JP2019047390A

JP2019047390A - 匿名ブロードキャスト方法、鍵交換方法、匿名ブロードキャストシステム、鍵交換システム、通信装置、プログラム

Info

Publication number: JP2019047390A
Application number: JP2017170072A
Authority: JP
Inventors: 麗生吉田; Reisei Yoshida; 祐人川原; Yuto Kawahara; 鉄太郎小林; Tetsutaro Kobayashi; 仁冨士; Hitoshi Fuji; 一樹米山; Kazuki Yoneyama
Original assignee: Nippon Telegraph and Telephone Corp; Ibaraki University NUC
Current assignee: Nippon Telegraph and Telephone Corp; Ibaraki University NUC
Priority date: 2017-09-05
Filing date: 2017-09-05
Publication date: 2019-03-22
Anticipated expiration: 2037-09-05
Also published as: US20200358622A1; CN111052673B; JP6592851B2; WO2019049615A1; CN111052673A; EP3681096A1; US12034862B2; US11985250B2; US20220337428A1; EP3681096A4

Abstract

【課題】通信に関するメタデータを秘匿することができる、N（≧2）者間の鍵交換技術を提供する。【解決手段】通信装置Uiが第一鍵を生成する第一鍵生成ステップと、i∈{1, …, n}について、通信装置Uiが、集合R-{Ui}を指定して、i∈{n+1, …, N}について、通信装置Uiが、φを指定して第一鍵を匿名ブロードキャストする第一匿名ブロードキャストステップと、通信装置Uiが第二鍵を生成する第二鍵生成ステップと、i∈{1, …, n}について、通信装置Uiが、集合R-{Ui}を指定して、i∈{n+1, …, N}について、通信装置Uiが、φを指定して第二鍵を匿名ブロードキャストする第二匿名ブロードキャストステップと、i∈{1, …, n}について、通信装置Uiが、所定の条件を満たす場合に、セッション鍵SKを生成するセッション鍵生成ステップとを含む。【選択図】図２

Description

この発明は情報セキュリティ技術の応用に関し、特に、グループを形成する複数のユーザが共通鍵を共有する鍵交換技術に関する。

従来からグループを形成する複数のユーザが共通鍵を共有する鍵交換技術が提案されている。そのような鍵交換技術を実現するシステムの一例を図１に示す。鍵交換システム９０は、鍵交換サーバ７００およびN（≧2）台の通信装置８００₁, …, ８００_Nを含む。この実施形態では、鍵交換サーバ７００および通信装置８００₁, …, ８００_Nはそれぞれ通信網９００へ接続され、各通信装置８００_iは鍵交換サーバ７００を介してその他の通信装置８００_j（1≦i, j≦N, ただし、iとjは異なる）と相互に鍵を交換する。しかし、通信の機密性を確保するために必要となる鍵交換により、どの通信装置がどの通信装置と、いつ、どの程度の頻度にて通信しているのかといった通信に関するメタデータが外部の攻撃者に漏れてしまい、メタデータを完全に秘匿することが困難であるという問題があった。例えば、公開鍵基盤(PKI: Public Key Infrastracture)を用いた鍵交換では、公開鍵を入手したユーザが公開鍵の所有者であるユーザと通信をしたいことが攻撃者にわかってしまう。

そこで、メタデータを秘匿できる鍵交換技術として、非特許文献１にあるプロトコルが提案されている。非特許文献１の技術では、その通信路で確率的公開鍵暗号を用いて２者間の鍵交換を実現する。これにより、２者間の鍵交換に際しての通信に関するメタデータ（例えば、電話番号、送信先、送信元、通信時刻、通信経路、添付ファイル名、送信回数など）を秘匿することが可能となる。

David Lazar and Nickolai Zeldovich, "Alpenhorn: Bootstrapping Secure Communication without Leaking Metadata"、［online］、［平成29年7月14日検索］、インターネット<URL:https://vuvuzela.io/alpenhorn-extended.pdf>

しかし、非特許文献１の技術では、共通鍵を交換することができるユーザは２者に限られる。このため、N（≧3）者間の通信において、メタデータを秘匿したうえで鍵交換を実現することができなかった。

そこで本発明は、通信に関するメタデータを秘匿することができる、N（≧2）者間の鍵交換技術を提供することを目的とする。

本発明の一態様は、Nを2以上の整数、Lを1以上の整数とし、N台の通信装置U₁, …, U_Nのうち、通信装置の集合R={U₁, …, U_n}(2≦n≦N）に含まれる通信装置の間でメッセージM₁, …, M_nを共有する匿名ブロードキャスト方法であって、ID_i(1≦i≦N)を通信装置U_iの識別子、MPK_j(1≦j≦L)を匿名IDベースブロードキャスト暗号のマスタ公開鍵、SMPK_j(1≦j≦L)をIDベース署名のマスタ公開鍵、dk_i ^(j)(1≦i≦N, 1≦j≦L)を匿名IDベースブロードキャスト暗号の復号鍵、sk_i ^(j) (1≦i≦N, 1≦j≦L)をIDベース署名の署名鍵とし、i∈{1, …, n}について、通信装置U_iが、マスタ公開鍵Σ_j=1,..,LSMPK_jと署名鍵Σ_j=1,..,Lsk_i ^(j)と前記識別子ID_iと前記メッセージM_iの組であるメッセージ(ID_i, M_i)から、署名ω_i←(Σ_j=1,..,LSMPK_j, Σ_j=1,..,Lsk_i ^(j), (ID_i, M_i))を生成し、マスタ公開鍵Σ_j=1,..,LMPK_jと前記識別子ID_iと前記署名ω_iと前記メッセージM_iの組である平文(ID_i, ω_i, M_i)と集合R-{U_i}から、暗号文C_i←(Σ_j=1,..,LMPK_j, (ID_i, ω_i, M_i), (R-{U_i}))を生成し、i∈{n+1, …, N}について、通信装置U_iが、ダミーメッセージである暗号文C_iを生成する暗号文生成ステップと、i∈{1, …, N}について、通信装置U_iが、ミックスネットがシャッフルした暗号文{C₁, …, C_N}を取得する暗号文取得ステップと、i∈{1, …, N}について、通信装置U_iが、復号鍵Σ_j=1,..,Ldk_i ^(j)と前記暗号文C_k(1≦k≦N)からメッセージ(ID_k, ω_k, M_k)←(Σ_j=1,..,Ldk_i ^(j), C_k)を生成し、U_i∈R-{U_k}である場合、前記マスタ公開鍵Σ_j=1,..,LSMPK_jと前記メッセージ(ID_k, ω_k, M_k)から検証結果Ver_k←(Σ_j=1,..,LSMPK_j, ID_k, M_k, ω_k)を生成し、署名ω_kの検証が成功した場合、前記メッセージM_kを前記識別子ID_kの通信装置U_kから送信されたメッセージとみなし、通信装置U_i∈Rが、前記メッセージM₁, …, M_nを取得するメッセージ復元ステップと、を含む。

本発明の一態様は、Nを2以上の整数、Lを1以上の整数とし、N台の通信装置U₁, …, U_Nのうち、通信装置の集合R={U₁, …, U_n}(2≦n≦N）に含まれる通信装置の間でセッション鍵SKを共有する鍵交換方法であって、ID_i(1≦i≦N)を通信装置U_iの識別子、MPK_j(1≦j≦L)を匿名IDベースブロードキャスト暗号のマスタ公開鍵、SMPK_j(1≦j≦L)をIDベース署名のマスタ公開鍵、dk_i ^(j) (1≦i≦N, 1≦j≦L)を匿名IDベースブロードキャスト暗号の復号鍵、sk_i ^(j)(1≦i≦N, 1≦j≦L)をIDベース署名の署名鍵、Gをg,hを生成元とする素数位数pの有限巡回群、||を連結演算子とし、通信装置U_i(1≦i≦N)の記録部に、秘密ストリングst_i, st'_iが記録されており、i∈{1, …, n}について、通信装置U_iが、ねじれ擬似ランダム関数により前記秘密ストリングst_i, st'_iを用いてr_i, k_i, s_iを計算し、R_i=g^r_i、c_i=g^k_ih^s_iを計算することにより、第一鍵(R_i, c_i)を生成し、i∈{n+1, …, N}について、通信装置U_iが、R_i, c_i∈_RGをランダムに選択し、第一鍵(R_i, c_i)を生成する第一鍵生成ステップと、i∈{1, …, n}について、通信装置U_iが、集合R-{U_i}を指定して前記第一鍵(R_i, c_i)を匿名ブロードキャストし、i∈{n+1, …, N}について、通信装置U_iが、受信者なしを意味するφを指定して前記第一鍵(R_i, c_i)を匿名ブロードキャストする第一匿名ブロードキャストステップと、i∈{2, …, n}について、通信装置U_iが、ターゲット衝突困難ハッシュ関数により、前記c_k(1≦k≦n)を用いてセッションＩＤ sidを計算し、擬似ランダム関数により(sid, R_i-1 ^r_i)を用いてK_i ^(l)を計算し、擬似ランダム関数により(sid, R_i+1 ^r_i)を用いてK_i ^(r)を計算し、K_i ^(l)とK_i ^(r)との排他的論理和によりT_iを計算し、T'_i∈_RZ_p ²をランダムに選択し、マスタ公開鍵Σ_j=1,..,LSMPK_jと署名鍵Σ_j=1,..,Lsk_i ^(j)とメッセージ(R, R_i, c_i, k_i, s_i, T_i, T'_i)から署名σ_i←(Σ_j=1,..,LSMPK_j, Σ_j=1,..,Lsk_i ^(j), (R, R_i, c_i, k_i, s_i, T_i, T'_i))を生成し、第二鍵(k_i, s_i, T_i, T'_i, σ_i)を生成し、i=1について、通信装置U₁が、ターゲット衝突困難ハッシュ関数により、前記c_k(1≦k≦n)からセッションＩＤ sidを計算し、擬似ランダム関数により(sid, R_n ^r_1)を用いてK₁ ^(l)を計算し、擬似ランダム関数により(sid, R₂ ^r_1)を用いてK₁ ^(r)を計算し、K₁ ^(l)とK₁ ^(r)との排他的論理和によりT₁を計算し、K₁ ^(l)とk₁||s₁との排他的論理和によりT'を計算し、k"₁, s"₁∈_RZ_pをランダムに選択し、マスタ公開鍵Σ_j=1,..,LSMPK_jと署名鍵Σ_j=1,..,Lsk₁ ^(j)とメッセージ(R, R₁, c₁, k"₁, s"₁, T₁, T')から署名σ₁←(Σ_j=1,..,LSMPK_j, Σ_j=1,..,Lsk₁ ^(j), (R, R₁, c₁, k"₁, s"₁, T₁, T'))を生成し、第二鍵(k"₁, s"₁, T₁, T', σ₁)を生成し、i∈{n+1, …, N}について、通信装置U_iが、k_i, s_i∈_RZ_p、T_i, T'_i∈_RZ_p ²、σ_i∈_RΣ（ただし、Σは署名空間）をランダムに選択し、第二鍵(k_i, s_i, T_i, T'_i, σ_i)を生成する第二鍵生成ステップと、i∈{2, …, n}について、通信装置U_iが、集合R-{U_i}を指定して前記第二鍵(k_i, s_i, T_i, T'_i, σ_i)を匿名ブロードキャストし、i=1について、通信装置U₁が、集合R-{U₁}を指定して前記第二鍵(k"₁, s"₁, T₁, T', σ₁)を匿名ブロードキャストし、i∈{n+1, …, N}について、通信装置U_iが、前記φを指定して前記第二鍵(k_i, s_i, T_i, T'_i, σ_i)を匿名ブロードキャストする第二匿名ブロードキャストステップと、i∈{2, …, n}について、通信装置U_iが、前記第二鍵(k"₁, s"₁, T₁, T', σ₁)と前記第二鍵(k_k, s_k, T_k, T'_k, σ_k)(2≦k≦n, k≠i)を取得すると、前記マスタ公開鍵Σ_j=1,..,LSMPK_jとメッセージ(R, R_k, c_k, k_k, s_k, T_k, T'_k)と前記署名σ_kから、検証結果Ver_k←(Σ_j=1,..,LSMPK_j, ID_k, (R, R_k, c_k, k_k, s_k, T_k, T'_k), σ_k)を生成し、署名σ_kの検証が成功であった場合は、K_i ^(l)と、T_j(1≦j≦i-1)の排他的論理和との排他的論理和によりK₁ ^(l)を計算し、T'とK₁ ^(l)との排他的論理和によりk₁||s₁を計算し、1≦k≦nを満たすkに対してc_k=g^k_kh^s_kが成り立つ場合は、擬似ランダム関数により、前記sid、前記k_i(1≦i≦n)の排他的論理和を用いて前記セッション鍵SKを生成し、i=1について、通信装置U₁が、前記第二鍵(k_k, s_k, T_k, T'_k, σ_k)(2≦k≦n)を取得すると、前記マスタ公開鍵Σ_j=1,..,LSMPK_jとメッセージ(R, R_k, c_k, k_k, s_k, T_k, T'_k)と前記署名σ_kから、検証結果Ver_k←(Σ_j=1,..,LSMPK_j, ID_k, (R, R_k, c_k, k_k, s_k, T_k, T'_k), σ_k)を生成し、署名σ_kの検証が成功であり、かつ、1≦k≦nを満たすkに対してc_k=g^k_kh^s_kが成り立つ場合は、擬似ランダム関数により、前記sid、前記k_i(1≦i≦n)の排他的論理和を用いて前記セッション鍵SKを生成するセッション鍵生成ステップと、を含む。

本発明によれば、メタデータを秘匿したうえで、複数のユーザが共通鍵を共有することが可能となる。さらに、より一般に、メタデータを秘匿したうえで、複数のユーザがメッセージを共有することが可能となる。

鍵交換システム９０の構成の一例を示す図。鍵交換システム１０の構成の一例を示す図。鍵生成サーバ１００の構成の一例を示す図。公開用サーバ２００の構成の一例を示す図。ミックスネットサーバ３００の構成の一例を示す図。通信装置４００の構成の一例を示す図。匿名ブロードキャスト部４１０の構成の一例を示す図。システムセットアップにおける鍵生成サーバ１００の動作の一例を示す図。システムセットアップにおける公開用サーバ２００の動作の一例を示す図。システムセットアップにおける通信装置４００の動作の一例を示す図。ブロードキャストにおける通信装置４００の動作の一例を示す図。セッション鍵生成における通信装置４００の動作の一例を示す図。

以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

＜表記方法＞
実施形態の説明に先立って、この明細書における表記方法について説明する。

_（アンダースコア）は下付き添字を表す。例えば、x^y_zはy_zがxに対する上付き添字であり、x_{y_z}はy_zがxに対する下付き添字であることを表す。

ある集合Setについて、Setから要素mをランダムに選ぶことを、m∈_RSetと表記する。

あるアルゴリズムALGについて、入力xと乱数rに対してALGがyを出力することを、y←ALG(x;r)と表記する。なお、ALGが確定的アルゴリズムの場合は、乱数rは空である。

кをセキュリティパラメータとする。

［擬似ランダム関数(PRF)］
F={F_к:Dom_к×FS_к→Rng_к}_кを定義域{Dom_к}_к、鍵空間{FS_к}_к、値域{Rng_к}_кを持つ関数族とする。このとき、もし任意の多項式時間の識別者Dに対して、関数F_кと真正ランダム関数RF_к:Dom_к→Rng_кが見分けられなければ、F={F_к}_кを擬似ランダム関数族と呼ぶ。擬似ランダム関数の具体例は、例えば、下記参考非特許文献１に記載されている。
（参考非特許文献１：O.ゴールドライヒ著、「現代暗号・確率的証明・擬似乱数」、シュプリンガー・フェアラーク東京、2001年）

［ターゲット衝突困難ハッシュ関数］
H={H_к:Dom_к→Rng_к}_кを定義域{Dom_к}_к、値域{Rng_к}_кを持つハッシュ関数族とする。このとき、もし任意の多項式時間の攻撃者Aに対して、x∈_RDom_кを与えた上でH_к(x)=H_к(x')となるようなx'(≠x)を見つけられなければ、H={H_к}_кをターゲット衝突困難ハッシュ関数族と呼ぶ。ターゲット衝突困難ハッシュ関数の具体例は、例えば、下記参考非特許文献２に記載されている。
（参考非特許文献２：J.A.ブーフマン著、「暗号理論入門原書第3版」、丸善出版、2007年）

［ねじれ擬似ランダム関数(twisted PRF)］
関数tPRF:{0, 1}^к×FS_к×FS_к×{0, 1}^к→Rng_кをねじれ擬似ランダム関数と呼び、擬似ランダム関数F_кを用いて、

と定義する。ただし、a,b'∈{0, 1}^кであり、a',b∈FS_кである。ねじれ擬似ランダム関数の具体例は、例えば、下記参考非特許文献３に記載されている。
（参考非特許文献３：Kazuki Yoneyama, “One-Round Authenticated Key Exchange with Strong Forward Secrecy in the Standard Model against Constrained Adversary”, IEICE Transactions, vol. E96-A, no. 6, pp. 1124-1138, 2013.）

［ミックスネット(Mix-Net)］
ミックスネットシステムは、M台（Mは2以上の整数）のミックスネットサーバS₁, …, S_Mを含む。最初のサーバであるミックスネットサーバS₁は、１つのラウンド（すなわち、S₁, …, S_Mによる一連の処理）で処理対象となるn個（nは2以上の整数）の入力メッセージを受信する。その後、各ミックスネットサーバが、m=1, …, Mと順にメッセージをシャッフルしていく。最後のサーバであるミックスネットサーバS_Mは、N個（Nは2以上の整数）の出力メッセージを出力する。任意の外部の攻撃者がM-1台のミックスネットサーバと結託した場合であっても、その攻撃者は入力メッセージと出力メッセージとの間の関係について知ることはできない。安全なミックスネットプロトコルの具体例は、例えば、下記参考非特許文献４に記載されている。
（参考非特許文献４：Miyako Ohkubo, Masayuki Abe, “A Length-Invariant Hybrid Mix”, ASIACRYPT'00, Proceedings of the 6th International Conference on the Theory and Application of Cryptology and Information Security: Advances in Cryptology, pp.178-191, 2000.）

［匿名IDベースブロードキャスト暗号(Anonymous ID-based Broadcast Encryption: AIBBE)］
匿名IDベースブロードキャスト暗号は、以下の４つのアルゴリズムで構成される。

マスタ鍵生成アルゴリスム(1^κ)は、セキュリティパラメータκを入力とし、マスタ秘密鍵MSKとマスタ公開鍵MPKを出力する。鍵生成センタKGCは、マスタ秘密鍵MSKを与えられる。また、マスタ公開鍵MPKは、公開される。

復号鍵生成アルゴリズム(MSK, ID_i)は、マスタ秘密鍵MSKとユーザi(1≦i≦N)の識別子ID_iを入力とし、復号鍵dk_iを出力する。復号鍵dk_iは、ユーザiに安全に送信される。

暗号化アルゴリズム(MPK, M, R)は、マスタ公開鍵MPKと平文Mと受信者の集合Rを入力とし、暗号文CTを出力する。なお、受信者の集合Rは、平文Mの受信者となるユーザの識別子の集合である。

復号アルゴリズム(dk_i, CT)は、復号鍵dk_iと暗号文CTを入力とし、受信者の集合Rにユーザiの識別子ID_iが含まれる場合は平文Mを出力する。

安全なAIBBEの具体例は、例えば、下記参考非特許文献５に記載されている。
（参考非特許文献５：Kai He, Jian Weng, Jia-Nan Liu, Joseph K. Liu, Wei Liu, Robert H. Deng, “Anonymous Identity-Based Broadcast Encryption with Chosen-Ciphertext Security”, ASIA CCS'16, Proceedings of the 11th ACM on Asia Conference on Computer and Communications Security, pp.247-255, 2016.）

匿名IDベースブロードキャスト暗号を用いてエニートラスト匿名IDベースブロードキャスト暗号(anytrust-AIBBE: AT-AIBBE)を定義する。信用を分散するため、AT-AIBBEには、複数の鍵生成センタ(KGC₁, …, KGC_L)が含まれる（Lは1以上の整数）。鍵生成センタKGC_j(1≦j≦L)はマスタ公開鍵MPK_jを公開する。また、鍵生成センタKGC_j(1≦j≦L)は、ユーザi(1≦i≦N)のための復号鍵dk_i ^(j)を生成する。ユーザi(1≦i≦N)は、平文Mを暗号化し、暗号文CT←(Σ_j=1,..,LMPK_j, M, R)を得る。また、ユーザi(1≦i≦N)は、暗号文CTを復号し、平文M←(Σ_j=1,..,Ldk_i ^(j), CT)を得る（ただし、受信者の集合Rにユーザiの識別子ID_iが含まれる場合に限る）。鍵生成センタKGC_j(1≦j≦L)のうち、L-1個の鍵生成センタに悪意があった場合であっても、そのL-1個の鍵生成センタは暗号文CTを復号することができない。

［IDベース署名(ID-based Signature)］
IDベース署名は、以下の４つのアルゴリズムで構成される。

マスタ鍵生成アルゴリスム(1^κ)は、セキュリティパラメータκを入力とし、マスタ秘密鍵SMSKとマスタ公開鍵SMPKを出力する。鍵生成センタKGCは、マスタ秘密鍵SMSKを与えられる。また、マスタ公開鍵SMPKは、公開される。

署名鍵生成アルゴリズム(SMSK, ID_i)は、マスタ秘密鍵SMSKとユーザi(1≦i≦N)の識別子ID_iを入力とし、署名鍵sk_iを出力する。署名鍵sk_iは、ユーザiに安全に送信される。

署名生成アルゴリズム(SMPK, sk_i, M)は、マスタ公開鍵SMPKと署名鍵sk_iとメッセージMを入力とし、署名σを出力する。

署名検証アルゴリズム(SMPK, ID_i, M, σ)は、マスタ公開鍵SMPKとユーザiの識別子ID_iとメッセージMと署名σを入力とし、検証結果Ver（例えば、検証結果を示す２値として0または1）を出力する。

IDベース署名を用いてエニートラストIDベース署名(anytrust-IBS: AT-IBS)を定義する。信用を分散するため、AT-IBSには、複数の鍵生成センタ(KGC₁, …, KGC_L)が含まれる（Lは1以上の整数）。鍵生成センタKGC_j(1≦j≦L)はマスタ公開鍵SMPK_jを公開する。また、鍵生成センタKGC_j(1≦j≦L)は、ユーザi(1≦i≦N)のための署名鍵sk_i ^(j)を生成する。ユーザi(1≦i≦N)は、メッセージMに対する署名として、署名σ←(Σ_j=1,..,LSMPK_j, Σ_j=1,..,L sk_i ^(j), M)を得る。また、ユーザi(1≦i≦N)は署名σを検証し、検証結果Ver←(Σ_j=1,..,LSMPK_j, ID_i, M, σ)を得る。鍵生成センタKGC_j(1≦j≦L)のうち、L-1個の鍵生成センタに悪意があった場合であっても、そのL-1個の鍵生成センタは署名σを偽造することができない。

＜システム構成＞
実施形態の鍵交換システム１０は、図２に例示するように、L（≧1）台の鍵生成サーバ１００₁, …, １００_L、公開用サーバ２００、M（≧2）台のミックスネットサーバ３００₁, …, ３００_M、N（≧2）台の通信装置４００₁, …, ４００_Nを含む。この実施形態では、鍵生成サーバ１００₁, …, １００_L、公開用サーバ２００、ミックスネットサーバ３００₁, …, ３００_M、通信装置４００₁, …, ４００_Nはそれぞれ通信網９００へ接続される。通信網９００は、鍵生成サーバ１００₁, …, １００_L、公開用サーバ２００、ミックスネットサーバ３００₁, …, ３００_M、通信装置４００₁, …, ４００_Nのうち、通信が必要となる各サーバまたは各装置が、相互に通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網である。通信網９００は安全が確保された通信路である必要はなく、例えばインターネットなどを用いることができる。

鍵生成サーバ１００は、図３に例示するように、マスタ鍵生成部１０１、復号鍵・署名鍵生成部１０２、送受信部１９８、記録部１９９を含む。公開用サーバ２００は、図４に例示するように、公開部２０１、送受信部２９８、記録部２９９を含む。ミックスネットサーバ３００は、図５に例示するように、シャッフル部３０１、送受信部３９８、記録部３９９を含む。通信装置４００は、図６に例示するように、秘密ストリング生成部４０１、第一匿名ブロードキャスト部４１０−１、第二匿名ブロードキャスト部４１０−２、第一鍵生成部４２１、第二鍵生成部４２３、セッション鍵生成部４２７、送受信部４９８、記録部４９９を含む。

ここで、第一匿名ブロードキャスト部４１０−１、第二匿名ブロードキャスト部４１０−２は、それぞれ、指定した通信装置の集合に属する通信装置間でメッセージを共有するための機能を提供する。つまり、第一匿名ブロードキャスト部４１０−１、第二匿名ブロードキャスト部４１０−２は、同一の機能を提供する。そこで、以下、第一匿名ブロードキャスト部４１０−１、第二匿名ブロードキャスト部４１０−２を匿名ブロードキャスト部４１０として説明する。匿名ブロードキャスト部４１０は、図７に例示するように、暗号文生成部４１１、暗号文取得部４１４、メッセージ復元部４１５を含む。

この鍵生成サーバ１００₁, …, １００_L、公開用サーバ２００、ミックスネットサーバ３００₁, …, ３００_M、通信装置４００₁, …, ４００_Nが、図８から図１２までに例示する各ステップの処理を行うことにより実施形態の鍵交換方法が実現される。

鍵生成サーバ１００₁, …, １００_L、公開用サーバ２００、ミックスネットサーバ３００₁, …, ３００_M、通信装置４００₁, …, ４００_Nは、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。各装置は、例えば、中央演算処理装置の制御のもとで各処理を実行する。各装置に入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。各装置が備える各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。

鍵生成サーバ１００₁, …, １００_L、公開用サーバ２００、ミックスネットサーバ３００₁, …, ３００_M、通信装置４００₁, …, ４００_Nが備える記録部は、例えば、RAM（Random Access Memory）などの主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリ（Flash Memory）のような半導体メモリ素子により構成される補助記憶装置、またはリレーショナルデータベースやキーバリューストアなどのミドルウェアにより構成することができる。記録部は、秘密情報を記憶する場合、耐タンパ性を有する記憶装置（例えば、SIMカードなど）であることが望ましい。

以降の説明では、以下のように記号を定義する。U_i（i∈{1, …, N}）はN台の通信装置４００₁, …, ４００_Nを表すものとする。同様に、S_m（m∈{1, …, M}）はM台のミックスネットサーバ３００₁, …, ３００_Mを表すものとする。

また、pをκビットの素数、Gを、g,hを生成元とする位数pの有限巡回群とする。TCR:{0, 1}^*→{0,1}^κをターゲット衝突困難ハッシュ関数とする。tPRF:{0, 1}^к×FS_к×FS_к×{0, 1}^к→Z_p、tPRF':{0, 1}^к×FS_к×FS_к×{0, 1}^к→FS_кをねじれ擬似ランダム関数とする。F:{0, 1}^к×G→Z_p ²、F':{0, 1}^к×Z_p→FS_к、F":{0, 1}^к×FS_к→{0, 1}^к、F''':{0, 1}^к×FS_к→Z_pを擬似ランダム関数とする。

＜システムセットアップ＞
図８から図１０を参照して、実施形態の鍵交換方法におけるシステムセットアップの処理手続きを説明する。

図８を参照して、鍵生成サーバ１００_j(1≦j≦L)の動作について説明する。ステップＳ１０１において、鍵生成サーバ１００_j(1≦j≦L)のマスタ鍵生成部１０１は、匿名IDベースブロードキャスト暗号のマスタ鍵生成アルゴリズムとIDベース署名のマスタ鍵生成アルゴリズムにより、セキュリティパラメータкから、マスタ秘密鍵(MSK_j, SMSK_j)とマスタ公開鍵(MPK_j, SMPK_j)を生成する。

次に、ステップＳ１０２において、鍵生成サーバ１００_j(1≦j≦L)の復号鍵・署名鍵生成部１０２は、匿名IDベースブロードキャスト暗号の復号鍵生成アルゴリズムにより、マスタ秘密鍵MSK_jと通信装置U_i(1≦i≦N)の識別子ID_iから復号鍵dk_i ^(j)←(MSK_j, ID_i)を生成し、IDベース署名の署名鍵生成アルゴリズムにより、マスタ秘密鍵SMSK_jと通信装置U_i(1≦i≦N)の識別子ID_iから署名鍵sk_i ^(j)←(SMSK_j, ID_i)を生成する。鍵生成サーバ１００_j(1≦j≦L)は、送受信部１９８を用いて、復号鍵dk_i ^(j)と署名鍵sk_i ^(j)を通信装置U_i(1≦i≦N)に送信する。通信装置U_iは、受信した復号鍵dk_i ^(j)と署名鍵sk_i ^(j)(1≦j≦L)を記録部４９９に記録する。また、通信装置U_iは、マスタ公開鍵(MPK_j, SMPK_j) (1≦j≦L)を取得し、記録部４９９に記録する。

なお、鍵生成サーバ１００_jが生成するマスタ秘密鍵(MSK_j, SMSK_j)は、メタデータの前方機密性を守るために、周期的に更新される。その周期は、例えば、１日１回などとするとよい。

図９を参照して、公開用サーバ２００の動作について説明する。ステップＳ２０１において、公開用サーバ２００の公開部２０１は、通信装置U_i(1≦i≦N)が取得できるように(p, G, g, h, TCR, tPRF, tPRF', F, F', F", F''')を公開する。通信装置U_i(1≦i≦N)は、公開用サーバ２００から(p, G, g, h, TCR, tPRF, tPRF', F, F', F", F''')を適宜取得し、記録部４９９に記録する。

図１０を参照して、通信装置U_i(1≦i≦N)の動作について説明する。ステップＳ４０１において、通信装置U_iの秘密ストリング生成部４０１は、ねじれ擬似ランダム関数の入力となる秘密ストリング(st_i, st'_i)を生成する（ただし、st_i∈_RFS_к、st'_i∈_R{0,1}^κ）。通信装置U_iは、生成した(st_i, st'_i)を記録部４９９に記録する。

＜匿名ブロードキャスト＞
図１１を参照して、実施形態の鍵交換方法における匿名ブロードキャストの処理手続きを説明する。この匿名ブロードキャストの処理手続きは、後述するセッション鍵生成の処理手続きで用いるものである。

通信装置の集合R={U_{i_1}, …, U_{i_n}}（ただし、{i₁, …, i_n}⊆{1, …, N}）とし、通信装置U_{i_k}(1≦k≦n)が集合Rに属する各通信装置とメッセージM_{i_k}を秘匿化したまま共有するため、匿名ブロードキャストする。つまり、集合Rに属する各通信装置は、メッセージM_{i_1}, …, M_{i_n}を受信することができるが、集合Rに属さない各通信装置は、メッセージM_{i_1}, …, M_{i_n}を受信することができない。

以下、簡単のため、集合R={U_{i_1}, …, U_{i_n}}={U₁, …, U_n}として説明する。このようにしても一般性を欠くことはない。

１ラウンド（１つの処理単位）の匿名ブロードキャストにおいて、以下の３つの手続きが実行される。

（１）署名と暗号化
この手続きは、通信装置U_iが集合Rに含まれる場合、通信装置U_iが集合Rに含まれない場合の２つの場合に分けて実行される。

ステップＳ４１１において、U_i∈Rの場合、通信装置U_iの暗号文生成部４１１は、IDベース署名の署名生成アルゴリズムにより、マスタ公開鍵Σ_j=1,..,LSMPK_jと署名鍵Σ_j=1,..,Lsk_i ^(j)とメッセージ(ID_i, M_i)（つまり、送信元である通信装置U_iの識別子ID_iと共有したい元のメッセージM_iの組）から、メッセージ(ID_i, M_i)に対する署名ω_i←(Σ_j=1,..,LSMPK_j, Σ_j=1,..,Lsk_i ^(j), (ID_i, M_i))を生成する。通信装置U_iの暗号文生成部４１１は、匿名IDベースブロードキャスト暗号の暗号化アルゴリズムにより、マスタ公開鍵Σ_j=1,..,LMPK_jと平文(ID_i, ω_i, M_i)（つまり、通信装置U_iの識別子ID_iと署名ω_iと元のメッセージM_iの組）と受信者の集合R-{U_i}から暗号文C_i←(Σ_j=1,..,LMPK_j, (ID_i, ω_i, M_i), (R-{U_i}))を生成する。

U_i∈{U₁, …, U_N}-Rの場合、通信装置U_iの暗号文生成部４１１は、ダミーメッセージである暗号文C_iを生成する。例えば、ダミーメッセージC_iは、受信者なしを意味するφを指定して適当なメッセージM_iをマスタ公開鍵Σ_j=1,..,LMPK_jにより暗号化した暗号文C_iとする。このようにすることで、後述するステップＳ４１５における暗号文の復号が必ず失敗することになる。

（２）ミックスネット
通信装置U_i∈{U₁, …, U_N}は、送信部４９８を用いて、ミックスネットサーバS₁にＳ４１１で生成した暗号文C_iを送信する。ミックスネットサーバS₁, …, S_Mは、ミックスネットサーバS₁が受信した暗号文(C₁, …, C_N)を順にシャッフルしていく。ミックスネットサーバS_Mは、公開用の掲示板に出力メッセージである暗号文(C₁, …, C_N)をシャッフルしたシャッフル済み暗号文(~C₁, …, ~C_N)を掲示する。ここで、(C₁, …, C_N)と(~C₁, …, ~C_N)は集合として等しい。つまり、{~C₁, …, ~C_N}={C₁, …, C_N}となる。例えば、ミックスネットサーバS_Mによる掲示は、公開用サーバ２００にシャッフル済み暗号文(~C₁, …, ~C_N)をアップロードすることでよい。これにより、通信装置U_i(1≦i≦N)はシャッフル済み暗号文(~C₁, …, ~C_N)を取得できるようになる。

（３）ダウンロードとチェック
ステップＳ４１４において、通信装置U_i∈{U₁, …, U_N}の暗号文取得部４１４は、掲示板からシャッフル済み暗号文(~C₁, …, ~C_N)をダウンロードすることにより、暗号文{C₁, …, C_N}を取得する。

ステップＳ４１５において、通信装置U_i∈{U₁, …, U_N}のメッセージ復元部４１５は、匿名IDベースブロードキャスト暗号の復号アルゴリズムにより、復号鍵Σ_j=1,..,Ldk_i ^(j)と暗号文C_k(1≦k≦N)から平文(ID_k, ω_k, M_k)←(Σ_j=1,..,Ldk_i ^(j), C_k)を生成する（ただし、U_i∈R-{U_k}の場合に限る）。暗号文C_kの復号が成功した場合、通信装置U_iのメッセージ復元部４１５は、IDベース署名の署名検証アルゴリズムにより、マスタ公開鍵Σ_j=1,..,LSMPK_jとメッセージ(ID_k, ω_k, M_k)から検証結果Ver_k←(Σ_j=1,..,LSMPK_j, ID_k, M_k, ω_k)を生成し、署名ω_kを検証する。署名ω_kの検証が成功した場合、通信装置U_iのメッセージ復元部４１５は、メッセージM_kを識別子ID_kの通信装置U_kから送信されたメッセージとみなす。その結果、通信装置U_i∈Rは、（自身が送信したメッセージM_iを含む）メッセージM₁, …, M_nを取得する。一方、通信装置U_i∈{U₁, …, U_N}-Rは、メッセージM₁, …, M_nを取得することはできない。

以上説明したように、通信装置U_iは、匿名IDベースブロードキャスト暗号の暗号化アルゴリズムにより、送信先の情報（受信者の集合R-{U_i}）を元のメッセージとともに暗号化しているため、公開鍵基盤を用いる必要はない。したがって、メタデータの一つである送信先の情報を秘匿することができる。また、各通信装置がミックスネットを介して暗号文を受信し、元のメッセージを復元するため、メタデータの一つである送信元の情報（送信者U_i）を秘匿することができる。つまり、メタデータを秘匿したうえで、複数のユーザがメッセージを共有することが可能となる。

＜セッション鍵生成＞
図１２を参照して、実施形態の鍵交換方法におけるセッション鍵生成の処理手続きを説明する。

通信装置の集合R={U_{i_1}, …, U_{i_n}}（ただし、{i₁, …, i_n}⊆{1, …, N}）の各通信装置の間で新しいセッションを開始し、セッション鍵を共有する。

先ほど同様、以下、簡単のため、集合R={U_{i_1}, …, U_{i_n}}={U₁, …, U_n}、通信装置U_{i_1}=U₁として説明する。このようにしても一般性を欠くことはない。

集合Rに属する各通信装置とセッション鍵を秘匿化したまま共有したいと考えた通信装置U₁を代表通信装置という。また、集合R-{U₁}の通信装置を一般通信装置という。

（１）ラウンド１：１回目のブロードキャスト
この手続きは、通信装置U_iが集合Rに含まれる場合、通信装置U_iが集合Rに含まれない場合の２つの場合に分けて実行される。

ステップＳ４２１において、U_i∈Rの場合、通信装置U_iの第一鍵生成部４２１は、~r_i∈_R{0, 1}^κ、~r'_i∈_RFS_к、~k_i∈_R{0, 1}^κ、~k'_i∈_RFS_к、~s_i∈_R{0, 1}^κ、~s'_i∈_RFS_кを生成し、r_i=tPRF(~r_i, ~r'_i, st_i, st'_i)、k_i=tPRF(~k_i, ~k'_i, st_i, st'_i)、s_i=tPRF(~s_i, ~s'_i, st_i, st'_i)を計算する。さらに、通信装置U_iの第一鍵生成部４２１は、R_i=g^r_i、c_i=g^k_ih^s_iを計算し、第一鍵(R_i, c_i)を生成する。

U_i∈{U₁, …, U_N}-Rの場合、通信装置U_iの第一鍵生成部４２１は、R_i, c_i∈_RGをランダムに選択し、第一鍵(R_i, c_i)を生成する。

ステップＳ４１０−１において、U_i∈Rの場合、通信装置U_iの第一匿名ブロードキャスト部４１０−１は、集合R-{U_i}を指定して第一鍵(R_i, c_i)を匿名ブロードキャストする。

U_i∈{U₁, …, U_N}-Rの場合、通信装置U_iの第一匿名ブロードキャスト部４１０−１は、受信者なしを意味するφを指定して第一鍵(R_i, c_i)を匿名ブロードキャストする。

（２）ラウンド２：２回目のブロードキャスト
この手続きは、通信装置U_iが集合R-{U₁}に含まれる場合、通信装置U_iがU₁である場合、通信装置U_iが集合Rに含まれない場合の３つの場合に分けて実行される。

ステップＳ４２３において、U_i∈R-{U₁}の場合、通信装置U_iは、集合R-{U_i}に属するすべての通信装置U_k(1≦k≦n, k≠i)から第一鍵(R_k, c_k)を受信すると、通信装置U_iの第二鍵生成部４２３は、sid=TCR(c₁, …, c_n)を計算する。なお、sidのことをセッションＩＤという。次に、通信装置U_iの第二鍵生成部４２３は、K_i ^(l)、K_i ^(r)、T_iを次式で計算し、T'_i∈_RZ_p ²をランダムに選択する。

つまり、T_iはK_i ^(l)とK_i ^(r)との排他的論理和である。

通信装置U_iの第二鍵生成部４２３は、IDベース署名の署名生成アルゴリズムにより、マスタ公開鍵Σ_j=1,..,LSMPK_jと署名鍵Σ_j=1,..,Lsk_i ^(j)とメッセージ(R, R_i, c_i, k_i, s_i, T_i, T'_i)（つまり、受信者の集合RとＳ４２１で生成したR_i, c_i, k_i, s_iと先ほど生成したT_i, T'_iとの組）からメッセージ(R, R_i, c_i, k_i, s_i, T_i, T'_i)に対する署名σ_i←(Σ_j=1,..,LSMPK_j, Σ_j=1,..,Lsk_i ^(j), (R, R_i, c_i, k_i, s_i, T_i, T'_i))を生成する。通信装置U_iの第二鍵生成部４２３は(k_i, s_i, T_i, T'_i, σ_i)を第二鍵として生成する。

U_i=U₁の場合、通信装置U₁は、集合R-{U₁}に属するすべての通信装置U_k(2≦k≦n)から第一鍵(R_k,c_k)を受信すると、通信装置U_iの第二鍵生成部４２３は、sid=TCR(c₁, …, c_n)を計算する。次に、通信装置U_iの第二鍵生成部４２３は、K₁ ^(l)、K₁ ^(r)、T₁、T'を次式で計算し、k"₁, s"₁∈_RZ_pをランダムに選択する。

ただし、||は連結演算子である。

通信装置U_iの第二鍵生成部４２３は、IDベース署名の署名生成アルゴリズムにより、マスタ公開鍵Σ_j=1,..,LSMPK_jと署名鍵Σ_j=1,..,Lsk₁ ^(j)とメッセージ(R, R₁, c₁, k"₁, s"₁, T₁, T')（つまり、受信者の集合RとＳ４２１で生成したR₁, c₁と先ほど生成したk"₁, s"₁, T₁, T'との組）からメッセージ(R, R₁, c₁, k"₁, s"₁, T₁, T')に対する署名σ₁←(Σ_j=1,..,LSMPK_j, Σ_j=1,..,Lsk₁ ^(j), (R, R₁, c₁, k"₁, s"₁, T₁, T'))を生成する。通信装置U_iの第二鍵生成部４２３は(k"₁, s"₁, T₁, T', σ₁)を第二鍵として生成する。

U_i∈{U₁, …, U_N}-Rの場合、通信装置U_iの第二鍵生成部４２３は、k_i, s_i∈_RZ_p、T_i, T'_i∈_RZ_p ²、署名空間Σの要素である署名σ_iをランダムに選択する。通信装置U_iの第二鍵生成部４２３は(k_i, s_i, T_i, T'_i, σ_i)を第二鍵として生成する。

ステップＳ４１０−２において、U_i∈R-{U₁}の場合、通信装置U_iの第二匿名ブロードキャスト部４１０−２は、集合R-{U_i}を指定して第二鍵(k_i, s_i, T_i, T'_i, σ_i)を匿名ブロードキャストする。

U_i=U₁の場合、通信装置U_iの第二匿名ブロードキャスト部４１０−２は、集合R-{U₁}を指定して第二鍵(k"₁, s"₁, T₁, T', σ₁)を匿名ブロードキャストする。

U_i∈{U₁, …, U_N}-Rの場合、通信装置U_iの第二匿名ブロードキャスト部４１０−２は、受信者なしを意味するφを指定して第二鍵(k_i, s_i, T_i, T'_i, σ_i)を匿名ブロードキャストする。

（３）セッション鍵生成
この手続きは、通信装置U_iが集合R-{U₁}に含まれる場合、通信装置U_iがU₁である場合、通信装置U_iが集合Rに含まれない場合の３つの場合に分けて実行される。

なお、通信装置U_iが集合Rに含まれない場合、空の処理を実行する。つまり、集合Rに含まれない通信装置U_iは、何も処理を行わない。

ステップＳ４２７において、U_i∈R-{U₁}の場合、通信装置U_iは、集合R-{U_i}に属するすべての通信装置U_k(1≦k≦n, k≠i)から第二鍵(k"₁, s"₁, T₁, T', σ₁)、第二鍵(k_k, s_k, T_k, T'_k, σ_k)(2≦k≦n, k≠i)を受信すると、通信装置U_iのセッション鍵生成部４２７は、IDベース署名の署名検証アルゴリズムにより、マスタ公開鍵Σ_j=1,..,LSMPK_jと識別子ID_kとメッセージ(R, R_k, c_k, k_k, s_k, T_k, T'_k)（つまり、受信者の集合RとＳ４２３で受信したR_k, c_kとＳ４２７開始時に受信したk_k, s_k, T_k, T'_kとの組）とＳ４２７開始時に受信した署名σ_kから検証結果Ver_k←(Σ_j=1,..,LSMPK_j, ID_k, (R, R_k, c_k, k_k, s_k, T_k, T'_k), σ_k)を生成し、署名σ_kを検証する。署名σ_kの検証が失敗であった場合には、通信装置U_iのセッション鍵生成部４２７は、処理を中止する。通信装置U_iのセッション鍵生成部４２７は、K₁ ^(l)、k₁||s₁を次式で計算し、1≦k≦nを満たすkに対してc_k=g^k_kh^s_kが成り立つか確認する。

1≦k≦nを満たすkの少なくとも１つに対して、c_k=g^k_kh^s_kが成り立たない場合、通信装置U_iのセッション鍵生成部４２７は、処理を中止する。通信装置U_iのセッション鍵生成部４２７は、セッション鍵SKを次式で計算する。

U_i=U₁の場合、通信装置U₁は、集合R-{U₁}に属するすべての通信装置U_k(2≦k≦n)から第二鍵(k_k, s_k, T_k, T'_k, σ_k)を受信すると、通信装置U₁のセッション鍵生成部４２７は、IDベース署名の署名検証アルゴリズムにより、マスタ公開鍵Σ_j=1,..,LSMPK_jと識別子ID_kとメッセージ(R, R_k, c_k, k_k, s_k, T_k, T'_k)（つまり、受信者の集合RとＳ４２３で受信したR_k, c_kとＳ４２７開始時に受信したk_k, s_k, T_k, T'_kとの組）とＳ４２７開始時に受信した署名σ_kから検証結果Ver_k←(Σ_j=1,..,LSMPK_j, ID_k, (R, R_k, c_k, k_k, s_k, T_k, T'_k), σ_k)を生成し、署名σ_kを検証する。署名σ_kの検証が失敗であった場合には、通信装置U₁のセッション鍵生成部４２７は、処理を中止する。また、通信装置U₁のセッション鍵生成部４２７は、1≦k≦nを満たすkに対してc_k=g^k_kh^s_kが成り立つか確認する。1≦k≦nを満たすkの少なくとも１つに対して、c_k=g^k_kh^s_kが成り立たない場合、通信装置U₁のセッション鍵生成部４２７は、処理を中止する。通信装置U₁のセッション鍵生成部４２７は、セッション鍵SKを次式で生成する。

U_i∈{U₁, …, U_N}-Rの場合、上述の通り、通信装置U_iのセッション鍵生成部４２７は、セッション鍵SKを生成しない。

上記のように構成することにより、この発明の鍵交換技術によれば、メタデータを秘匿したうえで、複数の通信装置でセッション鍵を共有することができる。

匿名ブロードキャストは、ミックスネットを用いることにより一定間隔でメッセージを交換可能な秘匿通信路を確立する。これを利用してセッション鍵生成手続きによる鍵交換を実現することにより、メタデータの秘匿化を実現する。さらに、共有したセッション鍵を用いて通信を行うことにより、秘匿通信を実現する。このようにして、鍵交換プロトコルからのメタデータの漏洩を防止することができ、メタデータを完全に秘匿することが可能となる。

当該鍵交換プロトコルを用いると、グローバル企業や衛星通信を利用するような企業に対して、例えば、TCP/IPにおける接続経路の匿名化を実現するTor(The Onion Router)のようなネットワークを提供し、通信におけるメタデータを含めた機密性を確保することが可能となる。

この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

［プログラム、記録媒体］
上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

Nを2以上の整数、Lを1以上の整数とし、
N台の通信装置U₁, …, U_Nのうち、通信装置の集合R={U₁, …, U_n}(2≦n≦N）に含まれる通信装置の間でメッセージM₁, …, M_nを共有する匿名ブロードキャスト方法であって、
ID_i(1≦i≦N)を通信装置U_iの識別子、MPK_j(1≦j≦L)を匿名IDベースブロードキャスト暗号のマスタ公開鍵、SMPK_j(1≦j≦L)をIDベース署名のマスタ公開鍵、dk_i ^(j) (1≦i≦N, 1≦j≦L)を匿名IDベースブロードキャスト暗号の復号鍵、sk_i ^(j)(1≦i≦N, 1≦j≦L)をIDベース署名の署名鍵とし、
i∈{1, …, n}について、通信装置U_iが、マスタ公開鍵Σ_j=1,..,LSMPK_jと署名鍵Σ_j=1,..,Lsk_i ^(j)と前記識別子ID_iと前記メッセージM_iの組であるメッセージ(ID_i, M_i)から、署名ω_i←(Σ_j=1,..,LSMPK_j, Σ_j=1,..,Lsk_i ^(j), (ID_i, M_i))を生成し、マスタ公開鍵Σ_j=1,..,LMPK_jと前記識別子ID_iと前記署名ω_iと前記メッセージM_iの組である平文(ID_i, ω_i, M_i)と集合R-{U_i}から、暗号文C_i←(Σ_j=1,..,LMPK_j, (ID_i, ω_i, M_i), (R-{U_i}))を生成し、
i∈{n+1, …, N}について、通信装置U_iが、ダミーメッセージである暗号文C_iを生成する暗号文生成ステップと、
i∈{1, …, N}について、通信装置U_iが、ミックスネットがシャッフルした暗号文{C₁, …, C_N}を取得する暗号文取得ステップと、
i∈{1, …, N}について、通信装置U_iが、復号鍵Σ_j=1,..,Ldk_i ^(j)と前記暗号文C_k(1≦k≦N)からメッセージ(ID_k, ω_k, M_k)←(Σ_j=1,..,Ldk_i ^(j), C_k)を生成し、U_i∈R-{U_k}である場合、前記マスタ公開鍵Σ_j=1,..,LSMPK_jと前記メッセージ(ID_k, ω_k, M_k)から検証結果Ver_k←(Σ_j=1,..,LSMPK_j, ID_k, M_k, ω_k)を生成し、署名ω_kの検証が成功した場合、前記メッセージM_kを前記識別子ID_kの通信装置U_kから送信されたメッセージとみなし、通信装置U_i∈Rが、前記メッセージM₁, …, M_nを取得するメッセージ復元ステップと、
を含む匿名ブロードキャスト方法。
Nを2以上の整数、Lを1以上の整数とし、
N台の通信装置U₁, …, U_Nのうち、通信装置の集合R={U₁, …, U_n}(2≦n≦N）に含まれる通信装置の間でセッション鍵SKを共有する鍵交換方法であって、
ID_i(1≦i≦N)を通信装置U_iの識別子、MPK_j(1≦j≦L)を匿名IDベースブロードキャスト暗号のマスタ公開鍵、SMPK_j(1≦j≦L)をIDベース署名のマスタ公開鍵、dk_i ^(j) (1≦i≦N, 1≦j≦L)を匿名IDベースブロードキャスト暗号の復号鍵、sk_i ^(j)(1≦i≦N, 1≦j≦L)をIDベース署名の署名鍵、Gをg,hを生成元とする素数位数pの有限巡回群、||を連結演算子とし、
通信装置U_i(1≦i≦N)の記録部に、秘密ストリングst_i, st'_iが記録されており、
i∈{1, …, n}について、通信装置U_iが、ねじれ擬似ランダム関数により前記秘密ストリングst_i, st'_iを用いてr_i, k_i, s_iを計算し、R_i=g^r_i、c_i=g^k_ih^s_iを計算することにより、第一鍵(R_i, c_i)を生成し、
i∈{n+1, …, N}について、通信装置U_iが、R_i, c_i∈_RGをランダムに選択し、第一鍵(R_i, c_i)を生成する第一鍵生成ステップと、
i∈{1, …, n}について、通信装置U_iが、集合R-{U_i}を指定して前記第一鍵(R_i, c_i)を匿名ブロードキャストし、
i∈{n+1, …, N}について、通信装置U_iが、受信者なしを意味するφを指定して前記第一鍵(R_i, c_i)を匿名ブロードキャストする第一匿名ブロードキャストステップと、
i∈{2, …, n}について、通信装置U_iが、ターゲット衝突困難ハッシュ関数により、前記c_k(1≦k≦n)を用いてセッションＩＤ sidを計算し、擬似ランダム関数により(sid, R_i-1 ^r_i)を用いてK_i ^(l)を計算し、擬似ランダム関数により(sid, R_i+1 ^r_i)を用いてK_i ^(r)を計算し、K_i ^(l)とK_i ^(r)との排他的論理和によりT_iを計算し、T'_i∈_RZ_p ²をランダムに選択し、マスタ公開鍵Σ_j=1,..,LSMPK_jと署名鍵Σ_j=1,..,Lsk_i ^(j)とメッセージ(R, R_i, c_i, k_i, s_i, T_i, T'_i)から署名σ_i←(Σ_j=1,..,LSMPK_j, Σ_j=1,..,Lsk_i ^(j), (R, R_i, c_i, k_i, s_i, T_i, T'_i))を生成し、第二鍵(k_i, s_i, T_i, T'_i, σ_i)を生成し、
i=1について、通信装置U₁が、ターゲット衝突困難ハッシュ関数により、前記c_k(1≦k≦n)からセッションＩＤ sidを計算し、擬似ランダム関数により(sid, R_n ^r_1)を用いてK₁ ^(l)を計算し、擬似ランダム関数により(sid, R₂ ^r_1)を用いてK₁ ^(r)を計算し、K₁ ^(l)とK₁ ^(r)との排他的論理和によりT₁を計算し、K₁ ^(l)とk₁||s₁との排他的論理和によりT'を計算し、k"₁, s"₁∈_RZ_pをランダムに選択し、マスタ公開鍵Σ_j=1,..,LSMPK_jと署名鍵Σ_j=1,..,Lsk₁ ^(j)とメッセージ(R, R₁, c₁, k"₁, s"₁, T₁, T')から署名σ₁←(Σ_j=1,..,LSMPK_j, Σ_j=1,..,Lsk₁ ^(j), (R, R₁, c₁, k"₁, s"₁, T₁, T'))を生成し、第二鍵(k"₁, s"₁, T₁, T', σ₁)を生成し、
i∈{n+1, …, N}について、通信装置U_iが、k_i, s_i∈_RZ_p、T_i, T'_i∈_RZ_p ²、σ_i∈_RΣ（ただし、Σは署名空間）をランダムに選択し、第二鍵(k_i, s_i, T_i, T'_i, σ_i)を生成する第二鍵生成ステップと、
i∈{2, …, n}について、通信装置U_iが、集合R-{U_i}を指定して前記第二鍵(k_i, s_i, T_i, T'_i, σ_i)を匿名ブロードキャストし、
i=1について、通信装置U₁が、集合R-{U₁}を指定して前記第二鍵(k"₁, s"₁, T₁, T', σ₁)を匿名ブロードキャストし、
i∈{n+1, …, N}について、通信装置U_iが、前記φを指定して前記第二鍵(k_i, s_i, T_i, T'_i, σ_i)を匿名ブロードキャストする第二匿名ブロードキャストステップと、
i∈{2, …, n}について、通信装置U_iが、前記第二鍵(k"₁, s"₁, T₁, T', σ₁)と前記第二鍵(k_k, s_k, T_k, T'_k, σ_k)(2≦k≦n, k≠i)を取得すると、前記マスタ公開鍵Σ_j=1,..,LSMPK_jとメッセージ(R, R_k, c_k, k_k, s_k, T_k, T'_k)と前記署名σ_kから、検証結果Ver_k←(Σ_j=1,..,LSMPK_j, ID_k, (R, R_k, c_k, k_k, s_k, T_k, T'_k), σ_k)を生成し、署名σ_kの検証が成功であった場合は、K_i ^(l)と、T_j(1≦j≦i-1)の排他的論理和との排他的論理和によりK₁ ^(l)を計算し、T'とK₁ ^(l)との排他的論理和によりk₁||s₁を計算し、1≦k≦nを満たすkに対してc_k=g^k_kh^s_kが成り立つ場合は、擬似ランダム関数により、前記sid、前記k_i(1≦i≦n)の排他的論理和を用いて前記セッション鍵SKを生成し、
i=1について、通信装置U₁が、前記第二鍵(k_k, s_k, T_k, T'_k, σ_k)(2≦k≦n)を取得すると、前記マスタ公開鍵Σ_j=1,..,LSMPK_jとメッセージ(R, R_k, c_k, k_k, s_k, T_k, T'_k)と前記署名σ_kから、検証結果Ver_k←(Σ_j=1,..,LSMPK_j, ID_k, (R, R_k, c_k, k_k, s_k, T_k, T'_k), σ_k)を生成し、署名σ_kの検証が成功であり、かつ、1≦k≦nを満たすkに対してc_k=g^k_kh^s_kが成り立つ場合は、擬似ランダム関数により、前記sid、前記k_i(1≦i≦n)の排他的論理和を用いて前記セッション鍵SKを生成するセッション鍵生成ステップと、
を含む鍵交換方法。
Nを2以上の整数、Lを1以上の整数とし、
N台の通信装置U₁, …, U_Nのうち、通信装置の集合R={U₁, …, U_n}(2≦n≦N）に含まれる通信装置の間でメッセージM₁, …, M_nを共有する匿名ブロードキャストシステムであって、
ID_i(1≦i≦N)を通信装置U_iの識別子、MPK_j(1≦j≦L)を匿名IDベースブロードキャスト暗号のマスタ公開鍵、SMPK_j(1≦j≦L)をIDベース署名のマスタ公開鍵、dk_i ^(j) (1≦i≦N, 1≦j≦L)を匿名IDベースブロードキャスト暗号の復号鍵、sk_i ^(j)(1≦i≦N, 1≦j≦L)をIDベース署名の署名鍵とし、
通信装置U_i(1≦i≦N)は、匿名ブロードキャスト部を含み、
前記匿名ブロードキャスト部は、
i∈{1, …, n}について、マスタ公開鍵Σ_j=1,..,LSMPK_jと署名鍵Σ_j=1,..,Lsk_i ^(j)と前記識別子ID_iと前記メッセージM_iの組であるメッセージ(ID_i, M_i)から、署名ω_i←(Σ_j=1,..,LSMPK_j, Σ_j=1,..,Lsk_i ^(j), (ID_i, M_i))を生成し、マスタ公開鍵Σ_j=1,..,LMPK_jと前記識別子ID_iと前記署名ω_iと前記メッセージM_iの組である平文(ID_i, ω_i, M_i)と集合R-{U_i}から、暗号文C_i←(Σ_j=1,..,LMPK_j, (ID_i, ω_i, M_i), (R-{U_i}))を生成し、
i∈{n+1, …, N}について、ダミーメッセージである暗号文C_iを生成する暗号文生成部と、
ミックスネットがシャッフルした暗号文{C₁, …, C_N}を取得する暗号文取得部と、
復号鍵Σ_j=1,..,Ldk_i ^(j)と前記暗号文C_k(1≦k≦N)からメッセージ(ID_k, ω_k, M_k)←(Σ_j=1,..,Ldk_i ^(j), C_k)を生成し、
i∈{1, …, n}（ただし、i≠k）について、前記マスタ公開鍵Σ_j=1,..,LSMPK_jと前記メッセージ(ID_k, ω_k, M_k)から検証結果Ver_k←(Σ_j=1,..,LSMPK_j, ID_k, M_k, ω_k)を生成し、署名ω_kの検証が成功した場合、前記メッセージM_kを前記識別子ID_kの通信装置U_kから送信されたメッセージとみなし、
i∈{1, …, n}について、前記メッセージM₁, …, M_nを取得するメッセージ復元部と、
を含む匿名ブロードキャストシステム。
Nを2以上の整数、Lを1以上の整数とし、
N台の通信装置U₁, …, U_Nのうち、通信装置の集合R={U₁, …, U_n}(2≦n≦N）に含まれる通信装置の間でセッション鍵SKを共有する鍵交換システムであって、
ID_i(1≦i≦N)を通信装置U_iの識別子、MPK_j(1≦j≦L)を匿名IDベースブロードキャスト暗号のマスタ公開鍵、SMPK_j(1≦j≦L)をIDベース署名のマスタ公開鍵、dk_i ^(j) (1≦i≦N, 1≦j≦L)を匿名IDベースブロードキャスト暗号の復号鍵、sk_i ^(j)(1≦i≦N, 1≦j≦L)をIDベース署名の署名鍵、Gをg,hを生成元とする素数位数pの有限巡回群、||を連結演算子とし、
通信装置U_i(1≦i≦N)は、
秘密ストリングst_i, st'_iを記録する記録部と、
i∈{1, …, n}について、ねじれ擬似ランダム関数により前記秘密ストリングst_i, st'_iを用いてr_i, k_i, s_iを計算し、R_i=g^r_i、c_i=g^k_ih^s_iを計算することにより、第一鍵(R_i, c_i)を生成し、
i∈{n+1, …, N}について、R_i, c_i∈_RGをランダムに選択し、第一鍵(R_i, c_i)を生成する第一鍵生成部と、
i∈{1, …, n}について、集合R-{U_i}を指定して前記第一鍵(R_i, c_i)を匿名ブロードキャストし、
i∈{n+1, …, N}について、受信者なしを意味するφを指定して前記第一鍵(R_i, c_i)を匿名ブロードキャストする第一匿名ブロードキャスト部と、
i∈{2, …, n}について、ターゲット衝突困難ハッシュ関数により、前記c_k(1≦k≦n)を用いてセッションＩＤ sidを計算し、擬似ランダム関数により(sid, R_i-1 ^r_i)を用いてK_i ^(l)を計算し、擬似ランダム関数により(sid, R_i+1 ^r_i)を用いてK_i ^(r)を計算し、K_i ^(l)とK_i ^(r)との排他的論理和によりT_iを計算し、T'_i∈_RZ_p ²をランダムに選択し、マスタ公開鍵Σ_j=1,..,LSMPK_jと署名鍵Σ_j=1,..,Lsk_i ^(j)とメッセージ(R, R_i, c_i, k_i, s_i, T_i, T'_i)から署名σ_i←(Σ_j=1,..,LSMPK_j, Σ_j=1,..,Lsk_i ^(j), (R, R_i, c_i, k_i, s_i, T_i, T'_i))を生成し、第二鍵(k_i, s_i, T_i, T'_i, σ_i)を生成し、
i=1について、ターゲット衝突困難ハッシュ関数により、前記c_k(1≦k≦n)からセッションＩＤ sidを計算し、擬似ランダム関数により(sid, R_n ^r_1)を用いてK₁ ^(l)を計算し、擬似ランダム関数により(sid, R₂ ^r_1)を用いてK₁ ^(r)を計算し、K₁ ^(l)とK₁ ^(r)との排他的論理和によりT₁を計算し、K₁ ^(l)とk₁||s₁との排他的論理和によりT'を計算し、k"₁, s"₁∈_RZ_pをランダムに選択し、マスタ公開鍵Σ_j=1,..,LSMPK_jと署名鍵Σ_j=1,..,Lsk₁ ^(j)とメッセージ(R, R₁, c₁, k"₁, s"₁, T₁, T')から署名σ₁←(Σ_j=1,..,LSMPK_j, Σ_j=1,..,Lsk₁ ^(j), (R, R₁, c₁, k"₁, s"₁, T₁, T'))を生成し、第二鍵(k"₁, s"₁, T₁, T', σ₁)を生成し、
i∈{n+1, …, N}について、k_i, s_i∈_RZ_p、T_i, T'_i∈_RZ_p ²、σ_i∈_RΣ（ただし、Σは署名空間）をランダムに選択し、第二鍵(k_i, s_i, T_i, T'_i, σ_i)を生成する第二鍵生成部と、
i∈{2, …, n}について、集合R-{U_i}を指定して前記第二鍵(k_i, s_i, T_i, T'_i, σ_i)を匿名ブロードキャストし、
i=1について、集合R-{U₁}を指定して前記第二鍵(k"₁, s"₁, T₁, T', σ₁)を匿名ブロードキャストし、
i∈{n+1, …, N}について、前記φを指定して前記第二鍵(k_i, s_i, T_i, T'_i, σ_i)を匿名ブロードキャストする第二匿名ブロードキャスト部と、
i∈{2, …, n}について、前記第二鍵(k"₁, s"₁, T₁, T', σ₁)と前記第二鍵(k_k, s_k, T_k, T'_k, σ_k)(2≦k≦n, k≠i)を取得すると、前記マスタ公開鍵Σ_j=1,..,LSMPK_jとメッセージ(R, R_k, c_k, k_k, s_k, T_k, T'_k)と前記署名σ_kから、検証結果Ver_k←(Σ_j=1,..,LSMPK_j, ID_k, (R, R_k, c_k, k_k, s_k, T_k, T'_k), σ_k)を生成し、署名σ_kの検証が成功であった場合は、K_i ^(l)と、T_j(1≦j≦i-1)の排他的論理和との排他的論理和によりK₁ ^(l)を計算し、T'とK₁ ^(l)との排他的論理和によりk₁||s₁を計算し、1≦k≦nを満たすkに対してc_k=g^k_kh^s_kが成り立つ場合は、擬似ランダム関数により、前記sid、前記k_i(1≦i≦n)の排他的論理和を用いて前記セッション鍵SKを生成し、
i=1について、前記第二鍵(k_k, s_k, T_k, T'_k, σ_k)(2≦k≦n)を取得すると、前記マスタ公開鍵Σ_j=1,..,LSMPK_jとメッセージ(R, R_k, c_k, k_k, s_k, T_k, T'_k)と前記署名σ_kから、検証結果Ver_k←(Σ_j=1,..,LSMPK_j, ID_k, (R, R_k, c_k, k_k, s_k, T_k, T'_k), σ_k)を生成し、署名σ_kの検証が成功であり、かつ、1≦k≦nを満たすkに対してc_k=g^k_kh^s_kが成り立つ場合は、擬似ランダム関数により、前記sid、前記k_i(1≦i≦n)の排他的論理和を用いて前記セッション鍵SKを生成するセッション鍵生成部と、
を含む鍵交換システム。
請求項３に記載の匿名ブロードキャストシステムまたは請求項４に記載の鍵交換システムを構成する通信装置。
請求項３に記載の匿名ブロードキャストシステムまたは請求項４に記載の鍵交換システムを構成する通信装置としてコンピュータを機能させるためのプログラム。