JP4000900B2 - Cryptographic method with authentication, decryption method with authentication, verification method and device, program, and computer-readable recording medium - Google Patents

Cryptographic method with authentication, decryption method with authentication, verification method and device, program, and computer-readable recording medium Download PDF

Info

Publication number
JP4000900B2
JP4000900B2 JP2002134298A JP2002134298A JP4000900B2 JP 4000900 B2 JP4000900 B2 JP 4000900B2 JP 2002134298 A JP2002134298 A JP 2002134298A JP 2002134298 A JP2002134298 A JP 2002134298A JP 4000900 B2 JP4000900 B2 JP 4000900B2
Authority
JP
Japan
Prior art keywords
signature
ciphertext
plaintext
key
decryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002134298A
Other languages
Japanese (ja)
Other versions
JP2003333035A (en
Inventor
正幸 阿部
秀樹 今井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002134298A priority Critical patent/JP4000900B2/en
Publication of JP2003333035A publication Critical patent/JP2003333035A/en
Application granted granted Critical
Publication of JP4000900B2 publication Critical patent/JP4000900B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、認証付暗号方法及び認証付復号方法及び検証方法及び装置及びプログラム及びコンピュータが読み取り可能な記録媒体に係り、特に、電気通信システムにおける暗号及びディジタル署名技術の、暗号文の受信者が該暗号文または、対応する平文の作成者を認証するシステムでの、暗号化/復号及び認証を行うための認証付暗号方法及び認証付復号方法及び検証方法及び装置及びプログラム及びコンピュータが読み取り可能な記録媒体に関する。
【0002】
【従来の技術】
二者間の暗号通信で、受信者が受信文書の完全性を検証する方法が従来より知られている。受信者と送信者が他者に秘密の鍵を共有している、いわゆる共通鍵設定方法においては、送信する暗号文にデータ認証子(Message Authentication Code:MAC) を添付することでデータ認証が可能である。事前の鍵共有が困難な状況においては、公開鍵暗号に基づいてディジタル署名を送信文に付与することによってデータ認証を行うことが一般的である。しかしながら、公開鍵暗号に基づくディジタル署名を添付することは、通信の当事者以外の第三者にとっても、送信者がある平文を送信したことについて証拠性を持ってしまう。指定検証者署名は、署名が指定した検証者から第三者に流通したとしても、第三者にとっては、それが元々の発信者の署名であるのか、その検証者が偽造した署名であるのか区別がつかないという特性を持つ。その特性ゆえ、第三者にとっては、発信者の署名としての証拠性を持たない署名方法である。
従来の技術として、Cramer等による「Disignated Verifier 署名方法("Proofs of Partial Knowledge and Simplified Design of Witncess Hiding Proofs" Crypto'94, LNCS 839, pp.174-187, Springer Verlag, 1994)について説明する。
pi ,qi をそれぞれ大きな素数とし、qi はpi を割り切るものとする。gi をpi の位数qi の部分群の生成源とする。
【0003】
xi ∈Zqi
を秘密鍵、
yi =gi xi mod pi
をと共に公開鍵とする。
【0004】
2個の公開鍵(yj ,gj ,qj ,pj )j=0,1のうち、いずれかのyi に関して、対応する秘密鍵xi を知る署名者は、以下の手順で文書mに対する署名を生成する。以下の例では、一般性を失うことなく、i=0であるする。Hをq0 ,q1 うち大きい方のビット数の出力域を持つハッシュ関数とする。集合αから一つの元のβをランダムに選ぶ行為をβ←αと書くことにする。
【0005】
▲1▼ 以下を実行する。
【0006】
(a) s1 ←Zqi
(b) c1 ←{0,1}L
(c) z1 :=g1 s1y1 c1 mod p1
▲2▼ r0 ←Zq0
▲3▼ z0 :=gi ri mod p0
▲4▼ c:=H(z0 ‖z1 ‖m)
▲5▼ c0 =c×c1 (但し、×は論理積)
▲6▼ s0 :=r0 −c0 ・x0 mod q0
▲7▼ (c0 ,s0 ,c1 ,s1 )を出力する。
【0007】
文書mに対する署名(c0 ,s0 ,c1 ,s1 )は、以下が成り立つとき、正しい署名と認める。
【0008】
c0 ×c1 =H(g00s0,y0 co mod p0 ‖g1 s1yi ci mod p1 ‖m)
(但し、×は論理積)
上記の従来の方法によれば、署名の受信者は、署名者がどの公開鍵に対応する秘密鍵を保持しているのかを見分けることはできない。従って、第三者にとっては、発信者の署名としての証拠性を持たない署名方法である。上記の私的検証者署名を用いて、暗号文に署名を付けることによって、受信者は受信した文書が発信者の意図したものであることを確認できる。
【0009】
【発明が解決しようとする課題】
しかしながら、上記従来のDesignated Verifier署名に基づく方法では、第三者にとって、送信者あるいは指定検証者のいずれかが生成した署名としての証拠性を有している。よって、指定検証者の意図的な署名漏洩に対しては、送信者はその署名を否認できるが、第三者が何等かの手段で入手した署名に対しては、送信者及び指定検証者の両者が共にその送受信内容を否認することはできない。
本発明は、上記の点に鑑みなされたもので、送受信者が第三者に対して通信内容の否認が可能であるが、正当な受信者はメッセージ認証が可能であると共に、必要に応じて送信者の否認可能性を取り消しできる、認証付暗号方法及び認証付復号方法及び検証方法及び装置及びプログラム及びコンピュータが読み取り可能な記録媒体を提供することを目的とする。
【0010】
【課題を解決するための手段】
図1は、本発明の原理を説明するための図である。
【0011】
本発明(請求項1)は、暗号文の受信者が該暗号文または、対応する平文の作成者を認証する認証付暗号方法において、
送信者の署名鍵sks、暗号鍵pkrとし、該暗号化鍵pkrが公開鍵として公開されている場合に、公開鍵暗号方式を用いて二者間の暗号通信を行う際に、受信者を特定する固有値をIDbとして暗号文cを生成する場合に、
冗長化手段が、平文mを冗長化し、冗長平文m’を得るステップ(ステップ1)と、
乱数生成手段が、乱数種sから乱数rを生成するステップ(ステップ2)と、
攪乱子生成手段が、受信者を特定する固定値IDbと乱数及び冗長平文m’から攪乱子hを作成するステップ(ステップ3)と、
署名生成手段が、攪乱子hに対する署名σを署名鍵sksを用いて生成するステップ(ステップ)と、
暗号化手段が、(m,r,σ)を暗号鍵pkrを用いて暗号化し、暗号文cを得るステップ(ステップ5)と、を行う
【0012】
図2は、本発明の原理構成図である。
【0013】
本発明(請求項2)は、暗号文の受信者が該暗号文または、対応する平文の作成者を認証する認証付暗号装置10であって、
送信者の署名鍵sks、暗号鍵pkrとし、該暗号化鍵pkrが公開鍵として公開されている場合に、公開暗号方式を用いて二者間の暗号通信を行う際に、受信者を特定する固有値をIDbとして暗号文cを生成する場合に、
平文mを冗長化し、冗長平文m’を得る冗長化手段11と、
乱数種sから乱数rを生成する乱数生成手段12と、
受信者を特定する固定値IDbと乱数及び冗長平文m’から攪乱子hを作成する攪乱子生成手段13と、
攪乱子hに対する署名σを署名鍵sksを用いて生成する署名生成手段14と、
(m,r,σ)を暗号鍵pkrを用いて暗号化し、暗号文cを得る暗号化手段15と、
を有する。
【0014】
本発明(請求項3)は、コンピュータに、請求項2記載の認証付暗号装置の機能を実行させる認証付暗号プログラムである
【0015】
本発明(請求項4)は、請求項3記載の認証付暗号プログラムを格納したコンピュータが読み取り可能な記録媒体である
【0016】
本発明(請求項5)は、暗号文の受信者が該暗号文または対応する平文の作成者を認証する認証付暗号システム上で実行される認証付復号方法において、
受信者の復号鍵skr、署名検証鍵pksとし、該署名検証鍵pksが公開鍵として公開されている場合に、公開暗号方式を用いて二者間の暗号通信を行う際に、受信者を特定する固有値をIDbとして暗号文cを復号する場合に、
復号手段が、暗号文cを復号鍵skrを用いて復号し、復号の過程で不正な暗号文と判断された場合には処理を中止し、正当な暗号文である場合には復号結果(m,r,σ)を得る復号ステップ(ステップ6)と、
冗長化手段が、復号結果のmを冗長化した冗長平文m’を得る冗長化ステップ(ステップ7)と、
攪乱子生成手段が、受信者と特定する固定値IDbを乱数rと冗長平文m’から攪乱子hを作成する攪乱子生成ステップ(ステップ8)と、
署名検証手段が、署名σが攪乱子hに対する正しい署名であることを署名検証鍵pksを用いて検証し、検証に合格すれば、mを正当なメッセージとし、不合格であればmは不正なメッセージであると判断する署名検証ステップ(ステップ9)と、を行う。
【0017】
本発明(請求項6)は、暗号文の受信者が該暗号文または、対応する平文の作成者を認証する認証付暗号システムにおける、認証付復号装置20であって、
受信者の復号鍵skr、署名検証鍵pksとし、該署名検証鍵pksが公開鍵として公開されている場合に、公開暗号方式を用いて二者間の暗号通信を行う際に、受信者を特定する固有値をIDb として暗号文cを復号する場合に、
暗号文cを復号鍵skrを用いて復号し、復号の過程で不正な暗号文と判断された場合には処理を中止し、正当な暗号文である場合には復号結果(m,r,σ)を得る復号手段21と、
復号結果のmを冗長化した冗長平文m’を得る冗長化手段22と、
受信者と特定する固定値IDb を乱数rと冗長平文m’から攪乱子hを作成する攪乱子生成手段23と、
署名σが攪乱子hに対する正しい署名であることを署名検証鍵pksを用いて検証し、検証に合格すれば、mを正当なメッセージとし、不合格であればmは不正なメッセージであると判断する署名検証手段24と、を有する。
【0018】
本発明(請求項7)は、コンピュータに、請求項6記載の認証付復号装置の機能を実現させる認証付復号プログラムである。
【0019】
本発明(請求項8)は、請求項7記載のプログラムを格納したコンピュータが読み取り可能な記録媒体である。
【0021】
本発明(請求項)は、暗号文の否認性が取り消された平文と署名の対に対する検証方法において、
乱数生成手段が、公開されている乱数種sから乱数rを生成するステップと、
冗長化手段が、復号により得られた平文mを冗長化し、冗長平文m’を得るステップと、
攪乱子生成手段が、送信者を特定する固定値IDbと、乱数及び冗長平文m’から攪乱子hを作成するステップと、
署名検証手段が、請求項5の復号ステップにより得られた署名σが攪乱子hに対する署名であるか否かを検証鍵pksを用いて検証するステップと、
を行う
【0022】
本発明(請求項10)は、暗号文の否認性が取り消された平文と署名の対に対する検証装置であって、
公開されている乱数種sから乱数rを生成する乱数生成手段と、
復号により得られた平文mを冗長化し、冗長平文m’を得る冗長化手段と、
送信者を特定する固定値IDbと、乱数及び冗長平文m’から攪乱子hを作成する攪乱子生成手段と、
請求項6の復号手段により得られた署名σが攪乱子hに対する署名であるか否かを検証鍵pksを用いて検証する署名検証手段と、を有する。
【0023】
本発明(請求項11)は、コンピュータに、請求項10記載の機能を実現させる検証プログラムである
【0024】
本発明(請求項12)は、請求項11記載の検証プログラムを格納したコンピュータが読み取り可能な記録媒体である。
【0025】
上記のように、本発明では、受信者が公開鍵などの受信者を特定する識別子をIDb とする。平文mを冗長化した冗長平文m’を作成する。十分長い乱数rを短い乱数種sから生成し、乱数rによって、IDb 及び冗長平文m’を攪乱して攪乱子hを作成し、hに対して署名σを付与し(ここで用いる署名方法は、適応的選択文攻撃に対して潜在的偽造不可能(EUF−CMA)な方法とする)、m,r,σの組を暗号化して(ここで用いる暗号化方法は、適応的選択暗号文攻撃に対して識別不可能(IND−CCA)な方法)受信者に送信する。
【0026】
また、攪乱子生成時に、(r,IDb ,m’)から作成したhに対して、同一のhとなる異なる(r’,IDb ’,m”)(但し、m”も同じ冗長性を持つものとする)を作成することが容易である手段とする。
【0027】
暗号文の否認可能性を取り消す場合には、乱数種sを公開する。
【0028】
さらに、否認性が取り消された暗号文について、復号化を行った後、得られた平文−署名対に対して、平文m、署名σを検証する際には、送信者と同じ乱数生成方法によって、公開された乱数種sから乱数rを復元し、冗長平文m’を平文mから作成し、(r,IDb ,m’)から攪乱子hを作成して、署名σが攪乱子hに対する正しい署名であるか否かを送信者の公開鍵pksを用いて検証する。
これにより、送信者の署名は攪乱子に対して付与されており、攪乱子は、(r,IDb ,m’)から作成した攪乱子hに対して、同一の攪乱子hとなる、異なる(r’,IDb ’,m”)を作成することが容易であるので、結局、署名は、メッセージmに対する証拠性を持たない。
【0029】
一方、IND−CCAな暗号方式は、平文を知るものしかその暗号文を作成することができなという特徴を有する。よって、受信した暗号文を復号した結果、送信者Aによる、受信者B宛の、第三者には偽造不可能な署名が得られたことにより、受信暗号文を復号できる正当な受信者だけは、得られた平文が送信者Aによって作成されたものであることを納得することができる。
【0030】
さらに、乱数種sが公開された場合、(r,IDb ,m’)から作成した攪乱子hに対して、同一のhとなる異なる(r’,IDb ’,m”)を作成することは容易であるとしたが、乱数r,r’が十分長い場合には、任意のmに対して冗長平文m”が正しい冗長性を持つように、r’を決めなくてはならないため、そのような特定のr’に対する乱数種s’を求めることは困難であり、署名は(s,IDb ,m)に対する証拠性を持つとみなすことができる。
【0031】
【発明の実施の形態】
以下、図面と共に、本発明の実施の形態について説明する。
【0032】
[第1の実施の形態]
以下の説明において、送信者の署名鍵sks、暗号化鍵pkr、受信者の復号鍵skr、署名検証鍵pksとし、署名検証鍵pksと暗号化鍵pkrが公開鍵として公開されているものとする。また、受信者を特定する固有値をIDb とする。
図3は、本発明の第1の実施の形態における認証暗号化装置の構成を示す。
【0033】
同図に示す暗号化装置10は、平文mを冗長化し、冗長平文m’を得る冗長化部11、乱数種sから乱数rを生成する乱数生成部12、IDb 、乱数r、冗長平文m’から攪乱子hを生成する攪乱子生成部13、攪乱子hに対する署名σを署名鍵sksを用いて生成する署名生成部14、m‖r‖σを暗号化鍵pkrを用いて暗号化し、暗号文cを得る暗号化部15から構成される。
【0034】
図4は、本発明の第1の実施の形態における認証復号装置の構成を示す。
【0035】
同図に示す復号装置20は、暗号文cが入力され、当該暗号文cを復号鍵skrを用いて復号する復号部21、平文mを冗長化し、冗長平文m’を得る冗長化部22、IDb ,r,m’から攪乱子hを作成する攪乱子生成部23、署名σが攪乱子hに対する送信者Aの正しい署名であることを署名検証鍵pksを用いて検証する署名検証部24から構成される。
【0036】
次に、上記の構成における動作を説明する。
【0037】
以下に述べる動作の前提を説明する。
【0038】
送信者Aは、署名鍵sksと暗号化鍵pkrを持ち、pkrは公開されているものとする。送信者Bは、復号鍵skrと署名検証鍵pksを持ち、pksは公開されているものとする。
【0039】
以下で、二項演算子a+bは、a,bのビット毎の排他的論理和であり、a‖bは、結合したビット列を表す。|a|は、aのビット数を表す。受信者を特定できる文字列(氏名、あるいは、公開鍵でもよい)。
【0040】
送信者Aから受信者Bに送信する文書mに対する暗号文は、認証暗号化装置10で作成する。動作は以下の通りである。
【0041】
図5は、本発明の第1の実施の形態における暗号化手順のフローチャートである。
【0042】
ステップ101) 冗長化部11によって、平文mを冗長化し、冗長平文m’を得る。
【0043】
ステップ102) 乱数生成部12によって、乱数種sから乱数rを生成する。
【0044】
ステップ103) 攪乱子生成部13によって、IDb ,r,m’から攪乱子hを作成する。
【0045】
ステップ104) 署名生成部14によって、攪乱子hに対する署名σを署名鍵sksを用いて生成する。
【0046】
ステップ105) 暗号化部15によって、m‖r‖σを暗号化鍵pkrを用いて暗号化し、暗号文cを得る。
【0047】
次に、送信者Aから受信した暗号文が認証復号装置20により復号される。復号の動作は以下の通りである。
【0048】
図6は、本発明の第1の実施の形態における復号化手順のフローチャートである。
【0049】
ステップ201) 復号部21によって、入力された暗号文cを復号鍵skrを用いて復号する。
【0050】
ステップ202) 復号の過程で、不正な暗号文である場合には、処理を中止する。
【0051】
ステップ203) 正当な暗号文である場合には、復号結果m‖r‖σを得る。
【0052】
ステップ204) 冗長化部22によって、平文mを冗長化し、冗長平文m’を得る。
【0053】
ステップ205) 攪乱子生成部23によって、IDb ,r,m’から攪乱子hを生成する。
【0054】
ステップ206) 署名検証部24によって、署名σが攪乱子hに対する送信者Aの正しい署名であることを署名検証鍵pksを用いて検証する。
【0055】
ステップ207) 検証に合格か不合格かを判定し、合格の場合にはステップ208に移行し、不合格の場合にはステップ209に移行する。
【0056】
ステップ208) mを正当なメッセージを判断する。
【0057】
ステップ209) mは不正なメッセージであると判断する。
【0058】
[第2の実施の形態]
本実施の形態では、乱数種sが公開され、暗号文の否認性が取り消された平文mと署名σに対して署名検証を行う場合について説明する。
【0059】
図7は、本発明の第2の一実施の形態における否認性が取り消された場合の署名検証装置の構成を示す。
【0060】
同図に示す署名検証装置30は、復号部21によって得られた平文mが入力されると、平文mを冗長化し、冗長平文m’を得る冗長化部31、公開されている乱数sから乱数rを生成する乱数生成部32、IDb ,r,m’から攪乱子hを生成する攪乱子生成部33、署名σが攪乱子hに対する送信者Aの正しい署名であることを署名検証鍵pksを用いて検証する検証部34から構成される。
【0061】
上記の構成における否認性が取り消された平文mと署名σに対する署名検証の動作を説明する。
【0062】
図8は、本発明の第2の実施の形態における否認性が取り消された平文mと署名σに対する署名検証手順のフローチャートである。
【0063】
ステップ301) 冗長化部31によって、平文mを冗長化し、冗長平文m’を得る。
【0064】
ステップ302) 乱数生成部32によって、公開されている乱数種sから乱数rを生成する。
【0065】
ステップ303) 攪乱子生成部33によって、IDb ,r,m’から攪乱子hを生成する。
【0066】
ステップ304) 署名検証部34によって、署名σが攪乱子hに対する送信者Aの正しい署名であることを署名検証鍵pksを用いて検証する。
【0067】
ステップ305) 検証の結果が合格である場合には、ステップ306に移行し、不合格である場合にはステップ307に移行する。
【0068】
ステップ306) mを正当なメッセージであると判断する。
【0069】
ステップ307) mは不正なメッセージであると判断する。
【0070】
【実施例】
以下、図面と共に、本発明の実施例を説明する。
【0071】
[第1の実施例]
本実施例の装置構成は、前述の図3、図4、図7と同様である。但し、以下の実施例では、冗長化部11、22、31をビット結合手段を用いるものとし、攪乱子生成部13、23、33をビット結合手段と排他的論理和手段を用いて構成する。
【0072】
図9は、本発明の第1の実施例の冗長化部の構成を示し、図10は、本発明の第1の実施例の攪乱子生成部の構成を示す。
【0073】
上記の構成を用いた場合の動作を説明する。なお、送信者Aは、署名鍵sksと、暗号化鍵pkrを持ち、pkrは公開されているものとする。また、受信者Bは、復号鍵skrと署名検証鍵pksを持ち、pksは公開されているものとする。
【0074】
送信者Aから受信者Bに送信する文書mに対する暗号文は、以下の示す認証暗号化装置で作成する。
【0075】
以下に、認証暗号装置10での動作を説明する。
【0076】
▲1▼ 冗長化部11であるビット結合部41において、入力平文mに80ビットの0…0を結合し、その結果を冗長平文m’とする。
【0077】
▲2▼ 乱数生成部12によって、乱数種sから|m’|+|IDb |ビットの乱数rを生成する。
【0078】
▲3▼ 攪乱子生成部13である、ビット結合手段51と排他的論理和手段52により、h=(m’|IDb )×r(但し、+は、排他的論理和を示す)を計算する。
【0079】
▲4▼ 署名生成部14によって、攪乱子hに対する署名σを署名鍵sksを用いて生成する。
【0080】
▲5▼ 暗号化部15によって、m‖r‖σを暗号鍵pkrを用いて暗号化し、暗号文cを得る。
【0081】
次に、送信者Aから受信した暗号文の復号処理について説明する。
【0082】
▲1▼ 復号部21によって、暗号文cを復号鍵skrで復号する。復号の過程で、不正な暗号文と判定された場合には処理を中止し、正当な暗号文である場合には、復号結果m‖r‖σを得る。
【0083】
▲2▼ 冗長化部22であるビット結合手段41により、入力平文mに80ビットの0…0を結合し、その結果を冗長平文m’とする。
【0084】
▲3▼ 攪乱子生成部23であるビット結合部51と排他的論理和手段52により、h=(m’‖IDb )×r(但し、×は排他的論理和)を計算する。
【0085】
▲4▼ 署名検証部24によって、署名σが攪乱子hに対する送信者Aの正しい署名であることを署名検証鍵pksを用いて検証する。検証に合格すれば、mを正当なメッセージとして受理し、不合格であればmは不正なメッセージであると判断する。
【0086】
次に、乱数種sが公開され、否認性が取り消された平文mと署名σに対して図8に示す手順により、検証する。
【0087】
▲1▼ 冗長化部31であるビット結合手段41により、入力平文mに80ビットの0…0を結合し、、その結果を冗長平文m’とする。
【0088】
▲2▼ 乱数生成部32によって、乱数種sから|m’|+|IDb |ビットの乱数rを生成する。
【0089】
▲3▼ 攪乱子生成部33であるビット結合手段51と排他的論理和手段52によって、h(m’‖IDb )×r(但し、×は排他的論理和)を計算する。
【0090】
▲4▼ 署名検証部34によって、署名σが攪乱子hに対する送信者Aの正しい署名であることを署名検証鍵pksを用いて検証する。検証に合格すればmを正当なメッセージとして受理し、不合格であれば、mは不正なメッセージであると判断する。
【0091】
[第2の実施例]
次に、本実施例では、メッセージ長が長い場合に攪乱子生成部を用いて必要な乱数のビット長を短くする例を説明する。
【0092】
図11は、本発明の第2の実施例の攪乱子生成部の構成を示す。
【0093】
同図に示す攪乱子生成部13、33は、ビット結合手段61、ハッシュ手段62、排他的論理和手段63から構成され、ハッシュ手段62を図10の構成に付加したものである。
【0094】
即ち、出力ビット数が160ビットのハッシュ手段62を設け、乱数生成部12、32の出力を同様に160ビットとし、冗長平文m’にIDb を結合した結果をハッシュ手段62に入力して短縮し、そのハッシュ値と乱数rとの排他的論理和を攪乱子とする方法である。
【0095】
この方法は、|m’|+|IDb |が160ビット以上になる場合に有効である。
【0096】
なお、上記の実施の形態及び実施例における認証暗号化装置及び認証復号装置の構成をプログラムとして構築し、認証暗号化装置及び認証復号装置として利用されるコンピュータにインストールすることも可能である。
【0097】
また、構築されたプログラムを認証暗号化装置及び認証復号装置として利用されるコンピュータに接続されるハードディスクや、フレキシブルディスク、CD−ROM等の可搬記憶媒体に格納しておき、本発明を実施する際にインストールすることにより、本発明を実現できる。
【0098】
なお、本発明は、上記の実施例に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【0099】
【発明の効果】
上述のように、本発明によれば、送受信者が共に第三者に対して、通信内容の否認が可能であるが、正当な受信者は受信したデータの完全性を確認することができる。正当な送信者は、必要に応じて、任意に第三者にその送信文に対応する平文の認証を行えるようにすることが可能となる。
【図面の簡単な説明】
【図1】本発明の原理を説明するための図である。
【図2】本発明の原理構成図である。
【図3】本発明の第1の実施の形態における認証暗号化装置の構成図である。
【図4】本発明の第1の実施の形態における認証復号装置の構成図である。
【図5】本発明の第1の実施の形態における暗号化手段のフローチャートである。
【図6】本発明の第1の実施の形態における復号手順のフローチャートである。
【図7】本発明の第2の実施の形態における否認性が取り消された場合の署名検証装置の構成図である。
【図8】本発明の第2の実施の形態における否認性が取り消された平文と署名に対する署名検証手順のフローチャートである。
【図9】本発明の第1の実施例の冗長化部の構成図である。
【図10】本発明の第1の実施例の攪乱子生成部の構成図である。
【図11】本発明の第2の実施例の攪乱子生成部の構成図である。
【符号の説明】
10 認証暗号化装置
11 冗長化手段、冗長化部
12 乱数生成手段、乱数生成部
13 攪乱子生成手段、攪乱子生成部
14 署名生成手段、署名生成部
15 暗号化手段、暗号化部
21 復号手段、復号部
22 冗長化手段、冗長化部
23 攪乱子生成手段、攪乱子生成部
24 署名検証手段、署名検証部
30 署名検証装置
31 冗長化部
32 乱数生成部
33 攪乱子生成部
34 署名検証部
41 ビット結合手段
51 ビット結合手段
52 排他的論理和手段
61 ビット結合手段
62 ハッシュ手段
63 排他的論理和手段[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an authenticated encryption method, an authenticated decryption method, a verification method and apparatus, a program, and a computer-readable recording medium , and more particularly to a ciphertext recipient of encryption and digital signature technology in a telecommunication system. An encryption method with authentication, a decryption method with authentication, a verification method, an apparatus, a program, and a computer are readable by the system for authenticating the creator of the ciphertext or the corresponding plaintext The present invention relates to a recording medium .
[0002]
[Prior art]
2. Description of the Related Art Conventionally, a method in which a recipient verifies the integrity of a received document by encryption communication between two parties is known. In the so-called common key setting method in which the receiver and the sender share a secret key with others, data authentication is possible by attaching a data authentication code (Message Authentication Code: MAC) to the transmitted ciphertext. It is. In a situation where key sharing in advance is difficult, it is common to perform data authentication by attaching a digital signature to a transmission text based on public key cryptography. However, attaching a digital signature based on public key cryptography also provides evidence to a third party other than the communication party that the sender has transmitted a plaintext. Even if the designated verifier signature is distributed from the designated verifier to the third party, for the third party, is the signature of the original sender or a signature forged by the verifier? It has the characteristic that it cannot be distinguished. Because of its characteristics, it is a signing method that does not have evidence as a sender's signature for a third party.
As a conventional technique, “Disignated Verifier signature method (“ Proofs of Partial Knowledge and Simplified Design of Witncess Hiding Proofs ”Crypto'94, LNCS 839, pp.174-187, Springer Verlag, 1994)” by Cramer et al. Will be described.
Let pi and qi be large prime numbers, respectively, and qi should divide pi. Let gi be the source of the subgroup of order qi of pi.
[0003]
xi ∈ Zqi
The private key,
yi = gi xi mod pi
And the public key.
[0004]
Of two public keys (yj, gj, qj, pj) j = 0, 1, a signer who knows the corresponding private key xi with respect to any yi generates a signature for the document m in the following procedure. . In the following example, i = 0 without loss of generality. Let H be a hash function having an output area with the larger number of bits of q0 and q1. The act of randomly selecting one original β from the set α will be written as β ← α.
[0005]
(1) The following is executed.
[0006]
(A) s1 ← Zqi
(B) c1 ← {0, 1} L
(C) z1: = g1 s1 y1 c1 mod p1
▲ 2 ▼ r0 ← Zq0
(3) z0: = gi ri mod p0
(4) c: = H (z0‖z1‖m)
(5) c0 = c * c1 (where x is a logical product)
(6) s0: = r0-c0.x0 mod q0
(7) (c0, s0, c1, s1) is output.
[0007]
The signature (c0, s0, c1, s1) for the document m is recognized as a correct signature when the following holds.
[0008]
c0 × c1 = H (g00 s0 , y0 co mod p0 ‖g1 s1 y i ci mod p1 ‖m)
(However, x is logical product)
According to the conventional method described above, the recipient of the signature cannot distinguish which public key the signer holds the private key. Therefore, it is a signature method that does not have evidence as a sender's signature for a third party. By signing the ciphertext using the above private verifier signature, the receiver can confirm that the received document is intended by the sender.
[0009]
[Problems to be solved by the invention]
However, the conventional method based on the Designated Verifier signature has evidence for a third party as a signature generated by either the sender or the designated verifier. Therefore, the sender can deny the signature for intentional disclosure of the designated verifier, but the signature of the sender and the designated verifier cannot be obtained by a third party using any means. Both cannot deny the contents of the transmission / reception.
The present invention has been made in view of the above points, and a sender / receiver can deny communication contents to a third party, but a valid receiver can perform message authentication and, if necessary, It is an object of the present invention to provide an authenticated encryption method, authenticated decryption method, verification method, apparatus, program, and computer-readable recording medium that can cancel the sender's repudiation.
[0010]
[Means for Solving the Problems]
FIG. 1 is a diagram for explaining the principle of the present invention.
[0011]
The present invention (Claim 1) is a method of authenticating encryption in which a recipient of a ciphertext authenticates the creator of the ciphertext or a corresponding plaintext.
The sender's signature key sks and encryption key pkr are specified. When the encryption key pkr is made public as a public key, the recipient is specified when performing encryption communication between the two parties using the public key cryptosystem. When the ciphertext c is generated with the unique value to be IDb as
A step of redundancy means for making plaintext m redundant to obtain redundant plaintext m ′ (step 1);
A step (Step 2) in which the random number generation means generates a random number r from the random number seed s;
A step (step 3) in which a disturber generating means creates a disturber h from a fixed value IDb specifying a recipient, a random number and a redundant plaintext m ′;
A step of generating a signature σ for the disturbance h by using the signature key sks (step 4 ),
Encrypting means performs encrypted, and to obtain a ciphertext c (Step 5), the using the encryption key pkr the (m, r, sigma).
[0012]
FIG. 2 is a principle configuration diagram of the present invention.
[0013]
The present invention (Claim 2) is a cryptographic apparatus with authentication 10 in which a recipient of a ciphertext authenticates the creator of the ciphertext or the corresponding plaintext,
The sender's signature key sks and encryption key pkr are used, and when the encryption key pkr is disclosed as a public key, the recipient is specified when performing encrypted communication between the two parties using the public encryption method. When generating the ciphertext c using the unique value as IDb,
Redundancy means 11 for making plaintext m redundant and obtaining redundant plaintext m ′;
Random number generation means 12 for generating a random number r from a random number seed s;
A disturbance generator generating means 13 for generating a disturbance h from a fixed value IDb for identifying a receiver, a random number and a redundant plaintext m ′;
Signature generation means 14 for generating a signature σ for the disturbance h using a signature key sks;
Encryption means 15 for encrypting (m, r, σ) using the encryption key pkr to obtain a ciphertext c;
Have
[0014]
The present invention (Claim 3) is a cryptographic program with authentication that causes a computer to execute the function of the cryptographic apparatus with authentication according to claim 2 .
[0015]
The present invention (Claim 4) is a computer-readable recording medium storing the authenticated encryption program according to Claim 3 .
[0016]
The present invention (Claim 5) is a decryption method with authentication executed on an authenticated encryption system in which a recipient of a ciphertext authenticates the creator of the ciphertext or corresponding plaintext,
The recipient's decryption key skr and signature verification key pks are specified. When the signature verification key pks is made public as a public key, the recipient is specified when performing encryption communication between the two parties using the public encryption method. When the ciphertext c is decrypted using the unique value IDb as
The decryption means decrypts the ciphertext c using the decryption key skr, and stops processing if it is determined to be an illegal ciphertext during the decryption process, and decryption result (m if it is a valid ciphertext) , R, σ) to obtain a decoding step (step 6);
Redundancy means, and redundant to obtain a redundant plaintext m 'that redundant m of decoding result (step 7),
A disturber generating step (step 8) in which a disturber generating means creates a disturber h from a random number r and a redundant plaintext m ′ as a fixed value IDb that identifies the receiver;
The signature verification means verifies that the signature σ is a correct signature for the disturbance h by using the signature verification key pks. If the verification is successful, m is regarded as a valid message, and if it is unsuccessful , m is invalid. And a signature verification step (step 9) for determining that the message is a correct message .
[0017]
The present invention (Claim 6) is the decryption apparatus with authentication 20 in the authenticated encryption system in which the recipient of the ciphertext authenticates the creator of the ciphertext or the corresponding plaintext,
The recipient's decryption key skr and signature verification key pks are specified. When the signature verification key pks is made public as a public key, the recipient is specified when performing encryption communication between the two parties using the public encryption method. When decrypting the ciphertext c with the unique value to be IDb as
The ciphertext c is decrypted using the decryption key skr, and if it is determined as an illegal ciphertext during the decryption process, the processing is stopped, and if it is a valid ciphertext, the decryption result (m, r, σ Decoding means 21 to obtain
Redundancy means 22 for obtaining redundant plaintext m ′ obtained by making m of the decryption result redundant;
A disturbance generator generating means 23 for generating a disturbance h from a random number r and a redundant plaintext m ′ as a fixed value IDb for identifying the receiver;
It is verified that the signature σ is a correct signature for the disturbance h by using the signature verification key pks. If the verification passes, m is regarded as a valid message, and if not, m is determined to be an invalid message. Signature verification means 24.
[0018]
The present invention (Claim 7) is a decryption program with authentication for causing a computer to realize the function of the decryption apparatus with authentication according to Claim 6.
[0019]
The present invention (Claim 8) is a computer-readable recording medium storing the program according to Claim 7.
[0021]
The present invention (Claim 9 ) provides a verification method for a plaintext / signature pair in which the refusal of the ciphertext is canceled.
A step in which a random number generation means generates a random number r from a published random number seed s;
A step of making the plaintext m obtained by decryption redundant to obtain a redundant plaintext m ′;
A step disrupting code generation means, to create a Kakuranko h from a fixed value IDb for identifying the sender, a random number and redundant plaintext m ',
A step of verifying whether or not the signature σ obtained by the decrypting step of claim 5 is a signature for the disturbance h using a verification key pks;
Do.
[0022]
The present invention (Claim 10 ) is a verification apparatus for a pair of plaintext and signature in which the refusal of the ciphertext is canceled,
Random number generating means for generating a random number r from a publicly available random number seed s;
A redundancy means for making plaintext m obtained by decryption redundant to obtain redundant plaintext m ′;
A disturbance value generating means for generating a disturbance value h from a fixed value IDb for identifying a sender, a random number and a redundant plaintext m ′;
Signature verification means for verifying whether or not the signature σ obtained by the decryption means of claim 6 is a signature for the disturbance h using a verification key pks.
[0023]
The present invention (Claim 11 ) is a verification program for causing a computer to realize the function according to Claim 10 .
[0024]
The present invention (Claim 12 ) is a computer-readable recording medium storing the verification program according to Claim 11.
[0025]
As described above, in the present invention, the identifier that identifies the recipient, such as a public key, is IDb. A redundant plain text m ′ obtained by making the plain text m redundant is created. A sufficiently long random number r is generated from a short random number seed s, IDb and redundant plaintext m ′ are perturbed by the random number r to create a disturbance h, and a signature σ is assigned to h (the signature method used here is , A potential non-counterfeitable (EUF-CMA) method against an adaptive choice sentence attack), and a set of m, r, σ is encrypted (the encryption method used here is an adaptive choice ciphertext) Invisible to attack (IND-CCA) method) Send to recipient.
[0026]
Also, at the time of generating a disturbance, a different (r ′, IDb ′, m ″) (where m ″ has the same redundancy) becomes the same h as h created from (r, IDb, m ′). Suppose that it is easy to create.
[0027]
When canceling the refusal of the ciphertext, the random number seed s is disclosed.
[0028]
Furthermore, when the plaintext m and signature σ are verified with respect to the obtained plaintext-signature pair after decrypting the ciphertext whose repudiation has been canceled, the same random number generation method as the sender is used. The random number r is restored from the published random number seed s, the redundant plaintext m ′ is created from the plaintext m, the disturber h is created from (r, IDb, m ′), and the signature σ is correct for the disturber h The signature is verified using the sender's public key pks.
Thus, the sender's signature is given to the perturbator, and the perturbator becomes the same perturbator h with respect to the perturbator h created from (r, IDb, m ′). Since it is easy to create r ′, IDb ′, m ″), the signature does not have evidence for the message m after all.
[0029]
On the other hand, the IND-CCA encryption method has a feature that only those who know plaintext can create the encrypted text. Therefore, as a result of decrypting the received ciphertext, only a legitimate receiver who can decrypt the received ciphertext when the sender A has obtained a signature addressed to the receiver B by the third party and cannot be forged by a third party. Can be convinced that the obtained plaintext is created by the sender A.
[0030]
Furthermore, when the random seed s is made public, it is not possible to create different (r ′, IDb ′, m ″) with the same h for the disturbance h created from (r, IDb, m ′). Although it is easy, when the random numbers r and r ′ are sufficiently long, r ′ must be determined so that the redundant plaintext m ″ has the correct redundancy with respect to an arbitrary m. It is difficult to obtain a random seed s ′ for a particular r ′, and the signature can be regarded as having evidence for (s, IDb, m).
[0031]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0032]
[First Embodiment]
In the following description, it is assumed that the sender's signature key sks, the encryption key pkr, the receiver's decryption key skr, and the signature verification key pks, and the signature verification key pks and the encryption key pkr are disclosed as public keys. . Also, the unique value that identifies the recipient is IDb.
FIG. 3 shows the configuration of the authentication encryption apparatus according to the first embodiment of the present invention.
[0033]
The encryption apparatus 10 shown in FIG. 1 makes a plaintext m redundant and obtains a redundant plaintext m ′, a randomizing unit 11 that generates a random number r from a random seed s, IDb, a random number r, and a redundant plaintext m ′. A disturber generator 13 for generating a disturber h from the signature, a signature generator 14 for generating a signature σ for the disturber h using a signature key sks, and encrypting m‖r‖σ using an encryption key pkr, It comprises an encryption unit 15 that obtains a sentence c.
[0034]
FIG. 4 shows the configuration of the authentication decryption apparatus according to the first embodiment of the present invention.
[0035]
The decryption apparatus 20 shown in the figure includes a decryption unit 21 that receives a ciphertext c and decrypts the ciphertext c using a decryption key skr, a redundancy unit 22 that makes a plaintext m redundant and obtains a redundant plaintext m ′. From a disturber generator 23 that creates a disturber h from IDb, r, m ′, and from a signature verifier 24 that verifies that the signature σ is the correct signature of the sender A for the disturber h using the signature verification key pks. Composed.
[0036]
Next, the operation in the above configuration will be described.
[0037]
The premise of the operation described below will be described.
[0038]
It is assumed that the sender A has a signature key sks and an encryption key pkr, and pkr is made public. It is assumed that the sender B has a decryption key skr and a signature verification key pks, and pks is made public.
[0039]
In the following, the binary operator a + b is an exclusive OR for each bit of a and b, and a‖b represents a combined bit string. | A | represents the number of bits of a. Character string that can specify the recipient (name or public key).
[0040]
The ciphertext for the document m to be transmitted from the sender A to the receiver B is created by the authentication encryption apparatus 10. The operation is as follows.
[0041]
FIG. 5 is a flowchart of the encryption procedure according to the first embodiment of the present invention.
[0042]
Step 101) The redundancy unit 11 makes the plaintext m redundant to obtain a redundant plaintext m ′.
[0043]
Step 102) The random number generator 12 generates a random number r from the random number seed s.
[0044]
Step 103) The disturber generator 13 creates a disturber h from IDb, r, m ′.
[0045]
Step 104) The signature generator 14 generates a signature σ for the disturbance h using the signature key sks.
[0046]
Step 105) The encryption unit 15 encrypts m‖r‖σ using the encryption key pkr to obtain a ciphertext c.
[0047]
Next, the ciphertext received from the sender A is decrypted by the authentication decryption device 20. The decoding operation is as follows.
[0048]
FIG. 6 is a flowchart of the decoding procedure in the first embodiment of the present invention.
[0049]
Step 201) The decryption unit 21 decrypts the input ciphertext c using the decryption key skr.
[0050]
Step 202) If it is an illegal ciphertext during the decryption process, the processing is stopped.
[0051]
Step 203) If it is a valid ciphertext, a decryption result m‖r‖σ is obtained.
[0052]
Step 204) The redundancy unit 22 makes the plaintext m redundant to obtain a redundant plaintext m ′.
[0053]
Step 205) The disturbance generator h generates a disturbance h from the IDb, r, m ′.
[0054]
Step 206) The signature verification unit 24 verifies that the signature σ is the correct signature of the sender A for the disturbance h using the signature verification key pks.
[0055]
Step 207) It is determined whether the verification is passed or failed. If it is passed, the process proceeds to Step 208, and if it is not passed, the process proceeds to Step 209.
[0056]
Step 208) Determine a valid message for m.
[0057]
Step 209) It is determined that m is an illegal message.
[0058]
[Second Embodiment]
In the present embodiment, a case will be described in which signature verification is performed on a plaintext m and a signature σ in which the random seed s is disclosed and ciphertext repudiation is canceled.
[0059]
FIG. 7 shows the configuration of the signature verification apparatus when the repudiation is canceled in the second embodiment of the present invention.
[0060]
When the plaintext m obtained by the decryption unit 21 is input, the signature verification apparatus 30 shown in the figure makes the plaintext m redundant and obtains a redundant plaintext m ′, and the random number s from the public random number s a random number generator 32 for generating r, a disturber generator 33 for generating a disturber h from IDb, r, m ′, and a signature verification key pks that the signature σ is the correct signature of the sender A for the disturber h. The verification unit 34 is used for verification.
[0061]
The operation of signature verification for plaintext m and signature σ with the repudiation canceled in the above configuration will be described.
[0062]
FIG. 8 is a flowchart of a signature verification procedure for plaintext m and signature σ in which repudiation is canceled in the second embodiment of the present invention.
[0063]
Step 301) The redundancy unit 31 makes the plaintext m redundant to obtain a redundant plaintext m ′.
[0064]
Step 302) The random number generator 32 generates a random number r from the published random number seed s.
[0065]
Step 303) The disturber generator 33 generates a disturber h from IDb, r, m ′.
[0066]
Step 304) The signature verification unit 34 verifies that the signature σ is the correct signature of the sender A with respect to the disturbance h using the signature verification key pks.
[0067]
Step 305) If the verification result is acceptable, the process proceeds to step 306. If the result is unacceptable, the process proceeds to step 307.
[0068]
Step 306) It is determined that m is a valid message.
[0069]
Step 307) It is determined that m is an illegal message.
[0070]
【Example】
Embodiments of the present invention will be described below with reference to the drawings.
[0071]
[First embodiment]
The apparatus configuration of the present embodiment is the same as that shown in FIGS. However, in the following embodiments, the redundancy units 11, 22, and 31 use bit combination means, and the disturber generation units 13, 23, and 33 use bit combination means and exclusive OR means.
[0072]
FIG. 9 shows the configuration of the redundancy unit of the first embodiment of the present invention, and FIG. 10 shows the configuration of the disturber generation unit of the first embodiment of the present invention.
[0073]
The operation when the above configuration is used will be described. It is assumed that the sender A has a signature key sks and an encryption key pkr, and pkr is made public. The receiver B has a decryption key skr and a signature verification key pks, and pks is made public.
[0074]
The ciphertext for the document m to be transmitted from the sender A to the receiver B is created by the following authentication encryption apparatus.
[0075]
Hereinafter, the operation of the authentication encryption device 10 will be described.
[0076]
{Circle around (1)} In the bit combining unit 41 which is the redundancy unit 11, 80 bits 0... 0 are combined with the input plaintext m, and the result is set as a redundant plaintext m ′.
[0077]
(2) The random number generator 12 generates | m ′ | + | IDb | bit random number r from the random seed s.
[0078]
(3) The bit combination means 51 and the exclusive OR means 52, which are the disturbance generator 13, calculate h = (m ′ | IDb) × r (where + indicates an exclusive OR). .
[0079]
(4) The signature generator 14 generates a signature σ for the disturbance h using the signature key sks.
[0080]
(5) The encryption unit 15 encrypts m‖r‖σ using the encryption key pkr to obtain a ciphertext c.
[0081]
Next, the decryption process of the ciphertext received from the sender A will be described.
[0082]
(1) The decryption unit 21 decrypts the ciphertext c with the decryption key skr. If it is determined that the ciphertext is invalid during the decryption process, the processing is stopped. If the ciphertext is valid, the decryption result m 結果 r‖σ is obtained.
[0083]
{Circle around (2)} The bit combiner 41 which is the redundancy unit 22 combines 80 bits 0... 0 to the input plaintext m and sets the result as redundant plaintext m ′.
[0084]
(3) The bit combination unit 51 which is the disturbance generator 23 and the exclusive OR unit 52 calculate h = (m′mIDb) × r (where x is an exclusive OR).
[0085]
(4) The signature verification unit 24 verifies that the signature σ is the correct signature of the sender A with respect to the disturbance h by using the signature verification key pks. If the verification passes, m is accepted as a valid message, and if it fails, m is determined to be an invalid message.
[0086]
Next, the plaintext m and the signature σ in which the random seed s is disclosed and the repudiation is canceled are verified by the procedure shown in FIG.
[0087]
(1) The bit combination means 41 which is the redundancy unit 31 combines 80 bits 0... 0 to the input plaintext m, and the result is set as a redundant plaintext m ′.
[0088]
(2) The random number generator 32 generates | m ′ | + | IDb | bit random number r from the random seed s.
[0089]
{Circle around (3)} The bit combination means 51 and the exclusive OR means 52, which are the disturbance generator 33, calculate h (m′bIDb) × r (where x is an exclusive OR).
[0090]
(4) The signature verification unit 34 verifies that the signature σ is the correct signature of the sender A with respect to the disturbance h by using the signature verification key pks. If the verification passes, m is accepted as a valid message, and if it fails, m is determined to be an invalid message.
[0091]
[Second Embodiment]
Next, in this embodiment, an example will be described in which a random number generator is used to shorten the bit length of a required random number when the message length is long.
[0092]
FIG. 11 shows the configuration of the disturber generator of the second embodiment of the present invention.
[0093]
The disturber generators 13 and 33 shown in the figure are composed of a bit combination means 61, a hash means 62, and an exclusive OR means 63, and the hash means 62 is added to the structure of FIG.
[0094]
That is, the hash unit 62 having an output bit number of 160 bits is provided, the output of the random number generators 12 and 32 is similarly 160 bits, and the result of combining IDb with the redundant plaintext m ′ is input to the hash unit 62 for shortening. In this method, the exclusive OR of the hash value and the random number r is used as a disturbance.
[0095]
This method is effective when | m ′ | + | IDb | is 160 bits or more.
[0096]
Note that the configurations of the authentication encryption device and the authentication decryption device in the above-described embodiments and examples can be constructed as a program and installed in a computer used as the authentication encryption device and the authentication decryption device.
[0097]
The constructed program is stored in a portable storage medium such as a hard disk, a flexible disk, or a CD-ROM connected to a computer used as an authentication encryption apparatus and authentication decryption apparatus, and the present invention is implemented. By installing at this time, the present invention can be realized.
[0098]
The present invention is not limited to the above-described embodiments, and various modifications and applications are possible within the scope of the claims.
[0099]
【The invention's effect】
As described above, according to the present invention, both the sender and the receiver can deny the communication content to a third party, but a legitimate receiver can confirm the integrity of the received data. A legitimate sender can arbitrarily authenticate a plaintext corresponding to the transmitted text to a third party as necessary.
[Brief description of the drawings]
FIG. 1 is a diagram for explaining the principle of the present invention.
FIG. 2 is a principle configuration diagram of the present invention.
FIG. 3 is a configuration diagram of an authentication encryption apparatus according to the first embodiment of the present invention.
FIG. 4 is a configuration diagram of an authentication decryption apparatus according to the first embodiment of the present invention.
FIG. 5 is a flowchart of encryption means in the first embodiment of the present invention.
FIG. 6 is a flowchart of a decoding procedure in the first embodiment of the present invention.
FIG. 7 is a configuration diagram of a signature verification apparatus when repudiation is canceled in the second embodiment of the present invention.
FIG. 8 is a flowchart of a signature verification procedure for plaintext and a signature with non-repudiation canceled in the second embodiment of the present invention.
FIG. 9 is a configuration diagram of a redundancy unit according to the first exemplary embodiment of the present invention.
FIG. 10 is a configuration diagram of a disturber generation unit according to the first embodiment of this invention.
FIG. 11 is a configuration diagram of a disturber generating unit according to the second embodiment of the present invention.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 10 Authentication encryption apparatus 11 Redundancy means, Redundancy part 12 Random number generation means, Random number generation part 13 Disturbant generation means, Disturbant generation part 14 Signature generation means, Signature generation part 15 Encryption means, Encryption part 21 Decryption means , Decoding unit 22 redundancy unit, redundancy unit 23 disturber generation unit, disturbance generator generation unit 24 signature verification unit, signature verification unit 30 signature verification unit 31 redundancy unit 32 random number generation unit 33 disturbance unit generation unit 34 signature verification unit 41 bit combining means 51 bit combining means 52 exclusive OR means 61 bit combining means 62 hash means 63 exclusive OR means

Claims (12)

暗号文の受信者が該暗号文または、対応する平文の作成者を認証する認証付暗号方法において、
送信者の署名鍵sks、暗号鍵pkrとし、該暗号化鍵pkrが公開鍵として公開されている場合に、公開鍵暗号方式を用いて二者間の暗号通信を行う際に、受信者を特定する固有値をIDbとして暗号文cを生成する場合に、
冗長化手段が、平文mを冗長化し、冗長平文m’を得るステップと、
乱数生成手段が、乱数種sから乱数rを生成するステップと、
攪乱子生成手段が、前記受信者を特定する固定値IDbと前記乱数及び冗長平文m’から攪乱子hを作成するステップと、
署名生成手段が、前記攪乱子hに対する署名σを前記署名鍵sksを用いて生成するステップと、
暗号化手段が、(m,r,σ)を前記暗号鍵pkrを用いて暗号化し、暗号文cを得るステップと、
を行うことを特徴とする認証付暗号方法。In the authenticated encryption method in which the recipient of the ciphertext authenticates the creator of the ciphertext or the corresponding plaintext,
The sender's signature key sks and encryption key pkr are specified. When the encryption key pkr is made public as a public key, the recipient is specified when performing encryption communication between the two parties using the public key cryptosystem. When the ciphertext c is generated with the unique value to be IDb as
A step of redundancy means for making plaintext m redundant to obtain redundant plaintext m ′;
A step in which a random number generating means generates a random number r from a random number seed s;
Disrupting code generation means, and creating a fixed value IDb and the random number and Kakuranko h from the redundant plaintext m 'for specifying the recipients,
A signature generating means generating a signature σ for the disturber h using the signature key sks;
An encryption unit encrypts (m, r, σ) using the encryption key pkr to obtain a ciphertext c;
A cryptographic method with authentication, characterized in that: 暗号文の受信者が該暗号文または、対応する平文の作成者を認証する認証付暗号装置であって、
送信者の署名鍵sks、暗号鍵pkrとし、該暗号化鍵pkrが公開鍵として公開されている場合に、公開暗号方式を用いて二者間の暗号通信を行う際に、受信者を特定する固有値をIDbとして暗号文cを生成する場合に、
平文mを冗長化し、冗長平文m’を得る冗長化手段と、
乱数種sから乱数rを生成する乱数生成手段と、
前記受信者を特定する固定値IDbと前記乱数及び冗長平文m’から攪乱子hを作成する攪乱子生成手段と、
前記攪乱子hに対する署名σを前記署名鍵sksを用いて生成する署名生成手段と、
(m,r,σ)を前記暗号鍵pkrを用いて暗号化し、暗号文cを得る暗号化手段と、
を有することを特徴とする認証付暗号装置。The ciphertext recipient is an authenticated encryption device that authenticates the creator of the ciphertext or the corresponding plaintext,
The sender's signature key sks and encryption key pkr are used, and when the encryption key pkr is disclosed as a public key, the recipient is specified when performing encrypted communication between the two parties using the public encryption method. When generating the ciphertext c using the unique value as IDb,
Redundancy means for making plaintext m redundant and obtaining redundant plaintext m ′;
Random number generating means for generating a random number r from a random number seed s;
A disturbance generator generating means for generating a disturbance h from the fixed value IDb for identifying the recipient, the random number and the redundant plaintext m ′;
Signature generating means for generating a signature σ for the disturbance h using the signature key sks;
Encryption means for encrypting (m, r, σ) using the encryption key pkr to obtain a ciphertext c;
And a cryptographic device with authentication. コンピュータに、
請求項2記載の認証付暗号装置の機能を実行させることを特徴とする認証付暗号プログラム。 On the computer,
An encryption program with authentication, which causes a function of the encryption device with authentication according to claim 2 to be executed . 請求項3記載の認証付暗号プログラムを格納したことを特徴とするコンピュータが読み取り可能な記録媒体 A computer-readable recording medium storing the authenticated encryption program according to claim 3 . 暗号文の受信者が該暗号文または対応する平文の作成者を認証する認証付暗号システム上で実行される認証付復号方法において、
受信者の復号鍵skr、署名検証鍵pksとし、該署名検証鍵pksが公開鍵として公開されている場合に、公開暗号方式を用いて二者間の暗号通信を行う際に、受信者を特定する固有値をIDbとして暗号文cを復号する場合に、
復号手段が、前記暗号文cを前記復号鍵skrを用いて復号し、復号の過程で不正な暗号文と判断された場合には処理を中止し、正当な暗号文である場合には復号結果(m,r,σ)を得る復号ステップと、
冗長化手段が、復号結果のmを冗長化した冗長平文m’を得る冗長化ステップと、
攪乱子生成手段が、前記受信者と特定する固定値IDbを前記乱数rと前記冗長平文m’から攪乱子hを作成する攪乱子生成ステップと、
署名検証手段が、前記署名σが前記攪乱子hに対する正しい署名であることを前記署名検証鍵pksを用いて検証し、検証に合格すれば、前記mを正当なメッセージとし、不合格であればmは不正なメッセージであると判断する署名検証ステップと、
を行うことを特徴とする認証付復号方法。In the authenticated decryption method executed on the authenticated cryptographic system in which the recipient of the ciphertext authenticates the creator of the ciphertext or the corresponding plaintext,
The recipient's decryption key skr and signature verification key pks are specified. When the signature verification key pks is made public as a public key, the recipient is specified when performing encryption communication between the two parties using the public encryption method. When the ciphertext c is decrypted using the unique value IDb as
Decryption means decrypts the ciphertext c using the decryption key skr, stops processing if it is determined to be an illegal ciphertext during the decryption process, and decryption results if it is a valid ciphertext A decoding step to obtain (m, r, σ);
Redundancy means, and redundant to obtain a redundant plaintext m 'that redundant m of decoding result,
A disturber generating step for generating a disturber h from the random number r and the redundant plaintext m ′ as a fixed value IDb for identifying the receiver;
The signature verification means verifies that the signature σ is a correct signature for the disturber h by using the signature verification key pks, and if the verification is successful, sets m as a valid message, and if it does not pass , M is a signature verification step that determines that the message is invalid,
A decryption method with authentication, characterized in that: 暗号文の受信者が該暗号文または、対応する平文の作成者を認証する認証付暗号システムにおける、認証付復号装置であって、
受信者の復号鍵skr、署名検証鍵pksとし、該署名検証鍵pksが公開鍵として公開されている場合に、公開暗号方式を用いて二者間の暗号通信を行う際に、受信者を特定する固有値をIDbとして暗号文cを復号する場合に、
前記暗号文cを前記復号鍵skrを用いて復号し、復号の過程で不正な暗号文と判断された場合には処理を中止し、正当な暗号文である場合には復号結果(m,r,σ)を得る復号手段と、
復号結果のmを冗長化した冗長平文m’を得る冗長化手段と、
前記受信者と特定する固定値IDbを前記乱数rと前記冗長平文m’から攪乱子hを作成する攪乱子生成手段と、
前記署名σが前記攪乱子hに対する正しい署名であることを前記署名検証鍵pksを用いて検証し、検証に合格すれば、前記mを正当なメッセージとし、不合格であればmを不正なメッセージであると判断する署名検証手段と、を有することを特徴とする認証付復号装置。A decryption apparatus with authentication in an authenticated encryption system in which a recipient of ciphertext authenticates the creator of the ciphertext or corresponding plaintext,
The recipient's decryption key skr and signature verification key pks are specified. When the signature verification key pks is made public as a public key, the recipient is specified when performing encryption communication between the two parties using the public encryption method. When the ciphertext c is decrypted using the unique value IDb as
The ciphertext c is decrypted using the decryption key skr, and if it is determined as an illegal ciphertext during the decryption process, the processing is stopped, and if it is a valid ciphertext, the decryption result (m, r , Σ)
Redundancy means for obtaining a redundant plaintext m ′ obtained by making m of the decryption result redundant;
A disturbance generator generating means for generating a disturbance h from the random number r and the redundant plaintext m ′ as a fixed value IDb for identifying the receiver;
The signature σ is verified using the signature verification key pks to verify that the signature σ is a correct signature for the disturbance h, and if the verification passes, the m is a valid message, and if it is not, m is an invalid message. And a signature verification unit that determines that the decryption is performed. コンピュータに、On the computer,
請求項6記載の認証付復号装置の機能を実現させることを特徴とする認証付復号プログラム。The decryption program with authentication which implement | achieves the function of the decryption apparatus with authentication of Claim 6. 請求項7記載のプログラムを格納したことを特徴とするコンピュータが読み取り可能な記録媒体。A computer-readable recording medium storing the program according to claim 7. 暗号文の否認性が取り消された平文と署名の対に対する検証方法において、
乱数生成手段が、公開されている乱数種sから乱数rを生成するステップと、
冗長化手段が、復号により得られた平文mを冗長化し、冗長平文m’を得るステップと、
攪乱子生成手段が、送信者を特定する固定値IDbと、前記乱数及び前記冗長平文m’から攪乱子hを作成するステップと、
署名検証手段が、請求項5の復号ステップにより得られた署名σが前記攪乱子hに対する署名であるか否かを検証鍵pksを用いて検証するステップと、
を行うことを特徴とする検証方法。In the verification method for the plaintext / signature pair in which the refusal of the ciphertext is canceled,
A step in which a random number generation means generates a random number r from a published random number seed s;
A step of making the plaintext m obtained by decryption redundant to obtain a redundant plaintext m ′;
A step disrupting code generation means, to create a fixed value IDb for identifying the sender, the random number and Kakuranko h from the redundant plaintext m ',
A step of verifying whether or not the signature σ obtained by the decrypting step of claim 5 is a signature for the disturber h using a verification key pks;
The verification method characterized by performing . 暗号文の否認性が取り消された平文と署名の対に対する検証装置であって、
公開されている乱数種sから乱数rを生成する乱数生成手段と、
復号により得られた平文mを冗長化し、冗長平文m’を得る冗長化手段と、
送信者を特定する固定値IDbと、前記乱数及び前記冗長平文m’から攪乱子hを作成する攪乱子生成手段と、
請求項6の復号手段により得られた署名σが前記攪乱子hに対する署名であるか否かを検証鍵pksを用いて検証する署名検証手段と、
を有することを特徴とする検証装置。A verification device for a plaintext / signature pair whose ciphertext repudiation has been revoked,
Random number generating means for generating a random number r from a publicly available random number seed s;
A redundancy means for making plaintext m obtained by decryption redundant to obtain redundant plaintext m ′;
A disturbance value generating means for generating a disturbance value h from the fixed value IDb for identifying the sender, the random number and the redundant plaintext m ′;
Signature verification means for verifying whether or not the signature σ obtained by the decryption means of claim 6 is a signature for the disturbance h using a verification key pks;
The verification apparatus characterized by having. コンピュータに、
請求項10記載の機能を実現させることを特徴とする検証プログラム。 On the computer,
A verification program for realizing the function according to claim 10 . 請求項11記載の検証プログラムを格納したことを特徴とするコンピュータが読み取り可能な記録媒体。A computer-readable recording medium storing the verification program according to claim 11.
JP2002134298A 2002-05-09 2002-05-09 Cryptographic method with authentication, decryption method with authentication, verification method and device, program, and computer-readable recording medium Expired - Fee Related JP4000900B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002134298A JP4000900B2 (en) 2002-05-09 2002-05-09 Cryptographic method with authentication, decryption method with authentication, verification method and device, program, and computer-readable recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002134298A JP4000900B2 (en) 2002-05-09 2002-05-09 Cryptographic method with authentication, decryption method with authentication, verification method and device, program, and computer-readable recording medium

Publications (2)

Publication Number Publication Date
JP2003333035A JP2003333035A (en) 2003-11-21
JP4000900B2 true JP4000900B2 (en) 2007-10-31

Family

ID=29696988

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002134298A Expired - Fee Related JP4000900B2 (en) 2002-05-09 2002-05-09 Cryptographic method with authentication, decryption method with authentication, verification method and device, program, and computer-readable recording medium

Country Status (1)

Country Link
JP (1) JP4000900B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4621075B2 (en) * 2005-06-17 2011-01-26 日本電信電話株式会社 Verifier-designated signature generation apparatus, verifier-designated signature system, program, and recording medium thereof
CN112104604B (en) * 2020-08-07 2024-03-29 国电南瑞科技股份有限公司 System and method for realizing secure access service based on electric power Internet of things management platform

Also Published As

Publication number Publication date
JP2003333035A (en) 2003-11-21

Similar Documents

Publication Publication Date Title
US11108565B2 (en) Secure communications providing forward secrecy
JP3560439B2 (en) Device for performing encryption key recovery
WO2021042685A1 (en) Transaction method, device, and system employing blockchain
JP3872107B2 (en) Encryption key recovery system
US7522732B2 (en) Method for controlling the distribution of software code updates
KR100568233B1 (en) Device Authentication Method using certificate and digital content processing device using the method
CN111342976B (en) Verifiable ideal on-grid threshold proxy re-encryption method and system
US8233617B2 (en) Resilient cryptographic scheme
CN109274502B (en) Method and device for creating public key encryption and key signature and readable storage medium
CN106713349B (en) Inter-group proxy re-encryption method capable of resisting attack of selecting cipher text
CA2819211C (en) Data encryption
JP4758110B2 (en) Communication system, encryption apparatus, key generation apparatus, key generation method, restoration apparatus, communication method, encryption method, encryption restoration method
JP4485122B2 (en) Public key cryptosystem, signature system, cryptographic communication system, secret key generator, public key generator, and computer program
JP4000900B2 (en) Cryptographic method with authentication, decryption method with authentication, verification method and device, program, and computer-readable recording medium
Rasmussen et al. Weak and strong deniable authenticated encryption: on their relationship and applications
JP4000899B2 (en) Cryptographic method with authentication, decryption method and device with authentication, program, and computer-readable recording medium
JP3610106B2 (en) Authentication method in a communication system having a plurality of devices
JP2002215026A (en) Signed cipher communication method and device
CN113141249B (en) Threshold decryption method, system and readable storage medium
JP2007325318A (en) Signature system
JP3668138B2 (en) Signed ciphertext conversion method, verification method thereof, and apparatus thereof
WO2023016730A1 (en) Generating digital signatures
Rasmussen On the Relationship Between Weak and Strong Deniable Authenticated Encryption
JP2000216774A (en) Cipher text verifying method, recording medium and device thereof
CN115277171A (en) Data circulation control method based on purchasable attribute encryption in cloud environment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040706

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061017

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070724

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070806

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100824

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100824

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110824

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120824

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130824

Year of fee payment: 6

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees