JP5933786B2 - Idベース暗号化および関連する暗号手法のシステムおよび方法 - Google Patents

Idベース暗号化および関連する暗号手法のシステムおよび方法 Download PDF

Info

Publication number
JP5933786B2
JP5933786B2 JP2015099791A JP2015099791A JP5933786B2 JP 5933786 B2 JP5933786 B2 JP 5933786B2 JP 2015099791 A JP2015099791 A JP 2015099791A JP 2015099791 A JP2015099791 A JP 2015099791A JP 5933786 B2 JP5933786 B2 JP 5933786B2
Authority
JP
Japan
Prior art keywords
key
message
sender
receiver
recipient
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2015099791A
Other languages
English (en)
Other versions
JP2015144495A (ja
JP2015144495A5 (ja
Inventor
ボネ、ダン
フランクリン、マシュー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Leland Stanford Junior University
Original Assignee
Leland Stanford Junior University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Leland Stanford Junior University filed Critical Leland Stanford Junior University
Publication of JP2015144495A publication Critical patent/JP2015144495A/ja
Publication of JP2015144495A5 publication Critical patent/JP2015144495A5/ja
Application granted granted Critical
Publication of JP5933786B2 publication Critical patent/JP5933786B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/04Masking or blinding

Description

本発明の分野は一般的に暗号システムに関する。
公開鍵暗号システムでは、当事者2人がプライベートな認証されたメッセージを交換するのに、秘密鍵を共有するための秘匿性のある通信チャネルを最初に確保する必要がない。最も広く使用されている公開鍵暗号システムの1つは、(特許文献2)で開示されているRSA暗号システムである。RSA暗号システムは、現在、多くの商用システムに搭載されている。この暗号システムは、Webトラフィックの秘匿性保護のためWebサーバおよびブラウザによって使用され、電子メールのプライバシーと認証の保護、およびリモート・ログイン・セッションの秘匿性保護を目的としても使用され、さらに電子クレジット・カード決済システムの心臓部に配置されている。つまり、RSAは、デジタル・データの秘匿性が懸念されるアプリケーションで使用されることが多い。
RSA暗号システムなどの公開鍵暗号システムによれば、各個人は、秘密にしておく秘密鍵と公開されている公開鍵からなる特定の1対の鍵を持つ。この鍵の対は、(1)公開鍵だけがわかっても、秘密鍵を推論できず、(2)この2つの鍵は相補的である、つまりこの対の一方の鍵で暗号化されたメッセージは、相補的な鍵でしか解読できないという2つの重要な特性を有する。これらのシステムでは、一対の公開鍵と秘密鍵は両方とも、入力として乱数シードを受け取る鍵作成アルゴリズムの出力として一緒に作成される。そのため、これらの暗号システムでは、ユーザが望むような公開鍵または秘密鍵を選択できず、鍵作成アルゴリズムによってユーザ向けに作成された鍵をそのまま使用するしかない。このような方法は、他の人がある人へのメッセージを暗号化しようにも、その人が公開鍵を作成し公開していないと暗号化できないという欠点を有する。このタイプの暗号システムには、ほかに、悪意ある人が公開鍵を公開し、その鍵が誰か他の人のものだと主張することが可能だという問題がある。このような課題を解決するために、信頼できる公開鍵証明書発行機関(CA)を利用して、個人を認証し、その個人の公開鍵が真正の鍵であることを他の人に証明する。しかし残念なことに、このような対策だと、送信者がすべての受信者の証明書を取得しなければならず、既存の証明書の有効期限が切れる毎に新規証明書を取得する必要があるため、暗号システムの複雑さが増す。さらに、受信者側で、公開鍵を作成し、公開し、証明書をCAに登録し、期限が切れる場合にそのような証明書を更新する必要がある。
1984年に、シャミール(Shamir)は、新しいタイプの公開鍵暗号化方式を考えた((非特許文献1)で説明されている)。シャミール(Shamir)の方式によれば、ユーザの公開鍵は、ユーザの名前とネットワーク・アドレス、または、名前と電子メール・アドレス、社会保障番号、住所、電話番号、または勤先住所との組み合わせ、などの公開識別子からなる。公開鍵はユーザの既存の公開識別子(ID)であって、乱数シードから作成された鍵ではないため、この種の公開鍵暗号システムはIDベース暗号(IBE)方式と呼ばれる。しかし、シャミール(Shamir)は、具体的な実用的IBE暗号システムを提示していなかった。実際、シャミール(Shamir)は、既存の暗号システム(RSAなど)は、秘匿性IBE暗号システムを実現するのに適さないだろうと主張していた。
米国仮出願第60/311946号 米国特許第4,405,829号
エー・シャミール(A.Shamir)"Identity−based cryptosystems and signature schemes"、Advances in Cryptology − Crypto '84、Lecture Notes in Computer Science、Vol.196、Springer Verlag、47−53ページ、1984年 ディー・ボネ(D.Boneh),エム・フランクリン(M.Franklin),"Identity based encryption from the Weil pairing",extended abstract in Advances in Cryptology−Crypto 2001,Lecture Notes in Computer Science,第2139巻、Springer−Verlag,pp.231−229、2001年 イー・フジサキ(E.Fujisaki)およびティー・オカモト(T.Okamoto)"Secure integration of asymmetric and symmetric encryption schemes",in Advances in Cryptology − Crypto '99,Lecture Notes in Computer Science,第1666巻,Springer−Verlag,pp.537−554、1999年 エー・ミヤジ(A.Miyaji)、エム・ナカバヤシ(M.Nakabayashi)、エス・タカノ(S.Takano)"New explicit condition of elliptic curve trace for FR−reduction",IEICE Trans.Fundamentals,第E84A巻,No.5,2001年5月 アール・ゲナロ(R.Gennaro)、エス・ジャレッキ(S.Jarecki)、エイチ・クラウチク(H.Krawczyk)、ティー・レービン(T.Rabin)"Secure Distributed Key Generation for Discrete−Log Based Cryptosystems",Advances in Cryptology − Eurocrypt '99,Lecture Notes in Computer Science,第1592巻,Springer−Verlag,pp.295−310,1999年 ディー・ボネ(D.Boneh),ビー・リン(B.Lynn),エイチ・シャッチャム(H.Shacham),"Short signatures from the Weil pairing",in Advances in Cryptology − AsiaCrypt 2001,Lecture Notes in Computer Science,第2248巻,Springer−Verlag,pp.514−532,2001年)
本出願特許の英語原文には、特許出願に使用できない符号が多数使用されているので、翻訳文においては表1の対照表に示す符号を使用した。また、上付きと下付きが上下になっているものは、「A 」のようにずらして入力した。
Figure 0005933786
シャミール(Shamir)がIBE方式を提案してから数年の間に、IDベース暗号システムを実現する試みがいくつか行われた。いくつかの提案では、ユーザ同士が共謀しないことが必要である。また他の提案では、個人鍵作成器(PKG)がそれぞれの個人鍵作成要求を処理するのに非現実的な時間がかかる。また別の提案では、不正操作防止ハードウェアを必要とする。
つまり、改善された暗号化の方法およびシステムが必要とされているということである。
本発明の一実施形態によれば、送信者によって受信者に送信される第1の情報を暗号化する方法は、第2の情報から作成された暗号化鍵を使用する。送信者から受信者に送信される第1の情報の少なくとも一部を暗号化するために、双線形写像および暗号化鍵を使用する。双線形写像は対称でも非対称でもよい。双線形写像は、楕円曲線から導かれる代数群上で定義されたWeilペアリングまたはTateペアリングに基づく。より一般的には、双線形写像は、代数多様体上で定義されたペアリングに基づいていてよい。
本発明の一実施形態によれば、第1の情報の一部の暗号化は、暗号化鍵に対応する解読鍵を作成する前に完了することが可能である。
本発明の他の実施形態によれば、第2の情報は、暗号化鍵に対応する解読鍵を作成する前に受信者に公開されている。第2の情報は、本発明の異なる実施形態により、受信者に関連付けられた電子メール・アドレス、名前またはその他の識別子を含むことができる。第2の情報はさらに、さまざまな実施形態によれば、1つ以上の時間間隔を定義する日付または一連の日付など、1つ以上の時刻に対応する受信者または情報に関連付けられた属性を含むこともできる。解読鍵は、時刻に対応する情報に関して解読鍵の要求が受信された時刻に基づいて提供され得る。本発明の他の実施形態によれば、第2の情報は、メッセージ識別子、信任状識別子、メッセージ・サブジェクト識別子を含むことができる。
本発明の他の実施形態によれば、双線形写像を使用してメッセージ鍵を暗号化鍵から作成し、暗号ハッシュ関数をそのメッセージ鍵に適用する。
本発明の他の実施形態によれば、第1の情報の一部の暗号化は、双線形写像を使用して第2の情報からマスクを作成することを含む。マスクは、第2の情報の一部に適用される。
本発明の一実施形態は、受信者に関連付けられたIDベース暗号化鍵を使用して送信者によって暗号化された暗号文を解読する方法を対象とする。暗号化鍵から導かれる解読鍵が得られる。暗号文の少なくとも一部は、双線形写像および解読鍵を使用して解読される。双線形写像は対称でも非対称でもよい。双線形マップは、楕円曲線から導かれる代数群上で定義されたWeilペアリングまたはTateペアリングに基づく。
本発明の他の実施形態によれば、暗号文は解読鍵を作成する前に得られる。本発明の他の実施形態によれば、第1の情報は、暗号文を得る前に、また解読鍵を得る前に受信者に公開されている。解読鍵を得るには、暗号文とともに送信された情報も含めて、要求を個人鍵作成器に送る。
本発明の一実施形態は、暗号化鍵に対応する解読鍵を作成する方法を対象とする。代数群、群作用、およびマスター鍵が与えられる。暗号化鍵は、第1の情報に基づいて作成される。解読鍵は、群作用、マスター鍵、および暗号化鍵に基づいて作成される。本発明の一実施形態によれば、群作用を多項式時間内で計算し得る。本発明の他の態様によれば、マスター鍵がない場合、解読鍵を作成するには多項式時間よりも長い時間を要する。
本発明の他の実施形態は、暗号システムのシステム・パラメータを与える方法を対象とする。位数qの代数群★G1および★G2は、関連する群作用とともに与えられる。さらに、★G1内の点の対を★G2の点に対応させる双線形マップが与えられる。他の実施形態では、G1の要素Pを表すシステム・パラメータおよびG1の要素Ppubを表すシステム・パラメータが与えられるが、ただし、PpubはPに適用されるマスター鍵sの群作用に基づく。本発明の他の実施形態では、1つ以上のハッシュ関数H1、H2、H3、またはH4からなる関数群を表すシステム・パラメータが与えられる。本発明の他の実施形態では、メッセージ空間のサイズnを表すシステム・パラメータが与えられる。
本発明の他の実施形態は、暗号システムのシステム・パラメータを与える方法を対象とする。位数qの代数群★Gおよび★Gは、関連する群作用とともに与えられる。さらに、★G内の点の対を★Gの点に対応させる双線形マップが与えられる。他の実施形態では、Gの要素Pを表すシステム・パラメータおよびGの要素Ppubを表すシステム・パラメータが与えられるが、ただし、PpubはPに適用されるマスター鍵sの群作用に基づく。本発明の他の実施形態では、1つ以上のハッシュ関数H、H、H、またはHからなる関数群を表すシステム・パラメータが与えられる。本発明の他の実施形態では、メッセージ空間のサイズnを表すシステム・パラメータが与えられる。
本発明の他の実施形態によれば、双線形写像は非対称でも対称でもよい。他の実施形態では、双線形写像は、楕円曲線の一部の上で定義されたWeilペアリングまたはTateペアリングに基づく。
本発明の他の実施形態によれば、代数群Gは、位数pの場上で定義された楕円曲線により定義され、位数qは位数pよりも小さい。本発明の他の態様によれば、pの長さは少なくとも1024ビットであり、qの長さは160ビット以下である。
本発明の他の実施形態は、マスター鍵の割符を作成することを含む暗号通信を管理する方法を対象とする。割符は、別のシステム内に格納される。秘密鍵を取得する受信者からの要求に対して、別のシステムでマスター鍵のそれぞれの割符から秘密鍵の対応するそれぞれの割符を作成することにより応答する。受信者は秘密鍵の割符から秘密鍵を構成し、その秘密鍵は受信者の識別情報に対応する。
本発明の他の実施形態は、送信者と受信者との間で通信を行うための方法を対象とする。送信者から受信者に送信されるメッセージが暗号化され、メッセージが送信者から受信者に送信される。メッセージの受信者からの解読鍵の要求が受信される。解読鍵の要求を受信した後、受信者がメッセージを受信したことを示す情報が作成され、受信者に解読鍵が与えられる。本発明の実施形態によれば、送信者の返信アドレスがメッセージに含まれ、メッセージを受信したことを示す確認通知が返信アドレスに送信される。本発明の他の態様によれば、メッセージの識別が確認通知に含まれ、その確認通知は送信者に送信される。本発明の他の態様によれば、暗号化鍵は送信者の返信アドレスに基づいて導出される。
本発明の他の実施形態は、送信者と信任状を有する受信者との間で通信を行うための方法を対象とする。受信者の識別情報を取得する。受信者が解読鍵を取得するために必要な信任状を指定すると、受信者の識別情報と信任状から暗号化鍵が導かれる。送信者から受信者に送信されるメッセージは、暗号化鍵および双線形写像を使用して暗号化され、メッセージが、送信者から受信者に送信される。メッセージの受信者からの解読鍵の要求を受信する。受信者が信任状を持っているかどうかが調べられ、受信者が信任状を持っていれば、解読鍵が受信者に与えられる。そこで、受信者は解読鍵と双線形写像を使用してメッセージを解読できる。
本発明の他の実施形態は、送信者と、ターゲット・システム上で解読鍵を格納することにかかわる受信者と、の間で通信を行う方法を対象とする。メッセージを解読する時刻に関連付けられている解読鍵の集まりを導出することができ、解読鍵はターゲット・システムに格納される。暗号化鍵は、メッセージが解読される時刻に関連付けられている文字列から導出される。暗号化鍵を使用してメッセージを暗号化する。ターゲット・システム上でメッセージを受信すると、そのメッセージは、双線形写像および対応する解読鍵を使用して解読される。
本発明の他の実施形態は、責任関係の異なる実体(エンティティ)に関わる送信者と受信者との間で通信を行う方法を対象とする。1組の解読鍵を、マスター鍵および異なる責任関係に関連付けられている1組の文字列から導出する。それぞれの責任関係のあるエンティティに解読鍵が与えられる。暗号化鍵は、異なる責任関係のうちの1つに関連付けられている文字列から導出される。暗号化鍵および双線形写像を使用して、送信者から受信者に送信されるメッセージが暗号化される。特定の責任を有するエンティティが、メッセージを受信し、それぞれの解読鍵および双線形写像を使用してメッセージを解読する。本発明の一実施形態によれば、特定の責任に対応する文字列として、電子メールの件名行がある。
送信者、受信者、および個人鍵作成器(PKG)によって実行される工程およびそれらの間でやり取りされる情報を示す、本発明の実施形態による暗号システムを説明するブロック図。 本発明の一実施形態により秘密鍵を作成するときにPKGによって実行される工程を説明するブロック図。 本発明の一実施形態により秘密メッセージ鍵を計算し、その鍵を使用して受信者を送り先とするメッセージを暗号化する場合に送信者によって実行される工程を説明するブロック図。 本発明の一実施形態により秘密メッセージ鍵を計算し、その鍵を使用して送信者から受信した暗号文を解読する場合に受信者によって実行される工程を説明するブロック図。 本発明の一実施形態による分散PKGを説明するブロック図。 本発明の一実施形態によるエスクロー解読機能を備える暗号システム内の要素を説明するブロック図。 本発明の一実施形態によるエスクロー解読機能を備えるElGamal暗号システムでメッセージを暗号化する場合に送信者によって実行される工程を説明するブロック図。 本発明の一実施形態によるエスクロー解読機能を備えるElGamal暗号システムでメッセージを解読する場合に受信者によって実行される工程を説明するブロック図。 本発明の他の実施形態によるエスクロー解読機能を備えるElGamal暗号システムでメッセージを解読する場合にエスクローによって実行される工程を説明するブロック図。 本発明の一実施形態によりIDベース暗号化システムで信用状を管理するシステムを説明するブロック図。 本発明の一実施形態による鍵委託機能を備えるシステムを説明するブロック図。 本発明の一実施形態による受信確認返信機能を備える暗号システムを説明するブロック図。
以下の説明では、本発明の暗号化手法のいくつかの実施例の詳細を述べ、またシステムの秘匿性の技術的内容についても解説する。
概要
現代の暗号システムでは普通のことであるが、本発明でも、その手法は一般的に、通信媒体に接続されたコンピュータ上に実装される。通常、コンピュータはインターネットまたは他のコンピュータ・ネットワークにより接続されるが、通信媒体も使用され得る。
本発明の一実施形態は、IDベース情報から導かれる秘密メッセージ鍵を使用するIDベース暗号化システムを含む。送信者側はメッセージ鍵を使用してメッセージを暗号化し、受信者側はそのメッセージを解読することができる。秘密メッセージ鍵は、受信者のIDベース公開鍵から送信者により計算される。受信者側では、受信者のIDベース公開鍵から導かれる受信者の秘密鍵から同じメッセージ鍵を計算することができる。送信者および受信者は両方とも、双線形写像を使用して同じ秘密鍵を計算する。例えば、一実施形態では、非対称または対称双線形写像e^:★G×★G→★Gを使用するが、ただし、★G、★G、★Gは(必ずしも異なるものではない)代数群である。★Gが★Gに等しい場合、双線形写像は対称であるといい、e^:★G×★G→★Gと表すことが多い。非退化で、効率よく計算できる双線形写像e^は、認容写像と呼ぶ。本発明のいくつかの実施形態では、双線形写像は認容的であるのが好ましい。
この説明全体の規約として、★Gおよび★Gの群演算を加法で表し、★Gの群演算を乗法で表す。素数位数の群★Gについては、★Gで集合★G=★G\{O}を表すが、ただしOは群★Gの単位要素とする。任意の長さの2進数列の集合を、{0,1}で表す。★Zで、qを法とする加法による群{0,...,q−1}を表し、★Zで、正の整数の集合を表す。加法の繰り返しにより★G上に★Zの自然な群作用が与えられること、および要素P∈★Gに対する要素a∈★Zの作用の結果をaPと表すことに注意されたい。
本発明の他の実施形態によれば、ある種の計算Diffie−Hellman問題(写像e^を伴う)は難しい問題である。一実装では、写像e^は認容的であり、★G、★G、★Gの位数の素因数qは非常に大きい。。★G、★G、★Gの位数は互いに等しくてもよい。以下の説明では、簡単にするため、一般性を失うことなく、★G、★G、★Gの位数はすべて素数位数qであると仮定する。
実施例では、認容写像e^:★G×★G→★Gを使用して、以下のようにIDベース暗号システムを実現している。メッセージを暗号化するために、送信者は、送り先である受信者の公開識別子IDと関連付けられた公開鍵QID∈★Gを使用する。暗号化されたメッセージを解読するために、受信者は相補的な秘密鍵dID∈★Gを使用する。秘密鍵は、公開鍵QID、秘密マスター鍵s∈★Z 、および★G上の★Z の群作用から計算される。一実施形態では、例えば、dID=sQIDである。秘密マスター鍵sは信頼できるPKGにのみ公開されているため、ユーザは通常、自分自身で秘密鍵を計算することは可能でない。秘密鍵を取得するには、個人が認証の済んだ後にPKGから取得するのが好ましい。しかし、対応する秘密鍵が決定される前であっても、誰でも任意の公開識別子IDに関連付けられた公開鍵QIDをいつでも計算することが可能である。例えば、一実施形態では、公開鍵QIDは、(1)従来の指標符号化方式を使用して公開識別子IDを{0,1}の対応する2進数列に写像し、(2)ハッシュ関数H:{0,1}→★G を使用して2進数列を★G の要素QIDにハッシュすることで得られるが、ただし、QIDの位数はqとする。
この実施形態では、公開識別子IDを有する受信者を宛先とするメッセージの暗号化および解読を以下のように行うことができる。送信者は認容写像e^を使用して、秘密メッセージ鍵を決定することができる。送信者および受信者は同じ情報をすべて共有するわけではないが、写像e^が双線形であるという事実を使用することで、異なる情報を使って同じメッセージ鍵を計算することが可能である。それぞれプライベートの情報を使用するため、メッセージ鍵は秘密である。
このアプローチの実装方法を説明するため、送信者は★Gの要素PおよびsPを知っていると仮定する。一実施形態では、例えば、★Gの要素PおよびPpub=sPは公開されたシステム・パラメータである。そこでさらに、送信者は非公開で、乱数r∈★Z を選択し、受信者のIDベース公開鍵QIDを使用してg ID=e^(rQID,sP)を使用する。要素g IDはIDベースの秘密であり、送信者はこれを秘密メッセージ鍵として使用し、受信者へのメッセージのIDベース暗号化を実行する。次に、送信者は、暗号化されたメッセージをrPとともに受信者に送信することができる。すると受信者は、rPを受信し、それを秘密鍵sQIDとともに使用して、秘密メッセージ鍵g ID=e^(sQID,rP)を計算する。この秘密メッセージ鍵は、e^写像の双線形性より、送信者によって計算される秘密メッセージ鍵に等しい。この計算された要素g ID∈★Gは、したがって、受信者が要素rPおよび秘密鍵sQIDを使用して計算することができる送信者のIDベース秘密鍵である。この秘密鍵は、送信者と受信者との間の暗号化された通信を行うためのメッセージ鍵として使用することができる。
PKGはさらに、受信者の秘密鍵も知っているため、さらに秘密メッセージ鍵を計算し、メッセージを解読することが可能であることに注意されたい。送信者、受信者、およびPKGすべてに、秘密メッセージ鍵を計算するための十分な情報がすべて用意されている。しかし、他のエンティティにはいっさい、通常、送信者の秘密鍵rまたは受信者の秘密sQIDは公開されない。この実施形態の秘匿性は、rが公開されていない、またはsQIDが公開されていないと、双線形写像を使用しr、s、およびQIDの組み合わせに基づいて秘密メッセージ鍵を計算することの困難さに関係している。
一実施形態では、メッセージ鍵g IDを使用し、XOR演算(「○+」で表される)を使用してメッセージのビットの暗号化および解読を行うのに使用されるマスクを決定する。特に、メッセージMの暗号文Vは、H:★G→{0,1}をハッシュ関数とし、nをメッセージのビット長として、V=M○+H(g ID)を計算して得られる。逆に、メッセージMは、M=V○+H(g ID)を計算することにより暗号文Vから復元される。
他の実施形態では、上で概要を述べた一方向暗号化方式は、選択暗号文秘匿システムに変換することにより秘匿性を高められる。本発明の一実施形態では、例えば、Fujisaki−Okamotoの一般的手法を使用する。
他の実施形態では、マスター鍵は、分散PKGの複数の個人鍵作成器に分散させた成分sに分割される。識別子IDに基づく公開鍵QIDを持つユーザが与えられた場合、分散PKG内の個人鍵作成器のそれぞれがQおよびマスター鍵の公開鍵部分sを使用して秘密鍵部分dを計算する。これらの秘密鍵部分は、QIDで暗号化されたメッセージを解読するため、ユーザによって組み合わされ、単一の秘密鍵dIDとして使用される可能性がある。
他の実施形態では、ElGamal暗号化方式に鍵エスクローが組み込まれる、つまり任意の公開鍵で暗号化された暗号文を1つの大域的なエスクロー鍵で解読することが可能である。この実施形態では、上述のシステム例は以下のように適合される。受信者はさらに、要素PおよびsPも知っていると想定する。受信者は、PKGから秘密鍵を取得するのではなく、乱数x∈★Z を選択し、群作用を使用してxPを計算し、計算結果に基づいて公開鍵を公開することにより公開/秘密鍵の対を作成する。一実施形態では、公開鍵はxPであり、相補的秘密鍵はd=x(sP)である。(したがって、xPは、QIDの役割を担い、d=x(sP)=s(xP)はdID=sQIDの役割を担う。)受信者へのメッセージを暗号化するには、送信者は前のように、乱数rを選択して、rPを受信者に送信する。次に、x(sP)=dは秘密であるとして、受信者は対(rP,x(sP))を知り、r(xP)は秘密であるとして、送信者は対(sP,r(xP))を知る。そのため、送信者および受信者は両用とも、g=e^(rP,x(sP))=e^(sP,r(xP))を計算し、ただし、第2の等式はe^の双線形性から導かれる。しかし、この秘密も、マスター鍵の情報sからを調べることが可能である。送信者からの要素rP、受信者の公開鍵xP、およびマスター鍵sを使用し、g=e^(rP,s(xP))を評価することよりメッセージ鍵を計算することが可能である。この実施形態では、対称双線形写像e^:★G×★G→★Gを使用することに注意されたい。
本発明のいくつかの実施形態では、★Gは楕円曲線の部分群であり、認容写像e^は楕円曲線上のWeilペアリング(またはTateペアリング)から構成される。(ただし、定義より、部分群は、必ずしも、群よりも小さいわけではないことに留意されたい。つまり、★Gは楕円曲線全体の場合もあるということである。)より一般的には、★Gをアーベル多様体とし、e^を★Gの要素の認容的ペアリングとすることができる。★Gおよび★Gが異なるものとして写像e^:★G×★G→★Gを使用するいくつかの実施形態では、★Gはさらに、楕円曲線の部分群、つまりアーベル多様体であってもよい。
他の実施形態では、IDベース暗号化のさまざまな新規性のある応用が考えられる。他の種類の公開識別子、または機能強化された公開識別子を使用することによりIBEシステムの新しい有用な応用が可能である。例えば、公開識別子IDは個人に関連付けられた識別子に限られず、個人だけでなく組織、政府機関、企業などのあらゆる種類のエンティティと関連付けられた識別子であってもよい。また、グループを形成する個々のアイデンティティから自然の組み合わせにより、対応するグループ秘密鍵を備えるグループのジョイント・アイデンティティが得られることにも注意されたい。グループの秘密鍵は、PKGによって発行される必要はなく、単に、グループを構成する別々の秘密鍵の組み合わせである。エンティティのアイデンティティを指定する基本IDは、名前、電子メール・アドレス、住所、またはエンティティの社会保障番号に限られず、ドメイン名、URL、9ケタ郵便番号、納税者番号など他の種類の情報を含めることもできることにも注意しなければならない。多くの応用では、公開識別子IDは、特定のエンティティまたはエンティティの集まりに一意に関連付けられる一般に知られている何らかの文字列を含む。しかし、一般的に、公開識別子IDは、任意の文字列またはその他の任意の情報とすることが可能である。
IBEのさまざまな有用な応用では、機能強化された公開識別子を利用する。機能強化された識別子は、必ずしも、特定のエンティティの独自性を指定する情報に限られない情報を含む一種の識別子とすることができる。例えば、IDは、エンティティに関連付けられたライセンス番号、肩書き、または機密取扱資格などの信任状記述子を含めることが可能である。機関は、機関が証明するエンティティにのみ秘密鍵を与えることにより信任状を管理することが可能である。一実施例では、IDに、連続番号、車両識別番号、特許番号などの所有物記述子を含めることが可能である。資産所有者の登録および所有者の認証を担当する機関は、その機関によって真の所有者であるとして登録されるエンティティにのみ秘密鍵を与えることにより資産登録を管理することが可能である。より一般的に、2つまたはそれ以上の物事の間の関連は、IDにその識別子を含めることにより管理することが可能である。その後、PKGは、物事の間の関連付けに対する管理権限を有するものとして機能する。
他の種類の機能強化されたIDとして、時刻、時間間隔、または1組の時間間隔を含む識別子がある。このような識別子に対する秘密鍵は、ある時刻になると自動的に期限切れになるように、ある時間の経過後にのみ自動的にアクティブ状態になるように、または1つ以上の指定された時間間隔についてのみ有効となるように構成することが可能である。この手法を信任状および所有権管理と組み合わせることにより、アクティブ化および/または期限切れの時間を制御することが可能である。
上記の例から、本発明によるIDベース暗号化システムは特定の種類の識別子に限られないことは明白である。したがって、「IDベース」という用語は、任意の文字列またはその他の任意の情報を基盤として使用できることを示すものとして一般的に理解すべきである。
他の実施形態によれば、IBEシステムを使用することで解読機能を委託することができる。エンティティは、自分の秘密マスター鍵を使って自分のIBEシステムを設定し、このIBEシステムに対してPKGの役割を担うことが可能である。エンティティにはマスター鍵があるため、エンティティは鍵を発行することで、解読機能を他のエンティティに委託することが可能である。例えば、エンティティが企業であれば、その従業員は企業PKGから秘密鍵を取得することが可能である。個人に対し、その名前、肩書き、責務、プロジェクト、事例、または職務関係の識別子と一致する秘密鍵を発行することが可能である。他の例では、個人が業務出張時のみ有効な秘密鍵をラップトップに対して発行することが可能である。ラップトップの紛失または盗難が発生した場合でも、その期間の鍵しか損なわれない。マスター鍵は、家に保存しておくため、損なわれることはない。
また、通信の媒体は電子メールまたはインターネットに限られる必要はなく、印刷された刊行物、デジタル記録媒体、ラジオ放送、無線通信などの通信媒体も考えられる。
定義
IDベース暗号化。IDベース暗号化システムおよびその方法$eの実施例では、Setup、Extract、Encrypt、Decryptの4つのランダム・アルゴリズムを使用する。
Setup:秘匿性パラメータkが与えられた場合、params(システム・パラメータ)およびmaster−keyを返す。このシステム・パラメータは、有限メッセージ空間$Mの説明および有限暗号文空間$Cの説明を含む。通常、システム・パラメータは、周知であるが、master−keyは個人鍵作成器(PKG)にのみ公開される。
Extract:入力として、params、master−key、および任意のID∈{0,1}を受け取り、秘密鍵dを返す。ここで、IDは公開鍵として使用される任意の文字列であり、dは対応する秘密解読鍵である。Extractアルゴリズムは、与えられた公開鍵から秘密鍵を抽出する。抽出にはmaster−keyが必要なため、通常は、PKGによって抽出が実行される。
Encrypt:入力として、params、ID、およびM∈$Mを受け取る。暗号文C∈$Cを返す。
Decrypt:入力として、params、C∈$C、および秘密鍵dを受け取る。M∈$Mを返す。
本発明の一実施形態によれば、これらのアルゴリズムは、暗号化されたメッセージが解読により忠実に復元されることを保証する標準の一貫性制約を充足する。より具体的には、dがアルゴリズムExtractによって作成された秘密鍵である場合、公開鍵としてIDが与えられると以下の式が成り立つ。
∀M∈$M:Decrypt(params,C,d)=M ただし、C=Encrypt(params,ID,M)。
本発明の一実施形態によるIDベース暗号システムでは、図1に示されているように、上記のアルゴリズムが一緒に使用される。送信者100はEncryptを使用し、受信者110はDecryptを使用し、PKG 120はSetupとExtractを使用する。メッセージMを受信者110に送信するために、送信者100は受信者のID(例えば、受信者の電子メール・アドレス)を取得し、無作為に選択した整数rと組み合わせて秘密メッセージ鍵g IDを計算する。要素rPが受信者110に送信されると、受信者110はその要素を秘密鍵dIDと組み合わせて、同じメッセージ鍵g IDを決定する。送信者および受信者は秘密メッセージ鍵を共有しているため、送信者によりこの鍵で暗号化されたメッセージは、受信者側で解読することが可能である。特に、送信者はMをメッセージ鍵で暗号化し、暗号文Vを作成して、rPとともに受信者に伝達する。そこで、受信者は、秘密メッセージ鍵を使用して、暗号文を解読し、元のメッセージを復元する。しかし、メッセージを解読するために、受信者110は最初に、PKG 120から秘密鍵dIDを取得しておかなければならない。PKGが受信者のアイデンティティを認証した後、受信者に、受信者のIDに対応する秘密鍵を供給する。(ただし、この実施形態では、PKGはシステム内で任意の秘密鍵を計算することが可能であり、したがって、システム内で任意のユーザへの任意のメッセージを解読することが可能であることに注意されたい。)
選択暗号文の秘匿性。選択暗号文の秘匿性(IND−CCA)は、公開鍵暗号化方式の秘匿性の標準的な受け入れられる概念である。IDベース暗号化システムおよび方法の実施形態は、この秘匿性という強力な概念を充足するように実装することができる。さらに、選択暗号文の秘匿性の選択されたレベルを少し強化することができる。なぜなら、敵対者がIDベース・システム内の公開鍵IDに攻撃をしかけたときに、敵対者はすでに自分が選択したユーザID,...,IDの秘密鍵を所有しているおそれがあるからである。本発明の一実施形態では、システムはこのような攻撃にさらされても秘匿性を保持する。つまり、本システムは、敵対者が自分の選択したアイデンティティIDに関連する秘密鍵(攻撃されている公開鍵ID以外)を取得することが可能な場合であっても秘匿性を保持するということである。このようなクエリを秘密鍵抽出クエリと呼ぶ。さらにこの実施形態のシステムは、敵対者が自分の選んだ公開鍵IDについてチャレンジを受けたとしても、秘匿性を保持する(ランダム公開鍵とは反対に)。
以下のIND−ID−CCAゲームにおいてチャレンジャに対する無視できない優位性を持つ多項式有界敵対者$Aがいない場合、IDベース暗号化システムまたは方法$eの実施形態は、適応的選択暗号文攻撃に対する意味秘匿性(IND−ID−CCA)があるという。
Setup:チャレンジャは、秘匿性パラメータkを受け取り、Setupアルゴリズムを実行する。これにより、敵対者は、その結果のシステム・パラメータparamsが与えられる。このアルゴリズムは、マスターキー(master−key)をそれ自身に保持する。
段階1:敵対者は、クエリq,...,qを発行するが、クエリqは以下のうちの1つである。
− 抽出クエリ<ID>。チャレンジャは、アルゴリズムExtractを実行し公開鍵<ID>に対応する秘密鍵dを作成することにより応答する。dを敵対者に送信する。
−解読クエリ<ID,C>。チャレンジャは、アルゴリズムExtractを実行しIDに対応する秘密鍵dを作成することにより応答する。次に、アルゴリズムDecryptを実行し、秘密鍵dを使用して暗号文Cを解読する。これは、その結果の平文を敵対者に送信する。
これらのクエリは状況に応じて行われる、つまり、各クエリqはq,...,qi−1への返信に依存する。
チャレンジ:敵対者は、段階1が終了したと判断すると、長さの等しい2つの平文M、M∈$M、およびチャレンジの際のアイデンティティIDを出力する。唯一の制約は、IDが段階1で秘密鍵抽出クエリ内に出現していなかったという点である。
チャレンジャは、ランダム・ビットb∈{0,1}を選択し、C=Encrypt(params、ID,M)を設定する。敵対者へのチャレンジとしてCを送信する。
段階2:敵対者は、さらにクエリqm+1,...,qを発行し、クエリqは以下のうちの1つである。
− 抽出クエリ<ID>、ただし、ID≠ID。チャレンジャは、段階1と同じように応答する。
− 解読クエリ<ID,C>≠<ID,C>。チャレンジャは、段階1と同じように応答する。
これらのクエリは、段階1のように状況に応じて行うことができる。
推測:最後に、敵対者は推測b'∈{0,1}を出力する。b=b'であれば、敵対者がゲームの勝利者である。
このような敵対者$AをIND−ID−CCA敵対者と呼ぶ。方式$Eを攻撃する際の敵対者$Aの優位性を秘匿性パラメータkの以下のような関数として定義する(kは、チャレンジャへの入力として与えられる)。
Figure 0005933786
 この確率は、チャレンジャと敵対者によって使用されるランダム・ビット上の確率である。
IND−ID−CCAゲームを使用して、IBE方式の選択暗号文秘匿性を定義することが可能である。通常のように、関数g:★R→★Rは、g(k)が任意の多項式fについて1/f(k)よりも小さい場合に、無視できるという。
定義1 IBEシステム$eは、任意の多項式時間IND−ID−CCA敵対者$Aについて関数Adv$e,$A(k)が無視できる場合に、適応的選択暗号文攻撃に対する意味秘匿性を有するという。簡単に、$eはIND−ID−CCA秘匿性があるという。
ただし、選択暗号文秘匿性(IND−CCA)の標準的定義は、秘密鍵抽出クエリがないことを除き上述と同じであり、敵対者はランダム公開鍵(自分の選択した公開鍵ではなく)に基づいてチャレンジを受けることに注意されたい。秘密鍵抽出クエリは、マルチユーザ設定での選択暗号文秘匿性の定義に関係している。結局、この定義は、複数ユーザに属す複数の公開鍵を必要とする。マルチユーザIND−CCAは、標準ハイブリッド引数を使用してシングル・ユーザIND−CCAに簡約可能と考えられる。これは、IDベース設定IND−ID−CCAでは成立しないが、それは、敵対者が攻撃中に壊れる公開鍵を選択するようになるからである。秘密鍵抽出クエリが重要であることを強調するために、開示されているIBEシステムの1実装を(ハッシュ関数の1つを除去することにより)修正して、秘密鍵抽出クエリが禁止される場合に選択暗号文秘匿性を有するシステムに導入することが可能であることを指摘しておく。しかし、この実装は、抽出クエリが許される場合には秘匿性がない。
意味秘匿IDベース暗号化。このIBEシステムの実装の秘匿性の証明では、意味(semantic)秘匿(選択平文攻撃に対する意味秘匿性とも呼ばれる)と呼ばれる秘匿性の弱い概念を利用する。意味秘匿は、敵対者に対する制限が強いことを除いて選択暗号文秘匿(IND−ID−CCA)に類似しており、チャレンジ公開鍵を攻撃している間は、解読クエリを発行し得ない。標準公開鍵システム(IDベース・システムではなく)では、意味秘匿は、(1)チャレンジャによって作成されたランダム公開鍵を敵対者に与え、(2)敵対者は長さの等しい2つのメッセージMおよびMを出力し、{0,1}でランダムに選択したbについてチャレンジャからMの暗号化を受け取り、(3)敵対者はb'を出力し、b=b'であれば敵対者が勝利するというゲームを使用して定義される。公開鍵システムは、多項式時間の敵対者が無視できない優位性でゲームに勝利する可能性がない場合に意味秘匿であるという。簡単に、意味秘匿公開鍵はIND−CPA秘匿性があるという。意味秘匿性には、暗号文が与えられると、敵対者は対応する平文に関して何も情報を得られないという我々の直観に訴えかけるところがある。
IDベース・システムの意味秘匿(IND−ID−CPAと表す)を定義するために、敵対者が選択秘密鍵抽出クエリを発行することを許すことにより、標準定義を強化する。同様に、敵対者は、自分の選択した公開鍵IDに関してチャレンジを受ける。ここで、IND−ID−CPAゲームを使用してIDベース暗号化方式の意味秘匿を定義する。ゲームは、敵対者は解読クエリを実行し得ないという点を除き上で定義したIND−ID−CCAゲームと同じである。敵対者は、秘密鍵抽出クエリを実行するしかない。以下のIND−ID−CPAゲームにおいてチャレンジャに対する無視できない優位性を持つ多項式制限敵対者$Aがいない場合、IDベース暗号化方式$eは、意味秘匿性(IND−ID−CPA)があるという。
Setup:チャレンジャは、秘匿性パラメータkを受け取り、Setupアルゴリズムを実行する。これにより、敵対者は、その結果のシステム・パラメータparamsが与えられる。このアルゴリズムは、master−keyをそれ自身に留める。
段階1:敵対者は、秘密鍵抽出クエリID,...,IDを発行する。チャレンジャは、アルゴリズムExtractを実行し公開鍵IDに対応する秘密鍵dを作成することにより応答する。dを敵対者に送信する。これらのクエリは状況に応じて実行することができる。
チャレンジ:敵対者は、段階1が終了したと判断すると、長さの等しい2つの平文M、M∈$M、およびチャレンジの際の公開鍵IDを出力する。唯一の制約は、IDが段階1で秘密鍵抽出クエリ内に出現していなかったという点である。チャレンジャは、ランダム・ビットb∈{0,1}を選択し、C=Encrypt(params、ID,M)を設定する。敵対者へのチャレンジとしてCを送信する。
段階2:敵対者は、さらに抽出クエリIDm+1,...,IDを発行する。唯一の制約は、IDi≠IDである。チャレンジャは、段階1と同じように応答する。
推測:最後に、敵対者は推測b'∈{0,1}を出力する。b=b'であれば、敵対者がゲームの勝利者である。
このような敵対者$AをIND−ID−CPA敵対者と呼ぶ。上で行ったように、方式$eに対するIND−ID−CPA敵対者$Aの優位性は、秘匿性パラメータkの以下の関数である。
Figure 0005933786
 この確率は、チャレンジャと敵対者によって使用されるランダム・ビット上の確率である。
定義2 IBEシステム$eは、任意の多項式時間IND−ID−CPA敵対者$Aについて関数Adv$e,$A(k)が無視できる場合に、意味秘匿であるという。簡単に、$eはIND−ID−CPA秘匿性があるという。
一方向IDベース暗号化。一方向暗号化(OWE)と呼ばれる秘匿性の更に弱い概念を定義することが可能である。大まかにいうと、公開鍵暗号化方式は、ランダム平文の暗号化が与えられたときに、敵対者がその平文をそのまま出力し得ない場合に一方向暗号化である。敵対者が例えば平文のビットの半分を学習するのを妨げるものがないため、一方向暗号化は秘匿性の弱い概念である。したがって、一方向暗号化方式は、一般的に秘匿性のある暗号化を実現しない。ランダム・オラクル・モデルでは、セッション鍵の暗号化に一方向暗号化方式を使用することが可能である(セッション鍵は、平文のハッシュとみなされる)。秘密鍵抽出クエリを定義に加えることにより一方向暗号化の概念をIDベース・システムに拡張することが可能であることを注意しておく。秘匿性の最も弱い概念として意味秘匿を使用するため、ここでは完全な定義を掲載しない。
双線形写像および双線形DIFFIE−HELMAN仮定
本発明の一実施形態は、ある大きな素数qについて位数qの群★Gと★Gとの間の写像e^:★G×★G→★Gを使用するIBEシステムを対象とする。写像e^は、以下の特性を満たす場合に認容写像と呼ぶことができる。
1.双線形:写像e^:★G×★G→★Gは、すべての(P,Q)∈★G×★Gおよびすべてのa,b∈★Zについて、e^(aP,bQ)=e^(P,Q)abを満たす。
2.非退化:この写像は、★G×★G内のすべての対を★G内の単位要素に対応させない。★G、★G、★Gは素数位数の群なので、これは、★G=★GおよびPが★G=★Gの作成要素であれば、e^(P,P)は★Gの作成要素であることを意味していることがわかる。
3.計算可能:任意の(P,Q)∈★G×★Gについてe^(P,Q)を計算する効率のよいアルゴリズムが存在する。
実施形態の多くは、写像e^:★G×★G→★Gを参照して説明されているが、これは、本発明の実施形態で使用されている双線形写像の特定の場合にすぎない。より一般的には、写像e^:★G×★G→★Gを使用することができ、★Gおよび★Gは異なっていてもよい。しかし、説明を簡単にするため、実施形態の多くは、★Gおよび★Gが同じである場合について主に詳述しており、この群は両方とも★Gで表される。以下では、群★G、★Gおよびそれらの間の認容写像を使用する詳細な実施例を取りあげる。この実施例では、群★Gは、楕円曲線E/★Fの点の加法群の部分群であり、群★Gは、有限体★F■の乗法群の部分群である。以下のIBEシステムの詳細な例からわかるように、Weilペアリング(それ自体は認容写像でない)を使用して、これら2つの群の間の認容写像を構成することが可能である。
上で述べたように認容写像e^:★G×★G→★Gが存在することで、これらの群に対し2通りの意味が生じる。
MOV帰着:★Gにおける離散対数問題は★Gにおける離散対数問題よりも困難ではない。これを見るために、P,Q∈★Gを★Gにおける離散対数問題の実例とし、P、Qは両方とも位数qであるとする。Q=αPとなるようなα∈★Zを見つけたい。g=e^(P,P)およびh=e^(Q,P)とする。そこで、e^の双線形性により、h=gαであることがわかる。e^が非退化であることから、g、hは両方とも★Gにおいて位数qである。したがって、★Gにおける離散対数問題は、★Gにおける離散対数問題に帰着した。よって、離散対数が★Gにおいて困難であるためには、離散対数が★Gにおいて困難であるように秘匿性パラメータを選択しなければならない。
決定Diffie−Hellmanは容易である:★Gにおける決定Diffie−Hellman問題(DDH)は、分布<P,aP,bP,abP>と<P,aP,bP,cP>とを区別する問題であり、a、b、cは★Zにおいてランダムであり、Pは★Gにおいてランダムである。★GにおけるDDHが容易であることを見るために、P、aP、bP、cP∈★G が与えられた場合、以下の式が成り立つことに注意する。
c=ab mod q <==> e^(P,cP)=e^(aP,bP)
★Gにおける計算Diffie−Hellman問題(CDH)は、それでも、困難である可能性がある(★GにおけるCDHはランダムな<P,aP,bP>が与えられた場合にabPを見つけることである)。実施例では、★GにおけるDDHが容易であるとしても★GにおけるCDHは困難であると考えられる場合に、写像e^:★G×★G→★Gを使用することができる。
双線形Diffie−Hellman仮定(BDH)
★Gにおける決定Diffie−Hellman問題(DDH)は容易なので、本発明の実施形態ではその群で暗号システムを構築するのにDDHを使用しない。その代わりに、このIBEシステムの実施形態の秘匿性は、双線形Diffie−Hellman仮定(BDH)と呼ばれる計算Diffie−Hellman仮定の新規性のある変種に基づく。
双線形Diffie−Hellman問題。★G、★Gを素数位数qの2つの群とする。e^:★G×★G→★Gを認容写像とし、Pを★Gの作成要素とする。<★G,★G,e^>のBDH問題は以下のとおりである。あるa、b、c∈★Z について<P,aP,bP,cP>が与えられたとして、W=e^(P,P)abc∈★Gを計算する。アルゴリズム$Aには、以下の場合に、<★G,★G,e^>におけるBDHを解く上で優位性$eがある。
Pr[$A(P,aP,bP,cP)=e^(P,P)abc]≧ε
ただし、この確率は★Z におけるa,b,cのランダムな選択、P∈★G のランダムな選択、および$Aのランダム・ビットについてのものである。
BDHパラメータ作成要素。ランダム・アルゴリズム$gは、(1)$gが秘匿性パラメータk∈★Zを受け取り、(2)$gがkの多項式時間で実行され、(3)$gは素数q、位数qの2つの群★G、★Gの説明および許容写像e^:★G×★G→★Gの説明を出力する場合に、BDHパラメータ作成要素であるという。$gの出力を$g(1k)=<q,★G,★G,e^>で表す。秘匿性パラメータkは、qのサイズを決定する場合に使用され、例えば、qをランダムなkビット素数とみなすことも可能である。i=1,2について、群★Gの説明に、★Gにおける群作用を計算するための多項式時間(kにおける)アルゴリズムが含まれる、★Gの作成要素が含まれると仮定する。★Gの作成要素により、★Gに一様にランダムな要素を作成することができる。同様に、e^の説明に、e^を計算するための多項式時間アルゴリズムが含まれると仮定する。Weilペアリングを使用するIBEシステムの以下の詳細な例では、BDHパラメータ作成要素の例を挙げる。
双線形Diffie−Hellman仮定。$gをBDHパラメータ作成要素とする。
アルゴリズム$Aは、十分に大きなkについて以下の式が成り立つ場合に、BDH問題を解く際に優位性ε(k)を有するという。
Figure 0005933786
 任意のランダム多項式時間(kにおいて)アルゴリズムおよび任意の多項式f∈★Z[x]アルゴリズムについて$Aは高々1/f(k)の優位性でBDH問題を解く場合に、$gはBDH仮定を満たすという。$gがBDH仮定を満たす場合、BDHは、$gによって作成された群において困難であるという。
IBEシステムの以下の詳細な例の説明では、BDH仮定を満たすと思われるBDHパラメータ作成要素の例をいくつか挙げる。
BDHの困難さ。BDH問題と暗号で使用される他の困難な問題との関係を調べると興味深いことがわかる。現在、いえるのは、<★G,★G,e^>のBDH問題は★Gまたは★GにおけるCDH問題よりも困難ではないということである。つまり、★Gまたは★GのCDHのアルゴリズムは<★G,★G,e^>のBDHを解くのに十分であるということである。今のところ、この逆、つまり、★Gまたは★GでCDHを解くのにBDHのアルゴリズムは十分かという問題は未解決である。
以下のIBEシステムの詳細な例では、認容写像によって誘導された★Gから★Gへの同型写像は、一方向関数であると考えられることを注意しておく。より具体的には、点Q∈★G について、f(P)=e^(P,Q)により同型写像f:★G→★Gを定義する。これらの同型写像のどれか1つでも不可逆であることは判明すれば、BDHは<★G,★G,e^>において容易である。幸運なことに、fの逆を求める効率のよいアルゴリズムがあれば、群★GにおいてDDHを決定する効率のよいアルゴリズムがあることがいえる。実施例では、DDHは群★Gにおいて困難であると考えられる。したがって、認容写像によって誘導された同型写像f:★G→★Gは一方向関数であると考えられる。
IDベース暗号化方式の例
以下の実施例について段階を追って説明する。まず、適応的選択暗号文攻撃に対して秘匿性がない基本的なIDベース暗号化システムと方法について説明する。後述の他の実施形態では、基本的な方式を拡張し、ランダム・オラクル・モデルにおいて適応的選択暗号文攻撃に対する秘匿性(IND−ID−CCA)を有するようにする。後で、ハッシュ関数に対する要求条件を一部弱めて、他の実施形態を提示する。これらの実施形態については、BDH仮定を満たすジェネリックなBDHパラメータ作成要素を参照して説明する。後で、Weilペアリングを使用するIBEシステムの詳細な例を説明する。
BasicIdent
ここでは、BasicIdentと呼ばれる基本的な実施形態について説明する。実施形態の説明では、Setup、Extract、Encrypt、Decryptという4つのアルゴリズムを取りあげる。kをセットアップ・アルゴリズムに与えられる秘匿性パラメータとする。$gをあるBDHパラメータ作成要素とする。
Setup:秘匿性パラメータk∈★Zが与えられると、基本的な実施形態のアルゴリズムは以下のようになる。
工程1:入力kに対して$gを実行し、素数q、位数qの2つの群★G、★G、および認容写像e^:★G×★G→★Gを作成する。任意の作成要素P∈★Gを選択する。
工程2:ランダムなs∈★Z を選び、Ppub=sPと設定する。
工程3:暗号ハッシュ関数H:{0,1}→★G を選択する。あるnについて、暗号ハッシュ関数H:★G →{0,1}を選択する。秘匿性解析により、H、Hはランダム・オラクルとみなされる。
メッセージ空間は、$M={0,1}である。暗号文空間は、$C=★G ×{0,1}である。システム・パラメータは、params=<q,★G,★G,e^,n,P,Ppub,H,H>である。master−keyは、s∈★Z である。
IBEシステムの実施形態を使用して、対称鍵を暗号化できるが、その場合、nを、例えば、128または256とすることができる。kについては、例えば、512または1024または2048を使用できる。
Extract:与えられた2進数列ID∈{0,1}について、基本的な実施形態のアルゴリズムは、(1)QID=H(ID)∈★G を計算し、(2)sをマスター鍵として、秘密鍵dIDをdID=sQIDとなるように設定する。
Extractは、図2に示されているように、さまざまな実施形態におけるPKGにより実行することができる。PKGは、ブロック200でマスター鍵を取得し、ブロック210で公開識別子IDを取得し、ブロック220でIDから公開鍵を計算し、ブロック230でマスター鍵と公開鍵から秘密鍵を計算する。ブロック240で、秘密鍵が、公開識別子IDに関連付けられているエンティティに送られるが、これは通常、エンティティの素性が識別された後に行われる。
Encrypt:公開鍵IDのもとでM∈$Mを暗号化するために、(1)QID=H(ID)∈★G を計算し、(2)ランダムなr∈★Z を選択し、(3)暗号文を以下のように設定する。
C=<rP,M○+H(g ID)> ただし、gID=e^(QID,Ppub)∈★G
基本的な実施形態では、メッセージの送信者は図3に示されているようにEncryptを実行することができる。ブロック300で、システム・パラメータが取得される(PKGなどの外部リソース、またはすでに取得されていればローカルの記憶媒体から)。ブロック310で、受信者のIDが決定され、ブロック320で、対応する公開鍵がIDから計算される。その後、ブロック330で、秘密メッセージ鍵が計算され、ブロック340で、メッセージ鍵を使用して、メッセージが暗号化される。
Decrypt:C=<U,V>∈$Cを、公開鍵IDを使用して暗号化された暗号文であるとする。秘密鍵dID∈★G を使用してCを暗号化するために、以下を計算する。
V○+H(e^(dID,U))=M
基本的な実施形態では、受信者は、図4に示されているようにDecryptを実行することができる。ブロック400で、システム・パラメータが取得される(PKGなどの外部リソース、またはすでに取得されていればローカルの記憶媒体から)。ブロック410で、送信者から暗号文Vおよび要素rPを取得する。要素rPは、送信者から得られた暗号文全体の一部と考えることができる。ブロック420で、受信者は、メッセージを暗号化するために使用された公開識別子IDに対応する秘密鍵dIDを取得する。秘密鍵は、通常、PKGなどの外部リソース、またはすでに取得されていればローカルの記憶媒体から取得される。その後、ブロック430で、秘密メッセージ鍵が計算され、ブロック440で、これを使用して、メッセージが解読される。
これで、基本的な実施形態のBasicIdentの説明は完了する。最初に整合性を確認する。すべてが上のように計算されると、
1.暗号化時に、Mとg IDのハッシュとのビット排他ORが計算される。
2.解読時に、Vとe^(dID,U)のハッシュとのビット排他ORが計算される。暗号化および解読時に使用されるこれらのマスクは、以下の式が成り立つため同じである。
e^(dID,U)=e^(sQID,rP)=e^(QID,P)sr=e^(QID,Ppub=g ID
したがって、暗号化の後に解読を適用すると、必要に応じてオリジナルのメッセージMが出力される。BasicIdentの性能上の考慮事項については後述する。
秘匿性。次に、この基本的な実施形態の秘匿性について調べる。
システムの例の秘匿性は、★Gにおける計算Diffie−Hellman問題の一変種が困難であるという仮定に基づいている。暗号化方式の秘匿性の技術面の詳細については、発明者が(非特許文献2)で解説しており、本願明細書に援用する。
実施例では、システムの性能は★F におけるElGamal暗号化の性能に匹敵している。システムの例の秘匿性は、計算Diffie−Hellman仮定の一変種に基づいている。この仮定に基づき、システム例がランダム・オラクル・モデルにおいて選択暗号文秘匿性を有することを示す。分散PKG実施形態によれば、閾値暗号化手法を使用することで、PKGを分散させ、master−keyを1カ所だけで利用することをできなくすることが可能である。普通の閾値システムとは異なり、分散PKG実施形態の堅牢性は免除されることを示す。
システム例の秘匿性について論じるため、IDベース暗号化の選択暗号文秘匿性を定義する。このモデルでは、敵対者に、選択暗号文秘匿性の標準モデルよりも大きな権限を与える。最初に、攻撃者が自分の選択した任意の公開鍵IDを攻撃することを許す。次に、IDに対し選択暗号文攻撃がしかけられている間に、攻撃者がIDの秘密鍵以外の、自分の選択した公開鍵をPKGから取得することを許す。これにより、自分の選択したいくつかのIDに対応する複数の秘密鍵を取得し、自分の選択した他の何らかの公開鍵IDを攻撃しようとする攻撃者のモデルが作成される。このようなクエリの手助けがあっても、システムの意味秘匿を破るという点での攻撃者の優位性がいぜんとして無視できるくらい小さいことが望ましい。
以下の定理では、BDHが$gによって作成される群において困難であると仮定して、BasicIdentが意味秘匿IDベース暗号化方式(IND−ID−CPA)であることを証明する。
定理1 ハッシュ関数H、Hはランダム・オラクルであると仮定する。そこで、BDHが$gによって作成される群において困難であると仮定すると、BasicIdentは意味秘匿IDベース暗号化方式(IND−ID−CPA)である。具体的には、方式BasicIdentに対し優位性得ε(k)を有するIND−ID−CPA敵対者$Aが存在すると仮定する。また、$Aが高々q>0個の秘密鍵抽出クエリとHへのqH2>0個のハッシュ・クエリを作成すると仮定する。すると、少なくとも以下の優位性を持つ$gによって作成された群においてBDHを解くアルゴリズム$Bが存在する。
Figure 0005933786
 ここで、e〜〜2.71は自然対数の底である。$Bの実行時間のオーダーはO(time($A))である。
この定理を証明するために、まずBasicPubと呼ばれる関連する公開鍵暗号化方式(IDベース方式ではなく)を定義する。BasicPubは、keygen、encrypt、decryptの3つのアルゴリズムにより記述される。
keygen:秘匿性パラメータk∈★Zが与えられると、このアルゴリズムは以下のように実行される。
工程1:入力kに対して$gを実行し、2つの素数位数の群★G、★G、および認容写像e^:★G×★G→★Gを作成する。qを★G、★Gの位数とする。任意の作成要素P∈★Gを選択する。
工程2:ランダムなs∈★Z を選び、Ppub=sPと設定する。ランダムなQID∈★G を選ぶ。
工程3:あるnについて、暗号ハッシュ関数H:★G→{0,1}を選択する。
工程4:公開鍵は、<q,★G,★G,e^,n,P,Ppub,H,H>である。秘密鍵はdID=sQID∈★G である。
encrypt:M∈{0,1}を暗号化するために、ランダムなr∈★Z を選択し、暗号文を以下のように設定する。
C=<rP,M○+H(g)> ただし、g=e^(QID,Ppub)∈★G
decrypt:C=<U,V>を、公開鍵<q,★G,★G,e^,n,P,Ppub,を使用して作成された暗号文であるとする。秘密鍵dID∈★G を使用してCを解読するために、以下を計算する。
V○+H(e^(dID,U))=M
これで、BasicPubの説明は完了である。そこで、定理1を2段階で証明する。まず、BasicIdentに対するIND−ID−CPA攻撃はBasicPubに対するIND−CPA攻撃に変換することが可能であることを示す。この段階で、秘密鍵抽出クエリが敵対者を手助けしないことを示す。次に、BDH仮定が成立する場合に、BasicPubがIND−CPA秘匿性を有することを示す。これらの証明は略す。
補助定理2 Hを{0,1}から★G へのランダム・オラクルとする。$AをBasicIdentに対し優位性得ε(k)を有するIND−ID−CPA敵対者とする。$Aは高々q>0個の秘密鍵抽出クエリを作成すると仮定する。すると、BasicPubに対して少なくともε(k)/e(1+q)の優位性を持つIND−CPA敵対者$Bが存在する。この実行時間のオーダーはO(time($A))である。
補助定理3 Hを★G から{0,1}へのランダム・オラクルとする。$AをBasicPubに対し優位性得ε(k)を有するIND−CPA敵対者とする。$AはHに対して合計qH2>0個のクエリを作成する。すると、少なくとも2ε(k)/qH2の優位性を有する$gに対するBDH問題を解くアルゴリズム$Bが存在し、実行時間のオーダーはO(time(A))である。
定理1の証明。この定理は、直接補助定理3および補助定理3から導かれる。両方の帰結を書くと、優位性ε(k)を有するBasicIdentに対するIND−ID−CPA敵対者は、必要に応じて、少なくとも2ε(k)/e(1+q)qH2の優位性を持つ$gに対するBDHアルゴリズムを与えることが示される。
選択暗号文秘匿性のあるIDベース暗号化
本発明の一実施形態によれば、FujisakiおよびOkamotoの手法(本願明細書に援用する(非特許文献3)を参照)を適宜適合させ、前節のBasicIdent実施形態をランダム・オラクル・モデルにおけるIBEシステム(前で定義した意味において)の選択暗号文秘匿性実施形態に転換することができる。$eを確率論的公開的暗号方式とする。公開鍵pkのもとでランダム・ビットrを使用するMの暗号化を$epk(M;r)で表す。Fujisaki−Okamotoは、ハイブリッド方式を以下のように定義する。
$ehy pk(M)=<$epk(σ;H(σ,M)),H(σ)○+M>
ここで、σはランダムに作成され、H、Hは暗号ハッシュ関数である。Fujisaki−Okamotoは、$eが一方向暗号化方式であれば、$ehyはランダム・オラクル・モデルにおいて選択暗号秘匿性システム(IND−CCA)であることを示している($epkがいくつかの自然な制約を満たしていると仮定して)。ここで、意味秘匿は一方向暗号化を意味し、したがって、$eが意味秘匿(IND−CPA)であれば、Fujisaki−Okamotoの結果も適用されることを注意する。
Fujisaki−Okamoto変換をBasicIdentに適用し、IBEシステムのその結果の実施形態がIND−ID−CCA秘匿性を有することを示す。FullIdentという以下のIBE実施形態を得る。ただし、nは暗号化するメッセージの長さであることに留意されたい。
Setup:BasicIdent方式の場合と同様。さらに、ハッシュ関数H:{0,1}×{0,1}→★Z およびハッシュ関数H:{0,1}→{0,1}を選ぶ。
Extract:BasicIdent方式の場合と同様。
Encrypt:公開鍵IDのもとでM∈{0,1}を暗号化するために、(1)QID=H(ID)∈★G を計算し、(2)ランダムなσ∈{0,1}を選択し、(3)r=H(σ,M)と設定し、(4)暗号文を以下のように設定する。
C=<rP,σ○+H(g ID),M○+H(σ)> ただし、gID=e^(QID,Ppub)∈★G
Decrypt:C=<U,V、W>を、公開鍵IDを使用して暗号化された暗号文であるとする。U∈/★G であればその暗号文を却下する。秘密鍵dID∈★G を使用してCを暗号化するために、以下を実行する。
1.V○+H(e^(dID,U))=σを計算する。
2.W○+H(σ))=Mを計算する。
3.r=H(σ,M)と設定する。U=rPであることを検査する。そうでなければ、その暗号文を却下する。
4.MをCの解読として出力する。
これで、FullIndentの説明は完了である。この実装は、図2、3、4に示されているBasicIdentと同じ基本パターンに従う。Mは、W=M○+H(σ)として暗号化されることに注意されたい。これは、W=EH4(σ)(M)で置き換えられるが、ただし、Eは意味秘匿対称暗号化方式である。
秘匿性。以下の定理では、BDHは$gによって作成される群において困難であると仮定して、FullIndentは選択暗号文秘匿性のあるIBE(つまり、IND−ID−CCA)であることを証明する。
定理4 ハッシュ関数H、H、H、Hはランダム・オラクルであるとする。すると、BDHが$gによって作成される群において困難であると仮定すると、FullIdentは選択暗号文秘匿IBE(IND−ID−CCA)である。
具体的には、方式FullIdentに対し優位性得ε(k)を有するIND−ID−CCA敵対者$Aが存在すると仮定すると、$Aは高々t(k)の時間で実行される。また、$Aは高々q個の抽出クエリ、高々q個の解読クエリ、および高々qH2、qH3、qH4個のクエリをハッシュ関数H、H、Hに対してそれぞれ作成すると仮定する。すると、以下のような、実行時間がt(k)である$gに対するBDHアルゴリズム$Bが存在する。
Figure 0005933786
 ただし、関数FOtimeおよびFOadvは、定理5で定義されている。
定理4の証明は、FujisakiとOkamotoの以下の結果に基づいている。BasicPubhyは、Fujisaki−Okamoto変換をBasicPubに適用した結果とする。
定理5(Fujisaki−Okamoto) $Aは、BasicPubhyを攻撃したときに優位性ε(k)を得るIND−CCA敵対者であるものとする。$Aは実行時間t(k)が設定され、高々q個の解読クエリを作成し、および高々qH3、qH4個のクエリをハッシュ関数H、Hに対して作成すると仮定する。すると、以下が成り立てば、実行時間t(k)、優位性ε(k)のBasicPubに対するIND−CPA敵対者$Bが存在する。
Figure 0005933786
 ここで、qは、群★G、★Gのサイズであり、nはσの長さである。
実際には、Fujisaki−Okamotoは次のさらに強い結果を証明している。定理4の仮説のもとでは、BasicPubhyは一方向暗号化方式ですらない。本発明の目的に関しては、定理5の結果で十分である。定理4を証明するために、さらに、FullIdentに対するIND−ID−CCA選択暗号文攻撃とBasicPubhyに対するIND−CCA選択暗号文攻撃との間の変換に以下の補助定理が必要である。
補助定理6 $AをFullIdentに対し優位性得ε(k)を有するIND−ID−CCA敵対者とする。また、$Aが高々q>0個の秘密鍵抽出クエリとq>0個の解読クエリを作成すると仮定する。すると、BasicPubhyに対し少なくとも
Figure 0005933786
 の優位性得を有するIND−CCA敵対者が存在する。この実行時間のオーダーはO(time($A))である。
定理4の証明。補助定理6により、FullIdentに対するIND−ID−CCA敵対者ならば、BasicPubhyに対するIND−CCA敵対者である。定理5から、BasicPubhyに対するIND−CCA敵対者ならば、BasicPubに対するIND−CPA敵対者である。補助定理3から、BasicPubに対するIND−CPA敵対者ならば、BDHのアルゴリズムである。よって、必要条件が得られた。
ハッシングの要求条件の緩和
前節のIBEシステムは、ハッシュ関数H:{0,1}→★G を使用していることに留意されたい。次節で述べるIBEシステムの詳細な例では、★Gを楕円曲線上の点のなす群の部分群として使用する。実際、このような群に直接ハッシュするハッシュ関数を構築することが困難な場合がある。1実施例では、したがって、★G の上へのハッシュの要求条件を緩和する方法を示す。★G の上へのハッシュではなく、ある集合A⊆{0,1}の上へのハッシュを行い、決定論的符号化関数を使用してAを★G に写像する。
認容符号化:★Gを群とし、A∈{0,1}を有限集合とする。符号化関数L:A→★G が以下の特性を満たす場合、この符号化関数は認容的であるという。
1.計算可能:任意のx∈Aに対しL(x)を計算する効率のよい決定論的アルゴリズムが存在する。
2.$l対1:任意のy∈★G について、Lのもとでのyのプリイメージのサイズはちょうど$lである。つまり、すべてのy∈★G について|L−1(y)|=$lが成り立つ。これが成り立てば、|A|=$l・|★G |であることに注意されたい。
3.サンプリング可能:$L(s)から任意のy∈★G に対するL−1(y)上の一様分布が得られるような効率のよいランダム・アルゴリズム$Lが存在する。つまり、$L(s)はL−1(y)の一様ランダム要素である。
FullIdentを修正し、Hをある集合Aの中へのハッシュ関数で置き換えたIBEシステムのIND−ID−CCA秘匿実施形態を得る。変更は比較的小さいため、この新しい方式をFullIdent'と呼ぶ。
Setup:FullIdent方式の場合と同様。唯一の違いは、Hがハッシュ関数H':{0,1}→Aで置き換えられていることである。システム・パラメータはさらに、認容的符号化関数L:A→★G の記述も含む。
Extract,Encrypt:FullIdent方式の場合と同様。唯一の違いは、工程1では、これらのアルゴリズムはQID=L(H'(ID))∈★G を計算する点である。
Decrypt:FullIdent方式の場合と同様。
これで、FullIndent'説明は完了である。以下の定理では、FullIdentを仮定して、FullIndent'は選択暗号文秘匿性のあるIBE(つまり、IND−ID−CCA)であることを証明する。
定理7 $Aを優位性得ε(k)を満たすFullIdent'に対するIND−ID−CCA敵対者とする。$Aは、ハッシュ関数H'への高々qH1個のクエリを作成するとする。そこで、同じ優位性ε(k)が得られ、time($B)=time($A)+qH1・time(L)となるFullIdentに対するIND−ID−CCA敵対者$Bが存在する。
証明の概略 アルゴリズム$Bはアルゴリズム$Aを実行することによりFullIdentを攻撃する。これは、すべての解読クエリ、抽出クエリ、およびハッシュ・クエリを直接$Aからチャレンジャに中継し、チャレンジャの応答を$Aに中継して戻す。これは、$Aがハッシュ・クエリをH'に発行した場合にのみ異なる挙動を示す。ただし、$Bは、ハッシュ関数H:{0,1}→★G にのみアクセスできることに留意されたい。H'クエリに応答するため、後述のように、アルゴリズム$Bはタプル<ID,y>のリストを保持する。このリストを(H'listと呼ぶ。このリストは、最初は空である。$Aが点IDでオラクルH'にクエリを実行すると、アルゴリズム$Bは以下のように応答する。
1.クエリIDがすでにタプル<ID,y>の(H'list上に出現していれば、H'(ID)=y∈Aで応答する。
2.そうでなければ、$BはH(ID)のクエリを発行する。例えば、H(ID)=α∈★G である。
3.$Bはサンプリング関数$L(α)を実行して、ランダム要素y∈L−1(α)を作成する。
4.$Bは、タプル<ID,y>を(H')listに加え、H'(ID)=y∈Aで$Aに応答する。αは★G 内に一様分布し、Lは$l対1写像であるため、yは必要に応じてA内に一様分布することに注意されたい。
H'1クエリを含む、$Aのすべてのクエリへのアルゴリズム$Bの応答は、実際の攻撃における$Aの見解と同じである。したがって、$Bは、チャレンジャでゲームに勝利する際のと同じ優位性ε(k)を有する
Weilペアリングを使用するIBEシステムの詳細例
この節では、FullIdent'を使用して、IBEシステムの一実施形態の詳細な例を説明する。この実施形態は、Weilペアリングに基づく。実際にはTateペアリングは計算量に関しては有利であり、さまざまな実施形態においてWeilペアリングの代わりに使用できるが、比較すると単純なのでWeilペアリングを使用する実装について最初に説明する。その後、Tateペアリングについて説明する。
Weilペアリングの特性
p>3を、p=2 mod 3を満たす素数とし、qをp+1のある素因数とする。Eを、★F上の方程式y=x+1によって定義された楕円曲線とする。この曲線Eに関する初等的な事実をいくつか述べる。これ以降、E(★F△)は★F△上で定義されたEの点からなる群を表すものとする。
事実1:x+1は★F上の順列なので、したがって群E(★F)はp+1個の点を含む。Oで無限遠の点を表す。P∈E(★F)を位数qの点とし、★GをPによって作成される点のなす部分群とする。
事実2:任意のy∈★Fについて、E(★E)上に一意の点(x,y)が存在する、つまり、x=(y −1)1/3∈★Fである。したがって、(x,y)がE(★F)上のランダムなゼロでない点であれば、yは★F上で一様である。この特性を使って、単純な認容的符号化関数を作成する。
事実3:1≠ζ∈★F■をx−1=0 mod pの解とする。すると、写像φ(x,y)=(ζx,y)は、曲線E上の点のなす群の自己同型写像となる。任意の点Q=(x,y)∈E(★F)について、φ(Q)∈E(★F■)であるが、φ(Q)∈\E(★F)であることに注意されたい。したがって、Q∈E(★F)はφ(Q)∈E(★F■)に関して一次独立である。
事実4:点P∈★Gおよびφ(P)は一次独立なので、これらは、★Z×★Zに同型な群を作成する。この点のなす群をE[q]で表す。
★Gを位数qの★F■の部分群とする。曲線E(★F■)上のWeilペアリングは、写像e:E[q]×E[q]→★Gである。(この写像は、「Weilペアリングの説明」という表題の節で定義し、説明されている。)任意のQ、R∈E(★F)について、Weilペアリングはe(Q,R)=1を満たす。つまり、Weilペアリングは、E(★F)上で退化し、したがって、群★G上で退化する。非退化写像を得るために、修正したWeilペアリングe^:★G×★G→★Gを次のように定義する。
e^(P,Q)=e(P,φ(Q))
修正したWeilペアリングは、以下の特性を満たす。
1.双線形:すべてのP、Q∈★Gについて、およびすべてのa、b∈★Zについて、e^(aP,bQ)=e^(P,Q)abとなる。
2.非退化:もしPが★Gの作成要素ならば、e^(P,P)∈★F*■は★Gの作成要素である。
3.計算可能:P、Q∈★Gが与えられた場合、e^(P,Q)∈★Gを計算する効率のよいアルゴリズムが存在する。(このアルゴリズムは、「Weilペアリングの説明」という表題の以下の節で説明されている。)実行時間は、★Fの指数に比較しうる。
計算Diffie−Hellman問題(CDH)は群★Gの中では困難であるように見えるが、決定Diffie−Hellman問題(DDH)は★Gの中では容易である。
BDHパラメータ作成要素$g:秘匿性パラメータ2<k∈★Zが与えられたとすると、BDHパラメータ作成要素によりランダムなkビットの素数qを選び、(1)p=2 mod 3、(2)qはp+1を割り切り、(3)qはp+1を割り切らないような最小の素数pを求める。p=$lq+1と書く。群★Gは、★F上の曲線y=x+1の点のなす群の位数qの部分群である。★Gは★F*■の位数qの部分群である。双線形写像e^:★G×★G→★Gは、上で定義した修正されたWeilペアリングである。
BDHパラメータ作成要素$gは、漸近的にBDH仮定を満たすと考えられる。しかし、それでも、BDH問題を十分に困難できる実際に使用可能なpおよびqの値には問題がある。最低でも、★Gにおける離散対数問題は十分に困難であることを保証することが可能であるのが望ましい。前のほうで指摘したように、★Gの離散対数問題は、★Gにおける離散対数に効率よく帰着できる。したがって、★F■における離散対数を計算することで、十分に★Gにおける離散対数を計算できる。実際、★F■の離散対数の固有の秘匿性については、少なくとも512ビット長の素数pを使用するのが望ましい(したがって、群のサイズは少なくとも1024ビット長である)。その結果、実施形態によっては、このBDHパラメータ作成要素は、512ビット長以上になりそうな素数pで使用される。
認容的符号化関数:MapToPoint
上で定義したように、★G、★Gを$gにより作成された2つの群とする。前のほうで説明したIBEシステムは、ハッシュ関数H:{0,1}→★G を使用していることに留意されたい。ある集合Aに対するハッシュ関数H:{0,1}→Aと認容的符号化関数L:A→★G を用意するだけで十分である。以下では、集合Aは★Fとなり、認容的符号化関数LはMapToPointと呼ばれ、本発明のさまざまの実施形態で使用することができる。
この例では、pを、ある素数q>3についてp=2 mod 3およびp=$lq−1を満たす素数とする。この実施例では、qは$lを割り切らない(つまり、qはp+1を割り切らない)。Eを★F上の楕円曲線y=x+1とする。★Gを位数qのE上の点のなす部分群とする。さらに、ハッシュ関数H:{0,1}→★Fを与える。
この実施例では、アルゴリズムMapToPointは入力y∈★F上で以下のように動作する。
1.x=(y −1)1/3=(y −1)(2p−1)/3∈★F
2.Q=(x,y)∈E(★F)とし、QID=$lQ∈★Gと設定する。
3.MapToPoint(y)=QIDを出力する。
これで、MapToPointの説明は完了である。
$lQ=$l(x,y)=Oとなるy∈★Fの$l−1個の値が存在することに注意されたい(これらは$lを割り切る位数の非O点である)。B⊂★Fをこれらのyの集合とする。H(ID)がこれら$l−1個の値の1つであれば、QIDは★Gの単位要素である。H(ID)がこれらの点の1つに当たる可能性はほとんどなく、その確率は1/q<1/2である。したがって、簡単にするため、H(ID)は★F\Bの要素を出力するだけである、つまりH:{0,1}→★F\Bである。他の実施形態では、異なるハッシュ関数を使用してIDを複数回ハッシュすることにより、アルゴリズムMapToPointを拡張して値y∈Bを扱えるようにすることが可能である。
命題8 MapToPoint:★F\B→★G は認容的符号化関数である。
証明 この写像は、明らかに計算可能であり、$l対1写像である。Lがサンプリング可能であることを証明する必要がある。PをE(★F)の作成要素とする。Q∈★G が与えられると、サンプリング・アルゴリズム$Lは、(1)ランダムなb∈{0,...,$l−1}を選び、(2)Q'=$l−1・Q+bqP=(x,y)を計算し、(3)$L(Q)=y∈★Fを出力する。ここで、$l−1は、★Z における$lの逆要素である。このアルゴリズムは、必要に応じて、MapToPoint内の$l個の要素からランダムな要素を出力する。
IBEシステムの詳細な例
BDHパラメータ作成要素$gおよび認容的符号化関数MapToPointを使用して、IBEシステムの一実施形態の以下の詳細の例を得る。
Setup:秘匿性パラメータk∈★Zが与えられると、このアルゴリズムは以下のように実行する。
工程1:入力kでgを実行し、qがp+1を割り切るようなkビットの素数qおよび素数p=2 mod 3を作成する。Eを、★F上の方程式y=x+1によって定義された楕円曲線とする。位数qの任意のP∈E(★F)を選択する。
工程2:ランダムなs∈★Z を選び、Ppub=sPと設定する。
工程3:4つのハッシュ関数H:{0,1}→★F、あるnに対するH:★F■→{0,1}、H:{0,1}×{0,1}→★Z 、およびハッシュ関数H:{0,1}→{0,1}を選ぶ。メッセージ空間は、$M={0,1}である。暗号文空間は、$C=E(★F)×{0,1}である。システム・パラメータは、params=<p,q,n,P,Ppub,H,...,H>である。master−keyは、s∈★Z である。
Extract:与えられた2進数列ID∈{0,1}について、アルゴリズムは秘密鍵dを次のように作成する。
工程1:位数pのMapToPoint(H(ID))=QID∈E(★F)を計算する。
工程2:秘密鍵dIDをdID=sQIDとなるように設定し、sはマスター鍵である。
Encrypt:公開鍵IDのもとでM∈{0,1}を暗号化するには、以下を実行する。
工程1:位数qのMapToPoint(H(ID))=QID∈E(★F)を計算する。
工程2:ランダムなσ∈{0,1}を選択する。
工程3:r=H(σ,M)と設定する。
工程4: 暗号文を次のように設定する。
C=<rP,σ○+H(g ID),M○+H(σ)> ただし、gID=e^(QID,Ppub)∈★F■
Decrypt:C=<U,V、W>を、公開鍵IDを使用して暗号化された暗号文であるとする。U∈E(★F)が位数qの点でない場合、その暗号文を拒絶する。秘密鍵dIDを使用してCを暗号化するために、以下を実行する。
工程1.V○+H(e^(dID,U))=σを計算する。
工程2.W○+H(σ))=Mを計算する。
工程3.r=H(σ,M)と設定する。U=rPであることを検査する。そうでなければ、その暗号文を却下する。
工程4.MをCの解読として出力する。
性能。この実施形態では、アルゴリズムSetupおよびExtractは非常に単純である。両方のアルゴリズムの中心にあるのは、曲線E(★F)上の標準の乗法である。アルゴリズムEncryptでは、エンクリプタがQIDおよびPpubのWeilペアリングを計算する必要がある。この計算は、メッセージとは無関係であり、したがって、一度だけ実行することが可能であることに注意されたい。gIDが計算されてしまうと、この実施形態の性能は、標準ElGamal暗号化とほとんど同じである。さらに、BasicIdentの実施例の暗号文長は★Fの通常のElgamalの場合と同じであることにも注意されたい。解読は、単純なWeilペアリング計算である。
秘匿性。説明したばかりの詳細な実施例の秘匿性は、定理4と定理7から直接得られる。
系9 上で説明した詳細な実施例は、BDHパラメータ作成要素$gがBDH仮定を満たしていると仮定した場合の選択暗号文秘匿IBEシステムである(つまり、ランダム・オラクル・モデルのIND−ID−CCA)。
拡張と観察
Tateペアリングおよびその他の曲線。
このIBEシステムの実施形態は、BDH仮定が成立する場合に2つの群★G、★Gの間の効率よく計算できる双線形写像e^:★G×★G→★Gで動作する。多くの異なる楕円曲線から、このような写像が得られる。例えば、p=3 mod 4、i=−1、自己準同型写像φ:(x,y)→(−x,iy)と定められた★F上の曲線y=x+xを使用することが可能である。
他の実施形態では、ミヤジ他(Miyaji et al)((非特許文献4)を参照)によって説明されている★F上の非超特異楕円曲線族を使用することができる。例えば、この曲線族の曲線E/★Fを使用するには、★GをE(★F□)(E(★F)には含まれない)の巡回部分群とみなし、トレース写像を、ペアリングe^を定義するのに使用した自己準同型写像φとして使用することが可能である。なお、FullIdentにおける暗号化と解読は両方とも、他の実施形態では、Weilペアリングの代わりにTateペアリングを楕円曲線上で使用することにより、高速化することが可能であることに注意されたい。他の実施形態では、アーベル多様体から適当な双線形写像を誘導することができる。
非対称ペアリング
前述のように、このIBEシステムの実施形態は、対称写像に限られず、非対称写像をも含むことができる。つまり、実施形態では一般に、★G、★Gを素数位数qの群とした場合に、e^:★G×★G→★Gの形式の写像を使用できる。★Gおよび★Gが等しい場合、写像は対称であるという。★Gと★Gが等しくない場合、写像は非対称であるという。
非対称の場合の要素QIDおよびPはそれぞれ★Gおよび★Gに属し(逆もまた同様)、ハッシュ関数Hの対象となる群はそれに応じて選択される。しかし、秘匿性の証明を行うため(特に補助定理2)、ランダムなP、aP、bP∈★GおよびQ、aQ、cQ∈★Gが与えられた場合に無視できない確率でe^(P,Q)abcを計算することが可能な多項式時間アルゴリズムはないというco−BDH仮定と呼ぶ見かけが少し変わっている複雑度仮定を使用する。この仮定を使用するのであれば、Miyaji et alの曲線E/★Fを使用する実施形態については(上で説明したように)、★Gを位数qの巡回部分群E(★F)とみなし、★Gを位数qのE(★F□)の別の巡回部分群とみなすことが可能である。これにより、これらの曲線を使用することについて前段落で説明した方法よりも効率的なシステムが得られる。
分散PKG
IBEシステムの実施例では、PKGに保管されるmaster−keyは保護されるのが望ましい。この鍵を保護する方法として、閾値暗号の手法を使用して異なる複数のサイトに分散させる方法がある。このIBEシステムの実施形態では、これを非常に効率のよい、堅牢な方法でサポートしている。ただし、上述のいくつかの実施形態ては、master−keyはあるs∈★Z とすることができ、PKGは群作用を使用してsおよびQIDから秘密鍵を計算し、QIDはユーザの公開鍵IDから導かれる。例えば、dID=sQIDである。分散PKG実施形態は、n個のPKGのそれぞれにs mod qのシャミール秘密分散の1つの割符sを与えることにより「n個のうちのt個」方式で実装することが可能である。n個のPKGはそれぞれ、d=sIDを計算することにより、マスター鍵のその割符を使用して、秘密鍵dIDの対応する割符dを作成することが可能である。その後、ユーザは、n個のうちのt個のPKGに秘密鍵の割符dを要求し、λを適切なラグランジュ補間係数としてdID=Σλを計算することにより割符を結合して秘密鍵全体を構成することが可能である。
さらに、DDHは★Gでは容易であるという事実を利用してこの実施形態を堅牢なものにし不正なPKGに対抗するようにすることが容易である。設定時に、n個のPKGのそれぞれP=sPを公開する。鍵作成要求が出されたら、ユーザは、以下を検査して、i番目のPKGからの応答が有効であることを確認することが可能である。
e^(d,P)=e^(QID,P
したがって、不正な動作をするPKGは即座に捕捉される。通常の堅牢な閾値方式と同様、ゼロ知識証明の必要はない。PKGのmaster−keyは、R.ゲナロ他(R.Gennaro et al.)((非特許文献5)を参照)の手法を使用して分散方式で作成することが可能である。また、この手法を使用することで、PKGは、マスター鍵がどこか1つの場所に存在していなくてもマスター鍵のそれぞれの割符を結合作成できる協調プロトコルを実行することが可能である。
さらに分散master−key実施形態を使用すると、メッセージ毎に閾値解読を実行することができ、しかも、対応する解読鍵を導く必要はないことにも注意されたい。例えば、各PKGがe^(s,QID,U)で応答すれば、BasicIdent暗号文(U,V)の閾値解読は簡単である。
図5は、本発明の一実施形態による分散PKGシステムを説明するブロック図である。図5は、送信者システム501、受信者システム502、および3つのPKG(PKG A 503、PKG B 504、PKG C 505)を含む。「3個のうちの2個」分散方式を説明する一実施形態では、3つのPKGはそれぞれ、マスター鍵の異なる割符を含み、3つのうち2つでマスター鍵を誘導することができる。図に示されているように、PKG A 503、PKG B 504、およびPKG C 505は、それぞれマスター鍵割符s、511、マスター鍵割符s、512、およびマスター鍵割符s、513を含む。「3個の2個」分散方式では、3個のうち2個のPKGにより割符を結合し、マスター鍵を決定することが可能であるが、この実施形態では、それぞれのPKGは秘密のうちにそのマスター鍵割符を保持する。
送信者システム501は、受信者502にメッセージを送信する。メッセージ514は、受信者の識別子IDに基づく公開鍵を使用して暗号化することができる。対応する秘密鍵を取得するために、受信者システムは、例えば、受信者のIDまたは公開鍵を使用して3個のうち2個のPKGにクエリを実行する。図に示されているように、受信者システム502は、クエリ506および507をそれぞれPKG A 503およびPKG B 504に送り、秘密鍵の2つの割符を取得する。これらのクエリへの応答として、PKG A 503およびPKG B 504は、それぞれ、秘密鍵d、510の割符d、508、および割符d、509を返す。その後、受信者システム502は、対応する秘密鍵dIDを構成することができるが、これは、メッセージ514の暗号化に使用された公開鍵に対応している。より一般的には、受信者は3個のうち任意の2個のPKGにクエリを行うように選択しておくことが可能である。例えば、受信者システム502は、他の方法として、PKG BおよびCにクエリを実行し、秘密鍵割符dおよびdを結合して、秘密鍵510を作成しておくことが可能である。これらの手法は一般化をたやすく行うことができ、n個のうちt個という分散方式を使用して類似の実施形態が得られる。
送信者システム501、受信者システム502、さらにPKG 503、504、および505は、それぞれ、プロセッサおよびメモリおよび他の記憶デバイスなどのコンピュータ可読媒体などの要素を備えるコンピュータ・システムとして実装することができる。それぞれの要素間の通信は、データ・ネットワーク上で送信するデータ・パケットを使用して、または他のさまざまな形態の電子的およびデータ伝送および通信を使用して行うことができる。通信は、各種の有線、無線、およびその他の通信媒体を利用する、インターネットなどのコンピュータ・ネットワークなど、さまざま通信アーキテクチャを介して伝送することができる。
部分群での動作
上述の詳細なIBEシステムの他の実施形態では、曲線の比較的小さな部分群において動作させることにより性能を改善することができる。例えば、ある160ビットの素数qについてp=aq−1となる1024ビットの素数p=2 mod 3を選択する。そこで、点Pを、位数qの点となるように選択する。各公開鍵IDを曲線Q上の点にハッシュし、その後、aをその点に掛けてIDを群の点に変換する。システムは、Pによって作成された群においてBDH仮定が成立する場合に秘匿性がある。この実施形態の利点は、Weil計算が小さな位数の点で実行され、したがってかなり高速であることである。
IBEは署名を含む
上述のさまざまなIBE手法を使用して、公開鍵署名システムおよび方法を実現することが可能である。考え方は以下のとおりである。署名方式の秘密鍵は、IBE方式のマスター鍵である。この署名方式の公開鍵は、IBE方式の大域的システム・パラメータの集合である。メッセージMの署名は、ID=Mに対するIBE解読鍵である。署名を検証するために、ランダム・メッセージM'を選択し、公開鍵ID=Mを使用してM'を暗号化し、それから、Mの指定された署名を解読鍵として使用して解読を試みる。IBEシステムがIND−ID−CCAの場合、署名方式は選択メッセージ攻撃に対し存在的偽造不可である。ただし、たいていの署名方式とは異なり、この署名検証実施形態はランダム化されている。このことから、ここで説明しているIBE手法は公開鍵暗号化と電子署名の両方を包含することができる。これらのアプローチから派生する署名方式を使用して、興味深い特性を得ることが可能であるが、これについてはボネ他(Boneh et al.)(本願明細書に援用する(非特許文献6)で説明している。
エスクローElGamal暗号化
この節では、上述のさまざまなIBE手法を使用して、大域的エスクロー機能を持つElGamal暗号化システムの実施形態を実現することが可能であることを示す。本実施形態では、単一のエスクロー鍵を使用して、任意の公開鍵で暗号化された暗号文の解読を行うことができる。
1実施例では、ElGamalエスクロー・システムは以下のように動作する。SetupはBasicIdentのと類似している。IDベースBasicIdentと異なり、それぞれのユーザが秘密乱数を選択し、それを使用して、公開鍵/秘密鍵のペアを作成する。こうして、送信者および受信者はEncryptとDecryptを使用して、暗号化されたメッセージを伝達することが可能である。メッセージは、マスター鍵sをメッセージの解読に使用することが可能なエスクローを除き秘匿される。
図6は、本発明の一実施形態によるエスクロー解読機能を備える暗号システム内の要素を説明するブロック図である。システムは、暗号化論理回路610を備える送信者システム601、解読論理回路611を備える受信者システム602、エスクロー・エージェント・システム604、およびブロードキャスト・システム605を含む。ブロードキャスト・システム605は、エスクロー・エージェント・システム604、受信者システム602、および送信者システム601などの参加者にシステム・パラメータを送信する。受信者システム602は、秘密鍵x、607を選択し、それを使って、公開鍵Ppub=xP、606を作成し、その後、公開する。秘密鍵xおよび公開鍵Ppubは、相補的鍵の対を形成する。送信者システム601は、公開鍵Ppub=xP、606を使用し、暗号化論理回路610でメッセージMを暗号化する。送信者システム601は、その結果得られた暗号化されたメッセージ603を受信者602に送信する。受信者システム602は、秘密鍵x、607を使用して解読論理回路611でメッセージを解読する。エスクロー・エージェント・システム604は、メッセージ603を横取りし、エスクロー・エージェント鍵s、609、公開鍵Ppub=xP、606を使用し、解読論理回路612でメッセージ603を解読する。他の実施形態では、ブロードキャスト・システム605およびエスクロー・エージェント604は、単一のエンティティであってもよい。さらに他の実施形態では、すでに述べている分散PKG実施形態などの方法でエスクロー・エージェント鍵を共有することができる。
さらに詳細には、この手法の実施例は以下の手順を含む。
Setup:$gをあるBDHパラメータ作成要素とする。秘匿性パラメータk∈★Zが与えられると、このアルゴリズムは以下のように実行する。
工程1:入力kに対して$gを実行し、素数q、位数qの2つの群★G、★G、および認容写像e^:★G×★G→★Gを作成する。Pを★Gのある作成要素とする。
工程2:ランダムなs∈★Z を選び、Q=sPと設定する。
工程3:暗号ハッシュ関数H:★G→{0,1}を選択する。
メッセージ空間は、$M={0,1}である。暗号文空間は、$C=★G×{0,1}である。システム・パラメータは、params=<p,★G,★G,e^,n,P,Q,H>である。エスクロー鍵は、s∈★Z である。
keygen:ユーザは、ランダムなx∈★Z を選び、Ppub=xP∈★Gを計算して、自分自身の公開鍵/秘密鍵の対を作成する。ユーザの秘密鍵はx(またはxQ)であり、ユーザの公開鍵はPpubである。
Encrypt:公開鍵PpubのもとでM∈{0,1}を暗号化するために、(1)ランダムなr∈★Z を選び、(2)暗号文を以下のように設定する。
C=<rP,M○+H(g)> ただし、g=e^(Ppub,Q)∈★G
こと暗号化手法はさらに、図7でも説明されており、そこで、送信者は、ブロック700で、システム・パラメータおよび要素PおよびQ=sPを取得し、ブロック710で、受信者の公開鍵Ppub=xPを取得する。その後、ブロック720で、送信者は乱数rを選択し、メッセージ鍵を計算する。その後、ブロック730で、メッセージ鍵を使用してメッセージを暗号化する。次に、送信者は、カプセル化された鍵rPおよび暗号化されたメッセージVを受信者に送信する。
Decrypt:C=<U,V>を、Ppubを使用して暗号化された暗号文であるとする。すると、U∈★Gである。秘密鍵xを使用してCを解読するために、以下を実行する。
V○+H(e^(U,xQ))=M
図8で説明されているように、受信者は、ブロック800で、システム・パラメータおよび要素PおよびQ=sPを取得し、ブロック810で、暗号化されたメッセージVおよびカプセル化された鍵rPを送信者から取得する。その後、ブロック820で、受信者はメッセージ鍵を計算し、ブロック830で、これを使用してメッセージを解読する。
送信者および受信者によって計算されたメッセージ鍵が同じであることを見るためには、送信者は秘密rだけでなく公開Q=sPおよびPpub=xPも知り、これらを使用して、e^(sP,xP)から鍵を計算することに注意されたい。一方、受信者は、秘密xだけでなく公開Q=sPおよびrPを知り、これらを使用して、e^(rP,x(sP))からメッセージ鍵を計算する。e^の双線形性から、e^(sP,xP)=e^(rP,x(sP))が成り立ち、ゆえに、送信者および受信者は同じメッセージ鍵を計算する。
Escrow−decrypt:この実施形態の目的は、他の方法で秘匿性のある通信のエスクロー解読を行えるようにすることである。エスクロー鍵sを使用してC=<U,V>を解読するために、以下を計算する。
V○+H(e^(U,sPpub))=M
図9に示されているように、エスクローは、ブロック900で、システム・パラメータおよび要素Pを取得し、ブロック910で、受信者の公開鍵xPを取得し、送信者から暗号化されたメッセージVおよびカプセル化された鍵rPを取得する。その後、ブロック920で、エスクローはメッセージ鍵を計算し、ブロック930で、これを使用してメッセージを解読する。エスクローは、s、rP、およびxPを知ってメッセージを計算することが可能である。
標準的な議論から、BDHが$gで作成され群に対し困難であると仮定すると、この実施形態のシステムは、ランダム・オラクル・モデルにおいて意味秘匿性を有することがわかる(DDHは容易であるため、DDHに基づいて意味秘匿性を証明することはできないことに留意されたい)。それでも、エスクロー・エージェントは、ユーザの公開鍵を使用して暗号化した暗号文を解読することが可能である。エスクロー・エージェントの解読機能は、前に述べたPKG分散手法を使用して分散させることが可能である。
他の実施形態では、非大域的エスクローを使用するElGamal暗号化システムとともに類似の困難さ仮定を使用する。この実施形態では、それぞれのユーザが2つの対応する秘密鍵を使って公開鍵を構成し、その秘密鍵の一方を信頼できる第三者に与える。信頼できる第三者は、さまざまなユーザから与えられたすべての秘密鍵のデータベースを保持する。秘密鍵は両方とも、解読に使用可能であるが、ユーザの秘密鍵のみ、離散対数ベースの署名方式の署名鍵として同時に使用することが可能である。
他のさまざまな暗号システムを、上記の実施形態に示されている原理に考案することが可能である。例えば、3つのエンティティA、B、およびCは、個人として乱数整数a、b、cを選択し、公開鍵aP、bP、cPを公開することにより1つのグループとして安全に通信することが可能である。そのうちの1つ、例えばAはメッセージ鍵e^(bP,cP)を使用してメッセージを暗号化し、rPとともに送信することが可能である。次にBが、e^(cP,rP)を計算してメッセージを解読し、Cは、e^(bP,rP)を計算してそのメッセージを解読することが可能である。同様、BがメッセージをAおよびCに送信するか、またはCがメッセージをAおよびBに送信することが可能である。
他の考えられる実施形態では、3つのエンティティのうち2つ、例えばAとBは、共有公開鍵abPを公開することが可能である。次に、Cはメッセージ鍵e^(abP,cP)を使用してメッセージを暗号化し、rPとともに送信することが可能である。すると、AもBも単独ではメッセージを解読しえないが、AとBの両方が一緒にe^(cP,rP)abを計算し、共同でメッセージを解読することは可能である。この手法は、任意の数のエンティティに一般化される。例えば、Cは、abPを使用して三者共有公開鍵abcPを計算し公開することにより、AおよびBを参加させることが可能である。その後は、誰でも、メッセージ鍵e^(abcP,xP)を使用してメッセージを暗号化し、rPとともに送信することが可能になる。その後、AおよびBおよびCのみが一緒に、e^(xP,rP)abcを計算し、共同で、メッセージを解読することが可能である。
しきい値解読
本発明の実施形態では、n個のエンティティが与えられた公開鍵IDに対応する秘密鍵dIDの割符を所有し、n個のt個のエンティティが共同する場合にのみ、そのIDを使用して暗号化されたメッセージを解読するようにすることが可能である。秘密鍵dIDは、決して、単一の場所では再構成されない。このIBEシステムの実施形態ではこれに以下のように対応できる。
他の実施形態では、s∈★Z がマスター鍵であるとして秘密鍵dID=sQIDであることに留意されたい。その代わりに、s,...,s∈★Z をマスター鍵sの「n個のうちt個」シャミール秘密分散とする。n人のユーザのそれぞれにd=sIDを与える。鍵IDを使用して暗号化された暗号文<U,V>を解読するために、各ユーザはローカルでg=e^(U,d)を計算し、解読工程を管理するユーザにg∈★Gを送信する。そのユーザは、λをシャミール秘密分散で使用される適切なラグランジュ補間係数としてgID=Π▲を計算することにより解読割符を結合する。その後、H(gID)○+V=Mを計算することによりメッセージを取得する。
暗号法の当業者であれば、本発明の基本原理を使用する他の多くの方式を考案することができるであろう。
IDベース暗号化の応用
IDベース暗号化の実施形態の一応用として、公開鍵インフラストラクチャの配備の支援が考えられる。この節では、このような応用およびその他の応用のいくつかの実施形態を示す。
公開鍵の取り消し
この本実施形態では、送信者は、年、日、またはその他の時刻表示などの時間要素を含む情報から誘導された公開鍵を使用して暗号化し、鍵の有効期限またはその他の形式の時間に関係する鍵管理の実現を補助することができる。例えば、一実施形態では、"bob@company.com || current−year"というように公開鍵を使用して、ボブに送信する電子メールをアリスに暗号化してもらうことで鍵の有効期限を定められる。そうすることで、ボブは今年のみ自分の秘密鍵を使用することが可能である。1年に一度、ボブはPKGから新規の秘密鍵を取得する必要がある。こうして、秘密鍵有効期限を1年間に設定する効果が得られる。既存の公開鍵インフラストラクチャとは異なり、ボブが自分の秘密鍵を更新する毎に、アリスがボブから新規証明書を取得する必要はないことに注意されたい。
他の実施形態において、"bob@company.com || current−date"または他のタイムスタンプを使用してボブ宛の電子メールを暗号化することにより、このアプローチの設定を細かくできる。こうすることで、ボブはいやおうなく新規秘密鍵を毎日取得することになる。この実施形態は、PKGが企業によって維持されている場合に企業環境内で使用することができる。このアプローチでは、鍵の取り消しは非常に単純であり、ボブが退社し、その鍵を取り消す必要が生じたら、企業PKGに、ボブの電子メール・アドレスに対応する秘密鍵の発行を停止するよう指令するという形をとる。その結果、ボブは自分の電子メールを読めなくなる。興味深い特性として、アリスは、ボブの毎日の公開鍵を取得するために第三者の証明書ディレクトリとやりとりする必要がないという点が挙げられる。したがって、IDベース暗号化の実施形態は、一日限りの公開鍵を実装する非常に効率のよいメカニズムを実現することが可能である。なお、この実施形態を使用すると、アリスが未来に向けてメッセージを送信することができる、つまりボブはアリスの指定した日付に限り電子メールを解読することができるようになる。
ユーザ信任状の管理
本発明の一実施形態では、IBEシステムを使用してユーザ信任状を管理することができる。メッセージは、信任状識別子を含む文字列で暗号化される。例えば、アリスが公開鍵を使用して"bob@company.com || current−year || clearance=secret"というようボブへのメールを暗号化する。すると、ボブは、指定された日に機密取扱資格がある場合にのみその電子メールを読むことができる。したがって、PKGを使用するとユーザ信任状の付与および取り消しは非常に容易である。
図10は、本発明の一実施形態によりIDベース暗号化システムで信用状を管理するシステムを説明するブロック図である。システムは、送信者システム1001、受信者システム1002、およびPKG 1003を備える。このようなシステムはそれぞれ、コンピュータ・ネットワークに接続されたクライアントまたはサーバなどコンピュータ・システムとして実装することができる。そのため、送信者1001、受信者1002、およびPKG 1003は、それぞれ、プロセッサ1014、プロセッサ1013、およびプロセッサ1012などのプロセッサを備えることができる。さらに、これらのシステムは、コンピュータ・メモリなどのコンピュータ可読記憶媒体を備え、さらに、有線、無線、またはその他のネットワークとの通信に対応する技術を含む、コンピュータ・ネットワークとのインターフェイスを備えることができる。送信者システム1001は、ソフトウェア・プラグイン1017を備えることができる。このようなプラグインは、暗号機能を実行するソフトウェア・モジュールを含むことができる。本発明の一実施形態によれば、プラグインには、暗号論理回路1004などが含まれる。プラグイン1017は、ネットワーク経由で送信者システム1001および受信者システム1002などのさまざまなコンピュータに配布し、IDベース暗号化と関連する機能およびその他の通信機能を展開することができる。PKG 1003などのシステムからのパラメータ1015も、コンピュータ・ネットワークまたはその他の通信媒体経由で、送信者システム1001および受信者システム1002など送信者および受信者に配布し、これらのシステムでは、メッセージを暗号化または解読する際にプラグイン1017とともにそれらのパラメータを使用することができる。一実施形態では、プラグイン1017は、パラメータとともに配布される。他の実施形態では、パラメータ1015を別々に配布することもできる。
送信者システム1001は、プラグイン1017の暗号化論理回路1004を使用してメッセージMを暗号化する。暗号化論理回路1004は、選択した信任状1005およびメッセージの宛先受信者の識別1016に基づく暗号鍵1011を使用してメッセージを暗号化する。いくつかの実施形態では、この鍵は、他の情報にも基づくことができる。送信者システム1001は、受信者システム1002に情報1006を、例えば、ネットワークまたはその他の通信媒体経由で送信されるデータ・パケットの形式で送信する。受信者システム1002に送信された情報1006には、暗号化されたメッセージが入っており、さらに、暗号鍵の基盤の一部として使用される信任状1005に関する情報1007も含めることができる。
情報1006の受信前であろうと受信後であろうと、受信者システム1002は要求1009をPKG 1003に送信する。一実施形態では、要求1009は、受信者のID 1016を含むことができ、さらに、選択した信任状1005に関係する情報を入れることもできる。応答として、PKG 1003は信任状検査論理回路1008を使用して受信者1002の信任状を検証する。このような論理回路は、ソフトウェア、ハードウェア、またはその組み合わせで実装することができる。信任状が受信者に属するものとして検証された場合、PKG 1003は応答1010を受信者1002に送るが、この応答は、暗号鍵1011に対応する秘密解読鍵1018を含む。次に、秘密解読鍵を使用することで、受信者は情報1006に含まれる暗号化されたメッセージを解読し、オリジナルのメッセージMを復要素することができる。したがって、このような実施形態では、暗号鍵の一部として信任状を含めることにより、送信者が受信者宛先のメッセージを暗号化することができ、受信者によるメッセージの解読を受信者の信任状の有効性を条件とするようにできる。
解読鍵の委託
IBEシステムを実施形態の他の応用として、解読機能の委託がある。PKGの役割を果たすユーザであるボブについて説明した2つの実施例を用意する。ボブは、設定アルゴリズムを実行して、自分のIBEシステム・パラメータparamsおよび自分のmaster−keyを作成する。ここで、paramsをボブの公開鍵であるとみなす。ボブは、自分の公開鍵params用にCAからの証明書を入れる。アリスは、ボブにメールを送信したい場合、最初にボブの公開鍵paramsをボブの公開鍵証明書から取得する。ボブは、自分のmaster−keyを知っている唯一の人物であり、したがって、この設定には鍵エスクローはないことに注意されたい。
1.ラップトップへの委託。アリスがIBE暗号鍵として現在の日付を使用してボブへのメールを暗号化すると仮定する(アリスは、ボブのparamsをIBEシステム・パラメータとして使用する)。ボブはmaster−keyを持っているので、このIBE暗号鍵に対応する秘密鍵を抽出して、メッセージを解読することが可能である。そこで、ボブは7日間旅行に出るとする。通常であれば、ボブは自分の秘密鍵を自分のラップトップに入れる。ラップトップが盗まれると、秘密鍵は危険にさらされることになる。IBEシステムを使用すると、ボブは単に、自分のラップトップに7日間の旅行期間に対応する7日分の秘密鍵をインストールするだけよい。ラップトップが盗まれた場合でも、7日間の秘密鍵しか損なわれない。master−keyは、無事である。
図11は、本発明の一実施形態による鍵委託機能を備えるシステムを説明するブロック図である。システムは、ユーザ・システム1101およびターゲット・システム1102を備える。ターゲット・システムは、ラップトップ・コンピュータなどのコンピュータを含むことができる。ユーザ・システム1101は、解読鍵1104を作成するために使用される、マスター鍵1103を含む。解読鍵1104は、ターゲット・システム1102にダウンロードされる。上述の鍵取り消しの手法を使用すると、これらの解読鍵は、限られた期間のみ有効にすることができ、したがって、ターゲット・システム1101が危険にさらされた場合でも秘匿性を高められる。ユーザ・システム1101およびターゲット・システム1102は、メモリ1106および1107さらにプロセッサ1105および1108などのコンピュータ・システムの要素を備えることができる。ユーザ・システム1101は、ユーザID 1113および1つ以上の日付1114またはその他のタイムスタンプから導かれる情報に基づきマスター鍵1103およびシステム・パラメータ1110を使用して秘密解読鍵1104を作成する鍵作成器論理回路1109を備える。ターゲット・システム1102は、ユーザ・システム1101およびシステム・パラメータ1110から得られた秘密解読鍵1104を使用して受信した暗号化されたメッセージ1112を解読する、解読論理回路1111を備える。ID 1113および日付1114の1つに基づいて公開鍵を使用してメッセージ1112が暗号化されている場合、秘密解読鍵を使用して、それを解読することができる。したがって、ターゲット・システム1102の解読機能を、選択した日付1114と関連するメッセージに制限することができる。他の実施形態では、ターゲット・システムは、必要に応じて他のコンピュータ・システムに接続することが可能なデータ記憶媒体または携帯型データ記憶デバイスとすることができ、そのため、これらのシステム上の解読鍵を使用することができる。
2.職務の委任。アリスが、件名をIBE暗号鍵として使用してボブへのメールを暗号化するものとする。ボブは、自分のmaster−keyを使用してメールを解読することが可能である。そこで、ボブには、複数のアシスタントがおり、それぞれ異なる職務を担当していると仮定する(例えば、「購買」担当、「人事」担当など)。この本実施形態では、ボブはアシスタントの責任に対応する秘密鍵を1つ、各アシスタントに与えることができる。そこで、各アシスタントは、自分の責任範囲内の件名が設定されているメッセージを解読することは可能であるが、他のアシスタントを宛先とするメッセージを解読することは可能でない。アリスは、ボブからの単一の公開鍵(params)のみを取得し、その公開鍵を使用して自分の選択した件名が含まれるメールを送信することに注意されたい。メールは、その件名の担当であるアシスタントにとってのみ可読である。
より一般的には、IBEの実施形態により、多数の公開鍵を管理するさまざまなシステムを簡素化することが可能である。システムでは、公開鍵の大きなデータベースを保管するのではなく、ユーザの名前からこれらの公開鍵を導くか、または単に、整数1,...,nを異なる公開鍵として使用することが可能である。例えば、企業では、各社員に一意の社員番号を割り当て、その番号を社員の公開鍵としても使用することができる。
受信確認返信
図12は、本発明の一実施形態による受信確認返信機能を備える暗号システムを説明するブロック図である。本発明の一実施形態によれば、送信者は受信者が暗号化されたメッセージを受信したという確認を受信することが可能である。より一般的には、受信者から解読鍵の要求を受信したときに、PKGは解読鍵を受信者に与えることとは別のアクションを実行する。このようなアクションは、一実施形態による、メッセージを受信したことを示す受信確認を送信者に送る動作を含む。
受信確認返信機能を備えるシステムの一実施形態が図12に示されている。システムは、送信者システム1201、受信者システム1202、およびPKGシステム1203を備える。送信者システム1201、受信者システム1202、およびPKGシステム1203は、コンピュータ・ネットワークに結合されたコンピュータ・システムとして実装することができる。例えば、PKG 1203、送信者システム1201、および受信者システム1202は、プロセッサ1212、プロセッサ1213、およびプロセッサ1214をそれぞれ備えることができる。これらのコンピュータ・システムは、コンピュータ可読記憶媒体、コンピュータ・メモリ、およびその他の記憶デバイスなどの要素を備えることができる。さらに、これらのシステムは、有線、無線、またはその他のネットワークとの通信に対応する技術を含む、コンピュータ・ネットワークとのインターフェイスを備えることができる。さらに、本発明の一実施形態によれば、それぞれの要素間の通信は、コンピュータ・ネットワーク上で送信されるデータ・パケットを使用して、または他のさまざまな形態の電子的およびデータ伝送および通信を使用して行うことができる。
送信者1201は、メッセージMを暗号化し、その結果得られた暗号文を受信確認返信要求情報1209も含むことができるデータ・パッケージ1204で受信者1202に送信する。受信確認返信要求情報は、例えば、返信アドレスおよび、特定のメッセージ1204に対応するメッセージ識別子を含むことができる。メッセージMは、送信者により、暗号化論理回路1211および暗号鍵1215を使用して、暗号化される。暗号鍵1215は、受信者ID(電子メール・アドレスなど)1216および受信確認返信要求情報1209に基づくことができる。暗号鍵1215の決定のため送信者により受信者IDおよび受信確認返信要求情報1209が使用されるため、受信者1202は、そのメッセージを解読するために使用することができる対応する解読鍵を必要とする。したがって、受信者システム1202は、メッセージ1204を受信したことに対する応答として、PKG 1203に要求1206を送信するが、これには、受信確認返信要求情報1209および受信者のID、1216が含まれる。応答として、PKG 1203は受信者1202に、秘密解読鍵1205を送信し、その後受信者はその解読鍵を解読論理回路1217で使用してメッセージ1204の暗号文を解読し、オリジナルのメッセージMを復元する。受信者1202に解読鍵1205を送信するほかに、PKG 1203はさらに、受信確認返信1207を送信者1201に送信する。PKG 1203は、それとは別に、受信確認返信を送信するのではなく、ログの一部として受信結果を記憶媒体上に格納することができる。受信確認返信1207は、メッセージ識別子などの情報を含むことができる。こうして、送信者1201は、受信者1202がメッセージ1204を受信したという証明を受信する。システムは、プラグイン・ソフトウェアを送信者システム1201および受信者システム1202などさまざまなシステムに置くことにより初期化することができる。このようなプラグイン・ソフトウェアに、システム・パラメータを含めることができ、その一部はシステム・マスター鍵から導くことができる。送信者1201および受信者1202などのローカル・デバイスに格納されているこのようなパラメータを使用して、暗号鍵の作成、暗号化の実行、解読の実行、およびその他の機能を、適宜行う。
Weilペアリングの説明
この節では、楕円曲線上のWeilペアリングについて説明し、その後、アルゴリズムを使用して効率よく計算する方法を示す。具体的には、p>3の素体★F上で定義された超特異楕円曲線を使用する例を示す(p=2 mod 3の★F上の曲線y=x+1がこのような曲線の一例である)。以下の説明は、他の楕円曲線上のWeilペアリングの計算に容易に一般化できる。
楕円曲線とWeilペアリング
p>3の素体★F上で定義された超特異楕円曲線に関する初等的な事実をいくつか述べる。
事実1:超特異曲線E/★F(p>3)は★F内にp+1個の点を含む。Oで無限遠の点を表す。★F上の点の群は、位数p+1の巡回群をなす。簡単にするため、Pをこの群の作成要素とし、n=p+1と設定する。
事実2:点E(★F■)の群は、E(★F)内の点に関して一次独立である位数nの点Qを含む。したがって、E(★F■)は、群★Z に同型な部分群を含む。この群は、P∈E(★F)およびQ∈E(★F■)によって作成される。この群をE[p+1]=E[n]で表す。
E[n]内の点の対を★F■に写像するWeilペアリングe、つまりe:E[n]×E[n]→★F■を扱う。このペアリングを説明するために、以下の概念を復習する。
因子 因子とは、曲線E(★F■)上の点の形式和のことである。aP∈★Z、P∈E(★F■)として、因子を$A=Σ(P)と書く。例えば、$A=3(P)−2(P)−(P)は因子である。ここでは、Σ=0として、因子$A=Σ(P)のみを考える。
関数 概して、曲線E(★F■)上の関数fは、有理関数f(x,y)∈★F■(x,y)とみなすことができる。任意の点P=(x,y)∈E(★F■)について、f(P)=f(x,y)と定義する。
関数の因子 fを曲線E(★F■)上の関数とする。この因子を(f)=Σord(f)・Pで定義し、(f)で表す。ここで、ord(f)は点Pにおけるfの零位数である。例えば、ax+by+c=0を、P≠±Pとなるような点P、P∈E(★F■)を通る直線とする。この直線は、第3の点P∈E(★F■)で曲線と交差する。そこで、関数f(x,y)=ax+by+cは3つの零点P、P、Pを持ち、無限遠で位数3の極を持つ。fの因子は、(f)=(P)+(P)+(P)−3(O)となる。
主因子 $Aを因子とする。(f)=$Aとなるような関数fが存在すれば、$Aは主因子であるという。因子$A=Σ(P)が主因子であるのは、Σ=0および$A=ΣP=Oのときかつそのときに限ることが知られている。第2の和では、曲線上の群作用を使用していることに注意されたい。さらに、主因子$Aが与えられた場合、($A)=(f)となるような一意的な関数f(定数倍を除いて)が存在する。
因子の同値性 2つの因子$A、$Bは、差$A−$Bが主因子であれば、同値であるという。任意の因子$A=Σ(P)(Σ=0の場合)は、あるQ∈Eが存在して、$A'=(Q)−(O)の形式の因子に同値であることが知られている。Q=ΣPであることに注意されたい。
表記 関数fおよび因子$A=Σ(P)が与えられたときに、f($A)をf($A)=Πf(P)aPと定義する。Σ=0なので、任意のc∈★F■についてfの代わりにcfを使用してもf($A)は変わらないことに注意されたい。
これで、2つの点P、Q∈E[n]のWeilペアリングを説明する準備ができた。$Aを因子(P)−(O)に同値なある因子とする。n$Aは主因子であることが知られている(これは、明らかに主因子であるn(P)−n(O)と同値である)。したがって、(f)=n$Aとなるような関数fPが存在する。$Aおよびfを同様に定義する。PおよびQのWeilペアリングは以下の式で与えられる。
Figure 0005933786
 この比が矛盾なく定義されている限り(つまり、零による除算が生じない限り)、この比からPとQのWeilペアリングの値が求められる。この比が不確定の場合、別の因子$A、$Aを使用して、e(P,Q)を定義する。P、Q∈E(★F■)ならば、e(P,Q)∈★F■である。
Weilペアリングが矛盾なく定義されていることを簡単に証明する。つまり、e(P,Q)の値は、$Aが(P)−(O)に同値である限り因子$Aの選択とは無関係であり、$Aから矛盾なく定義された値が得られる。同じことが$Aについても成り立つ。$A^を$Aと同値な因子とし、f^を、(f^)=nA^となるような関数とする。すると、ある関数gが存在して$A^=$A+(g)、f^=f・gとなる。そこで、以下の式が得られた。
Figure 0005933786
 最後の式は、任意の2つの関数f、gについて、f((g))=g((f))が成り立つというWeil相互律と呼ばれる事実から求められる。ゆえに、Weilペアリングは矛盾なく定義されている。
事実10 Weilペアリングは、以下の特性を持つ。
・ すべてのP∈E[n]について、e(P,P)=1である。
・ 双線形: e(P+P,Q)=e(P,Q)・e(P,Q)およびe(P,Q+Q)=e(P,Q)・e(P,Q)が成り立つ。
・ P,Q∈E[n]が共線形ならば、e(P,Q)=1である。同様にe(P,Q)=e(Q,P)−1である。
・ n番目の根:すべてのP、Q∈E[n]について、e(P,Q)=1である。
・ 非退化:すべてのすべてのQ∈E[n]についてPがe(P,Q)=1を満たせば、P=Oである。
すでに述べたように、IBE方式の一実施形態のこの詳細な例では、修正したWeilペアリングe^(P,Q)=e(P,φ(Q))を使用し、φはEの点のなす群上の自己同型写像である。
Tateペアリング。Tateペアリングは、このシステムの実施形態の必要な特性を有するもう1つの双線形ペアリングである。さまざまなを実施形態において、Tateペアリングのオリジナルの定義を少し修正して本明細書の目的に合わせる。fおよび$Aを前のように定義して、2つの点P、Q∈E[n]のTateペアリングを
Figure 0005933786
 として定義する。この定義から、計算可能な双線形ペアリングT:E[n]×E[n]→★Gが得られる。
Weilペアリングの計算
2つの点P、Q∈E[n]が与えられたとして、★FにおけるO(log p)の算術演算を使用してe(P,Q)∈★F■を計算する方法を示す。P≠Qと仮定する。次のように進める。2つのランダムな点R、R∈E[n]を選ぶ。因子$A=(P+R)−(R)および$AQ=(Q+R)−(R)を考える。これらの因子は、(P)−(O)および(Q)−(O)とそれぞれ同値である。そこで、$Aおよび$Aを使用して、Weilペアリングを以下のように計算することが可能である。
Figure 0005933786
 この式は、R、Rの選択に関して非常に高い確率で矛盾なく定義されている(失敗の確率は、最大でO(log p/p)である。e(P,Q)の計算中に零除算が発生するまれなケースでは、単純に、新しいランダム点R、Rを選んで、この工程を繰り返す。
e(P,Q)を評価するために、$Aで関数fを評価する方法を示すだけで十分である。f($A)の評価も同様に行われる。倍するのを繰り返してf($A)を評価する。正の整数bについて、因子を以下のように定義する。
$A=b(P+R)−b(R)−(bP)+(O)
これは主因子であり、したがって、(f)=$Aとなるような関数fが存在する。(f)=(f)であり、したがって、f($A)=f($A)であることに注意されたい。f($A)を評価する方法を示すので十分である。
補助定理11 あるb、c>0についてf($A)、f($A)、およびbP、cP、(b+c)Pが与えられた場合に、fb+c($A)を出力するアルゴリズム$Dが存在する。このアルゴリズムは、★F■における(少ない)一定数の算術演算を使用するだけである。
証明 まず、2つの補助線形関数g、gを定義する。
1.ax+by+c=0が点bPおよびcPを通過する直線とする(b=cであれば、ax+by+c=0をbPでEに接する直線とする)。g(x,y)=ax+by+cを定義する。
2.x+c=0を、点(b+c)Pを通過する垂直線とする。g(x,y)=x+cを定義する。
これらの関数の因子は以下のとおりである。
(g)=(bP)+(cP)+(−(b+c)P)−3(O)
(g)=((b+c)P)+(−(b+c)P)−2(O)
定義から、以下の式が得られる。
$A=b(P+R)−b(R)−(bP)+(O)
$A=c(P+R)−c(R)−(cP)+(O)
$A(b+c)=(b+c)(P+R)−(b+c)(R)−((b+c)P)+(O)
そこで、$A(b+c)=$A+$A+(g)−(g)が得られる。ゆえに、以下の式が得られる。
Figure 0005933786
 このことから、fb+c($A)を評価するには、すべてのi=1,2についてg($A)を評価し、その結果を式1に差し込むだけで十分である。したがって、f($A)、fc($A)、およびbP、cP、(b+c)Pが与えられると、一定数の算術演算を使用してfb+c($A)を計算することが可能である。
補助定理11のアルゴリズム$Dの出力を、$D(f($A),f($A),bP,cP,(b+c)P)=fb+c($A)により表す。次に、以下の標準の倍増手順を使用してf($A)=f($A)を計算することが可能である。n=bm−1...bをnの2進数表現とする、つまり、n=Σ i=0である。
開始:Z=O、V=f($A)=1、およびk=0と設定する。
反復:i=m,m−1,...,1,0について以下を実行する。
1:b=1ならば、V=$D(V,f($A),Z,P,Z+P)を設定し、Z=Z+Pを設定し、k=k+1を設定する。
2:i>0ならば、V=$D(V,V,Z,Z,2Z)を設定し、Z=2Zを設定し、k=2kを設定する。
3:各反復の終わりに、z=kPおよびV=f($A)となることに注意されたい。
出力:最後の反復の後、k=nとなり、したがって、必要に応じてV=f($AQ)である。
Weilペアリングe(P,Q)を評価するために、上記のアルゴリズムを1回実行し、f($A)を計算し、1回実行してf($A)を計算する。反復二乗アルゴリズムはf($A)に評価する必要があることに注意されたい。関数f(x,y)(その因子は(f)=(P+R)−(R)−(P)+(O))は以下のように明示的に書くことが可能なので、この作業は簡単に行える。
1.ax+by+c=0を、点PおよびRを通過する直線とする。関数g(x,y)=ax+by+cを定義する。
2.x+c=0を、点P+Rを通過する垂直線とする。関数g(x,y)=x+cを定義する。
3.関数f(x,y)は単に、f(x,y)=g(x,y)/g(x,y)であり、★F■において容易に評価できる。

Claims (2)

  1. 送信者のコンピュータと受信者のコンピュータとの間で通信を行う方法であって、
    前記送信者のコンピュータ及び前記受信者のコンピュータはそれぞれ、プロセッサと、情報記憶手段とを有し、
    前記方法は、
    前記送信者のコンピュータのプロセッサに、受信者の識別情報を取得させる工程と、
    前記送信者のコンピュータのプロセッサに、前記受信者が解読鍵を取得するために必要な、受信確認返信要求情報を指定させる工程であって、前記受信確認返信要求情報は、返信アドレスと、前記受信者に送信されるメッセージに対応するメッセージ識別子とを含む、該工程と、
    前記送信者のコンピュータのプロセッサに、前記受信者の識別情報および前記受信確認返信要求情報から暗号鍵を導かせる工程と、
    前記送信者のコンピュータのプロセッサに、前記受信者の識別情報および前記受信確認返信要求情報から導かれた前記暗号鍵および双線形写像を使用してメッセージを暗号化させる工程であって、前記メッセージを暗号化させる工程は、前記送信者のコンピュータが、代数群の要素Pを得て、秘密乱数rを選択し、かつrPの値を計算する工程を含む、該工程と、
    前記送信者のコンピュータのプロセッサに、暗号化されたメッセージおよび計算された値rP前記送信者のコンピュータから前記受信者のコンピュータに送信させる工程と、
    前記受信者のコンピュータに、前記暗号化されたメッセージ及び計算された前記値rPを受信させる工程と、
    人鍵作成器に、前記暗号化されたメッセージの前記受信者からの解読鍵の要求を受信させる工程であって、前記解読鍵の要求は、前記受信確認返信要求情報及び前記受信者の識別情報を含む、該工程と、
    前記解読鍵の要求を受け取った後、前記個人鍵作成器に、前記メッセージの受信確認返信を前記送信者のコンピュータに与えさせる工程と、
    記個人鍵作成器に、前記暗号鍵に前記代数群の持つ群作用を適用することによって解読鍵を作成させ、作成された前記解読鍵を受信者に送信させる工程と、
    前記受信者のコンピュータのプロセッサに、前記解読鍵を受け取った後、前記解読鍵および前記双線形写像を使用して前記暗号化されメッセージを解読させる工程とを含ことを特徴とする方法。
  2. 前記個人鍵作成器に、前記解読鍵の要求を受け取った後、受信結果をログの一部として記憶媒体上に格納させる工程を更に含むことを特徴とする請求項1に記載の方法。
JP2015099791A 2001-08-13 2015-05-15 Idベース暗号化および関連する暗号手法のシステムおよび方法 Expired - Lifetime JP5933786B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US31194601P 2001-08-13 2001-08-13
US60/311,946 2001-08-13

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2011104479A Division JP2011151866A (ja) 2001-08-13 2011-05-09 Idベース暗号化および関連する暗号手法のシステムおよび方法

Publications (3)

Publication Number Publication Date
JP2015144495A JP2015144495A (ja) 2015-08-06
JP2015144495A5 JP2015144495A5 (ja) 2015-09-24
JP5933786B2 true JP5933786B2 (ja) 2016-06-15

Family

ID=23209176

Family Applications (4)

Application Number Title Priority Date Filing Date
JP2003521528A Pending JP2005500740A (ja) 2001-08-13 2002-08-13 Idベース暗号化および関連する暗号手法のシステムおよび方法
JP2011104479A Pending JP2011151866A (ja) 2001-08-13 2011-05-09 Idベース暗号化および関連する暗号手法のシステムおよび方法
JP2011250508A Pending JP2012032843A (ja) 2001-08-13 2011-11-16 Idベース暗号化および関連する暗号手法のシステムおよび方法
JP2015099791A Expired - Lifetime JP5933786B2 (ja) 2001-08-13 2015-05-15 Idベース暗号化および関連する暗号手法のシステムおよび方法

Family Applications Before (3)

Application Number Title Priority Date Filing Date
JP2003521528A Pending JP2005500740A (ja) 2001-08-13 2002-08-13 Idベース暗号化および関連する暗号手法のシステムおよび方法
JP2011104479A Pending JP2011151866A (ja) 2001-08-13 2011-05-09 Idベース暗号化および関連する暗号手法のシステムおよび方法
JP2011250508A Pending JP2012032843A (ja) 2001-08-13 2011-11-16 Idベース暗号化および関連する暗号手法のシステムおよび方法

Country Status (7)

Country Link
US (4) US7113594B2 (ja)
EP (3) EP2429116B1 (ja)
JP (4) JP2005500740A (ja)
AT (1) ATE465571T1 (ja)
AU (1) AU2002332671A1 (ja)
DE (1) DE60236094D1 (ja)
WO (1) WO2003017559A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11588646B2 (en) 2019-09-05 2023-02-21 Cisco Technology, Inc. Identity-based application and file verification

Families Citing this family (407)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10114157A1 (de) * 2001-03-22 2002-09-26 Deutsche Telekom Ag Verfahren zur rechnergestützten Erzeugung von öffentlichen Schlüsseln zur Verschlüsselung von Nachrichten und Vorrichtung zur Durchführung des Verfahrens
US7564970B2 (en) * 2004-08-12 2009-07-21 Cmla, Llc Exponential data transform to enhance security
US7577250B2 (en) 2004-08-12 2009-08-18 Cmla, Llc Key derivation functions to enhance security
US8077861B2 (en) 2004-08-12 2011-12-13 Cmla, Llc Permutation data transform to enhance security
JP2005500740A (ja) * 2001-08-13 2005-01-06 ザ ボード オブ トラスティーズ オブ ザ リーランド スタンフォード ジュニア ユニバーシティ Idベース暗号化および関連する暗号手法のシステムおよび方法
JP3901484B2 (ja) * 2001-10-05 2007-04-04 株式会社ジェイテクト 電動パワーステアリング装置
GB0124681D0 (en) * 2001-10-15 2001-12-05 Hewlett Packard Co Method and apparatus for encrypting data
US7921284B1 (en) 2001-12-12 2011-04-05 Gary Mark Kinghorn Method and system for protecting electronic data in enterprise environment
US7178033B1 (en) 2001-12-12 2007-02-13 Pss Systems, Inc. Method and apparatus for securing digital assets
US8065713B1 (en) 2001-12-12 2011-11-22 Klimenty Vainstein System and method for providing multi-location access management to secured items
US7260555B2 (en) 2001-12-12 2007-08-21 Guardian Data Storage, Llc Method and architecture for providing pervasive security to digital assets
US7380120B1 (en) 2001-12-12 2008-05-27 Guardian Data Storage, Llc Secured data format for access control
US10033700B2 (en) 2001-12-12 2018-07-24 Intellectual Ventures I Llc Dynamic evaluation of access rights
US7565683B1 (en) 2001-12-12 2009-07-21 Weiqing Huang Method and system for implementing changes to security policies in a distributed security system
US8006280B1 (en) 2001-12-12 2011-08-23 Hildebrand Hal S Security system for generating keys from access rules in a decentralized manner and methods therefor
US7921450B1 (en) * 2001-12-12 2011-04-05 Klimenty Vainstein Security system using indirect key generation from access rules and methods therefor
US10360545B2 (en) 2001-12-12 2019-07-23 Guardian Data Storage, Llc Method and apparatus for accessing secured electronic data off-line
US7921288B1 (en) 2001-12-12 2011-04-05 Hildebrand Hal S System and method for providing different levels of key security for controlling access to secured items
US7930756B1 (en) 2001-12-12 2011-04-19 Crocker Steven Toye Multi-level cryptographic transformations for securing digital assets
US7950066B1 (en) 2001-12-21 2011-05-24 Guardian Data Storage, Llc Method and system for restricting use of a clipboard application
US8176334B2 (en) 2002-09-30 2012-05-08 Guardian Data Storage, Llc Document security system that permits external users to gain access to secured files
US7349538B2 (en) * 2002-03-21 2008-03-25 Ntt Docomo Inc. Hierarchical identity-based encryption and signature schemes
EP2375628A2 (en) * 2002-04-15 2011-10-12 NTT DoCoMo, Inc. Signature schemes using bilinear mappings
GB0208858D0 (en) * 2002-04-18 2002-05-29 Hewlett Packard Co Method and apparatus for encrypting/decrypting data
GB2390703A (en) * 2002-07-02 2004-01-14 Ascent Group Ltd Storage and authentication of data transactions
GB2401763B (en) * 2002-07-05 2005-08-10 Hewlett Packard Development Co Trusted authority for identifer-based cryptography
GB0215590D0 (en) * 2002-07-05 2002-08-14 Hewlett Packard Co Method and apparatus for generating a cryptographic key
US20050089173A1 (en) * 2002-07-05 2005-04-28 Harrison Keith A. Trusted authority for identifier-based cryptography
GB0215524D0 (en) * 2002-07-05 2002-08-14 Hewlett Packard Co Method and apparatus for generating a cryptographic key
SG145524A1 (en) * 2002-08-07 2008-09-29 Mobilastic Technologies Pte Lt Secure transfer of digital tokens
US20040044734A1 (en) * 2002-08-27 2004-03-04 Mark Beck Enhanced services electronic mail
US7657748B2 (en) * 2002-08-28 2010-02-02 Ntt Docomo, Inc. Certificate-based encryption and public key infrastructure
KR100489327B1 (ko) * 2002-09-18 2005-05-12 학교법인 한국정보통신학원 겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의개인 식별 방법
US7486795B2 (en) * 2002-09-20 2009-02-03 University Of Maryland Method and apparatus for key management in distributed sensor networks
US7412059B1 (en) 2002-11-27 2008-08-12 Voltage Security, Inc. Public-key encryption system
KR20030008183A (ko) * 2002-12-24 2003-01-24 학교법인 한국정보통신학원 겹선형쌍을 이용한 개인식별정보 기반의 원형서명 방법
KR20030008182A (ko) * 2002-12-24 2003-01-24 학교법인 한국정보통신학원 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 방법
JP4800624B2 (ja) * 2003-01-07 2011-10-26 クゥアルコム・インコーポレイテッド 暗号鍵を入れ替えるためのシステム、装置及び方法
US7003117B2 (en) * 2003-02-05 2006-02-21 Voltage Security, Inc. Identity-based encryption system for secure data distribution
US8108678B1 (en) * 2003-02-10 2012-01-31 Voltage Security, Inc. Identity-based signcryption system
US7480384B2 (en) * 2003-02-10 2009-01-20 International Business Machines Corporation Method for distributing and authenticating public keys using random numbers and Diffie-Hellman public keys
US7783044B2 (en) * 2003-02-20 2010-08-24 Proofpoint, Inc. System for on-line and off-line decryption
GB2398713B (en) * 2003-02-22 2005-11-30 Hewlett Packard Development Co Limiting service provision to group members
US7571321B2 (en) * 2003-03-14 2009-08-04 Voltage Security, Inc. Identity-based-encryption messaging system
KR100507809B1 (ko) * 2003-03-19 2005-08-17 학교법인 한국정보통신학원 네트워크상에서의 겹선형쌍 디피-헬만 문제를 이용한 익명핑거프린팅 방법
US7921292B1 (en) 2003-04-04 2011-04-05 Voltage Security, Inc. Secure messaging systems
GB2400699B (en) * 2003-04-17 2006-07-05 Hewlett Packard Development Co Security data provision method and apparatus and data recovery method and system
GB2401006A (en) * 2003-04-23 2004-10-27 Hewlett Packard Development Co Cryptographic method and apparatus
JP2006524352A (ja) * 2003-04-23 2006-10-26 ヒューレット−パッカード デベロップメント カンパニー エル.ピー. バイオメトリクスに基づいたアイデンティティベースの暗号化方法および装置
US20050021973A1 (en) * 2003-04-23 2005-01-27 Liqun Chen Cryptographic method and apparatus
GB0309182D0 (en) 2003-04-23 2003-05-28 Hewlett Packard Development Co Security method and apparatus using biometric data
US7380138B2 (en) 2003-04-23 2008-05-27 Hewlett-Packard Development Company, L.P. Cryptographic method and apparatus
DE602004001273T2 (de) * 2003-04-23 2007-05-31 Hewlett-Packard Development Co., L.P., Houston Verfahren und Vorrichtung zur Identifiezierungsbasierten Verschlüsselung
GB0309161D0 (en) * 2003-04-23 2003-05-28 Hewlett Packard Development Co Cryptographic method and apparatus
AU2004201807A1 (en) * 2003-05-09 2004-11-25 Nor Azman Bin Abu Method and apparatus for the generation of public key based on a user-defined ID in a cryptosystem
US8707034B1 (en) 2003-05-30 2014-04-22 Intellectual Ventures I Llc Method and system for using remote headers to secure electronic files
GB0313666D0 (en) 2003-06-13 2003-07-16 Hewlett Packard Development Co RSA cryptographic method and system
GB0313663D0 (en) * 2003-06-13 2003-07-16 Hewlett Packard Development Co Mediated rsa cryptographic method and system
US7580521B1 (en) 2003-06-25 2009-08-25 Voltage Security, Inc. Identity-based-encryption system with hidden public key attributes
US7017181B2 (en) * 2003-06-25 2006-03-21 Voltage Security, Inc. Identity-based-encryption messaging system with public parameter host servers
DE10330089B4 (de) * 2003-07-03 2014-02-27 Bt Ignite Gmbh & Co. Verfahren und Vorrichtung zum Übermitteln von Entschlüsselungscodes für frei übertragene, verschlüsselte Programminhalte an eindeutig identifizierbare Empfänger
KR20030062401A (ko) * 2003-07-04 2003-07-25 학교법인 한국정보통신학원 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법
US7298839B2 (en) * 2003-07-25 2007-11-20 Microsoft Corporation Squared Weil and Tate pairing techniques for use with elliptic curves
US7769167B2 (en) 2003-07-25 2010-08-03 Microsoft Corporation Weil and Tate pairing techniques using parabolas
US7440569B2 (en) * 2003-07-28 2008-10-21 Microsoft Corporation Tate pairing techniques for use with hyperelliptic curves
US7266847B2 (en) * 2003-09-25 2007-09-04 Voltage Security, Inc. Secure message system with remote decryption service
EP1519530A1 (en) * 2003-09-29 2005-03-30 STMicroelectronics S.r.l. Method for establishing an encrypted communication by means of keys
US8127366B2 (en) 2003-09-30 2012-02-28 Guardian Data Storage, Llc Method and apparatus for transitioning between states of security policies used to secure electronic documents
US7703140B2 (en) 2003-09-30 2010-04-20 Guardian Data Storage, Llc Method and system for securing digital assets using process-driven security policies
US7979911B2 (en) * 2003-10-08 2011-07-12 Microsoft Corporation First computer process and second computer process proxy-executing code from third computer process on behalf of first process
US7788496B2 (en) * 2003-10-08 2010-08-31 Microsoft Corporation First computer process and second computer process proxy-executing code on behalf thereof
US8103592B2 (en) * 2003-10-08 2012-01-24 Microsoft Corporation First computer process and second computer process proxy-executing code on behalf of first process
US7596704B2 (en) * 2003-10-10 2009-09-29 Jing-Jang Hwang Partition and recovery of a verifiable digital secret
US7487537B2 (en) * 2003-10-14 2009-02-03 International Business Machines Corporation Method and apparatus for pervasive authentication domains
US7103911B2 (en) * 2003-10-17 2006-09-05 Voltage Security, Inc. Identity-based-encryption system with district policy information
CN1902853B (zh) 2003-10-28 2012-10-03 塞尔蒂卡姆公司 一种公开密钥的可验证生成的方法和设备
US20050135610A1 (en) * 2003-11-01 2005-06-23 Liqun Chen Identifier-based signcryption
GB0325527D0 (en) * 2003-11-01 2003-12-03 Hewlett Packard Development Co Identifier-based signcryption
US7499544B2 (en) 2003-11-03 2009-03-03 Microsoft Corporation Use of isogenies for design of cryptosystems
US7523314B2 (en) 2003-12-22 2009-04-21 Voltage Security, Inc. Identity-based-encryption message management system
US20050187863A1 (en) * 2004-02-20 2005-08-25 Whinery Christopher S. Method and system for protecting real estate from fraudulent transactions
ATE484899T1 (de) * 2004-03-30 2010-10-15 Univ Dublin City Verifikation von auf identität basierenden signaturen
US8050409B2 (en) * 2004-04-02 2011-11-01 University Of Cincinnati Threshold and identity-based key management and authentication for wireless ad hoc networks
US7646872B2 (en) * 2004-04-02 2010-01-12 Research In Motion Limited Systems and methods to securely generate shared keys
US7590236B1 (en) * 2004-06-04 2009-09-15 Voltage Security, Inc. Identity-based-encryption system
GB2415112B (en) 2004-06-11 2007-04-25 Hewlett Packard Development Co Cryptographic method and apparatus
KR100657265B1 (ko) 2004-06-23 2006-12-14 삼성전자주식회사 자기 규제 방법 및 이를 이용한 콘텐츠 송수신 방법
GB2415579B (en) 2004-06-23 2006-12-20 Hewlett Packard Development Co Cryptographic method and apparatus
US20060013397A1 (en) * 2004-07-13 2006-01-19 International Business Machines Corporation Channel adapter managed trusted queue pairs
GB2416282B (en) 2004-07-15 2007-05-16 Hewlett Packard Development Co Identifier-based signcryption with two trusted authorities
US7920050B2 (en) * 2004-07-29 2011-04-05 Emc Corporation Proxy device for enhanced privacy in an RFID system
EP1621956B1 (en) * 2004-07-30 2017-05-31 Irdeto B.V. Method of providing rights data objects
EP2439872B1 (en) 2004-08-12 2016-04-27 Cmla, Llc. Data transform to enhance security
US7742596B2 (en) * 2004-08-24 2010-06-22 General Dynamics C4 Systems, Inc. Reliable elliptic curve cryptography computation
US7657037B2 (en) * 2004-09-20 2010-02-02 Pgp Corporation Apparatus and method for identity-based encryption within a conventional public-key infrastructure
JP4752313B2 (ja) * 2004-09-30 2011-08-17 ソニー株式会社 暗号処理演算方法、および暗号処理装置、並びにコンピュータ・プログラム
US20060078790A1 (en) * 2004-10-05 2006-04-13 Polyplus Battery Company Solid electrolytes based on lithium hafnium phosphate for active metal anode protection
KR100601706B1 (ko) * 2004-10-15 2006-07-18 삼성전자주식회사 Drm 시스템에 있어서 시스템 키를 공유하고 생성하는방법 및 장치
US7418100B2 (en) * 2004-10-20 2008-08-26 Cisco Technology, Inc. Enciphering method
GB2419787B (en) * 2004-10-28 2007-07-04 Hewlett Packard Development Co Method and apparatus for providing short-term private keys in public-key cryptographic systems
US7660987B2 (en) * 2004-10-29 2010-02-09 Baylis Stephen W Method of establishing a secure e-mail transmission link
US7370202B2 (en) * 2004-11-02 2008-05-06 Voltage Security, Inc. Security device for cryptographic communications
FR2877453A1 (fr) * 2004-11-04 2006-05-05 France Telecom Procede de delegation securisee de calcul d'une application bilineaire
CN101099329B (zh) * 2004-11-11 2012-12-26 塞尔蒂卡姆公司 基于椭圆曲线的新陷门单向函数及其用于较短签名和非对称加密的应用
WO2006051517A1 (en) * 2004-11-12 2006-05-18 Dublin City University Identity based encryption
JP4546231B2 (ja) * 2004-12-09 2010-09-15 株式会社日立製作所 Idベース署名及び暗号化システムおよび方法
GB2421097B (en) * 2004-12-10 2009-07-01 Hewlett Packard Development Co Methods, devices and computer programs for creating ciphertext, plaintext and a cryptographic key
US7639799B2 (en) * 2004-12-14 2009-12-29 Microsoft Corporation Cryptographically processing data based on a Cassels-Tate pairing
EP1675299B1 (en) 2004-12-23 2018-08-01 Hewlett-Packard Development Company, L.P. Authentication method using bilinear mappings
JP4528114B2 (ja) * 2004-12-28 2010-08-18 日本電信電話株式会社 鍵生成装置、暗号化装置、検査装置、復号化装置並びに鍵生成プログラム、暗号化プログラム、検査プログラム、復号化プログラム
US8099598B1 (en) * 2005-01-03 2012-01-17 Gary Gang Liu Secure messaging system with automatic recipient enrollment
US7869593B2 (en) * 2005-01-07 2011-01-11 First Data Corporation Software for providing based on shared knowledge public keys having same private key
CN1262087C (zh) * 2005-01-14 2006-06-28 南相浩 基于标识的密钥产生方法
US20060159269A1 (en) * 2005-01-20 2006-07-20 Matsushita Electric Industrial Co., Ltd. Cryptographic system for resource starved CE device secure upgrade and re-configuration
JP5147412B2 (ja) 2005-01-21 2013-02-20 サーティコム コーポレーション 楕円曲線乱数生成
US7860802B2 (en) * 2005-02-01 2010-12-28 Microsoft Corporation Flexible licensing architecture in content rights management systems
US7594261B2 (en) * 2005-02-08 2009-09-22 Microsoft Corporation Cryptographic applications of the Cartier pairing
WO2006091844A1 (en) * 2005-02-25 2006-08-31 Qualcomm Incorporated Small public-key based digital signatures for authentication
US7739500B2 (en) * 2005-03-07 2010-06-15 Microsoft Corporation Method and system for consistent recognition of ongoing digital relationships
US7822200B2 (en) * 2005-03-07 2010-10-26 Microsoft Corporation Method and system for asymmetric key security
US7680268B2 (en) 2005-03-15 2010-03-16 Microsoft Corporation Elliptic curve point octupling using single instruction multiple data processing
US7702098B2 (en) * 2005-03-15 2010-04-20 Microsoft Corporation Elliptic curve point octupling for weighted projective coordinates
US7657456B2 (en) 2005-03-18 2010-02-02 Pitney Bowes Inc. Method and system for electronic voting using identity based encryption
US7634085B1 (en) * 2005-03-25 2009-12-15 Voltage Security, Inc. Identity-based-encryption system with partial attribute matching
US8285996B2 (en) 2005-03-30 2012-10-09 Dublin City University Verification of identity based signatures
US7570164B2 (en) * 2005-12-30 2009-08-04 Skyetek, Inc. System and method for implementing virtual RFID tags
US20060238305A1 (en) * 2005-04-21 2006-10-26 Sean Loving Configurable RFID reader
US20060253415A1 (en) * 2005-04-21 2006-11-09 Sayan Chakraborty Data-defined communication device
US20070046431A1 (en) * 2005-08-31 2007-03-01 Skyetek, Inc. System and method for combining RFID tag memory
US20070046467A1 (en) * 2005-08-31 2007-03-01 Sayan Chakraborty System and method for RFID reader to reader communication
US7659819B2 (en) 2005-04-21 2010-02-09 Skyetek, Inc. RFID reader operating system and associated architecture
US20060238302A1 (en) * 2005-04-21 2006-10-26 Sean Loving System and method for configuring an RFID reader
US20060238304A1 (en) * 2005-04-21 2006-10-26 Sean Loving System and method for adapting an FRID tag reader to its environment
US20060238303A1 (en) * 2005-04-21 2006-10-26 Sean Loving Adaptable RFID reader
US8091142B2 (en) * 2005-04-26 2012-01-03 Microsoft Corporation Supplementary trust model for software licensing/commercial digital distribution policy
KR100635280B1 (ko) * 2005-04-27 2006-10-19 삼성전자주식회사 전자 서명을 이용한 보안 방법
JP4646691B2 (ja) * 2005-05-10 2011-03-09 株式会社エヌ・ティ・ティ・データ 暗号化通信システム、秘密鍵発行装置、および、プログラム
US7720221B2 (en) * 2005-05-20 2010-05-18 Certicom Corp. Privacy-enhanced e-passport authentication protocol
JP4723909B2 (ja) * 2005-05-27 2011-07-13 株式会社日立製作所 データ交換方法、データ交換管理装置およびデータ交換管理プログラム
US7649999B2 (en) * 2005-06-08 2010-01-19 Iris Anshel Method and apparatus for establishing a key agreement protocol
US8356175B2 (en) * 2005-06-29 2013-01-15 Intel Corporation Methods and apparatus to perform associated security protocol extensions
US8477940B2 (en) * 2005-07-15 2013-07-02 Tyfone, Inc. Symmetric cryptography with user authentication
US8189788B2 (en) * 2005-07-15 2012-05-29 Tyfone, Inc. Hybrid symmetric/asymmetric cryptography with user authentication
US7627760B2 (en) * 2005-07-21 2009-12-01 Microsoft Corporation Extended authenticated key exchange
JP2007036364A (ja) * 2005-07-22 2007-02-08 Nec Corp タイム装置、暗号化装置、復号化装置、暗号化/復号化システム
US7694141B2 (en) 2005-07-26 2010-04-06 Microsoft Corporation Extended authenticated key exchange with key confirmation
US7908482B2 (en) * 2005-08-18 2011-03-15 Microsoft Corporation Key confirmed authenticated key exchange with derived ephemeral keys
US8190895B2 (en) * 2005-08-18 2012-05-29 Microsoft Corporation Authenticated key exchange with derived ephemeral keys
FR2890201A1 (fr) * 2005-08-31 2007-03-02 Proton World Internatinal Nv Protection d'un contenu numerique sur un support physique
US20070206786A1 (en) * 2005-08-31 2007-09-06 Skyetek, Inc. Rfid security system
FR2892251A1 (fr) * 2005-10-14 2007-04-20 Gemplus Sa Procede cryptographique mettant en oeuvre un systeme de chiffrement base sur l'identite
US20070104323A1 (en) * 2005-11-04 2007-05-10 Pitney Bowes Incorporated Method and system for providing privacy to sender of a mail piece
WO2007063876A1 (ja) * 2005-12-01 2007-06-07 Nec Corporation 電子入札システムおよび電子入札方法
US9165411B2 (en) * 2005-12-16 2015-10-20 Pitney Bowes Inc. Method and system for embedding mailer specified mailing instructions on a mail piece to automate mail processing
US20080022160A1 (en) * 2005-12-30 2008-01-24 Skyetek, Inc. Malware scanner for rfid tags
US20070206797A1 (en) * 2006-03-01 2007-09-06 Skyetek, Inc. Seamless rfid tag security system
EP1993086B1 (en) * 2006-01-11 2012-09-05 Mitsubishi Electric Corporation Elliptical curve encryption parameter generation device, elliptical curve encryption calculation device, elliptical curve encryption parameter generation program, and elliptical curve encryption calculation program
US8180047B2 (en) * 2006-01-13 2012-05-15 Microsoft Corporation Trapdoor pairings
US9137012B2 (en) 2006-02-03 2015-09-15 Emc Corporation Wireless authentication methods and apparatus
US8094810B2 (en) * 2006-02-03 2012-01-10 Massachusetts Institute Of Technology Unidirectional proxy re-encryption
GB2436910B (en) * 2006-04-03 2011-02-16 Identum Ltd Electronic Data Communication System
US8311214B2 (en) * 2006-04-24 2012-11-13 Motorola Mobility Llc Method for elliptic curve public key cryptographic validation
US9002018B2 (en) * 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
US7434726B2 (en) * 2006-05-15 2008-10-14 Pitney Bowes Inc. Method and system for postdating of financial transactions
US8121289B2 (en) * 2006-05-31 2012-02-21 France Telecom Cryptographic method with integrated encryption and revocation, system, device and programs for implementing this method
FR2901940B1 (fr) * 2006-05-31 2012-12-14 Oberthur Card Syst Sa Procede de generation d'une cle privee et procedes de chiffrement et de dechiffrement d'un message
US9769158B2 (en) * 2006-06-07 2017-09-19 Red Hat, Inc. Guided enrollment and login for token users
JP4868131B2 (ja) * 2006-06-15 2012-02-01 ネッツエスアイ東洋株式会社 電子割符照合システム
JP4556917B2 (ja) * 2006-06-22 2010-10-06 日本電気株式会社 判定システム、判定方法、判定装置およびプログラム
US8670564B1 (en) 2006-08-14 2014-03-11 Key Holdings, LLC Data encryption system and method
EP1890493A1 (fr) * 2006-08-17 2008-02-20 Nagracard S.A. Méthode de révocation de modules de sécurité utilisés pour sécuriser des messages diffusés
US20080170701A1 (en) * 2006-08-22 2008-07-17 Ntt Data Corporation Delegation system for decryption rights
US20080065729A1 (en) * 2006-09-08 2008-03-13 Pitney Bowes Incorporated Method and system for service provider to be compensated for delivering e-mail messages while reducing amount of unsolicited e-mail messages
US7885406B2 (en) * 2006-10-10 2011-02-08 Microsoft Corporation Computing endomorphism rings of Abelian surfaces over finite fields
US8271788B2 (en) * 2006-10-17 2012-09-18 Trend Micro Incorporated Software registration system
US20080137859A1 (en) * 2006-12-06 2008-06-12 Ramanathan Jagadeesan Public key passing
JP2008152737A (ja) * 2006-12-20 2008-07-03 Nippon Telegr & Teleph Corp <Ntt> サービス提供サーバ、認証サーバ、および認証システム
WO2008087734A1 (ja) * 2007-01-19 2008-07-24 Mitsubishi Electric Corporation 暗号文生成装置及び暗号通信システム及び群パラメータ生成装置
GB0705494D0 (en) * 2007-03-22 2007-05-02 Ibm A method and system for a subscription to a symmetric key
US7859411B2 (en) 2007-03-30 2010-12-28 Skyetek, Inc. RFID tagged item trajectory and location estimation system and method
US8669845B1 (en) 2007-03-30 2014-03-11 Vail Resorts, Inc. RFID skier monitoring systems and methods
US20080297326A1 (en) * 2007-03-30 2008-12-04 Skyetek, Inc. Low Cost RFID Tag Security And Privacy System And Method
US20080290995A1 (en) * 2007-03-30 2008-11-27 Skyetek, Inc. System and method for optimizing communication between an rfid reader and an rfid tag
WO2008122923A2 (en) * 2007-04-05 2008-10-16 International Business Machines Corporation System and method for distribution of credentials
WO2008122906A1 (en) * 2007-04-05 2008-10-16 Koninklijke Philips Electronics N.V. Wireless sensor network key distribution
JP2008301391A (ja) * 2007-06-04 2008-12-11 Murata Mach Ltd 放送用暗号システムと暗号通信方法、復号器及び復号プログラム
US8676715B2 (en) 2007-06-06 2014-03-18 Pitney Bowes Inc. System and method for authenticating indicia using identity-based signature scheme
US9847977B2 (en) * 2007-06-29 2017-12-19 Microsoft Technology Licensing, Llc Confidential mail with tracking and authentication
US8631419B2 (en) * 2007-06-29 2014-01-14 Microsoft Corporation System and methods for disruption detection, management, and recovery
DE102007033847A1 (de) 2007-07-18 2009-01-22 Bernd Prof. Dr. Freisleben Verfahren und Vorrichtung zur kryptographischen Schlüsseleinigung für eine sichere digitale Kommunikation in Netzwerken
DE102007033845A1 (de) 2007-07-18 2009-01-22 Bernd Prof. Dr. Freisleben Verfahren und Vorrichtung für eine verschlüsselte digitale Sprachkommunikation
DE102007033848A1 (de) 2007-07-18 2009-01-22 Freisleben, Bernd, Prof. Dr. Verfahren und Vorrichtung zur Erzeugung von kryptographischen Schlüsseln zur Durchführung einer Schlüsseleinigung für eine sichere digitale Kommunikation in einem IP-Netzwerk
DE102007033846A1 (de) 2007-07-18 2009-01-22 Freisleben, Bernd, Prof. Dr. Verfahren und Vorrichtung zur Erzeugung von kryptographischen Schlüsseln zur Durchführung einer Schlüsseleinigung für eine sichere digitale Kommunikation
WO2009014735A2 (en) * 2007-07-23 2009-01-29 Motivepath, Inc. System, method and apparatus for secure multiparty located based services
KR101490687B1 (ko) * 2007-08-20 2015-02-06 삼성전자주식회사 홈 네트워크에서 디바이스들이 비밀 정보를 공유하는 방법및 이를 위한 장치
US7890763B1 (en) * 2007-09-14 2011-02-15 The United States Of America As Represented By The Director, National Security Agency Method of identifying invalid digital signatures involving batch verification
US8700894B2 (en) * 2007-10-17 2014-04-15 Pitney Bowes Inc. Method and system for securing routing information of a communication using identity-based encryption scheme
CA2703719C (en) * 2007-10-26 2014-07-08 Telcordia Technologies, Inc. Method and system for secure session establishment using identity-based encryption (vdtls)
JP5286748B2 (ja) * 2007-11-09 2013-09-11 ソニー株式会社 情報処理装置、鍵設定方法、及びプログラム
CN101179380A (zh) * 2007-11-19 2008-05-14 上海交通大学 一种双向认证方法、系统及网络终端
JP4907502B2 (ja) * 2007-11-20 2012-03-28 日本電信電話株式会社 行動証明書発行方法、行動証明書発行装置、行動証明書発行プログラムおよび行動証明書発行・検証システム
KR20090052199A (ko) * 2007-11-20 2009-05-25 삼성전자주식회사 저장 장치, 상기 저장 장치를 이용하는 단말장치와 그 방법
JP5365072B2 (ja) * 2007-12-11 2013-12-11 ソニー株式会社 鍵生成装置、暗号化装置、受信装置、鍵生成方法、暗号化方法、鍵処理方法およびプログラム
US20090153290A1 (en) * 2007-12-14 2009-06-18 Farpointe Data, Inc., A California Corporation Secure interface for access control systems
US8806207B2 (en) * 2007-12-21 2014-08-12 Cocoon Data Holdings Limited System and method for securing data
CN101521569B (zh) * 2008-02-28 2013-04-24 华为技术有限公司 实现服务访问的方法、设备及系统
KR101484110B1 (ko) * 2008-02-29 2015-01-28 삼성전자주식회사 메모리 컨트롤러 및 그에 따른 메모리 장치
US8090108B2 (en) * 2008-04-15 2012-01-03 Adaptive Chips, Inc. Secure debug interface and memory of a media security circuit and method
US8045708B2 (en) * 2008-05-21 2011-10-25 Apple Inc. Discrete key generation method and apparatus
WO2009141784A1 (en) * 2008-05-23 2009-11-26 Koninklijke Philips Electronics N.V. Identity-based encryption of data items for secure access thereto
US8259949B2 (en) * 2008-05-27 2012-09-04 Intel Corporation Methods and apparatus for protecting digital content
JP5118556B2 (ja) * 2008-06-04 2013-01-16 日本電信電話株式会社 鍵配送方法、鍵配送システム、クライアント装置、鍵サーバ装置、それらのプログラム
JP5027742B2 (ja) * 2008-06-19 2012-09-19 日本電信電話株式会社 秘密情報送信システム、秘密情報送信方法、秘密情報管理サーバ、暗号装置、秘密情報送信プログラム
US8656177B2 (en) * 2008-06-23 2014-02-18 Voltage Security, Inc. Identity-based-encryption system
US8761390B2 (en) * 2008-06-30 2014-06-24 Gm Global Technology Operations Production of cryptographic keys for an embedded processing device
US8737614B1 (en) * 2008-07-07 2014-05-27 Voltage Security, Inc. Document imaging system with identity-based encryption
CN101350060B (zh) * 2008-07-23 2011-06-01 西安西电捷通无线网络通信股份有限公司 一种适合电子标签的数据安全存取方法
WO2010019593A1 (en) * 2008-08-11 2010-02-18 Assa Abloy Ab Secure wiegand communications
US8108777B2 (en) 2008-08-11 2012-01-31 Microsoft Corporation Sections of a presentation having user-definable properties
EP2157526B1 (en) * 2008-08-14 2014-04-30 Assa Abloy Ab RFID reader with embedded attack detection heuristics
US7995764B2 (en) * 2008-08-28 2011-08-09 Red Hat, Inc. Sharing a secret using hyperplanes over GF(2m)
US7995765B2 (en) * 2008-08-28 2011-08-09 Red Hat, Inc. Sharing a secret using hyperplanes over GF(q)
US8520854B2 (en) * 2008-08-28 2013-08-27 Red Hat, Inc. Sharing a secret using polynomials over polynomials
US8675877B2 (en) * 2008-08-29 2014-03-18 Red Hat, Inc. Sharing a secret via linear interpolation
US8559637B2 (en) * 2008-09-10 2013-10-15 Verizon Patent And Licensing Inc. Securing information exchanged via a network
JP5491015B2 (ja) * 2008-09-25 2014-05-14 Kddi株式会社 無線通信チャネルの設定のための仲介装置及びプログラム
JP5580318B2 (ja) 2008-10-14 2014-08-27 コーニンクレッカ フィリップス エヌ ヴェ 仮名の発生及び認証のための方法及び装置
JP4748206B2 (ja) * 2008-11-11 2011-08-17 ソニー株式会社 情報処理装置、情報処理方法およびプログラム
CN101420303B (zh) * 2008-12-12 2011-02-02 广州杰赛科技股份有限公司 一种语音数据的通信方法及其装置
JP5097102B2 (ja) * 2008-12-25 2012-12-12 日本電信電話株式会社 階層型idベース暗号化装置及び復号化装置、それらの方法、プログラム及び記録媒体
JP5134555B2 (ja) * 2009-01-07 2013-01-30 日本電信電話株式会社 鍵生成装置、暗号化装置、復号化装置、暗号化システム、鍵生成方法、暗号化方法、復号化方法、プログラム、および記録媒体
JP5268066B2 (ja) * 2009-01-16 2013-08-21 日本電信電話株式会社 変換演算装置、その方法、プログラム及び記録媒体
US9165154B2 (en) 2009-02-16 2015-10-20 Microsoft Technology Licensing, Llc Trusted cloud computing and services framework
US8341427B2 (en) * 2009-02-16 2012-12-25 Microsoft Corporation Trusted cloud computing and services framework
US8510558B2 (en) 2009-02-17 2013-08-13 Alcatel Lucent Identity based authenticated key agreement protocol
EP2222015A1 (en) * 2009-02-19 2010-08-25 Thomson Licensing Method and device for hashing onto points of an elliptic curve
US8837718B2 (en) * 2009-03-27 2014-09-16 Microsoft Corporation User-specified sharing of data via policy and/or inference from a hierarchical cryptographic store
US9704159B2 (en) * 2009-05-15 2017-07-11 Entit Software Llc Purchase transaction system with encrypted transaction information
US8166203B1 (en) * 2009-05-29 2012-04-24 Google Inc. Server selection based upon time and query dependent hashing
EP2438580A2 (en) 2009-06-02 2012-04-11 Voltage Security, Inc. Purchase transaction system with encrypted payment card data
EP2456118A4 (en) * 2009-07-17 2013-05-01 Alcatel Lucent METHOD AND DEVICE FOR DIGITAL RIGHT MANAGEMENT IN SMALL AND MEDIUM-SIZED ENTERPRISES AND METHOD FOR PROVIDING A DRM SERVICE
US8301883B2 (en) * 2009-08-28 2012-10-30 Alcatel Lucent Secure key management in conferencing system
US8850203B2 (en) 2009-08-28 2014-09-30 Alcatel Lucent Secure key management in multimedia communication system
US8510835B1 (en) 2009-09-18 2013-08-13 Trend Micro Incorporated Techniques for protecting data in cloud computing environments
US8826013B1 (en) 2009-09-23 2014-09-02 Trend Micro Incorporated Protection of customer data in cloud virtual machines using a central management server
US8219792B2 (en) * 2009-10-06 2012-07-10 Dell Products L.P. System and method for safe information handling system boot
JP4802274B2 (ja) * 2009-10-30 2011-10-26 インターナショナル・ビジネス・マシーンズ・コーポレーション メッセージ送信および受信方法
US8666812B1 (en) * 2009-11-10 2014-03-04 Google Inc. Distributing content based on transaction information
US8219810B2 (en) * 2009-11-13 2012-07-10 Palo Alto Research Center Incorporated Method and system for facilitating throttling of interpolation-based authentication
JP5325755B2 (ja) * 2009-12-11 2013-10-23 株式会社エヌ・ティ・ティ・データ 暗号文復号権限委譲システム、暗号文復号権限委譲方法、暗号文変換装置、復号権限所持者用装置および暗号文変換プログラム
EP2348447B1 (en) 2009-12-18 2014-07-16 CompuGroup Medical AG A computer implemented method for generating a set of identifiers from a private key, computer implemented method and computing device
EP2348449A3 (en) 2009-12-18 2013-07-10 CompuGroup Medical AG A computer implemented method for performing cloud computing on data being stored pseudonymously in a database
EP2348452B1 (en) 2009-12-18 2014-07-02 CompuGroup Medical AG A computer implemented method for sending a message to a recipient user, receiving a message by a recipient user, a computer readable storage medium and a computer system
US20120324240A1 (en) * 2010-01-13 2012-12-20 Mitsubishi Electric Corporation Secure search system, public parameter generation device, encryption device, user secret key generation device, query issuing device, search device, computer program, secure search method, public parameter generation method, encryption method, user secret key generation method, query issuing method, and search method
US8615668B2 (en) 2010-01-15 2013-12-24 Mitsubishi Electric Corporation Confidential search system and cryptographic processing system
US8488783B2 (en) * 2010-02-19 2013-07-16 Nokia Method and apparatus for applying recipient criteria in identity-based encryption
WO2011107451A1 (en) * 2010-03-03 2011-09-09 Nagravision S.A. Method to manage revocations in a group of terminals
EP2365456B1 (en) 2010-03-11 2016-07-20 CompuGroup Medical SE Data structure, method and system for predicting medical conditions
US9025767B2 (en) * 2010-03-24 2015-05-05 Nokia Corporation Method and apparatus for querying content protected by identity-based encryption
US8553878B2 (en) * 2010-04-14 2013-10-08 Apple Inc. Data transformation system using cyclic groups
JP5424974B2 (ja) * 2010-04-27 2014-02-26 三菱電機株式会社 暗号処理システム、鍵生成装置、暗号化装置、復号装置、署名処理システム、署名装置及び検証装置
US9772834B2 (en) * 2010-04-27 2017-09-26 Red Hat, Inc. Exportable encoded identifications of networked machines
US8423764B2 (en) 2010-06-23 2013-04-16 Motorola Solutions, Inc. Method and apparatus for key revocation in an attribute-based encryption scheme
RU2452111C1 (ru) * 2010-11-17 2012-05-27 ЗАО Институт инфокоммуникационных технологий Способ пороговой генерации ключей для системы защиты информации на основе идентификационных данных
US8656484B2 (en) 2010-12-28 2014-02-18 Authernative, Inc. System and method for mutually authenticated cryptographic key exchange using matrices
US8621227B2 (en) 2010-12-28 2013-12-31 Authernative, Inc. System and method for cryptographic key exchange using matrices
JP5612494B2 (ja) * 2011-01-21 2014-10-22 日本電信電話株式会社 関数暗号を用いた時限暗号システム、時限暗号方法、装置、プログラム
US20130042112A1 (en) * 2011-02-12 2013-02-14 CertiVox Ltd. Use of non-interactive identity based key agreement derived secret keys with authenticated encryption
EP2700189B1 (en) * 2011-04-01 2020-01-22 BlackBerry Limited Identity-based decryption
US8661240B2 (en) 2011-04-29 2014-02-25 International Business Machines Corporation Joint encryption of data
JP6041864B2 (ja) * 2011-04-29 2016-12-14 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation データの暗号化のための方法、コンピュータ・プログラム、および装置
US8644510B2 (en) * 2011-05-11 2014-02-04 Alcatel Lucent Discovery of security associations for key management relying on public keys
US9219714B2 (en) * 2011-05-31 2015-12-22 Samsung Sds Co., Ltd. ID-based encryption and signature method and terminal
US10318932B2 (en) 2011-06-07 2019-06-11 Entit Software Llc Payment card processing system with structure preserving encryption
US8891772B2 (en) * 2011-06-17 2014-11-18 Microsoft Corporation Cloud key escrow system
US8627508B2 (en) 2011-06-17 2014-01-07 Microsoft Corporation Cloud key directory for federating data exchanges
WO2013009290A1 (en) * 2011-07-11 2013-01-17 Hewlett-Packard Development Company, Lp Policy based data management
KR101574030B1 (ko) * 2011-07-15 2015-12-02 알까뗄 루슨트 안전한 그룹 메시징
US8619986B2 (en) * 2011-07-21 2013-12-31 Patton Protection Systems LLC Systems and methods for secure communication using a communication encryption bios based upon a message specific identifier
US8892875B1 (en) 2011-07-29 2014-11-18 Trend Micro Incorporated Methods and apparatus for controlling access to encrypted computer files
JP2013042315A (ja) * 2011-08-12 2013-02-28 Sony Corp 情報処理装置、及び情報処理方法
US8948381B2 (en) * 2011-09-09 2015-02-03 Fujitsu Limited Conditional key generation based on expiration date of data
SG2014012264A (en) * 2011-09-29 2014-08-28 Amazon Tech Inc Parameter based key derivation
US9203613B2 (en) 2011-09-29 2015-12-01 Amazon Technologies, Inc. Techniques for client constructed sessions
SG193014A1 (en) * 2011-09-30 2013-09-30 Ranganath C Abeyweera Method, system and apparatus for a communications client program and anassociated transfer server for onymous and secure communications
US9154302B2 (en) 2012-01-25 2015-10-06 CertiVox Ltd. System and method for secure two-factor authenticated ID-based key exchange and remote login using an insecure token and simple second-factor such as a PIN number
US9065637B2 (en) * 2012-01-25 2015-06-23 CertiVox Ltd. System and method for securing private keys issued from distributed private key generator (D-PKG) nodes
EP2810402B1 (en) * 2012-02-03 2018-07-25 Qredo Limited A method and database system for secure storage and communication of information
US8694771B2 (en) 2012-02-10 2014-04-08 Connect In Private Panama Corp. Method and system for a certificate-less authenticated encryption scheme using identity-based encryption
PL2648170T3 (pl) * 2012-04-06 2015-05-29 Kapsch Trafficcom Ag Sposób wykrywania przekroczenia dozwolonej prędkości przez pojazd
KR101329007B1 (ko) * 2012-05-31 2013-11-12 삼성에스디에스 주식회사 아이디 기반 암호 시스템을 위한 비밀키 생성 장치 및 그 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체
JP5985894B2 (ja) * 2012-06-06 2016-09-06 株式会社東海理化電機製作所 電子キー登録方法
JP5990406B2 (ja) * 2012-06-06 2016-09-14 株式会社東海理化電機製作所 電子キー登録方法
FR2992509B1 (fr) * 2012-06-21 2017-05-26 Commissariat Energie Atomique Dispositif et procede pour generer une cle de session
US10984415B2 (en) * 2012-06-25 2021-04-20 Li Tan System and methods for using limit-use encrypted code to transfer values securely among users
US10148285B1 (en) 2012-07-25 2018-12-04 Erich Schmitt Abstraction and de-abstraction of a digital data stream
JP6057150B2 (ja) * 2012-07-30 2017-01-11 雅浩 満保 公開鍵暗号システム、受信装置、公開鍵暗号方法、プログラム、及び記録媒体
CN103780385B (zh) * 2012-10-23 2017-02-15 航天信息股份有限公司 基于椭圆曲线的盲签名方法和装置
US10007803B2 (en) * 2012-10-26 2018-06-26 Infosys Limited Searching over encrypted keywords in a database
KR101493212B1 (ko) * 2012-10-31 2015-02-23 삼성에스디에스 주식회사 아이디 기반 암호화, 복호화 방법 및 이를 수행하기 위한 장치
US9230072B1 (en) * 2012-12-17 2016-01-05 Creative Information Technology, Inc. Dynamic identity program templates
US8763085B1 (en) 2012-12-19 2014-06-24 Trend Micro Incorporated Protection of remotely managed virtual machines
US9197422B2 (en) * 2013-01-24 2015-11-24 Raytheon Company System and method for differential encryption
US9020151B1 (en) 2013-03-04 2015-04-28 Trend Micro Incorporated Secure real-time data replication with disk encryption and key management system
US9106644B2 (en) 2013-05-30 2015-08-11 CertiVox Ltd. Authentication
US8971540B2 (en) 2013-05-30 2015-03-03 CertiVox Ltd. Authentication
GB201309702D0 (en) 2013-05-30 2013-07-17 Certivox Ltd Security
CN104219047B (zh) * 2013-05-31 2017-12-15 华为技术有限公司 一种签名验证的方法及设备
KR101460541B1 (ko) * 2013-07-15 2014-11-11 고려대학교 산학협력단 사용자 아이디 기반 공개키 암호화 방법
US9197419B1 (en) 2013-10-14 2015-11-24 Trend Micro Incorporated Security system for data stored in the cloud
US9275242B1 (en) 2013-10-14 2016-03-01 Trend Micro Incorporated Security system for cloud-based emails
US10019519B2 (en) * 2013-10-30 2018-07-10 Gordon E. Seay Methods and systems for utilizing global entities in software applications
JP5915629B2 (ja) * 2013-11-28 2016-05-11 トヨタ自動車株式会社 データ共有システムにおける通信方法、データ共有システム、および通信ノード
US9219722B2 (en) 2013-12-11 2015-12-22 Globalfoundries Inc. Unclonable ID based chip-to-chip communication
US9628516B2 (en) 2013-12-12 2017-04-18 Hewlett Packard Enterprise Development Lp Policy-based data management
IN2014CH00681A (ja) 2014-02-13 2015-08-14 Infosys Ltd
US10795858B1 (en) 2014-02-18 2020-10-06 Erich Schmitt Universal abstraction and de-abstraction of a digital data stream
US9672342B2 (en) 2014-05-05 2017-06-06 Analog Devices, Inc. System and device binding metadata with hardware intrinsic properties
US10432409B2 (en) 2014-05-05 2019-10-01 Analog Devices, Inc. Authentication system and device including physical unclonable function and threshold cryptography
US9946858B2 (en) * 2014-05-05 2018-04-17 Analog Devices, Inc. Authentication system and device including physical unclonable function and threshold cryptography
CN105099897B (zh) * 2014-05-13 2020-01-21 中兴通讯股份有限公司 一种在浏览器和电信网络之间进行通信的方法和网关
US9703979B1 (en) * 2014-06-13 2017-07-11 BicDroid Inc. Methods and computer program products for encryption key generation and management
EP3155754B1 (en) 2014-06-13 2018-10-24 Bicdroid Inc. Methods, systems and computer program product for providing encryption on a plurality of devices
CN104506483A (zh) * 2014-10-21 2015-04-08 中兴通讯股份有限公司 一种信息加密解密、管理密钥的方法、终端及网络服务器
US10333696B2 (en) 2015-01-12 2019-06-25 X-Prime, Inc. Systems and methods for implementing an efficient, scalable homomorphic transformation of encrypted data with minimal data expansion and improved processing efficiency
US10020940B2 (en) * 2015-02-23 2018-07-10 Oracle International Corporation Identity-based encryption for securing access to stored messages
US10015017B2 (en) * 2015-04-09 2018-07-03 Qualcomm Incorporated Proof of work based user identification system
SG10201504240VA (en) * 2015-05-29 2016-12-29 Huawei Internat Pte Ltd A method and system for secure sms communications
GB201509499D0 (en) * 2015-06-02 2015-07-15 Certivox Ltd Zkd
US9590956B1 (en) 2015-12-18 2017-03-07 Wickr Inc. Decentralized authoritative messaging
CN105530087B (zh) * 2015-12-28 2019-05-10 北京航空航天大学 适应性选择密文安全的属性基加密方法
SG10202007904SA (en) 2016-02-23 2020-10-29 Nchain Holdings Ltd A method and system for securing computer software using a distributed hash table and a blockchain
EP3257006B1 (en) * 2016-02-23 2018-10-03 Nchain Holdings Limited Personal device security using elliptic curve cryptography for secret sharing
SG10202109555WA (en) 2016-02-23 2021-09-29 Nchain Holdings Ltd Agent-based turing complete transactions integrating feedback within a blockchain system
GB2562621A (en) 2016-02-23 2018-11-21 Nchain Holdings Ltd System and method for controlling asset-related actions via a blockchain
WO2017145003A1 (en) 2016-02-23 2017-08-31 nChain Holdings Limited Blockchain-based exchange with tokenisation
HUE040631T2 (hu) 2016-02-23 2019-03-28 Nchain Holdings Ltd Közös titok meghatározása biztonsági információcseréhez, és hierarchikus, determinisztikus rejtjel kulcsok
EP3420669B1 (en) 2016-02-23 2021-03-24 Nchain Holdings Limited Cryptographic method and system for secure extraction of data from a blockchain
EP3420674B1 (en) 2016-02-23 2021-03-24 Nchain Holdings Limited Blockchain-implemented method for control and distribution of digital content
GB2561729A (en) 2016-02-23 2018-10-24 Nchain Holdings Ltd Secure multiparty loss resistant storage and transfer of cryptographic keys for blockchain based systems in conjunction with a wallet management system
PL3443451T3 (pl) * 2016-04-14 2024-03-04 Rhombus Systems Group, Inc. System weryfikacji integralności bezzałogowych statków powietrznych
JP6844411B2 (ja) * 2016-05-17 2021-03-17 富士通株式会社 関係暗号化
US10116440B1 (en) 2016-08-09 2018-10-30 Amazon Technologies, Inc. Cryptographic key management for imported cryptographic keys
JP6719339B2 (ja) * 2016-08-30 2020-07-08 三菱電機株式会社 暗号システム、暗号方法及び暗号プログラム
EP3497878B1 (en) * 2016-09-06 2020-05-20 Huawei Technologies Co., Ltd. Apparatus and methods for distributed certificate enrollment
US10389719B2 (en) 2016-10-28 2019-08-20 Entit Software Llc Parameter based data access on a security information sharing platform
CN106570405B (zh) * 2016-11-04 2020-10-27 北京百度网讯科技有限公司 一种在输入法中对文字进行加密/解密的方法和装置
US10452877B2 (en) 2016-12-16 2019-10-22 Assa Abloy Ab Methods to combine and auto-configure wiegand and RS485
US10341098B2 (en) * 2017-01-24 2019-07-02 Nxp B.V. Method of generating cryptographic key pairs
US11356427B1 (en) 2017-02-15 2022-06-07 Wells Fargo Bank, N.A. Signcrypted envelope message
US10484379B2 (en) * 2017-03-16 2019-11-19 Motorola Solutions, Inc. System and method for providing least privilege access in a microservices architecture
EP3379766B1 (en) * 2017-03-20 2019-06-26 Huawei Technologies Co., Ltd. A wireless communication device for communication in a wireless communication network
US11354660B1 (en) 2017-04-27 2022-06-07 Wells Fargo Bank, N.A. Encapsulation of payment information
US10425235B2 (en) 2017-06-02 2019-09-24 Analog Devices, Inc. Device and system with global tamper resistance
US10958452B2 (en) 2017-06-06 2021-03-23 Analog Devices, Inc. System and device including reconfigurable physical unclonable functions and threshold cryptography
CN110709874A (zh) 2017-06-07 2020-01-17 区块链控股有限公司 用于区块链网络的凭证生成与分发方法和系统
CN107257279B (zh) * 2017-06-29 2020-02-11 广东浩云长盛网络股份有限公司 一种明文数据加密方法及设备
JP7043203B2 (ja) * 2017-08-29 2022-03-29 Kddi株式会社 暗号化装置、復号装置、暗号化システム、暗号化方法及び暗号化プログラム
US20200234267A1 (en) * 2017-10-09 2020-07-23 Hewlett-Packard Development Company, L.P. Encrypted Transaction Receipts
US11146397B2 (en) * 2017-10-31 2021-10-12 Micro Focus Llc Encoding abelian variety-based ciphertext with metadata
US10846412B2 (en) * 2017-11-14 2020-11-24 Blackberry Limited Electronic device including display and method of encrypting and decrypting information
US10594666B2 (en) 2017-12-19 2020-03-17 Micron Technology, Inc. Secure message including a vehicle private key
WO2019124953A1 (en) * 2017-12-20 2019-06-27 Lg Electronics Inc. Cryptographic methods and systems for authentication in connected vehicle systems and for other uses
SG10201801094VA (en) 2018-02-08 2019-09-27 Huawei Int Pte Ltd System and method for computing an escrow session key and a private session key for encoding digital communications between two devices
US10911227B2 (en) * 2018-04-12 2021-02-02 Mastercard International Incorporated Method and system for managing centralized encryption and data format validation for secure real time multi-party data distribution
US20190378121A1 (en) * 2018-05-25 2019-12-12 Finco Services, Inc. Cryptographic technology platform and methods for providers to enable users to monetize their data
CN113330712A (zh) * 2018-11-13 2021-08-31 蓝捕快股份公司 采用基于排列群的加密技术的加密系统及方法
EP3664361A1 (en) * 2018-12-06 2020-06-10 Secure-IC SAS Methods and devices for secured identity-based encryption systems with two trusted centers
FR3091107A1 (fr) * 2018-12-24 2020-06-26 Orange Procédé et système de génération de clés pour un schéma de signatures anonymes
CN109687959B (zh) * 2018-12-29 2021-11-12 上海唯链信息科技有限公司 密钥安全管理系统和方法、介质和计算机程序
US11764940B2 (en) 2019-01-10 2023-09-19 Duality Technologies, Inc. Secure search of secret data in a semi-trusted environment using homomorphic encryption
US11139982B2 (en) * 2019-01-30 2021-10-05 Rsa Security Llc Communication-efficient device delegation
CN110166254B (zh) * 2019-05-27 2020-09-29 国家电网有限公司 利用智能合约实现基于身份的密钥管理方法及装置
JP2020195100A (ja) * 2019-05-29 2020-12-03 株式会社bitFlyer Blockchain 公開鍵の信頼性を証明するための装置、方法及びそのためのプログラム
WO2020242614A1 (en) 2019-05-30 2020-12-03 Kim Bong Mann Quantum safe cryptography and advanced encryption and key exchange (aeke) method for symmetric key encryption/exchange
JP7338405B2 (ja) 2019-10-31 2023-09-05 凸版印刷株式会社 決済認証システム及び決済認証方法
KR20220106740A (ko) 2019-11-28 2022-07-29 바이브 사이버시큐어리티 아이앤씨. 무인증서 인증 암호화(clae)를 사용한 검증 가능한 id 기반 암호화(vibe) 방법 및 시스템
JP7254296B2 (ja) * 2019-12-12 2023-04-10 日本電信電話株式会社 鍵交換システム、情報処理装置、鍵交換方法及びプログラム
EP4150289A2 (en) * 2020-05-12 2023-03-22 BAE SYSTEMS Information and Electronic Systems Integration, Inc. Wireless multi-fuze setter interface
US11870898B2 (en) * 2020-05-21 2024-01-09 Workday, Inc. Split keys for wallet recovery
US11405200B1 (en) 2020-05-21 2022-08-02 Workday, Inc. Multilevel split keys for wallet recovery
CN111740958A (zh) * 2020-05-22 2020-10-02 卓望数码技术(深圳)有限公司 数据加密方法、解密方法、加解密传输方法及系统
CN111698095B (zh) * 2020-06-17 2023-07-11 南京如般量子科技有限公司 基于id密码学和对称密钥池的数据链抗量子计算通信方法及系统
US11451389B2 (en) 2020-06-25 2022-09-20 Bank Of America Corporation Multi-encrypted message response manager
US11122021B1 (en) 2020-06-25 2021-09-14 Bank Of America Corporation Server for handling multi-encrypted messages
US11757846B2 (en) 2020-06-25 2023-09-12 Bank Of America Corporation Cognitive multi-encrypted mail platform
WO2022008940A1 (en) 2020-07-07 2022-01-13 Vibe Cybersecurity Inc. Method and system for a verifiable identity based encryption (vibe) using certificate-less authentication encryption (clae)
US11621837B2 (en) * 2020-09-03 2023-04-04 Theon Technology Llc Secure encryption of data using partial-key cryptography
US11310042B2 (en) 2020-09-11 2022-04-19 Crown Sterling Limited, LLC Methods of storing and distributing large keys
CN112019335B (zh) * 2020-09-18 2023-12-29 上海市数字证书认证中心有限公司 一种基于sm2算法的多方协同加解密方法及装置、系统、介质
CN112583590B (zh) * 2020-12-14 2022-06-17 联芸科技(杭州)有限公司 基于群组共享密钥的信息发布方法及系统
CN112528312B (zh) * 2020-12-24 2023-10-03 贵州大学 一种基于Cocks身份密码体制的签密方法及系统
CN113312608B (zh) * 2021-04-23 2024-03-08 中国电力科学研究院有限公司 一种基于时间戳的电力计量终端身份认证方法及系统
CN113094675B (zh) * 2021-04-29 2023-03-28 香港中文大学(深圳) 基于分布式模型训练的用户认证方法及装置
JPWO2022259494A1 (ja) * 2021-06-10 2022-12-15
WO2022259495A1 (ja) * 2021-06-10 2022-12-15 日本電信電話株式会社 通信システム、ユーザ端末、通信方法および通信プログラム
AU2022315209A1 (en) * 2021-07-22 2024-02-22 Howard University Hybrid public-key and private-key cryptographic systems based on iso-rsa encryption scheme
CN113794702A (zh) * 2021-08-31 2021-12-14 杭州控客信息技术有限公司 智能家居系统中通信高级别加密方法
US11755772B2 (en) 2021-09-20 2023-09-12 Crown Sterling Limited, LLC Securing data in a blockchain with a one-time pad
CN113890730A (zh) * 2021-09-23 2022-01-04 上海华兴数字科技有限公司 数据传输方法及系统
CN114065171B (zh) * 2021-11-11 2022-07-08 北京海泰方圆科技股份有限公司 一种身份认证方法、装置、系统、设备及介质
US11791988B2 (en) 2021-11-22 2023-10-17 Theon Technology Llc Use of random entropy in cryptography
US11943336B2 (en) 2021-11-22 2024-03-26 Theon Technology Llc Use of gradient decent function in cryptography
US11902420B2 (en) 2021-11-23 2024-02-13 Theon Technology Llc Partial cryptographic key transport using one-time pad encryption
EP4195581A1 (en) * 2021-12-08 2023-06-14 Nagravision Sàrl Improvements in and relating to cryptography
CN114679262A (zh) * 2021-12-31 2022-06-28 广东国腾量子科技有限公司 一种融合非对称体制的量子密钥分发系统及方法
CN114422220B (zh) * 2022-01-06 2024-02-27 浙江数秦科技有限公司 一种密文不唯一的数据加密传输方法

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4405829A (en) 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
US4748668A (en) 1986-07-09 1988-05-31 Yeda Research And Development Company Limited Method, apparatus and article for identification and signature
EP0277247B1 (en) * 1986-07-31 1994-05-04 Kabushiki Kaisya Advance System for generating a shared cryptographic key and a communication system using the shared cryptographic key
GB2235799A (en) * 1989-09-06 1991-03-13 Philips Electronic Associated Differentiator circuit
ATE119726T1 (de) * 1990-10-24 1995-03-15 Omnisec Ag Geheimübertragungssystem mit möglichkeit zur verschlüsselten kommunikation zwischen benutzern mit gesichertem schlüssel, welcher ohne benutzereinwirkung bestimmt wird.
EP0503119B1 (en) * 1991-03-14 1995-09-20 Omnisec Ag Public key cryptographic system using elliptic curves over rings
US5202921A (en) 1991-04-01 1993-04-13 International Business Machines Corporation Method and apparatus for authenticating users of a communication system to each other
US5272755A (en) * 1991-06-28 1993-12-21 Matsushita Electric Industrial Co., Ltd. Public key cryptosystem with an elliptic curve
US6307935B1 (en) * 1991-09-17 2001-10-23 Apple Computer, Inc. Method and apparatus for fast elliptic encryption with direct embedding
US5159632A (en) * 1991-09-17 1992-10-27 Next Computer, Inc. Method and apparatus for public key exchange in a cryptographic system
US5271061A (en) * 1991-09-17 1993-12-14 Next Computer, Inc. Method and apparatus for public key exchange in a cryptographic system
EP0917781A4 (en) * 1996-08-07 2003-08-13 Silvio Micali SIMULTANEOUS ELECTRONIC TRANSACTIONS WITH VISIBLE TRUTH AGENTS
US5982898A (en) * 1997-03-07 1999-11-09 At&T Corp. Certification process
US6061448A (en) * 1997-04-01 2000-05-09 Tumbleweed Communications Corp. Method and system for dynamic server document encryption
JP3542895B2 (ja) * 1997-08-22 2004-07-14 インターナショナル・ビジネス・マシーンズ・コーポレーション 時間制約暗号システム
JP3275812B2 (ja) * 1997-12-12 2002-04-22 日本電気株式会社 Id認証付鍵配送方法及びその装置並びにプログラムを記録した機械読み取り可能な記録媒体
CA2313328A1 (en) * 1998-01-09 1999-07-15 Matthew Hur Client side public key authentication method and apparatus with short-lived certificates
US6446205B1 (en) * 1998-12-10 2002-09-03 Citibank, N.A. Cryptosystems with elliptic curves chosen by users
JP2001209313A (ja) * 2000-01-25 2001-08-03 Canon Inc 証明書発行装置、情報処理装置、情報通信システム、属性証明方法、及び記憶媒体
US7239701B1 (en) * 2000-05-02 2007-07-03 Murata Machinery Ltd. Key sharing method, secret key generating method, common key generating method and cryptographic communication method in ID-NIKS cryptosystem
JP4450969B2 (ja) * 2000-05-02 2010-04-14 村田機械株式会社 鍵共有システム,秘密鍵生成装置,共通鍵生成システム,暗号通信方法,暗号通信システム及び記録媒体
JP2002164877A (ja) * 2000-09-14 2002-06-07 Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd キーエスクローおよびグループ通信方法
US6970562B2 (en) * 2000-12-19 2005-11-29 Tricipher, Inc. System and method for crypto-key generation and use in cryptosystem
GB2370471B (en) 2000-12-20 2004-06-23 Director Government Comm Headq Directoryless Public Key Cryptographic System and Method
JP2005500740A (ja) * 2001-08-13 2005-01-06 ザ ボード オブ トラスティーズ オブ ザ リーランド スタンフォード ジュニア ユニバーシティ Idベース暗号化および関連する暗号手法のシステムおよび方法
US6886096B2 (en) * 2002-11-14 2005-04-26 Voltage Security, Inc. Identity-based encryption system
FR2892251A1 (fr) * 2005-10-14 2007-04-20 Gemplus Sa Procede cryptographique mettant en oeuvre un systeme de chiffrement base sur l'identite
US8694771B2 (en) * 2012-02-10 2014-04-08 Connect In Private Panama Corp. Method and system for a certificate-less authenticated encryption scheme using identity-based encryption

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11588646B2 (en) 2019-09-05 2023-02-21 Cisco Technology, Inc. Identity-based application and file verification

Also Published As

Publication number Publication date
JP2011151866A (ja) 2011-08-04
US20070041583A1 (en) 2007-02-22
US7634087B2 (en) 2009-12-15
EP1425874A4 (en) 2009-04-15
JP2005500740A (ja) 2005-01-06
EP2429116B1 (en) 2013-07-10
US8130964B2 (en) 2012-03-06
AU2002332671A1 (en) 2003-03-03
WO2003017559A3 (en) 2003-07-10
JP2015144495A (ja) 2015-08-06
ATE465571T1 (de) 2010-05-15
EP2429116A3 (en) 2012-05-30
US20120159188A1 (en) 2012-06-21
EP2429116A2 (en) 2012-03-14
US7113594B2 (en) 2006-09-26
EP2224637B1 (en) 2014-10-08
WO2003017559A2 (en) 2003-02-27
EP1425874B1 (en) 2010-04-21
DE60236094D1 (de) 2010-06-02
EP2224637A3 (en) 2012-05-23
US20100208895A1 (en) 2010-08-19
US9356779B2 (en) 2016-05-31
EP2224637A2 (en) 2010-09-01
US20030081785A1 (en) 2003-05-01
US20090034714A9 (en) 2009-02-05
JP2012032843A (ja) 2012-02-16
EP1425874A2 (en) 2004-06-09

Similar Documents

Publication Publication Date Title
JP5933786B2 (ja) Idベース暗号化および関連する暗号手法のシステムおよび方法
Odelu et al. Provably secure authenticated key agreement scheme for smart grid
US8320559B1 (en) Identity-based-encryption system
Chow et al. Efficient unidirectional proxy re-encryption
Baek et al. Identity-based threshold decryption
US8108678B1 (en) Identity-based signcryption system
Al-Riyami Cryptographic schemes based on elliptic curve pairings
Tseng et al. Privacy‐preserving multireceiver ID‐based encryption with provable security
Lai et al. Self-generated-certificate public key encryption without pairing and its application
Tang et al. Inter-domain identity-based proxy re-encryption
Ibrahim et al. Attribute-based authentication on the cloud for thin clients
Qin et al. Strongly secure and cost-effective certificateless proxy re-encryption scheme for data sharing in cloud computing
Hyla et al. A practical certificate and identity based encryption scheme and related security architecture
Callas Identity-based encryption with conventional public-key infrastructure
Yu et al. Achieving flexibility for ABE with outsourcing via proxy re-encryption
Tu et al. An efficient access control scheme for cloud environment
an Wang et al. On the role of pkg for proxy re-encryption in identity based setting
Ahmad et al. TIBC: Trade-off between Identity-Based and Certificateless Cryptography for future internet
Krishna A randomized cloud library security environment
Venema et al. Decentralized Attribute-Based Encryption for DECODE
Yang A new efficient signcryption scheme in the standard model
Rasal et al. Amelioration of Decentralized Cipher Text Policy Attribute Based Encryption with Mediator technique by adding Salt.
Maftei et al. A Note on IBE Performance of a Practical Application
Elashry et al. Generic mediated encryption
Zhou et al. A generic construction of accountable decryption and its applications

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150612

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150810

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160426

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160502

R150 Certificate of patent or registration of utility model

Ref document number: 5933786

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term