JP5752751B2 - 復号システム、端末装置、署名システム、その方法、及びプログラム - Google Patents

復号システム、端末装置、署名システム、その方法、及びプログラム Download PDF

Info

Publication number
JP5752751B2
JP5752751B2 JP2013149152A JP2013149152A JP5752751B2 JP 5752751 B2 JP5752751 B2 JP 5752751B2 JP 2013149152 A JP2013149152 A JP 2013149152A JP 2013149152 A JP2013149152 A JP 2013149152A JP 5752751 B2 JP5752751 B2 JP 5752751B2
Authority
JP
Japan
Prior art keywords
information
value
terminal device
ciphertext
integer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013149152A
Other languages
English (en)
Other versions
JP2015022098A (ja
Inventor
鉄太郎 小林
鉄太郎 小林
山本 剛
剛 山本
麗生 吉田
麗生 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013149152A priority Critical patent/JP5752751B2/ja
Publication of JP2015022098A publication Critical patent/JP2015022098A/ja
Application granted granted Critical
Publication of JP5752751B2 publication Critical patent/JP5752751B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、秘密分散法を用いた復号システム、その復号システムにおいて利用する端末装置、秘密分散法を用いた署名システム、その署名システムにおいて利用する端末装置、その方法、及びプログラムに関する。
秘密分散法を用いた復号方法として、非特許文献1が従来技術として知られている。
Secret Sharing方式では、多項式
f(x)=aK-1xK-1+…+ a1x1+a0 (1)
を用いて、真の秘密情報a0を保存する代わりに、f(1),f(2),…,f(N)の値を分散された秘密情報として、複数の装置に保存する。
(K,N)しきい値秘密分散法では、N個の分散された秘密情報f(n)のうちの任意の相異なるK個の秘密情報f(nk)が集まると、真の秘密情報a0を求めることができる。一方、任意の相異なるK-1個の秘密情報f(nk')では、真の秘密情報a0に関して全く情報が得られない。ここで、Nは2以上の整数、Kは1以上N以下の整数、n=1,2,…,N、k=1,2,…,K、k'=1,2,…,K-1、nk及びnk'はそれぞれk及びk'に対応する1,2,…,Nの何れかの値である。
複数の装置で分散された秘密情報f(n)を保存することで、K-1個まで分散された秘密情報f(n)を盗まれても真の秘密情報a0が漏れず、また、N-K個まで分散された秘密情報f(n)を紛失したり破壊されても真の秘密情報a0を復元できる。
岡本龍明、山本博資著、「現代暗号」、1997年、産業図書、pp209〜218.
しかしながら、従来技術の場合、一度K個の秘密情報f(nk)を集めてしまうと、真の秘密情報a0を計算できてしまうため、真の秘密情報a0を利用した後に確実に消去する必要があり、消去を失敗すると情報漏洩する可能性がある。
本発明の第一の態様は、真の秘密情報a0を計算せずに、復号文を取得することができる復号システム、その復号システムにおいて利用する端末装置、その方法、及びプログラムを提供することを目的とする。
また、本発明の他の態様は、真の秘密情報a0を計算せずに、電子署名を生成することができる署名システム、その署名システムにおいて利用する端末装置、その方法、及びプログラムを提供することを目的とする。
上記の課題を解決するために、本発明の第一の態様によれば、復号システムは、Nを2以上の整数とし、n=1,…,Nとし、端末装置と、N個の代理計算装置nとを含む。Kを1以上N以下の整数とし、f(x)=a(K-1)x(K-1)+…+a1x+a0とし、a0=f(0)を真の秘密情報とし、jnをn毎に異なる1以上の整数とし、f(jn)を分散された秘密情報とし、代理計算装置nは、分散された秘密情報f(jn)が記憶される記憶部と、暗号文に対応する情報τと分散された秘密情報f(jn)とを用いて値f(jn)τを求める計算部と、を含む。端末装置は、暗号文に対応する情報τから値f(jn)τを求めるように代理計算装置nに対して依頼する依頼部と、k=1,2,…,K、jkをk毎に異なるj1,j2,…,jNの何れかの値とし、K個の値f(jk)τを用いて、復号文に対応する情報a0τを求める復号部と、を含む。
上記の課題を解決するために、本発明の他の態様によれば、署名システムは、Nを2以上の整数とし、n=1,…,Nとし、端末装置と、N個の代理計算装置nとを含む。Kを1以上N以下の整数とし、f(x)=a(K-1)x(K-1)+…+a1x+a0とし、a0=f(0)を真の秘密情報とし、jnをn毎に異なる1以上の整数とし、f(jn)を分散された秘密情報とし、代理計算装置nは、分散された秘密情報f(jn)が記憶される記憶部と、平文に対応する情報τと分散された秘密情報f(jn)とを用いて値f(jn)τを求める計算部と、を含む。端末装置は、平文に対応する情報τから値f(jn)τを求めるように代理計算装置nに対して依頼する依頼部と、k=1,2,…,K、jkをk毎に異なるj1,j2,…,jNの何れかの値とし、K個の値f(jk)τを用いて、電子署名に対応する情報a0τを求める署名生成部と、を含む。
本発明によれば、真の秘密情報a0による情報漏洩を防止することができる。
第一実施形態に係る復号システムの構成例を示す図。 第一実施形態に係る復号システム1の処理フローを示す図。 第一実施形態に係る端末装置の機能ブロック図。 第一実施形態に係る代理計算装置の機能ブロック図 第二実施形態に係る復号システムの構成例を示す図。 第三実施形態に係る復号システムの構成例を示す図。 第三実施形態に係る復号システム1の処理フローを示す図。 第三実施形態に係る端末装置の機能ブロック図。 第四実施形態に係る電子署名システムの構成例を示す図。 第四実施形態に係る電子署名システムの処理フローを示す図。 第四実施形態に係る端末装置の機能ブロック図。
以下、本発明の実施形態について説明する。なお、以下の説明に用いる図面では、同じ機能を持つ構成部や同じ処理を行うステップには同一の符号を記し、重複説明を省略する。
<第一実施形態>
図1及び図2を用いて第一実施形態に係る復号システム1を説明する。図1は第一実施形態に係る復号システム1の構成例を、図2はその処理フローを示す。
復号システム1は、端末装置11と、N個の代理計算装置12−nとを含む。これらはネットワークを通じて通信可能に構成されている。ただし、Nは2以上の整数であり、n=1,…,Nである。
ここで、Kを1以上N以下の整数とし、f(x)=a(K-1)x(K-1)+…+a1x+a0とし、a0=f(0)を真の秘密情報とし、jnをn毎に異なる1以上の整数とし、f(jn)を分散された秘密情報とする。平文Mの暗号文Cに対応する情報τと真の秘密情報a0とを用いて復号文M'に対応する情報a0τを求めることができ、復号文M'に対応する情報a0τから復号文M'を得ることができるものとする。ここでは、群で定義された演算を加法的に表現する。すなわちGを巡回群とし、α∈Gに対する「αb」は、群Gで定義された演算をαに対してb回作用させることを意味する。
図3に示すように、端末装置11は、依頼部111と復号部112と記憶部113とを含む。代理計算装置12−nは、安全に管理される装置であり、図4に示すように、記憶部122と計算部121とを含む。図3及び図4は、それぞれ端末装置11及び代理計算装置12−nの機能ブロック図を示す。
端末装置11及び代理計算装置12−nは、ルータ装置、サーバ装置、携帯電話、ICカードなどの計算機能及び記憶機能を備えた機器や、特別なプログラムが読み込まれたCPU(central processing unit)やRAM(random-access memory)を備えた公知又は専用のコンピュータなどである。
<事前処理>
例えば、図示しない分配装置(公開鍵サーバ)は、公開鍵yと、公開鍵yに対応する秘密鍵dを生成し、公開鍵yを公開する。公開鍵暗号方式としては、ElGamal暗号方式、楕円ElGamal暗号方式、RSA暗号方式、Pailler暗号方式などが考えられる。また、分配装置は、秘密鍵dを真の秘密情報a0とし、a0を定数項とするランダムな(K-1)次の多項式を選び、
f(x)=a(K-1)x(K-1)+…+a1x+a0 (1)
とし、代理計算装置12−nに分散された秘密情報f(jn)を配る。さらに、分配装置は、分散された秘密情報f(jn)を配った後に、真の秘密情報a0を削除してもよい。
代理計算装置12−nは、分散された秘密情報f(jn)を受け取り、記憶部122に分散された秘密情報f(jn)を格納しておく。
図示しない端末装置は、公開鍵yを用いて、対応する公開鍵暗号方式により平文Mを暗号化し、暗号文C=Enc(y,M)を生成し、暗号文Cを端末装置11に送信する。
端末装置11は、暗号文Cを受け取り、記憶部113に暗号文Cを格納しておく。
<復号処理>
端末装置11の依頼部111は、暗号文Cに対応する情報τから値f(jn)τを求めるように代理計算装置12−nに対して依頼する(s1)。例えば、ネットワークを介して暗号文に対応する情報τと計算依頼情報(値f(jn)τを求めるように記述された情報)とをN個の代理計算装置12−nに送信する。なお、必ずしもN個の代理計算装置12−nに送信する必要はなく、少なくともK個の代理計算装置12−nに送信すればよい。
代理計算装置12−nの計算部121は、暗号文Cに対応する情報τを受け取ると、記憶部122から分散された秘密情報f(jn)を読み込み、暗号文Cに対応する情報τと分散された秘密情報f(jn)とを用いて値f(jn)τを求め(s2)、端末装置11に送信する。
端末装置11の復号部112は、K個の値f(jk)τを受け取ると、K個の値f(jk)τを用いて、復号文M'に対応する情報a0τを求める(s3)。ここで、k=1,2,…,K、jkはk毎に異なるj1,j2,…,jnの何れかの値である。例えば、K個の値f(jk)τをそれぞれ定数倍し、加算することで、復号文M'に対応する情報a0τを求める。さらに、復号部112は、復号文M'に対応する情報a0τから復号文M'を取得し、ディスプレイ等の出力部から出力する。なお、N-K個まで分散された秘密情報f(n)を紛失したり破壊されても復号文M'に対応する情報a0τを求めることができる。以下、K=2の場合、K=3の場合の例を示す。なお、説明を分かり易くするために、この例では、jn=jk=nとする。
<K=2の場合>
例えば、K=2、f(x)=a1x+a0の場合、a0=2f(1)+f(2)の関係が成り立つため(式(1)参照)、端末装置11の依頼部111は、代理計算装置12−1、12−2にそれぞれf(1)τ、f(2)τの計算を依頼する。端末装置11の復号部112は、f(1)τ、f(2)τを受け取ると、次式により、復号文M'に対応する情報a0τを求める。
a0τ=2f(1)τ+f(2)τ
このような構成とすることで、離散対数問題が困難な群であれば、端末装置11は、復号文M'に対応する情報a0τを知った後でも、真の秘密情報a0を知ることはできない。そのため、端末装置11は、暗号文Cと無関係な暗号文C'に対応する情報τ'から復号文M'に対応する情報a0τ'を求めることはできない。この点が、従来の秘密分散法とは異なる。
<K=3の場合>
また、例えば、K=3、f(x)=a2x2+a1x+a0の場合、a0=f(3)-2f(2)+f(1)の関係が成り立つため(式(1)参照)、端末装置11の依頼部111は、代理計算装置12−1、12−2、12−3にそれぞれf(1)τ、f(2)τ、f(3)τの計算を依頼する。端末装置11の復号部112は、f(1)τ、f(2)τ、f(3)τを受け取ると、次式により、復号文M'に対応する情報a0τを求める。
a0τ=f(3)τ-2f(2)τ+f(1)τ
以下、RSA暗号、ElGamal暗号、楕円ElGamal暗号を用いた場合の公開鍵暗号方式についてそれぞれ説明する。
(RSA暗号を用いた公開鍵暗号方式について)
RSA暗号を用いた公開鍵暗号方式の一例について説明する。まず、tをセキュリティパラメータとする。p,q(p≠q)をt/2ビットの素数とし、m=pqとする。eをφ(m)未満の正の整数で、φ(m)と互いに素な数とし、d(=a0)を、φ(m)を法としたeの逆数(de≡1(modφ(m)))とする。ただし、ここでφ(m)はmのオイラー関数で、この場合は(p-1)(q-1)に等しい。0以上m未満の整数の集合をZmで表す。Mを平文空間Zmの元とする。
RSA暗号を用いた公開鍵暗号方式では、公開鍵y=(e,m)とする。
図示しない端末装置は、公開鍵y=(e,m)を用いて、平文Mを次式により暗号化する。
C=Me mod m
ここでは、群で定義された演算を乗法的に表現する。すなわちGを群とし、α∈Gに対する「αb」は、群Gで定義された演算をαに対してb回作用させることを意味する。暗号文Cに対応する情報τを暗号文Cそのもの(τ=C)とし、復号文M'に対応する情報a0τをCa_0とし、復号文M'を次式により表す。
M'=Ca_0 mod m
なお、上付き添え字a_0は、a0を意味する。
端末装置11は、暗号文Cと計算依頼情報(値Cf(n)を求めるように記述された情報)とをN個の代理計算装置12−nに送信する。
代理計算装置12−nは、値Cf(n)を求め、端末装置11に送信する。
端末装置11は、公開鍵y=(m,e)とK個の値Cf(k)とを用いて、復号文M'=Cf(0) mod mを求める。
例えば、K=2、f(x)=a1x+a0の場合、a0=2f(1)+f(2)の関係が成り立つため、Cf(1)、Cf(2)を用いて、次式により復号文M'=Ca_0mod mを求めることができる。
M'=Ca_0 mod m =C2f(1)+f(2)mod m
(ElGamal暗号を用いた公開鍵暗号方式について)
ElGamalを用いた公開鍵暗号方式の一例について説明する。tをセキュリティパラメータとする。巡回群Gで、位数qが素数であり、かつqのビット数がtであるものを選ぶ。Gの生成元gを選ぶ。x(=a0)を{0,…,q-1}からランダムに選ぶ。h=gxとする。平文空間はGであり、MはGの元である。暗号文空間はG2であり、(C1,C2)∈G×Gである。
ElGamal暗号を用いた公開鍵暗号方式では、公開鍵y=(G,q,g,h=ga_0)とする。
図示しない端末装置は、公開鍵y=(G,q,g,h=ga_0)を用いて、平文Mを次式により暗号化する。
C=(C1,C2)
C1=gr
C2=Mhr
ただし、rは図示しない端末装置によって生成される乱数であり、0<r<qからランダムに選ばれる整数である。ここでは、群で定義された演算を乗法的に表現する。暗号文Cに対応する情報τを暗号文Cの一部であるC1とし、復号文M'に対応する情報a0τをC1 a_0とし、復号文M'を次式により表す。
M'=C2/C1 a_0
端末装置11は、暗号文の一部C1と計算依頼情報(値C1 f(n)を求めるように記述された情報)とをN個の代理計算装置12−nに送信する。
代理計算装置12−nは、値C1 f(n)を求め、端末装置11に送信する。
端末装置11は、公開鍵y=(G,q,g,h=ga_0)と暗号文Cの一部C2とK個の値C1 f(k)とを用いて、復号文M'=C2/C1 a_0を求める。
例えば、K=2、f(x)=a1x+a0の場合、a0=2f(1)+f(2)の関係が成り立つため、C1 f(1)、C1 f(2)を用いて、次式により復号文M'=C2/C1 a_0を求めることができる。
M'=C2/C1 a_0=C2/C1 2f(1)+f(2)
(楕円ElGamal暗号を用いた公開鍵暗号方式について)
Eを楕円曲線パラメータ、J及びHを楕円曲線E上の点、qを楕円曲線E上の点Jの位数とし、楕円ElGamal暗号を用いた公開鍵暗号方式では、公開鍵y=(E,q,J,H=a0J)とする。
図示しない端末装置は、公開鍵y=(J,H=a0J)を用いて、平文Mを次式により暗号化する。
C=(C1,C2)
C1=rJ
C2=M+rH
ただし、rは図示しない端末装置によって生成される乱数であり、0<r<qからランダムに選ばれる整数である。ここでは、群で定義された演算を加法的に表現する。暗号文Cに対応する情報τを暗号文Cの一部であるC1とし、復号文M'に対応する情報をa0C1とし、復号文M'を次式により表す。
M'=C2-a0C1
端末装置11は、暗号文の一部C1と計算依頼情報(値f(n)C1を求めるように記述された情報)とをN個の代理計算装置12−nに送信する。
代理計算装置12−nは、値f(n)C1を求め、端末装置11に送信する。
端末装置11は、公開鍵y=(E,q,J,H=a0J)と暗号文の一部C2とK個の値f(k)C1とを用いて、復号文M'=C2-a0C1を求める。
例えば、K=2、f(x)=a1x+a0の場合、a0=2f(1)+f(2)の関係が成り立つため、C1f(1)、C1f(2)を用いて、次式により復号文M'=C2-C1a0を求めることができる。
M'=C2-a0C1=C2-(2f(1)+f(2))C1
<効果>
このような構成により、真の秘密情報a0を計算せずに、復号文M'に対応する情報a0τを求めることができ、復号文M'に対応する情報a0τから復号文M'を取得することができる。端末装置11では、真の秘密情報a0を知ることはできないため、真の秘密情報a0の消去を失敗するということがなく、真の秘密情報a0の消去失敗による情報漏洩を防止することができる。また、秘密情報f(n)を配った後に、秘密鍵d=a0を削除しても、暗号文Cを復号することができ、秘密鍵の管理負担を軽減することができる。
<変形例>
本実施形態では、端末装置11の依頼部111が、計算依頼情報を代理計算装置12−nに送信する構成となっているが、計算依頼情報を送信せずとも代理計算装置12−nが暗号文Cを受け取ると、値f(jn)τを計算し、この値を返す構成としてもよい。
図示しない分配装置は、N個の代理計算装置12−nとは別に設けてもよいし、N個の代理計算装置12−nの内の何れかにその機能を持たせてもよい。
<第二実施形態>
第一実施形態と異なる部分を中心に説明する。図5を用いて第二実施形態に係る復号システム2を説明する。図5は第二実施形態に係る復号システム2の構成例を示す。
復号システム2は、端末装置11と、N個の代理計算装置12−nと、鍵装置23とを含む。これらはネットワークを通じて通信可能に構成されている。鍵装置23は、N個の代理計算装置12−nを管理する。例えば、鍵装置23は、N個の代理計算装置12−nのアドレスや、N個の代理計算装置12−nの変更、追加、削除等を行い、端末装置11とN個の代理計算装置12−nとは、鍵装置23を介して情報を送受信する。また、鍵装置23において、アクセス制御を行う構成としてもよい。
第一実施形態では、端末装置11がN個の代理計算装置12−nに対して計算依頼を直接行っていたが、第二実施形態では、鍵装置23を介して計算依頼を行う。このとき、鍵装置23に暗号文Cを渡すと、復号文M'を鍵装置23に知られてしまう。そこで、本実施形態では、鍵装置23に暗号文Cそのものではなく暗号文Cの一部C1を渡し、鍵装置23を介して値f(jn)C1を求めるように代理計算装置12−nに対して依頼する。本実施形態では、暗号文Cに対応する情報τは暗号文Cの一部C1である。なお、暗号文Cの一部C1は、暗号文Cに対応する情報であり、かつ、それのみから復号文M'を復号できない情報である。なお、暗号文Cを復号するためには、暗号文Cの一部C1と他の部分とを必要とする。例えば、暗号文Cの一部C1として第一実施形態のElGamal暗号や楕円ElGamal暗号のC1を用いることができる。
<事前処理>
例えば、鍵装置23は、公開鍵yと、公開鍵yに対応する秘密鍵dを生成し、公開鍵yを公開する。公開鍵暗号方式としては、ElGamal暗号方式、楕円ElGamal暗号方式などが考えられる。また、鍵装置23は、秘密鍵dを真の秘密情報a0とし、a0を定数項とするランダムな(K-1)次の多項式を選び、
f(x)=a(K-1)x(K-1)+…+a1x+a0
とし、代理計算装置12−nに分散された秘密情報f(jn)を配る。さらに、鍵装置23は、分散された秘密情報f(jn)を配った後に、真の秘密情報a0を削除してもよい。
代理計算装置12−nは、分散された秘密情報f(jn)を受け取り、記憶部122に分散された秘密情報f(jn)を格納しておく。
図示しない端末装置は、公開鍵yを用いて、対応する公開鍵暗号方式により平文Mを暗号化し、暗号文C=Enc(y,M)を生成し、暗号文Cを端末装置11に送信する。
例えば、ElGamal暗号を用いた公開鍵暗号方式では、公開鍵y=(g,h=ga_0)とし、暗号文Cを
C=(C1,C2)
C1=gr
C2=Mhr
とする。また、楕円ElGamal暗号を用いた公開鍵暗号方式では、公開鍵y=(G,H=a0G)とし、暗号文Cを
C=(C1,C2)
C1=rG
C2=M+rH
とする。
端末装置11は、暗号文Cを受け取り、記憶部113に暗号文Cを格納しておく。例えば、暗号文CはC1とC2とからなり、C=(C1,C2)と表される。
<復号処理>
本実施形態では、暗号文Cに対応する情報τとして、暗号文Cの一部C1を用い、端末装置11の依頼部111は、鍵装置23を介して、暗号文Cの一部C1から値f(jn)C1を求めるようにN個の代理計算装置12−nに対して依頼する(s1)。
代理計算装置12−nの計算部121は、暗号文Cの一部C1を受け取ると、記憶部122から分散された秘密情報f(jn)を読み込み、暗号文Cの一部C1と分散された秘密情報f(jn)とを用いて値f(jn)C1を求め(s2)、鍵装置23に送信する。
端末装置11の復号部112は、鍵装置23を介して代理計算装置12−nから値f(jn)C1を受け取り、K個の値f(jk)C1から復号文M'に対応する情報a0C1を求める(s3)。なお、鍵装置23において、K個の値f(jk)C1から復号文M'に対応する情報a0C1を求め、復号文M'に対応する情報a0C1を端末装置11に送信する構成としてもよい。復号文M'に対応する情報a0C1から復号文M'を求める処理は、第一実施形態で説明した通りである。例えば、ElGamal暗号を用いた場合、M'=C2/C1 a_0により復号文M'を求め、楕円ElGamal暗号を用いた場合、M'=C2-C1a0により復号文M'を求める。
<効果>
このような構成により、第一実施形態と同様の効果を得ることができる。さらに、鍵装置23で、N個の代理計算装置12−nを管理しているため、端末装置11は、個別にN個の代理計算装置12−nに計算を依頼する必要がなく、端末装置11の処理を軽減することができる。暗号文Cの一部C1のみから、復号文M'を復号できないため、鍵装置23に復号文M'を秘密にしたまま処理を中継させることができる。
<第三実施形態>
第二実施形態と異なる部分を中心に説明する。図6及び7を用いて第三実施形態に係る復号システム3を説明する。図6は第三実施形態に係る復号システム3の構成例を、図7はその処理フローを示す。
本実施形態では、鍵装置23に暗号文Cの一部C1ではなく、乱数rnによって暗号文Cとの関係をかく乱させたかく乱情報τ(n)を渡し、鍵装置23を介して値f(jn)τ(n)を求めるように代理計算装置12−nに対して依頼する。鍵装置23がランダム帰着可能な暗号文(かく乱情報)の復号を行う点が第二実施形態と相違する。ランダム帰着可能な暗号化方式は、ランダム化アルゴリズムと復元アルゴリズムとからなる。ランダム化アルゴリズムは、暗号文と乱数とを用いて別の暗号文を出力する確率アルゴリズムで、出力は入力によらずランダムに選ばれた暗号文と識別できない確率分布に従う。復元アルゴリズムはランダム化アルゴリズムの出力である暗号文を復号した結果とランダム化アルゴリズムで用いられた乱数を入力として、もとの暗号文を復号した平文を出力する。このような暗号方式は、例えばElGamal暗号、楕円ElGamal 暗号、RSA暗号、Pailler暗号などの準同型暗号方式を用いて容易に構成できる。第三実施形態は、準同型暗号方式を用いてランダム自己帰着可能な暗号方式を構成した例を示しながら記述する。本実施形態では、暗号文Cに対応する情報τは乱数rnによって暗号文Cとの関係をかく乱させたかく乱情報τ(n)である。なお、かく乱情報τ(n)は、暗号文Cに対応する情報であり、かつ、乱数rnを知らなければ復号文M'を復号できない情報である。なお、乱数rnは、複数の乱数の集合であってもよい。
復号システム3は、端末装置31と、N個の代理計算装置12−nと、鍵装置23とを含む。これらはネットワークを通じて通信可能に構成されている(図6参照)。例えば、N個の代理計算装置12−nと、鍵装置23とから鍵管理クラウドを構成し、クラウド鍵管理型暗号方式(参考文献1参照)を実現することができる。
(参考文献1)特開2012−151756号公報
図8に示すように、端末装置31は、依頼部111と復号部112と記憶部113とかく乱情報生成部314と第二復号部315とを含む。図8は、端末装置31の機能ブロック図を示す。
<復号処理>
端末装置31のかく乱情報生成部314は、N個の乱数rnを生成し、暗号文Cを記憶部113から取り出し、乱数rnによって暗号文Cとの関係をかく乱させたかく乱情報τ(n)を生成し(s31)、依頼部111へ出力する。N個の乱数rnは記憶部113に記憶しておく。言い換えると、かく乱情報生成部314は、暗号方式のランダム自己帰着性から定義されるランダム化アルゴリズムに則り、暗号文Cと乱数rnに対応するかく乱情報τ(n)を生成する。例えば暗号文Cが準同型暗号方式の暗号文である場合、かく乱情報生成部314は、それと同じ準同型暗号方式に則って公開鍵yで乱数rnを暗号化して得られる暗号文(乱数暗号文)をEnc(y,rn)とし、Enc(y,rn)とCとの乗法によってかく乱情報τ(n)=Enc(y,rn)・Cを生成する。
端末装置31の依頼部111は、鍵装置23を介して、かく乱情報τ(n)から値f(jn)τ(n)を求めるようにN個の代理計算装置12−nに対して依頼する(s1)。
代理計算装置12−nの計算部121は、かく乱情報τ(n)を受け取ると、記憶部122から分散された秘密情報f(jn)を読み込み、前述の準同型暗号化方式に則って、かく乱情報τ(n)と分散された秘密情報f(jn)とを用いて値f(jn)τ(n)を求め(s2)、鍵装置23に送信する。
端末装置11の第二復号部315は、鍵装置23を介して代理計算装置12−nから値f(jn)τ(n)を受け取り、乱数rnを記憶部113から取り出し、暗号方式のランダム自己帰着性から定義される復元アルゴリズムに則り、乱数rnを用いて、値f(j)τ(n)から値f(j)Cを求め(s32)、値f(j)Cを復号部112に出力する。例えば前述したかく乱情報(n)=Enc(y,rn)・Cである例の場合、第二復号部315は乱数rnの逆元rn −1を用い、f(jn)τ(n)と元rn −1との乗法f(j)C=(rn −1)・f(jn)τ(n)によって値f(j)Cを得ることができる。これは準同型暗号方式の暗号化関数および復号関数が準同型性を持つことに基づく。
端末装置11の復号部112は、K個の値f(jk)Cから復号文M'に対応する情報a0Cを求め、情報a0Cから復号文M'を取得し、ディスプレイ等の出力部から出力する(s3)。
<効果>
このような構成により、第二実施形態と同様の効果を得ることができる。さらに本実施形態では、鍵装置23を経由するのは暗号文Cと乱数rnとに対応するかく乱情報τ(n)であり、暗号文Cそのものではない。鍵装置23は値f(jn)τ(n)を得ることができても、鍵装置23は乱数rnを知らないため値f(jn)τ(n)から値f(j)Cを得ることはできない。これにより、鍵装置23の管理者が仮にK個の値f(jk)τ(k)を取得したとしても暗号文Cの復号結果M'が知られることを防止できる。
なお、暗号文Cに対応する情報τは、乱数rnによって暗号文Cの一部C1との関係をかく乱させたかく乱情報τ(n)であってもよい。
<第四実施形態>
図9及び図10を用いて第四実施形態に係る電子署名システム4を説明する。図9は第四実施形態に係る電子署名システム4の構成例を、図10はその処理フローを示す。
電子署名システム4は、端末装置41と、N個の代理計算装置12−nとを含む。これらはネットワークを通じて通信可能に構成されている。ただし、Nは2以上の整数であり、n=1,…,Nである。
ここで、Kを1以上N以下の整数とし、f(x)=a(K-1)x(K-1)+…+a1x+a0とし、a0=f(0)を真の秘密情報とし、jnをn毎に異なる1以上の整数とし、f(jn)を分散された秘密情報とする。平文Mに対応する情報τと真の秘密情報a0とを用いて電子署名σに対応する情報a0τを求めることができ、電子署名σに対応する情報a0τから電子署名σを求めるものとする。ここでは、群で定義された演算を加法的に表現する。
図11に示すように、端末装置41は、依頼部411と署名生成部412と記憶部413とを含む。図11は、端末装置41の機能ブロック図を示す。
端末装置41及び代理計算装置12−nは、ルータ装置、サーバ装置、携帯電話、ICカードなどの計算機能及び記憶機能を備えた機器や、特別なプログラムが読み込まれたCPU(central processing unit)やRAM(random-access memory)を備えた公知又は専用のコンピュータなどである。
<事前処理>
例えば、図示しない分配装置(公開鍵サーバ)は、公開鍵yと、公開鍵yに対応する秘密鍵dを生成し、公開鍵yを公開する。電子署名の暗号方式としては、ElGamal暗号方式、楕円ElGamal暗号方式、RSA暗号方式、Pailler暗号方式などが考えられる。
また、分配装置は、秘密鍵dを真の秘密情報a0とし、a0を定数項とするランダムな(K-1)次の多項式を選び、
f(x)=a(K-1)x(K-1)+…+a1x+a0
とし、代理計算装置12−nに分散された秘密情報f(jn)を配る。さらに、分配装置は、分散された秘密情報f(jn)を配った後に、真の秘密情報a0を削除してもよい。
代理計算装置12−nは、分散された秘密情報f(jn)を受け取り、記憶部122に分散された秘密情報f(jn)を格納しておく。
端末装置41は、平文Mを受け取り、記憶部413に平文Mを格納しておく。
<署名生成処理>
端末装置41の依頼部411は、平文Mに対応する情報τから値f(jn)τを求めるように代理計算装置12−nに対して依頼する(s1)。例えば、ネットワークを介して平文Mに対応する情報τと計算依頼情報(値f(jn)τを求めるように記述された情報)とをN個の代理計算装置12−nに送信する。なお、必ずしもN個の代理計算装置12−nに送信する必要はなく、少なくともK個の代理計算装置12−nに送信すればよい。
代理計算装置12−nの計算部121は、平文Mに対応する情報τを受け取ると、記憶部122から分散された秘密情報f(jn)を読み込み、平文Mに対応する情報τと分散された秘密情報f(jn)とを用いて値f(jn)τを求め(s2)、端末装置41に送信する。
端末装置41の署名生成部412は、K個の値f(jk)τを受け取ると、K個の値f(jk)τを用いて、電子署名σに対応する情報a0τを求め、電子署名σに対応する情報a0τから電子署名σを求める(s3)。
端末装置41は、平文Mと電子署名σを図示しない端末装置に送信する。
図示しない端末装置は、平文Mと電子署名σと公開鍵yとを用いて、電子署名σが真正であるか否かを判断することができる。
以下、RSA暗号を用いた場合の電子署名について説明する。なお、説明を分かり易くするために、この例では、jn=jk=nとする。
(RSA暗号を用いた場合の電子署名)
RSA暗号を用いた電子署名では、公開鍵y=(e,m)とする。
平文Mに対応する情報τを平文Mそのもの(τ=M)とし、電子署名σを次式により生成する。
σ=Ma_0
ここでは、群で定義された演算を乗法的に表現する。
端末装置41は、平文Mと計算依頼情報(値Mf(n)を求めるように記述された情報)とをN個の代理計算装置12−nに送信する。
代理計算装置12−nは、値Mf(n)を求め、端末装置41に送信する。
端末装置41は、K個の値Mf(k)を用いて、電子署名σ=Ca_0を生成し、平文Mと電子署名σを図示しない端末装置に送信する。例えば、K=2、f(x)=a1x+a0の場合、a0=2f(1)+f(2)の関係が成り立つため、Mf(1)、Mf(2)を用いて、次式により電子署名σを生成することができる。
σ=Ma_0=M2f(1)+f(2)
図示しない端末装置は、平文Mと電子署名σと公開鍵y=(m,e)とを用いて、次式が成り立つか否か検証し、成り立つ場合には電子署名σが真正であると判断する。
M=σe mod m
<効果>
このような構成により、真の秘密情報a0を端末装置41に対して秘密にしたまま、端末装置41は平文Mに対する電子署名σを生成することができる。端末装置11では、真の秘密情報a0を知ることはできないため、真の秘密情報a0の消去失敗による情報漏洩を防止することができる。なお、本実施形態と第二実施形態とを組合せてもよい。例えば、鍵装置23がN個の代理計算装置12−nを管理し、鍵装置23を介して情報を送受信する。また、本実施形態と第三実施形態とを組合せてもよい。例えば、乱数rnによって平文との関係をかく乱させたかく乱情報τ(n)を平文に対応する情報τとして生成し、各処理を行う。
<その他の変形例>
本発明は上記の実施形態及び変形例に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
<プログラム及び記録媒体>
また、上記の実施形態及び変形例で説明した各装置における各種の処理機能をコンピュータによって実現してもよい。その場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶部に格納する。そして、処理の実行時、このコンピュータは、自己の記憶部に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実施形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよい。さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、プログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、コンピュータ上で所定のプログラムを実行させることにより、各装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims (10)

  1. Nを2以上の整数とし、n=1,…,Nとし、端末装置と、N個の代理計算装置nとを含む復号システムであって、
    Kを1以上N以下の整数とし、f(x)=a(K-1)x(K-1)+…+a1x+a0とし、a0=f(0)を真の秘密情報とし、jnをn毎に異なる1以上の整数とし、f(jn)を分散された秘密情報とし、
    前記代理計算装置nは、
    前記分散された秘密情報f(jn)が記憶される記憶部と、
    暗号文に対応する情報τと前記分散された秘密情報f(jn)とを用いて値f(jn)τを求める計算部と、を含み、
    前記端末装置は、
    前記暗号文に対応する情報τから値f(jn)τを求めるように前記代理計算装置nに対して依頼する依頼部と、
    k=1,2,…,K、jkをk毎に異なるj1,j2,…,jNの何れかの値とし、K個の値f(jk)τを用いて、復号文に対応する情報a0τを求める復号部と、を含む、
    復号システム。
  2. 請求項1記載の復号システムであって、
    さらに、前記N個の代理計算装置nを管理する鍵装置を含み、
    前記端末装置は、
    乱数rnによって前記暗号文との関係をかく乱させたかく乱情報τ(n)を、前記暗号文に対応する情報τとして生成するかく乱情報生成部と、
    前記鍵装置を介して前記代理計算装置nから値f(j)τ(n)を受け取り、前記乱数rnを用いて、前記値f(j)τ(n)から値f(j)Cを求める第二復号部と、をさらに含み、
    前記依頼部は、前記鍵装置を介して、前記かく乱情報τ(n)から値f(jn)τ(n)を求めるように前記代理計算装置nに対して依頼し、
    前記代理計算装置nの計算部は、
    前記かく乱情報τ(n)と前記分散された秘密情報f(jn)とを用いて値f(jn)τ(n)を求める、
    復号システム。
  3. Nを2以上の整数とし、n=1,…,Nとし、端末装置と、N個の代理計算装置nとを含む署名システムであって、
    Kを1以上N以下の整数とし、f(x)=a(K-1)x(K-1)+…+a1x+a0とし、a0=f(0)を真の秘密情報とし、jnをn毎に異なる1以上の整数とし、f(jn)を分散された秘密情報とし、
    前記代理計算装置nは、
    前記分散された秘密情報f(jn)が記憶される記憶部と、
    平文に対応する情報τと前記分散された秘密情報f(jn)とを用いて値f(jn)τを求める計算部と、を含み、
    前記端末装置は、
    前記平文に対応する情報τから値f(jn)τを求めるように前記代理計算装置nに対して依頼する依頼部と、
    k=1,2,…,K、jkをk毎に異なるj1,j2,…,jNの何れかの値とし、K個の値f(jk)τを用いて、電子署名に対応する情報a0τを求める署名生成部と、を含む、
    署名システム。
  4. Nを2以上の整数とし、n=1,…,Nとし、N個の代理計算装置nに代理計算を依頼する端末装置であって、
    Kを1以上N以下の整数とし、f(x)=a(K-1)x(K-1)+…+a1x+a0とし、a0=f(0)を真の秘密情報とし、jnをn毎に異なる1以上の整数とし、f(jn)を分散された秘密情報とし、
    前記暗号文に対応する情報τから値f(jn)τを求めるように前記代理計算装置nに対して依頼する依頼部と、
    k=1,2,…,K、jkをk毎に異なるj1,j2,…,jNの何れかの値とし、K個の値f(jk)τを用いて、復号文に対応する情報a0τを求める復号部と、を含む、
    端末装置。
  5. 請求項4記載の端末装置であって、
    乱数rnによって前記暗号文との関係をかく乱させたかく乱情報τ(n)を、前記暗号文に対応する情報τとして生成するかく乱情報生成部と、
    鍵装置を介して前記代理計算装置nから値f(j)τ(n)を受け取り、前記乱数rnを用いて、前記値f(j)τ(n)から値f(j)Cを求める第二復号部と、をさらに含み、
    前記依頼部は、前記鍵装置を介して、前記かく乱情報τ(n)から値f(jn)τ(n)を求めるように前記代理計算装置nに対して依頼する、
    端末装置。
  6. Nを2以上の整数とし、n=1,…,Nとし、N個の代理計算装置nに代理計算を依頼する端末装置であって、
    Kを1以上N以下の整数とし、f(x)=a(K-1)x(K-1)+…+a1x+a0とし、a0=f(0)を真の秘密情報とし、jnをn毎に異なる1以上の整数とし、f(jn)を分散された秘密情報とし、
    前記平文に対応する情報τから値f(jn)τを求めるように前記代理計算装置nに対して依頼する依頼部と、
    k=1,2,…,K、jkをk毎に異なるj1,j2,…,jNの何れかの値とし、K個の値f(jk)τを用いて、電子署名に対応する情報a0τを求める署名生成部と、を含む、
    端末装置。
  7. Nを2以上の整数とし、n=1,…,Nとし、端末装置と、N個の代理計算装置nとを用いる復号方法であって、
    Kを1以上N以下の整数とし、f(x)=a(K-1)x(K-1)+…+a1x+a0とし、a0=f(0)を真の秘密情報とし、jnをn毎に異なる1以上の整数とし、f(jn)を分散された秘密情報とし、
    前記端末装置が、前記暗号文に対応する情報τから値f(jn)τを求めるように前記代理計算装置nに対して依頼する依頼ステップと、
    前記代理計算装置nが、予め記憶されている前記分散された秘密情報f(jn)と、暗号文に対応する情報τとを用いて値f(jn)τを求める計算ステップと、
    k=1,2,…,K、jkをk毎に異なるj1,j2,…,jNの何れかの値とし、前記端末装置が、K個の値f(jk)τを用いて、復号文に対応する情報a0τを求める復号ステップと、を含む、
    復号方法。
  8. 請求項7記載の復号方法であって、
    さらに、前記N個の代理計算装置nを管理する鍵装置を用い、
    前記端末装置が、乱数rnによって前記暗号文との関係をかく乱させたかく乱情報τ(n)を、前記暗号文に対応する情報τとして生成するかく乱情報生成ステップと、
    前記端末装置が、前記鍵装置を介して前記代理計算装置nから値f(j)τ(n)を受け取り、前記乱数rnを用いて、前記値f(j)τ(n)から値f(j)Cを求める第二復号ステップと、をさらに含み、
    前記依頼ステップにおいて、前記鍵装置を介して、前記かく乱情報τ(n)から値f(jn)τ(n)を求めるように前記代理計算装置nに対して依頼し、
    前記計算ステップにおいて、前記かく乱情報τ(n)と前記分散された秘密情報f(jn)とを用いて値f(jn)τ(n)を求める、
    復号方法。
  9. Nを2以上の整数とし、n=1,…,Nとし、端末装置と、N個の代理計算装置nとを含む署名方法であって、
    Kを1以上N以下の整数とし、f(x)=a(K-1)x(K-1)+…+a1x+a0とし、a0=f(0)を真の秘密情報とし、jnをn毎に異なる1以上の整数とし、f(jn)を分散された秘密情報とし、
    前記端末装置が、平文に対応する情報τから値f(jn)τを求めるように前記代理計算装置nに対して依頼する依頼ステップと、
    前記代理計算装置nが、予め記憶されている前記分散された秘密情報f(jn)と、平文に対応する情報τとを用いて値f(jn)τを求める計算ステップと、
    k=1,2,…,K、jkをk毎に異なるj1,j2,…,jNの何れかの値とし、前記端末装置が、K個の値f(jk)τを用いて、電子署名に対応する情報a0τを求める署名生成ステップと、を含む、
    署名方法。
  10. 請求項4から請求項6の何れかに記載された端末装置としてコンピュータを機能させるためのプログラム。
JP2013149152A 2013-07-18 2013-07-18 復号システム、端末装置、署名システム、その方法、及びプログラム Expired - Fee Related JP5752751B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013149152A JP5752751B2 (ja) 2013-07-18 2013-07-18 復号システム、端末装置、署名システム、その方法、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013149152A JP5752751B2 (ja) 2013-07-18 2013-07-18 復号システム、端末装置、署名システム、その方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2015022098A JP2015022098A (ja) 2015-02-02
JP5752751B2 true JP5752751B2 (ja) 2015-07-22

Family

ID=52486613

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013149152A Expired - Fee Related JP5752751B2 (ja) 2013-07-18 2013-07-18 復号システム、端末装置、署名システム、その方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP5752751B2 (ja)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3784055B2 (ja) * 2001-10-03 2006-06-07 インターナショナル・ビジネス・マシーンズ・コーポレーション リストマッチング方法、ネットワークシステム、そのサーバ及び情報端末
JP3864249B2 (ja) * 2002-06-04 2006-12-27 インターナショナル・ビジネス・マシーンズ・コーポレーション 暗号通信システム、その端末装置及びサーバ
JP5506633B2 (ja) * 2010-11-04 2014-05-28 日本電信電話株式会社 代理計算システム、端末装置、代理計算装置、代理計算方法、及びプログラム
WO2013050613A1 (en) * 2011-10-06 2013-04-11 The Provost, Fellows, Foundation Scholars, And The Other Members Of Board, Of The College Of The Holy And Undivided Trinity Of Queen Elizabeth, Near Dublin System and apparatus for securely storing data

Also Published As

Publication number Publication date
JP2015022098A (ja) 2015-02-02

Similar Documents

Publication Publication Date Title
US10361841B2 (en) Proxy computing system, computing apparatus, capability providing apparatus, proxy computing method, capability providing method, program, and recording medium
US8429408B2 (en) Masking the output of random number generators in key generation protocols
Hao et al. A multiple-replica remote data possession checking protocol with public verifiability
US9037623B2 (en) Proxy calculation system, proxy calculation method, proxy calculation requesting apparatus, and proxy calculation program and recording medium therefor
JP6363032B2 (ja) 鍵付替え方向制御システムおよび鍵付替え方向制御方法
WO2014112551A1 (ja) 秘密鍵分割保管システム、分割保管装置、秘密鍵分割保管方法
CN111404952B (zh) 变电站数据加密传输方法、装置、计算机设备和存储介质
Kaaniche et al. A novel zero-knowledge scheme for proof of data possession in cloud storage applications
JP6294882B2 (ja) 鍵保管装置、鍵保管方法、及びそのプログラム
Huang et al. Block-Level Message-Locked Encryption with Polynomial Commitment for IoT Data.
EP2395698B1 (en) Implicit certificate generation in the case of weak pseudo-random number generators
JP5730805B2 (ja) 格子問題に基づく階層型内積暗号システム,格子問題に基づく階層型内積暗号方法,装置
Parwekar et al. Public auditing: cloud data storage
US20210226791A1 (en) Encryption system, encryption apparatus, decryption apparatus, encryption method, decryption method, and program
Rani et al. A novel cryptosystem for files stored in cloud using NTRU encryption algorithm
JP5752751B2 (ja) 復号システム、端末装置、署名システム、その方法、及びプログラム
JP5850888B2 (ja) 情報記憶システム、情報記憶装置、その方法、及びプログラム
Mohanty Secure Data Storage on the Cloud using Homomorphic Encryption
JP5860420B2 (ja) 安全性評価装置、およびプログラム
CN116743345A (zh) 一种密钥使用方法、装置、设备及存储介质
Ahammed Improving the Proof of Retrievability in Cloud Computing
Mohamed et al. Cloud Computing Security Framework based on Elliptical Curve

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141029

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150424

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150512

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150520

R150 Certificate of patent or registration of utility model

Ref document number: 5752751

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees