JP3590284B2 - 暗号通信方法,暗号通信システム,共通鍵生成装置及び記録媒体 - Google Patents

暗号通信方法,暗号通信システム,共通鍵生成装置及び記録媒体 Download PDF

Info

Publication number
JP3590284B2
JP3590284B2 JP01625799A JP1625799A JP3590284B2 JP 3590284 B2 JP3590284 B2 JP 3590284B2 JP 01625799 A JP01625799 A JP 01625799A JP 1625799 A JP1625799 A JP 1625799A JP 3590284 B2 JP3590284 B2 JP 3590284B2
Authority
JP
Japan
Prior art keywords
entity
vector
specific information
key
common key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP01625799A
Other languages
English (en)
Other versions
JP2000216769A (ja
Inventor
重男 辻井
恭通 村上
正雄 笠原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Murata Machinery Ltd
Original Assignee
Murata Machinery Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Murata Machinery Ltd filed Critical Murata Machinery Ltd
Priority to JP01625799A priority Critical patent/JP3590284B2/ja
Priority to US09/489,696 priority patent/US7065210B1/en
Publication of JP2000216769A publication Critical patent/JP2000216769A/ja
Application granted granted Critical
Publication of JP3590284B2 publication Critical patent/JP3590284B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、暗号文にて通信を行う暗号通信方法及び暗号通信システム、共通鍵を生成する共通鍵生成装置、並びに、共通鍵を生成するためのプログラムを記録した記録媒体に関する。
【0002】
【従来の技術】
高度情報化社会と呼ばれる現代社会では、コンピュータネットワークを基盤として、ビジネス上の重要な文書・画像情報が電子的な情報という形で伝送通信されて処理される。このような電子情報は、容易に複写が可能である、複写物とオリジナルとの区別が困難であるという性質があり、情報保全の問題が重要視されている。特に、「コンピュータリソースの共有」,「マルチアクセス」,「広域化」の各要素を満たすコンピュータネットワークの実現が高度情報化社会の確立に不可欠であるが、これは当事者間の情報保全の問題とは矛盾する要素を含んでいる。このような矛盾を解消するための有効な手法として、人類の過去の歴史上主として軍事,外交面で用いられてきた暗号技術が注目されている。
【0003】
暗号とは、情報の意味が当事者以外には理解できないように情報を交換することである。暗号において、誰でも理解できる元の文(平文)を第三者には意味がわからない文(暗号文)に変換することが暗号化であり、また、暗号文を平文に戻すことが復号であり、この暗号化と復号との全過程をまとめて暗号系と呼ぶ。暗号化の過程及び復号の過程には、それぞれ暗号化鍵及び復号鍵と呼ばれる秘密の情報が用いられる。復号時には秘密の復号鍵が必要であるので、この復号鍵を知っている者のみが暗号文を復号でき、暗号化によって情報の秘密性が維持され得る。
【0004】
暗号化鍵と復号鍵とは、等しくても良いし、異なっていても良い。両者の鍵が等しい暗号方式は、共通鍵暗号方式と呼ばれ、米国商務省標準局が採用したDES(Data Encryption Standards)はその典型例である。このような共通鍵暗号方式の従来例は、次のような3種の方法に分類できる。
【0005】
(1) 第1の方法
暗号通信を行う可能性がある相手との共通鍵をすべて秘密保管しておく方法。
(2) 第2の方法
暗号通信の都度、予備通信により鍵を共有し合う方法(Diffie-Hellmanによる鍵共有方式,公開鍵方式による鍵配送方式など)。
(3) 第3の方法
各ユーザ(エンティティ)の氏名,住所などの個人を特定する公開された特定情報(ID(Identity)情報)を利用して、予備通信を行うことなく、送信側のエンティティ,受信側のエンティティが独立に同一の共通鍵を生成する方法(KPS(Key Predistribution System),ID−NIKS(ID-based Non-Interactive Key Sharing Schemes) など)。
【0006】
【発明が解決しようとする課題】
このような従来の3種の方法には、以下に述べるような問題がある。第1の方法では、すべての共通鍵を保管しておくようにするので、不特定多数のユーザがエンティティとなって暗号通信を行うネットワーク社会には適さない。また、第2の方法は、鍵共有のための予備通信が必要である点が問題である。
【0007】
第3の方法は、予備通信が不要であり、公開された相手のID情報とセンタから予め配布されている固有の秘密パラメータとを用いて、任意の相手との共通鍵を生成できるので、便利な方法である。しかしながら、次のような2つの問題点がある。一つは、センタがBig Brother となる(すべてのエンティティの秘密を握っており、Key Escrow System になってしまう)点である。もう一つは、ある数のエンティティが結託するとセンタの秘密を演算できる可能性がある点である。この結託問題については、これを計算量的に回避するための工夫が多数なされているが、完全な解決は困難である。
【0008】
この結託問題の難しさは、ID情報に基づく秘密パラメータがセンタ秘密と個人秘密との二重構造になっていることに起因する。第3の方法では、センタの公開パラメータと個人の公開ID情報とこの2種類の秘密パラメータとにて暗号系が構成され、しかも各エンティティが各自に配布された個人秘密を見せ合ってもセンタ秘密が露呈されないようにする必要がある。よって、その暗号系の構築の実現には解決すべき課題が多い。
【0009】
本発明は斯かる事情に鑑みてなされたものであり、特定情報(ID情報)をいくつかに分割し、複数の各センタ装置からその分割した特定情報に基づくすべての秘密鍵をエンティティに配布することにより、数学的構造を最小限に抑えることができて、結託問題の回避を可能にし、その暗号系の構築が容易であるID−NIKSによる暗号通信方法,暗号通信システム,共通鍵生成装置及び記録媒体を提供することを目的とする。
【0010】
【課題を解決するための手段】
請求項1に係る暗号通信方法は、センタ装置から複数のエンティティ装置夫々へ各エンティティ固有の秘密鍵を送付し、一方のエンティティ装置が前記センタ装置から送付された該エンティティ固有の秘密鍵から求めた共通鍵を用いて平文を暗号文に暗号化して他方のエンティティ装置へ伝送し、該他方のエンティティ装置が伝送された暗号文を、前記センタ装置から送付された該エンティティ固有の秘密鍵から求めた、前記共通鍵と同一の共通鍵を用いて元の平文に復号することにより、エンティティ装置間で情報の通信を行う暗号通信方法において、前記センタ装置が複数設けられており、その複数のセンタ装置夫々は、各エンティティの特定情報を分割した分割特定情報を用いて各エンティティ固有の秘密鍵を生成し、各エンティティ装置は、自身固有の秘密鍵に含まれている、相手のエンティティの分割特定情報に対応する成分を用いて前記共通鍵を生成するようにしており、各エンティティの分割特定情報に前記各エンティティ固有の乱数を加えて、前記各エンティティ固有の秘密鍵を生成することとし、前記各センタ装置における秘密鍵を生成する演算式は以下であることを特徴とする。
【0011】
【数9】
Figure 0003590284
【0012】
但し、
ベクトルsij:エンティティiのj番目の分割特定情報に対応する秘密鍵(j =1,2,・・・,K)
[ベクトルIij]:エンティティiのj番目の分割特定情報
P:素数
K:エンティティiの特定情報の分割数
g:GF(P)の原始元
j :乱数からなる2M ×2M の対称行列
M:エンティティiの特定情報の分割サイズ
αij:エンティティiの個人秘密乱数
(但し、αi1・・・αiK≡1(mod P−1))
【0013】
請求項2に係る暗号通信方法は、請求項1記載の暗号通信方法であって、各エンティティ装置における共通鍵を生成する演算式は以下であることを特徴とする。
【0014】
【数10】
Figure 0003590284
【0015】
但し、
im:一方のエンティティiが他方のエンティティmに対して生成する共通鍵
ベクトルsij[ベクトルIij]:エンティティiの秘密鍵ベクトルsijに含ま れ、エンティティmの分割特定情報に対応す る成分
【0016】
請求項3に係る暗号通信システムは、送信すべき情報である平文を暗号文に暗号化する暗号化処理、及び、送信された暗号文を元の平文に復号する復号処理を、複数のエンティティ装置間で相互に行う暗号通信システムにおいて、各エンティティの特定情報を分割した分割特定情報を用いて各エンティティ固有の秘密鍵を以下の演算式に従って生成して各エンティティ装置へ送付する複数のセンタ装置と、該センタ装置から送付された自身の秘密鍵に含まれている、通信対象のエンティティの分割特定情報に対応する成分を選び出す成分選出器、及び選び出した成分を用いて前記暗号化処理及び復号処理に用いる共通鍵を以下の演算式に従って生成する共通鍵生成器を備える複数のエンティティ装置とを有することを特徴とする。
【0017】
【数11】
Figure 0003590284
【0018】
但し、
ベクトルsij:エンティティiのj番目の分割特定情報に対応する秘密鍵(j =1,2,・・・,K)
[ベクトルIij]:エンティティiのj番目の分割特定情報
P:素数
K:エンティティiの特定情報の分割数
g:GF(P)の原始元
j :乱数からなる2M ×2M の対称行列
M:エンティティiの特定情報の分割サイズ
αij:エンティティiの個人秘密乱数
(但し、αi1・・・αiK≡1(mod P−1))
【0019】
【数12】
Figure 0003590284
【0020】
但し、
im:一方のエンティティiが他方のエンティティmに対して生成する共通鍵
ベクトルsij[ベクトルIij]:エンティティiの秘密鍵ベクトルsijに含ま れ、エンティティmの分割特定情報に対応す る成分
【0021】
請求項4に係る共通鍵生成装置は、暗号通信システムのエンティティ装置に設けられており、平文から暗号文への暗号化処理及び暗号文から平文への復号処理に用いる共通鍵を生成する共通鍵生成装置において、エンティティの特定情報を分割した分割特定情報毎に以下の演算式に従って作成された前記エンティティ固有の秘密鍵を格納する格納手段と、格納されている秘密鍵の中から、通信相手のエンティティの分割特定情報に対応する成分を選び出す選出手段と、選び出した成分を用いて以下の演算式に従って前記共通鍵を生成する手段とを備えることを特徴とする。
【0022】
【数13】
Figure 0003590284
【0023】
但し、
ベクトルsij:エンティティiのj番目の分割特定情報に対応する秘密鍵(j =1,2,・・・,K)
[ベクトルIij]:エンティティiのj番目の分割特定情報
P:素数
K:エンティティiの特定情報の分割数
g:GF(P)の原始元
j :乱数からなる2M ×2M の対称行列
M:エンティティiの特定情報の分割サイズ
αij:エンティティiの個人秘密乱数
(但し、αi1・・・αiK≡1(mod P−1))
【0024】
【数14】
Figure 0003590284
【0025】
但し、
im:一方のエンティティiが他方のエンティティmに対して生成する共通鍵
ベクトルsij[ベクトルIij]:エンティティiの秘密鍵ベクトルsijに含ま れ、エンティティmの分割特定情報に対応す る成分
【0026】
請求項5に係る記録媒体は、コンピュータに、暗号通信システムにおける平文から暗号文への暗号化処理及び暗号文から平文への復号処理に用いる共通鍵をエンティティ側で生成させるコンピュータプログラムを記録してあるコンピュータでの読み取りが可能な記録媒体において、コンピュータに、前記エンティティの特定情報を分割した分割特定情報毎に以下の演算式に従って作成されてメモリに予め格納されている前記エンティティ固有の秘密鍵を前記メモリから読み出させる手順と、コンピュータに、読み出した秘密鍵の中から通信相手のエンティティの分割特定情報に対応する成分を選び出す処理を成分選出器が行うように該成分選出器を制御させる手順と、コンピュータに、選び出した成分を使用して以下の演算式に従って前記共通鍵を生成する処理を演算部を含む共通鍵生成器が行うように該共通鍵生成器を制御させる手順とを含むコンピュータプログラムを記録してあることを特徴とする。
【0027】
【数15】
Figure 0003590284
【0028】
但し、
ベクトルsij:エンティティiのj番目の分割特定情報に対応する秘密鍵(j =1,2,・・・,K)
[ベクトルIij]:エンティティiのj番目の分割特定情報
P:素数
K:エンティティiの特定情報の分割数
g:GF(P)の原始元
j :乱数からなる2M ×2M の対称行列
M:エンティティiの特定情報の分割サイズ
αij:エンティティiの個人秘密乱数
(但し、αi1・・・αiK≡1(mod P−1))
【0029】
【数16】
Figure 0003590284
【0030】
但し、
im:一方のエンティティiが他方のエンティティmに対して生成する共通鍵
ベクトルsij[ベクトルIij]:エンティティiの秘密鍵ベクトルsijに含ま れ、エンティティmの分割特定情報に対応す る成分
【0031】
結託問題を解決することを目的として提案されてきたエンティティの特定情報に基づく種々の暗号系が不成功となった理由は、エンティティの結託情報からセンタ秘密を割り出せないようにするための工夫を数学的構造に求め過ぎていたためである。数学的構造が複雑過ぎると、安全性を証明するための方法も困難となる。そこで、本発明では、エンティティの特定情報をいくつかに分割し、分割した各特定情報についてすべての秘密鍵をエンティティに配布することにより、数学的構造を最小限に抑えるようにする。
【0032】
本発明では、複数のセンタが設けられ、各センタはあるエンティティの分割した1つの特定情報に対応する秘密鍵を生成する。よって、すべてのエンティティの秘密を1つのセンタが握るようなことはなく、各センタがBig Brother にならない。また、数学的構造を最小限に抑えているので、結託問題の回避を実現しやすく、また、暗号系の実現も容易となる。更に、各エンティティが共通鍵を生成するための自身固有の秘密鍵をセンタから送付されて予めテーブル形式で保持しているので、共通鍵生成に要する時間を大幅に短くできる。
【0033】
【発明の実施の形態】
以下、本発明の実施の形態について具体的に説明する。
図1は、本発明の暗号通信システムの構成を示す模式図である。情報の隠匿を信頼できる複数(K個)のセンタ1が設定されており、これらのセンタ1としては、例えば社会の公的機関を該当できる。このように複数のセンタ1を設けた点が従来の第3の方法とは異なる。
【0034】
これらの各センタ1と、この暗号系システムを利用するユーザとしての複数の各エンティティa,b,…,zとは、秘密通信路2a1,…,2aK、2b1,…,2bK、・・・、2z1,…,2zKにより接続されており、これらの秘密通信路を介して各センタ1から秘密の鍵情報が各エンティティa,b,…,zへ伝送されるようになっている。また、2人のエンティティの間には通信路3ab,3az,3bz,…が設けられており、この通信路3ab,3az,3bz,…を介して通信情報を暗号化した暗号文が互いのエンティティ間で伝送されるようになっている。
【0035】
〔第1実施の形態〕
まず、本発明の基本方式である第1実施の形態について説明する。
【0036】
(センタ1での準備処理)
センタ1は以下の公開鍵及び秘密鍵を準備し、公開鍵を公開する。
Figure 0003590284
【0037】
各エンティティの氏名,住所などを示す特定情報であるIDベクトルをL次元2進ベクトルとし、図2に示すようにそのIDベクトルをブロックサイズM毎にK個のブロックに分割する。例えば、エンティティiのIDベクトル(ベクトルIi )を式(1)のように分割する。分割特定情報である各ベクトルIij(j=1,2,・・・,K)をID分割ベクトルと呼ぶ。
【0038】
【数17】
Figure 0003590284
【0039】
(エンティティの登録処理)
エンティティiに登録を依頼された各センタ1は、準備した鍵とエンティティiのK個のID分割ベクトルについて、それぞれに対応するK個の秘密鍵ベクトルsij(j=1,2,・・・,K)を以下の式(2-1),(2-2),・・・,(2-K)に従って求め、求めたベクトルsijを秘密裏に送って、登録を完了する。
【0040】
【数18】
Figure 0003590284
【0041】
但し、gをスカラー、A,Bを行列とした場合、B=gA はAの各(μ,ν)成分についてgのべき乗を行うことを表す。即ち、式(3)のようになる。また、Hj [ベクトルIij]は対称行列Hj からベクトルIijに対応した行を1行抜き出したものを表し、[・]の操作を参照と定義する。
【0042】
【数19】
Figure 0003590284
【0043】
(エンティティ間の共通鍵の生成処理)
エンティティiは、自身の秘密鍵ベクトルsi1の中から、エンティティmのID分割ベクトルであるベクトルIm1に対応する成分のベクトルsi1[ベクトルIm1]を選び出し、また、j=2,・・・,Kの各ブロックについて秘密鍵ベクトルsijの中から、ベクトルImjに対応する成分のベクトルsij[ベクトルImj]を各ブロック毎に選び出す。そして、Pを法とし、ベクトルsi1[ベクトルIm1]を底として残りのすべてのベクトルsij[ベクトルImj](j=2,・・・,K)を順次べき乗することにより、共通鍵Kimを求める。このKimを求める演算式は具体的に式(4)となり、このKimはエンティティm側から求めた共通鍵Kmiと一致する。
【0044】
【数20】
Figure 0003590284
【0045】
次に、上述した暗号システムにおけるエンティティ間の情報の通信について説明する。図3は、2人のエンティティa,b間における情報の通信状態を示す模式図である。図の例は、エンティティaが平文(メッセージ)Mを暗号文Cに暗号化してそれをエンティティbへ伝送し、エンティティbがその暗号文Cを元の平文(メッセージ)Mに復号する場合を示している。
【0046】
j(j=1,2,・・・,K)番目のセンタ1には、各エンティティa,b固有のベクトルsaj,sbj(秘密鍵)を前記式(2-j)に従って求める秘密鍵生成器1aが備えられている。そして、各エンティティa,bから登録が依頼されると、そのエンティティa,bの秘密鍵ベクトルsaj,sbjがエンティティa,bへ送付される。
【0047】
エンティティa側には、K個の各センタ1から送られる固有の秘密鍵ベクトルsa1,…,saj,…,saKをテーブル形式で格納しているメモリ10と、これらの秘密鍵ベクトルの中からエンティティbに対応する成分であるベクトルsa1[ベクトルIb1],…,ベクトルsaj[ベクトルIbj],…,ベクトルsaK[ベクトルIbK]を選び出す成分選出器11と、選び出されたこれらの成分を使用してエンティティaが求めるエンティティbとの共通鍵Kabを生成する共通鍵生成器12と、共通鍵Kabを用いて平文(メッセージ)Mを暗号文Cに暗号化して通信路30へ出力する暗号化器13とが備えられている。
【0048】
また、エンティティb側には、各センタ1から送られる固有の秘密鍵ベクトルsb1,…,sbj,…,sbKをテーブル形式で格納しているメモリ20と、これらの秘密ベクトルの中からエンティティaに対応する成分であるベクトルsb1[ベクトルIa1],…,ベクトルsbj[ベクトルIaj],…,ベクトルsbK[ベクトルIaK]を選び出す成分選出器21と、選び出されたこれらの成分を使用してエンティティbが求めるエンティティaとの共通鍵Kbaを生成する共通鍵生成器22と、共通鍵Kbaを用いて通信路30から入力した暗号文Cを平文(メッセージ)Mに復号して出力する復号器23とが備えられている。
【0049】
エンティティaからエンティティbへ情報を伝送しようとする場合、まず、各センタ1で式(2-1),(2-2),…,(2-K)に従って求められて、予めメモリ10に格納されている秘密鍵ベクトルsa1,sa2,…,saKが成分選出器11へ読み出される。そして、成分選出器11にて、エンティティbに対応する成分であるベクトルsa1[ベクトルIb1],ベクトルsa2[ベクトルIb2],…,ベクトルsaK[ベクトルIbK]が選び出されて共通鍵生成器12へ送られる。共通鍵生成器12にて、これらの成分を使用して式(4)に従って共通鍵Kabが求められ、暗号化器13へ送られる。暗号化器13において、この共通鍵Kabを用いて平文(メッセージ)Mが暗号文Cに暗号化され、暗号文Cが通信路30を介して伝送される。
【0050】
通信路30を伝送された暗号文Cはエンティティbの復号器23へ入力される。各センタ1で式(2-1),(2-2),…,(2-K)に従って求められて、予めメモリ20に格納されている秘密鍵ベクトルsb1,sb2,…,sbKが成分選出器21へ読み出される。そして、成分選出器21にて、エンティティaに対応する成分であるベクトルsb1[ベクトルIa1],ベクトルsb2[ベクトルIa2],…,ベクトルsbK[ベクトルIaK]が選び出されて共通鍵生成器22へ送られる。共通鍵生成器22にて、これらの成分を使用して式(4)に従って共通鍵Kbaが求められ、復号器23へ送られる。復号器23において、この共通鍵Kbaを用いて暗号文Cが平文(メッセージ)Mに復号される。
【0051】
本発明の方式では、各エンティティ固有の秘密鍵ベクトルが予めエンティティ側のメモリに格納されているので、共通鍵生成に要する時間が短くて済む。
【0052】
次に、本発明の方式における安全性について説明する。
安全なID−NIKSの必要条件として、秘密鍵生成関数及び鍵共有関数が多項式時間で分離できないことが知られている。以下に、本発明の方式がこの必要条件を満たすことを示す。
【0053】
(秘密鍵生成関数)
本発明の方式は、式(5),(6)に示すK個の秘密鍵生成関数を有する。
【0054】
【数21】
Figure 0003590284
【0055】
Hを任意の対称行列した場合、式(7),(8)に示すように、参照関数[・]は明らかに分離不可能である。
【0056】
【数22】
Figure 0003590284
【0057】
従って、前記式(5),(6)で表されるK個の秘密鍵生成関数は、式(9)に示すように、分離不可能である。
【0058】
【数23】
Figure 0003590284
【0059】
(鍵共有関数)
本発明の方式における鍵共有関数を、式(10)に示す。
【0060】
【数24】
Figure 0003590284
【0061】
秘密鍵生成関数の場合と同様に、式(10)で表される鍵共有関数は、式(11)に示すように、分離不可能である。
【0062】
【数25】
Figure 0003590284
【0063】
従来より、不特定多数のエンティティの結託によって暗号システム全体を破る攻撃(以下、非買収結託という)が議論されている。一方、ある特定の個人のみを攻撃する場合には、攻撃に必要なエンティティのみを買収して、より少ない数の結託者にて行う攻撃(以下、買収結託という)も有効である。以下、これらの非買収結託,買収結託に対する本発明の方式の安全性について考察する。
【0064】
(非買収結託に対する安全性)
任意のエンティティのIDベクトルを結託者のIDベクトルの線形結合で表現すること(結合攻撃)ができ、しかも、秘密鍵生成関数または鍵共有関数が多項式時間で分離可能である場合には、他のエンティティの秘密鍵を結託者の秘密鍵から偽造すること(分離攻撃)が可能である。このような攻撃を線形攻撃という。
【0065】
本発明の方式でも、一次独立なL人の結託者のIDベクトルを使用することにより、任意のエンティティのIDベクトルを線形結合として表現することができる。つまり、L人以上のエンティティによる結合攻撃は成立する。しかしながら、前述したように秘密鍵生成関数及び鍵共有関数が分離不可能な関数であるので、万一任意のエンティティに対して結合攻撃が成立した場合においても、そのエンティティの秘密鍵及び共通鍵を分離攻撃によって偽造することはできない。よって、本発明の方式には線形攻撃が通用しない。従って、非買収結託に対して本発明の方式は、Lよりはるかに高い結託閾値(結合攻撃に必要な最小の結託者数)を有する。
【0066】
(買収結託に対する安全性)
本発明の方式に対して、特定のエンティティを攻撃する場合には、攻撃に必要なすべてのエンティティを買収し、買収したエンティティの秘密鍵のすべてを用いることによる以下のような乱数置換攻撃が考えられる。
【0067】
エンティティのIDを分かりやすいように氏名の漢字4文字(L=4×16=64ビット)とし、漢字1文字を1ブロックとした例で説明する。即ち、K=4,M=16と設定する。
【0068】
エンティティZ,A,B,C,DのIDを以下のように設定し、エンティティA,B,C,Dを買収してエンティティZを攻撃する場合について考える。
【0069】
【数26】
Figure 0003590284
【0070】
エンティティZの秘密鍵は以下のようになる。
【0071】
【数27】
Figure 0003590284
【0072】
結託者は以下のような計算を行って、エンティティZの秘密鍵を偽造する。
【0073】
【数28】
Figure 0003590284
【0074】
偽造したベクトルsZ1′〜ベクトルsZ4′はそれぞれベクトルsZ1〜ベクトルsZ4と同等の働きをすることが分かる。このように、本発明の方式に対して、攻撃に必用なエンティティを買収することが可能である状況では、確かに結託攻撃が成立する。
【0075】
しかしながら、このような買収結託攻撃が成立するためには、攻撃目標のエンティティのK個のすべてのID分割ベクトルに対し、全く同一のID分割ベクトルを有する結託者の秘密鍵を入手する必要がある。ある特定のブロックについて、全く同一のID分割ベクトルを有するエンティティは2M 人に1人であり、この特別なエンティティをKブロックすべて買収することは、M=10,K=100 程度としても、現実的には容易でない。従って、買収結託に対しても本発明の方式は安全であると言える。なお、パラメータM,Kは、暗号システムの規模及び/または要求される安全性の程度に応じて適切に設定することができる。
【0076】
図4は、本発明の記録媒体の実施例の構成を示す図である。ここに例示するプログラムは、各センタから送られてくる秘密鍵ベクトルsijの中からエンティティmに対応する成分を選び出す処理と、これらの選び出した成分を使用して式(4)に従って共通鍵Kimを求める処理とを含んでおり、以下に説明する記録媒体に記録されている。なお、コンピュータ40は、各エンティティ側に設けられている。
【0077】
図4において、コンピュータ40とオンライン接続する記録媒体41は、コンピュータ40の設置場所から隔たって設置される例えばWWW(World Wide Web)のサーバコンピュータを用いてなり、記録媒体41には前述の如きプログラム41aが記録されている。記録媒体41から読み出されたプログラム41aがコンピュータ40を制御することにより、各エンティティにおいて通信対象のエンティティに対する共通鍵を演算する。
【0078】
コンピュータ40の内部に設けられた記録媒体42は、内蔵設置される例えばハードディスクドライブまたはROMなどを用いてなり、記録媒体42には前述の如きプログラム42aが記録されている。記録媒体42から読み出されたプログラム42aがコンピュータ40を制御することにより、各エンティティにおいて通信対象のエンティティに対する共通鍵を演算する。
【0079】
コンピュータ40に設けられたディスクドライブ40aに装填して使用される記録媒体43は、運搬可能な例えば光磁気ディスク,CD−ROMまたはフレキシブルディスクなどを用いてなり、記録媒体43には前述の如きプログラム43aが記録されている。記録媒体43から読み出されたプログラム43aがコンピュータ40を制御することにより、各エンティティにおいて通信対象のエンティティに対する共通鍵を演算する。
【0080】
ところで、買収結託による乱数置換攻撃を回避するためには、分割ブロックが独立して攻撃されないような工夫を施せば良い。即ち、全ブロックすべての計算を完了して初めて乱数項が消去されるようにすれば良い。このような観点に基づいて第1実施の形態を改良した2つの実施の形態について、以下に説明する。
【0081】
〔第2実施の形態〕
乱数消去方法を組み合わせることにより、乱数置換攻撃に対して強化した本発明の他の例(第2実施の形態)を説明する。
【0082】
(センタ1での準備処理)
第1実施の形態と同様に、センタ1は以下の公開鍵及び秘密鍵を準備し、公開鍵を公開する。
Figure 0003590284
【0083】
なお、RSA暗号の安全性を用いるため、P−1を素因数分解することが困難となるようにPを設定する。このようにするためには、P=2pq+1(p,q:素数)となる素数を使用すれば良い。
【0084】
また、第1実施の形態と同様に、各エンティティのIDベクトルを、ブロックサイズMのK個のブロック(ID分割ベクトル)に分割する(図2,式(1)参照)。
【0085】
更に、式(12)に示すようにIDからK−1次元の第2IDベクトルvi を生成するハッシュ関数h(・)をセンタ1は公開する。但し、このハッシュ関数で生成された第2IDベクトルvi の各成分は正の整数をとり、式(13)に示すように、それらの和は比較的小さな定数eになるとする。
【0086】
【数29】
Figure 0003590284
【0087】
(エンティティの登録処理)
エンティティiに登録を依頼された各センタ1は、準備した鍵とエンティティiのK個のID分割ベクトルについて、それぞれに対応するK個の秘密鍵ベクトルsij(j=1,2,・・・,K)を以下の式(14-1),(14-2),・・・,(14-K)に従って求め、求めたベクトルsijを秘密裏に送って、登録を完了する。
【0088】
【数30】
Figure 0003590284
【0089】
(エンティティ間の共通鍵の生成処理)
エンティティiは、公開されているハッシュ関数h(・)を用いて、相手のエンティティmの第2IDベクトルのベクトルvm を式(15)に従って求める。
【0090】
【数31】
Figure 0003590284
【0091】
エンティティiは、自分の秘密鍵ベクトルsi1の中から、エンティティmのID分割ベクトルであるベクトルIm1に対応する成分のベクトルsi1[ベクトルIm1]を選び出し、また、j=2,・・・,Kの各ブロックについて秘密鍵ベクトルsijの中から、ベクトルImjに対応する成分のベクトルsij[ベクトルImj]を各ブロック毎に選び出す。そして、Pを法とし、ベクトルsi1[ベクトルIm1]を底として残りのすべてのベクトルsij[ベクトルImj](j=2,・・・,K)を順次vmj回ずつ繰り返しべき乗することにより、共通鍵Kimを求める。このKimを求める演算式は具体的に式(16)となり、このKimはエンティティm側から求めた共通鍵Kmiと一致する。
【0092】
【数32】
Figure 0003590284
【0093】
(乱数置換攻撃に対する安全性)
前記のエンティティA,Bの実例において、一般にvA2≠vB2となるので、以下の式(17)に示すように、乱数置換攻撃は成立しない。
【0094】
【数33】
Figure 0003590284
【0095】
〔第3実施の形態〕
定数項を追加することにより、個人乱数消去のプロセスを複雑にした本発明の他の例(第3実施の形態)を説明する。
【0096】
(センタ1での準備処理)
第1実施の形態と同様に、センタ1は以下の公開鍵及び秘密鍵を準備し、公開鍵を公開する。
Figure 0003590284
【0097】
また、第1実施の形態と同様に、各エンティティのIDベクトルを、ブロックサイズMのK個のブロック(ID分割ベクトル)に分割する(図2,式(1)参照)。
【0098】
(エンティティの登録処理)
エンティティiに登録を依頼された各センタ1は、準備した鍵とエンティティiのK個のID分割ベクトルについて、それぞれに対応するK個の秘密鍵ベクトルsij(j=1,2,・・・,K−1,K)を以下の式(18-1),(18-2),・・・,(18-K-1),(18-K)に従って求める。
【0099】
【数34】
Figure 0003590284
【0100】
第3実施の形態は、第1実施の形態において、αi2=・・・αi,K-1 =αi とし、αi1αi αiK≡1(mod λ(N))としたものに、更にK−2個の個人乱数βi2,・・・,βi,K-1 を追加したものである。センタ1は、式(19)に従って、ベクトルti を求める。但し、βi =βi2+・・・+βi,K-1 とする。求めたベクトルsij及びベクトルti を秘密裏に送って、登録を完了する。
【0101】
【数35】
Figure 0003590284
【0102】
(エンティティ間の共通鍵の生成処理)
エンティティiは、まず、j=2,・・・,K−1の各ブロックについて秘密鍵ベクトルsijの中から、エンティティmのID分割ベクトルであるベクトルImjに対応する列ベクトルsij[ベクトルImj]を各ブロック毎に選び出し、それらのすべての和Simを、式(20)のように求める。
【0103】
【数36】
Figure 0003590284
【0104】
更に、エンティティiは、自身の最初のブロックの秘密鍵ベクトルsi1及び最後のブロックの秘密鍵ベクトルsiKの中から、エンティティmのID分割ベクトルであるベクトルImjに対応する列を選び出し、Simとベクトルti とを用いて、以下の式(21)のような計算を行って、共通鍵Kimを求める。このKimはエンティティm側から求めた共通鍵Kmiと一致する。
【0105】
【数37】
Figure 0003590284
【0106】
(安全性の考察)
この方式では、式(22)のように設定すれば、Kim=xim2 im3 ・・・xim,K-1と表記でき、xim2 ,xim3 ,・・・,xim,K-1を変数とする方程式を多数集めた場合には、原理的には鍵を偽造することができる。
【0107】
【数38】
Figure 0003590284
【0108】
しかしながら、本発明の方式では、数学的構造を最小限に抑えており、これらの変数に分離可能という構造がないので、これらのすべての変数を独立変数として攻撃しなければならず、非常に莫大な数の結託者を必要とする。最終ブロックは乱数置換攻撃で消去するようにしても、式(22)に示す項を独立変数として攻撃しなければならないので、例えばM=10の場合、220もの特定の方程式を集めて攻撃する必要があり、安全性が向上している。
【0109】
なお、第3実施の形態では、法として素因数分解が困難な合成数Nを用いる場合について説明したが、N=Pの場合も同様に行えることは勿論である。
【0110】
【発明の効果】
以上詳述したように、本発明では、複数のセンタが設けられ、各センタはエンティティの分割した1つのID情報に対応する鍵を生成するようにしたので、すべてのエンティティの秘密を1つのセンタが握るようなことはなく、各センタがBig Brother にならない。また、数学的構造を最小限に抑えているので、結託問題の回避を実現しやすく、また、暗号系の実現も容易である。更に、各エンティティが固有の秘密鍵を予め保持しているので、共通鍵生成に要する時間を大幅に短くできる。
【0111】
前述した従来の第3の方法によるID−NIKSでは、一般的に、L×Lの対称行列をセンタ秘密として、その情報の一部をL個の成分からなるベクトルとしてエンティティに配布しており、実現は非常に容易であるが結託閾値はL程度に過ぎない。これに対して、本発明の方式では、このLよりはるかに高い結託閾値を持つことができる。
【0112】
従来の方式でも、2M ×2M のセンタ秘密行列を用いることにより、本発明と同程度の結託閾値を有するID−NIKSを構成することは可能である。しかしながら、そのように構成されたID−NIKSでは、鍵共有に2M 回の積演算またはべき乗演算が必要であって実用的ではなく、ほとんどの方式が分離可能であって一部の結託者の線形結合で表されたエンティティの秘密鍵が偽造されてしまうという問題がある。これに対して、本発明の方式では、保持する秘密鍵の数は多くなるが、多くともK−1回のべき乗演算にて共通鍵を共有することができ、鍵生成が非常に高速で行え、しかも、例え一部のエンティティが結託者の線形結合で表されたとしても、それらのエンティティの秘密鍵が偽造されるのを防ぐことができる。
【図面の簡単な説明】
【図1】本発明の暗号通信システムの構成を示す模式図である。
【図2】エンティティのIDベクトルの分割例を示す模式図である。
【図3】2人のエンティティ間における情報の通信状態を示す模式図である。
【図4】記録媒体の実施例の構成を示す図である。
【符号の説明】
1 センタ
1a 秘密鍵生成器
10,20 メモリ
11,21 成分選出器
12,22 共通鍵生成器
13 暗号化器
23 復号器
30 通信路
40 コンピュータ
41,42,43 記録媒体

Claims (5)

  1. センタ装置から複数のエンティティ装置夫々へ各エンティティ固有の秘密鍵を送付し、一方のエンティティ装置が前記センタ装置から送付された該エンティティ固有の秘密鍵から求めた共通鍵を用いて平文を暗号文に暗号化して他方のエンティティ装置へ伝送し、該他方のエンティティ装置が伝送された暗号文を、前記センタ装置から送付された該エンティティ固有の秘密鍵から求めた、前記共通鍵と同一の共通鍵を用いて元の平文に復号することにより、エンティティ装置間で情報の通信を行う暗号通信方法において、前記センタ装置が複数設けられており、その複数のセンタ装置夫々は、各エンティティの特定情報を分割した分割特定情報を用いて各エンティティ固有の秘密鍵を生成し、各エンティティ装置は、自身固有の秘密鍵に含まれている、相手のエンティティの分割特定情報に対応する成分を用いて前記共通鍵を生成するようにしており、各エンティティの分割特定情報に前記各エンティティ固有の乱数を加えて、前記各エンティティ固有の秘密鍵を生成することとし、前記各センタ装置における秘密鍵を生成する演算式は以下であることを特徴とする暗号通信方法。
    Figure 0003590284
    但し、
    ベクトルsij:エンティティiのj番目の分割特定情報に対応する秘密鍵(j =1,2,・・・,K)
    [ベクトルIij]:エンティティiのj番目の分割特定情報
    P:素数
    K:エンティティiの特定情報の分割数
    g:GF(P)の原始元
    j :乱数からなる2M ×2M の対称行列
    M:エンティティiの特定情報の分割サイズ
    αij:エンティティiの個人秘密乱数
    (但し、αi1・・・αiK≡1(mod P−1))
  2. 各エンティティ装置における共通鍵を生成する演算式は以下であることを特徴とする請求項1記載の暗号通信方法。
    Figure 0003590284
    但し、
    im:一方のエンティティiが他方のエンティティmに対して生成する共通鍵
    ベクトルsij[ベクトルIij]:エンティティiの秘密鍵ベクトルsijに含ま れ、エンティティmの分割特定情報に対応す る成分
  3. 送信すべき情報である平文を暗号文に暗号化する暗号化処理、及び、送信された暗号文を元の平文に復号する復号処理を、複数のエンティティ装置間で相互に行う暗号通信システムにおいて、各エンティティの特定情報を分割した分割特定情報を用いて各エンティティ固有の秘密鍵を以下の演算式に従って生成して各エンティティ装置へ送付する複数のセンタ装置と、該センタ装置から送付された自身の秘密鍵に含まれている、通信対象のエンティティの分割特定情報に対応する成分を選び出す成分選出器、及び選び出した成分を用いて前記暗号化処理及び復号処理に用いる共通鍵を以下の演算式に従って生成する共通鍵生成器を備える複数のエンティティ装置とを有することを特徴とする暗号通信システム。
    Figure 0003590284
    但し、
    ベクトルsij:エンティティiのj番目の分割特定情報に対応する秘密鍵(j =1,2,・・・,K)
    [ベクトルIij]:エンティティiのj番目の分割特定情報
    P:素数
    K:エンティティiの特定情報の分割数
    g:GF(P)の原始元
    j :乱数からなる2M ×2M の対称行列
    M:エンティティiの特定情報の分割サイズ
    αij:エンティティiの個人秘密乱数
    (但し、αi1・・・αiK≡1(mod P−1))
    Figure 0003590284
    但し、
    im:一方のエンティティiが他方のエンティティmに対して生成する共通鍵
    ベクトルsij[ベクトルIij]:エンティティiの秘密鍵ベクトルsijに含ま れ、エンティティmの分割特定情報に対応す る成分
  4. 暗号通信システムのエンティティ装置に設けられており、平文から暗号文への暗号化処理及び暗号文から平文への復号処理に用いる共通鍵を生成する共通鍵生成装置において、エンティティの特定情報を分割した分割特定情報毎に以下の演算式に従って作成された前記エンティティ固有の秘密鍵を格納する格納手段と、格納されている秘密鍵の中から、通信相手のエンティティの分割特定情報に対応する成分を選び出す選出手段と、選び出した成分を用いて以下の演算式に従って前記共通鍵を生成する手段とを備えることを特徴とする共通鍵生成装置。
    Figure 0003590284
    但し、
    ベクトルsij:エンティティiのj番目の分割特定情報に対応する秘密鍵(j =1,2,・・・,K)
    [ベクトルIij]:エンティティiのj番目の分割特定情報
    P:素数
    K:エンティティiの特定情報の分割数
    g:GF(P)の原始元
    j :乱数からなる2M ×2M の対称行列
    M:エンティティiの特定情報の分割サイズ
    αij:エンティティiの個人秘密乱数
    (但し、αi1・・・αiK≡1(mod P−1))
    Figure 0003590284
    但し、
    im:一方のエンティティiが他方のエンティティmに対して生成する共通鍵
    ベクトルsij[ベクトルIij]:エンティティiの秘密鍵ベクトルsijに含ま れ、エンティティmの分割特定情報に対応す る成分
  5. コンピュータに、暗号通信システムにおける平文から暗号文への暗号化処理及び暗号文から平文への復号処理に用いる共通鍵をエンティティ側で生成させるコンピュータプログラムを記録してあるコンピュータでの読み取りが可能な記録媒体において、コンピュータに、前記エンティティの特定情報を分割した分割特定情報毎に以下の演算式に従って作成されてメモリに予め格納されている前記エンティティ固有の秘密鍵を前記メモリから読み出させる手順と、コンピュータに、読み出した秘密鍵の中から通信相手のエンティティの分割特定情報に対応する成分を選び出す処理を成分選出器が行うように該成分選出器を制御させる手順と、コンピュータに、選び出した成分を使用して以下の演算式に従って前記共通鍵を生成する処理を演算部を含む共通鍵生成器が行うように該共通鍵生成器を制御させる手順とを含むコンピュータプログラムを記録してあることを特徴とする記録媒体。
    Figure 0003590284
    但し、
    ベクトルsij:エンティティiのj番目の分割特定情報に対応する秘密鍵(j =1,2,・・・,K)
    [ベクトルIij]:エンティティiのj番目の分割特定情報
    P:素数
    K:エンティティiの特定情報の分割数
    g:GF(P)の原始元
    j :乱数からなる2M ×2M の対称行列
    M:エンティティiの特定情報の分割サイズ
    αij:エンティティiの個人秘密乱数
    (但し、αi1・・・αiK≡1(mod P−1))
    Figure 0003590284
    但し、
    im:一方のエンティティiが他方のエンティティmに対して生成する共通鍵
    ベクトルsij[ベクトルIij]:エンティティiの秘密鍵ベクトルsijに含ま れ、エンティティmの分割特定情報に対応す る成分
JP01625799A 1999-01-25 1999-01-25 暗号通信方法,暗号通信システム,共通鍵生成装置及び記録媒体 Expired - Fee Related JP3590284B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP01625799A JP3590284B2 (ja) 1999-01-25 1999-01-25 暗号通信方法,暗号通信システム,共通鍵生成装置及び記録媒体
US09/489,696 US7065210B1 (en) 1999-01-25 2000-01-24 Secret key generation method, encryption method, cryptographic communications method, common key generator, cryptographic communications system, and recording media

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP01625799A JP3590284B2 (ja) 1999-01-25 1999-01-25 暗号通信方法,暗号通信システム,共通鍵生成装置及び記録媒体

Publications (2)

Publication Number Publication Date
JP2000216769A JP2000216769A (ja) 2000-08-04
JP3590284B2 true JP3590284B2 (ja) 2004-11-17

Family

ID=11911520

Family Applications (1)

Application Number Title Priority Date Filing Date
JP01625799A Expired - Fee Related JP3590284B2 (ja) 1999-01-25 1999-01-25 暗号通信方法,暗号通信システム,共通鍵生成装置及び記録媒体

Country Status (1)

Country Link
JP (1) JP3590284B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6083234B2 (ja) 2012-12-27 2017-02-22 富士通株式会社 暗号処理装置
EP3566386B1 (en) * 2017-01-05 2020-07-29 Koninklijke Philips N.V. Network device and trusted third party device

Also Published As

Publication number Publication date
JP2000216769A (ja) 2000-08-04

Similar Documents

Publication Publication Date Title
US8687812B2 (en) Method and apparatus for public key cryptography
JP2001211153A (ja) 秘密鍵生成方法
US7065210B1 (en) Secret key generation method, encryption method, cryptographic communications method, common key generator, cryptographic communications system, and recording media
JP2001211154A (ja) 秘密鍵生成方法,暗号化方法及び暗号通信方法
Dey et al. Privileged authenticity in reconstruction of digital encrypted shares
JP3590284B2 (ja) 暗号通信方法,暗号通信システム,共通鍵生成装置及び記録媒体
JP2001211157A (ja) 秘密鍵登録方法、秘密鍵登録器、秘密鍵発行方法、暗号通信方法、暗号通信システム及び記録媒体
Rushdi et al. A pedagogical multi-key multi-stage package to secure communication channels
JP2001211155A (ja) 共通鍵生成方法,共通鍵生成装置及び暗号通信方法
JP3546943B2 (ja) 秘密鍵生成装置,暗号化装置,暗号通信方法,暗号通信システム及び記録媒体
JP3884593B2 (ja) 秘密鍵生成装置,暗号化装置,暗号通信方法,暗号通信システム及び記録媒体
JP3657803B2 (ja) 秘密鍵生成装置,暗号化装置,暗号通信方法,暗号通信システム,共通鍵生成装置及び記録媒体
JP3622072B2 (ja) 暗号通信方法
CN108718235A (zh) 一种流式加密和解密方法
JP3587763B2 (ja) 暗号化装置,復号装置,暗号通信システム及び記録媒体
JP2001156766A (ja) 暗号通信方法及び暗号通信システム
Tripathi et al. Survey on performance comparison of various symmetric encryption algorithms
JP3953235B2 (ja) 暗号通信方法及び暗号通信システム
JP3464153B2 (ja) 暗号通信方法及び暗号通信システム
JP3587746B2 (ja) 秘密鍵生成器,暗号化装置,暗号通信方法,暗号通信システム及び記録媒体
JP2000216768A (ja) 暗号化方法及び暗号通信方法並びに暗号通信システム
JP2001053738A (ja) 秘密鍵生成方法,暗号化方法及び暗号通信方法
JP2001092353A (ja) 暗号化方法,暗号通信方法及び暗号文作成装置
JP2001034165A (ja) 暗号化方法,暗号通信方法及び暗号文作成装置
Abusukhon INTERNATIONAL JOURNAL OF COMPUTER ENGINEERING & TECHNOLOGY (IJCET)

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040810

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040819

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees