JP5295048B2 - 情報共有システム、方法及びプログラム - Google Patents

情報共有システム、方法及びプログラム Download PDF

Info

Publication number
JP5295048B2
JP5295048B2 JP2009206085A JP2009206085A JP5295048B2 JP 5295048 B2 JP5295048 B2 JP 5295048B2 JP 2009206085 A JP2009206085 A JP 2009206085A JP 2009206085 A JP2009206085 A JP 2009206085A JP 5295048 B2 JP5295048 B2 JP 5295048B2
Authority
JP
Japan
Prior art keywords
information
secret
information sharing
secret information
sharing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009206085A
Other languages
English (en)
Other versions
JP2011061306A (ja
Inventor
剛 山本
鉄太郎 小林
淳 藤岡
幸太郎 鈴木
ミンキュウ キム
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009206085A priority Critical patent/JP5295048B2/ja
Publication of JP2011061306A publication Critical patent/JP2011061306A/ja
Application granted granted Critical
Publication of JP5295048B2 publication Critical patent/JP5295048B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、暗号技術に関し、特に2つのエンティティ間で秘密鍵等の情報を共有する技術に関する。
中間者攻撃に対して安全であり、ギャップDiffie−Hellman問題の困難性を仮定して安全性を証明可能である情報共有方式として、NAXOS方式が知られている(例えば、非特許文献1参照。)。NAXOS方式では、各情報共有装置は、群のべき乗算を4回行っていた。
また、中間者攻撃に対して安全で、かつ、Diffie−Hellman問題の困難性を仮定して安全性を証明可能でありNAXOS方式よりも安全性が高い情報共有方式として、NAXOS+方式が知られている(例えば、非特許文献2参照。)。NAXOS+方式では、各情報共有装置は、群のべき乗算を5回行っていた。
B. LaMacchia, K. Lauter, A. Mityagin, "Stronger Security of Authenticated Key Exchange", ProveSec 2007, LNCS 4784, Springer Berlin, 2007 J. Lee, J. Park, "Authenticated Key Exchange Secure underthe Computational Diffie-Hellman Assumption", Preprint, http://eprint.iacr.org/2008/344/
従来の情報共有方式は、中間者攻撃に対して安全であるが、演算量が大きいという課題がった。
この発明は、従来の情報共有方式と同等の安全性を保ちつつ演算量がより小さい情報共有システム、方法及びプログラムを提供することを目的とする。
第一情報共有装置と第二情報共有装置との間で情報を共有する情報共有するために、セキュリティパラメータkを所定の正の整数とし、群<G>を生成元Gにより生成される巡回群とし、第一情報共有装置の秘密鍵a,aを2kビット以上の正の整数の乱数とし、第一情報共有装置の公開鍵A,AをA=Ga1,A=Ga2として、第二情報共有装置の秘密鍵b,bを2kビット以上の正の整数の乱数とし、第二情報共有装置の公開鍵B,BをB=Gb1,B=Gb2として、第一情報共有装置の乱数生成部が2kビット以上の正の整数の乱数xを生成する。第一情報共有装置の交換情報生成部が乱数xを用いて交換情報X=Gを生成する。第一情報共有装置の送受信部が交換情報Xを第二情報共有装置に送信する。第一情報共有装置の秘密情報生成部が第二情報共有装置から受信した交換情報Yを用いて第一秘密情報Z=(YBx+a1及び第二秘密情報Z=(YBx+a2を生成する。第一情報共有装置の秘密情報合成部が第一情報共有装置の秘密情報生成部が生成した第一秘密情報Z及び第二秘密情報Zを予め定められた関数Hに入力した場合の出力値を計算する。第二情報共有装置の乱数生成部が2kビット以上の正の整数の乱数yを生成する。第二情報共有装置の交換情報生成部が乱数yを用いて交換情報Y=Gを生成する。第二情報共有装置の送受信部が交換情報Yを第一情報共有装置に送信する。第二情報共有装置の秘密情報生成部が第一情報共有装置から受信した交換情報Xを用いて第一秘密情報Z=(XAy+b1及び第二秘密情報Z=(XAy+b2を生成する。第二情報共有装置の秘密情報合成部が第一秘密情報Z及び第二秘密情報Zを予め定められた関数Hに入力した場合の出力値を計算する情報とする。
第一情報共有装置及び第二情報共有装置のそれぞれが行うべき乗算の回数は、従来の情報共有方式におけるべき乗算の回数以下となるか、従来とべき乗算の回数が同じ場合にはべき乗算1回あたりの平均演算量を従来の情報共有方式よりも小さくすることができる。したがって、情報共有のための演算量が小さくなる。
情報共有システムの例の機能ブロック図。 第一情報共有装置の例の機能ブロック図。 第二情報共有装置の例の機能ブロック図。 第一実施形態の情報共有方法の例の流れ図。 第二実施形態の情報共有方法の例の流れ図。 バイナリ法によるべき乗算の流れ図。
以下、この発明の実施形態を詳細に説明する。
[第一実施形態]
この発明による情報共有システム及び方法は、図1に例示する第一情報共有装置Aと第二情報共有装置Bとの間で情報Kを共有するものである。第一情報共有装置Aと第二情報共有装置とは、通信内容の秘密が保たれるとは限らない通信路により接続されている。
第一情報共有装置Aには任意のビット列である識別子IDが与えられており、第二情報共有装置Bには任意のビット列である識別子IDが与えられており、第一情報共有装置A及び第二情報共有装置Bは互いの識別子を知っているとする。
セキュリティパラメータkは、求めるセキュリティレベルに応じて適宜設定される正の整数である。群<G>は、Diffe−Hellman問題が困難な巡回群で、生成元Gにより生成されるものとする。例えば楕円エルガマル暗号で用いられる群が好適である。Hは、所定の関数である。例えばSHA−256等のハッシュ関数である。
図2は第一情報共有装置Aの例の機能ブロック図であり、図3は第二情報共有装置Bの例の機能ブロック図である。図4はこの実施形態の情報共有方法の処理の流れを示す図である。
まず、第一情報共有装置Aは秘密鍵(a,a)及び公開鍵(A,A)を生成し(ステップa1からステップa3)、第二情報共有装置Bは秘密鍵(b,b)及び公開鍵(B1,B2)を生成する(ステップb1からステップb3)。これらのステップa1からステップa3、ステップb1からステップb3は、情報共有を行うための準備として事前に行っておく。
第一情報共有装置Aの乱数生成部12は、2kビット以上の乱数a,aを生成する(ステップa1)。これらの乱数a,aは、第一情報共有装置Aの秘密鍵であり、第一情報共有装置Aの外部に漏れないように秘密に管理される。
公開鍵生成部13は、乱数a,aを用いて、A=Ga1,A=Ga2で定義される公開鍵A,Aを生成する(ステップa2)。
送受信部14は、公開鍵(A,A)を第二情報共有装置Bに送信する(ステップa3)。
第二情報共有装置Bの乱数生成部22は、2kビット以上の乱数b,bを生成する(ステップb1)。これらの乱数b,bは、第二情報共有装置Bの秘密鍵であり、第二情報共有装置Bの外部に漏れないように秘密に管理される。
公開鍵生成部23は、乱数b,bを用いて、B=Gb1,B=Gb2で定義される公開鍵B,Bを生成する(ステップb2)。
送受信部24は、公開鍵(B1,B2)を第二情報共有装置Aに送信する(ステップb3)。
第一情報共有装置A及び第二情報共有装置Bは情報Kを共有するために、以下のステップA1からA6、B1からB6の処理を行う。
第一情報共有装置Aの乱数生成部12は、2kビット以上の乱数xを生成する(ステップA1)。生成された乱数xは、交換情報生成部15及び秘密情報生成部16に送られる。
交換情報生成部15は、X=Gで定義される交換情報Xを生成する(ステップA2)。生成された交換情報Xは、送受信部14に送られる。
送受信部14は、交換情報Xを第二情報共有装置Bに送信する(ステップA3)。第二情報共有装置Bの送受信部24は、送られてきた交換情報Xが群<G>の元であるかどうかを判断し、群<G>の元でない場合には、情報Kを共有するための手続きを中止する。
第二情報共有装置Bの乱数生成部22は、2kビット以上の乱数yを生成する(ステップB1)。生成された乱数yは、交換情報生成部25及び秘密情報生成部26に送られる。
交換情報生成部25は、Y=Gで定義される交換情報Yを生成する(ステップB2)。生成された交換情報Yは、送受信部24に送られる。
送受信部24は、交換情報Yを第一情報共有装置Aに送信する(ステップB3)。第一情報共有装置Aは、送られてきた交換情報Yが群<G>の元であるかどうかを判断し、群<G>の元でない場合には、情報Kを共有するための手続きを中止する。
第一情報共有装置Aの秘密情報生成部16は、交換情報Yを用いてZ=(YBx+a1で定義される第一秘密情報Zを生成する(ステップA4)。また、秘密情報生成部16は、交換情報Yを用いてZ=(YBx+a2で定義される第二秘密情報Zを生成する(ステップA5)。生成された第一秘密情報Z及び第二秘密情報Zは、秘密情報合成部17に送られる。
秘密情報合成部17は、第一秘密情報Z及び第二秘密情報Zを予め定められた関数Hに入力した場合の出力値を計算して、共有情報Kとする(ステップA6)。関数Hは、例えば第一秘密情報Z、第二秘密情報Z、交換情報X、交換情報Y、識別子ID及び識別子IDを入力とするハッシュ関数H(Z,Z,X,Y,ID,ID)である。
第二情報共有装置Bの秘密情報生成部26は、交換情報Xを用いてZ=(XAy+b1で定義される第一秘密情報Zを生成する(ステップB4)。また、秘密情報生成部26は、交換情報Xを用いてZ=(XAy+b2で定義される第二秘密情報Zを生成する(ステップB5)。生成された第一秘密情報Z及び第二秘密情報Zは、秘密情報合成部27に送られる。
秘密情報合成部27は、第一秘密情報Z及び第二秘密情報Zを予め定められた関数Hに入力した場合の出力値を計算して、共有される情報Kとする(ステップA6)。関数Hは、例えば第一秘密情報Z、第二秘密情報Z、交換情報X、交換情報Y、識別子ID及び識別子IDを入力とするハッシュ関数H(Z,Z,X,Y,ID,ID)である。第二情報共有装置Bの関数Hとして、第一情報共有装置Aの関数Hと同じ関数を用いる。
第一情報共有装置Aが生成する第一秘密情報Z=(YBx+a1と、第二情報共有装置Bが生成する第一秘密情報Z=(XAy+b1とは一致する。(YBx+a1=(Gb1x+a1=G(y+b1)(x+a1)=(Ga1y+b1=(XAy+b1であるためである。同様に、第一情報共有装置Aが生成する第二秘密情報Z=(YBx+a2と、第二情報共有装置Bが生成する第二秘密情報Z=(XAy+b2とは一致する。このため、第一情報共有装置Aが生成する情報Kと第二情報共有装置Bが生成する情報Kとは一致する。
第一実施形態の第一情報共有装置A及び第二情報共有装置Bのそれぞれは群<G>のべき乗算を3回するだけで、情報Kを共有することができる。第一情報共有装置Aを例に挙げて説明すると、第一情報共有装置Aは、(1)交換情報X=Gの計算(ステップA2)、(2)第一秘密情報Z=(YBx+a1の計算(ステップA4)、(3)第二秘密情報Z=(YBx+a2の計算(ステップA5)の3回のべき乗算をするだけで、情報Kを共有することができる。
このように、第一実施形態によれば、第一情報共有装置A及び第二情報共有装置Bのそれぞれが行うべき乗算の回数(3回)は、従来の情報共有方式におけるべき乗算の回数(4回)以下となり、情報共有のための演算量が小さい。
なお、証明は省略するが、第一実施形態の情報共有システム及び情報共有方法の安全性は、ギャップDiffie−Hellmann問題の困難性を仮定して説明することができる。すなわち、第一実施形態の情報共有システムの安全性は、NAXOS方式の安全性と同等である。
[第二実施形態]
第二実施形態の情報共有システム及び方法は、中間者攻撃に対して安全で、かつ、Diffie−Hellman問題の困難性を仮定して安全性を証明可能であり第一実施形態よりも安全性が高く、NAXOS+方式と同等の安全性を保ちつつ演算量がより小さい情報共有システム、方法を提供するものである。以下、第一実施形態と異なる部分を説明し、同様の部分については重複説明を省略する。
第二実施形態の第一情報共有装置A及び第二情報共有装置Bの機能ブロックは図2、図3に例示した第一実施形態の第一情報共有装置A及び第二情報共有装置Bの機能ブロックと同じであるが、後述するように秘密情報生成部16,26、秘密情報合成部17,27の機能が異なる。
図5に、第二実施形態の情報共有方法の処理の流れを例示する。第一情報共有装置Aは、第一実施形態と同様にステップa1からステップa3、ステップA1からA5の処理を行った後に、ステップA7及びステップA8の処理を行う。
すなわち、第一情報共有装置Aの秘密情報生成部16は、第一秘密情報Z及び第二秘密情報Zを生成すると共に、Z=(YBx+a2で定義される第三秘密情報Zを生成し(ステップA7)、Z=(YBx+a1で定義される第四秘密情報Zを生成する(ステップA8)。生成された第三秘密情報Z及び第四秘密情報Zは、秘密情報合成部17に送られる。
秘密情報合成部17は、第一秘密情報Z、第二秘密情報Z、第三秘密情報Z及び第四秘密情報Zを予め定められた関数Hに入力した場合の出力値を計算して、共有される情報Kとする(ステップA6)。関数Hは、例えば第一秘密情報Z、第二秘密情報Z、第三秘密情報Z、第四秘密情報Z、交換情報X、交換情報Y、識別子ID及び識別子IDを入力とするハッシュ関数H(Z,Z,Z,Z,X,Y,ID,ID)である。
また、第二情報共有装置Bの秘密情報生成部26は、第一秘密情報Z及び第二秘密情報Zを生成すると共に、Z=(XAx+b2で定義される第三秘密情報Zを生成し(ステップB7)、Z=(XAx+b1で定義される第四秘密情報Zを生成する(ステップB8)。生成された第三秘密情報Z及び第四秘密情報Zは、秘密情報合成部17に送られる。
秘密情報合成部27は、第一秘密情報Z、第二秘密情報Z、第三秘密情報Z及び第四秘密情報Zを予め定められた関数Hに入力した場合の出力値を計算して、共有される情報Kとする(ステップB6)。関数Hは、例えば第一秘密情報Z、第二秘密情報Z、第三秘密情報Z、第四秘密情報Z、交換情報X、交換情報Y、識別子ID及び識別子IDを入力とするハッシュ関数H(Z,Z,Z,Z,X,Y,ID,ID)である。第二情報共有装置Bの関数Hとして、第一情報共有装置Aの関数Hと同じ関数を用いる。
第二実施形態の第二情報共有装置A及び第二情報共有装置Bのそれぞれは群<G>のべき乗算を5回するだけで、情報Kを共有することができる。第一情報共有装置Aを例に挙げて説明すると、第一情報共有装置Aは、(1)交換情報X=Gの計算(ステップA2)、(2)第一秘密情報Z=(YBx+a1の計算(ステップA4)、(3)第二秘密情報Z=(YBx+a2の計算(ステップA5)、(4)第三秘密情報Z=(YBy+a2の計算(ステップA7)、(5)第四秘密情報Z=(YBy+a1の計算(ステップA8)の5回のべき乗算をして、情報Kを共有することができる。
第二実施形態のべき乗算の回数(5回)は、従来のNAXOS+方式のべき乗算の回数(5回)と同じであるが、べき乗算1回あたりの平均演算量を従来のNAXOS+方式よりも小さくすることができる。
具体的には、第二情報共有装置A及び第二情報共有装置Bのそれぞれは、べき乗算をする際に既に行った同じ底のべき乗算についての途中計算結果を再利用することで、重複計算を省いてべき乗算1回あたりの平均演算量を小さくすることができる。
第一情報共有装置Aを例に挙げて説明をすると、第一秘密情報Z=(YBx+a1と第三秘密情報Z=(YBy+a2を計算するときに底がYBで共通しており、第二秘密情報Z=(YBx+a2と第四秘密情報Z=(YBy+a1を計算するときに底がYBで共通している。したがって、第一秘密情報Z=(YBx+a1のべき乗算が既に行われている場合には、第三秘密情報Z=(YBy+a2を計算するときに、第一秘密情報Z=(YBx+a1のべき乗算についての途中計算結果を再利用することで、第三秘密情報Z=(YBy+a2の演算量を削減することができる。また、第二秘密情報Z=(YBx+a2のべき乗算が既に行われている場合には、第四秘密情報Z=(YBy+a1を計算するときに、第二秘密情報Z=(YBx+a2のべき乗算についての途中計算結果を再利用することで、第四秘密情報Z=(YBy+a1の演算量を削減することができる。
以下、バイナリ法によりべき乗算をする場合の途中計算結果の再利用について説明をする。バイナリ法により底Qのs(=sI−1…s)乗のべき乗算をする場合には、図6の流れ図の処理を行う。sI−1…sは整数sを二進数で表現したものであり、各s(i=I,…,0)は0又は1である。
まず、RにQを代入し、Tに1を代入し、iに0を代入して、各変数の初期化を行う(ステップS1)。
が1であるかどうかを判断して(ステップS2)、sが1であればT×Rを演算してTに代入する(ステップS3)。sが1でなければ、ステップS3の処理を行わずに、ステップS4の処理を行う。×は群<G>で定義された演算である。
R×Rを演算してRに代入する(ステップS4)
iがIであるかどうかを判断して(ステップS5)、iがIであれば処理を終了する。Tが底Qのs(=sI−1…s)乗のべき乗算の演算結果である。iがIでなければ、iを1だけインクリメントして(ステップS6)、すなわちiにi+1を代入して、ステップS2に戻る。
第一情報共有装置Aの秘密情報生成部16が図6に例示したバイナリ法によりべき乗算を行う場合には、ステップS4のR×Rの計算結果を再利用することができる。ステップS4のR×Rの計算は、底Qのみに依存して指数s…sに依存せず、底Qが同一であればR×Rの計算結果は同じであるためである。秘密情報生成部16は、例えば、第一秘密情報Z=(YBx+a1のべき乗算を行う際に生じたR×Rの計算結果を一時記憶部161に記憶しておく。そして、第三秘密情報Z=(YBy+a2を計算するときに、ステップS4においてR×Rの演算を行う代わりに、一時記憶部161からR×Rの計算結果を読み込むことでR×Rの演算を省略する。
ステップS3におけるT×Rの演算量は約I/2であり、ステップS4におけるR×Rの演算量は約Iであることが知られている(例えば、参考文献1参照。)。したがって、初めて演算する底についての演算量は約3I/2(=(I/2)+I)であるが、その底と同じ底について再度べき乗算を行う場合にはステップS4のR×Rの演算を省くことにより演算量を約I/2にすることができる。
〔参考文献1〕A. Menezes, P. Oorschot, S. Vanstone, “Handbook of Applied Cryptography,”,Revised Reprint with Updates, CRC Press, 1997.
従来のNAXOS+においては互いに異なる5つの底のべき乗算を行う必要があったため演算量は約15I/2(=5×(3I/2))となるのに対して、第二実施形態において5回のべき乗算のうち2回のべき乗算で既に行った同じ底のべき乗算についての途中計算結果を再利用することができるため演算量は約11I/2(=3×(3I/2)+2×(I/2))となる。したがって、途中計算結果を再利用することにより、演算量を約73%(=(11I/2)/(15I/2))にすることができる。
上記の例ではバイナリ法によりべき乗算を行う場合を例に挙げて演算量の削減について説明をしたが、他の方法によりべき乗算を行う場合にも既に行った同じ底のべき乗算についての途中計算結果を再利用することで演算量を削減することができる。例えば参考文献2に記載された方法によりべき乗算を行う場合には、既に行った同じ底のべき乗算についての途中計算結果を再利用することで、NAXOS+方式と比較して演算量を約2/3にすることができる。
〔参考文献2〕David M’Raihi and Acm Press and David Naccache, “Batch Exponentiation: A Fast DLP-based Signature Generation Strategy”, 1966, ACM
なお、証明は省略するが、第二実施形態の情報共有システム及び情報共有方法の安全性は、Diffie−Hellmann問題の困難性を仮定して説明することができる。すなわち、第二実施形態の情報共有システムの安全性は、NAXOS+方式の安全性と同等である。
[変形例等]
図2,図3では、各部でデータが直接やり取りされているが、記憶部11,21を介してデータの受け渡しが行われてもよい。すなわち、各部で生成された又は受信したデータは記憶部11,21に記憶され、各部は記憶部11,21からそのデータを読み込んでもよい。
第一情報共有装置A及び第二情報共有装置Bのそれぞれは、コンピュータによって実現することができる。この場合、各装置がそれぞれ有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、これらの装置における各処理機能が、コンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、これらの装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
この発明は、上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
A 第一情報共有装置
B 第二情報共有装置
11 記憶部
12 乱数生成部
13 公開鍵生成部
14 送受信部
15 交換情報生成部
16 秘密情報生成部
17 秘密情報合成部
21 記憶部
22 乱数生成部
23 公開鍵生成部
24 送受信部
25 交換情報生成部
26 秘密情報生成部
27 秘密情報合成部

Claims (9)

  1. 第一情報共有装置と第二情報共有装置との間で情報を共有する情報共有システムにおいて、
    セキュリティパラメータkを所定の正の整数とし、群<G>を生成元Gにより生成される巡回群とし、上記第一情報共有装置の秘密鍵a,aを2kビット以上の正の整数の乱数とし、上記第一情報共有装置の公開鍵A,AをA=Ga1,A=Ga2とし、上記第二情報共有装置の秘密鍵b,bを2kビット以上の正の整数の乱数とし、上記第二情報共有装置の公開鍵B,BをB=Gb1,B=Gb2として、
    上記第一情報共有装置は、
    2kビット以上の正の整数の乱数xを生成する乱数生成部と、
    上記乱数xを用いて交換情報X=Gを生成する交換情報生成部と、
    上記交換情報Xを上記第二情報共有装置に送信する送受信部と、
    上記第二情報共有装置から受信した交換情報Yを用いて第一秘密情報Z=(YBx+a1及び第二秘密情報Z=(YBx+a2を生成する秘密情報生成部と、
    上記第一情報共有装置の秘密情報生成部が生成した第一秘密情報Z及び第二秘密情報Zを予め定められた関数Hに入力した場合の出力値を計算する秘密情報合成部と、
    を含み、
    上記第二情報共有装置は、
    2kビット以上の正の整数の乱数yを生成する乱数生成部と、
    上記乱数yを用いて交換情報Y=Gを生成する交換情報生成部と、
    上記交換情報Yを上記第一情報共有装置に送信する送受信部と、
    上記第一情報共有装置から受信した交換情報Xを用いて第一秘密情報Z=(XAy+b1及び第二秘密情報Z=(XAy+b2を生成する秘密情報生成部と、
    上記第一秘密情報Z及び上記第二秘密情報Zを予め定められた関数Hに入力した場合の出力値を計算する情報とする秘密情報合成部と、
    を含む、
    ことを特徴とする情報共有システム。
  2. 請求項1に記載の情報共有システムにおいて、
    上記第一情報共有装置の秘密情報生成部は第三秘密情報Z=(YBy+a2及び第四秘密情報Z=(YBy+a1を更に生成し、
    上記第一情報共有装置の秘密情報合成部は、上記第一情報共有装置の秘密情報生成部が生成した第一秘密情報Z、第二秘密情報Z、第三秘密情報Z及び第四秘密情報Zを予め定められた関数Hに入力した場合の出力値を計算し、
    上記第二情報共有装置の秘密情報生成部は第三秘密情報Z=(XAy+b2及び第四秘密情報Z=(XAy+b1を更に生成し、
    上記第二情報共有装置の秘密情報合成部は、上記第二情報共有装置の秘密情報生成部が生成した第一秘密情報Z、第二秘密情報Z、第三秘密情報Z及び第四秘密情報Zを予め定められた関数Hに入力した場合の出力値を計算する、
    ことを特徴とする情報共有システム。
  3. 請求項1に記載の情報共有システムにおいて、
    所定のビット列IDを上記第一情報共有装置の識別子とし、所定のビット列IDを上記第二情報共有装置の識別子として、
    上記関数Hは、上記第一秘密情報Z、上記第二秘密情報Z、上記交換情報X、上記交換情報Y、上記識別子ID及び上記識別子IDを入力とするハッシュ関数であり、
    上記第一情報共有装置の秘密情報合成部は、上記第一情報共有装置の秘密情報生成部が生成した第一秘密情報Z、第二秘密情報Z、上記交換情報X、上記交換情報Y、上記識別子ID及び上記識別子IDを上記関数Hに入力した場合の出力値を計算する、
    ことを特徴とする情報共有システム。
  4. 請求項2に記載の情報共有システムにおいて、
    所定のビット列IDを上記第一情報共有装置の識別子とし、所定のビット列IDを上記第二情報共有装置の識別子として、
    上記関数Hは、上記第一秘密情報Z、上記第二秘密情報Z、上記第三秘密情報Z、上記第四秘密情報Z、上記交換情報X、上記交換情報Y、上記識別子ID及び上記識別子IDを入力とするハッシュ関数であり、
    上記第一情報共有装置の秘密情報合成部は、上記第一情報共有装置の秘密情報生成部が生成した第一秘密情報Z、第二秘密情報Z、第三秘密情報Z、第四秘密情報Z、上記交換情報X、上記交換情報Y、上記識別子ID及び上記識別子IDを上記関数Hに入力した場合の出力値を計算する、
    ことを特徴とする情報共有システム。
  5. 請求項2又は4に記載の情報共有システムにおいて、
    上記第一情報共有装置の秘密情報生成部と上記第二情報共有装置の秘密情報生成部との少なくとも一方は、既に行った同じ底のべき乗算についての途中計算結果を再利用する、
    ことを特徴とする情報共有システム。
  6. 第一情報共有装置と第二情報共有装置との間で情報を共有する情報共有方法において、
    セキュリティパラメータkを所定の正の整数とし、群<G>を生成元Gにより生成される巡回群とし、上記第一情報共有装置の秘密鍵a,aを2kビット以上の正の整数の乱数とし、上記第一情報共有装置の公開鍵A,AをA=Ga1,A=Ga2とし、上記第二情報共有装置の秘密鍵b,bを2kビット以上の正の整数の乱数とし、上記第二情報共有装置の公開鍵B,BをB=Gb1,B=Gb2として、
    上記第一情報共有装置の乱数生成部が、2kビット以上の正の整数の乱数xを生成する乱数生成ステップと、
    上記第一情報共有装置の交換情報生成部が、上記乱数xを用いて交換情報X=Gを生成する交換情報生成ステップと、
    上記第一情報共有装置の送受信部が、上記交換情報Xを上記第二情報共有装置に送信する送受信ステップと、
    上記第一情報共有装置の秘密情報生成部が、上記第二情報共有装置から受信した交換情報Yを用いて第一秘密情報Z=(YBx+a1及び第二秘密情報Z=(YBx+a2を生成する秘密情報生成ステップと、
    上記第一情報共有装置の秘密情報合成部が、上記第一情報共有装置の秘密情報生成部が生成した第一秘密情報Z及び第二秘密情報Zを予め定められた関数Hに入力した場合の出力値を計算する秘密情報合成ステップと、
    上記第二情報共有装置の乱数生成部が、2kビット以上の正の整数の乱数yを生成する乱数生成ステップと、
    上記第二情報共有装置の交換情報生成部が、上記乱数yを用いて交換情報Y=Gを生成する交換情報生成ステップと、
    上記第二情報共有装置の送受信部が、上記交換情報Yを上記第一情報共有装置に送信する送受信ステップと、
    上記第二情報共有装置の秘密情報生成部が、上記第一情報共有装置から受信した交換情報Xを用いて第一秘密情報Z=(XAy+b1及び第二秘密情報Z=(XAy+b2を生成する秘密情報生成ステップと、
    上記第二情報共有装置の秘密情報合成部が、上記第一秘密情報Z及び上記第二秘密情報Zを予め定められた関数Hに入力した場合の出力値を計算する情報とする秘密情報合成ステップと、
    を含むことを特徴とする情報共有方法。
  7. 請求項6に記載の情報共有方法において、
    上記第一情報共有装置の秘密情報生成ステップは、第三秘密情報Z=(YBy+a2及び第四秘密情報Z=(YBy+a1を更に生成し、
    上記第一情報共有装置の秘密情報合成ステップは、上記第一情報共有装置の秘密情報生成部が生成した第一秘密情報Z、第二秘密情報Z、第三秘密情報Z及び第四秘密情報Zを予め定められた関数Hに入力した場合の出力値を計算し、
    上記第二情報共有装置の秘密情報生成ステップは、第三秘密情報Z=(XAy+b2及び第四秘密情報Z=(XAy+b1を更に生成し、
    上記第二情報共有装置の秘密情報合成ステップは、上記第二情報共有装置の秘密情報生成部が生成した第一秘密情報Z、第二秘密情報Z、第三秘密情報Z及び第四秘密情報Zを予め定められた関数Hに入力した場合の出力値を計算する、
    ことを特徴とする情報共有方法。
  8. 請求項7に記載の情報共有方法において、
    上記第一情報共有装置の秘密情報生成ステップと上記第二情報共有装置の秘密情報生成ステップとの少なくとも一方は、既に行った同じ底のべき乗算についての途中計算結果を再利用する、
    ことを特徴とする情報共有方法。
  9. 第一情報共有装置と第二情報共有装置との間で情報を共有する第一情報共有装置としてコンピュータを機能させるための情報共有プログラムにおいて、
    セキュリティパラメータkを所定の正の整数とし、群<G>を生成元Gにより生成される巡回群とし、上記第一情報共有装置の秘密鍵a,aを2kビット以上の正の整数の乱数とし、上記第一情報共有装置の公開鍵A,AをA=Ga1,A=Ga2とし、上記第二情報共有装置の秘密鍵b,bを2kビット以上の正の整数の乱数とし、上記第二情報共有装置の公開鍵B,BをB=Gb1,B=Gb2として、
    上記第一情報共有装置は、
    2kビット以上の正の整数の乱数xを生成する乱数生成部と、
    上記乱数xを用いて交換情報X=Gを生成する交換情報生成部と、
    上記交換情報Xを上記第二情報共有装置に送信する送受信部と、
    上記第二情報共有装置から受信した交換情報Y=G(yは乱数)を用いて第一秘密情報Z=(YBx+a1及び第二秘密情報Z=(YBx+a2を生成する秘密情報生成部と、
    上記第一情報共有装置の秘密情報生成部が生成した第一秘密情報Z及び第二秘密情報Zを予め定められた関数Hに入力した場合の出力値を計算する秘密情報合成部と、
    を含む、
    ことを特徴とする情報共有プログラム。
JP2009206085A 2009-09-07 2009-09-07 情報共有システム、方法及びプログラム Expired - Fee Related JP5295048B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009206085A JP5295048B2 (ja) 2009-09-07 2009-09-07 情報共有システム、方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009206085A JP5295048B2 (ja) 2009-09-07 2009-09-07 情報共有システム、方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2011061306A JP2011061306A (ja) 2011-03-24
JP5295048B2 true JP5295048B2 (ja) 2013-09-18

Family

ID=43948476

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009206085A Expired - Fee Related JP5295048B2 (ja) 2009-09-07 2009-09-07 情報共有システム、方法及びプログラム

Country Status (1)

Country Link
JP (1) JP5295048B2 (ja)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7747865B2 (en) * 2005-02-10 2010-06-29 International Business Machines Corporation Method and structure for challenge-response signatures and high-performance secure Diffie-Hellman protocols
JP4922139B2 (ja) * 2007-11-28 2012-04-25 日本電信電話株式会社 鍵共有方法、第1装置、第2装置、及び、それらのプログラム

Also Published As

Publication number Publication date
JP2011061306A (ja) 2011-03-24

Similar Documents

Publication Publication Date Title
US11050557B2 (en) Key agreement devices and method
US11070367B2 (en) Key exchange devices and methods
US8429408B2 (en) Masking the output of random number generators in key generation protocols
EP2787682B1 (en) Key negotiation method and apparatus according to sm2 key exchange protocol
Huang et al. Heterogeneous signcryption with key privacy
US9571274B2 (en) Key agreement protocol
JP5323908B2 (ja) セキュリティ強化のための転置データ変換
US9037623B2 (en) Proxy calculation system, proxy calculation method, proxy calculation requesting apparatus, and proxy calculation program and recording medium therefor
Brogle et al. Sequential aggregate signatures with lazy verification from trapdoor permutations
US20150341172A1 (en) Key sharing network device and configuration thereof
KR20200108343A (ko) 디지털로 서명된 데이터를 획득하기 위한 컴퓨터 구현된 방법 및 시스템
KR100989185B1 (ko) Rsa기반 패스워드 인증을 통한 세션키 분배방법
Heninger RSA, DH, and DSA in the Wild
Yang et al. Quantum public-key cryptosystems based on induced trapdoor one-way transformations
KR101131929B1 (ko) 공개키 기반 인증장치 및 방법
CA2742530C (en) Masking the output of random number generators in key generation protocols
JP5295048B2 (ja) 情報共有システム、方法及びプログラム
US20070033405A1 (en) Enhanced key agreement and transport protocol
Chen et al. Blockchain as a CA: A provably secure signcryption scheme leveraging blockchains
JPWO2020058806A5 (ja)
CN117499026A (zh) 一种群组设备秘钥更新方法及系统
Yu et al. Research and design of one key agreement scheme in bluetooth
CN117527225A (zh) 一种后向安全的无证书认证和密钥协商方法
CN111447064A (zh) 一种适用于无证书加密的密码逆向防火墙方法
Arazi Self-Certified Public Key Cryptographic Methodologies for Resource-Constrained Wireless Sensor Networks

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20110721

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110825

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130516

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130604

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130611

R150 Certificate of patent or registration of utility model

Ref document number: 5295048

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees