JP3560439B2 - 暗号キーの回復を実行する装置 - Google Patents

暗号キーの回復を実行する装置 Download PDF

Info

Publication number
JP3560439B2
JP3560439B2 JP07150097A JP7150097A JP3560439B2 JP 3560439 B2 JP3560439 B2 JP 3560439B2 JP 07150097 A JP07150097 A JP 07150097A JP 7150097 A JP7150097 A JP 7150097A JP 3560439 B2 JP3560439 B2 JP 3560439B2
Authority
JP
Japan
Prior art keywords
key
value
key recovery
encrypted
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP07150097A
Other languages
English (en)
Other versions
JPH1041932A (ja
Inventor
ドナルド・バイロン・ジョンソン
ポール・アシュレイ・カーガー
チャールズ・ウィリアム・カウフマン、ジュニア
ステファン・マイケル・メイトヤズ、ジュニア
マーセル・モードシェイ・ユング
ネベンコ・ズニック
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JPH1041932A publication Critical patent/JPH1041932A/ja
Application granted granted Critical
Publication of JP3560439B2 publication Critical patent/JP3560439B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、一対の通信パーティにより使用される暗号キーを発生すると共に1又は複数のキー回復エージェントを用いてその回復を行う装置に関する。
【0002】
【従来の技術】
データ暗号システムは、データ処理システムにおいて周知である。一般に、これらのシステムは、平文入力ブロックに対して暗号キーを用いて暗号文出力ブロックを発生する暗号化オペレーションを実行することにより動作する。暗号化されたメッセージの受信者は、平文ブロックを再生するために対応する復号キーを用いて復号化オペレーションを実行する。
【0003】
暗号システムは、一般的に2つの範疇に包含される。対称(すなわち、専用キー)暗号システムには、DES(Data Encryption Standard)システム等があり、メッセージの暗号化及び復号化の双方において同じ秘密キーを用いる。DESシステムにおいては、64ビットの平文ブロックを暗号文ブロックへ変換するために、あるいはその逆の変換をするために、独立に指定可能な56ビットのキーが用いられる。
【0004】
一方、非対称(すなわち、公開キー)暗号システムでは、暗号化及び復号化において互いのキーからは容易に導出できない別々のキーを用いる。メッセージを受信しようとする者は、一対の対応する暗号キーと復号キーを発生する。暗号キーは公開的なものとされるが、その対応する復号キーは秘密のまま保持される。受信者と通信しようとする者は誰でも、その受信者の公開キーを用いてメッセージを暗号化することができる。一方、専用キーをもっているのは受信者のみなので、受信者のみがそのメッセージを復号化することができる。おそらく最もよく知られた非対称暗号システムは、その創作者であるRivest、Shamir、及びAdlemanにちなんで名付けられたRSAシステムである。
【0005】
非対称暗号システムは、一般的に、対称暗号システムよりも演算上の負担が大きいが、暗号キー伝送用の安全なチャネルを必要としないという利点を有する。それ故に、対称暗号キー等の非常に秘密性が高いデータの1回限りの伝送のために非対称暗号システムがしばしば用いられている。
【0006】
全てのタイプのデータ暗号システムが、政府情報機関及び法執行機関から関心をもたれてきた。なぜなら、権限のない第三者による解読を防止するのと同じ暗号の強固さによって、平文データへアクセスしようとする合法的根拠をもつ情報機関や法執行機関の職員による解読も防止されるからである。このような観点から政府は、強力な暗号システムの使用若しくは輸出を禁止したり、キー全数探索(すなわち、正しいキーが見つかるまで系統的に全ての可能なキーを試験すること)による攻撃を受け易い弱体化したキーの使用に対する認可を調整したりしてきた。このような弱い暗号システムは、権限のある政府職員に対すると同様に権限のない第三者に対しても脆弱であるという明白な欠点を有する。
【0007】
このジレンマの解決策の1つは、暗号キーをキー回復エージェントと共有する、いわゆるキー回復システムを使用することである。キー回復エージェントは、十分な信任(例えば、裁判所命令等)を提示された場合に政府要求者に対してそのキーを明らかにするが、その他の場合にはそのキーを秘密状態に保持する。キー回復システムは、情報機関及び法執行機関の職員による合法的な関心の問題を解決すると同時に、無権限の第三者による攻撃に対して強力に対抗する暗号システムの使用を可能とする。このようなシステムの幾つかは、D. E. Denning及びD. K. Branstadによる「A Taxonomy for Key Escrow Encryption Systems」(Communications of the ACM, vol. 39, no. 3, Mar. 1996, pp. 34−40)に記載されている。
【0008】
最近開発されたキー回復システムの1つは、1995年12月15日出願の米国特許出願第08/573228号「DIFFERENTIAL WORK FACTOR METHOD AND SYSTEM」、並びに、同じ発明の名称による同日出願の米国特許出願第08/573110号に開示されている。
【0009】
上記米国特許出願に記載のシステムでは、1又は複数の国の各々におけるキー回復エージェントに対して、暗号キーの一部のみが開示される。従って、当該出願に記載のように、暗号キーの一部がキー回復エージェントに与えられることにより、(裁判所命令に従って)そのキー部分に対するアクセスを有するエンティティは、その暗号キー全体ではなく残りのキー・ビットを確認するだけでよい。キー回復エージェントへ与えられるこのキー部分のサイズは、残りのキー部分の回復に包含される作業ファクタを完全に排除するのではないが実行容易なレベルにまで低減させるようなサイズとされる。一方、権限のない第三者に対する作業ファクタは、この「差動作業ファクタ」の概念では同じレベルのままとなる。
【0010】
上記米国特許出願に開示されたシステムは、それ以前のキー回復システムの欠点の多くを解決するが、不正なすなわち信用できないキー回復エージェントの問題が残されている。キー回復エージェントへ与えられる部分キー情報へのアクセスにより、(ある程度の困難はあるが)暗号キー全体の発見が可能だからである。このセキュリティの暴露は、暗号システムの所与のユーザにとっては重大な問題である。彼らは、自らが制御できないキー回復エージェントへ重要なキー情報を託すことを躊躇するであろう。
【0011】
【発明が解決しようとする課題】
本発明の目的は、政府、企業顧客、ハードウェア及びソフトウェアの提供者、法執行機関、並びに個人を含む数名の異なるエンティティの競合する要求を取り扱うキー回復システムを提供することである。
【0012】
本発明の更なる目的は、ソフトウェア又はハードウェアにより実施可能なキー回復システムを提供することである。
【0013】
本発明の更なる目的は、メッセージ作成又は接続セットアップの間、第三者との通信を必要としないキー回復システムを提供することである。
【0014】
本発明の更なる目的は、複数の権限保持者に対して同時にキーを与えることが必要な場合であっても、異なる国々におけるユーザ間の相互操作機能を実現するキー回復システムを提供することである。
【0015】
本発明の更なる目的は、公開されている周知のアルゴリズムを用いるキー回復システムを提供することである。
【0016】
本発明の更なる目的は、設計が開放されておりかつ公開された仕様に基づいて多数のベンダーにより実施可能なキー回復システムを提供することである。
【0017】
本発明の更なる目的は、各国について独立したキー回復機能を行うキー回復システムを提供することである。
【0018】
本発明の更なる目的は、単一のシステムにおいて、異なる環境におけるセキュリティの異なるレベルに対するフレキシビリティを実現するキー回復システムを提供することである。
【0019】
本発明の更なる目的は、法律により許可され得る最高レベルの暗号セキュリティを実現するキー回復システムを提供することである。
【0020】
本発明の更なる目的は、単一の攻撃ポイント(すなわち、不正なキー回復エージェント)に対して防御するキー回復システムを提供することである。
【0021】
本発明の更なる目的は、全ての形態の電子通信をサポートするキー回復システムを提供することである。
【0022】
本発明の更なる目的は、スケーラブルな解決手段を実現するキー回復システムを提供することである。
【0023】
本発明の更なる目的は、蓄積交換型環境及び対話型環境の双方をサポートするキー回復システムを提供することである。
【0024】
本発明の更なる目的は、導入のために第三者との通信を必要としない(すなわち、「箱から出して直ちに」稼動する)キー回復システムを提供することである。
【0025】
本発明の更なる目的は、キーを回復させるために複数のキー回復エージェントの協同を必要とするポリシー・オプションをサポートするキー回復システムを提供することである。
【0026】
本発明の更なる目的は、外部の検証者が(キー回復キーへのアクセスなしで)、キー回復値が本発明の修整なしのシステムに従っているというある程度の信頼性を得ることができるキー回復システムを提供することである。
【0027】
本発明の更なる目的は、キー回復値の送信を避ける本発明の修整されたシステムが、キー回復値を有効と認める必要のある修整なしのシステムと相互に動作できないようなキー回復システムを提供することである。
【0028】
【課題を解決するための手段】
本発明は、前述の米国特許出願に開示された「差動作業ファクタ」のシステムに基づく。本発明においては、通信の行われている国の法令及び規則に従って、ホストの国々内のキー回復エージェントに対して1又は複数のキー部分を与える。それでも尚ユーザは、いずれのキー回復エージェントにも知られていないそのキーの一部を保持することができる。この特徴は、仮にこの特徴がないとすればキー回復システムの使用を躊躇するユーザも満足させるはずである。
【0029】
単純な例により、本発明を簡単に説明する。この例は、政府に対しては単一DES作業ファクタのみを提示しながら、権限のない第三者に対しては三段DES保護を実現する方法を実証する。X国内の通信パーティが、168ビット・キーを使用してY国内の通信パーティと通信することを望んでいるものと想定する。これを実行するために2つの通信パーティは、それらがランダムに発生する280ビット値(PQR)を使用する。最初の2つの112ビット部分(P及びQ)が、排他的OR論理により処理されて1つの112ビット値が発生される。この112ビット値が残りの56ビット部分(R)へ付加されて、168ビットの結果値が発生される。56ビットのR値は、いずれの者に対しても明らかにされることはない。そして、168ビット結果値に対して単方向ハッシュ関数を用いることにより、セッション・キー(又は、これらの通信パーティにより用いられる他のいずれかのキー)が導出される。
【0030】
P値は、各国内の一人のキー回復エージェントの公開キーを用いて暗号化される。Q値は、各国内の別のキー回復エージェントの公開キーを用いて暗号化される。従って、一人のキー回復エージェントが不正であってP値が漏れた場合でも、まだQ値が攻撃者に知られていなければ問題を生じない。Q値又はR値のいずれも知られていなければ、攻撃者は、通信を解読するためになお168ビット・キーを破る必要がある。ユーザにとってこの解決手段は、キー全体が1又は複数のキー回復エージェントに知られているシステムに比べてより好ましいものである。2つの国が通信するとき、P及びQの暗号化された値が、暗号化ファイルに先行する。この解決手段は、電子メッセージを傍受可能であることを前提とする。
【0031】
上記の例では、説明のために168ビット・キーが用いられた。しかしながら、一般的には、P及びQの値と、Rの値とは、独立して変えることができかつ各国について調整することができる。
【0032】
本発明の好適な実施例においては、大きなフレキシビリティが得られる。例えば、本発明は、各国の法令及び規則に適応可能でありかつ適応させやすい。キーの共有部分(P、Q)の長さ及び非共有部分(R)の長さについては、構造的フレキシビリティがある。二国間の通信については、Rの長さの下限に関してキー回復規約をデフォールトにできるため、作業ファクタを軽減することができる。キー管理は、今日の標準的技術慣習に従って様々な方法で行うことができる。
【0033】
法執行機関は、確実に、キー回復エージェントから常に正しい情報を与えられる。法執行機関は、その情報を暗号化し、その暗号化情報と傍受された暗号化ブロックとの一致性を比較するだけでよい。これにより政府は、潜在的に「不正な」キー回復エージェントを識別することができる。
【0034】
キーは、セッション・レベルにおいて「使用可能とされる」。これにより、コンパートメント化を実現し、権限のある裁判所命令を介して暗号化データへの適切なアクセスを実現する。公開キー・アルゴリズムの専用キーをキー回復エージェントと共有することは、良いアイデアではない。なぜなら、それは、他へ送信されるメッセージではなく他から受信された暗号化メッセージへのアクセスを行うものだからである。さらに、このことは、適切なコンパートメント化を強要するためにこれらのキーをしばしばロールオーバーさせてしまう。これについては、Y. Frankel及びM. Yungによる「Escrow Encryption Systems Visited: Attacks, Analysis and Designs」(Crypto ’95 Conference Proceedings, Aug. 1995)を参照されたい。
【0035】
本発明は、暗号化データへの権限あるアクセスに関する政府の要望に対し、商業的に受け入れ可能な解決策を提供する。
【0036】
本明細書では、「回復」という用語は、大体において「使用可能とする」ことを意味するために用いられる。秘密の値は、様々な方法で使用可能とすることができる。それは、暗号化されて第三者に対して使用可能とされるか、あるいは、暗号化されて暗号化データと共に伝送される。この場合、それは、電子的手段を介してアクセスされなければならない。この明細書中の実施例では、後者の手法を説明する。
【0037】
本発明においては、十分な情報を含むセッション・コンテキストを送信する。これにより、(1)受信者がキーを導出することができ、(2)受信者が関連するキー回復情報を検証することができ、(3)権限あるエンティティがキーの構成要素を回復することができる。
【0038】
「差動作業ファクタ」は、政府又は機関の方針決定の一部として設定することができる。すなわち、政府又は機関は、いずれのキー回復エージェントにも知られていないキーの一部をユーザが保持することを認める。この特徴は、キー回復システムの使用に関して懸念を抱いていたユーザを満足させるものであろう。
【0039】
本発明は、別々の国に所在するユーザと権限あるキー回復エージェントとの通信の必要性の問題を解決する。本発明は、多様な暗号アルゴリズム及びキーの長さに対して適用可能である。しかしながら、本明細書の目的から、キーの全長が168ビットである三段DESの例を用いることとする。
【0040】
本発明は、キー回復エージェントと共に機能する公開キー暗号を想定する。本発明は、ユーザ間でのキー配送のための公開キー暗号の使用を想定しない。本明細書中でのキー配送の例は公開キー暗号のみを用いるけれども、ソフトウェアをある程度修正すればケルベロス(Kerberos)・システム等の対称キー・システムも同様に使用できる。
【0041】
本発明は、ユーザ及びキー回復エージェントの公開キーが認証されることを想定する。これを実現する手順及び機構は、技術的に周知であり、本発明には含まれない。
【0042】
各国が多数のキー回復エージェントを使用していると想定する。各キー回復エージェントは、それ自身の公開キーと専用キーの対(例えば、1024ビットのRSAキー)を作成する。使用される暗号設備は、様々なサイズのキーを処理することができる。各キー回復エージェントは、専用キーを秘密状態に保持し、公開キーを公開する。
【0043】
好適には、キー回復エージェントの公開キー、それらの認証者の公開キー、又はこれらの公開キーを取得するための安全な手段が、クライアントのハードウェア若しくはソフトウェアに設けられる。これにより、「箱から出して直ちに」稼動できるターンキー・システムとして暗号製品を出荷することができる。本発明のキー回復システムを構成するシステムは、好適には、そのシステムが設置されて稼動することになる国を示す国別IDにより予めコンフィギュレーションされる。さらに、ユーザもまた、キー回復プロトコルにより必要とされる他の情報を用いてシステムをコンフィギュレーションできる。
【0044】
キー回復機能のみを具備する暗号製品においては、本発明は、アプリケーション・プログラムが直接暗号アルゴリズムを呼び出すことによりキー回復システムを迂回することを防止する。暗号アルゴリズムが呼び出されると、キー回復システムは、必ずキー回復プロトコルの各ステップを踏ませるようにする。すなわち、このプロトコル・ステップが無事に完了するまでは、アプリケーション・プログラムやユーザがデータの専用暗号化に用いられるキーを使用できないようにされている。
【0045】
ロールオーバーによる公開キーの置き換えにおいても注意を払うべきである。
【0046】
本発明は、2つの修整されたシステムが相互動作できるようにすることは課題としない。二人のユーザは、常に、本発明とは関係なく「彼ら自身のことをする」ことができる。加えて本発明は、喪失したキー若しくは忘却されたキーの問題を解決するものでもない。この問題を解決するとすれば、他の機構により解決しなければならない。
【0047】
本発明は、専用ハードウェアとして、汎用デジタル・コンピュータ上で実行されるソフトウェアとして、又は、これら2つの組合せとして実施可能である。「ソフトウェア」とは、本明細書に記載の方法ステップを実行するべくマシンにより読取り可能でありかつマシンにより実行可能な命令のプログラムを具現化する直接アクセス記憶装置(DASD)若しくは読取り専用メモリ(ROM)等のプログラム記憶装置によることを意味する。
【0048】
【発明の実施の形態】
図1は、別々の国に所在して個人的に通信したいと考えている二人のユーザのために暗号キーを発生する本発明の手順100を簡単に示した図である。慣用的に、これらの通信者を、「アリス」及び「ボブ」と称することとする。図2では、アリスがX国に、ボブがY国に所在しており、そして2つのシステムは通信チャネルを介して接続されていると仮定している。(本明細書では、特に明示しない限り、「アリス」及び「ボブ」はそれらのシステムを称している。)
【0049】
この例では、二人のユーザ(アリスとボブ)のみを含むが、通信は、三人以上のユーザの間でも可能である。さらに、X国及びY国を例として示したが、本発明は、1つの国内(及び1組のキー回復エージェント)全体で使用することも可能である。
【0050】
互いに通信するためにアリスとボブは、先ず、(明確にするために)PQR値と称されるランダムに発生された秘密の値102に関して同意する。PQR値102は、mビットのP値104と、mビットのQ値106と、nビットのR値108とからなる。図1に示す例では、mが112であり、nが56であるが、m及びnは、他の値を用いてもよい。
【0051】
後述する方法により、P値104が各国における第1のキー回復エージェントに共有される一方、Q値106が各国における第2のキー回復エージェントに共有される。R値108は、ユーザであるアリスとボブの間で共有される秘密として保持され、他のいずれのエンティティへも明かされない。R値108は、PQR値102の一部を構成しており、これは、P値104及びQ値106をキー回復エージェントから取得した後であっても権限ある通信パーティ(情報機関及び法執行機関等)が使用可能な暗号手段を用いて確認しなければならない。従って、R値108の長さは、協調して行動する特定の国のキー回復エージェントに対する暗号手順の強固さを決定する。この例では、P、Q、及びRのサイズは、X国及びY国において同じである。
【0052】
暗号キーを発生するために、P値104及びQ値106は、互いに排他的OR(XOR)論理により、すなわち、ビット単位モジュロ2加算(符号110)により処理され、112ビットの結果値(符号112)を生成する。
P XOR Q
この例ではXORオペレーションを用いたが、他の結合オペレーションを替わりに用いることもできる。
【0053】
その後、結果値112はR値108と連結され、168ビットの中間値114を生成する。
(P XOR Q)‖R
(特に明示しない限り、本明細書中において「連結」は、ビットを交互配置することを含む。)
【0054】
その後、中間値114は、1又は複数回(予測可能な方法で僅かに入力を変えつつ)ハッシュ処理され(符号116)、そして発生されたハッシュ値から最終的なキー値118が抽出される。例えば、単一DES暗号化においては56ビットのキー値118が抽出され、三段DES暗号化においては56ビットのキー値が3個抽出される。
【0055】
図1に示した例では、PQR値102は、X国及びY国の各々についてP値104、Q値106、及びR値108へ同じように分割される。しかしながら一般的には、図3乃至図5に示すように国によって分割の仕方を変えてもよい。
【0056】
図3乃至図5の例では、アリスが、秘密の開始PQR(SPQR)値202を発生する。SPQR値は、(2m+2n)ビットを含む。すなわち(上記の例で仮定したように)mを112としnを56とすると、SPQR値は336ビットを含む。SPQR値202は、等しい長さの2つの部分からなる。すなわち、168ビットの左半分204及び168ビットの右半分206である。(一般に、SPQRを半分に分割することは、偶数ビットを一方の半分とし奇数ビットを他方の半分とする等、任意の方法で行われる。)左半分204はさらに分割されて、P部分208とR1部分210を生成する。一方、右半分206もさらに分割されて、Q部分212とR2部分214を生成する。(同様に、左右の半分204及び206をさらに分割することも任意の方法で行われる。)R1とR2とを排他的OR(XOR)論理で処理することにより(符号216)、R値218が得られる。
R=R1 XOR R2
P部分208及びQ部分212は、権限あるキー回復エージェントに対して使用可能とされる。R1部分210及びR2部分214並びに導出されたR値218は、ユーザにより保持される。
【0057】
この例においてR値218を発生する方法では、P、Q、及びRの長さを国によって変えることができる。従って、R1、R2及びRの長さは、「0」でもよい。この場合、PがSPQR値202の168ビット左半分204の全体からなり、Qが168ビットの右半分206の全体からなる。一方、P及びQの長さを「0」としてもよい。この場合、R1がSPQR値202の168ビット左半分204の全体からなり、R2が168ビットの右半分206の全体からなる。さらに一般的には、その国の要件に従って、Rの長さを、「0」から左右の半分204及び206の長さ(この例では、168ビット)までの範囲で変えてもよい。
【0058】
図3に示す例では、各国の二人のキー回復エージェントへそれぞれの共有キー部分(P及びQ)を与えるために、2つの(m+n)ビット量が発生される。しかしながら、この手順は、各国に三人以上のキー回復エージェントが存在する場合には、3個以上の共有キー値を与えるように容易に適応させられる。図15を参照すると、共有キー部分にmビットあり、非共有キー部分にnビットあり、そして各国にN個のキー回復エージェントがある場合、ユーザはN個の(m+n)ビット値H1〜HNを発生する。そして、各(m+n)ビット値であるHiのmビット(Pi)を共有キー部分として異なるキー回復エージェントへ与える。そして各(m+n)ビット値Hiの残りのnビットをXOR処理して非共有キー値Rを発生する。そして、mビットの共有キー部分Piを互いにXOR処理(符号804)し、その結果(P)をRと連結して値(符号806)を発生し、さらに値806を1又は複数回ハッシュ処理する(符号808)ことにより、キーKが発生される。
【0059】
図4及び図5は、国によるSPQR値202の分割の仕方の例を示す。この例では、X国に所在するアリスが56ビットのR値218(=r1 XOR r2)を用いる(図4参照)。アリスは、SPQR202の左半分204を112ビットのPx部分220と56ビットのr1x部分222へ分割し、同様に、右半分206を112ビットのQx部分224と56ビットのr2x部分226へ分割することによりこれを行う。
【0060】
一方、Y国に所在するボブは、0ビットのR値を用いる(図5参照)。ボブは、SPQR202の左半分204を168ビットのPy部分228と長さ「0」のr1y部分(図示せず)へ(名目上の意味において)分割し、同様に、右半分206を168ビットのQy部分230と長さ「0」のr2y部分(図示せず)へ(名目上)分割することによりこれを行う。
【0061】
アリスのP値及びQ値であるPx(220)及びQx(224)は、X国により権限を認められたキー回復エージェントの公開キーを用いて暗号化される。一方、ボブのP値及びQ値であるPy(228)及びQy(230)は、Y国により権限を認められたキー回復エージェントの公開キーを用いて暗号化される。暗号化されたP値及びQ値は、後述するように、暗号化データと共に伝送されることによりキー回復エージェントに対して「使用可能とされる」。図3乃至図5に示した例においては、アリスが、r1x(222)及びr2x(226)から計算された56ビットのR値(Rx)を有し、アリスはこのR値をいずれの第三者に対しても明かさない。ボブのr1y及びr2yは長さ「0」(すなわち、ヌル)であるので、ボブは対応するRy値をもたない。
【0062】
図6乃至図13は、アリスとボブとの間でPQR値を確立する手順を示している。この例では、X国にいるアリス(送信者)が、Y国にいるボブ(受信者)に対して暗号化メッセージを送ろうとしている。この場合、X国及びY国は、異なるサイズのR値(SPQRの明かされない部分)を要求する。
【0063】
概略を述べると、アリスのシステムは、プロトコル情報を格納するセッション・ヘッダ312を作成し(図7参照)、セッション・ヘッダ312に記憶された情報から暗号キーK(118)を発生し、キーKを用いて第1のメッセージ(メッセージ1)を暗号化することにより暗号化メッセージ1を発生する(図8参照)。セッション・ヘッダ312及び暗号化メッセージ1(314)は、ボブへ送られる。ボブのシステムは、先ず、ヘッダ312内のプロトコル情報に対して整合性検査を行う。検査を無事終えると、ボブのシステムは、セッション・ヘッダ312内の情報を用いて暗号キーKを再発生する。その後、キーKは、アリスから受信されたメッセージ1(314)を復号化するために用いられる。
【0064】
開示された例では、セッション・ヘッダ312は、セッションを構成する1又は複数のメッセージのうち最初のメッセージ314のみへ付加される。別の例としては、各メッセージがそれ自身のヘッダ312を有してもよい(この場合、セッション・ヘッダというよりもむしろメッセージ・ヘッダというべきであろう)。
【0065】
この手順を、さらに詳細に説明する。図10を参照すると、ステップ502においてアリスのシステムが、336ビットの秘密の開始PQR(SPQR)値202(図3参照)を発生することにより開始される。SPQR値202は、図1に示す手順を用いて秘密キーK(118)を発生するためにアリスとボブの双方により用いられる。キーKは、メッセージを暗号化及び復号化するために用いられる。これは、SPQRの168ビットの左半分と168ビットの右半分とを排他的OR論理で処理して図1に示す中間値(P XOR R)‖Rを形成することにより実行される。その後、図1に示すキー導出プロセスが続けられる。
【0066】
次にステップ504においてアリスは、本質的にキー配送用であるボブの公開キーを用いてSPQR値202を暗号化し、暗号化SPQR値であるSPQR′を発生する。(各ユーザは、キー配送用に1つの公開キーと専用キーの対を用い、そして署名用に別の公開キーと専用キーの対を用いると想定する。)暗号化されたSPQR′値は、暗号キーと論理的に等価であり、次のように評価される。
SPQR′=ePUb(HASH(T1);SPQR;SALT0)
ここで、PUbは、受信者(ボブ)の公開キーであり、SPQRは、ステップ502で発生されたSPQR値202(図3参照)であり、SALT0は、160ビットの秘密のランダム値であり、HASH(T1)は、秘密ではないハッシュ値(好適には、128若しくは160ビット)であり、そしてT1は、後述する秘密ではない回復情報である。
【0067】
SALT0は、暗号化SPQR値であるSPQR′を保護する。たとえ元のSPQR値202の一部が知られたとしても、残りの部分については、暗号化値SPQR′に対して全数探索を行う攻撃を介しては見出すことはできない。さらにSALT0は、公開単方向関数への入力としても用いられ(ここで、「単方向」は通常の暗号の意味で用いられる)、4個の更なるSALT値(SALT1、SALT2、SALT3、及びSALT4)を発生する。4個のSALT値は、後述する方法でP値及びQ値を暗号化するために用いられる。単方向関数は、SALT0からSALT1〜SALT4を容易に計算するが、これらの導出されたSALT値のいずれからもSALT0は演算上容易に発生できないようにする。
【0068】
HASH(T1)は、公開単方向ハッシュ関数を用いて回復情報T1に対して計算されたハッシュ値である。HASH(T1)は、T1内の情報に対する「逆署名」の形態を与える。逆署名は、情報を1つの秘密へ強固に結合させる。何人も逆署名を計算することができるが、暗号化ブロックの中の全ての秘密を知っている(そしてそれにより公開キーを用いて暗号化ブロックを再生できる)か又は公開キーを知っている(そしてそれによりそれらの秘密を直接回復できる)ユーザのみが、逆署名を検証することができる。逆署名に関する更なる詳細は、D. B. Johnson及びS. M. Matyasによる「Enhanced Optimal Asymmetric Encryption: Reverse Signatures and ANSI X9.44」(Proceedings of the 1996 RSA Data Security Conference, San Francisco, CA, 1996)を参照されたい。
【0069】
SPQR、SALT0、及びHASH(T1)の値は、ブロックの形にされ(図11参照)、処理され、そしてボブの公開キーを用いて暗号化される。好適には、これは上記文献に記載の拡張最適非対称暗号手順(enhanced optimal asymmetric encryption procedure)を用いて行われるが、他の手順も同様に用いることができる。
【0070】
次にステップ506においてアリスは、ステップ502で発生されたSPQR値202を用いて、X国及びY国について適切なPx値220、Qx値224、Py値228、及びQy値230(図4及び図5参照)を導出する。そして、X国及びY国のそれぞれについて権限あるキー回復エージェントの公開キーを用いてこれらの値を暗号化し、暗号化されたP値及びQ値であるPx′値、Qx′値、Py′値、及びQy′値を発生する。
【0071】
暗号化されたP値及びQ値は、秘密のSPQR値202の、キー回復エージェントに対して「使用可能とされた」部分である。すなわち、これらは、権限ある裁判所命令若しくは他の公的機構によりキー回復エージェントから得ることができる。暗号化されたP値及びQ値は、次のように定義される。
Px′=ePUx1(HASH(T1);Px;SALT1)
Qx′=ePUx2(HASH(T1);Qx;SALT2)
Py′=ePUy1(HASH(T1);Py;SALT3)
Qy′=ePUy2(HASH(T1);Qy;SALT4)
ここで、PUx1はX国についてのキー回復エージェント1の公開キー、PUx2はX国についてのキー回復エージェント2の公開キー、PUy1はY国についてのキー回復エージェント1の公開キー、そしてPUyはY国についてのキー回復エージェント2の公開キーである。
【0072】
Px及びQxは、X国における権限あるキー回復エージェントに対して「使用可能とされた」P値220及びQ値224(図4参照)である。
Py及びQyは、Y国における権限あるキー回復エージェントに対して「使用可能とされた」P値228及びQ値230(図5参照)である。
SALT1、SALT2、SALT3、及びSALT4は、ステップ504において発生された160ビットの秘密の導出値である。
HASH(T1)は、ステップ504において発生された128ビット又は160ビットの秘密でないハッシュ値である。
T1は、ステップ504における秘密でない回復情報である。
【0073】
SALT1〜SALT4は、暗号化されたP値及びQ値を保護する。仮にP値又はQ値の一部が知られたとしても、残りの部分は、暗号化されたP値又は暗号化されたQ値に対して全数探索を行う攻撃を介しては見出すことができない。例えば、Px及びQxが、それぞれPy及びQyの正式のサブセットである状況を考える。仮にPx及びQxが権限ある裁判所命令を介してキー回復エージェントから取得されたとしても、Rを回復するタスクは、先ず(Rの部分を回復するために)Py及びQyを探りその後Rの残りの部分を探ることにより、それほど簡単にはならない。等しい値の2つのブロックが異なる公開キーを用いて暗号化される状況を避けるべく、SALT1〜SALT4の値が異なるように特に設定されている。
【0074】
暗号化SPQR値に存在するHASH(T1)もまた、暗号化されたP値及びQ値に含まれる。これにより、暗号化されたP値又はQ値に対する回復情報T1の強固な結合が得られる。従って、キー回復エージェントは、暗号化されたP値又はQ値が提示された裁判所命令に記載された条件を満足するか否かを判断するための手段を与えられる。
【0075】
P値又はQ値、SALT値、及びHASH(T1)は、ブロックの形とされ(図12参照)、処理され、そしてキー回復エージェントの公開キーを用いて暗号化される。好適には、これは、上述のD. B. Johnsonらによる文献に記載の拡張最適非対称暗号化手順を用いて行われるが、他の手順を用いることもできる。
【0076】
暗号化ステップ504及び506に続いてアリスは、ステップ508において、暗号化SPQR′値(304)、暗号化P値及びQ値(306)、及び回復情報T1(308)を含むセッション・コンテキスト・ブロック302を発生する(図6参照)。
【0077】
ステップ510においてアリスは、彼女の個人的署名を用いてセッション・コンテキスト302にデジタル的に署名し、署名310を発生する(図7参照)。署名310は伝送される分量を互いに結合させ、そして署名310によりボブは、受信された暗号化SPQR304が、承認を求めた送信者アリスから発せられたことを認める。ステップ512において署名310がセッション・コンテキスト302へ付加され、セッション・ヘッダ312を構成する(図7参照)。(別の例として、署名を避けたい場合には署名を省略してもよい。)
【0078】
最後に、ステップ518において、セッション・ヘッダ312及び暗号化メッセージ1(314)を含むパケット316がボブへ送信される。
【0079】
図13では、パケット316(図8参照)をアリスから受信したボブのシステムが、先ずステップ602において、アリスの公開署名キーを用いてセッション・コンテキスト302に対して署名310の有効性を検証する。
【0080】
その後ステップ604において、ボブは、彼の専用復号キーを用いて暗号化されたSPQR値304(図6参照)を復号化し、元のSPQR値202(図3参照)を取得する。
【0081】
その後ステップ606において、ボブは、受信された暗号化P値及びQ値308を有効と認める。これは、復号化されたSPQR値202からPx、Qx、Py、及びQyの値を再構成し、各国(X及びY)の権限あるキー回復エージェントの公開キーを用いてこれらの値を暗号化し、そしてこれらの生成された値がアリスから受信された暗号化P値及びQ値と等しいことを比較することにより行われる。
【0082】
その後ステップ608において、ボブは、以前にアリスにより用いられた手順を用いて復号化されたSPQR値202からキー118(図1)を再生する。これは、ステップ606においてアリスから正しい暗号化P値及びQ値を受信したことを判断した後にのみ行われる。ステップ610において、ボブのシステムに対して要求しているアプリケーション・プログラムにキー118が与えられることにより、そのプログラムがアリスからの暗号化メッセージ1(314)を復号化することができる。
【0083】
回復情報T1が設けられることにより、(1)ボブは、各キー回復エージェントにおける暗号化SPQR値304並びに暗号化P値及びQ値306を有効と認めることができ、(2)キー回復エージェントは、それぞれ自身の暗号化P値及びQ値を有効と認めることができる。
【0084】
図9は、回復情報T1の構成を示す図である。送信者ID402により受信者は、セッション・コンテキスト302に関して送信者により発生された署名310を有効と認めるために必要な認証された公開キーを取得することができる。
【0085】
受信者ID406により受信者は、メッセージ314が実際に彼若しくは彼女宛てのものであることを判断することができる。
【0086】
発信国の国別ID404及び宛先国の国別ID408により、受信者は、同等の暗号化P値及びQ値を再生してそれらが受信された暗号化P値及びQ値306と等しいことを比較することによりそのセッション・コンテキスト302の内容を有効と認めることができる。
【0087】
送信者及び受信者のキー回復エージェントID410及び412により、受信者は、真正のキー回復エージェントが本発明の手順に従って用いられたことを認めることができる。さらに、これらのID410及び412により、取得される各キー回復エージェントの公開キーの認証ができる。またさらに、キー回復エージェントID410及び412によって法執行機関は、いずれのキー回復エージェントがユーザの暗号化P値及びQ値306を復号化できるかを知ることができる。各ユーザについてデフォールトのキー回復エージェントID410及び412を、X.509バージョン3認証(X.509 version 3 certificate)の付加部分として伝送することができる。
【0088】
(任意の)固有セッションID414により、送信者及び受信者がそのセッションを識別することができる。
【0089】
暗号期間416は、キー使用の開始及び終了の日付及び時間により指定される。P値及びQ値は、裁判所命令の期間がキーの暗号期間の一部と重ならない限り渡されない。キー回復システムは、比較的短い暗号期間(例えば、1日未満)を設定し得る。この期間は国の方針決定による場合もある。このことからセッション・コンテキスト302は、必然的に動的にセットアップされ、送信者と受信者との間で伝送されなければならない。
【0090】
作成日/時間418は、セッション・コンテキスト302が作成された日付及び時間(UTCコード化)を表す。受信者は、整合性検査の一部としてその日付及び時間を検査する。P値及びQ値へアクセスするためには、その日付及び時間が裁判所命令の期間内に含まれていなければならない。
【0091】
暗号アルゴリズムID420により、本発明の手順をパラメータ化することができる。すなわち、P値、Q値、及びR値のサイズを、データ暗号化に用いられる暗号アルゴリズムに依存させることができる。
【0092】
各ユーザについての公開キー認証は、X.509バージョン3認証標準(X.509version 3 Certificate Standard)に従うと想定する。バージョン3の拡張により、ユーザID、国別ID、第1のキー回復エージェントID及び第2のキー回復エージェントID等、PQRプロトコルについての所与の必要な情報を保持できることが望ましい。さらに、送信者及び受信者の公開キー認証が、PQRシステムに対して使用可能とされなければならない。従って、キー配送を実行する目的でユーザの公開キーが使用可能とされるとき、キー回復を行うために必要な情報もまた使用可能となり、有効と認められる。認証は、この情報を伝送するに自然な場所と考えられる。ユーザのキー回復情報をユーザの公開キー認証に一体化することにより、ユーザがPQRシステムを誤って使用する場合が少なくなる。誤った使用とは、例えば、好都合なキー回復オプションを用いて異なる国別IDを要求すること等である。
【0093】
対称キー暗号システム(Kerberos等)を用いてキー配送が実行されるシステムにおいては、キー配送センター(KDC)により同じ情報を記憶しかつ与えられることができる。さらにKDCは、暗号化P値及びQ値を準備することができる。暗号化P値及びQ値に対して整合性検査を実行するためには、Kerberosの特殊なバーョンが必要とされる。
【0094】
本発明のシステムにより必要とされる情報は、図14に示す大域通信テーブル700と称されるテーブルに記憶される。大域通信テーブル700は、特定のアルゴリズム及び異なる国々に所在するユーザについてのキー並びにP、Q、及びRのサイズをシステムが計算できるように情報を格納する。さらに大域通信テーブル700は、各国で権限を認められたキー回復エージェントの公開キーも格納できる。テーブル中の数字は、本発明の許容するフレキシビリティを実証するためだけの例示である。変形については、事実上制限がない。特に、各国は多数のキー回復エージェントを有することができる。
【0095】
各国間通信においては、本発明のシステムは、ボブの公開キー認証又は相当するシステム・コンフィギュレーション情報からボブの国別IDを決定することができる。アリスの発信国の国別ID及びボブの宛先国の国別IDを用いて、システムは、アリス及びボブが使用できる最大のキー長さを計算する。この値は、2つのキーの値のうち小さい方である。例えば、DESにおけるX国についてのキー値が64ビット、Y国についてのキー値が128ビットの場合、64ビットが選択される。
【0096】
国別ID=XのアリスについてのPx、Qx及びRxの長さ、並びに、国別ID=YのボブについてのPy、Qy及びRyの長さが計算される。この場合、PQRシステムでは、発信国及び宛先国により必要とされるビット数のみの回復が可能である。従って、P、Q及びRのサイズは、国によって変化する可能性がある。しかしながら、(Px XOR Qx)‖Rxのサイズ及び値は、常に、(Py XOR Qy)‖Ryのサイズ及び値と等しくなるので、アリス及びボブにより確実に同じキー値が計算される。
【0097】
本発明は、関連する国々の輸出入規定に従って、本発明を組み込んだシステムと本発明を省いたシステムとの間の相互動作性を実現する。非PQRシステムは、双方の国にキー回復の必要性がない場合以外は、送信者として動作することができずかつPQRシステムと通信することができない。これは、受信するPQRシステムが、セッション・コンテキストを有効と認めるために必要なセッション・コンテキスト内の暗号化P値及びQ値を調べようとするからである。PQRシステムは、送信者にとって受信者についてのデフォールトのキー回復情報セットを決定する手段がない限り、送信者として動作できずかつ非PQRシステムと通信することができない。仮に送信者が受信者についての国別IDを決定することができ、そしてPQRスキームが各国についての2つのデフォールトのキー回復エージェントのIDを与えたとすれば、PQRシステムは、送信者として動作でき、そして受信者として動作する非PQRシステムと通信できるであろう。しかしながら、それでもなお受信者は、セッション・コンテキスト内の受信したPQR値を用いて同じキー導出アルゴリズムを使用する必要があるであろう。
【0098】
暗号化SPQR及び暗号化Px、Qy、Py、及びQyの値に用いられるランダム態様のSALT1〜SALT4は、これらが正しいとボブが検証できるような方法で発生されなければならない。ボブは、キー回復エージェントに属する専用キーを知らないので、これを行う唯一の方法は、キー回復エージェントの公開キーを用いて平文値を暗号化し、それらが受信された値と等しいか否かを比較することである。
【0099】
このことは、暗号化されたPx、Qx、Py、及びQyの値の中のSALT値が、暗号化SPQR値の中のSALT値から導出可能でなければならないことを意味する。これを行う方法の1つは、SALT0に対してカウント・フィールドを付加し、その結果を単方向ハッシュ関数によりハッシュ処理することにより、暗号化Px、Qx、Py、及びQyの値のそれぞれについて疑似ランダムSALT値(SALT1、SALT2、SALT3、及びSALT4)を生成することである。カウントは、セッション・コンテキスト内の暗号化P値又はQ値の順序を表す数値を含む。この方法を行うことにより、暗号化Px、Qx、Py、及びQyの値の中の導出される全てのSALT値が独立に現れる。不正なキー回復エージェントは、導出された1つのSALT値を用いて別の暗号化P値又はQ値のセキュリティを弱めることができない。権限ある要求者にP値又はQ値を供給することに加えて、キー回復エージェントは、使用済みの導出されたSALT値もまた供給することができる。これにより権限ある要求者は、キー回復公開キーを用いて、キー回復エージェントにより正しい復号化が行われたことを検証することができる。
【0100】
権限ある要求者は、セッション・コンテキストへアクセスする。これを行う手段は、PQRフレームワークにおいて特定されない。権限ある要求者及びキー回復エージェントの双方が、セッション・コンテキストに対するデジタル署名を検証することにより、そのセッション・コンテキストがPQRフレームワークに従っているというある程度の信頼性を得ることができる。ここで、この検証は、いつでも誰でも、そして所望すれば何度でも行うことができる。なぜなら、秘密でない値のみが署名プロセスへ入力されるからである。
【0101】
権限ある要求者及びキー回復エージェントの双方は、ユーザID及び日付/時間値が有効であること、すなわち、キー回復要求を処理するための許可の際に指定されたことを検証することができる。他の公開情報もまた、適切であるとして有効性を認められる。
【0102】
本発明に基づいて暗号化された情報に対して合法的にアクセスするために、法執行機関は、先ず、指定された期間に指定された目標に対して盗聴を行うための許可証すなわち裁判所命令を取得する。次に、法執行機関は、暗号化データを収集するために通信を傍受しなければならない。次に、法執行機関は、裁判所命令と共に暗号化P値及びQ値をキー回復エージェントへ持ち込む。キー回復エージェントは、個人的にP値及びQ値を復号化し、裁判所命令に対してID及び日付を検査する。裁判所命令の全ての要件に適合していたならば、エージェントは、復号化されたP値及びQ値を法執行機関に渡す。その後、法執行機関は、P値とQ値とを互いにXOR処理し、全キーを導出するためにR値に関して全数探索を行い、そして導出されたキーを用いてその情報を復号化する。R値に関する全数探索の必要性は、広範囲のキー回復を行うためにキー回復エージェントが法執行機関と共謀しているかもしれないという潜在的問題に対処するためである。この全数探索の必要性は、そのような広範囲の乱用をコストが高すぎて実行できないものとするために設定されている。
【0103】
本発明を評価する場合、幾つかの種類の攻撃が考えられる。その1つは、不正なキー回復エージェントによるものである。仮にキー回復エージェントの一人が不正を行いそのP値を明かしたとしても、問題にならない。なぜなら、Q値はまだその攻撃者に知られていないからである。Q値又はR値を知らないので、攻撃者はなお、168ビットの中間値(P XOR QとRとの連結)を破ることが必要である。この解決方法は、キー全体をキー回復エージェントにより回復させる方法よりも、ユーザにとって好ましいはずである。キー回復エージェントたちが共謀していない限り、いかなる不正も不可能である。
【0104】
不正なキー回復エージェントは、別の暗号化P値又はQ値を解析しようとしても、彼の暗号化P値又はQ値に関係するSALT値を用いることはできない。各SALT値はPQRのSALT値を単方向関数に通すことにより導出されるので、各SALT値が独立に現れるからである。
【0105】
別の種類の攻撃は、不正なユーザによるものである。本発明は、双方のユーザが不正である場合、彼らが彼ら自身の暗号化方法を用いることができるか又はいずれのソフトウェア・システム検査も迂回できることを基本的に仮定している。従って、本発明は、双方のユーザが不正である場合の攻撃を防ごうとするものではない。これは、根本的な簡易化仮定である。
【0106】
送信者が不正であってそのキー回復値を送信しない場合、受信者がそれらの有効性を認めることができなくなる。不正な伝送を検知することにより、解読プロセスは起動されなくなる。
【0107】
受信者が不正であってそのキー回復値を検証しない場合でも、送信者はそれらを伝送し終えており、必要に応じてキー回復エージェントがそれらのキー回復値へアクセスできる。
【0108】
非常に長い暗号期間が認められる場合、一対のユーザは安全なチャネル(例えば、直接会うこと)を通してセッション・コンテキストを送ることができ、このセッション・コンテキストを長時間用いることができる。この場合、セッション・コンテキストへのアクセスにおける問題が生じるかもしれない。1つの解決策は、限定された暗号期間を指定することにより動的セッション・コンテキストを用いるように求めることである。
【0109】
公開キーの認証ができるクライアント装置における認証管理のための公開キー・インフラストラクチャが存在することが想定されている。さらに、各通信パーティは、その配置される国を決定できると想定されている。これは、移動性のあるユーザにとって重要である。
【0110】
本発明は、個人においては、権限なきエンティティによるキー全数探索攻撃に対して非常に耐性のあるデータ・プライバシーを提供する。権限ある回復においてさえ、残りの作業ファクタは容易なものではない。従って、法執行機関は、(キー回復を介して)選択された個人を監視することができるが、多くの人を監視することはあまり実際的ではない。同時に、本発明は、犯罪行為を監視するという法執行機関の必要性に対処する。なぜなら、疑わしい犯罪者を対象とすることができ、回復された彼又は彼女の暗号化メッセージにより情報を判断できるからである。
【0111】
セッション・レベルにおけるキー回復を設けることには、幾つかの利点がある。第1は、それがコンパートメント化される点である。権限あるキー回復の期間にほぼ一致することが望ましい、キーの有効期間がある。第2は、それが適切である点である。疑わしい悪意の送信者からのメッセージを受け取るために受信者の専用復号キーを開放することは、不適切である。誰でも高位の官僚へメッセージを送ることができる。このことは、これらの官僚が彼らのキーを開放してしまったことを意味しない。
【図面の簡単な説明】
【図1】P、Q及びRの値から暗号キーを発生する本発明による基本手順を示す概略的構成図である。
【図2】本発明により実施された基本的通信システムの概略的構成図である。
【図3】R値の長さを国毎に変更可能とした図1の手順を修整した概略的構成図である。
【図4】図3に示したSPQR値の左半分及び右半分の1つの可能な分割を示す概略的構成図である。
【図5】図3に示したSPQR値の左半分及び右半分の別の可能な分割を示す概略的構成図である。
【図6】目的の受信者へ伝送されるセッション・コンテキストの概略的構成図である。
【図7】目的の受信者へ伝送されるセッション・ヘッダの概略的構成図である。
【図8】目的の受信者へ伝送されるメッセージ・パケットの概略的構成図である。
【図9】セッション・コンテキスト・ブロックにより目的の受信者へ伝送される回復情報の概略的構成図である。
【図10】目的の受信者へ伝送されるメッセージ・パケットを作成するために、送信者により実行されるステップの流れ図である。
【図11】暗号化前のSPQRブロックの形式を示す図である。
【図12】暗号化前のPブロック及びQブロックの形式を示す図である。
【図13】送信者から受信されたメッセージ・パケットを処理するために、目的の受信者により実行されるステップの流れ図である。
【図14】通信パーティにより用いられる国特有のデータを含む大域通信テーブルを示す図である。
【図15】図3に示した手順の発生を示す概略的構成図である。
【符号の説明】
100 暗号化手順
102 PQR値
104 P値
106 Q値
108 R値
110 モジュロ2加法
112 結果値
114 中間値
116 単方向ハッシュ関数
118 暗号キー

Claims (6)

  1. 一対の通信パーティにより使用される暗号キーを発生すると共に複数の協同的なキー回復エージェントを用いて前記暗号キーの回復を実行する装置であって、
    前記複数のキー回復エージェントとそれぞれ共有される複数の共有キー部分を発生する手段と、
    いずれのキー回復エージェントとも共有されない非共有キー部分を発生する手段と、
    前記複数の共有キー部分前記非共有キー部分とから前記暗号キーを発生する手段と、
    前記複数のキー回復エージェントを用いた前記暗号キーの回復を容易とするために、前記複数のキー回復エージェントに対して前記複数の共有キー部分をそれぞれ使用可能とする手段とを含む
    暗号キー回復装置。
  2. 前記暗号キーを発生する手段が、
    合成キー部分を発生するために前記複数の共有キー部分を結合させる手段と、
    前記合成キー部分前記非共有キー部分とから前記暗号キーを発生する手段とを含む
    請求項1に記載の装置。
  3. 前記複数の共有キー部分及び前記合成キー部分が、共通の長さを有する請求項2に記載の装置。
  4. 前記複数の共有キー部分が、モジュロ2加算により結合される請求項2に記載の装置。
  5. 前記複数のキー回復エージェントの各々が公開暗号キー及び対応する専用復号キーを有し、前記複数のキー回復エージェントに対して前記複数の共有キー部分をそれぞれ使用可能とする手段が、
    複数の暗号化共有キー部分を発生するために、前記複数のキー回復エージェントの前記公開暗号キーを用いて前記複数の共有キー部分をそれぞれ暗号化する手段と、
    前記複数のキー回復エージェントがアクセス可能な通信チャネルを通して前記複数の暗号化共有キー部分をそれぞれ伝送する手段とを含む
    請求項1に記載の装置。
  6. 前記暗号キーを発生する手段が、
    合成キー部分を発生するために前記複数の共有キー部分を結合させる手段と、
    中間値を発生するために前記合成キー部分を前記非共有キー部分と連結する手段と、
    前記中間値をハッシュ処理することにより前記暗号キーを発生する手段とを含む
    請求項1に記載の装置。
JP07150097A 1996-04-10 1997-03-25 暗号キーの回復を実行する装置 Expired - Fee Related JP3560439B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/629,815 US5815573A (en) 1996-04-10 1996-04-10 Cryptographic key recovery system
US08/629815 1996-04-10

Publications (2)

Publication Number Publication Date
JPH1041932A JPH1041932A (ja) 1998-02-13
JP3560439B2 true JP3560439B2 (ja) 2004-09-02

Family

ID=24524609

Family Applications (1)

Application Number Title Priority Date Filing Date
JP07150097A Expired - Fee Related JP3560439B2 (ja) 1996-04-10 1997-03-25 暗号キーの回復を実行する装置

Country Status (4)

Country Link
US (1) US5815573A (ja)
EP (1) EP0801478A3 (ja)
JP (1) JP3560439B2 (ja)
CA (1) CA2197915C (ja)

Families Citing this family (75)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
MX9800726A (es) * 1995-07-27 1998-04-30 Nextlevel Systems Inc Sistema criptografico con coeficiente de trabajo oculto.
US6026163A (en) * 1995-12-13 2000-02-15 Micali; Silvio Distributed split-key cryptosystem and applications
US5937066A (en) * 1996-10-02 1999-08-10 International Business Machines Corporation Two-phase cryptographic key recovery system
US20060195595A1 (en) 2003-12-19 2006-08-31 Mendez Daniel J System and method for globally and securely accessing unified information in a computer network
US6708221B1 (en) 1996-12-13 2004-03-16 Visto Corporation System and method for globally and securely accessing unified information in a computer network
US5920630A (en) * 1997-02-25 1999-07-06 United States Of America Method of public key cryptography that includes key escrow
US6766454B1 (en) 1997-04-08 2004-07-20 Visto Corporation System and method for using an authentication applet to identify and authenticate a user in a computer network
US6249585B1 (en) * 1998-04-08 2001-06-19 Network Associates, Inc Publicly verifiable key recovery
US6694433B1 (en) * 1997-05-08 2004-02-17 Tecsec, Inc. XML encryption scheme
US6122742A (en) * 1997-06-18 2000-09-19 Young; Adam Lucas Auto-recoverable and auto-certifiable cryptosystem with unescrowed signing keys
US6389136B1 (en) 1997-05-28 2002-05-14 Adam Lucas Young Auto-Recoverable and Auto-certifiable cryptosystems with RSA or factoring based keys
US6243466B1 (en) 1997-08-29 2001-06-05 Adam Lucas Young Auto-escrowable and auto-certifiable cryptosystems with fast key generation
CN1241353C (zh) * 1997-05-28 2006-02-08 亚当·卢卡斯·扬 自动可恢复自动可认证密码系统
US6202150B1 (en) 1997-05-28 2001-03-13 Adam Lucas Young Auto-escrowable and auto-certifiable cryptosystems
US6314190B1 (en) 1997-06-06 2001-11-06 Networks Associates Technology, Inc. Cryptographic system with methods for user-controlled message recovery
JPH1131105A (ja) * 1997-07-10 1999-02-02 Fuji Xerox Co Ltd データカプセル生成装置および方法
US6058188A (en) * 1997-07-24 2000-05-02 International Business Machines Corporation Method and apparatus for interoperable validation of key recovery information in a cryptographic system
US7328350B2 (en) * 2001-03-29 2008-02-05 Arcot Systems, Inc. Method and apparatus for secure cryptographic key generation, certification and use
US6170058B1 (en) * 1997-12-23 2001-01-02 Arcot Systems, Inc. Method and apparatus for cryptographically camouflaged cryptographic key storage, certification and use
US6181795B1 (en) * 1998-02-27 2001-01-30 International Business Machines Corporation Portable cryptographic key
US6233341B1 (en) 1998-05-19 2001-05-15 Visto Corporation System and method for installing and using a temporary certificate at a remote site
US6317829B1 (en) * 1998-06-19 2001-11-13 Entrust Technologies Limited Public key cryptography based security system to facilitate secure roaming of users
US7111173B1 (en) 1998-09-01 2006-09-19 Tecsec, Inc. Encryption process including a biometric unit
US6684330B1 (en) 1998-10-16 2004-01-27 Tecsec, Inc. Cryptographic information and flow control
US6535607B1 (en) 1998-11-02 2003-03-18 International Business Machines Corporation Method and apparatus for providing interoperability between key recovery and non-key recovery systems
JP2000165373A (ja) * 1998-11-25 2000-06-16 Toshiba Corp 暗号装置、暗号通信システム及び鍵復元システム並びに記憶媒体
US6473508B1 (en) 1998-12-22 2002-10-29 Adam Lucas Young Auto-recoverable auto-certifiable cryptosystems with unescrowed signature-only keys
US6877092B2 (en) 1998-12-31 2005-04-05 International Business Machines Corporation Apparatus, method, and computer program product for achieving interoperability between cryptographic key recovery enabled and unaware systems
US6396929B1 (en) * 1998-12-31 2002-05-28 International Business Machines Corporation Apparatus, method, and computer program product for high-availability multi-agent cryptographic key recovery
CA2259738C (en) 1999-01-20 2012-10-16 Certicom Corp. A resilient cryptographic scheme
MXPA01009051A (es) * 1999-03-11 2004-04-05 Tecsec Inc Metodo de criptograficacion de datos y de voz que usa un combinador de division de clave criptografica.
US7095851B1 (en) 1999-03-11 2006-08-22 Tecsec, Inc. Voice and data encryption method using a cryptographic key split combiner
US6947560B1 (en) * 1999-04-26 2005-09-20 Telefonaktiebolaget L M Ericsson (Publ) Method and device for effective key length control
EP1183816A4 (en) * 1999-05-26 2005-09-14 Ascom Hasler Mailing Sys Inc TECHNIQUE FOR ESTABLISHING DOUBLE DISTRIBUTED KNOWLEDGE AND RECOVERING AN ENCRYPTION KEY
US7373517B1 (en) 1999-08-19 2008-05-13 Visto Corporation System and method for encrypting and decrypting files
DE19946127A1 (de) * 1999-09-20 2001-04-12 Deutsche Telekom Ag Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren verschlüsselten Dokumenten nach Verlust des privaten kryptografischen Schlüssels
US6925563B1 (en) 1999-09-22 2005-08-02 Raytheon Company Multiplication of modular numbers
US7269261B1 (en) * 1999-09-22 2007-09-11 Raytheon Company Key escrow systems
KR100586030B1 (ko) * 1999-11-03 2006-06-01 한국전자통신연구원 암호키 복구 정보 관리 방법
US7739334B1 (en) 2000-03-17 2010-06-15 Visto Corporation System and method for automatically forwarding email and email events via a computer network to a server computer
US6823070B1 (en) * 2000-03-28 2004-11-23 Freescale Semiconductor, Inc. Method for key escrow in a communication system and apparatus therefor
CN1142653C (zh) * 2000-04-28 2004-03-17 杨宏伟 动态口令认证系统及方法
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US6907524B1 (en) 2000-10-13 2005-06-14 Phoenix Technologies Ltd. Extensible firmware interface virus scan
US7362868B2 (en) * 2000-10-20 2008-04-22 Eruces, Inc. Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
US20030021417A1 (en) * 2000-10-20 2003-01-30 Ognjen Vasic Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
KR100377196B1 (ko) * 2000-12-05 2003-03-26 한국전자통신연구원 다중 에이전트를 이용한 키 복구 시스템 및 그 방법
WO2002065694A1 (en) * 2001-02-12 2002-08-22 Accelerated Encryption Processing Limited A key management system and method
US7711122B2 (en) * 2001-03-09 2010-05-04 Arcot Systems, Inc. Method and apparatus for cryptographic key storage wherein key servers are authenticated by possession and secure distribution of stored keys
US7095858B2 (en) * 2001-05-10 2006-08-22 Ranco Incorporated Of Delaware System and method for securely upgrading firmware
US7116786B2 (en) * 2001-09-10 2006-10-03 Motorola, Inc. Interception of secure data in a mobile network
IL162008A0 (en) 2001-11-15 2005-11-20 Visto Corp System and methods for asychronous synchronization
CN100531185C (zh) * 2001-12-21 2009-08-19 国际商业机器公司 用于因特网上的电子交易的安全处理的方法与系统
GB2390270A (en) * 2002-06-27 2003-12-31 Ericsson Telefon Ab L M Escrowing with an authority only part of the information required to reconstruct a decryption key
US20060179305A1 (en) * 2004-03-11 2006-08-10 Junbiao Zhang WLAN session management techniques with secure rekeying and logoff
US8015211B2 (en) * 2004-04-21 2011-09-06 Architecture Technology Corporation Secure peer-to-peer object storage system
US7681042B2 (en) * 2004-06-17 2010-03-16 Eruces, Inc. System and method for dis-identifying sensitive information and associated records
BRPI0513794A (pt) * 2004-07-29 2008-05-13 Vadium Technology Inc técnicas para reforçar criptografia de enchimento de vez única
KR100769439B1 (ko) 2005-03-10 2007-10-22 (주)케이사인 공개 키 기반 구조 기술 기반의 키 프로파일 기법을 이용한 데이터베이스 보안 시스템
US7873166B2 (en) * 2005-09-13 2011-01-18 Avaya Inc. Method for undetectably impeding key strength of encryption usage for products exported outside the U.S
US7606769B2 (en) * 2005-10-12 2009-10-20 Kabushiki Kaisha Toshiba System and method for embedding user authentication information in encrypted data
US8296827B2 (en) * 2005-12-29 2012-10-23 International Business Machines Corporation Method for enabling an administrator to configure a recovery password
US20080037775A1 (en) * 2006-03-31 2008-02-14 Avaya Technology Llc Verifiable generation of weak symmetric keys for strong algorithms
CN101803272B (zh) * 2007-06-26 2013-08-14 豌豆制造技术有限公司 认证系统和方法
FR2931336B1 (fr) * 2008-05-19 2011-02-11 Eads Secure Networks Procedes et dispositifs d'emission et d'authentification de messages pour garantir l'authenticite d'un systeme
EP2461534A1 (en) * 2010-12-01 2012-06-06 Irdeto B.V. Control word protection
US9754130B2 (en) 2011-05-02 2017-09-05 Architecture Technology Corporation Peer integrity checking system
US20150254640A1 (en) * 2014-03-05 2015-09-10 Cryptographi, Inc. Method and apparatus for digital currency paper wallet
GB2513260B (en) 2014-06-27 2018-06-13 PQ Solutions Ltd System and method for quorum-based data recovery
KR101685042B1 (ko) * 2014-12-19 2016-12-12 주식회사 비즈모델라인 매체 분리 기반 일회용 인증코드 구현 방법
EP3248360B1 (en) 2015-01-19 2020-05-06 Inauth, Inc. Systems and methods for trusted path secure communication
US11057210B1 (en) 2015-09-30 2021-07-06 Apple Inc. Distribution and recovery of a user secret
JP6834771B2 (ja) * 2017-05-19 2021-02-24 富士通株式会社 通信装置および通信方法
FR3085815B1 (fr) 2018-07-11 2022-07-15 Ledger Gouvernance de securite du traitement d'une requete numerique
CN111711515B (zh) * 2020-05-18 2022-04-26 冠群信息技术(南京)有限公司 一种三方aes密钥合成方法、加密方法和解密方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE448810B (sv) * 1985-03-28 1987-03-23 Sture Schenstrom Sittbadkar med en i ena sidoveggen, av en lucka tillslutbar oppning
US5315658B1 (en) * 1992-04-20 1995-09-12 Silvio Micali Fair cryptosystems and methods of use
US5276737B1 (en) * 1992-04-20 1995-09-12 Silvio Micali Fair cryptosystems and methods of use
US5436972A (en) * 1993-10-04 1995-07-25 Fischer; Addison M. Method for preventing inadvertent betrayal by a trustee of escrowed digital secrets
FR2713419B1 (fr) * 1993-12-02 1996-07-05 Gemplus Card Int Procédé de génération de signatures DSA avec des appareils portables à bas coûts.
MX9602773A (es) * 1994-01-13 1997-05-31 Bankers Trust Co Sistema criptografico y metodo con aspecto de deposito de plica de clave.
US5557346A (en) * 1994-08-11 1996-09-17 Trusted Information Systems, Inc. System and method for key escrow encryption
JPH10511471A (ja) * 1994-08-12 1998-11-04 リートン,フランク、タムスン フェイルセイフキィ捺印システム
US5553145A (en) * 1995-03-21 1996-09-03 Micali; Silvia Simultaneous electronic transactions with visible trusted parties
US5764772A (en) * 1995-12-15 1998-06-09 Lotus Development Coporation Differential work factor cryptography method and system
US5768388A (en) * 1996-03-01 1998-06-16 Goldwasser; Shafi Time delayed key escrow
US5666414A (en) * 1996-03-21 1997-09-09 Micali; Silvio Guaranteed partial key-escrow

Also Published As

Publication number Publication date
CA2197915A1 (en) 1997-10-11
CA2197915C (en) 2002-12-10
US5815573A (en) 1998-09-29
EP0801478A2 (en) 1997-10-15
EP0801478A3 (en) 2000-08-30
JPH1041932A (ja) 1998-02-13

Similar Documents

Publication Publication Date Title
JP3560439B2 (ja) 暗号キーの回復を実行する装置
EP3642997B1 (en) Secure communications providing forward secrecy
JP3872107B2 (ja) 暗号キー回復システム
WO2021042685A1 (zh) 一种区块链的交易方法、装置及系统
US5907618A (en) Method and apparatus for verifiably providing key recovery information in a cryptographic system
US8670563B2 (en) System and method for designing secure client-server communication protocols based on certificateless public key infrastructure
US6298153B1 (en) Digital signature method and information communication system and apparatus using such method
US8687812B2 (en) Method and apparatus for public key cryptography
US11870891B2 (en) Certificateless public key encryption using pairings
US20120087495A1 (en) Method for generating an encryption/decryption key
JP6041864B2 (ja) データの暗号化のための方法、コンピュータ・プログラム、および装置
CN115865313A (zh) 一种轻量级隐私保护纵向联邦学习模型参数聚合方法
Prabhu et al. Security in computer networks and distributed systems
Wohlmacher Requirements and Mechanisms of IT-Security Including Aspects of Multimedia Security,"
JP3862397B2 (ja) 情報通信システム
CN113141249B (zh) 一种门限解密方法、系统及可读存储介质
RU2819174C1 (ru) Способ определения источника пакетов данных в телекоммуникационных сетях
JP2000349748A (ja) 秘密情報共有方法
Fumy Key management techniques
JP4000899B2 (ja) 認証付暗号方法及び認証付復号方法及び装置及びプログラム及びコンピュータが読み取り可能な記録媒体
JP4000900B2 (ja) 認証付暗号方法及び認証付復号方法及び検証方法及び装置及びプログラム及びコンピュータが読み取り可能な記録媒体
WO2023043793A1 (en) System and method of creating symmetric keys using elliptic curve cryptography
JP2010011478A (ja) 内在的署名を用いた鍵一致及び搬送方法
Ikbal Cryptography
KR101241829B1 (ko) 암호문의 익명성과 인증성을 만족하는 id 기반 사인크립션 방법

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040518

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040525

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080604

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080604

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090604

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100604

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110604

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110604

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120604

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120604

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130604

Year of fee payment: 9

LAPS Cancellation because of no payment of annual fees