JP5506650B2 - 情報共有システム、方法、情報共有装置及びそのプログラム - Google Patents
情報共有システム、方法、情報共有装置及びそのプログラム Download PDFInfo
- Publication number
- JP5506650B2 JP5506650B2 JP2010284725A JP2010284725A JP5506650B2 JP 5506650 B2 JP5506650 B2 JP 5506650B2 JP 2010284725 A JP2010284725 A JP 2010284725A JP 2010284725 A JP2010284725 A JP 2010284725A JP 5506650 B2 JP5506650 B2 JP 5506650B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- secret key
- key
- term
- exchange
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
この発明は、情報セキュリティ技術の応用技術、特に2つの装置でセッション鍵等の情報を共有する技術に関する。
情報共有方式として、例えば非特許文献1に記載されている、Key Encapsulation Mechanism(KEM)を用いたBCGP方式が知られている。
このBCGP方式については、いわゆるCK−modelでの安全性が示されている。CK−modelについては、非特許文献2を参照のこと。
Colin Boyd, Yvonne Cliff, Juan Manuel Gonz´alez Nieto, Kenneth G.Paterson, "Efficient One-Round Key Exchange in the Standard Model.", ACISP 2008 p.69-83
Ran Canetti and Hugo Krawczyk, "Analysis of key-exchange protocols and their use for building secure channels.", EUROCRYPT 2001, p.453-474, 2001.
しかしながら、非特許文献1に記載されているBCGP方式については、短期秘密鍵の漏洩を許すいわゆるeCK−modelで攻撃することができる。このため、このBCGP方式は、乱数生成器の脆弱性などにより短期秘密鍵の漏洩が起こる場合に必ずしも安全ではない。
この発明の課題は、短期秘密鍵の漏洩を許すいわゆるeCK−modelでも安全性を保つことができる情報提供システム、方法、情報共有装置及びそのプログラムを提供することである。
なお、eCK−modelについては、参考文献1を参照のこと。
[参考文献1]Brian~A. LaMacchia, Kristin Lauter, and Anton Mityagin, “Stronger security of authenticated key exchange.”, ProvSec 2007, p.1-16. 2007.
この発明の1つの態様である情報共有システムは、情報共有装置A及び情報共有装置Bで情報を共有する。セキュリティパラメータkは正の整数である。情報共有装置Aは、第一短期秘密鍵r’1 A∈{0,1}k及び長期秘密鍵sk1 Aを所定の合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 A∈{0,1}kとする合成秘密鍵生成部と、長期公開鍵pk1 B及び合成秘密鍵r1 Aを用いて、所定の暗号化アルゴリズムEnCapにより、第一交換情報C1 A及び第一共有情報K1 Aを生成する暗号化部と、第二短期秘密鍵r2 A∈{0,1}kを用いて、所定の鍵生成アルゴリズムKeyGenにより、秘密鍵sk2 A及び公開鍵pk2 Aを生成する鍵生成部と、第一交換情報C1 A及び公開鍵pk2 Aを情報共有装置Bに送信する送信部と、第一交換情報C1 B及び第二交換情報C2 Bを情報共有装置Bから受信する受信部と、長期公開鍵pk1 A、長期秘密鍵sk1 A及び第一交換情報C1 Bを用いて、所定の復号化アルゴリズムDeCapにより、第一共有情報K1 Bを生成する第一復号部と、公開鍵pk2 A、長期秘密鍵sk2 A及び第二交換情報C2 Bを用いて、所定の復号化アルゴリズムDeCapにより、第二共有情報K2 Bを生成する第二復号部と、第一共有情報K1 A、第一共有情報K1 B、第二共有情報K2 B、長期公開鍵pk1 A、長期公開鍵pk1 B、第一交換情報C1 A、公開鍵pk2 A、第一交換情報C1 B、第二交換情報C2 Bを所定の情報生成関数に入力したときの出力値を計算する情報生成部と、を含む。情報共有装置Bは、第一交換情報C1 A及び公開鍵pk2 Aを情報共有装置Aから受信する受信部と、第一短期秘密鍵r’1 B∈{0,1}k及び長期秘密鍵sk1 Bを所定の合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 B∈{0,1}kとする合成秘密鍵生成部と、長期公開鍵pk1 A及び合成秘密鍵r1 Bを用いて、暗号化アルゴリズムEnCapにより、第一交換情報C1 B及び第一共有情報K1 Bを生成する第一暗号化部と、公開鍵pk2 A及び第二短期秘密鍵r2 B∈{0,1}kを用いて、暗号化アルゴリズムEnCapにより、第二交換情報C2 B及び第二共有情報K2 Bを生成する第二暗号化部と、第一交換情報C1 B及び第二交換情報C2 Bを情報共有装置Aに送信する送信部と、長期公開鍵pk1 B、長期秘密鍵sk1 B及び第一交換情報C1 Aを用いて、復号化アルゴリズムDeCapにより、第一共有情報K1 Aを生成する復号部と、第一共有情報K1 A、第一共有情報K1 B、第二共有情報K2 B、長期公開鍵pk1 A、長期公開鍵pk1 B、第一交換情報C1 A、公開鍵pk2 A、第一交換情報C1 B、第二交換情報C2 Bを情報生成関数に入力したときの出力値を計算する情報生成部と、を備える。
この発明の他の1つの態様である情報共有システムは、情報共有装置A及び情報共有装置Bで情報を共有する。セキュリティパラメータkは正の整数である。情報共有装置Aは、第一短期秘密鍵r’1 A∈{0,1}k及び第一長期秘密鍵sk1 Aを所定の合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 A∈{0,1}kとする合成秘密鍵生成部と、マスタ公開鍵mpk1、情報共有装置Bの識別子であるID1 B∈{0,1}k及び合成秘密鍵r1 Aを用いて、所定の暗号化アルゴリズムEnCapにより、第一交換情報C1 A及び第一共有情報K1 Aを生成する暗号化部と、第二短期秘密鍵r2 A∈{0,1}kを用いて、所定の鍵生成アルゴリズムKeyGenにより、秘密鍵msk2 A及び公開鍵mpk2 Aを生成する鍵生成部と、情報共有装置Aの第二の識別子であるID2 A∈{0,1}kを選択するID選択部と、秘密鍵msk 2 A 、公開鍵mpk 2 A 及びID 2 A を用いて、所定の鍵導出アルゴリズムKeyDerにより、第二長期秘密鍵sk 2 A を生成する鍵導出部と、第一交換情報C1 A、公開鍵mpk2 A及びID2 Aを情報共有装置Bに送信する送信部と、第一交換情報C1 B及び第二交換情報C2 Bを情報共有装置Bから受信する受信部と、情報共有装置Aの公開鍵mpk1 A 、情報共有装置Aの第一の識別子であるID1 A、第一長期秘密鍵sk1 A及び第一交換情報C1 Bを用いて、所定の復号化アルゴリズムDeCapにより、第一共有情報K1 Bを生成する第一復号部と、公開鍵pk2 A、ID2 A、第二長期秘密鍵sk2 A及び第二交換情報C2 Bを用いて、所定の復号化アルゴリズムDeCapにより、第二共有情報K2 Bを生成する第二復号部と、第一共有情報K1 A、第一共有情報K1 B、第二共有情報K2 B、ID1 A、ID1 B、第一交換情報C1 A、公開鍵mpk2 A、ID2 A、第一交換情報C1 B及び第二交換情報C2 Bを所定の情報生成関数に入力したときの出力値を計算する情報生成部と、を含む。情報共有装置Bは、第一交換情報C1 A、公開鍵mpk2 A及びID2 Aを情報共有装置Aからに受信する受信部と、第一短期秘密鍵r’1 B∈{0,1}k及び長期秘密鍵sk1 Bを合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 B∈{0,1}kとする合成秘密鍵生成部と、情報共有装置Aの公開鍵mpk1 A 、ID1 A及び合成秘密鍵r1 Bを用いて、暗号化アルゴリズムEnCapにより、第一交換情報C1 B及び第一共有情報K1 Bを生成する第一暗号化部と、公開鍵mpk2 A、ID2 A及び第二短期秘密鍵r2 B∈{0,1}kを用いて、暗号化アルゴリズムEnCapにより、第二交換情報C2 B及び第二共有情報K2 Bを生成する第二暗号化部と、第一交換情報C1 B及び第二交換情報C2 Bを情報共有装置Aに送信する送信部と、情報共有装置Bの公開鍵mpk1 B 、ID1 B、第一長期秘密鍵sk1 B及び第一交換情報C1 Aを用いて、復号化アルゴリズムDeCapにより、第一共有情報K1 Aを生成する復号部と、第一共有情報K1 A、第一共有情報K1 B、第二共有情報K2 B、ID1 A、ID1 B、第一交換情報C1 A、公開鍵mpk2 A、ID2 A、第一交換情報C1 B及び第二交換情報C2 Bを情報生成関数に入力したときの出力値を計算する情報生成部と、を含む。
短期秘密鍵及び長期秘密鍵を用いて生成した合成秘密鍵を用いて情報の共有を行うことにより、短期秘密鍵の漏洩を許すいわゆるeCK−modelでも安全性を保つことができる。
以下、図面を参照してこの発明の実施形態を説明する。
[第一実施形態]
第一実施形態のKEMを用いた情報共有システム、方法を以下に示す。
第一実施形態のKEMを用いた情報共有システム、方法を以下に示す。
<アルゴリズム>
まず、次のようにKEMの各アルゴリズムが定まっているとする。
KeyGen(r)→(sk,pk)は、KEMの鍵生成アルゴリズム。
EnCap(pk,r’)→(C,K)は、KEMの暗号化アルゴリズム。
DeCap(pk,sk,C)→Kは、KEMの復号化アルゴリズム。
まず、次のようにKEMの各アルゴリズムが定まっているとする。
KeyGen(r)→(sk,pk)は、KEMの鍵生成アルゴリズム。
EnCap(pk,r’)→(C,K)は、KEMの暗号化アルゴリズム。
DeCap(pk,sk,C)→Kは、KEMの復号化アルゴリズム。
<公開パラメータ>
H:{0,1}*→{0,1}kと、G:{0,1}*→{0,1}kとをハッシュ関数とする。{0,1}xは、それぞれ0又は1であるx個のビットから構成されるビット列を意味する。*は任意の数を意味する。すなわち、{0,1}*は、任意の長さのビット列を意味する。kは、所定の正の整数であり、セキュリティパラメータである。
H:{0,1}*→{0,1}kと、G:{0,1}*→{0,1}kとをハッシュ関数とする。{0,1}xは、それぞれ0又は1であるx個のビットから構成されるビット列を意味する。*は任意の数を意味する。すなわち、{0,1}*は、任意の長さのビット列を意味する。kは、所定の正の整数であり、セキュリティパラメータである。
ここで、ハッシュ関数の引数が2以上ありこれらの引数をカンマ「,」で区切った場合には、これらの引数を所定の順序でビット結合したビット列をそのハッシュ関数に入力することを意味する。すなわち、例えば、情報共有装置Aにおいて計算されるG(r’1 A,sk1 A)=G(r’1 A||sk1 A)である。また、ビット結合する引数の順序は、各ハッシュ関数において同じであるとする。すなわち、情報共有装置A及び情報共有装置Bにおいて、ビット結合をする所定の順序は同じである。つまり、この場合、情報共有装置Bにおいて計算されるG(r’1 B,sk1 B)は、G(r’1 B||sk1 B)となる。これは、ハッシュ関数Hについても同様である。
各情報共有装置i(i=A,B)は、ri∈{0,1}kをランダムに選択し、鍵生成KeyGen(ri)→(sk1 i,pk1 i)を行い、sk1 iを長期秘密鍵として秘密に保持し、pk1 iを長期公開鍵として公開する。
<情報交換>
長期公開鍵pk1 A及び長期秘密鍵sk1 Aを持つ情報共有装置Aと、長期公開鍵pk1 B及び長期秘密鍵sk1 Bを持つ情報共有装置Bとは、以下のようにして交換情報を交換して、情報Kを共有する。
長期公開鍵pk1 A及び長期秘密鍵sk1 Aを持つ情報共有装置Aと、長期公開鍵pk1 B及び長期秘密鍵sk1 Bを持つ情報共有装置Bとは、以下のようにして交換情報を交換して、情報Kを共有する。
1.情報共有装置Aの処理
情報共有装置Aは、第一短期秘密鍵r’1 A∈{0,1}k及び第二短期秘密鍵r2 A∈{0,1}kをランダムに選び、G(r’1 A,sk1 A)=r1 A∈{0,1}kを計算する。
情報共有装置Aは、EnCap(pk1 B,r1 A)→(C1 A,K1 A)を計算し、KeyGen(r2 A)→(sk2 A,pk2 A)を計算する。
情報共有装置Aは、(C1 A,pk2 A)を情報共有装置Bに送信する。
情報共有装置Aは、第一短期秘密鍵r’1 A∈{0,1}k及び第二短期秘密鍵r2 A∈{0,1}kをランダムに選び、G(r’1 A,sk1 A)=r1 A∈{0,1}kを計算する。
情報共有装置Aは、EnCap(pk1 B,r1 A)→(C1 A,K1 A)を計算し、KeyGen(r2 A)→(sk2 A,pk2 A)を計算する。
情報共有装置Aは、(C1 A,pk2 A)を情報共有装置Bに送信する。
2.情報共有装置Bの処理
情報共有装置Bは、(C1 A,pk2 A)を受信する。
情報共有装置Bは、(C1 A,pk2 A)を受信する。
情報共有装置Bは、短期秘密鍵r’1 B,r2 B∈{0,1}kをランダムに選び、G(r’1 B,sk1 B)=r1 B∈{0,1}kを計算する。
情報共有装置Bは、EnCap(pk1 A,r1 B)→(C1 B,K1 B)を計算し、EnCap(pk2 A,r2 B)→(C2 B,K2 B)を計算する。
情報共有装置Bは、(C1 B,C2 B)を情報共有装置Aに送信する。
情報共有装置Bは、DeCap(pk1 B,sk1 B,C1 A)→K1 Aを計算する。
情報共有装置Bは、共有情報K=H(K1 A,K1 B,K2 B,sid),sid=(pk1 A,pk1 B,C1 A,pk2 A,C1 B,C2 B)を計算する。共有情報Kは、例えば共有鍵として用いられる。
情報共有装置Bは、EnCap(pk1 A,r1 B)→(C1 B,K1 B)を計算し、EnCap(pk2 A,r2 B)→(C2 B,K2 B)を計算する。
情報共有装置Bは、(C1 B,C2 B)を情報共有装置Aに送信する。
情報共有装置Bは、DeCap(pk1 B,sk1 B,C1 A)→K1 Aを計算する。
情報共有装置Bは、共有情報K=H(K1 A,K1 B,K2 B,sid),sid=(pk1 A,pk1 B,C1 A,pk2 A,C1 B,C2 B)を計算する。共有情報Kは、例えば共有鍵として用いられる。
3.情報共有装置Aの処理
情報共有装置Aは、(C1 B,C2 B)を受信する。
情報共有装置Aは、DeCap(pk1 A,sk1 A,C1 B)→K1 Bを計算し、DeCap(pk2 A,sk2 A,C2 B)→K2 Bを計算する。
情報共有装置Aは、共有情報K=H(K1 A,K1 B,K2 B,sid),sid=(pk1 A,pk1 B,C1 A,pk2 A,C1 B,C2 B)を計算する。共有情報Kは、例えば共有鍵として用いられる。
情報共有装置Aは、(C1 B,C2 B)を受信する。
情報共有装置Aは、DeCap(pk1 A,sk1 A,C1 B)→K1 Bを計算し、DeCap(pk2 A,sk2 A,C2 B)→K2 Bを計算する。
情報共有装置Aは、共有情報K=H(K1 A,K1 B,K2 B,sid),sid=(pk1 A,pk1 B,C1 A,pk2 A,C1 B,C2 B)を計算する。共有情報Kは、例えば共有鍵として用いられる。
<装置>
公開パラメータ及び情報交換の欄で示した処理は、例えば図1から図3に示された情報共有装置A及び情報共有装置Bにより実行される。
公開パラメータ及び情報交換の欄で示した処理は、例えば図1から図3に示された情報共有装置A及び情報共有装置Bにより実行される。
第一実施形態の情報共有装置は、図1に示すように、情報共有装置A及び情報共有装置Bを例えば備える。
情報共有装置Aは、図2に示すように、記憶部A0、乱数生成部A1、長期鍵生成部A2、短期秘密鍵生成部A3、合成秘密鍵生成部A4、暗号化部A5、鍵生成部A6、送信部A7、受信部A8、第一復号部A9、第二復号部A10、情報生成部A11を例えば備える。
情報共有装置Bは、図3に示すように、記憶部B0、乱数生成部B1、長期鍵生成部B2、短期秘密鍵生成部B3、合成秘密鍵生成部B4、第一暗号化部B5、第二暗号化部B6、送信部B7、受信部B8、復号部B9、情報生成部B10を例えば備える。
情報共有方法の処理の流れの例を図6に示す。
情報共有装置Aの乱数生成部A1は、乱数rA∈{0,1}kを生成する(ステップSA1)。生成された乱数rAは、長期鍵生成部A2に送信される。
長期鍵生成部A2は、鍵生成KeyGen(rA)→(sk1 A,pk1 A)を行い(ステップSA2)、sk1 Aを長期秘密鍵として秘密に保持し、pk1 Aを長期公開鍵として公開する。長期秘密鍵sk1 Aは、合成秘密鍵生成部A4及び第一復号部A9に送信される。長期公開鍵pk1 Aは、第一復号部A9及び情報生成部A11に送信される。
短期秘密鍵生成部A3は、第一短期秘密鍵r’1 A∈{0,1}k及び第二短期秘密鍵r2 A∈{0,1}kをランダムに選択する(ステップSA3)。選択された第一短期秘密鍵r’1 Aは、合成秘密鍵生成部A4に送信される。選択された第二短期秘密鍵r2 Aは、鍵生成部A6に送信される。
合成秘密鍵生成部A4は、第一短期秘密鍵r’1 A及び長期秘密鍵sk1 Aを所定の合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 A∈{0,1}kとする(ステップSA4)。ここで、所定の合成鍵生成関数は、例えばハッシュ関数G(r’1 A,sk1 A)である。合成秘密鍵r1 Aは、暗号化部A5に送信される。
暗号化部A5は、長期公開鍵pk1 B及び合成秘密鍵r1 Aを用いて、所定の暗号化アルゴリズムEnCapにより、第一交換情報C1 A及び第一共有情報K1 Aを生成する(ステップSA5)。生成された第一交換情報C1 Aは、送信部A7及び情報生成部A11に送信される。生成された第一共有情報K1 Aは、情報生成部A11に送信される。
鍵生成部A6は、第二短期秘密鍵r2 Aを用いて、所定の鍵生成アルゴリズムKeyGenにより、秘密鍵sk2 A及び公開鍵pk2 Aを生成する(ステップSA6)。生成された秘密鍵sk2 Aは、第二復号部A10に送信される。生成された公開鍵pk2 Aは、送信部A7、第二復号部A10及び情報生成部A11に送信される。
送信部A7は、第一交換情報C1 A及び公開鍵pk2 Aを情報共有装置Bに送信する(ステップSA7)。
受信部A8は、第一交換情報C1 B及び第二交換情報C2 Bを情報共有装置Bから受信する(ステップSA8)。第一交換情報C1 Bは、第一復号部A9及び情報生成部A11に送信される。第二交換情報C2 Bは、第二復号部A10及び情報生成部A11に送信される。
第一復号部A9は、長期公開鍵pk1 A、長期秘密鍵sk1 A及び第一交換情報C1 Bを用いて、所定の復号化アルゴリズムDeCapにより、第一共有情報K1 Bを生成する(ステップSA9)。生成された第一共有情報K1 Bは、情報生成部A11に送信される。
第二復号部A10は、公開鍵pk2 A、長期秘密鍵sk2 A及び第二交換情報C2 Bを用いて、所定の復号化アルゴリズムDeCapにより、第二共有情報K2 Bを生成する(ステップSA10)。生成された第二共有情報K2 Bは、情報生成部A11に送信される。
情報生成部A11は、第一共有情報K1 A、第一共有情報K1 B、第二共有情報K2 B、長期公開鍵pk1 A、長期公開鍵pk1 B、第一交換情報C1 A、公開鍵pk2 A、第一交換情報C1 B、第二交換情報C2 Bを所定の情報生成関数に入力したときの出力値を計算する(ステップSA11)。所定の情報生成関数は、例えばハッシュ関数Hである。この場合、情報生成部A11が計算する出力値は、H(K1 A,K1 B,K2 B,pk1 A,pk1 B,C1 A,pk2 A,C1 B,C2 B)となる。この出力値が、共有の対象となる共有情報Kとなる。
情報共有装置Bの受信部B8(図3)は、第一交換情報C1 A及び公開鍵pk2 Aを受信する(ステップSB8)。第一交換情報C1 Aは、復号部B9に送信される。公開鍵pk2 Aは、第二暗号化部B6に送信される。
乱数生成部B1は、乱数rB∈{0,1}kを生成する(ステップSB1)。生成された乱数rBは、長期鍵生成部B2に送信される。
長期鍵生成部B2は、鍵生成KeyGen(rB)→(sk1 B,pk1 B)を行い(ステップSB2)、sk1 Bを長期秘密鍵として秘密に保持し、pk1 Bを長期公開鍵として公開する。長期秘密鍵sk1 Bは、合成秘密鍵生成部B4及び復号部B9に送信される。長期公開鍵pk1 Bは、復号部B9及び情報生成部B10に送信される。
短期秘密鍵生成部B3は、第一短期秘密鍵r’1 B∈{0,1}k及び第二短期秘密鍵r2 B∈{0,1}kをランダムに選択する(ステップSB3)。選択された第一短期秘密鍵r’1 Bは、合成秘密鍵生成部B4に送信される。選択された第二短期秘密鍵r2 Bは、第二暗号化部B6に送信される。
合成秘密鍵生成部B4は、第一短期秘密鍵r’1 B及び長期秘密鍵sk1 Bを所定の合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 B∈{0,1}kとする(ステップSB4)。ここで、所定の合成鍵生成関数は、合成秘密鍵生成部A4が用いた合成鍵生成関数と同じ関数であり、例えばハッシュ関数G(r’1 B,sk1 B)である。合成秘密鍵r1 Bは、第一暗号化部B5に送信される。
第一暗号化部B5は、長期公開鍵pk1 A及び合成秘密鍵r1 Bを用いて、所定の暗号化アルゴリズムEnCapにより、第一交換情報C1 B及び第一共有情報K1 Bを生成する(ステップSB5)。生成された第一交換情報C1 Bは、送信部B7及び情報生成部B10に送信される。生成された第一共有情報K1 Bは、情報生成部B10に送信される。
第二暗号化部B6は、公開鍵pk2 A及び第二短期秘密鍵r2 Bを用いて、所定の暗号化アルゴリズムEnCapにより、第二交換情報C2 B及び第二共有情報K2 Bを生成する(ステップSB6)。生成された第二交換情報C2 Bは、送信部B7及び情報生成部B10に送信される。生成された第二共有情報K2 Bは、情報生成部B10に送信される。
送信部B7は、第一交換情報C1 B及び第二交換情報C2 Bを情報共有装置Aに送信する(ステップSB7)。
復号部B9は、長期公開鍵pk1 B、長期秘密鍵sk1 B及び第一交換情報C1 Aを用いて、復号化アルゴリズムDeCapにより、第一共有情報K1 Aを生成する。生成された第一共有情報K1 Aは、情報生成部B10に送信される。
情報生成部B10は、第一共有情報K1 A、第一共有情報K1 B、第二共有情報K2 B、長期公開鍵pk1 A、長期公開鍵pk1 B、第一交換情報C1 A、公開鍵pk2 A、第一交換情報C1 B、第二交換情報C2 Bを情報生成関数に入力したときの出力値を計算する。この情報生成関数は、情報共有装置Aの情報生成部A11が用いる情報生成関数と同じ関数であり、例えばハッシュ関数Hである。この場合、情報生成部B10が計算する出力値は、H(K1 A,K1 B,K2 B,pk1 A,pk1 B,C1 A,pk2 A,C1 B,C2 B)となる。この出力値が、共有の対象となる共有情報Kとなる。
[第二実施形態]
第二実施形態は、以下の部分において第一実施形態と異なる。以下では、第一実施形態と異なる部分を中心に説明をし、第一実施形態と同様の部分については重複説明を省略する。
第二実施形態は、以下の部分において第一実施形態と異なる。以下では、第一実施形態と異なる部分を中心に説明をし、第一実施形態と同様の部分については重複説明を省略する。
ステップSA1において、乱数生成部A1は、長期秘密鍵tA∈{0,1}kを更に生成する。生成された長期秘密鍵tAは、合成秘密鍵生成部A4に送信される。
また、ステップSA3において、短期秘密鍵生成部A3は、短期秘密鍵s’1 A∈{0,1}kを更に生成する。生成された短期秘密鍵s’1 A∈は、合成秘密鍵生成部A4に送信される。
また、ステップSA4において合成秘密鍵生成部A4は、PRF1(tA,r’1 A)xorPRF2(s’1 A,tA)を計算して、合成秘密鍵r1 A∈{0,1}kとする。ここで、PRF1及びPRF2はk個のビットから構成されるビット列{0,1}kを出力する擬似ランダム関数、xorはビットごとの排他的論理和である。すなわち、第二実施形態においては、合成秘密鍵生成部A4が用いる合成鍵生成関数は、PRF1(tA,r’1 A)xorPRF2(s’1 A,tA)となる。擬似ランダム関数は、例えば第一引数を鍵として用いる。
また、ステップSB1において、乱数生成部B1は、長期秘密鍵tB∈{0,1}kを更に生成する。生成された長期秘密鍵tBは、合成秘密鍵生成部B4に送信される。
また、ステップSB3において、短期秘密鍵生成部B3は、短期秘密鍵s’1 B∈{0,1}kを更に生成する。生成された短期秘密鍵s’1 B∈は、合成秘密鍵生成部B4に送信される。
また、ステップSB4において合成秘密鍵生成部B4は、PRF1(tB,r’1 B)xorPRF2(s’1 B,tB)を計算して、合成秘密鍵r1 B∈{0,1}kとする。すなわち、第二実施形態においては、合成秘密鍵生成部B4が用いる合成鍵生成関数は、PRF1(tB,r’1 B)xorPRF2(s’1 B,tB)となる。
さらに、ステップSA11及びステップSB10において、情報生成部A11及び情報生成部B10が用いる情報生成関数は、PRF3(L1 A,sid)xorPRF3(L1 B,sid)xorPRF3(L2 B,sid)である。ここで、Extはランダムネスエクストラクタ、PRF3は擬似ランダム関数、sid={pk1 A,pk1 B,C1 A,pk2 A,C1 B,C2 B}、L1 A=Ext(K1 A)、L1 B=Ext(K1 B)、L2 B=Ext(K2 B)である。ランダムネスエクストラクタExtは、任意の分布の入力に対して一様の分布を持つ出力値を出力する関数である。
このようにすることにより、第二実施形態では、ランダムオラクルモデルを仮定せずに安全性を示すことができる。
[第三実施形態]
第三実施形態は、ID−base KEMを用いた情報共有を行うものである。
第三実施形態は、ID−base KEMを用いた情報共有を行うものである。
第三実施形態のID−base KEMを用いた情報共有システム、方法を以下に示す。
なお、第一実施形態のpk1 Aが、第三実施形態のmpk1及びID1 Aに対応する。また、第一実施形態のpk2 Aが、第三実施形態のmpk2 A及びID2 Aに対応する。さらに、第一実施形態のpk1 Bが、第三実施形態のmpk1及びID1 Bに対応する。これ以外の技術的特徴は、第一実施形態と第三実施形態において同様である。
<アルゴリズム>
まず、次のようにKEMの各アルゴリズムが定まっているとする。
KeyGen(r)→(msk,mpk)は、ID−base KEMのマスタ鍵生成アルゴリズム。
KeyDer(msk,mpk,ID)→skは、ID−base KEMの鍵導出アルゴリズム。
EnCap(mpk,ID,r’)→(C,K)は、ID−base KEMの暗号化アルゴリズム。
DeCap(mpk,ID,sk,C)→Kは、ID−base KEMの復号化アルゴリズム。
まず、次のようにKEMの各アルゴリズムが定まっているとする。
KeyGen(r)→(msk,mpk)は、ID−base KEMのマスタ鍵生成アルゴリズム。
KeyDer(msk,mpk,ID)→skは、ID−base KEMの鍵導出アルゴリズム。
EnCap(mpk,ID,r’)→(C,K)は、ID−base KEMの暗号化アルゴリズム。
DeCap(mpk,ID,sk,C)→Kは、ID−base KEMの復号化アルゴリズム。
<公開パラメータ>
H:{0,1}*→{0,1}kと、G:{0,1}*→{0,1}kとをハッシュ関数とする。{0,1}xは、それぞれ0又は1であるx個のビットから構成されるビット列を意味する。*は任意の数を意味する。すなわち、{0,1}*は、任意の長さのビット列を意味する。kは、所定の正の整数であり、セキュリティパラメータである。
H:{0,1}*→{0,1}kと、G:{0,1}*→{0,1}kとをハッシュ関数とする。{0,1}xは、それぞれ0又は1であるx個のビットから構成されるビット列を意味する。*は任意の数を意味する。すなわち、{0,1}*は、任意の長さのビット列を意味する。kは、所定の正の整数であり、セキュリティパラメータである。
ここで、ハッシュ関数の引数が2以上ありこれらの引数をカンマ「,」で区切った場合には、これらの引数を所定の順序でビット結合したビット列をそのハッシュ関数に入力することを意味する。すなわち、例えば、情報共有装置Aにおいて計算されるG(r’1 A,sk1 A)=G(r’1 A||sk1 A)である。また、ビット結合する引数の順序は、各ハッシュ関数において同じであるとする。すなわち、情報共有装置A及び情報共有装置Bにおいて、ビット結合をする所定の順序は同じである。つまり、この場合、情報共有装置Bにおいて計算されるG(r’1 B,sk1 B)は、G(r’1 B||sk1 B)となる。これは、ハッシュ関数Hについても同様である。
例えば図1に破線で示したマスタ鍵生成装置3が、r∈{0,1}kをランダムに選択し、マスタ鍵生成KeyGen(r)→(msk1,mpk1)を行い、msk1をマスタ秘密鍵として秘密に保持し、mpk1をマスタ公開鍵として公開する。
<鍵導出>
例えば図1に破線で示した鍵導出装置4が、i=A,Bとして、情報共有装置iの識別子ID1 i∈{0,1}*に対して、KeyDer(msk1,mpk1,ID1 i)→sk1 iを計算し、長期秘密鍵sk1 iを情報共有装置iに秘密裡に送付する。鍵導出装置4は、マスタ鍵生成装置3であってもよい。
例えば図1に破線で示した鍵導出装置4が、i=A,Bとして、情報共有装置iの識別子ID1 i∈{0,1}*に対して、KeyDer(msk1,mpk1,ID1 i)→sk1 iを計算し、長期秘密鍵sk1 iを情報共有装置iに秘密裡に送付する。鍵導出装置4は、マスタ鍵生成装置3であってもよい。
<情報交換>
識別子ID1 A及び長期秘密鍵sk1 Aを持つ情報共有装置Aと、識別子ID1 B及び長期秘密鍵sk1 Bを持つ情報共有装置Bとは、以下のようにして交換情報を交換して、情報Kを共有する。
識別子ID1 A及び長期秘密鍵sk1 Aを持つ情報共有装置Aと、識別子ID1 B及び長期秘密鍵sk1 Bを持つ情報共有装置Bとは、以下のようにして交換情報を交換して、情報Kを共有する。
1.情報共有装置Aの処理
情報共有装置Aは、第一短期秘密鍵r’1 A∈{0,1}k及び第二短期秘密鍵r2 A∈{0,1}kをランダムに選び、G(r’1 A,sk1 A)=r1 A∈{0,1}kを計算する。
情報共有装置Aは、EnCap(mpk1,ID1 B,r1 A)→(C1 A,K1 A)を計算し、KeyGen(r2 A)→(msk2 A,mpk2 A)を計算する。
情報共有装置Aは、識別子ID2 A∈{0,1}*をランダムに選ぶ。
情報共有装置Aは、KeyDer(msk2 A,mpk2 A,ID2 A)→sk2 Aを計算する。
情報共有装置Aは、(C1 A,mpk2 A,ID2 A)を情報共有装置Bに送信する。
情報共有装置Aは、第一短期秘密鍵r’1 A∈{0,1}k及び第二短期秘密鍵r2 A∈{0,1}kをランダムに選び、G(r’1 A,sk1 A)=r1 A∈{0,1}kを計算する。
情報共有装置Aは、EnCap(mpk1,ID1 B,r1 A)→(C1 A,K1 A)を計算し、KeyGen(r2 A)→(msk2 A,mpk2 A)を計算する。
情報共有装置Aは、識別子ID2 A∈{0,1}*をランダムに選ぶ。
情報共有装置Aは、KeyDer(msk2 A,mpk2 A,ID2 A)→sk2 Aを計算する。
情報共有装置Aは、(C1 A,mpk2 A,ID2 A)を情報共有装置Bに送信する。
2.情報共有装置Bの処理
情報共有装置Bは、(C1 A,mpk2 A,ID2 A)を受信する。
情報共有装置Bは、短期秘密鍵r’1 B,r2 B∈{0,1}kをランダムに選び、G(r’1 B,sk1 B)=r1 B∈{0,1}kを計算する。
情報共有装置Bは、EnCap(mpk1 A,ID1 A,r1 B)→(C1 B,K1 B)を計算し、EnCap(mpk2 A,ID2 A,r2 B)→(C2 B,K2 B)を計算する。
情報共有装置Bは、(C1 B,C2 B)を情報共有装置Aに送信する。
情報共有装置Bは、DeCap(mpk1 B,ID1 B,sk1 B,C1 A)→K1 Aを計算する。
情報共有装置Bは、共有情報K=H(K1 A,K1 B,K2 B,sid),sid=(ID1 A,ID1 B,C1 A,mpk2 A,ID2 A,C1 B,C2 B)を計算する。共有情報Kは、例えば共有鍵として用いられる。
情報共有装置Bは、(C1 A,mpk2 A,ID2 A)を受信する。
情報共有装置Bは、短期秘密鍵r’1 B,r2 B∈{0,1}kをランダムに選び、G(r’1 B,sk1 B)=r1 B∈{0,1}kを計算する。
情報共有装置Bは、EnCap(mpk1 A,ID1 A,r1 B)→(C1 B,K1 B)を計算し、EnCap(mpk2 A,ID2 A,r2 B)→(C2 B,K2 B)を計算する。
情報共有装置Bは、(C1 B,C2 B)を情報共有装置Aに送信する。
情報共有装置Bは、DeCap(mpk1 B,ID1 B,sk1 B,C1 A)→K1 Aを計算する。
情報共有装置Bは、共有情報K=H(K1 A,K1 B,K2 B,sid),sid=(ID1 A,ID1 B,C1 A,mpk2 A,ID2 A,C1 B,C2 B)を計算する。共有情報Kは、例えば共有鍵として用いられる。
3.情報共有装置Aの処理
情報共有装置Aは、(C1 B,C2 B)を受信する。
情報共有装置Aは、DeCap(mpk1 A,ID1 A,sk1 A,C1 B)→K1 Bを計算し、DeCap(mpk2 A,ID2 A,sk2 A,C2 B)→K2 Bを計算する。
情報共有装置Aは、共有情報K=H(K1 A,K1 B,K2 B,sid),sid=(ID1 A,ID1 B,C1 A,mpk2 A,ID2 A,C1 B,C2 B)を計算する。共有情報Kは、例えば共有鍵として用いられる。
情報共有装置Aは、(C1 B,C2 B)を受信する。
情報共有装置Aは、DeCap(mpk1 A,ID1 A,sk1 A,C1 B)→K1 Bを計算し、DeCap(mpk2 A,ID2 A,sk2 A,C2 B)→K2 Bを計算する。
情報共有装置Aは、共有情報K=H(K1 A,K1 B,K2 B,sid),sid=(ID1 A,ID1 B,C1 A,mpk2 A,ID2 A,C1 B,C2 B)を計算する。共有情報Kは、例えば共有鍵として用いられる。
<装置>
公開パラメータ及び情報交換の欄で示した処理は、例えば図1,図4,図5に示された情報共有装置A及び情報共有装置Bにより実行される。
公開パラメータ及び情報交換の欄で示した処理は、例えば図1,図4,図5に示された情報共有装置A及び情報共有装置Bにより実行される。
第三実施形態の情報共有システムは、情報共有装置A及び情報共有装置Bに加えて、図1に破線で示されたマスタ鍵生成装置3及び鍵導出装置4を更に備える。
情報共有装置Aは、図4に示すように、記憶部A0、短期秘密鍵生成部A3、合成秘密鍵生成部A4、暗号化部A5、鍵生成部A6、送信部A7、受信部A8、第一復号部A9、第二復号部A10、情報生成部A11、ID選択部A12、鍵導出部A13を例えば備える。
情報共有装置Bは、図5に示すように、記憶部B0、短期秘密鍵生成部B3、合成秘密鍵生成部B4、第一暗号化部B5、第二暗号化部B6、送信部B7、受信部B8、復号部B9、情報生成部B10を例えば備える。
情報共有方法の処理の流れの例を図7に示す。
短期秘密鍵生成部A3は、第一短期秘密鍵r’1 A∈{0,1}k及び第二短期秘密鍵r2 A∈{0,1}kをランダムに選択する(ステップSA3)。選択された第一短期秘密鍵r’1 Aは、合成秘密鍵生成部A4に送信される。選択された第二短期秘密鍵r2 Aは、鍵生成部A6に送信される。
合成秘密鍵生成部A4は、第一短期秘密鍵r’1 A及び第一長期秘密鍵sk1 Aを所定の合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 A∈{0,1}kとする(ステップSA4)。ここで、所定の合成鍵生成関数は、例えばハッシュ関数G(r’1 A,sk1 A)である。合成秘密鍵r1 Aは、暗号化部A5に送信される。
暗号化部A5は、マスタ公開鍵mpk1、情報共有装置Bの識別子であるID1 B∈{0,1}k及び上記合成秘密鍵r1 Aを用いて、所定の暗号化アルゴリズムEnCapにより、第一交換情報C1 A及び第一共有情報K1 Aを生成する(ステップSA5)。生成された第一交換情報C1 Aは、送信部A7及び情報生成部A11に送信される。生成された第一共有情報K1 Aは、情報生成部A11に送信される。
鍵生成部A6が、第二短期秘密鍵r2 Aを用いて、所定の鍵生成アルゴリズムKeyGenにより、秘密鍵msk2 A及び公開鍵mpk2 Aを生成する(ステップSA6)。生成された秘密鍵msk2 Aは、第二復号部A10及び鍵導出部A13に送信される。生成された公開鍵mpk2 Aは、送信部A7、第二復号部A10、情報生成部A11及び鍵導出部A13に送信される。
ID選択部A12は、情報共有装置Aの第二の識別子であるID2 A∈{0,1}kを選択する(ステップSA12)。選択されたID2 Aは、送信部A7及び鍵導出部A13に送信される。
鍵導出部A13は、秘密鍵msk2 A、公開鍵mpk2 A及びID2 Aを用いて、所定の鍵導出アルゴリズムKeyDerにより、第二長期秘密鍵sk2 Aを生成する(ステップSA13)。第二長期秘密鍵は、第二復号部A10に送信される。
送信部A7は、第一交換情報C1 A、公開鍵mpk2 A及びID2 Aを情報共有装置Bに送信する(ステップSA7)。
受信部A8は、第一交換情報C1 B及び第二交換情報C2 Bを情報共有装置Bから受信する(ステップSA8)。第一交換情報C1 Bは、第一復号部A9及び情報生成部A11に送信される。第二交換情報C2 Bは、第二復号部A10及び情報生成部A11に送信される。
第一復号部A9は、マスタ公開鍵mpk1、ID1 A、第一長期秘密鍵sk1 A及び第一交換情報C1 Bを用いて、所定の復号化アルゴリズムDeCapにより、第一共有情報K1 Bを生成する(ステップSA9)。生成された第一共有情報K1 Bは、情報生成部A11に送信される。
第二復号部A10は、公開鍵pk2 A、ID2 A、第二長期秘密鍵sk2 A及び第二交換情報C2 Bを用いて、所定の復号化アルゴリズムDeCapにより、第二共有情報K2 Bを生成する(ステップSA10)。生成された第二共有情報K2 Bは、情報生成部A11に送信される。
情報生成部A11は、第一共有情報K1 A、第一共有情報K1 B、第二共有情報K2 B、ID1 A、ID1 B、第一交換情報C1 A、公開鍵mpk2 A、ID2 A、第一交換情報C1 B及び第二交換情報C2 Bを所定の情報生成関数に入力したときの出力値を計算する(ステップSA11)。所定の情報生成関数は、例えばハッシュ関数Hである。この場合、情報生成部A11が計算する出力値は、H(K1 A,K1 B,K2 B,ID1 A,ID1 B,C1 A,mpk2 A,ID2 A,C1 B,C2 B)となる。この出力値が、共有の対象となる共有情報Kとなる。
情報共有装置Bの受信部B8(図5)は、第一交換情報C1 A、公開鍵mpk2 A及びID2 Aを受信する(ステップSB8)。第一交換情報C1 Aは、復号部B9に送信される。公開鍵mpk2 Aは、第二暗号化部B6に送信される。
短期秘密鍵生成部B3は、第一短期秘密鍵r’1 B∈{0,1}k及び第二短期秘密鍵r2 B∈{0,1}kをランダムに選択する(ステップSB3)。選択された第一短期秘密鍵r’1 Bは、合成秘密鍵生成部B4に送信される。選択された第二短期秘密鍵r2 Bは、第二暗号化部B6に送信される。
合成秘密鍵生成部B4は、第一短期秘密鍵r’1 B及び長期秘密鍵sk1 Bを所定の合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 B∈{0,1}kとする(ステップSB4)。ここで、所定の合成鍵生成関数は、例えばハッシュ関数G(r’1 B,sk1 B)である。合成秘密鍵r1 Bは、第一暗号化部B5に送信される。
第一暗号化部B5は、マスタ公開鍵mpk1、ID1 A及び合成秘密鍵r1 Bを用いて、所定の暗号化アルゴリズムEnCapにより、第一交換情報C1 B及び第一共有情報K1 Bを生成する(ステップSB5)。生成された第一交換情報C1 Bは、送信部B7及び情報生成部B10に送信される。生成された第一共有情報K1 Bは、情報生成部B10に送信される。
第二暗号化部B6は、公開鍵mpk2 A、ID2 A及び第二短期秘密鍵r2 Bkを用いて、所定の暗号化アルゴリズムEnCapにより、第二交換情報C2 B及び第二共有情報K2 Bを生成する(ステップSB6)。生成された第二交換情報C2 Bは、送信部B7及び情報生成部B10に送信される。生成された第二共有情報K2 Bは、情報生成部B10に送信される。
送信部B7は、第一交換情報C1 B及び第二交換情報C2 Bを情報共有装置Aに送信する(ステップSB7)。
復号部B9は、マスタ公開鍵mpk1、ID1 B、第一長期秘密鍵sk1 B及び第一交換情報C1 Aを用いて、復号化アルゴリズムDeCapにより、第一共有情報K1 Aを生成する。生成された第一共有情報K1 Aは、情報生成部B10に送信される。
情報生成部B10は、第一共有情報K1 A、第一共有情報K1 B、第二共有情報K2 B、ID1 A、ID1 B、第一交換情報C1 A、公開鍵mpk2 A、ID2 A、第一交換情報C1 B及び第二交換情報C2 Bを情報生成関数に入力したときの出力値を計算する。この情報生成関数は、情報共有装置Aの情報生成部A11が用いる情報生成関数と同じ関数であり、例えばハッシュ関数Hである。この場合、情報生成部B10が計算する出力値は、H(K1 A,K1 B,K2 B,ID1 A,ID1 B,C1 A,mpk2 A,ID2 A,C1 B,C2 B)となる。この出力値が、共有の対象となる共有情報Kとなる。
[第四実施形態]
第四実施形態は、以下の部分において第三実施形態と異なる。以下では、第三実施形態と異なる部分を中心に説明をし、第三実施形態と同様の部分については重複説明を省略する。
第四実施形態は、以下の部分において第三実施形態と異なる。以下では、第三実施形態と異なる部分を中心に説明をし、第三実施形態と同様の部分については重複説明を省略する。
鍵導出装置4(図1)は、更に長期秘密鍵tA∈{0,1}kをランダムに生成する。生成された長期秘密鍵tAは、情報共有装置Aの合成秘密鍵生成部A4に秘密裡に送信される。
また、ステップSA3において、短期秘密鍵生成部A3は、短期秘密鍵s’1 A∈{0,1}kを更に生成する。生成された短期秘密鍵s’1 A∈は、合成秘密鍵生成部A4に送信される。
また、ステップSA4において合成秘密鍵生成部A4は、PRF1(tA,r’1 A)xorPRF2(s’1 A,tA)を計算して、合成秘密鍵r1 A∈{0,1}kとする。ここで、PRF1及びPRF2はk個のビットから構成されるビット列{0,1}kを出力する擬似ランダム関数、xorはビットごとの排他的論理和である。すなわち、第四実施形態においては、合成秘密鍵生成部A4が用いる合成鍵生成関数は、PRF1(tA,r’1 A)xorPRF2(s’1 A,tA)となる。擬似ランダム関数は、例えば第一引数を鍵として用いる。
また、鍵導出装置4は、更に長期秘密鍵tB∈{0,1}kをランダムに生成する。生成された長期秘密鍵tBは、情報共有装置Bの合成秘密鍵生成部B4に秘密裡に送信される。
また、ステップSB3において、短期秘密鍵生成部B3は、短期秘密鍵s’1 B∈{0,1}kを更に生成する。生成された短期秘密鍵s’1 B∈は、合成秘密鍵生成部B4に送信される。
また、ステップSB4において合成秘密鍵生成部B4は、PRF1(tB,r’1 B)xorPRF2(s’1 B,tB)を計算して、合成秘密鍵r1 B∈{0,1}kとする。すなわち、第四実施形態においては、合成秘密鍵生成部B4が用いる合成鍵生成関数は、PRF1(tB,r’1 B)xorPRF2(s’1 B,tB)となる。
さらに、ステップSA11及びステップSB10において、情報生成部A11及び情報生成部B10が用いる情報生成関数は、PRF3(L1 A,sid)xorPRF3(L1 B,sid)xorPRF3(L2 B,sid)である。ここで、Extはランダムネスエクストラクタ、PRF3は擬似ランダム関数、sid={pk1 A,pk1 B,C1 A,pk2 A,C1 B,C2 B}、L1 A=Ext(K1 A)、L1 B=Ext(K1 B)、L2 B=Ext(K2 B)である。ランダムネスエクストラクタExtは、任意の分布の入力に対して一様の分布を持つ出力値を出力する関数である。
このようにすることにより、第四実施形態では、ランダムオラクルモデルを仮定せずに安全性を示すことができる。
[他の変形例]
情報共有装置Aの各部間における情報のやり取りは、記憶部A0を介して行われてもよい。同様に、情報共有装置Bの各部間における情報のやり取りは、記憶部B0を介して行われてもよい。
情報共有装置Aの各部間における情報のやり取りは、記憶部A0を介して行われてもよい。同様に、情報共有装置Bの各部間における情報のやり取りは、記憶部B0を介して行われてもよい。
情報共有装置Aをコンピュータによって実現する場合、情報共有装置Aの各部の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、情報共有装置Aの各部の処理機能がコンピュータ上で実現される。
同様に、情報共有装置Bをコンピュータによって実現する場合、情報共有装置Bの各部の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、情報共有装置Bの各部の処理機能がコンピュータ上で実現される。
これらのプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
この発明は上記の実施形態及び変形例に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
3 マスタ鍵生成装置
4 鍵導出装置
A 情報共有装置
A0 記憶部
A1 乱数生成部
A2 長期鍵生成部
A3 短期秘密鍵生成部
A4 合成秘密鍵生成部
A5 暗号化部
A6 鍵生成部
A7 送信部
A8 受信部
A9 第一復号部
A10 第二復号部
A11 情報生成部
A12 ID選択部
A13 鍵導出部
B 情報共有装置
B0 記憶部
B1 乱数生成部
B2 長期鍵生成部
B3 短期秘密鍵生成部
B4 合成秘密鍵生成部
B5 第一暗号化部
B6 第二暗号化部
B7 送信部
B8 受信部
B9 復号部
B10 情報生成部
4 鍵導出装置
A 情報共有装置
A0 記憶部
A1 乱数生成部
A2 長期鍵生成部
A3 短期秘密鍵生成部
A4 合成秘密鍵生成部
A5 暗号化部
A6 鍵生成部
A7 送信部
A8 受信部
A9 第一復号部
A10 第二復号部
A11 情報生成部
A12 ID選択部
A13 鍵導出部
B 情報共有装置
B0 記憶部
B1 乱数生成部
B2 長期鍵生成部
B3 短期秘密鍵生成部
B4 合成秘密鍵生成部
B5 第一暗号化部
B6 第二暗号化部
B7 送信部
B8 受信部
B9 復号部
B10 情報生成部
Claims (13)
- 情報共有装置A及び情報共有装置Bで情報を共有する情報共有システムにおいて、
セキュリティパラメータkは正の整数であり、
上記情報共有装置Aは、
第一短期秘密鍵r’1 A∈{0,1}k及び長期秘密鍵sk1 Aを所定の合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 A∈{0,1}kとする合成秘密鍵生成部と、
長期公開鍵pk1 B及び上記合成秘密鍵r1 Aを用いて、所定の暗号化アルゴリズムEnCapにより、第一交換情報C1 A及び第一共有情報K1 Aを生成する暗号化部と、
第二短期秘密鍵r2 A∈{0,1}kを用いて、所定の鍵生成アルゴリズムKeyGenにより、秘密鍵sk2 A及び公開鍵pk2 Aを生成する鍵生成部と、
上記第一交換情報C1 A及び上記公開鍵pk2 Aを上記情報共有装置Bに送信する送信部と、
第一交換情報C1 B及び第二交換情報C2 Bを上記情報共有装置Bから受信する受信部と、
長期公開鍵pk1 A、上記長期秘密鍵sk1 A及び第一交換情報C1 Bを用いて、所定の復号化アルゴリズムDeCapにより、第一共有情報K1 Bを生成する第一復号部と、
上記公開鍵pk2 A、上記長期秘密鍵sk2 A及び上記第二交換情報C2 Bを用いて、所定の復号化アルゴリズムDeCapにより、第二共有情報K2 Bを生成する第二復号部と、
上記第一共有情報K1 A、上記第一共有情報K1 B、上記第二共有情報K2 B、上記長期公開鍵pk1 A、長期公開鍵pk1 B、上記第一交換情報C1 A、上記公開鍵pk2 A、上記第一交換情報C1 B、上記第二交換情報C2 Bを所定の情報生成関数に入力したときの出力値を計算する情報生成部と、
を含み、
上記情報共有装置Bは、
上記第一交換情報C1 A及び上記公開鍵pk2 Aを上記情報共有装置Aから受信する受信部と、
第一短期秘密鍵r’1 B∈{0,1}k及び長期秘密鍵sk1 Bを所定の合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 B∈{0,1}kとする合成秘密鍵生成部と、
上記長期公開鍵pk1 A及び上記合成秘密鍵r1 Bを用いて、上記暗号化アルゴリズムEnCapにより、第一交換情報C1 B及び第一共有情報K1 Bを生成する第一暗号化部と、
上記公開鍵pk2 A及び第二短期秘密鍵r2 B∈{0,1}kを用いて、上記暗号化アルゴリズムEnCapにより、第二交換情報C2 B及び第二共有情報K2 Bを生成する第二暗号化部と、
上記第一交換情報C1 B及び上記第二交換情報C2 Bを上記情報共有装置Aに送信する送信部と、
上記長期公開鍵pk1 B、上記長期秘密鍵sk1 B及び第一交換情報C1 Aを用いて、上記復号化アルゴリズムDeCapにより、上記第一共有情報K1 Aを生成する復号部と、
上記第一共有情報K1 A、上記第一共有情報K1 B、上記第二共有情報K2 B、上記長期公開鍵pk1 A、上記長期公開鍵pk1 B、上記第一交換情報C1 A、上記公開鍵pk2 A、上記第一交換情報C1 B、上記第二交換情報C2 Bを上記情報生成関数に入力したときの出力値を計算する情報生成部と、
を含む、
情報共有システム。 - 請求項1の情報共有システムにおいて、
{0,1} * をそれぞれ0又は1である任意の個数のビットから構成されるビット列であるとし、{0,1} k をそれぞれ0又は1であるk個のビットから構成されるビット列であるとして、
上記合成鍵生成関数は、ハッシュ関数G:{0,1}*→{0,1}kであり、
上記情報生成関数は、ハッシュ関数H:{0,1}*→{0,1}kである、
情報共有システム。 - 請求項1の情報共有システムにおいて、
長期秘密鍵tAをtA∈{0,1}k、短期秘密鍵s’1 Aをs’1 A∈{0,1}k、PRF1及びPRF2を擬似ランダム関数、xorを排他的論理和として、上記情報共有装置Aの合成秘密鍵生成部の合成鍵生成関数は、PRF1(tA,r’1 A)xorPRF2(s’1 A,tA)であり、
長期秘密鍵tBをtB∈{0,1}k、短期秘密鍵s’1 Bをs’1 B∈{0,1}kとして、上記情報共有装置Bの合成秘密鍵生成部の合成鍵生成関数は、PRF1(tB,r’1 B)xorPRF2(s’1 B,tB)であり、
Extをランダムネスエクストラクタ、PRF3を擬似ランダム関数、sid={pk1 A,pk1 B,C1 A,pk2 A,C1 B,C2 B}、L1 A=Ext(K1 A)、L1 B=Ext(K1 B)、L2 B=Ext(K2 B)として、上記情報生成関数は、PRF3(L1 A,sid)xorPRF3(L1 B,sid)xorPRF3(L2 B,sid)である、
情報共有システム。 - 情報共有装置A及び情報共有装置Bで情報を共有する情報共有システムにおいて、
セキュリティパラメータkは正の整数であり、
上記情報共有装置Aは、
第一短期秘密鍵r’1 A∈{0,1}k及び第一長期秘密鍵sk1 Aを所定の合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 A∈{0,1}kとする合成秘密鍵生成部と、
マスタ公開鍵mpk1、情報共有装置Bの識別子であるID1 B∈{0,1}k及び上記合成秘密鍵r1 Aを用いて、所定の暗号化アルゴリズムEnCapにより、第一交換情報C1 A及び第一共有情報K1 Aを生成する暗号化部と、
第二短期秘密鍵r2 A∈{0,1}kを用いて、所定の鍵生成アルゴリズムKeyGenにより、秘密鍵msk2 A及び公開鍵mpk2 Aを生成する鍵生成部と、
上記情報共有装置Aの第二の識別子であるID2 A∈{0,1}kを選択するID選択部と、
上記秘密鍵msk 2 A 、上記公開鍵mpk 2 A 及び上記ID 2 A を用いて、所定の鍵導出アルゴリズムKeyDerにより、第二長期秘密鍵sk 2 A を生成する鍵導出部と、
上記第一交換情報C1 A、上記公開鍵mpk2 A及び上記ID2 Aを上記情報共有装置Bに送信する送信部と、
第一交換情報C1 B及び第二交換情報C2 Bを上記情報共有装置Bから受信する受信部と、
情報共有装置Aの公開鍵mpk1 A 、情報共有装置Aの第一の識別子であるID1 A、上記第一長期秘密鍵sk1 A及び上記第一交換情報C1 Bを用いて、所定の復号化アルゴリズムDeCapにより、第一共有情報K1 Bを生成する第一復号部と、
上記公開鍵mpk2 A、上記ID2 A、上記第二長期秘密鍵sk2 A及び上記第二交換情報C2 Bを用いて、所定の復号化アルゴリズムDeCapにより、第二共有情報K2 Bを生成する第二復号部と、
上記第一共有情報K1 A、上記第一共有情報K1 B、上記第二共有情報K2 B、上記ID1 A、上記ID1 B、上記第一交換情報C1 A、上記公開鍵mpk2 A、上記ID2 A、上記第一交換情報C1 B及び上記第二交換情報C2 Bを所定の情報生成関数に入力したときの出力値を計算する情報生成部と、
を含み、
上記情報共有装置Bは、
上記第一交換情報C1 A、上記公開鍵mpk2 A及び上記ID2 Aを上記情報共有装置Aから受信する受信部と、
第一短期秘密鍵r’1 B∈{0,1}k及び長期秘密鍵sk1 Bを上記合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 B∈{0,1}kとする合成秘密鍵生成部と、
情報共有装置Aの公開鍵mpk1 A 、上記ID1 A及び上記合成秘密鍵r1 Bを用いて、上記暗号化アルゴリズムEnCapにより、第一交換情報C1 B及び第一共有情報K1 Bを生成する第一暗号化部と、
上記公開鍵mpk2 A、上記ID2 A及び第二短期秘密鍵r2 B∈{0,1}kを用いて、上記暗号化アルゴリズムEnCapにより、第二交換情報C2 B及び第二共有情報K2 Bを生成する第二暗号化部と、
上記第一交換情報C1 B及び上記第二交換情報C2 Bを上記情報共有装置Aに送信する送信部と、
情報共有装置Bの公開鍵mpk1 B 、上記ID1 B、上記第一長期秘密鍵sk1 B及び第一交換情報C1 Aを用いて、上記復号化アルゴリズムDeCapにより、上記第一共有情報K1 Aを生成する復号部と、
上記第一共有情報K1 A、上記第一共有情報K1 B、上記第二共有情報K2 B、上記ID1 A、上記ID1 B、上記第一交換情報C1 A、上記公開鍵mpk2 A、上記ID2 A、上記第一交換情報C1 B及び上記第二交換情報C2 Bを上記情報生成関数に入力したときの出力値を計算する情報生成部と、
を含む、
情報共有システム。 - 請求項4の情報共有システムにおいて、
{0,1} * をそれぞれ0又は1である任意の個数のビットから構成されるビット列であるとし、{0,1} k をそれぞれ0又は1であるk個のビットから構成されるビット列であるとして、
上記合成鍵生成関数は、ハッシュ関数G:{0,1}*→{0,1}kであり、
上記情報生成関数は、ハッシュ関数H:{0,1}*→{0,1}kである、
情報共有システム。 - 請求項4の情報共有システムにおいて、
上記情報共有装置Aの合成秘密鍵生成部の合成鍵生成関数は、長期秘密鍵tAをtA∈{0,1}k、短期秘密鍵s’1 Aをs’1 A∈{0,1}k、PRF1及びPRF2を擬似ランダム関数、xorを排他的論理和として、PRF1(tA,r’1 A)xorPRF2(s’1 A,tA)であり、
上記情報共有装置Bの合成秘密鍵生成部の合成鍵生成関数は、長期秘密鍵tBをtB∈{0,1}k、短期秘密鍵s’1 Bをs’1 B∈{0,1}kとして、PRF1(tB,r’1 B)xorPRF2(s’1 B,tB)であり、
Extをランダムネスエクストラクタ、PRF3を擬似ランダム関数、sid={ID1 A,ID1 B,C1 A,mpk2 A,ID2 A,C1 B,C2 B,}、L1 A=Ext(K1 A)、L1 B=Ext(K1 B)、L2 B=Ext(K2 B)として、上記情報生成関数は、PRF3(L1 A,sid)xorPRF3(L1 B,sid)xorPRF3(L2 B,sid)である、
情報共有システム。 - 情報共有装置A及び情報共有装置Bで情報を共有する情報共有方法において、
セキュリティパラメータkは正の整数であり、
上記情報共有装置Aが、第一短期秘密鍵r’1 A∈{0,1}k及び長期秘密鍵sk1 Aを所定の合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 A∈{0,1}kとする合成秘密鍵生成ステップと、
上記情報共有装置Aが、長期公開鍵pk1 B及び上記合成秘密鍵r1 Aを用いて、所定の暗号化アルゴリズムEnCapにより、第一交換情報C1 A及び第一共有情報K1 Aを生成する暗号化ステップと、
上記情報共有装置Aが、第二短期秘密鍵r2 A∈{0,1}kを用いて、所定の鍵生成アルゴリズムKeyGenにより、秘密鍵sk2 A及び公開鍵pk2 Aを生成する鍵生成ステップと、
上記情報共有装置Aが、上記第一交換情報C1 A及び上記公開鍵pk2 Aを上記情報共有装置Bに送信する送信ステップと、
上記情報共有装置Bが、上記第一交換情報C1 A及び上記公開鍵pk2 Aを上記情報共有装置Aから受信する受信ステップと、
上記情報共有装置Bが、第一短期秘密鍵r’1 B∈{0,1}k及び長期秘密鍵sk1 Bを所定の合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 B∈{0,1}kとする合成秘密鍵生成ステップと、
上記情報共有装置Bが、上記長期公開鍵pk1 A及び上記合成秘密鍵r1 Bを用いて、上記暗号化アルゴリズムEnCapにより、第一交換情報C1 B及び第一共有情報K1 Bを生成する第一暗号化ステップと、
上記情報共有装置Bが、上記公開鍵pk2 A及び第二短期秘密鍵r2 B∈{0,1}kを用いて、上記暗号化アルゴリズムEnCapにより、第二交換情報C2 B及び第二共有情報K2 Bを生成する第二暗号化ステップと、
上記情報共有装置Bが、上記第一交換情報C1 B及び上記第二交換情報C2 Bを上記情報共有装置Aに送信する送信ステップと、
上記情報共有装置Aが、第一交換情報C1 B及び第二交換情報C2 Bを上記情報共有装置Bから受信する受信ステップと、
上記情報共有装置Aが、長期公開鍵pk1 A、上記長期秘密鍵sk1 A及び第一交換情報C1 Bを用いて、所定の復号化アルゴリズムDeCapにより、第一共有情報K1 Bを生成する第一復号ステップと、
上記情報共有装置Aが、上記公開鍵pk2 A、上記長期秘密鍵sk2 A及び上記第二交換情報C2 Bを用いて、所定の復号化アルゴリズムDeCapにより、第二共有情報K2 Bを生成する第二復号ステップと、
上記情報共有装置Aが、上記第一共有情報K1 A、上記第一共有情報K1 B、上記第二共有情報K2 B、上記長期公開鍵pk1 A、上記長期公開鍵pk1 B、上記第一交換情報C1 A、上記公開鍵pk2 A、上記第一交換情報C1 B、上記第二交換情報C2 Bを所定の情報生成関数に入力したときの出力値を計算する情報生成ステップと、
上記情報共有装置Bが、上記長期公開鍵pk1 B、上記長期秘密鍵sk1 B及び第一交換情報C1 Aを用いて、上記復号化アルゴリズムDeCapにより、上記第一共有情報K1 Aを生成する復号ステップと、
上記情報共有装置Bが、上記第一共有情報K1 A、上記第一共有情報K1 B、上記第二共有情報K2 B、上記長期公開鍵pk1 A、上記長期公開鍵pk1 B、上記第一交換情報C1 A、上記公開鍵pk2 A、上記第一交換情報C1 B、上記第二交換情報C2 Bを上記情報生成関数に入力したときの出力値を計算する情報生成ステップと、を含む、
情報共有方法。 - 情報共有装置A及び情報共有装置Bで情報を共有する情報共有方法において、
セキュリティパラメータkは正の整数であり、
上記情報共有装置Aが、第一短期秘密鍵r’1 A∈{0,1}k及び第一長期秘密鍵sk1 Aを所定の合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 A∈{0,1}kとする合成秘密鍵生成ステップと、
上記情報共有装置Aが、マスタ公開鍵mpk1、情報共有装置Bの識別子であるID1 B∈{0,1}k及び上記合成秘密鍵r1 Aを用いて、所定の暗号化アルゴリズムEnCapにより、第一交換情報C1 A及び第一共有情報K1 Aを生成する暗号化ステップと、
上記情報共有装置Aが、第二短期秘密鍵r2 A∈{0,1}kを用いて、所定の鍵生成アルゴリズムKeyGenにより、秘密鍵msk2 A及び公開鍵mpk2 Aを生成する鍵生成ステップと、
上記情報共有装置Aが、上記情報共有装置Aの第二の識別子であるID2 A∈{0,1}kを選択するID選択ステップと、
上記情報共有装置Aが、上記秘密鍵msk 2 A 、上記公開鍵mpk 2 A 及び上記ID 2 A を用いて、所定の鍵導出アルゴリズムKeyDerにより、第二長期秘密鍵sk 2 A を生成する鍵導出ステップと、
上記情報共有装置Aが、上記第一交換情報C1 A、上記公開鍵mpk2 A及び上記ID2 Aを上記情報共有装置Bに送信する送信ステップと、
上記情報共有装置Bが、上記第一交換情報C1 A、上記公開鍵mpk2 A及び上記ID2 Aを上記情報共有装置Aから受信する受信ステップと、
上記情報共有装置Bが、第一短期秘密鍵r’1 B∈{0,1}k及び長期秘密鍵sk1 Bを上記合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 B∈{0,1}kとする合成秘密鍵生成ステップと、
上記情報共有装置Bが、情報共有装置Aの公開鍵mpk1 A 、上記ID1 A及び上記合成秘密鍵r1 Bを用いて、上記暗号化アルゴリズムEnCapにより、第一交換情報C1 B及び第一共有情報K1 Bを生成する第一暗号化ステップと、
上記情報共有装置Bが、上記公開鍵mpk2 A、上記ID2 A及び第二短期秘密鍵r2 B∈{0,1}kを用いて、上記暗号化アルゴリズムEnCapにより、第二交換情報C2 B及び第二共有情報K2 Bを生成する第二暗号化ステップと、
上記情報共有装置Bが、上記第一交換情報C1 B及び上記第二交換情報C2 Bを上記情報共有装置Aに送信する送信ステップと、
上記情報共有装置Aが、第一交換情報C1 B及び第二交換情報C2 Bを上記情報共有装置Bから受信する受信ステップと、
上記情報共有装置Aが、情報共有装置Aの公開鍵mpk1 A 、情報共有装置Aの第一の識別子であるID1 A、上記第一長期秘密鍵sk1 A及び上記第一交換情報C1 Bを用いて、所定の復号化アルゴリズムDeCapにより、第一共有情報K1 Bを生成する第一復号ステップと、
上記情報共有装置Aが、上記公開鍵mpk2 A、上記ID2 A、上記第二長期秘密鍵sk2 A及び上記第二交換情報C2 Bを用いて、所定の復号化アルゴリズムDeCapにより、第二共有情報K2 Bを生成する第二復号ステップと、
上記情報共有装置Aが、上記第一共有情報K1 A、上記第一共有情報K1 B、上記第二共有情報K2 B、上記ID1 A、上記ID1 B、上記第一交換情報C1 A、上記公開鍵mpk2 A、上記ID2 A、上記第一交換情報C1 B及び上記第二交換情報C2 Bを所定の情報生成関数に入力したときの出力値を計算する情報生成ステップと、
上記情報共有装置Bが、情報共有装置Bの公開鍵mpk1 B 、上記ID1 B、上記第一長期秘密鍵sk1 B及び第一交換情報C1 Aを用いて、上記復号化アルゴリズムDeCapにより、上記第一共有情報K1 Aを生成する復号ステップと、
上記情報共有装置Bが、上記第一共有情報K1 A、上記第一共有情報K1 B、上記第二共有情報K2 B、上記ID1 A、上記ID1 B、上記第一交換情報C1 A、上記公開鍵mpk2 A、上記ID2 A、上記第一交換情報C1 B及び上記第二交換情報C2 Bを上記情報生成関数に入力したときの出力値を計算する情報生成ステップと、を含む、
情報共有方法。 - 他の情報共有装置と情報を共有する情報共有装置において、
セキュリティパラメータkは正の整数であり、
第一短期秘密鍵r’1 A∈{0,1}k及び長期秘密鍵sk1 Aを所定の合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 A∈{0,1}kとする合成秘密鍵生成部と、
長期公開鍵pk1 B及び上記合成秘密鍵r1 Aを用いて、所定の暗号化アルゴリズムEnCapにより、第一交換情報C1 A及び第一共有情報K1 Aを生成する暗号化部と、
第二短期秘密鍵r2 A∈{0,1}kを用いて、所定の鍵生成アルゴリズムKeyGenにより、秘密鍵sk2 A及び公開鍵pk2 Aを生成する鍵生成部と、
上記第一交換情報C1 A及び上記公開鍵pk2 Aを上記他の情報共有装置に送信する送信部と、
第一交換情報C1 B及び第二交換情報C2 Bを上記他の情報共有装置から受信する受信部と、
長期公開鍵pk1 A、上記長期秘密鍵sk1 A及び第一交換情報C1 Bを用いて、所定の復号化アルゴリズムDeCapにより、第一共有情報K1 Bを生成する第一復号部と、
上記公開鍵pk2 A、上記長期秘密鍵sk2 A及び上記第二交換情報C2 Bを用いて、所定の復号化アルゴリズムDeCapにより、第二共有情報K2 Bを生成する第二復号部と、
上記第一共有情報K1 A、上記第一共有情報K1 B、上記第二共有情報K2 B、上記長期公開鍵pk1 A、長期公開鍵pk1 B、上記第一交換情報C1 A、上記公開鍵pk2 A、上記第一交換情報C1 B、上記第二交換情報C2 Bを所定の情報生成関数に入力したときの出力値を計算する情報生成部と、を含む、
情報共有装置。 - 他の情報共有装置と情報を共有する情報共有装置において、
セキュリティパラメータkは正の整数であり、
第一交換情報C1 A及び公開鍵pk2 Aを上記他の情報共有装置から受信する受信部と、
第一短期秘密鍵r’1 B∈{0,1}k及び長期秘密鍵sk1 Bを所定の合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 B∈{0,1}kとする合成秘密鍵生成部と、
長期公開鍵pk1 A及び上記合成秘密鍵r1 Bを用いて、所定の暗号化アルゴリズムEnCapにより、第一交換情報C1 B及び第一共有情報K1 Bを生成する第一暗号化部と、
上記公開鍵pk2 A及び第二短期秘密鍵r2 B∈{0,1}kを用いて、所定の暗号化アルゴリズムEnCapにより、第二交換情報C2 B及び第二共有情報K2 Bを生成する第二暗号化部と、
上記第一交換情報C1 B及び上記第二交換情報C2 Bを上記他の情報共有装置に送信する送信部と、
上記長期公開鍵pk1 B、上記長期秘密鍵sk1 B及び上記第一交換情報C1 Aを用いて、所定の復号化アルゴリズムDeCapにより、第一共有情報K1 Aを生成する復号部と、
上記第一共有情報K1 A、上記第一共有情報K1 B、上記第二共有情報K2 B、上記長期公開鍵pk1 A、上記長期公開鍵pk1 B、上記第一交換情報C1 A、上記公開鍵pk2 A、上記第一交換情報C1 B、上記第二交換情報C2 Bを上記情報生成関数に入力したときの出力値を計算する情報生成部と、を含む、
情報共有装置 - 他の情報共有装置と情報を共有する情報共有装置において、
セキュリティパラメータkは正の整数であり、
第一短期秘密鍵r’1 A∈{0,1}k及び第一長期秘密鍵sk1 Aを所定の合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 A∈{0,1}kとする合成秘密鍵生成部と、
マスタ公開鍵mpk1、上記他の情報共有装置の識別子であるID1 B∈{0,1}k及び上記合成秘密鍵r1 Aを用いて、所定の暗号化アルゴリズムEnCapにより、第一交換情報C1 A及び第一共有情報K1 Aを生成する暗号化部と、
第二短期秘密鍵r2 A∈{0,1}kを用いて、所定の鍵生成アルゴリズムKeyGenにより、秘密鍵msk2 A及び公開鍵mpk2 Aを生成する鍵生成部と、
上記情報共有装置の第二の識別子であるID2 A∈{0,1}kを選択するID選択部と、
上記秘密鍵msk 2 A 、上記公開鍵mpk 2 A 及び上記ID 2 A を用いて、所定の鍵導出アルゴリズムKeyDerにより、第二長期秘密鍵sk 2 A を生成する鍵導出部と、
上記第一交換情報C1 A、上記公開鍵mpk2 A及び上記ID2 Aを上記他の情報共有装置に送信する送信部と、
第一交換情報C1 B及び第二交換情報C2 Bを上記他の情報共有装置から受信する受信部と、
上記情報共有装置の公開鍵mpk1 A 、上記情報共有装置の第一の識別子であるID1 A、上記第一長期秘密鍵sk1 A及び上記第一交換情報C1 Bを用いて、所定の復号化アルゴリズムDeCapにより、第一共有情報K1 Bを生成する第一復号部と、
上記公開鍵mpk2 A、上記ID2 A、上記第二長期秘密鍵sk2 A及び上記第二交換情報C2 Bを用いて、所定の復号化アルゴリズムDeCapにより、第二共有情報K2 Bを生成する第二復号部と、
上記第一共有情報K1 A、上記第一共有情報K1 B、上記第二共有情報K2 B、上記ID1 A、上記ID1 B、上記第一交換情報C1 A、上記公開鍵mpk2 A、上記ID2 A、上記第一交換情報C1 B及び上記第二交換情報C2 Bを所定の情報生成関数に入力したときの出力値を計算する情報生成部と、を含む、
情報共有装置。 - 他の情報共有装置と情報を共有する情報共有装置において、
セキュリティパラメータkは正の整数であり、
第一交換情報C1 A、公開鍵mpk2 A及び上記他の情報共有装置の第二の識別子であるID2 Aを上記他の情報共有装置から受信する受信部と、
第一短期秘密鍵r’1 B∈{0,1}k及び長期秘密鍵sk1 Bを所定の合成鍵生成関数に入力したときの出力値を合成秘密鍵r1 B∈{0,1}kとする合成秘密鍵生成部と、
上記他の情報共有装置の公開鍵mpk1 A 、上記他の情報共有装置の第一の識別子であるID1 A及び上記合成秘密鍵r1 Bを用いて、所定の暗号化アルゴリズムEnCapにより、第一交換情報C1 B及び第一共有情報K1 Bを生成する第一暗号化部と、
上記公開鍵mpk2 A、上記ID2 A及び第二短期秘密鍵r2 B∈{0,1}kを用いて、所定の暗号化アルゴリズムEnCapにより、第二交換情報C2 B及び第二共有情報K2 Bを生成する第二暗号化部と、
上記第一交換情報C1 B及び上記第二交換情報C2 Bを上記他の情報共有装置に送信する送信部と、
上記情報共有装置の公開鍵mpk1 B 、上記の情報共有装置の識別子であるID1 B、上記第一長期秘密鍵sk1 B及び上記第一交換情報C1 Aを用いて、所定の復号化アルゴリズムDeCapにより、上記第一共有情報K1 Aを生成する復号部と、
上記第一共有情報K1 A、上記第一共有情報K1 B、上記第二共有情報K2 B、上記ID1 A、上記ID1 B、上記第一交換情報C1 A、上記公開鍵mpk2 A、上記ID2 A、上記第一交換情報C1 B及び上記第二交換情報C2 Bを所定の情報生成関数に入力したときの出力値を計算する情報生成部と、を含む、
情報共有装置。 - 請求項9から12の何れかの情報共有装置の各部としてコンピュータを機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010284725A JP5506650B2 (ja) | 2010-12-21 | 2010-12-21 | 情報共有システム、方法、情報共有装置及びそのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010284725A JP5506650B2 (ja) | 2010-12-21 | 2010-12-21 | 情報共有システム、方法、情報共有装置及びそのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012134744A JP2012134744A (ja) | 2012-07-12 |
| JP5506650B2 true JP5506650B2 (ja) | 2014-05-28 |
Family
ID=46649812
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010284725A Active JP5506650B2 (ja) | 2010-12-21 | 2010-12-21 | 情報共有システム、方法、情報共有装置及びそのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5506650B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5931795B2 (ja) * | 2013-05-09 | 2016-06-08 | 日本電信電話株式会社 | 鍵交換システム、鍵生成装置、通信装置、鍵交換方法及びプログラム |
| EP3395034B1 (en) | 2015-12-21 | 2019-10-30 | Koninklijke Philips N.V. | Network system for secure communication |
-
2010
- 2010-12-21 JP JP2010284725A patent/JP5506650B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2012134744A (ja) | 2012-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8229112B2 (en) | Decipherable searchable encryption method, system for such an encryption | |
| US8675864B2 (en) | Apparatus for encrypting data | |
| CN111106936A (zh) | 一种基于sm9的属性加密方法与系统 | |
| CN113259329A (zh) | 一种数据不经意传输方法、装置、电子设备及存储介质 | |
| CN105763315A (zh) | 数据加密和解密的方法、装置以及通信系统 | |
| JP2014220661A (ja) | 証明装置、出力装置、検証装置、入力装置、証明方法、検証方法およびプログラム | |
| KR20120079639A (ko) | 화이트박스 암호 테이블을 이용한 콘텐츠 보호 장치, 콘텐츠 암호화 및 복호화 장치 | |
| JP6194886B2 (ja) | 暗号化統計処理システム、復号システム、鍵生成装置、プロキシ装置、暗号化統計データ生成装置、暗号化統計処理方法、および、暗号化統計処理プログラム | |
| JP2012150378A (ja) | プロキシ再暗号化システム、鍵生成装置、再暗号化装置、プロキシ再暗号化方法、プログラム | |
| CN102255725A (zh) | 随机混合密钥加解密方法 | |
| CN105978689B (zh) | 一种抗密钥泄漏的云数据安全共享方法 | |
| JPWO2018134922A1 (ja) | 準同型演算装置、暗号システム及び準同型演算プログラム | |
| JP5732429B2 (ja) | 秘密分散システム、データ分散装置、データ復元装置、秘密分散方法、およびプログラム | |
| JP5506650B2 (ja) | 情報共有システム、方法、情報共有装置及びそのプログラム | |
| JP5469618B2 (ja) | 暗号化システム、復号方法、鍵更新方法、鍵生成装置、受信装置、代理計算装置、プログラム | |
| CN101964039A (zh) | 一种版权对象的加密保护方法和系统 | |
| JP7325689B2 (ja) | 暗号文変換システム、変換鍵生成方法、及び、変換鍵生成プログラム | |
| JP4561074B2 (ja) | 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム | |
| JP5713947B2 (ja) | プロキシ暗号システム,プロキシ暗号方法,委託装置,プロキシ装置 | |
| ES2683771T3 (es) | Procedimiento y sistema de acceso condicional a un contenido digital, terminal y dispositivo de abonado asociados | |
| WO2019142824A1 (ja) | 通信装置、サーバ装置、秘匿通信システム、その方法、及びプログラム | |
| KR20150139304A (ko) | 마스터 키를 보호하기 위한 암호화 장치 및 그 방법 | |
| KR102651443B1 (ko) | 분산 해독 키 기반의 연합 학습 방법 | |
| JP2001211159A (ja) | コンテンツ情報復号化方法、コンテンツ情報復号化装置 | |
| JP6949276B2 (ja) | 再暗号化装置、再暗号化方法、再暗号化プログラム及び暗号システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121225 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131213 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131224 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140224 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140311 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140318 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5506650 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |