JP5689839B2 - 公開鍵暗号システム、公開鍵暗号方法、受信装置、およびプログラム - Google Patents

公開鍵暗号システム、公開鍵暗号方法、受信装置、およびプログラム Download PDF

Info

Publication number
JP5689839B2
JP5689839B2 JP2012031510A JP2012031510A JP5689839B2 JP 5689839 B2 JP5689839 B2 JP 5689839B2 JP 2012031510 A JP2012031510 A JP 2012031510A JP 2012031510 A JP2012031510 A JP 2012031510A JP 5689839 B2 JP5689839 B2 JP 5689839B2
Authority
JP
Japan
Prior art keywords
key
random number
information
ciphertext
decryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012031510A
Other languages
English (en)
Other versions
JP2013168833A (ja
Inventor
陵 西巻
陵 西巻
英一郎 藤崎
英一郎 藤崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2012031510A priority Critical patent/JP5689839B2/ja
Publication of JP2013168833A publication Critical patent/JP2013168833A/ja
Application granted granted Critical
Publication of JP5689839B2 publication Critical patent/JP5689839B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、電気通信システムにおいて情報を秘匿しながら安全に送受信する公開鍵暗号方式を実現する公開鍵暗号技術に関する。
情報を秘匿しながら安全に送受信するために公開鍵暗号方式が広く用いられている。公開鍵暗号方式では情報を暗号化する鍵と復号する鍵が異なっており、通常は暗号化に用いる鍵を一般に公開し、復号に用いる鍵は利用者が秘密に保持する。ここでは、暗号化に用いる鍵を公開鍵と呼び、復号に用いる鍵は秘密鍵と呼ぶものとする。
従来の公開鍵暗号方式は、秘密鍵の情報が部分的にも漏洩することがないことを前提として安全性が定義されていた。しかし近年、サイドチャネル攻撃と呼ばれる攻撃方法が進展している。サイドチャネル攻撃とは、暗号を解読するための手法であり、暗号を処理する装置が発する電力や電磁波などを外部から観測することで暗号解読の手がかりを得ようとする(非特許文献1参照)。これらのサイドチャネル攻撃に対抗するために、秘密鍵が漏洩した場合の安全性を考慮する必要があると考えられている。
一般に、公開鍵暗号の安全性は各種の攻撃法に対する達成度として捉えられる。達成度としては、強秘匿性が用いられることが多い。強秘匿性とは、暗号文から平文のいかなる部分情報も得られないことである。強秘匿性は、攻撃者が適当な平文を2つ選び、そのどちらかを暗号化した暗号文を受け取ったときにどちらが暗号化されたのかを識別不可能であるということにより定式化されている。攻撃法は、選択平文攻撃、選択暗号文攻撃、適応的選択暗号文攻撃などに分類される。選択平文攻撃とは、標的とする暗号文を受け取る前後に、攻撃者は自分で選んだ平文に対する暗号文を得ることができる条件下での攻撃である。選択暗号文攻撃とは、標的とする暗号文を受け取る前に、攻撃者は自分で選んだ暗号文を送ることでその復号結果を得ることができる条件下での攻撃である。適応的選択暗号文攻撃とは、標的とする暗号文を受け取る前後に、攻撃者は自分で選んだ暗号文を送ることでその復号結果を得ることができる条件下での攻撃である。
公開鍵暗号方式では、暗号化に用いる鍵は公開されているため平文から暗号文を得ることは通常でも可能である。一方、復号に用いる鍵は秘匿されているため暗号文から平文を得ることは通常不可能である。したがって、選択平文攻撃よりも選択暗号文攻撃の方が攻撃者に有利な条件が設定されている。また、標的とする暗号文が確定した後の方が攻撃者は適切な暗号文を選択できる。したがって、選択暗号文攻撃よりも適応的選択暗号文攻撃の方が攻撃者に有利な条件が設定されている。このため、適応的選択暗号文攻撃に対して安全であることの方がより安全性が高い暗号方式であると言える。また同様に、標的暗号文確定後に秘密鍵が漏洩したとしても安全であることの方がより安全性が高いと言える。
秘密鍵が部分的に漏洩したとしても安全な公開鍵暗号方式が複数提案されている。非特許文献2は、標的暗号文確定前の秘密鍵漏洩を想定しており、選択平文攻撃に対して識別不可能な公開鍵暗号方式である。非特許文献3は、標的暗号文確定前の秘密鍵漏洩を想定しており、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式である。非特許文献4は、標的暗号文確定後の秘密鍵漏洩をも想定しており、選択平文攻撃に対して識別不可能な公開鍵暗号方式である。
J. A. Halderman, S. D. Schoen, N. Heninger, W. Clarkson, W. Paul, J. A. Calandrino, A. J. Feldman, J. Appelbaum, and E. W. Felten. "Lest we remember: cold-boot attacks on encryption keys." Commun. ACM, 52(5), 2009. A. Akavia, S. Goldwasser, and V. Vaikuntanathan. "Simultaneous Hardcore Bits and Cryptography against Memory Attacks." In TCC, volume 5444 of Lecture Notes in Computer Science, pages 474-495. Springer, 2009. M. Naor and G. Segev. "Public-Key Cryptosystems Resilient to Key Leakage." In CRYPTO, volume 5677 of Lecture Notes in Computer Science, pages 18-35. Springer, 2009. S. Halevi and H. Lin. "After-the-Fact Leakage in Public-Key Encryption." In TCC, volume 6597 of Lecture Notes in Computer Science, pages 107-124. Springer, 2011.
しかしながら、上記の通り、既知の秘密鍵漏洩耐性のある公開鍵暗号方式は、適応的選択暗号文攻撃に対して識別不可能であるが標的暗号文確定前の秘密鍵漏洩耐性しか達成していない公開鍵暗号方式か、標的暗号文確定後の秘密鍵漏洩耐性を達成しているが選択平文攻撃に対する安全性しか達成していない公開鍵暗号方式のいずれかであった。つまり、標的暗号文確定後の秘密鍵漏洩耐性と適応的選択暗号文攻撃に対する安全性を同時に達成している公開鍵暗号方式は提案されていなかった。
この発明はこのような点に鑑みてなされたものであり、標的暗号文確定後の秘密鍵漏洩耐性があり、かつ適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により安全に情報を送受信することができる公開鍵暗号システム、公開鍵暗号方法、送信装置、受信装置、およびプログラムを提供することを目的とする。
上記の課題を解決するために、この発明の公開鍵暗号システムは、送信装置と受信装置を含む。
受信装置は、情報鍵対生成部と第1鍵対生成部と第2鍵対生成部と第1鍵暗号化部と第2鍵暗号化部と情報鍵暗号化部と鍵消去部と鍵公開部と鍵記憶部と第1鍵復号部と第2鍵復号部と情報鍵復号部と情報復号部とを備える。情報鍵対生成部は、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により情報暗号化鍵pkと情報復号鍵skを生成する。第1鍵対生成部は、標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により第1鍵暗号化鍵pkと第1鍵復号鍵skを生成する。第2鍵対生成部は、標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により第2鍵暗号化鍵pkと第2鍵復号鍵skを生成する。第1鍵暗号化部は、第1鍵Kを無作為に生成し、第1鍵Kを、第1鍵暗号化鍵pkを用いて、標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により暗号化して、第1鍵暗号文cを生成する。第2鍵暗号化部は、第2鍵Kを無作為に生成し、第2鍵Kを、第2鍵暗号化鍵pkを用いて、標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により暗号化して、第2鍵暗号文cを生成する。情報鍵暗号化部は、第1鍵Kと第2鍵Kとから情報復号鍵skとビット長が等しい乱数Kを生成し、乱数Kと情報復号鍵skとの排他的論理和を計算することで、情報復号鍵暗号文eを生成する。鍵消去部は、情報復号鍵skを消去する。鍵公開部は、情報暗号化鍵pkと第1鍵暗号化鍵pkと第2鍵暗号化鍵pkと第1鍵暗号文cと第2鍵暗号文cと情報復号鍵暗号文eを一組とした公開鍵PK:=(pk,pk,pk,c,c,e)を生成する。鍵記憶部は、第1鍵復号鍵skと第2鍵復号鍵skを一組とした秘密鍵SK:=(sk,sk)を記憶する。第1鍵復号部は、第1鍵暗号文cを、第1鍵復号鍵skを用いて、標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により復号して、第1鍵Kを取得する。第2鍵復号部は、第2鍵暗号文cを、第2鍵復号鍵skを用いて、標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により復号して、第2鍵Kを取得する。情報鍵復号部は、第1鍵Kと第2鍵Kとから乱数Kを生成し、乱数Kと情報復号鍵暗号文eとの排他的論理和を計算することで情報復号鍵skを取得する。情報復号部は、送信装置から受信した暗号文cを、情報復号鍵skを用いて、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により復号して、平文mを取得する。
送信装置は、暗号化乱数生成部と情報暗号化部とを備える。暗号化乱数生成部は、暗号化乱数ωを生成する。情報暗号化部は、平文mを、受信装置の情報暗号化鍵pkと暗号化乱数ωを用いて、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により暗号化して、暗号文cを生成し、受信装置へ送信する。
この発明の公開鍵暗号システムは、平文を適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により暗号化するため、適応的選択暗号文攻撃によっても暗号文から平文のいかなる部分情報も得られることがない。また、暗号文の復号に用いる秘密鍵を標的確定後秘密鍵漏洩耐性がある鍵カプセル化方式により暗号化するため、標的とする暗号文が確定した後に秘密鍵が部分的に漏洩したとしても暗号の秘匿性が保証される。すなわち、この発明の公開鍵暗号システムによれば、標的暗号文確定後の秘密鍵漏洩耐性があり、かつ適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により安全に情報を送受信することができる。
実施例1の公開鍵暗号システムの構成を示すブロック図。 実施例1の公開鍵暗号システムを構成する装置の構成を示すブロック図。 実施例1の公開鍵暗号システムが鍵生成する動作を示すフロー図。 実施例1の公開鍵暗号システムが情報を送受信する動作を示すフロー図。 実施例1の暗号化処理・復号処理を説明する図。 実施例2の公開鍵暗号システムの構成を示すブロック図。 実施例2の公開鍵暗号システムを構成する装置の構成を示すブロック図。 実施例2の公開鍵暗号システムが情報を送受信する動作を示すフロー図。 実施例3の公開鍵暗号システムの構成を示すブロック図。 実施例3の公開鍵暗号システムを構成する装置の構成を示すブロック図。 実施例3の公開鍵暗号システムが鍵生成する動作を示すフロー図。 実施例3の公開鍵暗号システムが情報を送受信する動作を示すフロー図。 実施例3の暗号化処理・復号処理を説明する図。 この発明で用いる公開鍵暗号方式と従来技術との比較を示す図。
以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
[この明細書で利用する表記方法]
Figure 0005689839
は、ある値a,bについて、aにbを代入する、またはaをbで定義することを表す。
Figure 0005689839
は、ある有限集合Sについて、集合Sから要素rを一様ランダムに選ぶことを表す。
Figure 0005689839
は、ある確率的多項式時間アルゴリズムAについて、アルゴリズムAがxを入力にとり、乱数を生成して動作し、aを出力することを表す。
Figure 0005689839
は、ある確率的多項式時間アルゴリズムAについて、アルゴリズムAがxを入力にとり、乱数rを明示的に使用して動作し、aを出力することを表す。
ΣCCA=(GenCCA,EncCCA,DecCCA)は適応的選択暗号文攻撃(Adaptive Chosen Ciphertext Attack)に対して識別不可能な公開鍵暗号方式を表す。ΣLR−CPA=(GenLR−CPA,EncLR−CPA,DecLR−CPA)は2分割モデル(2-split-state model)において標的確定後秘密鍵漏洩耐性(Leakage Resilient)がある選択平文攻撃(Chosen Plaintext Attack)に対して識別不可能な公開鍵暗号方式を表す。それぞれ、Genは鍵生成アルゴリズムを、Encは暗号化アルゴリズムを、Decは復号アルゴリズムを意味している。例えば、GenCCAであれば、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式の鍵生成アルゴリズムを表している。なお、暗号学の分野では、CCAは、選択暗号文攻撃(Non-Adaptive Chosen Ciphertext Attack)を表し、適応的選択暗号文攻撃(Adaptive Chosen Ciphertext Attack)をCCA2と表す場合があるが、この明細書においては、CCAは、適応的選択暗号文攻撃(Adaptive Chosen Ciphertext Attack)を表すものとする。
Figure 0005689839
は、一様性の比較的低い擬似乱数rとrを入力として、2情報源乱数抽出器(2-source extractor)を用いて、より一様性の高い乱数Rを生成することを表す。
[鍵カプセル化メカニズム]
この発明では、鍵カプセル化メカニズム(Key Encapsulation Mechanism。以下、KEMともいう。)を用いる。鍵カプセル化メカニズムは、共通鍵暗号方式で用いる共通鍵を公開鍵暗号方式で暗号化し、二者間で鍵共有を行うためのメカニズムである。鍵カプセル化メカニズムについての詳細は「D. Moriyama, R. Nishimaki, and T. Okamoto. “公開鍵暗号の数理” 共立出版, 2011.(参考文献1)」を参照されたい。
[2情報源乱数抽出器の定義]
ある関数Ext2:{0,1}×{0,1}→{0,1}が、average-case(s,ε)-two source extractorであるとは、任意の確率変数A,B∈{0,1}とCに対して、Cの条件付きの下、AとBが独立であり、AとBの平均最小エントロピーがsであり、かつΔ((Ext2(A,B),C),(U,C))≦εが成立することをいう。ここで、Δ(X,Y)は確率変数XとYの統計的距離を表す。統計的距離については参考文献1を参照されたい。U∈{0,1}はmビットの一様乱数である。平均最小エントロピーは最小エントロピーの拡張であり、確率変数Aの最小エントロピーを
Figure 0005689839
と書いたとき、確率変数Bの条件下でのAの平均最小エントロピーは
Figure 0005689839
と定義される。ただし、Eは期待値を表す。
2情報源乱数抽出器についての定義や具体的な構成方法などの詳細は、例えば「Y. Dodis, A. Elbaz, R. Oliveira, and R. Raz. “Improved Randomness Extraction from Two Independent Sources.” In APPROX-RANDOM, volume 3122 of Lecture Notes in Computer Science, pages 334-344. Springer, 2004.」を参照されたい。
[2分割モデルにおける公開鍵暗号の定義]
2分割モデルにおける公開鍵暗号Σ=(Gen,Enc,Dec)は以下のように構成される。秘密鍵は一対のビット列sk=(sk,sk)から構成され、同様に公開鍵も一対のpk=(pk,pk)からなる。鍵生成アルゴリズムGenは2つの関数Gen,Genからなり、各i=1,2について、pkとskを生成する。したがって、鍵生成アルゴリズムGenは以下の式のように表すことができる。
Figure 0005689839
暗号化アルゴリズムEncは、各i=1,2について、乱数xを生成し、公開鍵pkと乱数xを入力にとり部分暗号文cを生成し、さらに平文mと乱数xを入力として暗号文cを出力する。したがって、暗号化アルゴリズムEncは以下の式のように表すことができる。
Figure 0005689839
復号アルゴリズムDecは2つの部分復号アルゴリズムDec,Decおよび組み合わせアルゴリズムCombからなる。Decは各i=1,2について暗号文cとskを入力にとり部分復号情報tを生成する。Combは暗号文cと一対の(t,t)を入力にとり平文mを出力する。したがって、復号アルゴリズムDecは以下の式のように表すことができる。
Figure 0005689839
2分割モデルにおいては、秘密鍵sk,skはそれぞれ独立に漏洩し、互いに依存した状態で漏洩することはないものとする。2分割モデルにおける公開鍵暗号の詳細は、非特許文献4を参照されたい。
図1〜5を参照して、この発明の実施例1の公開鍵暗号システム10の動作を詳細に説明する。図1は、公開鍵暗号システム10の構成を示すブロック図である。図2は、公開鍵暗号システム10を構成する装置の構成を示すブロック図である。図3は、公開鍵暗号システム10が鍵生成する動作を示すフロー図である。図4は、公開鍵暗号システム10が情報を送受信する動作を示すフロー図である。図5は、公開鍵暗号システム10の暗号化処理・復号処理を説明する図である。
図1,2を参照して、公開鍵暗号システム10の構成を説明する。この実施例の公開鍵暗号システム10は、ネットワーク1と送信装置100と受信装置200から構成される。送信装置100と受信装置200はネットワーク1に接続される。ネットワーク1は送信装置100と受信装置200が相互に通信可能であればよく、例えばインターネットやLAN、WANなどで構成することができる。送信装置100は、暗号化乱数生成部110と情報暗号化部120を備える。受信装置200は、情報鍵対生成部211と第1鍵対生成部212と第2鍵対生成部213と第1鍵暗号化部221と第2鍵暗号化部222と情報鍵暗号化部223と鍵消去部230と鍵公開部240と鍵記憶部290と第1鍵復号部251と第2鍵復号部252と情報鍵復号部253と情報復号部260を備える。
図3を参照して、公開鍵暗号システム10が鍵生成する動作を実際に行われる手続きの順に従って説明する。
受信装置200の情報鍵対生成部211は、入力されたセキュリティパラメータ1λに基づいて、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式の鍵生成アルゴリズムGenCCAにより情報暗号化鍵pkと情報復号鍵skからなる情報鍵対を生成する(S211)。したがって、情報鍵対生成部211の処理は、以下の式のように表すことができる。
Figure 0005689839
適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式は、既知のいかなる適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式をも用いることができる。例えば、Cramer−Shoup暗号(詳細は、「R. Cramer and V. Shoup. “A practical public key cryptosystem provably secure against adaptive chosen ciphertext attack.” In Advances in Cryptology-Crypto '98, pages 13-25,1998.」参照)などを適用することができる。ただし、以降の処理において、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式を用いる処理では、すべて同一の公開鍵暗号方式を用いなければならない。
受信装置200の第1鍵対生成部212は、入力されたセキュリティパラメータ1λに基づいて、標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式の鍵生成アルゴリズムGenLR−CPAにより第1鍵暗号化鍵pkと第1鍵復号鍵skからなる第1鍵対を生成する(S212)。したがって、第1鍵対生成部212の処理は、以下の式のように表すことができる。
Figure 0005689839
標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式は、既知のいかなる標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式をも用いることができる。例えば、非特許文献4に記載の鍵カプセル化方式を適用することができる。ただし、以降の処理において、標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式を用いる処理では、すべて同一の鍵カプセル化方式を用いなければならない。
受信装置200の第2鍵対生成部213は、入力されたセキュリティパラメータ1λに基づいて、標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式の鍵生成アルゴリズムGenLR−CPAにより第2鍵暗号化鍵pkと第2鍵復号鍵skからなる第2鍵対を生成する(S213)。したがって、第2鍵対生成部213の処理は、以下の式のように表すことができる。
Figure 0005689839
受信装置200の第1鍵暗号化部221は、第1鍵Kを無作為に生成する。次に、第1鍵Kを、第1鍵対生成部212の生成した第1鍵暗号化鍵pkを用いて、標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式の暗号化アルゴリズムEncLR−CPAにより暗号化して、第1鍵暗号文cを生成する(S221)。したがって、第1鍵暗号化部221の処理は、以下の式のように表すことができる。
Figure 0005689839
受信装置200の第2鍵暗号化部222は、第2鍵Kを無作為に生成する。次に、第2鍵Kを、第2鍵対生成部213の生成した第2鍵暗号化鍵pkを用いて、標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式の暗号化アルゴリズムEncLR−CPAにより暗号化して、第2鍵暗号文cを生成する(S222)。したがって、第2鍵暗号化部222の処理は、以下の式のように表すことができる。
Figure 0005689839
受信装置200の情報鍵暗号化部223は、第1鍵Kと第2鍵Kとを入力として、2情報源乱数抽出器により、情報復号鍵skとビット長が等しい乱数Kを生成し、乱数Kと情報復号鍵skとの排他的論理和を計算することで、情報復号鍵暗号文eを生成する(S223)。したがって、情報鍵暗号化部223の処理は、以下の式のように表すことができる。
Figure 0005689839
受信装置200の鍵消去部230は、情報鍵対生成部211の生成した情報復号鍵skを消去する(S230)。
受信装置200の鍵公開部240は、情報暗号化鍵pkと第1鍵暗号化鍵pkと第2鍵暗号化鍵pkと第1鍵暗号文cと第2鍵暗号文cと情報復号鍵暗号文eを一組とした公開鍵PK:=(pk,pk,pk,c,c,e)を生成する(S240)。生成した公開鍵PKは送信装置100が利用できるように、送信装置100が一連の処理を実行する前に送信装置100へ送信される。ただし、送信装置100が公開鍵PKを利用できるようになればよく、受信装置200から送信装置100へ直接送信しなくともよい。例えば、公開鍵基盤(Public Key Infrastructure)を利用して送信装置100が受信装置200の公開鍵PKを取得できるようにしてもよい。
第1鍵対生成部212が生成した第1鍵復号鍵skと第2鍵対生成部213が生成した第2鍵復号鍵skは、一組の秘密鍵SK:=(sk,sk)として鍵記憶部290へ記憶される。
図4を参照して、公開鍵暗号システム10が情報を送受信する動作を実際に行われる手続きの順に従って説明する。
送信装置100の暗号化乱数生成部110は、暗号化乱数ωを生成する(S110)。
送信装置100の情報暗号化部120は、送信対象である平文mを、受信装置200から受信した公開鍵PKに含まれる情報暗号化鍵pkと暗号化乱数生成部110の生成した暗号化乱数ωを用いて、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式の暗号化アルゴリズムEncCCAにより暗号化して、暗号文cを生成する(S120)。次に、生成した暗号文cを受信装置200へ送信する。したがって、情報暗号化部120の処理は、以下の式のように表すことができる。
Figure 0005689839
受信装置200の第1鍵復号部251は、送信装置100から暗号文cを受信すると、公開鍵PKに含まれる第1鍵暗号文cを、鍵記憶部290に記憶された秘密鍵SKに含まれる第1鍵復号鍵skを用いて、標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式の復号アルゴリズムDecLR−CPAにより復号して、第1鍵Kを取得する(S251)。したがって、第1鍵復号部251の処理は、以下の式のように表すことができる。
Figure 0005689839
受信装置200の第2鍵復号部252は、公開鍵PKに含まれる第2鍵暗号文cを、鍵記憶部290に記憶された秘密鍵SKに含まれる第2鍵復号鍵skを用いて、標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式の復号アルゴリズムDecLR−CPAにより復号して、第2鍵Kを取得する(S252)。したがって、第2鍵復号部252の処理は、以下の式のように表すことができる。
Figure 0005689839
受信装置200の情報鍵復号部253は、第1鍵復号部251の復号した第1鍵Kと第2鍵復号部252の復号した第2鍵Kとを入力として、2情報源乱数抽出器により、乱数Kを生成し、乱数Kと情報復号鍵暗号文eとの排他的論理和を計算することで情報復号鍵skを取得する(S253)。したがって、情報鍵復号部253の処理は、以下の式のように表すことができる。
Figure 0005689839
受信装置200の情報復号部260は、送信装置100から受信した暗号文cを、情報鍵復号部253の復号した情報復号鍵skを用いて、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式の復号アルゴリズムDecCCAにより復号して、平文mを取得する(S260)。したがって、情報復号部260の処理は、以下の式のように表すことができる。
Figure 0005689839
図5(A)に、公開鍵暗号システム10が用いる公開鍵暗号方式の暗号化処理の概要を示す。図中の記号は明細書中の記号と対応している。点線で囲まれている記号は、その情報が公開情報であることを示している。平文mは、情報暗号化鍵pkを用いて暗号化され、暗号文cが生成される。情報暗号化鍵pkと対になる情報復号鍵skは、第1鍵Kと第2鍵Kを入力とする2情報源乱数抽出器の出力との排他的論理和を計算することで暗号化され、情報復号鍵暗号文eが生成される。情報復号鍵skは情報復号鍵暗号文eの生成後に消去される。第1鍵Kは、第1鍵暗号化鍵pkを用いて暗号化され、第1鍵暗号文cが生成される。第2鍵Kは、第2鍵暗号化鍵pkを用いて暗号化され、第2鍵暗号文cが生成される。第1鍵暗号文cと第2鍵暗号文cと情報復号鍵暗号文eは、情報暗号化鍵pk、第1鍵暗号化鍵pk、第2鍵暗号化鍵pkと共に、公開鍵として公開される。
図5(B)に、公開鍵暗号システム10が用いる公開鍵暗号方式の復号処理の概要を示す。暗号文cは、情報暗号化鍵pkと対になる情報復号鍵skを用いて復号され、平文mが生成される。情報復号鍵skは、情報復号鍵暗号文eを、第1鍵Kと第2鍵Kを入力とする2情報源乱数抽出器の出力との排他的論理和を計算することで復号し、取得される。第1鍵Kは、公開鍵である第1鍵暗号文cを、秘密鍵である第1鍵復号鍵skを用いて復号し、取得される。第2鍵Kは、公開鍵である第2鍵暗号文cを、秘密鍵である第2鍵復号鍵skを用いて復号し、取得される。
このように、暗号文cの復号に用いる鍵である情報復号鍵skは、第1鍵Kと第2鍵Kにより暗号化されているため、暗号文cを復号するためには、第1鍵暗号文cを復号するための第1鍵復号鍵skと、第2鍵暗号文cを復号するための第2鍵復号鍵skの両方が必要とされる。ここでは2分割モデルにおける公開鍵暗号を想定しているので、第1鍵復号鍵skと第2鍵復号鍵skが互いの情報が依存して漏洩することはない。よって、この実施例の公開鍵暗号方式は秘密鍵漏洩耐性があると言える。サイドチャネル攻撃に対して2つの秘密鍵が同時に漏洩しないようにするためには、例えばそれぞれを異なる物理デバイス(ハードディスクドライブや不揮発性メモリなど)に記憶させるなどの実装を検討する必要がある。
非特許文献4に記載されている従来の標的暗号文確定後の秘密鍵漏洩耐性をもつ公開鍵暗号方式は、送信装置側で第1鍵Kと第2鍵Kを生成し、第1鍵Kと第2鍵Kを用いて暗号化した暗号文cと共に、第1鍵暗号文cと第2鍵暗号文cを受信装置へ送信する構成となっていた。一方、この発明は、KEMとして標的暗号文確定後の秘密鍵漏洩耐性をもつ鍵カプセル化方式を適用することで、送信装置が平文を暗号化する際の公開鍵暗号方式を選択する自由度を高めている。そのためより安全性が高い適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式を適用することができる。その結果、公開鍵暗号方式全体として適応的選択暗号文攻撃に対する安全性を達成している。
この実施例の公開鍵暗号システム10は、送信装置100の備える情報暗号化部120が平文mを適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により暗号化するため、適応的選択暗号文攻撃によっても暗号文から平文のいかなる部分情報も得られることがない。また、受信装置200が備える情報鍵暗号化部223が暗号文cの復号に用いる秘密鍵である情報復号鍵skを標的確定後秘密鍵漏洩耐性がある鍵カプセル化方式により暗号化し、鍵消去部240が情報復号鍵skを消去するため、標的とする暗号文が確定した後に秘密鍵が部分的に漏洩したとしても秘匿性が保証される。すなわち、この実施例の公開鍵暗号システム10によれば、標的暗号文確定後の秘密鍵漏洩耐性があり、かつ適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により安全に情報を送受信することができる。
従来の公開鍵暗号方式では、一般的に暗号化実行時に乱数を生成して利用する。この乱数を暗号化乱数と呼ぶ。サイドチャネル攻撃の進展により、暗号化乱数が部分的に漏洩した場合の安全性も考慮する必要があると考えられている。暗号化乱数が部分的に漏洩したとしても安全な公開鍵暗号方式として、「H. Namiki, K. Tanaka, and K. Yasunaga. “Randomness Leakage in the KEM/DEM Framework.” In ProvSec, volume 6980 of Lecture Notes in Computer Science, pages 309-323. Springer, 2011.(参考文献2)」が提案されている。参考文献2の公開鍵暗号方式は、暗号化乱数漏洩耐性があり選択平文攻撃に対して識別不可能な公開鍵暗号方式である。一方で、参考文献2の公開鍵暗号方式は秘密鍵漏洩耐性を有さない。この実施例は、実施例1の標的暗号文確定後の秘密鍵漏洩耐性があり、かつ適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式を、さらに暗号化乱数漏洩耐性を有するように構成したものである。
図6〜8を参照して、この発明の実施例2の公開鍵暗号システム20の動作を詳細に説明する。図6は、公開鍵暗号システム20の構成を示すブロック図である。図7は、公開鍵暗号システム20を構成する装置の構成を示すブロック図である。図8は、公開鍵暗号システム20が情報を送受信する動作を示すフロー図である。
図6,7を参照して、公開鍵暗号システム20の構成を説明する。この実施例の公開鍵暗号システム20は、ネットワーク1と送信装置101と受信装置200から構成される。送信装置101と受信装置200はネットワーク1に接続される。ネットワーク1は送信装置101と受信装置200が相互に通信可能であればよく、例えばインターネットやLAN、WANなどで構成することができる。送信装置101は、暗号化乱数生成部111と情報暗号化部120を備える。したがって、この実施例の公開鍵暗号システム20と実施例1の公開鍵暗号システム10とは、送信装置の暗号化乱数生成部の処理が異なることが相違点である。
公開鍵暗号システム20が鍵生成する動作は、実施例1の公開鍵暗号システム10が鍵生成する動作と同様であるため、説明は省略する。
図8を参照して、公開鍵暗号システム20が情報を送受信する動作を実際に行われる手続きの順に従って説明する。
送信装置101の暗号化乱数生成部111は、乱数r,rを生成する(S1111)。次に、乱数r,rを入力として、2情報源乱数抽出器により、暗号化乱数ωを生成する(S1112)。したがって、暗号化乱数生成部111の処理は、以下の式のように表すことができる。
Figure 0005689839
送信装置101の情報暗号化部120は、送信対象である平文mを、受信装置200から受信した公開鍵PKに含まれる情報暗号化鍵pkと暗号化乱数生成部111の生成した暗号化乱数ωを用いて、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式の暗号化アルゴリズムEncCCAにより暗号化して、暗号文cを生成する。次に、生成した暗号文cを受信装置200へ送信する(S120)。したがって、情報暗号化部120の処理は、以下の式のように表すことができる。
Figure 0005689839
この実施例の公開鍵暗号システム20は、送信装置101の備える情報暗号化部120が平文mを適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により暗号化する際に利用する暗号化乱数ωを、2つの乱数r,rを用いて生成するため、暗号化乱数が部分的に漏洩したとしても秘匿性が保証される。すなわち、この実施例の公開鍵暗号システム20によれば、標的暗号文確定後の秘密鍵漏洩耐性があり、かつ適応的選択暗号文攻撃に対して識別不可能であり、さらに暗号化乱数漏洩耐性を有する公開鍵暗号方式により安全に情報を送受信することができる。
図9〜13を参照して、この発明の実施例3の公開鍵暗号システム30の動作を詳細に説明する。図9は、公開鍵暗号システム30の構成を示すブロック図である。図10は、公開鍵暗号システム30を構成する装置の構成を示すブロック図である。図11は、公開鍵暗号システム30が鍵生成する動作を示すフロー図である。図12は、公開鍵暗号システム30が情報を送受信する動作を示すフロー図である。図13は、公開鍵暗号システム30の暗号化処理・復号処理を説明する図である。
図9,10を参照して、公開鍵暗号システム30の構成を説明する。この実施例の公開鍵暗号システム30は、ネットワーク1と送信装置101と受信装置201から構成される。送信装置101と受信装置201はネットワーク1に接続される。ネットワーク1は送信装置101と受信装置201が相互に通信可能であればよく、例えばインターネットやLAN、WANなどで構成することができる。受信装置201は、鍵生成乱数生成部214と情報鍵対生成部215と鍵消去部231と鍵公開部241と鍵記憶部291と鍵生成乱数復元部254と情報鍵対復元部255と情報復号部260を備える。
図11を参照して、公開鍵暗号システム30が鍵生成する動作を実際に行われる手続きの順に従って説明する。
受信装置201の鍵生成乱数生成部214は、乱数ρと乱数ρを生成する(S2141)。次に、乱数ρと当該乱数ρとを入力として、2情報源乱数抽出器により、鍵生成乱数ρを生成する(S2142)。したがって、鍵生成乱数生成部214の処理は、以下の式のように表すことができる。
Figure 0005689839
受信装置201の情報鍵対生成部215は、入力されたセキュリティパラメータ1λに基づいて、鍵生成乱数生成部214の生成した鍵生成乱数ρを用いて、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式の鍵生成アルゴリズムGenCCAにより情報暗号化鍵pkと情報復号鍵skを生成する(S215)。したがって、情報鍵対生成部215の処理は、以下の式のように表すことができる。
Figure 0005689839
受信装置201の鍵消去部231は、情報鍵対生成部215の生成した情報復号鍵skと鍵生成乱数生成部214の生成した鍵生成乱数ρを消去する(S231)。
受信装置201の鍵公開部241は、情報暗号化鍵pkを公開鍵PK:=(pk)として生成する(S241)。生成した公開鍵PKは送信装置101が利用できるように、送信装置101が一連の処理を実行する前に送信装置101へ送信される。ただし、送信装置101が公開鍵PKを利用できるようになればよく、受信装置201から送信装置101へ直接送信しなくともよい。例えば、公開鍵基盤(Public Key Infrastructure)を利用して送信装置101が受信装置201の公開鍵PKを取得できるようにしてもよい。
鍵生成乱数生成部214が生成した乱数ρと乱数ρは、一組の秘密鍵SK:=(ρ,ρ)として鍵記憶部291へ記憶される。
図12を参照して、公開鍵暗号システム30が情報を送受信する動作を実際に行われる手続きの順に従って説明する。
送信装置101の暗号化乱数生成部111は、乱数r,rを生成する。次に、乱数r,rを入力として、2情報源乱数抽出器により、暗号化乱数ωを生成する(S111)。したがって、暗号化乱数生成部111の処理は、以下の式のように表すことができる。
Figure 0005689839
送信装置101の情報暗号化部120は、送信対象である平文mを、受信装置201から受信した公開鍵PKに含まれる情報暗号化鍵pkと暗号化乱数生成部111の生成した暗号化乱数ωを用いて、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式の暗号化アルゴリズムEncCCAにより暗号化して、暗号文cを生成する(S120)。次に、生成した暗号文cを受信装置201へ送信する。したがって、情報暗号化部120の処理は、以下の式のように表すことができる。
Figure 0005689839
受信装置201の鍵生成乱数復元部254は、鍵記憶部290に記憶された秘密鍵SKに含まれる乱数ρと乱数ρとを入力として、2情報源乱数抽出器により、鍵生成乱数ρを生成する(S254)。したがって、鍵生成乱数復元部254の処理は、以下の式のように表すことができる。
Figure 0005689839
受信装置201の情報鍵対復元部255は、入力されたセキュリティパラメータ1λに基づいて、鍵生成乱数復元部254の生成した鍵生成乱数ρを用いて、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式の鍵生成アルゴリズムGenCCAにより情報暗号化鍵pkと情報復号鍵skを取得する(S255)。したがって、情報鍵対復元部255の処理は、以下の式のように表すことができる。
Figure 0005689839
情報鍵対復元部255は、情報鍵対生成部215と同じ鍵生成アルゴリズムGenCCAを、同じ鍵生成乱数ωを指定して実行する。そのため、情報鍵対復元部255が生成する情報暗号化鍵pkと情報復号鍵skは、情報鍵対生成部215が生成した情報暗号化鍵pkと情報復号鍵skと同じものとなる。
受信装置201の情報復号部260は、送信装置101から受信した暗号文cを、情報鍵対復元部255の復号した情報復号鍵skを用いて、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式の復号アルゴリズムDecCCAにより復号して、平文mを取得する(S260)。したがって、情報復号部260の処理は、以下の式のように表すことができる。
Figure 0005689839
図13(A)に、公開鍵暗号システム30が用いる公開鍵暗号方式の暗号化処理の概要を示す。図中の記号は明細書中の記号と対応している。点線で囲まれている記号は、その情報が公開情報であることを示している。平文mは、情報暗号化鍵pkを用いて暗号化され、暗号文cが生成される。情報暗号化鍵pkは、乱数ρ1と乱数ρ2を入力とする2情報源乱数抽出器の出力である鍵生成乱数ρを用いて生成される。情報暗号化鍵pkと対になる情報復号鍵skは生成後そのまま消去される。
図13(B)に、公開鍵暗号システム30が用いる公開鍵暗号方式の復号処理の概要を示す。暗号文cは、情報復号鍵skを用いて復号され、平文mが生成される。情報復号鍵skは、秘密鍵SKに含まれる乱数ρと乱数ρを入力とする2情報源乱数抽出器の出力である鍵生成乱数ρを用いて生成される。上述の通り、同じ鍵生成乱数ρを用いることで、同じ情報復号鍵skを生成することができる。
このように、暗号文cの復号に用いる秘密鍵である情報復号鍵skを取得するためには、乱数ρと乱数ρの両方が必要とされる。ここでは乱数ρと乱数ρが同時に漏洩することは想定しないため、この実施例の公開鍵暗号方式は秘密鍵漏洩耐性があると言える。サイドチャネル攻撃に対して2つの秘密鍵が同時に漏洩しないようにするためには、例えばそれぞれを異なる物理デバイス(ハードディスクドライブや不揮発性メモリなど)に記憶させるなどの実装を検討する必要がある。
この実施例の公開鍵暗号システム30は、送信装置101の備える情報暗号化部120が、平文mを適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により暗号化するため、適応的選択暗号文攻撃によっても暗号文から平文のいかなる部分情報も得られることがない。また、情報暗号化部120が、暗号化する際に利用する暗号化乱数ωを、2つの乱数r,rを用いて生成するため、暗号化乱数が部分的に漏洩したとしても秘匿性が保証される。さらに、受信装置201が備える情報鍵対生成部215が情報復号鍵skを生成する時と、情報鍵対復元部255が情報復号鍵skを生成する時に利用する鍵生成乱数ρが2つの乱数ρ1,ρ2によって生成され、乱数ρ1,ρ2が秘密鍵SKとして別々に記憶されており、鍵消去部240が情報復号鍵skを消去するため、標的とする暗号文が確定した後に秘密鍵が部分的に漏洩したとしても秘匿性が保証される。すなわち、この実施例の公開鍵暗号システム30によれば、標的暗号文確定後の秘密鍵漏洩耐性があり、かつ適応的選択暗号文攻撃に対して識別不可能であり、さらに暗号化乱数漏洩耐性を有する公開鍵暗号方式により安全に情報を送受信することができる。
この実施例の公開鍵暗号方式は安全性に関しては実施例2と同等であるが、KEMとして標的確定後秘密鍵漏洩耐性がある選択平文攻撃に対して識別不可能な公開鍵暗号方式を利用しないため、実施例2の公開鍵暗号方式よりも計算量が削減でき効率がよい。
[この発明と従来技術との比較]
図14に各実施例で利用する公開鍵暗号方式と従来技術との比較を示す。“方式”列は、この明細書における文献の番号、もしくはこの明細書における実施例の番号を表す。“安全性”列は、それぞれの方式が達成している安全性を表す。「CPA安全」とは、選択平文攻撃(Chosen Plaintext Attack)に対して識別不可能であることを表す。「CCA安全」とは、適応的選択暗号文攻撃(Adaptive Chosen Ciphertext Attack)に対して識別不可能であることを表す。“秘密鍵漏洩耐性”列は、それぞれの方式が達成している秘密鍵漏洩耐性を表す。「なし」は秘密鍵漏洩耐性を有さないことを表す。「標的確定前」は標的暗号文確定前の秘密鍵漏洩耐性を有するが、標的暗号文確定後の秘密鍵漏洩耐性を有さないことを表す。「標的確定後」は標的暗号文確定前後の秘密鍵漏洩耐性を有することを表す。“暗号化乱数”列は、それぞれの方式が達成している暗号化乱数漏洩耐性を表す。「なし」は暗号化乱数漏洩耐性を有さないことを表す。「あり」は暗号化乱数漏洩耐性を有することを表す。
非特許文献または参考文献には、適応的選択暗号文攻撃に対して識別不可能であり、標的暗号文確定後の秘密鍵漏洩耐性を有する方式は存在しないことがわかる。一方、この発明の実施例はいずれも、適応的選択暗号文攻撃に対して識別不可能であり、標的暗号文確定後の秘密鍵漏洩耐性を有している。また、適応的選択暗号文攻撃に対して識別不可能であり、標的暗号文確定後の秘密鍵漏洩耐性を有し、さらに暗号化乱数漏洩耐性を有する方式は、この発明の実施例2,3しか存在しないことがわかる。なお、実施例2と実施例3は同等の安全性を達成しているが、上述の通り、KEMの公開鍵暗号方式が異なることによる計算効率の差異がある。
[プログラム、記録媒体]
この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施例において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
また、上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
1 ネットワーク
10,20,30 公開鍵暗号システム
100,101 送信装置
110,111 暗号化乱数生成部 120 情報暗号化部
200,201 受信装置
211 情報鍵対生成部 212 第1鍵対生成部
213 第2鍵対生成部 214 鍵生成乱数生成部
215 情報鍵対生成部 221 第1鍵暗号化部
222 第2鍵暗号化部 223 情報鍵暗号化部
230,231 鍵消去部 240,241 鍵公開部
251 第1鍵復号部 252 第2鍵復号部
253 情報鍵復号部 254 鍵生成乱数復元部
255 情報鍵対復元部 260 情報復号部
290 鍵記憶部

Claims (8)

  1. 送信装置と受信装置を含む公開鍵暗号システムであって、
    前記受信装置は、
    適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により情報暗号化鍵pkと情報復号鍵skを生成する情報鍵対生成部と、
    標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により第1鍵暗号化鍵pkと第1鍵復号鍵skを生成する第1鍵対生成部と、
    前記標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により第2鍵暗号化鍵pkと第2鍵復号鍵skを生成する第2鍵対生成部と、
    第1鍵Kを無作為に生成し、当該第1鍵Kを、前記第1鍵暗号化鍵pkを用いて、前記標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により暗号化して、第1鍵暗号文cを生成する第1鍵暗号化部と、
    第2鍵Kを無作為に生成し、当該第2鍵Kを、前記第2鍵暗号化鍵pkを用いて、前記標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により暗号化して、第2鍵暗号文cを生成する第2鍵暗号化部と、
    前記第1鍵Kと前記第2鍵Kとから前記情報復号鍵skとビット長が等しい乱数Kを生成し、当該乱数Kと前記情報復号鍵skとの排他的論理和を計算することで、前記情報復号鍵暗号文eを生成する情報鍵暗号化部と、
    前記情報復号鍵skを消去する鍵消去部と、
    前記情報暗号化鍵pkと前記第1鍵暗号化鍵pkと前記第2鍵暗号化鍵pkと前記第1鍵暗号文cと前記第2鍵暗号文cと前記情報復号鍵暗号文eを一組とした公開鍵PK:=(pk,pk,pk,c,c,e)を生成する鍵公開部と、
    前記第1鍵復号鍵skと前記第2鍵復号鍵skを一組とした秘密鍵SK:=(sk,sk)を記憶する鍵記憶部と、
    前記第1鍵暗号文cを、前記第1鍵復号鍵skを用いて、前記標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により復号して、前記第1鍵Kを取得する第1鍵復号部と、
    前記第2鍵暗号文cを、前記第2鍵復号鍵skを用いて、前記標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により復号して、前記第2鍵Kを取得する第2鍵復号部と、
    前記第1鍵Kと前記第2鍵Kとから前記乱数Kを生成し、当該乱数Kと前記情報復号鍵暗号文eとの排他的論理和を計算することで前記情報復号鍵skを取得する情報鍵復号部と、
    前記送信装置から受信した暗号文cを、前記情報復号鍵skを用いて、前記適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により復号して、平文mを取得する情報復号部と、
    を備え、
    前記送信装置は、
    暗号化乱数ωを生成する暗号化乱数生成部と、
    前記平文mを、前記受信装置の前記情報暗号化鍵pkと前記暗号化乱数ωを用いて、前記適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により暗号化して、前記暗号文cを生成し、前記受信装置へ送信する情報暗号化部と、
    を備えることを特徴とする公開鍵暗号システム。
  2. 請求項1に記載の公開鍵暗号システムであって、
    前記暗号化乱数生成部は、乱数rと乱数rを生成し、当該乱数rと当該乱数rとから前記暗号化乱数ωを生成する
    ことを特徴とする公開鍵暗号システム。
  3. 送信装置と受信装置からなる公開鍵暗号システムであって、
    前記受信装置は、
    乱数ρと乱数ρを生成し、当該乱数ρと当該乱数ρとから鍵生成乱数ρを生成する鍵生成乱数生成部と、
    前記鍵生成乱数ρを用いて、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により情報暗号化鍵pkと情報復号鍵skを生成する情報鍵対生成部と、
    前記情報復号鍵skと前記鍵生成乱数ρを消去する鍵消去部と、
    前記情報暗号化鍵pkを公開鍵PK:=(pk)として生成する鍵公開部と、
    前記乱数ρと前記乱数ρを一組とした秘密鍵SK:=(ρ,ρ)を記憶する鍵記憶部と、
    前記乱数ρと前記乱数ρとから前記鍵生成乱数ρを取得する鍵生成乱数復元部と、
    前記鍵生成乱数ρを用いて、前記適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により前記情報暗号化鍵pkと前記情報復号鍵skを取得する情報鍵対復元部と、
    前記送信装置から受信した暗号文cを、前記情報復号鍵skを用いて、前記適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により復号して、平文mを取得する情報復号部と、
    を備え、
    前記送信装置は、
    乱数rと乱数rを生成し、当該乱数rと当該乱数rとから暗号化乱数ωを生成する暗号化乱数生成部と、
    前記平文mを、前記受信装置の前記情報暗号化鍵pkと前記暗号化乱数ωを用いて、前記適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により暗号化して、前記暗号文cを生成し、前記受信装置へ送信する情報暗号化部と、
    を備えることを特徴とする公開鍵暗号システム。
  4. 適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により情報暗号化鍵pkと情報復号鍵skを生成する情報鍵対生成部と、
    標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により第1鍵暗号化鍵pkと第1鍵復号鍵skを生成する第1鍵対生成部と、
    前記標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により第2鍵暗号化鍵pkと第2鍵復号鍵skを生成する第2鍵対生成部と、
    第1鍵Kを無作為に生成し、当該第1鍵Kを、前記第1鍵暗号化鍵pkを用いて、前記標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により暗号化して、第1鍵暗号文cを生成する第1鍵暗号化部と、
    第2鍵Kを無作為に生成し、当該第2鍵Kを、前記第2鍵暗号化鍵pkを用いて、前記標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により暗号化して、第2鍵暗号文cを生成する第2鍵暗号化部と、
    前記第1鍵Kと前記第2鍵Kとから前記情報復号鍵skとビット長が等しい乱数Kを生成し、当該乱数Kと前記情報復号鍵skとの排他的論理和を計算することで、前記情報復号鍵暗号文eを生成する情報鍵暗号化部と、
    前記情報復号鍵skを消去する鍵消去部と、
    前記情報暗号化鍵pkと前記第1鍵暗号化鍵pkと前記第2鍵暗号化鍵pkと前記第1鍵暗号文cと前記第2鍵暗号文cと前記情報復号鍵暗号文eを一組とした公開鍵PK:=(pk,pk,pk,c,c,e)を生成する鍵公開部と、
    前記第1鍵復号鍵skと前記第2鍵復号鍵skを一組とした秘密鍵SK:=(sk,sk)を記憶する鍵記憶部と、
    前記第1鍵暗号文cを、前記第1鍵復号鍵skを用いて、前記標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により復号して、前記第1鍵Kを取得する第1鍵復号部と、
    前記第2鍵暗号文cを、前記第2鍵復号鍵skを用いて、前記標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により復号して、前記第2鍵Kを取得する第2鍵復号部と、
    前記第1鍵Kと前記第2鍵Kとから前記乱数Kを生成し、当該乱数Kと前記情報復号鍵暗号文eとの排他的論理和を計算することで前記情報復号鍵skを取得する情報鍵復号部と、
    前記送信装置から受信した暗号文cを、前記情報復号鍵skを用いて、前記適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により復号して、平文mを取得する情報復号部と、
    を備える受信装置。
  5. 乱数ρと乱数ρを生成し、当該乱数ρと当該乱数ρとから鍵生成乱数ρを生成する鍵生成乱数生成部と、
    前記鍵生成乱数ρを用いて、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により情報暗号化鍵pkと情報復号鍵skを生成する情報鍵対生成部と、
    前記情報復号鍵skと前記鍵生成乱数ρを消去する鍵消去部と、
    前記情報暗号化鍵pkを公開鍵PK:=(pk)として生成する鍵公開部と、
    前記乱数ρと前記乱数ρを一組とした秘密鍵SK:=(ρ,ρ)を記憶する鍵記憶部と、
    前記乱数ρと前記乱数ρとから前記鍵生成乱数ρを取得する鍵生成乱数復元部と、
    前記鍵生成乱数ρを用いて、前記適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により前記情報暗号化鍵pkと前記情報復号鍵skを取得する情報鍵対復元部と、
    前記送信装置から受信した暗号文cを、前記情報復号鍵skを用いて、前記適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により復号して、平文mを取得する情報復号部と、
    を備える受信装置。
  6. 受信装置が、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により情報暗号化鍵pkと情報復号鍵skを生成する情報鍵対生成ステップと、
    前記受信装置が、標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により第1鍵暗号化鍵pkと第1鍵復号鍵skを生成する第1鍵対生成ステップと、
    前記受信装置が、前記標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により第2鍵暗号化鍵pkと第2鍵復号鍵skを生成する第2鍵対生成ステップと、
    前記受信装置が、第1鍵Kを無作為に生成し、当該第1鍵Kを、前記第1鍵暗号化鍵pkを用いて、前記標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により暗号化して、第1鍵暗号文cを生成する第1鍵暗号化ステップと、
    前記受信装置が、第2鍵Kを無作為に生成し、当該第2鍵Kを、前記第2鍵暗号化鍵pkを用いて、前記標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により暗号化して、第2鍵暗号文cを生成する第2鍵暗号化ステップと、
    前記受信装置が、前記第1鍵Kと前記第2鍵Kとから前記情報復号鍵skとビット長が等しい乱数Kを生成し、当該乱数Kと前記情報復号鍵skとの排他的論理和を計算することで、前記情報復号鍵暗号文eを生成する情報鍵暗号化ステップと、
    前記受信装置が、前記情報復号鍵skを消去する鍵消去ステップと、
    前記受信装置が、前記情報暗号化鍵pkと前記第1鍵暗号化鍵pkと前記第2鍵暗号化鍵pkと前記第1鍵暗号文cと前記第2鍵暗号文cと前記情報復号鍵暗号文eを一組とした公開鍵PK:=(pk,pk,pk,c,c,e)を生成する鍵公開ステップと、
    前記受信装置が、前記第1鍵復号鍵skと前記第2鍵復号鍵skを一組とした秘密鍵SK:=(sk,sk)を記憶する鍵記憶ステップと、
    送信装置が、暗号化乱数ωを生成する暗号化乱数生成ステップと、
    前記送信装置が、平文mを、前記受信装置の前記情報暗号化鍵pkと前記暗号化乱数ωを用いて、前記適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により暗号化して、暗号文cを生成し、前記受信装置へ送信する情報暗号化ステップと、
    前記受信装置が、前記第1鍵暗号文cを、前記第1鍵復号鍵skを用いて、前記標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により復号して、前記第1鍵Kを取得する第1鍵復号ステップと、
    前記受信装置が、前記第2鍵暗号文cを、前記第2鍵復号鍵skを用いて、前記標的確定後秘密鍵漏洩耐性のある鍵カプセル化方式により復号して、前記第2鍵Kを取得する第2鍵復号ステップと、
    前記受信装置が、前記第1鍵Kと前記第2鍵Kとから前記乱数Kを生成し、当該乱数Kと前記情報復号鍵暗号文eとの排他的論理和を計算することで前記情報復号鍵skを取得する情報鍵復号ステップと、
    前記受信装置が、前記送信装置から受信した前記暗号文cを、前記情報復号鍵skを用いて、前記適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により復号して、前記平文mを取得する情報復号ステップと、
    を含む公開鍵暗号方法。
  7. 受信装置が、乱数ρと乱数ρを生成し、当該乱数ρと当該乱数ρとから鍵生成乱数ρを生成する鍵生成乱数生成ステップと、
    前記受信装置が、前記鍵生成乱数ρを用いて、適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により情報暗号化鍵pkと情報復号鍵skを生成する情報鍵対生成ステップと、
    前記受信装置が、前記情報復号鍵skと前記鍵生成乱数ρを消去する鍵消去ステップと、
    前記受信装置が、前記情報暗号化鍵pkを公開鍵PK:=(pk)として生成する鍵公開ステップと、
    前記受信装置が、前記乱数ρと前記乱数ρを一組とした秘密鍵SK:=(ρ,ρ)を記憶する鍵記憶ステップと、
    送信装置が、乱数rと乱数rを生成し、当該乱数rと当該乱数rとから暗号化乱数ωを生成する暗号化乱数生成ステップと、
    前記送信装置が、平文mを、前記受信装置の前記情報暗号化鍵pkと前記暗号化乱数ωを用いて、前記適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により暗号化して、暗号文cを生成し、前記受信装置へ送信する情報暗号化ステップと、
    前記受信装置が、前記乱数ρと前記乱数ρとから前記鍵生成乱数ρを取得する鍵生成乱数復元ステップと、
    前記受信装置が、前記鍵生成乱数ρを用いて、前記適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により前記情報暗号化鍵pkと前記情報復号鍵skを取得する情報鍵対復元ステップと、
    前記受信装置が、前記送信装置から受信した前記暗号文cを、前記情報復号鍵skを用いて、前記適応的選択暗号文攻撃に対して識別不可能な公開鍵暗号方式により復号して、前記平文mを取得する情報復号ステップと、
    を含む公開鍵暗号方法。
  8. 請求項4または5に記載の受信装置としてコンピュータを機能させるためのプログラム。
JP2012031510A 2012-02-16 2012-02-16 公開鍵暗号システム、公開鍵暗号方法、受信装置、およびプログラム Expired - Fee Related JP5689839B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012031510A JP5689839B2 (ja) 2012-02-16 2012-02-16 公開鍵暗号システム、公開鍵暗号方法、受信装置、およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012031510A JP5689839B2 (ja) 2012-02-16 2012-02-16 公開鍵暗号システム、公開鍵暗号方法、受信装置、およびプログラム

Publications (2)

Publication Number Publication Date
JP2013168833A JP2013168833A (ja) 2013-08-29
JP5689839B2 true JP5689839B2 (ja) 2015-03-25

Family

ID=49178919

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012031510A Expired - Fee Related JP5689839B2 (ja) 2012-02-16 2012-02-16 公開鍵暗号システム、公開鍵暗号方法、受信装置、およびプログラム

Country Status (1)

Country Link
JP (1) JP5689839B2 (ja)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH02195377A (ja) * 1989-01-24 1990-08-01 Matsushita Electric Ind Co Ltd 鍵共有機能付きicカード
JPH09238132A (ja) * 1996-02-29 1997-09-09 Oki Electric Ind Co Ltd 携帯用端末通信システム及びその通信方法
JP4150328B2 (ja) * 2003-12-08 2008-09-17 日本電信電話株式会社 ハイブリッド暗号装置およびハイブリッド暗号・復号方法
JP4963835B2 (ja) * 2006-01-12 2012-06-27 日本電信電話株式会社 暗号化方法と復号方法、それらの方法を利用した装置、システム、およびプログラム
JP2007258852A (ja) * 2006-03-22 2007-10-04 Mitsubishi Electric Corp データ管理装置及び端末装置及び鍵生成方法及び復号方法及びプログラム
JP4316636B2 (ja) * 2007-06-06 2009-08-19 株式会社東芝 コンテンツ配信・閲覧システム、コンテンツ配信装置、コンテンツ閲覧装置及びプログラム
CN102396011B (zh) * 2009-04-24 2014-04-16 日本电信电话株式会社 加密装置、解密装置、加密方法、解密方法、安全方法、程序以及记录介质
JP2011150006A (ja) * 2010-01-19 2011-08-04 Hitachi Ltd 暗号化システム、公開鍵暗号化方法、鍵生成装置、計算機および公開鍵秘密鍵生成プログラム
CN103004129B (zh) * 2010-07-23 2015-04-08 日本电信电话株式会社 加密装置、解密装置、加密方法、解密方法、程序及记录介质

Also Published As

Publication number Publication date
JP2013168833A (ja) 2013-08-29

Similar Documents

Publication Publication Date Title
US10785019B2 (en) Data transmission method and apparatus
JP6019453B2 (ja) 暗号化装置、復号化装置、及びプログラム
EP1569378A1 (en) Key sharing system, shared key creation device, and shared key restoration device
CN107154845B (zh) 一种基于属性的bgn型密文解密外包方案
CN109726567B (zh) 一种基于全同态加密的移动目标加密方法
CN111404952B (zh) 变电站数据加密传输方法、装置、计算机设备和存储介质
JP6556955B2 (ja) 通信端末、サーバ装置、プログラム
JP5670365B2 (ja) 暗号文検索システム、検索情報生成装置、検索実行装置、検索要求装置、暗号文検索方法、検索情報生成方法、検索実行方法、検索要求方法、およびプログラム
JP4869824B2 (ja) 受信者装置及び送信者装置及び暗号通信システム及びプログラム
WO2018043049A1 (ja) 暗号システム、暗号方法及び暗号プログラム
US11271743B2 (en) Plaintext equivalence proof techniques in communication systems
US20160285621A1 (en) Decoy bits method for direct encryption and key generation
JP6368047B2 (ja) 鍵交換方法、鍵交換システム、鍵配送装置、代表通信装置、一般通信装置、およびプログラム
CN113807534A (zh) 联邦学习模型的模型参数训练方法、装置和电子设备
CN113806759A (zh) 联邦学习模型的训练方法、装置、电子设备和存储介质
JP4563037B2 (ja) 暗号化装置および復号化装置、並びにこれらを備えた暗号システム、暗号化方法および復号化方法
JP5945525B2 (ja) 鍵交換システム、鍵交換装置、その方法、及びプログラム
Herder et al. Public key cryptosystems with noisy secret keys
CN114422114B (zh) 基于多时间服务器的时控性加密方法和系统
JP2006227411A (ja) 通信システム、暗号化装置、鍵生成装置、鍵生成方法、復元装置、通信方法、暗号化方法、暗号復元方法
JP5689839B2 (ja) 公開鍵暗号システム、公開鍵暗号方法、受信装置、およびプログラム
EP2225846B1 (en) Method to generate a private key in a Boneh-Franklin scheme
JP6759168B2 (ja) 難読化回路生成装置、難読化回路計算装置、難読化回路生成方法、難読化回路計算方法、プログラム
JP2005084568A (ja) セキュリティ方法、セキュリティ装置及びセキュリティプログラム
JP6267657B2 (ja) 安全性強化方法、安全性強化システム、安全性強化装置、検証装置、およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140203

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141030

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150120

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150129

R150 Certificate of patent or registration of utility model

Ref document number: 5689839

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees