JP4010766B2 - メッセージの公開型且つ非可換性の符号化方法及び暗号化方法 - Google Patents

メッセージの公開型且つ非可換性の符号化方法及び暗号化方法 Download PDF

Info

Publication number
JP4010766B2
JP4010766B2 JP2000375345A JP2000375345A JP4010766B2 JP 4010766 B2 JP4010766 B2 JP 4010766B2 JP 2000375345 A JP2000375345 A JP 2000375345A JP 2000375345 A JP2000375345 A JP 2000375345A JP 4010766 B2 JP4010766 B2 JP 4010766B2
Authority
JP
Japan
Prior art keywords
key
public
proxy
recipient
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000375345A
Other languages
English (en)
Other versions
JP2001202010A (ja
Inventor
ワン シン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Contentguard Holdings Inc
Original Assignee
Contentguard Holdings Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US09/468,703 external-priority patent/US7286665B1/en
Application filed by Contentguard Holdings Inc filed Critical Contentguard Holdings Inc
Publication of JP2001202010A publication Critical patent/JP2001202010A/ja
Application granted granted Critical
Publication of JP4010766B2 publication Critical patent/JP4010766B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3013Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Facsimile Transmission Control (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Reverberation, Karaoke And Other Acoustics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、暗号化方法に関し、より詳細には、秘密鍵又はメッセージの内容を明かさずに暗号の復号権を委任するためのシステム及び方法に関する。
【0002】
【従来の技術】
電子商取引を介してのデジタルドキュメントの配布の普及を妨げる最も重要な問題の1つは、配布中の配布物の内容の所有者の知的所有権の保護、並びにそれらのデジタルドキュメントの使用の保護が欠如しているという現状である。この問題を解決するための努力は、「知的所有権管理(IPRM:Intellectual Property Rights Management)」、「デジタル所有権管理(DPRM:Digital Property Rights Management)」、「知的所有物管理(IPM:Intellectual Property Management)」、「権利管理(RM:Rights Management)」及び「電子著作権管理(ECM:Electronic Copyright Management)」と呼ばれている。
【0003】
ここで使用される「ドキュメント」は、限定はされないが、通信文、書籍、雑誌、定期刊行物、新聞、他の刊行文書、ソフトウェア、写真及び他の画像、オーディオ及びビデオ・クリップ、及び他のマルチメディア表現を含む、配布又は転送される情報の任意のユニットである。ドキュメントは、用紙上にプリントされた形式で、記憶媒体上のデジタルデータとして、又は様々な媒体上で他の任意の公知の形式で具体化され得る。
【0004】
複写の低品質及び印刷物の配布のコストの高さが、多くのプリントドキュメントの不法な複写を阻止する役割を果たしている一方で、保護されていない電子ドキュメントをコピーし、変更し、再配布することはあまりに簡単である。従って、それらを不法にコピーすることを難しくするために、電子ドキュメントを保護する何らかの方法が必要である。例えば、プリントドキュメントのハードコピーを作成し、プリントドキュメントを旧式の方法で複製することが未だ可能であったとしても、これはコピーを抑止する役割を果たすであろう。
【0005】
「保全コンテナ」(又は単に暗号化されたドキュメント)は、1組の権限認可条件が満たされ、幾つかの著作権の契約条件が果たされる(例えば、使用料の支払い)まで、ドキュメントのコンテンツを暗号化された状態に保つための方法を提供する。
【0006】
暗号化メカニズムは一般にドキュメントを暗号化する(encrypt or encipher)ために使用され、その後ドキュメントは配布されて公的に格納される。最終的には、認可されたユーザにより、ドキュメントは復号される。これは、ドキュメントの配布者から意図されるユーザへの公衆網を介してのドキュメントの配布中、並びに安全でない媒体へのドキュメントの格納中の保護の基本形式を提供する。
【0007】
「信頼されるシステム」のアプローチでは、システム全体が、ドキュメントの認可されていない使用及び配布を防止する責任を持つ。
【0008】
従って、ある程度信頼される構成要素を配置することが可能であっても、人々は様々な未確認であり且つ信頼されていない構成要素及びシステムに頼り続けざるを得ない。このようなシステムでは、例え安全であると見込まれる場合でも、予期せぬバグ及び弱点がしばしば発見され、利用される。
【0009】
【発明が解決しようとする課題】
従って、メッセージを復号するための権利を譲渡する機能をサポートする暗号化/復号化のフレームワークを有することが好ましい。このようなフレームワークは、オリジナルメッセージを先ず復号することなく、別の団体が使用するためにメッセージの再暗号化を代理人が本質的に認可することを可能にする。また、この代理人が暗号化されたメッセージを一切保有することなく、これが実行可能であると有用である。
【0010】
【課題を解決するための手段】
本開示において、同様の一般的な問題が初めに提示されるが、それは符号化方式のより一般的なコンテキストにおいてである。本開示で検討される符号化方式は、セキュリティに関する要件を必ずしも持たなくてよいという点で、暗号化方式又は暗号システムと異なる。符号化方式が暗号化方式たるためには、符号化されたメッセージに気付いた際に、盗聴者がオリジナルメッセージとこのメッセージを復号するために使用される鍵との何れかを明らかにすることが不可能でなければならない。符号化方式を用いた対応は、効率的な大量ドキュメントの配布及び長期にわたり暗号化されたメッセージを保護するために新しい鍵により暗号文を更新する等、軽いセキュリティだが高実行効率を有するアプリケーションの構築を可能にする。本開示では、ある種類の符号化方式が定義され、方式の幾つかの例が提供される。既存の方法を用いて新たな方式が構成され得るプロセスもまた、本明細書で提供される。
【0011】
幾つかのより本式の代理暗号化方式が次に提示される。代理暗号化方式は、指定された鍵保有者が別の鍵保有者に代わってメッセージを復号することを可能にする暗号化方式である。本開示は、公知のエルガマル(ElGamal)方式に基づき、且つ既存の代理暗号化方式に比べて改善された機能を有する2つの新たな代理暗号化方式を紹介する。これらは、代理に関する情報及び変換が安全に公開されることが可能である点で公開型であると同時に、関与する鍵保有者間の信頼関係の点で非可換性である。大量ドキュメントの配布及びファイル保護へのこれらの新たな方式の適用もまた提示される。
【0012】
本開示で示される方法の基本概念は、次のとおりである。即ち、アリスが復号権をボブに譲渡するために、アリスはボブのための譲渡/転送鍵tを生成する。この譲渡鍵tにより、最初はアリスのために符号化されたメッセージをボブが再暗号化し、その後彼自身の鍵を用いることによりこれを復号することができる。代理暗号化の場合と同様に、この譲渡は、譲渡鍵がアリスとボブの両者の復号鍵、又はオリジナルメッセージを明かさずに実行される。
【0013】
ある鍵保有者から別の保有者に復号権を安全且つ効率的な方法で委任する方法が、代理暗号化の主題である。極最近、ある鍵のために暗号化されたメッセージを、秘密の復号鍵及びオリジナルメッセージを公開せずに、別の鍵のために暗号化されたメッセージに変換するための幾つかの特殊代理暗号化方式が提案されている。
【0014】
従って、公開型且つ非可換性である本発明の代理暗号化方式は、他の公知の暗号システムの欠点を排除する。
【0015】
本開示では次に、2つの新たな代理暗号化方式が紹介される。これらは全てエルガマル公開鍵暗号化方式に基づき、それに匹敵する計算性能を有する。本質的にこれらの方式は、以下に示す既存の方式の好ましい特徴を保持している。(i)公開性:代理情報が生成された後は、オリジナルの鍵保有者の介入は必要とされず、代理に関する情報及び演算は公的に通信され、処理される。(ii)非可換性:鍵保有者は、彼らの秘密の復号鍵に関して互いに信用する必要がない。及び、(iii)限定性:復号権が委任される鍵保有者は特定されており、代理情報(鍵)はメッセージに依存する。
【0016】
最後に、メッセージの復号権の委任が、他のシステムに優る幾つかの利点を有するCramer-Shoup暗号システムのコンテキストで説明される。
【0017】
【発明の実施の形態】
図1は、先に定義されたように通信文、書籍、雑誌、定期刊行物、新聞、他の刊行文書、ソフトウェア、オーディオ並びにビデオ・クリップ、及び他のマルチメディア表現を含み得るドキュメントの電子配布のためのシステムの上位の機能モデルを示している。
【0018】
著作者(又は出版社)110は、ドキュメントのオリジナルのコンテンツ112を作成し、配布のためにこれを配布業者114に渡す。配布業者として第三者を介さずに、著作者がドキュメントを直接配布することも可能であるが、図1で説明される分業は著作者/出版社110がコンテンツの作成に集中するのを可能にし、配布業者114により代行される機械的及び単純な作業には注意を払わなくてよいことから、分業はより効率的である。更に、このような分業は、配布業者114が多数の著作者及び出版社(例示された著作者/出版社110を含む)と提携することにより規模の利益(economies of scale)の実現を可能にする。
【0019】
配布業者114はその後、変更されたコンテンツ116をユーザ118に渡す。一般的な電子配布モデルにおいて、変更されたコンテンツ116はオリジナルの暗号化済みのコンテンツ112の再度暗号化されたバージョンを表わす。配布業者114は先ず、オリジナルのコンテンツ112を復号し、次にこれをユーザ118の公開鍵により再暗号化する。この変更されたコンテンツ116は、単一のユーザ118のためにのみカスタマイズされる。ユーザ118はその後、自身の専用鍵を使用して変更されたコンテンツ116を復号し、オリジナルのコンテンツ112を見ることができる。
【0020】
コンテンツ112に対する支払い120は、ユーザ118から配布業者114へ清算所122を介して渡される。清算所122は、ユーザ118及び特定のドキュメントの閲覧を希望する他のユーザからの要求を集める。また、清算所122は、デビット取引、クレジットカード取引、又は他の公知の電子支払い方式等の支払い情報を収集し、収集したユーザの支払いを支払いバッチ124として配布業者114に転送する。当然ながら、清算所122はユーザの支払い120の一部を保持することが予想される。同様に、配布業者114は支払いバッチ124の一部を保持し、支払い126(使用料を含む)を著作者及び出版社110に転送する。この方式の実施の一形態において、配布業者114は送信する前に、ある1つのドキュメントに対する一群のユーザ要求を待ち受ける。一群のユーザ要求が集まると、変更されたコンテンツ116を有する単一のドキュメントを、要求しているユーザ全てによって復号されるように生成することが可能である。この技術は当該技術においては公知である。
【0021】
一方、ユーザ118がドキュメントを要求(又は使用)する度に、会計メッセージ128が監査サーバ130に送信される。監査サーバ130は、ユーザ118による各要求が配布業者114により送られたドキュメントと一致するか否かを確かめる。会計情報131は配布業者114から直接、監査サーバ130により受信される。如何なる矛盾もレポート132を介して清算所122に送信され、清算所122はその後、配布業者114へ送られた支払いバッチ124を調整することが可能である。この会計方式は、この電子ドキュメント配布モデルでの詐欺行為の可能性を減じるため、並びに使用時間又は他の程度に応じて変化する使用料に帰結する任意の時間依存の使用許可を扱うために存在する。
【0022】
図1に示されるドキュメントの電子商取引のための前述のモデルは、今日では一般に用いられている。このモデルは、以下で詳細に示されるように、本明細書で説明される自己防衛ドキュメントの配布のためのシステム及び方法に同様に適用可能である。
【0023】
[代理符号化方式]
分り易さのために、次のタイプの符号化方式を先ず検討する。即ち、4つの要素から成る符号化システムであり、4つの要素は、(i)可能なメッセージの集合であるメッセージ空間Xと、(ii)可能な鍵の集合である鍵空間Kと、(iii)計算処理上効率的な符号化変換であるE:K×X→Xと、(iv)計算処理上効率的な復号変換であるD:K×X→Xである。各k∈Kである場合、符号化変換Ek:X→X及び復号変換Dk:X→Xは、Xへの単射(1対1)マッピングであり、各メッセージx∈Xである場合に、
k(Ek(x))=x
が成り立つ。このように定義される符号化方式は確実に、より広い範囲を網羅するように個々の方式ごとに幾つかの点で異なり得る。ある方式では、符号化されたメッセージの空間とオリジナルメッセージの空間とが区別され、別の方式では符号化及び復号のために異なる鍵を使用することが検討される。暗号法の点から、以下で検討される符号化方式は、本質的に秘密鍵による(又は、より詳細には対称性の)自己準同形(endomorphic)の暗号システムである。
【0024】
このように定義された符号化方式は、幾つかの有利な特性を有する。符号化方式(X、K、E、D)を与えられると、各符号化変換及びそれに対応する復号変換は、互いの逆変換である。即ち、各k∈Kである場合、
k=(Ek-1 且つ Ek=(Dk-1
である。Xが有限集合である場合、各符号化又は復号変換は単に、Xの順列である。
【0025】
古典的な対称鍵暗号化方式は、符号化方式である。この内の幾つかを以下に示す。
【0026】
●XOR方式XO
この方式では、メッセージ空間Xは、ある整数n>0である場合に、全てnビットのバイナリ・ストリング(2進文字列)から成る集合Bnであり、鍵空間Kも同様である。可能なメッセージ数及び可能な鍵の数は何れも2nである。各メッセージx及び各鍵kのための符号化は、次の式(1)で示され、メッセージyの復号は次の式(2)で示される。
【数1】
Figure 0004010766
【0027】
●乗法方式M
この方式におけるメッセージは、ある整数n>0である場合に、X=Zn={0,1,...,n−1}内の要素である。鍵もまた、集合Zn内の要素aであるが、gcd(a,n)=1を満たす。この式で「gcd」関数は2つの引き数の最大公約数を意味する。即ち、鍵空間Kは次の式で示される乗法群内の要素から成る。
【数2】
Figure 0004010766
【0028】
鍵aによるメッセージxの符号化は、
y=Ea(x)=ax(mod n)
であり、鍵aによるメッセージyの復号は、
x=Da(y)=a-1y(mod n)
である。これらの式において、a-1は、aモジュロnの乗法逆数である。即ち、a-1は、aa-1(mod n)=a-1a(mod n)=1であるような集合Zn内の要素である。aの条件であるgcd(a,n)=1は、aが逆数a-1を有することを保証するために用いられることに留意されたい。このようなaの数は、次の式で示されるオイラーのφ関数の値に等しいことが知られている。
【数3】
Figure 0004010766
【0029】
●シフト方式S
シフト方式のメッセージ及び鍵は、ある整数n>0である場合に、Zn={0,1,...,n−1}内の全ての要素である。即ち、X=K=Znである。従って、シフト方式におけるメッセージの数及び鍵の数は、どちらもnに等しい。鍵bを用いてメッセージxを符号化するには、
y=Eb(x)=x+b(mod n)
が計算され、bを用いてメッセージyを復号するには、
x=Db(y)=y−b(mod n)
が計算される。
【0030】
●代入方式P
この方式もまた、X=Znにわたって定義される。しかしながら、鍵空間K=Πnは、集合Zn内の全ての順列により構成される。従って、鍵の総数はn!である。各順列がp∈Πnである場合に、符号化は、
y=Ep(x)=p(x)
であり、復号は、
x=Dp(y)=p-1(y)
である。この式において、p-1はpの逆順列である。
【0031】
乗法方式及びシフト方式はそれぞれ、φ(n)及びn個の要素のn!通りの可能な順列の内のnのみを含む、代入方式の特殊な例であることに留意すべきである。
【0032】
新たな符号化方式は、既存の方式を組み合わせることにより構成することができる。1つの方法は、それらの「積」を算出することである。S及びS'が同一のメッセージ空間Xを用いる2つの符号化方式であると仮定する。S×S'により示されるS及びS'の積は、同一のメッセージ空間Xを有する。積方式の鍵は、(k,k')を有し、k及びk'はそれぞれS及びS'の鍵である。積方式の符号化及び復号変換は、各鍵(k,k')∈Kである場合に、
(k,k')(x)=Ek'(Ek(x))
及び、
(k,k') (x) =D k ( k' (x))
である。即ち、メッセージxは先ずEkを用いて符号化され、結果として得られるメッセージがその後、Ek'により「再符号化」される。復号も同様であるが、逆の順序で行われる。
【0033】
積の構成が、常に結合性、即ち、(S×S')×S"=S×(S'×S")であることを確認するのは簡単である。符号化方式Sが、それ自体の積を算出するために用いられる場合、S2により示される方式S×Sが取得される。n倍の積が用いられる場合は、結果として得られるSnにより示される方式は、繰り返し符号化方式と呼ばれる。
【0034】
積符号化方式の定義を示す簡単な例は以下の通りである。
【0035】
●擬似方式A
この方式もまた、X=Znにわたって定義される。擬似方式の鍵は、集合Zn内の1対の整数(a,b)であり、gcd(a,n)=1を満たす。符号化変換は、
y=E(a,b)(x)=(ax+b)(mod n)
であり、復号変換は、
x=D(a,b)(y)=a-1(y−b)(mod n)
である。この式において、a-1は、aモジュロnのモジュラ逆数である。ax+bタイプのこれらの変換は通常、擬似変換と呼ばれるので、擬似方式と名付けられている。方式Aは、b=0である場合に乗法方式Mに約され、a=1である場合にはシフト方式Sに約される。従って、M及びS(方式)は、A(方式)の特殊な例である。その一方で、Aはそれらの積M×Sである。上述されたように、乗法方式Mにおける鍵は、要素a∈Z* nであり、対応する符号化変換はEa(x)=ax(mod n)である。シフト方式における鍵は、要素b∈Znであり、対応する符号化変換はEb(x)=x+b(mod n)である。このため、積方式M×Sにおける鍵は、(a,b)の形式を有し、(a,b)∈Z* n×Znであり、これの符号化は、
(a,b)(x)=Eb(Ea(x))=ax+b(mod n)
である。これは、まさに擬似方式における符号化変換の定義である。同様に、擬似方式における復号変換は、シフト方式及び乗法方式の復号変換の組み合わせである。
【0036】
上述の符号化方式(X、K、E、D)の何れかにおいて、メッセージの復号権を譲渡する目的は、以下のように示され得る。即ち、任意の所定メッセージx∈X且つ鍵k,k'∈Kである場合に、鍵kを使用して符号化されたメッセージy=Ek(x)を、新たなメッセージy'が鍵k'を使用して正しく復号され得るように、鍵k'を使用して符号化されたメッセージy'=Ek'(x)へ、ある効率的な方法で変換することである。これを達成することができると、メッセージyを復号する権利がkの鍵保有者からk'の鍵保有者へ譲渡又は委任されたと言われる。
【0037】
図2は、この目的を達成するために必要な変換π210を示している。Ek、π及びDk'をそれぞれ示している太線212、214及び216は、1つの鍵kを用いてメッセージxを符号化し、符号化されたメッセージを別の鍵k'を用いて符号化された別のメッセージへ変換し、そして鍵k'を使用してこのメッセージを復号するステップのシーケンスを形成している。変換Ek'及びDkをそれぞれ示している細線218及び220は、実行され得る他の可能な符号化及び復号演算を示している。
【0038】
多くの場合、符号化方式の鍵空間Kは単なる集合ではない。ある演算「・」を伴うと、Kはある数学的構造を有し得る。例えば、先の段落で挙げられた全ての方式の例の鍵空間は、数学的な群にするためにある演算を伴うことが可能である。下記の表1は、これらの演算の内の幾つかを示し、この中で、
*:(Z* n×Zn)×(Z* n×Zn)→Z* n×Zn
は、
(a,b)*(a',b')=(a'a(mod n),a'b+b'(mod n))
と定義される。
【表1】
Figure 0004010766
【0039】
符号化方式(X、K、E、D)の鍵空間Kが、ある演算「・」を有する群である場合、符号化及び復号変換は、この鍵により一意に決定され得る。これは、鍵空間Kが、メッセージ空間Xにおける符号化及び復号変換により形成された変換群E={Ek|k∈K}及びD={Dk|k∈K}と同型である場合に生じる。即ち、任意のk,k'∈Kである場合に以下の式が成り立つ。
【数4】
Figure 0004010766
【0040】
上記の表1に示される全ての方式が鍵により決定されることは、容易に確認することができる。鍵により決定される符号化方式は、ある鍵保有者から別の鍵保有者へメッセージの復号権を譲渡するための体系的な方法を可能にする。鍵空間と変換群との同型性により、1つの鍵kによる復号変換及び別の鍵k'による符号化変換の結合は、その後、結合された鍵k-1・kにより決定される符号化変換とみなされることが可能である。(X,K,E,D)を鍵により決定される符号化方式と仮定する。y=Ek(x)は、メッセージx∈Xの鍵k∈Kにより符号化されたバージョンであると仮定する。xの符号化済みメッセージの復号権は、kの鍵保有者からk'の鍵保有者へ、図3に示される2ステップのアルゴリズムで譲渡されることが可能である。
【0041】
先ず、譲渡鍵t=k-1・kを生成する(ステップ310)。次に、y'=Et(y)に従って、譲渡鍵tを用いてメッセージを符号化する(ステップ312)。
【0042】
符号化及び復号変換群と同型である鍵空間の特性のために、このアルゴリズムは正確である。この正確さは、次のように証明することができる。
【数5】
Figure 0004010766
【0043】
アルゴリズムの普遍性は、上述の方式の例の譲渡ステップを即座に導き出す。再度図3を参照すると、集合Bnに対するXOR方式XOでは、y=Ek(x)をy'=Ek'(x)に変換するために、先ず次の(3)で示される譲渡鍵tを生成し(ステップ310)、次に、この譲渡鍵tを用いてメッセージを次式(4)のように符号化する(ステップ312)。
【数6】
Figure 0004010766
【0044】
* nに対する乗法方式Mでは、y=Ea(x)をy'=Ea'(x)に変換するために、先ず譲渡鍵t=a'a-1(mod n)を生成する(ステップ310)。次に、この譲渡鍵tを用いてy'=ty(mod n)に従ってメッセージを符号化する(ステップ312)。
【0045】
nに対するシフト方式Sでは、y=Eb(x)をy'=Eb'(x)に変換するために、先ず譲渡鍵t=b'−b(mod n)を生成する(ステップ310)。次に、この譲渡鍵tを用いてy'=y+t(mod n)に従ってメッセージを符号化する(ステップ312)。
【0046】
Πnに対する置換方式Pでは、y=Ep(x)をy'=Ep'(x)に変換するために、先ず次式に示される譲渡鍵tを生成し(ステップ310)、次に、この譲渡鍵tを用いてy'=t(y)に従ってメッセージを符号化する(ステップ312)。
【数7】
Figure 0004010766
【0047】
以下で説明されるように、鍵により決定される符号化だけでなく、可換方式の積方式により復号権を譲渡することもまた可能である。可換方式を定義するために、本質的に同等である符号化方式を特徴付けることが必要である。S=(X,K,E,D)及びS'=(X,K',E',D')が、同一のメッセージ空間Xを有する2つの符号化方式であると仮定する。各メッセージx∈X且つ各鍵k∈Kである場合に、
k(x)=E'h(k)(x) 且つ
k(x)=D'h(k)(x)
であるような全単射(一対一及びそれ以上の)マッピングh:K→K'が存在する場合、SはS'と等価であるとされ、S≡S'で示される。明らかに、この方式の等価関係≡は、等価関係である。即ち、任意の符号化方式S、S'、S"にとって、(i)S≡S、(ii)S≡S'はS'≡Sを暗示する、及び(iii)S≡S'及びS'≡S"は、S≡S"を暗示する、が成り立つ。従って、等価の符号化方式は、クラス内の各方式が、同クラス内の他の何れの方式よりも多い機能又は少ない機能を提供することはない点で等価クラスを形成する。
【0048】
方式の等価関係は、符号化方式を複数の方法で特徴付けることを可能にする。符号化方式Sは、S2≡Sである場合に、ベキ等と言われる。XOR、乗法、シフト、置換及び擬似方式を含む、多くの符号化方式は、ベキ等である。方式Sがベキ等である場合、積方式S2は特別な鍵を必要とするが、それ以上の機能を提供しないので、積方式S2を用いる意味はない。
【0049】
方式の等価関係≡を用いる符号化方式の別の特徴付けは、可換方式の等価関係である。2つの符号化方式S及びS'は、S×S'≡S'×Sである場合に、可換と言われる。些細なことであるが、任意の方式は、それ自体と可換である。それよりも意味のある例は、乗法方式M及びシフト方式Sの可換である。それらが可換であること、即ちM×S≡S×M、を確かめるために、
b(Ea(x))=ax+b(mod n)と、
a(Eb(x))=ax+ab(mod n)と、
が比較され得、
h(b,a)=(a,a-1b(mod n))
により定義されるマッピング
h:KS×KM→KM×KS
が、積S×Mを積M×Sと同型にすることが確認される。
【0050】
鍵により決定され且つ可換性である符号化方式の積方式は、メッセージの復号権を譲渡するための体系的な方法を享受する。仮にS1×S2を、鍵により決定され且つ可換性である2つの符号化方式の積方式とする。h1:K2×K1→K1及びh2:K2×K1→K2である場合に、h=(h1,h2):K2×K1→K1×K2は、S2×S1をS1×S2と同型にするマッピングであると仮定する。先ず、積方式もまた、鍵により決定されることを確認する。鍵空間の積K1×K2は、次の式(5)により定義される演算*に関する群である。何故なら、次式(6)のように証明されるからである。
【数8】
Figure 0004010766
【0051】
ここで、xの符号化済みメッセージの復号権は、kの鍵保有者から別の鍵k'の保有者へ、図3に示される2ステップのアルゴリズムで譲渡されることが可能である。先ず、次の式で示される譲渡鍵tを生成し(ステップ310)、その後、この鍵tを用いてy'=Et(y)に従ってメッセージを符号化する(ステップ312)。
【数9】
Figure 0004010766
【0052】
この譲渡アルゴリズムの正確さは、次の等式により証明される。
【数10】
Figure 0004010766
【0053】
この方法は、Znに対して擬似暗号Aを適用する以下の例により最もよく示される。A=M×Sであり、M及びSは鍵により決定され且つ可換方式であるので、上述の方法は、擬似方式に適合する。上述のように、S×MをM×Sと同型にするのは、マッピングh(b,a)=(a,ab)である。従って、h1(b,a)=a及びh2(a,b)=ab(mod n)が成り立つ。(a,b)から(a',b')への譲渡鍵tは、
Figure 0004010766
のように導くことができる。次に、第2の鍵(a',b')を用いてyを復号するために、先ず次の式に示される譲渡鍵tを生成し(ステップ310)、その後、この譲渡鍵tを用いてy'=t1y+t2(mod n)に従ってメッセージを符号化する(ステップ312)。
【数11】
Figure 0004010766
【0054】
メッセージの復号権を譲渡するためのここで示される方法は、移行型である。これは、アリスからボブへ、そしてその後ボブからキャロルへの2つの連続して行われる譲渡が、アリスからキャロルへの直接的な譲渡と等価であることを意味する。各方式の例において、譲渡鍵は、その方式の鍵でもあることに留意することが重要である。
【0055】
従って、2回の連続譲渡で用いられる2つの譲渡鍵は、直接譲渡のための譲渡鍵を形成するために組み合わせられることが可能である。擬似方式を例にとる。仮にk=(a,b)、k'=(a',b')、及びk"=(a",b")をそれぞれ、アリス、ボブ、及びキャロルの鍵とする。すると、アリスからボブへの譲渡鍵はt=(a'a-1,-a'a-1b+b')であり、ボブからキャロルへの譲渡鍵はt'=(a"a'-1,-a"a'-1b'+b")であり、そしてアリスからキャロルへの譲渡鍵はt"=(a"a-1,-a"a-1b+b")である。擬似方式における鍵として、t及びt'の結合がt"をもたらすことは、次の式により容易に確認することができる。換言すると、メッセージの復号権の連続的な譲渡の結合は、メモリを必要とせず、全ての中間譲渡は、譲渡全体に反映されない。
【数12】
Figure 0004010766
【0056】
更に、方式XO、M、及びSでは、譲渡鍵の生成ステップは、kによるk'の「復号」に等しいことに留意すべきである。従って、譲渡で必要とされる計算は、これらの方式の復号及び再符号化方法で用いられる計算と同一である。この新たな方法では、効率の面で、改善が見られないと考えるかもしれないが、この譲渡鍵はメッセージに依存していないので、計算は一度だけされればよい。譲渡に含まれるメッセージmの数が増加すると、この特徴は、再符号化方法により必要とされる計算を半分まで減少させる。更に、この譲渡鍵tは、鍵k及びk'に関する有効な情報を一切洩らさず、本明細書で説明されているこの方法に従って実行される譲渡は、メッセージxを明らかにしない。これらの特性は、譲渡中のメッセージx及び復号鍵k並びにk'のセキュリティが問題である場合に、魅力的である。
【0057】
図3を参照して説明された(そして、以下で更に詳細に説明される)方法の実行を可能にする一般的なシステム構成が、図4に示される。多くの代理暗号化アプリケーションには、3つの関与パーティー(当事者)、即ち、エンクリプター(暗号化する人)410、譲渡人A412、及び譲受人B414が介在する。理解されるように、暗号化、復号化、及び本発明で実行される他の処理演算は、各パーティーの管理下でプロセッサ(416、418、420)により容易に処理される。各プロセッサは、データ記憶用のメモリ(422、424、426)と、メッセージの送受信が可能な通信インターフェース(428、430、432)とを備えている。
【0058】
[代理暗号化方式]
暗号化方式よりも寧ろ、より形式的な代理暗号化方式に関する、本開示の残りは、以下のように構成される。先ず、一般の代理暗号化方式が説明され、幾つかの判断基準に従って特徴付けられる。以下の数段落では、本開示全体を通して用いられ、エルガマル公開鍵暗号化方式を喚起する表記法を明確にする。比較のために、本開示は次に、2つの既存の代理暗号化方式を挙げ、それらの特性を本発明と比較して調べる。次に、2つの新たな代理暗号化方式に関する詳細が、それらのセキュリティ及び性能分析と共に、紹介される。その後、これらの新たな方式の、膨大なドキュメント配布及びファイル保護への適用が示される。
【0059】
序論で示されたように、代理暗号化の目的は、ある人から別の人へ復号権を安全且つ効率的な方法で委任することである。後に続く議論のために、代理暗号化に関与し得るパーティーの役割を定義しておくと都合がよい。2つの最も重要な役割は、譲渡人及び譲受人の役割である。譲渡人は、暗号化されたメッセージのオリジナルの鍵保有者であり、復号権を誰か他の人に委任することを希望する人である。譲受人は、譲渡人の代わりに復号を実行するように指名される鍵保有者であり、従って、譲渡人の復号の代理を務める。序論の動機付けのための例において、アリスは譲渡人であり、ボブは譲受人である。他の役割には、元は譲渡人のためにメッセージを暗号化するエンクリプター、及び譲渡人のために暗号化されたメッセージを譲受人のために暗号化されたメッセージへ変換すること等の、あるメッセージ処理作業の実行を助けることができる促進者(ファシリテーター)が含まれ得る。当然ながら、これらの全ての役割が、異なるパーティーにより行われる必要はない。例えば、以下で説明されるMambo及びOkamotoの方式におけるように、1つのパーティーが、譲渡人及び促進者の役割を行ってもよい。
【0060】
これらの役割が適切に割り当てられた場合、代理暗号化方式は単に、譲渡人が、場合によっては促進者からの援助を幾らか受けながら、エンクリプターにより元々譲渡人のために生成されたメッセージの復号権を譲受人に委任する方法の説明である。代理暗号化方式は、4つの一般的なステップ、即ち、メッセージの暗号化、代理鍵の生成、代理変換、及びメッセージの復号、から構成されることが可能である。これらのステップは、図5を参照して、以下で更に詳細に説明される。
1.メッセージの暗号化E:エンクリプターは、譲渡人の暗号化鍵を用いて暗号化済みメッセージを生成し、このメッセージを譲渡人に配信する(ステップ510)。
2.代理生成π:復号権を譲受人に委任するために、譲渡人は、譲渡人のために暗号化されたメッセージを譲受人が復号することを可能にするために委任トークンとして代理鍵πを生成する(ステップ512)。
3.代理変換Π:必要に応じて、促進者は、場合によっては代理鍵πを用いて、譲渡人のために暗号化されたメッセージを譲受人のために暗号化されたメッセージに変換するために、代理変換Πを実行する(ステップ514)。
4.メッセージの復号D:変換されたメッセージ、及び場合によっては代理鍵πを受取ると、譲受人はメッセージを復号する(ステップ516)。
【0061】
従って、上述の一般的な方式は、序論で触れた代理暗号化への2つの単純な解決策を含有している。再暗号化方式は、譲渡人(アリス)が、メッセージを実際に復号し、その後譲受人(ボブ)のために暗号化する促進者でもある特殊なケースであり、代理(鍵)πは、譲受人にではなく、譲渡人によってのみ用いられる、譲渡人の復号鍵及び譲受人の暗号化鍵の集合と考えられることが可能である。譲渡人の復号鍵を譲受人へ渡す方式は、代理鍵が復号鍵であり、且つ代理変換が識別変換である、一般の方式のまた別の特殊なケースである。
【0062】
しかしながら、上述の一般の方式から導かれることが可能な全ての方式が、代理暗号化方式として適切であるわけではない。直感的に、代理暗号化方式は、幾つかの基本要件、即ち、以下で説明されるような権利の委任、セキュリティ、移行性、及び性能を満たさなければならない。
【0063】
権利の委任:メッセージ復号ステップの最後に、譲受人がオリジナルメッセージを正しく復元できることを保証するために、次の方程式が任意のメッセージmに適合しなければならない。
D(Π(E(m,eA),π),dB,π)=m
この式において、E(m,e)は、暗号化鍵eの下でのメッセージmの暗号化関数であり、D(c,d,π)は、復号鍵d及び場合によっては代理鍵πの下での暗号化済みメッセージcに対応する復号関数であり、Π(c,π)は、代理鍵πに従って、暗号化済みメッセージcを変換する代理関数であり、eA、eB、dA、及びdBはそれぞれ、譲渡人A及び譲受人Bの暗号化鍵及び復号鍵である。
【0064】
上述の正確さに加えて、権利の委任の機能が保証されなければならない。ある形式において、これは、代理鍵が発行され、代理変換が完了した後には、メッセージ復号ステップが譲渡人から一切の個人情報を要求しないこと、そして譲受人によってのみ実行されるべきことを意味する。別の形式においては、これは、譲渡人からの委任の拒否が不可能であることに等しい。即ち、一旦代理鍵が生成され、代理変換が実行されると、譲受人が代理鍵を取得し、変換済みのメッセージを受信することを妨げる等の他の手段を求めることなく、譲渡人はこの委任を否定することはできない。この機能の結果として、譲渡人の復号鍵は、譲受人の復号鍵及び場合によってはメッセージを復号するための能力を維持する代理鍵と共に破壊されることが可能である。(これは、後に説明されるファイル保護への適用に有用である。)
【0065】
セキュリティ:本質的に、代理暗号化方式もまた、少なくとも譲受人の視点からの暗号化方式である。代理鍵及び変換の導入は、暗号化のセキュリティとプライバシー(守秘権)を決して危険にさらしてはならない。従って、任意の認可されていない第三者にとってオリジナルメッセージ及び公的に入手可能な情報から譲渡人及び譲受人の復号鍵を復元することは、少なくとも計算上困難でなければならない。
【0066】
更に、任意の信用されていないパーティーによる有効な代理鍵の偽造は、非常に困難でなければならない。しかしながら、代理鍵πの生成は、少なくとも譲渡人の復号鍵に関する知識を必要とすることは明白であり、そうでないならば、根本の暗号化システムは安全ではない。
【0067】
移行性:当然ながら、代理関係は移行性であるべきである。譲渡人が復号権を委任した後、譲受人は、単に同じ方式に従うことにより、更に別の譲受人に権利を委任するために新たな譲渡人の役を務めることが可能であるべきである。更に、ある人、例えば第1の譲渡人が、全ての中間代理鍵を1つの代理鍵に結合し、全ての一連の代理変換を1回の変換にまとめることにより、新たな譲受人に権利を直接委任することを可能にするべきである。
【0068】
性能:再暗号化方式は、代理暗号化への直観的な単純な解決策であり、上述の権利の委任、セキュリティ及び移行性の要件を満たすので、任意の実践的に有用な代理暗号化方式が、再暗号化方式と比較した場合に、計算性能における劣化を有さないのは当然である。
【0069】
代理暗号化方式は、それらの適用要件により異なり得る。それらは多くの観点から分類されることが可能である。明白な観点には、それらが公開鍵に基づいているか、又は秘密鍵に基づいているか、及びそれらのセキュリティの尺度が情報の理論上の意味で完全か、又は幾つかの計算上の問題の困難さに依存しているか、が含まれる。以下の観点は、代理鍵及び変換に関する観点である。
【0070】
秘密性:メッセージ及び復号鍵の秘密性は厳守されなければならない一方で、代理鍵及び代理変換の秘密性は、必須要件でなくてもよい。生成される代理鍵が、そのセキュリティ及び信頼されていない環境で適用される代理変換を危険にさらすことなく発行される場合に、この方式は公開型と呼ばれる。非公開型の方式では、代理鍵が譲渡人から促進者及び譲受人へ譲渡されるときに、代理鍵が開示されるのを防ぐための配慮が成されなければならない。その結果、代理鍵を用いる代理変換もまた、非公開型で実行されなければならない。
【0071】
可換性:メッセージに関すると、代理暗号化は、譲受人が譲渡人に代わって復号することをその定義により許可するので、譲受人は譲渡人により無条件で信用されなければならない。しかしながら、信用モデルは、彼らの個人情報ごとに異なり得る。代理暗号化方式は、譲渡人及び譲受人が彼らの秘密鍵に関して互いに信用しなければならない場合、可換性であり、そうでない場合は、可換性ではない。可換性である例は、代理鍵が、譲渡人及び譲受人の何れかがその鍵から他方の復号鍵を取得することが可能なように生成されている場合である。こうした例ではいつでも、代理暗号化メカニズムは、譲受人が暗号化されたメッセージを直接復号するために、譲渡人の復号鍵を使用することを可能にする鍵交換プロトコルにまで簡約され得る。
【0072】
普遍性:多くの場合、譲渡人は、委任された復号権の範囲を制限することを望む。しばしば意図される制限には、代理鍵が指定された譲受人によってのみ使用されること、代理鍵が特定のメッセージにのみ適用可能であること、又は代理変換が特定の促進者によってのみ適用されることが可能であること、が含まれる。例えば、代理暗号化方式が鍵の条件付証書等のあるアプリケーションで用いられる場合、代理鍵は、それらが適用されるメッセージとは独立していることが理想的である。しかしながら、ある人の遺書に保護されて記載されている遺産等の特別な場合の委託のためには、代理鍵が、指名されたパーティー(例えば、孫)にのみ制限され、特定のメッセージ(例えば、遺書のある部分)にのみ適用可能であり、また特定のパーティー(弁護士)による代理変換で恐らく使用されることが可能であることが非常に好ましい。
【0073】
縮退作用:譲渡人及び譲受人が同一人物であり、同一の復号鍵を用いるという極端な状況で用いられる場合、代理暗号化方式は、複雑さ(重要な代理鍵及び変換、及び更なる促進者の必要性等)を一切導入せずに、一般の暗号化方式へ約されるべきである。
【0074】
以下で示されるように、Mambo及びOkamotoの方式は、非公開型であり、非可換性である。彼らの方式において代理鍵は、メッセージ非依存であっても、メッセージ依存であるが、指定された譲受人に制限されていなくてもよい。Blaze及びStraussの方式は、全くその反対であり、公開型であるが、可換性であり、その代理鍵はメッセージ非依存であるが、指定された譲受人に一意に関連付けられている。比較すると、本明細書で説明される本発明の方式は、公開型、且つ非可換性であり、それらの代理鍵はメッセージ依存であり、指定された譲受人に制限される。
【0075】
[エルガマル暗号システムを用いた代理暗号化]
本開示で以下で議論される代理暗号化方式は全て、乗法群内の離散対数に基づいているので、これらの全ての暗号化方式に共通する形式的な設定がここで採用される。ここで用いられる表記法は、エルガマル暗号化方式の喚起である。離散対数に基づく暗号化方式は、RSAタイプの方式をしのぐ技術的長所及び有限体に対する楕円形状曲線群等の多数の有限群への自然な一般化のために、特に有利である。
【0076】
上述のように、任意の自然数nに対して、Zn={0,1,...,n−1}が整数モジュロnの環を意味すると仮定し、Z* n={m∈Zn|gcd(m,n)=1}がZnの乗法群を意味すると仮定する。nが素数である場合は、Z* n={1,...,n−1}であることに留意すべきである。モジュロn及びnに対して相対的に素である数aに対して、a-1はaモジュロnの乗法型逆数を意味すると仮定する。即ち、a-1はaa-1≡1(mod n)を満たす要素である。
【0077】
* pの要素aは、べき乗モジュロnの数がmである場合、位数(order)mであると言われる。もし存在すれば、Z* nの生成元gは、位数|Z* n|(Z* nのサイズ)の要素であり、この場合は、Z* nは巡回群である。nが素数である場合、1以外のZ* nの全ての要素は、Z* nの生成元である。
【0078】
* nを生成元gとの巡回群であると仮定する。loggxと表記される底gに対する要素xの離散対数は、x=ga(mod n)を満たす0≦a≦n−1である一意の整数aである。離散対数問題は、素数p、Z* pの生成元g、及びx∈Z* pを与えられて、ga≡x(mod p)を満たす0≦a≦p−2である整数aを探し出すものである。
【0079】
非常に緊密な相互関係をもった問題は、Diffie-Hellman問題である。これは、素数p、Z* pの生成元g、及び要素ga(mod p)及びgb(mod p)を与えられて、gab(mod p)を探し出す問題である。離散対数問題のあらゆる解がDiffie-Hellman問題を解くために用いられ得るので、離散対数問題は、少なくともDiffie-Hellman問題と同程度難しい。
【0080】
図6に示されるエルガマル暗号化方式は、暗号化及びデジタル署名の両方のためにエルガマルにより提案された離散対数ベースの公開鍵暗号システムの一部である。T. ElGamalによる「離散対数に基づく公開鍵暗号システム及び署名方式(A public key cryptosystem and a signature scheme based on discrete logarithm)」(IEEE Trans. on Information Theory、Vol.31、465〜472頁、1985年)を参照のこと。
【0081】
ここで図6を詳細に参照すると、エルガマル方式は、2つの公開パラメータp及びgを確立することから開始される(ステップ610)。pはp−1が大きな(通常160ビットの)素因数q(例えば、p=2q+1)を有するような素数(一般に512ビット長)であり、gはZ* pの生成元である。あるユーザのための専用鍵は、乱数a∈Z* p-1を一様に選択することにより設定される(ステップ612)。これに関する公開鍵は、α=ga(mod p)として計算される(ステップ614)。ユーザはαを公表し、aを秘密にする。
【0082】
ユーザAに送信されるはずであるメッセージmを公開鍵αを用いて暗号化するために、乱数k∈Z* p-1が一様に選択され(ステップ616)、この乱数と共に、Aに送信されるべき暗号化されたメッセージを表わす一対の数(r,s)が次のように計算される(ステップ618)。
r=gk(mod p)及びs=mαk(mod p)
【0083】
メッセージ(r,s)を復号するために、受信者Aは、
m=s(ra)-1(mod p)
を計算することにより、メッセージmを復元する(ステップ620)。
【0084】
公開パラメータの選択は、方程式gp-1(mod p)≡1(フェルマーの小定理)を成立させることを意図して行われることに留意すべきである。これらのパラメータは、確実に全てのユーザに知らされるべきである。これらのパラメータは、例えば、ある委任された当局者により選択されることが可能である。また、秘密鍵aが選択されるこの方法は、aモジュロp−1の逆数a-1が存在し、且つ一意であることを保証する。
【0085】
RSA公開鍵暗号化方式とは異なり、暗号化されたメッセージもまた乱数kに依存するので、エルガマル方式は非確定的である。実際に、Diffie-Hellmanの鍵交換プロトコルに本質的に類似している。メッセージmを暗号化及び復号するための、送信者と受信者との間で確立される鍵は、r=gk(mod p)(暗号化済みメッセージの一部)及びα=ga(mod p)(Aの公開鍵)からgak(mod p)である。しかしながら、エルガマル暗号化方式のセキュリティは、離散対数問題及びDiffie-Hellman問題の困難さに依存する。現在まで、離散対数問題のための最適なアルゴリズムの探求の実行は、効果的な(多項式時間の)解を一切見出していない。これは、RSA方式のセキュリティの基となっている整数因数分解問題の状況に類似している。更に、ある素数pに対して、離散対数問題を解くことは、同サイズの因数分解問題を解くのと少なくとも同程度難しいこともまた示されている。これは、これらのpに対して、エルガマル方式がRSA方式と少なくとも同程度安全であることを意味している。
【0086】
ここで図7を参照すると、譲渡人Aに送信される必要のあるメッセージmを公開鍵αと共に与えられた場合、メッセージmは、乱数k∈Z* p-1を一様に選択し(ステップ710)、
r=gk(mod p) 及び s=mαk(mod p)
のように、暗号化済みメッセージを表わす一対の数(r,s)を計算する(ステップ712)ことにより、暗号化される。
【0087】
復号権を譲受人Bに委任するために、譲渡人Aは、乱数a'∈Z* p-1を一様に選択し(ステップ714)、π=aa'(mod(p-1))を計算する(ステップ716)ことにより、代理鍵πを生成する。その後、Aはこの代理鍵πをBへ安全な方法で(例えば、Bの公開鍵を用いて暗号化することにより)配信し(ステップ718)、a'の値を内密にしておく。
【0088】
Bがメッセージを復号するのを可能にするために、Aは次の式を計算する。なお、この式においてa'-1は、a'モジュロp−1の乗法型逆数である(ステップ720)。一対の数(r',s)は、Bに送信されるべき変換された暗号化済みのメッセージである。
【数13】
Figure 0004010766
【0089】
変換されたメッセージ(r',s)及び代理鍵πを受信すると、Bは次の式を計算することによりメッセージmを復号する(ステップ722)。
【数14】
Figure 0004010766
【0090】
この代理暗号化方式は、Bの秘密鍵が代理鍵πに置き換えられる以外は、エルガマル方式の暗号化及び復号要素を用いる。変換されたメッセージ(r',s)を復号するためにπを用いる場合、次の式が成立するので、この方式は正確である。
【数15】
Figure 0004010766
【0091】
この方式のセキュリティは、2つの観点から評価される。譲受人Bを含む全ての人にとって、入手可能な全ての情報に基づいて譲渡人Aの秘密鍵を知ることの複雑さは、その人が離散対数問題を解くのと同程度である。代理鍵を用いてさえ、ある人が暗号化済みメッセージを変換する(即ち、(r',s)を生成する)ためにAを装うことの難しさは、その人がDiffie-Hellman問題を解くのと同程度である。
【0092】
この方式は幾つかの魅力的な特徴を有する。第1に、この方式のセキュリティは、BがAの秘密鍵を復号することは困難であることを暗示する。この点で、AがBを信用する必要はなく、従って、この方式は可換性ではない。第2に、生成される代理鍵πは、メッセージ非依存である。Bは、Aにより変換された全てのメッセージを復号するために、この代理鍵πを用いることが可能である。第3に、この方式は、移行要件を満たす。代理鍵π及び変換されたメッセージ(r',s)の両方を受信すると、委任されたユーザBは、πを秘密鍵aとして、(r',s)を(r,s)として扱い、代理生成及び変換を繰返すことにより、更に別のユーザCへ代理を委任することができる。第4に、この方式は、再暗号化方式に比べ、より少ない計算労力を必要とする。
【0093】
しかしながら、代理暗号化をこの方式の方法で実施することは、幾つかの短所を有する。第1に、代理鍵は委任された譲受人Bに関する情報を一切含有せず、譲渡人Aの秘密鍵単独から導かれる。更に、Bにより実行されるメッセージの復号は、Bの秘密復号鍵を必要ともしない。その結果、メッセージは、必ずしもBでなくても、代理鍵及び暗号化済みメッセージを手に入れる如何なる人によっても復号されることが可能である。従って、Bは、代理情報を直接渡すことにより、誰かにメッセージの復号を依頼することが可能である。多くの場合、これは好ましくない。Aは、Aの代理として作業する鍵保有者を指定することが可能であるべきである。
【0094】
第2に、代理鍵πは、AとBとの間の秘密でなければならず、AからBへ安全な方法で送信される必要がある。πがBの情報を一切含有していないこと、及び(r',s)が公然と通信され得ることの結果として、πを明らかにすることは、メッセージの公表に本質的に等しい。
【0095】
第3に、代理変換は、Aにより行われなければならない。変換で用いられる値a'は、Aだけの秘密であり、BがAの復号鍵aを知ることを防ぐことが重要である。
【0096】
要するに、この方式は、可換性でなく、メッセージ非依存であるが、個人に属し、特定の譲受人を指定することができない。
【0097】
Blaze及びStraussは、別の公開鍵代理暗号化方式について説明している。図8に示されるように、この方式はエルガマル暗号化に構造的に類似しているが、パラメータが違ったふうに用いられており、またメッセージを復号するために、秘密鍵の逆数が用いられている。
【0098】
ここで図8をより詳細に参照すると、譲渡人Aに送信される必要のあるメッセージmを公開鍵αと共に与えられた場合、メッセージmは、乱数k∈Z* p-1を一様に選択し(ステップ810)、
r=mgk(mod p) 及び s=αk(mod p)
のように、暗号化済みメッセージを表わす一対の数(r,s)を計算する(ステップ812)ことにより、暗号化される。
【0099】
復号権を譲受人Bに委任するために、譲渡人Aは、Bの秘密復号鍵bを取得し(ステップ814)、π=a-1b(mod(p-1))を計算する(ステップ816)ことにより、代理鍵πを生成する。なお、この式においてa-1はAモジュロp−1の秘密鍵aの逆数である。代理鍵πは、公表されることが可能である。
【0100】
Aのために暗号化されたメッセージ(r,s)をBのために暗号化されたメッセージに変換するために代理鍵πを用いるために、促進者(代理鍵πは公開されているので、必ずしも(譲渡人)Aでなくてもよい)は、s'=sπ(mod p)を計算する(ステップ818)。この一対の数(r,s')は、その後Bへ転送されることが可能な変換された暗号化済みのメッセージを表わす。
【0101】
変換されたメッセージを復号するために、Bは次の式を計算する(ステップ820)。なお、この式において、bはBの秘密鍵であり、b-1はbモジュロp−1の逆数である。
【数16】
Figure 0004010766
【0102】
メッセージの復号において、次の式が成り立つので、この方式は正しい。
【数17】
Figure 0004010766
【0103】
この方式は、メッセージm及び秘密鍵a及びbが暗号化済みメッセージ及び公開鍵から復元されることは不可能である点で、安全である。更に、代理鍵の発行は、メッセージm又は秘密鍵a及びbを危険にさらすことはない。より詳細には、公開情報(α、β、r、s、π、s')からmを復号する問題は、Diffie-Hellman問題と同様に難しい。
【0104】
以前の方式とは異なり、最後のセキュリティの特徴は、代理鍵πを個人に属するように維持することを不要にする。従って、譲渡人Aは、代理変換を実行する誰にでも(促進者)πを公然と送信することが可能であり、又は単にそれを公表することが可能である。更に、この方式は、代理変換を実行するためにAから一切秘密を必要としないので、信用の有無に関わらず誰でも変換を実行することができ、従って、変換処理においてA並びにBが介在する必要性を排除する。
【0105】
また、以前の方式とは異なり、ユーザBにとっては、一般の暗号化メッセージの復号と、代理変換されたメッセージの復号との差はない。この優れた特徴は、ユーザBが全ての受信した暗号化済みメッセージを一様に取り扱うことを可能にする。実際に、信用されていない促進者又はサーバが代理変換を実行し、その後メッセージをユーザBに転送することが可能である。
【0106】
これらの好ましい特徴にも関わらず、この方式は可換性であり、関与する鍵保有者A及びBは、双方向に互いを信用しなければならない。Bは、(代理鍵にb-1を掛けることにより)Aの秘密鍵aを知ることができる。更に、代理鍵はまた、先の方式においてと同様に、メッセージ非依存であり、これは、Aの秘密鍵aのために暗号化された全てのメッセージを復号する権利をBに委任する。従って、この方式は公開型であり、メッセージ非依存であるが、可換性である。
【0107】
本発明の2つの暗号化方式がここで提示され、次にそれらのセキュリティ、可換性、及び性能に関して分析される。非公開型の代理方式と同様に、それらは非可換性であり、それと同時に、可換性代理方式がするように公開代理鍵及び変換をサポートする。しかしながら、これらの方式は、メッセージ依存という点で、非公開型及び可換性方式とは異なる。更に、これらの方式の総合的な性能は、エルガマルに基づく再暗号化方式よりも優れている。
【0108】
また、これらの方式は、エルガマル方式と同じ方式設定を共有し、譲渡人Aが譲受人Bへ復号権を委任する様相を呈する。
【0109】
エルガマル方式を代理暗号化方式に適合する方法を理解するために、エルガマル方式の幾つかの詳細を調べることが有益である。暗号化済みメッセージmの要素rは、受信者Aの秘密鍵a及び公開鍵αとは独立していることに留意すべきである。s=mαk(mod p)=mgka(mod p)のように、αは要素sのみに用いられ、aはsの指数に暗に埋め込まれている。従って、このことは代理変換が、Aの秘密鍵aをsから取り除き、それをBの秘密鍵bに置き換えることにより、Aのために暗号化されたメッセージをBのために暗号化されたメッセージへ変換するには十分である。BがAの秘密鍵aを取得するのを防ぐために、代理鍵を生成する関数は、とにかく「一方向」でなければならない。実際に、これは、
π=gk(b-a)(mod p)
のように、乱数kの助けにより達成されることが可能である。結果として、メッセージ変換を完了させる代理変換は、
s'=sπ(mod p)=mgkak(b-a)(mod p)=mgkb(mod p)
のように表わされる。
【0110】
上述の議論は、図9の方式を導く。この方式は、代理鍵及び変換が、セキュリティ要件を満たし、好ましい公開性及び非可換性特性を提供する結果をもたらす。
【0111】
ここで図9を参照すると、譲渡人Aに送信される必要のあるメッセージmを公開鍵αと共に与えられた場合、メッセージmは、乱数k∈Z* p-1を一様に選択し(ステップ910)、
r=gk(mod p) 及び s=mαk(mod p)
のように、暗号化済みメッセージを表わす一対の数(r,s)を計算する(ステップ912)ことにより、暗号化される。
【0112】
復号権を譲受人Bに委任するために、譲渡人Aは、Bの認証復号鍵bを取得し(ステップ914)、π=rb-a(mod p)を計算する(ステップ916)ことにより、代理鍵πを生成する。
【0113】
メッセージは、s'=sπ(mod p)を計算することにより、(r,s)から(r,s')へ変換される(ステップ918)。このメッセージmはその後、m=s'(rb)-1(mod p)を計算することにより、(r,s')からBによって復号される(ステップ920)。
【0114】
明らかに、この方式は、エルガマル方式のメッセージ暗号化及び復号ステップを用いる。メッセージmは、
s'(rb)-1(mod p)=sπ(rb)-1(mod p)=mgakgk(b-a)(gkb)-1(mod p)=m
から復元されることが可能であるので、この方式は正しい。
【0115】
この方式の優れた特徴は、一般の暗号化済みメッセージ及び代理暗号化済みメッセージが譲受人Bにとっては同じように見えるばかりでなく、この方式は、A及びBが同じ鍵を有する同じユーザである場合のエルガマル方式と一致する。この場合、代理値πは1に等しく、代理変換は識別変換である。
【0116】
この方式が移行性であることを理解するのは容易である。代理変換されたメッセージを受信すると、譲受人Bは、鍵a及びbの代わりにb及びcを用いて代理生成ステップを繰返すことにより、更に例えば別の譲受人Cへ復号権を委任するために、譲渡人Aのように行動することが可能である。
【0117】
また、可換性方式と同様に、代理生成ステップは、代理鍵πを生成するためにA及びBの秘密鍵の両方を必要とする。代替方法として、このステップは、A及びBの両方により信頼される任意の人により実行されてもよい。上述のように、Aの秘密鍵が絶対に必要である。さもなければ、メッセージを復号するために誰でも代理鍵を発行でき、根底の暗号化方式が安全でなくなる。Bの秘密鍵bを確立し、これを伝達するために、Diffie-Hellman鍵交換等の多くの鍵交換プロトコルが使用され得る。以下で更に詳細に示されるように、ある実用的な適用においては、鍵bの必要性もまた、問題ではなく、即ち緩和されることが可能である。
【0118】
しかしながら、非公開型及び可換性の方式とは異なり、本方式は、Aのために暗号化されたメッセージの意図されたメッセージ以外を、譲受人Bに容易に復号させない。明らかに、代理鍵πは、暗号化済みメッセージmに特有の一片の情報、即ち乱数kを含有する。この点で、代理方式は、メッセージ依存である。更に、この方式は、BがAの秘密鍵aを見出すことが困難であるという点で、非可換性である。この事実は、この方式の性能と共に、次の方式を示した後に立証される。
【0119】
先の方式において、代理変換は、暗号化済みメッセージの要素sのみを変化させることに留意すべきである。sはメッセージmに関する情報を実際に保有する部分であるので、mが非常に長いメッセージである場合に、この方式は効率的ではない。例えば、生成される代理鍵はメッセージと同程度長く、代理変換に費やされる労力は、メッセージ全体の長さに比例する。
【0120】
図10に示される方式は、この状況を改善する傾向にある。この方式は、可換性方式のメッセージ暗号化ステップを用い、このステップでメッセージmがsからrへシフトされる。その代理鍵及び変換は、ここでは、メッセージmに直接依存しない。
【0121】
図10に示されるように、譲渡人Aに送信される必要のあるメッセージmを公開鍵αと共に与えられた場合、メッセージmは、乱数k∈Z* p-1を一様に選択し(ステップ1010)、
r=mgk(mod p) 及び s=αk(mod p)
のように、暗号化済みメッセージを表わす一対の数(r,s)を計算する(ステップ1012)ことにより、暗号化される。
【0122】
復号権を譲受人Bに委任するために、譲渡人Aは、Bの認証復号鍵bを取得し(ステップ1014)、次の式を計算することにより代理鍵πを生成する。なお、この式においてa-1はaモジュロp−1の逆数である。
【数18】
Figure 0004010766
【0123】
メッセージは、s'=sπ(mod p)を計算することにより、(r,s)から(r,s')へ変換される(ステップ1018)。このメッセージmは次に、次の式を計算することにより(r,s')からBによって復号される(ステップ1020)。なお、この式においてb-1は、bモジュロp−1の逆数である。
【数19】
Figure 0004010766
【0124】
この方式は、次の式が成り立つので、正しい。この方式の他の特性は、前述の方式と同様に証明されることが可能である。
【数20】
Figure 0004010766
【0125】
それらの方式の性質上の類似性により、2つの新しい方式の内の第1の方式のみが、そのセキュリティ及び非可換性に関してここで分析される。第2の方式に関してもほぼ同様の議論が成され得る。更に、第1の方式(並びに第2の方式)は、移行型であり、そのセキュリティは2人を超える鍵保有者を関与させ得るが、ここで提供される分析は、2人の鍵保有者の場合のみを考える。一般例もまた同様である。提示のわかり易さのために、「(mod p)」はこの項では省略されるが、その発生はコンテキストから明らかである。
【0126】
この方式のパラメータ(p,g)以外の、方式から入手可能な公開情報には、
α=ga、β=gb、r=gk、s=mgak、π=gk(b-a)、s'=mgbk
が含まれることを喚起されたい。
【0127】
以下に示す理由のために、この方式は計算上安全である。Diffie-Hellman及び離散対数問題を解くことが困難であると仮定すると、公開情報からメッセージm及び秘密鍵a並びにbを復号することは困難である。代理鍵は公開情報の一部であるので、これはこの鍵を公表することがメッセージ又は秘密鍵を危うくしないことを暗に示している。この結果、誰かが体系的方法で有効な代理鍵を偽造することは困難である。更に、この方式は、例えBの秘密鍵を用いてもなお、Aの秘密鍵を復号することが困難である点で、非可換性であることが示される。代理鍵が実際に、A及びBの双方から信頼された第三者により生成される場合、この事実は、BがAを信用する必要のないことを暗に示す。これは、可換性方式に対する重要な改善である。
【0128】
更に、上述のように、本発明の代理暗号化方式は、メッセージを再暗号化するよりも効率がよい。表2に示されるのは、本明細書で説明されている本発明の2つの代理暗号化方式が、それらが必要とする計算量に関して、エルガマルアルゴリズムを用いた再暗号化方式と比較された性能である。表2には、全てモジュロpで計算される、乗法演算、べき乗演算、及びNOT演算の数が、方式ごとに列挙される。
【表2】
Figure 0004010766
【0129】
エルガマル方式を用いた再暗号化のための演算の総数は、メッセージが先ず暗号化され、その後復号され、次に再暗号化された後に再度復号されるので、1回のエルガマル暗号化及び復号のための演算数の2倍であることに留意すべきである。更に、第2の方式での計算は、(i)方式の設定ステップで逆数a-1及びb-1を予め計算しておくこと、及び(ii)2つのべき乗を用いる代わりに、代理生成ステップで2つの指数要素(モジュロ(p−1))を乗算すること、により最適化することが可能である。第2の方式の下に示される第2のセットの数値は、この最適化により得られた結果である。総合的には、ここで示されている本発明の代理暗号化方式は、単純なエルガマルベースの再暗号化方式よりも優れた性能を有する。
【0130】
[用途]
公開型、且つ非可換性の代理暗号化方式は、広範囲に及ぶ用途を実施するための重要なメカニズムを提供する。大量ドキュメントの配布及びファイル保護は、本開示の2つの重要な動機である。これらの用途は、代理暗号化のための2つの一般的な状況に対応する。前者は、譲渡人が最初にメッセージを暗号化する人である場合に関係し、後者は、譲渡人及び譲受人が同一の鍵保有者であるが、異なる鍵を有する場合の自動的な委任に関係する。
【0131】
再度述べるが、ドキュメントは、そのコンテンツがテキスト、グラフィックス、オーディオ、ビデオ、実行可能なプログラム又はマルチメディアであってもよい、任意のデジタルファイルを指すことに留意すべきである。DES、IDEA、及びRC4等の従来の非公開鍵アルゴリズムと比較すると、公開鍵アルゴリズムは非常に(処理速度が)遅い傾向にあり、また非公開鍵アルゴリズムは最初に秘密鍵の確立を必要とするので、ネットワークを介してのドキュメントの大量且つ安全な配布のための最も実用的なアプローチは、非公開鍵及び公開鍵暗号化メカニズムを組合せることである。一般に、有効な非公開鍵アルゴリズムが、セッション鍵と呼ばれるランダムに生成される鍵を用いることによりドキュメントを暗号化するために用いられ、各ドキュメントの受信者ごとの公開鍵が、このセッション鍵を暗号化するために用いられる。受信者は、秘密のセッション鍵を復号するために受信者自身の専用鍵を用い、その後このドキュメントを復号するためにこのセッション鍵を用いる。
【0132】
実際に、上述のドキュメント配布アプローチは、代理暗号化の趣を有する。即ち、保有者が先ず非公開鍵方式を用いてドキュメントを暗号化し、その後要求に応じて、復号権を公開鍵方式を介してその受信者に与える。2つの新しい代理暗号化方式の両方を、アプローチの最も優れた特徴を組合せて1つの正規の暗号化方式にするように使用されることが可能であることになる。
【0133】
例として上述の第2の方式(図10)を取り上げる。2つの観測結果が順に示される。第1に、暗号化済みメッセージの要素rは、秘密のセッション鍵としてK=gk(mod p)と共に任意の非公開鍵暗号化方式を用いて生成されることが可能である。従って、メッセージmは、次の式で示される秘密のセッション鍵を用いる、対応する秘密鍵による復号により、メッセージ復号ステップで復号されることが可能である。
【数21】
Figure 0004010766
【0134】
実際に、この方式で用いられる秘密鍵による暗号化方式は、暗号化のためにはr=EK(m)=mK(mod p)であり、復号のためにはm=DK'(r)=rK'-1(mod p)である。別の簡単な例は、ビットのXORに基づく暗号化方式である。この例では、r及びmの計算が次の式により置換されることが可能である。
【数22】
Figure 0004010766
【0135】
当然ながら、より強化されたセキュリティが必要な場合は、DES及びトリプルDES等のより高度な非公開鍵暗号化方式を用いることが可能である。
【0136】
第2の観測結果は、譲渡人Aがメッセージmを暗号化する人である場合、Aは乱数kを内密にし、
π=(βα-1)k(mod p)
である代理鍵を生成するために、Bの秘密鍵bを用いる代わりに、Bの公開鍵β=gb(mod p)を用いることが可能である。なお上記の式において、αはAの公開鍵である。これは、Bの秘密鍵b(又はAとBとの間での鍵の交換)を省き、BもまたAを信用する必要はないことを示す。
【0137】
これらの2つの観測結果は、上述の(及び図10に関連する)本発明の第2の代理暗号化方式に基づく図11に示されるドキュメント配布方式を導く。この方式では、秘密鍵暗号化方式が、全ての受信者のために1回だけメッセージを暗号化するために用いられ、あまり得策ではない代理鍵部分は、各受信者ごとに1回ずつカスタマイズされる少量の情報(セッション鍵)を暗号化するために使用される。この方式の有利な特徴は、暗号化済みのドキュメントが公的にアクセス可能なリポジトリに格納されることが可能であること、及び代理変換が、実際のドキュメント管理及び配布システムの必要性に応じて、ドキュメントの所有者A、受信者B、又はドキュメントが物理的に格納されているリポジトリにより実行されることが可能であることである。
【0138】
ここで図11を参照すると、この方式は、標準のエルガマル方式(上述の図6参照)と同じ方法で設定される。更に、体系的な非公開鍵暗号化方式が選択される(ステップ1110)。その暗号化関数及び復号関数は、次の式で表わされ、これらの式においてKはある秘密鍵である。
【数23】
Figure 0004010766
【0139】
ドキュメントmを暗号化するために、所有者Aは先ず、乱数k∈Z* p-1を一様に選択し(ステップ1112)、セッション鍵K=gk(mod p)を計算する(ステップ1114)。暗号化済みドキュメント(r,s)はその後、
r=EK(m) 及び s=Ka(mod p)
のように計算される(ステップ1116)。なお、この式においてaはAの秘密鍵である。Aは一対の数(s,k)を内密にする。
【0140】
受信者Bからの暗号化済みドキュメント(r,s)の要求に応じて、Aは先ずBの認証公開鍵βを取得し(ステップ1118)、一対の数(s,k)からkを取り出す(ステップ1120)。Aはその後、Bのための代理鍵としてπB=βks-1(mod p)を計算する(ステップ1122)。なお、この式においてs-1はsモジュロpの逆数である。
【0141】
ドキュメントはその後、s'=sπB(mod p)を計算することにより変換され(ステップ1124)、一対の(r,s')は、Bのためにカスタマイズされた変換済みドキュメントを表わす。
【0142】
カスタマイズされたドキュメント(r,s')を復号し、オリジナルドキュメントmを取り出すために、Bは先ず、次の式(7)を計算することによりセッション鍵を復号する(ステップ1126)。なお、この式においてb-1はbモジュロp−1の逆数である。その後、ドキュメント自体がm=DK(r)を計算することにより復号される(ステップ1128)。
【数24】
Figure 0004010766
【0143】
上述のように、本発明の適応は、ファイル保護の用途にも適用可能である。通常、ラップトップ及びネットワーク化されたハードウェア等の安全でないシステムにおけるファイル保護は、ファイルの長期にわたる暗号化を含む。従って、ファイルの暗号化のために用いられる暗号化鍵は、通信のための暗号化鍵よりも長い寿命を有する。ユーザの基本の長期にわたる秘密鍵が、ユーザのネットワーク上の識別の基本表現であり得る一方で、それが長期にわたり多数のファイルで用いられる場合、その鍵が危険にさらされる可能性が存在する。基本の鍵を紛失するか又は盗まれた場合、その鍵により暗号化されたファイルのコンテンツが暴かれるのみならず、クレジットカード番号及び社会保障番号等の鍵の基になる個人情報をも失う、即ち盗まれることになる。従って、ファイルを暗号化する必要がある度に、新たな復号鍵が基本の鍵から導き出され、定期的に更新されるオンライン方法を用いることがしばしば好ましい。
【0144】
ここで説明される代理暗号化方式を用いることにより、新たな復号鍵が生成され、それらが新しくあり続けるように、自動的な委任を介して定期的に更新することが可能である。一旦新たな鍵が生成され、対応する代理鍵が生成されると、古い秘密鍵は破壊されることが可能であり、新たな鍵及び代理鍵がファイルを復号する能力を保持する。
【0145】
図12は、復号鍵を格納及び更新するためにスマートカードを用いるファイル保護方式を示す。これもまた、図10に示されるように、本明細書で提示される第2の代理暗号化方式に基づく。
【0146】
図12に示されるように、ファイルmを暗号化するために、スマートカードに埋設されたプロセッサは、乱数k∈Z* p-1を選択し(ステップ1210)、
r=mgk(mod p) 及び s=(gk)a(mod p)
を計算する(ステップ1212)。なおこの式において、aはスマートカードの秘密鍵である。一対の(r,s)は、暗号化済み形式のファイルmを表わす。
【0147】
例えば、数週間ごと、又は予め定められた数のドキュメントに達した後等の必要な又は望まれる場合は常に、スマートカードは別の一様な乱数a'∈Z* p-1を生成し(ステップ1214)、次の式を計算する(ステップ1216)。なお、この式においてa-1はaモジュロp−1の乗法型逆数である。
【数25】
Figure 0004010766
【0148】
暗号化されたファイル(r,s)はその後、(r,s')により置換され(ステップ1218)、復号鍵aは、復号鍵a'により置換される(ステップ1220)。これらのステップ1214から1220は、望まれる限り繰返されることが可能である。
【0149】
オリジナルファイルmをその暗号化されたバージョン(r,s)から復号するために、スマートカード上のプロセッサは、最新の復号鍵aを用いて、次の式を計算する(ステップ1222)。
【数26】
Figure 0004010766
【0150】
ファイル暗号化ステップは、必ずしもスマートカードの秘密鍵からでなく、それが生成する任意の秘密鍵から開始されることが可能であることに留意すべきである。
【0151】
スマートカードが生成する一片の情報によって暗号データを更新することにより暗号化済みファイルを新しく保ち続けることは、保護されたファイルの単一の有効なコピーを維持するのを助ける。これは、ある意味では、コピー保護も提供する。更に、この方式の非可換性は、スマートカードに格納された対応する秘密情報は変更されている(そして好ましくは破壊されている)ので、ファイルの以前のコピーを無効にする。
【0152】
[Cramer-Shoup暗号システムを用いる代理暗号化]
前述の例及びアルゴリズムは全て、エルガマル暗号システムの様々な適応を用いているが、他の暗号システムもまた、本発明の方式により適合されることが可能であることが留意されるべきである。
【0153】
例えば、Cramer-Shoup公開鍵暗号システムは、適応型の選択暗号文攻撃の影響を受けないことを立証可能な初めての実用的な公開鍵システムである、最近提案された暗号システムである。R. Cramer及びV. Shoupによる「適応型の選択暗号文攻撃に対する安全性を立証可能な実用的な公開鍵暗号システム(A Practical Public Key Cryptosystem Provably Secure against Adaptive Chosen Ciphertext Attack)」(CRYPTO '98の会報、Springer Verlag LNCS、vol.1462、13〜25頁(1998年))を参照のこと。適応型の選択暗号文攻撃は、その攻撃者が目標の暗号文以外の任意の選択された暗号文の復号を達成することが可能である性質を呈する。例えば、平文が求められる、ターゲットとなる暗号文が「c」である場合、攻撃者は例えばc+1、4c等を含むc以外の任意の暗号文を復号する「復号オラクル」へのアクセスを有すると推測される。RSA及びエルガマルはこの種の攻撃を受け易い。アクティブ・アタックに対するセキュリティの、異なるが同等の観念は、非順応性と呼ばれる。しかしながら、公知の非順応性のシステムは実用的でない。
【0154】
以下で図13に関連して説明されるのは、Cramer-Shoup暗号システムのハッシュのないバージョンであり、そのセキュリティは任意の群のためのDiffie-Hellman決定問題に完全に基づいている。その後、Cramer-Shoup方式で復号権を委任する方法を、2つの異なる状況で例示する。
【0155】
先ず図13を参照すると、システムはGを素数配列qから成る群として選択することにより設定される(ステップ1310)。なお、qは大きい数値である。システムは、平文メッセージはGの要素であり(又は要素として符号化され得)、暗号文メッセージはG4=G×G×G×Gであると推定する。即ち、暗号文メッセージはそれの対応する平文メッセージの4倍の長さである。
【0156】
群Gの好適な例は、ある大きな素数p=2q+1に対する乗法型集合Z* pの位数qから成る部分群である。この場合、集合{1,...,q}に属するメッセージmは、そのモジュロpを二乗することにより、結果としてGの要素となる値に「符号化」されることが可能であり、メッセージmは、集合{1,...,q}内のその符号化モジュロpの一意の平方根を計算することにより、その符号化から復号されることが可能である。
【0157】
鍵は以下のように生成される。第1に、ランダムな要素g1,g2∈Gが選択され(ステップ1312)、またランダムな要素x1,x2,y11,y12,y21,y22,y31,y32,z∈Zqが選択される(ステップ1314)。次に、次の式で示される群要素c、d1、d2、d3、及びhが計算される(ステップ1316)。
【数27】
Figure 0004010766
【0158】
その後、公開鍵が(g1,g2,c,d1,d2,d3,h)となるように計算され(ステップ1318)、秘密鍵は(x1,x2,y11,y12,y21,y22,y31,y32,z)となるように計算される(ステップ1320)。
【0159】
メッセージm∈Gを与えられると、暗号化方法はランダムにr∈Zqを選択することにより開始される(ステップ1322)。その後、暗号文(u1,u2,e,v)が、次の式のように計算される(ステップ1324)。
【数28】
Figure 0004010766
【0160】
暗号文(u1,u2,e,v)を与えられると、対応する復号アルゴリズムが先ず、次の式(8)で示されるテストを行い(ステップ1326)、一致しない場合は復号作業は拒否される(ステップ1328)。一致する場合は、メッセージmが次式(9)により計算される(ステップ1330)。
【数29】
Figure 0004010766
【0161】
暗号システムの正確さは、メッセージの暗号化の復号がメッセージをもたらすことを確認することにより証明することが可能である。この例では、次の式(10)及び(11)が成り立つので、(12)が成り立つ。同様に、式(13)及び(14)が成り立つ。従って、有効な暗号文は、復号アルゴリズムで実行されるテストに合格する。
【数30】
Figure 0004010766
【0162】
この暗号システムのセキュリティは、Diffie-Hellman決定問題を解く難しさに依存している。Diffie-Hellman決定問題を解くアルゴリズムは、以下の2つの分布、即ち(a)ランダム4重項(g1,g2,u1,u2)∈G4、及び(b)g1及びg2が乱数であり、ある乱数r∈Zqに対して次の式が成り立つランダム4重項(g1,g2,u1,u2)∈G4、を効果的に区別することが可能な統計的検査である。
【数31】
Figure 0004010766
【0163】
Diffie-Hellman問題(g、gx、及びgyを与えられてgxyを計算する)、及び離散対数問題(g及びgxを与えられてxを計算する)が、Diffie-Hellman決定問題に関連する。多項式時間の範囲内で、Diffie-Hellman決定問題はDiffie-Hellman問題に約されることが可能であり、Diffie-Hellman問題は離散対数問題に約されることが可能である。この3つの問題間の関係がCramer-Shoupシステムのための復号権の委任の可能性を導く。
【0164】
ある人が委託者(アリス、A)から被委託者(ボブ、B)へ復号権を委任することを望むと仮定する。アリスが公開鍵(g1,g2,c,d1,d2,d3,h)及び秘密鍵(x1,x2,y11,y12,y21,y22,y31,y32,z)を有し、ボブが公開鍵(g'1,g'2,c',d'1,d'2,d'3,h')及び秘密鍵(x'1,x'2,y'11,y'12,y'21,y'22,y'31,y'32,z')を有すると仮定する。
【0165】
所定の平文メッセージm∈Gに関しては、委託者Aのための暗号文メッセージは、M=(u1,u2,e,v)であり、この式において次の式が成り立つことを喚起されたい。
【数32】
Figure 0004010766
【0166】
同様に、メッセージmが被委託者Bのために直接暗号化される場合、暗号文メッセージはM'=(u'1,u'2,e',v')であり、この式において、次の式(15)、(16)、(17)及び(18)が成り立つ。なお、r'もまた集合Zqからの乱数である。更に、次の式(19)及び(20)も成り立つことに留意されたい。
【数33】
Figure 0004010766
【0167】
上述の概念に基づくと、AからBへの復号権の委任には、MをM'に変換するために用いる譲渡鍵πを生成することが含まれる。以下では、Bの公開鍵の要素g'1及びg'2は、(上述のエルガマルシステムパラメータに類似して)Aの公開鍵の要素g1及びg2と同一であると仮定される。また、乱数r'は、rと同一であると仮定される。これらの2つの仮定の下で、Bの暗号文メッセージの要素u'1及びu'2は、Aの暗号文メッセージの要素u1及びu2と同一である。
【0168】
ここで図14を参照すると、システムはGを素数配列qの群として選択することにより設定される(ステップ1410)。なお、qは大きい数値である。その後、上述と同様に、鍵が次のように生成される。先ず、ランダムな要素g1,g2∈Gが選択され(ステップ1412)、またランダムな要素x1,x2,y11,y12,y21,y22,y31,y32,z∈Zqが選択される(ステップ1414)。次に、以下の式で示される群要素c、d1、d2、d3、及びhが計算される(ステップ1416)。
【数34】
Figure 0004010766
【0169】
その後、公開鍵が(g1,g2,c,d1,d2,d3,h)となるように計算され(ステップ1418)、秘密鍵は(x1,x2,y11,y12,y21,y22,y31,y32,z)となるように計算される(ステップ1420)。
【0170】
メッセージm∈Gを与えられると、暗号化方法はランダムにr∈Zqを選択することにより開始される(ステップ1422)。その後、暗号文(u1,u2,e,v)が、次の式のように計算される(ステップ1424)。
【数35】
Figure 0004010766
【0171】
Bの秘密鍵が譲渡鍵πを生成するために利用可能である場合、この鍵が取得され(ステップ1426)、その後πが、
π=(ε,θ,δ123
のように計算されることが可能である(ステップ1428)。なお、この式においてε、θ、δ1、δ2、及びδ3は、次の式に示される通りである。
【数36】
Figure 0004010766
【0172】
そして、暗号文変換は、次の式により表わされる。これは、暗号文(u1,u2,e,v)を(u1,u2,e',v')に変換する(ステップ1430)。
【数37】
Figure 0004010766
【0173】
受信者/被委託者はその後、変換された暗号文(u1,u2,e',v')を復号することができる。上述のように、復号アルゴリズムは先ず、次の式(21)で示されるテストを行い(ステップ1432)、一致しない場合は、復号作業は拒否される(ステップ1434)。一致する場合は、メッセージmが次の式(22)のように計算される(ステップ1436)。
【数38】
Figure 0004010766
【0174】
委託者AからBへメッセージの復号権を委任するために、被委託者Bの公開鍵のみを用いることが可能な例では、Aのためのメッセージを最初に暗号化する際に用いられた乱数rを保存し用いる必要がある。これは、譲渡鍵を生成するのがAでない場合に問題になり得、譲渡鍵を生成するのが実際にAである場合には問題にならない。如何なる場合でも、利用可能であれば、譲渡鍵πはBの公開鍵を用いて、
π=(ε,θ,δ123)
として生成されることが可能である。なお、この式においてε、θ、δ1、δ2、及びδ3は、次の式に示される通りである。
【数39】
Figure 0004010766
【0175】
そして、暗号文変換は、次の式により表わされる。
【数40】
Figure 0004010766
【0176】
何れの例でも、被委託者Bが、上述の方法により変換された暗号文(u'1,u'2,e',v')を復号するために自分自身の秘密鍵を用いることが可能であることを証明するのは簡単である。Cramer-Shoup暗号システムに関してここで用いられるメカニズムは、上述のエルガマルに類似の暗号システムで用いられるメカニズムと同じであるので、このメカニズムは公開型であり、且つDiffie-Hellman問題及び離散対数問題を解くのが困難であることを考えると、非可換性である。
【0177】
上述のように、代理暗号化能力により一般的な公開鍵暗号化方式を強化することを通して、指定がフレキシブルな復号をサポートすることが可能になる。本開示は、既存の方式の利点を受け継ぎ、それらの欠点を排した2つの公開型、且つ非可換性の代理暗号化方式を提示している。この新しい方式は、大量ドキュメントの配布及びファイル保護に直接適用されるように示された。これらの新しい方式の基本概念はまた、暗号システムを代理暗号化方式へと高度化するCramer-Shoup暗号システム等の他のタイプの暗号システムにも適用されている。
【図面の簡単な説明】
【図1】本発明の演算が可能な電子ドキュメント配布システムのブロック図である。
【図2】本発明の方法でメッセージを復号するための権限を委任する際に実行される符号化演算を示すブロック図である。
【図3】符号化済みメッセージを別の人による復号のために変換する際に実行される一般的なステップを示すフローチャートである。
【図4】メッセージの復号権限の委任に適応したシステムに関与するパーティーを概略的に示すブロック図である。
【図5】一般的な代理暗号化方式で実行されるステップを示すフローチャートである。
【図6】エルガマル暗号システムに従ってメッセージを暗号化及び復号する際に実行されるステップを示すフローチャートである。
【図7】 Mambo及びOkamotoにより提案された、公知のエルガマルに基づく代理暗号化及び復号方式で実行されるステップを示すフローチャートである。
【図8】 Blaze及びStraussにより提案された、公知のエルガマルに基づく代理暗号化及び復号方式で実行されるステップを示すフローチャートである。
【図9】本発明のエルガマルに基づく代理暗号化及び復号方式の第1の実施の形態で実行されるステップを示すフローチャートである。
【図10】本発明のエルガマルに基づく代理暗号化及び復号方式の第2の実施の形態で実行されるステップを示すフローチャートである。
【図11】本発明のドキュメント配布方式で実行されるステップを示すフローチャートである。
【図12】本発明のファイル保護方式で実行されるステップを示すフローチャートである。
【図13】 Cramer-Shoup暗号システムに従ってメッセージを暗号化及び復号する際に実行されるステップを示すフローチャートである。
【図14】本発明のCramer-Shoupに基づく代理暗号化及び復号方式の実施の形態で実行されるステップを示すフローチャートである。
【符号の説明】
110 著作者/出版社
112、116 コンテンツ
114 配布業者
118 ユーザ
120 支払い
122 清算所
124 支払いバッチ
126 使用料の支払い
128 会計メッセージ
130 監査サーバ
131 会計情報
132 レポート
410 エンクリプター
412 譲渡人
414 譲受人

Claims (18)

  1. 譲渡人の識別に対応する公開鍵を用いて暗号化され譲渡人の装置から受取人の装置へ送られるべきオリジナルメッセージを、譲渡人の識別に対応する秘密鍵を受取人の装置に対して明らかにすることなく符号化するためのシステムであって、
    該システムが、通信ネットワークを介して互いに接続され、プロセッサを有する1つまたは複数の計算装置から成り、前記プロセッサは、
    譲渡人の識別に対応する公開鍵を用いて、著作者の装置のプロセッサでオリジナルメッセージを暗号化するステップと、
    該暗号化されたオリジナルメッセージと、前記譲渡人の識別に対応する秘密鍵と、及び前記受取人の識別に対応する秘密鍵との離散対数に基いて、公開代理鍵を、 代理鍵発行者の装置のプロセッサで生成するステップであって、前記公開代理鍵は前記暗号化されたオリジナルメッセージを前記譲渡人の識別に対応する公開鍵に基づいて暗号化された状態から前記受取人の識別に対応する公開鍵に基づいて暗号化された状態へ変換可能な暗号化鍵であり、 前記公開代理鍵は前記譲渡人の識別に対応する秘密鍵を復号するために使用できず、かつ、前記受取人の識別に対応する秘密鍵を復号するためにも使用でしない、公開代理鍵を生成するステップと、
    前記譲渡人の識別に対応する公開鍵に基づいて暗号化されたメッセージを、前記受取人の識別に対応する前記秘密鍵を用いてだけ復号可能であり前記受取人の識別に対応する公開鍵に基づいて暗号化された変換済み暗号化メッセージへ変換するために、前記公開代理鍵を代理変換装置のプロセッサで前記暗号化されたメッセージに適用するステップと、
    を実行可能であって、
    前記離散対数による公開代理鍵の生成は、エルガマル暗号化方式において、次の式
    π=rb-a(mod p)
    により行われる、前記オリジナルメッセージの符号化システム、
    ここで、πは生成される公開代理鍵であり、aは前記譲渡人の秘密鍵であり、bは前記受取人の秘密鍵であり、pは素数であり、gを巡回群Z p * の生成元、kをZ p-1 * に含まれる乱数としたとき、rは式
    r=gk(mod p)
    で求められる。
  2. 前記公開代理鍵は前記譲渡人の装置のプロセッサにより生成される、請求項1に記載のシステム。
  3. 前記公開代理鍵は前記譲渡人の装置のプロセッサにより適用される、請求項1に記載のシステム。
  4. 前記公開代理鍵は前記受取人の装置のプロセッサにより適用される、請求項1に記載のシステム。
  5. 前記変換済み暗号化メッセージを前記受取人の識別に対応する秘密鍵を用いて、受取人の装置のプロセッサで暗号解読するステップを実行可能なプロセッサを更に備える、請求項1に記載のシステム。
  6. 前記公開代理鍵を生成するステップと前記公開代理鍵を適用するステップとは繰り返され、繰り返しの間に、前記受取人の装置は譲渡人の装置として働き、他の装置は受取人の装置として働く、請求項1に記載のシステム。
  7. 譲渡人の識別に対応する公開鍵を用いて暗号化され譲渡人の装置から受取人の装置へ送られるべきオリジナルメッセージを、譲渡人の識別に対応する秘密鍵を受取人の装置に対して明らかにすることなく符号化するためのシステムであって、
    該システムが、通信ネットワークを介して互いに接続され、プロセッサを有する1つまたは複数の計算装置から成り、前記プロセッサは、
    譲渡人の識別に対応する公開鍵を用いて、著作者の装置のプロセッサでオリジナルメッセージを暗号化するステップと、
    該暗号化されたオリジナルメッセージと、前記譲渡人の識別に対応する秘密鍵と、及び前記受取人の識別に対応する秘密鍵との離散対数に基いて、公開代理鍵を、 代理鍵発行者の装置のプロセッサで生成するステップであって、前記公開代理鍵は前記暗号化されたオリジナルメッセージを前記譲渡人の識別に対応する公開鍵に基づいて暗号化された状態から前記受取人の識別に対応する公開鍵に基づいて暗号化された状態へ変換可能な暗号化鍵であり、 前記公開代理鍵は前記譲渡人の識別に対応する秘密鍵を復号するために使用できず、かつ、前記受取人の識別に対応する秘密鍵を復号するためにも使用でしない、公開代理鍵を生成するステップと、
    前記譲渡人の識別に対応する公開鍵に基づいて暗号化されたメッセージを、前記受取人の識別に対応する前記秘密鍵を用いてだけ復号可能であり前記受取人の識別に対応する公開鍵に基づいて暗号化された変換済み暗号化メッセージへ変換するために、前記公開代理鍵を代理変換装置のプロセッサで前記暗号化されたメッセージに適用するステップと、
    を実行可能であって、
    前記離散対数による公開代理鍵の生成は、エルガマル暗号化方式において、次の式
    π=(sa^(-1)b-a(mod p)
    により行われる、前記オリジナルメッセージの符号化システム、
    ここで、πは生成される公開代理鍵であり、aは前記譲渡人の秘密鍵であり、bは前記受取人の秘密鍵であり、pは素数であり、αを前記譲渡人の識別に対応する公開鍵、kを巡回群Z p-1 * に含まれる乱数としたとき、sは式
    s=αk(mod p)
    で求められる
  8. 前記公開代理鍵は前記譲渡人の装置のプロセッサにより生成される、請求項に記載のシステム。
  9. 前記公開代理鍵は前記譲渡人の装置のプロセッサにより適用される、請求項に記載のシステム。
  10. 前記公開代理鍵は前記受取人の装置のプロセッサにより適用される、請求項に記載のシステム。
  11. 前記変換済み暗号化メッセージを前記受取人の識別に対応する秘密鍵を用いて、受取人の装置のプロセッサで暗号解読するステップを実行可能なプロセッサを更に備える、請求項に記載のシステム。
  12. 前記公開代理鍵を生成するステップと前記公開代理鍵を適用するステップとは繰り返され、繰り返しの間に、前記受取人の装置は譲渡人の装置として働き、他の装置は受取人の装置として働く、請求項に記載のシステム。
  13. 譲渡人の識別に対応する公開鍵を用いて暗号化され譲渡人の装置から受取人の装置へ送られるべきオリジナルメッセージを、譲渡人の識別に対応する秘密鍵を受取人の装置に対して明らかにすることなく符号化するためのシステムであって、
    該システムが、通信ネットワークを介して互いに接続され、プロセッサを有する1つまたは複数の計算装置から成り、前記プロセッサは、
    譲渡人の識別に対応する公開鍵を用いて、著作者の装置のプロセッサでオリジナルメッセージを暗号化するステップと、
    該暗号化されたオリジナルメッセージと、前記譲渡人の識別に対応する秘密鍵と、及び前記受取人の識別に対応する秘密鍵との離散対数に基いて、公開代理鍵を、 代理鍵発行者の装置のプロセッサで生成するステップであって、前記公開代理鍵は前記暗号化されたオリジナルメッセージを前記譲渡人の識別に対応する公開鍵に基づいて暗号化された状態から前記受取人の識別に対応する公開鍵に基づいて暗号化された状態へ変換可能な暗号化鍵であり、 前記公開代理鍵は前記譲渡人の識別に対応する秘密鍵を復号するために使用できず、かつ、前記受取人の識別に対応する秘密鍵を復号するためにも使用でしない、公開代理鍵を生成するステップと、
    前記譲渡人の識別に対応する公開鍵に基づいて暗号化されたメッセージを、前記受取人の識別に対応する前記秘密鍵を用いてだけ復号可能であり前記受取人の識別に対応する公開鍵に基づいて暗号化された変換済み暗号化メッセージへ変換するために、前記公開代理鍵を代理変換装置のプロセッサで前記暗号化されたメッセージに適用するステップと、
    を実行可能であって、
    前記離散対数による公開代理鍵の生成ステップは、 Cramer-Shoup 暗号化方式において、πを生成される公開代理鍵、 a を前記譲渡人の秘密鍵、 b を前記受取人の秘密鍵、u1,u2前記暗号化されたオリジナルメッセージの要素、x1, x2, y11, y12, y21, y22, y31, y32, z、及びx1', x2', y11', y12', y21', y22', y31', y32', z'を素数p=2q+1に対する群p * の位数qからなる部分群のランダムな要素としたとき、次式
    π = (ε, θ, δ1, δ2, δ3)
    ε = u1 z'-z
    θ = u1 x1'-x1 u2 x2'-x2
    δ1 = u1 y11'-y11 u2 y12'-y12
    δ2 = u1 y21'-y21 u2 y22'-y22
    δ3 = u1 y31'ε -y31 u2 y32'ε -y32
    a = (x1, x2, y11, y12, y21, y22, y31, y32, z)
    b = (x1', x2', y11', y12', y21', y22', y31', y32', z')
    により前記公開代理鍵を求める、前記オリジナルメッセージの符号化システム。
  14. 前記公開代理鍵は前記譲渡人の装置のプロセッサにより生成される、請求項13に記載のシステム。
  15. 前記公開代理鍵は前記譲渡人の装置のプロセッサにより適用される、請求項13に記載のシステム。
  16. 前記公開代理鍵は前記受取人の装置のプロセッサにより適用される、請求項13に記載のシステム。
  17. 前記変換済み暗号化メッセージを前記受取人の識別に対応する秘密鍵を用いて、受取人の装置のプロセッサで暗号解読するステップを実行可能なプロセッサを更に備える、請求項13に記載のシステム。
  18. 前記公開代理鍵を生成するステップと前記公開代理鍵を適用するステップとは繰り返され、繰り返しの間に、前記受取人の装置は譲渡人の装置として働き、他の装置は受取人の装置として働く、請求項13に記載のシステム。
JP2000375345A 1999-12-21 2000-12-11 メッセージの公開型且つ非可換性の符号化方法及び暗号化方法 Expired - Fee Related JP4010766B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US468703 1999-12-21
US09/468,703 US7286665B1 (en) 1999-04-06 1999-12-21 System and method for transferring the right to decode messages

Publications (2)

Publication Number Publication Date
JP2001202010A JP2001202010A (ja) 2001-07-27
JP4010766B2 true JP4010766B2 (ja) 2007-11-21

Family

ID=23860894

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000375345A Expired - Fee Related JP4010766B2 (ja) 1999-12-21 2000-12-11 メッセージの公開型且つ非可換性の符号化方法及び暗号化方法

Country Status (5)

Country Link
EP (1) EP1113617B1 (ja)
JP (1) JP4010766B2 (ja)
AT (1) ATE397337T1 (ja)
DE (1) DE60039022D1 (ja)
ES (1) ES2304929T3 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012111714A1 (ja) 2011-02-16 2012-08-23 株式会社 東芝 ファイルサーバ装置およびファイルサーバシステム
WO2013145796A1 (ja) 2012-03-28 2013-10-03 株式会社 東芝 再暗号文検証プログラム、再暗号化装置及び再暗号化システム

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SG103829A1 (en) * 2000-01-28 2004-05-26 Canon Kk Digital contents distribution system, digital contents distribution method, roaming server, information processor, and information processing method
US7082538B2 (en) 2000-10-03 2006-07-25 Omtool, Ltd. Electronically verified digital signature and document delivery system and method
US7170997B2 (en) 2000-12-07 2007-01-30 Cryptico A/S Method of generating pseudo-random numbers in an electronic device, and a method of encrypting and decrypting electronic data
DE60127681T2 (de) * 2001-10-19 2008-01-03 Sony Corp. System zum Inhaltsschutz und zur Kopierverwaltung für ein Netzwerk
JP3864249B2 (ja) 2002-06-04 2006-12-27 インターナショナル・ビジネス・マシーンズ・コーポレーション 暗号通信システム、その端末装置及びサーバ
US8689000B2 (en) 2003-05-21 2014-04-01 Hewlett-Packard Development Company, L.P. Use of certified secrets in communication
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
JP5446453B2 (ja) * 2009-04-30 2014-03-19 ソニー株式会社 情報処理装置、電子署名生成システム、電子署名用の鍵生成方法、情報処理方法、及びプログラム
JP5377540B2 (ja) * 2011-02-17 2013-12-25 株式会社東芝 鍵管理システム
SG194762A1 (en) * 2011-04-27 2013-12-30 Toshiba Kk Re-encryption key generator, re-encryption apparatus, and program
JP5494603B2 (ja) * 2011-09-29 2014-05-21 沖電気工業株式会社 セキュリティ処理代行システム
US9647835B2 (en) * 2011-12-16 2017-05-09 Akamai Technologies, Inc. Terminating SSL connections without locally-accessible private keys
JP6019453B2 (ja) 2012-07-05 2016-11-02 株式会社クリプト・ベーシック 暗号化装置、復号化装置、及びプログラム
EP2884690A4 (en) * 2012-08-08 2016-03-09 Toshiba Kk READY KEY GENERATING DEVICE, RECTIFYING DEVICE, ENCRYPTION DEVICE, DECRYPTION DEVICE, AND PROGRAM
DE102012017826A1 (de) * 2012-09-10 2014-03-13 Giesecke & Devrient Gmbh Verfahren zur Erstellung einer abgeleiteten Instanz eines Originaldatenträgers

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012111714A1 (ja) 2011-02-16 2012-08-23 株式会社 東芝 ファイルサーバ装置およびファイルサーバシステム
EP2677683A4 (en) * 2011-02-16 2017-01-18 Kabushiki Kaisha Toshiba File server device and file server system
WO2013145796A1 (ja) 2012-03-28 2013-10-03 株式会社 東芝 再暗号文検証プログラム、再暗号化装置及び再暗号化システム
US9698984B2 (en) 2012-03-28 2017-07-04 Kabushiki Kaisha Toshiba Re-encrypted data verification program, re-encryption apparatus and re-encryption system

Also Published As

Publication number Publication date
EP1113617A3 (en) 2003-08-27
EP1113617B1 (en) 2008-05-28
ATE397337T1 (de) 2008-06-15
ES2304929T3 (es) 2008-11-01
DE60039022D1 (de) 2008-07-10
JP2001202010A (ja) 2001-07-27
EP1113617A2 (en) 2001-07-04

Similar Documents

Publication Publication Date Title
US7356688B1 (en) System and method for document distribution
US6859533B1 (en) System and method for transferring the right to decode messages in a symmetric encoding scheme
US6937726B1 (en) System and method for protecting data files by periodically refreshing a decryption key
JP4010766B2 (ja) メッセージの公開型且つ非可換性の符号化方法及び暗号化方法
Mambo et al. Proxy cryptosystems: Delegation of the power to decrypt ciphertexts
Kumar et al. Secure storage and access of data in cloud computing
JP4855940B2 (ja) 暗号用鍵の世代の効率的な管理
US7305548B2 (en) Using atomic messaging to increase the security of transferring data across a network
US7260215B2 (en) Method for encryption in an un-trusted environment
JP6363032B2 (ja) 鍵付替え方向制御システムおよび鍵付替え方向制御方法
US7286665B1 (en) System and method for transferring the right to decode messages
US20080181397A1 (en) Secure data transmission and storage using limited-domain functions
EP1130843B1 (en) System and method for transferring the right to decode messages in a symmetric encoding scheme
JP2006227411A (ja) 通信システム、暗号化装置、鍵生成装置、鍵生成方法、復元装置、通信方法、暗号化方法、暗号復元方法
US20010009583A1 (en) Secret key registration method, secret key register, secret key issuing method, cryptographic communication method and cryptographic communication system
Adebayo et al. Data Privacy System Using Steganography and Cryptography
EP1111838B1 (en) System and method for cryptographically protecting data
Mihailescu et al. Ring Learning with Errors Cryptography
EP1699162A2 (en) Method for document distribution
CN113872757B (zh) 一种基于sm2公钥加密算法的广播加密方法
Mathur et al. A Modified RSA Approach for Encrypting and Decrypting Text and Images Using Multi-Power, Multi Public Keys, Multi Prime Numbers and K-nearest Neighbor Algorithm
Venugopalan et al. Improving confidentiality for NFT referenced data stores
JP3587746B2 (ja) 秘密鍵生成器,暗号化装置,暗号通信方法,暗号通信システム及び記録媒体
JP3953235B2 (ja) 暗号通信方法及び暗号通信システム
Selvi et al. A Novel Hybrid Chaotic Map–Based Proactive RSA Cryptosystem in Blockchain

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051220

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20060320

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20060328

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060620

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060912

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20070110

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20070227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070417

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070711

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070807

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070904

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100914

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100914

Year of fee payment: 3

S202 Request for registration of non-exclusive licence

Free format text: JAPANESE INTERMEDIATE CODE: R315201

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100914

Year of fee payment: 3

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100914

Year of fee payment: 3

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S202 Request for registration of non-exclusive licence

Free format text: JAPANESE INTERMEDIATE CODE: R315201

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100914

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100914

Year of fee payment: 3

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130914

Year of fee payment: 6

S202 Request for registration of non-exclusive licence

Free format text: JAPANESE INTERMEDIATE CODE: R315201

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130914

Year of fee payment: 6

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees