JP2016126228A - 安全性強化方法、安全性強化システム、安全性強化装置、検証装置、およびプログラム - Google Patents

安全性強化方法、安全性強化システム、安全性強化装置、検証装置、およびプログラム Download PDF

Info

Publication number
JP2016126228A
JP2016126228A JP2015001460A JP2015001460A JP2016126228A JP 2016126228 A JP2016126228 A JP 2016126228A JP 2015001460 A JP2015001460 A JP 2015001460A JP 2015001460 A JP2015001460 A JP 2015001460A JP 2016126228 A JP2016126228 A JP 2016126228A
Authority
JP
Japan
Prior art keywords
key
information
ciphertext
secret
secret information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015001460A
Other languages
English (en)
Other versions
JP6267657B2 (ja
Inventor
恵太 草川
Keita Kusakawa
恵太 草川
英一郎 藤崎
Eiichiro Fujisaki
英一郎 藤崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015001460A priority Critical patent/JP6267657B2/ja
Publication of JP2016126228A publication Critical patent/JP2016126228A/ja
Application granted granted Critical
Publication of JP6267657B2 publication Critical patent/JP6267657B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】既に用いられている秘密の鍵の安全性を強化することができる、関連鍵攻撃に対する安全性を強化する技術を提供する。
【解決手段】秘密情報生成部123は、秘密情報を生成する。一時鍵生成部124は、秘密情報を用いて一時鍵を生成し、入力された秘密の鍵情報を一時鍵により暗号化した鍵暗号文を生成する。第一暗号化部125および第二暗号化部126は、秘密情報に対して特定の対応関係を持つ暗号文を得る。出力部128は、暗号文と鍵暗号文を含む補助情報を生成する。検証部132は、補助情報が秘密情報に対して対応関係を持つか否かを判定する。一時鍵制御部133は、補助情報が秘密情報に対して対応関係を持つ場合に秘密情報を用いて一時鍵を生成する。鍵制御部135は、一時鍵を用いて鍵暗号文を復号して鍵情報を得る。このとき、秘密情報と異なる関連秘密情報に対して対応関係を持つ関連補助情報を補助情報から特定することが困難である。
【選択図】図2

Description

本発明は、情報セキュリティ分野における安全性強化技術に関し、特に関連鍵攻撃に対する安全性を強化する技術に関する。
秘密情報を持つ一般の暗号学的な回路(以下、単に「回路」という)への関連鍵攻撃に対するアルゴリズム的な安全性強化手法がいくつか提案されている(例えば、非特許文献1から5、特許文献1等参照)。
非特許文献1では、任意の関連鍵攻撃に対する安全性強化手法が提案されている。しかしながら、非特許文献1の安全性強化手法は信頼できる第三者を必要とする。この第三者は公開鍵を公開し、暗号デバイスを作成するたびに、この第三者が関わる必要がある。また、この強化手法では、ひとたび関連鍵攻撃を検知すると回路は自壊してしまう。
非特許文献2では、一部の関連鍵攻撃に対する安全性強化手法が提案されている。非特許文献2の強化手法は信頼できる第三者を必要としない。しかしながら、この強化手法でも、ひとたび関連鍵攻撃を検知すると回路は自壊してしまう。
非特許文献3から5の強化手法は自壊を必要としない。しかしながら、回路および秘密への変更箇所に制限を加えており、任意の関数を捉えていない。
以上より、非特許文献1から5では、回路を自壊させることなく、任意の回路の関連鍵攻撃に対する安全性を向上させる手法は提案されていない。
特許文献1では、安全性強化時に、鍵情報に対応する秘密情報に対して特定の対応関係を持つ補助情報を得て出力する。この秘密情報と異なる関連秘密情報に対して当該対応関係を持つ関連補助情報を当該補助情報から特定することは困難である。このように構成することにより、特許文献1に記載の安全性強化技術は、自壊を必要とせず、任意の回路の関連鍵攻撃に対する安全性を向上させることができる。
特開2014−135687号公報
R. Gennaro, A. Lysyanskaya, T. Malkin, S. Micali, and T. Rabin, "Algorithmic Tamper-Proof (ATP) Security: Theoretical Foundations for Security against Hardware Tampering", TCC 2004, vol. 2951 of Lecture Notes in Computer Science, pp. 258-277, 2004. S. Dziembowski, K. Pietrzak, and D. Wichs, "Non-Malleable Codes", ICS 2010, pp. 434-452, 2010. Y. Ishai, M. Prabhakaran, A. Sahai, and D. Wagner, "Private Circuits II: Keeping Secrets in Tamperable Circuits", EUROCRYPT 2006, vol. 4004 of Lecture Notes in Computer Science, pp. 308-327, 2006. S. Faust, K. Pietrzak, and D. Venturi, "Tamper-Proof Circuits: How to Trade Leakage for Tamper-Resilience", ICALP 2011, vol. 6755 of Lecture Notes in Computer Science, pp. 391-402, 2011. Dana Dachman-Soled, Yael Tauman Kalai, "Securing Circuits against Constant-Rate Tampering", CRYPTO 2012, vol. 7417 of Lecture Notes in Computer Science, pp. 533-551, 2012.
しかしながら、特許文献1に記載の安全性強化技術では、秘密の鍵を安全性強化時に生成することが必要である。そのため、秘密の鍵が既に用いられている場合、安全性を強化することができなかった。
本発明の目的は、このような点に鑑みて、既に用いられている秘密の鍵の安全性を強化することができる安全性強化技術を提供することである。
上記の課題を解決するために、この発明の安全性強化方法は、安全性強化装置が、秘密情報を生成する秘密情報生成ステップと、安全性強化装置が、秘密情報を用いて一時鍵を生成する一時鍵生成ステップと、安全性強化装置が、入力された秘密の鍵情報を一時鍵により暗号化した鍵暗号文を生成する鍵暗号化ステップと、安全性強化装置が、秘密情報に対して特定の対応関係を持つ暗号文を得、暗号文と鍵暗号文を含む補助情報を生成する補助情報生成ステップと、検証装置が、補助情報が秘密情報に対して対応関係を持つか否かを判定する検証ステップと、検証装置が、補助情報が秘密情報に対して対応関係を持つ場合に秘密情報を用いて一時鍵を生成する一時鍵制御ステップと、検証装置が、一時鍵を用いて鍵暗号文を復号して鍵情報を得る鍵制御ステップと、を含み、秘密情報と異なる関連秘密情報に対して対応関係を持つ関連補助情報を補助情報から特定することが困難である。
この発明によれば、秘密の鍵が安全性強化の前に存在する場合であっても安全性を強化することができる。また、回路が暗号学的デバイスであっても公開鍵型暗号学的デバイスであっても同様に安全性強化が可能である。また、暗号学的デバイスの安全性強化手法の適用領域が、特許文献1の発明よりも広く、汎用的な構成となっている。
図1は、第一実施形態および第二実施形態の安全性強化システムの機能構成を例示する図である。 図2Aは、第一実施形態の設定装置の機能構成を例示する図である。図2Bは、第一実施形態の安全性強化装置の機能構成を例示する図である。図2Cは、第一実施形態の検証装置の機能構成を例示する図である。 図3Aは、第一実施形態のセットアップ方法の処理フローを例示する図である。図3Bは、第一実施形態の安全性強化方法の処理フローを例示する図である。図3Cは、第一実施形態の検証方法の処理フローを例示する図である。 図4Aは、第二実施形態の設定装置の機能構成を例示する図である。図4Bは、第二実施形態の安全性強化装置の機能構成を例示する図である。図4Cは、第二実施形態の検証装置の機能構成を例示する図である。 図5Aは、第二実施形態のセットアップ方法の処理フローを例示する図である。図5Bは、第二実施形態の安全性強化方法の処理フローを例示する図である。図5Cは、第二実施形態の検証方法の処理フローを例示する図である。 図6は、第三実施形態の安全性強化システムの機能構成を例示する図である。 図7Aは、第三実施形態の設定装置の機能構成を例示する図である。図7Bは、第三実施形態の鍵生成装置の機能構成を例示する図である。 図8Aは、第三実施形態の送信装置の機能構成を例示する図である。図8Bは、第三実施形態の受信装置の機能構成を例示する図である。 図9Aは、第三実施形態のセットアップ方法の処理フローを例示する図である。図9Bは、第三実施形態のマスター鍵生成方法の処理フローを例示する図である。図9Cは、第三実施形態のユーザ鍵生成方法の処理フローを例示する図である。 図10Aは、第三実施形態の暗号化方法の処理フローを例示する図である。図10Bは、第三実施形態の復号方法の処理フローを例示する図である。 図11は、第四実施形態の安全性強化システムの機能構成を例示する図である。 図12Aは、第四実施形態の設定装置の機能構成を例示する図である。図12Bは、第四実施形態の送信装置の機能構成を例示する図である。図12Cは、第四実施形態の受信装置の機能構成を例示する図である。 図13Aは、第四実施形態のセットアップ方法の処理フローを例示する図である。図13Bは、第四実施形態の鍵生成方法の処理フローを例示する図である。 図14Aは、第四実施形態の暗号化方法の処理フローを例示する図である。図14Bは、第四実施形態の復号方法の処理フローを例示する図である。
実施形態の説明に先立って、本明細書で用いる記法および用語を定義する。
[暗号学的デバイス]
暗号学的デバイス(Setup, Gen, C, X, Y, K)は、以下のSetup, Gen, C, X, Y, Kから構成される。
・Setup(1к)はセットアップアルゴリズムであり、セキュリティパラメータ1кを入力とし、共通パラメータppを出力する。ppは集合X, Y, Kの情報を含む。なお、1кはк個の1からなる列を表す。кは1以上の所定の整数である。
・Gen(pp)は鍵生成アルゴリズムであり、共通パラメータppを入力とし、秘密の鍵情報k∈Kをランダムに選んで出力する。
・C(pp, (k, x))は回路であり、共通パラメータppおよび(k, x)∈K×Xを入力とし、y∈Yを出力する。例えば、C(pp, (k, x))は共通鍵暗号の復号回路であり、kは秘密鍵、xは暗号文、yは平文に対応する。
[公開鍵型暗号学的デバイス]
公開鍵型暗号学的デバイス(Setup, Gen, C, X, Y, K, Ω)は、以下のSetup, Gen, C, X, Y, K, Ωから構成される。
・Setup(1к)はセットアップアルゴリズムであり、セキュリティパラメータ1кを入力とし、共通パラメータppを出力する。ppは集合X, Y, K, Ωの情報を含む。
・Gen(pp; r)は鍵生成アルゴリズムであり、共通パラメータppを入力とし、乱数r∈Ωに基づいて、秘密の鍵情報k∈Kと公開の鍵情報pをランダムに選んで出力する。
・C(pp, (k, x))は回路であり、共通パラメータppおよび(k, x)∈K×Xを入力とし、y∈Yを出力する。例えば、C(pp, (k, x))は公開鍵暗号の復号回路であり、kは復号鍵、xは暗号文、yは平文に対応する。他にもC(pp, (k, x))を電子署名の署名回路とすれば、kは署名鍵、xはメッセージ、yは署名となる。
[鍵カプセル化方式(KEM: Key Encapsulation Mechanism)]
鍵カプセル化方式とは、以下の4つ組からなる。
・Setup(1к)はセットアップアルゴリズムであり、セキュリティパラメータ1кを入力とし、共通パラメータppを出力する。
・GenKEM(pp)は鍵生成アルゴリズムであり、共通パラメータppを入力とし、公開鍵pkと秘密鍵skとの鍵ペア(pk, sk)を生成する。
・Encaps(pp, pk; s)は鍵暗号化アルゴリズムであり、共通パラメータppと公開鍵pkとを入力とし、秘密情報s∈Sに基づいた鍵kとその暗号文cとを出力する。ここで、Sは秘密情報が属する集合を表す。なお、特許文献1ではEncapsをEncaps1とEncaps2とに分離していたが、本発明ではその必要はない。
・Decaps(pp, sk, c)は鍵復号アルゴリズムであり、共通パラメータppと秘密鍵skと暗号文cとを入力とし、鍵kまたは⊥を出力する。なお、⊥は拒絶を表す情報である。
[公開鍵暗号方式(PKE: Public-Key Encryption)]
公開鍵暗号方式は、以下の4つ組からなる。
・Setup(1к)はセットアップアルゴリズムであり、セキュリティパラメータ1кを入力とし、共通パラメータppを出力する。
・GenPKE(pp)は鍵生成アルゴリズムであり、共通パラメータppを入力とし、暗号化鍵ekと復号鍵dkとの鍵ペア(ek, dk)を生成する。
・EncPKE(pp, ek, m; ρ)は暗号化アルゴリズムであり、共通パラメータppと暗号化鍵ekとメッセージmとを入力とし、乱数ρ∈RPKEに基づいて、メッセージmの暗号文Xを出力する。ここで、RPKEは乱数空間を表す。
・DecPKE(pp, dk, X)は復号アルゴリズムであり、共通パラメータppと復号鍵dkと暗号文Xとを入力とし、メッセージmまたは⊥を出力する。
[共通鍵暗号方式(SKE: Symmetric-Key Encryption)]
共通鍵暗号方式は、以下の3つ組からなる。
・Setup(1к)はセットアップアルゴリズムであり、セキュリティパラメータ1кを入力とし、共通パラメータppを出力する。
・EncSKE(pp, ξ, m; λ)は暗号化アルゴリズムであり、共通パラメータppと一時鍵ξとメッセージmとを入力とし、乱数λ∈RSKEに基づいて、メッセージmの暗号文μを出力する。ここで、RSKEは乱数空間を表す。
・DecSKE(pp, ξ, μ)は復号アルゴリズムであり、共通パラメータppと一時鍵ξと暗号文μとを入力とし、メッセージmまたは⊥を出力する。
[非対話零知識証明(NIZK: Non-Interactive Zero-Knowledge)]
Bを二項関係とし、LをBから定義される言語とする。すなわち、L={x∈{0,1}*: B(x,w)=1 for some w}である。x∈Lのとき対応するwを証拠と呼ぶ。
非対話零知識証明とは3つ組みのアルゴリズムであり、NIZK=(G, P, V)と書く。
・G(1к)はセットアップアルゴリズムであり、セキュリティパラメータ1кを入力とし、CRS(Common Reference String)と呼ばれる共通パラメータcrsNIZKを出力する。
・P(crsNIZK, x, w)は証明者アルゴリズムであり、共通パラメータcrsNIZKと、文字列x∈L⊆{0,1}*と、その証拠wとを入力とし、x∈Lの証明πを出力する。
・V(crsNIZK, x, π)は検証者アルゴリズムであり、共通パラメータcrsNIZKと文字列xと証明πとを入力とし、yes(合格)またはno(不合格)のいずれか一方を出力する。
[双線形写像]
双線形写像e:GK×GK→GTは、双線型性、非退化性、および効率的計算可能性を持つ写像である。ただし、GK, GTは位数が素数qである可換群である。
双線型性により、任意のh1, h2∈GKおよび任意のα, β∈Zqについて、e(h1 α, h2 β)=e(h1, h2)αβとなる。非退化性により、h1≠1G∈GKであれば、e(h1, h1)のGTでの位数がqとなる。効率的計算可能性により、eを効率よく計算することができる。なお、Zqはqによる剰余群を表す。双線形写像の例はペアリングである。
[衝突困難性(衝突耐性)を持つ写像]
写像Hが衝突困難性を持つとは、多項式時間で動作する敵が、写像の属からそれに属する写像Hを定める情報とセキュリティパラメータ1кとを受け取ったときγ≠δかつH(γ)=H(δ)なる組(γ, δ)を無視できる確率でしか出力することができないことを表す。衝突困難性を持つ写像Hの例は、SHA-1等の暗号学的なハッシュ関数などである。通常、衝突困難性を持つ写像は一方向性も持つ。
以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
[第一実施形態]
第一実施形態の安全性強化システムおよび方法は、暗号学的デバイス(Setup, Gen, C, X, Y, K)の安全性を強化するものである。本形態の安全性強化装置は、非対話零知識証明NIZK=(G, P, V)を用いて補助情報を生成する。この補助情報は、秘密情報に対応する第1暗号文と、秘密情報と乱数とに対応する第2暗号文と、秘密の鍵に対応する第3暗号文と、秘密情報と乱数とを証拠情報として第1暗号文と第2暗号文と第3暗号文とに対する非対話零知識証明を行うための証明情報とを含む。本形態の検証装置は、補助情報が含む証明情報を用いて第1暗号文と第2暗号文と第3暗号文とに対する非対話零知識証明検証を行い、さらに秘密情報に対応する検証用暗号文と第1暗号文とが一致するかを判定する。本形態と特許文献1の従来技術との主たる相違点は、入力される秘密の鍵に対応する第3暗号文を補助情報に含む点である。
<構成>
本形態の安全性強化システムは、例えば、図1に示すように、設定装置11、安全性強化装置12、および検証装置13を含む。設定装置11、安全性強化装置12、および検証装置13は通信網10を介して相互に通信可能に接続される。通信網10は、例えば、インターネットやWAN(Wide Area Network)、LAN(Local Area Network)、専用線、公衆交換電話網、携帯電話通信網などで構成することができる。設定装置11、安全性強化装置12、および検証装置13は必ずしも通信網10を介してオンラインで通信可能である必要はなく、例えば、磁気テープやUSBメモリのような可搬型記録媒体を通じて、オフラインで情報の入出力が可能なように構成してもよい。
設定装置11は、例えば、図2Aに示すように、共通パラメータ生成部111、NIZK設定部112、KEM設定部113、PKE設定部114、および出力部115を含む。
安全性強化装置12は、例えば、図2Bに示すように、入力部121、乱数生成部122、秘密情報生成部123、一時鍵生成部124、第一暗号化部125、第二暗号化部126、証明生成部127、および出力部128を含む。
検証装置13は、例えば、図2Cに示すように、入力部131、検証部132、一時鍵制御部133、暗号文比較部134、鍵制御部135、および出力部136を含む。
設定装置11、安全性強化装置12、および検証装置13は、例えば、中央演算処理装置(CPU: Central Processing Unit)、主記憶装置(RAM: Random Access Memory)などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。設定装置11、安全性強化装置12、および検証装置13は、例えば、中央演算処理装置の制御のもとで各処理を実行する。設定装置11、安全性強化装置12、および検証装置13に入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて読み出されて他の処理に利用される。また、設定装置11、安全性強化装置12、および検証装置13の各処理部の少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。
<セットアップ処理>
図3Aを参照して、本形態のセットアップ処理の手続きを説明する。
ステップS111において、設定装置11の共通パラメータ生成部111は、セキュリティパラメータ1кを入力として、セットアップアルゴリズムSetup(1к)を実行し、共通パラメータppを得る。共通パラメータppは、(公開鍵型)暗号学的デバイス、鍵カプセル化方式、および公開鍵暗号方式に共通するものとする。
ステップS112において、設定装置11のNIZK設定部112は、セキュリティパラメータ1кを入力として、非対話零知識証明のセットアップアルゴリズムG(1к)を実行し、共通パラメータcrsNIZKを得る。
ステップS113において、設定装置11のKEM設定部113は、鍵カプセル化方式の鍵生成アルゴリズムGenKEM(pp)を実行し、公開鍵pkと秘密鍵skの鍵ペア(pk, sk)を得る。
ステップS114において、設定装置11のPKE設定部114は、公開鍵暗号方式の鍵生成アルゴリズムGenPKE(pp)を実行し、暗号化鍵ekと復号鍵dkの鍵ペア(ek, dk)を得る。
ステップS115において、設定装置11の出力部115は、共通パラメータppと公開鍵pkと暗号化鍵ekと共通パラメータcrsNIZKとを含む共通パラメータcrs=(pp, pk, ek, crsNIZK)を出力する。共通パラメータcrsは、安全性強化装置12および検証装置13へ送信され、それぞれの記憶部に格納される。これは、複数の安全性強化装置12および検証装置13が存在する構成において、共通パラメータcrsが共有されることを想定しているためである。
<安全性強化処理>
図3Bを参照して、本形態の安全性強化処理の手続きを説明する。
ステップS121において、安全性強化装置12の入力部121へ、共通パラメータcrs=(pp, pk, ek, crsNIZK)と秘密の鍵k∈Kとが入力される。ここで、Kは鍵空間である。共通パラメータcrsは記憶部へ格納される。
ステップS122において、安全性強化装置12の乱数生成部122は、乱数ρ∈RPKE、乱数λ∈RSKEを生成する。ここで、RPKEは公開鍵暗号方式の乱数空間であり、RSKEは共通鍵暗号方式の乱数空間である。
ステップS123において、安全性強化装置12の秘密情報生成部123は、秘密情報s∈Sを生成する。ここで、Sは秘密情報の属する空間である。
ステップS124において、安全性強化装置12の一時鍵生成部124は、共通パラメータppと公開鍵pkと秘密情報sとを用いて、鍵カプセル化方式の鍵暗号化アルゴリズムEncaps(pp, pk, s)を実行し、秘密情報sに対応する一時鍵ξとその暗号文c(以下、第1暗号文と呼ぶ。)とを得る。
ステップS125において、安全性強化装置12の第一暗号化部125は、共通パラメータppと暗号化鍵ekと秘密情報sと乱数ρとを用いて、公開鍵暗号方式の暗号化アルゴリズムEncPKE(pp, ek, s; ρ)を実行し、秘密情報sの暗号文X(以下、第2暗号文と呼ぶ。)を得る。
ステップS126において、安全性強化装置12の第二暗号化部126は、共通パラメータppと一時鍵ξと秘密の鍵kと乱数λとを用いて、共通鍵暗号方式の暗号化アルゴリズムEncSKE(pp, ξ, k; λ)を実行し、秘密の鍵kの暗号文μ(以下、第3暗号文と呼ぶ。)を得る。
ステップS127において、安全性強化装置12の証明生成部127は、共通パラメータpp, crsNIZKと、暗号文c, X, μに対応する文字列x=(c, X, μ)と、その証拠wである証拠情報(s, ρ, λ, k)とを入力とし、非対話零知識証明の証明者アルゴリズムP(pp, crsNIZK, (c, X, μ), (s, ρ, λ, k))を実行し、その証明である証明情報πを得る。なお、文字列xの例は、c, X, μのビット列表現値のビット結合値である。証拠情報(s, ρ, λ, k)の例は、s, ρ, λ, kのビット列表現値のビット結合値である。また、非対話零知識証明の二項関係Bppを次式のように定義する。
Bpp={((c, X, μ),(s, ρ, λ, k))|∃ξ: ((c, ξ)=Encaps(pp, pk; s)∧(X=EncPKE(pp, ek, s; p))∧(μ=EncSKE(pp, ξ, k; λ)))}
ステップS128において、安全性強化装置12の出力部128は、暗号文c, X, μと証明情報πとを含む補助情報aux=(c, X, μ, π)および秘密情報sを出力する。
<検証処理>
図3Cを参照して、本形態の検証処理の手続きを説明する。
ステップS131において、検証装置13の入力部131へ、共通パラメータcrs=(pp, pk, ek, crsNIZK)と補助情報aux=(c, X, μ, π)と秘密鍵sとが入力される。共通パラメータcrsと補助情報auxと秘密鍵sとは記憶部へ格納される。
ステップS132において、検証装置13の検証部132は、共通パラメータppと共通パラメータcrsNIZKと暗号文(c, X, μ)と証明情報πとを入力とし、非対話零知識証明の検証者アルゴリズムV(pp, crsNIZK, (c, X, μ), π)を実行し、証明情報πを用いた暗号文(c, X, μ)に対する非対話零知識証明検証を行う。検証に合格した場合(すなわち、検証結果が「yes」)には、ステップS133へ処理を進める。検証に不合格であった場合(すなわち、検証結果が「no」)には、ステップS136bへ処理を進める。
ステップS133において、検証装置13の一時鍵制御部133は、共通パラメータppと公開鍵pkと秘密情報sとを用いて、鍵カプセル化方式の鍵暗号化アルゴリズムEncaps(pp, pk; s)を実行し、秘密情報sに対応する一時鍵ξ’とその検証用暗号文c’とを得る。
ステップS134において、検証装置13の暗号文比較部134は、第1暗号文cと検証用暗号文c’とが一致するか否かを判定する。一致する場合(すなわち、c=c’)には、ステップS135へ処理を進める。一致しない場合(すなわち、c≠c’)には、ステップS136bへ処理を進める。
ステップS135において、検証装置13の鍵制御部135は、共通パラメータppと一時鍵ξ’と第3暗号文μとを用いて、共通鍵暗号方式の復号アルゴリズムDecSKE(pp, ξ’, μ)を実行し、秘密の鍵k’を得る。
ステップS136aにおいて、検証装置13の出力部136は、秘密の鍵k’を出力して処理を終了する。ステップS136bにおいて、検証装置13の出力部136は、検証が失敗した旨を示す情報(例えば、「⊥」)を出力して処理を終了する。
特許文献1に記載された従来の安全性強化技術では、安全性強化処理の中で秘密の鍵kを生成していた。本形態では、外部から入力された秘密の鍵kを共通鍵暗号方式の平文として扱い、補助情報に含める。これにより、秘密の鍵kは既存のものが利用でき選択の自由度が高くなっている。
[第二実施形態]
第二実施形態の安全性強化システムおよび方法は、暗号学的デバイス(Setup, Gen, C, X, Y, K)として、K=GTとし、双線形写像を用いたものの安全性を強化するものである。本形態の安全性強化装置では、h, z, V, Wが群GKの元、gが群GKの生成元、Hが衝突困難性を持つ写像、e: GK 2→GTが双線形写像であり、秘密情報が乱数σに対するs=hσ∈GKであり、一時鍵がξ=e(z, s)∈GTであり、補助情報がX=gσ∈GKと、TG=(V・WH(X, μ))σ∈GKと、一時鍵ξを共通鍵として乱数λを用いて秘密の鍵kを暗号化した暗号文μとを含む。本形態の検証装置は、e(g, TG)∈GTとe(X, V・WH(X, μ))∈GTとが一致し、かつ、e(g, s)∈GTとe(X, h)∈GTとが一致するか否かを判定する。
<構成>
本形態の安全性強化システムは、例えば、図1に示すように、設定装置21、安全性強化装置22、および検証装置23を含む。設定装置21、安全性強化装置22、および検証装置23は通信網10もしくは可搬型記録媒体を介して相互に情報の入出力が可能なように構成される。
設定装置21は、例えば、図4Aに示すように、共通パラメータ生成部211、乱数生成部212、および出力部213を含む。
安全性強化装置22は、例えば、図4Bに示すように、入力部221、乱数生成部222、秘密情報生成部223、一時鍵生成部224、第一暗号化部225、第二暗号化部226、群演算部227、および出力部228を含む。
検証装置23は、例えば、図4Cに示すように、入力部231、第一検証部232、第二検証部233、一時鍵制御部234、鍵制御部235、および出力部236を含む。
<セットアップ処理>
図5Aを参照して、本形態のセットアップ処理の手続きを説明する。以下では、上述の第一実施形態との相違点を中心に説明する。
ステップS211において、設定装置21の共通パラメータ生成部211は、セキュリティパラメータ1кを入力として、セットアップアルゴリズムSetup(1к)を実行し、共通パラメータpp=(GK, GT, q, e, g, H)を得る。ここで、Hは衝突困難性を持つ写像H: {0, 1}*→Zqである。写像Hの例は、SHA-1等の暗号学的なハッシュ関数などである。
ステップS212において、設定装置21の乱数生成部212は、群GKの元h, z, V, W∈GKをランダムに選択する。
ステップS213において、設定装置21の出力部213は、共通パラメータppと群要素h, z, V, Wとを含む共通パラメータcrs=(pp, h, z, V, W)を出力する。共通パラメータcrsは、第一実施形態と同様に、安全性強化装置22および検証装置23へ送信され、それぞれの記憶部に格納される。
<安全性強化処理>
図5Bを参照して、本形態の安全性強化処理の手続きを説明する。以下では、上述の第一実施形態との相違点を中心に説明する。
ステップS221において、安全性強化装置22の入力部221へ、共通パラメータcrs=(pp, h, z, V, W)と秘密の鍵k∈Kとが入力される。共通パラメータcrsは記憶部へ格納される。
ステップS222において、安全性強化装置22の乱数生成部222は、乱数σ∈Zq、乱数λ∈RSKEを生成する。
ステップS223において、安全性強化装置22の秘密情報生成部223は、群要素hと乱数σとを用いて、乱数σに対する秘密情報s=hσ∈GKを計算する。
ステップS224において、安全性強化装置22の一時鍵生成部224は、共通パラメータppと群要素zと秘密情報sとを用いて、一時鍵ξ=e(z, s)∈GTを計算する。また、一時鍵ξは共通鍵暗号の一時鍵生成アルゴリズムに合わせてξ^=KDF(ξ)∈{0, 1}кと適切な関数を用いて変形してもよい。ここで、KDFはKey Derivation Functionであり、入力された秘密の値から鍵を導出する関数である。
ステップS225において、安全性強化装置22の第一暗号化部225は、共通パラメータppと一時鍵ξと秘密の鍵kと乱数λとを用いて、共通鍵暗号方式の暗号化アルゴリズムEncSKE(pp, ξ, k; λ)を実行し、秘密の鍵kの暗号文μを得る。
ステップS226において、安全性強化装置22の第二暗号化部226は、共通パラメータppと乱数σとを用いて、暗号文X=gσ∈GKを計算する。
ステップS227において、安全性強化装置22の群演算部227は、共通パラメータppと乱数σと暗号文Xと暗号文μとを用いて、暗号文TG=(V・WH(X, μ))σ∈GKを計算する。
ステップS228において、安全性強化装置22の出力部228は、暗号文X, TG, μを含む補助情報aux=(X, μ, TG)および秘密情報sを出力する。
<検証処理>
図5Cを参照して、本形態の検証処理の手続きを説明する。以下では、上述の第一実施形態との相違点を中心に説明する。
ステップS231において、検証装置23の入力部231へ、共通パラメータcrs=(pp, h, z, V, W)と補助情報aux=(X, μ, TG)と秘密鍵sとが入力される。共通パラメータcrsと補助情報auxと秘密鍵sとは記憶部へ格納される。
ステップS232において、検証装置23の第一検証部232は、e(g, TG)∈GTとe(X, V・WH(X, μ))∈GTとが一致するか否かを判定する。一致する場合(すなわち、e(g, TG)=e(X, V・WH(X, μ)))には、ステップS233へ処理を進める。一致しない場合(すなわち、e(g, TG)≠e(X, V・WH(X, μ)))には、ステップS236bへ処理を進める。
ステップS233において、検証装置23の第二検証部233は、e(g, s)∈GTとe(X, h)∈GTとが一致するか否かを判定する。一致する場合(すなわち、e(g, s)=e(X, h))には、ステップS234へ処理を進める。一致しない場合(すなわち、e(g, s)≠e(X, h))には、ステップS236bへ処理を進める。
ステップS234において、検証装置23の一時鍵制御部234は、共通パラメータppと群要素zと秘密情報sとを用いて、一時鍵ξ’=e(z, s)∈GTを計算する。
ステップS235において、検証装置23の鍵制御部235は、共通パラメータppと一時鍵ξ’と暗号文μとを用いて、共通鍵暗号方式の復号アルゴリズムDecSKE(pp, ξ’, μ)を実行し、秘密の鍵k’を得る。
ステップS236aにおいて、検証装置23の出力部236は、秘密の鍵k’を出力して処理を終了する。ステップS236bにおいて、検証装置23の出力部236は、検証が失敗した旨を示す情報(例えば、「⊥」)を出力して処理を終了する。
[第三実施形態]
第三実施形態の安全性強化システムおよび方法は、公開鍵型暗号学的デバイス(Setup, Gen, C, X, Y, K, Ω)として、Waters IDベース暗号を用いたものの安全性を強化する。本形態では、補助情報auxに含まれるX=gσ∈GKおよびTG=(V・WH(X))σ∈GKをマスター公開鍵mpkとして流用し、秘密情報s=hσ∈GKをマスター秘密鍵(鍵情報)mskとして用いる。これにより、補助情報auxのサイズを小さくできる。
<構成>
本形態の安全性強化システムは、例えば、図6に示すように、設定装置31、鍵生成装置32、送信装置33、および受信装置34を含む。設定装置31、鍵生成装置32、送信装置33、および受信装置34は通信網10もしくは可搬型記録媒体を介して相互に情報の入出力が可能なように構成される。
設定装置31は、例えば、図7Aに示すように、共通パラメータ生成部311、乱数生成部312、および出力部313を含む。
鍵生成装置32は、例えば、図7Bに示すように、入力部321、乱数生成部322、秘密情報生成部323、公開鍵生成部324、補助情報生成部325、第一検証部326、第二検証部327、鍵制御部328、および出力部329を含む。
送信装置33は、例えば、図8Aに示すように、入力部331、検証部332、暗号化部333、および出力部334を含む。
受信装置34は、例えば、図8Bに示すように、入力部341、復号部342、および出力部343を含む。
本形態の安全性強化システムにおいては、鍵生成装置32が安全性強化装置および検証装置の役割を兼ねている。また、送信装置33と受信装置34は鍵生成装置32により強化された鍵を用いて暗号化された通信を行う。
<セットアップ処理>
図9Aを参照して、本形態のセットアップ処理の手続きを説明する。以下では、上述の第一実施形態との相違点を中心に説明する。
ステップS311において、設定装置31の共通パラメータ設定部311は、セキュリティパラメータ1кを入力として、セットアップアルゴリズムSetup(1к)を実行し、共通パラメータpp=(GK, GT, q, e, g, H)を得る。
ステップS312において、設定装置31の乱数生成部312は、群GKの元h, V, W, Y0, Y1, …, Yn∈GKをランダムに選択する。
ステップS313において、設定装置31の出力部313は、共通パラメータppと群要素h, V, W, Y0, Y1, …, Ynと写像H’を含む共通パラメータcrs=(pp, h, V, W, Y0, Y1, …, Yn, H’)を出力する。H’は衝突困難性を持つ写像H’: {0, 1}*→{0, 1}nである。共通パラメータcrsは、鍵生成装置32へ送信され、記憶部に格納される。
<マスター鍵生成処理>
図9Bを参照して、本形態のマスター鍵生成処理の手続きを説明する。
ステップS321aにおいて、鍵生成装置32の入力部321へ、共通パラメータcrs=(pp, h, V, W, Y0, Y1, …, Yn, H’)が入力される。共通パラメータcrsは記憶部へ格納される。
ステップS322において、鍵生成装置32の乱数生成部322は、乱数σ∈Zqを選択する。
ステップS323において、鍵生成装置32の秘密情報生成部323は、乱数σを用いて、マスター秘密鍵s=gσ∈GKを計算する。
ステップS324において、鍵生成装置32の公開鍵生成部324は、乱数σを用いて、公開鍵X=gσ∈GKを計算する。
ステップS325において、鍵生成装置32の補助情報生成部325は、群要素V, Wと乱数σと暗号文Xとを用いて、補助情報TG=(V・WH(X))σ∈GKを計算する。
ステップS329aにおいて、鍵生成装置32の出力部329は、公開鍵Xと補助情報TGとを含むマスター公開鍵mpk=(X, TG)およびマスター秘密鍵msk=sを出力する。
<ユーザ鍵生成処理>
図9Cを参照して、本形態のユーザ鍵生成処理の手続きを説明する。
ステップS321bにおいて、鍵生成装置32の入力部321へ、マスター秘密鍵msk=sとユーザのID∈{0, 1}*が入力される。
ステップS326において、鍵生成装置32の第一検証部326は、IDを(X, TG, id)に分解し、e(g, TG)∈GTとe(X, V・WH(X))∈GTとが一致するか否かを判定する。一致する場合(すなわち、e(g, TG)=e(X, V・WH(X)))には、ステップS327へ処理を進める。一致しない場合(すなわち、e(g, TG)≠e(X, V・WH(X)))には、ステップS329cへ処理を進める。
ステップS327において、鍵生成装置32の第二検証部327は、e(g, s)∈GTとe(h, X)∈GTとが一致するか否かを判定する。一致する場合(すなわち、e(g, s)=e(h, X))には、ステップS328へ処理を進める。一致しない場合(すなわち、e(g, s)≠e(h, X))には、ステップS329cへ処理を進める。
ステップS328において、鍵生成装置32の鍵制御部328は、乱数d∈Zqを選択し、値Z=(Z1,…,Zn)=H’(ID)∈{0, 1}nを計算し、IDに対応するユーザ秘密鍵dkID=(D1, D2)を次式により計算する。
Figure 2016126228
ステップS329bにおいて、鍵生成装置32の出力部329は、ユーザ秘密鍵dkID=(D1, D2)を出力して処理を終了する。ステップS329cにおいて、鍵生成装置32の出力部329は、鍵生成に失敗した旨を示す情報(例えば、「⊥」)を出力して処理を終了する。
<暗号化処理>
図10Aを参照して、本形態の暗号化処理の手続きを説明する。
ステップS331において、送信装置33の入力部331へ、共通パラメータcrs=(pp, h, V, W, Y0, Y1, …, Yn, H’)とマスター公開鍵mpk=(X, TG)とユーザのID∈{0, 1}*とメッセージm∈GTとが入力される。
ステップS332において、送信装置33の検証部332は、IDを(X’, TG’, id)に分解し、(X, TG)と(X’, TG’)とが一致するか否かを判定する。一致する場合(すなわち、(X, TG)=(X’, TG’))には、ステップS333へ処理を進める。一致しない場合(すなわち、(X, TG)≠(X’, TG’))には、ステップS334bへ処理を進める。
ステップS333において、送信装置33の暗号化部333は、乱数d∈Zqを選択し、値Z=(Z1,…,Zn)=H’(ID)∈{0, 1}nを計算し、メッセージmの暗号文c=(c1, c2, c3)を次式により計算する。
Figure 2016126228
ステップS334aにおいて、送信装置33の出力部334は、暗号文c=(c1, c2, c3)を出力して処理を終了する。ステップS334bにおいて、送信装置33の出力部334は、暗号化に失敗した旨を示す情報(例えば、「⊥」)を出力して処理を終了する。
<復号処理>
図10Bを参照して、本形態の復号処理の手続きを説明する。
ステップS341において、受信装置34の入力部341へ、共通パラメータcrs=(pp, h, V, W, Y0, Y1, …, Yn, H’)とマスター公開鍵mpk=(X, TG)とユーザ秘密鍵dkID=(D1, D2)∈GK 2と暗号文c=(c1, c2, c3)∈GK 2×GTが入力される。
ステップS342において、受信装置34の復号部342は、メッセージmを次式により計算する。
Figure 2016126228
ステップS343において、受信装置34の出力部343は、メッセージmを出力して処理を終了する。
[第四実施形態]
第四実施形態の安全性強化システムおよび方法は、公開鍵型暗号学的デバイス(Setup, Gen, C, X, Y, K, Ω)として、Boyen-Mei-Waters鍵カプセル化方式を用いたものの安全性を強化する。本形態の補助情報はX=gσ∈GKとTG=(V・WH(X))σ∈GKに加えて、R=hρ∈GKとT=(Y・WH’(X, TG, R))ρ∈GKとを含む。ただし、V, Wは群GKの元であり、σ, ρは乱数である。本形態の検証装置は、e(g, TG)とe(X, V・WH(X))とが一致するかを判定し、e(g, s)とe(h, X)とが一致するかを判定し、さらにe(g, T)とe(R, V・WH’(X, TG, R))とが一致するかを判定する。
<構成>
本形態の安全性強化システムは、例えば、図11に示すように、設定装置41、送信装置42、および受信装置43を含む。設定装置41、送信装置42、および受信装置43は通信網10もしくは可搬型記録媒体を介して相互に情報の入出力が可能なように構成される。
設定装置41は、例えば、図12Aに示すように、共通パラメータ生成部411、乱数生成部412、および出力部413を含む。
送信装置42は、例えば、図12Bに示すように、入力部421、乱数生成部422、一時鍵生成部423、第一暗号化部424、第二暗号化部425、および出力部426を含む。
受信装置43は、例えば、図12Cに示すように、入力部431、乱数生成部432、秘密情報生成部433、公開鍵生成部434、補助情報生成部435、第一検証部436、第二検証部437、第三検証部438、鍵制御部439、および出力部440を含む。
本形態の安全性強化システムにおいては、受信装置43が安全性強化装置および検証装置の役割を兼ねている。また、送信装置42と受信装置43は受信装置43により強化された鍵を用いて暗号化された通信を行う。
<セットアップ処理>
図13Aを参照して、本形態のセットアップ処理の手続きを説明する。
ステップS411において、設定装置41の共通パラメータ設定部411は、セキュリティパラメータ1кを入力として、セットアップアルゴリズムSetup(1к)を実行し、共通パラメータpp=(GK, GT, q, e, g, H)を得る。
ステップS412において、設定装置41の乱数生成部412は、群GKの元h, V, W, Y∈GKをランダムに選択する。
ステップS413において、設定装置41の出力部413は、共通パラメータppと群要素h, V, W, Yと写像H’を含む共通パラメータcrs=(pp, h, V, W, Y, H’)を出力する。本形態のH’は衝突困難性を持つ写像H’: GK 3→Zqである。共通パラメータcrsは、受信装置43へ送信され、記憶部に格納される。
<鍵生成処理>
図13Bを参照して、本形態の鍵生成処理の手続きを説明する。
ステップS431aにおいて、受信装置43の入力部431へ、共通パラメータcrs=(pp, h, V, W, Y, H’)が入力される。共通パラメータcrsは記憶部へ格納される。
ステップS432において、受信装置43の乱数生成部432は、乱数σ∈Zqを選択する。
ステップS433において、受信装置43の秘密情報生成部433は、乱数σを用いて、秘密鍵s=gσ∈GKを計算する。
ステップS434において、受信装置43の公開鍵生成部434は、乱数σを用いて、公開鍵X=gσ∈GKを計算する。
ステップS435において、受信装置43の補助情報生成部435は、共通パラメータppと乱数σと暗号文Xとを用いて、補助情報TG=(V・WH(X))σ∈GKを計算する。
ステップS440aにおいて、受信装置43の出力部440は、公開鍵Xと補助情報TGとを含む公開鍵pk=(X, TG)および秘密鍵sk=sを出力する。
<暗号化処理>
図14Aを参照して、本形態の暗号化処理の手続きを説明する。
ステップS421bにおいて、送信装置42の入力部421へ、公開鍵pk=(X, TG)∈GK 2が入力される。
ステップS422において、送信装置42の乱数生成部422は、乱数ρ∈Zqを選択する。
ステップS423において、送信装置42の一時鍵生成部423は、乱数ρを用いて、一時鍵ξ=e(X, h)ρを計算する。
ステップS424において、送信装置42の第一暗号化部424は、乱数ρを用いて、暗号文R=gρを計算する。
ステップS425において、送信装置42の第二暗号化部425は、共通パラメータppと乱数ρと暗号文X, TG, Rを用いて、暗号文T=(V・WH’(X, TG, R))ρ∈GKを計算する。
ステップS426において、送信装置42の出力部426は、一時鍵ξとその暗号文c=(X, TG, R, T)∈GK 4とを出力する。
<復号処理>
図14Bを参照して、本形態の復号処理の手続きを説明する。
ステップS431において、送信装置42の入力部431へ、秘密鍵sk=s∈GKと暗号文c=(X, TG, R, T)とが入力される。
ステップS436において、送信装置42の第一検証部436は、e(g, TG)∈GTとe(X, V・WH(X))∈GTとが一致するか否かを判定する。一致する場合(すなわち、e(g, TG)=e(X, V・WH(X)))には、ステップS437へ処理を進める。一致しない場合(すなわち、e(g, TG)≠e(X, V・WH(X)))には、ステップS440cへ処理を進める。
ステップS437において、送信装置42の第二検証部437は、e(g, s)∈GTとe(h, X)∈GTとが一致するか否かを判定する。一致する場合(すなわち、e(g, s)=e(h, X))には、ステップS438へ処理を進める。一致しない場合(すなわち、e(g, s)≠e(h, X))には、ステップS440cへ処理を進める。
ステップS438において、送信装置42の第三検証部438は、e(g, T)∈GTとe(R, V・WH’(X, TG, R))∈GTとが一致するか否かを判定する。一致する場合(すなわち、e(g, T)= e(R, V・WH’(X, TG, R)))には、ステップS439へ処理を進める。一致しない場合(すなわち、e(g, T)≠e(R, V・WH’(X, TG, R)))には、ステップS440cへ処理を進める。
ステップS439において、送信装置42の鍵制御部439は、一時鍵k’=e(R, s)∈GTを計算する。
ステップS440bにおいて、送信装置42の出力部440は、一時鍵k’を出力して処理を終了する。ステップS440cにおいて、送信装置42の出力部440は、復号に失敗した旨を示す情報(例えば、「⊥」)を出力して処理を終了する。
この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
[プログラム、記録媒体]
上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
11、21、31、41 設定装置
12、22 安全性強化装置
13、23 検証装置
32 鍵生成装置
33、42 送信装置
34、43 受信装置

Claims (7)

  1. 安全性強化装置が、秘密情報を生成する秘密情報生成ステップと、
    上記安全性強化装置が、上記秘密情報を用いて一時鍵を生成する一時鍵生成ステップと、
    上記安全性強化装置が、入力された秘密の鍵情報を上記一時鍵により暗号化した鍵暗号文を生成する鍵暗号化ステップと、
    上記安全性強化装置が、上記秘密情報に対して特定の対応関係を持つ暗号文を得、上記暗号文と上記鍵暗号文を含む補助情報を生成する補助情報生成ステップと、
    検証装置が、上記補助情報が上記秘密情報に対して上記対応関係を持つか否かを判定する検証ステップと、
    上記検証装置が、上記補助情報が上記秘密情報に対して上記対応関係を持つ場合に上記秘密情報を用いて上記一時鍵を生成する一時鍵制御ステップと、
    上記検証装置が、上記一時鍵を用いて上記鍵暗号文を復号して上記鍵情報を得る鍵制御ステップと、
    を含み、
    上記秘密情報と異なる関連秘密情報に対して上記対応関係を持つ関連補助情報を上記補助情報から特定することが困難である
    安全性強化方法。
  2. 請求項1に記載の安全性強化方法であって、
    上記補助情報生成ステップは、上記鍵暗号文と、上記秘密情報に対応する第1暗号文と、上記秘密情報と乱数とに対応する第2暗号文と、上記秘密情報と上記乱数と上記鍵情報を証拠情報として上記第1暗号文と上記第2暗号文と上記鍵暗号文とに対する非対話零知識証明を行うための証明情報とを含む上記補助情報を生成するものであり、
    上記検証ステップは、上記証明情報を用いて上記第1暗号文と上記第2暗号文と上記鍵暗号文とに対する非対話零知識証明検証を行い、上記秘密情報に対応する検証用暗号文と上記第1暗号文とが一致するか否かを判定するものである
    安全性強化方法。
  3. 請求項1に記載の安全性強化方法であって、
    gを群GKの生成元とし、h, z, V, Wを群GKの元とし、Hを衝突困難性を持つ写像とし、eを双線形写像とし、
    上記秘密情報生成ステップは、乱数σを選択してs=hσを上記秘密情報として生成するものであり、
    上記鍵暗号化ステップは、ξ=e(z, s)を共通鍵として上記鍵情報を暗号化して上記鍵暗号文μを生成するものであり、
    上記補助情報生成ステップは、X=gσとTG=(V・WH(X, μ))σとを上記暗号文として得るものであり、
    上記検証ステップは、e(g, TG)とe(X, V・WH(X, μ))とが一致し、かつ、e(g, s)とe(X, h)とが一致するか否かを判定するものである
    安全性強化方法。
  4. 安全性強化装置と検証装置を含む安全性強化システムであって、
    上記安全性強化装置は、
    秘密情報を生成する秘密情報生成部と、
    上記秘密情報を用いて一時鍵を生成する一時鍵生成部と、
    入力された秘密の鍵情報を上記一時鍵により暗号化した鍵暗号文を生成する鍵暗号化部と、
    上記秘密情報に対して特定の対応関係を持つ暗号文を得、上記暗号文と上記鍵暗号文を含む補助情報を生成する補助情報生成部と、
    を含み、
    上記検証装置は、
    上記補助情報が上記秘密情報に対して上記対応関係を持つか否かを判定する検証部と、
    上記補助情報が上記秘密情報に対して上記対応関係を持つ場合に上記秘密情報を用いて上記一時鍵を生成する一時鍵制御部と、
    上記一時鍵を用いて上記鍵暗号文を復号して上記鍵情報を得る鍵制御部と、
    を含み、
    上記秘密情報と異なる関連秘密情報に対して上記対応関係を持つ関連補助情報を上記補助情報から特定することが困難である
    安全性強化システム。
  5. 秘密情報を生成する秘密情報生成部と、
    上記秘密情報を用いて一時鍵を生成する一時鍵生成部と、
    入力された秘密の鍵情報を上記一時鍵により暗号化した鍵暗号文を生成する鍵暗号化部と、
    上記秘密情報に対して特定の対応関係を持つ暗号文を得、上記暗号文と上記鍵暗号文を含む補助情報を生成する補助情報生成部と、
    を含み、
    上記秘密情報と異なる関連秘密情報に対して上記対応関係を持つ関連補助情報を上記補助情報から特定することが困難である
    安全性強化装置。
  6. 秘密情報を用いて生成した一時鍵により秘密の鍵情報を暗号化した鍵暗号文と、上記秘密情報に対して特定の対応関係を持つ暗号文とを含む補助情報を入力として、上記補助情報が上記秘密情報に対して上記対応関係を持つか否かを判定する検証部と、
    上記補助情報が上記秘密情報に対して上記対応関係を持つ場合に上記秘密情報を用いて上記一時鍵を生成する一時鍵制御部と、
    上記一時鍵を用いて上記鍵暗号文を復号して上記鍵情報を得る鍵制御部と、
    を含み、
    上記秘密情報と異なる関連秘密情報に対して上記対応関係を持つ関連補助情報を上記補助情報から特定することが困難である
    検証装置。
  7. 請求項5に記載の安全性強化装置もしくは請求項6に記載の検証装置としてコンピュータを機能させるためのプログラム。
JP2015001460A 2015-01-07 2015-01-07 安全性強化方法、安全性強化システム、安全性強化装置、検証装置、およびプログラム Active JP6267657B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015001460A JP6267657B2 (ja) 2015-01-07 2015-01-07 安全性強化方法、安全性強化システム、安全性強化装置、検証装置、およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015001460A JP6267657B2 (ja) 2015-01-07 2015-01-07 安全性強化方法、安全性強化システム、安全性強化装置、検証装置、およびプログラム

Publications (2)

Publication Number Publication Date
JP2016126228A true JP2016126228A (ja) 2016-07-11
JP6267657B2 JP6267657B2 (ja) 2018-01-24

Family

ID=56359470

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015001460A Active JP6267657B2 (ja) 2015-01-07 2015-01-07 安全性強化方法、安全性強化システム、安全性強化装置、検証装置、およびプログラム

Country Status (1)

Country Link
JP (1) JP6267657B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020072129A1 (en) * 2018-10-02 2020-04-09 Visa International Service Association Continuous space-bounded non-malleable codes from stronger proofs-of-space

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004201293A (ja) * 2002-12-03 2004-07-15 Matsushita Electric Ind Co Ltd 鍵共有システム、共有鍵生成装置及び共有鍵復元装置
JP2007189456A (ja) * 2006-01-12 2007-07-26 Nippon Telegr & Teleph Corp <Ntt> 暗号化方法と復号方法、それらの方法を利用した装置、システム、プログラムおよび記録媒体
JP2014135687A (ja) * 2013-01-11 2014-07-24 Nippon Telegr & Teleph Corp <Ntt> 安全性強化装置、検証装置、およびプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004201293A (ja) * 2002-12-03 2004-07-15 Matsushita Electric Ind Co Ltd 鍵共有システム、共有鍵生成装置及び共有鍵復元装置
JP2007189456A (ja) * 2006-01-12 2007-07-26 Nippon Telegr & Teleph Corp <Ntt> 暗号化方法と復号方法、それらの方法を利用した装置、システム、プログラムおよび記録媒体
JP2014135687A (ja) * 2013-01-11 2014-07-24 Nippon Telegr & Teleph Corp <Ntt> 安全性強化装置、検証装置、およびプログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
GENNARO, R. ET AL.: "Algorithmic Tamper-Proof(ATP) Security: Theoretical Foundations for Security Against Hardware Tamper", FIRST THEORY OF CRYPTOGRAPHY CONFERENCE, TCC2004 PROCEEDINGS, vol. 2951, JPN6017034313, 19 February 2004 (2004-02-19), pages 258 - 277, ISSN: 0003682675 *
藤崎 英一郎: "暗号技術の証明可能安全性", 電子情報通信学会誌, vol. 第90巻,第6号, JPN6017034315, 1 June 2007 (2007-06-01), JP, pages 436 - 441, ISSN: 0003682676 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020072129A1 (en) * 2018-10-02 2020-04-09 Visa International Service Association Continuous space-bounded non-malleable codes from stronger proofs-of-space
CN112868202A (zh) * 2018-10-02 2021-05-28 维萨国际服务协会 强空间证明中有空间限制的连续不可延展代码
US11212103B1 (en) 2018-10-02 2021-12-28 Visa International Service Association Continuous space-bounded non-malleable codes from stronger proofs-of-space
CN112868202B (zh) * 2018-10-02 2024-05-28 维萨国际服务协会 强空间证明中有空间限制的连续不可延展代码
US12052365B2 (en) 2018-10-02 2024-07-30 Visa International Service Association Continuous space-bounded non-malleable codes from stronger proofs-of-space

Also Published As

Publication number Publication date
JP6267657B2 (ja) 2018-01-24

Similar Documents

Publication Publication Date Title
US8688973B2 (en) Securing communications sent by a first user to a second user
JP5144991B2 (ja) 暗号文復号権限委譲システム
US7634085B1 (en) Identity-based-encryption system with partial attribute matching
US9037623B2 (en) Proxy calculation system, proxy calculation method, proxy calculation requesting apparatus, and proxy calculation program and recording medium therefor
CN102263638A (zh) 认证设备、认证方法、程序和签名生成设备
US9660805B2 (en) Methods and devices for securing keys when key-management processes are subverted by an adversary
WO2018043573A1 (ja) 鍵交換方法、鍵交換システム
Gao et al. Efficient certificateless anonymous multi‐receiver encryption scheme without bilinear parings
Guo et al. Attribute‐based ring signcryption scheme
Qin et al. Simultaneous authentication and secrecy in identity-based data upload to cloud
Nunez et al. A parametric family of attack models for proxy re-encryption
JP6368047B2 (ja) 鍵交換方法、鍵交換システム、鍵配送装置、代表通信装置、一般通信装置、およびプログラム
JP5469618B2 (ja) 暗号化システム、復号方法、鍵更新方法、鍵生成装置、受信装置、代理計算装置、プログラム
Kirtane et al. RSA-TBOS signcryption with proxy re-encryption
JP6267657B2 (ja) 安全性強化方法、安全性強化システム、安全性強化装置、検証装置、およびプログラム
Chen et al. A limited proxy re-encryption with keyword search for data access control in cloud computing
Sharmila Deva Selvi et al. An efficient certificateless proxy re-encryption scheme without pairing
JP5512598B2 (ja) 情報共有システム、方法、装置及びプログラム
Cheng et al. Cryptanalysis and improvement of a certificateless encryption scheme in the standard model
Zhang et al. Building PUF as a Service: Distributed Authentication and Recoverable Data Sharing With Multidimensional CRPs Security Protection
Chen et al. Blockchain as a CA: A provably secure signcryption scheme leveraging blockchains
Zhang et al. Linear encryption with keyword search
Choi et al. Towards Witness Encryption Without Multilinear Maps: Extractable Witness Encryption for Multi-subset Sum Instances with No Small Solution to the Homogeneous Problem
Zhao et al. CCA Secure Public Key Encryption against After‐the‐Fact Leakage without NIZK Proofs
JP5871827B2 (ja) 安全性強化システム、安全性強化装置、検証装置、およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170105

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170815

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170912

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171102

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171219

R150 Certificate of patent or registration of utility model

Ref document number: 6267657

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150