JP4071870B2 - 秘密鍵生成方法 - Google Patents
秘密鍵生成方法 Download PDFInfo
- Publication number
- JP4071870B2 JP4071870B2 JP23454598A JP23454598A JP4071870B2 JP 4071870 B2 JP4071870 B2 JP 4071870B2 JP 23454598 A JP23454598 A JP 23454598A JP 23454598 A JP23454598 A JP 23454598A JP 4071870 B2 JP4071870 B2 JP 4071870B2
- Authority
- JP
- Japan
- Prior art keywords
- server
- secret key
- key
- random number
- servers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Description
【0001】
【産業上の利用分野】
本願は、ネットワーク通信における秘密鍵生成システムに関し、特に複数サーバの協調動作によって、秘密鍵を複数サーバに分割することにより、ユーザが複数の公開鍵を組み合わせて、任意の時点の暗号鍵をシステムに告知することなく得る方法及びシステムに関する。
【0002】
【従来の技術】
鍵共有系は1つの秘密鍵をいくつかのサーバに分割してもたせるものであり、Shamirの(t,k)閾値暗号系が有名である。これは、1つの秘密情報をk個のサーバに分割してもたせ、その内のt個が協力すると、もとの鍵が復元できるというものである。 構成法はまず、ある体F上の以下の(t-1)次多項式を定める。
【0003】
f(x)=f0+f1*x+f2*x2+...+ft-1*xt-1 (式1)
【0004】
秘密情報の所有者はまず、式1のf0に秘密情報を代入し、のこりのfkはランダムに決める。 次に各サーバ i に対し、(i,f(i))を分割情報として送る。i 個の分割情報が集まると始めて、この多項式の各係数を一意に求めることができ、f0が求められる。 Proactive secret sharingはIBM Watsonで提案されたもので、 上記の(t,k)閾値暗号系において、各(i,f(i))を定常的に持つのではなく、サーバ間で更新処理をすることによって動的に変えていこうとするものであり、 更新処理を工夫することによって、f0を常に不変にすることができる[Herzberg97]。これによってある時点にあるサーバが攻撃されて分割情報が盗まれたとしても、同時にt個のサーバの分割情報を盗まない限り安全なことが示される。 [Genetti95]は、こうしたサーバ群とユーザの間の通信に対しても常に動的な公開鍵が作られることを示している。
【0005】
次に[Kudoh97](特願平09-226903)では、時間鍵証明書というものを定義し、復号サーバがその証明書にもとづいて復号時間を決定できるような枠組みを提案している。 [Kudoh98](工藤:Boheh-Franclin分散RSA鍵生成法に基づいた時間鍵暗号の構成法,情報セキュリティ研究会,IEICE,1998)は、1つのRSA公開鍵を2つのサーバがその秘密鍵を知ることなく生成できることを利用して、時間鍵の安全性が高められるとしている。
【0006】
しかしながら、[Herzberg97]は、Secret Sharingは1つの予め与えられた不変の秘密を常に共有することを目的にしており、 Proactive Secret Sharingで分割情報を動的に変化させてはいるが、本当の秘密情報は不変であり、そこには周期性やそれを利用した時間概念は含まれていない。 また、[Genetti95]では通信用の鍵の更新を扱っており、時間鍵の概念がない。またSecret Sharingでは、秘密情報の所有者というものがまず仮定され、彼が秘密鍵を生成し、分割し、各サーバに配布する。したがってここを攻撃する事によって事前に秘密鍵を得る事ができる。次に、[Kudoh97]における時間鍵サーバは単一であり、 復号時間の管理はそのサーバの運営に任されている。 [Kudoh98]では、たとえ時間鍵サーバを複数にしたとしても、復号時間を満足しているか否か決めるのは、時間鍵サーバが独立に決めているので、秘密鍵のセキュリティはサーバの運用に委ねられている。
【0007】
【発明が解決しようとする課題】
従って、本発明が解決しようとする課題は、複数のサーバに秘密鍵を安全に分散して生成する方法を提供することである。
また別の課題は、複数のサーバに秘密鍵を時間に依存しながら分散して生成する方法を提供することである。
また別の課題は、秘密鍵を周期的に生成する方法を提供することである。
また別の課題は、秘密鍵のセキュリティがサーバの運用に委ねられない方法を提供することである。
また別の課題は、ユーザが複数の公開鍵を組み合わせて、任意の時点の暗号鍵を、システムに告知することなく、得る方法を提供することである。
また別の課題は、複数サーバによる、よりセキュリティの高い時間鍵の生成を行う方法を提供することである。
また別の課題は、復号時間になるまで複数サーバの秘密鍵の計算ができない方法を提供することである。
【0008】
【課題を解決するための手段】
上記課題を解決するために、本発明では、複数サーバの協調動作によって、秘密鍵を複数のサーバ上に生成する。より具体的には複数のサーバ間で乱数を交換し、これに基づき秘密鍵を生成する。複数サーバの少なくとも2つのサーバ間で乱数の交換をすることによって個々のサーバの秘密鍵に周期性はなくなるが、システム全体としての周期は保存される。複数の秘密鍵に対する公開鍵を生成させこれを公開する。複数の公開鍵の組み合わせによって生成された、新しい公開鍵に対する秘密鍵は、個々のサーバの秘密鍵により計算される。各サーバに対して鍵更新周期(秘密鍵レジスタの個数による)を導入し、復号鍵情報がある周期にしか現れないようにする(これを周期システムと呼ぶ)。この周期システムにより時間鍵を生成する。周期システムを複数用意して自律的に運用させることで、より安全な時間鍵が生成される。このように複数のサーバからなる分散システムとすることによって、1つのシステムが自分の状態をすべて保存していても、鍵情報は得られない。サーバは周期的に秘密鍵を更新するので復号時間になるまで、秘密鍵は計算できないことが保証される。
【0009】
【発明の実施の形態】
図2にもっとも基本となるシステムのブロック構成を示す。まずサーバ自体はあらかじめ決められた自律的な動作だけをするものとする。ブロック210は要素サーバ間で乱数の交換をする、乱数交換ブロックである。乱数の交換により個々のサーバの秘密鍵に周期性はなくなるが、システム全体としての周期は保存される。次にブロック220は交換した乱数に関連して秘密鍵を生成する、秘密鍵生成ブロックである。
【0010】
上記基本システムをより詳細に説明する。
・ある周期システムを構成する要素サーバの構成
まず、Tkの更新周期をもつサーバkの秘密鍵の更新プロセスを説明する(図1)。ここで更新周期とは各サーバが有する秘密鍵レジスタの個数に相当し、この個数が異なれば更新周期も異なる。また周期システムはn個のサーバから構成されているものとする。Tkの更新周期をもつサーバkは、Tk個の秘密鍵レジスタ(K0,K1,..,KTk-1)とTk個の乱数バッファ(B0,B1,..,BTk-1)を持つ。初期状態として秘密鍵レジスタ(K0,K1,..,KTk-1)には、大きな素数を p としたとき適当な p−1以下の乱数が代入されているものとする。サーバの動作は、ある時点Tにおいて、T mod Tkで決められる秘密鍵レジスタ(ここではK0とする)を選び、PK0= gK0 mod p によって公開鍵PK0を計算してこれを公開する[ShowKey]。次に、乱数を生成し、他のn-1個のサーバに送信する[SendRnd]。同時に他のサーバから来た乱数を受信し、乱数バッファに蓄える[RecRnd]。最後にT+1 mod Tkで決められる秘密鍵レジスタ(ここではK1とする)の値を、この乱数バッファに基づいて計算する[UpdateKey]。これが次の時点におけるサーバの公開鍵を計算するための秘密鍵になる。これををまとめると時間Tでの動作は以下のようになる(図1)。
【0011】
1. [ShowKey] 秘密鍵レジスタK(T mod Tk)から秘密鍵を取り出し(これをKkとする)、PK = gKk mod p によって公開鍵PKkを計算してこれを公開する。
2. [SendRnd] n-1個の乱数rkj(j=0,1,,k-1,k+1,..n-1)<pを生成して、それぞれを各サーバjの公開鍵PKjで暗号化して送信する。また、それらの乱数の和 Rk- =Σrkj(j=0,1,,k-1,k+1,..n-1)を計算しておく。
3. [RecRnd] 自分以外のn-1個のサーバから来た乱数を復号し、その和Rk+=Σrjk(j=0,1,,k-1,k+1,..n-1)を計算する。そしてRk+ - Rk-を乱数バッファB(T mod Tk)に代入する。
4. [UpdateKey] 秘密鍵レジスタK(T+1 mod Tk)から次の時点T+1で使う秘密鍵を取り出し(これをKk+1とする)、乱数バッファの和ΣBj(j=0,1,,,Tk)を計算し、レジスタの値をKk+1new = Kk+1old +ΣBjで更新する。
【0012】
・要素サーバから、その最小公倍数をもつ周期システムを構成
上記の要素サーバを構成要素とし、鍵更新プロセスを同期させることによって、個々の要素サーバの更新周期の最小公倍数をもつ周期システムが構成される。ここでは、例として周期1、2、3の更新周期をもつ要素サーバにおいて、個々の秘密鍵および秘密鍵の総和がどのように推移するかを図3に示す。個々の秘密鍵はランダムに推移しているが、総和には6の周期性が見られる。
【0013】
時間鍵を生成する方法を図6に示す。
まずステップ610で初期化として、作ろうとする周期システムの周期にあわせて要素サーバを複数個選択する。この時、ある程度の冗長度を持たせる。たとえば周期3の周期システムを作るときには、更新周期が3の要素サーバ1つだけで構成するのではなく、1と3の更新周期を持つ2つ以上の要素サーバで構成する。次にステップ620で要素サーバ間で上記に示した方法で乱数を交換し、ステップ630でそれぞれの秘密鍵を更新させ、対応する公開鍵を公開することを繰り返すことによって、周期システムを自律的に動かす。利用者はステップ640で、すべての要素サーバの公開鍵の積をとることによって、時間公開鍵を構成する。この時、どの時点で時間公開鍵を構成するかは利用者の任意であり、サーバに告知することは必要ない。この時間公開鍵で暗号化されたメッセージを復号する場合には、ステップ650のように、すべての要素サーバに対して、秘密鍵の和の計算を依頼することによって、時間鍵秘密鍵が得られる。ただし、この依頼は周期システムの周期できまる時間後でなければ、公開鍵に対応した秘密鍵は得られない。
【0014】
・周期システムを複数用意する事によって、より安全な時間鍵を生成する方法
1つの周期システムから時間鍵を生成しても構わないが、より安全に、より多様な時間鍵を生成する方法として、周期システムを複数用意する事により時間鍵暗号を生成する。
図4のように周期システムの総数をnとする。周期システムiの秘密鍵をxi、公開鍵をyiとすると、ElGamal暗号では、Zp上の原始元をgとすると、
yi = gxi mod p
となる。ここで、ユーザが周期システムのサブセットを適当に選び、 それらの公開鍵を得て、その積をとると、
y= yp0 * yp1 *..* ypk-1
となるが、yに対応する秘密鍵は、
x = xp0 + xp1 +..+ xpk-1
となり、対応するサブセットの秘密鍵の和となるが、この秘密鍵は周期的にしか計算されないため、結局、サブセットに含まれる周期システムの周期の最小公倍数で決められる時間にしか、秘密鍵情報が得られないことになる。
【0015】
時間鍵の復号処理は公開鍵を得たシステムに対し、順送りに和の計算依頼をする事によってできる。 この場合、ある時間復号鍵、つまりシステムの部分和の情報は、他の時間復号鍵の手がかりになる可能性があるので、復号サーバ(DS)を用意し、ここでメッセージの復号をすることにする。手続きは以下のようになる。
【0016】
1. 復号サーバDSに時間鍵で暗号化されたメッセージを送付。
2. 復号サーバは乱数rを生成し、 最初の周期システムS1に秘密鍵の加算を依頼。
3. S1は自分のその時点の秘密鍵KS1をrに加算し、次のシステムS2に秘密鍵の加算を依頼
4. S2〜Sn-1はステップ3と同様。
5. 最後のSnは結果をDSに送付し、DSは総和からrを差し引く事によって復号鍵を得る事ができる。個々の周期システム内での復号処理も上記と同様に、周期システムを構成する要素サーバに順送りにそれぞれの秘密鍵の和の計算依頼メッセージを送付することによって行われる。
【0017】
・段階的暗号・復号法
本発明では、周期の構成が、どのシステムを組み合わせたかという情報にたよっている。したがって、この情報が受信者に知られていると、組み合わせた個々のシステムごとに復号要求を出すなどの攻撃が考えられる。これを防ぐために、暗号化の際に、組み合わせ情報も以下のように暗号化する。たとえば、周期システムCS1,CS2,CS3の公開鍵PK1,PK2,PK3を暗号化に用いたとする。この時、組み合わせた公開鍵はY=PK1*PK2*PK3になり、適当に選んだk<p-1に対して、メッセージMは、{gk、M*Yk }で暗号化されるが、同時に組み合わせ情報を、{CS1, PK1({CS2, PK2(CS3)})})} のようにする。ただしPKi()は暗号化関数とする。これによって、CS1で復号することによって初めて次の転送先がわかるようになる。
【0018】
図5に本発明の要素サーバに用いられるハードウェア実施例を示す。システム100は、中央処理装置(CPU)1とメモリ4とを含んでいる。CPU1とメモリ4は、バス2を介して、補助記憶装置としてのハードディスク装置13(またはMO、CD−ROM23、DVD等の記憶媒体駆動装置)とIDEコントローラ25を介して接続してある。同様にCPU1とメモリ4は、バス2を介して、補助記憶装置としてのハードディスク装置30(またはMO28、CD−ROM23、DVD等の記憶媒体駆動装置)とSCSIコントローラ27を介して接続してある。フロッピーディスク装置20はフロッピーディスクコントローラ19を介してバス2へ接続されている。
【0019】
フロッピーディスク装置20には、フロッピーディスクが挿入され、このフロッピーディスク等やハードディスク装置13(またはMO、CD−ROM、DVD等の記憶媒体)、ROM14には、オペレーティングシステムと協働してCPU等に命令を与え、本発明を実施するためのコンピュータ・プログラムのコード若しくはデータを記録することができ、メモリ4にロードされることによって実行される。このコンピュータ・プログラムのコードは圧縮し、または、複数に分割して、複数の媒体に記録することもできる。
【0020】
システム100は更に、ユーザ・インターフェース・ハードウェアを備え、入力をするためのポインティング・デバイス(マウス、ジョイスティック等)7またはキーボード6や、視覚データをユーザに提示するためのディスプレイ12を有することができる。また、パラレルポート16を介してプリンタを接続することや、シリアルポート15を介してモデムを接続することが可能である。このシステム100は、シリアルポート15およびモデムまたは通信アダプタ18(イーサネットやトークンリング・カード)等を介してネットワークに接続し、他の要素サーバ、コンピュータ等と通信を行う。またシリアルポート15若しくはパラレルポート16に、遠隔送受信機器を接続して、赤外線若しくは電波によりデータの送受信を行うことも可能である。
【0021】
スピーカ23は、オーディオ・コントローラ21によってD/A(デジタル/アナログ変換)変換された音声信号を、アンプ22を介して受領し、音声として出力する。また、オーディオ・コントローラ21は、マイクロフォン24から受領した音声情報をA/D(アナログ/デジタル)変換し、システム外部の音声情報をシステムにとり込むことを可能にしている。
【0022】
このように、本発明に用いる要素サーバは、通常のパーソナルコンピュータ(PC)やワークステーション、ノートブックPC、パームトップPC、ネットワークコンピュータ、コンピュータを内蔵したテレビ等の各種家電製品、通信機能を有するゲーム機、電話、FAX、携帯電話、PHS、電子手帳、等を含む通信機能有する通信端末、または、これらの組合せによって実施可能であることを容易に理解できるであろう。ただし、これらの構成要素は例示であり、その全ての構成要素が本発明の必須の構成要素となるわけではない。
【0023】
【発明の効果】
本発明により、ユーザは任意の時点の暗号鍵をシステムに告知するなく得ることができるため、システムは復号時点まで、復号鍵情報を知ることはない。つまりユーザがサーバに通知することなく復号時間を決められる。またユーザが公開鍵を組み合わせる事によって新しい公開鍵を得るので、これに対する秘密鍵は複数サーバに分割されており存在しない。サーバが協調して、復号鍵を周期的に管理するので、復号鍵は本当に復号時間になるまで構成することができない。本発明により、サーバの恣意的な不正を防ぎ、全体のシステムのセキュリティを高めることが可能になる。
【0024】
【図面の簡単な説明】
【図1】要素サーバの秘密鍵の更新プロセスを示す図である。
【図2】本発明における基本秘密鍵システムのブロック図である。
【図3】本発明の周期システムの挙動例を示すグラフである。
【図4】ElGamalによる周期公開鍵の組み合わせの説明図である。
【図5】本発明の要素サーバに用いられるハードウェア実施例である。
【図6】時間鍵を生成するフローチャートである。
【産業上の利用分野】
本願は、ネットワーク通信における秘密鍵生成システムに関し、特に複数サーバの協調動作によって、秘密鍵を複数サーバに分割することにより、ユーザが複数の公開鍵を組み合わせて、任意の時点の暗号鍵をシステムに告知することなく得る方法及びシステムに関する。
【0002】
【従来の技術】
鍵共有系は1つの秘密鍵をいくつかのサーバに分割してもたせるものであり、Shamirの(t,k)閾値暗号系が有名である。これは、1つの秘密情報をk個のサーバに分割してもたせ、その内のt個が協力すると、もとの鍵が復元できるというものである。 構成法はまず、ある体F上の以下の(t-1)次多項式を定める。
【0003】
f(x)=f0+f1*x+f2*x2+...+ft-1*xt-1 (式1)
【0004】
秘密情報の所有者はまず、式1のf0に秘密情報を代入し、のこりのfkはランダムに決める。 次に各サーバ i に対し、(i,f(i))を分割情報として送る。i 個の分割情報が集まると始めて、この多項式の各係数を一意に求めることができ、f0が求められる。 Proactive secret sharingはIBM Watsonで提案されたもので、 上記の(t,k)閾値暗号系において、各(i,f(i))を定常的に持つのではなく、サーバ間で更新処理をすることによって動的に変えていこうとするものであり、 更新処理を工夫することによって、f0を常に不変にすることができる[Herzberg97]。これによってある時点にあるサーバが攻撃されて分割情報が盗まれたとしても、同時にt個のサーバの分割情報を盗まない限り安全なことが示される。 [Genetti95]は、こうしたサーバ群とユーザの間の通信に対しても常に動的な公開鍵が作られることを示している。
【0005】
次に[Kudoh97](特願平09-226903)では、時間鍵証明書というものを定義し、復号サーバがその証明書にもとづいて復号時間を決定できるような枠組みを提案している。 [Kudoh98](工藤:Boheh-Franclin分散RSA鍵生成法に基づいた時間鍵暗号の構成法,情報セキュリティ研究会,IEICE,1998)は、1つのRSA公開鍵を2つのサーバがその秘密鍵を知ることなく生成できることを利用して、時間鍵の安全性が高められるとしている。
【0006】
しかしながら、[Herzberg97]は、Secret Sharingは1つの予め与えられた不変の秘密を常に共有することを目的にしており、 Proactive Secret Sharingで分割情報を動的に変化させてはいるが、本当の秘密情報は不変であり、そこには周期性やそれを利用した時間概念は含まれていない。 また、[Genetti95]では通信用の鍵の更新を扱っており、時間鍵の概念がない。またSecret Sharingでは、秘密情報の所有者というものがまず仮定され、彼が秘密鍵を生成し、分割し、各サーバに配布する。したがってここを攻撃する事によって事前に秘密鍵を得る事ができる。次に、[Kudoh97]における時間鍵サーバは単一であり、 復号時間の管理はそのサーバの運営に任されている。 [Kudoh98]では、たとえ時間鍵サーバを複数にしたとしても、復号時間を満足しているか否か決めるのは、時間鍵サーバが独立に決めているので、秘密鍵のセキュリティはサーバの運用に委ねられている。
【0007】
【発明が解決しようとする課題】
従って、本発明が解決しようとする課題は、複数のサーバに秘密鍵を安全に分散して生成する方法を提供することである。
また別の課題は、複数のサーバに秘密鍵を時間に依存しながら分散して生成する方法を提供することである。
また別の課題は、秘密鍵を周期的に生成する方法を提供することである。
また別の課題は、秘密鍵のセキュリティがサーバの運用に委ねられない方法を提供することである。
また別の課題は、ユーザが複数の公開鍵を組み合わせて、任意の時点の暗号鍵を、システムに告知することなく、得る方法を提供することである。
また別の課題は、複数サーバによる、よりセキュリティの高い時間鍵の生成を行う方法を提供することである。
また別の課題は、復号時間になるまで複数サーバの秘密鍵の計算ができない方法を提供することである。
【0008】
【課題を解決するための手段】
上記課題を解決するために、本発明では、複数サーバの協調動作によって、秘密鍵を複数のサーバ上に生成する。より具体的には複数のサーバ間で乱数を交換し、これに基づき秘密鍵を生成する。複数サーバの少なくとも2つのサーバ間で乱数の交換をすることによって個々のサーバの秘密鍵に周期性はなくなるが、システム全体としての周期は保存される。複数の秘密鍵に対する公開鍵を生成させこれを公開する。複数の公開鍵の組み合わせによって生成された、新しい公開鍵に対する秘密鍵は、個々のサーバの秘密鍵により計算される。各サーバに対して鍵更新周期(秘密鍵レジスタの個数による)を導入し、復号鍵情報がある周期にしか現れないようにする(これを周期システムと呼ぶ)。この周期システムにより時間鍵を生成する。周期システムを複数用意して自律的に運用させることで、より安全な時間鍵が生成される。このように複数のサーバからなる分散システムとすることによって、1つのシステムが自分の状態をすべて保存していても、鍵情報は得られない。サーバは周期的に秘密鍵を更新するので復号時間になるまで、秘密鍵は計算できないことが保証される。
【0009】
【発明の実施の形態】
図2にもっとも基本となるシステムのブロック構成を示す。まずサーバ自体はあらかじめ決められた自律的な動作だけをするものとする。ブロック210は要素サーバ間で乱数の交換をする、乱数交換ブロックである。乱数の交換により個々のサーバの秘密鍵に周期性はなくなるが、システム全体としての周期は保存される。次にブロック220は交換した乱数に関連して秘密鍵を生成する、秘密鍵生成ブロックである。
【0010】
上記基本システムをより詳細に説明する。
・ある周期システムを構成する要素サーバの構成
まず、Tkの更新周期をもつサーバkの秘密鍵の更新プロセスを説明する(図1)。ここで更新周期とは各サーバが有する秘密鍵レジスタの個数に相当し、この個数が異なれば更新周期も異なる。また周期システムはn個のサーバから構成されているものとする。Tkの更新周期をもつサーバkは、Tk個の秘密鍵レジスタ(K0,K1,..,KTk-1)とTk個の乱数バッファ(B0,B1,..,BTk-1)を持つ。初期状態として秘密鍵レジスタ(K0,K1,..,KTk-1)には、大きな素数を p としたとき適当な p−1以下の乱数が代入されているものとする。サーバの動作は、ある時点Tにおいて、T mod Tkで決められる秘密鍵レジスタ(ここではK0とする)を選び、PK0= gK0 mod p によって公開鍵PK0を計算してこれを公開する[ShowKey]。次に、乱数を生成し、他のn-1個のサーバに送信する[SendRnd]。同時に他のサーバから来た乱数を受信し、乱数バッファに蓄える[RecRnd]。最後にT+1 mod Tkで決められる秘密鍵レジスタ(ここではK1とする)の値を、この乱数バッファに基づいて計算する[UpdateKey]。これが次の時点におけるサーバの公開鍵を計算するための秘密鍵になる。これををまとめると時間Tでの動作は以下のようになる(図1)。
【0011】
1. [ShowKey] 秘密鍵レジスタK(T mod Tk)から秘密鍵を取り出し(これをKkとする)、PK = gKk mod p によって公開鍵PKkを計算してこれを公開する。
2. [SendRnd] n-1個の乱数rkj(j=0,1,,k-1,k+1,..n-1)<pを生成して、それぞれを各サーバjの公開鍵PKjで暗号化して送信する。また、それらの乱数の和 Rk- =Σrkj(j=0,1,,k-1,k+1,..n-1)を計算しておく。
3. [RecRnd] 自分以外のn-1個のサーバから来た乱数を復号し、その和Rk+=Σrjk(j=0,1,,k-1,k+1,..n-1)を計算する。そしてRk+ - Rk-を乱数バッファB(T mod Tk)に代入する。
4. [UpdateKey] 秘密鍵レジスタK(T+1 mod Tk)から次の時点T+1で使う秘密鍵を取り出し(これをKk+1とする)、乱数バッファの和ΣBj(j=0,1,,,Tk)を計算し、レジスタの値をKk+1new = Kk+1old +ΣBjで更新する。
【0012】
・要素サーバから、その最小公倍数をもつ周期システムを構成
上記の要素サーバを構成要素とし、鍵更新プロセスを同期させることによって、個々の要素サーバの更新周期の最小公倍数をもつ周期システムが構成される。ここでは、例として周期1、2、3の更新周期をもつ要素サーバにおいて、個々の秘密鍵および秘密鍵の総和がどのように推移するかを図3に示す。個々の秘密鍵はランダムに推移しているが、総和には6の周期性が見られる。
【0013】
時間鍵を生成する方法を図6に示す。
まずステップ610で初期化として、作ろうとする周期システムの周期にあわせて要素サーバを複数個選択する。この時、ある程度の冗長度を持たせる。たとえば周期3の周期システムを作るときには、更新周期が3の要素サーバ1つだけで構成するのではなく、1と3の更新周期を持つ2つ以上の要素サーバで構成する。次にステップ620で要素サーバ間で上記に示した方法で乱数を交換し、ステップ630でそれぞれの秘密鍵を更新させ、対応する公開鍵を公開することを繰り返すことによって、周期システムを自律的に動かす。利用者はステップ640で、すべての要素サーバの公開鍵の積をとることによって、時間公開鍵を構成する。この時、どの時点で時間公開鍵を構成するかは利用者の任意であり、サーバに告知することは必要ない。この時間公開鍵で暗号化されたメッセージを復号する場合には、ステップ650のように、すべての要素サーバに対して、秘密鍵の和の計算を依頼することによって、時間鍵秘密鍵が得られる。ただし、この依頼は周期システムの周期できまる時間後でなければ、公開鍵に対応した秘密鍵は得られない。
【0014】
・周期システムを複数用意する事によって、より安全な時間鍵を生成する方法
1つの周期システムから時間鍵を生成しても構わないが、より安全に、より多様な時間鍵を生成する方法として、周期システムを複数用意する事により時間鍵暗号を生成する。
図4のように周期システムの総数をnとする。周期システムiの秘密鍵をxi、公開鍵をyiとすると、ElGamal暗号では、Zp上の原始元をgとすると、
yi = gxi mod p
となる。ここで、ユーザが周期システムのサブセットを適当に選び、 それらの公開鍵を得て、その積をとると、
y= yp0 * yp1 *..* ypk-1
となるが、yに対応する秘密鍵は、
x = xp0 + xp1 +..+ xpk-1
となり、対応するサブセットの秘密鍵の和となるが、この秘密鍵は周期的にしか計算されないため、結局、サブセットに含まれる周期システムの周期の最小公倍数で決められる時間にしか、秘密鍵情報が得られないことになる。
【0015】
時間鍵の復号処理は公開鍵を得たシステムに対し、順送りに和の計算依頼をする事によってできる。 この場合、ある時間復号鍵、つまりシステムの部分和の情報は、他の時間復号鍵の手がかりになる可能性があるので、復号サーバ(DS)を用意し、ここでメッセージの復号をすることにする。手続きは以下のようになる。
【0016】
1. 復号サーバDSに時間鍵で暗号化されたメッセージを送付。
2. 復号サーバは乱数rを生成し、 最初の周期システムS1に秘密鍵の加算を依頼。
3. S1は自分のその時点の秘密鍵KS1をrに加算し、次のシステムS2に秘密鍵の加算を依頼
4. S2〜Sn-1はステップ3と同様。
5. 最後のSnは結果をDSに送付し、DSは総和からrを差し引く事によって復号鍵を得る事ができる。個々の周期システム内での復号処理も上記と同様に、周期システムを構成する要素サーバに順送りにそれぞれの秘密鍵の和の計算依頼メッセージを送付することによって行われる。
【0017】
・段階的暗号・復号法
本発明では、周期の構成が、どのシステムを組み合わせたかという情報にたよっている。したがって、この情報が受信者に知られていると、組み合わせた個々のシステムごとに復号要求を出すなどの攻撃が考えられる。これを防ぐために、暗号化の際に、組み合わせ情報も以下のように暗号化する。たとえば、周期システムCS1,CS2,CS3の公開鍵PK1,PK2,PK3を暗号化に用いたとする。この時、組み合わせた公開鍵はY=PK1*PK2*PK3になり、適当に選んだk<p-1に対して、メッセージMは、{gk、M*Yk }で暗号化されるが、同時に組み合わせ情報を、{CS1, PK1({CS2, PK2(CS3)})})} のようにする。ただしPKi()は暗号化関数とする。これによって、CS1で復号することによって初めて次の転送先がわかるようになる。
【0018】
図5に本発明の要素サーバに用いられるハードウェア実施例を示す。システム100は、中央処理装置(CPU)1とメモリ4とを含んでいる。CPU1とメモリ4は、バス2を介して、補助記憶装置としてのハードディスク装置13(またはMO、CD−ROM23、DVD等の記憶媒体駆動装置)とIDEコントローラ25を介して接続してある。同様にCPU1とメモリ4は、バス2を介して、補助記憶装置としてのハードディスク装置30(またはMO28、CD−ROM23、DVD等の記憶媒体駆動装置)とSCSIコントローラ27を介して接続してある。フロッピーディスク装置20はフロッピーディスクコントローラ19を介してバス2へ接続されている。
【0019】
フロッピーディスク装置20には、フロッピーディスクが挿入され、このフロッピーディスク等やハードディスク装置13(またはMO、CD−ROM、DVD等の記憶媒体)、ROM14には、オペレーティングシステムと協働してCPU等に命令を与え、本発明を実施するためのコンピュータ・プログラムのコード若しくはデータを記録することができ、メモリ4にロードされることによって実行される。このコンピュータ・プログラムのコードは圧縮し、または、複数に分割して、複数の媒体に記録することもできる。
【0020】
システム100は更に、ユーザ・インターフェース・ハードウェアを備え、入力をするためのポインティング・デバイス(マウス、ジョイスティック等)7またはキーボード6や、視覚データをユーザに提示するためのディスプレイ12を有することができる。また、パラレルポート16を介してプリンタを接続することや、シリアルポート15を介してモデムを接続することが可能である。このシステム100は、シリアルポート15およびモデムまたは通信アダプタ18(イーサネットやトークンリング・カード)等を介してネットワークに接続し、他の要素サーバ、コンピュータ等と通信を行う。またシリアルポート15若しくはパラレルポート16に、遠隔送受信機器を接続して、赤外線若しくは電波によりデータの送受信を行うことも可能である。
【0021】
スピーカ23は、オーディオ・コントローラ21によってD/A(デジタル/アナログ変換)変換された音声信号を、アンプ22を介して受領し、音声として出力する。また、オーディオ・コントローラ21は、マイクロフォン24から受領した音声情報をA/D(アナログ/デジタル)変換し、システム外部の音声情報をシステムにとり込むことを可能にしている。
【0022】
このように、本発明に用いる要素サーバは、通常のパーソナルコンピュータ(PC)やワークステーション、ノートブックPC、パームトップPC、ネットワークコンピュータ、コンピュータを内蔵したテレビ等の各種家電製品、通信機能を有するゲーム機、電話、FAX、携帯電話、PHS、電子手帳、等を含む通信機能有する通信端末、または、これらの組合せによって実施可能であることを容易に理解できるであろう。ただし、これらの構成要素は例示であり、その全ての構成要素が本発明の必須の構成要素となるわけではない。
【0023】
【発明の効果】
本発明により、ユーザは任意の時点の暗号鍵をシステムに告知するなく得ることができるため、システムは復号時点まで、復号鍵情報を知ることはない。つまりユーザがサーバに通知することなく復号時間を決められる。またユーザが公開鍵を組み合わせる事によって新しい公開鍵を得るので、これに対する秘密鍵は複数サーバに分割されており存在しない。サーバが協調して、復号鍵を周期的に管理するので、復号鍵は本当に復号時間になるまで構成することができない。本発明により、サーバの恣意的な不正を防ぎ、全体のシステムのセキュリティを高めることが可能になる。
【0024】
【図面の簡単な説明】
【図1】要素サーバの秘密鍵の更新プロセスを示す図である。
【図2】本発明における基本秘密鍵システムのブロック図である。
【図3】本発明の周期システムの挙動例を示すグラフである。
【図4】ElGamalによる周期公開鍵の組み合わせの説明図である。
【図5】本発明の要素サーバに用いられるハードウェア実施例である。
【図6】時間鍵を生成するフローチャートである。
Claims (4)
- 複数サーバの協調動作により秘密鍵を生成する秘密鍵生成システムにおいて、
(1)各サーバの鍵更新周期に応じて各サーバが有する秘密鍵に対応する公開鍵を計算して公開する段階と
(2)各サーバで乱数を生成し該乱数を前記公開鍵で暗号化し、他のサーバに送信する段階と、
(3)他のサーバから来た乱数を公開鍵を用いて復号する段階と、
(4)他のサーバに送信された乱数及び他のサーバから来て復号された乱数の両方を用いて各サーバの秘密鍵を更新する段階と、
を有し、前記段階(1)乃至(4)を繰り返すことによりシステムを自律的に動かすことを特徴とする、秘密鍵生成方法。 - 前記秘密鍵は各サーバの秘密鍵レジスタに記憶され、該秘密鍵レジスタの個数が他のサーバの秘密鍵レジスタの個数と異なり、各サーバの鍵更新周期が各サーバの秘密鍵レジスタの個数に相当する、請求項1記載の方法。
- 前記乱数を復号する段階(3)が他のサーバから来た乱数を復号し、該復号された乱数の和から他のサーバに送信された乱数の和を引いた値を乱数バッファに記憶する段階を有する、請求項2記載の方法。
- 前記秘密鍵を更新する段階(4)が秘密鍵を前記秘密鍵レジスタから取り出し、該秘密鍵と前記乱数バッファの値を用いて秘密鍵レジスタの値を更新する段階を有する、請求項3記載の方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP23454598A JP4071870B2 (ja) | 1998-08-20 | 1998-08-20 | 秘密鍵生成方法 |
| KR10-1999-0028348A KR100404694B1 (ko) | 1998-08-20 | 1999-07-14 | 비밀 키 생성 시스템 |
| TW088112104A TW429365B (en) | 1998-08-20 | 1999-07-16 | Cryptographic key generation system |
| US09/375,346 US6701435B1 (en) | 1998-08-20 | 1999-08-16 | Cryptographic key generation system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP23454598A JP4071870B2 (ja) | 1998-08-20 | 1998-08-20 | 秘密鍵生成方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2000066589A JP2000066589A (ja) | 2000-03-03 |
| JP4071870B2 true JP4071870B2 (ja) | 2008-04-02 |
Family
ID=16972709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP23454598A Expired - Fee Related JP4071870B2 (ja) | 1998-08-20 | 1998-08-20 | 秘密鍵生成方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US6701435B1 (ja) |
| JP (1) | JP4071870B2 (ja) |
| KR (1) | KR100404694B1 (ja) |
| TW (1) | TW429365B (ja) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3659791B2 (ja) * | 1998-03-23 | 2005-06-15 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 小時間鍵生成の方法及びシステム |
| US7080255B1 (en) * | 1999-05-19 | 2006-07-18 | Murata Kikai Kabushiki Kaisha | Secret key generation method, encryption method, and cryptographic communications method and system |
| KR100404246B1 (ko) * | 2000-08-07 | 2003-11-03 | 정인숙 | 비주기형 암호키 데이터열 생성방법 및 그 시스템 |
| ES2278047T3 (es) * | 2001-04-27 | 2007-08-01 | Betrusted Ireland Limited | Sistema y procedimiento para procesar un secreto compartido. |
| US20030041125A1 (en) * | 2001-08-16 | 2003-02-27 | Salomon Kirk C. | Internet-deployed wireless system |
| US7221764B2 (en) * | 2002-02-14 | 2007-05-22 | Agere Systems Inc. | Security key distribution using key rollover strategies for wireless networks |
| US6965674B2 (en) * | 2002-05-21 | 2005-11-15 | Wavelink Corporation | System and method for providing WLAN security through synchronized update and rotation of WEP keys |
| KR20030095025A (ko) * | 2002-06-11 | 2003-12-18 | 삼성탈레스 주식회사 | 주기적 스크램블링에 의한 보안 송수신 장치 및 방법 |
| US7965842B2 (en) * | 2002-06-28 | 2011-06-21 | Wavelink Corporation | System and method for detecting unauthorized wireless access points |
| US7606242B2 (en) * | 2002-08-02 | 2009-10-20 | Wavelink Corporation | Managed roaming for WLANS |
| US7522906B2 (en) * | 2002-08-09 | 2009-04-21 | Wavelink Corporation | Mobile unit configuration management for WLANs |
| US7233664B2 (en) * | 2003-03-13 | 2007-06-19 | New Mexico Technical Research Foundation | Dynamic security authentication for wireless communication networks |
| JP2005175992A (ja) * | 2003-12-12 | 2005-06-30 | Mitsubishi Electric Corp | 証明書配布システムおよび証明書配布方法 |
| JP2006127485A (ja) * | 2004-09-30 | 2006-05-18 | Sanyo Electric Co Ltd | コンテンツ再生装置およびコンテンツ再生方法 |
| US8118214B2 (en) * | 2006-03-24 | 2012-02-21 | Atmel Corporation | Method and system for generating electronic keys |
| WO2007129197A1 (en) * | 2006-05-04 | 2007-11-15 | Synaptic Laboratories Limited | Cryptographic apparatus and process |
| KR100858552B1 (ko) * | 2006-12-29 | 2008-09-12 | (주)엘엔아이소프트 | 동기화된 인증키를 이용한 인증시스템 |
| JP4302150B2 (ja) * | 2007-03-23 | 2009-07-22 | 株式会社東芝 | データ処理装置及びプログラム |
| CN101400059B (zh) | 2007-09-28 | 2010-12-08 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
| FR2960366A1 (fr) * | 2010-05-20 | 2011-11-25 | Ingenico Sa | Procede d’obtention de cles de chiffrement, terminal, serveur, et produits programmes d’ordinateurs correspondants |
| US8793485B2 (en) * | 2011-12-15 | 2014-07-29 | Texas Instruments Incorporated | Combined digital certificate |
| US9692699B2 (en) * | 2014-10-30 | 2017-06-27 | Intel Corporation | Apparatus, system and method of protecting a service identifier |
| US10437981B2 (en) | 2015-01-07 | 2019-10-08 | Htc Corporation | Electronic system and device unlock method of the same |
| US9710667B2 (en) * | 2015-04-09 | 2017-07-18 | American Express Travel Related Services Company, Inc. | System and method for online key rotation |
| US9641325B1 (en) * | 2015-10-30 | 2017-05-02 | International Business Machines Corporation | Server systems for distributed cryptographic protocols |
| WO2018099577A1 (en) * | 2016-12-02 | 2018-06-07 | Ecole Polytechnique Federale De Lausanne (Epfl) | System and method for providing a collective decentralized authority for sharing sensitive data |
| US11632243B1 (en) * | 2020-03-31 | 2023-04-18 | Juniper Networks, Inc. | Multi-key exchange |
| CN113757909B (zh) * | 2021-11-08 | 2022-02-08 | 国网浙江省电力有限公司绍兴供电公司 | 基于量子加密技术的空调集群控制方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0522283A (ja) * | 1991-02-20 | 1993-01-29 | C Ee T V Kiban Gijutsu Kenkyusho:Kk | 秘話通信方式 |
| US5412723A (en) * | 1994-03-01 | 1995-05-02 | International Business Machines Corporation | Mechanism for keeping a key secret from mobile eavesdroppers |
| US5625692A (en) * | 1995-01-23 | 1997-04-29 | International Business Machines Corporation | Method and system for a public key cryptosystem having proactive, robust, and recoverable distributed threshold secret sharing |
| GB9510035D0 (en) * | 1995-05-18 | 1995-08-02 | Cryptech Systems Inc | Strengthened public key protocols |
| JPH08335040A (ja) * | 1995-06-02 | 1996-12-17 | Fujitsu Ltd | 暗号化処理方式 |
| JP3898796B2 (ja) * | 1996-05-22 | 2007-03-28 | 松下電器産業株式会社 | 暗号化装置 |
-
1998
- 1998-08-20 JP JP23454598A patent/JP4071870B2/ja not_active Expired - Fee Related
-
1999
- 1999-07-14 KR KR10-1999-0028348A patent/KR100404694B1/ko not_active IP Right Cessation
- 1999-07-16 TW TW088112104A patent/TW429365B/zh not_active IP Right Cessation
- 1999-08-16 US US09/375,346 patent/US6701435B1/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US6701435B1 (en) | 2004-03-02 |
| KR100404694B1 (ko) | 2003-11-10 |
| TW429365B (en) | 2001-04-11 |
| KR20000016931A (ko) | 2000-03-25 |
| JP2000066589A (ja) | 2000-03-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4071870B2 (ja) | 秘密鍵生成方法 | |
| Zhu et al. | A secure anti-collusion data sharing scheme for dynamic groups in the cloud | |
| Li et al. | Identity-based encryption with outsourced revocation in cloud computing | |
| Han et al. | A data sharing protocol to minimize security and privacy risks of cloud storage in big data era | |
| Guo et al. | TABE-DAC: Efficient traceable attribute-based encryption scheme with dynamic access control based on blockchain | |
| US7899184B2 (en) | Ends-messaging protocol that recovers and has backward security | |
| JP6363032B2 (ja) | 鍵付替え方向制御システムおよび鍵付替え方向制御方法 | |
| CN105071937B (zh) | 具有高效属性撤销的密文策略属性基加密方法 | |
| Das et al. | MACPABE: Multi‐Authority‐based CP‐ABE with efficient attribute revocation for IoT‐enabled healthcare infrastructure | |
| CN100505618C (zh) | 加密通信系统、其密钥分发服务器、终端设备和密钥共亨方法 | |
| CN113992330A (zh) | 一种基于代理重加密的区块链数据受控共享方法及系统 | |
| CN109905229B (zh) | 基于群组非对称密钥池的抗量子计算Elgamal加解密方法和系统 | |
| JPWO2018016330A1 (ja) | 通信端末、サーバ装置、プログラム | |
| Sarma et al. | PAC-FIT: An efficient privacy preserving access control scheme for fog-enabled IoT | |
| JP7212697B2 (ja) | 通信端末、通信システム、及びプログラム | |
| JP5469618B2 (ja) | 暗号化システム、復号方法、鍵更新方法、鍵生成装置、受信装置、代理計算装置、プログラム | |
| JP2022107460A (ja) | 鍵交換システム、通信端末、情報処理装置、鍵交換方法、及びプログラム | |
| JP6939897B2 (ja) | 通信端末、プログラム | |
| JP7125857B2 (ja) | 暗号化システム、暗号化装置、復号装置、暗号化方法、復号方法、及びプログラム | |
| Qin et al. | Strongly secure and cost-effective certificateless proxy re-encryption scheme for data sharing in cloud computing | |
| JP6840685B2 (ja) | データ共有方法、データ共有システム、通信端末、データ共有サーバ、プログラム | |
| Chen et al. | Generic attribute revocation systems for attribute-based encryption in cloud storage | |
| JP2007235946A (ja) | ドメインに含まれたグループのキーを構成する方法および装置 | |
| Phuong et al. | Improvement of multi-user searchable encrypted data scheme | |
| CN113872757B (zh) | 一种基于sm2公钥加密算法的广播加密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040330 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20040625 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20040701 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040929 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20041109 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050207 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20050405 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20050701 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071211 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080118 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110125 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120125 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130125 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140125 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |