に関連付けられた受信装置連続番号と、有効期間パラメータと、を含んでいることを特徴とする請求項56に記載の方法。
  58. 前記B−ツリーは、マークルツリーである
    ことを特徴とする請求項56に記載の方法。
  59. 受信装置をB−ツリーのリーフノードに対応付ける前記二進数列は、
    B−ツリーのルートノードの子に関連付けられた二進数列を選択するステップと、
    ルートノードの子およびルートノードを除く受信装置リーフノードの各先祖ノードに関連付けられた二進数列を生成するステップであって、ルートノードの子およびルートノードを除く受信装置リーフノードの各先祖ノードに関連付けられた前記二進数列は、少なくともそのノードの親に関連付けられた二進数列を使用して生成される、というステップと、
    受信装置リーフノードに関連付けられた二進数列を生成するステップであって、受信装置リーフノードに関連付けられた前記二進数列は、少なくともそのノードの親の二進数列を使用して生成される、というステップと、
    を備えた方法によって生成される
    ことを特徴とする請求項56に記載の方法。
  60. 受信装置をB−ツリーのリーフノードに対応付ける前記二進数列は、
    各受信装置リーフノードに関連付けられた二進数列を選択するステップと、
    ルートノードを除き、受信装置リーフノードの先祖ノードのための二進数列を生成するステップであって、受信装置リーフノードの各先祖ノードのための前記二進数列は、ルートノードを除き、少なくともそのノードの子ノードに関連付けられた二進数列を使用して生成される、というステップと、
    を備えた方法によって生成される
    ことを特徴とする請求項56に記載の方法。
  61. B−ツリーのノードは、楕円曲線上またはアーベル多様体上の複数の点に関連付けられていることを特徴とする請求項56に記載の方法。
  62. 受信装置リーフノードにカバーを与えるノードのための復号鍵は、
    (a)複数の要素から成る第1の循環群Γ1と、複数の要素から成る第2の循環群Γ2と、を生成するステップと、
    (b)第1の二進数字列から第1の循環群Γ1の1つの要素を生成することができる第1のファンクションH1を選択するステップと、
    (c)B−ツリーのルートノードのための識別文字列Pmode=H1(InfR)を生成するステップであって、InfRは有効期間パラメータに関連付けられている、というステップと、
    (d)ルートノードのためのシークレット要素SR=sCPmodeを生成するステップであって、シークレット要素Sは、ルートノードにおける同一性に基づくシークレット鍵である、というステップと、
    (e)ルートノードを除く、受信装置リーフノードにカバーを与えるノードおよび受信装置リーフノードにカバーを与えるノードの各先祖ノードに関連付けられた二進数列Pb1...Pb1…biを生成するステップであって、受信装置リーフノードにカバーを与えるノードおよび受信装置リーフノードにカバーを与えるノードの各先祖ノードに関連付けられた前記二進数列は、形式Pnode=H1(InfB)から成り、InfBはB−ツリーにおけるそのノードの位置に関連付けられている、というステップと、
    (f)受信装置リーフにカバーを与えるノードのためのシークレット要素S=SR+x(Pb1+...+Pb1…bi),xPを生成するステップであって、シークレット要素Sは、受信装置リーフノードにカバーを与えるノードのための復号鍵である、というステップと、
    を備えた方法によって生成される
    ことを特徴とする請求項61に記載の方法。
  63. デジタルメッセージは、
    (a)複数の要素から成る第1の循環群Γ1と、複数の要素から成る第2の循環群Γ2と、を生成するステップと、
    (b)第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を生成することができるファンクション
    Figure 2012256083
     を選択するステップと、
    (c)第1の循環群Γ1のジェネレータPを選択するステップと、
    (d)鍵生成パラメータQ=sCPを生成するステップと、
    (e)第1の二進数字列から第1の循環群Γ1の1つの要素を生成することができる第1のファンクションH1を選択するステップと、
    (f)第2の循環群Γ2の1つの要素から第2の二進数字列を生成することができる第2のファンクションH2を選択するステップと、
    (g)B−ツリーのルートノードのための識別文字列Pmode=H1(InfR)を生成するステップであって、InfRは有効期間パラメータに関連付けられている、というステップと、
    (h)ルートノードを除く、受信装置リーフノードおよび受信装置リーフノードの各先祖ノードに関連付けられた二進数列Pb1...Pb1…biを生成するステップであって、受信装置リーフノードおよび受信装置リーフノードの各先祖ノードに関連付けられた前記二進数列は形式Pnode=H1(InfB)から成り、InfBはB−ツリーにおけるそのノードの位置に関連付けられている、というステップと、
    (i)ランダム鍵生成シークレットrを選択するステップと、
    (j)デジタルメッセージを暗号化して、C=[rP,rPb1,...,r(Pb1+...+Pb1…bm),V]となるように設定される暗号文Cを形成するステップであって、
    Figure 2012256083

    Figure 2012256083
     であるステップと、
    (k)受信装置公開鍵PKBを用いて暗号文の一部を暗号化するステップと、
    を備えた方法によって暗号化され、これにより、暗号化されたデジタルメッセージが形成されることを特徴とする請求項56に記載の方法。
  64. 第1の循環群Γ1および第2の循環群Γ2の両者は、同じプライムオーダーqから成ることを特徴とする請求項63に記載の方法。
  65. 第1の循環群Γ1は、超特異な楕円曲線上またはアーベル多様体上の複数の点から成る付加的な群であり、
    第2の循環群Γ2は、有限領域の乗法群である
    ことを特徴とする請求項63に記載の方法。
  66. 前記ファンクション
    Figure 2012256083
     は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項63に記載の方法。
  67. sCおよびxは、循環群Z/qZの要素であり、
    Qは、第1の循環群Γ1の1つの要素であり、
    識別文字列PnodeおよびPmodeは、第1の循環群Γ1の要素であり、
    シークレット要素Sは、第1の循環群Γ1の1つの要素である、
    ことを特徴とする請求項63に記載の方法。
  68. 受信装置リーフノードにカバーを与えるノードのための復号鍵が更新されることにより、更新された復号鍵が生成され、
    (a)更新された復号鍵における有効期間を選択するステップと、
    (b)第2のマスターシークレットxにおける新たな値を選択するステップと、
    (c)更新された復号鍵を生成するステップであって、更新された復号鍵は、受信装置リーフノードの先祖ノードに関連付けられ、この先祖ノードは、更新された復号鍵における有効期間中に認証装置によって認証されないクライアントに関連付けられたリーフノードの先祖ではない、というステップと、
    を備え、
    更新された復号鍵は、第1のマスターシークレットsCと、第2のマスターシークレットxと、第2のマスターシークレットxにおける新たな値と、受信装置リーフノードの先祖ノードおよび受信装置リーフノードの先祖ノードの先祖ノードに対応付けられた二進数列と、に関連付けられ、復号鍵は、受信装置リーフノードの先祖ノードに関連付けられた暗号鍵と共に、秘密鍵/公開鍵対を形成することを特徴とする請求項62に記載の方法。
  69. 更新された復号鍵は、
    sC(PT1+PT2)+x1Pb1+...+xmP(b1…bm)の形式から成り、
    sCは、第1のマスターシークレットであり、
    PT1は、復号鍵の有効期間中にルートノードに関連付けられる二進数列であり、
    PT2は、更新された復号鍵の有効期間中にルートノードに関連付けられる二進数列であり、
    x1...xmは、第2のマスターシークレットおよび第2のマスターシークレットにおける新たな値に関連付けられ、
    Pb1...P(b1…bm)は、更新された復号鍵における有効期間中に受信装置リーフノードにカバーを与えるノードおよびルートノードを除く当該ノードの先祖ノードに関連付けられる二進数列であることを特徴とする請求項68に記載の方法。
  70. 送信装置と、受信装置と、複数の認証装置と、を含む公開鍵暗号化スキームで、送信装置と受信装置との間でデジタルメッセージを送信する方法で、複数の認証装置は、少なくとも1つのルート認証装置と、当該ルート認証装置と受信装置との間の階層中にあるn個の下位レベル認証装置と、を含んでいる方法であって、n≧1であり、
    (a)受信装置のために受信装置公開鍵/秘密鍵対を生成するステップであって、前記受信装置秘密鍵は受信装置の秘密である、というステップと、
    (b)受信装置の先祖の少なくとも1つの同一性情報を使用して、受信装置暗号鍵を生成するステップと、
    (c)ルート認証装置の秘密であるルート鍵生成シークレットを選択するステップと、
    (d)ルート鍵生成シークレットに基づいてルート鍵生成パラメータを生成するステップと、
    (e)受信装置暗号鍵と、ルート鍵生成シークレットと、対応するルート鍵生成パラメータと、に関連付けられるように受信装置復号鍵を生成するステップと、
    (f)受信装置公開鍵と受信装置暗号鍵とを使用してデジタルメッセージを暗号化して、暗号化されたデジタルメッセージを形成するステップであって、受信装置復号鍵から形成される鍵および受信装置暗号鍵から形成される鍵が公開鍵/秘密鍵対である、というステップと (h)少なくとも受信装置秘密鍵と受信装置復号鍵とを使用することにより、暗号化されたデジタルメッセージを復号して、デジタルメッセージを復元するステップと、
    を備え、
    複数の認証装置の中には、ルート認証装置と送信装置との間の階層中にある少なくともm個の下位レベル認証装置が含まれ、m≧1であり、階層中のm個の認証装置のうちのl個は、送信装置および受信装置の両方に共通の先祖であり、認証装置は、送信装置と受信装置との間にある最下位の共通の先祖認証装置であり、l≧1であり、
    ルート認証装置と送信装置との間の階層中にあるm個の下位レベル認証装置の各々に下位レベル鍵生成シークレットを選択するステップと、
    少なくともルート鍵生成シークレットと、ルート認証装置と送信装置との間の階層中にあるm個の下位レベル認証装置に対応付けられたm個の下位レベル鍵生成シークレットのうちの1または複数と、に関連付けられるように、送信装置復号鍵を生成するステップと、
    を備え、
    メッセージは、少なくとも、前記送信装置復号鍵と、ルート認証装置と送信装置との間にあり且つ最下位の共通の先祖認証装置のレベルまたはそれよりも下のレベルにある(m−l+1)個の認証装置に関連付けられる1または複数の下位レベル鍵生成パラメータと、を使用するが、最下位の共通の先祖認証装置よりも上の(l−1)個の認証装置に関連付けられる下位レベル鍵生成パラメータを全く使用しないで、暗号化され、
    暗号文は、少なくとも、前記受信装置復号鍵と、ルート認証装置と送信装置との間にあり且つ最下位の共通の先祖認証装置のレベルまたはそれよりも下のレベルにある(n−l+1)個の認証装置に関連付けられる1または複数の下位レベル鍵生成パラメータと、を使用するが、最下位の共通の先祖認証装置よりも上の(l−1)個の認証装置に関連付けられる下位レベル鍵生成パラメータを全く使用しないで、復号され、
    複数の認証装置の中には、ルート認証装置と送信装置yとの間の階層中にある少なくともm個の下位レベル認証装置が更に含まれ、m≧1であり、階層中の複数の認証装置のうちのl個は、送信装置yおよび受信装置zの両方に共通の階層的先祖であり、l≧1であり、受信装置yは、送信装置yに関連付けられた同一性情報IDy(m+1)と、ルート認証装置と送信装置yとの間の階層中にあるK個の下位レベル認証装置の各々に関連付けられた同一性情報IDyiと、を含む受信装置ID−タプル(IDy1,...,IDy(m+1))に関連付けられ、
    m個の各下位レベル認証装置の各々に要素Pyiを生成するステップであって、Pyi=H1(IDy1,...,IDyi)(1≦i≦m)であり、全てのi≦lにおいてPyi=Pziである、というステップと、
    m個の下位レベル認証装置の各々に下位レベル鍵生成シークレットsyiを選択するステップであって、全てのi≦lにおいてsyi=sziである、というステップと、
    m個の下位レベル認証装置の各々に下位レベルシークレット要素Syiを生成するステップであって、Syi=Sy(i−1)+sy(i−1)Pyi(1≦i≦m)であり、全てのi≦lにおいてSyi=Sziである、というステップと、
    m個の下位レベルCAの各々に下位レベル鍵生成パラメータQyiを生成するステップであって、Qyi=syiP0(1≦i≦m)であり、全てのi≦lにおいてQyi=Qziである、というステップと、
    送信装置yに関連付けられた送信装置要素Py(m+1)=H1(IDy1,...,IDy(m+1),Infs(m+1))を生成するステップと、
    送信装置に関連付けられた送信装置シークレット要素
    Figure 2012256083
     を生成するステップであって、Infs(m+1)は受信装置シークレット要素における有効期間を含んでいる、というステップと、
    i<lの下位レベル鍵生成パラメータQyiを使用することなく、Inf(n+1)を含む情報とi≧lの下位レベル鍵生成パラメータQyiと送信装置シークレット要素Sy(m+1)とを少なくとも使用することにより、メッセージMをエンコードして暗号文Cを生成するステップと、
    i<lの下位レベル鍵生成パラメータQziを使用することなく、受信装置秘密鍵とi≧lの下位レベル鍵生成パラメータQziと受信装置シークレット要素Sz(n+1)とを少なくとも使用することにより、前記暗号文CをデコードしてメッセージMを復元するステップと、
    を更に含んでいることを特徴とする方法。
  71. 第1の循環群Γ1および第2の循環群Γ2の両者は、同じプライムオーダーqから成ることを特徴とする請求項70に記載の方法。
  72. 第1の循環群Γ1は、超特異な楕円曲線上またはアーベル多様体上の複数の点から成る付加的な群であり、
    第2の循環群Γ2は、有限領域の乗法群である
    ことを特徴とする請求項70に記載の方法。
  73. 前記ファンクション
    Figure 2012256083
     は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項70に記載の方法。
  74. s0は、循環群Z/qZの要素であり、
    Q0は、第1の循環群Γ1の要素であり、
    各要素Pziは、第1の循環群Γ1の要素であり、
    各要素Pyiは、第1の循環群Γ1の要素であり、
    各下位レベル鍵生成シークレットsziは、循環群Z/qZの要素であり、
    各下位レベル鍵生成シークレットsyiは、循環群Z/qZの要素であり、
    各シークレット要素Sziは、第1の循環群Γ1の要素であり、
    各シークレット要素Syiは、第1の循環群Γ1の要素であり、
    各下位レベル鍵生成パラメータQziは、第1の循環群Γ1の要素であり、
    各下位レベル鍵生成パラメータQyiは、第1の循環群Γ1の要素であり、
    受信装置要素Pz(n+1)は、第1の循環群Γ1の要素であり、
    送信装置要素Py(m+1)は、第1の循環群Γ1の要素であり、
    受信装置シークレット要素Sz(n+1)は、第1の循環群Γ1の要素であり、
    送信装置シークレット要素Sy(m+1)は、第1の循環群Γ1の要素であり、
    rは、循環群Z/qZの要素であり、
    gは、第2の循環群Γ2の要素である、
    ことを特徴とする請求項70に記載の方法。
  75. メッセージMをエンコードする前記ステップは、
    ランダムパラメータrを選択するステップと、
    メッセージMをエンコードして暗号文C=[U0,Ul+1,....,Un+1,V]を生成するステップであって、U0=rsBP0であり、Ui=rPzi(2≦i≦n+1)であり、
    Figure 2012256083
     であり、
    Figure 2012256083
     であり、sBPが受信装置公開鍵であり、
    Figure 2012256083
     である、というステップと、
    を更に含み、
    暗号文Cをデコードする前記ステップは、
    Figure 2012256083
     を使用してメッセージMを復元するステップを更に含む、
    ことを特徴とする請求項70に記載の方法。
  76. 第1の循環群Γ1および第2の循環群Γ2の両者が同じプライムオーダーqから成ることを特徴とする請求項75に記載の方法。
  77. 第1の循環群Γ1は、超特異な楕円曲線上またはアーベル多様体上の複数の点から成る付加的な群であり、
    第2の循環群Γ2は、有限領域の乗法群であることを特徴とする請求項75に記載の方法。
  78. 前記ファンクション
    Figure 2012256083
     は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項75に記載の方法。
  79. s0は、循環群Z/qZの要素であり、
    Q0は、第1の循環群Γ1の要素であり、
    各要素Pziは、第1の循環群Γ1の要素であり、
    各要素Pyiは、第1の循環群Γ1の要素であり、
    各下位レベル鍵生成シークレットsziは、循環群Z/qZの要素であり 各下位レベル鍵生成シークレットsyiは、循環群Z/qZの要素であり 各シークレット要素Sziは、第1の循環群Γ1の要素であり、
    各シークレット要素Syiは、第1の循環群Γ1の要素であり、
    各下位レベル鍵生成パラメータQziは、第1の循環群Γ1の要素であり、
    各下位レベル鍵生成パラメータQyiは、第1の循環群Γ1の要素であり、
    受信装置要素Pz(n+1)は、第1の循環群Γ1の要素であり、
    送信装置要素Py(m+1)は、第1の循環群Γ1の要素であり、
    受信装置シークレット要素Sz(n+1)は、第1の循環群Γ1の要素であり、
    送信装置シークレット要素Sy(m+1)は、第1の循環群Γ1の要素であり、
    rは、循環群Z/qZの要素であり、
    gylは、第2の循環群Γ2の要素である、
    ことを特徴とする請求項75に記載の方法。
  80. 2つの二進数字列から循環群Z/qZの整数を生成することができる第3のファンクションH3を選択するステップと、
    他の二進数列から1つの二進数列を生成することができる第4のファンクションH4を選択するステップと、
    を更に備え、
    メッセージMをエンコードする前記ステップは、
    ランダム二進数列σ∈{0,1}nを選択するステップと、
    ランダム整数r=H3(σ,M)を計算するステップと、
    暗号文C=[U0,Ul+1,....,Un+1,V,W]を生成するステップであって、U0=rsBPであり、Ui=rPzi(2≦i≦n+1)であり、
    Figure 2012256083
     であり、
    Figure 2012256083
     であり、sBPが受信装置公開鍵であり、W=EH4(σ)(M)であり、Eが安全対称暗号化スキームであり、H4(σ)がEと共に使用される鍵であり、
    Figure 2012256083
     である、というステップと、
    を更に含み、
    暗号文Cをデコードする前記ステップは、
    Figure 2012256083
     を使用してランダム二進数列σを復元するステップと、
    Figure 2012256083
     を使用してメッセージMを復元するステップと、
    を更に含む、
    ことを特徴とする請求項70に記載の方法。
  81. 第1の循環群Γ1および第2の循環群Γ2の両者は、同じプライムオーダーqから成ることを特徴とする請求項80に記載の方法。
  82. 第1の循環群Γ1は、超特異な楕円曲線上またはアーベル多様体上の複数の点から成る付加的な群であり、
    第2の循環群Γ2は、有限領域の乗法群である
    ことを特徴とする請求項80に記載の方法。
  83. 前記ファンクション
    Figure 2012256083
     は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項80に記載の方法。
  84. s0は、循環群Z/qZの要素であり、
    Q0は、第1の循環群Γ1の要素であり、
    各要素Pziは、第1の循環群Γ1の要素であり、
    各要素Pyiは、第1の循環群Γ1の要素であり、
    各下位レベル鍵生成シークレットsziは、循環群Z/qZの要素であり 各下位レベル鍵生成シークレットsyiは、循環群Z/qZの要素であり 各シークレット要素Sziは、第1の循環群Γ1の要素であり、
    各シークレット要素Syiは、第1の循環群Γ1の要素であり、
    各下位レベル鍵生成パラメータQziは、第1の循環群Γ1の要素であり、
    各下位レベル鍵生成パラメータQyiは、第1の循環群Γ1の要素であり、
    受信装置要素Pz(n+1)は、第1の循環群Γ1の要素であり、
    送信装置要素Py(m+1)は、第1の循環群Γ1の要素であり、
    受信装置シークレット要素Sz(n+1)は、第1の循環群Γ1の要素であり、
    送信装置シークレット要素Sy(m+1)は、第1の循環群Γ1の要素であり、
    rは、循環群Z/qZの要素であり、
    gylは、第2の循環群Γ2の要素である、
    ことを特徴とする請求項80に記載の方法。
  85. 試験的なランダム整数r’=H3(σ,M)を演算し、
    U0=r’P0およびUi=r’Pzi(l+1≦i≦n+1)であることを確認する、
    ことによって、暗号文Cが本物であることを確認するステップ
    を更に含んでいる
    ことを特徴とする請求項80に記載の方法。
  86. 複数の要素から成る第1の循環群Γ1と、複数の要素から成る第2の循環群Γ2と、を生成するステップと、
    第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を生成することができるファンクション
    Figure 2012256083
     を選択するステップと、
    第1の循環群Γ1のジェネレータPを選択するステップと、
    認証装置の鍵生成シークレットをsiとして選択するステップと、
    認証装置の公開鍵をsiPとして割り当てるステップと、
    二進数字列Miから第1の循環群Γ1の1つの要素を生成することができる第1のファンクションH1を選択するステップと、
    認証装置の各々に要素PMiを生成するステップであって、1≦i≦nにおいてPMi=H1(SiP,Mi)である、というステップと、
    要素PMiに署名して、認証装置の各々に署名Si=siPMiを生成するステップと、
    を更に備えたことを特徴とする請求項85に記載の方法。
  87. 第1の循環群Γ1および第2の循環群Γ2の両者は、同じプライムオーダーqから成ることを特徴とする請求項86に記載の方法。
  88. 第1の循環群Γ1は、超特異な楕円曲線上またはアーベル多様体上の複数の点から成る付加的な群であり、
    第2の循環群Γ2は、有限領域の乗法群である
    ことを特徴とする請求項86に記載の方法。
  89. 前記ファンクション
    Figure 2012256083
     は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項86に記載の方法。
  90. 各鍵生成シークレットsiは、循環群Z/qZの1つの要素であり、
    各公開鍵Siは、第1の循環群Γ1の1つの要素であり、
    各要素PMiは、第1の循環群Γ1の1つの要素であり、
    受信装置秘密鍵sは、Z/qZの1つの要素である、
    ことを特徴とする請求項86に記載の方法。
JP2012219598A 2002-08-28 2012-10-01 証明書に基づく暗号化および公開鍵構造基盤 Pending JP2012256083A (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US40672102P 2002-08-28 2002-08-28
US60/406,721 2002-08-28
US41222102P 2002-09-20 2002-09-20
US60/412,221 2002-09-20

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2010101423A Division JP5130318B2 (ja) 2002-08-28 2010-04-26 証明書に基づく暗号化および公開鍵構造基盤

Publications (1)

Publication Number Publication Date
JP2012256083A true JP2012256083A (ja) 2012-12-27

Family

ID=31981427

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2004531558A Pending JP2005537711A (ja) 2002-08-28 2003-08-28 証明書に基づく暗号化および公開鍵構造基盤
JP2010101423A Expired - Fee Related JP5130318B2 (ja) 2002-08-28 2010-04-26 証明書に基づく暗号化および公開鍵構造基盤
JP2012219598A Pending JP2012256083A (ja) 2002-08-28 2012-10-01 証明書に基づく暗号化および公開鍵構造基盤

Family Applications Before (2)

Application Number Title Priority Date Filing Date
JP2004531558A Pending JP2005537711A (ja) 2002-08-28 2003-08-28 証明書に基づく暗号化および公開鍵構造基盤
JP2010101423A Expired - Fee Related JP5130318B2 (ja) 2002-08-28 2010-04-26 証明書に基づく暗号化および公開鍵構造基盤

Country Status (6)

Country Link
US (4) US7657748B2 (ja)
EP (1) EP1540875A4 (ja)
JP (3) JP2005537711A (ja)
CN (1) CN1679271A (ja)
AU (1) AU2003262908A1 (ja)
WO (1) WO2004021638A1 (ja)

Families Citing this family (89)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7349538B2 (en) * 2002-03-21 2008-03-25 Ntt Docomo Inc. Hierarchical identity-based encryption and signature schemes
CN1633776A (zh) * 2002-04-15 2005-06-29 美国多科摩通讯研究所股份有限公司 利用双线性映射的签名方案
WO2004021638A1 (en) * 2002-08-28 2004-03-11 Docomo Communications Laboratories Usa, Inc. Certificate-based encryption and public key infrastructure
US7664957B2 (en) 2004-05-20 2010-02-16 Ntt Docomo, Inc. Digital signatures including identity-based aggregate signatures
US7590236B1 (en) * 2004-06-04 2009-09-15 Voltage Security, Inc. Identity-based-encryption system
US7814314B2 (en) 2004-08-31 2010-10-12 Ntt Docomo, Inc. Revocation of cryptographic digital certificates
EP1843514A3 (en) 2004-08-31 2011-08-03 NTT DoCoMo, Inc. Redactable signatures in cryptographic digital certificates
US8615653B2 (en) * 2004-09-01 2013-12-24 Go Daddy Operating Company, LLC Methods and systems for dynamic updates of digital certificates via subscription
JP4562464B2 (ja) * 2004-09-07 2010-10-13 富士通株式会社 情報処理装置
US7657037B2 (en) * 2004-09-20 2010-02-02 Pgp Corporation Apparatus and method for identity-based encryption within a conventional public-key infrastructure
US20060078790A1 (en) * 2004-10-05 2006-04-13 Polyplus Battery Company Solid electrolytes based on lithium hafnium phosphate for active metal anode protection
US7406597B2 (en) * 2004-10-29 2008-07-29 International Business Machines Corporation Methods for efficiently authenticating multiple objects based on access patterns
US8245280B2 (en) * 2005-02-11 2012-08-14 Samsung Electronics Co., Ltd. System and method for user access control to content in a network
US7720221B2 (en) * 2005-05-20 2010-05-18 Certicom Corp. Privacy-enhanced e-passport authentication protocol
KR100704678B1 (ko) * 2005-06-10 2007-04-06 한국전자통신연구원 무선 휴대 인터넷 시스템에서의 그룹 트래픽 암호화 키갱신 방법
WO2007034497A2 (en) * 2005-09-26 2007-03-29 Postalguard Ltd. Secure data transmission
WO2007087363A2 (en) * 2006-01-24 2007-08-02 Brown University Efficient content authentication in peer-to-peer networks
US8452961B2 (en) * 2006-03-07 2013-05-28 Samsung Electronics Co., Ltd. Method and system for authentication between electronic devices with minimal user intervention
US20070288487A1 (en) * 2006-06-08 2007-12-13 Samsung Electronics Co., Ltd. Method and system for access control to consumer electronics devices in a network
US7827275B2 (en) 2006-06-08 2010-11-02 Samsung Electronics Co., Ltd. Method and system for remotely accessing devices in a network
CN101617351B (zh) * 2007-01-19 2011-06-22 三菱电机株式会社 密文生成装置、密码通信系统以及群参数生成装置
US20080282090A1 (en) * 2007-05-07 2008-11-13 Jonathan Leybovich Virtual Property System for Globally-Significant Objects
JPWO2008146547A1 (ja) * 2007-05-25 2010-08-19 日本電気株式会社 鍵交換装置及び鍵交換方法
CN100462994C (zh) * 2007-07-30 2009-02-18 中兴通讯股份有限公司 一种分布式数字版权管理系统及其实现方法
US7983656B2 (en) * 2007-09-12 2011-07-19 At&T Intellectual Property I, L.P. Method and apparatus for end-to-end mobile user security
JP5286748B2 (ja) * 2007-11-09 2013-09-11 ソニー株式会社 情報処理装置、鍵設定方法、及びプログラム
CN101933271B (zh) * 2008-03-17 2013-08-14 美国博通公司 用于具有受保护mac序列号的安全块应答的方法和系统
WO2009155003A2 (en) * 2008-05-27 2009-12-23 Viasat, Inc. Return link power control
US8300829B2 (en) * 2008-06-23 2012-10-30 Nokia Corporation Verification key handling
GB2495648A (en) * 2008-09-11 2013-04-17 F Secure Oyj Maintaining a database of trusted public keys in a plurality of computer devices
GB2463467B (en) 2008-09-11 2013-03-06 F Secure Oyj Malware detection method and apparatus
JP5183401B2 (ja) * 2008-09-29 2013-04-17 Kddi株式会社 アグリゲート署名生成システム、アグリゲート署名生成方法、およびアグリゲート署名生成プログラム
US20100121928A1 (en) * 2008-11-07 2010-05-13 Penango, Inc. Methods and systems for allocating and indicating trustworthiness of secure communications
FR2940726A1 (fr) * 2008-12-30 2010-07-02 France Telecom Signature de groupe a verification locale de revocation avec capacite de levee d'anonymat
US20100241852A1 (en) * 2009-03-20 2010-09-23 Rotem Sela Methods for Producing Products with Certificates and Keys
JP5193924B2 (ja) * 2009-03-30 2013-05-08 株式会社エヌ・ティ・ティ・データ 暗号通信システム、管理者装置、およびプログラム
JP5552541B2 (ja) * 2009-12-04 2014-07-16 クリプトグラフィ リサーチ, インコーポレイテッド 検証可能な耐漏洩性暗号化および復号化
CN103650410A (zh) * 2011-05-31 2014-03-19 三星Sds株式会社 基于id的加密及签名方法以及终端
US9325509B2 (en) * 2011-07-15 2016-04-26 Hitachi, Ltd. Determination method for cryptographic algorithm used for signature, validation server and program
US8819407B2 (en) * 2011-09-26 2014-08-26 Verizon New Jersey Inc. Personal messaging security
EP2756627B1 (en) 2011-09-28 2018-11-14 Koninklijke Philips N.V. Hierarchical attribute-based encryption and decryption
US9166953B2 (en) * 2011-10-31 2015-10-20 Nokia Technologies Oy Method and apparatus for providing identity based encryption in distributed computations
US9065642B2 (en) * 2012-03-07 2015-06-23 Certicom Corp. Intercepting key sessions
JP5912714B2 (ja) * 2012-03-21 2016-04-27 任天堂株式会社 データ構造、データ構造生成方法、情報処理装置、情報処理システム、及び情報処理プログラム
KR101301609B1 (ko) * 2012-05-31 2013-08-29 서울대학교산학협력단 비밀키 생성 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체
US8744078B2 (en) 2012-06-05 2014-06-03 Secure Channels Sa System and method for securing multiple data segments having different lengths using pattern keys having multiple different strengths
US10148285B1 (en) 2012-07-25 2018-12-04 Erich Schmitt Abstraction and de-abstraction of a digital data stream
JP6057150B2 (ja) * 2012-07-30 2017-01-11 雅浩 満保 公開鍵暗号システム、受信装置、公開鍵暗号方法、プログラム、及び記録媒体
WO2014047293A1 (en) * 2012-09-19 2014-03-27 Interdigital Patent Holdings, Inc. Layered certification
EP2974095B1 (en) * 2013-03-12 2020-06-17 Nipro diagnostics, Inc. Wireless pairing of personal health device with a computing device
US10482397B2 (en) 2013-03-15 2019-11-19 Trustarc Inc Managing identifiers
US9159078B2 (en) 2013-03-15 2015-10-13 True Ultimate Standards Everywhere, Inc. Managing identifiers
US20140282840A1 (en) * 2013-03-15 2014-09-18 True Ultimate Standards Everywhere, Inc. Managing data handling policies
US9864873B2 (en) 2013-03-15 2018-01-09 Trustarc Inc Managing data handling policies
US9565211B2 (en) 2013-03-15 2017-02-07 True Ultimate Standards Everywhere, Inc. Managing exchanges of sensitive data
US9425967B2 (en) * 2013-03-20 2016-08-23 Industrial Technology Research Institute Method for certificate generation and revocation with privacy preservation
US10795858B1 (en) 2014-02-18 2020-10-06 Erich Schmitt Universal abstraction and de-abstraction of a digital data stream
GB2515853B (en) 2014-02-25 2015-08-19 Cambridge Silicon Radio Ltd Latency mitigation
GB2512502B (en) 2014-02-25 2015-03-11 Cambridge Silicon Radio Ltd Device authentication
US10313324B2 (en) 2014-12-02 2019-06-04 AO Kaspersky Lab System and method for antivirus checking of files based on level of trust of their digital certificates
US10333696B2 (en) 2015-01-12 2019-06-25 X-Prime, Inc. Systems and methods for implementing an efficient, scalable homomorphic transformation of encrypted data with minimal data expansion and improved processing efficiency
US10237073B2 (en) 2015-01-19 2019-03-19 InAuth, Inc. Systems and methods for trusted path secure communication
US9967093B2 (en) * 2015-03-25 2018-05-08 Intel Corporation Techniques for securing and controlling access to data
CN105049207B (zh) * 2015-05-11 2018-09-25 电子科技大学 一种基于身份的带个性化信息的广播加密方案
US9774610B2 (en) * 2015-07-28 2017-09-26 Futurewei Technologies, Inc. Certificateless data verification with revocable signatures
US9900160B1 (en) 2015-12-03 2018-02-20 Amazon Technologies, Inc. Asymmetric session credentials
US10277569B1 (en) * 2015-12-03 2019-04-30 Amazon Technologies, Inc. Cross-region cache of regional sessions
US10182044B1 (en) 2015-12-03 2019-01-15 Amazon Technologies, Inc. Personalizing global session identifiers
US9894067B1 (en) 2015-12-03 2018-02-13 Amazon Technologies, Inc. Cross-region roles
US10412098B2 (en) 2015-12-11 2019-09-10 Amazon Technologies, Inc. Signed envelope encryption
US9705859B2 (en) * 2015-12-11 2017-07-11 Amazon Technologies, Inc. Key exchange through partially trusted third party
WO2017135965A1 (en) 2016-02-05 2017-08-10 Hewlett-Packard Development Company, L.P. Optically readable format of encrypted data
JP6670395B2 (ja) * 2016-03-29 2020-03-18 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. 身元情報ベース鍵素材及び証明書の配布のためのシステム及び方法
WO2017167771A1 (en) * 2016-03-29 2017-10-05 Koninklijke Philips N.V. Handshake protocols for identity-based key material and certificates
KR101780635B1 (ko) 2016-04-28 2017-09-21 주식회사 코인플러그 인증 정보의 생성, 등록, 파기 방법 및 인증 지원 서버
WO2017192161A1 (en) * 2016-05-06 2017-11-09 Intel IP Corporation Service authorization and credential provisioning for v2x communication
EP4138339A1 (en) * 2016-07-29 2023-02-22 Magic Leap, Inc. Secure exchange of cryptographically signed records
JP6533771B2 (ja) 2016-11-15 2019-06-19 富士通株式会社 通信方法、装置、及びプログラム
US10411891B2 (en) * 2017-06-28 2019-09-10 Nxp B.V. Distance-revealing encryption
CN107508796B (zh) * 2017-07-28 2019-01-04 北京明朝万达科技股份有限公司 一种数据通信方法和装置
WO2020036239A1 (ko) * 2018-08-16 2020-02-20 엘지전자 주식회사 V2x 유니캐스트 통신을 위한 서비스 메세지 인코딩 방법 및 장치
US10965453B2 (en) * 2018-09-14 2021-03-30 Beijing Jingdong Shangke Information Technology Co., Ltd. System and method for authenticated encryption based on device fingerprint
FR3091107A1 (fr) * 2018-12-24 2020-06-26 Orange Procédé et système de génération de clés pour un schéma de signatures anonymes
US11764940B2 (en) 2019-01-10 2023-09-19 Duality Technologies, Inc. Secure search of secret data in a semi-trusted environment using homomorphic encryption
US11334881B2 (en) * 2019-01-28 2022-05-17 Bank Of America Corporation Security tool
WO2020242614A1 (en) * 2019-05-30 2020-12-03 Kim Bong Mann Quantum safe cryptography and advanced encryption and key exchange (aeke) method for symmetric key encryption/exchange
TWI730549B (zh) * 2019-12-18 2021-06-11 臺灣網路認證股份有限公司 於憑證申請過程中確認金鑰對產生演算法之系統及方法
US11722312B2 (en) * 2020-03-09 2023-08-08 Sony Group Corporation Privacy-preserving signature
US11405187B2 (en) * 2020-04-29 2022-08-02 International Business Machines Corporation Extended-life asymmetric cryptographic key scheme

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05103094A (ja) * 1991-04-01 1993-04-23 Internatl Business Mach Corp <Ibm> 通信システムにおけるユーザ相互認証の方法および装置
JPH10190650A (ja) * 1996-12-27 1998-07-21 Canon Inc 暗号方法及びそれを用いる通信システム

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4309569A (en) * 1979-09-05 1982-01-05 The Board Of Trustees Of The Leland Stanford Junior University Method of providing digital signatures
US5432852A (en) * 1993-09-29 1995-07-11 Leighton; Frank T. Large provably fast and secure digital signature schemes based on secure hash functions
AU3073595A (en) * 1994-07-29 1996-03-04 Certicom Corp. Elliptic curve encryption systems
US5590197A (en) * 1995-04-04 1996-12-31 V-One Corporation Electronic payment system and method
ATE492088T1 (de) * 1995-06-05 2011-01-15 Cqrcert Llc Verfahren und einrichtung zur digitalen unterschrift in mehreren schritten
US5774552A (en) * 1995-12-13 1998-06-30 Ncr Corporation Method and apparatus for retrieving X.509 certificates from an X.500 directory
US5764772A (en) * 1995-12-15 1998-06-09 Lotus Development Coporation Differential work factor cryptography method and system
US6212637B1 (en) * 1997-07-04 2001-04-03 Nippon Telegraph And Telephone Corporation Method and apparatus for en-bloc verification of plural digital signatures and recording medium with the method recorded thereon
US6754820B1 (en) * 2001-01-30 2004-06-22 Tecsec, Inc. Multiple level access system
US6735313B1 (en) 1999-05-07 2004-05-11 Lucent Technologies Inc. Cryptographic method and apparatus for restricting access to transmitted programming content using hash functions and program identifiers
US6826687B1 (en) * 1999-05-07 2004-11-30 International Business Machines Corporation Commitments in signatures
US6760441B1 (en) * 2000-03-31 2004-07-06 Intel Corporation Generating a key hieararchy for use in an isolated execution environment
JP4622064B2 (ja) * 2000-04-06 2011-02-02 ソニー株式会社 情報記録装置、情報再生装置、情報記録方法、情報再生方法、および情報記録媒体、並びにプログラム提供媒体
WO2002013445A2 (en) * 2000-08-04 2002-02-14 First Data Corporation Linking public key of device to information during manufacture
US6886296B1 (en) * 2000-08-14 2005-05-03 Michael John Wooden post protective sleeve
US20020025034A1 (en) * 2000-08-18 2002-02-28 Solinas Jerome Anthony Cryptographic encryption method using efficient elliptic curve
JP4622087B2 (ja) * 2000-11-09 2011-02-02 ソニー株式会社 情報処理装置、および情報処理方法、並びにプログラム記憶媒体
US7088822B2 (en) * 2001-02-13 2006-08-08 Sony Corporation Information playback device, information recording device, information playback method, information recording method, and information recording medium and program storage medium used therewith
US20020154782A1 (en) * 2001-03-23 2002-10-24 Chow Richard T. System and method for key distribution to maintain secure communication
US7580988B2 (en) 2001-04-05 2009-08-25 Intertrust Technologies Corporation System and methods for managing the distribution of electronic content
JP3819729B2 (ja) * 2001-04-20 2006-09-13 株式会社エヌ・ティ・ティ・ドコモ データ安全化通信装置及びその方法
EP1425874B1 (en) * 2001-08-13 2010-04-21 Board Of Trustees Of The Leland Stanford Junior University Systems and methods for identity-based encryption and related cryptographic techniques
US7353395B2 (en) 2002-03-21 2008-04-01 Ntt Docomo Inc. Authenticated ID-based cryptosystem with no key escrow
US7349538B2 (en) * 2002-03-21 2008-03-25 Ntt Docomo Inc. Hierarchical identity-based encryption and signature schemes
CN1633776A (zh) * 2002-04-15 2005-06-29 美国多科摩通讯研究所股份有限公司 利用双线性映射的签名方案
WO2004021638A1 (en) 2002-08-28 2004-03-11 Docomo Communications Laboratories Usa, Inc. Certificate-based encryption and public key infrastructure
CN100499450C (zh) * 2003-04-22 2009-06-10 国际商业机器公司 数字资源的分层密钥生成方法及其设备
DE60315853D1 (de) 2003-12-24 2007-10-04 St Microelectronics Srl Verfahren zur Entschlüsselung einer Nachricht
JP4546231B2 (ja) 2004-12-09 2010-09-15 株式会社日立製作所 Idベース署名及び暗号化システムおよび方法
KR100737876B1 (ko) 2005-02-25 2007-07-12 삼성전자주식회사 계층적 문턱 트리에 기반한 브로드캐스트 암호화 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05103094A (ja) * 1991-04-01 1993-04-23 Internatl Business Mach Corp <Ibm> 通信システムにおけるユーザ相互認証の方法および装置
JPH10190650A (ja) * 1996-12-27 1998-07-21 Canon Inc 暗号方法及びそれを用いる通信システム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JPN6010008830; Dan Boneh and Mathew Franklin: 'Identity Based Encryption From the Weil Pairing' Cryptology ePrint Archive Report 2001/090, 20011029 *
JPN6010008834; Craig Gentry and Alice Silverberg: 'Hierarchical ID-Based Cryptography' Cryptology ePrint Archive Report 2002/056, 20020524 *

Also Published As

Publication number Publication date
US7751558B2 (en) 2010-07-06
US7657748B2 (en) 2010-02-02
EP1540875A4 (en) 2011-01-26
JP5130318B2 (ja) 2013-01-30
US8074073B2 (en) 2011-12-06
US20100082986A1 (en) 2010-04-01
CN1679271A (zh) 2005-10-05
US20090034740A1 (en) 2009-02-05
US7796751B2 (en) 2010-09-14
AU2003262908A1 (en) 2004-03-19
WO2004021638A1 (en) 2004-03-11
EP1540875A1 (en) 2005-06-15
US20050246533A1 (en) 2005-11-03
JP2005537711A (ja) 2005-12-08
US20090041233A1 (en) 2009-02-12
JP2010161826A (ja) 2010-07-22

Similar Documents

Publication Publication Date Title
JP5130318B2 (ja) 証明書に基づく暗号化および公開鍵構造基盤
Boldyreva et al. Identity-based encryption with efficient revocation
JP5933786B2 (ja) Idベース暗号化および関連する暗号手法のシステムおよび方法
CN113014392B (zh) 基于区块链的数字证书管理方法及系统、设备、存储介质
US6389136B1 (en) Auto-Recoverable and Auto-certifiable cryptosystems with RSA or factoring based keys
US6202150B1 (en) Auto-escrowable and auto-certifiable cryptosystems
KR100568233B1 (ko) 인증서를 이용한 기기 인증 방법 및 상기 방법을 이용하여기기 인증을 수행하는 디지털 컨텐츠 처리 기기
WO2009143713A1 (zh) 双因子组合公钥生成和认证方法
Fan et al. TraceChain: A blockchain‐based scheme to protect data confidentiality and traceability
Teli et al. HIBE: Hierarchical identity-based encryption
WO2022167163A1 (en) Threshold key exchange
AU737037B2 (en) Auto-recoverable auto-certifiable cryptosystems
Emura et al. Efficient revocable identity-based encryption with short public parameters
JP2008288837A (ja) 鍵管理方法、鍵生成方法、暗号処理方法、復号処理方法、アクセス管理方法、通信ネットワークシステム
CN115001673A (zh) 基于统一多域标识的密钥处理方法、装置及系统
CN112950356A (zh) 基于数字身份的个人贷款处理方法及系统、设备、介质
Hassouna et al. An integrated public key infrastructure model based on certificateless cryptography
Anusree et al. A security framework for brokerless publish subscribe system using identity based signcryption
Kalyani et al. STUDY OF CRYPTOLOGY AND ITS FORMS IN TODAY'S SECURE WORLD.
Sanchol et al. A lightweight mobile-cloud based access control scheme with fully outsourced CP-ABE decryption
CN118018310A (en) Revocable identity-based key encryption method, storage medium and device
Elashry et al. Mediated encryption: analysis and design
Chatterjee et al. Applications, Extensions and Related Primitives
Velmurugan Secure and Privacy-Preserving Multi-owner Data Sharing for Dynamic Groups in the Cloud
Alwan et al. Design and Implement of Key Management System for Public Key Algorithms

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121031

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121031

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131008

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140225