JP3870753B2 - Public Key Cryptography Considering Third Oracle - Google Patents
Public Key Cryptography Considering Third Oracle Download PDFInfo
- Publication number
- JP3870753B2 JP3870753B2 JP2001333672A JP2001333672A JP3870753B2 JP 3870753 B2 JP3870753 B2 JP 3870753B2 JP 2001333672 A JP2001333672 A JP 2001333672A JP 2001333672 A JP2001333672 A JP 2001333672A JP 3870753 B2 JP3870753 B2 JP 3870753B2
- Authority
- JP
- Japan
- Prior art keywords
- ciphertext
- public key
- receiver side
- random number
- side device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は,強化された適応的選択暗号文攻撃に対して強秘匿であることが証明可能な公開鍵暗号を用いた暗号通信方法に関する。
【0002】
【従来の技術】
文献1「M. Bellare, A. Desai, D. Pointcheval and P. Rogaway : Relations Among Notions of Security for Public-Key Encryption Schemes, Proc. of Crypto'98, LNCS1462, Springer Verlag, pp.26-45 (1998)」にあるように,現在,公開鍵暗号においては,適応的選択暗号文攻撃に対して強秘匿(IND-CCA2)であることが最も安全であると考えられている。
【0003】
IND-CCA2であることが証明可能な公開鍵暗号方法としては,文献2「D. Dolve, C. Dwork and M. Naor : Non-Malleable Cryptography, In 23rd Annual ACM Symposium on Theory of Computing, pp.542-552 (1991)」に記載されている暗号方法,文献3「M. Naor and M. Yung : Public-Key Cryptosystems Provably Secure against Chosen Ciphertext Attacks, Proc. of STOC, ACM Press, pp.427-437 (1990)」に記載されている暗号方法,文献4「R. Cramer and V. Shoup : A Practical Public Key Cryptosystem Provably Secure against Adaptive Chosen Ciphertext Attack, Proc. of Crypto98, LNCS1462, Springer-Verlag, pp.13-25 (1998)」に記載されている暗号方法,文献5「M. Bellare and P. Rogaway : Optimal Asymmetric Encryption How to Encrypt with RSA, Proc. of Eurocrypt'94, LNCS950, Springer Verlag, pp.92-111 (1994)」に記載されている暗号方法,文献6「V. Shoup : OAEP Reconsidered. Available on the e-print library (2000/060), November 2000」,文献7「M. Bellare and P. Rogaway : Random Oracles are Practical -- A Paradigm for Designing Efficient Protocol, First ACM Conference on Computer and Communications Security, pp.62--73 (1993)」に記載されている暗号方法,等が知られている。
【0004】
【発明が解決しようとする課題】
ランダムオラクルモデル上において適応的選択暗号文攻撃に対して強秘匿(IND-CCA2)であるとは,簡単に言うと,「多項式時間能力の攻撃者は,ターゲットとなる暗号文,対応する公開鍵,復号化オラクル,ランダムオラクルにアクセスすることが許されている環境下で,ターゲットとなる暗号文に対応するメッセージ文のいかなる情報を計算することが困難である」ことを意味する(厳密な定義については,例えば文献1参照)。
【0005】
しかし,攻撃者に対して,ターゲットとなる暗号文,対応する公開鍵,復号化オラクル(第1のオラクル),ランダムオラクル(第2のオラクル)以外に,第3のオラクルとしてランダムオラクルに付随する情報を与えた場合には,攻撃者はメッセージ文の部分情報を計算することが可能になる場合が存在する。
【0006】
以下,この場合について説明する。文献7には,次の公開鍵暗号方法が記載されている:メッセージ文xに対して,その暗号文は,
【0007】
【数23】
により与えられる。但し,fは公開された落し戸付き一方向性置換であり,G,Hはハッシュ関数。この公開鍵暗号方法は,G,Hを理想的ランダム関数とするとき,IND-CCA2であることが同文献の中で示されている。
【0009】
今,ハッシュ関数Gがハッシュ関数G'に対して,G=G'・fとなるように作成されていたと仮定する。但し,(f・g)(x)=f(g(x))。G'を理想的ランダム関数とすると,Gは理想的ランダムになる点に注意する。このとき,攻撃者は(第3番目のオラクルから)関数G'を手に入れることができたとすると,
【0010】
【数24】
により,メッセージ文xを計算できてしまう。
【0012】
このように,従来の定義(IND-CCA2)の範囲内では安全である公開鍵暗号であっても,(従来の定義の範囲外である)第3のオラクルから攻撃者にランダムオラクルに付随する情報を与えてしまうと,簡単に破れてしまう場合が存在する。
【0013】
本発明は,第1のオラクル,第2のオラクルに加えて,上記の第3のオラクルからランダムオラクルに付随する情報を攻撃者に与えた場合にも,メッセージ文に関するいかなる部分情報も計算できない公開鍵暗号方法を提供する。
【0014】
さらに、上記方法を用いた暗号通信方法,その応用装置,またはシステムを提供する。
【0015】
【課題を解決するための手段】
本発明による公開鍵暗号方法では,暗号文から(メッセージ文のみならず)各ハッシュ関数への入力値に関する部分情報を計算することが困難となるように暗号文を作成する。これにより,攻撃者がランダムオラクルに付随するいかなる情報を第3のオラクルから得ても,ハッシュ関数への入力値に関する情報を暗号文から計算できないため,この攻撃を無効とすることが可能になる。
【0016】
次に,メッセージ文のみならず,ハッシュ関数への入力値に関する部分情報を秘匿にするための具体的な方法について述べる。
[鍵生成]
メッセージの受信者は,
【0017】
【数25】
を公開鍵とし,
【0019】
【数26】
を秘密鍵とする。但し,Gは有限アーベル群を表わし,Gの元と{0,1}kの元の間に1対1対応があるものとする。また,k=k1+k2とする。
【0021】
[暗号化]
メッセージの送信者は,メッセージm∈{0,1}k1に対して,乱数r∈{0,1}k2を選び,
【0022】
【数27】
を計算し,(u,v)を暗号文として,該受信者に送信する。
【0024】
[復号化]
受信者は,自身の秘密鍵を用いて,
【0025】
【数28】
なる(m',r')を計算し,さらに,
【0027】
【数29】
が成立することを確認した後(確認が失敗した場合,暗号文は不正なものとみなし拒否する),m'を該暗号文(u,v)のメッセージ文とする。
【0029】
【発明の実施の形態】
以下,図面を用いて,本発明の実施例について説明する。
【0030】
図1は,本発明の各実施例のシステム構成を示す図である。このシステムは,送信者側装置100と受信者側装置200から構成されている。さらに,送信者側装置100と受信者側装置200は通信回線300で接続されている。
【0031】
図2は,図1のシステムにおける送信者側装置100の内部構成を示す。送信者側装置100は,乱数生成手段101,べき乗算手段102,演算手段103,剰余演算手段104,メモリ105,通信装置106,入力装置107,を備えている。
【0032】
図3は,図1のシステムにおける受信者側装置200の内部構成を示す。受信者側装置200は,鍵生成手段201,べき乗算手段202,剰余演算手段203,演算手段204,メモリ205,通信装置206,復号化装置207,を備えている。
【0033】
(実施例1)
本実施例は,メッセージの送信者であるAが受信者であるBに対して,送信データmを暗号通信によって送信する場合について説明する。図4に,本実施例の概要を示す。
【0034】
1.鍵生成処理
受信者Bは,予め,受信者側装置200内の鍵生成手段201を用いて,
【0035】
【数30】
なる秘密鍵,
【0037】
【数31】
なる公開鍵を作成する。但し,Gは有限アーベル群を表わし,Gの元と{0,1}kの元の間に1対1対応があるものとする。また,k=k1+k2とする。また,公開情報を通信回線300などを介して出力し,送信者側装置100へ送付するか,または公開する。公開する方法として,例えば第3者(公開情報管理機関)への登録など,周知の方法を用いることが可能である。その他の情報については,メモリ205に格納する。
【0039】
2.暗復号化処理
(1)送信者Aは,メッセージm∈{0,1}k1に対して,送信者側装置100内の乱数生成手段101を用いて乱数r∈{0,1}k2を選び,演算手段103を用いて,
【0040】
【数32】
を計算し,(u,v)を暗号文として通信装置106を用いて通信回線300を介して受信者Bの受信者側装置200に送信する。
【0042】
(2)受信者は,上記秘密情報と受信者側装置200内の演算手段204を用いて暗号文(u,v)から,
【0043】
【数33】
なる(m',r')を計算し,さらに,
【0045】
【数34】
が成立することを確認した後,m'を該暗号文(u,v)のメッセージ文として出力する。確認が失敗した場合,暗号文は不正なものとみなし拒否する。
【0047】
本実施例による公開鍵暗号方法では,群G上のDiffie-Hellman決定問題の困難性を前提にして,選択暗号文攻撃に対して強秘匿(IND-CCA2)であることが証明できる。証明のアウトラインは以下の通り
本実施例による公開鍵暗号方法を破ろうとする攻撃者(適応的選択暗号文攻撃における強秘匿性の意味において。定義については,例えば,文献14「V.Shoup. : OAEP Reconsidered. Available on the e-print library (2000/060), November 2000」に記載されている)が復号化オラクルから情報を得るためには,質問である暗号文において,元の平文を知る必要がある。すなわち,復号化オラクルから攻撃者は新たな情報を得ることができない。また,文献12「M.Bellare and P.Rogaway, : Optimal Asymmetric Encryption - How to Encrypt with RSA, Proc. of Eurocrypt'94, LNCS950, Springer Verlag, pp.92-111 (1994)」に記載の方法と同様の方法にて,本実施例の方法がIND-CPAであること容易に示せる。これより,本実施例の公開鍵暗号方法はIND-CCA2であることが証明できる。
【0048】
さらに,乱数rをメッセージ文とみなすと(この場合,メッセージ文mは秘密),同様の方法により,群G上のDiffie-Hellman決定問題の困難性を前提にして,選択平文攻撃に対して強秘匿(IND-CPA)であることが証明できる。すなわち,暗号文から乱数rに関する部分情報を漏らしていないことが証明できる。
【0049】
以上のことから,攻撃者は仮に第3のオラクルからハッシュ関数に付随する情報を得ても,暗号文からメッセージに関するいかなる部分情報を計算することが困難であることが示された。
【0050】
(実施例2)
本実施例は,実施例1において,有限アーベル群Gを体から決定される乗法群として与えた場合について述べる。
【0051】
1.鍵生成処理
受信者Bは,予め,受信者側装置200内の鍵生成手段201を用いて,
【0052】
【数35】
なる秘密鍵,
【0054】
【数36】
なる公開鍵を作成する。但し,Z* pの元と{0,1}kの元の間に1対1対応があるものとする。また,k=k1+k2とする。また,公開情報を通信回線300などを介して出力し,送信者側装置100へ送付するか,または公開する。公開する方法として,例えば第3者(公開情報管理機関)への登録など,周知の方法を用いることが可能である。その他の情報については,メモリ205に格納する。
【0056】
2.暗復号化処理
(1)送信者Aは,メッセージm∈{0,1}k1に対して,送信者側装置100内の乱数生成手段101を用いて乱数r∈{0,1}k2を選び,演算手段103を用いて,
【0057】
【数37】
を計算し,(u,v)を暗号文として通信装置106を用いて通信回線300を介して受信者Bの受信者側装置200に送信する。
【0059】
(2)受信者は,上記秘密情報と受信者側装置200内の演算手段204を用いて暗号文(u,v)から,
【0060】
【数38】
なる(m',r')を計算し,さらに,
【0062】
【数39】
が成立することを確認した後,m'を該暗号文(u,v)のメッセージ文として出力する。確認が失敗した場合,暗号文は不正なものとみなし拒否する。
【0064】
本実施例による公開鍵暗号方法では,実施例1の場合と同様の方法により,群Z* p上のDiffie-Hellman決定問題の困難性を前提にして,選択暗号文攻撃に対して強秘匿(IND-CCA2)であることが証明できる。さらに,乱数rをメッセージ文とみなすと(この場合,メッセージ文mは秘密),同様の方法により,群Z* p上のDiffie-Hellman決定問題の困難性を前提にして,選択平文攻撃に対して強秘匿(IND-CPA)であることが証明できる。すなわち,暗号文から乱数rに関する部分情報を漏らしていないことが証明できる。
【0065】
以上のことから,攻撃者は仮に第3のオラクルからハッシュ関数に付随する情報を得ても,暗号文からメッセージに関するいかなる部分情報を計算することが困難であることが示された。
【0066】
(実施例3)
本実施例は,実施例1の変形例であり,実施例1の公開鍵暗号方法よりも平文空間(メッセージの長さ)を大きく取れるメリットを有する。図5に,本実施例の概要を示す。
【0067】
1.鍵生成処理
受信者Bは,予め,受信者側装置200内の鍵生成手段201を用いて,
【0068】
【数40】
なる秘密鍵,
【0070】
【数41】
なる公開鍵を作成する。但し,Gは有限アーベル群を表わし,Gの元と{0,1}kの元の間に1対1対応があるものとする。また,k=k1+k2とする。また,公開情報を通信回線300などを介して出力し,送信者側装置100へ送付するか,または公開する。公開する方法として,例えば第3者(公開情報管理機関)への登録など,周知の方法を用いることが可能である。その他の情報については,メモリ205に格納する。
【0072】
2.暗復号化処理
(1)送信者Aは,メッセージm∈{0,1}nに対して,送信者側装置100内の乱数生成手段101を用いて乱数r1∈{0,1}k1,r2∈{0,1}k2を選び,演算手段103を用いて,
【0073】
【数42】
を計算し,(u,v,w)を暗号文として通信装置106を用いて通信回線300を介して受信者Bの受信者側装置200に送信する。
【0075】
