JP5602955B2 - デジタルコンテンツの限定受信のための方法およびシステム、ならびに関連の端末および契約者デバイス - Google Patents

デジタルコンテンツの限定受信のための方法およびシステム、ならびに関連の端末および契約者デバイス Download PDF

Info

Publication number
JP5602955B2
JP5602955B2 JP2013540423A JP2013540423A JP5602955B2 JP 5602955 B2 JP5602955 B2 JP 5602955B2 JP 2013540423 A JP2013540423 A JP 2013540423A JP 2013540423 A JP2013540423 A JP 2013540423A JP 5602955 B2 JP5602955 B2 JP 5602955B2
Authority
JP
Japan
Prior art keywords
control word
generating
content
server
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013540423A
Other languages
English (en)
Other versions
JP2014502102A (ja
Inventor
デレラブレ、セシル
グージェ、アリーヌ
パイエ、パスカル
Original Assignee
クリプトエキスパーツ エスアエス
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by クリプトエキスパーツ エスアエス filed Critical クリプトエキスパーツ エスアエス
Publication of JP2014502102A publication Critical patent/JP2014502102A/ja
Application granted granted Critical
Publication of JP5602955B2 publication Critical patent/JP5602955B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Description

本発明は、サーバと複数のエンティティとの間で、そのようなエンティティによって復号が行なわれる暗号文を送信するためのセキュアなシステムおよび方法に関する。本発明は、デジタルコンテンツの限定受信のためのシステムおよび方法の分野において、1つ以上の復号鍵の不正な使用を防止するために好ましく適用される。本発明は、一部の不法なユーザが連合を形成して、どの復号鍵を用いて生成されたのかを突き止めることが難しい復号データを生成する場合において、著作権侵害の防止にきわめて有効であり、かつ運営者に扱いやすい。したがって、本発明は、保護されたマルチメディアコンテンツの不正な提供に対して効果的な保護をもたらしつつ、その実施に必要な演算能力および保護されたコンテンツの配信ネットワークの帯域幅を保つ。
さらに本発明は、契約者に利用可能にされた電子装置の一時的または恒久的な無効化、または無効化の実行可能な回復をトリガーするための方法に関する。したがって、本発明は、随意によりセキュアな電子デバイスへと接続され、保護されたコンテンツの配信サーバへと接続される端末などの前記機材について、ロバストかつ効率的な限定受信のための方法の実施を可能にするための改良に関する。
デジタルコンテンツの放送の運営者は、通常は、保護されたコンテンツを契約者または複数の契約者に利用可能にするために、限定受信システム(CAS)を運営する。そのようなシステムは、通常は、契約者の身元および/または権利を保持し、暗号化、復号、または数字の生成といった作業を実行するスマートカードなどのセキュアな電子デバイスに依存する。
公知の限定受信システムにおいては、保護されたマルチメディアコンテンツを配信するために、暗号化された制御語cおよび符号化されたコンテンツCが、決まった期間または少なくとも放送の運営者に既知であり、制御される暗号有効期間にて、放送ネットワークを介して送信される。暗号化された制御語は、通常は、暗号化関数Eによってc=E(k)のように得られ、kは前記制御語の値である。符号化されたコンテンツC自体は、符号化関数encおよび前記制御語kによってC=enc(k,M)のように得られ、Mはマルチメディアコンテンツである。例として、符号化関数は、DVB−CSA(Digital Video Broadcasting−Common Scrambling Algorithm)の基準に従うことができる。保護されたコンテンツの視聴をするためには、契約を購入しなければならない。契約者は、通常はスマートカードの形態であるセキュアな専用のデバイスを受け取り、そのデバイスが、デコーダまたは「セットトップボックス」と一般的に称される端末と組み合わせられ、保護されたコンテンツの復号を当該契約者に可能にする契約者処理エンティティを呈する。暗号化された制御語cが、典型的にはセキュアなデバイスによって復号され、制御語kが端末へともたらされる。端末が、符号化されたコンテンツCの復号の実行を担当し、例えばリビングルームのテレビなどの相応のマン−マシンインターフェイスを介して、コンテンツMへのアクセスを可能にする。
契約者デバイスのロバストさは、きわめてよく知られているが、暗号化のハードウェア、アルゴリズム、または秘密を知ることで、ハッカーは、契約者へと提供されたセキュアな電子デバイスのセキュリティを「破る」ことができる。次いで、ハッカーは、そのようなデバイスを「複製」またはエミュレートし、制御語またはコンテンツを供給するための著作権侵害のネットワークを運営することなく、不法な契約者に利用可能ないくつかの「複製品」を製作することができる。
ハッカーに対抗するために、運営者は、通常は、そのような著作権侵害のネットワークの存在またはデータ復号用の複製品の流通を知ることになる。ハッカーのサービスを求めることによって、運営者は、「複製」またはエミュレートされたデバイスを入手し、それを研究することもできる。
運営者(より広義には、安全性が損なわれた契約者のセキュアなデバイスを明らかにしようとするあらゆる「追跡」エンティティ)は、著作権侵害の源の追跡において大きな困難に直面する。これは、入手した不正な復号データが、いくつかの異なる復号鍵の共謀の結果である場合にとくに当てはまる。実際に、公知の方法によれば、そのような復号データを解析しても、復号鍵を追跡または検出することはほとんど不可能、または全く不可能である。共謀が広がる場合、調査はさらに無力になる。この問題を避けるために、一部の運営者または追跡者は、制御語の復号鍵および制御語の暗号文のサイズを大幅に増加させている。公知の技術的解決策においては、これらのサイズが、契約者の総数または総数の上限に直接関係し、契約者の総数または総数の上限につれて線形に増加する。例えば文献US2008/0075287A1に記載の技術など、いくつかの公知の技術は、これらのサイズを契約者の数の平方根のオーダに減らすことを、何とか達成している。文献WO2007/138204に開示されている技術など、他の技術においては、暗号文のサイズが、生じうる共謀のサイズと同じオーダである必要がある。追跡者の不正な復号鍵の検出能力は、暗号文のサイズがかなり大きい制御語を暗号有効期間で生成するために、放送ネットワークの帯域幅およびセキュアな契約者デバイスの演算能力を犠牲にして改善されてきた。さらに、そのような技術的解決策は、依然として、契約者の数が多い場合にきわめて不利であり、ほとんど機能しない。
したがって、保護されたコンテンツの配信サービスの運営において、現実的な帯域幅および演算能力を保ちつつ、共謀によってもたらされる復号データを使用して1つ以上の正当に配布された復号鍵の追跡および特定を可能にする公知の方法は、存在していない。
本発明がもたらす多数の利点のうちで、本発明が、例えば支払い済みの契約ユーザへと配信された保護されたコンテンツを不正に復号できるようにする不正なユーザへ情報が配布されることへの対抗に役立つことに、言及することができる。実際、本発明は、そのような情報の作成に使用された秘密かつ専用の復号鍵の効果的な追跡および識別を可能にする。種々の実施の形態によれば、本発明は、制御語の秘密の復号鍵またはそれらの暗号文のサイズ、契約者の数、および/または生じうる共謀の数の分離を可能にする。これは、配信ネットワークの帯域幅および契約者処理エンティティの演算能力を保ちつつ、生じうる多数による共謀に対応するために、前記サイズを決定するためのきわめて効果的かつ潜在的に動的な妥協を運営者に提供する。さらに本発明は、放送ネットワークによるコンテンツの放送を続けながら、セキュリティが破られた可能性がある契約者の処理エンティティ(「危険なエンティティとして知られる)を遠隔操作で無効にすることを可能にする。このようにして、本発明は、コンテンツを放送するあらゆる運営者に、著作権侵害への対抗におけるきわめて簡単かつ効果的なツールを提供する。
この目的のため、サーバと複数の処理エンティティとの間で制御語を送信するためのセキュアな方法が、とくには前記制御語の生成および操作をそれぞれ行なうように計画される。
そのような方法は、処理エンティティによって使用されるように意図された平文kに係る暗号化された制御語cをサーバによって生成する第1のステップを含む。また、処理エンティティのために生成された暗号化された制御語cを送信するステップと、それらのエンティティによって、暗号化された制御語cを受信するステップと、受信した暗号化された制御語cから制御語kを生成するステップとをさらに含む。
危険な鍵の共謀に対する「効率 対 抵抗力」の妥協をもたらすために、本発明によれば、
サーバが、
・pを法とする非ゼロの整数の集合Z にそれぞれ属するd個の要素のベクトルs(pは素数であり、dは厳密に1よりも大きい整数であり、処理エンティティの数と比べて小さい)と、
・サーバに既知であり、pを法とする非ゼロの整数の集合Z に属している秘密の値γと、
・位数pのバイリニアグループβ=(p,G,G,G,e(.,.))(ここで、e(.,.)はe:G×G→Gのような結合であり、Gは位数pの第3の巡回群である)のパラメータである位数pの2つの巡回群GおよびGにそれぞれ属する2つの生成元と
から暗号化された制御語を生成し、
各々の処理エンティティが、
・暗号化された制御語cと、
・i番目のエンティティに既知であり、
i.pを法とする非ゼロの整数の集合Z にそれぞれ属するd個の要素のベクトルx(i)(dは厳密に1よりも大きい整数であり、処理エンティティの数と比べて小さく、ベクトルx(i)は該当のエンティティに専用である)と、
ii.前記秘密の値γと、
iii.バイリニアグループβの巡回群のうちの1つに属する生成元と
から前もって生成されている復号鍵DK
から制御語kを生成する。
好ましい実施の形態によれば、このような方法が、
・バイリニアグループβのような公開パラメータと関連づけられた秘密成分γを含むマスター秘密鍵MKを生成するステップと、
・前記鍵MKおよび公開パラメータをサーバ内に保存するステップと、
・前記公開パラメータを各々の処理エンティティに保存するためのステップと、
・それぞれが専用かつ別個である復号鍵DKを生成し、送信し、処理エンティティに保存するステップと
を前もって含むことができる。
本発明によれば、生成された各々の復号鍵DKが、好都合には形態z1/P(γ)の成分を含むことができ、zはリニアグループβの巡回群のうちの1つに属する生成元であり、Pはγに関する多項式である。
好ましい実施の形態によれば、さらに本発明は、
・保護されたデジタルコンテンツの放送サーバによって実行される符号化関数を用いて、デジタルコンテンツMを符号化して符号化されたコンテンツCを生成するステップと、
・前記保護されたデジタルコンテンツの放送サーバによって、複数の契約者処理エンティティによる前記符号化されたコンテンツCの復号に使用されるように意図された平文kに係る暗号化された制御語cを生成するステップと、
・前記暗号化されたコンテンツCおよび暗号化された制御語cを、配信ネットワークを介して契約者処理エンティティへと送信するステップと、
・前記暗号化されたコンテンツCおよび暗号化された制御語cを、各々の契約者処理エンティティによって受信するステップと、
・各々の契約者処理エンティティによって、暗号文cから制御語の平文kを生成するステップと、
・各々の契約者処理エンティティによって、符号化されたコンテンツCの復号を行ない、復号関数およびkからコンテンツMを生成するステップと、
・前記コンテンツMに合ったインターフェイスによって前記コンテンツを取り出すステップと
を含むデジタルコンテンツの限定受信のための方法に関する。
保護されたデジタルコンテンツの放送サーバによる暗号化された制御語の生成および送信のステップ、ならびに契約者処理エンティティによる受信および制御語の平文の生成のステップは、サーバと複数の処理エンティティとの間で制御語を送信するための本発明によるセキュアな方法に従う。
さらに本発明は、本発明による限定受信方法を実行するように、複数の契約者処理エンティティへと接続されたサーバを備えている、デジタルコンテンツの限定受信のためのシステムに関する。
他の特徴および利点が、以下の説明を読み、添付の図面を観察することによって、さらに明らかになるであろう。
先行技術による限定受信システムを示している。 本発明による限定受信システムを説明している。 本発明による限定受信方法の実施の形態を示している。
図1が、先行技術によるデジタルコンテンツの限定受信システムを示している。システムは、保護されたコンテンツの放送の運営者によって実行される放送ネットワーク4で構成される。したがって、それぞれ暗号化および符号化された制御語cおよびコンテンツCが、コンテンツサーバ3から一緒に発せられる。この目的のため、サーバ3は、符号化関数encと、このサーバ3によって生成される制御語kとを使用して、コンテンツMを符号化する。結果は、C=enc(k,M)のように符号化されたコンテンツCである。制御語kの暗号化バージョンcも、符号化されたコンテンツCと一緒に発せられ、すなわち「放送」される。この目的のため、サーバは、暗号化関数Eを使用して前記制御語kを暗号化し、c=E(k)のようにcを得る。
暗号化された制御語cおよび暗号化されたコンテンツCが、放送ネットワーク4を介して端末2a〜2mへと送信される。それぞれの端末が、サーバ3によって発せられた符号化されたコンテンツCのリアルタイムでの復号を行なう。したがって、例えばデコーダ2aなどの端末は、復号関数decを備え、復号関数decを符号化されたコンテンツCに適用し、コンテンツMを得る。コンテンツMを、リビングルームのテレビ5またはコンテンツの読み出しに適した任意の他のインターフェイスを使用して、閲覧することができる。復号関数decを適用するために、端末は、サーバ3がコンテンツMの符号化に使用した制御語kの値を知らなければならない。先行技術によれば、図1に示されるように、端末2a〜2mが、c=E(k)のように暗号化された制御語cを受信し、通常は契約者に専用のセキュアな電子デバイス1a〜1mへと送信する。端末2aは、ネットワーク4を介して組(C,c)を定期的に受信し、暗号化された制御語cをデバイス1aへと送信する。デバイス1aは、復号関数Dを使用して暗号化された制御語cを復号し、コンテンツMの符号化に用いられた制御語kを得ることができる。すなわち、k=D(c)である。同じことが、各々がデバイス1b〜1mとそれぞれ協働する2b〜2mなどの任意の他の装置にもあてはまる。変種の実施の形態によれば、サーバ3が、制御語kの暗号化に、例えば鍵Kcの形態の秘密を使用することができる。すなわち、c=E(Kc,k)である。この場合には、デバイス1a〜1mなどのデバイスが、k=D(Kd,c)のように、相反する復号関数Dを備え、ここでKdは、デバイスに既知の復号鍵である。暗号化関数Eおよび復号関数Dによれば、鍵KcおよびKdは同一でよい。これは、対称暗号化/復号の場合である。あるいは、「ブロードキャスト暗号」と呼ばれるパターンによれば、Kcが、運営者に専用の公開または秘密鍵であり、Kdが、デバイス(あるいは、デバイスの群)に専用かつ運営者に既知の秘密鍵である。したがって、この変種によれば、いくつかの個別の復号鍵が存在し、前記運営者の契約者へと正当に支給されて届けられたデバイスの各々が、そのような個人的な復号鍵を有している。
そのような限定受信システムを台無しにすべく、ハッカーは、とくには契約者のデバイスによって実行される暗号化のハードウェア、アルゴリズム、または秘密についての知識を発達させている。或る者は、そのような契約者の電子デバイスのセキュリティを「破る」知識を持ち、あるいは「破る」ことができ、有効な制御語を生成するために使用される1つ以上の復号鍵の値を読み取って、最終的に暗号化されたメッセージを復号することができる。必然的に、これらの鍵(「危険な鍵」と称する)が無法なユーザのための並行市場に不正に流通し、無法なユーザは、危険な鍵をハックした端末に組み込み、保護されたコンテンツに不正にアクセスすることによって利益を得る。この種の犯罪行為は、コンテンツの復号関数および暗号化された制御語の復号関数が契約者に利用可能なただ1つの同じ処理エンティティによって実行される限定受信システムを、放送の運営者が運営する場合に、大いに促進される可能性がある。すなわち、そのようなエンティティは、制御語の生成に使用される、復号鍵ならびに/あるいはアルゴリズムおよび方法を保存するための手段を保護するセキュリティの特徴を必ずしも備えない。そのようなアルゴリズムの不充分にセキュアな実装に起因する漏洩が、操作された復号鍵などの曝露を許す。
このようにして、ハッカーは、必ずしも制御語またはコンテンツを配布するための著作権侵害のネットワークを運営することなく、無法な顧客へと復号鍵の特定の「複製品」を提供することができる。
そのような行為に対抗するために、複製の源である「危険」な復号鍵または信用できなくなった復号鍵を、追跡または検出できることが有用である。したがって、そのような鍵が追跡可能でなければならず、すなわち契約者に専用のマーカまたは成分を有していなければならない。そのようにすることで、ハックされた端末またはハッカーによって実装されたソフトウェアを手にしたときに、追跡者は、特定の解析方法を使用して、操作された秘密のデータを検出することができる。追跡者の課題は、いくつかの危険な鍵がハッカーまたはハッカー集団によって組み合わせられる場合に複雑になる。
本発明は、これらのさまざまなハッキングの筋書きを打ち負かすことを可能にする。
図2が、本発明の好ましい実施の形態の例としての限定受信システムを説明するうえで役に立つ。公知のシステムと同様に、本発明は、保護されたコンテンツの放送の運営者によって実現される放送ネットワーク4を提供し、より広義には、エンティティEa、Eb、・・・、Emなどの複数の契約者処理エンティティに向けてコンテンツサーバ3から、符号化されたコンテンツCを送信するための任意の手段を提供する。さらに、本発明によれば、符号化されたコンテンツCが、この符号化されたコンテンツを契約者側の各々のエンティティによって復号できるようにする平文に係る暗号化された制御語cとともに送信される。これを行なうために、サーバ3が、符号化関数encを使用してコンテンツMを符号化する。結果は、C=enc(M)のように符号化されたコンテンツCである。
そのようなシステムのセキュリティは、基本的には、制御語をサーバと契約者側の複数の処理エンティティとによってセキュアに生成、交換、および使用することができることにある。そのような制御語は、保護されたデジタルコンテンツの限定受信システムの異なる応用の文脈においてもちょうど同じように使用することができる。
本発明は、上述の文献US2008/0075287A1またはWO2007/138204を含む多数の刊行物において利用されている考え方である素数位数の群における結合という数学的概念にもとづいている。そのような結合は、暗号法において典型的に使用され、とくには楕円曲線の分野において使用される双線形の応用である。
βを、|p|=λ(λはセキュリティパラメータとして要素数を定める)であるような素数位数pのバイリニアグループβ=(p,G,G,G,e(.,.))であるとする。G、G、およびGが、位数pの3つの巡回群であり、e:G×G→Gが結合である。巡回群は、gp+1がgに等しいような代数的集合であり、pが巡回群の位数を定めており、gが「生成元」と呼ばれる群の要素である。本発明の意味において、群GおよびGの間の特別な関係は必要とされない。2つの群は同じであってよく、あるいはより一般的には、GとGとの間の同型写像Ψを定めることができる。本発明によれば、任意の可能な効果的に計算することができる同型写像および結合が好ましい。
好ましい実施の形態によれば、処理エンティティEiが、符号化されたコンテンツの復号およびこの復号に必要な制御語の生成をそれぞれ実行するセキュアなデバイス1i(例えば、スマートカード)に組み合わせられた端末2iで構成される。図2は、エンティティEa、Eb、およびEmを、それぞれ端末2a、2b、2mをセキュアな契約者デバイス1a、1b、1mと組み合わせることによってもたらされるものとして示している。
本発明の意味において、そのようなエンティティは、すでに述べた2つの主たる機能を包含すると考えられる1つの同じデバイスであってよい。
秘密かつ専用の復号鍵が、各々の契約者デバイス(または、契約者エンティティ)に既知である。すなわち、図2によれば、契約者aに関するエンティティEaのデバイス1aは、復号鍵DKを知っている。この鍵は、鍵DKとは異なり、鍵DKも、鍵DKとは異なる。これらの鍵は、それぞれエンティティEbおよびEm(あるいは、より正確にはそれぞれのセキュアな契約者デバイス1bおよび1m)にだけ知られている。専用かつ個別であるけれども、本発明による復号鍵は、追跡可能である(すなわち、後述のように、識別または追跡の行為において特定可能である)。それらはすべて、サーバ3に既知のマスター秘密鍵MKから生成され、この鍵は、バイリニアグループβを含む公開パラメータPP、すなわち前記サーバに既知であり、種々の処理エンティティ(具体的には、図2に関して説明される好ましい実施の形態によれば、デバイス1a〜1m)にも既知であるパラメータに、おそらくは関連付けられる。
復号鍵は、処理エンティティEa〜Emが符号化されたコンテンツの復号を可能にする制御語kを生成することを可能にする。この制御語kは、サーバ3によって符号化されたコンテンツCと一緒に与えられる暗号化された制御語cから生成される。図2に関して説明される好ましい例によれば、セキュアなデバイス1a〜1mが、各々の処理エンティティEa〜Emにおける制御語kの生成を担当する。この目的のため、端末2a〜2mは、暗号化された制御語cを受信することができ、この暗号化された制御語cをそれぞれのセキュアなデバイスへと送信することもできる。デバイス1a〜Amによって生成された制御語が、再びそれぞれの端末へと送信され、それぞれの端末が符号化されたコンテンツCの復号を行ない、相応のマン−マシンインターフェイス5によって契約者へと示されるコンテンツMを生成することができる。
図3が、図2に関連して説明されるようなシステムによって実行される、保護されたコンテンツの限定受信方法の形態の本発明の応用の一例を説明するために使用される。簡単化のために、複数の処理エンティティが、セキュアな契約者デバイス1iに組み合わせられた端末2iとしてのエンティティEiによって表わされている。符号化されたコンテンツCが、サーバ3からネットワーク4を介してエンティティEiへと送信される。この目的のために、任意の他の放送手段を使用することができる。符号化されたコンテンツは、暗号化された制御語cに組み合わせられ、この暗号化された制御語cの平文が、符号化されたコンテンツの復号を可能にする。端末2iが、符号化されたコンテンツおよび暗号化された制御語を受信することができる。暗号化された制御語が、端末によって契約者デバイスへと送信され、契約者デバイスが、秘密の復号鍵DKおよび公開パラメータPPを使用し、制御語の生成を行って、端末2iへと送り返す。この端末が、制御語kを使用して符号化されたコンテンツCの復号を行ない、コンテンツMをインターフェイス5へと届けることができる。これを達成するために、本発明による限定受信方法は、それぞれ下記に対応する主たるステップ310、110、および210で構成される。
・310:符号化されたコンテンツCを生成し、暗号化された制御語cと組み合わせて処理エンティティへと提供する。
・110:暗号化された制御語cおよび復号鍵DKから制御語kを生成する。
・210:符号化されたコンテンツの復号を制御語kから行なう。
随意により、これらのステップに、公開パラメータPPの生成および処理エンティティEi(とりわけ、セキュアなデバイス)における保存からなるステップ300および100を先行させることができる。さらに図3は、復号鍵DKの生成および処理エンティティEi(とりわけ、デバイス1i)における保存という事前のステップ301および101を説明している。
限定受信方法およびシステムに適用される好ましい例の他に、本発明は、主として、制御語を、そのような制御語の生成および利用をそれぞれ行なうサーバと複数の処理エンティティとの間で送信するためのセキュアな方法に関する。
図3に関連して説明される応用例へと適用されるそのような方法の実施のやり方を、2つの実施の形態によって検討する。
βを、|p|=λ(λはセキュリティパラメータとして要素数を定める)であるような素数位数pのバイリニアグループβ=(p,G,G,G,e(.,.))であるとする。G、G、およびGが、位数pの3つの巡回群であり、e:G×G→Gが結合である。
本発明による方法は、
・処理エンティティによって使用210されるように意図された平文kに係る暗号化された制御語cを、サーバによって生成するステップ310と、
・生成された暗号化された制御語cを処理エンティティへと送信するステップと、
・暗号化された制御語cを前記エンティティによって受信するステップと、
・各々の処理エンティティによって、受信された暗号化された制御語cから、制御語kを生成するステップ110と
を含む。
高い効率(帯域幅および処理能力に関して)を可能にしながら、復号鍵DKの追跡可能性を維持するために、暗号化されたバージョンの制御語を生成するためのステップ310は、サーバ3によって、
・pを法とする非ゼロの整数の集合Z にそれぞれ属するd個の要素のベクトルs(pは素数であり、dは厳密に1よりも大きい整数であり、処理エンティティの数に関して小さい)と、
・サーバ3に既知であり、pを法とする非ゼロの整数の集合Z に属している秘密の値γと、
・バイリニアグループβ=(p,G,G,G,e(.,.))のパラメータである巡回群GおよびGにそれぞれ属する2つの生成元と
から実行される。
各々の処理エンティティEiが、制御語kの生成110を、
・暗号化された制御語cと、
・pを法とする非ゼロの整数の集合Z にそれぞれ属するd個の要素のベクトルx(i)(dは厳密に1よりも大きい整数であり、処理エンティティの数に関して小さく、ベクトルx(i)は該当のエンティティに専用である)と、
秘密の値γと、
バイリニアグループβの巡回群のうちの1つに属する生成元と
から前もって生成されるエンティティEiに既知の復号鍵DK
から行なう。
本発明によれば、dおよびdという整数値が、エンティティの数に関して小さく、したがって最終的には、契約者またはハッカーの数に関して小さい。
これら2つの整数は、不正な共謀に応じて「効率 対 抵抗力」の妥協を決定および調節するために使用されるセキュリティパラメータである。パラメータdが、本発明による復号鍵のサイズを調節するために使用される。パラメータdが、暗号化された制御語のサイズを調節するために直接使用される。
したがって、dが、暗号化された制御語の放送ネットワークの帯域幅に直接的な影響を有する。dは(dとちょうど同じように)、制御語の暗号文から制御語の平文を生成するために復号鍵の保存および処理を行なわなければならないエンティティ(または、セキュアなデバイス)の処理能力に直接的な影響を有する。
鍵および暗号化されたバージョンのサイズが、共謀のサイズあるいは契約者または契約者群の数の平方根につれて線形に増大する公知の技術的解決策と異なり、本発明は、公知の技術的解決策とは比較にならないきわめて好都合なサイズを維持することを可能にする。したがって、共謀のリスクtが存在すると考えると、本発明による方法は、dおよびd
Figure 0005602955
 のように定める助けとなる。例として、本発明は、それぞれのtについて、以下の妥協を(実施の形態に応じて)得ることを可能にする。
・t=120:d=3およびd=7
・t=126:d=4およびd=5
・t=105:d=2およびd=13
これらの結果から、先行技術と比べて本発明がきわめて大きく貢献していることが明らかである。
図3に示されるように、サーバと複数の処理エンティティとの間で制御語をセキュアに送信するための本発明による方法は、バイリニアグループβのような公開パラメータと関連づけられた秘密成分γを含む、マスター秘密鍵MKを生成および保存するためのステップ300を含むことができる。また、前記公開パラメータを各々の処理エンティティ(より詳しくはそして好ましくは、前記エンティティのセキュアな契約者デバイス)に保存するためのステップ100を含むことができる。さらに、そのような方法は、例えば契約の購入時に秘密かつ専用の復号鍵DKを知る装置を契約者へと届けることができるように、復号鍵DKの生成301、送信、および処理エンティティ(より詳しくはそして好ましくは、前記エンティティのセキュアな契約者デバイス)における記録101を行なうステップを含むことができる。
そのような方法の2つの実施の形態を引き続いて説明する。これら2つの実施の形態は、とりわけ、生成された復号鍵DKがz1/P(γ)(zは巡回群のうちの1つおよびバイリニアグループβに属する生成元であり、Pはγに関する多項式である)の形態の成分を有する点で共通している。
第1の実施の形態によれば、選択された、バイリニアグループβ=(p,G,G,G,e(.,.))ならびにセキュリティパラメータdおよびdについて、マスター秘密鍵MKが、γおよびgでMK=(γ,g)のように構成される。γは、素数pを法とする非ゼロの整数の集合Z に属する秘密の値である。gは、グループGの生成元である。gの値を、好都合には無作為に選択することができる。同様に、グループGの生成元hも、無作為に選択され得る。好都合には、v=e(g,h)を計算でき、値vを鍵MKの成分γおよびgと関連づけることができる。
公開パラメータを構成するために、
Figure 0005602955
 が計算される。βおよびhに加え、これらの値のすべてが公開パラメータを表わす。
これらの計算および無作為選択のすべてを、サーバ3によって実行でき、あるいはこの目的のための別の専用のサーバによって実行し、入手することができる。
この第1の実施の形態によれば、復号鍵を生成するためのステップが、DK=(x(i),A)のように2つの成分の結果として前記鍵を生成することからなる。ここで、A=g1/P(γ)であり、
Figure 0005602955
 である。したがって、新たなユーザまたは契約者iの契約時に、一意の専用の鍵DKが生成され、次いで制御語の生成にこの鍵を利用する処理エンティティEiへと(好ましくはセキュアに)送信されて記録される。より具体的には、そのような鍵が、エンティティEiの構成要素であるセキュアなデバイス1iに保存される。
暗号化された制御語を生成するために、サーバ3は、この語をc=(s,h1/Q(γ))のように2つの成分の結果として生成し、ここで
Figure 0005602955
 であり、sはZ のd個の要素のベクトルである。ベクトルsを、
Figure 0005602955
 と表わすことができる。
暗号化された制御語cを受信すると、処理エンティティEiは、制御語の平文を生成するステップを実行する。このステップは、k=e(g,h)1/(γ+s)という値を持つはずである制御語kを取り出すことを目的とする。
このステップは、
Figure 0005602955
 のようにkを生成することからなる。
計算の要素α、ξ、およびθは、
Figure 0005602955
 のようであり、
Figure 0005602955
 は、多項式Qを法とする多項式Pの逆を指す表記であり、
Figure 0005602955
 は、多項式
Figure 0005602955
 の0次の項を指している。
θが、PおよびQの係数から計算することができる定数であり、値ξおよびα(γに関する多項式である)が、制御語の平文を生成するための計算において不要であることを、見て取ることができる。実際、gγおよびhγ(公開パラメータに含まれる)の連続する累乗の組み合わせが、gおよびhの指数に関する所望の多項式を再構成することに使用され、制御語の平文の生成を可能にするgαおよびhξが得られる。
要素α、ξ、およびθを、以下のように表わすこともできる。
Figure 0005602955
 ここで、
Figure 0005602955
 であり、
Figure 0005602955
 であり、
Figure 0005602955
 であり、m=1,...,dについて
Figure 0005602955
 である。
この第1の実施の形態において、復号鍵DKのサイズは、dにおいて線形である。暗号文のサイズに関しては、dにおいて線形である。
この第1の実施の形態の変種において、暗号文cおよび秘密の復号鍵DKのサイズを小さくすることが可能である。実際、第一に、ベクトル
Figure 0005602955
 を、種μからサーバ3によって鍵DKを生成する際に、生成することができる。したがって、この種が、DK=(μ,A)のように秘密鍵の成分である。相互的に、ベクトルx(i)を、制御語の復号の際に前記種を使用して処理エンティティによって回復することができる。さらに、ベクトル
Figure 0005602955
 を、種ηからのサーバ3による暗号文cの生成の際に生成することができる。したがって、この種が、c=(η,h1/Q(γ))のように暗号文の成分である。相互的に、ベクトルsを、制御語の復号の際に前記種ηを使用して処理エンティティによって回復することができる。
この変種においては、復号鍵DKおよび暗号文のサイズが、一定になる。
第2の実施の形態においては、選択された、バイリニアグループβ=(p,G,G,G,e(.,.))ならびにセキュリティパラメータdおよびdについて、マスター秘密鍵MKが、γおよびgでMK=(γ,g)のように構成される。γは、素数pを法とする非ゼロの整数の集合Z に属する秘密の値である。gは、グループGの生成元である。gの値を、好都合には無作為に選択することができる。同様に、グループGの生成元hも、無作為に選択され得る。好都合には、v=e(g,h)を計算でき、値vを鍵MKの成分γおよびgに関連づけることができる。
公開パラメータは、βである。
これらの計算および無作為選択のすべてを、サーバ3によって実行でき、あるいはこの目的のための専用の別のサーバによって実行し、入手することができる。
この第2の実施の形態によれば、復号鍵を生成するステップが、DK=(A,B(i))のように2つの成分の結果として前記鍵を生成することからなり、ここで
Figure 0005602955
 であり、d個の要素のベクトルB(i)
Figure 0005602955
 のようである。
したがって、新たなユーザまたは契約者iの契約時に、一意の専用の鍵DKが生成され、次いで制御語の生成にこの鍵を利用する処理エンティティEiへと(好ましくはセキュアに)送信されて保存される。より具体的には、そのような鍵が、エンティティEiの構成要素であるセキュアなデバイス1iに保存される。
暗号化された制御語を生成するために、サーバ3は、c=(W,W,s,U)のように4つの成分の結果として暗号化された制御語を生成する。ここで、
Figure 0005602955
 (d個の値のベクトル)である。ベクトルUは、
Figure 0005602955
 のようである。成分
Figure 0005602955
 は整数である。
暗号化された制御語cを受信すると、処理エンティティEiは、この制御語の平文を生成するステップを実行する。このステップの目的は、
Figure 0005602955
 (mは前もって選択された整数)となるべき値を有する制御語kを取り出すことである。このステップは、kを
Figure 0005602955
 のように計算することからなり、ここで
Figure 0005602955
 である。
この第2の実施の形態によれば、復号鍵DKのサイズは、dに関して線形である。暗号文のサイズは、dに関して線形である。
とくに有利な選択は、共謀の数tが(d+d)に関する指数関数であるようにdおよびdを決定することであるかもしれない。
第1または第2のどちらの実施の形態においても、鍵DKの成分Aがセキュアなストレージによって各々の処理ユニットに保存されることが、きわめて好都合である。これは、処理ユニットがセキュアなデバイスを備える場合にとくに関係がある。この場合、システムのロバストさを保証するために、少なくとも前記成分A、あるいは鍵DKの全体をセキュアなデバイスに保存すれば充分である。成分Aだけを保存することで、システムをロバストにするために必要な安全なストレージの容量を減らすことができる。
例として、復号鍵を検出する追跡者の能力を説明するために、追跡方法を以下に示す。この方法を説明するために、すでに使用した表記e(U,V)と同等のそのような結合(または、ペアリング)を表わすために〈U,V〉のような表記を使用する。追跡者が著作権侵害のデコーダを回収できたと考える。追跡者は、このデコーダを解析することによって、著作権侵害のソフトウェアを得ることができ、ホワイトボックス型の追跡方法を実行することができる。
第1のステップにおいて、著作権侵害のデコーダが、一連の一定形式の命令として解釈される。各々の命令は、リファレンス演算、1つ以上の入力変数、および1つの出力変数で構成される。一般に、リファレンス演算として知られる演算は、辞書(命令セット)に列挙され、算術または論理演算、条件付きジャンプをするか否か、サブプログラムの呼び出しなど、さまざまな種類であってよい。
したがって、伝統的な抽象解釈のこの段階において、デコーダは、一連の命令の形態に書き直され、とりわけ本発明による暗号化方法によって実行される双線形システム(p,G,G,G)に関する演算が重要である。
・Gにおける乗算T=U・U’の演算
・Gにおける乗算S=V・V’の演算
・Gにおける累乗U=Tの演算
・Gにおける累乗V=Sの演算
・G×G→Gの双線形結合α=〈U,V〉(ペアリングと呼ばれる)の演算
・Gにおける乗算γ=α・βの演算
・Gにおける累乗β=αの演算
これらの演算が代数的と呼ばれる一方で、他のすべては、関連演算に分類される。解釈のこの同じ段階において、各々の命令の入力および出力変数が、SSA(静的単一代入)として知られるやり方で記述される。これにより、正式の実行時に操作される任意の変数の計算グラフを著作権侵害のデコーダのこの表現から容易に導き出すことができる。命令の入力変数は、以下の4つの種類だけである。
1.出発プログラムに属する一定の変数、
2.中間媒介変数、
3.暗号文の一部を表わすプログラムの入力変数、または
4.デコーダプログラムの外部のランダム源の呼び出しからもたらされるランダム変数。
プログラムの出力変数が、データkを表わし、Gにおける出力値の計算グラフからもたらされる。
特殊化として知られる第2のステップにおいて、書き直されたプログラムが、後の裏切り者の特定に適するようにするために修正される。プログラムを書き直すことによって、出力変数kの計算グラフに参加しないすべての命令(グラフに関係しない命令)を取り除くことができる。次いで、プログラムのすべての入力変数(種類3および4の入力変数)を、プログラムが正しく復号を行なうことができる一定の値に設定しようと試みる必要がある。
この一定の値の捜索を、ランダムかつ完全に行なうことができ、最初に与えられたデコーダが充分に機能する(すなわち、平均で事例のかなりの部分において復号を行なう)場合には、この捜索の工程は、数回の試行で迅速に完了される。
値が適切である場合、プログラムの対応する変数がそれらで置き換えられ、このプログラムが常に同じやり方で動作する。したがって、成功した実施の例が、定数にもとづいて実行される命令だけで構成された新たなプログラムによって例示される。
追跡のプロセスは、今やジャンプのないただ1つの一連の命令を得ることによってプログラムを簡単化するステップを含む:
・定数の伝播が、入力変数がすべて定数であるすべての二次的な命令を取り除くために実行される。したがって、この変換は、代数的演算を排除する。
・その実行が同語反復的である命令が除去される:
・条件付きジャンプが、除去されるか、あるいは条件付きでないジャンプで置き換えられる。
・関数の呼び出しが、呼び出される関数の本体のコピーによって置き換えられる。
・不必要な命令または効力のないコードが除去される。
このステップの終わりにおいて、条件付きでないジャンプは、連続的な命令の連なりを時系列的な実行の順序で縦に並べることによって削除される。結果として、プログラムが、制御の流れの存在しない一連の順次的な代数的命令になる。
この時点で、いくつかの変換が、誘導的かつ同時的なやり方で、得られたプログラムへと適用される。この目的のため、以下が導入される。
・G(i∈{1,2,T})におけるuの計算を表わす一定形式の命令expо(u,a)
・〈U,V〉の計算を表わす拡張「ペアリング」〈U,V;a〉の一定形式の命令。
次いで、プログラムが安定になるまで、以下の代数的な単純化が、誘導的かつ同時的なやり方で実行される。
・各々の累乗の命令uが、適切なi∈{1,2,T}のexpо(u,a)によって置き換えられる。
・各々の変数uが、適切なi∈{1,2,T}のexpо(u,1)によって置き換えられる。
・種類expо(u・v,a)の命令の各々の組み合わせが、expо(u,a)・expо(v,a)によって置き換えられる。
・種類expо(u,a)・expо(u,b)の命令の各々の組み合わせが、expо(u,a+b mоd p)によって置き換えられる。
・種類expо(expо(u,a),b)の命令の各々の組み合わせが、expо(u,ab mоd p)によって置き換えられる。
・各々の「ペアリング」命令〈U,V〉が、〈U,V;1〉によって置き換えられる。
・種類〈U・U’,V;a〉の命令の各々の組み合わせが、〈U,V;a〉・〈U’,V;a〉によって置き換えられる。
・種類〈U,V・V’;a〉の命令の各々の組み合わせが、〈U,V;a〉・〈U,V’;a〉によって置き換えられる。
・種類〈expо(U,a),V;b〉の命令の各々の組み合わせが、〈U,V;abmоd p〉によって置き換えられる。
・種類〈U,expо(V,a);b〉の命令の各々の組み合わせが、〈U,V;abmоd p〉によって置き換えられる。
・種類〈U,V;a〉・〈U,V;b〉の命令の各々の組み合わせが、〈U,V;a+b mоd p〉によって置き換えられる。
・種類expо(〈U,V;a〉,b)の命令の各々の組み合わせが、〈U,V;abmоd p〉によって置き換えられる。
・expо(u,0)が1によって置き換えられ、〈U,V;0〉が1によって置き換えられ、1・uがuによって置き換えられる。
したがって、この単純化のステップの終わりに、k∈Gの計算を、積k=k・kの結果として表わすことができ、ここで
・kは、i=1,...,nについての入力(U,V,a)が、i≠jについて(U,V)≠(U,V)のような、2つの点UおよびVならびにpを法とする整数aで構成されるn個の拡張「ペアリング」の積である。変数U、V、およびaは、特殊化のステップゆえに一定の値である。各々の変数U、Vは、必然的に、プログラムに保存された定数または初めに与えられた暗号文の一部である入力変数である。
・kは、Gのm個の要素の積、すなわちk=expо(α,b)…expо(α,b)であり、ここで、1≦i≠j≦mについてα≠αである。各々の変数αは、必然的に、プログラムに保存された定数または暗号文の一部である。
第3のステップにおいて、最初に与えられた暗号文cの各々の代数的要素に対応する係数が特定される。
より具体的には、最初に与えられた暗号文が、
Figure 0005602955
 を含む場合には、
・あらゆるui,j∈[1,r]について、u=Uのようなすべての値aが集められ、
Figure 0005602955
 は暗号文の要素でなく、したがってベクトル
Figure 0005602955
 が形成され、
・あらゆるvi,j∈[1,r]について、v=Vのようなすべての値aが集められ、
Figure 0005602955
 は暗号文の要素でなく、したがってベクトル
Figure 0005602955
 が形成され、
・あらゆるwi,j∈[1,r]について、w=αのようなcоef(w)=bが集められ、
・各ペア(u,v),(l,j)∈[1,r]×[1,r]について、(u,v)=(U,V)であるcоef(u,v)=aが集められる。
これらの識別ステップの各々において、係数は、対応する指数iを見つけることができない場合には、初期値によって0に設定される。
次に、{cоef(u),cоef(v),cоef(wε),cоef(u,v)}の値に注目する。本発明の数学的特性は、これらの値が、信用できなくなった鍵を構成している要素x,...,xε∈Zおよび最初に与えられた暗号文cを構成している固定のパラメータs,...,s∈Zに関係する前もって知られた関数であることを保証する。
これは、多変数の方程式系を形成する。
Figure 0005602955
 これらの係数の数値、固定のパラメータs、および関数f、g、hε、qa,bを知ることで、系を逆に解き、信用できなくなった鍵のうちの1つを構成する要素x,...,xεの少なくとも1つを回収することができ、したがってこの鍵を完全に特定することができる。このステップは、ε≦B(r,r,r)を有することを要求してもよく、ここでB(r,r,r)は、本発明の実施の形態に依存する端末である。関数f、g、hε、qa,bも、本発明の実施の形態に依存する。
例として、上述の第2の実施の形態の文脈において実行する場合、あらゆる復号プログラムは、1名(または、2名以上)のユーザiのベクトルx(i)をマスクされた形態またはマスクされていない形態で示す。したがって、追跡者は、1名以上のユーザへと配布されたx(i)へのアクセスを有し、したがってそれらのユーザが裏切り者として特定される。
さらに、本発明によれば、例えば裏切り者として特定された場合や、任意の他の理由によって、処理エンティティを無効にすることができ、したがってこのエンティティが例えば符号化されたコンテンツの復号を可能にするための有効な制御語を生成することを、阻止することができる。
本発明によれば、一時的な無効化または恒久的な無効化という2種類の無効化を実現することができる。
一時的な無効化によれば、1つ以上の危険なエンティティについて、さらなる有効な制御語の生成が一時的に不可能にされる。恒久的な無効化は、そのような生成を阻止する。
この変種を説明するために、例として、本発明に一致した第2の実施の形態にもとづくセキュアな方法についてなされる調整を説明する。
同様の調整を、本発明に一致した他の方法についても同様に行なうことができる。
恒久的な無効化を実現するために、本発明は、上述した方法に2つの追加のステップをもたらす。第1のステップは、すべての処理エンティティへと送信される無効化データDを生成することである。これらのデータは、1つ以上の危険なエンティティからなる集合Rの除外を定義するために使用される。第2の追加のステップは、Rに属さないエンティティの復号鍵DKを、有効な制御語の生成を続けることができるように更新することである。
危険なエンティティが、エンティティE1〜Er(または、セキュアな契約者デバイス1〜1)であるとする。そのようなエンティティに、1〜rの番号を与える。無効化データDを定義するための第1のステップは、この例によればD=(R,...,R)を計算することからなり、例えばj=1などのj∈[1,d]の値について、
Figure 0005602955
 である。次いで、生成元の値hが、Rの値をとるように
Figure 0005602955
 と変更される。次いで、無効化データD=(R,...,R)がすべてのエンティティへと配布される。
そこで、第2の追加のステップは、Rに属さないエンティティの復号鍵DKを、有効な制御語の生成を続けることができるように、変更することからなる。Dから生成された、i番目のユーザまたは契約者に対応する鍵DKi,Rは、DKi,R=(A,B(i,R))のようであるd個の要素からなるベクトル
Figure 0005602955
 は、例えばw=1などのw∈[1,d]の値について、
Figure 0005602955
 のようになる。
新たな値DKi,Rの計算を、本発明に従って各々の処理エンティティによって実行することができる。あるいは、この計算を、第三者のエンティティによって実行することができる。前記鍵を更新するための任意の他の手順も使用することができる。
代案として、本発明によれば、無効化データを、暗号化された制御語と併せて、処理エンティティへと送信することができる。したがって、前記データを専用のモードで送信する必要がない。それらは、制御語の送信のために本発明によってもたらされる方法の第2の実施の形態に従い、c=(W,W,s,U,D)のように暗号文の一体部分であってよい。
さらに、復号鍵の変更DK←DKi,Rを、制御語を生成するステップの直前に処理エンティティによって実行してもよい。
恒久的な無効化を実行するために、鍵DKを生成するためにサーバによって実行されるステップ、ならびに、制御語kの平文を生成するためにエンティティによって実行されるステップが、不変であることを見て取ることができる。さらに、暗号文を生成するための生成元hが、もはや固定ではない。実際、hは無効にされたすべてのエンティティに依存する。復号鍵も、平文kを生成するときにもはや固定ではない。
さらに本発明は、一時的な無効化を実現するように本発明に一致する方法を調整する。上述のように、この特徴を説明するために、本発明による方法の第2の実施の形態の例を使用する。同様に、危険なエンティティが、1〜rまでの番号のエンティティE1〜Er(または、セキュアな契約者デバイス1〜1)であるとする。
第1の追加のステップは、恒久的な無効化とちょうど同じように、無効化データDをD=(R,...,R)のように計算することからなり、例えばj=1などのj∈[1,d]の値について
Figure 0005602955
 である。次いで、生成元hの値が、Rの値をとるように
Figure 0005602955
 と変更される。
サーバが、暗号化された制御語を、c=(W,W,s,U,D,x (1),...,x (r))のような成分の結果として生成する。最初の4つの成分W、W、s、およびUは、(hがh←Rのように前もって変更されているという違いがあるが)典型的に生成される。
Figure 0005602955
 は、
Figure 0005602955
 のようなd個の値のベクトルであり、W=(gγであり、
Figure 0005602955
 であり、mは整数である。暗号文は、Dおよび選択されたjの値についてのx (1),...,x (r)をさらに含む。
暗号化された制御語cを受信すると、処理エンティティEiは、この制御語の平文を生成するステップを実行する。
このステップは、kを
Figure 0005602955
 のように計算するように調整され、ここで
Figure 0005602955
 である。
一時的な無効化を実行するために、鍵DKを生成するためのステップが不変であることを見て取ることができる。生成元hが、無効にされたすべてのエンティティに依存するため、もはや固定ではない。単純に、暗号文の生成の前に前記生成元を割り当てた後で暗号文を生成するステップが行なわれる。制御語の平文kの生成が、一時的な無効化を実現するように構成される。
本発明を、好ましい適用の例として、保護されたコンテンツの限定受信の分野に関連して説明した。本発明は、複数の処理エンティティへと、そのようなエンティティによって使用される平文に係る暗号文を送信する必要がある他の分野にも適用可能である。

Claims (16)

  1. 制御語の生成および使用をそれぞれ行なう、サーバ(3)と複数の処理エンティティ(Ea、Eb、Em、Ei)との間で前記制御語の送信を行なうために、
    ・前記サーバによって、前記処理エンティティによって使用されるように意図された平文kに係る暗号化された制御語cを生成するステップ(310)と、
    ・前記生成された暗号化された制御語cを、前記処理エンティティへと送信するステップと、
    ・前記エンティティによって、前記暗号化された制御語cを受信するステップと、
    ・各々の処理エンティティによって、前記受信した暗号化された制御語cから制御語kを生成するステップと
    を含んでいるセキュアな方法であって、
    前記サーバが、
    i.pを法とする非ゼロの整数の集合Z にそれぞれ属するd個の要素のベクトルs(pは素数であり、dは厳密に1よりも大きい整数であり、処理エンティティの数と比べて小さい)と、
    ii.前記サーバに既知であり、pを法とする非ゼロの整数の集合Z に属している秘密の値γと、
    iii.位数pのバイリニアグループβ=(p,G,G,G,e(.,.))(ここで、e(.,.)はe:G×G→Gのような結合であり、Gは位数pの第3の巡回群である)のパラメータである位数pの2つの巡回群GおよびGにそれぞれ属する2つの生成元と
    から制御語の暗号文を生成し、
    各々の処理エンティティが、
    i.暗号化された制御語cと、
    ii.i番目のエンティティに既知であり、
    a)pを法とする非ゼロの整数の集合Z にそれぞれ属するd個の要素のベクトルx(i)(dは厳密に1よりも大きい整数であり、処理エンティティの数と比べて小さく、ベクトルx(i)は該当のエンティティに専用である)と、
    b)前記秘密の値γと、
    c)前記バイリニアグループβの前記巡回群のうちの1つに属する生成元と
    から前もって生成されている復号鍵DK
    から制御語kを生成する、ことを特徴とする方法。
  2. ・バイリニアグループβのような公開パラメータと関連づけられた秘密成分γを含む、マスター秘密鍵MKを生成するステップ(300)と、
    ・前記鍵および公開パラメータをサーバ内に保存するステップと、
    ・前記公開パラメータを各々の処理エンティティに保存するためのステップ(100)と、
    ・それぞれが専用かつ別個である復号鍵DKを生成(301)し、送信し、処理エンティティにおいて保存(101)するステップと
    を前もって含む請求項1に記載の方法。
  3. 生成された各々の復号鍵DKが、形態z1/P(γ)の成分を含んでおり、zはバイリニアグループβの巡回群のうちの1つに属する生成元であり、Pはγに関する多項式であることを特徴とする請求項1または2に記載の方法。
  4. i.巡回群GおよびGにそれぞれ属する2つの生成元であるgおよびhを選択するステップと、
    ii.公開パラメータとして、βおよびhに加えて、成分
    Figure 0005602955
     を生成するステップと
    を含んでおり、
    ・秘密鍵MKが、γおよびgで構成され、
    ・復号鍵DKを生成するステップ(301)が、DK=(x(i),A)(ここで、A=g1/P(γ)であり、
    Figure 0005602955
     である)のように2つの成分の結果として前記鍵を生成することからなり、
    ・暗号化された制御語を生成するステップ(310)が、c=(s,h1/Q(γ))(ここで、
    Figure 0005602955
     である)のように2つの成分の結果として前記語を生成することからなり、
    ・制御語kを生成するステップ(110)が、kを
    Figure 0005602955
     のように計算することからなり、ここで
    Figure 0005602955
     であり、
    Figure 0005602955
     およびm=1,...,dについて
    Figure 0005602955
     であることを特徴とする請求項2または3に記載の方法。
  5. 群GおよびGにそれぞれ属する2つの生成元であるgおよびhを選択するステップを含み、
    ・公開パラメータが、βで構成され、
    ・秘密鍵MKが、γおよびgで構成され、
    ・復号鍵DKを生成するステップ(301)が、DK=(A,B(i))のように2つの成分の結果として前記鍵を生成することからなり、ここで
    Figure 0005602955
     であり、d個の要素のベクトルB(i)
    Figure 0005602955
     のようであり、
    ・暗号化された制御語を生成するステップ(310)が、c=(W,W,s,U)のように4つの成分の結果として前記語を生成することからなり、ここでUは
    Figure 0005602955
     のようなd個の値のベクトルであり、W=(gγであり、
    Figure 0005602955
     であり、mは整数であり、
    ・制御語kを生成するステップ(110)が、kを
    Figure 0005602955
     のように計算することからなり、
    ここで
    Figure 0005602955
     である、
    ことを特徴とする請求項2または3に記載の方法。
  6. 無効化データDをD=(R,...,R)(ここで、
    Figure 0005602955
     )のように生成するステップを含み、
    生成元hが、暗号化された制御語を生成するステップ(310)の実施前に値Rをとることを特徴とする請求項5に記載の方法。
  7. 制御語の平文を生成するためのステップ(110)の実施前に復号鍵の値を変更するステップを含み、
    前記鍵が、値DKi,R=(A,B(i,R))をとり、ここでw∈[1,d]の所与の値について
    Figure 0005602955
     であることを特徴とする請求項6に記載の方法。
  8. 暗号文が、Dおよび選択されたj∈[1,d]の値についてのx (1),...,x (r)をさらに含み、
    kを生成するためのステップ(110)が、
    Figure 0005602955
     のように制御語の平文を生成するように構成され、ここで
    Figure 0005602955
     であることを特徴とする請求項6に記載の方法。
  9. ・保護されたデジタルコンテンツの放送サーバによって実行され、符号化関数を用いてデジタルコンテンツMを符号化して符号化されたコンテンツCを生成するステップと、
    ・前記保護されたデジタルコンテンツの放送サーバによって、複数の契約者処理エンティティによる前記符号化されたコンテンツCの復号(210)に使用されるように意図された平文kに係る暗号化された制御語cを生成するステップ(310)と、
    ・前記符号化されたコンテンツCおよび暗号化された制御語cを、配信ネットワークを介して契約者処理エンティティのために送信するステップと、
    ・前記符号化されたコンテンツCおよび暗号化された制御語cを、各々の契約者処理エンティティによって受信するステップと、
    ・各々の契約者処理エンティティによって、暗号文cから制御語の平文kを生成するステップ(110)と、
    ・各々の契約者処理エンティティによって、符号化されたコンテンツCの復号(210)を行ない、復号関数およびkからコンテンツMを生成するステップと、
    ・前記コンテンツMに合ったインターフェイスを使用して前記コンテンツを取り出すステップと
    を含むデジタルコンテンツの限定受信のための方法であって、
    保護されたデジタルコンテンツの放送サーバによる暗号化された制御語の生成(310)および送信のステップ、ならびに契約者処理エンティティによる受信および制御語の平文の生成(110)のステップは、サーバと複数の処理エンティティとの間で制御語を送信するための請求項1〜8のいずれか一項に記載のセキュアな方法に従うことを特徴とする方法。
  10. 各々の処理エンティティ(Ea、Eb、Em、Ei)が、符号化されたコンテンツの復号および暗号化された制御語の平文の生成をそれぞれ実行するセキュアな契約者デバイス(1a、1b、1m、1i)に組み合わせられた端末(2a、2b、2m、2i)で構成され、
    前記符号化されたコンテンツCおよび暗号化された制御語cを処理エンティティによって受信するステップが、
    i.前記符号化されたコンテンツおよび暗号化された制御語を前記端末によって受信すること、および
    ii.前記端末によって前記暗号化された制御語cを該端末と協働するセキュアな契約者デバイスへと送信すること
    を含み、
    前記処理エンティティにおいて制御語の平文kを生成するステップ(110)が、前記セキュアな契約者デバイスによって制御語の平文kを生成して前記端末へと届けることからなり、
    前記符号化されたコンテンツCの復号(210)を行なうステップが、前記符号化されたコンテンツCおよび前記制御語kからコンテンツMを生成する復号関数を前記端末によって実行することからなる、請求項9に記載の方法。
  11. 複数の契約者処理エンティティ(Ea、Eb、Em、Ei)に関連する限定受信システムのサーバ(3)であって、
    ・p(pは素数である)を法とする非ゼロの整数の集合Z に属する秘密の値γと、位数pのバイリニアグループβ=(p,G,G,G,e(.,.))(ここで、e(.,.)はe:G×G→Gのような結合であり、G、G、およびGは位数pの巡回群である)と、集合Z にそれぞれ属するd個の要素のベクトルs(dは厳密に1よりも大きい整数であり、処理エンティティの数と比べて小さい)とを保存するための手段と、
    ・i.ベクトルsと、秘密の値γと、巡回群GおよびGにそれぞれ属する2つの生成元とから、制御語の暗号文cを生成し、
    ii.コンテンツMから符号化されたコンテンツCを生成する処理手段と、
    ・前記符号化されたコンテンツCおよび暗号化された制御語cを外部へと届けるための手段と
    を備えることを特徴とするサーバ。
  12. 請求項11に記載のサーバへと接続される、限定受信システムの複数の処理エンティティ(Ea、Eb、Em、Ei)であって、
    ・素数位数pのバイリニアグループβ=(p,G,G,G,e(.,.))(ここで、e(.,.)はe:G×G→Gのような結合であり、G、G、およびGは位数pの巡回群である)であって、前記サーバが暗号化された制御語cを生成して前記複数の処理エンティティへと送信するために、前記サーバに既知であるバイリニアグループを含む、公開パラメータを保存するための手段と、
    ・i.pを法とする非ゼロの整数の集合Z にそれぞれ属するd個の値のベクトルx(i)(dは厳密に1よりも大きい整数であり、処理エンティティの数と比べて小さく、ベクトルx(i)は当該エンティティに専用である)と、
    ii.前記サーバに既知である秘密の値γと、
    iii.バイリニアグループβの巡回群のうちの1つに属する生成元と
    から前もって生成される専用の復号鍵DKを保存するための手段と、
    ・符号化されたコンテンツCおよび暗号化された制御語cとしてのデータを外部から受信するための手段と、
    ・前記データおよび復号鍵DKから制御語kを生成するように構成された処理手段(10)と、
    ・前記データおよび制御語kからコンテンツMを生成するための処理手段と、
    ・前記コンテンツMの取り出しのために適切なマン−マシンインターフェイス(5)へと前記コンテンツをもたらすための手段と
    を備える処理エンティティ。
  13. セキュアな契約者デバイス(1a、1b、1m、1i)と協働する電子端末(2a、2b、2m、2i)で構成され、それぞれ、符号化されたコンテンツCの復号(210)を行ない、前記復号のための制御語の平文kの生成(110)および前記端末への供給を行なうことを特徴とする請求項12に記載の処理エンティティ。
  14. 請求項13に記載の処理エンティティ(Ea、Eb、Em、Ei)の端末(2a、2b、2m、2i)であって、
    ・外部からデータを受信するための手段と、
    ・前記セキュアな契約者デバイス(1a、1b、1m、1i)と協働し、該セキュアな契約者デバイスへ、暗号化された制御語cを送信し、返答として制御語kを受信するための手段と、
    ・コンテンツMの生成(210)を行なうための処理手段と、
    ・前記コンテンツの回復を行なうように構成されたマン−マシンインターフェイスへと前記コンテンツをもたらすための手段と
    を備える端末。
  15. 請求項14に記載の端末と協働するように構成された請求項13に記載の処理エンティティ(Ea、Eb、Em、Ei)のための電子契約者デバイス(1a、1b、1m、1i)であって、
    ・前記端末から暗号化された制御語を受信するための受信手段と、
    ・公開パラメータを保存するための保存手段と、
    ・専用の復号鍵DKを保存するための保存手段と、
    ・前記暗号文cおよび鍵DKから制御語kの生成(110)を行なうための処理手段と、
    ・前記制御語を前記端末へともたらすための手段と
    を備える電子契約者デバイス。
  16. デジタルコンテンツの限定受信システムであって、
    サーバ(3)を複数の契約者処理エンティティ(Ea、Eb、Em、Ei)と組み合わせて備えており、前記サーバおよび前記処理エンティティがそれぞれ、請求項9または10に記載の限定受信方法を実行するための請求項11ならびに12または13に記載のサーバおよび処理エンティティである限定受信システム。
JP2013540423A 2010-11-22 2011-11-21 デジタルコンテンツの限定受信のための方法およびシステム、ならびに関連の端末および契約者デバイス Active JP5602955B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR1059609A FR2967851B1 (fr) 2010-11-22 2010-11-22 Procede et systeme d'acces conditionnel a un contenu numerique, terminal et dispositif d'abonne associes
FR1059609 2010-11-22
PCT/FR2011/052712 WO2012069747A1 (fr) 2010-11-22 2011-11-21 Procede et systeme d'acces conditionnel a un contenu numerique, terminal et dispositif d'abonne associes

Publications (2)

Publication Number Publication Date
JP2014502102A JP2014502102A (ja) 2014-01-23
JP5602955B2 true JP5602955B2 (ja) 2014-10-08

Family

ID=44075686

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013540423A Active JP5602955B2 (ja) 2010-11-22 2011-11-21 デジタルコンテンツの限定受信のための方法およびシステム、ならびに関連の端末および契約者デバイス

Country Status (10)

Country Link
US (1) US9749129B2 (ja)
EP (1) EP2643943B1 (ja)
JP (1) JP5602955B2 (ja)
CN (1) CN103339896B (ja)
BR (1) BR112013015281B1 (ja)
ES (1) ES2897685T3 (ja)
FR (1) FR2967851B1 (ja)
MX (1) MX2013005741A (ja)
PT (1) PT2643943T (ja)
WO (1) WO2012069747A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2958103B1 (fr) * 2010-03-23 2012-08-17 Cryptoexperts Sas Procede pour identifier un dispositif mis en oeuvre par un terminal pirate et dispositif associe
JP6488221B2 (ja) 2015-03-30 2019-03-20 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 再生方法及び再生装置
US11251954B2 (en) 2017-05-10 2022-02-15 B. G. Negev Technologies And Applications Ltd., At Ben-Gurion University Method and system for performing broadcast encryption with revocation capability
WO2018207187A1 (en) * 2017-05-10 2018-11-15 B. G. Negev Technologies And Applications Ltd., At Ben-Gurion University Method and system for performing broadcast encryption with revocation capability
US11323255B2 (en) * 2019-08-01 2022-05-03 X-Logos, LLC Methods and systems for encryption and homomorphic encryption systems using Geometric Algebra and Hensel codes
US11764943B2 (en) 2020-08-10 2023-09-19 Algemetric, Inc. Methods and systems for somewhat homomorphic encryption and key updates based on geometric algebra for distributed ledger/blockchain technology
US11683151B2 (en) 2020-09-17 2023-06-20 Algemetric, Inc. Methods and systems for distributed computation within a fully homomorphic encryption scheme using p-adic numbers

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7565546B2 (en) * 1999-03-30 2009-07-21 Sony Corporation System, method and apparatus for secure digital content transmission
US6697489B1 (en) * 1999-03-30 2004-02-24 Sony Corporation Method and apparatus for securing control words
US7602914B2 (en) * 2004-08-18 2009-10-13 Scientific-Atlanta, Inc. Utilization of encrypted hard drive content by one DVR set-top box when recorded by another
EP2022207B1 (fr) * 2006-05-31 2018-10-10 Orange Procédé cryptographique à chiffrement et révocation intégrés, système, dispositif et programmes pour la mise en oeuvre du procédé
US8385545B2 (en) * 2007-07-27 2013-02-26 Howard G. Pinder Secure content key distribution using multiple distinct methods
EP2068490A1 (en) * 2007-12-05 2009-06-10 Nagravision S.A. Method to generate a private key in a Boneh-Franklin scheme
JP5365072B2 (ja) * 2007-12-11 2013-12-11 ソニー株式会社 鍵生成装置、暗号化装置、受信装置、鍵生成方法、暗号化方法、鍵処理方法およびプログラム
JP2009171016A (ja) * 2008-01-11 2009-07-30 Nippon Hoso Kyokai <Nhk> 暗号化情報生成装置及びそのプログラム、配信用コンテンツ生成装置及びそのプログラム、並びに、コンテンツ復号装置及びそのプログラム
US8396222B2 (en) * 2008-03-10 2013-03-12 Nds Limited Key distribution system
EP2207340A1 (en) * 2009-01-12 2010-07-14 Thomson Licensing Method and device for reception of control words, and device for transmission thereof
US8515060B2 (en) * 2009-04-24 2013-08-20 Nippon Telegraph And Telephone Corporation Encryption apparatus, decryption apparatus, encryption method, decryption method, security method, program, and recording medium
FR2969439B1 (fr) * 2010-12-17 2018-06-22 Cryptoexperts Sas Procede et systeme d'acces conditionnel a un contenu numerique, terminal et dispositif d'abonne associes

Also Published As

Publication number Publication date
PT2643943T (pt) 2021-11-17
JP2014502102A (ja) 2014-01-23
BR112013015281B1 (pt) 2022-03-29
EP2643943A1 (fr) 2013-10-02
US20130308776A1 (en) 2013-11-21
CN103339896A (zh) 2013-10-02
FR2967851B1 (fr) 2018-05-18
WO2012069747A1 (fr) 2012-05-31
CN103339896B (zh) 2017-06-23
MX2013005741A (es) 2013-12-06
FR2967851A1 (fr) 2012-05-25
US9749129B2 (en) 2017-08-29
ES2897685T3 (es) 2022-03-02
EP2643943B1 (fr) 2021-08-18
BR112013015281A2 (pt) 2018-06-26

Similar Documents

Publication Publication Date Title
JP5602955B2 (ja) デジタルコンテンツの限定受信のための方法およびシステム、ならびに関連の端末および契約者デバイス
KR101545631B1 (ko) 콘텐트의 암호화 프로세싱
KR101744748B1 (ko) 화이트박스 암호 테이블을 이용한 콘텐츠 보호 장치, 콘텐츠 암호화 및 복호화 장치
US7260215B2 (en) Method for encryption in an un-trusted environment
Kiayias et al. Breaking and repairing asymmetric public-key traitor tracing
EP2119091A2 (en) Content encryption schema for integrating digital rights management with encrypted multicast
MX2011002586A (es) Participacion de claves de simulcrypt con claves asociativas.
JP4673302B2 (ja) データを暗号化および/または復号化する追跡可能な方法およびシステムならびに該方法を実施する記録媒体
JP5093513B2 (ja) 不正者失効システム、暗号化装置、暗号化方法およびプログラム
Adelsbach et al. Fingercasting—joint fingerprinting and decryption of broadcast messages
Mishra et al. Hybrid image encryption and decryption using cryptography and watermarking technique for high security applications
Naor et al. Protecting cryptographic keys: The trace-and-revoke approach
US11533167B2 (en) Methods and devices for optimal information-theoretically secure encryption key management
KR101530107B1 (ko) 보네-프랜크린 방식을 이용한 개인키 생성 방법
JP5784143B2 (ja) デジタルコンテンツの限定受信のための方法およびシステム、ならびに関連の端末および契約者デバイス
Sadeghi The marriage of cryptography and watermarking—beneficial and challenging for secure watermarking and detection
Kapusta et al. Secure data sharing with fast access revocation through untrusted clouds
Xu et al. On the provably secure CEW based on orthogonal decomposition
Adelsbach et al. Fingercasting–joint fingerprinting and decryption of broadcast messages
Ibrahim Secure anonymously authenticated and traceable enterprise DRM system
Gupta et al. An enhanced python based approach of secret sharing scheme with encryption
Kuribayashi et al. Secure data management system with traceability against internal leakage
Guan et al. An Improved Collusion-Resistant Public-Key Traitor Tracing Scheme
Obied Broadcas t Encryption
Radha et al. Securing Retinal Template Using Quasigroups

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140722

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140820

R150 Certificate of patent or registration of utility model

Ref document number: 5602955

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250