JP4304896B2 - 公開鍵暗号通信方法 - Google Patents
公開鍵暗号通信方法 Download PDFInfo
- Publication number
- JP4304896B2 JP4304896B2 JP2001284363A JP2001284363A JP4304896B2 JP 4304896 B2 JP4304896 B2 JP 4304896B2 JP 2001284363 A JP2001284363 A JP 2001284363A JP 2001284363 A JP2001284363 A JP 2001284363A JP 4304896 B2 JP4304896 B2 JP 4304896B2
- Authority
- JP
- Japan
- Prior art keywords
- public key
- side device
- receiver
- ciphertext
- communication method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は,N=pdqを法とする剰余環上のべき乗根計算を高速に行う方法,および,該計算法を用いた公開鍵暗号方法に関する。
【0002】
【従来の技術】
N=pdqを法とする剰余環上のべき乗根計算方法としては,文献1「T.Takagi:Fast RSA-Type Cryptosystem Modulo pkq, Proc. of CRYPTO'98」が知られている。
【0003】
また,公開鍵暗号方法については,現在まで様々な方法が提案されている。なかでも,文献2「R.L. Rivest, A. Shamir, L. Adleman : A Method for Obtaining Digital Signatures and Public-Key Cryptosystems, Commun. of the ACM, Vol.21, No.2, pp.120-126, 1978.」に掲載されている方法が最も有名であり,最も実用化されている公開鍵暗号である。その他には,文献3「V.S. Miller : Use of Elliptic Curves in Cryptography, Proc. of Crypto'85, LNCS218, Springer-Verlag, pp.417-426 (1985)」,文献4「N. Koblitz : Elliptic Curve Cryptosystems, Math. Comp., 48, 177, pp.203-209 (1987)」等に記載の楕円曲線を用いた方法が効率的な公開鍵暗号として知られている。
【0004】
安全性について証明可能な方法として,まず,選択平文攻撃を対象としたものは,文献5「M.O. Rabin : Digital Signatures and Public-Key Encryptions as Intractable as Factorization, MIT, Technical Report, MIT/LCS/TR-212 (1979)」に記載されている暗号方法,文献6「T. El Gamal : A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms, IEEE Trans. On Information Theory, IT-31, 4, pp.469-472(1985)」に記載されている暗号方法,文献7「S. Goldwasser and S. Micali : Probabilistic Encryption, JCSS, 28, 2, pp.270-299 (1984) 」に記載されている暗号方法,文献8「M. Blum and S. Goldwasser : An Efficient Probabilistic Public-Key Encryption Scheme which Hides All Partial Information, Proc. of Crypto'84, LNCS196, Springer-Verlag, pp.289-299 (1985)」に記載されている暗号方法,文献9「S. Goldwasser and M. Bellare : Lecture Notes on Cryptography, http:/www-cse.ucsd.edu/users/ mihir/ (1997)」に記載されている暗号方法,文献10「T. Okamoto and S. Uchiyama : A New Public-Key Cryptosystem as Secure as Factoring, Proc. of Eurocrypt'98, LNCS1403, Springer Verlag, pp.308-318 (1998)」に記載されている暗号方法,などが知られている。
【0005】
また,選択暗号文攻撃に対して安全性証明可能な方法としては,文献11「D. Dolve, C. Dwork and M. Naor : Non-Malleable Cryptography, In 23rd Annual ACM Symposium on Theory of Computing, pp.542-552 (1991)」に記載されている暗号方法,文献12「M. Naor and M. Yung : Public-Key Cryptosystems Provably Secure against Chosen Ciphertext Attacks, Proc. of STOC, ACM Press, pp.427-437 (1990)」に記載されている暗号方法,文献13「R. Cramer and V. Shoup : A Practical Public Key Cryptosystem Provably Secure against Adaptive Chosen Ciphertext Attack, Proc. of Crypto98, LNCS1462, Springer-Verlag, pp.13-25 (1998)」に記載されている暗号方法,などが知られている。
【0006】
また,文献14「M. Bellare and P. Rogaway : Optimal Asymmetric Encryption How to Encrypt with RSA, Proc. of Eurocrypt'94, LNCS950, Springer Verlag, pp.92-111 (1994)」に記載されている暗号方法においては,一方向性置換の逆関数を計算することの困難性を前提に適応的選択暗号文攻撃に対して強秘匿であると言われてきたが,最近,文献15「V. Shoup : OAEP Reconsidered. Available on the e-print library (2000/060), November 2000」にて問題点が指摘され,一般的な見地からは安全性の証明が不十分であることが指摘された。
【0007】
また,文献16「M. Bellare, A. Desai, D. Pointcheval and P. Rogaway : Relations Among Notions of Security for Public-Key Encryption Schemes, Proc. of Crypto'98, LNCS1462, Springer Verlag, pp.26-45 (1998)」では,IND-CCA2(適応的選択暗号文攻撃に対して強秘匿であること)とNM-CCA2(適応的選択暗号文攻撃に対して頑強であること)の等価性が示され,現在,この条件を満たす公開鍵暗号が最も安全であると考えられている。
【0008】
【発明が解決しようとする課題】
公開鍵暗号においては,数論アルゴリズムを用いる方法が非常に多く,そのため共通鍵暗号と比較して処理速度が遅いと言う問題がある。
【0009】
【課題を解決するための手段】
本発明では,公開鍵暗号の復号化処理等で良く用いられる、べき乗根の計算を高速に行うための方法を提供する。
本発明による計算方法では,上記文献1に記載されているべき乗根計算方法に比べて,より高速な処理を実現できる。さらに,本発明の計算方法を復号化処理に用いた高安全・高効率の公開鍵暗号方法を提供する。
【0010】
本発明によるべき乗根計算方法では,数論アルゴリズムにおいて計算負担の大きいモジュラー積の個数を削減する。具体的には,N=pdq(p,qは素数,d>1)を法とする剰余環において,n乗剰余(n乗根を持つ意味)であるy∈ZNに対して,yのn乗根である値xを,
【0011】
【数23】
として,
【0012】
【数24】
により,x0,x1,…,xd-1を計算する。
【0013】
また,本発明の計算方法を,文献17「西岡,佐藤,瀬戸:HIME(R),情報セキュリティ研究会(ISEC)5月2001」に記載されている公開鍵暗号方法に適用することにより、安全性が高く、効率の良い公開鍵暗号方法を提供する。
具体的には,
【0014】
【数25】
なる秘密鍵(p,q)を作成し,さらに,
【0015】
【数26】
なる公開鍵(N,k,G,H)を作成する。
【0016】
(1)送信者は,平文x(x∈{0,1}n)に対して,乱数r∈{0,1}k0を選び,
【0017】
【数27】
を計算し(但し,n+k0+k1=k),さらに
【0018】
【数28】
に対して,
【0019】
【数29】
を暗号文として,該受信者に送信する。
【0020】
(2)受信者は,自身の秘密鍵(p,q)を用いて,暗号文が平方剰余であることを検査し(平方剰余でない場合は暗号文を拒否する),さらに暗号文から,
【0021】
【数30】
に対して,
【0022】
【数31】
を計算し,さらに,
【0023】
【数32】
と置き,
【0024】
【数33】
を計算し,
【0025】
【数34】
により,暗号文を復号化する(但し,復号化結果が*の場合は,該受信者は該暗号文を拒否するものとする)。
【0026】
【発明の実施の形態】
以下,図面を用いて,本発明の実施例について説明する。
図1は,本発明の実施例1のステップを表わすフローチャートである。
図2は,本発明の実施例1の計算方法を実現する計算装置100を示す。
図3は,本発明の実施例2,3のシステム構成を示す図である。このシステムは,送信者側装置200と受信者側装置300から構成されている。さらに,送信者側装置200と受信者側装置300は通信回線400で接続されている。
【0027】
図4は,実施例2,3における送信者側装置200の内部構成を示す。送信者側装置200は,乱数生成手段201,べき乗算手段202,演算手段203,剰余演算手段204,メモリ205,通信装置206,入力装置207,暗号化装置208,を備えている。
図5は,実施例2,3における受信者側装置300の内部構成を示す。受信者側装置300は,鍵生成手段301,べき乗算手段302,剰余演算手段303,演算手段304,メモリ305,通信装置306,復号化装置307,を備えている。
図6は,実施例2の概要を示す図である。
図7は,実施例3の概要を示す図である。
【0028】
(実施例1)
本実施例は,合成数N=pdq(p,qは素数,d>1)を法とする剰余環上のn乗根(nは2以上の自然数)を計算する方法について説明する。
【0029】
n乗剰余(n乗根を持つ意味)であるy∈ZNに対して,yのn乗根である値xを,
【0030】
【数35】
として,x0,x1,…,xd-1を計算することでyのn乗根を計算する。
具体的には,y∈ZNを計算装置100内の入力装置に入力し,演算装置101,べき乗算器102,剰余演算器103,メモリ104を用いて,
【0031】
【数36】
により,x0,x1,…,xd-1を計算する。計算結果であるxは出力装置を用いて出力される(ここで,nの値によってはyのn乗根は複数存在する場合がある点に注意する。)。
【0032】
一般に,このような計算では,モジュラー積の計算に処理時間がかかる。以下では,n=d=2の場合において,本実施例による計算方法と上記文献1に記載されている計算方法の効率性の比較をモジュラー積の個数の立場から行う。
【0033】
Nを法とする剰余環上のモジュラー積を規準とし,モジュラー積1回の計算時間をtとする。このとき,法がn倍になると計算時間はn2倍になると仮定する。本実施例の計算方法による処理時間をT1,上記文献1の計算方法による処理時間をT2とすると,T1=|p|t/3+11t/6,T2=|p|t/3+25t/6となり,本実施例の方がより高速に計算を行うことができる。
【0034】
特に、ICカードのような計算能力の低い媒体を利用した場合や一度に多くのべき乗根計算を行うシステムに置いて,本実施例の方法は有効である。
【0035】
(実施例2)
本実施例は,平文(メッセージともいう)の送信者が受信者に対して,送信データとなるメッセージを暗号通信によって送信する場合について説明する。
本実施例による公開鍵暗号は,上記文献17に記載されている公開鍵暗号方法に実施例1の計算方法を復号化処理に適用した場合に相当する。
図3は,本実施例のシステム構成を示す。図4は,実施例2の手順概要を示す図である。
【0036】
1.鍵生成処理
受信者は,予め,受信者側装置200内の鍵生成部201を用いて,
【0037】
【数37】
なる秘密鍵,
【0038】
【数38】
なる公開鍵を作成する(但し,k=k0+k1+n)。ただし,dの値は本システムの管理者,または受信者があらかじめ,または,必要に応じて定め,上記鍵生成部はその値を取り込むものとする。
【0039】
また,公開情報を通信回線300などを介して出力し,送信者側装置100へ送付するか,または公開する。公開する方法として,例えば第3者(公開情報管理機関)への登録など,周知の方法を用いることが可能である。その他の情報については,メモリ205に格納する。
【0040】
2.暗復号化処理
(1)送信者側装置100は,送信者の操作により,平文x∈{0,1}nに対して,乱数生成部101を用いて乱数r∈{0,1}k0を選び,演算部103を用いて,
【0041】
【数39】
を計算し,
【0042】
【数40】
と置く。さらに
【0043】
【数41】
計算する。yを暗号文とし,通信装置106を用いて通信回線300を介して受信者の受信者側装置200に送信する。
【0044】
(2)受信者側装置200は,受信者の操作により,上記秘密情報と,演算部204を用いて,暗号文が平方剰余であることを検査し,平方剰余でない場合は暗号文を拒否する。暗号文yが平方剰余か否かを検査する方法としては,
yp-1/2≡1 (mod p)かつ
yq-1/2≡1 (mod q)が成立すること確認すればよい。さらに暗号文yから,
【0045】
【数42】
に対して,
【0046】
【数43】
を計算し,さらに,
【0047】
【数44】
と置き,
【0048】
【数45】
を計算し,
【0049】
【数46】
により,暗号文を復号化する(但し,復号化結果が*の場合は,該受信者は該暗号文を拒否するものとする)。
また,秘密鍵p,qは,素数p',q'からp=2p'+1,q=2q'+1により作成することも可能である。
【0050】
本実施例の公開鍵暗号方法においては,d(d≧1)の値は変更可能である。たとえば,平文のビット長が常に小さい場合,nの素因数分解が困難である範囲においてdの値を大きくすることにより,復号化処理を高速にすることが可能である。
【0051】
本実施例による公開鍵暗号方法では,Nの素因数分解問題の困難性を前提にして,選択暗号文攻撃に対して強秘匿であることが証明できる。証明のアウトラインは以下の通り:本実施例による公開鍵暗号方法を破ることができるアルゴリズムが存在したと仮定すると(適応的選択暗号文攻撃における強秘匿性の意味において。定義は,例えば,上記文献14に記載されている),そのアルゴリズムを用いて,Nの素因数分解を行うアルゴリズムを構築できる。これより,本実施例の公開鍵暗号方法は素因数分解問題の困難性を前提として,IND-CCA2であることが証明できる。
【0052】
また,本実施例による方法では,復号化処理において2次方程式を解いているが,事前にJacobi記号(w/N)の値を公開または送信したり,wの値とN/2の大小関係を表わす情報を公開または送信することにより、解を限定することも可能である。
【0053】
Jacobi記号の定義および計算方法については,例えば文献18「A.J. Menezes, P.C. van Oorschot, S.A. Vanstone: Jacobi Symbol: Definition & Algorithm, Handbook of Applied Cryptography, CRC Press, pp.73, 1996」または,文献19「H. Cohen: Jacobi Symbol : Definition & Algorithm, A Course in Computational Algebraic Number Theory, Graduate Texts in Math. 138, Springer-Verlag, New York, pp.27-31, 1993」に記載されている。
【0054】
本実施例による公開鍵暗号方法は,共通鍵暗号におけるデータ暗号化鍵の配送を目的として,共通鍵暗号と一緒に使用することも可能である。
【0055】
(実施例3)
本実施例は,実施例2の変形例を与える。図7は,実施例3の手順概要を示す図である。
【0056】
1.鍵生成処理
受信者は,予め,受信者側装置200内の鍵生成部201を用いて,
【0057】
【数47】
なる秘密鍵(p,q)を作成し,
【0058】
【数48】
なる公開鍵(N,k,G,H)を作成する。ただし,dの値は本システムの管理者,または受信者があらかじめ,または,必要に応じて定め,上記鍵生成部はその値を取り込むものとする。
また,公開情報を通信回線300などを介して出力し,送信者側装置100へ送付するか,または公開する。公開する方法として,例えば第3者(公開情報管理機関)への登録など,周知の方法を用いることが可能である。その他の情報については,メモリ205に格納する。
【0059】
2.暗復号化処理
(1)送信者側装置100は,送信者の操作により,
平文x∈{0,1}nに対して,乱数生成部101を用いて乱数
r∈{0,1}k0を選び,演算部103,べき乗算部102,剰余演算部104を用いて,
【0060】
【数49】
を計算し,
【0061】
【数50】
と置く。さらに,
【0062】
【数51】
を計算する。
【0063】
(2) 受信者側装置200は,受信者の操作により,上記秘密情報と,演算部204を用いて,暗号文が平方剰余であることを検査し,平方剰余でない場合は暗号文を拒否する。暗号文yが平方剰余か否かを検査する方法としては,yp-1/2≡1 (mod p)かつyq-1/2≡1 (mod q)が成立すること確認すればよい。さらに暗号文yから,
【0064】
【数52】
に対して,
【0065】
【数53】
を計算し,さらに,
【0066】
【数54】
と置き,
【0067】
【数55】
を計算し,
【0068】
【数56】
により,暗号文を復号化する(但し,復号化結果が*の場合は,該受信者は該暗号文を拒否するものとする)。
【0069】
また,秘密鍵p,qは,素数p',q'からp=2p'+1,q=2q'+1により作成することも可能である。
【0070】
本実施例の公開鍵暗号方法においては,d(d≧1)の値は変更可能である。たとえば,平文のビット長が常に小さい場合,nの素因数分解が困難である範囲においてdの値を大きくすることにより,復号化処理を高速にすることが可能である。
【0071】
本実施例による方法では,実施例2の場合と同様,Nの素因数分解問題の困難性を前提としてIND-CCA2であることが証明できる。また,実施例2の場合同様,復号化処理において, Jacobi記号(w/N)の値を公開または送信したり,wの値とN/2の大小関係を表わす情報を公開または送信することにより、2次方程式の解を限定することも可能である。
【0072】
実施例2及び実施例3による公開鍵暗号方法は,共通鍵暗号におけるデータ暗号化鍵の配送を目的として,共通鍵暗号と一緒に使用することも可能である。
【0073】
以上,実施例2,3では,送信者と受信者が各々の装置を利用して暗号通信を行うという一般形で述べたが,具体的には様々なシステムに適用される。例えば,電子ショッピングシステムでは,送信者はユーザであり,送信者側装置はパソコンなどの計算機であり,受信者は小売店,受信者側装置はパソコンなどの計算機となる。このとき,ユーザの商品等の注文書は共通鍵暗号で暗号化されることが多く,その際の暗号化鍵を本実施例による方法により暗号化されて小売店側装置に送信される。また,電子メールシステムでは,各々の装置はパソコンなどの計算機であり,送信文(メール)は共通鍵暗号で暗号化されることが多い。その場合は,共通鍵が本実施例による方法により暗号化されて受信者の計算機に送信される。その他にも,従来の公開鍵暗号が使われている様々なシステムに適用することが可能である。
【0074】
本実施例における各計算は,CPUがメモリ内の各プログラムを実行することにより行われるものとして説明したが,プログラムだけではなく,いずれかがハードウエア化された演算装置であって,他の演算装置や,CPUと,データのやりとりを行うものであっても良い。
【0075】
【発明の効果】
本発明のべき乗根計算方法によれば,高速にべき乗根を計算できる。
【0076】
また,この計算方法を用いた本発明の公開鍵鍵暗号は,最も強力な攻撃法である適応的選択暗号文攻撃に対してもより安全であり,かつ,高速な暗号化及び復号化処理が可能である。
【0077】
これにより,安全かつ効率的な公開鍵暗号方法,暗号通信方法と,その応用装置,システムを実現することができる。
【図面の簡単な説明】
【図1】実施例1の各ステップのフローチャートを示す図である。
【図2】実施例1における計算装置の内部構成を示す図である。
【図3】実施例2および実施例3のシステム構成を示す図である。
【図4】実施例2および実施例3における送信者側装置の内部構成を示す図である。
【図5】実施例2および実施例3における受信者側装置の内部構成を示す図である。
【図6】実施例2の概要を示す図である。
【図7】実施例3の概要を示す図である。
【符号の説明】
100…計算装置,101…計算装置100内の入力装置,102…計算装置100内の演算装置,103…計算装置100内のべき乗算器,104…計算装置100内の剰余演算器,105…計算装置100内のメモリ,106…計算装置100内の出力装置,200…送信者側装置,201…送信者側装置200内の乱数生成部,202…送信者側装置200内のべき乗算部,203…送信者側装置200内の演算部,204…送信者側装置200内の剰余演算部,205…送信者側装置200内のメモリ,206…送信者側装置200内の通信装置,207…送信者側装置200内の入力装置,208…送信者側装置200内の暗号化部,300…受信者側装置,301…受信者側装置300内の鍵生成部,302…受信者側装置300内のべき乗算部,303…受信者側装置300内の剰余演算部,304…受信者側装置300内の演算部,305…受信者側装置300内のメモリ,306…受信者側装置300内の通信装置,307…受信者側装置300内の復号化部,400…通信回線,を備えている。
【発明の属する技術分野】
本発明は,N=pdqを法とする剰余環上のべき乗根計算を高速に行う方法,および,該計算法を用いた公開鍵暗号方法に関する。
【0002】
【従来の技術】
N=pdqを法とする剰余環上のべき乗根計算方法としては,文献1「T.Takagi:Fast RSA-Type Cryptosystem Modulo pkq, Proc. of CRYPTO'98」が知られている。
【0003】
また,公開鍵暗号方法については,現在まで様々な方法が提案されている。なかでも,文献2「R.L. Rivest, A. Shamir, L. Adleman : A Method for Obtaining Digital Signatures and Public-Key Cryptosystems, Commun. of the ACM, Vol.21, No.2, pp.120-126, 1978.」に掲載されている方法が最も有名であり,最も実用化されている公開鍵暗号である。その他には,文献3「V.S. Miller : Use of Elliptic Curves in Cryptography, Proc. of Crypto'85, LNCS218, Springer-Verlag, pp.417-426 (1985)」,文献4「N. Koblitz : Elliptic Curve Cryptosystems, Math. Comp., 48, 177, pp.203-209 (1987)」等に記載の楕円曲線を用いた方法が効率的な公開鍵暗号として知られている。
【0004】
安全性について証明可能な方法として,まず,選択平文攻撃を対象としたものは,文献5「M.O. Rabin : Digital Signatures and Public-Key Encryptions as Intractable as Factorization, MIT, Technical Report, MIT/LCS/TR-212 (1979)」に記載されている暗号方法,文献6「T. El Gamal : A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms, IEEE Trans. On Information Theory, IT-31, 4, pp.469-472(1985)」に記載されている暗号方法,文献7「S. Goldwasser and S. Micali : Probabilistic Encryption, JCSS, 28, 2, pp.270-299 (1984) 」に記載されている暗号方法,文献8「M. Blum and S. Goldwasser : An Efficient Probabilistic Public-Key Encryption Scheme which Hides All Partial Information, Proc. of Crypto'84, LNCS196, Springer-Verlag, pp.289-299 (1985)」に記載されている暗号方法,文献9「S. Goldwasser and M. Bellare : Lecture Notes on Cryptography, http:/www-cse.ucsd.edu/users/ mihir/ (1997)」に記載されている暗号方法,文献10「T. Okamoto and S. Uchiyama : A New Public-Key Cryptosystem as Secure as Factoring, Proc. of Eurocrypt'98, LNCS1403, Springer Verlag, pp.308-318 (1998)」に記載されている暗号方法,などが知られている。
【0005】
また,選択暗号文攻撃に対して安全性証明可能な方法としては,文献11「D. Dolve, C. Dwork and M. Naor : Non-Malleable Cryptography, In 23rd Annual ACM Symposium on Theory of Computing, pp.542-552 (1991)」に記載されている暗号方法,文献12「M. Naor and M. Yung : Public-Key Cryptosystems Provably Secure against Chosen Ciphertext Attacks, Proc. of STOC, ACM Press, pp.427-437 (1990)」に記載されている暗号方法,文献13「R. Cramer and V. Shoup : A Practical Public Key Cryptosystem Provably Secure against Adaptive Chosen Ciphertext Attack, Proc. of Crypto98, LNCS1462, Springer-Verlag, pp.13-25 (1998)」に記載されている暗号方法,などが知られている。
【0006】
また,文献14「M. Bellare and P. Rogaway : Optimal Asymmetric Encryption How to Encrypt with RSA, Proc. of Eurocrypt'94, LNCS950, Springer Verlag, pp.92-111 (1994)」に記載されている暗号方法においては,一方向性置換の逆関数を計算することの困難性を前提に適応的選択暗号文攻撃に対して強秘匿であると言われてきたが,最近,文献15「V. Shoup : OAEP Reconsidered. Available on the e-print library (2000/060), November 2000」にて問題点が指摘され,一般的な見地からは安全性の証明が不十分であることが指摘された。
【0007】
また,文献16「M. Bellare, A. Desai, D. Pointcheval and P. Rogaway : Relations Among Notions of Security for Public-Key Encryption Schemes, Proc. of Crypto'98, LNCS1462, Springer Verlag, pp.26-45 (1998)」では,IND-CCA2(適応的選択暗号文攻撃に対して強秘匿であること)とNM-CCA2(適応的選択暗号文攻撃に対して頑強であること)の等価性が示され,現在,この条件を満たす公開鍵暗号が最も安全であると考えられている。
【0008】
【発明が解決しようとする課題】
公開鍵暗号においては,数論アルゴリズムを用いる方法が非常に多く,そのため共通鍵暗号と比較して処理速度が遅いと言う問題がある。
【0009】
【課題を解決するための手段】
本発明では,公開鍵暗号の復号化処理等で良く用いられる、べき乗根の計算を高速に行うための方法を提供する。
本発明による計算方法では,上記文献1に記載されているべき乗根計算方法に比べて,より高速な処理を実現できる。さらに,本発明の計算方法を復号化処理に用いた高安全・高効率の公開鍵暗号方法を提供する。
【0010】
本発明によるべき乗根計算方法では,数論アルゴリズムにおいて計算負担の大きいモジュラー積の個数を削減する。具体的には,N=pdq(p,qは素数,d>1)を法とする剰余環において,n乗剰余(n乗根を持つ意味)であるy∈ZNに対して,yのn乗根である値xを,
【0011】
【数23】
【0012】
【数24】
【0013】
また,本発明の計算方法を,文献17「西岡,佐藤,瀬戸:HIME(R),情報セキュリティ研究会(ISEC)5月2001」に記載されている公開鍵暗号方法に適用することにより、安全性が高く、効率の良い公開鍵暗号方法を提供する。
具体的には,
【0014】
【数25】
【0015】
【数26】
【0016】
(1)送信者は,平文x(x∈{0,1}n)に対して,乱数r∈{0,1}k0を選び,
【0017】
【数27】
【0018】
【数28】
【0019】
【数29】
【0020】
(2)受信者は,自身の秘密鍵(p,q)を用いて,暗号文が平方剰余であることを検査し(平方剰余でない場合は暗号文を拒否する),さらに暗号文から,
【0021】
【数30】
【0022】
【数31】
【0023】
【数32】
【0024】
【数33】
【0025】
【数34】
【0026】
【発明の実施の形態】
以下,図面を用いて,本発明の実施例について説明する。
図1は,本発明の実施例1のステップを表わすフローチャートである。
図2は,本発明の実施例1の計算方法を実現する計算装置100を示す。
図3は,本発明の実施例2,3のシステム構成を示す図である。このシステムは,送信者側装置200と受信者側装置300から構成されている。さらに,送信者側装置200と受信者側装置300は通信回線400で接続されている。
【0027】
図4は,実施例2,3における送信者側装置200の内部構成を示す。送信者側装置200は,乱数生成手段201,べき乗算手段202,演算手段203,剰余演算手段204,メモリ205,通信装置206,入力装置207,暗号化装置208,を備えている。
図5は,実施例2,3における受信者側装置300の内部構成を示す。受信者側装置300は,鍵生成手段301,べき乗算手段302,剰余演算手段303,演算手段304,メモリ305,通信装置306,復号化装置307,を備えている。
図6は,実施例2の概要を示す図である。
図7は,実施例3の概要を示す図である。
【0028】
(実施例1)
本実施例は,合成数N=pdq(p,qは素数,d>1)を法とする剰余環上のn乗根(nは2以上の自然数)を計算する方法について説明する。
【0029】
n乗剰余(n乗根を持つ意味)であるy∈ZNに対して,yのn乗根である値xを,
【0030】
【数35】
具体的には,y∈ZNを計算装置100内の入力装置に入力し,演算装置101,べき乗算器102,剰余演算器103,メモリ104を用いて,
【0031】
【数36】
【0032】
一般に,このような計算では,モジュラー積の計算に処理時間がかかる。以下では,n=d=2の場合において,本実施例による計算方法と上記文献1に記載されている計算方法の効率性の比較をモジュラー積の個数の立場から行う。
【0033】
Nを法とする剰余環上のモジュラー積を規準とし,モジュラー積1回の計算時間をtとする。このとき,法がn倍になると計算時間はn2倍になると仮定する。本実施例の計算方法による処理時間をT1,上記文献1の計算方法による処理時間をT2とすると,T1=|p|t/3+11t/6,T2=|p|t/3+25t/6となり,本実施例の方がより高速に計算を行うことができる。
【0034】
特に、ICカードのような計算能力の低い媒体を利用した場合や一度に多くのべき乗根計算を行うシステムに置いて,本実施例の方法は有効である。
【0035】
(実施例2)
本実施例は,平文(メッセージともいう)の送信者が受信者に対して,送信データとなるメッセージを暗号通信によって送信する場合について説明する。
本実施例による公開鍵暗号は,上記文献17に記載されている公開鍵暗号方法に実施例1の計算方法を復号化処理に適用した場合に相当する。
図3は,本実施例のシステム構成を示す。図4は,実施例2の手順概要を示す図である。
【0036】
1.鍵生成処理
受信者は,予め,受信者側装置200内の鍵生成部201を用いて,
【0037】
【数37】
【0038】
【数38】
【0039】
また,公開情報を通信回線300などを介して出力し,送信者側装置100へ送付するか,または公開する。公開する方法として,例えば第3者(公開情報管理機関)への登録など,周知の方法を用いることが可能である。その他の情報については,メモリ205に格納する。
【0040】
2.暗復号化処理
(1)送信者側装置100は,送信者の操作により,平文x∈{0,1}nに対して,乱数生成部101を用いて乱数r∈{0,1}k0を選び,演算部103を用いて,
【0041】
【数39】
【0042】
【数40】
【0043】
【数41】
【0044】
(2)受信者側装置200は,受信者の操作により,上記秘密情報と,演算部204を用いて,暗号文が平方剰余であることを検査し,平方剰余でない場合は暗号文を拒否する。暗号文yが平方剰余か否かを検査する方法としては,
yp-1/2≡1 (mod p)かつ
yq-1/2≡1 (mod q)が成立すること確認すればよい。さらに暗号文yから,
【0045】
【数42】
【0046】
【数43】
【0047】
【数44】
【0048】
【数45】
【0049】
【数46】
また,秘密鍵p,qは,素数p',q'からp=2p'+1,q=2q'+1により作成することも可能である。
【0050】
本実施例の公開鍵暗号方法においては,d(d≧1)の値は変更可能である。たとえば,平文のビット長が常に小さい場合,nの素因数分解が困難である範囲においてdの値を大きくすることにより,復号化処理を高速にすることが可能である。
【0051】
本実施例による公開鍵暗号方法では,Nの素因数分解問題の困難性を前提にして,選択暗号文攻撃に対して強秘匿であることが証明できる。証明のアウトラインは以下の通り:本実施例による公開鍵暗号方法を破ることができるアルゴリズムが存在したと仮定すると(適応的選択暗号文攻撃における強秘匿性の意味において。定義は,例えば,上記文献14に記載されている),そのアルゴリズムを用いて,Nの素因数分解を行うアルゴリズムを構築できる。これより,本実施例の公開鍵暗号方法は素因数分解問題の困難性を前提として,IND-CCA2であることが証明できる。
【0052】
また,本実施例による方法では,復号化処理において2次方程式を解いているが,事前にJacobi記号(w/N)の値を公開または送信したり,wの値とN/2の大小関係を表わす情報を公開または送信することにより、解を限定することも可能である。
【0053】
Jacobi記号の定義および計算方法については,例えば文献18「A.J. Menezes, P.C. van Oorschot, S.A. Vanstone: Jacobi Symbol: Definition & Algorithm, Handbook of Applied Cryptography, CRC Press, pp.73, 1996」または,文献19「H. Cohen: Jacobi Symbol : Definition & Algorithm, A Course in Computational Algebraic Number Theory, Graduate Texts in Math. 138, Springer-Verlag, New York, pp.27-31, 1993」に記載されている。
【0054】
本実施例による公開鍵暗号方法は,共通鍵暗号におけるデータ暗号化鍵の配送を目的として,共通鍵暗号と一緒に使用することも可能である。
【0055】
(実施例3)
本実施例は,実施例2の変形例を与える。図7は,実施例3の手順概要を示す図である。
【0056】
1.鍵生成処理
受信者は,予め,受信者側装置200内の鍵生成部201を用いて,
【0057】
【数47】
【0058】
【数48】
また,公開情報を通信回線300などを介して出力し,送信者側装置100へ送付するか,または公開する。公開する方法として,例えば第3者(公開情報管理機関)への登録など,周知の方法を用いることが可能である。その他の情報については,メモリ205に格納する。
【0059】
2.暗復号化処理
(1)送信者側装置100は,送信者の操作により,
平文x∈{0,1}nに対して,乱数生成部101を用いて乱数
r∈{0,1}k0を選び,演算部103,べき乗算部102,剰余演算部104を用いて,
【0060】
【数49】
【0061】
【数50】
【0062】
【数51】
【0063】
(2) 受信者側装置200は,受信者の操作により,上記秘密情報と,演算部204を用いて,暗号文が平方剰余であることを検査し,平方剰余でない場合は暗号文を拒否する。暗号文yが平方剰余か否かを検査する方法としては,yp-1/2≡1 (mod p)かつyq-1/2≡1 (mod q)が成立すること確認すればよい。さらに暗号文yから,
【0064】
【数52】
【0065】
【数53】
【0066】
【数54】
【0067】
【数55】
【0068】
【数56】
【0069】
また,秘密鍵p,qは,素数p',q'からp=2p'+1,q=2q'+1により作成することも可能である。
【0070】
本実施例の公開鍵暗号方法においては,d(d≧1)の値は変更可能である。たとえば,平文のビット長が常に小さい場合,nの素因数分解が困難である範囲においてdの値を大きくすることにより,復号化処理を高速にすることが可能である。
【0071】
本実施例による方法では,実施例2の場合と同様,Nの素因数分解問題の困難性を前提としてIND-CCA2であることが証明できる。また,実施例2の場合同様,復号化処理において, Jacobi記号(w/N)の値を公開または送信したり,wの値とN/2の大小関係を表わす情報を公開または送信することにより、2次方程式の解を限定することも可能である。
【0072】
実施例2及び実施例3による公開鍵暗号方法は,共通鍵暗号におけるデータ暗号化鍵の配送を目的として,共通鍵暗号と一緒に使用することも可能である。
【0073】
以上,実施例2,3では,送信者と受信者が各々の装置を利用して暗号通信を行うという一般形で述べたが,具体的には様々なシステムに適用される。例えば,電子ショッピングシステムでは,送信者はユーザであり,送信者側装置はパソコンなどの計算機であり,受信者は小売店,受信者側装置はパソコンなどの計算機となる。このとき,ユーザの商品等の注文書は共通鍵暗号で暗号化されることが多く,その際の暗号化鍵を本実施例による方法により暗号化されて小売店側装置に送信される。また,電子メールシステムでは,各々の装置はパソコンなどの計算機であり,送信文(メール)は共通鍵暗号で暗号化されることが多い。その場合は,共通鍵が本実施例による方法により暗号化されて受信者の計算機に送信される。その他にも,従来の公開鍵暗号が使われている様々なシステムに適用することが可能である。
【0074】
本実施例における各計算は,CPUがメモリ内の各プログラムを実行することにより行われるものとして説明したが,プログラムだけではなく,いずれかがハードウエア化された演算装置であって,他の演算装置や,CPUと,データのやりとりを行うものであっても良い。
【0075】
【発明の効果】
本発明のべき乗根計算方法によれば,高速にべき乗根を計算できる。
【0076】
また,この計算方法を用いた本発明の公開鍵鍵暗号は,最も強力な攻撃法である適応的選択暗号文攻撃に対してもより安全であり,かつ,高速な暗号化及び復号化処理が可能である。
【0077】
これにより,安全かつ効率的な公開鍵暗号方法,暗号通信方法と,その応用装置,システムを実現することができる。
【図面の簡単な説明】
【図1】実施例1の各ステップのフローチャートを示す図である。
【図2】実施例1における計算装置の内部構成を示す図である。
【図3】実施例2および実施例3のシステム構成を示す図である。
【図4】実施例2および実施例3における送信者側装置の内部構成を示す図である。
【図5】実施例2および実施例3における受信者側装置の内部構成を示す図である。
【図6】実施例2の概要を示す図である。
【図7】実施例3の概要を示す図である。
【符号の説明】
100…計算装置,101…計算装置100内の入力装置,102…計算装置100内の演算装置,103…計算装置100内のべき乗算器,104…計算装置100内の剰余演算器,105…計算装置100内のメモリ,106…計算装置100内の出力装置,200…送信者側装置,201…送信者側装置200内の乱数生成部,202…送信者側装置200内のべき乗算部,203…送信者側装置200内の演算部,204…送信者側装置200内の剰余演算部,205…送信者側装置200内のメモリ,206…送信者側装置200内の通信装置,207…送信者側装置200内の入力装置,208…送信者側装置200内の暗号化部,300…受信者側装置,301…受信者側装置300内の鍵生成部,302…受信者側装置300内のべき乗算部,303…受信者側装置300内の剰余演算部,304…受信者側装置300内の演算部,305…受信者側装置300内のメモリ,306…受信者側装置300内の通信装置,307…受信者側装置300内の復号化部,400…通信回線,を備えている。
Claims (7)
- 送信者側装置が,受信者の公開鍵を用いて送信データを暗号化し,受信者側装置へ送信する公開鍵暗号通信方法であって,
前記送信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,乱数生成手段と,通信手段と,を備え,
前記受信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,通信手段と,を備え,
(1)前記送信者側装置は,平文x(x∈{0,1}n)に対して,乱数r∈{0,1}k0を選び,
(2)前記受信者側装置は,前記秘密鍵(p,q)を用いて,前記暗号文yが平方剰余であることを検査し(平方剰余でない場合は暗号文を拒否する),さらに前記暗号文yから,
に対して,
ことを特徴とする公開鍵暗号通信方法。 - 請求項1に記載の公開鍵暗号通信方法において,
前記受信者側装置は,さらに,鍵生成手段を備え,
前記受信者側装置は,前記公開鍵(N,k,G,H)を生成し,公開する
ことを特徴とする公開鍵暗号通信方法。 - 送信者側装置が,受信者の公開鍵を用いて送信データを暗号化し,受信者側装置へ送信する公開鍵暗号通信方法であって,
前記送信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,乱数生成手段と,通信手段と,を備え,
前記受信者側装置は,演算手段と,べき乗算手段と,剰余演算手段と,メモリ手段と,通信手段と,を備え,
(1)前記送信者側装置は,平文x(x∈{0,1}n)に対して,乱数r∈{0,1}k0を選び,
(2)前記受信者側装置は,前記秘密鍵(p,q)を用いて,前記暗号文yが平方剰余であることを検査し(平方剰余でない場合は暗号文を拒否する),さらに前記暗号文yから,
に対して,
ことを特徴とする公開鍵暗号通信方法。 - 請求項3に記載の公開鍵暗号通信方法において,
前記受信者側装置は,さらに,鍵生成手段を備え,
前記受信者側装置は,前記公開鍵(N,k,G,H)を生成し,公開する
ことを特徴とする公開鍵暗号通信方法。 - 請求項1から請求項4のいずれか一に記載の公開鍵暗号通信方法において,
前記送信者側装置は,Jacobi記号(w/N)またはwの値とN/2の大小関係を表わす情報を,公開または前記受信者側装置に送信する
ことを特徴とする公開鍵暗号通信方法。 - 請求項2または4に記載の公開鍵暗号通信方法において,
前記受信者側装置は,前記秘密鍵である素数を,別なる素数p'に対して,2p'+1の形の素数を選ぶ
ことを特徴とする公開鍵暗号通信方法。 - 請求項2,4,6のいずれか一に記載の公開鍵暗号通信方法において,
前記受信者側装置は,前記d(d≧1)の値を入力として取り込む
ことを特徴とする公開鍵暗号通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001284363A JP4304896B2 (ja) | 2001-09-19 | 2001-09-19 | 公開鍵暗号通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001284363A JP4304896B2 (ja) | 2001-09-19 | 2001-09-19 | 公開鍵暗号通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003091235A JP2003091235A (ja) | 2003-03-28 |
| JP4304896B2 true JP4304896B2 (ja) | 2009-07-29 |
Family
ID=19107698
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001284363A Expired - Fee Related JP4304896B2 (ja) | 2001-09-19 | 2001-09-19 | 公開鍵暗号通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4304896B2 (ja) |
-
2001
- 2001-09-19 JP JP2001284363A patent/JP4304896B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003091235A (ja) | 2003-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Maurer et al. | Non-interactive public-key cryptography | |
| US7649991B2 (en) | Method of a public key encryption and a cypher communication both secure against a chosen-ciphertext attack | |
| Fiat | Batch RSA. | |
| EP0503119B1 (en) | Public key cryptographic system using elliptic curves over rings | |
| US6480605B1 (en) | Encryption and decryption devices for public-key cryptosystems and recording medium with their processing programs recorded thereon | |
| Maurer et al. | A non-interactive public-key distribution system | |
| Vanstone | Elliptic curve cryptosystem—the answer to strong, fast public-key cryptography for securing constrained environments | |
| US20020041684A1 (en) | Public-key encryption and key-sharing methods | |
| US8442219B2 (en) | Public key cryptographic methods and systems | |
| Mohapatra | Public key cryptography | |
| Pradhan et al. | An efficient RSA cryptosystem with BM-PRIME method | |
| US20020015491A1 (en) | Public key encryption method and communication system using public key cryptosystem | |
| Mohammadi et al. | Comparison of two Public Key Cryptosystems | |
| Mehta et al. | Minimization of mean square error for improved euler elliptic curve secure hash cryptography for textual data | |
| JP4304896B2 (ja) | 公開鍵暗号通信方法 | |
| Küsmüş et al. | A novel public-key encryption scheme based on Bass cyclic units in integral group rings | |
| Kenekayoro Patrick | One way functions and public key cryptography | |
| JP4284867B2 (ja) | 標準モデル上で適応的選択暗号文攻撃に対して安全な公開鍵暗号方法 | |
| JP4230162B2 (ja) | 公開鍵暗号通信方法 | |
| Sarma et al. | Public key cryptosystem based on Pell's equation using the Gnu Mp library | |
| EP1148675A1 (en) | Public key cryptograph and key sharing method | |
| JP3278790B2 (ja) | 公開鍵暗号方法及び公開鍵暗号システム | |
| Jena et al. | A novel and efficient cryptosystem for long message encryption | |
| Gunnala et al. | An Attribute Involved Non deterministic Cryptosystem using Composite Residuosity Class Problem | |
| Grobler et al. | Fast decryption methods for the RSA cryptosystem |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050324 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20060419 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080902 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081104 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090303 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090312 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090407 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090420 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120515 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |