JP3667988B2 - 鍵回復方法および装置 - Google Patents

鍵回復方法および装置 Download PDF

Info

Publication number
JP3667988B2
JP3667988B2 JP13183598A JP13183598A JP3667988B2 JP 3667988 B2 JP3667988 B2 JP 3667988B2 JP 13183598 A JP13183598 A JP 13183598A JP 13183598 A JP13183598 A JP 13183598A JP 3667988 B2 JP3667988 B2 JP 3667988B2
Authority
JP
Japan
Prior art keywords
public key
data
converting
key
data obtained
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP13183598A
Other languages
English (en)
Other versions
JPH1155244A (ja
Inventor
和夫 宝木
博之 車谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP13183598A priority Critical patent/JP3667988B2/ja
Publication of JPH1155244A publication Critical patent/JPH1155244A/ja
Application granted granted Critical
Publication of JP3667988B2 publication Critical patent/JP3667988B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、データ暗号化などのコンピュータネットワークにおけるセキュリティを確保する技術に関し、特に、鍵回復(鍵供託)システムに関する。
【0002】
【従来の技術】
電子メールなどのネットワークを介してやり取りされるデータのセキュリティを確保する技術として、公開鍵と呼ばれる数値データを用いてデータを暗号化し、当該暗号化したデータを、秘密鍵と呼ばれる数値データ(公開鍵とは異なる数値を持つ)を用いて復号化する、いわゆる公開鍵暗号化方式と呼ばれるデータ暗号化方式がある。
【0003】
ところで、この公開鍵暗号化方式では、何らかの理由により秘密鍵を紛失してしまった場合、当該秘密鍵と対になる公開鍵で暗号化されたデータを復号化することは、実際上不可能となってしまう。たとえば、暗号化されたデータをファイルなどに保管しておき、後日、取り出そうとした場合に、秘密鍵がなければ、当該データを元に戻すことができない。これでは、データが失われたのと同じことになる。秘密鍵をなくすということは、実際上あり得る事態であり、この場合の救済策がないと困ることがある。
【0004】
このため、過失などにより秘密鍵を紛失した場合に、暗号化されたデータを正しく復号できるようにすることで、個人や企業の機密情報をバックアップする鍵回復(あるいは鍵供託)システムが提案されている。
【0005】
このシステムは、自己の秘密鍵を、機密管理を行う第三者(鍵保管機関)に供託しておくことで、自らが秘密鍵を紛失してしまった場合に備えようとするものである。たとえば、自己の秘密鍵を分割して複数の鍵保管機関に供託しておき、自己の秘密鍵を紛失してしまった場合には、複数の鍵保管機関に供託しておいた秘密鍵の一部各々について、排他的論理和や加算などの演算処理を行うことで、自己の秘密鍵を回復する。
【0006】
これ等の技術については、たとえば、満保雅弘および岡本栄司の両氏が著した「ネットワーク暗号クリッパーのインパクト:bit, Vol. 28, No. 2, February, 1996」や、Silvio Micali氏が著した「Fair Cryptosystems :MIT/LCS1TR-579.c, Laboratory for Computer Science, Massachusette Institute of Technology, 1994/8」などに開示されている.
【0007】
【発明が解決しようとする課題】
しかしながら、上記説明した従来の鍵回復システムでは、自己の公開鍵で暗号化されたデータを復号化する唯一の手段である秘密鍵を、自己以外の第三者(鍵保管機関)に供託しなければならない。当然、この秘密鍵を鍵保管機関に供託する場合にも、機密性を確保できる方法で行う必要があり、そのための手間がかかる。特に、秘密鍵を分割して、複数の鍵保管機関に供託するような場合には、ユーザにかかる負担が大きくなる。
【0008】
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、自己が所有する秘密鍵を第三者に知らせる必要のない鍵回復方法および装置を提供することにある。
【0009】
【課題を解決するための手段】
上記課題を解決するために、本発明の第一の態様は、暗号文の生成に際しパラメータとして用いられた、公開鍵を変換することで得られたデータを、当該公開鍵と対の秘密鍵を用いることなく生成する鍵回復方法であって、
送信側において、
暗号文の生成に際しパラメータとして用いられた第一の公開鍵を変換することで得られたデータと、少なくとも1つの第二の公開鍵を変換することで得られたデータとの間において、前記第二の公開鍵を変換することで得られたデータが分かれば、前記第一の公開鍵を変換することで得られたデータを、直接あるいは間接に求めることができる関係式を満たすデータ値を生成する第一の処理と、
前記暗号文に、前記第一の処理の結果得られたデータ値を付与する第二の処理と、を含み、
前記第二の公開鍵と対の秘密鍵を所有する受信側において、
前記第二の公開鍵を変換することで得られたデータを、当該第二の公開鍵と対の秘密鍵から求める第三の処理と、
前記第二の処理で暗号文に付加されたデータ値および前記第三の処理で求めたデータを、前記第一の処理で用いた関係式に代入することにより、当該暗号文の生成に際しパラメータとして用いられた、前記第一の公開鍵を変換することで得られたデータを求める第四の処理と、を含んでいる
ことを特徴とする。
【0010】
ここで、公開鍵を変換することで得られたデータとは、たとえば、生成した乱数と公開鍵とを作用させることで得られたデータである。
【0011】
本発明の第一の態様では、暗号文の生成に際しパラメータとして用いられた第一の公開鍵を変換することで得られたデータと、少なくとも1つの第二の公開鍵を変換することで得られたデータとの間において、前記第二の公開鍵を変換することで得られたデータが分かれば、前記第一の公開鍵を変換することで得られたデータを、直接あるいは間接に求めることができる関係式を満たすデータ値を、暗号文に付与している。
【0012】
ここで、第二の公開鍵を変換することで得られたデータは、当該第二の公開鍵と対になる秘密鍵から求めることができる。
【0013】
このため、暗号文の生成に際しパラメータとして用いられた第一の公開鍵を変換することで得られたデータは、第二の公開鍵と対になる秘密鍵を所有する者によって、上記の関係式を満たすデータ値から求めることができる。
【0014】
したがって、第一の公開鍵と対になる秘密鍵を用いることなく、暗号文を復号することができる。つまり、自己の秘密鍵(第一の公開鍵と対の秘密鍵)を自己以外の第三者(鍵保管機関)に供託しなくても、第二の公開鍵と対の秘密鍵を所有する者により、鍵回復を行うことが可能となる。
【0015】
上述したように、従来の鍵回復システムでは、自己の秘密鍵を、鍵保管機関に供託しておかなければならなかった。当然、この秘密鍵を鍵保管機関に供託する場合にも、機密性を確保できる方法で行う必要があり、そのための手間がかかっていた。特に、秘密鍵を分割して、複数の鍵保管機関に供託するような場合には、ユーザにかかる負担が大きかった。これに対し、本発明の第一の態様では、そのような手間を省くことができ、ユーザにかかる負担を軽減することができる。
【0016】
なお、本発明の第一の態様において、第二の公開鍵と対になる秘密鍵は、所定の演算(排他的論理和や加算など)を行うことで復元可能なように複数に分割されて、複数の情報処理装置に保持されるようにしてもよい。この場合、当該複数の情報処理装置の少なくとも1つにおいて、前記複数の情報処理装置各々が所有する前記秘密鍵の一部に対して前記所定の演算を行うことで、秘密鍵を復元させ、第二の公開鍵を変換することで得られたデータを、前記復元した秘密鍵から求めるようにすることが好ましい。
【0017】
このようにすることで、前記取得手段は、前記第二の公開鍵を変換することで得られたデータを取得することが可能となる。
【0018】
また、本発明の第二の態様は、暗号文の生成に際しパラメータとして用いられたデータを回復する鍵回復方法であって、
送信側において、
少なくとも1つの第一の公開鍵を変換することで得られたデータと前記第一の公開鍵と同数の第二の公開鍵を変換することで得られたデータとに基づいて、暗号文の生成に際しパラメータとして用いるデータを生成する第一の処理と、
前記第一の処理の結果得られたデータをパラメータとして暗号文を生成する第二の処理と、
前記少なくとも1つの第一の公開鍵を変換することで得られたデータと、前記第一の公開鍵と同数の第二の公開鍵を変換することで得られたデータとの間において、一方の公開鍵を変換することで得られたデータが分かれば、他方の公開鍵を変換することで得られたデータを、直接あるいは間接に求めることができる関係式を満たすデータ値を生成する第三の処理と、
前記第二の処理で生成した暗号文に、前記第三の処理で生成したデータ値を付加する第四の処理と、を含み、
前記第二の公開鍵と対の秘密鍵を所有する受信側において、
前記第一の公開鍵と同数の第二の公開鍵を変換することで得られたデータを、当該第二の公開鍵と対の秘密鍵から求める第五の処理と、
前記第四の処理で暗号文に付加されたデータ値および前記第五の処理で求めたデータを、前記第三の処理で用いた関係式に代入することにより、前記少なくとも1つの第一の公開鍵を変換することで得られたデータを求める第六の処理と、前記第六の処理で求めた前記少なくとも1つの第一の公開鍵を変換することで得られたデータと、前記第五の処理で求めた前記第一の公開鍵と同数の第二の公開鍵を変換することで得られたデータとに基づいて、前記第一の処理で生成した、前記第二の処理において暗号文生成のためのパラメータとして用いたデータを求める第七の処理と、を含んでいる
ことを特徴とする。
【0019】
本発明の第二の態様では、暗号文生成のパラメータとして、第一の公開鍵を変換することで得られたデータの代わりに、第一の公開鍵を変換することで得られたデータと、この第一の公開鍵と同数の第二の公開鍵を変換することで得られたデータとに基づいて生成されたデータを用いている点で、本発明の第一の態様と異なる。
【0020】
本発明の第二の態様では、第一の公開鍵を変換することで得られたデータは、第二の公開鍵と対の秘密鍵を所有する者によって、暗号文に付加されたデータ値から求めることができる。そして、第二の公開鍵と対の秘密鍵を所有する者は、暗号文に付加されたデータ値から求めた、第一の公開鍵を変換することで得られたデータと、第二の公開鍵と対の秘密鍵から求めた、第二の公開鍵を変換することで得られたデータとに基づいて、暗号文生成のパラメータとして用いたデータを求めることができる。
【0021】
したがって、本発明の第一の態様と同様、第一の公開鍵と対になる秘密鍵を用いることなく、暗号文を復号することができる。つまり、自己の秘密鍵(第一の公開鍵と対の秘密鍵)を自己以外の第三者(鍵保管機関)に供託しなくても、第二の公開鍵と対の秘密鍵を所有する者により、鍵回復を行うことが可能となる。
【0022】
なお、上述したように、本発明の第二の態様では、暗号文生成のパラメータとして、第一の公開鍵を変換することで得られたデータではなく、第一の公開鍵を変換することで得られたデータと、この第一の公開鍵と同数の第二の公開鍵を変換することで得られたデータとに基づいて生成されたデータを用いている。
【0023】
したがって、第一の公開鍵と対の秘密鍵を所有する者であっても、暗号文に付加されたデータ値から第二の公開鍵を変換することで得られたデータを求めなければ、暗号文生成のパラメータとして用いたデータを得ることができない。
【0024】
つまり、第一の公開鍵と対の秘密鍵を所有する者であっても、暗号文に、第一および第二の公開鍵を変換することで得られたデータ間において、一方の公開鍵を変換することで得られたデータが分かれば他方の公開鍵を変換することで得られたデータを求めることができる関係式を満たすデータ値が付加されていなければ、暗号文を復号することができない。一方、当該データ値が暗号文に付加されている場合は、第二の公開鍵と対の秘密鍵を所有する者も、暗号文を必ず復号することができる。
【0025】
したがって、本発明の第二の態様は、たとえば、国境を越えてやり取りが行われる暗号化された機密データなど、防衛上の理由などにより、当該データ取引者の意志にかかわらず、政府などが当該データを復号できるようにすることが要求される鍵回復システムに好適である。
【0026】
【発明の実施の形態】
以下に、本発明の第一実施形態について説明する。
【0027】
本実施形態の鍵回復システムは、ネットワークを介して接続された複数の情報処理装置(たとえば、パーソナルコンピュータ)間で実現される。
【0028】
図1は、本発明の第一実施形態が適用された鍵回復システムの概略構成を示す図である。
【0029】
図1において、装置S101は、暗号データ送信側、すなわち、データ暗号化装置として機能する情報処理装置(たとえば、パーソナルコンピュータ)である。一方、装置A102、B103、C104は、暗号データ受信側、すなわち、データ復号化装置として機能する情報処理装置(たとえば、パーソナルコンピュータ)である。これらの装置は、ネットワーク105を介して相互に接続されている。
【0030】
なお、装置S101は、装置A102が所有する秘密鍵dA110と対になる公開鍵QA107、装置B103が所有する秘密鍵dB111と対になる公開鍵QB108、そして、装置C104が所有する秘密鍵dC112と対になる公開鍵QC109を、あらかじめ取得しているものとする。
【0031】
ここで、公開鍵QA107と秘密鍵dA110、公開鍵QB108と秘密鍵dB111、そして、公開鍵QC109と秘密鍵dC112は、各々楕円曲線暗号における公開鍵と秘密鍵である。
【0032】
楕円曲線暗号とは、次式、
2=x3+ax+b
で表される楕円曲線上の2点(x1,y1)、(x2,y2)の加算(x1,y1)+(x2,y2)や、整数倍倍演算k(x1,y1)などを定義することにより生成される公開鍵暗号のことである。
【0033】
公開鍵QA107と秘密鍵dA110、公開鍵QB108と秘密鍵dB111、および、公開鍵QC109と秘密鍵dC112は、各々以下に示す関係にある。
【0034】
A=dA
B=dB
C=dC
ここで、Pは楕円曲線上のベースポイントと呼ばれるものであって、楕円曲線暗号を計算するときのパラメータとして用いられる。
【0035】
次に、図1に示す構成において、本実施形態の鍵回復システムが実施された場合の処理を簡単にする。
【0036】
まず、データ暗号化装置として機能する装置S101での処理について、簡単に説明する。
【0037】
装置S101は、暗号化すべきメッセージM106を、公開鍵QA107を変換することで得られたデータをパラメータとして、暗号化する。また、この公開鍵QA107を変換することで得られたデータと、公開鍵QB108を変換することで得られたデータと、公開鍵QC109を変換することで得られたデータとの間において、公開鍵QB108を変換することで得られたデータおよび公開鍵QC109を変換することで得られたデータが分かれば、公開鍵QA107を変換することで得られたデータを、直接あるいは間接に求めることができる関係式を満たすデータ値を生成する。
【0038】
そして、メッセージM106の暗号文に、上記の生成したデータ値を付与して暗号文C113を生成し、装置A102、B103、C104に送信する。
【0039】
次に、データ復号化装置として機能する装置A102、B103、C104での処理について、簡単に説明する。
【0040】
まず、装置A102が単独で暗号文C113を復号する場合の処理について、説明する。
【0041】
装置A102は、装置S101から送られてきた暗号文C113を受信すると、この暗号文C113を、秘密鍵dA110を変換することで得られたデータ(このデータは、公開鍵QA107を変換することで得られたデータと同じになる)をパラメータとして、復号化する。これにより、元のメッセージM106を得る。
【0042】
次に、装置A102が、装置B103、C104の協力を得て暗号文C113を復号する場合の処理について、説明する。
【0043】
まず、装置B103、C104に対して、これらが各々所有する秘密鍵dE111、dC112を変換することで得られるデータを送信するように要求する。
【0044】
これを受けて、装置B103、C104は、各々自己が所有する秘密鍵dB111、dC112を変換することで得られたデータを装置A102に送信する。
【0045】
次に、装置A102は、装置B103から送られてきた秘密鍵dB111を変換することで得られたデータと、装置C104から送られてきた秘密鍵dC112を変換することで得られたデータと、装置S101から送られてきた暗号文C113に付与されたデータ値とを基に、公開鍵QA107を変換することで得られたデータを求める。そして、このデータをパラメータとして、暗号文C113を復号化する。これにより、元のメッセージM106を得る。
【0046】
次に、装置B103が、装置C104の協力を得て暗号文C113を復号する場合の処理について説明する。
【0047】
装置B103において、装置S101から送られてきた暗号文C113を復号しようとする場合、まず、装置C104に対して、この装置C104が所有する秘密鍵dC112を変換することで得られるデータを送信するように要求する。
【0048】
これを受けて、装置C104は、自己が所有する秘密鍵dC112を変換することで得られたデータを、トークンT114として、装置B103に送信する。
【0049】
次に、装置B103は、自己が所有する秘密鍵dB111を変換することで得られたデータと、装置C104から送られてきたトークンT114(秘密鍵dC112を変換することで得られたデータ)と、装置S101から送られてきた暗号文C113に付与されたデータ値とを基に、公開鍵QA107を変換することで得られたデータを求める。そして、このデータをパラメータとして、暗号文C113を復号化する。これにより、元のメッセージM106を得る。
【0050】
なお、装置C104が、装置B103の協力を得て暗号文C113を復号する場合も、同じ要領で行う。
【0051】
すなわち、装置B103に対して、この装置B104が所有する秘密鍵dB111を変換することで得られるデータを送信するように要求する。
【0052】
次に、自己が所有する秘密鍵dC112を変換することで得られたデータと、装置B103から送られてきた、秘密鍵dB111を変換することで得られたデータと、装置S101から送られてきた暗号文C113に付与されたデータ値とを基に、公開鍵QA107を変換することで得られたデータを求める。そして、このデータをパラメータとして、暗号文C113を復号化する。
【0053】
次に、本実施形態の鍵回復システムを構成する各装置について説明する。
【0054】
まず、データ暗号化装置として機能する装置S101について説明する。
【0055】
図2は、図1に示す装置S101の機能構成を示す図である。
【0056】
なお、図2に示す機能構成は、パーソナルコンピュータなどの情報処理装置が備えるCPUに所定のプログラムを実行させることで実現可能である。このプログラムは、たとえば、CD−ROMなど、ドライバを介してパーソナルコンピュータで読み取り可能な記憶媒体に格納しておけばよい。また、図2に示す機能構成は、情報処理装置に装着されたICカード上において、実現されるように構成してもよい。
【0057】
図2に示す装置S101では、ベースポイント生成部2102において、楕円曲線暗号におけるパラメータであるベースポイントPが生成される。
【0058】
このベースポイントPは、乱数生成部2113で生成された乱数kとともに整数倍演算部2123へ入力される。これを受けて、整数倍演算部2123は、次式で示される処理を実行することで、データR2109を生成する。
【0059】
R=kP
このデータR2109は、暗号文C113の最初のデータとなる。
【0060】
また、公開鍵QA107は、乱数生成部2113で生成された乱数kとともに、整数倍演算部2114へ入力される。これを受けて、整数倍演算部2114は、次式で示される処理を実行することで、上記の楕円曲線上の点(xA,yA)を生成する。
【0061】
(xA,yA)=kQA
この(xA,yA)のうち、数値xAは、その後、ハッシュ値生成部2119に入力されて、ハッシュ値h(xA)に変換される。
【0062】
同様に、公開鍵QB108は、乱数生成部2113で生成された乱数kとともに、整数倍演算部2115へ入力される。これを受けて、整数倍演算部2115は、次式で示される処理を実行することで、上記の楕円曲線上の点(xB,yB)を生成する。
【0063】
(xB,yB)=kQB
この(xB,yB)のうち、数値xBは、その後、ハッシュ値生成部2126に入力されて、ハッシュ値h(xB)に変換される。
【0064】
また、同様に、公開鍵QC109は、乱数生成部2113で生成された乱数kとともに、整数倍演算部2116へ入力される。これを受けて、整数倍演算部2116は、次式で示される処理を実行することで、上記の楕円曲線上の点(xC,yC)を生成する。
【0065】
(xC,yC)=kQC
この(xC,yC)のうち、数値xCは、その後、ハッシュ値生成部2127に入力されて、ハッシュ値h(xC)に変換される。
【0066】
しきい値ロジック部2125は、ハッシュ値生成部2126、2127で生成したハッシュ値h(xB)、h(xC)が分かれば、ハッシュ値生成部2119で生成したハッシュ値h(xA)を求めることができる条件式を満たす値f12110を生成する。この値f12110は、暗号文C113の2番目のデータとなる。
【0067】
なお、このしきい値ロジック部2125の詳細については後述する。
【0068】
メッセージM106は、まず、最初のNビットデータ2107が圧縮・暗号化部2120に入力される。これを受けて、圧縮・暗号化部2120は、ハッシュ値生成部2119で生成されたハッシュ値h(xA)を鍵2100として、最初のNビットデータ2107の圧縮・暗号化処理(これについては後述する)を行う。これによりデータC12112を生成する。このデータC12112は、暗号文C113の3番目のデータとなる。また、鍵2100は、ハッシュ値生成部2121に入力されて、メッセージM106の2番目のNビットデータを暗号化するための鍵2122に変換される。
【0069】
上記の処理を、メッセージM106を構成する全てのNビットデータに対して行うことで、暗号文C113を生成する。
【0070】
なお、上記の説明において、ハッシュ値とは、入力データに対して、暗号変換に似た処理を施すことで得られる一定長の短いデータのことである。このハッシュ値を生成するための関数であるハッシュ関数には、次のような特性をもつことが要求される。
【0071】
1.一方向性(one−way property):あるハッシュ関数の出力値が与えられたとする。この出力値と同じ出力値をもたらすような別のメッセージを求めることが、計算量的に困難でなければならない。
【0072】
2.衝突回避性(collision free property):メッセージもハッシュ値も何であるかは問わない。とにかく同じハッシュ値となる二つの異なるメッセージを見つけることが計算量的に困難でなけらばならない。
【0073】
このハッシュ関数には、従来より「ブロック暗号を利用したハッシュ関数」や「専用ブロック関数」などが存在する。本実施形態に用いるハッシュ値生成部は、これ等を利用することで実現可能である。
【0074】
次に、図2に示すしきい値ロジック部2125での処理について説明する。
【0075】
上述したように、しきい値ロジック部2125は、ハッシュ値h(xB)、h(xC)が分かれば、ハッシュ値h(xA)を求めることができる条件式を満たす値f12110を生成する。
【0076】
図3は、図2に示すしきい値ロジック部2125の機能構成を示す図である。
【0077】
図3に示すように、しきい値ロジック部2125には、qAX2202、h(xA)2203、h(xB)2204、h(xC)2205が入力される。
【0078】
ここで、qAX2202は、図2において、公開鍵QA107のx座標値である。また、h(xA)2203、h(xB)2204、h(xC)2205は、それぞれ、ハッシュ値生成部2119、2126、2127で生成されたハッシュ値である。
【0079】
演算部2208は、次式で示される処理を実行することで、データf12110を生成する。
【0080】
1=g(qAX,h(xA),h(xB),h(xC))
ここで、関数gは、
g(x,a1,a2,a3)=a1+a2・x+a3・x2(mod n)
で定義される。
【0081】
したがって、演算部2208で生成されたデータf1は、qAXおよびh(xA)、h(xB)、h(xC)との間において、以下に示す方程式が成立する。
【0082】
1=h(xA)+h(xB)・qAX+h(xC)・qAX 2(mod n)
なお、上記の式において、mod nとは、nで割った余りをとるという処理を示す。たとえば、5(mod 2)=1である。また、nは、ハッシュ値生成部21119、2126、2127で用いるハッシュ関数hの出力長(すなわち、ハッシュ値)より長いビット数で表される整数である。
【0083】
上記の式により、f1、qAXの値が既知である場合、h(xA),h(xB),h(xC)のうちのいずれか二つの値が分かれば、他の一つの値も分かることになる(未知数3、方程式数1の連立方程式となるため)。
【0084】
次に、図2に示す圧縮・暗号化部2120、・・・での処理について、説明する。
【0085】
図4は、図2に示す圧縮・暗号化部2120、・・・の機能構成を示す図である。
【0086】
ここで、Nビットデータとは、図2において、メッセージM106を構成するNビットデータ2107、・・・に相当する。また、データCiは、図2において、圧縮・暗号化部2120、・・・が生成するデータC12112、・・・を示す。さらに、鍵2309とは、図2において、鍵2100、2122、・・・に相当する。
【0087】
図4において、鍵2309が入力されると、拡張部2310はこの鍵2309を受け取ってコピーを複数個生成し、これ等を繋ぎ合わせてワーク鍵2311を生成する。
【0088】
また、Nビットデータの最初のデータ区分である第1区分2303は、圧縮処理部2312において、ワーク鍵2311の一部をパラメータとして、ハフマン圧縮などにより圧縮(換字)処理が施される。そして、その結果が、128ビットの圧縮データ2313およびその端数データ2314として出力される。
【0089】
128ビットの圧縮データ2313は、π関数処理部2315において、ワーク鍵2311の一部をパラメータとして、ブロック暗号処理が施され、128ビットのデータに変換される。その後、π関数処理部2316において、ワーク鍵2311の一部をパラメータとして、さらにブロック暗号処理が施されて、128ビットのデータに変換される。このデータが、生成すべきデータCiの最初のデータg12306となる。また、π関数処理部2315で生成された128ビットのデータは、拡張部2317に入力され、複数コピーされる。そして、これ等が繋ぎ合わされて、Nビットデータの2番目のデータ区分である第2区分2304を暗号化するためのワーク鍵2318となる。
【0090】
また、Nビットデータの2番目のデータ区分である第2区分2304は、圧縮処理部2319において、ワーク鍵2318の一部をパラメータとして、ハフマン圧縮などにより圧縮(換字)処理が施される。そして、その結果が、圧縮データ2320および端数データ2321として出力される。ここで、圧縮データ2320は、第1区分2303を圧縮(換字)処理した際に生成された端数データ2314との合計ビット長が、128ビットとなるように生成される。
【0091】
圧縮データ2320は、第1区分2303を圧縮(換字)処理した際に生成された端数データ2314とを繋ぎ合わされて、128ビットのデータになる。その後、π関数処理部2322において、ワーク鍵2318の一部をパラメータとして、ブロック暗号処理が施され、128ビットのデータに変換される。その後、π関数処理部2324において、ワーク鍵2318の一部をパラメータとして、さらにブロック暗号処理が施されて、128ビットのデータに変換される。このデータが、生成すべきデータCiの2番目のデータg22307となる。
【0092】
なお、第2区分2304を圧縮(換字)処理した際に生成された端数データ2321がrビット(r≧1)である場合、ハッシュ値生成部2323は、鍵2309に対するハッシュ値を生成する。これを受けて、演算部2325は、ハッシュ値生成部2323で生成されたハッシュ値の上位rビットと、端数データ2321との排他的論理的をとり、rビットのデータを生成する。このデータが、生成すべきデータCiの3番目のデータg32308となる。
【0093】
上記の処理により、Nビットデータに対する暗号データCiが生成される。
【0094】
本実施形態において、データ暗号化装置として機能する装置S101では、メッセージM106の暗号化において、初期値として、ハッシュ値h(xA)を用いている。したがって、この装置S101で暗号化された暗号文C113を復号するためには、ハッシュ値h(xA)求めればよい。
【0095】
ところで、この装置S101では、しきい値ロジック部2125において、ハッシュ値h(xB)、h(xC)が分かれば、ハッシュ値h(xA)を求めることができる条件式を満たす値f1を生成し、このf1を暗号文C113に付加している。
【0096】
このため、暗号文C113を受信した者(すなわち、f1を取得した者)は、h(xB)、h(xC)(ただし、図2に示す例でいえば、さらにqAXが必要)が分かれば、暗号化に用いたh(xA)を求めることができる。
【0097】
よって、暗号文C113の復号は、公開鍵QAと対になる秘密鍵dAを所有する装置A102(単独でハッシュ値h(xA)を求めることが可能)のみならず、公開鍵QBと対になる秘密鍵dBを所有する装置B103(単独でハッシュ値h(xB)を求めることが可能)、および公開鍵QCと対になる秘密鍵dCを所有する装置C104(単独でハッシュ値h(xC)を求めることが可能)が協力することでも行うことができる。
【0098】
前者は、1 out of 1の復号ロジックであり、後者は2 out of 2の復号ロジックである。本実施形態によれば、このように、復号可能となる受信者数のしきい値制御が可能となる。
【0099】
すなわち、暗号文C113を秘密鍵dA、dB、dCの所有者各々に対して同報通信(マルチキャスト)することで、秘密鍵dAの持ち主が単独で復号できるとともに、秘密鍵dB、dCの持ち主が協力すれば復号可能なようにすることができる。
【0100】
なお、本実施形態に適用したデータ暗号は、メッセージMを公開鍵を用いて、暗号文に変換するという点で、従来のRSA(Rivest,Shamir,Adleman)のような公開鍵暗号と同じである。しかし、図4に示すように、ハフマン圧縮等により圧縮が効くような通常のメッセージに対しては、暗号文の長さがメッセージの長さより短くなるという点で、従来の公開鍵暗号とは異なる。
【0101】
次に、データ復号化装置として機能する装置A102、B103、C104について説明する。
【0102】
まず、装置A102が自己が所有する秘密鍵dA110を用いて暗号文C113を復号する場合について説明する。
【0103】
図5は、図1に示す装置A102が自己が所有する秘密鍵dA110を用いて暗号文C113を復号する場合における、当該装置A102の機能構成を示す図である。
【0104】
なお、図5に示す機能構成は、パーソナルコンピュータなどの情報処理装置が備えるCPUに所定のプログラムを実行させることで実現可能である。このプログラムは、たとえば、CD−ROMなど、ドライバを介してパーソナルコンピュータで読み取り可能な記憶媒体に格納しておけばよい。また、図5に示す機能構成は、情報処理装置に装着されたICカード上において、実現されるように構成してもよい。
【0105】
図5において、装置A102に暗号文C113が入力されると、演算部2619は、自己が格納している秘密鍵dA110(公開鍵QA107と対)を読み出す。そして、この秘密鍵dA110と、暗号文C113の最初のデータR2109との間で、次式を満たす楕円曲線上の点(xA,yA)を求める。
【0106】
(xA,yA)=dA
ハッシュ値生成部2620は、演算部2619で求めた(xA,yA)のうちのx座標値xAのハッシュ値h(xA)を生成する。
【0107】
ここで、ハッシュ値h(xA)は、図2に示すハッシュ値生成部2119で生成されたハッシュ値h(xA)と一致する。この理由を以下に述べる。
【0108】
図2において、ハッシュ値生成部2119は、乱数生成部2113で生成した乱数kを用いて(xA,yA)=kQAを求め、このうちのx座標の数値xAに対するハッシュ値をh(xA)としている。
【0109】
これに対し、図5に示すハッシュ値生成部2620では、上記と同じ乱数kを用いてR=kPにより求められたRを用いて、dARを求め、このうちのx座標の数値xA対するハッシュ値をh(xA)としている。
【0110】
ここで、楕円曲線暗号における秘密鍵と公開鍵との関係から、QA=dAPが成立する。したがって、
AR=dAkP=kdAP=kQA=(xA,yA
となる。
【0111】
したがって、図5に示すハッシュ値生成部2620で生成されたハッシュ値h(xA)は、図2に示すハッシュ値生成部2119で生成されたハッシュ値h(xA)と一致する。
【0112】
復号・伸長化部2614は、ハッシュ値生成部2620で生成されたハッシュ値h(xA)を鍵2613として、暗号文C113の3番目のデータC12112(すなわち、メッセージM106の最初のNビットデータに対する暗号データ)に対して、復号・伸長処理を行う。これにより、メッセージM106の最初のNビットデータ2107を生成する。
【0113】
また、復号・伸長化部2617は、ハッシュ値生成部2615において、鍵2613を基に生成されたハッシュ値を新しい鍵2616として、暗号文C113の4番目のデータ(すなわち、メッセージM106の2番目のNビットデータに対する暗号データ)に対して、復号・伸長処理を行う。これにより、メッセージM106の2番目のNビットデータを生成する。
【0114】
上記の処理を、暗号文C113を構成する最後のデータまで、順次繰り返すことで、メッセージM106を復元する。
【0115】
ここで、図5に示す復号・伸長化部2614、2617、・・・について説明する。
【0116】
図6は、図5に示す復号・伸長化部2614、2617、・・・の機能構成を示す図である。
【0117】
図中、データCiは、図5において、暗号文C113の3番目以降のデータC12112、・・・を示す。また、Nビットデータとは、図5において、復号・伸長化部2614、2617、・・・が生成したNビットデータ2107、・・・に相当する。さらに、鍵1905とは、図5において、鍵2613、2616に相当する。
【0118】
また、π-1関数処理部1907、1910、1914、1916は、図4に示すπ関数処理部2315、2316、2322、2324でのブロック暗号処理と逆関数の関係にある処理を行う。すなわち、π-1関数は、π関数の逆関数である。
【0119】
同じパラメータをπ関数とπ-1関数に設定した場合、データmをπ関数によって変換して得られるデータπ(m)を、さらに、π-1関数によって変換すると、元のデータmに戻る。すなわち、π-1関数はπ関数と次式のような関係にある。
【0120】
m=π−1(π(m))
また、伸長処理部1911、1917は、図4に示す圧縮処理部2312、2319での処理と逆変換の関係にある処理を行う。
【0121】
同じパラメータを圧縮処理部と伸長処理部に設定した場合、データmを圧縮(換字)処理によって変換して得られるデータを、さらに、伸長(換字)処理によって変換すると、元のデータmに戻る。
【0122】
図6において、鍵1905が入力されると、拡張部1906はこの鍵1905を受け取ってコピーを複数個生成し、これ等を繋ぎ合わせてワーク鍵1923を生成する。
【0123】
また、データCiの最初の128ビットデータg12306は、π-1関数処理部1907において、ワーク鍵1923の一部をパラメータとして、換字・転置処理が施されて128ビットデータ変換された後、π-1関数処理部1910において、ワーク鍵1923の一部をパラメータとして、さらに換字・転置処理が施されて、128ビットデータに変換される。
【0124】
π-1関数処理部1910の出力結果は、伸長処理部1911において、ワーク鍵1923の一部をパラメータとして、伸長(換字)処理が施される。そして、その結果が、伸長データ1912およびその端数データ1913として出力される。この128ビットの伸長データが、生成すべきNビットデータのうちの第1区分のデータ2303となる。また、π-1関数処理部1907で生成された128ビットのデータは、拡張部1909に入力され、複数コピーされる。そして、これ等が繋ぎ合わされて、データCiの2番目の128ビットデータg22307を復号化するためのワーク鍵1924となる。
【0125】
データCiの2番目の128ビットデータg22307は、π-1関数処理部1914において、ワーク鍵1924の一部をパラメータとして、換字・転置処理が施されて128ビットデータに変換された後、π-1関数処理部1916において、ワーク鍵1924の一部をパラメータとして、さらに換字・転置処理が施されて、128ビットデータに変換される。
【0126】
π-1関数処理部1916の出力結果は、伸長処理部1917において、ワーク鍵1924の一部をパラメータとして、伸長(換字)処理が施される。そして、その結果が、伸長データ1918として出力される。
【0127】
データCiの3番目のデータであるrビットデータg32308は、ハッシュ値生成部2323aで生成された鍵1905に対するハッシュ値の上位rビットと共に、演算部2325aに入力される。これを受けて、演算部2325aは、ハッシュ値生成部2323aで生成されたハッシュ値の上位rビットをhr、生成すべきrビットデータをDrとした場合に以下の式を満たすDrを生成する。
【0128】
r eor hr=g2 :ただし、eorは排他的論理和
演算部2325aで生成されたrビットデータDrは、伸長処理部1919において、ワーク鍵1924の一部をパラメータとして、伸長(換字)処理が施される。そして、その結果は、データg12306を伸長(換字)処理した際に生成された端数データ1913、および、データg22307を伸長(換字)処理した際に生成された伸長データ1918と接続される。この接続されたデータが、生成すべきNビットデータのうちの第2区分のデータ2304となる。
【0129】
これにより、Nビットデータが生成される。
【0130】
次に、装置A101が鍵dA110を紛失してしまった場合に、装置B103、C104の協力を得て、暗号文C113を復号する場合について説明する。
【0131】
図7は、図1に示す装置A101が鍵dA110を紛失してしまった場合に、装置B103、C104の協力を得て、暗号文C113を復号する場合における、装置A102、B103、C104の機能構成を示す図である。ここで、図5に示すものと同じものには、同一の符号を付してある。
【0132】
なお、図7に示す機能構成は、パーソナルコンピュータなどの情報処理装置が備えるCPUに所定のプログラムを実行させることで実現可能である。このプログラムは、たとえば、CD−ROMなど、ドライバを介してパーソナルコンピュータで読み取り可能な記憶媒体に格納しておけばよい。また、図7に示す機能構成は、情報処理装置に装着されたICカード上において、実現されるように構成してもよい。
【0133】
まず、装置A102は、受け取った暗号文C113の最初のデータR2109を、装置B103、C104へ各々送信する。
【0134】
これを受けて、装置B103は、自己が格納している秘密鍵dB111(公開鍵QB108と対)を読み出す。そして、演算部2619aにおいて、装置A102から送られてきた値Rとの間で、次式を満たす楕円曲線上の点(xB,yB)を求める。
【0135】
(xB,yB)=dB
その後、ハッシュ値生成部2620aにおいて、演算部2619aで求めた(xB,yB)のうちのx座標値xBのハッシュ値h(xB)を生成し、これを装置A102へ送信する。
【0136】
同様に、装置C104は、自己が格納している秘密鍵dC112(公開鍵QC109と対)を読み出す。そして、演算部2622において、装置A102から送られてきた値Rとの間で、次式を満たす楕円曲線上の点(xC,yC)を求める。
【0137】
(xC,yC)=dC
その後、ハッシュ値生成部2623において、演算部2622で求めた(xC,yC)のうちのx座標値xCのハッシュ値h(xC)を生成し、これを装置A102へ送信する。
【0138】
ここで、ハッシュ値h(xB)、h(xC)は、図2に示すハッシュ値生成部2126、2127で生成されたハッシュ値h(xB)、h(xC)と、各々一致する。この理由を以下に述べる。
【0139】
図2に示すハッシュ値生成部2126では、乱数生成部2113で生成した乱数kを用いて(xB,yB)=kQBを求め、このうちのx座標の数値xBに対するハッシュ値をh(xB)としている。同様に、ハッシュ値生成部2127では、乱数kを用いて(xC,yC)=kQCを求め、このうちのx座標の数値xCに対するハッシュ値をh(xC)としている。
【0140】
これに対し、図7に示すハッシュ値生成部2620aでは、上記と同じ乱数kを用いてR=kPにより求められたRを用いて、dBRを求め、このうちのx座標の数値xB対するハッシュ値をh(xB)としている。同様に、ハッシュ値生成部2623では、Rを用いてdCRを求め、このうちのx座標の数値xC対するハッシュ値をh(xC)としている。
【0141】
ここで、楕円曲線暗号における秘密鍵と公開鍵との関係から、QB=dBP、QC=dCPが成立する。したがって、
BR=dBkP=kdBP=kQB=(xB,yB
CR=dCkP=kdCP=kQC=(xC,yC
となる。
【0142】
したがって、図7に示すハッシュ値生成部2620a、2623で各々生成されたハッシュ値h(xB)、h(xC)と、図2に示すハッシュ値生成部2126、2127で各々生成されたハッシュ値h(xB)、h(xC)とは、各々一致する。
【0143】
次に、装置A102は、装置B103、C104からハッシュ値h(xB)、h(xC)を受け取ると、しきい値逆算ロジック部2612による処理を開始する。
【0144】
しきい値逆算ロジック部2612は、まず、装置B103から送られてきたハッシュ値h(xB)と、装置C104から送られてきたハッシュ値h(xC)と、公開鍵QA107のx座標値qAXと、暗号文C113の2番目データf12110と、を受け取る。
【0145】
そして、以下に示す方程式を満たすh(xA)を生成する。
【0146】
1=h(xA)+h(xB)・qAX+h(xC)・qAX 2(mod n)
ここで、上記の方程式は、図2に示すハッシュ値生成部2119、2126、2127で各々生成されたハッシュ値h(xA)、h(xB)、h(xC)のうち、h(xB)とh(xC)とを既知とした場合に相当する。
【0147】
上述したように、図7に示すハッシュ値生成部2620a、2623で各々生成されたハッシュ値h(xB)、h(xC)は、図2に示すハッシュ値生成部2126、2127で各々生成されたハッシュ値h(xB)、h(xC)と一致する。したがって、上記の方程式より求めたh(xA)は、図2に示すハッシュ値生成部2119で生成したハッシュ値h(xA)と一致することになる。
【0148】
復号・伸長化部2614は、しきい値逆ブロック部2612で生成されたハッシュ値h(xA)を鍵2613として、暗号文C113の3番目のデータC12112(すなわち、メッセージM106の最初のNビットデータに対する暗号データ)に対して、復号・伸長処理を行う。これにより、メッセージM106の最初のNビットデータ2107を生成する。
【0149】
また、復号・伸長化部2617は、ハッシュ値生成部2615において、鍵2613を基に生成されたハッシュ値を新しい鍵2616として、暗号文C113の4番目のデータ(すなわち、メッセージM106の2番目のNビットデータに対する暗号データ)に対して、復号・伸長処理を行う。これにより、メッセージM106の2番目のNビットデータを生成する。
【0150】
上記の処理を、暗号文C113を構成する最後のデータまで、順次繰り返すことで、メッセージM106を復元する。
【0151】
なお、図7では、装置A101が鍵dA110を紛失してしまった場合に、装置B103、C104の協力を得て、暗号文C113を復号する場合について説明した。ここで、装置B103、C104は、公開鍵の供託を受けて保管するよううな機関(鍵保管機関)であってもよい。
【0152】
次に、装置B103が、装置C104の協力を得て、装置S101から送られてきた暗号文C113を復号化する場合について、説明する。
【0153】
図8は、図1において、装置B103が装置C104の協力を得て、装置S101から送られてきた暗号文C113を復号化する場合における、装置B103、C104の機能構成を示す図である。ここで、図7に示すものと同じものには同一の符号を付してある。
【0154】
なお、図8に示す機能構成は、情報処理装置などのパーソナルコンピュータが備えるCPUに所定のプログラムを実行させることで実現可能である。このプログラムは、たとえば、CD−ROMなど、ドライバを介してパーソナルコンピュータで読み取り可能な記憶媒体に格納しておけばよい。また、図8に示す機能構成は、情報処理装置に装着されたICカード上において、実現されるように構成してもよい。
【0155】
図8において、装置B103に、公開鍵QA107と、暗号文C113とが入力されると、演算部2619aは、自己が格納している秘密鍵dB111(公開鍵QB108と対)を読み出す。
【0156】
そして、この秘密鍵dB111と、暗号文C113の最初のデータR2109との間で、次式を満たす楕円曲線上の点(xB,yB)を求める。
【0157】
(xB,yB)=dB
ハッシュ値生成部2620aは、演算部2619で求めた(xB,yB)のうちのx座標値xBのハッシュ値h(xB)を生成する。
【0158】
また、装置B103は、暗号文C113の最初のデータR2109を装置C104へ送信する。
【0159】
これを受けて、装置C104は、自己が格納している秘密鍵dC112(公開鍵QC109と対)を読み出す。そして、演算部2622において、この秘密鍵dC112と、暗号文C113の最初のデータR2109との間で、次式を満たす楕円曲線上の点(xC,yC)を求める。
【0160】
(xC,yC)=dC
その後、ハッシュ値生成部2623において、演算部2622で求めた(xC,yC)のうちのx座標値xCのハッシュ値h(xC)を生成して、装置B103へ送信する。
【0161】
次に、装置B103は、装置C104からハッシュ値h(xC)を受け取ると、しきい値逆算ロジック部2612による処理を開始する。
【0162】
しきい値逆算ロジック部2612は、まず、ハッシュ値生成部2620aで生成したハッシュ値h(xB)と、装置C104から送られてきたハッシュ値h(xC)と、公開鍵Q1107のx座標値qAXと、暗号文C113の2番目データf12110と、を受け取る。
【0163】
そして、以下に示す方程式を満たすh(xA)を生成する。
【0164】
1=h(xA)+h(xB)・qAX+h(xC)・qAX 2(mod n)
復号・伸長化部2614は、しきい値逆ブロック部2612で生成されたハッシュ値h(xA)を鍵2613として、暗号文C113の3番目のデータC12112(すなわち、メッセージM106の最初のNビットデータに対する暗号データ)に対して、復号・伸長処理を行う。これにより、メッセージM106の最初のNビットデータ2107を生成する。
【0165】
また、復号・伸長化部2617は、ハッシュ値生成部2615において、鍵2613を基に生成されたハッシュ値を新しい鍵2616として、暗号文C113の4番目のデータ(すなわち、メッセージM106の2番目のNビットデータに対する暗号データ)に対して、復号・伸長処理を行う。これにより、メッセージM106の2番目のNビットデータを生成する。
【0166】
上記の処理を、暗号文C113を構成する最後のデータまで、順次繰り返すことで、メッセージM106を復元する。
【0167】
上記の本実施形態では、公開鍵QB108から求めたハッシュ値h(xB)と、公開鍵QC109から求めたハッシュ値h(xC)と、メッセージM106の暗号化に用いた、公開鍵QA107から求めたハッシュ値h(xA)との間において、ハッシュ値h(xB)およびハッシュ値h(xC)が分かれば、ハッシュ値h(xA)を直接あるいは間接に求めることができる関係式を満たす値f12110を暗号文C113に付与している。
【0168】
ここで、装置B103、C104は、各々自己が所有する秘密鍵dB111、dC112からハッシュ値h(xB)、h(xC)を求めることができる。
【0169】
したがって、メッセージM106の暗号化に用いたハッシュ値h(xA)は、装置B103、C104が協力することで求めることができるので、装置A102は、自己が所有する秘密鍵dA110を紛失した場合でも、装置B103、C104の協力を得ることで、暗号文C113を元のメッセージM106に復元することができる。
【0170】
これにより、以下に示す効果を奏する。
【0171】
▲1▼自己の秘密鍵を、鍵保管機関に供託しておく必要がなくなる。
【0172】
従来の鍵回復システムでは、自己の秘密鍵を、鍵保管機関に供託しておかなければならなかった。当然、この秘密鍵を鍵保管機関に供託する場合にも、機密性を確保できる方法で行う必要があり、そのための手間がかかっていた。特に、秘密鍵を分割して、複数の鍵保管機関に供託するような場合には、ユーザにかかる負担が大きかった。本実施形態では、自己(装置A102に相当)の秘密鍵を鍵保管機関(装置B103、C104に相当)に供託しなくても、鍵保管機関は、自己の公開鍵で暗号化したデータを復号することができるので、上記のような手間を省くことができ、ユーザにかかる負担を軽減することができる。
【0173】
▲2▼自己が所有する秘密鍵が、自己以外の第三者(鍵保管機関)に知られることがなくなる。
【0174】
従来の鍵回復システムでは、かりに、鍵保管機関から、自己の秘密鍵に関する情報が漏洩してしまった場合、安全なデータ暗号化を行うことができなくなってしまうおそれがあった。本実施形態では、自己が所有する秘密鍵を鍵保管機関に預ける必要がなくなるのでそのような問題は生じない。くわえて、上記の値f12110は、公開鍵QB108と公開鍵QC109との値に依存するので、協力を得ようとする者(具体的には、その者が所有する秘密鍵と対になる公開鍵)を変えることで、値f12110の内容を変更することができる。このため、機密性を更に向上させることができる。
【0175】
なお、本実施形態は、暗号文にf1、f2、・・・、fnを含めることで、n人の相手に対してマルチキャストを行い、そのn人のうちの何人かは単独で復号可能とし、残りの者は少なくとも二人が協力することで、復号可能とすることもできる。あるいは、n人各々が単独で復号可能とすることもできる。
【0176】
図9は、図2に示すしきい値ロジック部の変形例の機能構成を示す図である。
【0177】
図9に示すように、しきい値ロジック部2125aには、3つのデータxA2402、xB2403、xC2404が入力される。
【0178】
ここで、xA2402、xB2403、xC2406は、それぞれ、図2に示す整数倍演算部2114、2115、2116で生成されたx座標値である。
【0179】
演算部2408は、次式で示される処理を実行することで、データf12406を生成する。
【0180】
1=xA−h(xB
ここで、h(xB)は、図2に示すハッシュ値生成部2126で生成されたハッシュ値である。
【0181】
また、演算部2410は、次式で示される処理を実行することで、データf22407を生成する。
【0182】
2=xA−h(xC
ここで、h(xC)は、図2に示すハッシュ値生成部2127で生成されたハッシュ値である。
【0183】
図9に示すしきい値ロジック2125aを用いることで、図2に示す装置S101は、暗号化処理途中に生成される乱数kと公開鍵QB108とを基にデータf12406を生成することになる。このデータf1を暗号文C113に付与することにより、公開鍵QB108と対の関係にある秘密鍵dB111の持ち主(すなわち、装置B103)も、単独で暗号文C113を復号することができる。
【0184】
同様に、暗号化処理途中に生成される乱数kと公開鍵QC109とを基に、データf22407を生成することになる。このデータf2を暗号文C113に付与することにより、公開鍵QC109と対の関係にある秘密鍵dC112の持ち主(すなわち、装置C104)も、単独で暗号文C113を復号することができる。
【0185】
すなわち、暗号文C113を秘密鍵dA110、dB111、dC112のそれぞれの持ち主に同報通信(マルチキャスト)することで、これ等の持ち主各々が単独で復号することが可能となる。また、通信相手を一人増やすには、単に、ハッシュ値の長さ分(たとえば、80ビット)のデータを増やせばよいので、同報暗号通信を効率的に行うことができる。ここで、ハッシュ関数には一方向性だけが要求され、衝突回避性は要求されない。
【0186】
また、本実施形態では、暗号文C113の最初データとして、整数倍演算部2123で生成した、楕円曲線上の点Rのx座標値、y座標値の両方を含むものについて説明した。しかしながら、x座標値、y座標値のいずれか一方のみを含むようにした場合でも、本発明の鍵回復システムを実現することができる。
【0187】
図10は、図1に示すデータ暗号化装置として機能する装置Sの変形例の機能構成を示す図である。
【0188】
ここで、図2に示す装置S101と同じものには、同じ符号を付している。
【0189】
図10に示す装置S101aは、整数倍演算部2123に代えて整数倍演算部2501を用いた点で、図2に示す装置S101と異なる。その他の構成は、図2に示すものと同じである。
【0190】
整数倍演算部2501は、ベースポイントP2102と、乱数生成部2113で生成された乱数kとを受け取って、R=kPで示される処理を実行する点で、図2に示す整数倍演算部2123と同じである。しかしながら、上記の式で求められるRのうち、x座標の値RX2502のみを出力する点で異なる。
【0191】
したがって、図10に示す装置S101aでは、このデータRX2502が、暗号文C113aの最初のデータとなる。
【0192】
図10に示す装置S101aでは、図2に示す装置S101に比べて、生成される暗号文の長さが幾分短くなる。
【0193】
すなわち、図2に示す装置S101では、整数倍演算部2123において、楕円曲線上の点R=kPを求め、求めたRのx座標値RXおよびy座標値RYを出力して、暗号文C113の最初のデータR2109としていた。
【0194】
これに対し、図10に示す装置S101aでは、整数倍演算部2501において、楕円曲線上の点R=kPを求め、この求めたRのうちのx座標値RXのみを出力して、暗号文C113aの最初のデータRX2502としている。
【0195】
したがって、図10に示す装置S101aで生成された暗号文C113aは、図2に示す装置S101で生成された暗号文C113よりも、y座標値RYのデータ分(たとえば、160ビット)だけ短くなる。
【0196】
図11は、図1に示すデータ復号化装置として機能する装置Aの変形例であり、装置Aが鍵dA110を紛失してしまった場合に、装置B、Cの協力を得て、図10に示す装置Sが生成した暗号文C113aを復号する場合における機能構成を示す図である。
【0197】
ここで、図7に示すものと同じものには、同じ符号を付してある。
【0198】
図11に示す装置A101aが図7に示す装置A101と異なる点は、演算部2611を設けた点である。
【0199】
演算部2611は、暗号文C113aの最初のデータRX2502との間で、次の楕円曲線方程式を満足するy座標値RYを求める。
【0200】
Y 2=RX 3+a・RX+b
通常、この方程式の解RYは2つ存在する。一方の解をrとすると、他方は−rとなる(ただし、楕円曲線としてy2+xy=x3+ax+bを用いる場合には、一方の解をrとすると、他方はRX+rとなる)。演算部2611は、どちらか任意の一方をとり、他方を無視する。ここでは、rの方をとって、R=(RX,r)を、装置B103、C104へ送信している。
【0201】
したがって、装置B103、C104では、このR=(RX,r)を基にハッシュ値h(xB)、h(xC)が生成されることになる。
【0202】
ここで、ハッシュ値h(xB)、h(xC)は、以下に示すような特徴を有する。
【0203】
かりに、装置B103、C104に各々送信されるデータが、R=(RX,r)ではなく、R´=(RX,−r)であったとする。
【0204】
この場合、装置B103の演算部2619aでは、(xB´,yB´)=dBR´の計算が行われことになる。
【0205】
しかし、楕円曲線上の演算の性質より、(xB´,yB´)=(xB,−yB)となる。
【0206】
すなわち、楕円曲線y2=x3+ax+bを用いた演算では、−(x,y)=(x,−y)が成立する。このとき、(xB,yB)=dB(RX、r)であったとすると、
B(RX,−r)=dB(−(RX,r))=−dB(RX,r)=(xB,−yB
となる。
【0207】
また、楕円曲線y2+xy=x3+ax+bを用いた演算では、−(x,y)=(x,x+y)が成立する。このとき、(xB,yB)=dB(RX,r)であったとすると、
B(RX,RX+r)=dB(−(RX,r))=−dB(RX,r)=(xB,xB+yB
となる。
【0208】
したがって、h(xB´)=h(xB)となる。
【0209】
つまり、R=(RX,r)を入力しても、あるいはR´=(RX,−r)を入力しても、装置B103が出力するハッシュ値h(xB)は変化しない。
【0210】
同様に、R=(RX,r)を入力しても、あるいはR´=(RX,−r)を入力しても、装置C104が出力するハッシュ値h(xC)も変化しない。
【0211】
したがって、装置A102の演算部2611において、方程式の解Ryが2つ存在するにもかかわらず、どちらか任意の一方のみを装置B103、C104に送信した場合でも、本発明の鍵回復システムを実現できる。
【0212】
さらに、本実施形態は、図1において、装置S101で用いた公開鍵QA107、QB108、QC109と対になる秘密鍵dA110、dB111、dC112の少なくとも1つを、排他的論理和や加算などの所定の演算を行うことで復元可能なように複数に分割し、これ等を複数の情報処理装置に保持させるようにしてもよい。
【0213】
この場合、当該複数の情報処理装置の少なくとも1つにおいて、前記複数の情報処理装置各々が所有する秘密鍵の一部に対して、前記所定の演算を行うことで秘密鍵を復元させることができる。
【0214】
図12は、本発明の第一実施形態の変形例が適用された鍵回復システムの概略構成を示す図である。
【0215】
ここでは、公開鍵QC109と対になる秘密鍵dC112を、排他的論理和や加算などの所定の演算を行うことで復元可能なように2つ(dC1112a、dC2112b)に分割し、これ等を2つの装置C1104a、C2104bに保持させた場合の例を示している。
【0216】
この場合でも、2つの装置C1104a、C2104bが互いに協力して、各々が所有する秘密鍵dC1112a、dC2112bについて、排他的論理和や加算などの演算処理を行うことにより、秘密鍵dC112を回復することが可能である。
【0217】
そして、回復した秘密鍵dC112からハッシュ値h(xC)を求めることができる。
【0218】
さらに、本実施形態では、楕円曲線暗号として、
2=x3+ax+b
に基づくものを用いたが、その代わりに、楕円曲線暗号として、
2+xy=x3+ax+b
に基づくものを用いてもよい。
【0219】
以上、本発明の第一実施形態について説明した。
【0220】
次に、本発明の第二実施形態について説明する。
【0221】
図13は、本発明の第二実施形態が適用された鍵回復システムの概略構成を示す図である。
【0222】
図13において、送信装置A501は、暗号データ送信側、すなわち、データ暗号化装置として機能する装置である。受信装置B502は、暗号データ受信側、すなわち、データ復号化装置として機能する装置ある。第1鍵管理装置503aおよび第2鍵管理装置503bは、鍵回復機関、すなわち、送信装置A501で暗号化されたデータを必要に応じて回復する機能を有する装置である。これらの装置は、ネットワーク505を介して相互に接続されている。
【0223】
なお、送信装置A501は、受信装置B502が所有する秘密鍵dB1510a、dB2510bと対になる公開鍵QB1507a、QB2507bと、第1鍵管理装置503aが所有する秘密鍵dE1511aと対になる公開鍵QE1508aと、第2鍵管理装置503bが所有する秘密鍵dE2511bと対になる公開鍵QE2508bとを、あらかじめ取得しているものとする。
【0224】
ここで、公開鍵QB1507aと秘密鍵dB1510a、公開鍵QB2507bと秘密鍵dB2510b、公開鍵QE1508aと秘密鍵dE1511a、そして、公開鍵QE2508bと秘密鍵dE2511bは、第一実施形態と同様、楕円曲線暗号における公開鍵と秘密鍵である。
【0225】
次に、図13に示す構成において、本実施形態の鍵回復システムが実施された場合の処理を簡単に説明する。
【0226】
まず、データ暗号化装置として機能する送信装置A501での処理について説明する。
【0227】
送信装置A501は、入力された通信文M506を暗号化する。この際、暗号に用いる鍵として、比較的短いビット長(本実施形態では、40ビットデータとする)のものを用いる場合は、公開鍵QB1507aを変換することで得られた40ビット長のデータをパラメータ(鍵)として、通信文M506を暗号化する。そして、生成した暗号文C513を、受信装置B502へ送信する。
【0228】
一方、比較的長いビット長(本実施形態では、128ビットデータとする)のものを用いる場合は、公開鍵QB1507aを変換することで得られたデータ、公開鍵QB2507bを変換することで得られたデータ、公開鍵QE1508aを変換することで得られたデータ、および、公開鍵QE2509を変換することで得られたデータを基に、128ビット長のデータを生成し、これをパラメータ(鍵)として、通信文M506を暗号化する。
【0229】
また、この公開鍵QB1507a、QB2507bを各々変換することで得られたデータと、公開鍵QE1508a、公開鍵QE2508bを各々変換することで得られたデータとの間において、一方のデータが分かれば他方のデータを、直接あるいは間接に求めることができる関係式を満たすデータ値f1、f2を生成する。
【0230】
そして、通信文M106の暗号文に、上記の生成したデータ値f1、f2を付与して暗号文C513を生成し、これを受信装置B502へ送信する。
【0231】
次に、データ復号装置として機能する受信装置B502での処理について、簡単に説明する。
【0232】
受信装置B502は、送信装置A501から送られてきた暗号文C513を受信すると、この暗号文にデータ値f1、f2が付与されているか否かを調べる。
【0233】
付与されていない場合は、公開鍵QB1507aと対の秘密鍵dB1510aから、暗号文生成にパラメータとして用いたデータ、すなわち、公開鍵QB1507aを変換することで得られた40ビット長のデータを生成する。そして、このデータを用いて、暗号文C513を復号化し、通信文M506を得る。
【0234】
一方、暗号文C513にデータ値f1、f2が付与されている場合、まず、自己が所有する秘密鍵dB1510a、秘密鍵dB2510bを用いて、公開鍵QB1507a、QB2507bを各々変換することで得られたデータを求める。
【0235】
次に、公開鍵QB1507a、QB2507bを各々変換することで得られたデータと、暗号文C513に付加されたデータ値f1、f2とを、送信装置A501においてデータ値f1、f2生成のために用いた関係式に入力することで、公開鍵QE1508a、公開鍵QE2508bを各々変換することで得られたデータを求める。
【0236】
それから、公開鍵QB1507a、公開鍵QB2507b、公開鍵QE1508a、公開鍵QE2509を各々変換することで得られたデータを基に、送信装置A501において暗号文生成のために用いた128ビット長のデータを生成する。そして、このデータを用いて、暗号文C513を復号化し、通信文M506を得る。
【0237】
次に、鍵回復機関として機能を有する第1、2鍵保管装置503a、503bでの処理について、説明する。
【0238】
第1、2鍵保管装置503a、503bは、必要に応じて、送信装置A501か生成した、データ値f1、f2が付加された暗号文C513を入手し、互いに協力して、元の通信文M506を得る。
【0239】
たとえば、第1鍵保管装置503aが、データ値f1、f2が付加された暗号文C513を入手した場合、まず、自己が所有する秘密鍵dE1511aを用いて、公開鍵QE1508aを変換することで得られたデータを求める。また、第2鍵保管装置503bに、公開鍵QE2508bを変換することで得られたデータを送るように依頼する。
【0240】
これを受けて、第2鍵保管装置503bは、自己が所有する秘密鍵dE2511bを用いて、公開鍵QE2508bを変換することで得られたデータを求め、これを第1鍵保管装置503aに送信する。
【0241】
次に、第1鍵保管装置503aは、公開鍵QE1508a、QE2508bを各々変換することで得られたデータと、暗号文C513に付加されたデータ値f1、f2とを、送信装置A501においてデータ値f1、f2生成のために用いた関係式に入力することで、公開鍵QB1507a、公開鍵QB2507bを各々変換することで得られたデータを求める。
【0242】
それから、公開鍵QB1507a、公開鍵QB2507b、公開鍵QE1508a、公開鍵QE2509を各々変換することで得られたデータを基に、送信装置A501において暗号文生成のために用いた128ビット長のデータを生成する。そして、このデータを用いて、暗号文C513を復号化し、メッセージM506を得る。
【0243】
次に、本実施形態の鍵回復システムを構成する各装置について説明する。
【0244】
まず、データ暗号化装置として機能する送信装置A501について説明する。
【0245】
図14は、図13に示す送信装置A501の機能構成を示す図である。
【0246】
なお、図14に示す機能構成は、パーソナルコンピュータなどの情報処理装置が備えるCPUに所定のプログラムを実行させることで実現可能である。このプログラムは、たとえば、CD−ROMなど、ドライバを介してパーソナルコンピュータで読み取り可能な記憶媒体に格納しておけばよい。また、情報処理装置に装着されたICカード上において、実現されるように構成してもよい。
【0247】
図14において、選択部5001は、たとえば、操作者の指示により入力された鍵長選択信号(通信文M506を暗号するための鍵として、128ビットのものを用いるか、あるいは40ビットのものを用いるかを選択するための信号)に応じて、通信文M506を入力する暗号モジュール5002、5003を決定する。
【0248】
鍵選択信号が「長」を示している場合、通信文M506は、128ビット鍵を用いて2 out of 4の復号ロジックに対応した暗号化を行う暗号モジュール5002に入力される。一方、鍵選択信号が「長」を示していない場合は、40ビット鍵を用いて1 out of 1の復号ロジックに対応した暗号化を行う暗号モジュール5002に入力される。
【0249】
図15は、40ビット鍵を用いて1 out of 1の復号ロジックに対応した暗号化を行う暗号モジュール5002の機能構成図である。
【0250】
図14に示す暗号モジュール5002では、ベースポイント生成部5602において、楕円曲線暗号におけるパラメータであるベースポイントPが生成される。このベースポイントPは、乱数生成部5607で生成された乱数kとともに整数倍演算部5608へ入力される。これを受けて、整数倍演算部5608は、次式で示される処理を実行することで、データR5617を生成する。
【0251】
R=kP
このデータR5617は、暗号文C513の最初のデータとなる。
【0252】
また、公開鍵QB1507aは、乱数生成部2113で生成された乱数kとともに、整数倍演算部5609へ入力される。これを受けて、整数倍演算部5609は、次式で示される処理を実行することで、上記の楕円曲線上の点(x,y)を生成する。
【0253】
(x,y)=kQB1
共通鍵暗号部5612は、整数倍演算部5609で生成された(x,y)のうち、xの下位40ビットをパラメータ(鍵)として、通信文M506を暗号化する。これにより、通信暗号文5618を生成する。そして、このデータをデータR5617に繋げて、暗号文C513を作成する。
【0254】
図16は、128ビット鍵を用いて2 out of 4の復号ロジックに対応した暗号化を行う暗号モジュール5002の機能構成図である。
【0255】
図16において、ベースポイント生成部5102において、楕円曲線暗号におけるパラメータであるベースポイントPが生成される。
【0256】
このベースポイントPは、乱数生成部5113で生成された乱数kとともに整数倍演算部5123へ入力される。これを受けて、整数倍演算部5123は、次式で示される処理を実行することで、データR5109を生成する。
【0257】
R=kP
このデータR5109は、暗号文C513の最初のデータとなる。
【0258】
また、公開鍵QB1507aは、乱数生成部5113で生成された乱数kとともに、整数倍演算部5114へ入力される。これを受けて、整数倍演算部5114は、次式で示される処理を実行することで、上記の楕円曲線上の点(x1,y1)を生成する。
【0259】
(x1,y1)=kQB1
この(x1,y1)のうち、x1は、その後、ハッシュ値生成部5119に入力されて、ハッシュ値h(x1)に変換される。
【0260】
同様に、公開鍵QB2507bは、乱数生成部5113で生成された乱数kとともに、整数倍演算部5115へ入力される。これを受けて、整数倍演算部5115は、次式で示される処理を実行することで、上記の楕円曲線上の点(x2,y2)を生成する。
【0261】
(x2,y2)=kQB2
この(x2,y2)のうち、x2は、その後、ハッシュ値生成部5126に入力されて、ハッシュ値h(x2)に変換される。
【0262】
また、同様に、公開鍵QE1508aは、乱数生成部5113で生成された乱数kとともに、整数倍演算部5116へ入力される。これを受けて、整数倍演算部5116は、次式で示される処理を実行することで、上記の楕円曲線上の点(x3,y3)を生成する。
【0263】
(x3,y3)=kQE1
この(x3,y3)のうち、x3は、その後、ハッシュ値生成部5127に入力されて、ハッシュ値h(x3)に変換される。
【0264】
さらに、同様に、公開鍵QE2508bは、乱数生成部5113で生成された乱数kとともに、整数倍演算部5124へ入力される。これを受けて、整数倍演算部5124は、次式で示される処理を実行することで、上記の楕円曲線上の点(x4,y4)を生成する。
【0265】
(x4,y4)=kQE2
この(x4,y4)のうち、x4は、その後、ハッシュ値生成部5128に入力されて、ハッシュ値h(x4)に変換される。
【0266】
しきい値ロジック部5125は、ハッシュ値生成部5119、5126、5127、5128で生成したハッシュ値h(x1)、h(x2)、h(x3)、h(x4)のうち、いずれか2つのハッシュ値が分かれば、残り2つのハッシュ値を求めることができる条件式を満たす値f15110、f25111を生成する。この値f15110、f25111は、それぞれ、暗号文513の2番目、3番目のデータとなる。なお、このしきい値ロジック部5125の詳細については後述する。
【0267】
鍵生成部5120は、ハッシュ値生成部5119、5126、5127、5128で生成したハッシュ値h(x1)、h(x2)、h(x3)、h(x4)の総和の下位128ビットを、通信文M506を暗号化するための鍵として生成する。
【0268】
共通鍵暗号部5108は、鍵生成部5120で生成された128ビット鍵を用いて通信文M506を暗号化する。これにより、通信暗号文5112を生成する。そして、このデータをデータf25111に繋げて、暗号文C513を作成する。
【0269】
次に、図16に示すしきい値ロジック部5125について説明する。
【0270】
上述したように、しきい値ロジック部5125は、ハッシュ値h(x1)、h(x2)、h(x3)、h(x4)のうち、いずれか2つのハッシュ値が分かれば、残り2つのハッシュ値を求めることができる条件式を満たす値f15110、f25111を生成する。
【0271】
図17は、図16に示すしきい値ロジック部5125の機能構成を示す図である。
【0272】
図17に示すように、しきい値ロジック部5125には、5つのデータq1x5202、h(x1)5203、h(x2)5204、h(x3)5205、h(x4)5206が入力される。
【0273】
ここで、q1x5202は、図16において、公開鍵QB1507aのx座標値である。また、h(x1)5203、h(x2)5204、h(x3)5205、h(x4)5206は、それぞれ、ハッシュ値生成部5119、5126、5127、5128で生成されたハッシュ値である。
【0274】
演算部5208は、次式で示される処理を実行することで、データf15110を生成する。
【0275】
1=g(q1x,h(x1),h(x2),h(x3),h(x4))
また、演算部5210は、次式で示される処理を実行することで、データf25111を生成する。
【0276】
2=g(h(q1x),h(x1),h(x2),h(x3),h(x4))
なお、上記の式f1、f2において、関数gは、
g(x,a1,a2,a3,a4)=a1+a2・x+a3・x2+a4・x3(modn)
で定義されものである。
【0277】
したがって、演算部5208、5210で生成されたデータf1、f2は、q1xおよびh(x1)、h(x2)、h(x3)、h(x4)との間において、以下に示す四元連立方程式が成立する。
【0278】
1=h(x1)+h(x2)・q1x+h(x3)・q1x 2+h(x4)・q1x 3(mod n)
2=h(x1)+h(x2)・h(q1x)+h(x3)・h(q1x2+h(x4)・h(q1x3(mod n)
よって、f1、f2、q1xの値が既知である場合、h(x1)、h(x2)、h(x3)、h(x4)のうちのいずれか二つの値が分かれば、他の二つの値も分かることになる(未知数2、方程式数2の連立方程式となるため)。
【0279】
次に、データ復号化装置として機能する受信装置B502について説明する。
【0280】
図18は、図13に示す受信装置B502の機能構成を示す図である。
【0281】
なお、図18に示す機能構成は、パーソナルコンピュータなどの情報処理装置が備えるCPUに所定のプログラムを実行させることで実現可能である。このプログラムは、たとえば、CD−ROMなど、ドライバを介してパーソナルコンピュータで読み取り可能な記憶媒体に格納しておけばよい。また、情報処理装置に装着されたICカード上において、実現されるように構成してもよい。
【0282】
図18において、選択部5901は、入力された暗号文C513にデータf1、f2が付加されているか否かに応じて、暗号文C513を入力する復号モジュール5902、5903を決定する。
【0283】
暗号文C513にデータf1、f2が付加されている場合、暗号文C513は、128ビット鍵を用いて2 out of 4の復号を行う復号モジュール5902に入力される。一方、データf1、f2が付加されていない場合は、40ビット鍵を用いて1 out of 1の復号を行う復号モジュール5903に入力される。
【0284】
図19は、40ビット鍵を用いて1 out of 1の復号を行う復号モジュール5903機能構成図である。
【0285】
図19において、暗号文C513が入力されると、演算部5619は、自己が格納している秘密鍵dB1510a(公開鍵QB1507aと対)を読み出す。そして、この秘密鍵dB1510aと、暗号文C513の最初のデータR5617との間で、次式を満たす楕円曲線上の点(x,y)を求める。
【0286】
(x,y)=dB1
ここで、上記楕円曲線上の点(x,y)は、図15に示す演算部5609で求めた楕円曲線上の点(x,y)と一致する。その理由は、上記第一の実施形態で述べたとおりである。
【0287】
共通鍵暗号部5622は、整数倍演算部5619で生成された(x,y)のうち、xの下位40ビットをパラメータ(鍵)として、通信暗号文5618を復号する。これにより、元の通信文M506を得る。
【0288】
図20は、128ビット鍵を用いて2 out of 4の復号を行う復号モジュール5902の機能構成図である。
【0289】
図20において、暗号文C513が入力されると、演算部5719は、自己が格納している秘密鍵dB1510a(公開鍵QB1507aと対)を読み出す。そして、この秘密鍵dB1510aと、暗号文C513の最初のデータR5109との間で、次式を満たす楕円曲線上の点(x1,y1)を求める。
【0290】
(x1,y1)=dB1
その後、ハッシュ値生成部5720において、演算部5719で求めた(x1,y1)のうちのx座標値x1のハッシュ値h(x1)を生成する。
【0291】
同様に、演算部5722は、自己が格納している秘密鍵dB2510b(公開鍵QB2507bと対)を読み出す。そして、この秘密鍵dB2510bと、暗号文C513の最初のデータR5109との間で、次式を満たす楕円曲線上の点(x2,y2)を求める。
【0292】
(x2,y2)=dB2
その後、ハッシュ値生成部5723において、演算部5722で求めた(x2,y2)のうちのx座標値x2のハッシュ値h(x2)を生成する。
【0293】
ここで、ハッシュ値h(x1)、h(x2)は、図16に示すハッシュ値生成部5119、5126で生成されたハッシュ値h(x1)、h(x2)と、各々一致する。その理由は、上記第一の実施形態で述べたとおりである。
【0294】
しきい値逆算ロジック部5712は、ハッシュ値生成部5720、5723で生成されたハッシュ値h(x1)、h(x2)と、公開鍵QB1507aのx座標値q1Xと、暗号文C513の2番目および3番目のデータf15110、f25111と、を受け取る。
【0295】
そして、以下に示す方程式を満たすh(x3)、h(x4)を生成する。
【0296】
1=h(x1)+h(x2)・q1x+h(x3)・q1x 2+h(x4)・q1x 3(mod n)
2=h(x1)+h(x2)・h(q1x)+h(x3)・h(q1x2+h(x4)・h(q1x3(mod n)
ここで、上記の方程式は、図16に示すハッシュ値生成部5119、5126、5127、5128で各々生成されたハッシュ値h(x1)、h(x2)、h(x3)、h(x4)のうち、h(x1)およびh(x2)を既知とした場合に相当する。
【0297】
上述したように、図20に示すハッシュ値生成部5720、5723で各々生成されたハッシュ値h(x1)、h(x2)は、図16に示すハッシュ値生成部5119、5126で各々生成されたハッシュ値h(x1)、h(x2)と各々一致する。したがって、上記の方程式より求めたh(x3)、h(x4)は、図16に示すハッシュ値生成部5127、5128で生成したハッシュ値h(x3)、h(x4)と一致することになる。
【0298】
鍵生成部5713は、ハッシュ値生成部5720、5723で生成したハッシュ値h(x1)、h(x2)、および、しきい値逆ロジック部5712で求めたハッシュ値h(x3)、h(x4)の総和の下位128ビットを、通信文暗号文5112を復号するための鍵として生成する。
【0299】
共通鍵暗号部5714は、鍵生成部5713で生成された128ビット鍵を用いて通信暗号文5112を復号する。これにより、元の通信文M506を得る。
【0300】
次に、鍵回復機関として機能する第1、第2鍵管理装置503a、503bについて説明する。
【0301】
上述したように、第1、第2鍵管理装置503a、503bは、必要に応じて、いずれか一方が送信装置A501において、128ビット鍵により暗号化された暗号文C513を入手し、他方の協力を得て復号して、元の通信文M506を得る。
【0302】
ここでは、第1鍵管理装置503aが暗号文C513を入手した場合を例にとって説明する。
【0303】
図21は、第1、第2鍵管理装置503a、503bの機能構成図である。
【0304】
図21において、第1鍵管理装置503aは、暗号文C513が入力されると、第2鍵管理装置503bに、暗号文C513の最初のデータR5109を通知する。これを受けて、第2鍵管理装置503bの演算部5422は、自己が格納している秘密鍵dE2511b(公開鍵QE2508bと対)を読み出す。そして、この秘密鍵dE2511bと、暗号文C513の最初のデータR5109との間で、次式を満たす楕円曲線上の点(x4,y4)を求める。
【0305】
(x4,y4)=dE2
その後、ハッシュ値生成部5423において、演算部5422で求めた(x3,y4)のうちのx座標値x4のハッシュ値h(x4)を生成する。そして、生成したハッシュ値h(x4)を、第1鍵管理装置503aに通知する。
【0306】
また、第1鍵管理装置503aにおいて、演算部5419は、自己が格納している秘密鍵dE1511a(公開鍵QE1508aと対)を読み出す。そして、この秘密鍵dE1511aと、暗号文C513の最初のデータR5109との間で、次式を満たす楕円曲線上の点(x3,y3)を求める。
【0307】
(x3,y3)=dE1
その後、ハッシュ値生成部5420において、演算部5419で求めた(x3,y3)のうちのx座標値x3のハッシュ値h(x3)を生成する。
【0308】
ここで、ハッシュ値h(x3)、h(x4)は、図16に示すハッシュ値生成部5127、5128で生成されたハッシュ値h(x3)、h(x4)と、各々一致する。その理由は、上記第一の実施形態で述べたとおりである。
【0309】
しきい値逆算ロジック部5412は、ハッシュ値生成部5420、および第2鍵管理装置503bのハッシュ値生成部5423で各々生成されたハッシュ値h(x3)、h(x4)と、公開鍵QB1507aのx座標値q1Xと、暗号文C513の2番目および3番目のデータf15110、f25111と、を受け取る。
【0310】
そして、以下に示す方程式を満たすh(x1)、h(x2)を生成する。
【0311】
1=h(x1)+h(x2)・q1x+h(x3)・q1x 2+h(x4)・q1x 3(mod n)
2=h(x1)+h(x2)・h(q1x)+h(x3)・h(q1x2+h(x4)・h(q1x3(mod n)
ここで、上記の方程式は、図16に示すハッシュ値生成部5119、5126、5127、5128で各々生成されたハッシュ値h(x1)、h(x2)、h(x3)、h(x4)のうち、h(x3)およびh(x4)を既知とした場合に相当する。
【0312】
上述したように、図21に示すハッシュ値生成部5420、5423で各々生成されたハッシュ値h(x3)、h(x4)は、図16に示すハッシュ値生成部5127、5128で各々生成されたハッシュ値h(x3)、h(x4)と一致する。したがって、上記の方程式より求めたh(x1)、h(x2)は、図16に示すハッシュ値生成部5119、5126で生成したハッシュ値h(x1)、h(x2)と一致することになる。
【0313】
鍵生成部5413は、ハッシュ値生成部5420、5423で生成したハッシュ値h(x3)、h(x4)、および、しきい値逆ロジック部5412で求めたハッシュ値h(x1)、h(x2)の総和の下位128ビットを、通信文暗号文5112を復号するための鍵として生成する。
【0314】
共通鍵暗号部5414は、鍵生成部5413で生成された128ビット鍵を用いて通信暗号文5112を復号する。これにより、元の通信文M506を得る。
【0315】
上記の第二実施形態では、128ビット鍵を用いた暗号処理において、通信暗号文5112生成のパラメータとして、公開鍵QB1を変換することで得られたデータ(このデータは、受信装置B502が所有する秘密鍵dB1から求めることができる)の代わりに、公開鍵QB1、公開鍵QB2、公開鍵QE、公開鍵QE2を各々変換することで得られたデータに基づいて生成されたデータを用いている点で、本発明の第一実施形態と異なる。
【0316】
第二実施形態において、公開鍵QB1、QB2を各々変換することで得られたデータは、第1、第2の鍵管理装置503a、503bにおいて、暗号文C513に付加されたデータ値f1、f2から求めることができる。そして、第1、第2の鍵管理装置503a、503bは、暗号文C513に付加されたデータ値f1、f2からから求めた、公開鍵QB1、QB2を各々変換することで得られたデータと、自己が所有する秘密鍵dE1、dE2と対の公開鍵QE1、QE2を各々変換することで得られたデータとに基づいて、通信暗号文5112生成のパラメータとして用いたデータを求めることができる。
【0317】
したがって、本発明の第一実施形態と同様、受信装置B502が所有する秘密鍵dB1、dB2を用いることなく、暗号文を復号することができる。
【0318】
なお、上述したように、第二実施形態では、通信暗号文5112生成のパラメータ(鍵)として、公開鍵QB1を変換することで得られたデータではなく、公開鍵QB1、公開鍵QB2、公開鍵QE1、公開鍵QE2を各々変換することで得られたデータに基づいて生成されたデータを用いている。
【0319】
したがって、公開鍵QB1、QB2と対のdB1、dB2を所有する受信装置B502であっても、暗号文C513に付加されたデータ値f1、f2から、公開鍵QE1、QE2を変換することで得られたデータを求めなければ、通信暗号文5112生成のパラメータとして用いたデータを得ることができない。
【0320】
つまり、受信装置B502であっても、暗号文C513に、公開鍵QB1、公開鍵QB2、公開鍵QE1、公開鍵QE2を各々変換することで得られたデータ間において、いずれか2つの公開鍵を変換することで得られたデータが分かれば残りの2つ他方の公開鍵を変換することで得られたデータを求めることができる関係式を満たすデータ値f1、f2が付加されていなければ、暗号文を復号することができない。
【0321】
一方、当該データ値f1、f2が暗号文に付加されている場合は、第1、第2鍵管理装置503a、503bも、暗号文を必ず復号することができる。
【0322】
したがって、本発明の第二実施形態は、たとえば、国境を越えてやり取りが行われる暗号化された機密データなど、防衛上の理由などにより、当該データ取引者の意志にかかわらず、政府などが当該データを復号できるようにすることが要求される鍵回復システムに好適である。
【0323】
なお、上記の第二実施形態では、通信暗号文5112生成のパラメータとして、4つの公開鍵を各々変換することで得られたデータに基づいて、生成されたデータを用いているが、本発明はこれに限定されるものではない。2以上の公開鍵を各々変換することで得られたデータに基づいて、通信暗号文5112生成のパラメータを生成するものであればよい。
【0324】
ただし、受信装置および鍵管理装置において、暗号文に付加されたデータ値(前記パラメータ生成に用いた2以上の公開鍵を各々変換することで得られたデータにおいて、半分のデータが分かれば残りの半分のデータを求めることができる関係式を満たすデータ値)から、自己が所有する秘密鍵と対の公開鍵以外の公開鍵を変換することで得られたデータを求めることができるようにするために、受信装置および鍵管理装置が、互いに同数の秘密鍵を所有するようにする必要がある。
【0325】
また、本実施形態では、暗号文C513の最初データとして、整数倍演算部5608あるいは5123で生成した、楕円曲線上の点Rのx座標値、y座標値の両方を含むものについて説明したが、第一実施形態と同様、x座標値、y座標値のいずれか一方のみを含むようにした場合でも、本発明の鍵回復システムを実現することができる。
【0326】
さらに、本実施形態では、楕円曲線暗号として、
2=x3+ax+b
に基づくものを用いたが、第一実施形態と同様、楕円曲線暗号として、
2+xy=x3+ax+b
に基づくものを用いてもよい。
【0327】
【発明の効果】
以上説明したように、本発明によれば、自己が所有する秘密鍵を第三者に知らせる必要のない鍵回復を行うことができる。
【図面の簡単な説明】
【図1】本発明の第一実施形態が適用された鍵回復システムの概略構成図である。
【図2】図1に示す装置S101の機能構成図である。
【図3】図2に示すしきい値ロジック部2125の機能構成図である。
【図4】図2に示す圧縮・暗号化部2120、・・・の機能構成図である。
【図5】図1に示す装置A102が自己が所有する秘密鍵dA110を用いて暗号文C113を復号する場合における、当該装置A102の機能構成図である。
【図6】図5に示す復号・伸長化部2614、2617、・・・の機能構成図である。
【図7】図1に示す装置A101が鍵dA110を紛失してしまった場合に、装置B103、C104の協力を得て、暗号文C113を復号する場合における、装置A102、B103、C104の機能構成図である。
【図8】図1において、装置B103が装置C104の協力を得て、装置S101から送られてきた暗号文C113を復号化する場合における、装置B103、C104の機能構成図である。
【図9】図2に示すしきい値ロジック部の変形例の機能構成図である。
【図10】図1に示すデータ暗号化装置として機能する装置Sの変形例の機能構成図である。
【図11】図1に示すデータ復号化装置として機能する装置Aの変形例であり、装置Aが鍵dA110を紛失してしまった場合に、装置B、Cの協力を得て、図10に示す装置Sが生成した暗号文C113aを復号する場合の機能構成図である。
【図12】本発明の第一実施形態の変形例が適用された鍵回復システムの概略構成図である。
【図13】本発明の第二実施形態が適用された鍵回復システムの概略構成図である。
【図14】図13に示す送信装置A501の機能構成図である。
【図15】40ビット鍵を用いて1 out of 1の復号ロジックに対応した暗号化を行う暗号モジュール5002の機能構成図である。
【図16】28ビット鍵を用いて2 out of 4の復号ロジックに対応した暗号化を行う暗号モジュール5002の機能構成図である。
【図17】図16に示すしきい値ロジック部5125の機能構成を示す図である。
【図18】図13に示す受信装置B502の機能構成を示す図である。
【図19】40ビット鍵を用いて1 out of 1の復号を行う復号モジュール5903機能構成図である。
【図20】128ビット鍵を用いて2 out of 4の復号を行う復号モジュール5902の機能構成図である。
【図21】第1、第2鍵管理装置503a、503bの機能構成図である。
【符号の説明】
101、102、103、104 情報処理装置
105、505 ネットワーク
106、506 メッセージ(通信文)M
107、108、109、507a、507b、508a、508b 公開鍵
110、111、112、510a、510b、511a、511b 秘密鍵
113、513 暗号文C
1907、1910、1914、1916 π-1関数処理部
1911、1917 伸長処理部
2102、5602、5102 ベースポイント生成部
2113、5607、5113 乱数生成部
2114、2115、2116、2123、2501、5608、5609、5114、5115、5116、5123、5124 整数倍演算部
2119、2121、2126、2127、2323、2615、2620、2620a、2623、5119、5126、5127、5128、5420、5423、5720、5723 ハッシュ値生成部
2120 圧縮・暗号化部
2125、2125a、5125 しきい値ロジック部
2208、2325、2408、2410、2619、2619a、2622、5208、5210、5419、5422、5619、5719、5722 演算部
1906、1909、2310、2317 拡張部
2312、2319 圧縮処理部
2315、2316、2322、2324 π関数処理部
2612、5412、5712 しきい値逆ロジック部
2614、2617 復号・伸長化部
501 装置A
502 装置B
503a、503b 鍵管理装置
5001、5901 選択部
5002、5003 暗号モジュール
5120、5413、5713 鍵生成部
5108、5612、5622、5414、5714 共通鍵暗号部
5902、5903 復号モジュール

Claims (19)

  1. データ暗号化装置が、暗号文の生成に際しパラメータとして用いる、公開鍵を変換することで得られるデータを、データ復号化装置が、当該公開鍵と対の秘密鍵を用いることなく生成する鍵回復方法であって、
    前記データ暗号化装置は、第一の生成手段と、付加手段とを備え、
    前記第一の生成手段が、暗号文の生成に際しパラメータとして用いられる第一の公開鍵を変換することで得られるデータと、少なくとも1つの第二の公開鍵を変換することで得られるデータとの間において、前記第二の公開鍵を変換することで得られるデータが分かれば、前記第一の公開鍵を変換することで得られるデータを、直接あるいは間接に求めることができる関係式を満たすデータ値を生成する第一の処理を実行し、
    前記付加手段が、前記暗号文に、前記第一の処理の結果得られるデータ値を付加する第二の処理を実行し
    前記データ復号化装置は、前記第二の公開鍵と対の秘密鍵を記憶する手段と、取得手段と、第二の生成手段とを備え、
    前記取得手段が、前記第二の公開鍵を変換することで得られるデータを、当該第二の公開鍵と対の秘密鍵から求める第三の処理を実行し、
    前記第二の生成手段が、前記第二の処理で暗号文に付加されたデータ値および前記第三の処理で求めたデータを、前記第一の処理で用いた関係式に代入することにより、当該暗号文の生成に際しパラメータとして用いられた、前記第一の公開鍵を変換することで得られるデータを求める第四の処理を実行すること
    を特徴とする鍵回復方法。
  2. 請求項1記載の鍵回復方法であって、
    前記公開鍵を変換することで得られるデータとは、
    生成した乱数と当該公開鍵とを作用させることで得られるデータであること
    を特徴とする鍵回復方法。
  3. データ暗号化装置にて、暗号文の生成に際しパラメータとして用いられる、公開鍵を変換することで得られるデータを、データ復号化装置にて、当該公開鍵と対の秘密鍵を用いることなく生成する鍵回復システムであって、
    前記データ暗号化装置は、
    暗号文の生成に際しパラメータとして用いる第一の公開鍵を変換することで得られるデータと、少なくとも1つの第二の公開鍵を変換することで得られるデータとの間において、前記第二の公開鍵を変換することで得られるデータが分かれば、前記第一の公開鍵を変換することで得られるデータを、直接あるいは間接に求めることができる関係式を満たすデータ値を生成する第一の生成手段と、
    前記暗号文に、前記第一の生成手段により生成されたデータ値を付加する付加手段と、を備え、
    前記データ復号化装置は、
    前記第二の公開鍵を変換することで得られるデータを取得する取得手段と、
    前記付加手段で暗号文に付加されたデータ値と前記取得手段により取得したデータとを、前記第一の生成手段で用いた関係式に代入することにより、当該暗号文の生成に際しパラメータとして用いられた、前記第一の公開鍵を変換することで得られるデータを求める第二の生成手段と、を備えていること
    を特徴とする鍵回復システム。
  4. 請求項3記載の鍵回復システムであって、
    前記取得手段は、
    前記第二の公開鍵を変換することで得られるデータを、前記第二の公開鍵と対になる秘密鍵を所有する少なくとも1つの情報処理装置から取得するものであり、
    前記情報処理装置は、
    前記第二の公開鍵を変換することで得られるデータを、自己が所有する前記第二の公開鍵と対になる秘密鍵から求めるものであること
    を特徴とする鍵回復システム。
  5. 請求項3記載の鍵回復システムであって、
    前記取得手段は、
    前記第二の公開鍵を変換することで得られるデータを、自己が所有する前記第二の公開鍵と対になる秘密鍵から求めるものであること
    を特徴とする鍵回復システム。
  6. 請求項3記載の鍵回復システムであって、
    前記第二の公開鍵と対になる秘密鍵は、
    所定の演算を行うことで復元可能なように複数に分割されて、複数の情報処理装置に保持されており、
    前記複数の情報処理装置の少なくとも1つは、
    前記複数の情報処理装置各々が所有する前記秘密鍵の一部に対して前記所定の演算を行うことで、秘密鍵を復元する手段と、
    前記第二の公開鍵を変換することで得られるデータを、前記復元した秘密鍵から求める手段と、を備え、
    前記取得手段は、
    前記複数の情報処理装置の少なくとも1つにおいて求められた、前記第二の公開鍵を変換することで得られるデータを取得するものであること
    を特徴とする鍵回復システム。
  7. 暗号文の生成に際しパラメータとして用いる、第一の公開鍵を変換することで得られるデータを特定する情報を生成する情報処理装置であって、
    暗号文の生成に際しパラメータとして用いる第一の公開鍵を変換することで得られるデータと、少なくとも1つの第二の公開鍵を変換することで得られるデータとの間において、前記第二の公開鍵を変換することで得られるデータが分かれば、前記第一の公開鍵を変換することで得られるデータを、直接あるいは間接に求めることができる関係式を満たすデータ値を生成する生成手段を有すること
    を特徴とする情報処理装置。
  8. 請求項7記載の情報処理装置で生成されるデータ値から、暗号文の生成に際しパラメータとして用いる、第一の公開鍵を変換することで得られるデータを回復する情報処理装置であって、
    前記第二の公開鍵を変換することで得られるデータを取得する取得手段と、
    前記情報処理装置で生成されるデータ値と、前記取得手段で取得したデータとを基に、前記第一の公開鍵を変換することで得られるデータを求める算出手段と、を備えていること
    を特徴とする情報処理装置。
  9. 暗号文生成のための暗号化プログラムが記憶された、コンピュータ読み取り可能な記憶媒体であって、
    当該暗号化プログラムは、コンピュータを、
    暗号文の生成に用いた第一の公開鍵を変換することで得られるデータと、少なくとも1つの第二の公開鍵を変換することで得られるデータとの間において、前記第二の公開鍵を変換することで得られるデータが分かれば、前記第一の公開鍵を変換することで得られるデータを、直接あるいは間接に求めることができる関係式を満たすデータ値を生成する第一の生成手段、および、
    前記暗号文に、前記第一の生成手段が生成したデータ値を付加する手段として、機能させること
    を特徴とするコンピュータ読み取り可能な記憶媒体。
  10. 請求項9記載のコンピュータ読み取り可能な記憶媒体に記憶された暗号化プログラムをコンピュータが実行することにより生成された暗号文を復号するための復号化プログラムが記憶された、コンピュータ読み取り可能な記憶媒体であって、
    当該復号化プログラムは、コンピュータを、
    前記第二の公開鍵を変換することで得られるデータを、当該コンピュータに記憶されている当該第二の公開鍵と対の秘密鍵から算出する取得手段、
    前記暗号文に付加されたデータ値および前記取得手段が算出したデータを、前記データ値生成のために用いた関係式に代入することにより、当該暗号文の生成に際しパラメータとして用いられた、前記第一の公開鍵を変換することで得られるデータを算出する第二の生成手段として、機能させること
    を特徴とするコンピュータ読み取り可能な記憶媒体。
  11. データ暗号化装置が、暗号文の生成に際しパラメータとして用いるデータを、データ復号化装置が回復する鍵回復方法であって、
    前記データ暗号化装置は、第一の生成手段と、暗号化手段と、第二の生成手段と、付加手段とを備え、
    前記第一の生成手段が、少なくとも1つの第一の公開鍵を変換することで得られるデータと前記第一の公開鍵と同数の第二の公開鍵を変換することで得られるデータとに基づいて、暗号文の生成に際しパラメータとして用いるデータを生成する第一の処理を実行し
    前記暗号化手段が、前記第一の処理の結果得られたデータをパラメータとして暗号文を生成する第二の処理を実行し、
    前記第二の生成手段が、前記少なくとも1つの第一の公開鍵を変換することで得られるデータと、前記第一の公開鍵と同数の第二の公開鍵を変換することで得られるデータとの間において、一方の公開鍵を変換することで得られたデータが分かれば、他方の公開鍵を変換することで得られたデータを、直接あるいは間接に求めることができる関係式を満たすデータ値を生成する第三の処理を実行し、
    前記付加手段が、前記第二の処理で生成した暗号文に、前記第三の処理で生成したデータ値を付加する第四の処理を実行し、
    前記データ復号化装置は、前記第二の公開鍵と対の秘密鍵を記憶する手段と、第一の算出手段と、第二の算出手段と、第三の算出手段と、復号手段とを備え、
    前記第一の算出手段が、前記第一の公開鍵と同数の第二の公開鍵を変換することで得られるデータを、当該第二の公開鍵と対の秘密鍵から求める第五の処理を実行し
    前記第二の算出手段が、前記第四の処理で暗号文に付加されたデータ値および前記第五の処理で求めたデータを、前記第三の処理で用いた関係式に代入することにより、前記少なくとも1つの第一の公開鍵を変換することで得られるデータを求める第六の処理を実行し、
    前記第三の算出手段が、前記第六の処理で求めた前記少なくとも1つの第一の公開鍵を変換することで得られるデータと、前記第五の処理で求めた前記第一の公開鍵と同数の第二の公開鍵を変換することで得られるデータとに基づいて、前記第一の処理で生成した、前記第二の処理において暗号文生成のためのパラメータとして用いたデータを求める第七の処理を実行し、
    前記復号手段が、前記第七の処理で求めたデータをパラメータとして、前記第二の処理で生成した暗号文を復号する第八の処理を実行すること
    を特徴とする鍵回復方法。
  12. 請求項11記載の鍵回復方法であって、
    前記公開鍵を変換することで得られるデータとは、
    生成した乱数と当該公開鍵とを作用させることで得られたデータであること
    を特徴とする鍵回復方法。
  13. データ暗号化装置にて、暗号文の生成に際しパラメータとして用いられるデータを、データ復号化装置にて回復する鍵回復システムであって、
    前記データ暗号化装置は、
    少なくとも1つの第一の公開鍵を変換することで得られるデータと前記第一の公開鍵と同数の第二の公開鍵を変換することで得られるデータとに基づいて、暗号文の生成に際しパラメータとして用いるデータを生成する第一の生成手段と、
    前記第一の生成手段により生成されたデータをパラメータとして暗号文を生成する暗号化手段と、
    前記少なくとも1つの第一の公開鍵を変換することで得られるデータと、前記第一の公開鍵と同数の第二の公開鍵を変換することで得られるデータとの間において、一方の公開鍵を変換することで得られるデータが分かれば、他方の公開鍵を変換することで得られるデータを、直接あるいは間接に求めることができる関係式を満たすデータ値を生成する第二の生成手段と、
    前記暗号化手段で生成した暗号文に、前記第二の生成手段で生成したデータ値を付加する付加手段と、を備え、
    前記データ復号化装置は、
    前記第一の公開鍵と同数の第二の公開鍵を変換することで得られるデータを、当該第二の公開鍵と対の秘密鍵から求める第一の算出手段と、
    前記付加手段により前記暗号化手段で生成した暗号文に付加されたデータ値、および前記第一の算出手段で求めたデータを、前記第二の生成手段で用いた関係式に代入することにより、前記少なくとも1つの第一の公開鍵を変換することで得られるデータを求める第二の算出手段と、
    前記第二の算出手段で求めた前記少なくとも1つの第一の公開鍵を変換することで得られるデータと、前記第一の算出手段で求めた前記第一の公開鍵と同数の第二の公開鍵を変換することで得られるデータとに基づいて、前記第二の生成手段で生成した、前記暗号化手段において暗号文生成のためのパラメータとして用いるデータを求める第三の算出手段と、
    前記第三の算出手段で生成したデータをパラメータとして、前記暗号化手段で生成した暗号文を復号する復号手段と、を備えていること
    を特徴とする鍵回復システム。
  14. 暗号文を生成する情報処理装置であって、
    少なくとも1つの第一の公開鍵を変換することで得られるデータと前記第一の公開鍵と同数の第二の公開鍵を変換することで得られるデータとに基づいて、暗号文の生成に際しパラメータとして用いるデータを生成する第一の生成手段と、
    前記第一の生成手段により生成されたデータをパラメータとして暗号文を生成する暗号化手段と、
    少なくとも1つの第一の公開鍵を変換することで得られるデータと、前記第一の公開鍵と同数の第二の公開鍵を変換することで得られるデータとの間において、一方の公開鍵を変換することで得られるデータが分かれば、他方の公開鍵を変換することで得られるデータを、直接あるいは間接に求めることができる関係式を満たすデータ値を生成する第二の生成手段と、
    前記暗号化手段で生成した暗号文に、前記第二の生成手段で生成したデータ値を付加する付加手段と、を備えていること
    を特徴とする情報処理装置。
  15. 請求項14記載の情報処理装置で生成された暗号文を復号する情報処理装置であって、
    前記第一の公開鍵と同数の第二の公開鍵を変換することで得られるデータを、当該第二の公開鍵と対の秘密鍵から求める第一の算出手段と、
    前記暗号文に付加されたデータ値、および前記第一の算出手段で求めたデータを、前記第二の生成手段で用いた関係式に代入することで、前記少なくとも1つの第一の公開鍵を変換することで得られるデータを求める第二の算出手段と、
    前記第二の算出手段で求めた前記少なくとも1つの第一の公開鍵を変換することで得られるデータと、前記第一の算出手段で求めた前記第一の公開鍵と同数の第二の公開鍵を変換することで得られるデータとに基づいて、前記第二の生成手段で生成した、前記暗号化手段において暗号文生成のためのパラメータとして用いるデータを求める第三の算出手段と、
    前記第三の算出手段で生成したデータをパラメータとして、前記暗号化手段で生成した暗号文を復号する復号手段と、を備えていること
    を特徴とする情報処理装置。
  16. 暗号文生成のための暗号化プログラムが記憶された、コンピュータ読み取り可能な記憶媒体であって、
    当該暗号化プログラムは、コンピュータを、
    少なくとも1つの第一の公開鍵を変換することで得られるデータと前記第一の公開鍵と同数の第二の公開鍵を変換することで得られるデータとに基づいて、暗号文の生成に際しパラメータとして用いるデータを生成する第一の生成手段、
    前記第一の生成手段が生成したデータをパラメータとして暗号文を生成する暗号化手段、
    前記少なくとも1つの第一の公開鍵を変換することで得られるデータと、前記第一の公開鍵と同数の第二の公開鍵を変換することで得られるデータとの間において、一方の公開鍵を変換することで得られるデータが分かれば、他方の公開鍵を変換することで得られるデータを、直接あるいは間接に求めることができる関係式を満たすデータ値を生成する第二の生成手段、および、
    前記暗号化手段が生成した暗号文に、前記第二の生成手段が生成したデータ値を付加する付加手段として、機能させること
    を特徴とするコンピュータ読み取り可能な記憶媒体。
  17. 請求項16記載のコンピュータ読み取り可能な記憶媒体に記憶された暗号化プログラムをコンピュータが実行することにより生成された暗号文を復号するための復号化プログラムが記憶された、コンピュータ読み取り可能な記憶媒体であって、
    当該復号化プログラムは、コンピュータを
    前記第一の公開鍵と同数の第二の公開鍵を変換することで得られるデータを、当該コンピュータに記憶されている当該第二の公開鍵と対の秘密鍵から算出する第一の算出手段、
    前記暗号文に付加されたデータ値および前記第一の算出手段が算出したデータを、当該データ値生成のために用いた関係式に代入することにより、前記少なくとも1つの第一の公開鍵を変換することで得られるデータを算出する第二の算出手段、
    前記第二の算出手段が算出した前記少なくとも1つの第一の公開鍵を変換することで得られるデータと、前記第一の算出手段が算出した前記第一の公開鍵と同数の第二の公開鍵を変換することで得られるデータとに基づいて、前記暗号文生成のためのパラメータとして用いたデータを算出する第三の算出手段、および、
    前記第三の算出手段が算出したデータを用いて前記暗号文を復号する復号手段として、機能させること
    を特徴とするコンピュータ読み取り可能な記憶媒体。
  18. 暗号文の生成に際しパラメータとして用いられる、公開鍵を変換することで得られるデータを、当該公開鍵と対の秘密鍵を用いることなく生成するための鍵回復プログラムが記憶された、コンピュータ読み取り可能な記憶媒体であって、
    当該鍵回復プログラムは、コンピュータを、
    暗号文を、当該暗号文の生成に際しパラメータとして用いられた第一の公開鍵を変換することで得られるデータと、少なくとも1つの第二の公開鍵を変換することで得られるデータとの間において、前記第二の公開鍵を変換することで得られるデータが分かれば、前記第一の公開鍵を変換することで得られるデータを、直接あるいは間接に求めることができる関係式を満たすデータ値と共に、受信する取得手段、
    前記第二の公開鍵を変換することで得られるデータを、当該コンピュータに記憶されている当該第二の公開鍵と対の秘密鍵から算出する第一の算出手段、および、
    前記暗号文と共に受信したデータ値および前記第二の公開鍵と対の秘密鍵から求めたデータを、前記関係式に代入することにより、当該暗号文の生成に際しパラメータとして用いられた、前記第一の公開鍵を変換することで得られるデータを算出する第二の算出手段として、機能させること
    を特徴とするコンピュータ読み取り可能な記憶媒体。
  19. 暗号文の生成に際しパラメータとして用いられる、公開鍵を変換することで得られるデータを、当該公開鍵と対の秘密鍵を用いることなく生成するための鍵回復プログラムが記憶された、コンピュータ読み取り可能な記憶媒体であって、
    当該鍵回復プログラムは、コンピュータを、
    少なくとも1つの第一の公開鍵を変換することで得られるデータおよび前記第1の公開鍵と同数の第二の公開鍵を変換することで得られるデータに基づいて生成されたデータを、暗号文生成のためのパラメータとして用いることで生成された暗号文を、前記少なくとも1つの第一の公開鍵を変換することで得られるデータと、前記第1の公開鍵と同数の第二の公開鍵を変換することで得られるデータとの間において、一方の公開鍵を変換することで得られるデータが分かれば、他方の公開鍵を変換することで得られるデータを、直接あるいは間接に求めることができる関係式を満たすデータ値と共に、受信する取得手段、
    前記第一の公開鍵と同数の第二の公開鍵を変換することで得られるデータを、当該コンピュータに記憶されている当該第二の公開鍵と対の秘密鍵から算出する第一の算出手段、および、
    前記暗号文と共に受信したデータ値および前記第二の公開鍵と対の秘密鍵から求めたデータを、前記関係式に代入することにより、前記少なくとも1つの第一の公開鍵を変換することで得られるデータを算出し、このデータおよび前記第二の公開鍵と対の秘密鍵から求めたデータに基づいて、前記暗号文の生成のためのパラメータとして用いたデータを算出する第二の算出手段として、機能させること
    を特徴とするコンピュータ読み取り可能な記憶媒体。
JP13183598A 1997-06-06 1998-05-14 鍵回復方法および装置 Expired - Fee Related JP3667988B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP13183598A JP3667988B2 (ja) 1997-06-06 1998-05-14 鍵回復方法および装置

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP14942497 1997-06-06
JP9-149424 1997-06-06
JP13183598A JP3667988B2 (ja) 1997-06-06 1998-05-14 鍵回復方法および装置

Publications (2)

Publication Number Publication Date
JPH1155244A JPH1155244A (ja) 1999-02-26
JP3667988B2 true JP3667988B2 (ja) 2005-07-06

Family

ID=26466557

Family Applications (1)

Application Number Title Priority Date Filing Date
JP13183598A Expired - Fee Related JP3667988B2 (ja) 1997-06-06 1998-05-14 鍵回復方法および装置

Country Status (1)

Country Link
JP (1) JP3667988B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101311942B (zh) * 2007-05-23 2011-08-24 西门子(中国)有限公司 对软件进行加密、解密的方法及加密、解密的装置
WO2008156107A1 (ja) 2007-06-18 2008-12-24 Nec Corporation 電子データの暗号化及び暗号化データ復号化システム及びその方法
JP6635323B2 (ja) * 2016-12-15 2020-01-22 日本電気株式会社 アクセストークンシステム、情報処理装置、情報処理方法および情報処理プログラム
JP2021118406A (ja) * 2020-01-23 2021-08-10 株式会社リーディングエッジ ユーザ認証方法、ユーザ認証方式

Also Published As

Publication number Publication date
JPH1155244A (ja) 1999-02-26

Similar Documents

Publication Publication Date Title
JP3560860B2 (ja) 秘密分散システム、装置及び記憶媒体
Shamir On the generation of cryptographically strong pseudorandom sequences
US6628786B1 (en) Distributed state random number generator and method for utilizing same
US7231040B1 (en) Multiprime RSA public key cryptosystem
EP0792041B1 (en) Method and apparatus for block encryption
US7899184B2 (en) Ends-messaging protocol that recovers and has backward security
US6477254B1 (en) Network system using a threshold secret sharing method
US8589679B2 (en) Identifier-based signcryption with two trusted authorities
JP3794457B2 (ja) データの暗号化復号化方法
Khan et al. Analysis of asymmetric cryptography in information security based on computational study to ensure confidentiality during information exchange
US7894608B2 (en) Secure approach to send data from one system to another
TW201630378A (zh) 金鑰分裂技術
US6236729B1 (en) Key recovery method and system
Jakobsson et al. Scramble all, encrypt small
JP2002026892A (ja) 鍵共有方法,秘密鍵生成方法,共通鍵生成方法,暗号通信方法,秘密鍵生成器,共通鍵生成器,暗号通信システム及び記録媒体
US20050135610A1 (en) Identifier-based signcryption
JP3667988B2 (ja) 鍵回復方法および装置
CN115361109A (zh) 一种支持双向代理重加密的同态加密方法
KR100388059B1 (ko) 비대칭키 암호 알고리즘을 이용한 데이터 암호화 시스템및 그 방법
JPH10340048A (ja) ハッシュ値生成方法、データ暗号化方法、データ復号化方法、ハッシュ値生成装置、データ暗号化装置およびデータ復号化装置
CN107276759A (zh) 一种高效的门限加密方案
JP3278790B2 (ja) 公開鍵暗号方法及び公開鍵暗号システム
CN113141249B (zh) 一种门限解密方法、系统及可读存储介质
JP2005321719A (ja) 通信システム、復号装置、復元装置、鍵生成装置及び通信方法
JP3518671B2 (ja) 暗号通信方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050105

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050307

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050405

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050407

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090415

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees