JP2980320B2 - 暗号文による通信方式における暗号鍵共有方式 - Google Patents
暗号文による通信方式における暗号鍵共有方式Info
- Publication number
- JP2980320B2 JP2980320B2 JP61251896A JP25189686A JP2980320B2 JP 2980320 B2 JP2980320 B2 JP 2980320B2 JP 61251896 A JP61251896 A JP 61251896A JP 25189686 A JP25189686 A JP 25189686A JP 2980320 B2 JP2980320 B2 JP 2980320B2
- Authority
- JP
- Japan
- Prior art keywords
- entity
- algorithm
- center
- secret
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Description
【発明の詳細な説明】
〔産業上の利用分野〕
本発明は、通信におけるメッセージの機密保持、認
証、及び通信相手の認証等に必要不可欠である暗号文に
よる通信において、メッセージの通信に先だって、通信
を行うエンティティ(暗号による通信を行う通信主体エ
ンティティであって、加入者用通信端末、通信装置、ソ
フトウェアを適用する計算装置、等の通信主体エンティ
ティ)の間で通信のための暗号鍵を共有する方式に関す
るものである。 〔従来の技術〕 暗号文による通信で達成されるセキュリティは、通信
の当事者であるエンティティだけが同一の暗号鍵をも
ち、当事者以外の通信端末エンティティがその暗号鍵を
有さないことに強く依存するので、安全で効率の良い暗
号鍵共有方式が望まれており、種々の従来技術が提案さ
れている。これについては今井秀樹、松下勉「暗号技
術」、テレビジョン学会誌 Vol.39 No.12,pp1140−114
7,1985年12月を参照することができる。 従来、暗号鍵の共有方式としては大別して次の2種の
方式が考察されている。これについては、後記の文献
〔2〕,〔3〕,〔4〕,〔5〕を参照されたい。 (i)各エンティティが、想定されるすべての通信相手
と、他の暗号的手段もしくは物理的手法により、個別に
暗号鍵を共有する方式。 (ii)各エンティティが、自分の秘密情報に基づき公開
情報を作成し、これを読み出しは自由であるが書き込み
や消去は厳重に管理された公開ファイルに登録し、通信
の際に、自分の秘密情報と相手の公開情報から共有すべ
き暗号鍵を計算して求める方式。 〔発明が解決しようとする課題〕 前記の(i)の方式は、想定される通信相手の数が多
数であるときには多大な手間がかかり、不特定多数との
暗号通信には不向きであるという欠点を有する。 又、(ii)の方式では、通信の際に、必要に応じて公
開ファイルを参照すれば、どのエンティティとでも暗号
鍵の共有が行えるので、不特定多数相手の暗号通信にも
適用可能であるが、公開ファイル又はそれに相当する、
公開情報の管理機構が必要である。 更に、各エンティティが相手の公開情報を参照するた
めの手間も無視できない。 本発明の目的は、上記各方式の欠点を解決し、通信相
手の識別子(名前、住所等)を用いるだけで、公開ファ
イルなどは参照することなく、暗号鍵の共有が簡単な手
続きで効率よく安全に行われつつ、暗号文による通信が
適切に行われることにある。 〔課題を解決するための手段〕 上記の目的を達成するため、本発明による方式におい
ては、複数のセンタ(管理設備)の存在のもとで、通信
を行うエンティティの識別子をセンタだけが知っている
センタアルゴリズムにより変換した秘密アルゴリズムを
各エンティティに配布することにより、暗号文による通
信方式における暗号鍵共有方式を実現しようとする。 本発明においては、暗号文による通信における暗号鍵
共有方式であって、通信を行う手段を有する複数のエン
ティティおよび複数のセンタにより構成されるネットワ
ークが用いられ、各センタは、 線形スキームにもとづきアルゴリズムを作成し各セン
タにのみ秘密に保持させるセンタアルゴリズム作成手
段、 各センサ毎に、該センタアルゴリズムにエンティティ
に固有で公開され半固定的に用いられるエンティティ識
別子を施しエンティティ専用の秘密アルゴリズムを作成
し各エンティティに事前に配送する秘密アルゴリズム配
送手段、 各センタで作成された該エンティティ専用の秘密アル
ゴリズムを組合わせて組合わせ秘密アルゴリズムを作成
する手段、および、 該組合わせ秘密アルゴリズムを記憶する記憶手段、を
具備し、 各エンティティについて、通信を行うすべての相手の
識別子が自己の秘密アルゴリズム実行手段へ入力され、
識別子の入力に基づいて該組合わせ秘密アルゴリズムが
実行され、通信を行う複数のエンティティの秘密アルゴ
リズム実行手段において、同一の暗号鍵が発生させられ
るようになっている、暗号文による通信における暗号鍵
共有方式、が提供される。 尚、エンティティとしては、装置、機械、プログラム
関連装置、あるいはそれらが構成要素となったシステム
など、多様なものがある。本発明による暗号鍵共有方式
は、CPUチップとROMチップの間の通信、ICカード同士の
通信、ICカードと端末と銀行センタの間の通信、移動体
通信機間の通信、パーソナル無線機間の通信、電話器間
の通信、ホスト計算機と端末とデータベース関連装置の
間の通信、並列計算機内のプロセス関連装置同士の通
信、CATV放送局と加入者端末の間の通信、衛星放送、等
に適用されることが可能である。 又、アルゴリズムとは、計算の方法を、定められた言
語で記述したものを意味し、通常の意味での計算機プロ
グラム、及びデータ、論理回路、グラフ、チューリング
機械(Turing machine)、ペトリネット、LSIパターン
等は、すべて本発明におけるアルゴリズムの一種であ
る。 本発明の基礎となる事項をより詳細に下記に説明す
る。 ネットワークにおいて不特定多数のエンティティ通信
主体と暗号通信を行うことは、特に大規模ネットワーク
の場合、鍵の配送(共有)の問題のため、共有鍵方式に
おいても公開鍵方式においても、従来、煩雑な手間が必
要であった。又、通常の郵便における手紙のような、暗
号による不特定多数相手のメイル通信を手軽に実現する
ことも難しかった。 最近、本発明者らはこれらの暗号通信を簡便に実現可
能な鍵共有方式:キイ プレディストリビューション
システム(Key Predistribution System,KPS)を提案
し、その詳細について出題した(特願昭61−178652、特
公平5−48980)。 本願はこれらに続くものであり、先に提案した線形代
数に基づくキイ プレディストリビューション システ
ムをより拡充し、その安全性をより高めたものである。 キイ プレディストリビューション システム(KP
S)について述べる。 本発明のKPSは、(信頼における)センサ(sを正整
数とし、センタ1、センタ2、…、センタsと表す)
と、通信を行う多数のエンティティ(n正整数とし、エ
ンティティ1、エンティティ2、…、エンティティnと
表す)からなるネットワークにおいて、ネットワーク内
の通信を行う複数のエンティティが、以下のようにして
同一鍵を共有する方式である。 手順(1) センタアルゴリズムの作成 手順(2) 各エンティティ用の秘密アルゴリズムの作
成・配布 手順(3) 各エンティティによる鍵共有 手順(1)は、システムの立上げ時又は更新時だけに
必要な操作であり、各センタ(例えばセンタp)が、特
別なアルゴリズム、すなわちセンタpだけが秘密に保持
するセンタアルゴリズムGpを生成することを指す。ただ
し、Gpを生成する方法については、すべてのエンティテ
ィもしくはエンティティの代表の間で合意を得ておくも
のとする。 手順(2)は、各エンティティのネットワークへの加
入時にセンタとエンティティにより行われる操作であ
る。各エンティティ(例えばエンティティi)に固有で
公開され半固定的に用いられる各エンティティの識別子
(名前、住所等のアイデンティティ)yiに、各センタ
(センタpとする)がGpを施して各エンティティ専用の
アルゴリズムXpi=Gp(yi)を作成する。エンティティ
i用のアルゴリズムX1i,X2i,…,Xsiを個別に、もしくは
適当な方法により結合して、エンティティiだけに(例
えばICカード等に入れて)配布する。エンティティiは
受けとったアルゴリズムの組もしくはそれらの結合され
たものを秘密に保管する。これをエンティティiの組合
わせ秘密アルゴリズムといいXiで表す。 手順(3)は、手順(1)、手順(2)の準備が行わ
れた後に、暗号鍵を共有したいエンティティにより行わ
れる操作である。各々のエンティティは、他のエンティ
ティの識別子を自己の組合わせ秘密アルゴリズムに入力
することにより、同一の暗号鍵を共有する。例えばエン
ティティAとエンティティBが暗号鍵kを共有したい場
合は、それぞれ次のようにkを計算する: k=XA (2)(yB),k=XB (2)(yA) 又、エンティティA、エンティティB、エンティティ
Cが暗号鍵を共有したい場合は、 =XA (3)(yB,yC),=XB (3)(yC,yA), =XC (3)(yA,yB) のようにしてそれぞれがを計算する。ここにXi
(e)は、e個のエンティティで鍵共有を行う時に用いる
エンティティiの組合わせ秘密アルゴリズムを表すもの
とした。 次に、KPS一般の安全性について述べる。 KPSにおいては、秘密アルゴリズムの配布時に、秘密
アルゴリズムを渡すべきエンティティを正しく認証(同
定)する必要があるが、エンティティ認証(本人確認)
がきちんと行われていることがすべての暗号的手段の大
前提であるから、エンティティ認証の問題はKPSに特有
の問題ではない。 KPSにより各エンティティが共有する鍵は各エンティ
ティに固有のものであり、センタアルゴリズムを更新し
ない限り、不変である。したがって、KPSは、いわゆる
マスタ鍵を共有するための方法であるといえる。マスタ
鍵が当事者以外に漏れた場合でも、新しいマスタ鍵に代
えることはできない。そこで、適当な期間の後にセンタ
アルゴリズムの更新をすることが望ましい。しかし、例
えば2エンティティの鍵共有のために、3エンティティ
に対する鍵共有用の秘密アルゴリズムXi(3)を用いれ
ば、適当な乱数を交換することにより2エンティティの
間で毎回異なる鍵を共有することができる。例えば、エ
ンティティAとエンティティBがどのエンティティの識
別子とも異なる乱数rを用いて、 のように鍵を共有できる。 さて、KPSにおいてはセンタアルゴリズムに関する情
報を秘密アルゴリズムXiという形で各エンティティに分
散しているわけであるから、単独のエンティティ又は協
力した複数のエンティティにより適当な計算量を費やせ
ばセンタアルゴリズム又は協力したエンティティ以外の
エンティティ用秘密アルゴリズムXt又はその一部を必ず
求めることができる。 秘密アルゴリズムを、物理的に保護され計算能力を有
する何らかの装置(例えばICカード)の中に埋め込み、
各エンティティが、自分の秘密アルゴリズムを知ること
なしに実行できるような工夫を施せば、センタアルゴリ
ズムや他のエンティティの秘密アルゴリズムXt又はその
一部が暴かれることはない。したがって、物理的セキュ
リティが完全に保たれるような環境においては、いかな
るKPSも安全であるといえよう。しかし、実際には完全
な物理的セキュリティを期待することは難しい(現在の
ICカード等の物理的セキュリティは完全とはいえない)
ので、多くのエンティティが結託(協力)しなければセ
ンタアルゴリズム又はXt又はその一部を決定するために
充分な情報を得られないか、又は、充分な情報が得られ
てもセンタアルゴリズム又はXt又はその一部を求めるた
めの計算量が多大となるような工夫がKPSには要求され
ると考えられる。前者はいわゆる無条件的な安全保障
(unconditional security)に、後者は計算的な安全保
障(computational security)に対応すると言える。 無条件的な安全保障の証明は一般に難しくないが、計
算的な安全保障の証明は現在のところ、素因子分解等の
適当な問題を解く難しさを仮定せずにはうまく行えな
い。 項目3では、ある程度の数のエンティティが結託しな
い限り安全であるという意味で無条件的に安全保障され
たKPSをベクトルの1次独立性を利用して構成する。 〔実施例〕 本発明の一実施例としての暗号文による通信方式にお
ける暗号鍵共有方式が以下に説明される。 第1図にKPSの適用例が示される。第1図のシステム
には秘密アルゴリズムXA,XB、暗号化手段E、復号化手
段Dが設けられる。相手の識別子yB、自分の識別子yAが
適用される。第1図のように、KPSを用いると、通常の
郵便のようにメイル通信、すなわち一方向の暗号通信が
簡単に実現できる。宛て先が2つ以上の場合でも、いわ
ゆる「同報性の認証」を行いつつメイル通信ができる。
なお、電話のような対話通信にも適用できることはいう
までもない。 線形代数に基づくKPSの一方式について述べる。 ここでは、線形代数を利用してKPSを構成する。な
お、この方式は、センタが1つの場合は、すでに先行の
出願で示してある。 方式の定義について述べる。 以下に定義する方式を線形スキームと名付ける。 qを素数べき、m,s,hを正整数とする。Q=GF(q)
とおき、Q上のm次元横ベクトル全体のなすベクトル空
間をQmで表す。 各エンティティ(例えばエンティティi)の識別子yi
は集合Iの元であるとし、i≠jならばyi≠yjであるも
のとする。 又、Rを、IからQmへの単射写像を表現するアルゴリ
ズムとする。 各センタ(センタp,p=1,2,…,s)は、h個のQ上m
次対称行列Gp1,Gp2,…,Cphをランダムかつ一様に他エン
ティティとは独立に選び、センタアルゴリズムGpを生成
する。Gpは、各yi∈Iに対してアルゴリズム Xpi(ξ)=xpiR(ξ)T を作成するアルゴリズムであると定める。ただし、xpi
は、 により定められるQ上のh×m行列であり、Tは行列の
転置を意味するものとする。 アルゴリズムXpiにもとづき、エンティティi専用の
秘密アルゴリズムXiを次のようにして作る: なお、ICカード等を用いれば秘密アルゴリズムXiを自
動的に得ることも可能である。例えば、まず、エンティ
ティiがICカードを入手し、書き込みは誰でもできるが
読み出しはエンティティiにしかできないように初期化
してセンタ側に渡し、各センタにxpiを入力してもらい
次々とICカード内部で総和をとり、最終的にxiが作られ
た段階でICカードをエンティティiに戻してもらう、と
いう方法が考えられる。 このようにして、エンティティiは秘密アルゴリズム
Xiを持つ。 エンティティiとエンティティjが暗号鍵を共有した
い場合、エンティティiはXi(yj)を、エンティティj
はXj(yi)を、それぞれ鍵として計算する。Xi(yj)と
Xj(yi)は共にQ上のh次元縦ベクトルであり、両者が
一致することは、Xi,Xjの定義から容易に導ける。 以上は2つのエンティティの場合であるが、一般にe
側のエンティティ(e≧2)のグループの場合には、前
記のGpi、すなわち双線形写像のかわりに、e重線形写
像を用いれば同様な方式が実現できる。 安全性について述べる。 次に、線形スキームの安全性について考える。この方
式への攻撃としては、センタによる攻撃とエンティティ
による攻撃の両方を考える必要がある。 この方式を完全に破ることは、 なる行列G1,G2,…,Ghを並べた行列 G=〔G1,G2,…,Gh〕 を決定することと等価である。 よって、すべてのセンタが結託しない限り、たとえい
くつかのセンタが結託したとしてもGを全く決定できな
い。したがって、暗号鍵も全く決定できない。 又、少なくともrankG個のエンティティが結託しない
限りGを完全には決定できない〔証明省略〕。rankGは
m又はmに近い値をとる確率が大きい。 しかし、rankG個未満のエンティティの結託によって
も、結託エンティティ数が増えれば増えるだけ、Gに関
する情報、したがって、各エンティティの秘密アルゴリ
ズムに関する情報をより多く入手できることは確かであ
る。そこで、結託したエンティティが、他のエンティテ
ィ間の暗号鍵をどの程度決定できるかを考察すると、次
の結論を得る。 システムに加入しているすべてのエンティティの集合
をEとおく。このとき、 「Eの部分集合EBに属すすべてのエンティティが結託し
ても、E−EBに属す任意の2つのエンティティ間で共有
される暗号鍵を全く決定できない」 ためには、 「各i∈E−EBについてベクトルR(yi)がベクトルの
集合{R(yi)|j∈EB}に1次独立であること」 が必要十分である〔証明省略〕。 したがって、エンティティの結託に対する安全性の問
題は、ベクトルの集合 U={R(yi)|i∈E} における1次独立性の問題に移して論じることが可能と
なる。特に、線形符号の理論と密接な結びつきが生じ
る。 実際、Uに属すすべてのベクトルの転置ベクトルを横
に並べてできる行列をパリティ検査行列とする、符号長
n、検査記号数mの線形符号をCとすると、 「Cに(Hamming)重みwの符号語が存在すること」 と、 「(w−1)エンティティの結託により他のエンティテ
ィ間の鍵が決定できる場合が存在すること」 は同値であり、特に、 「Cの最小(Hamming)重み〔最小距離〕がb+2以上
であること」 は、 「任意のbエンティティの結託によっても他のエンティ
ティ間の任意の鍵を全く決定できない」 ための十分条件である。 したがって、代数的/代数幾何学的符号理論に基づい
てアルゴリズムRを選ぶことができる。この場合、yiを
適当なベクトルとみなすとR(yi)はyiの成分に関する
単項式を並べたものになる。よって、アルゴリズムXiは
項式(タプル)等となる。対応する線形符号としては、
(e)−GRM符号、BCH符号、RS符号、Goppa符号等(〔1
0〕)を用いることになる。しかし、これらのRの評価
(計算)をすることは、mが大きい場合、あまり効率よ
く行えない。 ところが、符号理論におけるGilbert−Varsharmovの
定理(〔10〕)をKPSの言葉に翻訳すると、 「素数べきq、正整数m及びbが与えられたとき、 ただし、 ψ(x)=xlogq(q−1)−xlogq x−(1−x)logq(1−x) を満たす、許容結託エンティティ数b以上、秘密アルゴ
リズムの記憶量hmlog2q〔bit〕、総エンティティ数mの
線形スキームが存在する。ここにhは任意の正整数であ
る。」 となり、又、大部分の線形スキームは(*)を満たすパ
ラメータを有することも、符号理論の結果から導ける。 そこで、再生可能な疑似乱数系列を高速に発生するア
ルゴリズムをRに選ぶことができる。 この点では線形符号の通常の利用法と異なっている。
通常の応用では、復号アルゴリズムを効率よく実現する
必要上、何らかの構造を利用した符号を用いるが、KPS
のための線形スキームにおいては、復号に相当するアル
ゴリズムの効率を考える必要が全くないために、ランダ
ムな符号を用い得るのである。 線形スキームの安全性に関する以上の議論の結果を表
1にまとめておく。 複雑性(complexity)について述べる。 次に、線形スキームに関する種々の記憶量・計算量を
評価する。 各センタは、アルゴリズムRとh個の対称行列Gp1,Gp
2,…,Gphを記憶しており、各エンティティの加入時に、
R(yi)を計算し、更にR(yi)にGp1,Gp2,…,Gphを掛
けてxpiを求めるので、表2のような記憶量・計算量を
必要とする。 又、各エンティティは、アルゴリズムRと行列xiを記
憶しており、鍵共有時にR(yi)を計算し、R(yi)T
にxiを掛けて暗号鍵を求めるので、表2のような記憶量
・計算量を必要とする。 なお、m,bを与えたとき、Gilbert−Varsharmov bound
より定められるnは、b/nが小さいとき と近似できる。 q=2かつh=64としたときの数値例を、表3に示
す。 表3より、例えばm=213,b=28の場合には、各セン
タが約4〔Gbit〕を記憶し、各エンティティが約512〔K
bit〕を記憶する線形スキームで、システム全体を破る
にはすべてのセンタの結託又は約8192以上のエンティテ
ィの結託が必要であり、256以下のエンティティが結託
しても他の2エンティティ間の鍵を全く決定できないも
ので、約240(=1012)個までのエンティティのうちの
任意の2エンティティ間で64〔bit〕の鍵を共有できる
ものが存在することがわかる。これに対し、すべてのエ
ンティティとの鍵をあらかじめ共有しておく原始的な方
法をとった場合、各エンティティは約64〔Tbit〕を記憶
しなければならない。ここに、1〔Tbit〕=1024〔Gbi
t〕である。 他方式との比較について述べる。 KPSの特徴を調べるために、他方式について整理して
みる。 従来、暗号通信を行うには図2の(I),(II)のよ
うな方式が用いられてきた。 これに対し、KPSに基づく方式は図の(III)のように
位置づけられる。 以上の諸方式を、記憶量、計算量、通信量、センタの
有無、メイル通信の可能性、安全性の根拠などについて
比較すると表4のようにまとめられる。ここにnはネッ
トワークの総エンティティ数、Sはセンタの数、mは安
全性パラメータ、σは機密保持性(secrecy)が要求さ
れること、αは認証性(authenticity)が要求されるこ
と、をそれぞれあらわす。表4から、総合的にみて、不
特定多数の間での暗号通信に対してKPSに基づく方式(I
II)が優れていることがわかる。 本発明実施例による暗号文による通信方式における暗
号鍵共有方式が適用される装置の構成例が第3図に示さ
れる。第3図においては、秘密アルゴリズム出力手段1
1,12,13、センタアルゴリズムG1,G2,G3、エンティティ
の秘密アルゴリズム組合せ手段7,8、組合わされた秘密
アルゴリズムXA,XB、エンティティの秘密アルゴリズム
実行手段2,3、エンティティAにおける入力部41、暗号
部42、および送信部43、およびエンティティBにおける
受信部51、復号部52、および出力部53が示されている。
エンティティの秘密アルゴリズム出力手段11,12,13にお
いては各センタが生成した線形スキームに基づく特別な
アルゴリズム、すなわち各センタだけが秘密に保持する
センタアルゴリズムを実行し、各エンティティに固有で
公開され半固定的に用いられる各エンティティの識別子
が入力され、各エンティティ専用の秘密アルゴリズムが
出力される。エンティティの秘密アルゴリズム組合せ手
段7,8においては各センタのエンティティの秘密アルゴ
リズム出力手段から出力された各エンティティの秘密ア
ルゴリズムが組合わされる。秘密アルゴリズム実行手段
2,3においては組合わされたエンティティの秘密アルゴ
リズムを秘密に保持した状態で、当該エンティティの秘
密アルゴリズムが実行される。通信においてはセンタの
関与なしにエンティティの秘密アルゴリズム実行手段
は、通信相手の識別子が入力されることにより通信相手
の秘密アルゴリズム実行手段と同一の暗号鍵を作成す
る。yA,yBはエンティティA,Bの識別子をあらわす。な
お、エンティティの秘密アルゴリズム組合せ手段7,8に
よるアルゴリズム組合せは、センタ側で行うことも、エ
ンティティ側で行うことも、いずれも可能である。 以上において、KPSのための線形スキームについて詳
細に説明した。 又、KPSの実現法は線形スキームの他にも存在し得
る。例えば、センタアルゴリズムをアルゴリズム合成法
によるオブスキュアなアルゴリズム(obscure algorit
hm)として構成することが考えられる。オブスキュアア
ルゴリズム合成法についての詳細は後記の文献〔6〕,
〔7〕,〔8〕,〔9〕を参照されたい。 〔発明の効果〕 以上詳述したように、本発明によれば、一度も会って
いない、すなわち通信したことがない、相手と共通の暗
号鍵を、その相手の識別子を入力するだけで簡単かつ安
全に計算することができ、容易に任意の当事者間での、
暗号鍵の共有が簡単な手続きで効率よく安全に行われつ
つ、暗号文による通信が適切に行われることが可能にな
る。 参考文献は下記のとおりである。 〔1〕今井秀樹、松本勉、“暗号技術”、テレビジョン
学会誌、Vol.39,No.12,PP.1140−1147,1985年12月。 〔2〕エー ジー コンハイム、“クリプトグラフィ
ー:ア プライマー”、ワイリ、ニューヨーク、1981
年。 (A.G.Konheim,“Cryptography:A Primer,"Wiley,New Y
ork 1981.) 〔3〕シー エイチ メイヤー、エス エム マティア
ス、“クリプトグラフィー”、ワイリー、ニューヨー
ク、1982年。 (C.H.Meyer,and S.M.Matyas,“Cryptography,"Wiley,N
ew York 1982.) 〔4〕ディー イー デニング、“クリプトグラフイー
アンド データ セキュリティー”、アディソン−ウ
ェズリー、リーディング、1982年。 (D.E.Denning,“Cryptography,and Data Security,"Ad
dison−Wesley,Reading,1982.) 〔5〕ディー ダブリュ デビース、ダブリュ エル
プライス、“セキュリティ フォア コンピュータ ネ
ットワークス”、ワイリー、チチェスター、1984年。 (D.W.Davies,and W.L.Price,“Security for Computer
Networks,"Wiley,Chichester,1984.) 〔6〕松本勉、今井秀樹、原島博、宮川洋、“暗号化変
換の自明でない表現を用いる非対称暗号系”、昭和58年
度電子通信学会情報システム部門全国大会講演論文集
PP.1−469〜1−470,No.S8−5,1983年9月。 〔7〕松本勉、原島博、今井秀樹、“多変数多項式タプ
ル非対称暗号系の構成理論"1986年暗号と情報セキュリ
ティシンポジウム資料E2、暗号と情報セキュリティ研究
会、電子通信学会情報セキュリティ時限研究専門委員
会、1986年2月7日。 〔8〕松本勉、今井秀樹、原島博、宮川洋、“ア クリ
プトグラフィカリー ユースフル セオレム オン ザ
コネクション ビトウィーン ユニ アンド マルチ
バリエイト ポリノミアルズ”、ザ トランザクション
オブ ザ アイ・イー・シー・イー オブ ジャパ
ン、ボリュームE68、ナンバー3、139ページから146ペ
ージ、1985年3月。 (Matsumoto,T.,Imai,H.,Harashima,H.,and Miyakawa,
H.,“A crypotgraphically useful theorem on the con
nection between uni and multivariate polynomials,"
The Transaction of The IECE of Japan,Vol.E68,No.3,
PP.139−146,March 1985.) 〔9〕今井秀樹、松本勉、“アルジェブライック メソ
ッズ フォー コンストラクティング アシンメトリッ
ク クリプトシステムズ”、サード インターナショナ
ル コンファレンス オン アプライド アルジェブ
ラ、アルジェブライック アルゴリズムズ アンド シ
ンボリック コンピューテーション、エラー コレクテ
ィング コーズ(1985年7月15日から19日、グルノーブ
ル、フランス)、シュプリンガー フェアラーク。 (Imai,H.,and Matsumoto,T.,“Algebraic methods for
constructing asymmetric cryptosystems,"3rd Intern
ational Conference on Applied Algebra,Algebraic Al
gorithms and Symbolic Computation,Error Correcting
Codes(July 15−19,1985,Grenoble,France),Springe
r Verlag.) 〔10〕嵩忠雄他、符号理論、コロナ社、1975。 〔11〕松本勉、今井秀樹、“第3の鍵共有方式”、1986
年暗号と情報セキュリティワークショップ講演論文集、
PP.39−41,WCIS86−10,横浜、Aug.27,1986。 〔12〕松本勉、今井秀樹、“簡便な暗号鍵共有方式”、
電子通信学会技術研修報告、IT86−54,京都、Sep.18,19
86。 〔13〕特願昭61−178652号(特公平5−48980)株式会
社アドバンス
証、及び通信相手の認証等に必要不可欠である暗号文に
よる通信において、メッセージの通信に先だって、通信
を行うエンティティ(暗号による通信を行う通信主体エ
ンティティであって、加入者用通信端末、通信装置、ソ
フトウェアを適用する計算装置、等の通信主体エンティ
ティ)の間で通信のための暗号鍵を共有する方式に関す
るものである。 〔従来の技術〕 暗号文による通信で達成されるセキュリティは、通信
の当事者であるエンティティだけが同一の暗号鍵をも
ち、当事者以外の通信端末エンティティがその暗号鍵を
有さないことに強く依存するので、安全で効率の良い暗
号鍵共有方式が望まれており、種々の従来技術が提案さ
れている。これについては今井秀樹、松下勉「暗号技
術」、テレビジョン学会誌 Vol.39 No.12,pp1140−114
7,1985年12月を参照することができる。 従来、暗号鍵の共有方式としては大別して次の2種の
方式が考察されている。これについては、後記の文献
〔2〕,〔3〕,〔4〕,〔5〕を参照されたい。 (i)各エンティティが、想定されるすべての通信相手
と、他の暗号的手段もしくは物理的手法により、個別に
暗号鍵を共有する方式。 (ii)各エンティティが、自分の秘密情報に基づき公開
情報を作成し、これを読み出しは自由であるが書き込み
や消去は厳重に管理された公開ファイルに登録し、通信
の際に、自分の秘密情報と相手の公開情報から共有すべ
き暗号鍵を計算して求める方式。 〔発明が解決しようとする課題〕 前記の(i)の方式は、想定される通信相手の数が多
数であるときには多大な手間がかかり、不特定多数との
暗号通信には不向きであるという欠点を有する。 又、(ii)の方式では、通信の際に、必要に応じて公
開ファイルを参照すれば、どのエンティティとでも暗号
鍵の共有が行えるので、不特定多数相手の暗号通信にも
適用可能であるが、公開ファイル又はそれに相当する、
公開情報の管理機構が必要である。 更に、各エンティティが相手の公開情報を参照するた
めの手間も無視できない。 本発明の目的は、上記各方式の欠点を解決し、通信相
手の識別子(名前、住所等)を用いるだけで、公開ファ
イルなどは参照することなく、暗号鍵の共有が簡単な手
続きで効率よく安全に行われつつ、暗号文による通信が
適切に行われることにある。 〔課題を解決するための手段〕 上記の目的を達成するため、本発明による方式におい
ては、複数のセンタ(管理設備)の存在のもとで、通信
を行うエンティティの識別子をセンタだけが知っている
センタアルゴリズムにより変換した秘密アルゴリズムを
各エンティティに配布することにより、暗号文による通
信方式における暗号鍵共有方式を実現しようとする。 本発明においては、暗号文による通信における暗号鍵
共有方式であって、通信を行う手段を有する複数のエン
ティティおよび複数のセンタにより構成されるネットワ
ークが用いられ、各センタは、 線形スキームにもとづきアルゴリズムを作成し各セン
タにのみ秘密に保持させるセンタアルゴリズム作成手
段、 各センサ毎に、該センタアルゴリズムにエンティティ
に固有で公開され半固定的に用いられるエンティティ識
別子を施しエンティティ専用の秘密アルゴリズムを作成
し各エンティティに事前に配送する秘密アルゴリズム配
送手段、 各センタで作成された該エンティティ専用の秘密アル
ゴリズムを組合わせて組合わせ秘密アルゴリズムを作成
する手段、および、 該組合わせ秘密アルゴリズムを記憶する記憶手段、を
具備し、 各エンティティについて、通信を行うすべての相手の
識別子が自己の秘密アルゴリズム実行手段へ入力され、
識別子の入力に基づいて該組合わせ秘密アルゴリズムが
実行され、通信を行う複数のエンティティの秘密アルゴ
リズム実行手段において、同一の暗号鍵が発生させられ
るようになっている、暗号文による通信における暗号鍵
共有方式、が提供される。 尚、エンティティとしては、装置、機械、プログラム
関連装置、あるいはそれらが構成要素となったシステム
など、多様なものがある。本発明による暗号鍵共有方式
は、CPUチップとROMチップの間の通信、ICカード同士の
通信、ICカードと端末と銀行センタの間の通信、移動体
通信機間の通信、パーソナル無線機間の通信、電話器間
の通信、ホスト計算機と端末とデータベース関連装置の
間の通信、並列計算機内のプロセス関連装置同士の通
信、CATV放送局と加入者端末の間の通信、衛星放送、等
に適用されることが可能である。 又、アルゴリズムとは、計算の方法を、定められた言
語で記述したものを意味し、通常の意味での計算機プロ
グラム、及びデータ、論理回路、グラフ、チューリング
機械(Turing machine)、ペトリネット、LSIパターン
等は、すべて本発明におけるアルゴリズムの一種であ
る。 本発明の基礎となる事項をより詳細に下記に説明す
る。 ネットワークにおいて不特定多数のエンティティ通信
主体と暗号通信を行うことは、特に大規模ネットワーク
の場合、鍵の配送(共有)の問題のため、共有鍵方式に
おいても公開鍵方式においても、従来、煩雑な手間が必
要であった。又、通常の郵便における手紙のような、暗
号による不特定多数相手のメイル通信を手軽に実現する
ことも難しかった。 最近、本発明者らはこれらの暗号通信を簡便に実現可
能な鍵共有方式:キイ プレディストリビューション
システム(Key Predistribution System,KPS)を提案
し、その詳細について出題した(特願昭61−178652、特
公平5−48980)。 本願はこれらに続くものであり、先に提案した線形代
数に基づくキイ プレディストリビューション システ
ムをより拡充し、その安全性をより高めたものである。 キイ プレディストリビューション システム(KP
S)について述べる。 本発明のKPSは、(信頼における)センサ(sを正整
数とし、センタ1、センタ2、…、センタsと表す)
と、通信を行う多数のエンティティ(n正整数とし、エ
ンティティ1、エンティティ2、…、エンティティnと
表す)からなるネットワークにおいて、ネットワーク内
の通信を行う複数のエンティティが、以下のようにして
同一鍵を共有する方式である。 手順(1) センタアルゴリズムの作成 手順(2) 各エンティティ用の秘密アルゴリズムの作
成・配布 手順(3) 各エンティティによる鍵共有 手順(1)は、システムの立上げ時又は更新時だけに
必要な操作であり、各センタ(例えばセンタp)が、特
別なアルゴリズム、すなわちセンタpだけが秘密に保持
するセンタアルゴリズムGpを生成することを指す。ただ
し、Gpを生成する方法については、すべてのエンティテ
ィもしくはエンティティの代表の間で合意を得ておくも
のとする。 手順(2)は、各エンティティのネットワークへの加
入時にセンタとエンティティにより行われる操作であ
る。各エンティティ(例えばエンティティi)に固有で
公開され半固定的に用いられる各エンティティの識別子
(名前、住所等のアイデンティティ)yiに、各センタ
(センタpとする)がGpを施して各エンティティ専用の
アルゴリズムXpi=Gp(yi)を作成する。エンティティ
i用のアルゴリズムX1i,X2i,…,Xsiを個別に、もしくは
適当な方法により結合して、エンティティiだけに(例
えばICカード等に入れて)配布する。エンティティiは
受けとったアルゴリズムの組もしくはそれらの結合され
たものを秘密に保管する。これをエンティティiの組合
わせ秘密アルゴリズムといいXiで表す。 手順(3)は、手順(1)、手順(2)の準備が行わ
れた後に、暗号鍵を共有したいエンティティにより行わ
れる操作である。各々のエンティティは、他のエンティ
ティの識別子を自己の組合わせ秘密アルゴリズムに入力
することにより、同一の暗号鍵を共有する。例えばエン
ティティAとエンティティBが暗号鍵kを共有したい場
合は、それぞれ次のようにkを計算する: k=XA (2)(yB),k=XB (2)(yA) 又、エンティティA、エンティティB、エンティティ
Cが暗号鍵を共有したい場合は、 =XA (3)(yB,yC),=XB (3)(yC,yA), =XC (3)(yA,yB) のようにしてそれぞれがを計算する。ここにXi
(e)は、e個のエンティティで鍵共有を行う時に用いる
エンティティiの組合わせ秘密アルゴリズムを表すもの
とした。 次に、KPS一般の安全性について述べる。 KPSにおいては、秘密アルゴリズムの配布時に、秘密
アルゴリズムを渡すべきエンティティを正しく認証(同
定)する必要があるが、エンティティ認証(本人確認)
がきちんと行われていることがすべての暗号的手段の大
前提であるから、エンティティ認証の問題はKPSに特有
の問題ではない。 KPSにより各エンティティが共有する鍵は各エンティ
ティに固有のものであり、センタアルゴリズムを更新し
ない限り、不変である。したがって、KPSは、いわゆる
マスタ鍵を共有するための方法であるといえる。マスタ
鍵が当事者以外に漏れた場合でも、新しいマスタ鍵に代
えることはできない。そこで、適当な期間の後にセンタ
アルゴリズムの更新をすることが望ましい。しかし、例
えば2エンティティの鍵共有のために、3エンティティ
に対する鍵共有用の秘密アルゴリズムXi(3)を用いれ
ば、適当な乱数を交換することにより2エンティティの
間で毎回異なる鍵を共有することができる。例えば、エ
ンティティAとエンティティBがどのエンティティの識
別子とも異なる乱数rを用いて、 のように鍵を共有できる。 さて、KPSにおいてはセンタアルゴリズムに関する情
報を秘密アルゴリズムXiという形で各エンティティに分
散しているわけであるから、単独のエンティティ又は協
力した複数のエンティティにより適当な計算量を費やせ
ばセンタアルゴリズム又は協力したエンティティ以外の
エンティティ用秘密アルゴリズムXt又はその一部を必ず
求めることができる。 秘密アルゴリズムを、物理的に保護され計算能力を有
する何らかの装置(例えばICカード)の中に埋め込み、
各エンティティが、自分の秘密アルゴリズムを知ること
なしに実行できるような工夫を施せば、センタアルゴリ
ズムや他のエンティティの秘密アルゴリズムXt又はその
一部が暴かれることはない。したがって、物理的セキュ
リティが完全に保たれるような環境においては、いかな
るKPSも安全であるといえよう。しかし、実際には完全
な物理的セキュリティを期待することは難しい(現在の
ICカード等の物理的セキュリティは完全とはいえない)
ので、多くのエンティティが結託(協力)しなければセ
ンタアルゴリズム又はXt又はその一部を決定するために
充分な情報を得られないか、又は、充分な情報が得られ
てもセンタアルゴリズム又はXt又はその一部を求めるた
めの計算量が多大となるような工夫がKPSには要求され
ると考えられる。前者はいわゆる無条件的な安全保障
(unconditional security)に、後者は計算的な安全保
障(computational security)に対応すると言える。 無条件的な安全保障の証明は一般に難しくないが、計
算的な安全保障の証明は現在のところ、素因子分解等の
適当な問題を解く難しさを仮定せずにはうまく行えな
い。 項目3では、ある程度の数のエンティティが結託しな
い限り安全であるという意味で無条件的に安全保障され
たKPSをベクトルの1次独立性を利用して構成する。 〔実施例〕 本発明の一実施例としての暗号文による通信方式にお
ける暗号鍵共有方式が以下に説明される。 第1図にKPSの適用例が示される。第1図のシステム
には秘密アルゴリズムXA,XB、暗号化手段E、復号化手
段Dが設けられる。相手の識別子yB、自分の識別子yAが
適用される。第1図のように、KPSを用いると、通常の
郵便のようにメイル通信、すなわち一方向の暗号通信が
簡単に実現できる。宛て先が2つ以上の場合でも、いわ
ゆる「同報性の認証」を行いつつメイル通信ができる。
なお、電話のような対話通信にも適用できることはいう
までもない。 線形代数に基づくKPSの一方式について述べる。 ここでは、線形代数を利用してKPSを構成する。な
お、この方式は、センタが1つの場合は、すでに先行の
出願で示してある。 方式の定義について述べる。 以下に定義する方式を線形スキームと名付ける。 qを素数べき、m,s,hを正整数とする。Q=GF(q)
とおき、Q上のm次元横ベクトル全体のなすベクトル空
間をQmで表す。 各エンティティ(例えばエンティティi)の識別子yi
は集合Iの元であるとし、i≠jならばyi≠yjであるも
のとする。 又、Rを、IからQmへの単射写像を表現するアルゴリ
ズムとする。 各センタ(センタp,p=1,2,…,s)は、h個のQ上m
次対称行列Gp1,Gp2,…,Cphをランダムかつ一様に他エン
ティティとは独立に選び、センタアルゴリズムGpを生成
する。Gpは、各yi∈Iに対してアルゴリズム Xpi(ξ)=xpiR(ξ)T を作成するアルゴリズムであると定める。ただし、xpi
は、 により定められるQ上のh×m行列であり、Tは行列の
転置を意味するものとする。 アルゴリズムXpiにもとづき、エンティティi専用の
秘密アルゴリズムXiを次のようにして作る: なお、ICカード等を用いれば秘密アルゴリズムXiを自
動的に得ることも可能である。例えば、まず、エンティ
ティiがICカードを入手し、書き込みは誰でもできるが
読み出しはエンティティiにしかできないように初期化
してセンタ側に渡し、各センタにxpiを入力してもらい
次々とICカード内部で総和をとり、最終的にxiが作られ
た段階でICカードをエンティティiに戻してもらう、と
いう方法が考えられる。 このようにして、エンティティiは秘密アルゴリズム
Xiを持つ。 エンティティiとエンティティjが暗号鍵を共有した
い場合、エンティティiはXi(yj)を、エンティティj
はXj(yi)を、それぞれ鍵として計算する。Xi(yj)と
Xj(yi)は共にQ上のh次元縦ベクトルであり、両者が
一致することは、Xi,Xjの定義から容易に導ける。 以上は2つのエンティティの場合であるが、一般にe
側のエンティティ(e≧2)のグループの場合には、前
記のGpi、すなわち双線形写像のかわりに、e重線形写
像を用いれば同様な方式が実現できる。 安全性について述べる。 次に、線形スキームの安全性について考える。この方
式への攻撃としては、センタによる攻撃とエンティティ
による攻撃の両方を考える必要がある。 この方式を完全に破ることは、 なる行列G1,G2,…,Ghを並べた行列 G=〔G1,G2,…,Gh〕 を決定することと等価である。 よって、すべてのセンタが結託しない限り、たとえい
くつかのセンタが結託したとしてもGを全く決定できな
い。したがって、暗号鍵も全く決定できない。 又、少なくともrankG個のエンティティが結託しない
限りGを完全には決定できない〔証明省略〕。rankGは
m又はmに近い値をとる確率が大きい。 しかし、rankG個未満のエンティティの結託によって
も、結託エンティティ数が増えれば増えるだけ、Gに関
する情報、したがって、各エンティティの秘密アルゴリ
ズムに関する情報をより多く入手できることは確かであ
る。そこで、結託したエンティティが、他のエンティテ
ィ間の暗号鍵をどの程度決定できるかを考察すると、次
の結論を得る。 システムに加入しているすべてのエンティティの集合
をEとおく。このとき、 「Eの部分集合EBに属すすべてのエンティティが結託し
ても、E−EBに属す任意の2つのエンティティ間で共有
される暗号鍵を全く決定できない」 ためには、 「各i∈E−EBについてベクトルR(yi)がベクトルの
集合{R(yi)|j∈EB}に1次独立であること」 が必要十分である〔証明省略〕。 したがって、エンティティの結託に対する安全性の問
題は、ベクトルの集合 U={R(yi)|i∈E} における1次独立性の問題に移して論じることが可能と
なる。特に、線形符号の理論と密接な結びつきが生じ
る。 実際、Uに属すすべてのベクトルの転置ベクトルを横
に並べてできる行列をパリティ検査行列とする、符号長
n、検査記号数mの線形符号をCとすると、 「Cに(Hamming)重みwの符号語が存在すること」 と、 「(w−1)エンティティの結託により他のエンティテ
ィ間の鍵が決定できる場合が存在すること」 は同値であり、特に、 「Cの最小(Hamming)重み〔最小距離〕がb+2以上
であること」 は、 「任意のbエンティティの結託によっても他のエンティ
ティ間の任意の鍵を全く決定できない」 ための十分条件である。 したがって、代数的/代数幾何学的符号理論に基づい
てアルゴリズムRを選ぶことができる。この場合、yiを
適当なベクトルとみなすとR(yi)はyiの成分に関する
単項式を並べたものになる。よって、アルゴリズムXiは
項式(タプル)等となる。対応する線形符号としては、
(e)−GRM符号、BCH符号、RS符号、Goppa符号等(〔1
0〕)を用いることになる。しかし、これらのRの評価
(計算)をすることは、mが大きい場合、あまり効率よ
く行えない。 ところが、符号理論におけるGilbert−Varsharmovの
定理(〔10〕)をKPSの言葉に翻訳すると、 「素数べきq、正整数m及びbが与えられたとき、 ただし、 ψ(x)=xlogq(q−1)−xlogq x−(1−x)logq(1−x) を満たす、許容結託エンティティ数b以上、秘密アルゴ
リズムの記憶量hmlog2q〔bit〕、総エンティティ数mの
線形スキームが存在する。ここにhは任意の正整数であ
る。」 となり、又、大部分の線形スキームは(*)を満たすパ
ラメータを有することも、符号理論の結果から導ける。 そこで、再生可能な疑似乱数系列を高速に発生するア
ルゴリズムをRに選ぶことができる。 この点では線形符号の通常の利用法と異なっている。
通常の応用では、復号アルゴリズムを効率よく実現する
必要上、何らかの構造を利用した符号を用いるが、KPS
のための線形スキームにおいては、復号に相当するアル
ゴリズムの効率を考える必要が全くないために、ランダ
ムな符号を用い得るのである。 線形スキームの安全性に関する以上の議論の結果を表
1にまとめておく。 複雑性(complexity)について述べる。 次に、線形スキームに関する種々の記憶量・計算量を
評価する。 各センタは、アルゴリズムRとh個の対称行列Gp1,Gp
2,…,Gphを記憶しており、各エンティティの加入時に、
R(yi)を計算し、更にR(yi)にGp1,Gp2,…,Gphを掛
けてxpiを求めるので、表2のような記憶量・計算量を
必要とする。 又、各エンティティは、アルゴリズムRと行列xiを記
憶しており、鍵共有時にR(yi)を計算し、R(yi)T
にxiを掛けて暗号鍵を求めるので、表2のような記憶量
・計算量を必要とする。 なお、m,bを与えたとき、Gilbert−Varsharmov bound
より定められるnは、b/nが小さいとき と近似できる。 q=2かつh=64としたときの数値例を、表3に示
す。 表3より、例えばm=213,b=28の場合には、各セン
タが約4〔Gbit〕を記憶し、各エンティティが約512〔K
bit〕を記憶する線形スキームで、システム全体を破る
にはすべてのセンタの結託又は約8192以上のエンティテ
ィの結託が必要であり、256以下のエンティティが結託
しても他の2エンティティ間の鍵を全く決定できないも
ので、約240(=1012)個までのエンティティのうちの
任意の2エンティティ間で64〔bit〕の鍵を共有できる
ものが存在することがわかる。これに対し、すべてのエ
ンティティとの鍵をあらかじめ共有しておく原始的な方
法をとった場合、各エンティティは約64〔Tbit〕を記憶
しなければならない。ここに、1〔Tbit〕=1024〔Gbi
t〕である。 他方式との比較について述べる。 KPSの特徴を調べるために、他方式について整理して
みる。 従来、暗号通信を行うには図2の(I),(II)のよ
うな方式が用いられてきた。 これに対し、KPSに基づく方式は図の(III)のように
位置づけられる。 以上の諸方式を、記憶量、計算量、通信量、センタの
有無、メイル通信の可能性、安全性の根拠などについて
比較すると表4のようにまとめられる。ここにnはネッ
トワークの総エンティティ数、Sはセンタの数、mは安
全性パラメータ、σは機密保持性(secrecy)が要求さ
れること、αは認証性(authenticity)が要求されるこ
と、をそれぞれあらわす。表4から、総合的にみて、不
特定多数の間での暗号通信に対してKPSに基づく方式(I
II)が優れていることがわかる。 本発明実施例による暗号文による通信方式における暗
号鍵共有方式が適用される装置の構成例が第3図に示さ
れる。第3図においては、秘密アルゴリズム出力手段1
1,12,13、センタアルゴリズムG1,G2,G3、エンティティ
の秘密アルゴリズム組合せ手段7,8、組合わされた秘密
アルゴリズムXA,XB、エンティティの秘密アルゴリズム
実行手段2,3、エンティティAにおける入力部41、暗号
部42、および送信部43、およびエンティティBにおける
受信部51、復号部52、および出力部53が示されている。
エンティティの秘密アルゴリズム出力手段11,12,13にお
いては各センタが生成した線形スキームに基づく特別な
アルゴリズム、すなわち各センタだけが秘密に保持する
センタアルゴリズムを実行し、各エンティティに固有で
公開され半固定的に用いられる各エンティティの識別子
が入力され、各エンティティ専用の秘密アルゴリズムが
出力される。エンティティの秘密アルゴリズム組合せ手
段7,8においては各センタのエンティティの秘密アルゴ
リズム出力手段から出力された各エンティティの秘密ア
ルゴリズムが組合わされる。秘密アルゴリズム実行手段
2,3においては組合わされたエンティティの秘密アルゴ
リズムを秘密に保持した状態で、当該エンティティの秘
密アルゴリズムが実行される。通信においてはセンタの
関与なしにエンティティの秘密アルゴリズム実行手段
は、通信相手の識別子が入力されることにより通信相手
の秘密アルゴリズム実行手段と同一の暗号鍵を作成す
る。yA,yBはエンティティA,Bの識別子をあらわす。な
お、エンティティの秘密アルゴリズム組合せ手段7,8に
よるアルゴリズム組合せは、センタ側で行うことも、エ
ンティティ側で行うことも、いずれも可能である。 以上において、KPSのための線形スキームについて詳
細に説明した。 又、KPSの実現法は線形スキームの他にも存在し得
る。例えば、センタアルゴリズムをアルゴリズム合成法
によるオブスキュアなアルゴリズム(obscure algorit
hm)として構成することが考えられる。オブスキュアア
ルゴリズム合成法についての詳細は後記の文献〔6〕,
〔7〕,〔8〕,〔9〕を参照されたい。 〔発明の効果〕 以上詳述したように、本発明によれば、一度も会って
いない、すなわち通信したことがない、相手と共通の暗
号鍵を、その相手の識別子を入力するだけで簡単かつ安
全に計算することができ、容易に任意の当事者間での、
暗号鍵の共有が簡単な手続きで効率よく安全に行われつ
つ、暗号文による通信が適切に行われることが可能にな
る。 参考文献は下記のとおりである。 〔1〕今井秀樹、松本勉、“暗号技術”、テレビジョン
学会誌、Vol.39,No.12,PP.1140−1147,1985年12月。 〔2〕エー ジー コンハイム、“クリプトグラフィ
ー:ア プライマー”、ワイリ、ニューヨーク、1981
年。 (A.G.Konheim,“Cryptography:A Primer,"Wiley,New Y
ork 1981.) 〔3〕シー エイチ メイヤー、エス エム マティア
ス、“クリプトグラフィー”、ワイリー、ニューヨー
ク、1982年。 (C.H.Meyer,and S.M.Matyas,“Cryptography,"Wiley,N
ew York 1982.) 〔4〕ディー イー デニング、“クリプトグラフイー
アンド データ セキュリティー”、アディソン−ウ
ェズリー、リーディング、1982年。 (D.E.Denning,“Cryptography,and Data Security,"Ad
dison−Wesley,Reading,1982.) 〔5〕ディー ダブリュ デビース、ダブリュ エル
プライス、“セキュリティ フォア コンピュータ ネ
ットワークス”、ワイリー、チチェスター、1984年。 (D.W.Davies,and W.L.Price,“Security for Computer
Networks,"Wiley,Chichester,1984.) 〔6〕松本勉、今井秀樹、原島博、宮川洋、“暗号化変
換の自明でない表現を用いる非対称暗号系”、昭和58年
度電子通信学会情報システム部門全国大会講演論文集
PP.1−469〜1−470,No.S8−5,1983年9月。 〔7〕松本勉、原島博、今井秀樹、“多変数多項式タプ
ル非対称暗号系の構成理論"1986年暗号と情報セキュリ
ティシンポジウム資料E2、暗号と情報セキュリティ研究
会、電子通信学会情報セキュリティ時限研究専門委員
会、1986年2月7日。 〔8〕松本勉、今井秀樹、原島博、宮川洋、“ア クリ
プトグラフィカリー ユースフル セオレム オン ザ
コネクション ビトウィーン ユニ アンド マルチ
バリエイト ポリノミアルズ”、ザ トランザクション
オブ ザ アイ・イー・シー・イー オブ ジャパ
ン、ボリュームE68、ナンバー3、139ページから146ペ
ージ、1985年3月。 (Matsumoto,T.,Imai,H.,Harashima,H.,and Miyakawa,
H.,“A crypotgraphically useful theorem on the con
nection between uni and multivariate polynomials,"
The Transaction of The IECE of Japan,Vol.E68,No.3,
PP.139−146,March 1985.) 〔9〕今井秀樹、松本勉、“アルジェブライック メソ
ッズ フォー コンストラクティング アシンメトリッ
ク クリプトシステムズ”、サード インターナショナ
ル コンファレンス オン アプライド アルジェブ
ラ、アルジェブライック アルゴリズムズ アンド シ
ンボリック コンピューテーション、エラー コレクテ
ィング コーズ(1985年7月15日から19日、グルノーブ
ル、フランス)、シュプリンガー フェアラーク。 (Imai,H.,and Matsumoto,T.,“Algebraic methods for
constructing asymmetric cryptosystems,"3rd Intern
ational Conference on Applied Algebra,Algebraic Al
gorithms and Symbolic Computation,Error Correcting
Codes(July 15−19,1985,Grenoble,France),Springe
r Verlag.) 〔10〕嵩忠雄他、符号理論、コロナ社、1975。 〔11〕松本勉、今井秀樹、“第3の鍵共有方式”、1986
年暗号と情報セキュリティワークショップ講演論文集、
PP.39−41,WCIS86−10,横浜、Aug.27,1986。 〔12〕松本勉、今井秀樹、“簡便な暗号鍵共有方式”、
電子通信学会技術研修報告、IT86−54,京都、Sep.18,19
86。 〔13〕特願昭61−178652号(特公平5−48980)株式会
社アドバンス
【図面の簡単な説明】
第1図は、本発明実施例を示す模式図、第2図は暗号通
信諸方式を示す概念図、第3図は本発明実施例による暗
号文による通信方式における暗号鍵共有方式が適用され
る装置の構成例を示す図である。
信諸方式を示す概念図、第3図は本発明実施例による暗
号文による通信方式における暗号鍵共有方式が適用され
る装置の構成例を示す図である。
フロントページの続き
(56)参考文献 特開 昭61−30827(JP,A)
特開 平5−48980(JP,A)
松本勉、今井秀樹「簡便な暗合鍵共有
方式」電子通信学会技術研究報告 IT
86−54,1986.9.18
Claims (1)
- (57)【特許請求の範囲】 1.暗号文による通信における暗号鍵共有方式であっ
て、通信を行う手段を有する複数のエンティティおよび
複数のセンタにより構成されるネットワークが用いら
れ、各センタは、 線形スキームにもとづきアルゴリズムを作成し各センタ
にのみ秘密に保持させるセンタアルゴリズム作成手段、 各センタ毎に、該センタアルゴリズムにエンティティに
固有で公開され半固定的に用いられるエンティティ識別
子を施しエンティティ専用の秘密アルゴリズムを作成し
各エンティティに事前に配送する秘密アルゴリズム配送
手段、 各センタで作成された該エンティティ専用の秘密アルゴ
リズムを組合わせて組合わせ秘密アルゴリズムを作成す
る手段、および、 該組合わせ秘密アルゴリズムを記憶する記憶手段、を具
備し、 各エンティティについて、通信を行うすべての相手の識
別子が自己の秘密アルゴリズム実行手段へ入力され、識
別子の入力に基づいて該組合わせ秘密アルゴリズムが実
行され、通信を行う複数のエンティティの秘密アルゴリ
ズム実行手段において、同一の暗号鍵が発生させられる
ようになっている、暗号文による通信における暗号鍵共
有方式。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP61251896A JP2980320B2 (ja) | 1986-10-24 | 1986-10-24 | 暗号文による通信方式における暗号鍵共有方式 |
| EP87904964A EP0277247B1 (en) | 1986-07-31 | 1987-07-31 | System for generating a shared cryptographic key and a communication system using the shared cryptographic key |
| DE3789769T DE3789769T2 (de) | 1986-07-31 | 1987-07-31 | System zur erzeugung eines gemeinsamen geheimübertragungsschlüssels und kommunikationssystem unter verwendung des gemeinsamen geheimübertragungsschlüssels. |
| PCT/JP1987/000572 WO1988001120A1 (en) | 1986-07-31 | 1987-07-31 | System for generating a shared cryptographic key and a communication system using the shared cryptographic key |
| US07/518,317 US5016276A (en) | 1986-07-31 | 1990-05-07 | Common cryptokey generation system and communication system using common cryptokeys |
| HK96996A HK96996A (en) | 1986-07-31 | 1996-06-06 | System for generating a shared cryptographic key and a communication system using the shared cryptographic key |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP61251896A JP2980320B2 (ja) | 1986-10-24 | 1986-10-24 | 暗号文による通信方式における暗号鍵共有方式 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPS63107667A JPS63107667A (ja) | 1988-05-12 |
| JP2980320B2 true JP2980320B2 (ja) | 1999-11-22 |
Family
ID=17229561
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP61251896A Expired - Lifetime JP2980320B2 (ja) | 1986-07-31 | 1986-10-24 | 暗号文による通信方式における暗号鍵共有方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2980320B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007184939A (ja) * | 2006-01-03 | 2007-07-19 | Samsung Electronics Co Ltd | Wusb保安のためのセッションキーを提供する方法及び装置、そのセッションキーを獲得する方法及び装置 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07295800A (ja) * | 1994-04-22 | 1995-11-10 | Advance Co Ltd | ソフトウエアプロテクト方式 |
| JPH0822390A (ja) * | 1994-07-05 | 1996-01-23 | Advance Co Ltd | ソフトウエア防衛方式 |
| US6985583B1 (en) * | 1999-05-04 | 2006-01-10 | Rsa Security Inc. | System and method for authentication seed distribution |
| JP4200897B2 (ja) | 2003-12-26 | 2008-12-24 | セイコーエプソン株式会社 | 暗号化通信を行う無線通信装置の設定 |
| EP1849119B1 (en) * | 2005-02-18 | 2019-07-10 | EMC Corporation | Derivative seeds |
| CN102982257B (zh) | 2006-05-05 | 2016-06-22 | 交互数字技术公司 | 在re和te间执行平台完整性和drm软件完整性检查的方法 |
| JP5462146B2 (ja) * | 2010-12-24 | 2014-04-02 | 株式会社東海理化電機製作所 | 電子キーシステム |
-
1986
- 1986-10-24 JP JP61251896A patent/JP2980320B2/ja not_active Expired - Lifetime
Non-Patent Citations (1)
| Title |
|---|
| 松本勉、今井秀樹「簡便な暗合鍵共有方式」電子通信学会技術研究報告 IT86−54,1986.9.18 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007184939A (ja) * | 2006-01-03 | 2007-07-19 | Samsung Electronics Co Ltd | Wusb保安のためのセッションキーを提供する方法及び装置、そのセッションキーを獲得する方法及び装置 |
| US8924710B2 (en) | 2006-01-03 | 2014-12-30 | Samsung Electronics Co., Ltd. | Method and apparatus for providing session key for WUSB security and method and apparatus for obtaining the session key |
Also Published As
| Publication number | Publication date |
|---|---|
| JPS63107667A (ja) | 1988-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Zhang et al. | Research on a covert communication model realized by using smart contracts in blockchain environment | |
| Hellman | An overview of public key cryptography | |
| Hellman | An overview of public key cryptography | |
| Aumann et al. | Everlasting security in the bounded storage model | |
| EP0277247B1 (en) | System for generating a shared cryptographic key and a communication system using the shared cryptographic key | |
| JP3560860B2 (ja) | 秘密分散システム、装置及び記憶媒体 | |
| NZ535698A (en) | An cryptosystem involving generating an isogeny that maps points from one elliptic curve onto another elliptic curve and publishing a public key corresponding to the isogeny | |
| US20220303114A9 (en) | Format-preserving encryption method based on stream cipher | |
| Mogollon | Cryptography and Security Services: Mechanisms and Applications: Mechanisms and Applications | |
| CN114219483B (zh) | 基于lwe-cpabe的区块链数据共享方法、设备和存储介质 | |
| US7783045B2 (en) | Secure approach to send data from one system to another | |
| US20040037424A1 (en) | Information distribution and processing | |
| CN109905229B (zh) | 基于群组非对称密钥池的抗量子计算Elgamal加解密方法和系统 | |
| CN112073196B (zh) | 业务数据处理方法、装置、电子设备及存储介质 | |
| CN102594551A (zh) | Rfid标签隐私数据可靠统计方法 | |
| Li et al. | Privacy-aware secure anonymous communication protocol in CPSS cloud computing | |
| JP2980320B2 (ja) | 暗号文による通信方式における暗号鍵共有方式 | |
| CN117201132A (zh) | 一种完全去中心化的多委员会属性基加密方法及其应用 | |
| JP2001211154A (ja) | 秘密鍵生成方法,暗号化方法及び暗号通信方法 | |
| Pilaram et al. | An efficient lattice‐based threshold signature scheme using multi‐stage secret sharing | |
| CN113098682B (zh) | 基于区块链平台的多方安全计算方法、装置及电子设备 | |
| Zhang et al. | Privacy‐friendly weighted‐reputation aggregation protocols against malicious adversaries in cloud services | |
| De Caro et al. | Receiver‐and sender‐deniable functional encryption | |
| JP2886517B2 (ja) | 共通鍵通信システム | |
| Longo | Secure digital communications |