(2)受信者は,上記秘密情報と受信者側装置200内の演算手段204を用いて暗号文(u,v,w)から,
【0076】
【数43】
なる(r'1,r'2)を計算し,さらに,
【0078】
【数44】
が成立することを確認した後,
【0080】
【数45】
により,(u,v,w)のメッセージ文を復号化する。確認が失敗した場合は,暗号文は不正なものとみなし拒否する。
【0082】
本実施例による公開鍵暗号方法では,メッセージの長さ(ビット長)であるnは任意に選ぶことが出来るため,実施例1の方法に比べて長いメッセージ文を暗号化することが可能である。公開鍵暗号の利用目的の中では,共通鍵暗号のデータ暗号化鍵の配送に利用することが最も多い。しかし,単にデータ暗号化鍵のみを暗号化するのではなく,ユーザのID情報等の付加情報を加えて暗号化することが少なくなく,このような場合において本実施例の公開鍵暗号方法は有効である。
【0083】
(実施例4)
本実施例は,実施例3において,有限アーベル群Gを体から決定される乗法群として与えた場合について述べる。
【0084】
1.鍵生成処理
受信者Bは,予め,受信者側装置200内の鍵生成手段201を用いて,
【0085】
【数46】
なる秘密鍵,
【0087】
【数47】
なる公開鍵を作成する。但し,Z* pの元と{0,1}kの元の間に1対1対応があるものとする。また,k=k1+k2とする。また,公開情報を通信回線300などを介して出力し,送信者側装置100へ送付するか,または公開する。公開する方法として,例えば第3者(公開情報管理機関)への登録など,周知の方法を用いることが可能である。その他の情報については,メモリ205に格納する。
【0089】
2.暗復号化処理
(1)送信者Aは,メッセージm∈{0,1}nに対して,送信者側装置100内の乱数生成手段101を用いて乱数r1∈{0,1}k1,r2∈{0,1}k2を選び,演算手段103を用いて,
【0090】
【数48】
を計算し,(u,v,w)を暗号文として通信装置106を用いて通信回線300を介して受信者Bの受信者側装置200に送信する。
【0092】
(2)受信者は,上記秘密情報と受信者側装置200内の演算手段204を用いて暗号文(u,v,w)から,
【0093】
【数49】
なる(r'1,r'2)を計算し,さらに,
【0095】
【数50】
が成立することを確認した後,
【0097】
【数51】
により,(u,v,w)のメッセージ文を復号化する。確認が失敗した場合は,暗号文は不正なものとみなし拒否する。
【0099】
以上,実施例では,送信者と受信者が各々の装置を利用して暗号通信を行うという一般形で述べたが,具体的には様々なシステムに適用される。
【0100】
例えば,電子ショッピングシステムでは,送信者はユーザであり,送信者側装置はパソコンなどの計算機であり,受信者は小売店,受信者側装置はパソコンなどの計算機となる。このとき,ユーザの商品等の注文書は共通鍵暗号で暗号化されることが多く,その際の暗号化鍵を本実施例による方法により暗号化されて小売店側装置に送信される。
【0101】
また,電子メールシステムでは,各々の装置はパソコンなどの計算機であり,送信者のメッセージは共通鍵暗号で暗号化されることが多く,その際の暗号化鍵を本実施例による方法により暗号化されて受信者の計算機に送信される。
【0102】
その他にも,従来の公開鍵暗号が使われている様々なシステムに適用することが可能である。
【0103】
なお,本実施例における各計算は,CPUがメモリ内の各プログラムを実行することにより行われるものとして説明したが,プログラムだけではなく,いずれかがハードウエア化された演算装置であって,他の演算装置や,CPUと,データのやりとりを行うものであっても良い。
【0104】
【発明の効果】
本発明によれば,安全な公開鍵暗号方法を提供できる。
【0105】
【図面の簡単な説明】
【図1】本発明の実施例のシステム構成を示す図である。
【図2】本発明の実施例における送信者側装置の内部構成を示す図である。
【図3】本発明の実施例における受信者側装置の内部構成を示す図である。
【図4】本発明に実施例1の概要を示す図である。
【図5】本発明の実施例3の概要を示す図である。
【符号の説明】
100…送信者側装置,101…送信者側装置100内の乱数生成手段,102…送信者側装置100内のべき乗算手段,103…送信者側装置100内の演算手段,104…送信者側装置100内の剰余演算手段,105…送信者側装置100内のメモリ,106…送信者側装置100内の通信装置,107…送信者側装置100内の入力装置,108…送信者側装置100内の暗号化装置,200…受信者側装置,201…受信者側装置200内の鍵生成手段,202…受信者側装置200内のべき乗算手段,203…受信者側装置200内の剰余演算手段,204…受信者側装置200内の演算手段,205…受信者側装置200内のメモリ,206…受信者側装置200内の通信装置,207…受信者側装置200内の復号化装置,300…通信回線。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an encryption communication method using public key cryptography that can be proved to be strong against an enhanced adaptive selection ciphertext attack.
[0002]
[Prior art]
[0003]
As a public key encryption method that can be proved to be IND-CCA2,
[0004]
[Problems to be solved by the invention]
In simple terms, it is said that confidentiality against adaptive selected ciphertext attacks (IND-CCA2) on the random oracle model is “the attacker with polynomial time capability is the target ciphertext and the corresponding public key. , It is difficult to compute any information in the message text corresponding to the target ciphertext in an environment where access to the decryption oracle or random oracle is allowed (strict definition) For example, see
[0005]
However, in addition to the target ciphertext, the corresponding public key, the decryption oracle (first oracle), and the random oracle (second oracle), it is attached to the random oracle as the third oracle. When information is given, there are cases where an attacker can calculate partial information of a message sentence.
[0006]
This case will be described below. Reference 7 describes the following public key encryption method: For a message sentence x, the ciphertext is
[0007]
[Expression 23]
Given by. Where f is a public one-way replacement with trapdoor, and G and H are hash functions. It is shown in the same document that this public key encryption method is IND-CCA2 when G and H are ideal random functions.
[0009]
Assume that the hash function G is created so that G = G ′ · f with respect to the hash function G ′. However, (f · g) (x) = f (g (x)). Note that if G 'is an ideal random function, G will be ideal random. Then, if the attacker was able to get the function G '(from the third oracle),
[0010]
[Expression 24]
Can calculate the message sentence x.
[0012]
Thus, even with public key cryptography that is secure within the scope of the conventional definition (IND-CCA2), the third oracle (outside the scope of the conventional definition) is accompanied by a random oracle from the third oracle. If information is given, it can be easily broken.
[0013]
In the present invention, in addition to the first oracle and the second oracle, even if the information accompanying the random oracle is given to the attacker from the third oracle, any partial information regarding the message text cannot be calculated. Provide a key encryption method.
[0014]
Furthermore, the present invention provides an encryption communication method using the above method, its application apparatus, or system.
[0015]
[Means for Solving the Problems]
In the public key encryption method according to the present invention, a ciphertext is created so that it is difficult to calculate partial information related to an input value to each hash function (not only a message text) from the ciphertext. This makes it possible to invalidate this attack because information about the input value to the hash function cannot be calculated from the ciphertext, even if the attacker obtains any information associated with the random oracle from the third oracle. .
[0016]
Next, a specific method for concealing not only the message text but also the partial information related to the input value to the hash function will be described.
[Key generation]
The recipient of the message
[0017]
[Expression 25]
Is the public key,
[0019]
[Equation 26]
Is a secret key. Here, G represents a finite abelian group, and there is a one-to-one correspondence between an element of G and an element of {0,1} k . In addition, k = k 1 + k 2 is assumed.
[0021]
[encryption]
The message sender selects a random number r∈ {0,1} k2 for the message m∈ {0,1} k1 ,
[0022]
[Expression 27]
And (u, v) is transmitted to the recipient as ciphertext.
[0024]
[Decryption]
The recipient uses his private key to
[0025]
[Expression 28]
(M ′, r ′) is calculated, and
[0027]
[Expression 29]
(If the confirmation fails, the ciphertext is regarded as invalid and rejected), and m ′ is the message text of the ciphertext (u, v).
[0029]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of the present invention will be described below with reference to the drawings.
[0030]
FIG. 1 is a diagram showing a system configuration of each embodiment of the present invention. This system includes a sender apparatus 100 and a
[0031]
FIG. 2 shows the internal configuration of the sender apparatus 100 in the system of FIG. The sender apparatus 100 includes random number generation means 101, power multiplication means 102, calculation means 103, remainder calculation means 104, memory 105,
[0032]
FIG. 3 shows the internal configuration of the receiver-
[0033]
Example 1
In the present embodiment, a case where transmission data m is transmitted by encrypted communication to B, which is a message sender A, is a receiver. FIG. 4 shows an outline of this embodiment.
[0034]
1. The key generation processing receiver B uses the key generation means 201 in the
[0035]
[30]
Secret key,
[0037]
[31]
Create a public key. Here, G represents a finite abelian group, and there is a one-to-one correspondence between an element of G and an element of {0,1} k . In addition, k = k 1 + k 2 is assumed. Also, public information is output via the communication line 300 or the like and sent to the sender apparatus 100 or disclosed. As a public method, a known method such as registration with a third party (public information management organization) can be used. Other information is stored in the memory 205.
[0039]
2. Encryption / Decryption Processing (1) The sender A selects a random number r∈ {0,1} k2 for the message m∈ {0,1} k1 using the random number generation means 101 in the sender apparatus 100. , Using the arithmetic means 103,
[0040]
[Expression 32]
And (u, v) is transmitted as a ciphertext to the receiver-
[0042]
(2) The receiver uses the secret information and the calculation means 204 in the receiver-
[0043]
[Expression 33]
(M ′, r ′) is calculated, and
[0045]
[Expression 34]
Is confirmed, m ′ is output as the message text of the ciphertext (u, v). If the verification fails, the ciphertext is considered invalid and rejected.
[0047]
In the public key encryption method according to the present embodiment, it is possible to prove that it is confidential (IND-CCA2) against the selected ciphertext attack on the premise of the difficulty of the Diffie-Hellman decision problem on group G. The outline of the proof is as follows: An attacker who tries to break the public key encryption method according to the present embodiment (in the meaning of confidentiality in the adaptive selective ciphertext attack. For definition, see, for example, Reference 14 “V.Shoup. OAEP Reconsidered. Available on the e-print library (2000/060), November 2000 ”), in order to obtain information from the decryption oracle, it is necessary to know the original plaintext in the ciphertext that is the question There is. That is, the attacker cannot obtain new information from the decryption oracle. Further, the method described in Reference 12 “M. Bellare and P. Rogaway,: Optimal Asymmetric Encryption-How to Encrypt with RSA, Proc. Of Eurocrypt '94, LNCS950, Springer Verlag, pp.92-111 (1994)” In the same way, it can be easily shown that the method of this embodiment is IND-CPA. From this, it can be proved that the public key encryption method of this embodiment is IND-CCA2.
[0048]
Furthermore, when the random number r is regarded as a message sentence (in this case, the message sentence m is secret), the same method is applied to the chosen plaintext attack, assuming the difficulty of the Diffie-Hellman decision problem on the group G. It can be proved that it is confidential (IND-CPA). That is, it can be proved that the partial information regarding the random number r is not leaked from the ciphertext.
[0049]
From the above, it was shown that even if the attacker obtains the information associated with the hash function from the third oracle, it is difficult to calculate any partial information about the message from the ciphertext.
[0050]
(Example 2)
In this embodiment, a case where the finite abelian group G is given as a multiplicative group determined from the body in the first embodiment will be described.
[0051]
1. The key generation processing receiver B uses the key generation means 201 in the
[0052]
[Expression 35]
Secret key,
[0054]
[Expression 36]
Create a public key. However, it is assumed that there is a one-to-one correspondence between the elements of Z * p and the elements of {0,1} k . In addition, k = k 1 + k 2 is assumed. Also, public information is output via the communication line 300 or the like and sent to the sender apparatus 100 or disclosed. As a public method, a known method such as registration with a third party (public information management organization) can be used. Other information is stored in the memory 205.
[0056]
2. Encryption / Decryption Processing (1) The sender A selects a random number r∈ {0,1} k2 for the message m∈ {0,1} k1 using the random number generation means 101 in the sender apparatus 100. , Using the arithmetic means 103,
[0057]
[Expression 37]
And (u, v) is transmitted as a ciphertext to the receiver-
[0059]
(2) The receiver uses the secret information and the calculation means 204 in the receiver-
[0060]
[Formula 38]
(M ′, r ′) is calculated, and
[0062]
[39]
Is confirmed, m ′ is output as the message text of the ciphertext (u, v). If the verification fails, the ciphertext is considered invalid and rejected.
[0064]
In the public key cryptography method according to the present embodiment, confidentiality against the selected ciphertext attack is assumed in the same manner as in the first embodiment, assuming the difficulty of the Diffie-Hellman decision problem on the group Z * p. IND-CCA2). Further, if the random number r is regarded as a message sentence (in this case, the message sentence m is secret), a similar method is used to attack the chosen plaintext attack, assuming the difficulty of the Diffie-Hellman decision problem on the group Z * p. It can be proved that it is strong secrecy (IND-CPA). That is, it can be proved that the partial information regarding the random number r is not leaked from the ciphertext.
[0065]
From the above, it was shown that even if the attacker obtains the information associated with the hash function from the third oracle, it is difficult to calculate any partial information about the message from the ciphertext.
[0066]
(Example 3)
The present embodiment is a modification of the first embodiment, and has an advantage that a plaintext space (message length) can be made larger than the public key encryption method of the first embodiment. FIG. 5 shows an outline of this embodiment.
[0067]
1. The key generation processing receiver B uses the key generation means 201 in the
[0068]
[Formula 40]
Secret key,
[0070]
[Expression 41]
Create a public key. Here, G represents a finite abelian group, and there is a one-to-one correspondence between an element of G and an element of {0,1} k . In addition, k = k 1 + k 2 is assumed. Also, public information is output via the communication line 300 or the like and sent to the sender apparatus 100 or disclosed. As a public method, a known method such as registration with a third party (public information management organization) can be used. Other information is stored in the memory 205.
[0072]
2. Encryption / Decryption Process (1) The sender A uses the random number generation means 101 in the sender apparatus 100 for the message m∈ {0,1} n and uses the random number r 1 ∈ {0,1} k1 , Choose r 2 ∈ {0,1} k2 and use the arithmetic means 103 to
[0073]
[Expression 42]
And (u, v, w) is transmitted as a ciphertext to the
[0075]
(2) The receiver uses the above secret information and the ciphertext (u, v, w) using the calculation means 204 in the receiver-
[0076]
[Equation 43]
(R ′ 1 , r ′ 2 )
[0078]
(44)
After confirming that
[0080]
[Equation 45]
Thus, the message sentence (u, v, w) is decrypted. If the verification fails, the ciphertext is considered invalid and rejected.
[0082]
In the public key encryption method according to the present embodiment, n, which is the message length (bit length), can be arbitrarily selected. Therefore, it is possible to encrypt a longer message sentence as compared with the method of the first embodiment. . Among the uses of public key cryptography, it is most often used for delivery of data encryption keys for common key cryptography. However, it is not easy to encrypt only the data encryption key, but it is often the case that encryption is performed by adding additional information such as user ID information. In such a case, the public key encryption method of this embodiment is effective. It is.
[0083]
Example 4
In this embodiment, the case where the finite abelian group G is given as a multiplicative group determined from the body in the third embodiment will be described.
[0084]
1. The key generation processing receiver B uses the key generation means 201 in the
[0085]
[Equation 46]
Secret key,
[0087]
[Equation 47]
Create a public key. However, it is assumed that there is a one-to-one correspondence between the elements of Z * p and the elements of {0,1} k . In addition, k = k 1 + k 2 is assumed. Also, public information is output via the communication line 300 or the like and sent to the sender apparatus 100 or disclosed. As a public method, a known method such as registration with a third party (public information management organization) can be used. Other information is stored in the memory 205.
[0089]
2. Encryption / Decryption Process (1) The sender A uses the random number generation means 101 in the sender apparatus 100 for the message m∈ {0,1} n and uses the random number r 1 ∈ {0,1} k1 , Choose r 2 ∈ {0,1} k2 and use the arithmetic means 103 to
[0090]
[Formula 48]
And (u, v, w) is transmitted as a ciphertext to the
[0092]
(2) The receiver uses the above secret information and the ciphertext (u, v, w) using the calculation means 204 in the receiver-
[0093]
[Formula 49]
(R ′ 1 , r ′ 2 )
[0095]
[Equation 50]
After confirming that
[0097]
[Formula 51]
Thus, the message sentence (u, v, w) is decrypted. If the verification fails, the ciphertext is considered invalid and rejected.
[0099]
As described above, the embodiment has been described in a general form in which the sender and the receiver perform encryption communication using each device, but the present invention is specifically applied to various systems.
[0100]
For example, in an electronic shopping system, the sender is a user, the sender device is a computer such as a personal computer, the receiver is a retail store, and the receiver device is a computer such as a personal computer. At this time, the order form for the user's product or the like is often encrypted with the common key encryption, and the encryption key at that time is encrypted by the method according to the present embodiment and transmitted to the retail store side device.
[0101]
In the electronic mail system, each device is a computer such as a personal computer, and the sender's message is often encrypted with a common key encryption. The encryption key at that time is encrypted by the method according to this embodiment. And sent to the recipient's computer.
[0102]
In addition, the present invention can be applied to various systems using conventional public key cryptography.
[0103]
Although each calculation in the present embodiment has been described as being performed by the CPU executing each program in the memory, it is not only a program but one of them is a hardware-equipped arithmetic unit. It is also possible to exchange data with the arithmetic device or CPU.
[0104]
【The invention's effect】
According to the present invention, a secure public key encryption method can be provided.
[0105]
[Brief description of the drawings]
FIG. 1 is a diagram showing a system configuration of an embodiment of the present invention.
FIG. 2 is a diagram illustrating an internal configuration of a sender-side device according to an embodiment of the present invention.
FIG. 3 is a diagram showing an internal configuration of a receiver side device in the embodiment of the present invention.
FIG. 4 is a diagram showing an outline of
FIG. 5 is a diagram showing an outline of Embodiment 3 of the present invention.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 100 ... Sender side apparatus, 101 ... Random number generation means in sender side apparatus 100, 102 ... Power multiplication means in sender side apparatus 100, 103 ... Arithmetic means in sender side apparatus 100, 104 ... Sender side Remainder calculating means in device 100, 105 ... Memory in
Claims (8)
前記受信者側装置は,鍵生成手段を備え,The receiver side device comprises key generation means,
前記鍵生成手段は,秘密鍵として,The key generation means is a secret key,
公開鍵として,As public key,
を作成し,Create
前記送信者側装置は,乱数生成手段と,暗号演算手段と,送信側通信装置と,を備え,The sender side device comprises a random number generation means, a cryptographic operation means, and a transmission side communication device,
前記乱数生成手段は,メッセージThe random number generation means is a message mm ∈∈ {0{0 ,, 1}1} k1k1 に対して,乱数For a random number rr ∈∈ {0{0 ,, 1}1} k2k2 を生成し,Generates
前記暗号演算手段は,前記乱数The cryptographic operation means is the random number rr と前記公開鍵とに基づき,前記メッセージAnd the public key based on the message mm の暗号文Ciphertext (u(u ,, v)v) を,,
前記送信側通信装置は,前記暗号文The transmitting communication device transmits the ciphertext. (u(u ,, v)v) を,該受信者側装置に送信し,To the receiver side device,
該受信者側装置は,さらに,復号演算手段と,受信側通信装置と,を備え,The receiver side device further includes a decoding operation means and a reception side communication device,
前記受信側通信装置は,前記暗号文The receiving side communication device transmits the ciphertext. (u(u ,, v)v) を受信し,Received,
前記復号演算手段は,前記暗号文The decryption operation means is the ciphertext (u(u ,, v)v) と,前記秘密鍵と,に基づき,And the secret key,
成立しない場合は,前記暗号文If not, the ciphertext (u(u ,, v)v) は不正なものとみなし,成立した場合は,前記Is considered to be fraudulent. m'm ' を,該暗号文, The ciphertext (u(u ,, v)v) を復号化した結果として出力するIs output as the result of decryption
ことを特徴とする公開鍵暗号システム。A public key cryptosystem characterized by that.
前記受信者側装置は,前記受信側通信装置を介して,前記公開鍵The receiver side device transmits the public key via the receiver side communication device. (g(g ,, hh ,, HH 11 ,, HH 22 )) を前記送信者側装置に送信するか,または公開情報管理機関に登録する手段を備えるIs transmitted to the sender device or registered with the public information management organization.
ことを特徴とする公開鍵暗号システム。A public key cryptosystem characterized by that.
前記受信者側装置は,鍵生成手段を備え,The receiver side device comprises key generation means,
前記鍵生成手段は,秘密鍵として,The key generation means is a secret key,
公開鍵として,As public key,
を作成し,Create
前記送信者側装置は,乱数生成手段と,暗号演算手段と,送信側通信装置と,を備え,The sender side device comprises a random number generation means, a cryptographic operation means, and a transmission side communication device,
前記乱数生成手段は,メッセージThe random number generation means is a message mm ∈∈ {0{0 ,, 1}1} k1k1 に対して,乱数For a random number rr ∈∈ {0{0 ,, 1}1} k2k2 を生成し,Generates
前記暗号演算手段は,前記乱数The cryptographic operation means is the random number rr と前記公開鍵とに基づき,前記メッセージAnd the public key based on the message mm の暗号文Ciphertext (u(u ,, v)v) を,,
前記送信側通信装置は,前記暗号文The transmitting communication device transmits the ciphertext. (u(u ,, v)v) を,該受信者側装置に送信し,To the receiver side device,
該受信者側装置は,さらに,復号演算手段と,受信側通信装置と,を備え,The receiver side device further includes a decoding operation means and a reception side communication device,
前記受信側通信装置は,前記暗号文The receiving side communication device transmits the ciphertext. (u(u ,, v)v) を受信し,Received,
前記復号演算手段は,前記暗号文The decryption operation means is the ciphertext (u(u ,, v)v) と,前記秘密鍵と,に基づき,And the secret key,
成立しない場合は,前記暗号文If not, the ciphertext (u(u ,, v)v) は不正なものとみなし,成立した場合は,前記Is considered to be fraudulent. m'm ' を,該暗号文, The ciphertext (u(u ,, v)v) を復号化した結果として出力するIs output as the result of decryption
ことを特徴とする公開鍵暗号システム。A public key cryptosystem characterized by that.
前記受信者側装置は,前記受信側通信装置を介して,前記公開鍵The receiver side device transmits the public key via the receiver side communication device. (p(p ,, gg ,, hh ,, HH 11 ,, HH 22 )) を前記送信者側装置に送信するか,または公開情報管理機関に登録する手段を備えるIs transmitted to the sender device or registered with the public information management organization.
ことを特徴とする公開鍵暗号システム。A public key cryptosystem characterized by that.
前記受信者側装置は,鍵生成手段を備え,The receiver side device comprises key generation means,
前記鍵生成手段は,秘密鍵として,The key generation means is a secret key,
公開鍵として,As public key,
を作成し,Create
前記送信者側装置は,乱数生成手段と,暗号演算手段と,送信側通信装置と,を備え,The sender side device comprises a random number generation means, a cryptographic operation means, and a transmission side communication device,
前記乱数生成手段は,メッセージThe random number generation means is a message mm ∈∈ {0{0 ,, 1}1} nn に対して,乱数For a random number rr 11 ∈∈ {0{0 ,, 1}1} k1k1 ,, rr 22 ∈∈ {0{0 ,, 1}1} k2k2 を生成し,Generates
前記暗号演算手段は,前記乱数The cryptographic operation means is the random number rr 11 ,, rr 22 と前記公開鍵とに基づき,前記メッセージAnd the public key based on the message mm の暗号文Ciphertext (u(u ,, vv ,, w)w) を,,
前記送信側通信装置は,前記暗号文The transmitting communication device transmits the ciphertext. (u(u ,, vv ,, w)w) を,該受信者側装置に送信し,To the receiver side device,
該受信者側装置は,さらに,復号演算手段と,受信側通信装置と,を備え,The receiver side device further includes a decoding operation means and a reception side communication device,
前記受信側通信装置は,前記暗号文The receiving side communication device transmits the ciphertext. (u(u ,, vv ,, w)w) を受信し,Received,
前記復号演算手段は,前記暗号文The decryption operation means is the ciphertext (u(u ,, vv ,, w)w) と,前記秘密鍵と,に基づき,And the secret key,
成立しない場合は,前記暗号文If not, the ciphertext (u(u ,, vv ,, w)w) を不正なものとみなし,成立した場合は,Is considered illegal and
前記Said m'm ' を該暗号文The ciphertext (u(u ,, vv ,, w)w) を復号化した結果として出力するIs output as the result of decryption
ことを特徴とする公開鍵暗号システム。A public key cryptosystem characterized by that.
前記受信者側装置は,前記受信側通信装置を介して,前記公開鍵The receiver side device transmits the public key via the receiver side communication device. (g(g ,, hh ,, HH 11 ,, HH 22 ,, GG 11 ,, GG 22 )) を前記送信者側装置に送信するか,または公開情報管理機関に登録する手段を備えるIs transmitted to the sender device or registered with the public information management organization.
ことを特徴とする公開鍵暗号システム。A public key cryptosystem characterized by that.
前記受信者側装置は,鍵生成手段を備え,The receiver side device comprises key generation means,
前記鍵生成手段は,秘密鍵として,The key generation means is a secret key,
公開鍵として,As public key,
を作成し,Create
前記送信者側装置は,乱数生成手段と,暗号演算手段と,送信側通信装置と,を備え,The sender side device comprises a random number generation means, a cryptographic operation means, and a transmission side communication device,
前記乱数生成手段は,メッセージThe random number generation means is a message mm ∈∈ {0{0 ,, 1}1} nn に対して,乱数For a random number rr 11 ∈∈ {0{0 ,, 1}1} k1k1 ,, rr 22 ∈∈ {0{0 ,, 1}1} k2k2 を生成し,Generates
前記暗号演算手段は,前記乱数The cryptographic operation means is the random number rr 11 ,, rr 22 と前記公開鍵とに基づき,前記メッセージmの暗号文And the ciphertext of the message m based on the public key (u(u ,, vv ,, w)w) を,,
前記送信側通信装置は,前記暗号文The transmitting communication device transmits the ciphertext. (u(u ,, vv ,, w)w) を,該受信者側装置に送信し,To the receiver side device,
該受信者側装置は,さらに,復号演算手段と,受信側通信装置と,を備え,The receiver side device further includes a decoding operation means and a reception side communication device,
前記受信側通信装置は,前記暗号文The receiving side communication device transmits the ciphertext. (u(u ,, vv ,, w)w) を受信し,Received,
前記復号演算手段は,前記暗号文The decryption operation means is the ciphertext (u(u ,, vv ,, w)w) と,前記秘密鍵と,に基づき,And the secret key,
成立しない場合は,前記暗号文If not, the ciphertext (u(u ,, vv ,, w)w) を不正なものとみなし,成立した場合は,Is considered illegal and
前記Said m'm ' を該暗号文The ciphertext (u(u ,, vv ,, w)w) を復号化した結果として出力するIs output as the result of decryption
ことを特徴とする公開鍵暗号システム。A public key cryptosystem characterized by that.
前記受信者側装置は,前記受信側通信装置を介して,前記公開鍵The receiver side device transmits the public key via the receiver side communication device. (p(p ,, gg ,, hh ,, HH 11 ,, HH 22 ,, GG 11 ,, GG 22 )) を前記送信者側装置に送信するか,または公開情報管理機関に登録するIs sent to the sender's device or registered with the public information management organization
ことを特徴とする公開鍵暗号システム。A public key cryptosystem characterized by that.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001333672A JP3870753B2 (en) | 2001-10-31 | 2001-10-31 | Public Key Cryptography Considering Third Oracle |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001333672A JP3870753B2 (en) | 2001-10-31 | 2001-10-31 | Public Key Cryptography Considering Third Oracle |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003143122A JP2003143122A (en) | 2003-05-16 |
| JP3870753B2 true JP3870753B2 (en) | 2007-01-24 |
Family
ID=19148899
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001333672A Expired - Fee Related JP3870753B2 (en) | 2001-10-31 | 2001-10-31 | Public Key Cryptography Considering Third Oracle |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3870753B2 (en) |
-
2001
- 2001-10-31 JP JP2001333672A patent/JP3870753B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003143122A (en) | 2003-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Dodis et al. | Key-insulated public key cryptosystems | |
| US7221758B2 (en) | Practical non-malleable public-key cryptosystem | |
| Coron | What is cryptography? | |
| Khan et al. | Analysis of asymmetric cryptography in information security based on computational study to ensure confidentiality during information exchange | |
| US20140082361A1 (en) | Data encryption | |
| KR100396740B1 (en) | Provably secure public key encryption scheme based on computational diffie-hellman assumption | |
| Zheng | Shortened digital signature, signcryption and compact and unforgeable key agreement schemes | |
| JPH11174955A (en) | Open key ciphering device, open key ciphering and deciphering device, and deciphering program recording medium | |
| JPH08251156A (en) | Method and system for ciphering electronic mail | |
| JP2006227411A (en) | Communications system, encryption device, key generator, key generating method, restoration device, communication method, encryption method, and cryptography restoration method | |
| KR100388059B1 (en) | Data encryption system and its method using asymmetric key encryption algorithm | |
| JP3870753B2 (en) | Public Key Cryptography Considering Third Oracle | |
| KR100323799B1 (en) | Method for the provably secure elliptic curve public key cryptosystem | |
| JPH06112935A (en) | Ciphering communication method | |
| Zheng | Signcryption or how to achieve cost (signature & encryption)<< cost (signature)+ cost (encryption) | |
| JP2002023626A (en) | Method for ciphering public key and communication system using public key cryptograph | |
| JP4284867B2 (en) | A public-key cryptography method that is secure against adaptive choice ciphertext attacks on a standard model | |
| JP4230162B2 (en) | Public key encryption communication method | |
| Rabah | Secure implementation of message digest, authentication and digital signature | |
| EP1394981A2 (en) | Public key cryptograph communication method | |
| JP3862397B2 (en) | Information communication system | |
| WO2000045548A1 (en) | Public key cryptograph and key sharing method | |
| WO1998047260A2 (en) | Publicly verifiable key recovery | |
| JP3587746B2 (en) | Secret key generator, encryption device, encryption communication method, encryption communication system, and recording medium | |
| Parthiban et al. | Using modified stern series for digital signature authentication in elliptic curve cryptography |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040323 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20060419 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060711 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060825 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060926 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20061009 |
|
| LAPS | Cancellation because of no payment of annual fees |