JP4405810B2 - 階層型の同一性に基づく暗号化および署名スキーム - Google Patents

階層型の同一性に基づく暗号化および署名スキーム Download PDF

Info

Publication number
JP4405810B2
JP4405810B2 JP2003579369A JP2003579369A JP4405810B2 JP 4405810 B2 JP4405810 B2 JP 4405810B2 JP 2003579369 A JP2003579369 A JP 2003579369A JP 2003579369 A JP2003579369 A JP 2003579369A JP 4405810 B2 JP4405810 B2 JP 4405810B2
Authority
JP
Japan
Prior art keywords
secret
level
key generator
root
receiver
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003579369A
Other languages
English (en)
Other versions
JP2005521323A5 (ja
JP2005521323A (ja
Inventor
クレイグ、ビー.ジェントリー
アリス、シルバーバーグ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Publication of JP2005521323A publication Critical patent/JP2005521323A/ja
Publication of JP2005521323A5 publication Critical patent/JP2005521323A5/ja
Application granted granted Critical
Publication of JP4405810B2 publication Critical patent/JP4405810B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • H04L9/007Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models involving hierarchical structures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes

Description

この明細書にて、出願人は、35U.S.C.§119(e)の下、2002年3月21日に提出された米国仮特許出願60/366,292及び2002年3月21日に提出された米国仮特許出願60/366,196の優先権を主張する。なお、これらの仮特許出願の両方は、これらを参照することにより、本願に組み込まれる。
本発明は、一般に、コンピュータネットワークまたは他のタイプのシステムおよび装置を介した通信の暗号化および保護に関し、特に、通信を暗号化および復号する階層型の同一性に基づくスキームに関する。
概略的には、同一性(識別子)に基づく暗号システムは、あるエンティティの同一性に関連付けられた情報から当該エンティティの公開鍵が得られる公開鍵暗号システムである。例えば、同一性情報は、個人的な情報(すなわち、名前、住所、電子メールアドレス等)またはコンピュータ情報(すなわち、IPアドレス等)であり得る。しかしながら、同一性情報は、エンティティの同一性に対して厳格に関連付けられる情報だけでなく、日時等の幅広く利用可能な情報をも含み得る。すなわち、同一性情報の概念において重要なのは、エンティティの同一性に対するその厳格な関連性ではなく、エンティティへのメッセージの暗号化を望む誰でもが情報を簡単に利用できることである。
エンティティの秘密鍵は、秘密鍵ジェネレータ(「PKG」)として一般に知られる信頼性が高いパーティーまたは論理的プロセスによって生成されて分配される。PKGは、秘密鍵を生成するためにマスターシークレットを使用する。エンティティの公開鍵はその同一性から得られ得るため、AliceがBobへメッセージを送りたい場合、Aliceは、Bobの公開鍵をデータベースから検索する必要がない。その代わり、AliceはBobの識別情報から直接に鍵を得るだけである。公開鍵のデータベースは不要である。認証局(「CA」)も不要である。Bobの同一性(識別子)がBobの公開鍵であるため、Bobの公開鍵に対してBobの同一性を「見えなくする」必要がない。
同一性に基づく暗号システムの概念は新しくない。この暗号システムは、スプリンガー出版から出版の、A.Shamirによる「同一性に基づく暗号システムおよび署名スキーム」、暗号システムの進歩−Crypto' 1984年、コンピュータサイエンス196(1984)の講義ノート、P47−53で提案された。しかしながら、実用的な同一性に基づく暗号化スキームは、最近まで見当たらなかった。例えば、同一性に基づくスキームは、http://www.cesg.gov.uk/technology/id−pkc/media/ciren.pdfで利用可能なC.Cocksの「平方剰余に基づいた同一性に基づく暗号化スキーム」;スプリンガー出版から出版の、D.Boneh, M.Franklinによる「ウェイルペアリングによる同一性に基づく暗号化」、暗号システムの進歩−Crypto 2001、コンピュータサイエンス2139(2001)の講義ノート、P213−229;http://www.cs.stanford.edu/〜dabo/papers/ibe.pdfで利用可能なD.Boneh, M.Franklinによる「ウェイルペアリングによる同一性に基づく暗号化(拡張版)」、において提案された。Cocksのスキームは「平方剰余問題」に基づいており、暗号化および復号がかなり速い(ほぼRSAの速度)が、著しいメッセージ拡張がある(すなわち、暗号文のビット長が何度もプレーンテキストのビット長となる)。Boneh−Franklinのスキームは、秘匿性を「バイリニアなディフィー・ヘルマン問題」に基づいており、超特異な楕円曲線またはアーベル多様体においてウェイルペアリングまたはテートペアリングを使用する際にかなり速く効率が良い。
しかしながら、周知の同一性に基づく暗号化スキームは、それらが階層的ではないという重大な欠点を有している。同一性に基づかない公開鍵暗号化においては、ルートCAが他のCAのための証明書を発行でき、当該他のCAが特定のドメインのユーザのための証明書を発行することができる、というCAの階層を有することは可能である。これは、ルートCAでの負担を軽減できるため望ましいことである。同一性に基づく暗号化のための実用的な階層型スキームは開発されてこなかった。
理想的には、階層型の同一性に基づく暗号化スキームは、論理的または実体的なPKGから成る階層を含んでいる。例えば、ルートPKGが他のPKGに秘密鍵を発行し、当該他のPKGが特定のドメインのユーザに秘密鍵を発行しても良い。また、送信者がシステム内に全くいない場合であっても、送信者がルートPKGのパブリックパラメータを得た限りにおいては、受信者の公開鍵または下位レベルのパブリックパラメータをオンライン検索することなく、暗号化された通信を送ることもできる。階層型の同一性に基づく暗号化スキームの他の利点は、ダメージ制御である。例えば、ドメインPKGのシークレットの開示は、高位レベルPKGのシークレットを危うくすることはなく、あるいは、危うくされたドメインPKGの直接の子孫ではない任意の他のPKGのシークレットを危うくすることはない。CocksおよびBoneh−Franklinによって教示されたスキームは、これらの特性を有していない。
安全で且つ実用的な階層型の同一性に基づく暗号化スキームは開発されてこなかった。部分共謀抵抗(partial collusion−resistance)を用いた階層型の同一性に基づく鍵共有化スキームは、スプリンガー出版から出版のG.Hanaoka, T.Nishioka, Y.Zheng, H.Imaiによる「共謀攻撃に抗する効率的な階層型の同一性に基づく鍵共有化方法」、暗号システムの進歩−ASIACRYPT 1999、コンピュータサイエンス1716(1999)の講義ノート、P348−362、および、コンピュータジャーナルで出版されているG.Hanaoka, T.Nishioka, Y.Zheng, H.Imaiによる、「メモリサイズが小さく且つ共謀攻撃に対する抵抗が高い階層型の非インタラクティブな鍵共有化スキーム」、において与えられている。また、階層型の同一性に基づく暗号化の入門は、暗号化の進歩−EUROCRYPT 2002、コンピュータサイエンスの講義ノート、スプリンガー出版で出ている、J.Horwitz, B.Lynnによる「階層型の同一性に基づく暗号化に関して」において提供された。HorwitzおよびLynnは、第1のレベルで全共謀抵抗(total collusion−resistance)を用い且つ第2のレベルで部分共謀抵抗(partial collusion−resistance)を用いた2レベルの階層的スキームを提案した(すなわち、ユーザは、自分のドメインPKGのシークレットを取得するために共謀してその後にドメインPKGを装うことができる)。しかしながら、Horwitz−Lynnシステムは、第2のレベルで共謀抵抗を用いるために複雑化し、したがって、スキームは、実用的でもなく、また、安全ともなり得ない。
したがって、安全で且つ実用的な階層型の同一性に基づく暗号化スキームが必要であった。そのため、本発明の目的は、安全で且つ実用的な階層型の同一性に基づく暗号化スキームを提供することである。本発明の他の目的は、安全で且つ実用的な階層型の同一性に基づく署名スキームを提供することである。本発明の更なる目的は、暗号化スキームおよび署名スキームを十分に拡張可能にすることである。本発明の更なる他の目的は、暗号化スキームおよび署名スキームが任意の数のレベルで全共謀抵抗を有し且つ選択された暗号文をランダムオラクルモデルで安全な状態にすることである。
本発明においては、安全で且つ実用的な階層型の同一性に基づく暗号化スキームおよび署名スキームを実行するための方法が提供される。
本発明の一つの特徴によれば、複数の秘密鍵ジェネレータ( 「P K G 」) を含むシステムにおいて送信機(以降、送信者と称する)と受信機(以降、受信者と称する)との間でデジタルメッセージをエンコードおよびデコードする方法が提供される。複数のP K G の中には、少なくとも1つのルートP K G と、当該ルートP K G と受信者との間の階層中にあるn 個の下位レベルP K G と、が含まれている。ここで、n ≧ 1 である。ルート鍵生成シークレットが選択され、このルート鍵生成シークレットはルートP K G にだけ知られている。ルート鍵生成シークレットに基づいて、ルート鍵生成パラメータが生成される。n 個の下位レベルP K G の各々に下位レベル鍵生成シークレットが選択される。この場合、各下位レベル鍵生成シークレットは、その対応する下位レベルP K G だけに知られている。また、少なくともその対応する下位レベル秘密鍵ジェネレータにおける下位レベル鍵生成シークレットを使用して、n 個の各下位レベルP KG 毎に、下位レベル鍵生成パラメータも生成される。メッセージがエンコードされ、少なくともルート鍵生成パラメータおよび受信者同一性情報を使用することにより暗号文が生成される。受信者秘密鍵が、少なくとも、前記ルート鍵生成シークレットと、ルートP KG と受信者との間の階層中にあるn 個の下位レベルP K G に関連付けられたn 個の下位レベル鍵生成シークレットのうちの1 または複数と、受信者同一性情報とに関連付けられるように生成される。少なくとも受信者秘密鍵を使用することにより、暗号文がデコードされてメッセージが復元される。
本発明の他の特徴によれば、複数の秘密鍵ジェネレータ(「PKG」)を含むシステムにおいて送信者と受信者との間でデジタルメッセージをエンコードおよびデコードする方法が提供される。複数のPKGの中には、少なくとも1つのルートPKGと、当該ルートPKGと送信者との間の階層中にあるm個の下位レベルPKGと、ルートPKGと受信者との間の階層中にあるn個の下位レベルPKGと、送信者および受信者の両方に共通の先祖PKGであるPKGと、が含まれている。ここで、m≧1、n≧1である。階層中において、m個の秘密鍵ジェネレータのうちのl個は、送信者および受信者の両方に共通する先祖である。ここで、l≧1である。
本発明のこの特徴においては、ルートPKGと送信者との間の階層中にあるm個の各下位レベルPKG毎に、下位レベル鍵生成シークレットが選択される。送信者秘密鍵が、少なくとも、ルート鍵生成シークレットと、ルートPKGと送信者との間の階層中にあるm個の下位レベルのPKGに関連付けられたm個の下位レベル鍵生成シークレットのうちの1または複数と、送信者同一性情報と、に関連付けられるように生成される。受信者秘密鍵が、少なくとも、ルート鍵生成シークレットと、ルートPKGと受信者との間の階層中にあるn個の下位レベルPKGに関連付けられたn個の下位レベル鍵生成シークレットのうちの1または複数と、受信者同一性情報と、に関連付けられるように生成される。少なくとも、受信者同一性情報と、送信者秘密鍵と、共通の先祖PKGのレベルまたはそれよりも下のレベルにある(m−l+1)個のPKGに関連付けられるゼロまたはそれ以上の下位レベル鍵生成パラメータと、を使用して、共通の先祖PKGよりも上の(l−1)個のPKGに関連付けられる下位レベル鍵生成パラメータは全く使用しないで、メッセージがエンコードされる。少なくとも、送信者同一性情報と、受信者秘密鍵と、共通の先祖PKGのレベルまたはそれよりも下のレベルにある(n−l+1)個のPKGに関連付けられるゼロまたはそれ以上の下位レベル鍵生成パラメータと、を使用して、共通の先祖PKGよりも上の(l−1)個のPKGに関連付けられる下位レベル鍵生成パラメータは全く使用しないで、メッセージがデコードされる。
本発明の他の特徴によれば、複数のPKGを含むシステムにおいて送信者と受信者との間でメッセージのデジタル署名を生成して検証する方法が提供される。複数のPKGの中には、少なくとも1つのルートPKGと、当該ルートPKGと送信者との間の階層中にあるn個の下位レベルPKGと、が含まれている。ここで、n≧1である。ルート鍵生成シークレットが選択され、このルート鍵生成シークレットはルートPKGにだけ知られている。ルート鍵生成シークレットに基づいて、ルート鍵生成パラメータが生成される。n個の下位レベルPKGの各々に下位レベル鍵生成シークレットが選択される。この場合、各下位レベル鍵生成シークレットは、その対応する下位レベルPKGだけに知られている。また、少なくともその対応する下位レベル秘密鍵ジェネレータにおける下位レベル鍵生成シークレットを使用して、n個の各下位レベルPKG毎に、下位レベル鍵生成パラメータも生成される。送信者のための秘密鍵が、少なくとも、ルート鍵生成シークレットと、送信者同一性情報と、に関連付けられるように生成される。少なくとも送信者秘密鍵を使用することにより、メッセージが署名されてデジタル署名が生成される。少なくともルート鍵生成パラメータおよび送信者同一性情報を使用して、デジタルメッセージが検証される。
本発明の好ましい実施形態の以下の説明においては、添付図面が参照される。
図1は、現在において好ましい本発明の一実施形態に係る、デジタルメッセージをエンコードおよびデコードする方法を表わすフローチャートを示している。
図2は、現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間でデジタルメッセージをエンコードおよびデコードする方法を表わすフローチャートを示している。
図3は、図2の方法が実行され得る典型的な階層構造を表わすブロック図を示している。
図4は、現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージMをエンコードおよびデコードする方法を表わすフローチャートを示している。
図5は、現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージMをエンコードおよびデコードする方法を表わすフローチャートを示している。
図6は、現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージMをエンコードおよびデコードする方法を表わすフローチャートを示している。
図7は、現在において好ましい本発明の他の実施形態に係る、デジタル署名を生成して検証する方法を表わすフローチャートを示している。
図8は、現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージMのデジタル署名Sigを生成して検証する方法を表わすフローチャートを示している。
図9は、現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージMのデジタル署名Sigを生成して検証する方法を表わすフローチャートを示している。
本発明の現在の好ましい方法は、安全で且つ実用的な階層型の同一性に基づく暗号化スキーム(「HIDE」)および署名スキーム(「HIDS」)を提供する。階層型スキームは、全面的に拡張可能であり、任意の数のレベルで全共謀抵抗(total collusion−resistance)を有するとともに、選択された暗号文をランダムオラクルモデルで安全な状態にする。これらの目的は、部分的には、各下位レベルPKGに別個のランダム情報を導入することにより達成される。これらのスキームのうち、直感的に驚くべき態様の1つは、下位レベルPKGが別個のランダム情報を生成する場合であっても、このことが、階層のルートレベルよりも下位のパブリックパラメータを追加することを必要としないという点である。また、下位レベルPKGによって生成されるランダム情報は、暗号化された通信をその下位レベルPKGよりも下のユーザに送るため、その下位レベルPKGよりも下ではないユーザの能力に悪影響を与えない。
本発明のHIDEスキームおよびHIDSスキームはそれぞれ、少なくとも1つのルートPKGおよび複数の下位レベルPKGを含むPKGの階層構造を必要とする。階層および下位レベルPKGは、論理的または実体的であっても良い。例えば、1つのエンティティは、ルート鍵生成シークレットと、下位レベルユーザの暗号化鍵または署名鍵がそこから生成される下位レベル鍵生成シークレットと、の両方を生成しても良い。この場合、これらの下位レベルPKGは、別個のエンティティではなく、単なるプロセス、または、論理的な階層中に配置され且つ階層中の子孫PKGおよびユーザのための鍵を生成するために使用される情報である。あるいは、各下位レベルPKGは、別個のエンティティであっても良い。他の選択肢には、実体的な下位レベルPKGと論理的な下位レベルPKGとの混成が含まれる。説明の目的のため、用語「下位レベルPKG」は、これらの選択肢のうちの任意の1つを示すべく総称的に使用される。
ここに開示された階層型の同一性に基づく暗号システムにおいて、同一性に基づく公開鍵は、時間に基づいていても良い。例えば、連続する各時間と共に特定の受信者の同一性が変化しても良い。あるいは、受信者は、それ自身の子または子孫として時間を階層中に設定しても良く、また、送信者は、メッセージをエンコードする際に、適当な時間の同一性を使用し得る。どちらにせよ、各鍵は、対応する時間中にだけBobへのメッセージを暗号化する場合に有効であり得る。
本発明のHIDEスキームは、一般に、5つのランダム化アルゴリズム、すなわち、ルートセットアップアルゴリズムと、下位レベルセットアップアルゴリズムと、抽出アルゴリズムと、暗号化アルゴリズムと、復号アルゴリズムと、を有している。これらのアルゴリズムのうちの3つは、階層中の関連するエンティティの同一性に依存している。各ユーザは、そのIDのタプル(ID,....ID)によって規定され得る位置を階層中に有していることが好ましい。階層中におけるユーザの先祖は、ルートPKGおよびそのIDタプルが{(ID,....ID):1≦i≦(t−1)}であるユーザまたはPKGである。IDタプルは、演算のために、二進数字列として表されることが好ましい。
ルートセットアップアルゴリズムにおいて、ルートPKGは、セキュリティパラメータkを使用して、パブリックシステムパラメータparamsおよびルート鍵生成シークレットを生成する。システムパラメータは、メッセージスペース
Figure 0004405810
および暗号文スペース
Figure 0004405810
の記述を含んでいる。システムパラメータは公然と利用可能であり、一方、ルートPKGだけがルート鍵生成シークレットを知っている。
下位レベルセットアップアルゴリズムにおいて、各下位レベルPKGは、抽出のために、それ自身の下位レベル鍵生成シークレットを生成することが好ましい。また、下位レベルPKGは、各抽出毎に、ランダム一時シークレットを生成しても良い。
抽出アルゴリズムにおいて、PKG(ルートPKGであろうと、あるいは、下位レベルPKGであろうとも)は、それ自身の任意の子のための秘密鍵を生成する。当該秘密鍵は、システムパラメータと、生成するPKGの秘密鍵と、任意の他の好ましいシークレット情報と、を使用して生成される。
暗号化アルゴリズムにおいて、送信者は、好ましくは本システムの外側にある幾つかの安全な手段を介して、ルートPKGからシステムパラメータを受信する。送信者が下位レベル鍵生成パラメータを受信する必要はない。送信者は、対象とする受信者のIDタプルおよびparamsを使用して、メッセージ
Figure 0004405810
をエンコードし暗号文
Figure 0004405810
を生成する。逆に、復号化アルゴリズムにおいて、受信者は、暗号文Cをデコードし、paramsおよび受信者の秘密鍵dを使用してメッセージMを復元する。暗号化および復号化は、以下の標準的な一貫性制約を満たすことが好ましい。
Figure 0004405810
ここで、C=暗号化(params、ID−タプル、M)である。
HIDEスキームと同様に、本発明のHIDSスキームも、一般に、5つのランダム化アルゴリズム、すなわち、ルートセットアップアルゴリズムと、下位レベルセットアップアルゴリズムと、抽出アルゴリズムと、署名アルゴリズムと、検証アルゴリズムと、を有している。ルートセットアップアルゴリズムの場合、システムパラメータは、署名スペースΣの記述を含むように補足される。下位レベルセットアップアルゴリズムおよび抽出アルゴリズムは、前述したHIDEの場合と同じであることが好ましい。
署名アルゴリズムにおいて、デジタルメッセージの送信者は、paramsおよび送信者の秘密鍵dを使用して、メッセージ
Figure 0004405810
に署名をし署名S∈Σを生成する。検証アルゴリズムにおいて、署名されたメッセージの受信者は、paramsおよび送信者のID−タプルを使用して、署名Sを検証する。検証アルゴリズムは、「有効」または「無効」を出力することが好ましい。署名および検証は、以下の一貫性制約を満たすことが好ましい。
Figure 0004405810
ここで、S=署名(params、d、M)である。
(HIDEおよびHIDSスキームのセキュリティ)
ここでは、HIDEおよびHIDSの両方に関し、本発明を具現化するスキームのセキュリティについて説明する。なお、階層型の同一性に基づかない暗号化において、選択された暗号文のセキュリティの標準的な定義は、同一性に基づくシステムのために強化されなければならない。これは、その選択の任意の同一性(攻撃される特定の同一性以外)に関連付けられた秘密鍵をセキュリティ解析のために敵が取得できることを想定すべきだからである。同じことが、階層型の同一性に基づく暗号化にも当てはまる。したがって、本発明のHIDEスキームが選択された暗号文の安全性を確保するために、擬似的な攻撃者は、秘密鍵抽出問い合わせを成すことが許容される。また、擬似的な敵は、挑戦されることを望む同一性を選択することが許容される。
また、敵は、そのターゲットの同一性を適応的にあるいは非適応的に選択し得る。そのターゲットを適応的に選択する敵は、最初にハッシュ問い合わせおよび抽出問い合わせを行ない、その後、これらの問い合わせの結果に基づいてそのターゲットを選択する。そのような敵は、攻撃を開始する時には、特定のターゲットのことを考えていないかもしれない。むしろ、敵は、誰かにハッカー行為できれば成功である。一方、非適応的な敵は、ハッシュ問い合わせ及び抽出問い合わせの結果とは無関係に、そのターゲットを選択する。例えば、そのような敵は、個人的な敵をターゲットにするかもしれない。敵は、依然として、ハッシュ問い合わせ及び抽出問い合わせを行なっても良いが、そのターゲット選択は、ターゲットの同一性に厳格に基づいており、問い合わせの結果に基づかない。無論、ターゲットを適応的に選択する敵に対するセキュリティは、より強力であり、したがって、好ましいセキュリティ概念である。しかしながら、本発明におけるHIDEスキームのセキュリティ解析は、両方のタイプのセキュリティを扱う。
以下のゲームにおいて挑戦者に対して無視できないアドバンテージを有する多項式的に限られた敵Aがいない場合、HIDEスキームは、適応選択された暗号文および適応選択されたターゲット攻撃に対して強秘匿であると言われる。
セットアップ:挑戦者は、セキュリティパラメータkを取得するとともに、ルートセットアップアルゴリズムを実行する。挑戦者は、その結果として得られるシステムパラメータparamsを敵に与える。挑戦者は、ルート鍵生成シークレットをそれ自身に対して維持する。
局面1:敵は、問い合わせq,....,qを発する。ここで、qは、以下のうちのいずれか1つである。
1.公開鍵問い合わせ(ID−タプル):挑戦者は、ID−タプルに基づいてハッシュアルゴリズムを実行し、ID−タプルに対応する公開鍵H(ID−タプル)を得る。
2.抽出問い合わせ(ID−タプル):挑戦者は、抽出アルゴリズムを実行して、ID−タプルに対応する秘密鍵dを生成するとともに、そのdを敵に送る。
3.復号問い合わせ(ID−タプル、C):挑戦者は、抽出アルゴリズムを実行して、ID−タプルに対応する秘密鍵dを生成するとともに、復号アルゴリズムを実行して、dを用いてCを復号し、その結果得られるプレーンテキスト(plaintext)を敵に送る。
これらの問い合わせは、適応的に尋ねられても良い。また、問い合わされたID−タプルは、階層の任意のレベルにある位置に対応し得る。
挑戦:局面1が終了したことを敵が決定すると、敵は、挑戦されることを望む等しい長さの2つのプレーンテキスト
Figure 0004405810
および1つのID−タプルを出力する。唯一の制約は、このID−タプル及びその先祖のいずれも局面1における秘密鍵抽出問い合わせ中に現れないという点である。挑戦者は、ランダムビットb∈{0,1}を拾うとともに、C=暗号化(params、ID−タプル、M)を設定する。挑戦者は、挑戦としてのCを敵に送る。
局面2:敵は、更に多くの問い合わせqm+1,...,qを発する。ここで、qは、以下のうちのいずれか1つである。
1.公開鍵問い合わせ(ID−タプル):挑戦者は、局面1の場合と同様に応答する。
2.抽出問い合わせ(ID−タプル):挑戦者は、局面1の場合と同様に応答する。
3.復号問い合わせ(C,ID−タプル):挑戦者は、局面1の場合と同様に応答する。
局面2での問い合わせは、挑戦暗号文Cに関連付けられたID−タプルについて挑戦者が抽出問い合わせを行なえない、あるいは、当該ID−タプルおよび暗号文Cを使用して挑戦者が復号問い合わせを行なえない、という制約を受ける。また、これと同じ制約は、ID−タプルの全ての先祖にも当てはまる。
推測:敵は、推測b'∈{0,1}を出力する。b=b'の場合に、敵がゲームに勝つ。スキームを攻撃する際の敵のアドバンテージは、|Pr[b=b']−1/2|となるように規定される。
後述するゲームにおいて無視できないアドバンテージを有する多項式時間の敵がいない場合、HIDEスキームは、一方向暗号化スキームであると言われる。このゲームにおいて、敵Aは、ランダム公開鍵Kpubと、Kpubを使用してのランダムメッセージMの暗号化である暗号文Cとが与えられるとともに、プレーンテキストのための推測を出力する。AがMを出力する確率がεである場合、敵は、スキームに対してアドバンテージεを有していると言われる。ゲームは、以下のようにして行なわれる。
セットアップ:挑戦者は、セキュリティパラメータkを取得するとともに、ルートセットアップアルゴリズムを実行する。挑戦者は、その結果として得られるシステムパラメータparamsを敵に与える。挑戦者は、ルート鍵生成シークレットをそれ自身に対して維持する。
局面1:敵は、前述した選択された暗号文のセキュリティ解析の局面1の場合と同様に、公開鍵および/または抽出問い合わせを行なう。
挑戦:局面1が終了したことを敵が決定すると、敵は、挑戦されることを望む新たなID−タプルIDを出力する。挑戦者は、ランダム
Figure 0004405810
を拾うとともに、C=暗号化(params、ID−タプル、M)を設定する。挑戦者は、挑戦としてのCを敵に送る。
局面2:敵は、ID及びその先祖以外の同一性について、更に多くの公開鍵問い合わせ及び更に多くの抽出問い合わせを発する。また、挑戦者は、局面1の場合と同様に応答する。
推測:敵は、推測
Figure 0004405810
を出力する。M=M'の場合に、敵がゲームに勝つ。スキームを攻撃する際の敵のアドバンテージは、Pr[M=M']となるように規定される。
本発明のスキームは、前述した挑戦に対して安全である。また、本発明のHIDSスキームは、適応的に選択されたメッセージ上に存在する偽造に対して安全である。敵は、たとえ自分の選択のメッセージ上で(適応的に)ターゲットの署名を得た後であっても、ターゲットが予め署名しなかった他のメッセージ上で、そのターゲットの署名を偽造することができない。また、HIDSの敵は、公開鍵問い合わせ及び秘密鍵抽出問い合わせをターゲット及びその先祖以外のエンティティ上で行なう能力と、そのターゲットを選択する能力とを有している。HIDEと同様に、敵のターゲット選択は、適応的であっても非適応的であっても良い。
(ペアリング)
本発明の現在の好ましいHIDEスキームおよびHIDSスキームは、例えば、楕円曲線またはアーベル多様体に関連付けられたウェイルペアリングまたはテートペアリング等のペアリング(組み合わせ)に基づいている。また、これらの方法は、バイリニアなディフィー・ヘルマン問題に基づいている。それらは、好ましくは同じ大きさのプライムオーダーqから成る2つの循環群Γ、Γを使用する。第1群Γは、楕円曲線上またはアーベル多様体上の点から成る群であることが好ましく、Γに関する群法則が付加的に書き込まれても良い。第2群Γは、有限領域の乗法群であることが好ましく、Γに関する群法則が乗法的に書き込まれても良い。しかしながら、本発明と整合性が取れる他のタイプの群をΓ、Γとして使用しても良い。
また、この方法は、第1群ΓのジェネレータPを使用する。また、ペアリングまたはファンクション
Figure 0004405810
 は、第1群Γの2つの要素を第2群Γの1つの要素に対してマッピングするために与えられる。
Figure 0004405810
 は、3つの条件を満たすことが好ましい。まず第1に、QおよびRがΓ内にあり且つa、bが整数である場合に、
Figure 0004405810
 となるように、
Figure 0004405810
 はバイリニアであることが好ましい。第2に、マップがΓ×Γにおける全てのペア(対)をΓにおける同一性に対して送らないように、
Figure 0004405810
 は非縮退的であることが好ましい。第3に、
Figure 0004405810
 は、効率的に演算可能であることが好ましい。これらの3つの条件を満たす
Figure 0004405810
 は、許容できると考えられる。
また、全てのQ,R∈Γに関して
Figure 0004405810
 となるように、
Figure 0004405810
 は対称的であることが好ましい。しかしながら、対称性は、バイリニア性とΓが循環群であるという事実とから直ちに得られる。超特異な楕円曲線またはアーベル多様体に関連付けられたウェイルペアリングおよびテートペアリングは、従来技術に知られた方法にしたがって、そのようなバイリニアなマップを生成するために変更され得る。しかしながら、たとえ第1の循環群Γの要素を「点」の群として参照することで、
Figure 0004405810
 が変更されたウェイルペアリングまたはテートペアリングであることを提案できるとしても、任意の許容できる
Figure 0004405810
 が働くことが指摘されるべきである。
本発明のHIDEスキームおよびHIDSスキームのセキュリティは、主に、バイリニアなディフィー・ヘルマン問題の難しさに基づいている。バイリニアなディフィー・ヘルマン問題は、ランダムに選択されたP∈ΓおよびaP、bP、cP(未知のランダムに選択されたa、b、c∈Z/qZにおいて)が与えられて
Figure 0004405810
 を見つける問題である。Γにおいてディフィー・ヘルマン問題を解くことは、
Figure 0004405810
 であるため、バイリニアなディフィー・ヘルマン問題を解くことである。同様に、Γにおいてディフィー・ヘルマン問題を解くことは、
Figure 0004405810
 である場合にgabc=(gabであるため、バイリニアなディフィー・ヘルマン問題を解くことである。ここで、
Figure 0004405810
 であり、また、
Figure 0004405810
である。バイリニアなディフィー・ヘルマン問題が難しいため、ΓまたはΓのいずれかにおいてディフィー・ヘルマン問題を効率的に解くための周知のアルゴリズムが無いというように、Γ及びΓが選択されるべきである。バイリニアなディフィー・ヘルマン問題が
Figure 0004405810
 において困難である場合、それは、
Figure 0004405810
 が非縮退的であるということに従う。
ランダム化アルゴリズムIΓは、セキュリティパラメータk>0を取得して経時的にkの多項式を実行し、且つ、好ましくは同じプライムオーダーqから成る2つの群Γ及びΓの記述と許容できるペアリング
Figure 0004405810
 の記述とを出力する場合に、バイリニアなディフィー・ヘルマン・ジェネレータである。IΓがバイリニアなディフィー・ヘルマンパラメータジェネレータである場合、アルゴリズムBがバイリニアなディフィー・ヘルマン問題を解く際に有するアドバンテージAdνIΓ(B)は、アルゴリズムへの入力がΓ、Γ
Figure 0004405810
 P、aP、bP及びcPである時にアルゴリズムBが
Figure 0004405810
 を出力する確率として規定される。ここで、
Figure 0004405810
 は、十分に大きいセキュリティパラメータkにおけるIΓの出力であり、PはΓのランダムジェネレータであり、a、b及びcはZ/qZのランダム要素である。バイリニアなディフィー・ヘルマン問題の根底にある前提は、全ての効率的なアルゴリズムBにおいてAdνIΓ(B)が無視できる、ということである。
(HIDEスキーム)
ここで、添付図面を参照すると、図1は、現在において好ましい本発明の一実施形態に係るデジタルメッセージの暗号化及び復号の方法を表すフローチャートを示している。この方法は、複数のPKGを有するHIDEシステム内で行なわれる。これらのPKGは、少なくとも1つのルートPKGと、このルートPKGと受信者との間の階層中にあるn個の下位レベルPKGと、を含んでいる。ここで、n≧1である。
ブロック102において、ルートPKGは、ルートPKGだけに知られたルート鍵生成シークレットを選択する。ルート鍵生成シークレットは、階層中においてルートPKGよりも下にあるPKGおよび/またはユーザのための秘密鍵を生成するために使用され得る。その後、ブロック104において、ルートPKGは、ルート鍵生成シークレットに基づいて、ルート鍵生成パラメータを生成する。ルート鍵生成パラメータは、ルート鍵生成シークレットをマスクするために使用される。ルート鍵生成パラメータは、ルート鍵生成シークレットを危うくすることなく、下位レベルPKGに対して明かされ得る。ブロック106において、下位レベルPKGは、下位レベル鍵生成シークレットを選択する。所定の下位レベルPKGに対応する下位レベル鍵生成シークレットは、階層中において対応する下位レベルPKGよりも下にあるPKGおよび/またはユーザのための秘密鍵を生成するために使用され得る。ルート鍵生成シークレットと同様に、各下位レベル鍵生成シークレットは、その対応する下位レベルPKGのみに対して知られている。
ブロック108において、下位レベル鍵生成パラメータは、n個の下位レベルPKGの各々に生成される。下位レベル鍵生成パラメータの各々は、その対応する下位レベルPKGにおける下位レベル鍵生成シークレットを少なくとも使用して生成される。ルート鍵生成パラメータと同様に、各下位レベル鍵生成パラメータは、その対応する下位レベル鍵生成シークレットをマスクする。
ブロック110において、送信者は、少なくとも受信者に関連付けられた同一性情報およびルート鍵生成パラメータを使用して、メッセージをエンコードし、暗号文を生成する。例えば、メッセージは、ルート鍵生成パラメータおよび受信者の同一性だけを使用してエンコードされ得る。あるいは、デュアルHIDEスキームに関して後述するように、下位レベル鍵生成パラメータのうちの1つが使用されても良い。ブロック112において、下位レベルPKGは、受信者のための秘密鍵を生成する。この場合、秘密鍵は、少なくとも、ルート鍵生成シークレットと、階層中においてルートPKGと受信者との間にあるn個の下位レベルPKGに対応するn個の下位レベル鍵生成シークレットのうちの1または複数と、受信者の同一性情報と、に関連付けられるように生成される。例えば、ルート鍵生成シークレットおよび受信者の同一性情報に加えて、受信者の秘密鍵も、秘密鍵を受信者に対して発行したPKGの下位レベル鍵生成シークレットに少なくとも関連付けられることが好ましい。あるいは、受信者の秘密鍵は、その先祖PKGの下位レベル鍵生成シークレットのn個の全ておよびルート鍵生成シークレットに関連付けられても良い。ブロック114において、受信者は、少なくともその秘密鍵を使用して、暗号文をデコードするとともに、メッセージを復元する。また、受信者は、その秘密鍵を使用してデコードすることに加えて、階層中においてルートPKGと受信者との間にあるn個の下位レベルPKGに関連付けられたn個の下位レベル鍵生成パラメータを使用することが好ましい。
各下位レベルPKGは、ルートPKGと同様に、鍵生成シークレットを有している。前述したように、下位レベルPKGは、このシークレットを使用して、ルートPKGが行なうのと同様、下位レベルPKGの子の各々に秘密鍵を生成することが好ましい。その結果、子の秘密鍵は、下位レベルPKGの鍵生成シークレットに関連付けられる。このことは、下位レベルPKGがその鍵生成シークレットの変更されたバージョンを使用して後に詳細に述べるようにキーエスクローを規制する目的でそのシークレットを覆い隠す場合であっても、同様である。同時に、下位レベルPKGは、各秘密鍵抽出毎に同じシークレットを常に使用する必要がない。むしろ、PKGの子の各々毎に、新たな鍵生成シークレットが無作為に生成され、それにより、各子毎に異なる鍵生成パラメータが生成されても良い。
下位レベルPKGは、受信者のための秘密鍵を生成することができる(ブロック112)ため、ルートPKGは、それ自身、全ての秘密鍵を生成する必要がない。また、下位レベルPKGは、それ自身の鍵生成シークレットを使用して、その子孫のための秘密鍵を生成するため、ある下位レベル鍵生成シークレットを危うくしても、階層に対する安全性が損なわれるのは、限られた部分だけとなる。下位レベルPKGの破損部分は、階層中の全ての秘密鍵を危うくするのではなく、当該PKGの秘密鍵および当該PKGの鍵生成シークレットを使用して生成された秘密鍵(すなわち、危うくされたPKGの直接の階層的子孫であるユーザの秘密鍵)だけを危うくする。
この実施形態の他の利点は、エンコードされたメッセージを受信者に送るために送信者が階層中にいる必要がないという点である。送信者は、受信者に関連付けられた同一性情報と、ルートPKGによって生成されたシステムパラメータと、を単に知っているだけで良い。しかしながら、本発明のHIDEスキームには、送信者が階層中に位置付けられる時に利用できるようになる特定の更なる利点がある。例えば、送信者および受信者の両方が階層中にいる場合、メッセージ暗号化の効率は、これらの両方の当事者の同一性を使用することにより高められても良い。この種のHIDEスキームは、送信者および受信者の両方の同一性が暗号化アルゴリズムおよび復号アルゴリズムのための入力として使用されるため、デュアルHIDEと称される場合がある。以下、図2および図3を参照して、デュアルHIDEスキームを使用してメッセージをエンコードおよびデコードする方法について説明する。
(デュアルHIDE)
図2は、現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間でデジタルメッセージをエンコードおよびデコードする方法を表わすフローチャートを示している。図3は、この方法を実行することができる一般的な階層構造を表すブロック図を示している。先の実施形態と同様に、この方法は、ルートPKG302と、階層中においてルートPKG302と受信者z308との間にあるn個の下位レベルPKG304a、b、dとを少なくとも有するHIDEシステム内で行なわれる。ここで、n≧1である。また、この実施形態における送信者y306は、階層中にいなければならず、また、階層は、ルートPKG302と送信者y306との間に、m個の下位レベルPKG304a、b、cも有している。ここで、m≧1である。ルートPKG302と送信者y306との間にあるm個のPKG304a、b、c、および、ルートPKG302と受信者z308との間にあるn個の下位レベルPKG304a、b、dの中には、送信者y306および受信者z308の両方に共通する先祖であるl個のPKG304a、bがある。ここで、1≦l≦m,nである。例えば、これらl個の共通の先祖であるPKG(PKGy1/PKGz1304aおよびPKGyl/PKGzl304b)のうちの2つが図3に示されている。
この実施形態の方法は、ルートPKG302だけに知られたルート鍵生成シークレットをルートPKG302が選択すると、ブロック202から開始される。その後、ブロック204において、ルートPKG302は、ルート鍵生成シークレットに基づいて、ルート鍵生成パラメータを生成する。ブロック206において、下位レベルPKG304a−dは、下位レベル鍵生成シークレットを選択する。ルート鍵生成シークレットと同様に、各下位レベル鍵生成シークレットは、その対応する下位レベルPKG304a−dのみに知られている。ブロック208において、下位レベル鍵生成パラメータは、n個の下位レベルPKG304a−dの各々に生成される。各下位レベル鍵生成パラメータは、その対応する下位レベルPKG304a−dにおける下位レベル鍵生成シークレットを少なくとも使用して生成される。
ブロック210において、送信者の親PKGym304cは、送信者y306のための秘密鍵を生成する。この場合、秘密鍵は、少なくとも、ルート鍵生成シークレットと、ルートPKG302と送信者y306との間にあるm個の下位レベルPKG304a、b、cに対応するm個の下位レベル鍵生成シークレットのうちの1または複数と、送信者の同一性情報と、に関連付けられるように生成される。例えば、ルート鍵生成シークレットおよび送信者の同一性情報に加えて、送信者の秘密鍵が、送信者の親PKGym304cの下位レベル鍵生成シークレットに少なくとも関連付けられる。あるいは、送信者の秘密鍵は、その直接の先祖PKGの下位レベル鍵生成シークレットのm個の全ておよびルート鍵生成シークレットに関連付けられても良い。ブロック212において、受信者の親PKGzn304dは、送信者の親PKGym304cが送信者の秘密鍵を生成するために使用した方法と同様の方法で、受信者zのための秘密鍵を生成する。
ブロック214において、送信者yは、少なくとも、送信者の秘密鍵と、ルートPKG302と送信者y306との間にあり且つ送信者y306および受信者z308の両方に共通する最下位の先祖PKG(PKGyl/PKGzl304b)のレベルまたはそれよりも下のレベルにある(m−l+1)個のPKG(すなわち、PKGyl304bおよびPKGym304c)に関連付けられた1または複数の下位レベル鍵生成パラメータと、を使用して、メッセージをエンコードして暗号文を生成する。送信者y306は、メッセージをエンコードする際、最下位の共通する先祖PKG(PKGyl/PKGzl304b)よりも上にある(l−1)個のPKG(すなわち、PKGy1304a)に関連付けられた下位レベル鍵生成パラメータのいずれも使用しないことが好ましい。
その後、ブロック216において、受信者z308は、少なくとも、受信者の秘密鍵と、ルートPKG302と受信者z308との間にあり且つ送信者y306および受信者z308の両方に共通する最下位の先祖PKG(PKGyl/PKGzl304b)のレベルまたはそれよりも下のレベルにある(n−l+1)個のPKG(すなわち、PKGzl304bおよびPKGzm304c)に関連付けられた1または複数の下位レベル鍵生成パラメータと、を使用して、暗号文をデコードしてメッセージを復元する。受信者z308は、メッセージをデコードする際、最下位の共通する先祖PKG(PKGyl/PKGzl304b)よりも上にある(l−1)個のPKG(すなわち、PKGz1304a)に関連付けられた下位レベル鍵生成パラメータのいずれも使用しないことが好ましい。
本発明のこのようなデュアルHIDEの実施形態は、より少ない鍵生成パラメータを使用するだけで済むため、メッセージをより効率的にエンコードおよびデコードするスキームを提供する。例えば、通常のHIDEスキームにおける復号は、n個の鍵生成パラメータの全てを好ましくは必要とするが、デュアルHIDEスキームにおける復号は、(n−l+1)個の鍵生成パラメータだけを好ましくは必要とする。デュアルHIDEスキームは、ルートPKGのパブリックシステムパラメータを単に得るのではなく、送信者y306に、エンコードされたメッセージを受信者z308に送る前にその秘密鍵を得ることを要求する。また、デュアルHIDEスキームによれば、送信者y306および受信者z308は、後で詳しく述べるように、キーエスクローの範囲を制限することができる。この共有のシークレットは、その最下位の共通する先祖PKGyl/PKGzl304b以外の第三者に知られない。
(ベーシックHIDE)
図4は、現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージMをエンコードおよびデコードする方法を表わすフローチャートを示している。図3に示されるように、受信者z308は、階層中においてルートPKGよりも(n+1)レベル下にあり、ID−タプル(IDz1,...,IDz(n+1))に関連付けられている。受信者のID−タプルは、受信者に関連付けられた同一性情報IDz(n+1)と、階層中におけるそのn個の先祖下位レベルPKGの各々に関連付けられた同一性情報IDziと、を含んでいる。この方法は、複数の要素から成る第1及び第2の循環群Γ及びΓを生成することにより、ブロック402から開始される。ブロック404においては、
Figure 0004405810
 が選択される。この場合、
Figure 0004405810
 は、それが第1の循環群Γの2つの要素から第2の循環群Γの1つの要素を生成できるように選択される。
Figure 0004405810
 は、前述したように、許容できるペアリングであることが好ましい。ブロック406において、第1の循環群ΓのルートジェネレータPが選択される。ブロック408においては、ルートPKG302に関連付けられ且つルートPKG302だけに知られたランダムルート鍵生成シークレットsが選択される。sは、循環群Z/qZの1つの要素であることが好ましい。ブロック410においては、ルート鍵生成パラメータQ=sが生成される。Qは、第1の循環群Γの1つの要素であることが好ましい。ブロック412においては、第1のファンクションHが選択される。この場合、ファンクションHは、第1の二進数字列から第1の循環群Γの要素を生成できるように選択される。ブロック414においては、第2のファンクションHが選択される。この場合、ファンクションHは、第2の循環群Γの要素から第2の二進数字列を生成できるように選択される。ブロック402からブロック414のファンクションは、前述したHIDEルートセットアップアルゴリズムの一部であり、ほぼ同時に実行されることが好ましい。一例として、Boneh−Franklinに開示されたファンクションのようなファンクションが、HおよびHとして使用され得る。
次の一連のブロック(ブロック416から424)は、下位レベルセットアップアルゴリズムの一部として実行されるファンクションを示している。ブロック416においては、受信者のn個の先祖下位レベルPKGの各々に、パブリック要素PZiが生成される。1≦i≦nにおいて各パブリック要素PZi=H(ID,....,IDZi)は、第1の循環群Γの1つの要素であることが好ましい。全てのパブリック要素PZiの生成が1つのブロックで表わされているが、これらのパブリック要素PZiの生成は、同時に行なわれることなく経時的に行なわれても良い。
受信者のn個の先祖下位レベルPKG304a、b、dの各々に、下位レベル鍵生成シークレットsZiが選択される(ブロック418)。下位レベル鍵生成シークレットsZiは、1≦i≦nにおいて循環群Z/qZの要素であることが好ましく、また、各下位レベル鍵生成シークレットsZiは、その対応する下位レベルPKGだけに知られていることが好ましい。この場合も同様に、全ての下位レベル鍵生成シークレットsZiの選択が1つのブロックで表わされているが、これらの下位レベル鍵生成シークレットsZiの選択は、同時に行なわれることなく経時的に行なわれても良い。
送信者のn個の先祖下位レベルPKGの各々に、下位レベルシークレット要素SZiが生成される(ブロック420)。1≦i≦nにおいて各下位レベルシークレット要素SZi=SZ(i−1)+sz(i−1)Ziは、第1の循環群Γの要素であることが好ましい。パブリック要素PZiおよびシークレットsZiと同様に、全てのシークレット要素SZiの生成が1つのブロックで表わされているが、これらのシークレット要素SZiの生成は、同時に行なわれることなく経時的に行なわれても良い。これらの繰り返される鍵生成プロセスのため、Sは、Γの同一性要素として規定される。
また、受信者のn個の先祖下位レベルPKGの各々に、下位レベル鍵生成パラメータQZiも生成される(ブロック422)。1≦i≦nにおいて各鍵生成パラメータQZi=sZiは、第1の循環群Γの要素であることが好ましい。全ての鍵生成パラメータQZiの生成が1つのブロックで表わされているが、これらの鍵生成パラメータQZiの生成は、同時に行なわれることなく経時的に行なわれても良い。
次の2つのブロック(ブロック424、426)のファンクションは、前述した抽出アルゴリズムの一部として実行される。ブロック424においては、受信者zに関連付けられた受信者パブリック要素PZ(n+1)が生成される。受信者パブリック要素PZ(n+1)=H(IDZ1,....,IDZ(n+1))は、第1の循環群Γの要素であることが好ましい。その後、ブロック426において、受信者zに関連付けられた受信者シークレット要素SZ(n+1)が生成される。また、受信者シークレット要素
Figure 0004405810
 も、第1の循環群Γの要素であることが好ましい。
便宜上、第1のファンクションHは、随意的に、反復関数となるように選択されても良い。この場合、例えば、H(ID,...,IDzi)としてではなく、H(Pz(i−1),IDzi)として、パブリックポイントPが演算され得る。
図4に示される最後の2つのブロック(ブロック428、430)は、前述した暗号化アルゴリズムおよび復号アルゴリズムを表わしている。ブロック428においては、暗号文Cを生成するためにメッセージMがエンコードされる。このコード化は、少なくともルート鍵生成パラメータQおよびID−タプル(IDz1,...,IDz(n+1))を使用することが好ましい。その後、ブロック430において、暗号文Cがデコードされ、メッセージMが復元される。復号は、1≦i≦nにおける下位レベル鍵生成パラメータQziおよび受信者シークレット要素Sz(n+1)を少なくとも使用することが好ましい。
図4に示されるブロックは、その全てが順序通り行なわれる必要はない。例えば、受信者の同一性を知っている送信者は、受信者がその秘密鍵を得る前に、受信者への通信を暗号化しても良い。
次に、図5および図6を参照しながら、メッセージMおよび暗号文Cのコード化および復号における前述したパラメータおよび要素の特定の用法について説明する。図5は、現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージMをエンコードおよびデコードする方法を表わすフローチャートを示している。ベーシックHIDEと呼ばれるこのスキームにおいて、ルートセットアップアルゴリズム、下位レベルセットアップアルゴリズム及び抽出アルゴリズムは、図4のブロック402から426で示された実施形態における場合と同じである。図5のフローチャートは、暗号化アルゴリズムおよび復号アルゴリズムを示しており、ブロック528aにおいてランダム暗号化パラメータrを選択することによって開始される。rは、循環群Z/qZの整数であることが好ましい。その後、ブロック528bにおいて、式C=[U,U,....,Un+1,V]を使用して、暗号文Cが生成される。暗号文Cは、階層中における受信者の位置に関連する要素U=rPzi(i=0および2≦i≦n+1)を含んでいる。暗号文Cの他の部分は、暗号化された形式の実際のメッセージ、
Figure 0004405810
 である。ここで、
Figure 0004405810
 である。要素gは、第2の循環群Γの構成要素であることが好ましい。メッセージは、エンコードされた後、ベーシックHIDE復号アルゴリズムにしたがってデコードされ得る。この復号アルゴリズムにおいて、メッセージMは、式
Figure 0004405810
 を使用して暗号文Cから復元される(ブロック530)。
(完全HIDE)
選択された暗号文の攻撃に対して安全な一方向暗号化スキームを作成する周知の方法を使用して、ベーシックHIDEスキームは、選択された暗号文がランダムオラクルモデルで安全な完全HIDEスキームに変換され得る。以下、図6を参照しながら、選択された暗号文にとって安全な完全HIDEについて説明する。
図6は、現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージMをエンコードおよびデコードする方法を表わすフローチャートを示している。本発明のこの実施形態におけるルートセットアップアルゴリズム、下位レベルセットアップアルゴリズム及び抽出アルゴリズムは、この実施形態のルートセットアップアルゴリズムが2つの付加的なファンクションを必要とする点を除き、図4を参照して説明された実施形態の場合と同じである。したがって、図6のフローチャートは、付加的ファンクション(ブロック615a、615b)を選択することにより開始され、暗号化アルゴリズムおよび復号アルゴリズム(ブロック628aから630d)に続く。
ルートセットアップアルゴリズムは、第3のファンクションH(ブロック615a)および第4のファンクションH(ブロック615b)を選択することによって終了する。第3のファンクションHは、2つの二進数字列から循環群Z/qZの整数を生成できることが好ましい。第4のファンクションHは、他の二進数字列から1つの二進数字列を生成できることが好ましい。
暗号化アルゴリズムは、ランダム二進数字列σの選択を示すブロック628aから開始される。その後、ブロック628bに示されるように、ランダム二進数字列σは、ランダム整数r=H(σ,M,W)を生成するために使用される。ここで、Wは、実際のメッセージMの対称暗号である。この暗号は、対称暗号化アルゴリズムEと暗号化鍵としてのH(σ)とを使用して生成されることが好ましい。したがって、
Figure 0004405810
 となる。ブロック628cにおいては、暗号文C=[U,U,....,Un+1,V,W]が生成される。暗号文Cは、階層中における受信者の位置に関連する要素U=rPzi(i=0および2≦i≦n+1)を含んでいる。暗号文Cの第2の部分は、暗号化された形式のランダム二進数字列σ
Figure 0004405810
 である。ここで、
Figure 0004405810
 である。要素gは、第2の循環群Γの構成要素であることが好ましい。暗号文Cの第3の部分は、W、すなわち、前述したように対称的に暗号化された形式の実際のメッセージである。
復号アルゴリズムは、ランダム二進数字列σの復元を示すブロック630aから開始される。ランダム二進数字列σは、式
Figure 0004405810
 を使用して復元される。その後、式
Figure 0004405810
 を使用して、暗号文CからメッセージMが復元される(ブロック630b)。暗号文は、随意的に、内部整合性がチェックされても良い。例えば、ブロック630cに示されるように、試験的なランダム整数r'=H(σ,M,W)が生成されても良い。その後、試験的なランダム整数r'は、ブロック630dにおいて、U=r'PおよびU=r'Pzi(2≦i≦n+1)であることを確かめるために使用され得る。U=r'PおよびU=r'Pzi(2≦i≦n+1)である場合、暗号文Cは真正であると見なされる。
(デュアルベーシックHIDEおよびデュアル完全HIDE)
図2および図3を参照して説明したデュアルHIDEの概念は、ベーシックHIDEスキームおよび完全HIDEスキームに適用され得る。図3に示されるように、送信者および受信者の両者が階層構造内にある場合、デュアルHIDEによって、これらの両者は、自分達の暗号化された通信の効率および安全性を向上させることができる。デュアルHIDEをベーシックHIDEスキームおよび完全HIDEスキームに適用するには、付加的な情報を決定する必要がある。これらの情報の殆どは、前述した下位レベルセットアップアルゴリズムによって決定される。例えば、パブリック要素Pyi、下位レベル鍵生成シークレットsyi、下位レベルシークレット要素Syi、下位レベル鍵生成パラメータQyiは、送信者のm個の先祖下位レベルPKGのために決定されなければならない。しかしながら、送信者yおよび受信者zの両者に共通の先祖である下位レベルPKGにおいては、送信者yおよび受信者zの両方を解析する目的のため、これらのパラメータが同じであることが好ましい(すなわち、全てのi≦lにおいて、Pyi=Pzi,syi=szi,Syi=Szi,Qyi=Qzi)。また、デュアルHIDEでは、受信者に関してこれらのパラメータを決定する前述した方法と同じ方法を使用して、送信者のための送信者パブリック要素Py(m+1)および送信者シークレット要素Sy(m+1)を決定する必要もある。
これらの付加的なパラメータが与えられると、i<lの下位レベル鍵生成パラメータQyiを使用するのではなく、送信者シークレット要素Sy(m+1)およびi≧lの下位レベル鍵生成パラメータQyiを使用することにより、デュアルHIDEの原理にしたがって、メッセージMがエンコードされ暗号文Cが生成され得る。同様に、i<lの下位レベル鍵生成パラメータQziを使用するのではなく、受信者シークレット要素Sz(m+1)およびi≧lの下位レベル鍵生成パラメータQziを使用することにより、暗号文CがデコードされメッセージMが復元され得る。
例えば、ベーシックHIDEスキーム(図4および図5)において、デュアルHIDEを適用すると、暗号文C=[U,Ul+1,....,Un+1,V]を生成するためのメッセージMのコード化が変わる。ここで、U=rPzi(i=0,l+1≦i≦n+1)であり、
Figure 0004405810
であり、また、
Figure 0004405810
である。要素Uは、前述した方法と同じ方法で計算されるが、それらのうち必要なのは僅かである。しかしながら、デュアルベーシックHIDEにおいて、送信者yは、前述したようにgを生成するために必要な数よりも多い数の鍵生成パラメータQyiを使用してgylを生成する必要がある。これは、送信者の同一性が暗号化アルゴリズム中に組み込まれるためである。
復号アルゴリズムの効率の向上は更に劇的である。メッセージMは、
Figure 0004405810
 を使用して復元される。この場合も同様に、必要なUパラメータは僅かである。同様に、受信者は、デュアルHIDEの場合、他の方法において必要であろうよりも少ない鍵生成パラメータQziを必要とする。
デュアル完全HIDEスキームを生成するために、完全HIDEもまた変更され得る。暗号化アルゴリズムにおける暗号文Cの生成は、C=[U,Ul+1,....,Un+1,V,W]となるように変更される。ここで、U=rPzi(i=0,l+1≦i≦n+1)である。Wおよびrのパラメータは、依然として同じ方法で生成される。
Figure 0004405810
 また、
Figure 0004405810
 におけるgylパラメータは、
Figure 0004405810
 を使用して生成される。
また、複号アルゴリズムも、デュアル完全HIDEスキームにおいて変更される。ランダム二進数字列σは、
Figure 0004405810
 を使用して復元される。そうでなければ、メッセージMの復元は変わらない。
送信者yおよび受信者zの両者に共通する最下位先祖PKGとしてPKG304bを使用して、以上のデュアルHIDEスキームを説明してきたが、PKG304bは、任意の共通の先祖PKGであり得る。暗号化アルゴリズムおよび復号アルゴリズムは同じである。しかしながら、効率を最大にするためには、PKG304bは、最下位の共通の先祖PKGであることが好ましい。
また、本発明のデュアルHIDEスキームは、効率を高めることに加え、キーエスクローを規制することにより、安全性も高める。前述したベーシックHIDEスキームおよび完全HIDEスキームにおいて、受信者の直接の先祖PKGの全ては、受信者へのメッセージを復号することができる。しかしながら、デュアルHIDEスキームは、PKGl−1よりも上の共通の先祖PKGに知られていないPKGl−1(PKGの直接の親)の鍵生成シークレットを組み込んでいるため、これらの共通の先祖PKGは、送信者yと受信者zとの間でメッセージを復号することができない。もっとも、PKG304bの直接の親は、それ自身の鍵生成シークレットを知っているため、メッセージを復号することができる。
また、キーエスクローは、PKGの直接の親でさえも送信者yと受信者zとの間でメッセージを復号することができないように制限されても良い。これは、送信者yおよび受信者zのために秘密鍵(あるいは、送信者yおよび受信者zの先祖であるPKGの子のための秘密鍵)を生成するプロセスにおいてPKGの秘密鍵を見えなくするとによって達成され得る。例えば、PKG304bは、幾つかのランダムb∈Z/qZにおいてS':=S+bPおよびQ'l−1:=Ql−1+bPを設定することにより、その秘密鍵を簡単に変え得る。新たな秘密鍵S'は、同様に効果的であるが、PKGの直接の親に知られていない。したがって、PKGよりも上のPKGにおいて、暗号化された受信者zへのメッセージを復号できるものは無い。より具体的には、PKGのドメイン内にある受信者zの先祖だけが、受信者zへのメッセージを復号することができる。
S':=S+bPおよびQ'l−1:=Ql−1+bPを設定することによってPKG304bがその秘密鍵を変える場合、新たな秘密鍵は、依然として、PKGl−1の鍵生成シークレットsl−1に関連付けられる。これは、sl−1を使用してPKGl−1により生成される秘密鍵から新たな秘密鍵が得られるためである。一般に、ここで説明した全てのスキームにおいて、ユーザまたはPKGは、b(1≦i≦n)のための値を選択し且つ
Figure 0004405810
 およびQ'zi:=Qzi+b(1≦i≦n)を設定することにより、それ自身のシークレット要素Sz(n+1)および鍵生成パラメータQzi(1≦i≦n)を変更し得る。しかしながら、本発明の目的として、この新たな秘密鍵は、依然として、オリジナルの秘密鍵に関連付けられていると見なされ、そのため、鍵生成シークレットsziの初期値に関連付けられる。
(暗号化および復号の効率が更に高いデュアルHIDEスキーム)
前述したデュアルHIDEスキームにおいては、復号子(decrypter)が演算しなければならないペアリングの値の数を増やすことなく、暗号化子(encrypter)が演算しなければならないペアリングの値の数を1だけ減らすことができる。例えば、前述したデュアルベーシックHIDE暗号化アルゴリズムは、
Figure 0004405810
 となるように変更され得る。ここで、
Figure 0004405810
 である。暗号文がC=[U,Ul+1,K,Un+1,V]として表わされる場合、暗号文は、
Figure 0004405810
 を使用して復号化され得る。
同様に、暗号化子が演算しなければならない値の数を増やすことなく、復号子が演算しなければならないペアリングの値の数を1だけ減らすことができる。例えば、デュアルベーシックHIDE暗号化アルゴリズムは、暗号文Cが、
Figure 0004405810
 となるように変更されても良い。ここで、
Figure 0004405810
 である。暗号文がC=[U,Ul+2,K,U,V]として表わされる場合、暗号文は、
Figure 0004405810
 を使用して復号され得る。
(認証された下位レベルルートPKG)
前述したデュアルHIDEスキームの能力は、認証された下位レベルルートPKGを生成することにより、階層の外側のメッセージ送信者へと広げられ得る。下位レベルPKGを「認証する」ため、ルートPKGは、ランダムメッセージM'等の付加的なパラメータを発行し得る。その後、下位レベルPKGは、M'に「署名をして」、署名Sig=Szl+szl'を生成する。ここで、Sは下位レベルPKGの秘密鍵であり、sはその下位レベル鍵生成シークレットである。下位レベルPKGもQ(1≦i≦t)を発行する。
認証された下位レベルルートPKGを利用して、階層外の送信者は、受信者のn個の全ての先祖PKGについてパブリック要素Pziを演算することなく、暗号化されたメッセージを受信者zに送信することができる。むしろ、送信者は、認証された下位レベルルートPKGのためのパラメータを使用して、メッセージを更に効率的に暗号化することができる。特に、送信者は、Pzi=H(ID,.....,IDzi)∈Γ(l+1≦i≦n+1)を演算する。その後、送信者は、ランダムr∈Z/qZを選択するとともに、暗号文
Figure 0004405810
 を生成する。ここで、
Figure 0004405810
 である。受信された暗号文がC=[U,Ul+1,....,Un+1,V]であると、受信者は、暗号文を復号して、メッセージ
Figure 0004405810
 を復元する。ここで、Sz(n+1)は、受信者の秘密鍵である。
(分散型PKG)
前述したHIDEスキームの鍵生成シークレットを更に保護するため、及び、不正なPKGに対して頑強なスキームを形成するため、鍵生成シークレットおよび秘密鍵は、閾値暗号法の周知の技術を使用して分散され得る。
(更に効率的な暗号化)
前述したHIDEスキームにおける暗号化の効率は、階層の最も高い2つのレベルを合併して1つのルートPKGを生成することにより高められ得る。この場合、
Figure 0004405810
 は、システムパラメータ中に含まれる。これにより、このペアリングの値を演算する暗号化子のタスクが節約される。しかしながら、復号子は、1つ余分なペアリングを演算しなければならない(ツリーのレベルが1つ下がるため)。
(HIDSスキーム)
ここで、本発明の署名スキームすなわちHIDSスキームについて考えると、図7は、現在において好ましい本発明の他の実施形態に係る、デジタル署名を生成して検証する方法を表わすフローチャートを示している。この方法は、複数のPKGを有するHIDSシステム内で実行される。これらのPKGは、少なくとも1つのルートPKGと、このルートPKGと送信者すなわち署名者との間の階層中にあるn個の下位レベルPKGと、を含んでいる。ここで、n≧1である。ブロック702において、ルートPKGは、ルートPKGだけに知られたルート鍵生成シークレットを選択する。ルート鍵生成シークレットは、階層中においてルートPKGよりも下にあるPKGまたはユーザのための秘密鍵を生成するために使用され得る。その後、ブロック704において、ルートPKGは、ルート鍵生成シークレットに基づいて、ルート鍵生成パラメータを生成する。ブロック706において、下位レベルPKGは、下位レベル鍵生成シークレットを選択する。所定の下位レベルPKGに対応する下位レベル鍵生成シークレットは、階層中において対応する下位レベルPKGよりも下にあるPKGまたはユーザのための秘密鍵を生成するために使用され得る。ルート鍵生成シークレットと同様に、各下位レベル鍵生成シークレットは、その対応する下位レベルPKGのみに知られている。ブロック708において、下位レベル鍵生成パラメータは、n個の下位レベルPKGの各々に生成される。下位レベル鍵生成パラメータの各々は、その対応する下位レベルPKGにおける下位レベル鍵生成シークレットを少なくとも使用して生成される。
ブロック710において、ある下位レベルPKGは、受信者のための秘密鍵を生成する。この場合、秘密鍵は、n個の下位レベル鍵生成シークレットのうちの少なくとも1つに関連付けられるように生成される。例えば、送信者の秘密鍵は、少なくとも、秘密鍵を受信者に対して発行したPKGの下位レベル鍵生成シークレットに関連付けられ得る。しかしながら、受信者の秘密鍵は、その先祖PKGの下位レベル鍵生成シークレットのn個の全ておよびルート鍵生成シークレットに関連付けられることが好ましい。ブロック712において、送信者は、少なくともその秘密鍵を使用して、メッセージに署名するとともに、デジタル署名を生成する。その後、ブロック714において、受信者すなわち検証者は、少なくとも1つの下位レベル鍵生成パラメータを使用して、デジタル署名を検証する。例えば、署名は、ルート鍵生成パラメータだけを使用して検証されても良い。あるいは、1または複数の下位レベル鍵生成パラメータを使用しても良い。
図8は、現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージMのデジタル署名Sigを生成して検証する方法を表わすフローチャートを示している。図3に示されるように、送信者y306は、階層中においてルートPKGよりも(m+1)レベル下にあり、ID−タプル(IDy1,...,IDy(m+1))に関連付けられている。送信者のID−タプルは、送信者に関連付けられた同一性情報IDy(m+1)と、階層中におけるそのm個の先祖下位レベルPKGの各々に関連付けられた同一性情報IDyiと、を含んでいる。この方法は、複数の要素から成る第1及び第2の循環群Γ及びΓを生成することにより、ブロック802から開始される。ブロック804においては、
Figure 0004405810
 が選択される。この場合、
Figure 0004405810
 は、それが第1の循環群Γの2つの要素から第2の循環群Γの1つの要素を生成できるように選択される。
Figure 0004405810
 は、前述したように、許容できるペアリングであることが好ましい。ブロック806において、第1の循環群ΓのルートジェネレータPが選択される。ブロック808においては、ルートPKG302に関連付けられ且つルートPKG302だけに知られたランダムルート鍵生成シークレットsが選択される。sは、循環群Z/qZの1つの要素であることが好ましい。ブロック810においては、ルート鍵生成パラメータQ=sが生成される。Qは、第1の循環群Γの1つの要素であることが好ましい。ブロック812においては、第1のファンクションHが選択される。この場合、ファンクションHは、第1の二進数字列から第1の循環群Γの要素を生成できるように選択される。ブロック814においては、第2のファンクションHが選択される。この場合、ファンクションHは、第2の循環群Γの要素から第2の二進数字列を生成できるように選択される。ブロック802からブロック814のファンクションは、前述したHIDSルートセットアップアルゴリズムの一部であり、ほぼ同時に実行されることが好ましい。一例として、Boneh−Franklinに開示されたファンクションのようなファンクションがHおよびHとして使用され得る。実際には、ファンクションHおよびHは、全く同じファンクションであっても良い。しかしながら、潜在的な落とし穴がある。署名者がM=IDに署名するように攻撃者が仕向ける虞がある。ここで、IDは、実際の同一性を表わしている。この場合、署名者の署名は、実際には、その後にメッセージを復号して署名を偽造するために使用される虞がある、秘密鍵であるかもしれない。しかしながら、この落とし穴は、署名と秘密鍵抽出とを区別する幾つかの方法、例えばHのための異なるファンクションやビットプレフィックス等、を使用することにより、回避することができる。
次の一連のブロック(ブロック816から824)は、下位レベルセットアップアルゴリズムの一部として実行されるファンクションを示している。ブロック816においては、送信者のm個の先祖下位レベルPKGの各々に、パブリック要素Pyiが生成される。1≦i≦mにおいて各パブリック要素Pyi=H(ID,....,IDyi)は、第1の循環群Γの1つの要素であることが好ましい。全てのパブリック要素Pyiの生成が1つのブロックで表わされているが、これらのパブリック要素Pyiの生成は、同時に行なわれることなく経時的に行なわれても良い。
送信者のm個の先祖下位レベルPKG304a、b、dの各々に、下位レベル鍵生成シークレットsyiが選択される(ブロック818)。下位レベル鍵生成シークレットsyiは、1≦i≦mにおいて循環群Z/qZの要素であることが好ましく、また、各下位レベル鍵生成シークレットsyiは、その対応する下位レベルPKGだけに知られていることが好ましい。この場合も同様に、全てのシークレットsyiの選択が1つのブロックで表わされているが、これらのシークレットsyiの選択は、同時に行なわれることなく経時的に行なわれても良い。
送信者のm個の先祖下位レベルPKGの各々に、下位レベルシークレット要素Syiが生成される(ブロック820)。1≦i≦mにおいて各下位レベルシークレット要素Syi=Sy(i−1)+sy(i−1)yiは、第1の循環群Γの要素であることが好ましい。パブリック要素Pyiおよびシークレットsyiと同様に、全てのシークレット要素Syiの生成が1つのブロックで表わされているが、これらのシークレット要素Syiの生成は、同時に行なわれることなく経時的に行なわれても良い。これらの繰り返される鍵生成プロセスのため、Sは、Γの同一性要素として規定されることが好ましい。
また、送信者のm個の先祖下位レベルPKGの各々に、下位レベル鍵生成パラメータQyiも生成される(ブロック822)。1≦i≦mにおいて各鍵生成パラメータQyi=syiは、第1の循環群Γの要素であることが好ましい。全ての鍵生成パラメータQyiの生成が1つのブロックで表わされているが、これらの鍵生成パラメータQyiの生成は、同時に行なわれることなく経時的に行なわれても良い。
次の2つのブロック(ブロック824、826)のファンクションは、前述した抽出アルゴリズムの一部として実行される。ブロック824においては、送信者yに関連付けられた送信者パブリック要素Py(m+1)が生成される。送信者パブリック要素Py(m+1)=H(IDy1,....,IDy(m+1))は、第1の循環群Γの要素であることが好ましい。その後、ブロック826において、送信者yに関連付けられた送信者シークレット要素Sy(m+1)が生成される。また、送信者シークレット要素
Figure 0004405810
 も、第1の循環群Γの要素であることが好ましい。
便宜上、第1のファンクションHは、随意的に、反復関数となるように選択されても良い。この場合、例えば、H(ID,...,IDyi)としてではなく、H(Py(i−1),IDyi)として、パブリックポイントPが演算され得る。
図8に示される最後の2つのブロック(ブロック828、830)は、前述した署名アルゴリズムおよび検証アルゴリズムを表わしている。ブロック828においては、デジタル署名Sigを生成するためにメッセージMが署名される。この署名は、少なくとも送信者シークレット要素Sy(m+1)を使用することが好ましい。その後、ブロック830において、デジタル署名Sigが検証される。この検証は、少なくともルート鍵生成パラメータQおよび下位レベル鍵生成パラメータQyiを使用することが好ましい。以下、メッセージMの署名およびデジタル署名Sigの検証におけるこれらのパラメータおよび要素の特定の用法について、図9を参照しながら説明する。
図9は、現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージMのデジタル署名Sigを生成して検証する方法を表わすフローチャートを示している。このスキームにおいて、ルートセットアップアルゴリズム、下位レベルセットアップアルゴリズム及び抽出アルゴリズムは、図8のブロック802から826に示された実施形態の場合と同じである。したがって、図9のフローチャートは、ブロック927aにおいて、送信者yのみに知られる送信者鍵生成シークレットsy(m+1)を選択することにより開始される。ブロック927bにおいては、式Qy(m+1)=sy(m+1)を使用して、送信者に関連付けられる送信者鍵生成パラメータQy(m+1)が生成される。その後、ブロック928aにおいて、メッセージ要素P=H(IDy1,.....,IDy(m+1),M)を送信者が生成することにより、署名アルゴリズムが開始される。メッセージ要素Pは、第1の循環群Γの構成要素であることが好ましい。デジタル署名Sigは、それ自身、式Sig=Sy(m+1)+sy(m+1)を使用して、ブロック928bで生成される。受信者は、式
Figure 0004405810
 が満たされていることを確認することにより、デジタル署名Sigを検証する(ブロック930)。
その好ましい実施形態および例示的な実施例を特に参照して本発明を詳細に説明してきたが、本発明は、その思想および範囲内で変形および修正を成すことができる。
現在において好ましい本発明の一実施形態に係る、デジタルメッセージをエンコードおよびデコードする方法を表わすフローチャートを示している。 現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間でデジタルメッセージをエンコードおよびデコードする方法を表わすフローチャートを示している。 図2の方法が実行され得る典型的な階層構造を表わすブロック図を示している。 現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージMをエンコードおよびデコードする方法を表わすフローチャートを示している。 現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージMをエンコードおよびデコードする方法を表わすフローチャートを示している。 現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージMをエンコードおよびデコードする方法を表わすフローチャートを示している。 現在において好ましい本発明の他の実施形態に係る、デジタル署名を生成して検証する方法を表わすフローチャートを示している。 現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージMのデジタル署名Sigを生成して検証する方法を表わすフローチャートを示している。 現在において好ましい本発明の他の実施形態に係る、送信者yと受信者zとの間で通信されるデジタルメッセージMのデジタル署名Sigを生成して検証する方法を表わすフローチャートを示している。

Claims (65)

  1. 送信機受信機との間でデジタルメッセージをエンコードおよびデコードする方法であって、複数の秘密鍵ジェネレータを含む階層型システムにおいて前記受信機がルート秘密鍵ジェネレータよりも(n+1)レベル下にあり、前記複数の秘密鍵ジェネレータは、少なくとも、前記ルート秘密鍵ジェネレータと、前記ルート秘密鍵ジェネレータ前記受信機との間の階層中にあるn個の下位レベル秘密鍵ジェネレータと、を含んでおり、n≧1である方法において、
    前記ルート秘密鍵ジェネレータが、前記ルート秘密鍵ジェネレータだけに知られるルート鍵生成シークレットを選択する工程と、
    前記ルート秘密鍵ジェネレータが、前記ルート鍵生成シークレットに基づいてルート鍵生成パラメータを生成する工程と、
    n個の前記下位レベル秘密鍵ジェネレータが、n個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成シークレットを選択する工程であって、各下位レベル鍵生成シークレットはその対応する前記下位レベル秘密鍵ジェネレータだけに知られる、という工程と、
    n個の前記下位レベル秘密鍵ジェネレータが、n個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成パラメータを生成する工程であって、各下位レベル鍵生成パラメータは少なくともその対応する前記下位レベル秘密鍵ジェネレータにおける前記下位レベル鍵生成シークレットを使用して生成される、という工程と、
    前記送信機が、少なくとも前記ルート鍵生成パラメータおよび受信機同一性情報を使用することにより、前記デジタルメッセージをエンコードして暗号文を生成する工程と、
    前記下位レベル秘密鍵ジェネレータが、受信機秘密鍵を、少なくとも、前記ルート鍵生成シークレットと、前記ルート秘密鍵ジェネレータ前記受信機との間の階層中にあるn個の前記下位レベル秘密鍵ジェネレータに関連付けられたn個の前記下位レベル鍵生成シークレットのうちの1または複数と、前記受信機同一性情報とに関連付けられるように生成する工程と、
    前記受信機が、少なくとも前記受信機秘密鍵を使用することにより、前記暗号文をデコードして前記デジタルメッセージを復元する工程と、
    を備えたことを特徴とする方法。
  2. 前記受信機同一性情報は、前記受信機に関連付けられた同一性情報IDz(n+1)と、ルート秘密鍵ジェネレータ受信機との間の階層中にあるn個の下位レベル秘密鍵ジェネレータの各々に関連付けられた同一性情報IDziと、を有する受信機ID−タプル(IDz1,...,IDz(n+1))を含んでいることを特徴とする請求項1に記載の前記デジタルメッセージをエンコードおよびデコードする方法。
  3. 前記受信機秘密鍵は、前記ルート秘密鍵ジェネレータ前記受信機との間の階層中にあるn個の前記下位レベル秘密鍵ジェネレータに関連付けられたn個の前記下位レベル鍵生成シークレットの全てに関連付けられることを特徴とする請求項1に記載の前記デジタルメッセージをエンコードおよびデコードする方法。
  4. 前記デジタルメッセージをエンコードする前記工程は、選択された暗号文攻撃に対して前記暗号文を保護することを更に含むことを特徴とする請求項1に記載の前記デジタルメッセージをエンコードおよびデコードする方法。
  5. 前記デジタルメッセージをエンコードする前記工程は、
    対称暗号化スキームにしたがって前記デジタルメッセージを暗号化して、対称暗号を生成する工程と、
    一方向暗号化スキームにしたがって前記対称暗号を暗号化して、前記暗号文を生成する工程と、を更に含み、
    前記暗号文をデコードする前記工程は、
    前記一方向暗号化スキームにしたがって前記暗号文を復号して、前記対称暗号を復元する工程と、
    前記対称暗号化スキームにしたがって前記対称暗号を復号して、前記デジタルメッセージを復元する工程と、を更に含むことを特徴とする請求項4に記載の前記デジタルメッセージをエンコードおよびデコードする方法。
  6. 複数の秘密鍵ジェネレータを含むシステムにおける送信機受信機との間でデジタルメッセージをエンコードおよびデコードする方法であって、前記複数の秘密鍵ジェネレータは、ルート秘密鍵ジェネレータ前記送信機との間の階層中にあるm個の下位レベル秘密鍵ジェネレータと、前記ルート秘密鍵ジェネレータ前記受信機との間の階層中にあるn個の前記下位レベル秘密鍵ジェネレータと、を含んでおり、m≧1であり、n≧1であり、階層中の前記複数の秘密鍵ジェネレータのうちの少なくともl個は、前記送信機および前記受信機の両方に共通の先祖であり、l≧1であり、前記秘密鍵ジェネレータ は、前記送信機および前記受信機の両方に共通の先祖秘密鍵ジェネレータである方法において、
    前記ルート秘密鍵ジェネレータが、前記ルート秘密鍵ジェネレータだけに知られるルート鍵生成シークレットを選択する工程と、
    前記ルート秘密鍵ジェネレータが、前記ルート鍵生成シークレットに基づいてルート鍵生成パラメータを生成する工程と、
    m個およびn個の前記下位レベル秘密鍵ジェネレータが、m個およびn個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成シークレットを選択する工程であって、各下位レベル鍵生成シークレットはその対応する前記下位レベル秘密鍵ジェネレータだけに知られる、という工程と、
    m個およびn個の前記下位レベル秘密鍵ジェネレータが、m個およびn個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成パラメータを生成する工程であって、各下位レベル鍵生成パラメータは少なくともその対応する前記下位レベル秘密鍵ジェネレータにおける前記下位レベル鍵生成シークレットを使用して生成される、という工程と、
    前記送信機の親である前記下位レベル秘密鍵ジェネレータが、送信機秘密鍵を、少なくとも、送信機同一性情報と、前記ルート鍵生成シークレットと、前記ルート秘密鍵ジェネレータ前記送信機との間のm個の前記秘密鍵ジェネレータに関連付けられたm個の前記下位レベル鍵生成シークレットのうちの1または複数と、に関連付けられるように生成する工程と、
    前記受信機の親である前記下位レベル秘密鍵ジェネレータが、受信機秘密鍵を、少なくとも、受信機同一性情報と、前記ルート鍵生成シークレットと、前記ルート秘密鍵ジェネレータ前記受信機との間の階層中にあるn個の前記下位レベル秘密鍵ジェネレータに関連付けられたn個の前記下位レベル鍵生成シークレットのうちの1または複数と、に関連付けられるように生成する工程と、
    前記送信機が、少なくとも、前記受信機同一性情報と、前記送信機秘密鍵と、前記ルート秘密鍵ジェネレータ前記送信機との間にあり且つ共通の前記先祖秘密鍵ジェネレータ のレベルまたはそれよりも下のレベルにある(m−l+1)個の前記秘密鍵ジェネレータに関連付けられるゼロまたはそれ以上の前記下位レベル鍵生成パラメータと、を使用して、共通の前記先祖秘密鍵ジェネレータ よりも上の(l−1)個の前記秘密鍵ジェネレータに関連付けられた前記下位レベル鍵生成パラメータを全く使用しないで、前記デジタルメッセージをエンコードする工程と、
    前記受信機が、少なくとも、前記受信機秘密鍵と、前記ルート秘密鍵ジェネレータ前記受信機との間にあり且つ最下位の共通の前記先祖秘密鍵ジェネレータ のレベルまたはそれよりも下のレベルにある(n−l+1)個の前記秘密鍵ジェネレータに関連付けられるゼロまたはそれ以上の下位レベル鍵生成パラメータと、を使用して、共通の前記先祖秘密鍵ジェネレータ よりも上の(l−1)個の前記秘密鍵ジェネレータに関連付けられた下位レベル鍵生成パラメータを全く使用しないで、前記暗号をデコードする工程と、
    を備えたことを特徴とする方法。
  7. 前記デジタルメッセージをエンコードする前記工程は、前記ルート秘密鍵ジェネレータ前記送信機との間にあり且つ共通の前記先祖秘密鍵ジェネレータ のレベルまたはそれよりも下のレベルにある(m−l+1)個の前記秘密鍵ジェネレータに関連付けられた1または複数の前記下位レベル鍵生成パラメータを使用する工程を更に含み、
    前記デジタルメッセージをデコードする前記工程は、前記ルート秘密鍵ジェネレータ前記受信機との間にあり且つ最下位の共通の前記先祖秘密鍵ジェネレータ のレベルまたはそれよりも下のレベルにある(n−l+1)個の前記秘密鍵ジェネレータに関連付けられた1または複数の前記下位レベル鍵生成パラメータを使用する工程を更に含むことを特徴とする請求項6に記載の前記デジタルメッセージをエンコードおよびデコードする方法。
  8. 前記デジタルメッセージをエンコードする前記工程は、前記ルート秘密鍵ジェネレータ前記送信機との間にあり且つ共通の前記先祖秘密鍵ジェネレータ のレベルまたはそれよりも下のレベルにある(m−l+1)個の前記秘密鍵ジェネレータに関連付けられた1または複数の前記下位レベル鍵生成パラメータを使用する工程を更に含み、
    前記デジタルメッセージをデコードする前記工程は、前記ルート秘密鍵ジェネレータ前記受信機との間にあり且つ最下位の共通の前記先祖秘密鍵ジェネレータ のレベルまたはそれよりも下のレベルにある(n−l+1)個の前記秘密鍵ジェネレータに関連付けられたゼロ個の前記下位レベル鍵生成パラメータを使用する工程を更に含むことを特徴とする請求項6に記載の前記デジタルメッセージをエンコードおよびデコードする方法。
  9. 前記デジタルメッセージをエンコードする前記工程は、前記ルート秘密鍵ジェネレータ前記送信機との間にあり且つ共通の前記先祖秘密鍵ジェネレータ のレベルまたはそれよりも下のレベルにある(m−l+1)個の前記秘密鍵ジェネレータに関連付けられたゼロ個の前記下位レベル鍵生成パラメータを使用する工程を更に含み、
    前記デジタルメッセージをデコードする前記工程は、前記ルート秘密鍵ジェネレータ前記受信機との間にあり且つ最下位の共通の前記先祖秘密鍵ジェネレータ のレベルまたはそれよりも下のレベルにある(n−l+1)個の前記秘密鍵ジェネレータに関連付けられた1または複数の前記下位レベル鍵生成パラメータを使用する工程を更に含むことを特徴とする請求項6に記載の前記デジタルメッセージをエンコードおよびデコードする方法。
  10. 前記ルート秘密鍵ジェネレータ前記送信機との間にあり且つ共通の前記先祖秘密鍵ジェネレータ のレベルまたはそれよりも下のレベルにある(m−l+1)個の前記秘密鍵ジェネレータに関連付けられた全ての前記下位レベル鍵生成パラメータを使用して、前記デジタルメッセージがエンコードされることを特徴とする請求項6に記載の前記デジタルメッセージをエンコードおよびデコードする方法。
  11. 前記ルート秘密鍵ジェネレータ前記受信機との間にあり且つ共通の前記先祖秘密鍵ジェネレータ のレベルまたはそれよりも下のレベルにある(n−l+1)個の前記秘密鍵ジェネレータに関連付けられた全ての前記下位レベル鍵生成パラメータを使用して、前記デジタルメッセージがデコードされることを特徴とする請求項6に記載の前記デジタルメッセージをエンコードおよびデコードする方法。
  12. 送信機受信機との間でデジタルメッセージのデジタル署名を生成して検証する方法であって、前記複数の秘密鍵ジェネレータを含む階層型システムにおいて前記送信機がルート秘密鍵ジェネレータよりも(m+1)レベル下にあり、前記複数の秘密鍵ジェネレータは、少なくとも、前記ルート秘密鍵ジェネレータと、前記ルート秘密鍵ジェネレータ前記送信機との間の階層中にあるm個の下位レベル秘密鍵ジェネレータと、を含んでおり、m≧1である方法において、
    前記ルート秘密鍵ジェネレータが、前記ルート秘密鍵ジェネレータだけに知られるルート鍵生成シークレットを選択する工程と、
    前記ルート秘密鍵ジェネレータが、前記ルート鍵生成シークレットに基づいてルート鍵生成パラメータを生成する工程と、
    m個の前記下位レベル秘密鍵ジェネレータが、m個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成シークレットを選択する工程であって、各下位レベル鍵生成シークレットはその対応する前記下位レベル秘密鍵ジェネレータだけに知られる、という工程と、
    m個の前記下位レベル秘密鍵ジェネレータが、m個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成パラメータを生成する工程であって、各下位レベル鍵生成パラメータは少なくともその対応する前記下位レベル秘密鍵ジェネレータにおける下位レベル鍵生成シークレットを使用して生成される、という工程と、
    前記下位レベル秘密鍵ジェネレータが、前記送信機のための送信機秘密鍵を、少なくとも、送信機同一性情報と、前記ルート鍵生成シークレットと、前記ルート秘密鍵ジェネレータ前記送信機との間の階層中にあるm個の前記下位レベル秘密鍵ジェネレータに関連付けられたm個の前期下位レベル鍵生成シークレットのうちの1または複数と、に関連付けられるように生成する工程と、
    前記送信機が、少なくとも前記送信機秘密鍵を使用することにより、前記デジタルメッセージに署名をして前記デジタル署名を生成する工程と、
    前記受信機が、少なくとも前記ルート鍵生成パラメータおよび前記送信機同一性情報を使用して、前記デジタル署名を検証する工程とを備えたことを特徴とする方法。
  13. 前記デジタル署名を検証するために、1または複数の前記下位レベル鍵生成パラメータも使用されることを特徴とする請求項12に記載の前記デジタル署名を生成して検証する方法。
  14. 複数の秘密鍵ジェネレータを含むシステム中のあるエンティティのための秘密鍵を生成する方法であって、前記複数の秘密鍵ジェネレータは、少なくとも、1つのルート秘密鍵ジェネレータと、前記ルート秘密鍵ジェネレータと前記エンティティとの間の階層中にあるn個の下位レベル秘密鍵ジェネレータと、を含んでおり、n≧1である方法において、
    前記ルート秘密鍵ジェネレータが、前記ルート秘密鍵ジェネレータだけに知られるルート鍵生成シークレットを選択する工程と、
    前記ルート秘密鍵ジェネレータが、前記ルート鍵生成シークレットに基づいてルート鍵生成パラメータを生成する工程と、
    n個の前記下位レベル秘密鍵ジェネレータが、n個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成シークレットを選択する工程であって、各下位レベル鍵生成シークレットはその対応する前記下位レベル秘密鍵ジェネレータだけに知られる、という工程と、
    n個の前記下位レベル秘密鍵ジェネレータが、n個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成パラメータを生成する工程であって、各下位レベル鍵生成パラメータは少なくともその対応する前記下位レベル秘密鍵ジェネレータにおける前記下位レベル鍵生成シークレットを使用して生成される、という工程と、
    前記下位レベル秘密鍵ジェネレータが、前記エンティティのための秘密鍵を、少なくとも、前記エンティティに関連付けられた同一性情報と、前記ルート鍵生成シークレットと、前記ルート秘密鍵ジェネレータ前記エンティティとの間の階層中にあるn個の前記下位レベル秘密鍵ジェネレータに関連付けられたn個の前記下位レベル鍵生成シークレットのうちの1または複数と、に関連付けられるように生成する工程と、
    前記下位レベル秘密鍵ジェネレータが、前記秘密鍵を前記エンティティに与える工程と、を含んでいる方法。
  15. システム中の受信機のための秘密鍵を生成する方法であって、階層中において前記受信機はルート秘密鍵ジェネレータよりも(n+1)レベル下にあり、前記受信機は、前記受信機に関連付けられた同一性情報IDz(n+1)と、前記ルート秘密鍵ジェネレータ前記受信機との間の階層中にあるn個の下位レベル秘密鍵ジェネレータの各々に関連付けられた同一性情報IDziと、を有する受信機ID−タプル(IDz1,...,IDz(n+1))に関連付けられた方法において、
    前記ルート秘密鍵ジェネレータと前記下位レベル秘密鍵ジェネレータとの何れかである秘密鍵ジェネレータが、複数の要素から成る第1の循環群Γと、複数の要素から成る第2の循環群Γと、を生成する工程と、
    前記秘密鍵ジェネレータが、前記第1の循環群Γの2つの要素から前記第2の循環群Γの1つの要素を生成することができる
    Figure 0004405810
    を選択する工程と、
    前記秘密鍵ジェネレータが、前記第1の循環群ΓのルートジェネレータPを選択する工程と、
    前記秘密鍵ジェネレータが、前記ルート秘密鍵ジェネレータに関連付けられ且つ前記ルート秘密鍵ジェネレータだけに知られたランダムルート鍵生成シークレットsを選択する工程と、
    前記秘密鍵ジェネレータが、ルート鍵生成パラメータQ=sを生成する工程と、
    前記秘密鍵ジェネレータが、第1の二進数字列から前記第1の循環群Γの1つの要素を生成することができるファンクションHを選択する工程と、
    前記秘密鍵ジェネレータが、n個の前記下位レベル秘密鍵ジェネレータの各々に、パブリック要素Pzi=H(ID,...,IDzi)(1≦i≦n)を生成する工程と、
    前記秘密鍵ジェネレータが、n個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成シークレットsziを選択する工程であって、各下位レベル鍵生成シークレットsziは、その対応する前記下位レベル秘密鍵ジェネレータだけに知られる、という工程と、
    前記秘密鍵ジェネレータが、n個の前記下位レベル秘密鍵ジェネレータの各々に下位レベルシークレット要素Sziを生成する工程であって、Szi=Sz(i−1)+sz(i−1)zi(1≦i≦n)であり、sz0=sであり、Sz0がゼロであるように規定される工程と、
    前記秘密鍵ジェネレータが、n個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成パラメータQzi=szi(1≦i≦n)を生成する工程と、
    前記秘密鍵ジェネレータが、前記受信機に関連付けられた受信機パブリック要素Pz(n+1)=H(IDz1,...,IDz(n+1))を生成する工程であって、Pz(n+1)前記第1の循環群Γの1つの要素である、という工程と、
    前記秘密鍵ジェネレータが、前記受信機に関連付けられた受信機秘密鍵
    Figure 0004405810
    を生成する工程と、
    を備えたことを特徴とする方法。
  16. 前記第1の循環群Γおよび前記第2の循環群Γの両者が、同じプライムオーダーqから成ることを特徴とする請求項15に記載の前記秘密鍵を生成する方法。
  17. 前記第1の循環群Γは、超特異な楕円曲線またはアーベル多様体上の複数の点から成る付加的な群であり、
    前記第2の循環群Γは、有限領域の乗法群である
    ことを特徴とする請求項15に記載の前記秘密鍵を生成する方法。
  18. 前記
    Figure 0004405810
    が許容できるペアリングであることを特徴とする請求項15に記載の秘密鍵を生成する方法。
  19. が循環群Z/qZの要素であり、
    前記第1の循環群Γの要素であり、
    各パブリック要素Pzi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成シークレットszi前記循環群Z/qZの要素であり、
    各シークレット要素Szi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成パラメータQzi前記第1の循環群Γの要素であり、
    受信機パブリック要素Pz(n+1)前記第1の循環群Γの要素であり、
    受信機秘密鍵Sz(n+1)前記第1の循環群Γの要素であることを特徴とする請求項15に記載の前記秘密鍵を生成する方法。
  20. 送信機受信機との間で通信されるデジタルメッセージMをエンコードおよびデコードする方法であって、階層型システムにおいて前記受信機はルート秘密鍵ジェネレータよりも(n+1)レベル下にあり、前記受信機は、前記受信機に関連付けられた同一性情報IDz(n+1)と、前記ルート秘密鍵ジェネレータ前記受信機との間の階層中にあるn個の下位レベル秘密鍵ジェネレータの各々に関連付けられた同一性情報IDziと、を有する受信機ID−タプル(IDz1,...,IDz(n+1))に関連付けられた方法において、
    前記ルート秘密鍵ジェネレータと前記下位レベル秘密鍵ジェネレータとの何れかである秘密鍵ジェネレータが、複数の要素から成る第1の循環群Γと、複数の要素から成る第2の循環群Γと、を生成する工程と、
    前記秘密鍵ジェネレータが、前記第1の循環群Γの2つの要素から前記第2の循環群Γの1つの要素を生成することができる
    Figure 0004405810
    を選択する工程と、
    前記秘密鍵ジェネレータが、前記第1の循環群ΓのルートジェネレータPを選択する工程と、
    前記秘密鍵ジェネレータが、前記ルート秘密鍵ジェネレータに関連付けられ且つ前記ルート秘密鍵ジェネレータだけに知られたランダムルート鍵生成シークレットsを選択する工程と、
    前記秘密鍵ジェネレータが、ルート鍵生成パラメータQ=sを生成する工程と、
    前記秘密鍵ジェネレータが、第1の二進数字列から前記第1の循環群Γの1つの要素を生成することができる第1のファンクションHを選択する工程と、
    前記秘密鍵ジェネレータが、前記第2の循環群Γの1つの要素から第2の二進数字列を生成することができる第2のファンクションHを選択する工程と、
    前記秘密鍵ジェネレータが、n個の前記下位レベル秘密鍵ジェネレータの各々に、パブリック要素Pzi=H(ID,...,IDzi)(1≦i≦n)を生成する工程と、
    前記秘密鍵ジェネレータが、n個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成シークレットsziを選択する工程であって、各下位レベル鍵生成シークレットsziはその対応する前記下位レベル秘密鍵ジェネレータだけに知られる、という工程と、
    前記秘密鍵ジェネレータが、n個の前記下位レベル秘密鍵ジェネレータの各々に下位レベルシークレット要素Sziを生成する工程であって、Szi=Sz(i−1)+sz(i−1)zi(1≦i≦n)であり、sz0=sであり、Sz0がゼロであるように規定される工程と、
    前記秘密鍵ジェネレータが、n個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成パラメータQzi=szi(1≦i≦n)を生成する工程と、
    前記秘密鍵ジェネレータが、前記受信機に関連付けられた受信機パブリック要素Pz(n+1)=H(IDz1,...,IDz(n+1))を生成する工程と、
    前記秘密鍵ジェネレータが、前記受信機に関連付けられた受信機シークレット要素
    Figure 0004405810
    を生成する工程と、
    前記送信機が、少なくとも受信機ID−タプル(ID,...,IDzi)およびルート鍵生成パラメータQを使用することにより、前記デジタルメッセージMをエンコードして暗号文Cを生成する工程と、
    前記受信機が、少なくとも受信機シークレット要素Sz(n+1)を使用することにより、前記暗号文Cをデコードして前記デジタルメッセージMを復元する工程と、
    を備えたことを特徴とする方法。
  21. 前記第1の循環群Γおよび前記第2の循環群Γの両者が、同じプライムオーダーqから成ることを特徴とする請求項20に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  22. 前記第1の循環群Γは、超特異な楕円曲線またはアーベル多様体上の複数の点から成る付加的な群であり、
    前記第2の循環群Γは、有限領域の乗法群である
    ことを特徴とする請求項20に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  23. 前記
    Figure 0004405810
    は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項20に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  24. が循環群Z/qZの要素であり、
    前記第1の循環群Γの要素であり、
    各パブリック要素Pziが第1の前記循環群Γの要素であり、
    各下位レベル鍵生成シークレットszi前記循環群Z/qZの要素であり
    各シークレット要素Szi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成パラメータQzi前記第1の循環群Γの要素であり、
    受信機パブリック要素Pz(n+1)前記第1の循環群Γの要素であり、
    受信機シークレット要素Sz(n+1)前記第1の循環群Γの要素であることを特徴とする請求項20に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  25. 前記デジタルメッセージMをエンコードする前記工程は、
    ランダムパラメータrを選択する工程と、
    前記暗号文C=[U,U,....,Un+1,V]を生成する工程であって、U=rPzi(i=0および2≦i≦n+1)であり、
    Figure 0004405810
    であり、
    Figure 0004405810
    である工程と、を更に含み、
    前記暗号文Cをデコードする前記工程は、
    Figure 0004405810
    を使用して前記デジタルメッセージMを復元する工程を更に含むことを特徴とする請求項20に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  26. 前記第1の循環群Γおよび前記第2の循環群Γの両者が、同じプライムオーダーqから成ることを特徴とする請求項25に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  27. 前記第1の循環群Γは、超特異な楕円曲線またはアーベル多様体上の複数の点から成る付加的な群であり、
    前記第2の循環群Γは、有限領域の乗法群である
    ことを特徴とする請求項25に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  28. 前記
    Figure 0004405810
    は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項25に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  29. が循環群Z/qZの要素であり、
    が第1の前記循環群Γの要素であり、
    各パブリック要素Pzi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成シークレットszi前記循環群Z/qZの要素であり
    各シークレット要素Szi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成パラメータQzi前記第1の循環群Γの要素であり、
    受信機パブリック要素Pz(n+1)前記第1の循環群Γの要素であり、
    受信機シークレット要素Sz(n+1)前記第1の循環群Γの要素であり、
    rが前記循環群Z/qZの要素であり、
    gが前記第2の循環群Γの要素である
    ことを特徴とする請求項25に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  30. 前記秘密鍵ジェネレータが、第3の二進数字列から循環群Z/qZの整数を生成することができる第3のファンクションHを選択する工程と、
    前記秘密鍵ジェネレータが、第5の二進数字列から第4の二進数字列を生成することができる第4のファンクションHを選択する工程と、を更に備え、
    前記デジタルメッセージMをエンコードする前記工程は、
    ランダム二進数字列σを選択する工程と、
    対称暗号化スキームEを選択する工程と、
    ランダム整数r=H(σ,M,W)を生成する工程であって、
    Figure 0004405810
    である工程と、
    前記暗号文C=[U,U,....,Un+1,V,W]を生成する工程であって、U=rPzi(i=0および2≦i≦n+1)であり、
    Figure 0004405810
    であり、
    Figure 0004405810
    である工程と、を更に含み、
    前記暗号文Cをデコードする前記工程は、
    Figure 0004405810
    を使用してランダム二進数字列σを復元する工程と、
    Figure 0004405810
    を使用して前記デジタルメッセージMを復元する工程と、を更に含むことを特徴とする請求項20に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  31. 前記第1の循環群Γおよび前記第2の循環群Γの両者が、同じプライムオーダーqから成ることを特徴とする請求項30に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  32. 前記第1の循環群Γは、超特異な楕円曲線またはアーベル多様体上の複数の点から成る付加的な群であり、
    前記第2の循環群Γは、有限領域の乗法群である
    ことを特徴とする請求項30に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  33. 前記
    Figure 0004405810
    は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項30に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  34. 試験的なランダム整数r'=H(σ,M,W)を演算し、U=r'PおよびU=r'Pzi(2≦i≦n+1)を確認することによって、前記暗号文Cの内部整合性を確認する工程を更に含んでいることを特徴とする請求項30に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  35. が循環群Z/qZの要素であり、
    前記第1の循環群Γの要素であり、
    各パブリック要素Pzi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成シークレットszi前記循環群Z/qZの要素であり 各シークレット要素Szi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成パラメータQzi前記第1の循環群Γの要素であり、
    受信機パブリック要素Pz(n+1)前記第1の循環群Γの要素であり、
    受信機シークレット要素Sz(n+1)前記第1の循環群Γの要素であり、
    rが前記循環群Z/qZの要素であり、
    gが前記第2の循環群Γの要素である
    ことを特徴とする請求項30に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  36. 複数の秘密鍵ジェネレータを含むシステムにおいて送信機受信機との間でデジタルメッセージMをエンコードおよびデコードする方法であって、前記複数の秘密鍵ジェネレータは、ルート秘密鍵ジェネレータ前記送信機との間の階層中にあるm個の下位レベル秘密鍵ジェネレータと、前記ルート秘密鍵ジェネレータ前記受信機との間の階層中にあるn個の前記下位レベル秘密鍵ジェネレータと、を含んでおり、m≧1であり、n≧1であり、階層中の前記複数の秘密鍵ジェネレータのうちの少なくともl個は、前記送信機および前記受信機の両方に共通の先祖であり、l≧1であり、秘密鍵ジェネレータ は、前記送信機および前記受信機の両方に共通の先祖秘密鍵ジェネレータであり、前記送信機は、前記送信機に関連付けられた同一性情報IDy(m+1)と、前記ルート秘密鍵ジェネレータ前記送信機との間の階層中にあるm個の前記下位レベル秘密鍵ジェネレータの各々に関連付けられた同一性情報IDyiと、を有する送信機ID−タプル(IDy1,...,IDy(m+1))に関連付けられ、前記受信機は、前記受信機に関連付けられた同一性情報IDz(n+1)と、前記ルート秘密鍵ジェネレータ前記受信機との間の階層中にあるn個の前記下位レベル秘密鍵ジェネレータの各々に関連付けられた同一性情報IDziと、を有する受信機ID−タプル(IDz1,...,IDz(n+1))に関連付けられた方法において、
    前記ルート秘密鍵ジェネレータと前記下位レベル秘密鍵ジェネレータとの何れかである秘密鍵ジェネレータが、複数の要素から成る第1の循環群Γと、複数の要素から成る第2の循環群Γと、を生成する工程と、
    前記秘密鍵ジェネレータが、前記第1の循環群Γの2つの要素から前記第2の循環群Γの1つの要素を生成することができる
    Figure 0004405810
    を選択する工程と、
    前記秘密鍵ジェネレータが、前記第1の循環群ΓのルートジェネレータPを選択する工程と、
    前記秘密鍵ジェネレータが、前記ルート秘密鍵ジェネレータに関連付けられ且つ前記ルート秘密鍵ジェネレータだけに知られたランダムルート鍵生成シークレットsを選択する工程と、
    前記秘密鍵ジェネレータが、ルート鍵生成パラメータQ=sを生成する工程と、
    前記秘密鍵ジェネレータが、第1の二進数字列から前記第1の循環群Γの1つの要素を生成することができる第1のファンクションHを選択する工程と、
    前記秘密鍵ジェネレータが、前記第2の循環群Γの1つの要素から第2の二進数字列を生成することができる第2のファンクションHを選択する工程と、
    前記秘密鍵ジェネレータが、m個の前記下位レベル秘密鍵ジェネレータの各々に、パブリック要素Pyi=H(IDy1,...,IDyi)(1≦i≦m)を生成する工程であって、全てのi(≦l)においてPyi=Pziである工程と、
    前記秘密鍵ジェネレータが、n個の前記下位レベル秘密鍵ジェネレータの各々に、パブリック要素Pzi=H(ID,...,IDzi)(1≦i≦n)を生成する工程と、
    前記秘密鍵ジェネレータが、m個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成シークレットsyiを選択する工程であって、全てのi(≦l)においてsyi=sziである工程と、
    前記秘密鍵ジェネレータが、n個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成シークレットsziを選択する工程であって、各下位レベル鍵生成シークレットsziはその対応する前記下位レベル秘密鍵ジェネレータだけに知られる、という工程と、
    前記秘密鍵ジェネレータが、m個の前記下位レベル秘密鍵ジェネレータの各々に下位レベルシークレット要素Syiを生成する工程であって、Syi=Sy(i−1)+sy(i−1)yi(1≦i≦m)であり、全てのi(≦l)においてSyi=Sziである工程と、
    前記秘密鍵ジェネレータが、n個の前記下位レベル秘密鍵ジェネレータの各々に下位レベルシークレット要素Sziを生成する工程であって、Szi=Sz(i−1)+sz(i−1)zi(1≦i≦n)であり、sz0=sであり、Sz0がゼロであるように規定される工程と、
    前記秘密鍵ジェネレータが、m個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成パラメータQyi=syi(1≦i≦m)を生成する工程であって、全てのi(≦l)においてQyi=Qziである工程と、
    前記秘密鍵ジェネレータが、n個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成パラメータQzi=szi(1≦i≦n)を生成する工程と、
    前記秘密鍵ジェネレータが、前記送信機に関連付けられた送信機パブリック要素Py(m+1)=H(IDy1,...,IDy(m+1))を生成する工程と、
    前記秘密鍵ジェネレータが、前記受信機に関連付けられた受信機パブリック要素Pz(n+1)=H(IDz1,...,IDz(n+1))を生成する工程と、
    前記秘密鍵ジェネレータが、前記送信機に関連付けられた送信機シークレット要素
    Figure 0004405810
    を生成する工程と、
    前記秘密鍵ジェネレータが、前記受信機に関連付けられた受信機シークレット要素
    Figure 0004405810
    を生成する工程と、
    前記送信機が、i<lの下位レベル鍵生成パラメータQyiを使用することなく、少なくともl<i≦mの下位レベル鍵生成パラメータQyiおよび送信機シークレット要素Sy(m+1)を使用することにより、メッセージMをエンコードして暗号文Cを生成する工程と、
    前記受信機が、i<lの下位レベル鍵生成パラメータQziを使用することなく、少なくともl<i≦nの下位レベル鍵生成パラメータQziおよび受信機シークレット要素Sz(n+1)を使用することにより、前記暗号文Cをデコードして前記デジタルメッセージMを復元する工程と、を含んでいる、ことを特徴とする方法。
  37. 前記デジタルメッセージMをエンコードする前記工程は、下位レベル鍵生成パラメータQylを使用する工程を更に含んでいることを特徴とする請求項36に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  38. 前記デジタルメッセージMをデコードする前記工程は、下位レベル鍵生成パラメータQzlを使用する工程を更に含んでいることを特徴とする請求項36に記載のデジタルメッセージMをエンコードおよびデコードする方法。
  39. 前記第1の循環群Γおよび前記第2の循環群Γの両者が、同じプライムオーダーqから成ることを特徴とする請求項36に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  40. 前記第1の循環群Γは、超特異な楕円曲線またはアーベル多様体上の複数の点から成る付加的な群であり、
    前記第2の循環群Γは、有限領域の乗法群である
    ことを特徴とする請求項36に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  41. 前記ファンクション
    Figure 0004405810
    は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項36に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  42. が循環群Z/qZの要素であり、
    前記第1の循環群Γの要素であり、
    各パブリック要素Pzi前記第1の循環群Γの要素であり、
    各パブリック要素Pyi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成シークレットszi前記循環群Z/qZの要素であり
    各下位レベル鍵生成シークレットsyi前記循環群Z/qZの要素であり 各シークレット要素Szi前記第1の循環群Γの要素であり、
    各シークレット要素Syi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成パラメータQzi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成パラメータQyi前記第1の循環群Γの要素であり、
    受信機パブリック要素Pz(n+1)前記第1の循環群Γの要素であり、
    送信機パブリック要素Py(m+1)前記第1の循環群Γの要素であり、
    受信機シークレット要素Sz(n+1)前記第1の循環群Γの要素であり、
    送信機シークレット要素Sy(m+1)前記第1の循環群Γの要素であり、
    rが前記循環群Z/qZの要素であり、
    gが前記第2の循環群Γの要素である
    ことを特徴とする請求項36に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  43. 前記デジタルメッセージMをエンコードする前記工程は、
    ランダムパラメータrを選択する工程と、
    前記デジタルメッセージMをエンコードして前記暗号文C=[U,Ul+1,....,Un+1,V]を生成する工程であって、U=rPであり、U=rPzi(l+1≦i≦n+1)であり、
    Figure 0004405810
    であり、
    Figure 0004405810
    である工程と、を更に含み、
    前記暗号文Cをデコードする前記工程は、
    Figure 0004405810
    を使用して前記デジタルメッセージMを復元する工程を更に含むことを特徴とする請求項36に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  44. 前記第1の循環群Γおよび前記第2の循環群Γの両者が、同じプライムオーダーqから成ることを特徴とする請求項43に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  45. 前記第1の循環群Γは、超特異な楕円曲線またはアーベル多様体上の複数の点から成る付加的な群であり、
    前記第2の循環群Γは、有限領域の乗法群である
    ことを特徴とする請求項43に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  46. 前記ファンクション
    Figure 0004405810
    は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項43に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  47. が循環群Z/qZの要素であり、
    前記第1の循環群Γの要素であり、
    各パブリック要素Pzi前記第1の循環群Γの要素であり、
    各パブリック要素Pyi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成シークレットszi前記循環群Z/qZの要素であり
    各下位レベル鍵生成シークレットsyi前記循環群Z/qZの要素であり
    各シークレット要素Szi前記第1の循環群Γの要素であり、
    各シークレット要素Syi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成パラメータQzi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成パラメータQyi前記第1の循環群Γの要素であり、
    受信機パブリック要素Pz(n+1)前記第1の循環群Γの要素であり、
    送信機パブリック要素Py(m+1)前記第1の循環群Γの要素であり、
    受信機シークレット要素Sz(n+1)前記第1の循環群Γの要素であり、
    送信機シークレット要素Sy(m+1)前記第1の循環群Γの要素であり、
    rが前記循環群Z/qZの要素であり、
    gが前記第2の循環群Γの要素である
    ことを特徴とする請求項43に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  48. 前記デジタルメッセージMをエンコードする前記工程は、
    ランダムパラメータrを選択する工程と、
    前記デジタルメッセージMをエンコードして前記暗号文C=[U,Ul+1,....,Un+1,V]を生成する工程であって、U=rPであり、Ul+1=r(Py(l+1)−Pz(l+1))であり、U=rPzi(l+2≦i≦n)であり、
    Figure 0004405810
    であり、
    Figure 0004405810
    である工程と、を更に含み、
    前記暗号文Cをデコードする前記工程は、
    Figure 0004405810
    を使用して前記デジタルメッセージMを復元する工程を更に含むことを特徴とする請求項36に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  49. 前記デジタルメッセージMをエンコードする前記工程は、
    ランダムパラメータrを選択する工程と、
    前記デジタルメッセージMをエンコードして前記暗号文C=[U,Ul+2,....,U,V]を生成する工程であって、U=rPであり、U=rPzi(l+2≦i≦n)であり、
    Figure 0004405810
    であり、
    Figure 0004405810
    である工程と、を更に含み、
    前記暗号文Cをデコードする前記工程は、
    Figure 0004405810
    を使用して前記デジタルメッセージMを復元する工程を更に含むことを特徴とする請求項36に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  50. 前記秘密鍵ジェネレータが、第3の二進数字列から循環群Z/qZの整数を生成することができる第3のファンクションHを選択する工程と、
    前記秘密鍵ジェネレータが、第5の二進数字列から第4の二進数字列を生成することができる第4のファンクションHを選択する工程と、を更に備え、
    前記デジタルメッセージMをエンコードする前記工程は、
    ランダム二進数字列σを選択する工程と、
    ランダム整数r=H(σ,M,W)を演算する工程であって、
    Figure 0004405810
    である工程と、
    前記暗号文C=[U,Ul+1,....,Un+1,V,W]を生成する工程であって、U=rPzi(i=0およびl+1≦i≦n+1)であり、
    Figure 0004405810
    であり、
    Figure 0004405810
    である工程と、を更に含み、
    前記暗号文Cをデコードする前記工程は、
    Figure 0004405810
    を使用してランダム二進数字列σを復元する工程と、
    Figure 0004405810
    を使用して前記デジタルメッセージMを復元する工程と、を更に含むことを特徴とする請求項36に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  51. 前記第1の循環群Γおよび前記第2の循環群Γの両者が、同じプライムオーダーqから成ることを特徴とする請求項49に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  52. 前記第1の循環群Γは、超特異な楕円曲線またはアーベル多様体上の複数の点から成る付加的な群であり、
    前記第2の循環群Γは、有限領域の乗法群である
    ことを特徴とする請求項49に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  53. 前記ファンクション
    Figure 0004405810
    は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項49に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  54. が循環群Z/qZの要素であり、
    前記第1の循環群Γの要素であり、
    各パブリック要素Pzi前記第1の循環群Γの要素であり、
    各パブリック要素Pyi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成シークレットszi前記循環群Z/qZの要素であり
    各下位レベル鍵生成シークレットsyi前記循環群Z/qZの要素であり
    各シークレット要素Szi前記第1の循環群Γの要素であり、
    各シークレット要素Syi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成パラメータQzi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成パラメータQyi前記第1の循環群Γの要素であり、
    受信機パブリック要素Pz(n+1)前記第1の循環群Γの要素であり、
    送信機パブリック要素Py(m+1)前記第1の循環群Γの要素であり、
    受信機シークレット要素Sz(n+1)前記第1の循環群Γの要素であり、
    送信機シークレット要素Sy(m+1)前記第1の循環群Γの要素であり、
    rが前記循環群Z/qZの要素であり、
    gが前記第2の循環群Γの要素である
    ことを特徴とする請求項49に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  55. 前記受信機が、試験的なランダム整数r'=H(σ,M,W)を演算し、U=r'PおよびU=r'Pzi(l+1≦i≦n+1)であることを確認することによって、前記暗号文Cの内部整合性を確認する工程を更に含んでいることを特徴とする請求項49に記載の前記デジタルメッセージMをエンコードおよびデコードする方法。
  56. 送信機受信機との間で通信されるデジタルメッセージMのデジタル署名Sigを生成して検証する方法であって、階層型システムにおいて前記送信機がルート秘密鍵ジェネレータよりも(m+1)レベル下にあり、前記送信機は、前記送信機に関連付けられた同一性情報IDy(m+1)と、前記ルート秘密鍵ジェネレータ前記送信機との間の階層中にあるm個の下位レベル秘密鍵ジェネレータの各々に関連付けられた同一性情報IDyiと、を有する送信機ID−タプル(IDy1,...,IDy(m+1))に関連付けられている方法において、
    前記ルート秘密鍵ジェネレータと前記下位レベル秘密鍵ジェネレータとの何れかである秘密鍵ジェネレータが、複数の要素から成る第1の循環群Γと、複数の要素から成る第2の循環群Γと、を生成する工程と、
    前記秘密鍵ジェネレータが、前記第1の循環群Γの2つの要素から前記第2の循環群Γの1つの要素を生成することができる
    Figure 0004405810
    を選択する工程と、
    前記秘密鍵ジェネレータが、前記第1の循環群ΓのルートジェネレータPを選択する工程と、
    前記秘密鍵ジェネレータが、前記ルート秘密鍵ジェネレータに関連付けられ且つ前記ルート秘密鍵ジェネレータだけに知られたランダムルート鍵生成シークレットsを選択する工程と、
    前記秘密鍵ジェネレータが、ルート鍵生成パラメータQ=sを生成する工程と、
    前記秘密鍵ジェネレータが、第1の二進数字列から前記第1の循環群Γの1つの要素を生成することができる第1のファンクションHを選択する工程と、
    前記秘密鍵ジェネレータが、m個の前記下位レベル秘密鍵ジェネレータの各々に、パブリック要素Pyi=H(IDy1,...,IDyi)(1≦i≦m)を生成する工程と、
    前記秘密鍵ジェネレータが、m個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成シークレットsyiを選択する工程であって、各下位レベル鍵生成シークレットsyiはその対応する前記下位レベル秘密鍵ジェネレータだけに知られる、という工程と、
    前記秘密鍵ジェネレータが、m個の前記下位レベル秘密鍵ジェネレータの各々に下位レベルシークレット要素Syiを生成する工程であって、Syi=Sy(i−1)+sy(i−1)yi(1≦i≦m)である工程と、
    前記秘密鍵ジェネレータが、m個の前記下位レベル秘密鍵ジェネレータの各々に下位レベル鍵生成パラメータQyi=syi(1≦i≦m)を生成する工程と、
    前記秘密鍵ジェネレータが、前記送信機に関連付けられた送信機パブリック要素Py(m+1)=H(IDy1,...,IDy(m+1))を生成する工程と、
    前記秘密鍵ジェネレータが、前記送信機に関連付けられた送信機シークレット要素
    Figure 0004405810
    を生成する工程と、
    前記送信機が、少なくとも送信機シークレット要素Sy(m+1)を使用して、前記デジタルメッセージMに署名をしてデジタル署名Sigを生成する工程と、
    前記受信機が、少なくともルート鍵生成パラメータQおよび下位レベル鍵生成パラメータQyiを使用して、前記デジタル署名Sigを検証する工程と、
    を備えたことを特徴とする方法。
  57. 前記第1の循環群Γおよび前記第2の循環群Γの両者が、同じプライムオーダーqから成ることを特徴とする請求項56に記載の前記デジタル署名Sigを生成して検証する方法。
  58. 前記第1の循環群Γは、超特異な楕円曲線またはアーベル多様体上の複数の点から成る付加的な群であり、
    前記第2の循環群Γは、有限領域の乗法群である
    ことを特徴とする請求項56に記載の前記デジタル署名Sigを生成して検証する方法。
  59. 前記ファンクション
    Figure 0004405810
    は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項56に記載の前記デジタル署名Sigを生成して検証する方法。
  60. が循環群Z/qZの要素であり、
    前記第1の循環群Γの要素であり、
    各パブリック要素Pyi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成シークレットsyi前記循環群Z/qZの要素であり
    各シークレット要素Syi前記第1の循環群Γの要素であり、
    各下位レベル鍵生成パラメータQyi前記第1の循環群Γの要素であり、
    送信機パブリック要素Py(m+1)前記第1の循環群Γの要素であり、
    送信機シークレット要素Sy(m+1)前記第1の循環群Γの要素であることを特徴とする請求項56に記載の前記デジタル署名Sigを生成して検証する方法。
  61. 前記秘密鍵ジェネレータが、第2の二進数字列から前記第1の循環群Γの要素を生成することができる第2のファンクションHを選択する工程と、
    前記送信機が、前記送信機のための送信機鍵生成シークレットsy(m+1)を選択する工程であって、送信機鍵生成シークレットsy(m+1)前記送信機だけに知られる、という工程と、
    前記送信機が、前記送信機に関連付けられた送信機鍵生成パラメータQy(m+1)=sy(m+1)を生成する工程と、を更に含み、
    前記デジタルメッセージMに署名する前記工程は、
    メッセージ要素P=H(IDy1,....,IDy(m+1),M)を生成する工程であって、前記メッセージ要素P前記第1の循環群Γの要素である、という工程と、
    Sig=Sy(m+1)+sy(m+1)を使用して前記デジタル署名Sigを生成する工程と、を更に含み、
    前記デジタル署名Sigを検証する前記工程は、
    Figure 0004405810
    を確認する工程を更に含んでいることを特徴とする請求項56に記載の前記デジタル署名Sigを生成して検証する方法。
  62. 前記第1の循環群Γおよび前記第2の循環群Γの両者が、同じプライムオーダーqから成ることを特徴とする請求項61に記載の前記デジタル署名Sigを生成して検証する方法。
  63. 前記第1の循環群Γは、超特異な楕円曲線またはアーベル多様体上の複数の点から成る付加的な群であり、
    前記第2の循環群Γは、有限領域の乗法群である
    ことを特徴とする請求項61に記載の前記デジタル署名Sigを生成して検証する方法。
  64. 前記ファンクション
    Figure 0004405810
    は、バイリニアで、非縮退的で、効率的に演算できるペアリングであることを特徴とする請求項61に記載の前記デジタル署名Sigを生成して検証する方法。
  65. が循環群Z/qZの要素であり、
    前記第1の循環群Γの要素であり、
    各パブリック要素Pyi前記第1の循環群Γの要素であり、
    前記下位レベル鍵生成シークレットsyiおよび送信機鍵生成シークレットsy(m+ 1)の各々が前記循環群Z/qZの要素であり 各シークレット要素Syi前記第1の循環群Γの要素であり、
    前記下位レベル鍵生成パラメータQyiおよび送信機鍵生成パラメータQy(m+1)の各々が前記第1の循環群Γの要素であり、
    送信機パブリック要素Py(m+1)前記第1の循環群Γの要素であり、
    送信機シークレット要素Sy(m+1)前記第1の循環群Γの要素であることを特徴とする請求項61に記載の前記デジタル署名Sigを生成して検証する方法。
JP2003579369A 2002-03-21 2003-03-18 階層型の同一性に基づく暗号化および署名スキーム Expired - Lifetime JP4405810B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US36619602P 2002-03-21 2002-03-21
US36629202P 2002-03-21 2002-03-21
US10/384,328 US7349538B2 (en) 2002-03-21 2003-03-07 Hierarchical identity-based encryption and signature schemes
PCT/US2003/008010 WO2003081780A2 (en) 2002-03-21 2003-03-18 Hierarchical identity-based encryption and signature schemes

Publications (3)

Publication Number Publication Date
JP2005521323A JP2005521323A (ja) 2005-07-14
JP2005521323A5 JP2005521323A5 (ja) 2007-07-12
JP4405810B2 true JP4405810B2 (ja) 2010-01-27

Family

ID=28046523

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003579369A Expired - Lifetime JP4405810B2 (ja) 2002-03-21 2003-03-18 階層型の同一性に基づく暗号化および署名スキーム

Country Status (8)

Country Link
US (4) US7349538B2 (ja)
EP (3) EP2309671A3 (ja)
JP (1) JP4405810B2 (ja)
CN (1) CN1633774B (ja)
AT (1) ATE419690T1 (ja)
AU (1) AU2003214189A1 (ja)
DE (1) DE60325575D1 (ja)
WO (1) WO2003081780A2 (ja)

Families Citing this family (88)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7349538B2 (en) 2002-03-21 2008-03-25 Ntt Docomo Inc. Hierarchical identity-based encryption and signature schemes
EP2375628A2 (en) * 2002-04-15 2011-10-12 NTT DoCoMo, Inc. Signature schemes using bilinear mappings
GB0215524D0 (en) * 2002-07-05 2002-08-14 Hewlett Packard Co Method and apparatus for generating a cryptographic key
US20050089173A1 (en) * 2002-07-05 2005-04-28 Harrison Keith A. Trusted authority for identifier-based cryptography
GB0215590D0 (en) * 2002-07-05 2002-08-14 Hewlett Packard Co Method and apparatus for generating a cryptographic key
US7657748B2 (en) * 2002-08-28 2010-02-02 Ntt Docomo, Inc. Certificate-based encryption and public key infrastructure
US6886096B2 (en) * 2002-11-14 2005-04-26 Voltage Security, Inc. Identity-based encryption system
US7003117B2 (en) * 2003-02-05 2006-02-21 Voltage Security, Inc. Identity-based encryption system for secure data distribution
US8108678B1 (en) * 2003-02-10 2012-01-31 Voltage Security, Inc. Identity-based signcryption system
KR100507809B1 (ko) * 2003-03-19 2005-08-17 학교법인 한국정보통신학원 네트워크상에서의 겹선형쌍 디피-헬만 문제를 이용한 익명핑거프린팅 방법
GB2400699B (en) * 2003-04-17 2006-07-05 Hewlett Packard Development Co Security data provision method and apparatus and data recovery method and system
US7580521B1 (en) 2003-06-25 2009-08-25 Voltage Security, Inc. Identity-based-encryption system with hidden public key attributes
US7017181B2 (en) * 2003-06-25 2006-03-21 Voltage Security, Inc. Identity-based-encryption messaging system with public parameter host servers
US7103911B2 (en) * 2003-10-17 2006-09-05 Voltage Security, Inc. Identity-based-encryption system with district policy information
CN1902853B (zh) 2003-10-28 2012-10-03 塞尔蒂卡姆公司 一种公开密钥的可验证生成的方法和设备
US20050135610A1 (en) * 2003-11-01 2005-06-23 Liqun Chen Identifier-based signcryption
GB2416282B (en) * 2004-07-15 2007-05-16 Hewlett Packard Development Co Identifier-based signcryption with two trusted authorities
US7657037B2 (en) * 2004-09-20 2010-02-02 Pgp Corporation Apparatus and method for identity-based encryption within a conventional public-key infrastructure
US20060078790A1 (en) * 2004-10-05 2006-04-13 Polyplus Battery Company Solid electrolytes based on lithium hafnium phosphate for active metal anode protection
US7613193B2 (en) * 2005-02-04 2009-11-03 Nokia Corporation Apparatus, method and computer program product to reduce TCP flooding attacks while conserving wireless network bandwidth
JP2007004461A (ja) * 2005-06-23 2007-01-11 Nec Corp サービス提供システム、アウトソーシング業者装置、サービス提供方法およびプログラム
US20070050303A1 (en) * 2005-08-24 2007-03-01 Schroeder Dale W Biometric identification device
US7788484B2 (en) * 2005-11-30 2010-08-31 Microsoft Corporation Using hierarchical identity based cryptography for authenticating outbound mail
CN1859086B (zh) * 2005-12-31 2010-06-09 华为技术有限公司 一种内容分级访问控制系统和方法
GB2434947B (en) * 2006-02-02 2011-01-26 Identum Ltd Electronic data communication system
CN100542091C (zh) * 2006-07-07 2009-09-16 上海交通大学 一种基于身份的密钥生成方法及系统
US8670564B1 (en) 2006-08-14 2014-03-11 Key Holdings, LLC Data encryption system and method
US7900252B2 (en) * 2006-08-28 2011-03-01 Lenovo (Singapore) Pte. Ltd. Method and apparatus for managing shared passwords on a multi-user computer
US20080133905A1 (en) * 2006-11-30 2008-06-05 David Carroll Challener Apparatus, system, and method for remotely accessing a shared password
WO2008099831A1 (ja) * 2007-02-13 2008-08-21 Nec Corporation 鍵生成装置、鍵導出装置、暗号化装置、復号化装置、方法、及び、プログラム
EP1986146A1 (en) * 2007-04-27 2008-10-29 Gemplus Transaction method between two entities providing anonymity revocation for tree-based schemes without trusted party
US7890763B1 (en) * 2007-09-14 2011-02-15 The United States Of America As Represented By The Director, National Security Agency Method of identifying invalid digital signatures involving batch verification
WO2009110055A1 (ja) * 2008-03-03 2009-09-11 株式会社Pfu 画像処理システム、方法およびプログラム
CN101567784B (zh) * 2008-04-21 2016-03-30 华为数字技术(成都)有限公司 一种获取密钥的方法、系统和设备
US8656177B2 (en) * 2008-06-23 2014-02-18 Voltage Security, Inc. Identity-based-encryption system
US9425960B2 (en) * 2008-10-17 2016-08-23 Sap Se Searchable encryption for outsourcing data analytics
US8315395B2 (en) * 2008-12-10 2012-11-20 Oracle America, Inc. Nearly-stateless key escrow service
US8341427B2 (en) * 2009-02-16 2012-12-25 Microsoft Corporation Trusted cloud computing and services framework
US9165154B2 (en) * 2009-02-16 2015-10-20 Microsoft Technology Licensing, Llc Trusted cloud computing and services framework
US8837718B2 (en) * 2009-03-27 2014-09-16 Microsoft Corporation User-specified sharing of data via policy and/or inference from a hierarchical cryptographic store
CN102396178B (zh) * 2009-04-24 2014-12-10 日本电信电话株式会社 信息生成装置、方法
DE102009027268B3 (de) * 2009-06-29 2010-12-02 Bundesdruckerei Gmbh Verfahren zur Erzeugung eines Identifikators
WO2011016401A1 (ja) * 2009-08-03 2011-02-10 日本電信電話株式会社 関数暗号応用システム及び方法
JP2011082662A (ja) * 2009-10-05 2011-04-21 Mitsubishi Electric Corp 通信装置及び情報処理方法及びプログラム
CN101820626B (zh) * 2009-10-19 2013-04-10 兰州理工大学 基于无线mesh网络身份的无可信pkg的部分盲签名方法
US8488783B2 (en) * 2010-02-19 2013-07-16 Nokia Method and apparatus for applying recipient criteria in identity-based encryption
US8744085B2 (en) 2010-05-27 2014-06-03 South China University Of Technology (Scut) Hierarchical group key management approach based on linear geometry
US20120069995A1 (en) * 2010-09-22 2012-03-22 Seagate Technology Llc Controller chip with zeroizable root key
JP5693206B2 (ja) * 2010-12-22 2015-04-01 三菱電機株式会社 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
CN102123138B (zh) * 2011-01-04 2014-12-10 南京邮电大学 物联网中基于ons的安全加密方法
EP2667538A4 (en) * 2011-01-18 2017-08-16 Mitsubishi Electric Corporation Encryption system, encryption processing method for encryption system, encryption device, encryption program, decryption device, decryption program, setup device, setup program, key generation device, key generation program, key assignment device and key assignment program
JP5606351B2 (ja) * 2011-02-09 2014-10-15 三菱電機株式会社 暗号処理システム、鍵生成装置、暗号化装置、復号装置、鍵委譲装置、暗号処理方法及び暗号処理プログラム
WO2012141555A2 (en) * 2011-04-15 2012-10-18 Samsung Electronics Co., Ltd. Method and apparatus for providing machine-to-machine service
KR101301609B1 (ko) * 2012-05-31 2013-08-29 서울대학교산학협력단 비밀키 생성 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체
US10148285B1 (en) 2012-07-25 2018-12-04 Erich Schmitt Abstraction and de-abstraction of a digital data stream
JP5901803B2 (ja) * 2013-01-16 2016-04-13 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
US10795858B1 (en) 2014-02-18 2020-10-06 Erich Schmitt Universal abstraction and de-abstraction of a digital data stream
US9692759B1 (en) 2014-04-14 2017-06-27 Trend Micro Incorporated Control of cloud application access for enterprise customers
CN105207969A (zh) * 2014-06-10 2015-12-30 江苏大泰信息技术有限公司 一种应用于物联网低功耗环境下的轻量级流式加密方法
DE102014213454A1 (de) * 2014-07-10 2016-01-14 Siemens Aktiengesellschaft Verfahren und System zur Erkennung einer Manipulation von Datensätzen
US10333696B2 (en) 2015-01-12 2019-06-25 X-Prime, Inc. Systems and methods for implementing an efficient, scalable homomorphic transformation of encrypted data with minimal data expansion and improved processing efficiency
EP3248360B1 (en) 2015-01-19 2020-05-06 Inauth, Inc. Systems and methods for trusted path secure communication
FR3033466B1 (fr) * 2015-03-04 2017-02-17 Inria Inst Nat De Rech En Informatique Et En Automatique Dispositif et procede d'administration d'un serveur de sequestres numeriques
CN105024822B (zh) * 2015-07-13 2018-11-13 上海星地通讯工程研究所 来自多线性映射的基于身份加密方法
CN105049211B (zh) * 2015-07-13 2018-11-27 深圳康元智能科技有限公司 格上基于累积器的可撤销的基于身份的加密方法
CN105187202B (zh) * 2015-07-13 2018-12-21 重庆涔信科技有限公司 基于完全二叉树的可撤销的属性加密方法
CN105024821B (zh) * 2015-07-13 2018-10-30 广东恒睿科技有限公司 格上可撤销的基于身份的加密方法
FR3043482B1 (fr) * 2015-11-06 2018-09-21 Ingenico Group Procede d'enregistrement securise de donnees, dispositif et programme correspondants
CN105553654B (zh) * 2015-12-31 2019-09-03 广东信鉴信息科技有限公司 密钥信息处理方法和装置、密钥信息管理系统
CN105743646B (zh) * 2016-02-03 2019-05-10 四川长虹电器股份有限公司 一种基于身份的加密方法及系统
US10050946B2 (en) * 2016-06-17 2018-08-14 The Boeing Company Secured data transmission using identity-based cryptography
JP6721832B2 (ja) * 2016-08-24 2020-07-15 富士通株式会社 データ変換プログラム、データ変換装置及びデータ変換方法
CN106453052B (zh) * 2016-10-14 2020-06-19 北京小米移动软件有限公司 消息交互方法及装置
CN108011715B (zh) * 2016-10-31 2021-03-23 华为技术有限公司 一种密钥的分发方法、相关设备和系统
CN106911704B (zh) * 2017-03-13 2020-10-09 北京轻信科技有限公司 一种基于区块链的加密解密方法
US11128452B2 (en) * 2017-03-25 2021-09-21 AVAST Software s.r.o. Encrypted data sharing with a hierarchical key structure
US10411891B2 (en) * 2017-06-28 2019-09-10 Nxp B.V. Distance-revealing encryption
CN109218016B (zh) * 2017-07-06 2020-05-26 北京嘀嘀无限科技发展有限公司 数据传输方法及装置、服务器、计算机设备和存储介质
CN107679262B (zh) * 2017-08-11 2021-03-26 上海集成电路研发中心有限公司 一种mos器件衬底外围寄生电阻的建模方法
US11146397B2 (en) * 2017-10-31 2021-10-12 Micro Focus Llc Encoding abelian variety-based ciphertext with metadata
EP3824609A1 (en) 2018-07-17 2021-05-26 Telefonaktiebolaget LM Ericsson (publ) Multi-x key chaining for generic bootstrapping architecture (gba)
JP2020068437A (ja) * 2018-10-23 2020-04-30 株式会社アメニディ アクセス管理装置、及びプログラム
WO2020242614A1 (en) 2019-05-30 2020-12-03 Kim Bong Mann Quantum safe cryptography and advanced encryption and key exchange (aeke) method for symmetric key encryption/exchange
CN110266492B (zh) * 2019-05-31 2023-06-09 中国能源建设集团甘肃省电力设计院有限公司 一种可追踪的泛在电力物联网身份认证方法
CA3146035A1 (en) 2019-08-12 2021-02-18 Audio Visual Preservation Solutions, Inc. Source identifying forensics system, device, and method for multimedia files
JP7444378B2 (ja) 2021-01-08 2024-03-06 日本電信電話株式会社 鍵交換システム、通信端末、情報処理装置、鍵交換方法、及びプログラム
CN113259093B (zh) * 2021-04-21 2022-03-25 山东大学 基于身份基加密的层级签名加密系统与构建方法
CN113297630B (zh) * 2021-05-27 2022-09-30 河南科技大学 一种前向安全群签名管理方法

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4309569A (en) * 1979-09-05 1982-01-05 The Board Of Trustees Of The Leland Stanford Junior University Method of providing digital signatures
US5432852A (en) * 1993-09-29 1995-07-11 Leighton; Frank T. Large provably fast and secure digital signature schemes based on secure hash functions
DE69534603T2 (de) * 1994-07-29 2006-08-03 Certicom Corp., Mississauga Verschlüsselungssystem für elliptische kurve
EP0695056B1 (en) * 1994-07-29 2005-05-11 Canon Kabushiki Kaisha A method for sharing secret information, generating a digital signature, and performing certification in a communication system that has a plurality of information processing apparatuses and a communication system that employs such a method
US5590197A (en) * 1995-04-04 1996-12-31 V-One Corporation Electronic payment system and method
JP4083218B2 (ja) * 1995-06-05 2008-04-30 サートコ・インコーポレーテッド マルチステップディジタル署名方法およびそのシステム
US5774552A (en) * 1995-12-13 1998-06-30 Ncr Corporation Method and apparatus for retrieving X.509 certificates from an X.500 directory
US5638447A (en) * 1996-05-15 1997-06-10 Micali; Silvio Compact digital signatures
US6212637B1 (en) * 1997-07-04 2001-04-03 Nippon Telegraph And Telephone Corporation Method and apparatus for en-bloc verification of plural digital signatures and recording medium with the method recorded thereon
US6298153B1 (en) * 1998-01-16 2001-10-02 Canon Kabushiki Kaisha Digital signature method and information communication system and apparatus using such method
US6754820B1 (en) * 2001-01-30 2004-06-22 Tecsec, Inc. Multiple level access system
US6826687B1 (en) * 1999-05-07 2004-11-30 International Business Machines Corporation Commitments in signatures
US6735313B1 (en) 1999-05-07 2004-05-11 Lucent Technologies Inc. Cryptographic method and apparatus for restricting access to transmitted programming content using hash functions and program identifiers
US6760441B1 (en) * 2000-03-31 2004-07-06 Intel Corporation Generating a key hieararchy for use in an isolated execution environment
JP4622064B2 (ja) * 2000-04-06 2011-02-02 ソニー株式会社 情報記録装置、情報再生装置、情報記録方法、情報再生方法、および情報記録媒体、並びにプログラム提供媒体
JP4660899B2 (ja) * 2000-07-24 2011-03-30 ソニー株式会社 データ処理装置およびデータ処理方法、並びにプログラム提供媒体
CA2417901C (en) * 2000-08-04 2013-01-22 First Data Corporation Entity authentication in electronic communications by providing verification status of device
US6886296B1 (en) * 2000-08-14 2005-05-03 Michael John Wooden post protective sleeve
US20020025034A1 (en) * 2000-08-18 2002-02-28 Solinas Jerome Anthony Cryptographic encryption method using efficient elliptic curve
JP4622087B2 (ja) * 2000-11-09 2011-02-02 ソニー株式会社 情報処理装置、および情報処理方法、並びにプログラム記憶媒体
US7088822B2 (en) * 2001-02-13 2006-08-08 Sony Corporation Information playback device, information recording device, information playback method, information recording method, and information recording medium and program storage medium used therewith
US20020154782A1 (en) * 2001-03-23 2002-10-24 Chow Richard T. System and method for key distribution to maintain secure communication
JP2005500740A (ja) * 2001-08-13 2005-01-06 ザ ボード オブ トラスティーズ オブ ザ リーランド スタンフォード ジュニア ユニバーシティ Idベース暗号化および関連する暗号手法のシステムおよび方法
US7093133B2 (en) * 2001-12-20 2006-08-15 Hewlett-Packard Development Company, L.P. Group signature generation system using multiple primes
US7349538B2 (en) 2002-03-21 2008-03-25 Ntt Docomo Inc. Hierarchical identity-based encryption and signature schemes
EP2375628A2 (en) * 2002-04-15 2011-10-12 NTT DoCoMo, Inc. Signature schemes using bilinear mappings
US7657748B2 (en) * 2002-08-28 2010-02-02 Ntt Docomo, Inc. Certificate-based encryption and public key infrastructure
CN100499450C (zh) * 2003-04-22 2009-06-10 国际商业机器公司 数字资源的分层密钥生成方法及其设备
FR2855343B1 (fr) * 2003-05-20 2005-10-07 France Telecom Procede de signature electronique de groupe avec anonymat revocable, equipements et programmes pour la mise en oeuvre du procede
KR100537514B1 (ko) * 2003-11-01 2005-12-19 삼성전자주식회사 그룹 구성원의 신원 정보를 기반으로 한 전자 서명 방법및 전자 서명을 수행한 그룹 구성원의 신원 정보를획득하기 위한 방법 및 그룹 구성원의 신원 정보를기반으로 한 전자 서명 시스템
DE60315853D1 (de) * 2003-12-24 2007-10-04 St Microelectronics Srl Verfahren zur Entschlüsselung einer Nachricht
WO2005071880A1 (ja) * 2004-01-23 2005-08-04 Nec Corporation グループ署名システム、方法、装置、およびプログラム
JP4546231B2 (ja) * 2004-12-09 2010-09-15 株式会社日立製作所 Idベース署名及び暗号化システムおよび方法
US8127140B2 (en) * 2005-01-21 2012-02-28 Nec Corporation Group signature scheme
KR100737876B1 (ko) * 2005-02-25 2007-07-12 삼성전자주식회사 계층적 문턱 트리에 기반한 브로드캐스트 암호화 방법
CA2615789A1 (en) * 2005-07-19 2007-01-25 Nec Corporation Key issuing method, group signature system, information processing apparatus, and program
US8060741B2 (en) * 2006-12-29 2011-11-15 Industrial Technology Research Institute System and method for wireless mobile network authentication

Also Published As

Publication number Publication date
WO2003081780A3 (en) 2004-02-19
EP1495573A2 (en) 2005-01-12
US20080013722A1 (en) 2008-01-17
US20070050629A1 (en) 2007-03-01
EP2309671A2 (en) 2011-04-13
US20080052521A1 (en) 2008-02-28
AU2003214189A8 (en) 2003-10-08
US7590854B2 (en) 2009-09-15
ATE419690T1 (de) 2009-01-15
EP2012459A1 (en) 2009-01-07
CN1633774B (zh) 2011-12-07
US7337322B2 (en) 2008-02-26
WO2003081780A2 (en) 2003-10-02
US7349538B2 (en) 2008-03-25
AU2003214189A1 (en) 2003-10-08
EP1495573A4 (en) 2006-10-11
US7443980B2 (en) 2008-10-28
EP1495573B1 (en) 2008-12-31
JP2005521323A (ja) 2005-07-14
DE60325575D1 (de) 2009-02-12
US20030179885A1 (en) 2003-09-25
CN1633774A (zh) 2005-06-29
EP2309671A3 (en) 2013-08-28

Similar Documents

Publication Publication Date Title
JP4405810B2 (ja) 階層型の同一性に基づく暗号化および署名スキーム
JP4712017B2 (ja) ストリーム暗号を利用したメッセージ認証コード生成方法とストリーム暗号を利用した認証暗号化方法及びストリーム暗号を利用した認証復号化方法
US7653817B2 (en) Signature schemes using bilinear mappings
JP4546231B2 (ja) Idベース署名及び暗号化システムおよび方法
US7221758B2 (en) Practical non-malleable public-key cryptosystem
Lai et al. Self-generated-certificate public key encryption without pairing
CN110138543A (zh) 格公钥密码体制下的盲签密方法
McCullagh et al. Efficient and forward-secure identity-based signcryption
KR100396740B1 (ko) 계산적 디피-헬만 가정에 기반하는 안전성 증명 가능한공개키 암호화 방법
Khullar et al. An efficient identity based multi-receiver signcryption scheme using ECC
CN103684764B (zh) 一种具有前向安全的高效公钥加密方法
JP4563037B2 (ja) 暗号化装置および復号化装置、並びにこれらを備えた暗号システム、暗号化方法および復号化方法
Backes et al. Fully secure inner-product proxy re-encryption with constant size ciphertext
US20130058483A1 (en) Public key cryptosystem and technique
CN111447064B (zh) 一种适用于无证书加密的密码逆向防火墙方法
Krishna A randomized cloud library security environment
CN116886290A (zh) 一种后量子安全的身份基匹配加密方法
Abbood et al. Proposal of New Block Cipher Algorithm Depend on Public Key Algorithms
Hu et al. Fully secure identity based proxy re-encryption schemes in the standard model
CN116074016A (zh) 一种基于门限机制的保护密钥的签密方法
Aman et al. Secure message authentication using true random number generator based on Signcryption scheme using ECC
Patil et al. A review on digital signature schemes
Abidin et al. An Approach to Cryptosystem through a Proposed and Secured Protocol
Sarlabous Introduction to cryptography
JP2000298432A (ja) 暗号化方法及び復号方法

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20051115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060120

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060223

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070525

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090721

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090915

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091020

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091105

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121113

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4405810

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121113

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131113

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term