JP4462511B2 - エルガマル・ライクなプロトコルのためのセッション・パラメータ生成方法 - Google Patents
エルガマル・ライクなプロトコルのためのセッション・パラメータ生成方法 Download PDFInfo
- Publication number
- JP4462511B2 JP4462511B2 JP19753198A JP19753198A JP4462511B2 JP 4462511 B2 JP4462511 B2 JP 4462511B2 JP 19753198 A JP19753198 A JP 19753198A JP 19753198 A JP19753198 A JP 19753198A JP 4462511 B2 JP4462511 B2 JP 4462511B2
- Authority
- JP
- Japan
- Prior art keywords
- value
- integer
- secret
- group
- hamming weight
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、公開鍵暗号化システムに関し、更に詳しくは、公開鍵プロトコルと共に用いるセッション・パラメータの生成に関する。
【0002】
【従来の技術】
公開鍵データ暗号化システムは、広く知られており、更に確実なものとして、有限群(finite group)の離散対数問題(discrete log problem)の多項式での表現不可能性(intractability)に基づくものがある。この公開鍵暗号化システムでは、群の元(要素、element)と生成元(generator)とを用いる。生成元とは、それ以外のすべての元が、この生成元に基礎となる群演算を反復して行うことによって、すなわち、生成元の反復的な合成(コンポジション)によって、得ることができるような元である。便宜的には、これは、生成元の整数ベキの累乗計算として考えることができ、基礎となる群演算に応じて、生成元のk回の乗算として、又は、生成元のk回の加算として見ることができる。このような公開鍵暗号化システムでは、整数kが、秘密鍵として用いられ、秘密とされる。対応する公開鍵は、生成元αの整数kのベキの累乗を計算することによって得られ、これにより、αkの形式の公開鍵が得られる。整数kの値は、αkの値が知られている場合でも、導くことはできない。
【0003】
公開及び秘密鍵は、通話者(correspondents)の一方が受信者の公開鍵αkを用いてデータを暗号化するようなメッセージの交換において、用いられる。受信者は、暗号化されたメッセージを受け取り、自分の秘密鍵を用いてそのメッセージを復号化して、内容を検索する。メッセージが途中で捕捉されても、整数kを導くことができないので、内容を得ることはできない。
【0004】
同様の技術を用いて、デジタル署名を用いることにより、メッセージの真正を確認することができる。この技術では、メッセージの送信者は、秘密鍵kを用いてメッセージに署名を行い、受信者は、送信者の公開鍵αkを用いてメッセージを復号化することによって、送信者からのメッセージを確認することができる。平文のメッセージの関数と回復されたメッセージの関数とを比較することによって、メッセージの真正が確認される。
【0005】
【発明が解決しようとする課題】
両方の技術において、群の元αの累乗を計算することが必要となる。セキュリティのために、kは、比較的大きな数であって、従って、累乗の計算が、比較的長くなるようにしなければならない。指数ベキが長期的な公開鍵として用いられる場合には、計算時間は、特に考慮すべきことではない。しかし、デジタル署名方式では、短期的なセッション鍵が、長期的な公開鍵と共に用いられる。それぞれのメッセージは、異なる秘密鍵kを用いて署名され、対応する公開セッション鍵αkが計算され、メッセージと共に送信されなければならない。従って、累乗(exponentiation)の計算において、いくらかの効率化が必要となる。
【0006】
累乗の計算時間は、比較的小さなハミング・ウェイト(Hamming weight)を有する整数ベキ(integer exponent)kを用いることにより減少させることができる。ハミング・ウェイトが小さいとは、この整数の2進表現における1の数が小さいということであり、すなわち、別の基数においても同様に、ベキが非ゼロの係数を有することである。しかし、ハミング・ウェイトの小さな整数は、平方根攻撃(square root attack)を含む様々な攻撃に対して脆弱であるために、暗号化プロトコルにおいて用いることは推奨されていない。
【0007】
従って、本発明の目的は、上述の短所を解消又は克服する、公開鍵交換プロトコルのためのセッション・パラメータの計算方法を提供することである。
【0008】
【課題を解決するための手段】
一般的に表現すると、本発明は、所定の値よりも小さなハミング・ウェイトを有する整数k'が選択されるような公開鍵交換プロトコルにおいて用いられるベキを計算する方法を提供する。生成元αに対する累乗計算が実行され、結果として得られる中間的なセッション・パラメータであるαk'が、秘密の値γと数学的に組み合わ(合成)される。γは、前記の所定の値よりも大きなハミング・ウェイトを有するランダムな整数iから導かれる。αと中間的なセッション・パラメータとを数学的に組み合わせることにより、そのベキのハミング・ウェイトが前記の所定の値よりも大きなセッション・パラメータが得られ、これは、計算の観点から見て安全であると考えられる。
【0009】
秘密の値γは、リアルタイムの累乗計算が整数k'を用いたベキの生成に限定されるように、予め計算しておくことができる。
【0010】
この方法は、乗法群(multiplicative group)Z*pと共に用いることができるし、又は、有限体上の楕円曲線などのそれ以外の群と共に用いることもできる。
【0011】
【発明の実施の形態】
以下では、本発明の実施例を図面を参照して説明する。
【0012】
図1を参照すると、データ通信システム10は、1対の通話者12、14を含む。通話者12、14は、それぞれが、メッセージMを生成し、そのメッセージMを、通信リンク16を介して、他方の通話者に送ることができ、それぞれが、暗号化モジュール18を有しており、送信の前と受信時とにメッセージMを処理する。
【0013】
通話者14があるメッセージが通話者12によって生成されたものであると確認するために、メッセージMの署名とそのメッセージの受信時に送信者を確認することを可能にする様々なプロトコルが作られてきている。説明の目的で、ここでは、メッセージMに署名する単純なエルガマル(El Gamal)型のプロトコルを用いることにする。もちろん、これ以外のより複雑なプロトコルを用いても同様な効果を得ることができる。同様に、このセッション・パラメータの生成は、デジタル署名以外のディフィ・ヘルマン(Diffie Hellman)暗号化方式にも用いることができる。
【0014】
図2に示されているように、メッセージMに署名するために、通話者12は、整数k’を整数生成器20から選択し、選択された整数k’をコンパレータ22でチェックすることにより、整数k’が計算的に安全でない(computationally insecure)と通常考えられる所定のレベルよりも小さなハミング・ウェイトを有していることを確認する。例えば、155の体では、15よりも小さなハミング・ウェイトを有する整数k’を用いることができる。必要であれば、乱数を発生させ、ハミング・ウェイトをコーム(comb)24で調整し、それが計算を容易にする所定のレベルよりも小さいことを確認する。
【0015】
生成元αのk'回の組合せ(合成)が次に行われる。modp(pを法とする合同関係)の整数の乗法群を用いる公開鍵システムでは、中間的なセッション鍵αk'は、「平方及び加算」アルゴリズムなどの既知の累乗アルゴリズムを用いて、累乗器(exponentiator)26で計算される。2進数の桁の過半数はゼロであるから、累乗計算は比較的迅速に行われて、中間的なセッション・パラメータが得られる。
【0016】
通話者12は、次に、テーブル28から、αiの形式の元γの予め計算された値を検索する。整数iは乱数であり、そのハミング・ウェイトは、50%のオーダーであると想定することができる。iの値とγの対応する値とを含むテーブル28は、安全に維持されている。
【0017】
γの秘密の値と中間的なセッション・パラメータαk'とは、算術プロセッサ30において乗算され、セッション・パラメータαk'+I=αを得る。2つの成分の乗算は、比較的迅速に行われるので、セッション・パラメータαkは、リアルタイムで計算することができる。
【0018】
同時に、i+k'に等しい値kが、算術プロセッサ30において計算され、暗号化モジュール18においてメッセージMを暗号化する、すなわち、メッセージMに署名するのに用いられる。メッセージMと署名とは、セッション・パラメータαkと共に、通信チャネル16上を、受信者14に送信される。受信者14は、次に、セッション・パラメータαkを用いて署名されたメッセージを復号化し、復号化されたメッセージを、送信されたメッセージと比較して、それらが同じであることを確認する。
【0019】
整数k'に対して比較的小さなハミング・ウェイトを用いることにより、セッション・パラメータαkが脆弱になることはないが、これは、秘密の値γが適切なハミング・ウェイトを有しているからである。従って、整数kのハミング・ウェイトもまた、セキュリティの目的に関しては、適切である。
【0020】
この技術は、図3に示されているように、楕円曲線暗号化システムにおいても用いることができる。図3では、同じ構成要素は、同じ参照番号に添え字のaを付すことによって、識別している。楕円曲線暗号化システムでは、公開鍵として用いられる群の元は、生成元Pのk回の加算から得られる点kPに対応する。基礎となる体の演算は加算であるので、群の元kPは、生成元Pのk乗のベキの累乗を表す。公開鍵kPのセキュリティは、曲線上の点の加算の結果として、又は、複数回の加算と同等の整数による点の乗算の結果として、生じる。
【0021】
曲線上の1対の点の加算は、比較的複雑であり、複数回の加算が要求されることによって、楕円曲線暗号化システムの本来のより大きな強度から生じる長所のいくらかは相殺されてしまう。
【0022】
そのような暗号化システムの使用を容易にするために、これは通常は安全ではないと考えられるのであるが、所定の値よりも小さなハミング・ウェイトを有する整数k'が、生成器20aによって、選択される。中間的なセッション・パラメータk'Pが、点Pのk'回の合成によって、すなわち、楕円点アキュムレータ26aにおける最初の点Pをk'回加算することによって、計算される。比較的小さなハミング・ウェイトのために、k'Pの値の計算を容易にするのに必要な点の加算が少なくなる。
【0023】
秘密の値γは、ランダムに生成され所定の値よりも大きなハミング・ウェイトを有する整数iから、予め計算される。γの値は、点Pのi回の加算から、すなわち、α=iPから得られる。ここで、αとIとは、テーブル28aに記憶されている。
【0024】
中間的なセッション・パラメータk'Pと値iPとは、算術プロセッサ30aに与えられ、新たな値kPが得られる。整数kは、k'とiとの加算と暗号化モジュールにおいて準備される結果的な署名とから、送信者12によって、プロセッサ30aにおいて計算される。
【0025】
しかし、比較的小さなハミング・ウェイトを有する最初のk'の選択は、やはり、中間的なセッション・パラメータを得るための計算時間を短縮し、秘密の値とのその後の数学的な合成により、その乗算値kが要求されるハミング・ウェイトを有するセッション・パラメータが得られる。
【0026】
それぞれの場合に、整数k'に対して用いられる比較的小さなハミング・ウェイトの使用は、所定の値よりも大きなハミング・ウェイトを有するランダムな整数との合成によって、マスクされる。
【0027】
楕円曲線暗号化システムが変則的(anomalous)な曲線を用いる場合には、累乗は、平方及び加算のアルゴリズムによって、得られる。
【0028】
別の実施例が、図4に示されている。この図では、同じ参照番号の前に1を付すことによって、同じ構成要素を示している。図4の実施例では、追加的な項が整数kの計算に導入され、セキュリティを強化している。整数kは、整数生成器120によって生成された小さなハミング・ウェイトの項k'と追加的な整数kC、kL、kDから導かれる変動する項との組合せから得られ、次の形式を有する。
【0029】
【数1】
k=k'+k*C+k*L+k*D
同様に、次も成立する。
【0030】
【数2】
kP=k'P+k*CP+k*LP+k*DP
整数kC、kL、kDは、予め計算された対応する値kCP、kLP、kDPと共に、ルックアップ・テーブル128に記憶されている。図4では、整数kC、kL、kDは、別々の値の組であるとされているが、後に説明するように、1組の整数を用いることもできる。テーブル128における整数の値は、典型的にはセッション鍵kのそれぞれの生成の際に増加するインクリメント・カウンタ32の出力である基準項tに対して、インデックスが付けられている。
【0031】
好適実施例では、項k*Cは、与えられた値tに対してルックアップ・テーブル128から検索される整数に対応する定数項である。項k*L、k*Dは、セッション鍵kのそれぞれの生成に対して変動するように基準項tによって修正される整数kL及びkDによって与えられる。
【0032】
項k*Lは、t・kIの形式の線形項であり、項k*Dは、2t・kDの形式を有する。tが変動すると、kC、kL、kDは、ルックアップ・テーブルから変動し、対応する値であるk*L及びk*Dが、基準項tの値と共に変動する。
【0033】
従って、この実施例では、値kは、次の形式を有する。ただし、kCt、kLt、kDtは、kC、kL、kDの時間tにおける値である。
【0034】
【数3】
k=k'+kCt+tkLt+2tkDt
従って、動作においては、図4に示されているように、セッション鍵kの生成の開始時には、小さなハミング・ウェイトを有するk'の値が、生成器128から選択され、対応する値k'Pが累乗器126によって、計算される。カウンタ32の出力は、ルックアップ・テーブル128が対応する値kC、kL、kDと関連する点であるkCP、kLP、kDPとを検索する基準項として用いられる。
【0035】
項kCPは、項k*CPに対応し、従って、算術プロセッサ130において、k'Pに加算される。項k*Lは、テーブル128から検索された点kLPのt回の加算から得られ、プロセッサ130において、値k'P+kCPに加算される。
【0036】
同様にして、項k*DPは、テーブル128から検索されたkDPの2t回の加算から得られ、先の値に加算されて、セッション鍵kPを与える。同じように、kの値は、k'、kC、k*L、k*Dの加算から得ることができる。
【0037】
それぞれの加算は、楕円曲線上の1対の点の加算を含むことを理解すべきである。k*LP及びk*DPの計算は、tの値の2進表現における点の連続的な2倍化(doubling)又は置換(substitution)を用いて、比較的容易に得られる。
【0038】
更に、k*C、k*L、k*Dの使用は、連続的な署名が計算され追加的な複雑さが導入されるにつれて、順序を交換される。
【0039】
値は、適切に小さなハミング・ウェイトを有するように選択される。同様にして、kL又はkDの値は、計算を容易にするために好ましい場合には、比較的小さなハミング・ウェイトを有するように選択されるが、t=0において適切なセキュリティを与えるために十分なハミング・ウェイトをkCが有していることが好ましい。しかし、一般的には、kC、kL、kDの値は、計算的なセキュリティのために、適切なハミング・ウェイトを有していることが好ましい。後に述べるように、署名の間で要求される計算は、減少させることができ、それによって、kL及びkDの値を所定のレベルよりも上に維持することが望ましくなる。上述の例では、kC、kL、kDの値は、異なる値の組から選択されることが想定されていた。しかし、これらの値は、値を所定の態様で順序を交換することによって、同じテーブルから選択することもできるし、又は、計算を単純化するために、それぞれの項において用いられる同じ整数でもよい。
【0040】
同様にして、kの形式は、上述した定数項、線形項及び2倍化項に加えて非線形性や複雑さを導入するために追加的な及び/又は異なる項を含むことがありうる。更には、適切な場合には、kの計算において、フロベニウス(Frobenius)作用素など追加的な関数を含むこともありうる。これらの追加的な項の選択に際しては、計算が容易になるように、また、最終的なハミング・ウェイトが計算的に安全であると考えられている所定の値よりも大きくなるように、選択がなされる。
【0041】
図5には、k及びkPの連続的な値を決定する別のアルゴリズムが示されている。
【0042】
kが次のような形式を有していると仮定する。
【0043】
【数4】
k=k'+kC+tkL+2tkD
及び
【数5】
kP=k'P+kCP+tkLP+2tkDP
まず、kC、kL、kDの値と、対応する値であるkCP、kLP、kDPとが、レジスタ34に記憶される。
【0044】
時間tにおける新たな値は、k'(t)+k''(t)である。ただし、ここで、k''(t)=kC+tkL+2tkDである。k'(t)は、生成器200によって生成された小さなハミング・ウェイトを有する新たな整数である。
【0045】
kの新たな値を計算するために、k''(t)の値が、レジスタ34に記憶された値を用いて、算術プロセッサ230において計算される。k''(t)の結果的な値は、k'(t)に加算され、kの新たな値を得る。
【0046】
kの次の値、すなわち、k(t+1)の計算を容易にするために、k''(t)と2tkDの計算された値が、kC及びkLと共に記憶される。
【0047】
k(t+1)を得るためには、k'(t+1)を得て、k''(t+1)を生成することが必要である。これは、記憶された値をもちいることによって、次のように、容易に達成される。
【0048】
【数6】
これらの項は、それぞれが、レジスタ34に記憶され、容易に検索が可能であり、k''(t+1)の値を与え、この値が、k'(t+1)と組み合わされて、時間(t+1)における新たなkを与える。
【0049】
レジスタ34は、更新され、k''(t)の値が、保持されているkLの値であるk''(t+1)と交換され、2tkDの値が2(t+1)kDと交換される。
【0050】
時間(t+2)におけるkの次の値も、同様にして得ることができる。
【0051】
類似の手順が、k(t+1)+Pの値を計算する際にも利用できる。
【0052】
k''(t)P、kLP、2tkDPの値は、レジスタ34に記憶されている。
【0053】
k'(t+1)Pは、上述の場合と同じように、楕円点アキュムレータ226における複数回の点の加算によって得ることができる。
【0054】
k''(t+1)Pの値は、k''(t)P+tkLP+2tkDPを計算することによって、得られる。
【0055】
これらの項は、それぞれが、レジスタ34に記憶され、容易に検索が可能である。
【0056】
これらの項は、時間(t+1)に対する項に対応することによって更新されるが、これを容易にするために、点2tkDPが最初に2倍されて、2(t+1)kDPを得る。次に、これが、記憶され、kLP及びk''(t)に加算されて、k''(t+1)Pを得る。これは、再び記憶され、k'(t+1)Pに加算され、k(t+1)Pの新たな値を得る。
【0057】
従って、計算k''(t+1)Pは、1つの点の2倍と3つの点の加算とによって達成され、これは、k'の小さなハミング・ウェイトと組み合わされて、システム・パラメータの非常に効果的な生成につながる。
【0058】
上述のように、セッション・パラメータk及びαkの連続的な生成のために、記憶された値の関連するついを含むレジスタの順序を交換することによって、追加的な複雑さを導入することができる。
【0059】
まとめると、セッション・パラメータの生成は、計算の容易さのために、ハミング・ウェイトが小さな整数を用い、その整数を、予め計算されている値又は値の組と組み合わせて小さなハミング・ウェイトをマスクすることによって、容易になる。追加的な複雑さは、値の組に非線形項を提供することによって、又は、署名の間で値の組の順序を交換することによって、導入することができる。このようにして、連続的なセッション値が、攻撃に対して抵抗性を有しながら、計算は効率的に行うことができる。
【0060】
上述の計算は、具体的な応用例に応じて、集積回路において実行することができるし、又は、汎用コンピュータ上のソフトウェアにおいて実行することができる。
【図面の簡単な説明】
【図1】データ通信システムの概略図である。
【図2】乗法群Z*pにおけるセッション・パラメータの生成を示す流れ図である。
【図3】楕円曲線におけるセッション・パラメータの生成を示す流れ図である。
【図4】セッション・パラメータの生成の別の実施例に関する図3と類似の流れ図である。
【図5】セッション・パラメータの生成の更に別の実施例を示す流れ図である。
【発明の属する技術分野】
本発明は、公開鍵暗号化システムに関し、更に詳しくは、公開鍵プロトコルと共に用いるセッション・パラメータの生成に関する。
【0002】
【従来の技術】
公開鍵データ暗号化システムは、広く知られており、更に確実なものとして、有限群(finite group)の離散対数問題(discrete log problem)の多項式での表現不可能性(intractability)に基づくものがある。この公開鍵暗号化システムでは、群の元(要素、element)と生成元(generator)とを用いる。生成元とは、それ以外のすべての元が、この生成元に基礎となる群演算を反復して行うことによって、すなわち、生成元の反復的な合成(コンポジション)によって、得ることができるような元である。便宜的には、これは、生成元の整数ベキの累乗計算として考えることができ、基礎となる群演算に応じて、生成元のk回の乗算として、又は、生成元のk回の加算として見ることができる。このような公開鍵暗号化システムでは、整数kが、秘密鍵として用いられ、秘密とされる。対応する公開鍵は、生成元αの整数kのベキの累乗を計算することによって得られ、これにより、αkの形式の公開鍵が得られる。整数kの値は、αkの値が知られている場合でも、導くことはできない。
【0003】
公開及び秘密鍵は、通話者(correspondents)の一方が受信者の公開鍵αkを用いてデータを暗号化するようなメッセージの交換において、用いられる。受信者は、暗号化されたメッセージを受け取り、自分の秘密鍵を用いてそのメッセージを復号化して、内容を検索する。メッセージが途中で捕捉されても、整数kを導くことができないので、内容を得ることはできない。
【0004】
同様の技術を用いて、デジタル署名を用いることにより、メッセージの真正を確認することができる。この技術では、メッセージの送信者は、秘密鍵kを用いてメッセージに署名を行い、受信者は、送信者の公開鍵αkを用いてメッセージを復号化することによって、送信者からのメッセージを確認することができる。平文のメッセージの関数と回復されたメッセージの関数とを比較することによって、メッセージの真正が確認される。
【0005】
【発明が解決しようとする課題】
両方の技術において、群の元αの累乗を計算することが必要となる。セキュリティのために、kは、比較的大きな数であって、従って、累乗の計算が、比較的長くなるようにしなければならない。指数ベキが長期的な公開鍵として用いられる場合には、計算時間は、特に考慮すべきことではない。しかし、デジタル署名方式では、短期的なセッション鍵が、長期的な公開鍵と共に用いられる。それぞれのメッセージは、異なる秘密鍵kを用いて署名され、対応する公開セッション鍵αkが計算され、メッセージと共に送信されなければならない。従って、累乗(exponentiation)の計算において、いくらかの効率化が必要となる。
【0006】
累乗の計算時間は、比較的小さなハミング・ウェイト(Hamming weight)を有する整数ベキ(integer exponent)kを用いることにより減少させることができる。ハミング・ウェイトが小さいとは、この整数の2進表現における1の数が小さいということであり、すなわち、別の基数においても同様に、ベキが非ゼロの係数を有することである。しかし、ハミング・ウェイトの小さな整数は、平方根攻撃(square root attack)を含む様々な攻撃に対して脆弱であるために、暗号化プロトコルにおいて用いることは推奨されていない。
【0007】
従って、本発明の目的は、上述の短所を解消又は克服する、公開鍵交換プロトコルのためのセッション・パラメータの計算方法を提供することである。
【0008】
【課題を解決するための手段】
一般的に表現すると、本発明は、所定の値よりも小さなハミング・ウェイトを有する整数k'が選択されるような公開鍵交換プロトコルにおいて用いられるベキを計算する方法を提供する。生成元αに対する累乗計算が実行され、結果として得られる中間的なセッション・パラメータであるαk'が、秘密の値γと数学的に組み合わ(合成)される。γは、前記の所定の値よりも大きなハミング・ウェイトを有するランダムな整数iから導かれる。αと中間的なセッション・パラメータとを数学的に組み合わせることにより、そのベキのハミング・ウェイトが前記の所定の値よりも大きなセッション・パラメータが得られ、これは、計算の観点から見て安全であると考えられる。
【0009】
秘密の値γは、リアルタイムの累乗計算が整数k'を用いたベキの生成に限定されるように、予め計算しておくことができる。
【0010】
この方法は、乗法群(multiplicative group)Z*pと共に用いることができるし、又は、有限体上の楕円曲線などのそれ以外の群と共に用いることもできる。
【0011】
【発明の実施の形態】
以下では、本発明の実施例を図面を参照して説明する。
【0012】
図1を参照すると、データ通信システム10は、1対の通話者12、14を含む。通話者12、14は、それぞれが、メッセージMを生成し、そのメッセージMを、通信リンク16を介して、他方の通話者に送ることができ、それぞれが、暗号化モジュール18を有しており、送信の前と受信時とにメッセージMを処理する。
【0013】
通話者14があるメッセージが通話者12によって生成されたものであると確認するために、メッセージMの署名とそのメッセージの受信時に送信者を確認することを可能にする様々なプロトコルが作られてきている。説明の目的で、ここでは、メッセージMに署名する単純なエルガマル(El Gamal)型のプロトコルを用いることにする。もちろん、これ以外のより複雑なプロトコルを用いても同様な効果を得ることができる。同様に、このセッション・パラメータの生成は、デジタル署名以外のディフィ・ヘルマン(Diffie Hellman)暗号化方式にも用いることができる。
【0014】
図2に示されているように、メッセージMに署名するために、通話者12は、整数k’を整数生成器20から選択し、選択された整数k’をコンパレータ22でチェックすることにより、整数k’が計算的に安全でない(computationally insecure)と通常考えられる所定のレベルよりも小さなハミング・ウェイトを有していることを確認する。例えば、155の体では、15よりも小さなハミング・ウェイトを有する整数k’を用いることができる。必要であれば、乱数を発生させ、ハミング・ウェイトをコーム(comb)24で調整し、それが計算を容易にする所定のレベルよりも小さいことを確認する。
【0015】
生成元αのk'回の組合せ(合成)が次に行われる。modp(pを法とする合同関係)の整数の乗法群を用いる公開鍵システムでは、中間的なセッション鍵αk'は、「平方及び加算」アルゴリズムなどの既知の累乗アルゴリズムを用いて、累乗器(exponentiator)26で計算される。2進数の桁の過半数はゼロであるから、累乗計算は比較的迅速に行われて、中間的なセッション・パラメータが得られる。
【0016】
通話者12は、次に、テーブル28から、αiの形式の元γの予め計算された値を検索する。整数iは乱数であり、そのハミング・ウェイトは、50%のオーダーであると想定することができる。iの値とγの対応する値とを含むテーブル28は、安全に維持されている。
【0017】
γの秘密の値と中間的なセッション・パラメータαk'とは、算術プロセッサ30において乗算され、セッション・パラメータαk'+I=αを得る。2つの成分の乗算は、比較的迅速に行われるので、セッション・パラメータαkは、リアルタイムで計算することができる。
【0018】
同時に、i+k'に等しい値kが、算術プロセッサ30において計算され、暗号化モジュール18においてメッセージMを暗号化する、すなわち、メッセージMに署名するのに用いられる。メッセージMと署名とは、セッション・パラメータαkと共に、通信チャネル16上を、受信者14に送信される。受信者14は、次に、セッション・パラメータαkを用いて署名されたメッセージを復号化し、復号化されたメッセージを、送信されたメッセージと比較して、それらが同じであることを確認する。
【0019】
整数k'に対して比較的小さなハミング・ウェイトを用いることにより、セッション・パラメータαkが脆弱になることはないが、これは、秘密の値γが適切なハミング・ウェイトを有しているからである。従って、整数kのハミング・ウェイトもまた、セキュリティの目的に関しては、適切である。
【0020】
この技術は、図3に示されているように、楕円曲線暗号化システムにおいても用いることができる。図3では、同じ構成要素は、同じ参照番号に添え字のaを付すことによって、識別している。楕円曲線暗号化システムでは、公開鍵として用いられる群の元は、生成元Pのk回の加算から得られる点kPに対応する。基礎となる体の演算は加算であるので、群の元kPは、生成元Pのk乗のベキの累乗を表す。公開鍵kPのセキュリティは、曲線上の点の加算の結果として、又は、複数回の加算と同等の整数による点の乗算の結果として、生じる。
【0021】
曲線上の1対の点の加算は、比較的複雑であり、複数回の加算が要求されることによって、楕円曲線暗号化システムの本来のより大きな強度から生じる長所のいくらかは相殺されてしまう。
【0022】
そのような暗号化システムの使用を容易にするために、これは通常は安全ではないと考えられるのであるが、所定の値よりも小さなハミング・ウェイトを有する整数k'が、生成器20aによって、選択される。中間的なセッション・パラメータk'Pが、点Pのk'回の合成によって、すなわち、楕円点アキュムレータ26aにおける最初の点Pをk'回加算することによって、計算される。比較的小さなハミング・ウェイトのために、k'Pの値の計算を容易にするのに必要な点の加算が少なくなる。
【0023】
秘密の値γは、ランダムに生成され所定の値よりも大きなハミング・ウェイトを有する整数iから、予め計算される。γの値は、点Pのi回の加算から、すなわち、α=iPから得られる。ここで、αとIとは、テーブル28aに記憶されている。
【0024】
中間的なセッション・パラメータk'Pと値iPとは、算術プロセッサ30aに与えられ、新たな値kPが得られる。整数kは、k'とiとの加算と暗号化モジュールにおいて準備される結果的な署名とから、送信者12によって、プロセッサ30aにおいて計算される。
【0025】
しかし、比較的小さなハミング・ウェイトを有する最初のk'の選択は、やはり、中間的なセッション・パラメータを得るための計算時間を短縮し、秘密の値とのその後の数学的な合成により、その乗算値kが要求されるハミング・ウェイトを有するセッション・パラメータが得られる。
【0026】
それぞれの場合に、整数k'に対して用いられる比較的小さなハミング・ウェイトの使用は、所定の値よりも大きなハミング・ウェイトを有するランダムな整数との合成によって、マスクされる。
【0027】
楕円曲線暗号化システムが変則的(anomalous)な曲線を用いる場合には、累乗は、平方及び加算のアルゴリズムによって、得られる。
【0028】
別の実施例が、図4に示されている。この図では、同じ参照番号の前に1を付すことによって、同じ構成要素を示している。図4の実施例では、追加的な項が整数kの計算に導入され、セキュリティを強化している。整数kは、整数生成器120によって生成された小さなハミング・ウェイトの項k'と追加的な整数kC、kL、kDから導かれる変動する項との組合せから得られ、次の形式を有する。
【0029】
【数1】
k=k'+k*C+k*L+k*D
同様に、次も成立する。
【0030】
【数2】
kP=k'P+k*CP+k*LP+k*DP
整数kC、kL、kDは、予め計算された対応する値kCP、kLP、kDPと共に、ルックアップ・テーブル128に記憶されている。図4では、整数kC、kL、kDは、別々の値の組であるとされているが、後に説明するように、1組の整数を用いることもできる。テーブル128における整数の値は、典型的にはセッション鍵kのそれぞれの生成の際に増加するインクリメント・カウンタ32の出力である基準項tに対して、インデックスが付けられている。
【0031】
好適実施例では、項k*Cは、与えられた値tに対してルックアップ・テーブル128から検索される整数に対応する定数項である。項k*L、k*Dは、セッション鍵kのそれぞれの生成に対して変動するように基準項tによって修正される整数kL及びkDによって与えられる。
【0032】
項k*Lは、t・kIの形式の線形項であり、項k*Dは、2t・kDの形式を有する。tが変動すると、kC、kL、kDは、ルックアップ・テーブルから変動し、対応する値であるk*L及びk*Dが、基準項tの値と共に変動する。
【0033】
従って、この実施例では、値kは、次の形式を有する。ただし、kCt、kLt、kDtは、kC、kL、kDの時間tにおける値である。
【0034】
【数3】
k=k'+kCt+tkLt+2tkDt
従って、動作においては、図4に示されているように、セッション鍵kの生成の開始時には、小さなハミング・ウェイトを有するk'の値が、生成器128から選択され、対応する値k'Pが累乗器126によって、計算される。カウンタ32の出力は、ルックアップ・テーブル128が対応する値kC、kL、kDと関連する点であるkCP、kLP、kDPとを検索する基準項として用いられる。
【0035】
項kCPは、項k*CPに対応し、従って、算術プロセッサ130において、k'Pに加算される。項k*Lは、テーブル128から検索された点kLPのt回の加算から得られ、プロセッサ130において、値k'P+kCPに加算される。
【0036】
同様にして、項k*DPは、テーブル128から検索されたkDPの2t回の加算から得られ、先の値に加算されて、セッション鍵kPを与える。同じように、kの値は、k'、kC、k*L、k*Dの加算から得ることができる。
【0037】
それぞれの加算は、楕円曲線上の1対の点の加算を含むことを理解すべきである。k*LP及びk*DPの計算は、tの値の2進表現における点の連続的な2倍化(doubling)又は置換(substitution)を用いて、比較的容易に得られる。
【0038】
更に、k*C、k*L、k*Dの使用は、連続的な署名が計算され追加的な複雑さが導入されるにつれて、順序を交換される。
【0039】
値は、適切に小さなハミング・ウェイトを有するように選択される。同様にして、kL又はkDの値は、計算を容易にするために好ましい場合には、比較的小さなハミング・ウェイトを有するように選択されるが、t=0において適切なセキュリティを与えるために十分なハミング・ウェイトをkCが有していることが好ましい。しかし、一般的には、kC、kL、kDの値は、計算的なセキュリティのために、適切なハミング・ウェイトを有していることが好ましい。後に述べるように、署名の間で要求される計算は、減少させることができ、それによって、kL及びkDの値を所定のレベルよりも上に維持することが望ましくなる。上述の例では、kC、kL、kDの値は、異なる値の組から選択されることが想定されていた。しかし、これらの値は、値を所定の態様で順序を交換することによって、同じテーブルから選択することもできるし、又は、計算を単純化するために、それぞれの項において用いられる同じ整数でもよい。
【0040】
同様にして、kの形式は、上述した定数項、線形項及び2倍化項に加えて非線形性や複雑さを導入するために追加的な及び/又は異なる項を含むことがありうる。更には、適切な場合には、kの計算において、フロベニウス(Frobenius)作用素など追加的な関数を含むこともありうる。これらの追加的な項の選択に際しては、計算が容易になるように、また、最終的なハミング・ウェイトが計算的に安全であると考えられている所定の値よりも大きくなるように、選択がなされる。
【0041】
図5には、k及びkPの連続的な値を決定する別のアルゴリズムが示されている。
【0042】
kが次のような形式を有していると仮定する。
【0043】
【数4】
k=k'+kC+tkL+2tkD
及び
【数5】
kP=k'P+kCP+tkLP+2tkDP
まず、kC、kL、kDの値と、対応する値であるkCP、kLP、kDPとが、レジスタ34に記憶される。
【0044】
時間tにおける新たな値は、k'(t)+k''(t)である。ただし、ここで、k''(t)=kC+tkL+2tkDである。k'(t)は、生成器200によって生成された小さなハミング・ウェイトを有する新たな整数である。
【0045】
kの新たな値を計算するために、k''(t)の値が、レジスタ34に記憶された値を用いて、算術プロセッサ230において計算される。k''(t)の結果的な値は、k'(t)に加算され、kの新たな値を得る。
【0046】
kの次の値、すなわち、k(t+1)の計算を容易にするために、k''(t)と2tkDの計算された値が、kC及びkLと共に記憶される。
【0047】
k(t+1)を得るためには、k'(t+1)を得て、k''(t+1)を生成することが必要である。これは、記憶された値をもちいることによって、次のように、容易に達成される。
【0048】
【数6】
【0049】
レジスタ34は、更新され、k''(t)の値が、保持されているkLの値であるk''(t+1)と交換され、2tkDの値が2(t+1)kDと交換される。
【0050】
時間(t+2)におけるkの次の値も、同様にして得ることができる。
【0051】
類似の手順が、k(t+1)+Pの値を計算する際にも利用できる。
【0052】
k''(t)P、kLP、2tkDPの値は、レジスタ34に記憶されている。
【0053】
k'(t+1)Pは、上述の場合と同じように、楕円点アキュムレータ226における複数回の点の加算によって得ることができる。
【0054】
k''(t+1)Pの値は、k''(t)P+tkLP+2tkDPを計算することによって、得られる。
【0055】
これらの項は、それぞれが、レジスタ34に記憶され、容易に検索が可能である。
【0056】
これらの項は、時間(t+1)に対する項に対応することによって更新されるが、これを容易にするために、点2tkDPが最初に2倍されて、2(t+1)kDPを得る。次に、これが、記憶され、kLP及びk''(t)に加算されて、k''(t+1)Pを得る。これは、再び記憶され、k'(t+1)Pに加算され、k(t+1)Pの新たな値を得る。
【0057】
従って、計算k''(t+1)Pは、1つの点の2倍と3つの点の加算とによって達成され、これは、k'の小さなハミング・ウェイトと組み合わされて、システム・パラメータの非常に効果的な生成につながる。
【0058】
上述のように、セッション・パラメータk及びαkの連続的な生成のために、記憶された値の関連するついを含むレジスタの順序を交換することによって、追加的な複雑さを導入することができる。
【0059】
まとめると、セッション・パラメータの生成は、計算の容易さのために、ハミング・ウェイトが小さな整数を用い、その整数を、予め計算されている値又は値の組と組み合わせて小さなハミング・ウェイトをマスクすることによって、容易になる。追加的な複雑さは、値の組に非線形項を提供することによって、又は、署名の間で値の組の順序を交換することによって、導入することができる。このようにして、連続的なセッション値が、攻撃に対して抵抗性を有しながら、計算は効率的に行うことができる。
【0060】
上述の計算は、具体的な応用例に応じて、集積回路において実行することができるし、又は、汎用コンピュータ上のソフトウェアにおいて実行することができる。
【図面の簡単な説明】
【図1】データ通信システムの概略図である。
【図2】乗法群Z*pにおけるセッション・パラメータの生成を示す流れ図である。
【図3】楕円曲線におけるセッション・パラメータの生成を示す流れ図である。
【図4】セッション・パラメータの生成の別の実施例に関する図3と類似の流れ図である。
【図5】セッション・パラメータの生成の更に別の実施例を示す流れ図である。
Claims (13)
- 通信リンクを介して複数の端末の間で通信がなされる通信システムにおいて、所定の値よりも大きなハミング・ウェイトを有する整数をkとして、公開鍵暗号化方式における秘密鍵kと公開成分として用いる群の元とを取得することにより、前記複数の端末の間での通信において所要のレベルのセキュリティを提供する方法であって、前記公開成分は前記群の生成元のk回の合成に対応し、この方法は、
i)前記複数の端末の中の1つの端末における整数生成器が、前記所定の値よりも小さなハミング・ウェイトを有する整数k’を生じるステップと、
ii)前記1つの端末における暗号化モジュールが、前記群の前記生成元のk’回の合成を実行して、中間的なセッション・パラメータを提供するステップと、
iii)前記暗号化モジュールが、前記所定の値よりも大きなハミング・ウェイトを有する整数をiとして、前記中間的なセッション・パラメータと前記生成元のi回の合成から導かれる秘密の値γとを合成し、前記群の元を得るステップと、
iv)前記暗号化モジュールが、前記整数k’とiとを合成して、対応する秘密鍵成分kを提供するステップと、
を含むことを特徴とする方法。 - 請求項1記載の方法において、前記秘密の値は、予め計算され秘密にされていることを特徴とする方法。
- 請求項1記載の方法において、前記群は、modpの整数から成る乗法群であることを特徴とする方法。
- 請求項3記載の方法において、前記中間的なセッション・パラメータと前記秘密の値とは、乗法によって合成されることを特徴とする方法。
- 請求項1記載の方法において、前記群は、有限体上の楕円曲線であることを特徴とする方法。
- 請求項5記載の方法において、前記秘密の値と前記中間的なセッション・パラメータとは、有限体上の楕円曲線上の加算を実行することによって合成されることを特徴とする方法。
- 請求項1記載の方法において、前記秘密の値は、乱数をベキとして生成することによって得られることを特徴とする方法。
- 請求項7記載の方法において、前記乱数と結果的に得られる秘密の値とは、前記中間的なセッション・パラメータと合成されるために、記憶され抽出されることを特徴とする方法。
- 請求項1記載の方法において、前記秘密の値は、項の合成によって導かれ、これらの項のそれぞれは、前記群の生成元の整数回の合成から導かれる値を有することを特徴とする方法。
- 請求項9記載の方法において、前記秘密の値は前記群の元のそれぞれの生成と共に変化し、前記項の少なくとも1つは連続的な秘密の値に非線形性を導入することを特徴とする方法。
- 請求項10記載の方法において、前記項の前記1つは、前記合成における時間変動する整数を含むことを特徴とする方法。
- 請求項9記載の方法において、前記項に対応する値は記憶され、前記値の順序を交換されたものが取得されて連続的な署名における項として用いられることを特徴とする方法。
- 請求項12記載の方法において、前記項の少なくとも1つは、連続的な秘密の値に非線形性を導入することを特徴とする方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US08/948,796 US6337909B1 (en) | 1996-10-10 | 1997-10-10 | Generation of session keys for El Gamal-like protocols from low hamming weight integers |
| US948796 | 1997-10-10 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH11305660A JPH11305660A (ja) | 1999-11-05 |
| JP4462511B2 true JP4462511B2 (ja) | 2010-05-12 |
Family
ID=25488256
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP19753198A Expired - Lifetime JP4462511B2 (ja) | 1997-10-10 | 1998-07-13 | エルガマル・ライクなプロトコルのためのセッション・パラメータ生成方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4462511B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2243761C (en) * | 1998-07-21 | 2009-10-06 | Certicom Corp. | Timing attack resistant cryptographic system |
| US8111826B2 (en) | 2006-01-11 | 2012-02-07 | Mitsubishi Electric Corporation | Apparatus for generating elliptic curve cryptographic parameter, apparatus for processing elliptic curve cryptograph, program for generating elliptic curve cryptographic parameter, and program for processing elliptic cyptograph |
-
1998
- 1998-07-13 JP JP19753198A patent/JP4462511B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JPH11305660A (ja) | 1999-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2329590C (en) | Method of public key generation | |
| CA2308170C (en) | Masked digital signatures | |
| CN115102688B (zh) | 数据处理方法、多项式计算方法及电子设备 | |
| US7191333B1 (en) | Method and apparatus for calculating a multiplicative inverse of an element of a prime field | |
| Heninger | RSA, DH, and DSA in the Wild | |
| US6337909B1 (en) | Generation of session keys for El Gamal-like protocols from low hamming weight integers | |
| JP4875686B2 (ja) | 楕円曲線上の有限体演算の加速方法 | |
| CN110798313B (zh) | 基于秘密动态共享的包含秘密的数的协同生成方法及系统 | |
| CN114362912A (zh) | 基于分布式密钥中心的标识密码生成方法、电子设备及介质 | |
| CA2742530C (en) | Masking the output of random number generators in key generation protocols | |
| US6931126B1 (en) | Non malleable encryption method and apparatus using key-encryption keys and digital signature | |
| JP4462511B2 (ja) | エルガマル・ライクなプロトコルのためのセッション・パラメータ生成方法 | |
| Wang et al. | Signature schemes based on two hard problems simultaneously | |
| JP4563037B2 (ja) | 暗号化装置および復号化装置、並びにこれらを備えた暗号システム、暗号化方法および復号化方法 | |
| EP1397884A1 (en) | Ring-based signature scheme | |
| JP3123820B2 (ja) | 有限可換群における演算器 | |
| EP0854603B1 (en) | Generation of session parameters for el gamal-like protocols | |
| KR100513958B1 (ko) | 메시지의 전자서명 및 암호화 방법 | |
| Mohammadi et al. | Comparison of two Public Key Cryptosystems | |
| JP2624634B2 (ja) | 暗号装置および復号化装置および暗号・復号化装置および暗号システム | |
| CA2585738C (en) | Generation of session parameters for el gamal-like protocols | |
| JP3240723B2 (ja) | 通信方法、秘密通信方法及び署名通信方法 | |
| Goyal | More efficient server assisted one time signatures | |
| Sanghi | New Digital Signature Scheme Based on MDLP and Multinacci Matrices | |
| Chang et al. | Forward secure proxy signature scheme |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050713 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050713 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080603 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20080903 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20080908 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081203 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100119 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20100121 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100212 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130226 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130226 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140226 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |