JP5651631B2 - 鍵交換システム、鍵交換方法、要求装置、応答装置、およびプログラム - Google Patents
鍵交換システム、鍵交換方法、要求装置、応答装置、およびプログラム Download PDFInfo
- Publication number
- JP5651631B2 JP5651631B2 JP2012066470A JP2012066470A JP5651631B2 JP 5651631 B2 JP5651631 B2 JP 5651631B2 JP 2012066470 A JP2012066470 A JP 2012066470A JP 2012066470 A JP2012066470 A JP 2012066470A JP 5651631 B2 JP5651631 B2 JP 5651631B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- response
- public key
- ciphertext
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
この発明は、情報セキュリティ技術の応用技術に関し、特に、装置間で共通のセッション鍵を共有する鍵交換技術に関する。
装置間で共通のセッション鍵を共有する鍵交換方式の従来技術として、パスワードに基づく鍵交換方式がある(例えば、非特許文献1参照)。パスワードに基づく鍵交換方式は、共通のパスワードを秘密に保持する装置間で十分な長さの共通のセッション鍵を共有する鍵交換方法である。以下に非特許文献1に記載されている従来のパスワードに基づく鍵交換方式について説明する。
[スムース射影ハッシュ関数の説明]
非特許文献1に記載のパスワードに基づく鍵交換方式では、スムース射影ハッシュ関数を利用する。スムース射影ハッシュ関数は以下の性質を満たすハッシュ関数である。
[スムース射影ハッシュ関数の説明]
非特許文献1に記載のパスワードに基づく鍵交換方式では、スムース射影ハッシュ関数を利用する。スムース射影ハッシュ関数は以下の性質を満たすハッシュ関数である。
Kをセキュリティパラメータとする。ある公開鍵暗号方式Σ’(鍵生成アルゴリズムGen’,暗号化アルゴリズムEnc’,復号アルゴリズムDec’)を考え、Dをメッセージ空間、PKSを公開鍵空間、CTSをある公開鍵pk∈PKSに対する正当暗号文空間とする。Xを集合{(CT,pk,m)|pk∈PKS;CT∈CTS;m∈D}とし、Lmを集合{(CT,pk,m)|(pk,sk)←Gen’(1K);m=Dec’sk(CT)}とし、Lを集合∪m∈DLmとする。Hhkは定義域Xから値域{0,1}Kへの鍵付きハッシュ関数であり、ハッシュ鍵hkに基づき入力に対して出力が計算される。また、ある射影関数F(・)が存在し、ハッシュ鍵hkから射影鍵hp=F(hk,CT,pk)が計算される。ハッシュ関数への入力がx∈Lを満たすならば、x∈Lであることの証拠wと射影鍵hpを用いてHhk(x)=hhp(x,w)となるような関数hが計算できる。ハッシュ関数への入力xがLに属さないならば、x∈Lであることの証拠wが存在しないため、Hhk(x)=hhp(x,w)となるような関数hが計算できない。
[パラメータ]
第1の公開鍵暗号方式Σ’=(Gen’,Enc’,Dec’)と第2の公開鍵暗号方式Σ=(Gen,Enc,Dec)を用いる。ただし、第1の公開鍵暗号方式Σ’はスムース射影ハッシュ関数をサポートする。要求装置と応答装置は共通のパスワードpwを秘密に保持する。Aは要求装置を一意に識別する情報である。Bは応答装置を一意に識別する情報である。
第1の公開鍵暗号方式Σ’=(Gen’,Enc’,Dec’)と第2の公開鍵暗号方式Σ=(Gen,Enc,Dec)を用いる。ただし、第1の公開鍵暗号方式Σ’はスムース射影ハッシュ関数をサポートする。要求装置と応答装置は共通のパスワードpwを秘密に保持する。Aは要求装置を一意に識別する情報である。Bは応答装置を一意に識別する情報である。
[共通参照情報]
非特許文献1に記載のパスワードに基づく鍵交換方式では、共通参照情報を利用する。共通参照情報とは信頼できる第三者によって生成され、プロトコル参加者が自由に参照できる情報である。ここでは、第1の公開鍵暗号方式Σ’の公開鍵pk’と第2の公開鍵暗号方式Σの公開鍵pkを共通参照情報とする。
非特許文献1に記載のパスワードに基づく鍵交換方式では、共通参照情報を利用する。共通参照情報とは信頼できる第三者によって生成され、プロトコル参加者が自由に参照できる情報である。ここでは、第1の公開鍵暗号方式Σ’の公開鍵pk’と第2の公開鍵暗号方式Σの公開鍵pkを共通参照情報とする。
[鍵交換処理]
A−1:要求装置は、乱数r←{0,1}*を選択し、暗号文CT’=Enc’pk’(pw;r)を計算する。
A−2:要求装置は、第1情報t1:=A||CT’を応答装置へ送信する。
B−1:応答装置は、スムース射影ハッシュ関数のハッシュ鍵hkを選択する。
B−2:応答装置は、射影鍵hp=F(hk,CT’,pk’)を計算する。
B−3:応答装置は、ハッシュ鍵hkを用いて、rB||τB||SKB=Hhk(CT’,pk’,pw)を計算する。
B−4:応答装置は、暗号文CT=Encpk(t1,||B||hp||pw;rB)を計算する。
B−5:応答装置は、第2情報t2:=B||hp||CTを要求装置へ送信する。
A−3:要求装置は、射影鍵hpと乱数rを用いて、rA||τA||SKA=hhp(CT’,pk’,pw,r)を計算する。
A−4:要求装置は、暗号文CT^=Encpk(t1,||B||hp||pw;rA)を計算する。
A−5:要求装置は、CT^≠CTであれば処理を停止する。CT^=CTであれば第3情報t3:=A||τAを応答装置へ送信する。
A−6:要求装置は、SKAをセッション鍵SKとして出力する。
B−6:応答装置は、τA≠τBであれば処理を停止する。τA=τBであれば応答装置はSKBをセッション鍵SKとして出力する。
A−1:要求装置は、乱数r←{0,1}*を選択し、暗号文CT’=Enc’pk’(pw;r)を計算する。
A−2:要求装置は、第1情報t1:=A||CT’を応答装置へ送信する。
B−1:応答装置は、スムース射影ハッシュ関数のハッシュ鍵hkを選択する。
B−2:応答装置は、射影鍵hp=F(hk,CT’,pk’)を計算する。
B−3:応答装置は、ハッシュ鍵hkを用いて、rB||τB||SKB=Hhk(CT’,pk’,pw)を計算する。
B−4:応答装置は、暗号文CT=Encpk(t1,||B||hp||pw;rB)を計算する。
B−5:応答装置は、第2情報t2:=B||hp||CTを要求装置へ送信する。
A−3:要求装置は、射影鍵hpと乱数rを用いて、rA||τA||SKA=hhp(CT’,pk’,pw,r)を計算する。
A−4:要求装置は、暗号文CT^=Encpk(t1,||B||hp||pw;rA)を計算する。
A−5:要求装置は、CT^≠CTであれば処理を停止する。CT^=CTであれば第3情報t3:=A||τAを応答装置へ送信する。
A−6:要求装置は、SKAをセッション鍵SKとして出力する。
B−6:応答装置は、τA≠τBであれば処理を停止する。τA=τBであれば応答装置はSKBをセッション鍵SKとして出力する。
Adam Groce and Jonathan Katz, "A new framework for efficient password-based authenticated key exchange.", ACM Conference on Computer and Communications Security 2010.
しかしながら、従来のパスワードに基づく鍵交換技術では、安全性を保証するために共通参照情報が必要であった。共通参照情報の生成者は公開鍵を生成するために秘密鍵を知ることができるため、仮に、悪意のある第三者が共通参照情報を生成した場合には、鍵交換処理において送受信されるパスワード暗号文を復号され、共通のパスワードが漏洩するという問題があった。したがって、従来のパスワードに基づく鍵交換方式では、共通参照情報を信頼できる第三者が生成することが前提となっていた。
この発明はこのような点に鑑みてなされたものであり、共通参照情報を用いずに、共通のパスワードを保持する装置間で共通のセッション鍵を安全に共有する鍵交換技術を提供することを目的とする。
上記の課題を解決するために、この発明の鍵交換システムは、要求装置と応答装置と鍵公開装置を含み、あらかじめパスワードpwを共有する要求装置と応答装置との間でセッション鍵SKを共有する。
鍵公開装置は、鍵記憶部と鍵登録部と鍵公開部を備える。鍵記憶部は、要求装置の公開鍵である要求側公開鍵pk’と応答装置の公開鍵である応答側公開鍵pkを記憶する。鍵登録部は、受信した公開鍵を鍵記憶部に記憶し、鍵記憶部における公開鍵を一意に識別する情報である鍵識別子を出力する。鍵公開部は、受信した鍵識別子に基づいて鍵記憶部から公開鍵を抽出する。
要求装置は、要求側鍵乱数生成部と要求側公開鍵生成部と要求側公開鍵登録部と要求側乱数生成部と要求側第1暗号化部と第1情報送信部と応答側公開鍵取得部と要求側セッション鍵生成部と要求側第2暗号化部と暗号文検証部と第3情報送信部と要求側セッション鍵出力部を備える。要求側鍵乱数生成部は、ランダムな整数w’を選択する。要求側公開鍵生成部は、乱数w’を用いて、スムース射影ハッシュ関数をサポートする第1の公開鍵暗号方式の鍵生成アルゴリズムGen’を実行することにより、要求側公開鍵pk’を生成する。要求側公開鍵登録部は、要求側公開鍵pk’を鍵公開装置へ送信し、鍵公開装置の出力する鍵識別子を要求側鍵識別子αとして受信する。要求側乱数生成部は、ランダムな整数rを選択する。要求側第1暗号化部は、パスワードpwを入力として、要求側公開鍵pk’と乱数rを用いて第1の公開鍵暗号方式の暗号化アルゴリズムEnc’を実行することにより、暗号文CT’を生成する。第1情報送信部は、少なくとも暗号文CT’と要求側鍵識別子αを含む第1情報t1を応答装置へ送信する。応答側公開鍵取得部は、応答装置から受信した応答側鍵識別子βを鍵公開装置へ送信し、鍵公開装置の出力する公開鍵を応答側公開鍵pkとして受信する。要求側セッション鍵生成部は、暗号文CT’と要求側公開鍵pk’とパスワードpwと乱数rを入力として、応答装置から受信した射影鍵hpを用いてスムース射影ハッシュ関数のハッシュ関数hを計算することにより、第1セッション鍵rAと第2セッション鍵τAと第3セッション鍵SKAを生成する。要求側第2暗号化部は、少なくともパスワードpwを入力として、応答側公開鍵pkと第1セッション鍵rAを用いて第2の公開鍵暗号方式の暗号化アルゴリズムEncを実行することにより、暗号文CT^を生成する。暗号文検証部は、応答装置から受信した暗号文CTが暗号文CT^と等しいか否かを検証する。第3情報送信部は、少なくとも第2セッション鍵τAを含む第3情報t3を応答装置へ送信する。要求側セッション鍵出力部は、第3セッション鍵SKAをセッション鍵SKとして出力する。
応答装置は、応答側鍵乱数生成部と応答側公開鍵生成部と応答側公開鍵登録部と要求側公開鍵取得部と応答側ハッシュ鍵生成部と応答側射影鍵生成部と応答側セッション鍵生成部と応答側第1暗号化部と第2情報送信部とセッション鍵検証部と応答側セッション鍵出力部を備える。応答側鍵乱数生成部は、ランダムな整数wを選択する。応答側公開鍵生成部は、乱数wを用いて、第2の公開鍵暗号方式の鍵生成アルゴリズムGenを実行することにより、応答側公開鍵pkを生成する。応答側公開鍵登録部は、応答側公開鍵pkを鍵公開装置へ送信し、鍵公開装置の出力する鍵識別子を応答側鍵識別子βとして受信する。要求側公開鍵取得部は、要求装置から受信した要求側鍵識別子αを鍵公開装置へ送信し、鍵公開装置の出力する公開鍵を要求側公開鍵pk’として受信する。応答側ハッシュ鍵生成部は、スムース射影ハッシュ関数のハッシュ鍵hkを生成する。応答側射影鍵生成部は、ハッシュ鍵hkと要求装置から受信した暗号文CT’と要求側公開鍵pk’を入力として、スムース射影ハッシュ関数の射影関数Fを計算することにより、射影鍵hpを生成する。応答側セッション鍵生成部は、暗号文CT’と要求側公開鍵pk’とパスワードpwを入力として、ハッシュ鍵hkを用いてスムース射影ハッシュ関数の鍵付きハッシュ関数Hを計算することにより、第1セッション鍵rBと第2セッション鍵τBと第3セッション鍵SKBを生成する。応答側第1暗号化部は、少なくともパスワードpwを入力として、応答側公開鍵pkと第1セッション鍵rBを用いて第2の公開鍵暗号方式の暗号化アルゴリズムEncを実行することにより、暗号文CTを生成する。第2情報送信部は、少なくとも射影鍵hpと暗号文CTと応答側鍵識別子βを含む第2情報t2を要求装置へ送信する。セッション鍵検証部は、要求装置から受信した第2セッション鍵τAが第2セッション鍵τBと等しいか否かを検証する。応答側セッション鍵出力部は、第3セッション鍵SKBをセッション鍵SKとして出力する。
この発明の鍵交換技術によれば、共通参照情報を用いずに、共通のパスワードを保持する装置間で共通のセッション鍵を安全に共有することができる。
以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
[この明細書で利用する表記方法]
∧は論理積を表す。
∨は論理和を表す。
||は連結を表す。
{0,1}*は任意ビット長のバイナリ系列を表す。例えば、整数0および1からなる系列である。ただし、{0,1}*は整数0および1からなる系列に限定されない。{0,1}*は位数2の有限体またはその拡大体と同義である。
∧は論理積を表す。
∨は論理和を表す。
||は連結を表す。
{0,1}*は任意ビット長のバイナリ系列を表す。例えば、整数0および1からなる系列である。ただし、{0,1}*は整数0および1からなる系列に限定されない。{0,1}*は位数2の有限体またはその拡大体と同義である。
は、ある値a,bについて、aにbを代入する、またはaをbで定義することを表す。
は、ある有限集合Sについて、集合Sから要素rを一様ランダムに選ぶことを表す。
は、ある確率的多項式時間アルゴリズムAについて、アルゴリズムAがxを入力にとり、乱数を生成して動作し、aを出力することを表す。
は、ある確率的多項式時間アルゴリズムAについて、アルゴリズムAがxを入力にとり、鍵kを用いて、乱数rを明示的に使用して動作し、aを出力することを表す。
[従来のパスワードに基づく鍵交換システム]
実施例の説明に先立ち、非特許文献1に記載されている従来のパスワードに基づく鍵交換方式を用いた鍵交換システムの構成例を詳細に説明する。
実施例の説明に先立ち、非特許文献1に記載されている従来のパスワードに基づく鍵交換方式を用いた鍵交換システムの構成例を詳細に説明する。
<構成>
図21を参照して、従来の鍵交換システム9の構成例を詳細に説明する。従来の鍵交換システム9は、ネットワーク90と要求装置19と応答装置29と共通参照情報生成装置39から構成される。要求装置19と応答装置29はネットワーク90に接続される。ネットワーク90は要求装置19と応答装置29がそれぞれ相互に通信可能であればよく、例えばインターネットやLAN、WANなどで構成することができる。共通参照情報生成装置39はネットワーク90に接続することもできるし、接続しなくてもよい。共通参照情報生成装置39をネットワーク90に接続する場合には、ネットワーク90は共通参照情報生成装置39が要求装置19と応答装置29とそれぞれ相互に通信可能なように構成する。共通参照情報生成装置39をネットワーク90に接続しない場合には、USBメモリやFDなどの可搬媒体を用いてオフラインで情報の移動を行う。
図21を参照して、従来の鍵交換システム9の構成例を詳細に説明する。従来の鍵交換システム9は、ネットワーク90と要求装置19と応答装置29と共通参照情報生成装置39から構成される。要求装置19と応答装置29はネットワーク90に接続される。ネットワーク90は要求装置19と応答装置29がそれぞれ相互に通信可能であればよく、例えばインターネットやLAN、WANなどで構成することができる。共通参照情報生成装置39はネットワーク90に接続することもできるし、接続しなくてもよい。共通参照情報生成装置39をネットワーク90に接続する場合には、ネットワーク90は共通参照情報生成装置39が要求装置19と応答装置29とそれぞれ相互に通信可能なように構成する。共通参照情報生成装置39をネットワーク90に接続しない場合には、USBメモリやFDなどの可搬媒体を用いてオフラインで情報の移動を行う。
図22を参照して、鍵交換システム9を構成する要求装置19の構成例を詳細に説明する。要求装置19は、要求側乱数生成部115と要求側第1暗号化部120と第1情報送信部125と要求側セッション鍵生成部135と要求側第2暗号化部140と暗号文検証部145と第3情報送信部150と要求側セッション鍵出力部155と要求側パスワード記憶部190と要求側CRS記憶部195を備える。
図23を参照して、鍵交換システム9を構成する応答装置29の構成例を詳細に説明する。応答装置29は、応答側ハッシュ鍵生成部220と応答側射影鍵生成部225と応答側セッション鍵生成部230と応答側第1暗号化部235と第2情報送信部240とセッション鍵検証部245と応答側セッション鍵出力部250と応答側パスワード記憶部290と応答側CRS記憶部を備える。
図24を参照して、鍵交換システム9を構成する共通参照情報生成装置39の構成例を詳細に説明する。共通参照情報生成装置39は、CRS生成部391とCRS配信部392を備える。
<パラメータ>
第1の公開鍵暗号方式Σ’=(Gen’,Enc’,Dec’)と第2の公開鍵暗号方式Σ=(Gen,Enc,Dec)を用いる。ただし、第1の公開鍵暗号方式Σ’はスムース射影ハッシュ関数をサポートする。スムース射影ハッシュ関数をサポートする公開鍵暗号方式としては、例えば、ElGamal暗号を適用できる(詳細は、参考文献1:「Rosario Gennaro and Yehuda Lindell, “A Framework for Password-Based Authenticated Key Exchange.”, ACM Trans. Inf. Syst. Secur. 9(2), 2006.」参照)。
第1の公開鍵暗号方式Σ’=(Gen’,Enc’,Dec’)と第2の公開鍵暗号方式Σ=(Gen,Enc,Dec)を用いる。ただし、第1の公開鍵暗号方式Σ’はスムース射影ハッシュ関数をサポートする。スムース射影ハッシュ関数をサポートする公開鍵暗号方式としては、例えば、ElGamal暗号を適用できる(詳細は、参考文献1:「Rosario Gennaro and Yehuda Lindell, “A Framework for Password-Based Authenticated Key Exchange.”, ACM Trans. Inf. Syst. Secur. 9(2), 2006.」参照)。
要求装置19の備える要求側パスワード記憶部190と応答装置29の備える応答側パスワード記憶部290には、共通のパスワードpwがあらかじめ記憶されている。パスワードpwを要求装置19と応答装置29とで共有する方法は既知のいかなる方法を用いてもよく、例えば、対面等によるオフラインでの共有方法であっても、鍵カプセル化メカニズム等のオンラインでの鍵共有方式等を用いてもよい。パスワードpwの長さに限定はなく、対面でのパスワード共有が可能な程度に短いパスワードであってもよい。
要求側パスワード記憶部190および応答側パスワード記憶部290は、例えば、RAM(Random Access Memory)や、フラッシュメモリ(Flash Memory)などの半導体メモリ素子、リレーショナルデータベースやキーバリューストアなどのミドルウェア、又は、ハードディスクや光ディスクなどの補助記憶装置により構成することができる。
<公開鍵生成処理>
図25を参照して、鍵交換システム9における公開鍵生成処理の動作例を実際に行われる手続きの順に従って詳細に説明する。
図25を参照して、鍵交換システム9における公開鍵生成処理の動作例を実際に行われる手続きの順に従って詳細に説明する。
共通参照情報生成装置39のCRS生成部391は、公開鍵生成のためのランダムな整数w’とランダムな整数wを選択する。次に、セキュリティパラメータKを入力として、乱数w’を用いて、スムース射影ハッシュ関数をサポートする第1の公開鍵暗号方式Σ’の鍵生成アルゴリズムGen’を実行することにより、要求側公開鍵pk’を生成する(S3911)。したがって、要求側公開鍵pk’の生成処理は、以下の式のように表すことができる。
続いて、共通参照情報生成装置39のCRS生成部391は、セキュリティパラメータKを入力として、乱数wを用いて、第2の公開鍵暗号方式Σの鍵生成アルゴリズムGenを実行することにより、応答側公開鍵pkを生成する(S3912)。したがって、応答側公開鍵pkの生成処理は、以下の式のように表すことができる。
共通参照情報生成装置39のCRS配信部392は、要求側公開鍵pk’と応答側公開鍵pkを含む共通参照情報CRSを生成する。そして、生成した共通参照情報CRSを要求装置19と応答装置29へ送信する(S392)。
要求装置19は、共通参照情報生成装置39から受信した共通参照情報CRSを要求側CRS記憶部195へ記憶する(S195)。また、応答装置29は、共通参照情報生成装置39から受信した共通参照情報CRSを応答側CRS記憶部295へ記憶する(S295)。
<鍵交換処理>
図26,27を参照して、鍵交換システム9の鍵交換方法における鍵交換処理の動作例を実際に行われる手続きの順に従って詳細に説明する。図26のD1,D2はそれぞれ、図27のD1,D2に処理の流れが続くことを表している。
図26,27を参照して、鍵交換システム9の鍵交換方法における鍵交換処理の動作例を実際に行われる手続きの順に従って詳細に説明する。図26のD1,D2はそれぞれ、図27のD1,D2に処理の流れが続くことを表している。
要求装置19の要求側乱数生成部115は、暗号化のためのランダムな整数r←{0,1}*を選択する(S115)。
要求装置19の要求側第1暗号化部120は、要求側パスワード記憶部190に記憶されているパスワードpwを入力として、要求側公開鍵pk’と乱数rを用いて第1の公開鍵暗号方式Σ’の暗号化アルゴリズムEnc’を実行することにより、暗号文CT’を生成する(S120)。要求側公開鍵pk’は要求側CRS記憶部195に記憶されている共通参照情報CRSから取得する。したがって、要求側第1暗号化部120の処理は、以下の式のように表すことができる。
要求装置19の第1情報送信部125は、要求装置19を一意に識別する情報Aと暗号文CT’を連結することで第1情報t1を生成する。そして、生成した第1情報t1を応答装置29へ送信する(S125)。したがって、第1情報t1は以下の式のように表すことができる。
応答装置29の応答側ハッシュ鍵生成部220は、スムース射影ハッシュ関数のハッシュ鍵hkを生成する(S220)。ハッシュ鍵hkはスムース射影ハッシュ関数の鍵空間からランダムに選択される。
応答装置29の応答側射影鍵生成部225は、ハッシュ鍵hkと暗号文CT’と要求側公開鍵pk’を入力として、スムース射影ハッシュ関数の射影関数Fを計算することにより、射影鍵hpを生成する(S225)。要求側公開鍵pk’は応答側CRS記憶部295に記憶されている共通参照情報CRSから取得する。したがって、応答側射影鍵生成部225の処理は、以下の式のように表すことができる。
応答装置29の応答側セッション鍵生成部230は、暗号文CT’と要求側公開鍵pk’とパスワードpwを入力として、ハッシュ鍵hkを用いてスムース射影ハッシュ関数の鍵付きハッシュ関数Hを計算することにより、第1セッション鍵rBと第2セッション鍵τBと第3セッション鍵SKBを生成する(S230)。要求側公開鍵pk’は応答側CRS記憶部295に記憶されている共通参照情報CRSから取得する。したがって、応答側セッション鍵生成部230の処理は、以下の式のように表すことができる。
鍵付きハッシュ関数Hは、セキュリティパラメータKに基づいて定められるビット長の1つのハッシュ値を生成するため、あらかじめ定めたビット数で第1セッション鍵rBと第2セッション鍵τBと第3セッション鍵SKBを切り出す。例えば、セキュリティパラメータKに基づいてKビットのハッシュ値が生成されるのであれば、先頭から1ビット目からK/3ビット目までを第1セッション鍵rB、K/3+1ビット目から2K/3ビット目までを第2セッション鍵τB、2K/3+1ビット目からKビット目までを第3セッション鍵SKBとする。
応答装置29の応答側第1暗号化部235は、第1情報t1と応答装置29を一意に識別する情報Bと射影鍵hpとパスワードpwを連結したビット列を入力として、応答側公開鍵pkと第1セッション鍵rBを用いて、第2の公開鍵暗号方式の暗号化アルゴリズムEncを実行することにより、暗号文CTを生成する(S235)。応答側公開鍵pkは応答側CRS記憶部295に記憶されている共通参照情報CRSから取得する。したがって、応答側第1暗号化部235の処理は、以下の式のように表すことができる。
応答装置29の第2情報送信部240は、応答装置29を一意に識別する情報Bと射影鍵hpと暗号文CTを連結することで第2情報t2を生成する。そして、生成した第2情報t2を要求装置10へ送信する(S240)。したがって、第2情報t2は以下の式のように表すことができる。
要求装置19の要求側セッション鍵生成部135は、暗号文CT’と要求側公開鍵pk’とパスワードpwと乱数rを入力として、射影鍵hpを用いてスムース射影ハッシュ関数のハッシュ関数hを計算することにより、第1セッション鍵rAと第2セッション鍵τAと第3セッション鍵SKAを生成する(S135)。要求側公開鍵pk’は要求側CRS記憶部195に記憶されている共通参照情報CRSから取得する。したがって、要求側セッション生成部135の処理は、以下の式のように表すことができる。
ハッシュ関数hは鍵付きハッシュ関数Hと同様に、セキュリティパラメータKに基づいて定められるビット長の1つのハッシュ値を生成するため、あらかじめ定めたビット数で第1セッション鍵rAと第2セッション鍵τAと第3セッション鍵SKAを切り出す。例えば、セキュリティパラメータKに基づいてKビットのハッシュ値が生成されるのであれば、先頭から1ビット目からK/3ビット目までを第1セッション鍵rA、K/3+1ビット目から2K/3ビット目までを第2セッション鍵τA、2K/3+1ビット目からKビット目までを第3セッション鍵SKAとする。
要求装置19の要求側第2暗号化部140は、第1情報t1と応答装置29を一意に識別する情報Bと射影鍵hpとパスワードpwを連結したビット列を入力として、応答側公開鍵pkと第1セッション鍵rAを用いて、第2の公開鍵暗号方式の暗号化アルゴリズムEncを実行することにより、暗号文CT^を生成する(S140)。応答側公開鍵pkは要求側CRS記憶部195に記憶されている共通参照情報CRSから取得する。したがって、要求側第2暗号化部140の処理は、以下の式のように表すことができる。
要求装置19の暗号文検証部145は、受信した暗号文CTが暗号文CT^と等しいか否かを検証する(S145)。CT≠CT^であれば処理を停止する。CT=CT^であれば処理を続行する。
要求装置19の第3情報送信部150は、第2セッション鍵τAを含む第3情報t3を生成する。そして、生成した第3情報t3を応答装置20へ送信する(S150)。したがって、第3情報t3は以下の式のように表すことができる。
要求装置19の要求側セッション鍵出力部155は、第3セッション鍵SKAをセッション鍵SKとして出力する(S155)。
応答装置29のセッション鍵検証部245は、受信した第2セッション鍵τAが第2セッション鍵τBと等しいか否かを検証する(S245)。τA≠τBであれば処理を停止する。τA=τBであれば処理を続行する。
応答装置29の応答側セッション鍵出力部250は、第3セッション鍵SKBをセッション鍵SKとして出力する(S250)。
スムース射影ハッシュ関数の性質により、応答側セッション鍵生成部230の計算する鍵付きハッシュ関数Hと要求側セッション鍵生成部135の計算するハッシュ関数hとで、以下の関係が成り立つ。
したがって、同一のセキュリティパラメータKが与えられる限り、鍵付きハッシュ関数Hの出力する第3セッション鍵SKAとハッシュ関数hの出力する第3セッション鍵SKBは等しくなる。このように、要求装置19と応答装置29は正しくセッション鍵SKを共有することができる。
<概要>
実施例1の鍵交換システムでは、共通参照情報の替わりに鍵公開装置を導入する。鍵公開装置は、攻撃者を含む不特定多数の装置が鍵を登録することができる。鍵公開装置に登録された鍵は鍵識別子により一意に識別することができる。鍵公開装置には、登録されている鍵の正当性について保証する管理者は存在しないものとする。鍵交換を行うすべての装置はそれぞれが鍵交換処理において利用する公開鍵を事前に鍵公開装置に登録する。鍵交換処理においては、各装置はそれぞれが登録した鍵の鍵識別子を相手側装置へ送り合い、相手の鍵識別子に対応した公開鍵を共通参照情報の替わりに鍵公開装置から取得する。公開鍵は各装置が生成するため、公開鍵に対応する秘密鍵が第三者に漏れることはない。これにより暗号文を悪意ある第三者に復号され、パスワードが漏洩することを防止することができる。また、鍵公開装置には管理者は必要ないため、信頼できる第三者の存在を前提としなくとも構成することができる。
実施例1の鍵交換システムでは、共通参照情報の替わりに鍵公開装置を導入する。鍵公開装置は、攻撃者を含む不特定多数の装置が鍵を登録することができる。鍵公開装置に登録された鍵は鍵識別子により一意に識別することができる。鍵公開装置には、登録されている鍵の正当性について保証する管理者は存在しないものとする。鍵交換を行うすべての装置はそれぞれが鍵交換処理において利用する公開鍵を事前に鍵公開装置に登録する。鍵交換処理においては、各装置はそれぞれが登録した鍵の鍵識別子を相手側装置へ送り合い、相手の鍵識別子に対応した公開鍵を共通参照情報の替わりに鍵公開装置から取得する。公開鍵は各装置が生成するため、公開鍵に対応する秘密鍵が第三者に漏れることはない。これにより暗号文を悪意ある第三者に復号され、パスワードが漏洩することを防止することができる。また、鍵公開装置には管理者は必要ないため、信頼できる第三者の存在を前提としなくとも構成することができる。
<構成>
図1を参照して、この発明の実施例1に係る鍵交換システム1の構成例を詳細に説明する。この実施例の鍵交換システム1は、ネットワーク90と要求装置10と応答装置20と鍵公開装置30から構成される。要求装置10と応答装置20と鍵公開装置30はネットワーク90に接続される。ネットワーク90は要求装置10と応答装置20と鍵公開装置30がそれぞれ相互に通信可能であればよく、例えばインターネットやLAN、WANなどで構成することができる。
図1を参照して、この発明の実施例1に係る鍵交換システム1の構成例を詳細に説明する。この実施例の鍵交換システム1は、ネットワーク90と要求装置10と応答装置20と鍵公開装置30から構成される。要求装置10と応答装置20と鍵公開装置30はネットワーク90に接続される。ネットワーク90は要求装置10と応答装置20と鍵公開装置30がそれぞれ相互に通信可能であればよく、例えばインターネットやLAN、WANなどで構成することができる。
図2を参照して、鍵交換システム1を構成する要求装置10の構成例を詳細に説明する。要求装置10は、従来通り、要求側乱数生成部115と要求側第1暗号化部120と第1情報送信部125と要求側セッション鍵生成部135と要求側第2暗号化部140と暗号文検証部145と第3情報送信部150と要求側セッション鍵出力部155と要求側パスワード記憶部190を備え、さらに、要求側鍵乱数生成部100と要求側公開鍵生成部105と要求側公開鍵登録部110と応答側公開鍵取得部130と要求側鍵識別子送信部160を備える。
図3を参照して、鍵交換システム1を構成する応答装置20の構成例を詳細に説明する。応答装置20は、従来通り、応答側ハッシュ鍵生成部220と応答側射影鍵生成部225と応答側セッション鍵生成部230と応答側第1暗号化部235と第2情報送信部240とセッション鍵検証部245と応答側セッション鍵出力部250と応答側パスワード記憶部290を備え、さらに、応答側鍵乱数生成部200と応答側公開鍵生成部205と応答側公開鍵登録部210と要求側公開鍵取得部215と応答側鍵識別子送信部255を備える。
図4を参照して、鍵交換システム1を構成する鍵公開装置30の構成例を詳細に説明する。鍵公開装置30は、鍵登録部300と鍵公開部310と鍵記憶部390を備える。
<パラメータ>
従来例と同様に、スムース射影ハッシュ関数をサポートする第1の公開鍵暗号方式Σ’=(Gen’,Enc’,Dec’)と第2の公開鍵暗号方式Σ=(Gen,Enc,Dec)を用いる。
従来例と同様に、スムース射影ハッシュ関数をサポートする第1の公開鍵暗号方式Σ’=(Gen’,Enc’,Dec’)と第2の公開鍵暗号方式Σ=(Gen,Enc,Dec)を用いる。
要求装置10の備える要求側パスワード記憶部190と応答装置20の備える応答側パスワード記憶部290には、共通のパスワードpwがあらかじめ記憶されている。パスワードpwを共有する方法、および要求側パスワード記憶部190と応答側パスワード記憶部290の構成は、従来例と同様であるのでここでは説明を省略する。
<公開鍵生成処理>
図5を参照して、鍵交換システム1における公開鍵生成処理の動作例を実際に行われる手続きの順に従って詳細に説明する。
図5を参照して、鍵交換システム1における公開鍵生成処理の動作例を実際に行われる手続きの順に従って詳細に説明する。
要求装置10の要求側鍵乱数生成部100は、公開鍵生成のためのランダムな整数w’を選択する(S100)。
要求装置10の要求側公開鍵生成部105は、セキュリティパラメータKを入力として、乱数w’を用いて、スムース射影ハッシュ関数をサポートする第1の公開鍵暗号方式Σ’の鍵生成アルゴリズムGen’を実行することにより、要求側公開鍵pk’を生成する(S105)。したがって、要求側公開鍵生成部105の処理は、以下の式のように表すことができる。
要求装置10の要求側公開鍵登録部110は、要求側公開鍵pk’を鍵公開装置30へ送信する(S110)。鍵公開装置30の鍵登録部300は、受信した要求側公開鍵pk’を鍵記憶部390に記憶する。ここでは、鍵記憶部390は登録された公開鍵が登録順にインデックスされて並んでおり、要求側公開鍵pk’はα番目に登録されたものとする。続いて、鍵登録部300は、鍵記憶部390における要求側公開鍵pk’を一意に識別する情報であるαを要求側鍵識別子として出力する(S301)。要求側公開鍵登録部110は、鍵登録部300の出力する要求側鍵識別子αを受信する。
応答装置20の応答側鍵乱数生成部200は、公開鍵生成のためのランダムな整数wを選択する(S200)。
応答装置20の応答側公開鍵生成部205は、セキュリティパラメータKを入力として、乱数wを用いて、第2の公開鍵暗号方式Σの鍵生成アルゴリズムGenを実行することにより、応答側公開鍵pkを生成する(S205)。したがって、応答側公開鍵生成部205の処理は、以下の式のように表すことができる。
応答装置20の応答側公開鍵登録部210は、応答側公開鍵pkを鍵公開装置30へ送信する(S210)。鍵公開装置30の鍵登録部300は、受信した応答側公開鍵pkを鍵記憶部390に記憶する。ここでは、鍵記憶部390は登録された公開鍵が登録順にインデックスされ並んでおり、応答側公開鍵pkはβ番目に登録されたものとする。続いて、鍵登録部300は、鍵記憶部390における応答側公開鍵pkを一意に識別する情報であるβを応答側鍵識別子として出力する(S302)。応答側公開鍵登録部210は、鍵登録部300の出力する応答側鍵識別子βを受信する。
要求装置10の要求側鍵識別子送信部160は、鍵登録部300の出力した要求側鍵識別子αを応答装置20へ送信する(S160)。
応答装置20の応答側鍵識別子送信部255は、鍵登録部300の出力した応答側鍵識別子βを要求装置10へ送信する(S255)。
<鍵交換処理>
図6,7を参照して、鍵交換システム1の鍵交換方法における鍵交換処理の動作例を実際に行われる手続きの順に従って詳細に説明する。図6のA1,A2,A3はそれぞれ、図7のA1,A2,A3に処理の流れが続くことを表している。
図6,7を参照して、鍵交換システム1の鍵交換方法における鍵交換処理の動作例を実際に行われる手続きの順に従って詳細に説明する。図6のA1,A2,A3はそれぞれ、図7のA1,A2,A3に処理の流れが続くことを表している。
S115からS125の動作は従来例と同様であるのでここでは説明を省略する。
応答装置20の要求側公開鍵取得部215は、要求側鍵識別子αを鍵公開装置30へ送信する(S215)。鍵公開装置30の鍵公開部310は、受信した要求側鍵識別子αにより一意に識別される要求側公開鍵pk’を鍵記憶部390から抽出する。すなわち、鍵記憶部390にα番目に登録された公開鍵を抽出する。そして、抽出した要求側公開鍵pk’を出力する(S311)。要求側公開鍵取得部215は、鍵公開部310の出力する要求側公開鍵pk’を受信する。
S220の動作は従来例と同様であるのでここでは説明を省略する。
応答装置20の応答側射影鍵生成部225は、ハッシュ鍵hkと暗号文CT’と要求側公開鍵pk’を入力として、スムース射影ハッシュ関数の射影関数Fを計算することにより、射影鍵hpを生成する(S225)。要求側公開鍵pk’は要求側公開鍵取得部215が出力した要求側公開鍵pk’を用いる。以下、応答装置20が用いる要求側公開鍵pk’は同様に要求側公開鍵取得部215が出力したものである。したがって、応答側射影鍵生成部225の処理は、以下の式のように表すことができる。
S230からS240の動作は従来例と同様であるのでここでは説明を省略する。
要求装置10の応答側公開鍵取得部130は、応答側鍵識別子βを鍵公開装置30へ送信する(S130)。鍵公開装置30の鍵公開部310は、受信した応答側鍵識別子βにより一意に識別される応答側公開鍵pkを鍵記憶部390から抽出する。すなわち、鍵記憶部390にβ番目に登録された公開鍵を抽出する。そして、抽出した応答側公開鍵pkを出力する(S312)。応答側公開鍵取得部130は、鍵公開部310の出力する応答側公開鍵pkを受信する。
S135の動作は従来例と同様であるのでここでは説明を省略する。
要求装置10の要求側第2暗号化部140は、第1情報t1と応答装置20を一意に識別する情報Bと射影鍵hpとパスワードpwを連結したビット列を入力として、応答側公開鍵pkと第1セッション鍵rAを用いて、第2の公開鍵暗号方式の暗号化アルゴリズムEncを実行することにより、暗号文CT^を生成する(S140)。応答側公開鍵pkは応答側公開鍵取得部130が出力した応答側公開鍵pkを用いる。以下、要求装置10が用いる応答側公開鍵pkは同様に応答側公開鍵取得部130が出力したものである。したがって、要求側第2暗号化部140の処理は、以下の式のように表すことができる。
S145からS250の動作は従来例と同様であるのでここでは説明を省略する。
<効果>
このように、この実施例の鍵交換システムでは、鍵公開装置を導入することにより、信頼できる第三者により共通参照情報が生成されていることを前提としなくとも、共通のパスワードを保持する装置間で共通のセッション鍵を安全に共有することができる。
このように、この実施例の鍵交換システムでは、鍵公開装置を導入することにより、信頼できる第三者により共通参照情報が生成されていることを前提としなくとも、共通のパスワードを保持する装置間で共通のセッション鍵を安全に共有することができる。
[その他のパスワードに基づく鍵交換方式への適用]
実施例1では、非特許文献1に記載されている従来のパスワードに基づく鍵交換方式において、この発明を適用した構成例を説明したが、共通参照情報を用いることを前提とするパスワードに基づく鍵交換方式であれば、この実施例のように構成することで同様の効果を得ることができる。
実施例1では、非特許文献1に記載されている従来のパスワードに基づく鍵交換方式において、この発明を適用した構成例を説明したが、共通参照情報を用いることを前提とするパスワードに基づく鍵交換方式であれば、この実施例のように構成することで同様の効果を得ることができる。
例えば、パスワードの暗号化に複数の公開鍵を用いる鍵交換方式に対して適用する場合であれば、以下のように構成する。まず、共通参照情報を除く全ての公開パラメータを公開パラメータに含むようにする。次に、鍵公開装置30の鍵記憶部390を、最大q(K)個の公開鍵を登録できるようにする(ただし、qは多項式関数、Kはセキュリティパラメータとする)。要求装置10が用いる公開鍵集合pkAと応答装置20が用いる公開鍵集合pkBをそれぞれ事前に鍵公開装置30へ登録する。鍵記憶部390へ記憶されている公開鍵集合をLpkと表すと、pkA,pkB⊆Lpkが成り立つ。
要求装置10の要求側鍵識別子送信部160は、公開鍵集合pkAに対応する鍵識別子集合pkαを応答装置20へ送信する。応答装置20の応答側鍵識別子送信部255は、公開鍵集合pkBに対応する鍵識別子集合pkβを応答装置20へ送信する。鍵交換処理においては、要求装置10は鍵識別子集合pkβを用いて鍵公開装置30から公開鍵集合pkBを取得し、応答装置20は鍵識別子集合pkαを用いて鍵公開装置30から公開鍵集合pkAを取得する。
非特許文献1に記載のパスワードに基づく鍵交換方式以外の方式であっても、このように構成することにより、信頼できる第三者により共通参照情報が生成されていることを前提としなくとも、共通のパスワードを保持する装置間で共通のセッション鍵を安全に共有することができるようになる。
<概要>
実施例1の鍵交換システムでは、従来のパスワードに基づく鍵交換方式と比較して、鍵識別子を相互に送受信するための2交信分の通信が増加してしまう。そこで、実施例2の鍵交換システムでは、従来の鍵交換処理における交信の中で鍵識別子を送信するように構成する。これにより、事前に自装置が登録した公開鍵の鍵識別子を相手側装置へ送信する必要がなくなり、交信数の増加を回避することができる。ただし、この実施例の構成方法は鍵交換処理の中で利用する公開鍵が1つであるパスワードに基づく鍵交換方式であることが前提となる。このようなパスワードに基づく鍵交換方式としては、非特許文献1に記載の鍵交換方式を挙げることができる。以下では、非特許文献1に記載の鍵交換方式にこの実施例の構成方法を適用した場合について説明する。
実施例1の鍵交換システムでは、従来のパスワードに基づく鍵交換方式と比較して、鍵識別子を相互に送受信するための2交信分の通信が増加してしまう。そこで、実施例2の鍵交換システムでは、従来の鍵交換処理における交信の中で鍵識別子を送信するように構成する。これにより、事前に自装置が登録した公開鍵の鍵識別子を相手側装置へ送信する必要がなくなり、交信数の増加を回避することができる。ただし、この実施例の構成方法は鍵交換処理の中で利用する公開鍵が1つであるパスワードに基づく鍵交換方式であることが前提となる。このようなパスワードに基づく鍵交換方式としては、非特許文献1に記載の鍵交換方式を挙げることができる。以下では、非特許文献1に記載の鍵交換方式にこの実施例の構成方法を適用した場合について説明する。
<構成>
図8を参照して、この発明の実施例2に係る鍵交換システム2の構成例を詳細に説明する。この実施例の鍵交換システム2は、ネットワーク90と要求装置11と応答装置21と鍵公開装置30から構成される。要求装置11と応答装置21と鍵公開装置30はネットワーク90に接続される。ネットワーク90は要求装置11と応答装置21と鍵公開装置30がそれぞれ相互に通信可能であればよく、例えばインターネットやLAN、WANなどで構成することができる。
図8を参照して、この発明の実施例2に係る鍵交換システム2の構成例を詳細に説明する。この実施例の鍵交換システム2は、ネットワーク90と要求装置11と応答装置21と鍵公開装置30から構成される。要求装置11と応答装置21と鍵公開装置30はネットワーク90に接続される。ネットワーク90は要求装置11と応答装置21と鍵公開装置30がそれぞれ相互に通信可能であればよく、例えばインターネットやLAN、WANなどで構成することができる。
図9を参照して、鍵交換システム2を構成する要求装置11の構成例を詳細に説明する。要求装置11は、従来通り、要求側乱数生成部115と要求側第1暗号化部120と要求側セッション鍵生成部135と要求側第2暗号化部140と暗号文検証部145と第3情報送信部150と要求側セッション鍵出力部155と要求側パスワード記憶部190を備え、実施例1と同様に、要求側鍵乱数生成部100と要求側公開鍵生成部105と要求側公開鍵登録部110と応答側公開鍵取得部130を備え、さらに、第1情報送信部126を備える。実施例1との相違点は、要求側鍵識別子送信部160を備えず、第1情報送信部の処理が異なる点である。
図10を参照して、鍵交換システム2を構成する応答装置21の構成例を詳細に説明する。応答装置20は、従来通り、応答側ハッシュ鍵生成部220と応答側射影鍵生成部225と応答側セッション鍵生成部230と応答側第1暗号化部235とセッション鍵検証部245と応答側セッション鍵出力部250と応答側パスワード記憶部290を備え、実施例1と同様に、応答側鍵乱数生成部200と応答側公開鍵生成部205と応答側公開鍵登録部210と要求側公開鍵取得部215を備え、さらに、第2情報送信部241を備える。実施例1との相違点は、応答側鍵識別子送信部255を備えず、第2情報送信部の処理が異なる点である。
<パラメータ>
この実施例で用いるパラメータは実施例1と同様であるのでここでは説明を省略する。
この実施例で用いるパラメータは実施例1と同様であるのでここでは説明を省略する。
<公開鍵生成処理>
図11を参照して、鍵交換システム2における公開鍵生成処理の動作例を実際に行われる手続きの順に従って詳細に説明する。
図11を参照して、鍵交換システム2における公開鍵生成処理の動作例を実際に行われる手続きの順に従って詳細に説明する。
S100からS301の動作は実施例1と同様であるのでここでは説明を省略する。
実施例1では、S301に続いて、要求装置10では備えていた要求側鍵識別子送信部160が要求側鍵識別子αを応答装置20へ送信していたが、この実施例では要求側鍵識別子送信部160を備えていないため、実施例1のS160の処理は行われない。
S200からS302の動作は実施例1と同様であるのでここでは説明を省略する。
実施例1では、S302に続いて、応答装置20では備えていた応答側鍵識別子送信部255が応答側鍵識別子βを要求装置10へ送信していたが、この実施例では応答側鍵識別子送信部255を備えていないため、実施例1のS255の処理は行われない。
<鍵交換処理>
図12−13を参照して、鍵交換システム1の鍵交換方法における鍵交換処理の動作例を実際に行われる手続きの順に従って詳細に説明する。図12のB1,B2,B3はそれぞれ、図13のB1,B2,B3に処理の流れが続くことを表している。
図12−13を参照して、鍵交換システム1の鍵交換方法における鍵交換処理の動作例を実際に行われる手続きの順に従って詳細に説明する。図12のB1,B2,B3はそれぞれ、図13のB1,B2,B3に処理の流れが続くことを表している。
S115からS120の動作は実施例1と同様であるのでここでは説明を省略する。
要求装置11の第1情報送信部126は、要求装置11を一意に識別する情報Aと要求側鍵識別子αと暗号文CT’を連結することで第1情報t1を生成する。そして、生成した第1情報t1を応答装置21へ送信する(S126)。したがって、第1情報t1は以下の式のように表すことができる。
S215からS235の動作は実施例1と同様であるのでここでは説明を省略する。
応答装置21の第2情報送信部241は、応答装置21を一意に識別する情報Bと射影鍵hpと応答側鍵識別子βと暗号文CTを連結することで第2情報t2を生成する。そして、生成した第2情報t2を要求装置11へ送信する(S241)。したがって、第2情報t2は以下の式のように表すことができる。
S130からS250の動作は実施例1と同様であるのでここでは説明を省略する。
<効果>
このように、この実施例の鍵交換システムでは、鍵交換処理の交信の中で相互に鍵識別子を送信するため、事前に公開鍵の鍵識別子を相互に送信する必要がない。その結果、従来の鍵交換システムと同じ交信数のまま、実施例1の鍵交換システムと同様の効果を得ることができる。
このように、この実施例の鍵交換システムでは、鍵交換処理の交信の中で相互に鍵識別子を送信するため、事前に公開鍵の鍵識別子を相互に送信する必要がない。その結果、従来の鍵交換システムと同じ交信数のまま、実施例1の鍵交換システムと同様の効果を得ることができる。
<概要>
実施例1,2の鍵交換システムでは、共通参照情報の替わりとなる鍵公開装置を用意する必要があった。実施例3の鍵交換システムでは、鍵交換処理においてゼロ知識証明を用いることにより鍵公開装置をも不要とすることができる。鍵交換を行う装置は暗号化に用いる公開鍵を鍵交換処理の中で直接相手側装置へ送信する。しかしながら、鍵交換を行う二者の中間で攻撃者がなりすまし攻撃を行うことが考えられる。そこで、送信した公開鍵が正しく作られていることを、コンカレント安全なゼロ知識証明を用いて相手側装置へ証明し、正しいパスワードを暗号化したことを、証拠識別不可能証明を用いて相手側装置へ証明する。このように構成することにより、共通参照情報も鍵公開装置も用いずに、装置間で共通のセッション鍵を安全に共有することができる。
実施例1,2の鍵交換システムでは、共通参照情報の替わりとなる鍵公開装置を用意する必要があった。実施例3の鍵交換システムでは、鍵交換処理においてゼロ知識証明を用いることにより鍵公開装置をも不要とすることができる。鍵交換を行う装置は暗号化に用いる公開鍵を鍵交換処理の中で直接相手側装置へ送信する。しかしながら、鍵交換を行う二者の中間で攻撃者がなりすまし攻撃を行うことが考えられる。そこで、送信した公開鍵が正しく作られていることを、コンカレント安全なゼロ知識証明を用いて相手側装置へ証明し、正しいパスワードを暗号化したことを、証拠識別不可能証明を用いて相手側装置へ証明する。このように構成することにより、共通参照情報も鍵公開装置も用いずに、装置間で共通のセッション鍵を安全に共有することができる。
[証拠識別不可能証明]
この実施例では、証拠識別不可能証明を利用する。証拠識別不可能証明とは、以下の性質を満たす証明システムである。証明者は証明する命題xとその証拠wに対応する証明πを、検証者とやり取りしながら証明する。もしwがxの正しい証拠ならば、πは圧倒的確率で検証に合格する。逆に証拠を知らないx’について、検証に合格するようなπ’を証明者が生成できる確率は無視できる。xに対応する証拠が複数ある場合、検証者はπがどちらの証拠から作られたか見分けることはできない。証拠識別不可能証明についての詳細は「Rafail Ostrovsky and Giuseppe Persiano and Ivan Visconti, “Constant-Round Concurrent Non-malleable Zero Knowledge in the Bare Public-Key Model.”, ICALP (2) 2008.」を参照されたい。
この実施例では、証拠識別不可能証明を利用する。証拠識別不可能証明とは、以下の性質を満たす証明システムである。証明者は証明する命題xとその証拠wに対応する証明πを、検証者とやり取りしながら証明する。もしwがxの正しい証拠ならば、πは圧倒的確率で検証に合格する。逆に証拠を知らないx’について、検証に合格するようなπ’を証明者が生成できる確率は無視できる。xに対応する証拠が複数ある場合、検証者はπがどちらの証拠から作られたか見分けることはできない。証拠識別不可能証明についての詳細は「Rafail Ostrovsky and Giuseppe Persiano and Ivan Visconti, “Constant-Round Concurrent Non-malleable Zero Knowledge in the Bare Public-Key Model.”, ICALP (2) 2008.」を参照されたい。
[コンカレント安全なゼロ知識証明]
この実施例では、コンカレント安全なゼロ知識証明を利用する。ゼロ知識証明においてある命題xを証明する際に、証明を行う複数のプロトコルが非同期同時実行されても検証者にxの証拠wの情報が全く漏れないような方式を、コンカレント安全なゼロ知識証明と呼ぶ。コンカレント安全なゼロ知識証明についての詳細は「Manoj Prabhakaran and Alon Rosen and Amit Sahai., “Concurrent Zero Knowledge with Logarithmic Round-Complexity.”, FOCS 2002.」を参照されたい。
この実施例では、コンカレント安全なゼロ知識証明を利用する。ゼロ知識証明においてある命題xを証明する際に、証明を行う複数のプロトコルが非同期同時実行されても検証者にxの証拠wの情報が全く漏れないような方式を、コンカレント安全なゼロ知識証明と呼ぶ。コンカレント安全なゼロ知識証明についての詳細は「Manoj Prabhakaran and Alon Rosen and Amit Sahai., “Concurrent Zero Knowledge with Logarithmic Round-Complexity.”, FOCS 2002.」を参照されたい。
<構成>
図14を参照して、この発明の実施例3に係る鍵交換システム3の構成例を詳細に説明する。この実施例の鍵交換システム3は、ネットワーク90と要求装置12と応答装置22から構成される。要求装置12と応答装置22はネットワーク90に接続される。ネットワーク90は要求装置12と応答装置22が相互に通信可能であればよく、例えばインターネットやLAN、WANなどで構成することができる。
図14を参照して、この発明の実施例3に係る鍵交換システム3の構成例を詳細に説明する。この実施例の鍵交換システム3は、ネットワーク90と要求装置12と応答装置22から構成される。要求装置12と応答装置22はネットワーク90に接続される。ネットワーク90は要求装置12と応答装置22が相互に通信可能であればよく、例えばインターネットやLAN、WANなどで構成することができる。
図15を参照して、鍵交換システム3を構成する要求装置12の構成例を詳細に説明する。要求装置12は、従来通り、要求側乱数生成部115と要求側第1暗号化部120と要求側セッション鍵出力部155と要求側パスワード記憶部190を備え、さらに、第1鍵乱数生成部101と第1公開鍵生成部106と第1情報送信部127と要求側セッション鍵生成部136と要求側第2暗号化部141と第3情報送信部151と第2鍵乱数生成部500と第2公開鍵生成部505と要求側公開鍵証明部510と要求側ハッシュ値生成部515と要求側ハッシュ値検証部520と要求側ハッシュ鍵生成部525と要求側射影鍵生成部530と要求側暗号文証明部535とセッション鍵検証部540を備える。
図16を参照して、鍵交換システム3を構成する応答装置22の構成例を詳細に説明する。応答装置20は、従来通り、応答側ハッシュ鍵生成部220と応答側射影鍵生成部225と応答側セッション鍵出力部250と応答側パスワード記憶部290を備え、実施例1と同様に、応答側鍵乱数生成部200と応答側公開鍵生成部205を備え、さらに、第2情報送信部242と応答側セッション鍵生成部231と応答側第1暗号化部236と応答側ハッシュ値計算部600と応答側乱数生成部605と応答側第2暗号化部610と応答側暗号文証明部615と応答側公開鍵証明部620と応答側ハッシュ値検証部625と暗号文検証部630と第4情報送信部635を備える。
<パラメータ>
第1の公開鍵暗号方式Σ1=(Gen1,Enc1,Dec1)と第2の公開鍵暗号方式Σ2=(Gen2,Enc2,Dec2)と第3の公開鍵暗号方式Σ’=(Gen’,Enc’,Dec’)を用いる。ただし、第1の公開鍵暗号方式Σ1と第3の公開鍵暗号方式Σ’はスムース射影ハッシュ関数をサポートする。第1の公開鍵暗号方式Σ1として、例えば、ElGamal暗号を適用できる。第3の公開鍵暗号方式Σ’として、例えば、Cramer-Shoup暗号を適用することができる(いずれも詳細は、参考文献1参照)。
第1の公開鍵暗号方式Σ1=(Gen1,Enc1,Dec1)と第2の公開鍵暗号方式Σ2=(Gen2,Enc2,Dec2)と第3の公開鍵暗号方式Σ’=(Gen’,Enc’,Dec’)を用いる。ただし、第1の公開鍵暗号方式Σ1と第3の公開鍵暗号方式Σ’はスムース射影ハッシュ関数をサポートする。第1の公開鍵暗号方式Σ1として、例えば、ElGamal暗号を適用できる。第3の公開鍵暗号方式Σ’として、例えば、Cramer-Shoup暗号を適用することができる(いずれも詳細は、参考文献1参照)。
要求装置12の備える要求側パスワード記憶部190と応答装置22の備える応答側パスワード記憶部290には、共通のパスワードpwがあらかじめ記憶されている。パスワードpwを共有する方法、および要求側パスワード記憶部190と応答側パスワード記憶部290の構成は、実施例1と同様であるのでここでは説明を省略する。
cZKを、
を命題とし、(w1,w2)を証拠とするコンカレント安全なゼロ知識証明とする。
cZK’を、
を命題とし、w’を証拠とするコンカレント安全なゼロ知識証明とする。
NMWIを、
を命題とし、(pw,r,hk)またはw’を証拠とする証拠識別不可能証明とする。ただし、labelはゼロ知識証明が行われているセッションを特定するための情報であり、セッション開始以降に二者間でやり取りした情報を連結した値などが用いられる。
NMWI’を、
を命題とし、(pw,r’,hk’)または(w1,w2)を証拠とする証拠識別不可能証明とする。
<公開鍵生成処理>
図17を参照して、鍵交換システム3における公開鍵生成処理の動作例を実際に行われる手続きの順に従って詳細に説明する。
図17を参照して、鍵交換システム3における公開鍵生成処理の動作例を実際に行われる手続きの順に従って詳細に説明する。
要求装置12の第1鍵乱数生成部101は、公開鍵生成のためのランダムな整数w1を選択する(S101)。
要求装置12の第1公開鍵生成部106は、セキュリティパラメータKを入力として、乱数w1を用いて、スムース射影ハッシュ関数をサポートする第1の公開鍵暗号方式Σ1の鍵生成アルゴリズムGen1を実行することにより、第1公開鍵pk1を生成する(S106)。したがって、第1公開鍵生成部106の処理は、以下の式のように表すことができる。
要求装置12の第2鍵乱数生成部500は、公開鍵生成のためのランダムな整数w2を選択する(S500)。
要求装置12の第2公開鍵生成部505は、セキュリティパラメータKを入力として、乱数w2を用いて、第2の公開鍵暗号方式Σ2の鍵生成アルゴリズムGen2を実行することにより、第2公開鍵pk2を生成する(S505)。したがって、第2公開鍵生成部505の処理は、以下の式のように表すことができる。
応答装置22の応答側鍵乱数生成部200は、公開鍵生成のためのランダムな整数w’を選択する(S200)。
応答装置22の応答側公開鍵生成部205は、セキュリティパラメータKを入力として、乱数w’を用いて、スムース射影ハッシュ関数をサポートする第3の公開鍵暗号方式Σ’の鍵生成アルゴリズムGen’を実行することにより、応答側公開鍵pk’を生成する(S205)。したがって、応答側公開鍵生成部205の処理は、以下の式のように表すことができる。
<鍵交換処理>
図18−20を参照して、鍵交換システム3の鍵交換方法における鍵交換処理の動作例を実際に行われる手続きの順に従って詳細に説明する。図18のC1,C2はそれぞれ、図19のC1,C2に処理の流れが続くことを表している。同様に、図19のC3,C4はそれぞれ、図20のC3,C4に処理の流れが続くことを表している。
図18−20を参照して、鍵交換システム3の鍵交換方法における鍵交換処理の動作例を実際に行われる手続きの順に従って詳細に説明する。図18のC1,C2はそれぞれ、図19のC1,C2に処理の流れが続くことを表している。同様に、図19のC3,C4はそれぞれ、図20のC3,C4に処理の流れが続くことを表している。
要求装置12の要求側乱数生成部115は、暗号化のためのランダムな整数r←{0,1}*を選択する(S115)。
要求装置12の要求側第1暗号化部120は、要求側パスワード記憶部190に記憶されているパスワードpwを入力として、第1公開鍵pk1と乱数rを用いて第1の公開鍵暗号方式Σ1の暗号化アルゴリズムEnc1を実行することにより、暗号文CT1を生成する(S120)。したがって、要求側第1暗号化部120の処理は、以下の式のように表すことができる。
要求装置12の第1情報送信部127は、要求装置12を一意に識別する情報Aと第1公開鍵pk1と第2公開鍵pk2と暗号文CT1を連結することで第1情報t1を生成する。そして、生成した第1情報t1を応答装置22へ送信する(S127)。したがって、第1情報t1は以下の式のように表すことができる。
要求装置12の要求側公開鍵証明部510は、第1公開鍵pk1と第2公開鍵pk2が正しく生成されたことを、コンカレント安全なゼロ知識証明cZKを用いて応答装置22に対して証明する。応答装置22は、ゼロ知識証明cZKが正しくなければ処理を停止する(S510B)。
応答装置22の応答側ハッシュ鍵生成部220は、スムース射影ハッシュ関数のハッシュ鍵hk’を生成する(S220)。ハッシュ鍵hk’はスムース射影ハッシュ関数の鍵空間からランダムに選択される。
応答装置22の応答側射影鍵生成部225は、ハッシュ鍵hk’と暗号文CT1と第1公開鍵pk1を入力として、スムース射影ハッシュ関数の射影関数F’を計算することにより、射影鍵hp’を生成する(S225)。第1公開鍵pk1は要求装置12から受信した第1情報t1に含まれる第1公開鍵pk1を用いる。以下、応答装置22が用いる第1公開鍵pk1は同様に第1情報t1に含まれるものである。したがって、応答側射影鍵生成部225の処理は、以下の式のように表すことができる。
応答装置22の応答側ハッシュ値計算部600は、暗号文CT1と第1公開鍵pk1とパスワードpwを入力として、ハッシュ鍵hk’を用いてスムース射影ハッシュ関数の鍵付きハッシュ関数H’を計算することにより、ハッシュ値δ’を生成する(S600)。したがって、応答側ハッシュ値計算部600の処理は、以下の式のように表すことができる。
応答装置22の応答側乱数生成部605は、暗号化のためのランダムな整数r’←{0,1}*を選択する(S605)。
応答装置22の応答側第2暗号化部610は、応答側パスワード記憶部290に記憶されているパスワードpwを入力として、応答側公開鍵pk’と乱数r’を用いて第3の公開鍵暗号方式の暗号化アルゴリズムEnc’を実行することにより、暗号文CT’を生成する(S610)。したがって、応答側第2暗号化部610の処理は、以下の式のように表すことができる。
応答装置22の第2情報送信部242は、応答装置22を一意に識別する情報Bと射影鍵hp’と応答側公開鍵pk’と暗号文CT’とハッシュ値δ’を連結することで第2情報t2を生成する。そして、生成した第2情報t2を要求装置12へ送信する(S242)。したがって、第2情報t2は以下の式のように表すことができる。
応答装置22の応答側暗号文証明部615は、暗号文CT’とハッシュ値δ’が正しく生成されたことを、証拠識別不可能証明NMWI’を用いて要求装置12に対して証明する(S615)。要求装置12は、証拠識別不可能証明NMWI’が正しくなければ処理を停止する(S615B)。
応答装置22の応答側公開鍵証明部620は、応答側公開鍵pk’が正しく生成されたことを、コンカレント安全なゼロ知識証明cZK’を用いて要求装置12に対して証明する(S620)。要求装置12は、ゼロ知識証明cZK’が正しくなければ処理を停止する(S620B)。
要求装置12の要求側ハッシュ値計算部515は、暗号文CT1と第1公開鍵pk1とパスワードpwと乱数rを入力として、射影鍵hp’を用いてスムース射影ハッシュ関数のハッシュ関数h’を計算することにより、ハッシュ値δを生成する(S515)。したがって、要求側ハッシュ値計算部515の処理は、以下の式のように表すことができる。
要求装置12の要求側ハッシュ値検証部520は、受信したハッシュ値δ’がハッシュ値δと等しいか否かを検証する(S520)。δ’≠δであれば処理を停止する。δ’=δであれば処理を続行する。
要求装置12の要求側ハッシュ鍵生成部525は、スムース射影ハッシュ関数のハッシュ鍵hkを生成する(S525)。ハッシュ鍵hkはスムース射影ハッシュ関数の鍵空間からランダムに選択される。
要求装置12の要求側射影鍵生成部530は、ハッシュ鍵hkと暗号文CT’と応答側公開鍵pk’を入力として、スムース射影ハッシュ関数の射影関数Fを計算することにより、射影鍵hpを生成する(S530)。応答側公開鍵pk’は応答装置22から受信した第2情報t2に含まれる応答側公開鍵pk’を用いる。以下、要求装置12が用いる応答側公開鍵pk’は同様に第2情報t2に含まれるものである。したがって、要求側射影鍵生成部530の処理は、以下の式のように表すことができる。
要求装置12の要求側セッション鍵生成部135は、暗号文CT’と応答側公開鍵pk’とパスワードpwを入力として、ハッシュ鍵hkを用いてスムース射影ハッシュ関数の鍵付きハッシュ関数Hを計算することにより、第1セッション鍵rAと第2セッション鍵τAと第3セッション鍵SKAを生成する(S135)。したがって、要求側セッション鍵生成部135の処理は、以下の式のように表すことができる。
要求装置12の要求側第2暗号化部140は、第1情報t1と第2情報t2と射影鍵hpとパスワードpwを連結したビット列を入力として、第2公開鍵pk2と第1セッション鍵rAを用いて、第2の公開鍵暗号方式の暗号化アルゴリズムEnc2を実行することにより、暗号文CT2を生成する(S140)。したがって、要求側第2暗号化部140の処理は、以下の式のように表すことができる。
要求装置12の第3情報送信部151は、要求装置12を一意に識別する情報Aと射影鍵hpと暗号文CT2とハッシュ値δを連結することで第3情報t3を生成する。そして、生成した第3情報t3を応答装置22へ送信する(S151)。したがって、第3情報t3は以下の式のように表すことができる。
要求装置12の要求側暗号文証明部535は、第1セッション鍵rAと暗号文CT2とハッシュ値δが正しく生成されたことを、証拠識別不可能証明NMWIを用いて応答装置22に対して証明する(S535)。応答装置22は、証拠識別不可能証明NMWIが正しくなければ処理を停止する(S535B)。
応答装置22の応答側ハッシュ値検証部625は、受信したハッシュ値δがハッシュ値δ’と等しいか否かを検証する(S625)。δ≠δ’であれば処理を停止する。δ=δ’であれば処理を続行する。
応答装置22の応答側セッション鍵生成部230は、暗号文CT’と応答側公開鍵pk’とパスワードpwと乱数r’を入力として、射影鍵hpを用いてスムース射影ハッシュ関数のハッシュ関数hを計算することにより、第1セッション鍵rBと第2セッション鍵τBと第3セッション鍵SKBを生成する(S230)。したがって、応答側セッション鍵生成部230の処理は、以下の式のように表すことができる。
応答装置22の応答側第1暗号化部235は、第1情報t1と第2情報t2と射影鍵hpとパスワードpwを連結したビット列を入力として、第2公開鍵pk2と第1セッション鍵rBを用いて、第2の公開鍵暗号方式の暗号化アルゴリズムEnc2を実行することにより、暗号文CT^2を生成する(S235)。第2公開鍵pk2は要求装置12から受信した第1情報t1に含まれる第2公開鍵pk2を用いる。以下、応答装置22が用いる第2公開鍵pk2は同様に第1情報t1に含まれるものである。したがって、応答側第1暗号化部235の処理は、以下の式のように表すことができる。
応答装置22の暗号文検証部630は、受信した暗号文CT2が暗号文CT^2と等しいか否かを検証する(S630)。CT2≠CT^2であれば処理を停止する。CT2=CT^2であれば処理を続行する。
応答装置22の第4情報送信部635は、第2セッション鍵τBを含む第4情報tBを生成する。そして、生成した第4情報t4を要求装置22へ送信する(S635)。
したがって、第4情報t4は以下の式のように表すことができる。
したがって、第4情報t4は以下の式のように表すことができる。
応答装置22の応答側セッション鍵出力部250は、第3セッション鍵SKBをセッション鍵SKとして出力する(S250)。
要求装置12のセッション鍵検証部540は、受信した第2セッション鍵τBが第2セッション鍵τAと等しいか否かを検証する(S540)。τB≠τAであれば処理を停止する。τB=τAであれば処理を続行する。
要求装置12の要求側セッション鍵出力部155は、第3セッション鍵SKAをセッション鍵SKとして出力する(S155)。
<効果>
このように、この実施例の鍵交換システムでは、パスワードの暗号化に用いた公開鍵を暗号文と共に相手側装置へ送信するため、共通参照情報も鍵公開装置も必要としない。また、公開鍵および暗号文を正しく生成したことを、コンカレント安全なゼロ知識証明と証拠識別不可能証明を用いて相手側装置へ証明するため、安全性を保証することができる。ただし、この実施例の構成ではコンカレント安全なゼロ知識証明と証拠識別不可能証明を用いるため、交信量が増大することに留意する必要がある。
このように、この実施例の鍵交換システムでは、パスワードの暗号化に用いた公開鍵を暗号文と共に相手側装置へ送信するため、共通参照情報も鍵公開装置も必要としない。また、公開鍵および暗号文を正しく生成したことを、コンカレント安全なゼロ知識証明と証拠識別不可能証明を用いて相手側装置へ証明するため、安全性を保証することができる。ただし、この実施例の構成ではコンカレント安全なゼロ知識証明と証拠識別不可能証明を用いるため、交信量が増大することに留意する必要がある。
[プログラム、記録媒体]
この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施例において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施例において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
また、上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
1,2,3,9 鍵交換システム
10,11,12,19 要求装置
20,21,22,29 応答装置
30 鍵公開装置
39 共通参照情報生成装置
90 ネットワーク
100 要求側鍵乱数生成部 101 第1鍵乱数生成部
105 要求側公開鍵生成部 106 第1公開鍵生成部
110 要求側公開鍵登録部 115 要求側乱数生成部
120 要求側第1暗号化部 125−127 第1情報送信部
130 応答側公開鍵取得部 135,136 要求側セッション鍵生成部
140,141 要求側第2暗号化部 145 暗号文検証部
150,151 第3情報送信部 155 要求側セッション鍵出力部
160 要求側鍵識別子送信部 190 要求側パスワード記憶部
200 応答側鍵乱数生成部 205 応答側公開鍵生成部
210 応答側公開鍵登録部 215 要求側公開鍵取得部
220 応答側ハッシュ鍵生成部 225 応答側射影鍵生成部
230,231 応答側セッション鍵生成部 235,236 応答側第1暗号化部
240,241,242 第2情報送信部 245 セッション鍵検証部
250 応答側セッション鍵出力部 255 応答側鍵識別子送信部
290 応答側パスワード記憶部
300 鍵登録部 310 鍵公開部
390 鍵記憶部
391 CRS生成部 392 CRS配信部
500 第2鍵乱数生成部 505 第2公開鍵生成部
510 要求側公開鍵証明部 515 要求側ハッシュ値計算部
520 要求側ハッシュ値検証部 525 要求側ハッシュ鍵生成部
530 要求側射影鍵生成部 535 要求側暗号文証明部
540 セッション鍵検証部
600 応答側ハッシュ値計算部 605 応答側乱数生成部
610 応答側第2暗号化部 615 応答側暗号文証明部
620 応答側公開鍵証明部 625 応答側ハッシュ値検証部
630 暗号文検証部 635 第4情報送信部
10,11,12,19 要求装置
20,21,22,29 応答装置
30 鍵公開装置
39 共通参照情報生成装置
90 ネットワーク
100 要求側鍵乱数生成部 101 第1鍵乱数生成部
105 要求側公開鍵生成部 106 第1公開鍵生成部
110 要求側公開鍵登録部 115 要求側乱数生成部
120 要求側第1暗号化部 125−127 第1情報送信部
130 応答側公開鍵取得部 135,136 要求側セッション鍵生成部
140,141 要求側第2暗号化部 145 暗号文検証部
150,151 第3情報送信部 155 要求側セッション鍵出力部
160 要求側鍵識別子送信部 190 要求側パスワード記憶部
200 応答側鍵乱数生成部 205 応答側公開鍵生成部
210 応答側公開鍵登録部 215 要求側公開鍵取得部
220 応答側ハッシュ鍵生成部 225 応答側射影鍵生成部
230,231 応答側セッション鍵生成部 235,236 応答側第1暗号化部
240,241,242 第2情報送信部 245 セッション鍵検証部
250 応答側セッション鍵出力部 255 応答側鍵識別子送信部
290 応答側パスワード記憶部
300 鍵登録部 310 鍵公開部
390 鍵記憶部
391 CRS生成部 392 CRS配信部
500 第2鍵乱数生成部 505 第2公開鍵生成部
510 要求側公開鍵証明部 515 要求側ハッシュ値計算部
520 要求側ハッシュ値検証部 525 要求側ハッシュ鍵生成部
530 要求側射影鍵生成部 535 要求側暗号文証明部
540 セッション鍵検証部
600 応答側ハッシュ値計算部 605 応答側乱数生成部
610 応答側第2暗号化部 615 応答側暗号文証明部
620 応答側公開鍵証明部 625 応答側ハッシュ値検証部
630 暗号文検証部 635 第4情報送信部
Claims (10)
- 要求装置と応答装置と鍵公開装置とからなり、あらかじめパスワードpwを共有する要求装置と応答装置との間でセッション鍵SKを共有する鍵交換システムであって、
前記鍵公開装置は、
前記要求装置の公開鍵である要求側公開鍵pk’と前記応答装置の公開鍵である応答側公開鍵pkを記憶する鍵記憶部と、
受信した公開鍵を前記鍵記憶部に記憶し、前記鍵記憶部における当該公開鍵を一意に識別する情報である鍵識別子を出力する鍵登録部と、
受信した前記鍵識別子に基づいて前記鍵記憶部から前記公開鍵を抽出する鍵公開部と、
を備え、
前記要求装置は、
ランダムな整数w’を選択する要求側鍵乱数生成部と、
前記乱数w’を用いて、スムース射影ハッシュ関数をサポートする第1の公開鍵暗号方式の鍵生成アルゴリズムGen’を実行することにより、前記要求側公開鍵pk’を生成する要求側公開鍵生成部と、
前記要求側公開鍵pk’を前記鍵公開装置へ送信し、前記鍵公開装置の出力する鍵識別子を要求側鍵識別子αとして受信する要求側公開鍵登録部と、
ランダムな整数rを選択する要求側乱数生成部と、
前記パスワードpwを入力として、前記要求側公開鍵pk’と前記乱数rを用いて前記第1の公開鍵暗号方式の暗号化アルゴリズムEnc’を実行することにより、暗号文CT’を生成する要求側第1暗号化部と、
少なくとも前記暗号文CT’と前記要求側鍵識別子αを含む第1情報t1を前記応答装置へ送信する第1情報送信部と、
前記応答装置から受信した応答側鍵識別子βを前記鍵公開装置へ送信し、前記鍵公開装置の出力する公開鍵を前記応答側公開鍵pkとして受信する応答側公開鍵取得部と、
前記暗号文CT’と前記要求側公開鍵pk’と前記パスワードpwと前記乱数rを入力として、前記応答装置から受信した射影鍵hpを用いて前記スムース射影ハッシュ関数のハッシュ関数hを計算することにより、第1セッション鍵rAと第2セッション鍵τAと第3セッション鍵SKAを生成する要求側セッション鍵生成部と、
少なくとも前記パスワードpwを入力として、前記応答側公開鍵pkと前記第1セッション鍵rAを用いて第2の公開鍵暗号方式の暗号化アルゴリズムEncを実行することにより、暗号文CT^を生成する要求側第2暗号化部と、
前記応答装置から受信した暗号文CTが前記暗号文CT^と等しいか否かを検証する暗号文検証部と、
少なくとも前記第2セッション鍵τAを含む第3情報t3を前記応答装置へ送信する第3情報送信部と、
前記第3セッション鍵SKAを前記セッション鍵SKとして出力する要求側セッション鍵出力部と、
を備え、
前記応答装置は、
ランダムな整数wを選択する応答側鍵乱数生成部と、
前記乱数wを用いて、前記第2の公開鍵暗号方式の鍵生成アルゴリズムGenを実行することにより、前記応答側公開鍵pkを生成する応答側公開鍵生成部と、
前記応答側公開鍵pkを前記鍵公開装置へ送信し、前記鍵公開装置の出力する鍵識別子を前記応答側鍵識別子βとして受信する応答側公開鍵登録部と、
前記要求装置から受信した前記要求側鍵識別子αを前記鍵公開装置へ送信し、前記鍵公開装置の出力する公開鍵を前記要求側公開鍵pk’として受信する要求側公開鍵取得部と、
前記スムース射影ハッシュ関数のハッシュ鍵hkを生成する応答側ハッシュ鍵生成部と、
前記ハッシュ鍵hkと前記要求装置から受信した前記暗号文CT’と前記要求側公開鍵pk’を入力として、前記スムース射影ハッシュ関数の射影関数Fを計算することにより、前記射影鍵hpを生成する応答側射影鍵生成部と、
前記暗号文CT’と前記要求側公開鍵pk’と前記パスワードpwを入力として、前記ハッシュ鍵hkを用いて前記スムース射影ハッシュ関数の鍵付きハッシュ関数Hを計算することにより、第1セッション鍵rBと第2セッション鍵τBと第3セッション鍵SKBを生成する応答側セッション鍵生成部と、
少なくとも前記パスワードpwを入力として、前記応答側公開鍵pkと前記第1セッション鍵rBを用いて前記第2の公開鍵暗号方式の暗号化アルゴリズムEncを実行することにより、前記暗号文CTを生成する応答側第1暗号化部と、
少なくとも前記射影鍵hpと前記暗号文CTと前記応答側鍵識別子βを含む第2情報t2を前記要求装置へ送信する第2情報送信部と、
前記要求装置から受信した第2セッション鍵τAが前記第2セッション鍵τBと等しいか否かを検証するセッション鍵検証部と、
前記第3セッション鍵SKBを前記セッション鍵SKとして出力する応答側セッション鍵出力部と、
を備える
ことを特徴とする鍵交換システム。 - 請求項1に記載の鍵交換システムであって、
前記要求装置は、
前記要求側鍵識別子αを前記応答装置へ送信する要求側鍵識別子送信部と、
をさらに備え、
前記応答装置は、
前記応答側鍵識別子βを前記要求装置へ送信する応答側鍵識別子送信部と、
をさらに備え、
前記第1情報送信部は、
少なくとも前記暗号文CT’を含む第1情報t1を前記応答装置へ送信し、
前記第2情報送信部は、
少なくとも前記射影鍵hpと前記暗号文CTを含む第2情報t2を前記要求装置へ送信する
ことを特徴とする鍵交換システム。 - 要求装置と応答装置とからなり、あらかじめパスワードpwを共有する要求装置と応答装置との間でセッション鍵SKを共有する鍵交換システムであって、
前記要求装置は、
ランダムな整数w1を選択する第1鍵乱数生成部と、
前記乱数w1を用いて、スムース射影ハッシュ関数をサポートする第1の公開鍵暗号方式の鍵生成アルゴリズムGen1を実行することにより、第1公開鍵pk1を生成する第1公開鍵生成部と、
ランダムな整数w2を選択する第2鍵乱数生成部と、
前記乱数w2を用いて、第2の公開鍵暗号方式の鍵生成アルゴリズムGen2を実行することにより、第2公開鍵pk2を生成する第2公開鍵生成部と、
ランダムな整数rを選択する要求側乱数生成部と、
前記パスワードpwを入力として、前記第1公開鍵pk1と前記乱数rを用いて前記第1の公開鍵暗号方式の暗号化アルゴリズムEnc1を実行することにより、暗号文CT1を生成する要求側第1暗号化部と、
少なくとも前記暗号文CT1と前記第1公開鍵pk1と前記第2公開鍵pk2を含む第1情報t1を前記応答装置へ送信する第1情報送信部と、
前記第1公開鍵pk1と前記第2公開鍵pk2が正しく生成されたことを、コンカレント安全なゼロ知識証明cZKを用いて前記応答装置に対して証明する要求側公開鍵証明部と、
前記暗号文CT1と前記第1公開鍵pk1と前記パスワードpwと前記乱数rを入力として、前記応答装置から受信した射影鍵hp’を用いて前記スムース射影ハッシュ関数のハッシュ関数h’を計算することにより、ハッシュ値δを生成する要求側ハッシュ値計算部と、
前記応答装置から受信したハッシュ値δ’が前記ハッシュ値δと等しいか否かを検証する要求側ハッシュ値検証部と、
前記スムース射影ハッシュ関数のハッシュ鍵hkを生成する要求側ハッシュ鍵生成部と、
前記ハッシュ鍵hkと前記応答装置から受信した暗号文CT’と前記応答装置から受信した応答側公開鍵pk’を入力として、前記スムース射影ハッシュ関数の射影関数Fを計算することにより、射影鍵hpを生成する要求側射影鍵生成部と、
前記暗号文CT’と前記応答側公開鍵pk’と前記パスワードpwを入力として、前記ハッシュ鍵hkを用いて前記スムース射影ハッシュ関数の鍵付きハッシュ関数Hを計算することにより、第1セッション鍵rAと第2セッション鍵τAと第3セッション鍵SKAを生成する要求側セッション鍵生成部と、
少なくとも前記パスワードpwを入力として、前記第2公開鍵pk2と前記第1セッション鍵rAを用いて前記第2の公開鍵暗号方式の暗号化アルゴリズムEnc2を実行することにより、暗号文CT2を生成する要求側第2暗号化部と、
少なくとも前記射影鍵hpと前記暗号文CT2と前記ハッシュ値δを含む第3情報t3を前記応答装置へ送信する第3情報送信部と、
前記第1セッション鍵rAと前記暗号文CT2と前記ハッシュ値δが正しく生成されたことを、証拠識別不可能証明NMWIを用いて前記応答装置に対して証明する要求側暗号文証明部と、
前記応答装置から受信した第2セッション鍵τBが前記第2セッション鍵τAと等しいか否かを検証するセッション鍵検証部と、
前記第3セッション鍵SKAを前記セッション鍵SKとして出力する要求側セッション鍵出力部と、
を備え、
前記応答装置は、
ランダムな整数w’を選択する応答側鍵乱数生成部と、
前記乱数w’を用いて、前記スムース射影ハッシュ関数をサポートする第3の公開鍵暗号方式の鍵生成アルゴリズムGen’を実行することにより、前記応答側公開鍵pk’を生成する応答側公開鍵生成部と、
前記スムース射影ハッシュ関数のハッシュ鍵hk’を生成する応答側ハッシュ鍵生成部と、
前記ハッシュ鍵hk’と前記要求装置から受信した前記暗号文CT1と前記要求装置から受信した前記第1公開鍵pk1を入力として、前記スムース射影ハッシュ関数の射影関数F’を計算することにより、前記射影鍵hp’を生成する応答側射影鍵生成部と、
前記暗号文CT1と前記第1公開鍵pk1と前記パスワードpwを入力として、前記ハッシュ鍵hk’を用いて前記スムース射影ハッシュ関数の鍵付きハッシュ関数H’を計算することにより、前記ハッシュ値δ’を生成する応答側ハッシュ値計算部と、
ランダムな整数r’を選択する応答側乱数生成部と、
前記パスワードpwを入力として、前記応答側公開鍵pk’と前記乱数r’を用いて前記第3の公開鍵暗号方式の暗号化アルゴリズムEnc’を実行することにより、前記暗号文CT’を生成する応答側第2暗号化部と、
少なくとも前記射影鍵hp’と前記応答側公開鍵pk’と前記暗号文CT’と前記ハッシュ値δ’を含む第2情報t2を前記応答装置へ送信する第2情報送信部と、
前記暗号文CT’と前記ハッシュ値δ’が正しく生成されたことを、証拠識別不可能証明NMWI’を用いて前記要求装置に対して証明する応答側暗号文証明部と、
前記応答側公開鍵pk’が正しく生成されたことを、コンカレント安全なゼロ知識証明cZK’を用いて前記要求装置に対して証明する応答側公開鍵証明部と、
前記要求装置から受信した前記ハッシュ値δが前記ハッシュ値δ’と等しいか否かを検証する応答側ハッシュ値検証部と、
前記暗号文CT’と前記応答側公開鍵pk’と前記パスワードpwと前記乱数r’を入力として、前記要求装置から受信した前記射影鍵hpを用いて前記スムース射影ハッシュ関数のハッシュ関数hを計算することにより、第1セッション鍵rBと前記第2セッション鍵τBと第3セッション鍵SKBを生成する応答側セッション鍵生成部と、
少なくとも前記パスワードpwを入力として、前記第2公開鍵pk2と前記第1セッション鍵rBを用いて前記第2の公開鍵暗号方式の暗号化アルゴリズムEnc2を実行することにより、暗号文CT^2を生成する応答側第1暗号化部と、
前記要求装置から受信した前記暗号文CT2が前記暗号文CT^2と等しいか否かを検証する暗号文検証部と、
少なくとも前記第2セッション鍵τBを含む第4情報t4を前記要求装置へ送信する第4情報送信部と、
前記第3セッション鍵SKBを前記セッション鍵SKとして出力する応答側セッション鍵出力部と、
を備える
ことを特徴とする鍵交換システム。 - あらかじめパスワードpwを共有する応答装置との間でセッション鍵SKを共有する要求装置であって、
ランダムな整数w’を選択する要求側鍵乱数生成部と、
前記乱数w’を用いて、スムース射影ハッシュ関数をサポートする第1の公開鍵暗号方式の鍵生成アルゴリズムGen’を実行することにより、要求側公開鍵pk’を生成する要求側公開鍵生成部と、
前記要求側公開鍵pk’を鍵公開装置へ送信し、前記鍵公開装置の出力する鍵識別子を要求側鍵識別子αとして受信する要求側公開鍵登録部と、
ランダムな整数rを選択する要求側乱数生成部と、
前記パスワードpwを入力として、前記要求側公開鍵pk’と前記乱数rを用いて前記第1の公開鍵暗号方式の暗号化アルゴリズムEnc’を実行することにより、暗号文CT’を生成する要求側第1暗号化部と、
少なくとも前記暗号文CT’と前記要求側鍵識別子αを含む第1情報t1を前記応答装置へ送信する第1情報送信部と、
前記応答装置から受信した応答側鍵識別子βを前記鍵公開装置へ送信し、前記鍵公開装置の出力する公開鍵を応答側公開鍵pkとして受信する応答側公開鍵取得部と、
前記暗号文CT’と前記要求側公開鍵pk’と前記パスワードpwと前記乱数rを入力として、前記応答装置から受信した射影鍵hpを用いて前記スムース射影ハッシュ関数のハッシュ関数hを計算することにより、第1セッション鍵rAと第2セッション鍵τAと第3セッション鍵SKAを生成する要求側セッション鍵生成部と、
少なくとも前記パスワードpwを入力として、前記応答側公開鍵pkと前記第1セッション鍵rAを用いて第2の公開鍵暗号方式の暗号化アルゴリズムEncを実行することにより、暗号文CT^を生成する要求側第2暗号化部と、
前記応答装置から受信した暗号文CTが前記暗号文CT^と等しいか否かを検証する暗号文検証部と、
少なくとも前記第2セッション鍵τAを含む第3情報t3を前記応答装置へ送信する第3情報送信部と、
前記第3セッション鍵SKAを前記セッション鍵SKとして出力する要求側セッション鍵出力部と、
を備えることを特徴とする要求装置。 - あらかじめパスワードpwを共有する要求装置との間でセッション鍵SKを共有する要求装置であって、
ランダムな整数w1を選択する第1鍵乱数生成部と、
前記乱数w1を用いて、スムース射影ハッシュ関数をサポートする第1の公開鍵暗号方式の鍵生成アルゴリズムGen1を実行することにより、第1公開鍵pk1を生成する第1公開鍵生成部と、
ランダムな整数w2を選択する第2鍵乱数生成部と、
前記乱数w2を用いて、第2の公開鍵暗号方式の鍵生成アルゴリズムGen2を実行することにより、第2公開鍵pk2を生成する第2公開鍵生成部と、
ランダムな整数rを選択する要求側乱数生成部と、
前記パスワードpwを入力として、前記第1公開鍵pk1と前記乱数rを用いて前記第1の公開鍵暗号方式の暗号化アルゴリズムEnc1を実行することにより、暗号文CT1を生成する要求側第1暗号化部と、
少なくとも前記暗号文CT1と前記第1公開鍵pk1と前記第2公開鍵pk2を含む第1情報t1を前記応答装置へ送信する第1情報送信部と、
前記第1公開鍵pk1と前記第2公開鍵pk2が正しく生成されたことを、コンカレント安全なゼロ知識証明cZKを用いて前記応答装置に対して証明する要求側公開鍵証明部と、
前記暗号文CT1と前記第1公開鍵pk1と前記パスワードpwと前記乱数rを入力として、前記応答装置から受信した射影鍵hp’を用いて前記スムース射影ハッシュ関数のハッシュ関数h’を計算することにより、ハッシュ値δを生成する要求側ハッシュ値計算部と、
前記応答装置から受信したハッシュ値δ’が前記ハッシュ値δと等しいか否かを検証する要求側ハッシュ値検証部と、
前記スムース射影ハッシュ関数のハッシュ鍵hkを生成する要求側ハッシュ鍵生成部と、
前記ハッシュ鍵hkと前記応答装置から受信した暗号文CT’と前記応答装置から受信した応答側公開鍵pk’を入力として、前記スムース射影ハッシュ関数の射影関数Fを計算することにより、射影鍵hpを生成する要求側射影鍵生成部と、
前記暗号文CT’と前記応答側公開鍵pk’と前記パスワードpwを入力として、前記ハッシュ鍵hkを用いて前記スムース射影ハッシュ関数の鍵付きハッシュ関数Hを計算することにより、第1セッション鍵rAと第2セッション鍵τAと第3セッション鍵SKAを生成する要求側セッション鍵生成部と、
少なくとも前記パスワードpwを入力として、前記第2公開鍵pk2と前記第1セッション鍵rAを用いて前記第2の公開鍵暗号方式の暗号化アルゴリズムEnc2を実行することにより、暗号文CT2を生成する要求側第2暗号化部と、
少なくとも前記射影鍵hpと前記暗号文CT2と前記ハッシュ値δを含む第3情報t3を前記応答装置へ送信する第3情報送信部と、
前記第1セッション鍵rAと前記暗号文CT2と前記ハッシュ値δが正しく生成されたことを、証拠識別不可能証明NMWIを用いて前記応答装置に対して証明する要求側暗号文証明部と、
前記応答装置から受信した第2セッション鍵τBが前記第2セッション鍵τAと等しいか否かを検証するセッション鍵検証部と、
前記第3セッション鍵SKAを前記セッション鍵SKとして出力する要求側セッション鍵出力部と、
を備えることを特徴とする要求装置。 - あらかじめパスワードpwを共有する要求装置との間でセッション鍵SKを共有する応答装置であって、
ランダムな整数wを選択する応答側鍵乱数生成部と、
前記乱数wを用いて、公開鍵暗号方式の鍵生成アルゴリズムGenを実行することにより、応答側公開鍵pkを生成する応答側公開鍵生成部と、
前記応答側公開鍵pkを鍵公開装置へ送信し、前記鍵公開装置の出力する鍵識別子を応答側鍵識別子βとして受信する応答側公開鍵登録部と、
前記要求装置から受信した要求側鍵識別子αを前記鍵公開装置へ送信し、前記鍵公開装置の出力する公開鍵を要求側公開鍵pk’として受信する要求側公開鍵取得部と、
スムース射影ハッシュ関数のハッシュ鍵hkを生成する応答側ハッシュ鍵生成部と、
前記ハッシュ鍵hkと前記要求装置から受信した暗号文CT’と前記要求側公開鍵pk’を入力として、前記スムース射影ハッシュ関数の射影関数Fを計算することにより、射影鍵hpを生成する応答側射影鍵生成部と、
前記暗号文CT’と前記要求側公開鍵pk’と前記パスワードpwを入力として、前記ハッシュ鍵hkを用いて前記スムース射影ハッシュ関数の鍵付きハッシュ関数Hを計算することにより、第1セッション鍵rBと第2セッション鍵τBと第3セッション鍵SKBを生成する応答側セッション鍵生成部と、
少なくとも前記パスワードpwを入力として、前記応答側公開鍵pkと前記第1セッション鍵rBを用いて前記公開鍵暗号方式の暗号化アルゴリズムEncを実行することにより、暗号文CTを生成する応答側第1暗号化部と、
少なくとも前記射影鍵hpと前記暗号文CTと前記応答側鍵識別子βを含む第2情報t2を前記要求装置へ送信する第2情報送信部と、
前記要求装置から受信した第2セッション鍵τAが前記第2セッション鍵τBと等しいか否かを検証するセッション鍵検証部と、
前記第3セッション鍵SKBを前記セッション鍵SKとして出力する応答側セッション鍵出力部と、
を備えることを特徴とする応答装置。 - あらかじめパスワードpwを共有する要求装置との間でセッション鍵SKを共有する応答装置であって、
ランダムな整数w’を選択する応答側鍵乱数生成部と、
前記乱数w’を用いて、スムース射影ハッシュ関数をサポートする第1の公開鍵暗号方式の鍵生成アルゴリズムGen’を実行することにより、応答側公開鍵pk’を生成する応答側公開鍵生成部と、
前記スムース射影ハッシュ関数のハッシュ鍵hk’を生成する応答側ハッシュ鍵生成部と、
前記ハッシュ鍵hk’と前記要求装置から受信した暗号文CT1と前記要求装置から受信した第1公開鍵pk1を入力として、前記スムース射影ハッシュ関数の射影関数F’を計算することにより、射影鍵hp’を生成する応答側射影鍵生成部と、
前記暗号文CT1と前記第1公開鍵pk1と前記パスワードpwを入力として、前記ハッシュ鍵hk’を用いて前記スムース射影ハッシュ関数の鍵付きハッシュ関数H’を計算することにより、ハッシュ値δ’を生成する応答側ハッシュ値計算部と、
ランダムな整数r’を選択する応答側乱数生成部と、
前記パスワードpwを入力として、前記応答側公開鍵pk’と前記乱数r’を用いて前記第1の公開鍵暗号方式の暗号化アルゴリズムEnc’を実行することにより、暗号文CT’を生成する応答側第2暗号化部と、
少なくとも前記射影鍵hp’と前記応答側公開鍵pk’と前記暗号文CT’と前記ハッシュ値δ’を含む第2情報t2を前記応答装置へ送信する第2情報送信部と、
前記暗号文CT’と前記ハッシュ値δ’が正しく生成されたことを、証拠識別不可能証明NMWI’を用いて前記要求装置に対して証明する応答側暗号文証明部と、
前記応答側公開鍵pk’が正しく生成されたことを、コンカレント安全なゼロ知識証明cZK’を用いて前記要求装置に対して証明する応答側公開鍵証明部と、
前記要求装置から受信したハッシュ値δが前記ハッシュ値δ’と等しいか否かを検証する応答側ハッシュ値検証部と、
前記暗号文CT’と前記応答側公開鍵pk’と前記パスワードpwと前記乱数r’を入力として、前記要求装置から受信した射影鍵hpを用いて前記スムース射影ハッシュ関数のハッシュ関数hを計算することにより、第1セッション鍵rBと前記第2セッション鍵τBと第3セッション鍵SKBを生成する応答側セッション鍵生成部と、
少なくとも前記パスワードpwを入力として、前記要求装置から受信した第2公開鍵pk2と前記第1セッション鍵rBを用いて第2の公開鍵暗号方式の暗号化アルゴリズムEnc2を実行することにより、暗号文CT^2を生成する応答側第1暗号化部と、
前記要求装置から受信した暗号文CT2が前記暗号文CT^2と等しいか否かを検証する暗号文検証部と、
少なくとも前記第2セッション鍵τBを含む第4情報t4を前記要求装置へ送信する第4情報送信部と、
前記第3セッション鍵SKBを前記セッション鍵SKとして出力する応答側セッション鍵出力部と、
を備えることを特徴とする応答装置。 - あらかじめパスワードpwを共有する要求装置と応答装置との間でセッション鍵SKを共有する鍵交換方法であって、
前記要求装置が、ランダムな整数w’を選択する要求側鍵乱数生成ステップと、
前記要求装置が、前記乱数w’を用いて、スムース射影ハッシュ関数をサポートする第1の公開鍵暗号方式の鍵生成アルゴリズムGen’を実行することにより、要求側公開鍵pk’を生成する要求側公開鍵生成ステップと、
前記要求装置が、前記要求側公開鍵pk’を鍵公開装置へ送信し、前記鍵公開装置の出力する鍵識別子を要求側鍵識別子αとして受信する要求側公開鍵登録ステップと、
前記応答装置が、ランダムな整数wを選択する応答側鍵乱数生成ステップと、
前記応答装置が、前記乱数wを用いて、第2の公開鍵暗号方式の鍵生成アルゴリズムGenを実行することにより、応答側公開鍵pkを生成する応答側公開鍵生成ステップと、
前記応答装置が、前記応答側公開鍵pkを前記鍵公開装置へ送信し、前記鍵公開装置の出力する鍵識別子を応答側鍵識別子βとして受信する応答側公開鍵登録ステップと、
前記要求装置が、ランダムな整数rを選択する要求側乱数生成ステップと、
前記要求装置が、前記パスワードpwを入力として、前記要求側公開鍵pk’と前記乱数rを用いて前記第1の公開鍵暗号方式の暗号化アルゴリズムEnc’を実行することにより、暗号文CT’を生成する要求側第1暗号化ステップと、
前記要求装置が、少なくとも前記暗号文CT’と前記要求側鍵識別子αを含む第1情報t1を前記応答装置へ送信する第1情報送信ステップと、
前記応答装置が、前記要求側鍵識別子αを前記鍵公開装置へ送信し、前記鍵公開装置の出力する公開鍵を前記要求側公開鍵pk’として受信する要求側公開鍵取得ステップと、
前記応答装置が、前記スムース射影ハッシュ関数のハッシュ鍵hkを生成する応答側ハッシュ鍵生成ステップと、
前記応答装置が、前記ハッシュ鍵hkと前記暗号文CT’と前記要求側公開鍵pk’を入力として、前記スムース射影ハッシュ関数の射影関数Fを計算することにより、射影鍵hpを生成する応答側射影鍵生成ステップと、
前記応答装置が、前記暗号文CT’と前記要求側公開鍵pk’と前記パスワードpwを入力として、前記ハッシュ鍵hkを用いて前記スムース射影ハッシュ関数の鍵付きハッシュ関数Hを計算することにより、第1セッション鍵rBと第2セッション鍵τBと第3セッション鍵SKBを生成する応答側セッション鍵生成ステップと、
前記応答装置が、少なくとも前記パスワードpwを入力として、前記応答側公開鍵pkと前記第1セッション鍵rBを用いて前記第2の公開鍵暗号方式の暗号化アルゴリズムEncを実行することにより、暗号文CTを生成する応答側第1暗号化ステップと、
前記応答装置が、少なくとも前記射影鍵hpと前記暗号文CTと前記応答側鍵識別子βを含む第2情報t2を前記要求装置へ送信する第2情報送信ステップと、
前記要求装置が、前記応答側鍵識別子βを前記鍵公開装置へ送信し、前記鍵公開装置の出力する公開鍵を前記応答側公開鍵pkとして受信する応答側公開鍵取得ステップと、
前記要求装置が、前記暗号文CT’と前記要求側公開鍵pk’と前記パスワードpwと前記乱数rを入力として、前記射影鍵hpを用いて前記スムース射影ハッシュ関数のハッシュ関数hを計算することにより、第1セッション鍵rAと第2セッション鍵τAと第3セッション鍵SKAを生成する要求側セッション鍵生成ステップと、
前記要求装置が、少なくとも前記パスワードpwを入力として、前記応答側公開鍵pkと前記第1セッション鍵rAを用いて前記第2の公開鍵暗号方式の暗号化アルゴリズムEncを実行することにより、暗号文CT^を生成する要求側第2暗号化ステップと、
前記要求装置が、前記暗号文CTが前記暗号文CT^と等しいか否かを検証する暗号文検証ステップと、
前記要求装置が、少なくとも前記第2セッション鍵τAを含む第3情報t3を前記応答装置へ送信する第3情報送信ステップと、
前記第3セッション鍵SKAを前記セッション鍵SKとして出力する要求側セッション鍵出力ステップと、
前記応答装置が、前記第2セッション鍵τAが前記第2セッション鍵τBと等しいか否かを検証するセッション鍵検証ステップと、
前記応答装置が、前記第3セッション鍵SKBを前記セッション鍵SKとして出力する応答側セッション鍵出力ステップと、
を含むことを特徴とする鍵交換方法。 - あらかじめパスワードpwを共有する要求装置と応答装置との間でセッション鍵SKを共有する鍵交換方法であって、
前記要求装置が、ランダムな整数w1を選択する第1鍵乱数生成ステップと、
前記要求装置が、前記乱数w1を用いて、スムース射影ハッシュ関数をサポートする第1の公開鍵暗号方式の鍵生成アルゴリズムGen1を実行することにより、第1公開鍵pk1を生成する第1公開鍵生成ステップと、
前記要求装置が、ランダムな整数w2を選択する第2鍵乱数生成ステップと、
前記要求装置が、前記乱数w2を用いて、第2の公開鍵暗号方式の鍵生成アルゴリズムGen2を実行することにより、第2公開鍵pk2を生成する第2公開鍵生成ステップと、
前記応答装置が、ランダムな整数w’を選択する応答側鍵乱数生成ステップと、
前記応答装置が、前記乱数w’を用いて、前記スムース射影ハッシュ関数をサポートする第3の公開鍵暗号方式の鍵生成アルゴリズムGen’を実行することにより、応答側公開鍵pk’を生成する応答側公開鍵生成ステップと、
前記要求装置が、ランダムな整数rを選択する要求側乱数生成ステップと、
前記要求装置が、前記パスワードpwを入力として、前記第1公開鍵pk1と前記乱数rを用いて前記第1の公開鍵暗号方式の暗号化アルゴリズムEnc1を実行することにより、暗号文CT1を生成する要求側第1暗号化ステップと、
前記要求装置が、少なくとも前記暗号文CT1と前記第1公開鍵pk1と前記第2公開鍵pk2を含む第1情報t1を前記応答装置へ送信する第1情報送信ステップと、
前記要求装置が、前記第1公開鍵pk1と前記第2公開鍵pk2が正しく生成されたことを、コンカレント安全なゼロ知識証明cZKを用いて前記応答装置に対して証明する要求側公開鍵証明ステップと、
前記応答装置が、前記スムース射影ハッシュ関数のハッシュ鍵hk’を生成する応答側ハッシュ鍵生成ステップと、
前記応答装置が、前記ハッシュ鍵hk’と前記暗号文CT1と前記第1公開鍵pk1を入力として、前記スムース射影ハッシュ関数の射影関数F’を計算することにより、射影鍵hp’を生成する応答側射影鍵生成ステップと、
前記応答装置が、前記暗号文CT1と前記第1公開鍵pk1と前記パスワードpwを入力として、前記ハッシュ鍵hk’を用いて前記スムース射影ハッシュ関数の鍵付きハッシュ関数H’を計算することにより、ハッシュ値δ’を生成する応答側ハッシュ値計算ステップと、
前記応答装置が、ランダムな整数r’を選択する応答側乱数生成ステップと、
前記応答装置が、前記パスワードpwを入力として、前記応答側公開鍵pk’と前記乱数r’を用いて前記第3の公開鍵暗号方式の暗号化アルゴリズムEnc’を実行することにより、前記暗号文CT’を生成する応答側第2暗号化ステップと、
前記応答装置が、少なくとも前記射影鍵hp’と前記応答側公開鍵pk’と前記暗号文CT’と前記ハッシュ値δ’を含む第2情報t2を前記応答装置へ送信する第2情報送信ステップと、
前記応答装置が、前記暗号文CT’と前記ハッシュ値δ’が正しく生成されたことを、証拠識別不可能証明NMWI’を用いて前記要求装置に対して証明する応答側暗号文証明ステップと、
前記応答装置が、前記応答側公開鍵pk’が正しく生成されたことを、コンカレント安全なゼロ知識証明cZK’を用いて前記要求装置に対して証明する応答側公開鍵証明ステップと、
前記要求装置が、前記暗号文CT1と前記第1公開鍵pk1と前記パスワードpwと前記乱数rを入力として、前記射影鍵hp’を用いて前記スムース射影ハッシュ関数のハッシュ関数h’を計算することにより、ハッシュ値δを生成する要求側ハッシュ値計算ステップと、
前記要求装置が、前記ハッシュ値δ’が前記ハッシュ値δと等しいか否かを検証する要求側ハッシュ値検証ステップと、
前記要求装置が、前記スムース射影ハッシュ関数のハッシュ鍵hkを生成する要求側ハッシュ鍵生成ステップと、
前記要求装置が、前記ハッシュ鍵hkと前記暗号文CT’と前記応答側公開鍵pk’を入力として、前記スムース射影ハッシュ関数の射影関数Fを計算することにより、射影鍵hpを生成する要求側射影鍵生成ステップと、
前記要求装置が、前記暗号文CT’と前記応答側公開鍵pk’と前記パスワードpwを入力として、前記ハッシュ鍵hkを用いて前記スムース射影ハッシュ関数の鍵付きハッシュ関数Hを計算することにより、第1セッション鍵rAと第2セッション鍵τAと第3セッション鍵SKAを生成する要求側セッション鍵生成ステップと、
前記要求装置が、少なくとも前記パスワードpwを入力として、前記第2公開鍵pk2と前記第1セッション鍵rAを用いて前記第2の公開鍵暗号方式の暗号化アルゴリズムEnc2を実行することにより、暗号文CT2を生成する要求側第2暗号化ステップと、
前記要求装置が、少なくとも前記射影鍵hpと前記暗号文CT2と前記ハッシュ値δを含む第3情報t3を前記応答装置へ送信する第3情報送信ステップと、
前記要求装置が、前記第1セッション鍵rAと前記暗号文CT2と前記ハッシュ値δが正しく生成されたことを、証拠識別不可能証明NMWIを用いて前記応答装置に対して証明する要求側暗号文証明ステップと、
前記応答装置が、前記ハッシュ値δが前記ハッシュ値δ’と等しいか否かを検証する応答側ハッシュ値検証ステップと、
前記応答装置が、前記暗号文CT’と前記応答側公開鍵pk’と前記パスワードpwと前記乱数r’を入力として、前記射影鍵hpを用いて前記スムース射影ハッシュ関数のハッシュ関数hを計算することにより、第1セッション鍵rBと前記第2セッション鍵τBと第3セッション鍵SKBを生成する応答側セッション鍵生成ステップと、
前記応答装置が、少なくとも前記パスワードpwを入力として、前記第2公開鍵pk2と前記第1セッション鍵rBを用いて前記第2の公開鍵暗号方式の暗号化アルゴリズムEnc2を実行することにより、暗号文CT^2を生成する応答側第1暗号化ステップと、
前記応答装置が、前記暗号文CT2が前記暗号文CT^2と等しいか否かを検証する暗号文検証ステップと、
前記応答装置が、少なくとも前記第2セッション鍵τBを含む第4情報t4を前記要求装置へ送信する第4情報送信ステップと、
前記応答装置が、前記第3セッション鍵SKBを前記セッション鍵SKとして出力する応答側セッション鍵出力ステップと、
前記要求装置が、前記第2セッション鍵τBが前記第2セッション鍵τAと等しいか否かを検証するセッション鍵検証ステップと、
前記要求装置が、前記第3セッション鍵SKAを前記セッション鍵SKとして出力する要求側セッション鍵出力ステップと、
を含むことを特徴とする鍵交換方法。 - 請求項4または5に記載の要求装置もしくは請求項6または7に記載の応答装置としてコンピュータを機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012066470A JP5651631B2 (ja) | 2012-03-23 | 2012-03-23 | 鍵交換システム、鍵交換方法、要求装置、応答装置、およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012066470A JP5651631B2 (ja) | 2012-03-23 | 2012-03-23 | 鍵交換システム、鍵交換方法、要求装置、応答装置、およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013198133A JP2013198133A (ja) | 2013-09-30 |
| JP5651631B2 true JP5651631B2 (ja) | 2015-01-14 |
Family
ID=49396488
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012066470A Expired - Fee Related JP5651631B2 (ja) | 2012-03-23 | 2012-03-23 | 鍵交換システム、鍵交換方法、要求装置、応答装置、およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5651631B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6334453B2 (ja) * | 2015-04-16 | 2018-05-30 | 日本電信電話株式会社 | 証明システム、検証装置、証明装置、証明方法、およびプログラム |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10019A (en) * | 1853-09-13 | Improvement in the manufacture of plain and figured fabrics | ||
| US2012A (en) * | 1841-03-18 | Machine foe | ||
| US3022A (en) * | 1843-03-30 | Machine for bending stibrups for paddle-wheels of steam and other | ||
| JPH0787081A (ja) * | 1993-09-16 | 1995-03-31 | Nippon Telegr & Teleph Corp <Ntt> | 鍵公開センタへのエンティティ登録方法 |
| JP2002132147A (ja) * | 2000-10-20 | 2002-05-09 | Mitsubishi Electric Corp | 公開鍵証明装置、公開鍵生成装置および公開鍵証明システム |
| JP2002232413A (ja) * | 2001-02-05 | 2002-08-16 | Yamaha Corp | ホームページデータの生成方法、公開鍵公開方法および通信端末 |
| JP2005167385A (ja) * | 2003-11-28 | 2005-06-23 | Ntt Docomo Inc | Id鍵発行装置、id検証装置、id証明装置、id鍵発行方法、id検証方法及びid証明方法 |
| JP5017645B2 (ja) * | 2006-05-11 | 2012-09-05 | 国立大学法人 千葉大学 | 公開鍵認証プログラム及び電子署名プログラム |
| JP5330858B2 (ja) * | 2009-02-26 | 2013-10-30 | 日本電信電話株式会社 | 署名検証システム、署名検証方法、ブラインド署名生成方法、利用者装置、及びブラインド署名生成プログラム |
| EP2437427A4 (en) * | 2009-05-29 | 2017-07-12 | Nec Corporation | Signature device, signature verification device, anonymous authentication system, signing method, signature authentication method, and programs therefor |
-
2012
- 2012-03-23 JP JP2012066470A patent/JP5651631B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013198133A (ja) | 2013-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6684930B2 (ja) | ブロックチェーンに基づくアイデンティティ認証方法、装置、ノード及びシステム | |
| Agrawal et al. | PASTA: password-based threshold authentication | |
| Chow et al. | Dynamic secure cloud storage with provenance | |
| US20210367753A1 (en) | Trusted measurement and control network authentication method based on double cryptographic values and chaotic encryption | |
| US8762723B2 (en) | Cryptographic security using fuzzy credentials for device and server communications | |
| TW201815123A (zh) | 量子資料密鑰協商系統及量子資料密鑰協商方法 | |
| US20140122888A1 (en) | Method for password based authentication and apparatus executing the method | |
| EP3791533A1 (en) | Password based threshold token generation | |
| CN105721153B (zh) | 基于认证信息的密钥交换系统及方法 | |
| JP2008545353A (ja) | 未知の通信当事者間における信頼できる関係の確立 | |
| KR100842267B1 (ko) | 다중 인증 수단을 가지는 시스템의 통합 사용자 인증 서버,클라이언트 및 방법 | |
| WO2019093478A1 (ja) | 鍵交換装置、鍵交換システム、鍵交換方法、及び鍵交換プログラム | |
| CN112351037B (zh) | 用于安全通信的信息处理方法及装置 | |
| JP2022525137A (ja) | データに基づく行為を実施するための方法および装置 | |
| JP6592851B2 (ja) | 匿名ブロードキャスト方法、鍵交換方法、匿名ブロードキャストシステム、鍵交換システム、通信装置、プログラム | |
| KR20140057134A (ko) | 패스워드 기반 인증 방법 및 이를 수행하기 위한 장치 | |
| JP2016514913A (ja) | セッション鍵を確立する方法および装置 | |
| KR20210054146A (ko) | 발행인 익명성 인증서 시스템을 위한 분산화된 그룹 서명 방법 | |
| Cui et al. | Efficient and anonymous cross-domain authentication for IIoT based on blockchain | |
| Khan et al. | Resource efficient authentication and session key establishment procedure for low-resource IoT devices | |
| KR101131929B1 (ko) | 공개키 기반 인증장치 및 방법 | |
| JP5651631B2 (ja) | 鍵交換システム、鍵交換方法、要求装置、応答装置、およびプログラム | |
| WO2018174063A1 (ja) | 照合システム、方法、装置及びプログラム | |
| TWI761243B (zh) | 群組即時通訊的加密系統和加密方法 | |
| RU2452111C1 (ru) | Способ пороговой генерации ключей для системы защиты информации на основе идентификационных данных |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140203 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20141030 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141111 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141117 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5651631 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |