JP4750274B2 - 鍵共有攻撃防御方法 - Google Patents
鍵共有攻撃防御方法 Download PDFInfo
- Publication number
- JP4750274B2 JP4750274B2 JP2000557579A JP2000557579A JP4750274B2 JP 4750274 B2 JP4750274 B2 JP 4750274B2 JP 2000557579 A JP2000557579 A JP 2000557579A JP 2000557579 A JP2000557579 A JP 2000557579A JP 4750274 B2 JP4750274 B2 JP 4750274B2
- Authority
- JP
- Japan
- Prior art keywords
- communicator
- message
- key
- encryption unit
- correspondent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
この発明は、暗号化システムに関するものであり、特に、鍵共有攻撃を防止するために、鍵一致プロトコルの改良を行ったものである。
【0001】
〔背景技術〕
鍵の設定は、複数の主体(entities)が共有の秘密鍵を確立するプロセスである。
【0002】
上記鍵は、例えば機密性やデータの正当性などを目的として、暗号化を行う際に用いられるものである。理想的には、設定された鍵は、両者が面と向かって設定した鍵としての特性を正確に有しているべきものであり、鍵空間から偏りなくランダムに設定されるべきものであり、権利を有していない主体がその鍵について何ら知ることができない(計算上の限界がある)ものであるべきである。
【0003】
広く言えば、鍵設定プロトコルとしては、鍵輸送(key transport) プロトコルと、鍵一致(key agreement) プロトコルとの2種類の方法が存在する。鍵輸送プロトコルは、第1の主体によって鍵が生成され、この鍵が第2の主体に安全に伝達される方法である。鍵一致プロトコルは、各主体が情報を提供し合って、これらを繋げる(joint) ことによって共有の秘密鍵を設定する方法である。
【0004】
ここで、AおよびBという2者の誠実な(例えば法律に則った)主体を想定する。両者は、正確にプロトコルのステップを実行するものとする。簡単に言えば、主体Aが、特別に身元が確認された第2の主体B以外のものが秘密鍵の値を知ることができないことを確認できる場合には、鍵一致プロトコルは、暗示鍵認証(implicit key authentication) (Aに対するBの認証)を供給することになる。なお、暗示鍵認証は、Aが、Bが鍵を実際に有しているかを確認できることが必ずしも必要とされるものではないという特性を有している。関係する両方の主体に対して暗示鍵認証を供給する鍵一致プロトコルは、認証鍵一致プロトコル(AKプロトコル)と呼ばれる。
【0005】
また、主体Aが、第2の主体Bが実際に計算された一致鍵を有していることを確認できる場合には、鍵一致プロトコルは、明示鍵確認(explicit key confirmation) (Aに対するBの確認)を供給する、と言われる。また、Aが、Bが一致鍵を計算することができることを確認できる場合には、鍵一致プロトコルは、暗示鍵確認(implicit key authentication) を供給する、と言われる。暗示鍵確認は、明示鍵確認よりもAに対する保証が強くなるが(特に、前者が後者を含む場合)、全ての実際の目的に対して、実際には保証を同等とすることができる。これは、Bは、明示鍵確認プロセスの後に、即座にその鍵を削除することが可能であるからである。
【0006】
暗示鍵認証(Aに対するBの認証)と(暗示または明示)鍵確認(Aに対するBの確認)との両方が供給されるならば、鍵設定プロトコルは明示鍵認証(Aに対するBの認証)を供給すると言われる。関係する両方の主体に対して明示鍵認証を供給する鍵一致プロトコルは、鍵確認を伴う認証鍵一致プロトコル(AKCプロトコル)と呼ばれる。
【0007】
AKプロトコルまたはAKCプロトコルに対する、未知の鍵共有攻撃(UKS攻撃(unknown key-share attack))は、主体Aが、Aが認識していない(例えば、Aが、Bではない主体Eと鍵を共有していると信じている場合など)うちに、主体Bに対して鍵の共有が強制されることによって行われる。なお、AKプロトコルまたはAKCプロトコルがUKS攻撃に屈してしまうとしても、これらのプロトコルの暗示鍵認証特性が否定されるものではない。これは、定義によれば、暗示鍵認証の供給は、Aがそのプロトコルによって誠実な主体(Eではない)と関係する場合を前提としたものとなっているからである。
【0008】
station-to-station(STS)プロトコルは、Diffie-Hellmanの方式を基本にしたAKCプロトコルであり、(相互)暗示鍵認証と(相互)鍵確認との両方を供給するプロトコルを意味している。また、このSTSプロトコルは、さらに、所望とする安全性の特性、例えば秘密事項の転送や鍵の妥協(key compromise)によるなりすまし(impersonation) などに対する安全性の特性を有するようになっている。W. Diffie et al., “Authentication and authenticated key exchanges”, Designs, Codes and Cryptography, 2 (1992) 107-125 には、STSの2つの主要な変形例が示されている。1つは、鍵確認が、MACアルゴリズム(STS−MAC)による一致鍵Kを用いることによって供給されるものであり、もう1つは、Kが暗号化方式(STS−ENC)によって用いられるものである。STS−MACは、多くの実際の場面において、STS−ENCよりも好ましいものとなっている。また、STS−ENCによって、鍵確認を供給するための暗号化を行うと、信用度が低くなる。これは、暗号化方式の目的は、機密性を供給するものであり、鍵の所有を検証するための認証機構ではないからである。STS−ENCが、STS−MACよりも有利である点は、STS−ENCが、匿名性の供給を容易にすることができることである。
【0009】
STSに関連した多くのプロトコルが文献に出現している。しかしながら、これらのプロトコルは、STSの小さな変形例(minor variants)であるとみなすことができないものであることに注意すべきである。
【0010】
明瞭にすることを目的として、最初に、以降の説明において用いる表記を次のように概説しておく。
A,B 誠実な主体
E 攻撃者
SA 署名方式SによるAの(個人)署名鍵
PA SによるAの公開照合鍵
SA (M) メッセージMにおけるAの署名
CertA Aの名前、公開署名鍵PA、およびその他情報を含んだ証明書
EK (M) 鍵Kによる対称鍵暗号化方式を用いた、Mの暗号
MACK (M) 鍵Kに基づくメッセージ認証コード
G,α,n Diffle-Hellmanパラメータ;αは、有限群Gの首位の位数(prime order) nの要素
rA Aの、短命(ephemeral) Diffle-Hellman個人鍵;1≦rA≦n−1
K 短命Diffle-Hellman共有秘密;K=αrArB
2つのSTS変形例を以下に示す。これらの記述において、Aを開始者(initiator) と呼び、Bを応答者(responder) と呼ぶことにする。
【0011】
〔STS−MACプロトコル〕
以下に、STS−MACプロトコルについて説明する。開始者Aがランダムな秘密の整数rA(1≦rA≦n−1)を選択し、Bに対してメッセージ(1)を送信する。(1)を受信すると、Bは、ランダムな秘密の整数rB(1≦rB≦n−1)を選択し、共有秘密K=αrArBを計算し、Aに対してメッセージ(2)を送信する。(2)を受信すると、Aは、Bの署名鍵PBの認証を検証するためにCertB を使用し、メッセージ(αrB,αrA)上の署名を検証し、共有秘密Kを計算し、SB (αrB,αrA)のMACを検証した後に、Bに対してメッセージ(3)を送信する。(3)を受信すると、Bは、Aの署名鍵PAの認証を検証するためにCertA を使用し、メッセージ(αrA,αrB)上の署名を検証し、共有秘密Kを計算し、SB (αrA,αrB)のMACを検証する。もし、AまたはBにおいて行われる任意の段階のチェックや検証が失敗した場合には、その主体がプロトコルの動作を終了させ、拒絶する。
(1)A→B A,αrA
(2)A←B CertB ,αrB,SB (αrB,αrA),MACK (SB (αrB,αrA))
(3)A→B CertA ,SA (αrA,αrB),MACK (SA (αrA,αrB))
〔STS−ENCプロトコル〕
以下に、STS−ENCプロトコルについて説明する。簡潔に説明するために、AおよびBによって行われるチェックに関しては、以下では省略する。
(1)A→B A,αrA
(2)A←B CertB ,αrB,EK (SB (αrB,αrA))
(3)A→B CertA ,EK (SA (αrA,αrB))
鍵一致プロトコルに対する未知の鍵共有(UKS)攻撃について、より明確に理解するために、UKS攻撃によって引き起こされる損害の結果に関する仮想的なシナリオについてここで考えてみる。Aが銀行の支店であり、Bが口座の所有者であると仮定する。銀行の本社によって、口座所有者の口座情報に関する証明書が発行される。電子預金のプロトコルが、AKCプロトコルによって、銀行の支店に対して鍵の交換を行うためのものであると仮定する。このプロトコルを実行した結果、証明書内の口座番号に対して暗号化された金額が預金される。ここで、暗号化された預金額のメッセージにおいて、さらなる認証が行われなかった場合を仮定する(例えば、帯域幅を節約するためなど)。ここで、上記したUKS攻撃がうまく行われた場合には、Bの口座に代えて、Eの口座が作られることになる。
【0012】
AKCプロトコルに対するUKS攻撃は、AKプロトコル(鍵確認を提供しない)に対するUKS攻撃よりも重大な結果を招くことに注意することが重要である。
【0013】
AKプロトコルにおいて一致された鍵は、鍵確認なしに用いられることはない。実際、ある基準では、AKプロトコルにおいて一致された鍵の鍵確認を命令する保守的な方法が採用されている。適当な鍵確認が続いて供給される場合には、UKS攻撃の企みは検出されることになる。この理由により、上記の仮想的なシナリオ(特に、鍵一致プロトコルが終了した後に行われるさらなる認証がないと仮定した場合)は、AKCプロトコルが用いられた場合には(鍵確認がすでに供給されているので)現実的なものとなる一方、AKプロトコルが用いられた場合には(鍵確認がまだ供給されていないので)非現実的なものとなる。
【0014】
応答者に対するUKS攻撃において、攻撃者Eは、例えばPE=PAというように、Aの公開鍵PAを自分自身のものとして登録する。AがBにメッセージ(1)を送信したとき、Eはそれを横取りし、Aの身元情報をEのものとして置き換える。そして、Eは、BからAに対するメッセージ(2)を変化させないで送る。最後に、Eはメッセージ(3)を横取りし、CertA をCertE に置き換える。PA=PEとなっているので、SA (αrA,αrB)=SE(αrA,αrB)となる。よって、Bは、鍵Kを受領し、Kは実際にはAと共有されているにも拘らず、Eと共有されていると信じることになる。なお、EはKの値を知ることがないことになっている。この攻撃について以下に説明する。A!→Bという符号は、Aが、Bに対してメッセージを送ることを意図しているにも拘らず、攻撃者によって横取りされて、Bに送信されていない状態を示している。
(1)A!→B A,αrA
(1’)E→B E,αrA
(2)E←B CertB ,αrB,SB (αrB,αrA),MACK (SB (αrB,αrA))
(2’)A←E CertB ,αrB,SB (αrB,αrA),MACK (SB (αrB,αrA))
(3)A!→B CertA ,SA (αrB,αrA),MACK (SA (αrB,αrA))
(3’)E→B CertA ,SA (αrB,αrA),MACK (SA (αrB,αrA))
同様に、主体Eは、Bの公開鍵PBを自分自身のものとして登録することによって、開始者Aに対してUKS攻撃を行うことができる。この攻撃について以下に説明する。
(1)A→E A,αrA
(1’)E→B E,αrA
(2)A←!B CertB ,αrB,SB (αrB,αrA),MACK (SB (αrB,αrA))
(2’)A←E CertE ,αrB,SB (αrB,αrA),MACK (SB (αrB,αrA))
(3)A→E CertA ,SA (αrB,αrA),MACK (SA (αrB,αrA))
(3’)E→B CertA ,SA (αrB,αrA),MACK (SA (αrB,αrA))
新しいオンラインUKS攻撃について説明するにあたって、次のような仮定を設けることにする。第1に、STSにおいて用いられる署名方式Sが、次のような2つの署名鍵を選択する特性を有していると仮定する。PA(Aの公開鍵)、および、メッセージMにおけるAの署名SA が知られているとする。この場合、攻撃者は、SA がメッセージMにおけるEの署名となっている鍵の組(PE;SE)を選択することが可能となっている。
【0015】
第2に、Eは、STSプロトコルが実行されている際に証明された公開鍵を得ることができる。この仮定は、例えば、メッセージの移動における遅延が通常である場合や、CAがオンラインとなっている場合などにおいて、ありがちなことである。
【0016】
この応答者に対する新しいUKS攻撃は、前記した、応答者に対する公開鍵代理攻撃と同様のものとなっている。Aがメッセージ(3)を送った後に、Eはそれを横取りし、SE(αrA,αrB)=SA (αrA,αrB)というように、用いられている署名方式における鍵の組(PE;SE)を選択する。その後、EはPEに対する証明書CertE を入手し、メッセージ(3’)をBに送信する。
【0017】
この開始者に対する新しいUKS攻撃は、前記した、開始者に対する公開鍵代理攻撃と同様のものとなっている。Bがメッセージ(2)を送った後に、Eはそれを横取りし、SE(αrB,αrA)=SB (αrB,αrA)というように、用いられている署名方式における鍵の組(PE;SE)を選択する。その後、EはPEに対する証明書CertE を入手し、メッセージ(2’)をBに送信する。
【0018】
オンラインUKS攻撃では、攻撃者は、選択されている公開鍵PEに相当する個人鍵SEを知っている。よって、公開鍵代理攻撃の場合とは異なり、証明プロセスにおいて、主体が、公開鍵に相当する個人鍵を所有しているという証明書発行の権利を証明することを必要とすることによっては、このオンライン攻撃を防ぐことはできない。
【0019】
出願人は、STSプロトコルが安全に対して欠如している特性を有していることを発見した。それは、未知の鍵共有攻撃を最小にするために、STSプロトコルが有していることが望まれるものである。
【0020】
〔発明の開示〕
本発明の総体的な特徴としては、オンラインUKS攻撃を防ぐために、署名されたメッセージにおけるフローナンバー(flow number) とともに、送信者と受信者との身元情報を含んだステップが、鍵一致プロトコルにおいて備えられていることである。
【0021】
本発明の1つの特徴としては、応答者に対するオンラインUKS攻撃を最小にするために、第1のフロー(first flow)において、証明書CertA を送る主体Aのうちの一者が、STS−MACプロトコルにおいて備えられていることである。
【0022】
本発明の他の特徴としては、明示ではなく、暗示鍵確認のステップが備えられていることである。
【0023】
本発明のさらに他の特徴としては、署名されたメッセージではなく、鍵導出関数において主体の身元情報が含まれていることである。
【0024】
本発明のさらに他の特徴としては、STS−ENCおよびSTS−MACプロトコルによるアプリケーションが備えられていることである。
【0025】
本発明の好適な実施形態に係る上記の特徴およびその他の特徴は、添付図面を参照した次の詳細な説明で明白になるであろう。
【0026】
〔発明の実施における好適な形態〕
図1に示すように、電子通信システム10は、通信経路16によって接続されている送信者12および受信者14で示されているAおよびBの2つの通信者を有している。通信者12および14のそれぞれは、情報処理および経路16を通しての情報の移動の準備を行う暗号化ユニット18および20を有している。第3の主体22は攻撃者として説明される。
【0027】
鍵設定/一致プロトコルにおいて、本発明の実施形態では、主体同志の間で、次に示すようなメッセージの流れが行われる。
項目1
(1)A→E A,αrA
(2)A←B CertB ,αrB,SB (2,B,A,αrB,αrA),MACK (SB (2,B,A,αrB,αrA))
(3)A→B CertA ,SA (3,A,B,αrA,αrB),MACK (3,A,B,SA (αrA,αrB))
従来の技術で説明した、元のSTS−MACプロトコル、および上記のように修正したプロトコルでは、一致鍵Kが、明示鍵確認を提供することを目的として、MAC鍵として用いられている。受動的な攻撃者(passive adversary) は、Kに関する何らかの情報、すなわち、Kに基づいて知らされたメッセージのMACを有している。この攻撃者は、これを用いることによって、Kと、鍵空間1からランダムに偏りなく選択された鍵とを区別することが可能となる。ここでの鍵空間は、K={αi :1≦i≦n−1}で示される。また、この方法において、明示鍵確認を供給することによる他の欠点としては、一致鍵Kが、MACアルゴリズムとは異なる原始的な暗号化方式によって用いられる可能性があることである。これによって、鍵が1つの以上の目的で使われるべきではないという暗号化における基本原理が犯されることになる。
【0028】
明示ではなく、暗示鍵確認が達成される2つの方法としては、次のようなものがある。
(i)同じ共有秘密からK,K’=H(αrArB)(Hは、暗号化ハッシュ関数)の2つの鍵を取り出す。
(ii)K’=H1 (αrArB),K=H2 (αrArB)(H1 ,H2 は、独立したランダムオラクル(oracles) である) の2つの鍵を取り出す。
【0029】
Kは、一致セッション鍵として用いられる一方、K’は、そのセッションにおけるMAC鍵として用いられる。この改訂されたプロトコルについて以下に説明する。
項目2
(1)A→E A,αrA
(2)A←B CertB ,αrB,SB (2,B,A,αrB,αrA),MACK'(SB (2,B,A,αrB,αrA))
(3)A→B CertA ,SA (3,A,B,αrA,αrB),MACK'(3,A,B,SA (αrA,αrB))
署名されたメッセージに主体の身元情報が含まれる代わりに、共有秘密αrArBから共有鍵を導出することを目的として、鍵導出関数の中に、それらが含まれることになる。項目1におけるプロトコルでは、共有鍵はK=H(αrArB,A,B)となるが、項目2におけるプロトコルでは、共有鍵は、K,K’=H(αrArB,A,B)、および(ii)K’=H1 (αrArB,A,B),K=H2 (αrArB,A,B)となる。
【0030】
しかしながら、鍵導出関数は、暗号化の世界において良く研究されていないので、鍵導出関数において所望とされる特性がまだ特定されていない。よって、項目1および2において示したプロトコルは、鍵導出関数に身元情報が含まれる変形例においても好ましく用いることができる。
【0031】
項目2によるプロトコルは、暗示鍵確認を提供している。ほかの主体が実際に共有鍵Kを計算したという保証がない場合には、それぞれの主体は、他の主体が共有秘密αrArBを計算したという保証を得ることができる。MACがフローの中に含まれていない場合には、暗示鍵確認がさらに(いくらか低い程度で)供給されることになる。この改訂されたプロトコルを以下に示す。
項目3
(1)A→B A,αrA
(2)A←B CertB ,αrB,SB (2,B,A,αrB,αrA)
(3)A→B CertA ,SA (3,A,B,αrA,αrB)
オンラインUKS攻撃は、STS−ENCに対しては実行することができない。これは、署名SA (αrA,αrB)および署名SB (αrB,αrA)が、攻撃者に知られていないからである。しかしながら、予防策として、フローナンバーおよび送信者と意図されている受信者との身元情報が、署名されたメッセージに含まれるようにするか、上記の鍵導出関数に身元情報が含まれるようにするというような修正を行うことが好ましい。
【0032】
発明の詳細な説明の項においてなされた具体的な実施態様または実施例は、あくまでも、本発明の技術内容を明らかにするものであって、そのような具体例にのみ限定して狭義に解釈されるべきものではなく、本発明の精神と次に記載する特許請求事項との範囲内で、いろいろと変更して実施することができるものである。例えば、STS−MACに関して複数の項目を記載したが、これらは、STS−ENCに関しても同様に定義されうるものである。さらに、これらは、例えば楕円曲線群のような他の群に適用することも可能である。
【図面の簡単な説明】
【図1】 データ通信システムの概要を示すブロック図である。
【0001】
〔背景技術〕
鍵の設定は、複数の主体(entities)が共有の秘密鍵を確立するプロセスである。
【0002】
上記鍵は、例えば機密性やデータの正当性などを目的として、暗号化を行う際に用いられるものである。理想的には、設定された鍵は、両者が面と向かって設定した鍵としての特性を正確に有しているべきものであり、鍵空間から偏りなくランダムに設定されるべきものであり、権利を有していない主体がその鍵について何ら知ることができない(計算上の限界がある)ものであるべきである。
【0003】
広く言えば、鍵設定プロトコルとしては、鍵輸送(key transport) プロトコルと、鍵一致(key agreement) プロトコルとの2種類の方法が存在する。鍵輸送プロトコルは、第1の主体によって鍵が生成され、この鍵が第2の主体に安全に伝達される方法である。鍵一致プロトコルは、各主体が情報を提供し合って、これらを繋げる(joint) ことによって共有の秘密鍵を設定する方法である。
【0004】
ここで、AおよびBという2者の誠実な(例えば法律に則った)主体を想定する。両者は、正確にプロトコルのステップを実行するものとする。簡単に言えば、主体Aが、特別に身元が確認された第2の主体B以外のものが秘密鍵の値を知ることができないことを確認できる場合には、鍵一致プロトコルは、暗示鍵認証(implicit key authentication) (Aに対するBの認証)を供給することになる。なお、暗示鍵認証は、Aが、Bが鍵を実際に有しているかを確認できることが必ずしも必要とされるものではないという特性を有している。関係する両方の主体に対して暗示鍵認証を供給する鍵一致プロトコルは、認証鍵一致プロトコル(AKプロトコル)と呼ばれる。
【0005】
また、主体Aが、第2の主体Bが実際に計算された一致鍵を有していることを確認できる場合には、鍵一致プロトコルは、明示鍵確認(explicit key confirmation) (Aに対するBの確認)を供給する、と言われる。また、Aが、Bが一致鍵を計算することができることを確認できる場合には、鍵一致プロトコルは、暗示鍵確認(implicit key authentication) を供給する、と言われる。暗示鍵確認は、明示鍵確認よりもAに対する保証が強くなるが(特に、前者が後者を含む場合)、全ての実際の目的に対して、実際には保証を同等とすることができる。これは、Bは、明示鍵確認プロセスの後に、即座にその鍵を削除することが可能であるからである。
【0006】
暗示鍵認証(Aに対するBの認証)と(暗示または明示)鍵確認(Aに対するBの確認)との両方が供給されるならば、鍵設定プロトコルは明示鍵認証(Aに対するBの認証)を供給すると言われる。関係する両方の主体に対して明示鍵認証を供給する鍵一致プロトコルは、鍵確認を伴う認証鍵一致プロトコル(AKCプロトコル)と呼ばれる。
【0007】
AKプロトコルまたはAKCプロトコルに対する、未知の鍵共有攻撃(UKS攻撃(unknown key-share attack))は、主体Aが、Aが認識していない(例えば、Aが、Bではない主体Eと鍵を共有していると信じている場合など)うちに、主体Bに対して鍵の共有が強制されることによって行われる。なお、AKプロトコルまたはAKCプロトコルがUKS攻撃に屈してしまうとしても、これらのプロトコルの暗示鍵認証特性が否定されるものではない。これは、定義によれば、暗示鍵認証の供給は、Aがそのプロトコルによって誠実な主体(Eではない)と関係する場合を前提としたものとなっているからである。
【0008】
station-to-station(STS)プロトコルは、Diffie-Hellmanの方式を基本にしたAKCプロトコルであり、(相互)暗示鍵認証と(相互)鍵確認との両方を供給するプロトコルを意味している。また、このSTSプロトコルは、さらに、所望とする安全性の特性、例えば秘密事項の転送や鍵の妥協(key compromise)によるなりすまし(impersonation) などに対する安全性の特性を有するようになっている。W. Diffie et al., “Authentication and authenticated key exchanges”, Designs, Codes and Cryptography, 2 (1992) 107-125 には、STSの2つの主要な変形例が示されている。1つは、鍵確認が、MACアルゴリズム(STS−MAC)による一致鍵Kを用いることによって供給されるものであり、もう1つは、Kが暗号化方式(STS−ENC)によって用いられるものである。STS−MACは、多くの実際の場面において、STS−ENCよりも好ましいものとなっている。また、STS−ENCによって、鍵確認を供給するための暗号化を行うと、信用度が低くなる。これは、暗号化方式の目的は、機密性を供給するものであり、鍵の所有を検証するための認証機構ではないからである。STS−ENCが、STS−MACよりも有利である点は、STS−ENCが、匿名性の供給を容易にすることができることである。
【0009】
STSに関連した多くのプロトコルが文献に出現している。しかしながら、これらのプロトコルは、STSの小さな変形例(minor variants)であるとみなすことができないものであることに注意すべきである。
【0010】
明瞭にすることを目的として、最初に、以降の説明において用いる表記を次のように概説しておく。
A,B 誠実な主体
E 攻撃者
SA 署名方式SによるAの(個人)署名鍵
PA SによるAの公開照合鍵
SA (M) メッセージMにおけるAの署名
CertA Aの名前、公開署名鍵PA、およびその他情報を含んだ証明書
EK (M) 鍵Kによる対称鍵暗号化方式を用いた、Mの暗号
MACK (M) 鍵Kに基づくメッセージ認証コード
G,α,n Diffle-Hellmanパラメータ;αは、有限群Gの首位の位数(prime order) nの要素
rA Aの、短命(ephemeral) Diffle-Hellman個人鍵;1≦rA≦n−1
K 短命Diffle-Hellman共有秘密;K=αrArB
2つのSTS変形例を以下に示す。これらの記述において、Aを開始者(initiator) と呼び、Bを応答者(responder) と呼ぶことにする。
【0011】
〔STS−MACプロトコル〕
以下に、STS−MACプロトコルについて説明する。開始者Aがランダムな秘密の整数rA(1≦rA≦n−1)を選択し、Bに対してメッセージ(1)を送信する。(1)を受信すると、Bは、ランダムな秘密の整数rB(1≦rB≦n−1)を選択し、共有秘密K=αrArBを計算し、Aに対してメッセージ(2)を送信する。(2)を受信すると、Aは、Bの署名鍵PBの認証を検証するためにCertB を使用し、メッセージ(αrB,αrA)上の署名を検証し、共有秘密Kを計算し、SB (αrB,αrA)のMACを検証した後に、Bに対してメッセージ(3)を送信する。(3)を受信すると、Bは、Aの署名鍵PAの認証を検証するためにCertA を使用し、メッセージ(αrA,αrB)上の署名を検証し、共有秘密Kを計算し、SB (αrA,αrB)のMACを検証する。もし、AまたはBにおいて行われる任意の段階のチェックや検証が失敗した場合には、その主体がプロトコルの動作を終了させ、拒絶する。
(1)A→B A,αrA
(2)A←B CertB ,αrB,SB (αrB,αrA),MACK (SB (αrB,αrA))
(3)A→B CertA ,SA (αrA,αrB),MACK (SA (αrA,αrB))
〔STS−ENCプロトコル〕
以下に、STS−ENCプロトコルについて説明する。簡潔に説明するために、AおよびBによって行われるチェックに関しては、以下では省略する。
(1)A→B A,αrA
(2)A←B CertB ,αrB,EK (SB (αrB,αrA))
(3)A→B CertA ,EK (SA (αrA,αrB))
鍵一致プロトコルに対する未知の鍵共有(UKS)攻撃について、より明確に理解するために、UKS攻撃によって引き起こされる損害の結果に関する仮想的なシナリオについてここで考えてみる。Aが銀行の支店であり、Bが口座の所有者であると仮定する。銀行の本社によって、口座所有者の口座情報に関する証明書が発行される。電子預金のプロトコルが、AKCプロトコルによって、銀行の支店に対して鍵の交換を行うためのものであると仮定する。このプロトコルを実行した結果、証明書内の口座番号に対して暗号化された金額が預金される。ここで、暗号化された預金額のメッセージにおいて、さらなる認証が行われなかった場合を仮定する(例えば、帯域幅を節約するためなど)。ここで、上記したUKS攻撃がうまく行われた場合には、Bの口座に代えて、Eの口座が作られることになる。
【0012】
AKCプロトコルに対するUKS攻撃は、AKプロトコル(鍵確認を提供しない)に対するUKS攻撃よりも重大な結果を招くことに注意することが重要である。
【0013】
AKプロトコルにおいて一致された鍵は、鍵確認なしに用いられることはない。実際、ある基準では、AKプロトコルにおいて一致された鍵の鍵確認を命令する保守的な方法が採用されている。適当な鍵確認が続いて供給される場合には、UKS攻撃の企みは検出されることになる。この理由により、上記の仮想的なシナリオ(特に、鍵一致プロトコルが終了した後に行われるさらなる認証がないと仮定した場合)は、AKCプロトコルが用いられた場合には(鍵確認がすでに供給されているので)現実的なものとなる一方、AKプロトコルが用いられた場合には(鍵確認がまだ供給されていないので)非現実的なものとなる。
【0014】
応答者に対するUKS攻撃において、攻撃者Eは、例えばPE=PAというように、Aの公開鍵PAを自分自身のものとして登録する。AがBにメッセージ(1)を送信したとき、Eはそれを横取りし、Aの身元情報をEのものとして置き換える。そして、Eは、BからAに対するメッセージ(2)を変化させないで送る。最後に、Eはメッセージ(3)を横取りし、CertA をCertE に置き換える。PA=PEとなっているので、SA (αrA,αrB)=SE(αrA,αrB)となる。よって、Bは、鍵Kを受領し、Kは実際にはAと共有されているにも拘らず、Eと共有されていると信じることになる。なお、EはKの値を知ることがないことになっている。この攻撃について以下に説明する。A!→Bという符号は、Aが、Bに対してメッセージを送ることを意図しているにも拘らず、攻撃者によって横取りされて、Bに送信されていない状態を示している。
(1)A!→B A,αrA
(1’)E→B E,αrA
(2)E←B CertB ,αrB,SB (αrB,αrA),MACK (SB (αrB,αrA))
(2’)A←E CertB ,αrB,SB (αrB,αrA),MACK (SB (αrB,αrA))
(3)A!→B CertA ,SA (αrB,αrA),MACK (SA (αrB,αrA))
(3’)E→B CertA ,SA (αrB,αrA),MACK (SA (αrB,αrA))
同様に、主体Eは、Bの公開鍵PBを自分自身のものとして登録することによって、開始者Aに対してUKS攻撃を行うことができる。この攻撃について以下に説明する。
(1)A→E A,αrA
(1’)E→B E,αrA
(2)A←!B CertB ,αrB,SB (αrB,αrA),MACK (SB (αrB,αrA))
(2’)A←E CertE ,αrB,SB (αrB,αrA),MACK (SB (αrB,αrA))
(3)A→E CertA ,SA (αrB,αrA),MACK (SA (αrB,αrA))
(3’)E→B CertA ,SA (αrB,αrA),MACK (SA (αrB,αrA))
新しいオンラインUKS攻撃について説明するにあたって、次のような仮定を設けることにする。第1に、STSにおいて用いられる署名方式Sが、次のような2つの署名鍵を選択する特性を有していると仮定する。PA(Aの公開鍵)、および、メッセージMにおけるAの署名SA が知られているとする。この場合、攻撃者は、SA がメッセージMにおけるEの署名となっている鍵の組(PE;SE)を選択することが可能となっている。
【0015】
第2に、Eは、STSプロトコルが実行されている際に証明された公開鍵を得ることができる。この仮定は、例えば、メッセージの移動における遅延が通常である場合や、CAがオンラインとなっている場合などにおいて、ありがちなことである。
【0016】
この応答者に対する新しいUKS攻撃は、前記した、応答者に対する公開鍵代理攻撃と同様のものとなっている。Aがメッセージ(3)を送った後に、Eはそれを横取りし、SE(αrA,αrB)=SA (αrA,αrB)というように、用いられている署名方式における鍵の組(PE;SE)を選択する。その後、EはPEに対する証明書CertE を入手し、メッセージ(3’)をBに送信する。
【0017】
この開始者に対する新しいUKS攻撃は、前記した、開始者に対する公開鍵代理攻撃と同様のものとなっている。Bがメッセージ(2)を送った後に、Eはそれを横取りし、SE(αrB,αrA)=SB (αrB,αrA)というように、用いられている署名方式における鍵の組(PE;SE)を選択する。その後、EはPEに対する証明書CertE を入手し、メッセージ(2’)をBに送信する。
【0018】
オンラインUKS攻撃では、攻撃者は、選択されている公開鍵PEに相当する個人鍵SEを知っている。よって、公開鍵代理攻撃の場合とは異なり、証明プロセスにおいて、主体が、公開鍵に相当する個人鍵を所有しているという証明書発行の権利を証明することを必要とすることによっては、このオンライン攻撃を防ぐことはできない。
【0019】
出願人は、STSプロトコルが安全に対して欠如している特性を有していることを発見した。それは、未知の鍵共有攻撃を最小にするために、STSプロトコルが有していることが望まれるものである。
【0020】
〔発明の開示〕
本発明の総体的な特徴としては、オンラインUKS攻撃を防ぐために、署名されたメッセージにおけるフローナンバー(flow number) とともに、送信者と受信者との身元情報を含んだステップが、鍵一致プロトコルにおいて備えられていることである。
【0021】
本発明の1つの特徴としては、応答者に対するオンラインUKS攻撃を最小にするために、第1のフロー(first flow)において、証明書CertA を送る主体Aのうちの一者が、STS−MACプロトコルにおいて備えられていることである。
【0022】
本発明の他の特徴としては、明示ではなく、暗示鍵確認のステップが備えられていることである。
【0023】
本発明のさらに他の特徴としては、署名されたメッセージではなく、鍵導出関数において主体の身元情報が含まれていることである。
【0024】
本発明のさらに他の特徴としては、STS−ENCおよびSTS−MACプロトコルによるアプリケーションが備えられていることである。
【0025】
本発明の好適な実施形態に係る上記の特徴およびその他の特徴は、添付図面を参照した次の詳細な説明で明白になるであろう。
【0026】
〔発明の実施における好適な形態〕
図1に示すように、電子通信システム10は、通信経路16によって接続されている送信者12および受信者14で示されているAおよびBの2つの通信者を有している。通信者12および14のそれぞれは、情報処理および経路16を通しての情報の移動の準備を行う暗号化ユニット18および20を有している。第3の主体22は攻撃者として説明される。
【0027】
鍵設定/一致プロトコルにおいて、本発明の実施形態では、主体同志の間で、次に示すようなメッセージの流れが行われる。
項目1
(1)A→E A,αrA
(2)A←B CertB ,αrB,SB (2,B,A,αrB,αrA),MACK (SB (2,B,A,αrB,αrA))
(3)A→B CertA ,SA (3,A,B,αrA,αrB),MACK (3,A,B,SA (αrA,αrB))
従来の技術で説明した、元のSTS−MACプロトコル、および上記のように修正したプロトコルでは、一致鍵Kが、明示鍵確認を提供することを目的として、MAC鍵として用いられている。受動的な攻撃者(passive adversary) は、Kに関する何らかの情報、すなわち、Kに基づいて知らされたメッセージのMACを有している。この攻撃者は、これを用いることによって、Kと、鍵空間1からランダムに偏りなく選択された鍵とを区別することが可能となる。ここでの鍵空間は、K={αi :1≦i≦n−1}で示される。また、この方法において、明示鍵確認を供給することによる他の欠点としては、一致鍵Kが、MACアルゴリズムとは異なる原始的な暗号化方式によって用いられる可能性があることである。これによって、鍵が1つの以上の目的で使われるべきではないという暗号化における基本原理が犯されることになる。
【0028】
明示ではなく、暗示鍵確認が達成される2つの方法としては、次のようなものがある。
(i)同じ共有秘密からK,K’=H(αrArB)(Hは、暗号化ハッシュ関数)の2つの鍵を取り出す。
(ii)K’=H1 (αrArB),K=H2 (αrArB)(H1 ,H2 は、独立したランダムオラクル(oracles) である) の2つの鍵を取り出す。
【0029】
Kは、一致セッション鍵として用いられる一方、K’は、そのセッションにおけるMAC鍵として用いられる。この改訂されたプロトコルについて以下に説明する。
項目2
(1)A→E A,αrA
(2)A←B CertB ,αrB,SB (2,B,A,αrB,αrA),MACK'(SB (2,B,A,αrB,αrA))
(3)A→B CertA ,SA (3,A,B,αrA,αrB),MACK'(3,A,B,SA (αrA,αrB))
署名されたメッセージに主体の身元情報が含まれる代わりに、共有秘密αrArBから共有鍵を導出することを目的として、鍵導出関数の中に、それらが含まれることになる。項目1におけるプロトコルでは、共有鍵はK=H(αrArB,A,B)となるが、項目2におけるプロトコルでは、共有鍵は、K,K’=H(αrArB,A,B)、および(ii)K’=H1 (αrArB,A,B),K=H2 (αrArB,A,B)となる。
【0030】
しかしながら、鍵導出関数は、暗号化の世界において良く研究されていないので、鍵導出関数において所望とされる特性がまだ特定されていない。よって、項目1および2において示したプロトコルは、鍵導出関数に身元情報が含まれる変形例においても好ましく用いることができる。
【0031】
項目2によるプロトコルは、暗示鍵確認を提供している。ほかの主体が実際に共有鍵Kを計算したという保証がない場合には、それぞれの主体は、他の主体が共有秘密αrArBを計算したという保証を得ることができる。MACがフローの中に含まれていない場合には、暗示鍵確認がさらに(いくらか低い程度で)供給されることになる。この改訂されたプロトコルを以下に示す。
項目3
(1)A→B A,αrA
(2)A←B CertB ,αrB,SB (2,B,A,αrB,αrA)
(3)A→B CertA ,SA (3,A,B,αrA,αrB)
オンラインUKS攻撃は、STS−ENCに対しては実行することができない。これは、署名SA (αrA,αrB)および署名SB (αrB,αrA)が、攻撃者に知られていないからである。しかしながら、予防策として、フローナンバーおよび送信者と意図されている受信者との身元情報が、署名されたメッセージに含まれるようにするか、上記の鍵導出関数に身元情報が含まれるようにするというような修正を行うことが好ましい。
【0032】
発明の詳細な説明の項においてなされた具体的な実施態様または実施例は、あくまでも、本発明の技術内容を明らかにするものであって、そのような具体例にのみ限定して狭義に解釈されるべきものではなく、本発明の精神と次に記載する特許請求事項との範囲内で、いろいろと変更して実施することができるものである。例えば、STS−MACに関して複数の項目を記載したが、これらは、STS−ENCに関しても同様に定義されうるものである。さらに、これらは、例えば楕円曲線群のような他の群に適用することも可能である。
【図面の簡単な説明】
【図1】 データ通信システムの概要を示すブロック図である。
Claims (18)
- 第1の通信者と第2の通信者との間で共通の共有鍵を確立する方法であって、
該第1の通信者は、該第1の通信者の秘密情報とそれに対応する公開情報とを有し、該第2の通信者は、該第2の通信者の秘密情報とそれに対応する公開情報とを有し、該第1の通信者および該第2の通信者のそれぞれは、メッセージを送信および受信することが可能な暗号化ユニットを含み、
該方法は、
該第1の通信者の該暗号化ユニットが、第1のメッセージを該第2の通信者に送信するステップであって、該第1のメッセージは、該第1のメッセージの一部分の署名を含み、該第1のメッセージの該一部分は、該第1の通信者および該第2の通信者のそれぞれの身元および公開情報を含み、該第1のメッセージの該一部分の該署名は、該第1の通信者を認証するために、該第2の通信者によって検証可能である、ステップと、
該第2の通信者の該暗号化ユニットが、第2のメッセージを該第1の通信者に送信するステップであって、該第2のメッセージは、該第2のメッセージの一部分の署名を含み、該第2のメッセージの該一部分は、該第1の通信者および該第2の通信者のそれぞれの身元および公開情報を含み、該第2のメッセージの該一部分の該署名は、該第2の通信者を認証するために、該第1の通信者によって検証可能である、ステップと、
該第1の通信者の該暗号化ユニットが、該第1の通信者の該秘密情報と該第2の通信者の該公開情報とを用いて、該共有鍵を構成し、該第2の通信者の該暗号化ユニットが、該第2の通信者の該秘密情報と該第1の通信者の該公開情報とを用いて、該共有鍵を構成するステップと
を含む、方法。 - 前記第1のメッセージの前記一部分および前記第2のメッセージの前記一部分の中にフローナンバーを設けるステップをさらに含む、請求項1に記載の方法。
- オペレーションは、STS−MACプロトコルに基づている、請求項1または2に記載の方法。
- 前記第1の通信者が、第1のフローにおいて、公開鍵に対する証明書を第2の通信者に送信するステップをさらに含む、請求項1〜3のいずれか一項に記載の方法。
- オペレーションは、STS−ENCプロトコルに基づいている、請求項1または2に記載の方法。
- 前記第1のメッセージおよび前記第2のメッセージのそれぞれは、メッセージ認証コード(MAC)を含み、該MACは、フローナンバーを含む、請求項1〜5のいずれか一項に記載の方法。
- 第1の通信者と第2の通信者との間での情報の交換を安全化するために用いられる共通の共有鍵を確立する方法であって、該第1の通信者および該第2の通信者のそれぞれは、メッセージを送信および受信することが可能な暗号化ユニットを含み、
該方法は、
該第1の通信者の該暗号化ユニットが、該第1の通信者の秘密情報とそれに対応する公開情報とを生成するステップと、
該第1の通信者の該暗号化ユニットが、該第1の通信者の該公開情報を該第2の通信者に対して利用可能にするステップと、
該第2の通信者の該暗号化ユニットが、該第2の通信者の秘密情報とそれに対応する公開情報とを生成するステップと、
該第2の通信者の該暗号化ユニットが、該第2の通信者の該公開情報を該第1の通信者に対して利用可能にするステップと、
該第1の通信者の該暗号化ユニットが、鍵導出関数を用いて、該第1の通信者の該秘密情報と、該第2の通信者の該公開情報とを組み合わせることにより、共有の秘密を生成し、該共有の秘密と、該第1の通信者の身元と、該第2の通信者の身元とを組み合わせることにより、該共有鍵を生成するステップと、
該第2の通信者の該暗号化ユニットが、該鍵導出関数を用いて、該第2の通信者の該秘密情報と、該第1の通信者の該公開情報とを組み合わせることにより、該共有の秘密を生成し、該共有の秘密と、該第1の通信者の該身元と、該第2の通信者の該身元とを組み合わせることにより、該共有鍵を生成するステップと
を含む、方法。 - 前記第1の通信者は、第1のメッセージを前記第2の通信者に送信し、該第1のメッセージは、該第1の通信者の前記公開情報とフローナンバーとを含み、前記第2の通信者は、第2のメッセージを前記第1の通信者に送信し、該第2のメッセージは、該第2の通信者の前記公開情報と別のフローナンバーとを含む、請求項7に記載の方法。
- オペレーションは、STS−MACプロトコルまたはSTS−ENCプロトコルのいずれかに基づいている、請求項7または8に記載の方法。
- 前記第1の通信者および前記第2の通信者のうちの一方が、第1のフローにおいて、公開鍵に対する証明書を該第1の通信者および該第2の通信者のうちの他方に送信することをさらに含む、請求項7〜9のいずれか一項に記載の方法。
- 前記第1の通信者および前記第2の通信者のうちの前記一方が、メッセージ認証コード(MAC)を該第1の通信者および該第2の通信者のうちの前記他方に送信するステップをさらに含み、該MACは、フローナンバーを含む、請求項7〜9のいずれか一項に記載の方法。
- 第1の通信者と第2の通信者との間での情報の交換を安全化するために用いられる共通の共有鍵を確立する方法であって、該第1の通信者は、メッセージを送信および受信することが可能な暗号化ユニットを含み、
該方法は、
該第1の通信者の該暗号化ユニットが、該第1の通信者の秘密情報とそれに対応する公開情報とを生成するステップと、
該第1の通信者の該暗号化ユニットが、該第1の通信者の該公開情報を該第2の通信者に対して利用可能にするステップと、
該第1の通信者の該暗号化ユニットが、該第2の通信者の暗号化ユニットによって利用可能にされた該第2の通信者の公開情報を受信するステップであって、該第2の通信者の該公開情報は、該第2の通信者の秘密情報に対応する、ステップと、
該第1の通信者の該暗号化ユニットが、鍵導出関数を用いて、該第1の通信者の該秘密情報と、該第2の通信者の該公開情報とを組み合わせることにより、共有の秘密を生成し、該共有の秘密と、該第1の通信者の身元と、該第2の通信者の身元とを組み合わせることにより、該共有鍵を生成するステップであって、該共有鍵は、該鍵導出関数を用いて、該第2の通信者の該秘密情報と、該第1の通信者の該公開情報とを組み合わせることにより、該共有の秘密を生成し、該共有の秘密と、該第1の通信者の該身元と、該第2の通信者の該身元とを組み合わせることにより、該第2の通信者によって構成可能である、ステップと
を含む、方法。 - 前記第1の通信者は、第1のメッセージを前記第2の通信者の暗号化ユニットに送信し、該第1のメッセージは、該第1の通信者の前記公開情報とフローナンバーとを含む、請求項12に記載の方法。
- オペレーションは、STS−MACプロトコルまたはSTS−ENCプロトコルのいずれかに基づいている、請求項12または13に記載の方法。
- 前記第1の通信者が、第1のフローにおいて、該第1の通信者の公開鍵に対する証明書を前記第2の通信者の暗号化ユニットに送信するステップをさらに含む、請求項12〜14のいずれか一項に記載の方法。
- 前記第1の通信者が、メッセージ認証コード(MAC)を前記第2の通信者の暗号化ユニットに送信するステップをさらに含み、該MACは、フローナンバーを含む、請求項12〜14のいずれか一項に記載の方法。
- 第1の通信者および第2の通信者を含むシステムであって、該第1の通信者および該第2の通信者のそれぞれは、暗号化ユニットを有し、該第1の通信者および該第2の通信者は、請求項1〜11のいずれか一項に記載のステップを実行するように構成されている、システム。
- 請求項12〜16のいずれか一項に記載のステップを実行するように構成された暗号化ユニットを有する電子通信デバイス。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CA002241705A CA2241705C (en) | 1998-06-26 | 1998-06-26 | A method for preventing key-share attacks |
| CA2,241,705 | 1998-06-26 | ||
| PCT/CA1999/000595 WO2000001109A1 (en) | 1998-06-26 | 1999-06-28 | A method for preventing key share attacks |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2002519939A JP2002519939A (ja) | 2002-07-02 |
| JP2002519939A5 JP2002519939A5 (ja) | 2006-07-20 |
| JP4750274B2 true JP4750274B2 (ja) | 2011-08-17 |
Family
ID=4162587
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000557579A Expired - Lifetime JP4750274B2 (ja) | 1998-06-26 | 1999-06-28 | 鍵共有攻撃防御方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US6850620B2 (ja) |
| EP (1) | EP1090478B1 (ja) |
| JP (1) | JP4750274B2 (ja) |
| AU (1) | AU4493599A (ja) |
| CA (1) | CA2241705C (ja) |
| DE (1) | DE69942875D1 (ja) |
| WO (1) | WO2000001109A1 (ja) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19850665A1 (de) * | 1998-11-03 | 2000-05-04 | Siemens Ag | Verfahren und Anordnung zur Authentifikation von einer ersten Instanz und einer zweiten Instanz |
| CA2277633C (en) | 1999-07-19 | 2009-10-20 | Certicom Corp. | Split-key key-agreement protocol |
| FR2829644A1 (fr) * | 2001-09-10 | 2003-03-14 | St Microelectronics Sa | Procede securise de transmission de donnees multimedia |
| EP1320006A1 (en) | 2001-12-12 | 2003-06-18 | Canal+ Technologies Société Anonyme | Processing data |
| US7565537B2 (en) * | 2002-06-10 | 2009-07-21 | Microsoft Corporation | Secure key exchange with mutual authentication |
| US7900051B2 (en) | 2002-09-10 | 2011-03-01 | Stmicroelectronics S.A. | Secure multimedia data transmission method |
| WO2004071046A1 (de) * | 2003-01-20 | 2004-08-19 | Siemens Aktiengesellschaft | Datenübertragung zwischen rechnern |
| US7885411B2 (en) | 2004-04-02 | 2011-02-08 | Research In Motion Limited | Key agreement and re-keying over a bidirectional communication path |
| US7646872B2 (en) | 2004-04-02 | 2010-01-12 | Research In Motion Limited | Systems and methods to securely generate shared keys |
| US7545932B2 (en) | 2004-10-29 | 2009-06-09 | Thomson Licensing | Secure authenticated channel |
| EP1906587A3 (en) * | 2004-10-29 | 2008-04-16 | Thomson Licensing, Inc. | Secure authenticated channel |
| DE102006004237A1 (de) * | 2006-01-30 | 2007-08-16 | Siemens Ag | Verfahren und Vorrichtung zur Vereinbarung eines gemeinsamen Schlüssels zwischen einem ersten Kommunikationsgerät und einem zweiten Kommunikationsgerät |
| US8495375B2 (en) * | 2007-12-21 | 2013-07-23 | Research In Motion Limited | Methods and systems for secure channel initialization |
| US8452017B2 (en) * | 2007-12-21 | 2013-05-28 | Research In Motion Limited | Methods and systems for secure channel initialization transaction security based on a low entropy shared secret |
| EP2073430B1 (en) | 2007-12-21 | 2013-07-24 | Research In Motion Limited | Methods and systems for secure channel initialization transaction security based on a low entropy shared secret |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH02291740A (ja) * | 1989-05-01 | 1990-12-03 | Fujitsu Ltd | 署名機能を持つ鍵配送方式 |
| JPH07212356A (ja) * | 1993-12-30 | 1995-08-11 | Internatl Business Mach Corp <Ibm> | 通信パートナの認証方法及びシステム |
| US5491750A (en) * | 1993-12-30 | 1996-02-13 | International Business Machines Corporation | Method and apparatus for three-party entity authentication and key distribution using message authentication codes |
| JPH0897813A (ja) * | 1994-09-27 | 1996-04-12 | Oki Electric Ind Co Ltd | 通信方法および装置 |
| WO1996033566A1 (en) * | 1995-04-21 | 1996-10-24 | Certicom Corp. | Method for secure session key generation and authentication |
| JPH09171349A (ja) * | 1995-12-19 | 1997-06-30 | Nec Corp | デジタル署名方法 |
| JPH11256901A (ja) * | 1998-03-09 | 1999-09-21 | Advance Co Ltd | 暗号鍵管理方式 |
| US6212636B1 (en) * | 1997-05-01 | 2001-04-03 | Itt Manufacturing Enterprises | Method for establishing trust in a computer network via association |
| US6246771B1 (en) * | 1997-11-26 | 2001-06-12 | V-One Corporation | Session key recovery system and method |
| JP2002514841A (ja) * | 1998-05-01 | 2002-05-21 | サーティコム コーポレーション | 認証鍵一致プロトコル |
-
1998
- 1998-06-26 CA CA002241705A patent/CA2241705C/en not_active Expired - Lifetime
-
1999
- 1999-06-28 EP EP99927620A patent/EP1090478B1/en not_active Expired - Lifetime
- 1999-06-28 WO PCT/CA1999/000595 patent/WO2000001109A1/en active Application Filing
- 1999-06-28 DE DE69942875T patent/DE69942875D1/de not_active Expired - Lifetime
- 1999-06-28 JP JP2000557579A patent/JP4750274B2/ja not_active Expired - Lifetime
- 1999-06-28 AU AU44935/99A patent/AU4493599A/en not_active Abandoned
-
2000
- 2000-12-26 US US09/745,488 patent/US6850620B2/en not_active Expired - Lifetime
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH02291740A (ja) * | 1989-05-01 | 1990-12-03 | Fujitsu Ltd | 署名機能を持つ鍵配送方式 |
| JPH07212356A (ja) * | 1993-12-30 | 1995-08-11 | Internatl Business Mach Corp <Ibm> | 通信パートナの認証方法及びシステム |
| US5491750A (en) * | 1993-12-30 | 1996-02-13 | International Business Machines Corporation | Method and apparatus for three-party entity authentication and key distribution using message authentication codes |
| JPH0897813A (ja) * | 1994-09-27 | 1996-04-12 | Oki Electric Ind Co Ltd | 通信方法および装置 |
| WO1996033566A1 (en) * | 1995-04-21 | 1996-10-24 | Certicom Corp. | Method for secure session key generation and authentication |
| JPH09171349A (ja) * | 1995-12-19 | 1997-06-30 | Nec Corp | デジタル署名方法 |
| US6212636B1 (en) * | 1997-05-01 | 2001-04-03 | Itt Manufacturing Enterprises | Method for establishing trust in a computer network via association |
| US6246771B1 (en) * | 1997-11-26 | 2001-06-12 | V-One Corporation | Session key recovery system and method |
| JPH11256901A (ja) * | 1998-03-09 | 1999-09-21 | Advance Co Ltd | 暗号鍵管理方式 |
| JP2002514841A (ja) * | 1998-05-01 | 2002-05-21 | サーティコム コーポレーション | 認証鍵一致プロトコル |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002519939A (ja) | 2002-07-02 |
| EP1090478B1 (en) | 2010-10-20 |
| WO2000001109A1 (en) | 2000-01-06 |
| CA2241705A1 (en) | 1999-12-26 |
| EP1090478A1 (en) | 2001-04-11 |
| DE69942875D1 (de) | 2010-12-02 |
| US20010021256A1 (en) | 2001-09-13 |
| CA2241705C (en) | 2006-06-20 |
| US6850620B2 (en) | 2005-02-01 |
| AU4493599A (en) | 2000-01-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11108565B2 (en) | Secure communications providing forward secrecy | |
| CN109257182B (zh) | 基于同态密码学承诺与零知识范围证明的隐私保护方法 | |
| JP5171991B2 (ja) | 鍵合意および移送プロトコル | |
| JP4384728B2 (ja) | 内在的署名を用いた鍵一致及び輸送プロトコル | |
| JP5702813B2 (ja) | 内在的証明書方式 | |
| Wang et al. | Security analysis of a single sign-on mechanism for distributed computer networks | |
| US5796833A (en) | Public key sterilization | |
| US6487661B2 (en) | Key agreement and transport protocol | |
| JP4750274B2 (ja) | 鍵共有攻撃防御方法 | |
| CN110020524B (zh) | 一种基于智能卡的双向认证方法 | |
| EP1905186A2 (en) | Cryptographic authentication, and/or establishment of shared cryptographic keys, using a signing key encrypted with a non-one-time-pad encryption, including (but not limited to) techniques with improved security against malleability attacks | |
| JP2003298568A (ja) | 鍵供託を使用しない、認証された個別暗号システム | |
| JPH04117826A (ja) | 認証機能付き鍵配送方式 | |
| JP2003536320A (ja) | 複数のサーバを使用した遠隔パスワード認証のためのシステム、方法およびソフトウェア | |
| Chen et al. | A round-and computation-efficient three-party authenticated key exchange protocol | |
| CN114710275B (zh) | 物联网环境下基于区块链的跨域认证和密钥协商方法 | |
| US7971234B1 (en) | Method and apparatus for offline cryptographic key establishment | |
| KR20230093432A (ko) | 서비스 거부 공격들의 식별 | |
| JP2007318806A (ja) | 移動ネットワーク環境におけるデータトラフィックの保護方法 | |
| JPH04129441A (ja) | 認証機能付き鍵配送システムにおける端末 | |
| JP3253060B2 (ja) | 相互認証方法及びその装置 | |
| CN110572257A (zh) | 基于身份的抗量子计算数据来源鉴别方法和系统 | |
| Bella | Mechanising a protocol for smart cards | |
| TWI840358B (zh) | 用以使用區塊鏈來執行基元式互換之電腦實施系統及方法 | |
| Smart et al. | Certificates, key transport and key agreement |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060526 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060526 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091124 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20091127 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20091130 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091217 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100223 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100831 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20101126 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20101203 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20101227 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110107 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110131 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110207 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110228 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110420 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110519 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4750274 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140527 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |