JP3910538B2 - 潜在的に非同期式のネットワーク中でシークレットを検証可能に共有する方法 - Google Patents

潜在的に非同期式のネットワーク中でシークレットを検証可能に共有する方法 Download PDF

Info

Publication number
JP3910538B2
JP3910538B2 JP2002584530A JP2002584530A JP3910538B2 JP 3910538 B2 JP3910538 B2 JP 3910538B2 JP 2002584530 A JP2002584530 A JP 2002584530A JP 2002584530 A JP2002584530 A JP 2002584530A JP 3910538 B2 JP3910538 B2 JP 3910538B2
Authority
JP
Japan
Prior art keywords
value
shared
received
participating network
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002584530A
Other languages
English (en)
Other versions
JP2004525466A (ja
Inventor
カヒン、クリスチアン
クルザヴェ、クラウス
リシアンスカヤ、アンナ
シュトローブル、レト
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2004525466A publication Critical patent/JP2004525466A/ja
Application granted granted Critical
Publication of JP3910538B2 publication Critical patent/JP3910538B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/601Broadcast encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、プロセッサ・ノードが非同期式に情報を交換するネットワークに関し、より詳細には、未検出の悪意のあるノードが存在しても、十分に大きなノードの部分集合は、シークレット値を再構築することができるが、それより小さな集合ではそれを何としても解決できないような方法で、ノード間でシークレット値を共有するための方法に関する。
シークレット共有スキームは、情報をn個の異なるロケーションに分散させることによって、情報の機密性と保全性を保護する。この情報はある最小限数のロケーションにアクセスできる場合に限り、回復することができる。具体的に言うと、(k,n)閾値スキームにおいては、k個のロケーションが一緒になってシークレット情報を再構築することができるが、k−1個のロケーションでは、それに関する情報を得ることはできない。
H. Krawczyk et al. 「Proactive secretsharing or: How to cope with perpetual leakage」、In Crypto '95, 339〜352頁、SantaBarbara、1995年に、同期式の予防的なシークレット共有スキームが提示されている。このスキームでは、システムの存続時間を短い時間枠のみに分割し、したがって、敵が1つの時間枠中にk−1個を超えるロケーションに侵入できないと想定するのが妥当である。さらに、敵は一時的である、すなわち破壊されたサーバは識別することができ再ブートすることができるので、敵はそれらを制御できなくなると想定されるが、なおサーバの最後の状態を記憶している。各時間枠の最初に、敵が以前の時間枠で集めた情報が時代遅れになるように、システムをリフレッシュする。システムのリフレッシュとは、古いシークレットの共有部を新しく無作為に生成することである。
非同期式の検証可能なシークレット共有システムが、Ran Canettiand TalRabin、「Fast asynchronous Byzantine agreement with optimal resilience」、in STOC93、42〜51頁、NewYork、1993年に提案されたが、これはFeldman and Micali、「An Optimal Probabilistic Protocol forSynchronous Byzantine Agreement」、STOC 88、148〜161頁、New York、1988年のアイデアに基づいている。このスキームは、公開鍵暗号を使用していないが、メッセージは極めて複雑である。
H. Krawczyk et al.、「Proactivesecret sharing or: How to cope with perpetual leakage」、In Crypto '95, 339〜352頁、SantaBarbara、1995年 Ran Canettiand Tal Rabin、「Fastasynchronous Byzantine agreement with optimal resilience」、in STOC93、42〜51頁、NewYork、1993年 Feldman and Micali、「An OptimalProbabilistic Protocol for Synchronous Byzantine Agreement」、STOC 88、148〜161頁、NewYork、1988年 A.Shamir、「How to share a secret」、Communicationsof the ACM 22(1979年)、612〜613頁 Cachin et al.、「Secure and EfficientAsynchronous Broadcast Protocols」、Joe Kilian編、Advance in Cryptology: CRYPTO 2001、LectureNotes in Computer Science、2139巻、524〜541頁、Springer、2001年 Cachin et al.、「Random Oracles inConstantinople: Practical Byzantine Agreement using Cryptography」、in PODC00、Portland、Oregon、2000年 T. Pedersen、「Non-interactive andinformation-theoretic secure verifiable secret sharing」、CRYPTO'91、Lecture Notesin Computer Science 576巻、129〜140頁、Springer-Verlag、1992年
本発明の一目的は、最大t個の障害のある装置、プロセッサ、またはパーティを許容することのできる潜在的に非同期式のネットワーク用の検証可能なシークレット共有スキームを作成することである。この意味での部分的に非同期式のネットワークとは、ネットワークが状況および所与の仮定に応じて同期モードまたは非同期モードのいずれでも動作することができることを意味する。
本発明の他の目的は、n個のプロセッサまたはパーティの間で動作可能であり、多くてもt個(t<n/3)のプロセッサに障害があり、さらに一定時間共有が実現でき、交換されるメッセージ数がnの2乗程度である方法を提供することである。
用語解説
以下は、説明の理解を助けるための非公式の定義である。
非同期の検証可能なシークレットの共有(AVSS)においては、k個以上のどのような連携パーティでも効率的にxを構築できるのに、k−1個のパーティが連携してもxを得ることができないように、シークレット値xが、ディーラまたはディストリビュータによりP、...、Pのnパーティ間で共有される。このことを(k,n)共有とも呼び、シークレット値xを再構築するのにnパーティ中のkパーティが必要とされることを示す。
群:暗号法の意味における群は、元または数の集合と、いくつかの指定された属性を備えた群演算(*)から成る代数系(G,*)であり、ここで(*)は結合法(associative)であり、単位元をもち、Gのすべての元が逆元を有している。記号(*)の選択は任意である。実際には、大部分の群の演算は、+または・のいずれかで示され、このような群は、それぞれ加法群または乗法群と呼ばれる。
例えば、任意の正整数qについて、集合Zは、整数0、...、q−1から成り、それは、qを法とする加法演算の群を形成する。さらに、aに対して互いに素な整数からなるZqの部分集合は、qを法とする乗法群を形成し、Z*で示される。特に、pが素な場合には、Z*は{1,...,p−1}からなり、p−1個の元を有する群である。
ハッシュ関数:ハッシュ関数は、任意長の2進ストリングを、ある固定長の2進ストリングに写像する計算効率のよい関数である。
複合障害
ビザンチン合意(Byzantine Agreement)を実現するための方法では、ネットワーク装置に障害の起こる可能性のあるいくつかの異なる方法を区別することができる。この例を以下に示す。
ビザンチン障害BF(Byzantine Failure):ビザンチン障害BFが起こる場合には、敵は対応するマシンを完全に制御してしまっている。このマシンが有するすべてのシークレットが敵の手に渡り、敵は今やその動作のすべてを制御する。
クラッシュ障害CF(Crash Failure):クラッシュ障害CFは、単に対応するマシンが動作を停止することを意味する。これは、いつでも、すなわち同報通信の最中またはメッセージの送信中でさえ、起こる可能性がある。他のパーティがこのようなクラッシュを確実に検出できるメカニズムはないと考えられている。
リンク障害LF(Link Failure):リンク障害LFは、パーティではなくて相互接続リンクに障害が起こるときに起こる。リンクは、認証鍵に対するアクセス権がないので、リンクがメッセージを修正したり、挿入したりするのを防ぐのは容易である。しかしながら、障害のあるリンクはメッセージを除去してしまう可能性があり、それによって2つのパーティ間の接続を完全に切ることもある。
敵構造(Adversary structure)
敵構造Tは、その破壊をシステムが許容すべきパーティの集合(連合)の1つの集合である。これによって、閾値スキームが一般化されて、より柔軟になり環境構造に適合できるようになる。
本発明によれば、私用リンクを備えた非同期式ネットワークを介してn台の参加ネットワーク装置間でシークレット値xを共有する、すなわち正直な参加者間の通信が敵によって読み取ることができないようにするための、マシン実装可能な方法が提供される。n台の参加ネットワーク装置は、t台の障害のある装置、およびシークレット値xを再構成することの可能なk台の副次装置(sub-device)を含んでおり、ここで、t<n/3かつk<nである。このシークレット値xは、ディストリビュータによって提供される。本方法は、そのディストリビュータにより、リニアなシークレット共有スキームを適用することにより、シークレット値xの共有値sおよび副次共有値(subsharevalue)sijを導き出し、共有値sおよび副次共有値sijの妥当性を検証するために使用可能な検証値
Figure 0003910538
 を導き出すステップと、対応する副次共有値sAi、siA、sBi、siB、sCi、siCを含む共有メッセージを、各参加ネットワーク装置に送信するステップと、その検証値
Figure 0003910538
 を含む検証メッセージを同報通信するステップと、少なくともl台(n−t≧l≧2t+1)の参加ネットワーク装置により、検証値
Figure 0003910538
 を含む検証メッセージを受信するステップと、各受信側ネットワーク装置について以下のステップ1)ないし4)、すなわち1)副次共有値sijを含む共有メッセージが受信される場合に、検証値
Figure 0003910538
 に基づいて副次共有値sijの妥当性を判定するステップと、2)判定が肯定的な場合には、合意値Yを含む合意メッセージを同報通信するステップと、3)合意値Y、Y、Yを含むl個の合意メッセージを受信するステップと、4)l個の受信済み合意メッセージがある場合に、ディストリビュータDによって送信された共有メッセージ、または参加ネットワーク装置から受信した副次共有値sijのどちらかから共有値sを得て、検証値
Figure 0003910538
 に基づいて副次共有値sijの妥当性を判定するステップとを実施するステップを含む。
本発明の第2の態様においては、非同期ネットワークを介してn台の参加ネットワーク装置A、B、C間でシークレット値xを共有するマシン実装可能な方法が提供され、n台の参加ネットワーク装置A、B、Cは、t台の障害のある装置、およびシークレット値xを再構築可能なk台の副次装置を備えており、ここでt<n/3かつk≦n−tであり、シークレット値xは、ディストリビュータDによって提供される。この方法は、同報通信することなしに実施される。
本方法は、効率がよく、最大数のパーティの破壊に耐えるという意味で理論的にほぼ最良でもある。さらに、この方法は非同期式の環境に適用可能であり、ビザンチン障害を許容する。
何らかのシークレット値xがすでに共有されている場合、この方法を使用して、0であるシークレット値yを共有することができる。検証値を使用して、yの値が本当に0であることを検証することができる。
xの共有値xに0の共有値yを加えることにより、新しい共有値y+xはシークレットx+0すなわちxを共有する。
このようにすることにより、同じシークレット値の新しい共有値が生成され、この値を使用して敵に漏えいした可能性のある古い共有値が役に立たないようにすることができる。
有利なことには、この方法を修正して、指標iの付いたあらゆる参加ネットワーク装置がその副次共有値si1〜sin、およびs1i〜sniをすべて導き出せるようにすることが可能である。このようにして、既知の副次共有値s1i〜sniから対応する副次共有値S(n+1)iを再構築することにより、シークレット値xを共有する1群の参加ネットワーク装置に、追加のネットワーク装置を効率的に組み込むことが容易になる。
この副次共有値sijおよび追加の検証値を、各参加ネットワーク装置に送信することができ、十分な追加の検証値を受信するとすぐに受信した追加の検証値に基づいて検証値
Figure 0003910538
 を変更することができる。これには、検証メッセージを同報通信するために使用される同報通信プリミティブが簡単になり、それによってネットワークの通信が少なくなるという利点がある。
参加ネットワーク装置が受信した副次共有値sijから共有値sを得るステップが、コンプレイン・メッセージを同報通信するステップと、コンプレイン・メッセージに応答して送信された副次共有値sijを受信するステップをさらに含む場合には、普通はそうであるがディストリビュータが正直な場合に、ネットワーク・トラフィックを低減することができるという利点がもたらされる。
リニア・シークレット共有スキームに対応する暗号群Gから共通の数gを選択すること、および選択した共通の数gを、共有値sの線形関数f乗することによって、検証値
Figure 0003910538
 を導き出すことにより、この検証値
Figure 0003910538
 を導き出すことができる。そうすることにより、簡単な暗号プリミティブを使用して検証値
Figure 0003910538
 を生成することができる。
検証値
Figure 0003910538
 は、ハッシュ関数を使用して導き出すことができる。これにより、検証値
Figure 0003910538
 は小さくなる。したがって、ネットワークを介して転送しなければならないデータが少なくなる。
いくつかのシークレット値を同時に共有することができる。これは、相乗効果によって効率がより高くなる。
障害のある装置の台数tは、異なる参加ネットワーク装置、すなわち異なるオペレーティング・システムを実行し、異なるロケーションにある装置を含む複数の集合の集合Tと見ることができる。さらに、参加ネットワーク装置は、集合Tの異なる構造または異なる閾値t(i=1、2、...)を反映して、例えばビザンチン障害、クラッシュ障害、およびリンク障害などの複合障害を示す可能性がある。このことは、このプロトコルの柔軟性を示している。
本発明の好ましい実施形態を、以下の概略図を参照して、例としてのみ以下に詳細に説明する。
図面は例示の目的で示したものにすぎず、また必ずしも、本発明の実際の例を一定の縮尺で表現してはいない。
図1は、一般的なコンピュータ・システム8の一例を示すものであり、このシステムでシークレット値xが共有される。このシステムは、通信回線(1〜5)を介してネットワークに接続されたn=4台の参加ネットワーク装置A、B、C、およびDから構成されている。このシステムはディストリビュータDを含み、それが「X」で示される。各参加ネットワーク装置A、B、C、Dは、チップ上のコンピュータまたはウェアラブル・コンピュータから大型コンピュータ・システムに至る当技術分野で知られるどのようなタイプのコンピュータ装置でもよい。通信回線は、1台の参加ネットワーク装置A、B、C、Dから別の装置へデータまたはメッセージを伝送するための一般に知られたどんな通信手段でもよい。例えば、通信回線は、各対をなす参加ネットワーク装置A、B、C、D間の1本の双方向通信回線5、または各対をなす参加ネットワーク装置A、B、C、D間の各方向への単方向回線のどちらでもよい。かかるコンピュータ・システム8および通信回線5は、当技術分野において周知である。1台の参加ネットワーク装置A、B、Cが情報をそれ自体に送信する場合には、その参加ネットワーク装置内で単にデータを移動することにより、通信回線上でそれ自体に情報を送信することなく、同等な結果を実現することができる。この一般的なコンピュータ・システム8は、以下の非同期式の検証可能なシークレット共有プロトコルの説明を容易にするために示したものである。同一または同様な部品を示すために同じ参照番号を使用している。
図2は、非同期式ネットワークを介して、n台の参加ネットワーク装置A、B、C間でシークレット値xを共有するためのプロトコルの全体的な流れを示すものであり、その中で、一連のメッセージが、各参加ネットワーク装置A、B、C、Dによって送信または受信される。
ディストリビュータDがシークレット値xを共有しようとしていると仮定する。まず、ボックス10で示すように、ディストリビュータDは、例えばA.Shamir、「How to share a secret」、Communications of the ACM 22(1979年)、612〜613頁に記載されているような標準のリニア・シークレット共有スキームに従って、シークレット値xの共有値sを導き出す。これに加えて、ディストリビュータDは、副次共有値sijとも呼ばれるいわゆる副次共有値も導き出す。これが意味するのは、共有値sごとにディストリビュータDが、それぞれの副次共有値sijを作成することである。この副次共有値sijは、共有値sの作成とは独立の別のリニア・シークレット共有スキームによって実現できる。あるいは、2変数の多項式をもつShamirスキームを使用して、シークレット値xを共有することもできる。さらに、ディストリビュータDは、ここで暗号群G内の簡単なべき乗演算によって検証値
Figure 0003910538
 を導き出す。この検証値
Figure 0003910538
 は、検証テーブルとして解釈される。この検証値
Figure 0003910538
 は、共有値sおよび副次共有値sijの妥当性を検証するために使用可能である。
Figure 0003910538
表1に、各共有値sについての対応する副次共有値sijを示す。特定行のすべての副次共有値sijは、その行のいちばん左の値を共有するが、特定列のすべての副次共有値sijは、いちばん上の値、共有値sを共有する。
値s11、s12...、s1nによって共有される値が、値s10で示され、値s11、s21...、sn1によって共有される値が、s01で示されることに留意されたい。
このプロトコルの途中で、ディストリビュータDのクラッシュ動作またはビザンチン動作を許容することができるのは、利点である。t+1台の正直な参加ネットワーク装置A、B、Cが、シークレット値xの妥当な共有値sを受信したと思う場合、ディストリビュータDからまったく知らされなかった場合でも、他のすべての正直な参加ネットワーク装置A、B、Cは、そのt+1台の参加ネットワーク装置A、B、Cの助けを得て、シークレット値xのそれ自体の共有値sを再構築することができる。
しかしながら、不正直なディストリビュータDが、不正な共有値s、すなわち、組み合わせても固有のシークレット値xをもたらさない共有値sを配布することがそれでも可能である。この問題に対応するために、ディストリビュータDは、すべての参加ネットワーク装置A、B、Cが、シークレット値xについて何も知らなくても、受信した共有値sの妥当性をテストするのを可能にする検証情報を追加する。
ディストリビュータDは、各参加ネットワーク装置A、B、Cに、ボックス20で示すような対応する副次共有値sAi、siA、sBi、siB、sCi、siCを含む共有メッセージsmを送信し、ボックス30で示すような検証値
Figure 0003910538
 を含む検証メッセージvmを同報通信する。この同報通信は、Cachin et al.、「Secureand Efficient Asynchronous Broadcast Protocols」、Joe Kilian編、Advance inCryptology: CRYPTO 2001、Lecture Notes in Computer Science、2139巻、524〜541頁、Springer、2001年に記載されているように、信頼性のある同報通信とすることができる。指標iをもつ参加ネットワーク装置A、B、Cにとって、ディストリビュータDが、この参加ネットワーク装置A、B、Cに送信する副次共有値sijは、表1の行i、列iに相当する。ボックス10、20、および30によって示されるステップは、Dのラベル付きのボックスで示すように、ディストリビュータDによって実施される。
検証メッセージvmは、受信ネットワーク装置A、B、Cがプロトコルの実行中に受信する共有値sおよび副次共有値sijをすべて検証するのに十分な、より多くの情報を含んでいる。
検証メッセージvmは、ボックス40で示すように、参加ネットワーク装置A、B、Cによって受信される。次の諸ステップは、各受信ネットワーク装置A、B、Cによって実施される。
副次共有値sijを含む共有メッセージsmが以前のステップで受信された場合、ボックス50で示すように、検証値
Figure 0003910538
 に基づいて、副次共有値sijの妥当性を判定する。判定結果が肯定的な場合には、ボックス60に示すように、合意値Yを含む合意メッセージを同報通信する。次いで、合意値Y、Y、Yを含むl個(n−t≧l≧2t+1)の合意メッセージが、ボックス70に示されるように、それぞれのネットワーク装置A、B、Cによって受信される。ボックス70およびボックス80のステップもまた、90のラベル付きの矢印で示すように、ボックス40、50、60によって示したステップを実施していない1つの参加ネットワーク装置A、B、Cによって実行することができる。
l個の合意メッセージを受信した場合、各参加ネットワーク装置A、B、Cは、ディストリビュータDによって送信された共有メッセージsm、または他の参加ネットワーク装置A、B、Cから受信した副次共有値sijのどちらかから、共有値sを得る。次いで検証値
Figure 0003910538
 に基づいて、副次共有値sijの妥当性を判定する。これがボックス80に示されている。
コミットメントの使用
各共有値sおよび副次共有値sijに対して、ディストリビュータDは、コミットメント関数C(s)またはC(sij)をそれぞれ計算する。それらのコミットメントには、共有値sおよび副次共有値sijを組み合わせると1つのシークレット値xおよび共有値sが得られる場合には、C(s)(またはC(sij))を組み合わせると1つのシークレットC(x)(またはC(s))が得られるという特徴がある。
1つの例は、Cachin et al.、「Random Oracles inConstantinople: Practical Byzantine Agreement using Cryptography」、in PODC00、Portland、Oregon、2000年で示されたように、素数オーダの有限群の中で指数を使用する、すなわちC(s)=
Figure 0003910538
 とするものである。
しかし、もっと高度なコミットメント、例えばT. Pedersen、「Non-interactiveand information-theoretic secure verifiable secret sharing」、CRYPTO'91、LectureNotes in Computer Science 576巻、129〜140頁、Springer-Verlag、1992年に記載されているようなPedersenコミットメントを使用することも可能である。
それらのコミットメントは、Cachin et al.、「Secure anEfficient Asynchronous Broadcast Protocols」、Joe Kilian編、Advances in Cryptology:CRYPTO 2001、Lecture Notes in Computer Science 2139巻、524〜541頁、Springer、2001年に記載されているように、一貫した同報通信を使用して、すべての参加ネットワーク装置A、B、Cに配布される。すなわち、すべての参加ネットワーク装置ABCは同じコミットメントを受信する。以下で通信の複雑さの最適化について説明するときに示すように、プロトコルに新しいステップを追加して、この同報通信を簡単にすることができる。
プロトコルは、次いで以下のように進む。
1.ディストリビュータDが、指標iをもつ参加ネットワーク装置A、B、Cに、共有値sおよび副次共有値sijをすべて配布し、それぞれのメッセージ中で検証テーブルを同報通信する。
2.ディストリビュータDから上記メッセージを受信した各参加ネットワーク装置A、B、Cが、以下についてテストする。
・その共有値sおよび副次共有値sjiは検証テーブル中のC(s)およびC(sji)に対応するか
・検証テーブル中のC(sij)を組み合わせて1つの固有なC(s)が得られるか
・検証テーブル中のC(sji)を組み合わせてなにか固有な値が得られるか
3.指標iをもつ1つの参加ネットワーク装置A、B、Cが、共有値sおよび副次共有値sjiをすべて受信し、すべてのテストがOKである場合、この装置は1つの「OKメッセージ」を同報通信する。
4.十分に多くの、すなわち少なくとも2t+1個のOKメッセージを受信したとき、指標iをもつそれぞれの参加ネットワーク装置A、B、Cが、ディストリビュータDおよびその共有値sを受け入れる。
5.1つの指標iをもつ参加ネットワーク装置A、B、Cが妥当な共有値sをまだ受信していない場合、その装置はコンプレイン・メッセージをすべての参加ネットワーク装置A、B、Cに送信する。そのようなコンプレイン・メッセージを受信するとすぐ、指標jをもつ受信参加ネットワーク装置A、B、Cは、コンプレインしている指標iをもつ参加ネットワーク装置A、B、Cにその副次共有値sijを送信する。次いでこの参加ネットワーク装置A、B、Cは、検証テーブルを使用して副次共有値sijを検証し、妥当な共有値を組み合わせてsを得る。
通信の複雑さの最適化
ディストリビュータDによって同報通信された検証テーブルを含む検証メッセージvmは、比較的大きいものであり、いくつかの方法で最適化することができる。以下に、より廉価な同報通信プリミティブ、ならびにより小さな検証値を使用するために、どのようにプロトコルが修正できるかを説明する。
・指標iをもつ各参加ネットワーク装置A、B、Cは、表1の行iおよび列iだけ、すなわちすべてのjに対するsijおよびsjiと、対応する検証値C(sij)およびC(sji)を受け取る。さらに、各参加ネットワーク装置ABCは、各行および各列上のハッシュ値、ならびにC(sj0)およびC(s0j)(sj0は、sj1,...,sjnによって共有される値)を受け取る。これらの値は、一貫した形で同報通信されないこともある。すなわち、ディストリビュータDが不正直な場合、すべての参加ネットワーク装置A、B、Cは、異なる値を取得する可能性がある。
・共有メッセージsmおよび検証メッセージvmを受信するとすぐに、各参加ネットワーク装置A、B、Cは、受信したハッシュ値および検証値を検証し、必要なら、すなわちそれらの値が共有値sj0およびs0j、ならびに副次共有値sijおよびsjiに対応しない場合には、検証値C(sj0)、C(s0j)、C(sij)およびC(sji)を再計算する。
・それぞれの参加ネットワーク装置A、B、Cは、指標jをもつ参加ネットワーク装置A、B、Cに対して、副次共有値sijおよびsjiをすべてのハッシュ値および(たぶん再計算済みの)検証値と一緒に送信する。
・それぞれの参加ネットワーク装置A、B、Cは、十分に多くの、すなわち少なくとも2t+1個の、ハッシュ値に一致し前記ハッシュ値に対応する妥当な副次共有値sijおよびsjiを含む上記メッセージを受信するまで待つ。次いで、その装置は、各参加ネットワーク装置A、B、CにOKメッセージを送信する。
・十分に多くの、すなわち少なくとも2t+1個のOKメッセージを受信するとすぐに、各参加ネットワーク装置A、B、Cは、ディストリビュータDを受け入れる。必要なら副次共有値sijから共有値siを計算する。
通信の複雑さを最適化する上記方法は、ディストリビュータDが受け入れられたかどうかの合意を保証するものでないことに留意されたい。参加ネットワーク装置A、B、Cのあるものは、プロトコルを終了していないが、あるものは終了している可能性がある。しかしながら、現在のプロトコルの終わりにビザンチン合意プロトコルを追加し、1つの参加ネットワーク装置A、B、CがディストリビュータDおよびその共有値sを受け入れる場合、指標jをもつすべての正直な参加ネットワーク装置A、B、Cが、ディストリビュータDを受け入れその共有値sを受信するようにするのが直截的である。
同報通信のない場合
同報通信なしでプロトコルを実施し、検証可能なシークレット共有のためのプロトコルを信頼性のある同報通信と統合することが可能である。この方法は、一貫した同報通信が使用されないので、通信負荷および計算負荷がさらに低減するという利点がある。一貫した同報通信には複雑なディジタル署名計算が必要となるが、それが回避される。
図3に、同報通信のない、かかる非同期式の検証可能なシークレット共有スキームの概略図を示す。同じ部品記号または参照番号を、同一または同様な部品を示すのに使用している。
この場合、プロトコルは、3回のメッセージ交換を使用している。
ボックス10に示すように、ディストリビュータDは、リニア・シークレット共有スキームを適用することにより、シークレット値xの共有値sおよび副次共有値sijを導き出す。さらに、ディストリビュータDは、共有値sおよび副次共有値sijの妥当性の検証に使用可能な検証値
Figure 0003910538
 を導き出す。次のステップ、ボックス22で、対応する副次共有値sAi、siA、sBi、siB、sCi、siCと検証値
Figure 0003910538
 とを含む第1のメッセージ(1st)が、各参加ネットワーク装置A、B、Cに送信される。
少なくとも2t+1台の参加ネットワーク装置A、B、Cについて、指標iをもつ各参加ネットワーク装置A、B、Cごとに以下のステップi)ないしvii)が実施される。
i)ディストリビュータDから第1のメッセージ(1st:)を受信した、指標iをもつ各参加ネットワーク装置A、B、Cは、ボックス32に示すように、検証値
Figure 0003910538
 に基づいて、i=1,...,nおよびj=1,...,nに対する副次共有値sij、sjiすべての妥当性を判定する。
ii)判定結果が肯定的な場合、指標iをもつ参加ネットワーク装置は、受信した副次共有値sij、sjiから、指標mをもつ他の参加ネットワーク装置A、B、Cと共通の関連した副次共有値sim、smiを導き出す。次いで、ボックス34に示すように、指標iをもつ参加ネットワーク装置は、指標mをもつ各参加ネットワーク装置A、B、Cに、r=1,...,nおよびj=1,...,nに対する検証値
Figure 0003910538
 および関連した副次共有値sim、smiを含む第2のメッセージ(2nd)を送信する。
iii)指標jをもつ1つの参加ネットワーク装置A、B、Cから第2のメッセージ(2nd:)を受信した場合、ボックス42で示すように、指標iをもつ参加ネットワーク装置A、B、Cは、検証値
Figure 0003910538
 に基づいて、受信した副次共有値sij、sjiの妥当性を判定する。
iv)ボックス44に示すように、2t+1個の受信した第2のメッセージ(2nd:)に対する判定結果が肯定的な場合には、ボックス46に示すように、検証値
Figure 0003910538
 および関連した副次共有値sim、smiを含む第3のメッセージ(3rd)が、指標mをもつ各参加ネットワーク装置A、B、Cに送信される。第1のメッセージ(1st:)が受信されない場合には、92のラベル付きの矢印で示すように、関連した副次共有値sim、smiは、受信した第2のメッセージ(2nd:)から導き出される。
v)第3のメッセージ(3rd:)を、指標jをもつ1つの参加ネットワーク装置A、B、Cから受信した場合、ボックス52に示すように、検証値
Figure 0003910538
 に基づいて受信した副次共有値sij、sjiの妥当性を判定する。
vi)ボックス54に示すように、t+1個の受信した第3のメッセージ(3rd:)について判定結果が肯定的で、第3のメッセージ(3rd)をまだ送信していない場合には、ボックス56に示すように、検証値
Figure 0003910538
 および関連した副次共有値sim、smiを含む1つの第3のメッセージ(3rd)が指標mをもつ各参加ネットワーク装置A、B、Cに送信される。第1のメッセージ(1st:)をまだ受信していない場合には、受信した第3のメッセージ(3rd:)について94のラベル付きの矢印で示すように、関連した副次共有値sim、smiが、受信した第2または第3のメッセージ(2nd:、3rd:)から導き出される。
vii)ボックス58に示すように、2t+1個の受信した第3のメッセージについて判定結果が肯定的な場合には、ボックス80に示すように、共有値sが、受信した第1、第2、または第3のメッセージ(1st:、2nd:、3rd:)から導き出される。これは、ディストリビュータDからの共有値sが受け入れられたことを意味する。
このより効率の良いプロトコルを、コミットメントを使用する方法、および通信の複雑さを最適化する方法と組み合わせることができる。その結果もたらされるプロトコルには、通信および計算の複雑さがさらに低減するという利点がある。それにはまた、ディストリビュータDが受け入れられたかどうかの合意を確実にし、その結果、他のすべての参加ネットワーク装置A、B、Cが終了する場合に限って、各参加ネットワーク装置A、B、Cが、終了するという利点がある。
複合的な敵構造
破壊されたnのうちのtを固定閾値にする代わりに、現実の世界の構造を反映させることにより柔軟性をより高めることが可能である。
例えば、敵がある種のオペレーティング・システムをもつすべての参加ネットワーク装置を制御できる場合もあり、あるいは敵がシステム管理者を買収して特定のサイトのすべての参加ネットワーク装置に対するアクセス権を取得する場合もある。敵構造は、かかる攻撃スキームに対処している。
敵構造Tを定義するには、システムがその破壊を許容すべきあらゆるパーティの連携、例えば同じオペレーティング・システムをもつすべての参加ネットワーク装置の連携を定義しなければならない。そうした場合、これらの集合すべての集合が敵構造Tになる。
図4は、構造化された形で分布する19サイトの参加ネットワーク装置P〜P19のシナリオ、すなわち各参加ネットワーク装置P〜P19が、オペレーティング・システムOS−1〜OS−4を有し、国C1〜C4内にロケーションを有することを示すものである。従来のnのうちのtという構造によって、6台の(ビザンチン)障害をもつ参加ネットワーク装置からなるどんな集合も、許容することができる。対応する敵構造を使用して、1つのオペレーティング・システムおよび1つのロケーションの同時障害を許容することができる。この例では、これは最高10台までの参加ネットワーク装置(例えば、第4の国C4内の、または第1のオペレーティング・システムOS−1をもつ参加ネットワーク装置すべての障害)となることがあり、あるいは破壊の分布が良い場合、すなわち4台の参加ネットワーク装置がすべての国とすべてのオペレーティング・システムをカバーする場合には、4台未満となることもある。
シークレットxを共有するためのプロトコルでは、いくつかの種類の障害が同時に起こる可能性がある。例えば、クラッシュ障害CF、ビザンチン障害BF、およびリンク障害LFの間では違いがある。これにより、より大きい障害の全体数が許容される。
本発明は、ハードウェア、ソフトウェア、またはハードウェアとソフトウェアの組合せの形で実現することができる。どのようなコンピュータ・システム(または本明細書に記載の方法を実施するようになされた他の機器)にも適用可能である。典型的なハードウェアとソフトウェアの組合せは、ロードされ実行されると、本明細書に記載の方法を実行するようにコンピュータ・システムを制御するコンピュータ・プログラムを備える汎用コンピュータ・システムであろう。本発明はまた、本明細書に記載の方法の実施を可能にするすべての特徴を備え、(コンピュータ・システムにロードされたとき)これらの方法を実行することのできるコンピュータ・プログラム製品に埋め込むこともできる。
コンピュータ・プログラム手段あるいは本発明の文脈中のコンピュータ・プログラムは、情報処理能力を有するシステムに、そのまま、あるいはa)他の言語、コードまたは表記法への変換、b)異なる材料形態への複製のいずれかまたは両方の後で、特定の機能を実施させるように意図した命令セットの任意の言語、コード、または表記法による任意の表現を意味する。
複数の参加ネットワーク装置およびディストリビュータを含む典型的な非同期式ネットワークを示す図である。 非同期式の検証可能なシークレット共有スキームの概略図である。 同報通信なしの非同期式の検証可能なシークレット共有スキームの概略図である。 参加ネットワーク装置が構造化された形で分布するシナリオを示す図である。

Claims (9)

  1. 非同期式ネットワークを介してn台の参加ネットワーク装置(A、B、C)間でシークレット値(x)を共有する方法であって、前記n台の参加ネットワーク装置(A、B、C)が、t台の障害のある装置と、前記シークレット値(x)を再構築することが可能なk台の副次装置とを備え、t<n/3かつk<nであり、前記シークレット値(x)がディストリビュータ(D)によって提供され、
    前記ディストリビュータ(D)が、リニア・シークレット共有スキームを適用することにより前記シークレット値(x)の共有値(s)および副次共有値(sij)を導き出し、前記共有値(s)および前記副次共有値(sij)の妥当性の検証のために使用可能な検証値
    Figure 0003910538
     を導き出すステップと、
    各参加ネットワーク装置(A、B、C)に対して前記対応する副次共有値(sAi、siA、sBi、siB、sCi、siC)を含む共有メッセージを送信するステップと、
    前記検証値
    Figure 0003910538
     を含む検証メッセージを同報通信するステップと、
    少なくともl台(n−t≧l≧2t+1)の参加ネットワーク装置(A、B、C)が前記検証値
    Figure 0003910538
     を含む前記検証メッセージを受信し、各参加ネットワーク装置(A、B、C)について、以下のステップ1)ないし4)、すなわち
    1)副次共有値(sij)を含む前記共有メッセージを受信した場合に、前記検証値
    Figure 0003910538
     に基づいて前記副次共有値(sij)の妥当性を判定するステップと、
    2)判定結果が肯定的な場合に、合意値(Y)を含む合意メッセージを同報通信するステップと、
    3)前記合意値(Y、Y、Y)を含むl個の合意メッセージを受信するステップと、
    4)l個の合意メッセージを受信した場合に、前記ディストリビュータ(D)によって送信された前記共有メッセージ、または参加ネットワーク装置(A、B、C)から受信した副次共有値(sij)のいずれかから前記共有値(s)を得て、前記検証値
    Figure 0003910538
     に基づいて前記副次共有値(sij)の妥当性を判定するステップと
    を実施するステップとを含む方法。
  2. 非同期式ネットワークを介してn台の参加ネットワーク装置(A、B、C)間でシークレット値(x)を共有する方法であって、前記n台の参加ネットワーク装置(A、B、C)が、t台の障害のある装置と、前記シークレット値(x)を再構築することが可能なk台の副次装置とを備え、t<n/3かつk≦n−tであり、前記シークレット値(x)がディストリビュータ(D)によって提供され、
    前記ディストリビュータ(D)が、リニア・シークレット共有スキームを適用することにより前記シークレット値(x)の共有値(s)および副次共有値(sij)を導き出し、前記共有値(s)および前記副次共有値(sij)の妥当性の検証のために使用可能な検証値
    Figure 0003910538
     を導き出すステップと、
    各参加ネットワーク装置(A、B、C)に対して前記対応する副次共有値(sAi、siA、sBi、siB、sCi、siC)と前記検証値
    Figure 0003910538
     とを含む第1のメッセージを送信するステップと、
    少なくとも2t+1台の参加ネットワーク装置(A、B、C)について、各参加ネットワーク装置(A、B、C、指標i付き)ごとに以下のステップ、すなわち
    i)副次共有値(sij、sji)を含む前記第1のメッセージを受信した場合に、前記検証値
    Figure 0003910538
     に基づいて前記副次共有値(sij、sji)の妥当性を判定するステップと、
    ii)判定結果が肯定的な場合に、前記受信した副次共有値(sij、sji)から、他の参加ネットワーク装置(A、B、C、指標m付き)と共通の関連した副次共有値(sim、smi)を導き出し、各参加ネットワーク装置(A、B、C、指標m付き)に対して前記検証値
    Figure 0003910538
     および前記関連した副次共有値(sim、smi)を含む第2のメッセージを送信するステップと、
    iii)1台の参加ネットワーク装置(A、B、C、指標j付き)から前記第2のメッセージを受信した場合に、前記検証値
    Figure 0003910538
     に基づいて前記受信した副次共有値(sij、sji)の妥当性を判定するステップと、
    iv)2t+1個の受信した第2のメッセージについて判定結果が肯定的な場合に、各参加ネットワーク装置(A、B、C、指標m付き)に対して前記検証値
    Figure 0003910538
     および前記関連した副次共有値(sim、smi)を含む第3のメッセージを送信し、第1のメッセージを受信していない場合には、前記受信した第2のメッセージから前記関連した副次共有値(sim、smi)を導き出すステップと、
    v)1台の参加ネットワーク装置(A、B、C、指標j付き)から前記第3のメッセージを受信した場合に、前記検証値
    Figure 0003910538
     に基づいて前記受信した副次共有値(sij、sji)の妥当性を判定するステップと、
    vi)t+1個の受信した第3のメッセージについて判定結果が肯定的で、かつ第3のメッセージをまだ送信していない場合に、各参加ネットワーク装置(A、B、C、指標m付き)に対して前記検証値
    Figure 0003910538
     および前記関連した副次共有値(sim、smi)を含む1つの第3のメッセージを送信し、第1のメッセージをまだ受信していない場合には、前記受信した第2または第3のメッセージから前記関連した副次共有値(sim、smi)を導き出すステップと、
    vii)2t+1個の受信した第3のメッセージについて判定結果が肯定的な場合に、前記受信した第1、第2、または第3のメッセージから前記共有値(s)を導き出すステップと
    を実施するステップとを含む方法。
  3. ステップ1)が、各参加ネットワーク装置(A、B、C)に対してその副次共有値(sij)および追加の検証値を送信するステップと、l個の追加の検証値を受信するとすぐ、前記受信した追加の検証値に基づいて前記検証値
    Figure 0003910538
     を変更するステップとをさらに含む、請求項1に記載の方法。
  4. 参加ネットワーク装置(A、B、C)から受信した副次共有値(sij)から前記共有値(s)を得るステップが、コンプレイン・メッセージをすべての参加ネットワーク装置に同報通信するステップと、前記コンプレイン・メッセージに応答して送信された前記副次共有値(sij)を受信するステップとをさらに含む、請求項1に記載の方法。
  5. 前記検証値
    Figure 0003910538
     が、前記リニア・シークレット共有スキームに対応する暗号群Gから共通数(g)を選択すること、および前記選択された共通数(g)を、前記副次共有値(S ij )のべき乗によって、前記検証値
    Figure 0003910538
     を導き出すことにより導き出される、請求項1ないし4のいずれか一項に記載の方法。
  6. 前記検証値
    Figure 0003910538
     がハッシュ関数を使用して導き出されるハッシュ値が一致することにより取得される、請求項1ないし5のいずれか一項に記載の方法。
  7. いくつかのシークレット値が共有値(s )および副次共有値(s ij )として同時に共有される、請求項1ないし6のいずれか一項に記載の方法。
  8. 請求項1ないし7のいずれか一項に記載の方法をコンピュータに実行させるプログラム。
  9. 請求項1ないし7のいずれか一項に記載の方法をコンピュータに実行させるプログラムを記録した、コンピュータ可読記録媒体。
JP2002584530A 2001-03-16 2002-02-15 潜在的に非同期式のネットワーク中でシークレットを検証可能に共有する方法 Expired - Fee Related JP3910538B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP01106633 2001-03-16
PCT/IB2002/000468 WO2002087145A1 (en) 2001-03-16 2002-02-15 Method of verifiably sharing a secret in potentially asynchronous networks

Publications (2)

Publication Number Publication Date
JP2004525466A JP2004525466A (ja) 2004-08-19
JP3910538B2 true JP3910538B2 (ja) 2007-04-25

Family

ID=8176814

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002584530A Expired - Fee Related JP3910538B2 (ja) 2001-03-16 2002-02-15 潜在的に非同期式のネットワーク中でシークレットを検証可能に共有する方法

Country Status (6)

Country Link
US (1) US7389416B2 (ja)
EP (1) EP1368928B1 (ja)
JP (1) JP3910538B2 (ja)
KR (1) KR100570133B1 (ja)
DE (1) DE60207691T2 (ja)
WO (1) WO2002087145A1 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7594275B2 (en) * 2003-10-14 2009-09-22 Microsoft Corporation Digital rights management system
US7444514B2 (en) * 2003-10-15 2008-10-28 International Business Machines Corporation Group key exchanges with failures
US20070094494A1 (en) * 2005-10-26 2007-04-26 Honeywell International Inc. Defending against sybil attacks in sensor networks
EP1839405B1 (en) * 2005-10-27 2013-04-24 NDS Limited Network security system
US8682842B2 (en) * 2008-12-09 2014-03-25 Yahoo! Inc. System and method for logging operations
WO2011136806A1 (en) 2010-04-30 2011-11-03 Hewlett-Packard Development Company, L.P. Ionic devices with interacting species
US9292671B1 (en) * 2012-08-31 2016-03-22 Emc Corporation Multi-server authentication using personalized proactivization
US9467451B1 (en) 2013-03-13 2016-10-11 Hrl Laboratories, Llc Generic proactively-secure secret-sharing protocol from any suitable honest-majority secret-sharing protocol
US9614676B1 (en) 2013-03-13 2017-04-04 Hrl Laboratories, Llc Cryptographically-secure packed proactive secret sharing (PPSS) protocol
US9536114B1 (en) 2013-03-13 2017-01-03 Hrl Laboratories, Llc Secure mobile proactive multiparty computation protocol
US9450938B1 (en) 2013-03-13 2016-09-20 Hrl Laboratories, Llc Information secure proactive multiparty computation (PMPC) protocol with linear bandwidth complexity
US9558359B1 (en) * 2013-03-13 2017-01-31 Hrl Laboratories, Llc Information theoretically secure protocol for mobile proactive secret sharing with near-optimal resilience
US9787472B1 (en) 2013-03-13 2017-10-10 Hrl Laboratories, Llc Information secure protocol for mobile proactive secret sharing with near-optimal resilience
JP6034927B1 (ja) * 2015-07-27 2016-11-30 日本電信電話株式会社 秘密計算システム、秘密計算装置、およびプログラム
CN108155989B (zh) * 2017-12-28 2020-11-03 贵州玛迩比特通信科技有限公司 一种多用户认证方法及系统
WO2019157475A1 (en) 2018-02-12 2019-08-15 Ripple Labs Inc. Byzantine agreement in open networks
US11240010B2 (en) * 2018-02-12 2022-02-01 Ripple Labs Inc. Random oracles in open networks
US11316673B2 (en) 2020-09-11 2022-04-26 Seagate Technology Llc Privacy preserving secret sharing from novel combinatorial objects
US11362816B2 (en) 2020-09-11 2022-06-14 Seagate Technology Llc Layered secret sharing with flexible access structures

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2534430B2 (ja) * 1992-04-15 1996-09-18 インターナショナル・ビジネス・マシーンズ・コーポレイション フォ―ルト・トレランスのあるコンピュ―タ・システム出力の合致を達成するための方法
JP3604737B2 (ja) 1994-07-29 2004-12-22 キヤノン株式会社 複数の情報処理装置を有する通信システムにおける秘密情報処理方法及びその通信システム
JPH10198272A (ja) * 1996-12-27 1998-07-31 Canon Inc 階層を有する鍵管理方法及び暗号システム、分散デジタル署名システム
JP3328597B2 (ja) 1999-01-25 2002-09-24 日本電信電話株式会社 分散乗算装置及びそのプログラム記録媒体
US6754845B2 (en) * 2000-01-14 2004-06-22 International Business Machines Corporation Method of achieving optimistic multiple processor agreement in potentially asynchronous networks
US6931431B2 (en) * 2001-01-13 2005-08-16 International Business Machines Corporation Agreement and atomic broadcast in asynchronous networks
EP1418750A1 (en) * 2002-11-11 2004-05-12 STMicroelectronics Limited Security integrated circuit
US7327847B2 (en) * 2003-01-29 2008-02-05 International Business Machines Corporation Method for distributed computation of RSA inverses in asynchronous networks

Also Published As

Publication number Publication date
US7389416B2 (en) 2008-06-17
US20040139146A1 (en) 2004-07-15
KR100570133B1 (ko) 2006-04-12
WO2002087145A1 (en) 2002-10-31
EP1368928B1 (en) 2005-11-30
DE60207691T2 (de) 2006-07-06
KR20030085002A (ko) 2003-11-01
DE60207691D1 (de) 2006-01-05
EP1368928A1 (en) 2003-12-10
JP2004525466A (ja) 2004-08-19

Similar Documents

Publication Publication Date Title
JP3910538B2 (ja) 潜在的に非同期式のネットワーク中でシークレットを検証可能に共有する方法
Syta et al. Scalable bias-resistant distributed randomness
Miao et al. Secure multi-server-aided data deduplication in cloud computing
US6931431B2 (en) Agreement and atomic broadcast in asynchronous networks
US20240064008A1 (en) Computer implemented method and system for transferring control of a digital asset
US6587946B1 (en) Method and system for quorum controlled asymmetric proxy encryption
Vassantlal et al. Cobra: Dynamic proactive secret sharing for confidential bft services
EP0981874A1 (en) Optimal-resilience, proactive, public-key cryptographic system and method
US20080025510A1 (en) Incorporating shared randomness into distributed cryptography
JP2021510954A (ja) デジタル署名されたデータを取得するためのコンピュータにより実施される方法及びシステム
Liu Linear (k, n) secret sharing scheme with cheating detection
Lee et al. Secure key transfer protocol based on secret sharing for group communications
KR20230078767A (ko) 비밀 공유의 재배포
Yurek et al. Long live the honey badger: Robust asynchronous {DPSS} and its applications
Verma et al. A hybrid-based verifiable secret sharing scheme using Chinese remainder theorem
CN115941163A (zh) 一种区块链上实现分布式密钥生成的方法、系统和节点
Kate et al. Flexirand: Output private (distributed) vrfs and application to blockchains
CN110784318B (zh) 群密钥更新方法、装置、电子设备、存储介质及通信系统
WO2000019652A1 (en) Distributed shared key generation and management using fractional keys
Cachin State machine replication with Byzantine faults
CN115941164A (zh) 一种区块链上实现分布式密钥生成的方法、系统和节点
Saad et al. Self-healing computation
Wang et al. A new construction on randomized message-locked encryption in the standard model via UCEs
Momose et al. On the Security of KZG Commitment for VSS
Raynal Randshare: Small-scale unbiasable randomness protocol

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060620

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20060912

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20060920

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20061117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061213

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20061117

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070116

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20070116

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070124

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110202

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120202

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130202

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130202

Year of fee payment: 6

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130202

Year of fee payment: 6

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S202 Request for registration of non-exclusive licence

Free format text: JAPANESE INTERMEDIATE CODE: R315201

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130202

Year of fee payment: 6

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130202

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140202

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: R3D02