JP4150328B2 - ハイブリッド暗号装置およびハイブリッド暗号・復号方法 - Google Patents
ハイブリッド暗号装置およびハイブリッド暗号・復号方法 Download PDFInfo
- Publication number
- JP4150328B2 JP4150328B2 JP2003408776A JP2003408776A JP4150328B2 JP 4150328 B2 JP4150328 B2 JP 4150328B2 JP 2003408776 A JP2003408776 A JP 2003408776A JP 2003408776 A JP2003408776 A JP 2003408776A JP 4150328 B2 JP4150328 B2 JP 4150328B2
- Authority
- JP
- Japan
- Prior art keywords
- ciphertext
- random number
- key
- asy
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 11
- 230000005540 biological transmission Effects 0.000 description 4
- 238000013478 data encryption standard Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
Images
Description
本発明はハイブリッド暗号装置とその方法に関する。
一般に、暗号は共通鍵暗号と公開鍵暗号の二種類に類別できる。公開鍵暗号は、送信側が受信側の(秘密ではない)公開鍵を使って、データ(平文)を暗号化して送信するために利用する。多くの場合、共通鍵暗号より低速なため、共通鍵暗号で問題となる秘密鍵の共有問題(鍵配送問題)などの解決に利用される。一方、共通鍵暗号は送信側、受信側が同じ鍵を秘密に保持しているとき、データ(平文)を暗号化して送信するために利用する。
公開鍵暗号システムとは、公開鍵を登録する公開鍵簿と送信装置、受信装置からなるシステムである。公開鍵暗号システムは公開鍵暗号のみでも実装できるが、公開鍵暗号で鍵配送をし、その時共有された秘密鍵で、共通鍵暗号法を使って平文を暗号通信するのが一般的な公開鍵暗号(ハイブリッド暗号)システムの構成である。
公開鍵暗号システムとは、公開鍵を登録する公開鍵簿と送信装置、受信装置からなるシステムである。公開鍵暗号システムは公開鍵暗号のみでも実装できるが、公開鍵暗号で鍵配送をし、その時共有された秘密鍵で、共通鍵暗号法を使って平文を暗号通信するのが一般的な公開鍵暗号(ハイブリッド暗号)システムの構成である。
公開鍵暗号システムの攻撃には、さまざまな攻撃法と安全性の基準が知られている(非特許文献1 参照)。
公開鍵暗号システムは、「選択暗号文攻撃に対して強秘匿」性を持つべきであるというのが現在の暗号学者の一致した見解である。
まず、公開鍵暗号装置、秘密鍵暗号装置を厳密に定義する。公開鍵暗号装置と秘密鍵暗号装置を用いて、選択暗号文攻撃の基、強秘匿な暗号文を構成するハイブリッド(公開鍵)暗号装置の従来構成法は後述する。
公開鍵暗号システムは、「選択暗号文攻撃に対して強秘匿」性を持つべきであるというのが現在の暗号学者の一致した見解である。
まず、公開鍵暗号装置、秘密鍵暗号装置を厳密に定義する。公開鍵暗号装置と秘密鍵暗号装置を用いて、選択暗号文攻撃の基、強秘匿な暗号文を構成するハイブリッド(公開鍵)暗号装置の従来構成法は後述する。
従来の公開鍵暗号装置、秘密鍵暗号装置を図1を参照して説明する。
I.公開鍵暗号装置Πとは、次のような3つの装置の組Π=(K,E,D)である。
(鍵生成装置K)
鍵生成装置Kはセキュリティパラメータk(慣用的に1kと書く)を引数に取り、公開鍵、秘密鍵の組(pk,sk)を出力する確率的アルゴリズム装置である。
以後、この(kを入力し(pk,sk)を出力する)確率的な試行を、(pk,sk)←K(1k)と記述することにする。
(暗号化アルゴリズム装置E)
暗号化装置Eは、公開鍵pkと平文x∈MSPを引数に取り、内部で乱数rをCOINから取り、暗号文 y:=Epk(x;r)を生成する(平文xを公開鍵pkと乱数rを用いて暗号化する)確率的アルゴリズム装置である。
ここで、MSPとCOINはそれぞれ平文空間、内部乱数空間(コイン空間)であり、公開鍵pkにより一意に定められるものとする。
以後、この確率的な試行を、y←Epk(x)と記述することにする。
(復号化アルゴリズム装置D)
復号化アルゴリズム装置Dは、秘密鍵skと暗号文(ことによるとガラクタのビット列)y∈{0,1}*を取り、平文x:=Dsk(y)を出力する(暗号文yを秘密鍵skを用いて復号化する)確定的アルゴリズム装置である。
(装置間の関係)
任意の(pk,sk)←K(1k)と任意のx∈MSPに対して、Dsk(Epk(x))=xが常に成り立つ。
このようなΠ=(K,E,D)を公開鍵暗号装置と呼ぶ。
I.公開鍵暗号装置Πとは、次のような3つの装置の組Π=(K,E,D)である。
(鍵生成装置K)
鍵生成装置Kはセキュリティパラメータk(慣用的に1kと書く)を引数に取り、公開鍵、秘密鍵の組(pk,sk)を出力する確率的アルゴリズム装置である。
以後、この(kを入力し(pk,sk)を出力する)確率的な試行を、(pk,sk)←K(1k)と記述することにする。
(暗号化アルゴリズム装置E)
暗号化装置Eは、公開鍵pkと平文x∈MSPを引数に取り、内部で乱数rをCOINから取り、暗号文 y:=Epk(x;r)を生成する(平文xを公開鍵pkと乱数rを用いて暗号化する)確率的アルゴリズム装置である。
ここで、MSPとCOINはそれぞれ平文空間、内部乱数空間(コイン空間)であり、公開鍵pkにより一意に定められるものとする。
以後、この確率的な試行を、y←Epk(x)と記述することにする。
(復号化アルゴリズム装置D)
復号化アルゴリズム装置Dは、秘密鍵skと暗号文(ことによるとガラクタのビット列)y∈{0,1}*を取り、平文x:=Dsk(y)を出力する(暗号文yを秘密鍵skを用いて復号化する)確定的アルゴリズム装置である。
(装置間の関係)
任意の(pk,sk)←K(1k)と任意のx∈MSPに対して、Dsk(Epk(x))=xが常に成り立つ。
このようなΠ=(K,E,D)を公開鍵暗号装置と呼ぶ。
II.秘密鍵暗号装置Πとは、次のような2つの装置の組Π=(E,D)である。
セキュリティパラメータkに対して、鍵空間KSP、平文空間MSP、内部乱数空間(コイン空間)COINが一意に定まり、E,Dは次のような装置である。
(暗号化アルゴリズム装置E)
暗号化アルゴリズム装置Eは、秘密鍵a∈KSPと平文x∈MSPを引数に取り、内部で乱数rをCOINから取り、暗号文y:=Ea(x;r)を生成する(平文xを秘密鍵aと乱数rを用いて暗号化する)確率的アルゴリズム装置である。
以後、この確率的な試行を、y←Ea(x)と記述することにする。
(復号化アルゴリズム装置D)
復号化アルゴリズム装置Dは、秘密鍵aと暗号文(ことによると、ガラクタのビット列)y∈{0,1}*を取り、平文x:=Da(y)を出力する(暗号文yを秘密鍵aを用いて復号化する)確定的アルゴリズム装置である。
(装置間の関係)
任意のa∈KSPと任意のx∈MSPに対して、Da(E(a,x))=xが常に成り立つ。
このようなΠ=(E,D)を、秘密鍵暗号と呼ぶ。
セキュリティパラメータkに対して、鍵空間KSP、平文空間MSP、内部乱数空間(コイン空間)COINが一意に定まり、E,Dは次のような装置である。
(暗号化アルゴリズム装置E)
暗号化アルゴリズム装置Eは、秘密鍵a∈KSPと平文x∈MSPを引数に取り、内部で乱数rをCOINから取り、暗号文y:=Ea(x;r)を生成する(平文xを秘密鍵aと乱数rを用いて暗号化する)確率的アルゴリズム装置である。
以後、この確率的な試行を、y←Ea(x)と記述することにする。
(復号化アルゴリズム装置D)
復号化アルゴリズム装置Dは、秘密鍵aと暗号文(ことによると、ガラクタのビット列)y∈{0,1}*を取り、平文x:=Da(y)を出力する(暗号文yを秘密鍵aを用いて復号化する)確定的アルゴリズム装置である。
(装置間の関係)
任意のa∈KSPと任意のx∈MSPに対して、Da(E(a,x))=xが常に成り立つ。
このようなΠ=(E,D)を、秘密鍵暗号と呼ぶ。
特に内部コイン空間COINが空集合で(存在せず)、暗号文yが秘密鍵aと平文xから一意に定まるとき、Eを確定的と呼び、Πを「確定的」な秘密鍵暗号装置と呼ぶ。一方、「確定的」と対比して、一般の秘密鍵暗号装置を「確率的」と呼ぶ。
その他、後述するハイブリッド暗号装置を構成するために利用される補助的な装置としてハッシュ関数装置Hがある。ハッシュ関数装置Hとは、任意の長さのビットストリング(すなわち、{0,1}*の元)を入力に取り、ある有限濃度の値域I(H)に値を返す関数H:{0,1}*→I(H)を実装したものである。現実のハッシュ関数では、例えばSHA−1,RIPEMD−160などが知られている。
その他、後述するハイブリッド暗号装置を構成するために利用される補助的な装置としてハッシュ関数装置Hがある。ハッシュ関数装置Hとは、任意の長さのビットストリング(すなわち、{0,1}*の元)を入力に取り、ある有限濃度の値域I(H)に値を返す関数H:{0,1}*→I(H)を実装したものである。現実のハッシュ関数では、例えばSHA−1,RIPEMD−160などが知られている。
III. 次に図2を参照して従来のハイブリッド(公開鍵)暗号装置(非特許文献2 参照)を説明する。
ハイブリッド(公開鍵)暗号装置ΠFO(=KFO,EFO,DFO)は、任意の公開鍵暗号装置Πasy(=(Kasy,Easy,Dasy))と任意の「確定的」な秘密鍵暗号装置Πsy(=(Esy,Dsy))から、次のように実現される。
(鍵生成アルゴリズム装置KFO)
鍵生成アルゴリズム装置KFOは、セキュリティパラメータ1kを取り、Kasyを起動して、(pk,sk)←Kasy(1k)により得た、公開鍵、秘密鍵の組(pk,sk)をKFO(1k)の出力として出力する。
この確率的試行を(pk,sk)←KFO(1k)と書くこととする。
ここで、公開鍵pkは、元々Kasyの公開鍵であることから、MSPasy,COINasyが定まる。一方、セキュリティパラメータkからMSPsy,COINsy,KSPsyが一意に定まる。
公開鍵pkに対するΠhyの乱数空間(コイン空間)、平文空間は以下のように定義することとする。
COINFO:=MSPasy、MSPFO:=MSPsy.pkは便宜上kを含んでいるものとすれば、公開鍵pkにより、ΠFOの上記空間は一意に定まることとなる。
ハイブリッド(公開鍵)暗号装置ΠFO(=KFO,EFO,DFO)は、任意の公開鍵暗号装置Πasy(=(Kasy,Easy,Dasy))と任意の「確定的」な秘密鍵暗号装置Πsy(=(Esy,Dsy))から、次のように実現される。
(鍵生成アルゴリズム装置KFO)
鍵生成アルゴリズム装置KFOは、セキュリティパラメータ1kを取り、Kasyを起動して、(pk,sk)←Kasy(1k)により得た、公開鍵、秘密鍵の組(pk,sk)をKFO(1k)の出力として出力する。
この確率的試行を(pk,sk)←KFO(1k)と書くこととする。
ここで、公開鍵pkは、元々Kasyの公開鍵であることから、MSPasy,COINasyが定まる。一方、セキュリティパラメータkからMSPsy,COINsy,KSPsyが一意に定まる。
公開鍵pkに対するΠhyの乱数空間(コイン空間)、平文空間は以下のように定義することとする。
COINFO:=MSPasy、MSPFO:=MSPsy.pkは便宜上kを含んでいるものとすれば、公開鍵pkにより、ΠFOの上記空間は一意に定まることとなる。
(暗号化アルゴリズム装置EFO)
暗号化アルゴリズム装置EFOは、公開鍵pkと平文m∈MSPFOを取り、次のように動作する。
1.乱数σを乱数空間COINFOから取る。
σ←RCOINFO.(R:乱数)
2.乱数σと平文mにハッシュ関数Hを適用して、σ、mを特定できないような認証子r1(乱数成分として用いるパラメータ)を生成する。
r1:=H(σ,m).
3.乱数σにハッシュ関数Gを適用してハイブリッド暗号装置ΠFO(秘密鍵暗号装置Πsy)の秘密鍵(セッションキー又はワンタイムの鍵)r2を生成する。
r2:=G(σ).
4.乱数σを公開鍵pkと認証子r1を用いて暗号化し、暗号文c1を生成する。
c1:=Epk asy(σ;r1).
5.平文mを秘密鍵r2を用いて暗号化し、暗号文c2を生成する。
6.暗号文c1||c2をEpk FO(m;σ)として出力(送信)する。
ここで、c1||c2は、ビット列c1とc2を並べて作ったビット列である。
*秘密鍵暗号装置Πsyは、前記したように確定的であるので、上記のステップ5.の秘密鍵暗号化アルゴリズム装置Esyは「確定的」なアルゴリズム装置である点に注意。
暗号化アルゴリズム装置EFOは、公開鍵pkと平文m∈MSPFOを取り、次のように動作する。
1.乱数σを乱数空間COINFOから取る。
σ←RCOINFO.(R:乱数)
2.乱数σと平文mにハッシュ関数Hを適用して、σ、mを特定できないような認証子r1(乱数成分として用いるパラメータ)を生成する。
r1:=H(σ,m).
3.乱数σにハッシュ関数Gを適用してハイブリッド暗号装置ΠFO(秘密鍵暗号装置Πsy)の秘密鍵(セッションキー又はワンタイムの鍵)r2を生成する。
r2:=G(σ).
4.乱数σを公開鍵pkと認証子r1を用いて暗号化し、暗号文c1を生成する。
c1:=Epk asy(σ;r1).
5.平文mを秘密鍵r2を用いて暗号化し、暗号文c2を生成する。
ここで、c1||c2は、ビット列c1とc2を並べて作ったビット列である。
(復号化アルゴリズム装置DFO)
復号化アルゴリズム装置DFOは、秘密鍵skと暗号文c1||c2を取り、次のように動作する。
1.暗号文c1||c2を所定の組(c1,c2)に分割する。
2.秘密鍵skを用いて暗号文c1を復号化し、乱数σを生成する。
σ:=Dsk asy(c1).
3.乱数σにハッシュ関数Gを適用して秘密鍵r2を生成する。
r2:=G(σ).
4.暗号文c2を秘密鍵r2を用いて復号化し、平文mを生成する。
5.乱数σと平文mにハッシュ関数Hを施して、認証子r1を生成する。
r1:=H(σ,m).
6.もし、(a)乱数σを公開鍵pkと認証子r1を用いて暗号化し、暗号文c1と一致し たならば(c1=Epk asy(σ;r1)ならば)、平文mを出力する。
(b)それ以外の時は、不正暗号文の印εを設定し、出力する。
M.Bellare, A.Desai, D.Pointcheval, and P.Rogaway. Relations among notions of security for public-key encryption schemes. In H.Krawczyk, editor, Advances in Cryptology-CRYPTO'98, volume 1462 of Lecture Notes in Computer Science, pages 26-45. Springer-Verlag,1998. E.Fujisaki and T.Okamoto. Secure integration of asymmetric and symmetric encryption schemes. In M. Wiener, editor, Advances in Cryptology -CRYPTO'99, volume 1666 of Lecture Notes in Computer Science, pages 537-554. Springer-Verlag,1999.
復号化アルゴリズム装置DFOは、秘密鍵skと暗号文c1||c2を取り、次のように動作する。
1.暗号文c1||c2を所定の組(c1,c2)に分割する。
2.秘密鍵skを用いて暗号文c1を復号化し、乱数σを生成する。
σ:=Dsk asy(c1).
3.乱数σにハッシュ関数Gを適用して秘密鍵r2を生成する。
r2:=G(σ).
4.暗号文c2を秘密鍵r2を用いて復号化し、平文mを生成する。
r1:=H(σ,m).
6.もし、(a)乱数σを公開鍵pkと認証子r1を用いて暗号化し、暗号文c1と一致し たならば(c1=Epk asy(σ;r1)ならば)、平文mを出力する。
(b)それ以外の時は、不正暗号文の印εを設定し、出力する。
M.Bellare, A.Desai, D.Pointcheval, and P.Rogaway. Relations among notions of security for public-key encryption schemes. In H.Krawczyk, editor, Advances in Cryptology-CRYPTO'98, volume 1462 of Lecture Notes in Computer Science, pages 26-45. Springer-Verlag,1998. E.Fujisaki and T.Okamoto. Secure integration of asymmetric and symmetric encryption schemes. In M. Wiener, editor, Advances in Cryptology -CRYPTO'99, volume 1666 of Lecture Notes in Computer Science, pages 537-554. Springer-Verlag,1999.
上記に強調したように、非特許文献2に記載の従来のハイブリッド(公開鍵)暗号装置は、一般の秘密鍵暗号装置と組み合わせることができない(実際、「確率的」な秘密鍵暗号装置と組み合わせると安全でなくなる)。
確かに、DES(Data Encryption Standard),AES(Advanced Encryption Standard),Cameliaなどの秘密鍵ブロック暗号は「確定的」な暗号であるが、長い平文を扱えるよう、CFB(cipher feedback chaining),OFB(output feedback chaining),CBC(cipher block chaining)モードなどを用いてストリーム暗号にするのが一般的である。ストリーム暗号は「確率的」な暗号である。
本発明では、任意の秘密鍵暗号と組み合わせが可能になり、実質、全ての公開鍵暗号と秘密鍵暗号の組み合わせが可能となるハイブリッド暗号装置および方法を提供する。
確かに、DES(Data Encryption Standard),AES(Advanced Encryption Standard),Cameliaなどの秘密鍵ブロック暗号は「確定的」な暗号であるが、長い平文を扱えるよう、CFB(cipher feedback chaining),OFB(output feedback chaining),CBC(cipher block chaining)モードなどを用いてストリーム暗号にするのが一般的である。ストリーム暗号は「確率的」な暗号である。
本発明では、任意の秘密鍵暗号と組み合わせが可能になり、実質、全ての公開鍵暗号と秘密鍵暗号の組み合わせが可能となるハイブリッド暗号装置および方法を提供する。
本発明は、公開鍵暗号装置(Πasy=鍵生成装置Kasy,暗号化アルゴリズム装置Easy,復号化アルゴリズム装置Dasy)と秘密鍵暗号装置(Πsy=暗号化アルゴリズム装置Esy,復号化アルゴリズム装置Dsy)を用いて構成されるハイブリッド暗号装置(Πhy=鍵生成装置Khy,暗号化アルゴリズム装置Ehy,復号化アルゴリズム装置Dhy)において、
暗号化アルゴリズム装置Ehy は、
公開鍵pkと平文mを入力し、
内部の乱数空間COINhyから乱数σを取り出し、ハッシュ関数Gを施して秘密鍵r2(:=G(σ))を生成し、
平文mを秘密鍵r2を用いて暗号化し、
乱数σと暗号文c2にハッシュ関数Hを施してσ、c2を特定できないような認証子r1(:=H(σ,c2))を生成し、
乱数σを公開鍵pkと認証子r1を用いて暗号化し、暗号文c1(:=Epk asy(σ;r1))を生成し、
生成した暗号文c1||c2(「||」は連結を表す。)を出力し、
公開鍵pkと平文mを入力し、
内部の乱数空間COINhyから乱数σを取り出し、ハッシュ関数Gを施して秘密鍵r2(:=G(σ))を生成し、
平文mを秘密鍵r2を用いて暗号化し、
乱数σを公開鍵pkと認証子r1を用いて暗号化し、暗号文c1(:=Epk asy(σ;r1))を生成し、
生成した暗号文c1||c2(「||」は連結を表す。)を出力し、
復号化アルゴリズム装置Dhyは、
秘密鍵skと暗号文c1||c2を入力し、
暗号文c1を秘密鍵skを用いて復号化し、乱数σ(:=Dsk asy(c1))を生成し、
乱数σが乱数空間COINhyに属していれば(σ∈COINhyならば)、秘密鍵r2(:=G(σ))とし、それ以外の時は不正暗号文と設定して出力し、
暗号文c2を秘密鍵r2を用いて復号化し、
乱数σと暗号文c2にハッシュ関数Hを施して認証子r1(:=H(σ,c2))を生成し、
乱数σを公開鍵pkと認証子r1を用いて暗号化し、暗号文c1と一致したならば(c1=Epk asy(σ;r1)ならば)平文mを出力し、それ以外の時は、不正暗号文として設定して出力する、ことを特徴とする。
秘密鍵skと暗号文c1||c2を入力し、
暗号文c1を秘密鍵skを用いて復号化し、乱数σ(:=Dsk asy(c1))を生成し、
乱数σが乱数空間COINhyに属していれば(σ∈COINhyならば)、秘密鍵r2(:=G(σ))とし、それ以外の時は不正暗号文と設定して出力し、
暗号文c2を秘密鍵r2を用いて復号化し、
乱数σを公開鍵pkと認証子r1を用いて暗号化し、暗号文c1と一致したならば(c1=Epk asy(σ;r1)ならば)平文mを出力し、それ以外の時は、不正暗号文として設定して出力する、ことを特徴とする。
本発明は、平文m(従来例のステップ2.)の代わりに、秘密鍵による暗号文c2をハッシュ関数Hに入力したため、秘密鍵暗号が確率的でも安全性を保持できるようになった。
本発明では、任意の秘密鍵暗号と組み合わせが可能になり、実質、全ての公開鍵暗号と秘密鍵暗号の組み合わせが可能となった。
本発明は、公開鍵暗号が一方向性を満たし、秘密鍵暗号が受動的攻撃に対して識別不可能性を持つとき、選択暗号文攻撃の基(自分が勝手に選んだ暗号文を復号してもらい、それを元にチャレンジに成功しようとするもの)、強秘匿なハイブリッド公開鍵暗号を実現できる。基礎となる公開鍵・秘密鍵暗号の安全性の条件及びハイブリッド暗号が到達する安全性のレベルは、前記した従来のハイブリッド暗号装置と同じである。ただし、既に述べたように本発明はより多くの暗号の組み合わせを可能とした。
各安全性の定義及び証明は、文献3:E.Fujisaki. Plaintext-simulatability and universally implementasble security. Unpublished Manuscript, 2003.,文献4:E.Fujisaki and T.Okamoto. Secure integration of asymmetric and symmetric encryption schemes, revised manuscript. Unpublished Manuscript, 2003.に掲載されている。
本発明では、任意の秘密鍵暗号と組み合わせが可能になり、実質、全ての公開鍵暗号と秘密鍵暗号の組み合わせが可能となった。
本発明は、公開鍵暗号が一方向性を満たし、秘密鍵暗号が受動的攻撃に対して識別不可能性を持つとき、選択暗号文攻撃の基(自分が勝手に選んだ暗号文を復号してもらい、それを元にチャレンジに成功しようとするもの)、強秘匿なハイブリッド公開鍵暗号を実現できる。基礎となる公開鍵・秘密鍵暗号の安全性の条件及びハイブリッド暗号が到達する安全性のレベルは、前記した従来のハイブリッド暗号装置と同じである。ただし、既に述べたように本発明はより多くの暗号の組み合わせを可能とした。
各安全性の定義及び証明は、文献3:E.Fujisaki. Plaintext-simulatability and universally implementasble security. Unpublished Manuscript, 2003.,文献4:E.Fujisaki and T.Okamoto. Secure integration of asymmetric and symmetric encryption schemes, revised manuscript. Unpublished Manuscript, 2003.に掲載されている。
本発明は、任意の公開鍵暗号装置Πasyと任意の秘密鍵暗号装置Πsyを基に、新たに構成されるハイブリッド暗号装置Πhyである。ハイブリッド暗号装置Πhyは、公開鍵簿、送信装置、受信装置からなる典型的な公開鍵暗号システムを構成する。
図3を参照して本発明のハイブリッド(公開鍵)暗号装置を説明する。
いま、Πasy=(Kasy,Easy,Dasy)をある公開鍵暗号装置、同様にΠsy=(Esy,Dsy)を秘密鍵暗号装置とする。このとき、これらの暗号装置から新たなハイブリッド(公開鍵)暗号装置Πhy=(Khy,Ehy,Dhy)を以下のように構成する。
図3を参照して本発明のハイブリッド(公開鍵)暗号装置を説明する。
いま、Πasy=(Kasy,Easy,Dasy)をある公開鍵暗号装置、同様にΠsy=(Esy,Dsy)を秘密鍵暗号装置とする。このとき、これらの暗号装置から新たなハイブリッド(公開鍵)暗号装置Πhy=(Khy,Ehy,Dhy)を以下のように構成する。
(鍵生成アルゴリズム装置Khy)
鍵生成アルゴリズム装置Khyは、セキュリティパラメータ1kを取り、Kasyを起動して、(pk,sk)←Kasy(1k)により得た、公開鍵、秘密鍵の組(pk,sk)をKhy(1k)の出力として出力する。
この確率的試行を(pk,sk)←Khy(1k)と書くこととする。
ここで、公開鍵pkは、元々Kasyの公開鍵であることから、MSPasy,COINasyが定まる。一方、セキュリティパラメータkからMSPsy,COINsy,KSPsyが一意に定まる。
公開鍵pkに対するΠhyの乱数空間(コイン空間)、平文空間は以下のように定義することとする。
COINhy:=MSPasy、MSPhy:=MSPsy.
公開鍵pkは便宜上kを含んでいるものとすれば、公開鍵pkにより、Πhyの上記空間は一意に定まることとなる。
鍵生成アルゴリズム装置Khyは、セキュリティパラメータ1kを取り、Kasyを起動して、(pk,sk)←Kasy(1k)により得た、公開鍵、秘密鍵の組(pk,sk)をKhy(1k)の出力として出力する。
この確率的試行を(pk,sk)←Khy(1k)と書くこととする。
ここで、公開鍵pkは、元々Kasyの公開鍵であることから、MSPasy,COINasyが定まる。一方、セキュリティパラメータkからMSPsy,COINsy,KSPsyが一意に定まる。
公開鍵pkに対するΠhyの乱数空間(コイン空間)、平文空間は以下のように定義することとする。
COINhy:=MSPasy、MSPhy:=MSPsy.
公開鍵pkは便宜上kを含んでいるものとすれば、公開鍵pkにより、Πhyの上記空間は一意に定まることとなる。
(暗号化アルゴリズム装置Ehy)
暗号化アルゴリズム装置Ehyは、公開鍵pkと平文m∈MSPhyを取り、次のステップ1〜6を実行する手段を有する。
1.乱数空間COINhyから乱数σを取り出す。
σ←RCOINhy.
2.乱数σにハッシュ関数Gを施して、ハイブリッド暗号装置Πhy(秘密鍵暗号装置Πsy)の秘密鍵(ワンタイムの鍵)r2を生成する。
r2:=G(σ).
3.平文mを秘密鍵r2を用いて暗号化し、暗号文c2を生成する。
4.乱数σと暗号文c2にハッシュ関数Hを施してσ、c2を特定できないような認証子r1を生成する。
r1:=H(σ,c2).
5.乱数σを公開鍵pkと認証子r1を用いて暗号化し、暗号文c1を生成する。
c1:=Epk asy(σ;r1).
6.暗号文c1||c2をEpk hy(m;σ)として出力(送信)する。
ここで、暗号文c1||c2は、ビット列c1とc2を並べて作ったビット列である。
*秘密鍵暗号装置Πsyは確率的で良いので、一般に、上記ステップ3.の秘密鍵暗号化アルゴリズム装置Esyは「確率的」なアルゴリズム装置である。すなわち、暗号文c2は秘密鍵r2,平文mだけから一意に決まらない。
暗号化アルゴリズム装置Ehyは、公開鍵pkと平文m∈MSPhyを取り、次のステップ1〜6を実行する手段を有する。
1.乱数空間COINhyから乱数σを取り出す。
σ←RCOINhy.
2.乱数σにハッシュ関数Gを施して、ハイブリッド暗号装置Πhy(秘密鍵暗号装置Πsy)の秘密鍵(ワンタイムの鍵)r2を生成する。
r2:=G(σ).
3.平文mを秘密鍵r2を用いて暗号化し、暗号文c2を生成する。
r1:=H(σ,c2).
5.乱数σを公開鍵pkと認証子r1を用いて暗号化し、暗号文c1を生成する。
c1:=Epk asy(σ;r1).
6.暗号文c1||c2をEpk hy(m;σ)として出力(送信)する。
ここで、暗号文c1||c2は、ビット列c1とc2を並べて作ったビット列である。
(復号化アルゴリズム装置)
復号化アルゴリズム装置Dhyは、秘密鍵sk∈SKhyと暗号文ビット列c1||c2 ∈{0,1}*を取り、次のステップ1〜6を実行する手段を有する。
1.ビット列c1||c2を所定の組(c1,c2)に分割する。仮に正しく指定されたフォーマットに分割できないようであれば、アルゴリズムを中断して、不正暗号文の印εを設定し、出力する。
2.暗号文c1を秘密鍵skを用いて復号化し、乱数σを生成する。
σ:=Dsk asy(c1).
3.もし、(a)σ∈ COINhy,ならば、秘密鍵r2:=G(σ)とし、
(b)それ以外の時は、不正暗号文の印εを設定し、出力する。
4.暗号文c2を秘密鍵r2 を用いて復号化し、平文mを生成する。
5.乱数σと暗号文c2にハッシュ関数Hを適用して認証子r1を生成する。
r1:=H(σ,c2).
6.もし、(a)乱数σを公開鍵pkと認証子r1を用いて暗号化し、暗号文c1に一致し たならば(c1=Epk asy(σ;r1)ならば)、平文mを出力する。
(b)それ以外の時は、不正暗号文の印εを設定し、出力する。
上記G,Hはハッシュ関数G:{0,1}*→KSPsy,H:COINhy×{0,1}*→COINasyをそれぞれ実装したハッシュ関数装置である。
復号化アルゴリズム装置Dhyは、秘密鍵sk∈SKhyと暗号文ビット列c1||c2 ∈{0,1}*を取り、次のステップ1〜6を実行する手段を有する。
1.ビット列c1||c2を所定の組(c1,c2)に分割する。仮に正しく指定されたフォーマットに分割できないようであれば、アルゴリズムを中断して、不正暗号文の印εを設定し、出力する。
2.暗号文c1を秘密鍵skを用いて復号化し、乱数σを生成する。
σ:=Dsk asy(c1).
3.もし、(a)σ∈ COINhy,ならば、秘密鍵r2:=G(σ)とし、
(b)それ以外の時は、不正暗号文の印εを設定し、出力する。
4.暗号文c2を秘密鍵r2 を用いて復号化し、平文mを生成する。
r1:=H(σ,c2).
6.もし、(a)乱数σを公開鍵pkと認証子r1を用いて暗号化し、暗号文c1に一致し たならば(c1=Epk asy(σ;r1)ならば)、平文mを出力する。
(b)それ以外の時は、不正暗号文の印εを設定し、出力する。
上記G,Hはハッシュ関数G:{0,1}*→KSPsy,H:COINhy×{0,1}*→COINasyをそれぞれ実装したハッシュ関数装置である。
公開鍵暗号システム
以下では、上記ハイブリッド暗号装置Πhyを利用した、公開鍵暗号システムの一実施例について説明する。
公開鍵簿には、受信側装置Bの公開鍵が登録されている。送信側装置A、受信側装置Bは安全でない通信路を介して結合されているとする。
(鍵の登録)
受信側装置Bは、鍵生成装置Khyを起動し、(pk,sk)を作成し、pkを公開鍵簿に登録する。
(暗号文の送信)
送信側装置Aは、暗号化装置Ehyと公開鍵pkを用いて、平文mの暗号文c=Epk hy(m)を作成し、受信側装置Bに送信する。
(暗号文の復号)
受信側装置Bは、復号化装置Dhyと秘密鍵skを用いて、Dsk hy(c)を計算し、暗号文cの平文mとして出力する。
以下では、上記ハイブリッド暗号装置Πhyを利用した、公開鍵暗号システムの一実施例について説明する。
公開鍵簿には、受信側装置Bの公開鍵が登録されている。送信側装置A、受信側装置Bは安全でない通信路を介して結合されているとする。
(鍵の登録)
受信側装置Bは、鍵生成装置Khyを起動し、(pk,sk)を作成し、pkを公開鍵簿に登録する。
(暗号文の送信)
送信側装置Aは、暗号化装置Ehyと公開鍵pkを用いて、平文mの暗号文c=Epk hy(m)を作成し、受信側装置Bに送信する。
(暗号文の復号)
受信側装置Bは、復号化装置Dhyと秘密鍵skを用いて、Dsk hy(c)を計算し、暗号文cの平文mとして出力する。
Claims (6)
- 公開鍵暗号装置Πasy=(鍵生成装置Kasy,暗号化アルゴリズム装置Easy,復号化アルゴリズム装置Dasy)と秘密鍵暗号装置Πsy=(暗号化アルゴリズム装置Esy,復号化アルゴリズム装置Dsy)を基に構成されるハイブリッド暗号装置Πhy=(鍵生成装置Khy,暗号化アルゴリズム装置Ehy,復号化アルゴリズム装置Dhy)において、
暗号化アルゴリズム装置Ehy は、
公開鍵pkと平文mを入力し、
内部の乱数空間COINhyから乱数σを取り出し、ハッシュ関数Gを施して秘密鍵r2(:=G(σ))を生成する手段と、
平文mを秘密鍵r2を用いて暗号化し、
乱数σを公開鍵pkと認証子r1を用いて暗号化し、暗号文c1(:=Epk asy(σ;r1))を生成する手段と、
生成した暗号文c1||c2(「||」は連結を表す。)を出力する手段と、を備え、
復号化アルゴリズム装置Dhyは、
秘密鍵skと暗号文c1||c2を入力し、
暗号文c1を秘密鍵skを用いて復号化し、乱数σ(:=Dsk asy(c1))を生成する手段と、
乱数σが乱数空間COINhyに属していれば(σ∈COINhyならば)、秘密鍵r2(:=G(σ))とし、それ以外の時は不正暗号文と設定して出力する手段と、
暗号文c2を秘密鍵r2を用いて復号化し、
乱数σを公開鍵pkと認証子r1を用いて暗号化し、暗号文c1と一致したならば(c1=Epk asy(σ;r1)ならば)平文mを出力し、それ以外の時は、不正暗号文として設定して出力する手段と、を備えた
ことを特徴とするハイブリッド暗号装置。 - 公開鍵暗号化装置(鍵生成装置Kasy,暗号化アルゴリズム装置Easy)と秘密鍵暗号化アルゴリズム装置Esyを基に構成されるハイブリッド暗号化装置(鍵生成装置Khy,暗号化アルゴリズム装置Ehy) において、
公開鍵pkと平文mを入力し、
内部の乱数空間COINhyから乱数σを取り出し、ハッシュ関数Gを施して秘密鍵r2(:=G(σ))を生成する手段と、
平文mを秘密鍵r2を用いて暗号化し、
乱数σを公開鍵pkと認証子r1を用いて暗号文c1(:=Epk asy(σ;r1))を生成する手段と、
生成した暗号文c1||c2(「||」は連結を表す。)を出力する手段と、を備えた
ことを特徴とする暗号化アルゴリズム装置。 - 公開鍵復号化アルゴリズム装置Dasyと秘密鍵復号化アルゴリズム装置Dsyを基に構成されるハイブリッド復号化アルゴリズム装置Dhyにおいて、
請求項2に記載の暗号化アルゴリズム装置で生成された暗号文c1||c2と秘密鍵skを入力し、
暗号文c1を秘密鍵skを用いて乱数σ(:=Dsk asy(c1))を生成する手段と、
乱数σが乱数空間COINhyに属していれば(σ∈COINhyならば)、秘密鍵r2(:=G(σ))とし、それ以外の時は不正暗号文と設定して出力する手段と、
暗号文c2を秘密鍵r2を用いて復号化し、
乱数σを公開鍵pkと認証子r1を用いて暗号化し、暗号文c1と一致したならば(c1=Epk asy(σ;r1)ならば)平文mを出力し、それ以外の時は、不正暗号文として設定して出力する手段と、を備えた
ことを特徴とするハイブリッド復号化アルゴリズム装置。 - 公開鍵暗号装置Πasy=(鍵生成装置Kasy,暗号化アルゴリズム装置Easy,復号化アルゴリズム装置Dasy)と秘密鍵暗号装置Πsy=(暗号化アルゴリズム装置Esy,復号化アルゴリズム装置Dsy)を基に構成されるハイブリッド暗号装置Πhy=(鍵生成装置Khy,暗号化アルゴリズム装置Ehy,復号化アルゴリズム装置Dhy)におけるハイブリッド暗号・復号方法において、
暗号化アルゴリズム装置Ehy は、
公開鍵pkと平文mを入力するステップと、
内部の乱数空間COINhyから乱数σを取り出し、ハッシュ関数Gを施して秘密鍵r2(:=G(σ))を生成するステップと、
平文mを秘密鍵r2を用いて
乱数σを公開鍵pkと認証子r1を用いて暗号文c1(:=Epk asy(σ;r1))を生成するステップと、
生成した暗号文c1||c2(「||」は連結を表す。)を出力するステップと、を有し、
復号化アルゴリズム装置Dhyは、
秘密鍵skと暗号文c1||c2を入力するステップと、
暗号文c1を秘密鍵skを用いて乱数σ(:=Dsk asy(c1))を生成し、
乱数σが乱数空間COINhyに属していれば(σ∈COINhy)、秘密鍵r2(:=G(σ))とし、それ以外の時は不正暗号文と設定し、出力するステップと、
暗号文c2を秘密鍵r2を用いて復号化し、
乱数σが公開鍵pkと認証子r1を用いて暗号化し、暗号文c1と一致したならば(c1=Epk asy(σ;r1)ならば)、平文mを出力し、それ以外の時は、不正暗号文として設定して出力するステップと、を有する
ことを特徴とするハイブリッド暗号・復号方法。 - 公開鍵暗号化装置(鍵生成装置Kasy,暗号化アルゴリズム装置Easy)と秘密鍵暗号化アルゴリズム装置Esyを基に構成されるハイブリッド暗号化装置(鍵生成装置Khy,暗号化アルゴリズム装置Ehy) におけるハイブリッド暗号方法おいて、
暗号化アルゴリズム装置Ehy は、
公開鍵pkと平文mを入力するステップと、
乱数発生装置の乱数空間COINhyから乱数σを取り出し、ハッシュ関数Gを施して秘密鍵r2(:=G(σ))を生成するステップと、
平文mを秘密鍵r2を用いて
乱数σを公開鍵pkと認証子r1を用いて暗号文c1(:=Epk asy(σ;r1))を生成するステップと、
生成した暗号文c1||c2(「||」は連結を表す。)を出力するステップと、を有する、
ことを特徴とするハイブリッド暗号方法。 - 公開鍵復号化アルゴリズム装置Dasyと秘密鍵復号アルゴリズム装置Dsyを基に構成されるハイブリッド復号化アルゴリズム装置Dhyにおけるハイブリッド復号化方法において、
請求項5に記載のハイブリッド暗号方法で生成された暗号文c1||c2と秘密鍵skを入力するステップと、
暗号文c1を秘密鍵skを用いて乱数σ(:=Dsk asy(c1))を生成するステップと、
乱数σが乱数空間COINhyに属していれば(σ∈COINhyならば)、秘密鍵r2(:=G(σ))とし、それ以外の時は不正暗号文と設定し、出力するステップと、
暗号文c2を秘密鍵r2を用いて復号化し、
乱数σを公開鍵pkと認証子r1を用いて暗号化し、暗号文c1と一致したならば(c1=Epk asy(σ;r1)ならば)、平文mを出力し、それ以外の時は、不正暗号文として設定し、出力するステップと、を有する、
ことを特徴とするハイブリッド復号方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003408776A JP4150328B2 (ja) | 2003-12-08 | 2003-12-08 | ハイブリッド暗号装置およびハイブリッド暗号・復号方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003408776A JP4150328B2 (ja) | 2003-12-08 | 2003-12-08 | ハイブリッド暗号装置およびハイブリッド暗号・復号方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005175583A JP2005175583A (ja) | 2005-06-30 |
| JP4150328B2 true JP4150328B2 (ja) | 2008-09-17 |
Family
ID=34730358
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003408776A Expired - Lifetime JP4150328B2 (ja) | 2003-12-08 | 2003-12-08 | ハイブリッド暗号装置およびハイブリッド暗号・復号方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4150328B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4934010B2 (ja) * | 2007-11-27 | 2012-05-16 | 日本電信電話株式会社 | 公開鍵暗号システム、公開鍵暗号方法、暗号化装置、復号化装置、暗号化プログラム及び復号化プログラム |
| JP5689839B2 (ja) * | 2012-02-16 | 2015-03-25 | 日本電信電話株式会社 | 公開鍵暗号システム、公開鍵暗号方法、受信装置、およびプログラム |
-
2003
- 2003-12-08 JP JP2003408776A patent/JP4150328B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005175583A (ja) | 2005-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7711113B2 (en) | ID-based signature, encryption system and encryption method | |
| CN113259329B (zh) | 一种数据不经意传输方法、装置、电子设备及存储介质 | |
| JP5361920B2 (ja) | ファイルサーバシステム | |
| KR102619383B1 (ko) | 에폭 키 교환을 이용한 종단간 이중 래칫 암호화 | |
| JPH0918469A (ja) | 暗号通信装置、システム及び暗号装置 | |
| JP5047638B2 (ja) | 暗号文復号権委譲システム | |
| KR101516114B1 (ko) | 인증서 기반 프록시 재암호화 방법 및 이를 위한 시스템 | |
| Nunez | Umbral: a threshold proxy re-encryption scheme | |
| KR20200067265A (ko) | 실시간 데이터 전송을 위한 블록 암호 장치 및 방법 | |
| KR100396740B1 (ko) | 계산적 디피-헬만 가정에 기반하는 안전성 증명 가능한공개키 암호화 방법 | |
| US20070183600A1 (en) | Secure Cryptographic Communication System Using Kem-Dem | |
| KR20040009766A (ko) | 암호 시스템에서 송수신 장치 및 방법 | |
| JP4150328B2 (ja) | ハイブリッド暗号装置およびハイブリッド暗号・復号方法 | |
| KR100388059B1 (ko) | 비대칭키 암호 알고리즘을 이용한 데이터 암호화 시스템및 그 방법 | |
| JP4664692B2 (ja) | 暗号化方法、復号方法、暗号化装置、復号装置、暗号装置、およびプログラム | |
| JP3694242B2 (ja) | 署名付き暗号通信方法及びその装置 | |
| WO2010076899A1 (ja) | 放送型暗号システム、送信者装置、ユーザ装置、カプセル化/脱カプセル化方法 | |
| Almuhammadi et al. | Double-hashing operation mode for encryption | |
| JP2000004223A (ja) | 暗号・認証システム | |
| US11824979B1 (en) | System and method of securing a server using elliptic curve cryptography | |
| JP2006330566A5 (ja) | ||
| Das et al. | Cryptanalysis of Signcryption Protocols Based On Elliptic Curve | |
| Banerjee et al. | Enhanced Performance of Cryptographic Mechanism using Randomized Generation Technique for Secure Transmission of Data | |
| JP3668138B2 (ja) | 署名付き暗号文変換方法、その検証方法およびこれらの装置 | |
| Patil et al. | A Survey on an Enhanced Cryptographic Technique for Messages Encryption and Decryption |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060406 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20060406 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080604 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080617 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080627 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110704 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4150328 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120704 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130704 Year of fee payment: 5 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |