JP6042663B2 - signcryption方法と装置及び対応するsigncryption検証方法と装置 - Google Patents
signcryption方法と装置及び対応するsigncryption検証方法と装置 Download PDFInfo
- Publication number
- JP6042663B2 JP6042663B2 JP2012187432A JP2012187432A JP6042663B2 JP 6042663 B2 JP6042663 B2 JP 6042663B2 JP 2012187432 A JP2012187432 A JP 2012187432A JP 2012187432 A JP2012187432 A JP 2012187432A JP 6042663 B2 JP6042663 B2 JP 6042663B2
- Authority
- JP
- Japan
- Prior art keywords
- ciphertext
- signature
- signcryption
- key
- encapsulation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/008—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/72—Signcrypting, i.e. digital signing and encrypting simultaneously
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Description
本発明は概して暗号に関し、特にsigncryptionに関する。
このセクションは、以下に説明して特許請求する本発明の様々な態様に関連する様々な態様の技術を読者に紹介することを意図するものである。この説明は、本発明の様々な態様の理解を容易にする背景情報を読者に提供する役に立つはずである。従って、言うまでもなく、これらの記載は上記を考慮して読むべきであり、先行技術として認める(admissions of prior art)ものではない。
多くの異なる暗号方式がある。Laila El Aimaniは、非特許文献1において、いくつかの暗号方式を説明しており、特に強固で否定できない署名、すなわちエンティティとの協力なくしては検証をできない署名を説明している。この論文では、筆者は基本的に基本的暗号からかかる署名をどう構成するか研究している。彼女は、従来のパラダイム(例えば、Encrypt_then_SignやCommit_then_Encrypt_and_Sign)では、リーズナブルなセキュリティレベルを満たすために、高価な暗号が必要であることを示している。次に、彼女は、少し調整するだけで、安価な暗号で構成できるようになり、得られる署名の効率(例えば、コスト、帯域幅、検証可能性)にもよいインパクトを与えることを示している。しかし、署名は、署名されるメッセージを暗号化するものではない。
多くの実生活のアプリケーションには伝送データの秘密性と信ぴょう性/インテグリティの両方が必要なので、署名と暗号の機能を両方とも提供する暗号メカニズムであるいわゆるsigncryptionは、ますます広がりを見せている。一例として、投票者のプライバシーを保証するため暗号化が必要であり、同時に投票センターが暗号化された投票が投票者のものであることを確認する必要がある電子選挙がある。
かかるメカニズムを基本的暗号プリミティブから構成するのは、専用の一体的構成と比較して、分析しやすい方式を実現できるので、暗号技術の分野では慣用されている。基本的暗号プリミティブからこれらのメカニズムを実現するのに用いられる、最も良く使われる先行技術のパラダイムは、「encrypt_then_sign」(EtS)パラダイムと「sign_then_encrypt」(StE)パラダイムである。
Encrypt_then_sign(EtS)
送信者は、公開鍵と秘密鍵のペア(Spk, Ssk)を有し、受信者は異なる公開鍵と秘密鍵のペア(Epk, Esk)を有する。
送信者は、公開鍵と秘密鍵のペア(Spk, Ssk)を有し、受信者は異なる公開鍵と秘密鍵のペア(Epk, Esk)を有する。
送信者は、受信者の公開鍵Epkを用いて平文mを暗号化して、暗号文eを得る。次に、送信者の秘密鍵Sskを用いて暗号文eに署名し、署名sを得る。ペア(e, s)が平文mのsigncryptionを構成する。
その時送信者は、暗号文eの基礎となるメッセージに関する知識を提供することもできる。当業者には言うまでもなく、これは、用いる暗号方式が「クラスE」であれば、効率的に行える(非特許文献2参照。)この論文は、必要なプロトコルも、Commit_then_Encrypt_and_Signパラダイムによる確認者署名のセキュリティプルーフとともに説明している。確認者署名をセキュアにするため、このパラダイムは高価な暗号を使わなければならないことが示されている。しかし、このパラダイムは微調整により非常に安価な暗号でも使えるようになり、多くの実際的な構成が得られる。この論文は、さらに、この手法の具体的な場合、すなわちEncrypt_then_Signを検討しており、このソリューションを用いた確認者署名の実際的な実現方法を提示している。しかし、この研究のプリミティブでは、署名されるメッセージを暗号化できない。)クラスEは、準同形暗号方式により構成され、暗号文がメッセージを暗号化することを証明する効率的プロトコルを受け入れる。かかる暗号方式の例としては、ElGamal暗号(非特許文献3参照)、Paillier暗号(非特許文献4参照)、Linear Diffie-Hellman KEM/DEM(非特許文献5参照)がある。
受信者は送信者の公開鍵Spkを用いて、暗号文eの署名sが正しいかチェックする。そして、署名が正しければ、受信者は、受信者の秘密鍵Eskを用いて暗号文eを復号して、平文mを得る。
受信者は、いつでも誰にでも、平文mが暗号文eを復号したものである(または復号したものではない)ことを証明できる。これは、秘密鍵を開示せずに行えることが好ましい。EtSでは、かかる証明は、「confirm/deny protocols」と呼ばれるが、暗号文があるメッセージを暗号化したものであることを証明することとなる。これらの証明は、ある暗号文があるメッセージを暗号化したものであるかチェックすることが困難な場合に、すなわち使われる暗号化方式が基礎となるメッセージに基づき暗号文を区別することを困難にする識別不能性(indistinguishability)特性を満たす場合に、意味がある。一般的に、2つのメッセージとそのうち一方の暗号文とがあるとき、どちらのメッセージがその暗号文に対応するか、分からない。signcryption構成のセキュリティでは、基礎となる暗号の識別不能性が必要なので、上記のプルーフを効率的に実行させる暗号方式を検討しなければならない。ここで再び、クラスEの暗号方式は、非特許文献2に記載されているように、この目標を達成している。
Sign_then_encrypt(StE)
EtSのように、送信者は公開鍵と秘密鍵のペア(Spk, Ssk)を有し、受信者は異なる公開鍵と秘密鍵のペア(Epk, Esk)を有する。
EtSのように、送信者は公開鍵と秘密鍵のペア(Spk, Ssk)を有し、受信者は異なる公開鍵と秘密鍵のペア(Epk, Esk)を有する。
StEは、従来技術の署名方法と、従来技術の署名暗号化方法とを用いて、簡単に実現できる。
特許文献1はSign_then_Encryptパラダイムを用いてメッセージをsigncryptする他の一ソリューションを説明している。このアイデアは、まず、署名するメッセージの署名をRSAを用いて作成し、次に、再びRSAを用いて、異なる鍵ペアで、作成した署名を暗号化する。その結果が問題のメッセージのsigncryptionとなる。このsigncryptionのde-signcrypt(すなわち復号と検証)は、まずsigncryptionを復号し、出力される署名を符号で検証し、最後にその符号の基礎であるメッセージを回復することにより行う。このソリューションは、検証機能を提供しないように見える。すなわちメッセージが無ければ、作成されたsigncryptionの適格性を効率的に証明できないように見える。確かに、このソリューションの効率的な検証は、検証を容易にする代数的性質を破壊するハッシュ関数とXOR演算とがあるため、妥当とは思えなさそうである。
StEを実施する他の一方法は、デジタル署名方式と暗号方式とからsigncryption方式を構成することである。これは2つのメカニズム、すなわちセッション鍵を生成するメカニズムである鍵カプセル化メカニズム(KEM)と、対称鍵暗号化方式であるデータカプセル化メカニズム(DEM)との組み合わせである。
KEMは3つのアルゴリズム(鍵生成、カプセル化、逆カプセル化(decapsulation))により構成される。鍵生成は鍵ペア(pk,sk)を生成する。カプセル化は、pkを用いて、鍵kとそのカプセル化cを生成する。逆カプセル化(decapsulation)は、秘密鍵skを用いて、鍵のカプセル化から鍵を読み出す。一例は、ElGamal暗号方式を基礎としたKEMである。
DEMーデータカプセル化メカニズム−は、データを暗号化するが、通常は対称鍵暗号アルゴリズムを用いる。
StEは図1に示されている。乱数r、KEMのカプセル化アルゴリズム、及び公開鍵pkを用いて、セッション鍵kとそのカプセル化cとを求める。送信者は、その秘密鍵Sskを用いて、平文mとカプセル化cとを連結したものに署名して、署名s(図示せず)を得る。DEM暗号化アルゴリズムとセッション鍵kとを用いて、(m,s)を暗号化し、eを求める。ペア(c,
e)は平文mのsigncryptionを構成する。(c, e)を「unsigncrypt」するには、KEMの逆カプセル化アルゴリズムと秘密鍵とを用いて、セッション鍵kのカプセル化cからセッション鍵kを回復する。次に、DEMの復号アルゴリズムとセッション鍵kとを用いて、eを復号して(m,s)を求める。最後に、送信者の公開鍵を用いて、署名sの正しさを検証する。
e)は平文mのsigncryptionを構成する。(c, e)を「unsigncrypt」するには、KEMの逆カプセル化アルゴリズムと秘密鍵とを用いて、セッション鍵kのカプセル化cからセッション鍵kを回復する。次に、DEMの復号アルゴリズムとセッション鍵kとを用いて、eを復号して(m,s)を求める。最後に、送信者の公開鍵を用いて、署名sの正しさを検証する。
送信者は、さらに、求めたsigncryptionの正しさを証明する必要がある。StEでは、この証明により、eの復号文が分かり、この復号文はsigncryptされたメッセージと、cと連結されたこのメッセージの署名と連結である。
この証明は、理論的観点から妥当である(非特許文献6参照)。しかし、証明すべきデータはビット列であり代数的要素ではないので、効率的にどう証明するかは分からない。
KEM/DEM暗号化方式の一例はElGamal暗号である:
1.ElGamal.Setup。元gから生成された、情報的に書かれた群Gを考える。群Gは有限群であり、位数はdであるとする。
1.ElGamal.Setup。元gから生成された、情報的に書かれた群Gを考える。群Gは有限群であり、位数はdであるとする。
2.ElGamal.Keygen。鍵生成アルゴリズムは、入力がセキュリティパラメータであり、出力がZdの整数xである。群の元はy=gxである。鍵のペアは(sk=x, pk=y)である。
3.ElGamal.Encrypt(m)。[第1ステップ:KEMカプセル化アルゴリズム]:Zdのランダムなrを用いて、鍵k=yrとそのカプセル化c=grとを生成する。[第2ステップ:DEM暗号化アルゴリズム]:mを暗号化しe=m・k。[最終的出力]:(c, e)がmの暗号を構成する。
4.ElGamal.Decrypt(c, e)。[第1ステップ:KEM逆カプセル化アルゴリズム]:xを用いて、k=cx=(gr)x=(gx)r=yrとして、cから鍵kを回復する。[第2ステップ:DEM復号アルゴリズム]:m=c・k-1としてmを回復する。
最後に、構成の正しさを効率的に証明するため、(KEM/DEMパラダイムから得られる)用いる暗号化方式が前述の「クラスE」になることが必要である。すなわち、暗号化が同形であり、ある暗号文があるメッセージの暗号文であることを証明する効率的な証明ができることが必要である。ElGamal暗号はこれを満たす。
一般的に、signcryptionが検証可能であるためには次の特性が必要である。
1.不可鍛性(unforgeability):(必ずしも敵対者によりコントロールされていなくても)メッセージの送信者のふりをすることが計算的に実現不可能である。
2.区別性(indistinguishability):メッセージに関してそのsigncryptionから何らかの情報を推測することが計算的に実現不可能である。
3.検証可能性(verifiability):signcryptionの正しさを効率的に証明できる可能性。
電子選挙の例をもう一度考えるが、投票センターは投票者から「signcrypt」された投票の正しさの証明を必要とする。また、投票を復号するtrustされたパーティ(受信者)は、例えば、後で問題にならないように、送信者が問題の投票をしたのだということを証明しなければならないだろう。そのため、受信者の秘密鍵を開示せずにかかる証明を提供する効率的な手段により、受信者を支援することが望ましい。
これらの特性を考慮して、EtSとStEは次を実行する:
EtSはverifiabilityに関してよい比較ができるが、それは単に送信者が暗号文の復号に関する知識を証明する必要があるからである。また、受信者はメッセージが暗号文の復号である、または復号でないことを証明しなければならない。かかる証明は、同形暗号と呼ばれる特殊な暗号クラスを考えた場合、容易に実行できる。しかし、indistinguishabilityを実現するためには、EtSは基礎となる署名方式が最高のセキュリティnotionを満たすことを、すなわち、敵対者が署名を取得したかも知れないメッセージに対し、新しい署名を取得するのが困難であることを非公式的に示す、選択されたメッセージ攻撃の下での強いunforgeabilityを要求する。かかる必要性は、署名方式が上記の要件を満たさない場合、署名されたメッセージに新しいsigncryptionを生成する可能性により正当化される。かかる可能性は、よく使われるほとんどの攻撃モデルにおいて、indistinguishability adversaryにメッセージを読み出すスキを与える。
EtSはverifiabilityに関してよい比較ができるが、それは単に送信者が暗号文の復号に関する知識を証明する必要があるからである。また、受信者はメッセージが暗号文の復号である、または復号でないことを証明しなければならない。かかる証明は、同形暗号と呼ばれる特殊な暗号クラスを考えた場合、容易に実行できる。しかし、indistinguishabilityを実現するためには、EtSは基礎となる署名方式が最高のセキュリティnotionを満たすことを、すなわち、敵対者が署名を取得したかも知れないメッセージに対し、新しい署名を取得するのが困難であることを非公式的に示す、選択されたメッセージ攻撃の下での強いunforgeabilityを要求する。かかる必要性は、署名方式が上記の要件を満たさない場合、署名されたメッセージに新しいsigncryptionを生成する可能性により正当化される。かかる可能性は、よく使われるほとんどの攻撃モデルにおいて、indistinguishability adversaryにメッセージを読み出すスキを与える。
StEは、基礎となる署名方式に高いsecurity notionsは必要としない。この場合、敵対者はデジタル署名を有していないことが明確だからである。StEに好意的な他の議論は、StEが送信者に完全な匿名性を提供することである。メッセージmのsigncryptionは暗号文である。一方、EtSでは、送信者がsigncryption(e,s)に係わったか、単に(送信者の公開鍵を用いて)暗号文eのデジタル署名の正しさをチェックすることにより、誰でもチェックできる。しかし、verifiabilityはハードルとなる。上記手法は(用いた署名方式の)署名アルゴリズムを、用いたカプセル化と連結してsigncryptするメッセージに適用する。さらに、得られる署名を問題のメッセージと連結したものの暗号化をする。暗号化された署名とメッセージに関する知識の証明をするため、できたsigncryptionの正しさを証明するには、署名の同形性と暗号方式の同形性とを利用する必要がある。結果として、用いる暗号化と署名の方式は、ビットストリングではなく、代数的構造が既知の集合の要素に作用する必要がある。
まとめると、EtSにより、送信者の匿名性と構成ブロックのセキュリティという代償によって、効率的なverifiabilityが得られる。StEは、verifiabilityという代償によって、安価な構成を用いて、よりよいプライバシーを実現できる。
まとめると、EtSにより、送信者の匿名性と構成ブロックのセキュリティという代償によって、効率的なverifiabilityが得られる。StEは、verifiabilityという代償によって、安価な構成を用いて、よりよいプライバシーを実現できる。
当業者には言うまでもなく、EtSとStEの欠点を回避しつつ長所を組み合わせるソリューションが必要である。本発明はかかるソリューションを提供するものである。
Laila El Aimani著「Design and Analysis ofOpaque Signatures」(Dissertation RheinischenFriedrich-Wilhelms-Universitat Bonn(http://hss.ulb.uni-bonn.de/2011/2541/2541.pdf))
Laila El Aimani著「Efficient ConfirmerSignatures from the "Signature of a Commitment" Paradigm」(ProvSec 2010: 87-101)
Taher El Gamal著「A Public Key Cryptosystemand a Signature Scheme Based on Discrete Logarithms」(CRYPTO1984:10-18)
Paillier著「Public-Key Cryptosystems Based onComposite Degree Residuosity Classes」(EUROCRYPT 1999:223-238)
Dan Boneh, Xavier Boyen, Hovav Shacham著「ShortGroup Signatures」(CRYPTO 2004: 41-55)
Oded Goldreich, Silvio Micali, Avi Wigderson著「How to Prove all NP-Statements in Zero-Knowledge, and a Methodologyof Cryptographic Protocol Design」(CRYPTO 1986: 171-185)
第1の態様では、本発明は平文mをsigncryptする方法に関する。装置は、第1の暗号化アルゴリズムと第1の公開鍵Epkを用いて、前記平文mを暗号化して、第1の暗号文eを取得し;乱数rと、カプセル化アルゴリズムと、第2の公開鍵Kpkとを用いて、セッション鍵kと、前記セッション鍵kのカプセル化cとを生成し、秘密署名鍵Sskを用いて、署名アルゴリズムで、前記第1の暗号文eと前記カプセル化cとの署名sを生成し、前記セッション鍵kを用いて、第2の暗号化アルゴリズムで、前記署名sを暗号化して、第2の暗号文e_dを取得し、前記第1の暗号文eと、前記カプセル化cと、前記第2の暗号文e_dから前記signcryptionを構成し、前記signcryptionを出力する。
第1の好ましい実施形態において、上記装置は、さらに、第1の暗号文eの復号の知識と、前記第2の暗号文e_dが前記カプセル化cの鍵を用いたカプセル化cの正しい署名と前記第1の暗号文eを暗号化していることを証明する。
第2の態様では、本発明は、受信した、平文mのsigncryptionを逆signcryptする方法に関する。signcryptionは第1の暗号文eとカプセル化cと、第2の暗号文e_dとを含む。装置は、第1の復号アルゴリズムと、前記第1の暗号文eの暗号化に使われた、第1の公開鍵に対応する第1の秘密鍵Eskとを用いて、前記第1の暗号文eを復号し、逆カプセル化アルゴリズムと、セッション鍵kのカプセル化に用いられた、第2の公開鍵Kpkに対応する第2の秘密鍵Kskとを用いて、前記カプセル化cを逆カプセル化することにより、セッション鍵kを読み出し、第2の復号アルゴリズムと前記セッション鍵kとを用いて前記第2の暗号文e_dを復号することにより署名sを回復し、検証アルゴリズムと、前記署名の生成に用いられた秘密署名鍵Sskに対応する公開署名鍵Spkとを用いて、前記署名sが正しいか検証する。
第1の好ましい実施形態では、前記装置は、さらに、前記平文mと前記暗号文eの復号と、前記第2の暗号文e_dの復号とが等しいまたは等しくないとの知識を、及び前記復号が前記第1の暗号文eと前記カプセル化cの正しいデジタル署名であることを証明する。
第3の態様では、本発明は平文mをsigncryptするsigncryption装置に関する。signcryption装置は、第1の暗号化アルゴリズムと第1の公開鍵Epkを用いて、前記平文mを暗号化して、第1の暗号文eを取得する手段と、乱数rと、カプセル化アルゴリズムと、第2の公開鍵Kpkとを用いて、セッション鍵kと、前記セッション鍵kのカプセル化cとを生成する手段と、秘密署名鍵Sskを用いて、署名アルゴリズムで、前記第1の暗号文eと前記カプセル化cとの署名sを生成する手段と、前記セッション鍵kを用いて、第2の暗号化アルゴリズムで、前記署名sを暗号化して、第2の暗号文e_dを取得する手段と、前記第1の暗号文eと、前記カプセル化cと、前記第2の暗号文e_dから前記signcryptionを構成する手段と、前記signcryptionを出力する手段と、を有する。
第1の好ましい実施形態では、第1の暗号文eの復号の知識と、前記第2の暗号文e_dが前記カプセル化cの鍵を用いたカプセル化cの正しい署名と前記第1の暗号文eを暗号化していることを証明する手段をさらに有する。
第4の態様では、本発明は、受信した、平文mのsigncryptionをunsigncryptするsigncryption検証装置装置に関する。前記signcryptionは第1の暗号文eと、カプセル化cと、第2の暗号文e_dとを含む。前記signcryption検証装置は、第1の復号アルゴリズムと、前記第1の暗号文eの暗号化に使われた、第1の公開鍵に対応する第1の秘密鍵Eskとを用いて、前記第1の暗号文eを復号する手段と、逆カプセル化アルゴリズムと、セッション鍵kのカプセル化に用いられた、第2の公開鍵Kpkに対応する第2の秘密鍵Kskとを用いて、前記カプセル化cを逆カプセル化することにより、セッション鍵kを読み出す手段と、第2の復号アルゴリズムと前記セッション鍵kとを用いて前記第2の暗号文e_dを復号することにより署名sを回復する手段と、検証アルゴリズムと、前記署名の生成に用いられた秘密署名鍵Sskに対応する公開署名鍵Spkとを用いて、前記署名sが正しいか検証する手段とを有する。
第1の好ましい実施形態では、前記平文mの復号と前記暗号文eとが等しいまたは等しくないとの知識と、署名sが前記第1の暗号文eと前記カプセル化cの正しいデジタル署名であるかどうかとを証明する手段をさらに有する。
第5の態様では、本発明は、プロセッサにより実行されると、第1の態様の方法の任意の実施形態の方法を実行する命令を記憶した記憶媒体に関する。
第6の態様では、本発明は、プロセッサにより実行されると、第2の態様の方法の任意の実施形態の方法を実行する命令を記憶した記憶媒体に関する。
添付した図面を参照して、限定的でない例示により、本発明の好ましい特徴をここに説明する。
すでに説明したように、従来技術のKEM/DEMパラダイム方式を示す図である。
本発明の好ましい実施形態によるsigncryption方法を示す。
本発明の好ましい実施形態によるsigncryptionシステムを示す。
本発明の主要な発明的アイデアは、まず、signcryptする平文を公開鍵暗号方式を用いて暗号化し、次に、生成された暗号文に変形StEを適用することよりなる。この変形StEと暗号文との結果が、その平文の新しいsigncryptionを構成する。
ある意味で、この手法はEtSとStEの組み合わせと見ることができる。そのため、「encrypt_then_sign_then_encrypt」(EtStE)と呼ぶことができる。
本発明の好ましい実施形態によるsigncryption(SC)方法を図2に示す。この方法は、第1の暗号化方式E=(E.Keygen,
E.Encrypt, E.Decrypt)と、署名方式S=(S.Keygen, S.Sign,
S.Verify)と、いわゆるKEM/DEMパラダイムの第2の暗号化方式とを用いる。この第2の暗号化方式は、実際には、鍵カプセル化及びセッション鍵生成方式K=(K.Keygen, K.Encapsulate, K.Decapsulate)と第2の暗号化方式D=(D.Encrypt, D.Decrypt)とを含む。第2の暗号化方式は対称である。
E.Encrypt, E.Decrypt)と、署名方式S=(S.Keygen, S.Sign,
S.Verify)と、いわゆるKEM/DEMパラダイムの第2の暗号化方式とを用いる。この第2の暗号化方式は、実際には、鍵カプセル化及びセッション鍵生成方式K=(K.Keygen, K.Encapsulate, K.Decapsulate)と第2の暗号化方式D=(D.Encrypt, D.Decrypt)とを含む。第2の暗号化方式は対称である。
signcryption方式SCは次の通りである。
まず、必要な鍵を生成する。E.Keygenを呼び(Epk,Esk)を求め、S.Keygenを呼び(Spk,Ssk)を求め、K.Keygenを呼び(Kpk,Ksk)を求める。送信者の鍵ペアを(Spk,Ssk)に設定し、受信者の鍵ペアを({Epk, Kpk},{Esk,Ksk})に設定する。言うまでもなく、このステップは、鍵の配布を含むが、本発明の範囲外であり、どんな好適な方法を用いても良い。送信者と受信者が自分たち独自の鍵ペアを生成することが好ましい。仮定として、送信者と受信者は方法ステップを実行するのに必要な鍵を有しているものとする。
送信者は第1の暗号化アルゴリズムを用いて、Epkで平文mを暗号化し、暗号文e、すなわちe=E.Encrypt(m)を得る(ステップS1)。送信者は、カプセル化アルゴリズムとKpkとを用いて、鍵kとそのカプセル化c、すなわち(c,k)=K.Encapsulate()とを生成する(ステップS2)。次に、送信者は、Sskを用いて(e, c)の署名s=S.sign(e,
c)を生成する(ステップS3)。最後に、送信者は、第2の暗号化方式を用いて、鍵kでsを暗号化する。すなわち、e_kd=D.Encrypt(s)(ステップS4)。mのsigncryptionは(e, c,
e_d)により構成される(ステップS5)。
c)を生成する(ステップS3)。最後に、送信者は、第2の暗号化方式を用いて、鍵kでsを暗号化する。すなわち、e_kd=D.Encrypt(s)(ステップS4)。mのsigncryptionは(e, c,
e_d)により構成される(ステップS5)。
次に、送信者は、signcryption(e,c,e_d)を受信者に送信する(ステップS6)。
受信者はEskを用いてeを復号し、mすなわちm=E.Decrypt(e)を求める(ステップS7)。次に、受信者はKskを用いてcからk、すなわちk=K.Decapsulate(c)を読み出し(ステップS8)、鍵kを用いてe_dを復号することによりs、すなわちs=D.Decrypt(e_d)を回復する(ステップS9)。最後に、受信者はSpkを用いて、S.Verify(s)を用いて(e,c)の署名が正しいかチェックする(ステップS10)。
送信者はeの復号に関する知識を証明でき、e_dが、カプセル化の鍵を用いたcとeの連結の正しい署名を暗号化してものであることを証明できる。受信者は、mがeの復号であること(または、復号でないこと)を証明できる。受信者は、さらに、(c,e_d)の復号の知識を証明し、この復号が(e,c)の正当なまたは正当でない署名よりなることを証明する。
上記の構成が効率的に実現できるのは、基礎となる暗号化方式が同形であり、用いられる署名方式が「クラスS」の署名クラスに、すなわちメッセージmと公開鍵pkがあるとき、pkとmに対する署名sとを有する者がこの署名sの知識を効率的に証明できるような、署名の知識の効率的な証明ができる署名クラスに属する場合である。「クラスS」は、Laila El Aimani著「On Generic Constructions of
Designated Confirmer Signatures」(INDOCRYPT 2009:
343-362)で定義されている。
Designated Confirmer Signatures」(INDOCRYPT 2009:
343-362)で定義されている。
かかるクラスは、今までに提案されよく使われているほとんどの署名を包含し、例えばRSA-FDH [Mihir Bellare, Phillip Rogaway: Random Oracles are
Practical: A Paradigm for Designing Efficient Protocols. ACM Conference on
Computer and Communications Security 1993: 62-73]:
1.RSA.Keygen:RSAモジュラスNとRSA鍵(pk=e,sk=d)を生成する。ビットストリングをZNの要素にマッピングする衝突耐性のあるハッシュ関数hを考えよ。
2.RSA.Sign(m):mの署名をs=h(m)d mod Nとして計算する。
3.RSA.verify(m,s):se=h(m) mod Nであるかチェックする。
Practical: A Paradigm for Designing Efficient Protocols. ACM Conference on
Computer and Communications Security 1993: 62-73]:
1.RSA.Keygen:RSAモジュラスNとRSA鍵(pk=e,sk=d)を生成する。ビットストリングをZNの要素にマッピングする衝突耐性のあるハッシュ関数hを考えよ。
2.RSA.Sign(m):mの署名をs=h(m)d mod Nとして計算する。
3.RSA.verify(m,s):se=h(m) mod Nであるかチェックする。
すぐに分かることは、sを有する者が、h(m)のe番目のルートの知識の証明をすることにより、sの知識を証明できることである。
図3は、本発明の好ましい実施形態によるsigncryptionシステム100を示す。システム100は、送信器110と受信器120とを有し、各々は、他の装置と通信するように構成された少なくとも1つのインタフェースユニット111、121と、少なくとも1つのプロセッサ(「プロセッサ」)112、122と、データを記憶するように構成された、アキュムレータや中間計算結果などの少なくとも1つのメモリ113、123とを有する。送信器110のプロセッサ112は、本発明の方法の実施形態により平文をsigncryptするように構成され、受信器120のプロセッサ122は、本発明の方法の実施形態によりsigncryptionを復号し検証するように構成されている。CD−ROMやDVDなどの第1のコンピュータプログラム製品114は、送信器110のプロセッサ112により実行されたとき、本発明のいずれかの実施形態による平文のsigncryptionを実行する命令を記憶している。CD−ROMやDVDなどの第2のコンピュータプログラム製品124は、送信器120のプロセッサ122により実行されたとき、本発明のいずれかの実施形態によりsigncryptionを復号し検証する命令を記憶している。
言うまでもなく、本signcryption方法は、従来のsigncryption方法と比較すると、性能がよく、特にverifiabilityに関する性能がよく、それと同時に高いセキュリティを提供する。
言うまでもなく、本signcryption方法は、従来のsigncryption方法と比較すると、性能がよく、特にverifiabilityに関する性能がよく、それと同時に高いセキュリティを提供する。
この改善は、この構成ではEtSとStEのメリットを組み合わせつつ、両者の欠点を回避していることによる。
Verifiability
本発明の方法を用いて取得したsigncryption(e, c, e_d)の正当性を証明するには、送信器は:
1.eの復号に関する知識を提供し、
2.(c,e_d)の復号に関する知識と、この復号がcとeの連結の正しい署名であることを証明しなければならない。
本発明の方法を用いて取得したsigncryption(e, c, e_d)の正当性を証明するには、送信器は:
1.eの復号に関する知識を提供し、
2.(c,e_d)の復号に関する知識と、この復号がcとeの連結の正しい署名であることを証明しなければならない。
両方の証明は、用いる暗号化方式が「クラスE」に属し、用いる署名方式が「クラスS」に属するとき、効率的に実行できる。これらは両方とも、上記の証明プロトコルとともに、[Laila El Aimani著「On Generic Constructions
of Designated Confirmer Signatures」(INDOCRYPT 2009:
343-362)]に説明されている。
of Designated Confirmer Signatures」(INDOCRYPT 2009:
343-362)]に説明されている。
StEパラダイムでは、(メッセージmの)signcryptionは、(c,e)の形式であり、送信器は、復号(c,e)の知識と、この復号の第1部分がcと復号の残り部分(すなわち、m)との連結の正しい署名であることを証明する必要がある。これは理論的観点からは可能であるが、これを実現する効率的な方法は現在のところ知られていない。受信器のプロトコル、すなわち確認/拒絶プロトコルにも同じことが当てはまる。
よりよいプライバシ
本方法のsigncryptionは2つの暗号文を有し、攻撃者は暗号化されていないデジタル署名を有していない。これにより2つの方法でプライバシが向上する。第1に、EtSパラダイムに反して、indistinguishability性に影響せずに、「安価な」セキュリティ要件で、基礎となる署名方式を用いることができる。第2に、(EtSではsigncryptionに含まれるデジタル署名が正当か否か暗号文で誰でもチェックできるのに反して、)(第2の暗号化方式が匿名である場合、)signcryptionの送信者がsigncryptionに係わったか否かチェックできない。
本方法のsigncryptionは2つの暗号文を有し、攻撃者は暗号化されていないデジタル署名を有していない。これにより2つの方法でプライバシが向上する。第1に、EtSパラダイムに反して、indistinguishability性に影響せずに、「安価な」セキュリティ要件で、基礎となる署名方式を用いることができる。第2に、(EtSではsigncryptionに含まれるデジタル署名が正当か否か暗号文で誰でもチェックできるのに反して、)(第2の暗号化方式が匿名である場合、)signcryptionの送信者がsigncryptionに係わったか否かチェックできない。
明細書、特許請求の範囲、及び図面に開示した各特徴は、独立に設けることもできるし、適切に組み合わせて設けることもできる。ハードウェアで実施されると説明した機能はソフトウェアでも実施できるし、その逆の場合もある。特許請求の範囲に示す参照符号は例示であり、請求項の範囲を限定するものではない。
実施形態について付記を記す。
(付記1) 装置により平文mをsigncryptする方法であって、前記装置において、
第1の暗号化アルゴリズムと受信者の第1の公開鍵Epkを用いて、前記平文mを暗号化して、第1の暗号文eを取得するステップと、
乱数rと、カプセル化アルゴリズムと、前記受信者の第2の公開鍵Kpkとを用いて、セッション鍵kと、前記セッション鍵kのカプセル化cとを生成するステップと、
送信者の秘密署名鍵Sskを用いて、署名アルゴリズムで、前記第1の暗号文eと前記カプセル化cとの署名sを生成するステップと、
前記セッション鍵kを用いて、第2の暗号化アルゴリズムで、前記署名sを暗号化して、第2の暗号文e_dを取得するステップと、
前記第1の暗号文eと、前記カプセル化cと、前記第2の暗号文e_dから前記signcryptionを構成するステップと、
前記signcryptionを出力するステップと、を有する方法。
(付記2) 第1の暗号文eの復号の知識と、前記第2の暗号文e_dが前記カプセル化cの鍵を用いたカプセル化cの正しい署名と前記第1の暗号文eを暗号化していることを証明するステップをさらに有する、付記1に記載の方法。
(付記3) 受信した、平文mのsigncryptionを装置によりunsigncryptする方法であって、前記signcryptionは第1の暗号文eと、カプセル化cと、第2の暗号文e_dとを含み、前記方法は前記装置において、
第1の復号アルゴリズムと、前記第1の暗号文eの暗号化に使われた、signcryptionの受信者の第1の公開鍵に対応する前記受信者の第1の秘密鍵Eskとを用いて、前記第1の暗号文eを復号するステップと、
逆カプセル化アルゴリズムと、セッション鍵kのカプセル化に用いられた、前記受信者の第2の公開鍵Kpkに対応する前記受信者の第2の秘密鍵Kskとを用いて、前記カプセル化cを逆カプセル化することにより、セッション鍵kを読み出すステップと、
第2の復号アルゴリズムと前記セッション鍵kとを用いて前記第2の暗号文e_dを復号することにより署名sを回復するステップと、
検証アルゴリズムと、前記署名の生成に用いられた前記送信者の秘密署名鍵Sskに対応する、前記signcryptionの送信者の公開署名鍵Spkとを用いて、前記署名sが正しいか検証するステップと、を有する方法。
(付記4) 前記平文mと前記暗号文eの復号と、前記第2の暗号文e_dの復号とが等しいまたは等しくないとの知識を、及び前記復号が前記第1の暗号文eと前記カプセル化cの正しいデジタル署名であることを証明するステップをさらに有する、付記3に記載の方法。
(付記5) 平文mをsigncryptするsigncryption装置であって、
第1の暗号化アルゴリズムと受信者の第1の公開鍵Epkを用いて、前記平文mを暗号化して、第1の暗号文eを取得する手段と、
乱数rと、カプセル化アルゴリズムと、前記受信者の第2の公開鍵Kpkとを用いて、セッション鍵kと、前記セッション鍵kのカプセル化cとを生成する手段と、
送信者の秘密署名鍵Sskを用いて、署名アルゴリズムで、前記第1の暗号文eと前記カプセル化cとの署名sを生成する手段と、
前記セッション鍵kを用いて、第2の暗号化アルゴリズムで、前記署名sを暗号化して、第2の暗号文e_dを取得する手段と、
前記第1の暗号文eと、前記カプセル化cと、前記第2の暗号文e_dから前記signcryptionを構成する手段と、
前記signcryptionを出力する手段と、を有するsigncryption装置。
(付記6) 第1の暗号文eの復号の知識と、前記第2の暗号文e_dが前記カプセル化cの鍵を用いたカプセル化cの正しい署名と前記第1の暗号文eを暗号化していることを証明する手段をさらに有する、付記5に記載のsigncryption装置。
(付記7) 受信した、平文mのsigncryptionをunsigncryptするsigncryption検証装置装置であって、前記signcryptionは第1の暗号文eと、カプセル化cと、第2の暗号文e_dとを含み、前記signcryption検証装置は、
第1の復号アルゴリズムと、前記第1の暗号文eの暗号化に使われた、signcryptionの受信者の第1の公開鍵に対応する前記受信者の第1の秘密鍵Eskとを用いて、前記第1の暗号文eを復号する手段と、
逆カプセル化アルゴリズムと、セッション鍵kのカプセル化に用いられた、前記受信者の第2の公開鍵Kpkに対応する前記受信者の第2の秘密鍵Kskとを用いて、前記カプセル化cを逆カプセル化することにより、セッション鍵kを読み出す手段と、
第2の復号アルゴリズムと前記セッション鍵kとを用いて前記第2の暗号文e_dを復号することにより署名sを回復する手段と、
検証アルゴリズムと、前記署名の生成に用いられた前記送信者の秘密署名鍵Sskに対応する、前記signcryptionの送信者の公開署名鍵Spkとを用いて、前記署名sが正しいか検証する手段と、を有するsigncryption検証装置装置。
(付記8) 前記平文mの復号と前記暗号文eとが等しいまたは等しくないとの知識と、署名sが前記第1の暗号文eと前記カプセル化cの正しいデジタル署名であるかどうかとを証明する手段をさらに有する、付記7に記載のsigncryption検証装置。
(付記9) プロセッサにより実行されたとき、付記1または2いずれか一項に記載の方法を実行する命令を記憶した記憶媒体。
(付記10) プロセッサにより実行されたとき、付記3または4いずれか一項に記載の方法を実行する命令を記憶した記憶媒体。
実施形態について付記を記す。
(付記1) 装置により平文mをsigncryptする方法であって、前記装置において、
第1の暗号化アルゴリズムと受信者の第1の公開鍵Epkを用いて、前記平文mを暗号化して、第1の暗号文eを取得するステップと、
乱数rと、カプセル化アルゴリズムと、前記受信者の第2の公開鍵Kpkとを用いて、セッション鍵kと、前記セッション鍵kのカプセル化cとを生成するステップと、
送信者の秘密署名鍵Sskを用いて、署名アルゴリズムで、前記第1の暗号文eと前記カプセル化cとの署名sを生成するステップと、
前記セッション鍵kを用いて、第2の暗号化アルゴリズムで、前記署名sを暗号化して、第2の暗号文e_dを取得するステップと、
前記第1の暗号文eと、前記カプセル化cと、前記第2の暗号文e_dから前記signcryptionを構成するステップと、
前記signcryptionを出力するステップと、を有する方法。
(付記2) 第1の暗号文eの復号の知識と、前記第2の暗号文e_dが前記カプセル化cの鍵を用いたカプセル化cの正しい署名と前記第1の暗号文eを暗号化していることを証明するステップをさらに有する、付記1に記載の方法。
(付記3) 受信した、平文mのsigncryptionを装置によりunsigncryptする方法であって、前記signcryptionは第1の暗号文eと、カプセル化cと、第2の暗号文e_dとを含み、前記方法は前記装置において、
第1の復号アルゴリズムと、前記第1の暗号文eの暗号化に使われた、signcryptionの受信者の第1の公開鍵に対応する前記受信者の第1の秘密鍵Eskとを用いて、前記第1の暗号文eを復号するステップと、
逆カプセル化アルゴリズムと、セッション鍵kのカプセル化に用いられた、前記受信者の第2の公開鍵Kpkに対応する前記受信者の第2の秘密鍵Kskとを用いて、前記カプセル化cを逆カプセル化することにより、セッション鍵kを読み出すステップと、
第2の復号アルゴリズムと前記セッション鍵kとを用いて前記第2の暗号文e_dを復号することにより署名sを回復するステップと、
検証アルゴリズムと、前記署名の生成に用いられた前記送信者の秘密署名鍵Sskに対応する、前記signcryptionの送信者の公開署名鍵Spkとを用いて、前記署名sが正しいか検証するステップと、を有する方法。
(付記4) 前記平文mと前記暗号文eの復号と、前記第2の暗号文e_dの復号とが等しいまたは等しくないとの知識を、及び前記復号が前記第1の暗号文eと前記カプセル化cの正しいデジタル署名であることを証明するステップをさらに有する、付記3に記載の方法。
(付記5) 平文mをsigncryptするsigncryption装置であって、
第1の暗号化アルゴリズムと受信者の第1の公開鍵Epkを用いて、前記平文mを暗号化して、第1の暗号文eを取得する手段と、
乱数rと、カプセル化アルゴリズムと、前記受信者の第2の公開鍵Kpkとを用いて、セッション鍵kと、前記セッション鍵kのカプセル化cとを生成する手段と、
送信者の秘密署名鍵Sskを用いて、署名アルゴリズムで、前記第1の暗号文eと前記カプセル化cとの署名sを生成する手段と、
前記セッション鍵kを用いて、第2の暗号化アルゴリズムで、前記署名sを暗号化して、第2の暗号文e_dを取得する手段と、
前記第1の暗号文eと、前記カプセル化cと、前記第2の暗号文e_dから前記signcryptionを構成する手段と、
前記signcryptionを出力する手段と、を有するsigncryption装置。
(付記6) 第1の暗号文eの復号の知識と、前記第2の暗号文e_dが前記カプセル化cの鍵を用いたカプセル化cの正しい署名と前記第1の暗号文eを暗号化していることを証明する手段をさらに有する、付記5に記載のsigncryption装置。
(付記7) 受信した、平文mのsigncryptionをunsigncryptするsigncryption検証装置装置であって、前記signcryptionは第1の暗号文eと、カプセル化cと、第2の暗号文e_dとを含み、前記signcryption検証装置は、
第1の復号アルゴリズムと、前記第1の暗号文eの暗号化に使われた、signcryptionの受信者の第1の公開鍵に対応する前記受信者の第1の秘密鍵Eskとを用いて、前記第1の暗号文eを復号する手段と、
逆カプセル化アルゴリズムと、セッション鍵kのカプセル化に用いられた、前記受信者の第2の公開鍵Kpkに対応する前記受信者の第2の秘密鍵Kskとを用いて、前記カプセル化cを逆カプセル化することにより、セッション鍵kを読み出す手段と、
第2の復号アルゴリズムと前記セッション鍵kとを用いて前記第2の暗号文e_dを復号することにより署名sを回復する手段と、
検証アルゴリズムと、前記署名の生成に用いられた前記送信者の秘密署名鍵Sskに対応する、前記signcryptionの送信者の公開署名鍵Spkとを用いて、前記署名sが正しいか検証する手段と、を有するsigncryption検証装置装置。
(付記8) 前記平文mの復号と前記暗号文eとが等しいまたは等しくないとの知識と、署名sが前記第1の暗号文eと前記カプセル化cの正しいデジタル署名であるかどうかとを証明する手段をさらに有する、付記7に記載のsigncryption検証装置。
(付記9) プロセッサにより実行されたとき、付記1または2いずれか一項に記載の方法を実行する命令を記憶した記憶媒体。
(付記10) プロセッサにより実行されたとき、付記3または4いずれか一項に記載の方法を実行する命令を記憶した記憶媒体。
Claims (10)
- 装置により平文mをsigncryptする方法であって、前記装置において、
第1の暗号化アルゴリズムと受信者の第1の公開鍵Epkを用いて、前記平文mを暗号化して、第1の暗号文eを取得するステップと、
乱数rと、カプセル化アルゴリズムと、前記受信者の第2の公開鍵Kpkとを用いて、セッション鍵kと、前記セッション鍵kのカプセル化cとを生成するステップと、
送信者の秘密署名鍵Sskを用いて、署名アルゴリズムで、前記第1の暗号文eと前記カプセル化cとの署名sを生成するステップと、
前記セッション鍵kを用いて、第2の暗号化アルゴリズムで、前記署名sを暗号化して、第2の暗号文e_dを取得するステップと、
前記第1の暗号文eと、前記カプセル化cと、前記第2の暗号文e_dからsigncryptionを構成するステップと、
前記signcryptionを出力するステップと、を有する方法。 - 第1の暗号文eの復号結果の知識と、前記第2の暗号文e_dが前記セッション鍵kを用いた前記第1の暗号文eと前記カプセル化cとの正しい署名sの暗号であることを証明するステップをさらに有する、請求項1に記載の方法。
- 受信した、平文mのsigncryptionを装置によりunsigncryptする方法であって、前記signcryptionは第1の暗号文eと、カプセル化cと、第2の暗号文e_dとを含み、前記方法は前記装置において、
第1の復号アルゴリズムと、前記第1の暗号文eの暗号化に使われた、signcryptionの受信者の第1の公開鍵に対応する前記受信者の第1の秘密鍵Eskとを用いて、前記第1の暗号文eを復号するステップと、
逆カプセル化アルゴリズムと、セッション鍵kのカプセル化に用いられた、前記受信者の第2の公開鍵Kpkに対応する前記受信者の第2の秘密鍵Kskとを用いて、前記カプセル化cを逆カプセル化することにより、セッション鍵kを読み出すステップと、
第2の復号アルゴリズムと前記セッション鍵kとを用いて前記第2の暗号文e_dを復号することにより署名sを回復するステップと、
検証アルゴリズムと、前記署名の生成に用いられた送信者の秘密署名鍵Sskに対応する、前記signcryptionの前記送信者の公開署名鍵Spkとを用いて、前記署名sが正しいか検証するステップと、を有する方法。 - 前記平文mと前記第1の暗号文eの復号結果とが等しいまたは等しくないとの知識、前記第2の暗号文e_dの復号結果の知識、及び前記復号結果が前記第1の暗号文eと前記カプセル化cとの正しいデジタル署名であることを証明するステップをさらに有する、請求項3に記載の方法。
- 平文mをsigncryptするsigncryption装置であって、
第1の暗号化アルゴリズムと受信者の第1の公開鍵Epkを用いて、前記平文mを暗号化して、第1の暗号文eを取得する手段と、
乱数rと、カプセル化アルゴリズムと、前記受信者の第2の公開鍵Kpkとを用いて、セッション鍵kと、前記セッション鍵kのカプセル化cとを生成する手段と、
送信者の秘密署名鍵Sskを用いて、署名アルゴリズムで、前記第1の暗号文eと前記カプセル化cとの署名sを生成する手段と、
前記セッション鍵kを用いて、第2の暗号化アルゴリズムで、前記署名sを暗号化して、第2の暗号文e_dを取得する手段と、
前記第1の暗号文eと、前記カプセル化cと、前記第2の暗号文e_dからsigncryptionを構成する手段と、
前記signcryptionを出力する手段と、を有するsigncryption装置。 - 第1の暗号文eの復号結果の知識と、前記第2の暗号文e_dが前記セッション鍵kを用いた前記第1の暗号文eと前記カプセル化cとの正しい署名sの暗号であることを証明する手段をさらに有する、請求項5に記載のsigncryption装置。
- 受信した、平文mのsigncryptionをunsigncryptするsigncryption検証装置であって、前記signcryptionは第1の暗号文eと、カプセル化cと、第2の暗号文e_dとを含み、前記signcryption検証装置は、
第1の復号アルゴリズムと、前記第1の暗号文eの暗号化に使われた、signcryptionの受信者の第1の公開鍵に対応する前記受信者の第1の秘密鍵Eskとを用いて、前記第1の暗号文eを復号する手段と、
逆カプセル化アルゴリズムと、セッション鍵kのカプセル化に用いられた、前記受信者の第2の公開鍵Kpkに対応する前記受信者の第2の秘密鍵Kskとを用いて、前記カプセル化cを逆カプセル化することにより、セッション鍵kを読み出す手段と、
第2の復号アルゴリズムと前記セッション鍵kとを用いて前記第2の暗号文e_dを復号することにより署名sを回復する手段と、
検証アルゴリズムと、前記署名の生成に用いられた送信者の秘密署名鍵Sskに対応する、前記signcryptionの前記送信者の公開署名鍵Spkとを用いて、前記署名sが正しいか検証する手段と、を有するsigncryption検証装置。 - 前記平文mと前記第1の暗号文eの復号結果とが等しいまたは等しくないとの知識と、署名sが前記第1の暗号文eと前記カプセル化cの正しいデジタル署名であるかどうかとを証明する手段をさらに有する、請求項7に記載のsigncryption検証装置。
- プロセッサにより実行されたとき、前記プロセッサに、請求項1または2いずれか一項に記載の方法を実行させるコンピュータプログラム。
- プロセッサにより実行されたとき、前記プロセッサに、請求項3または4いずれか一項に記載の方法を実行させるコンピュータプログラム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP11306076A EP2566098A1 (en) | 2011-08-29 | 2011-08-29 | Signcryption method and device and corresponding signcryption verification method and device |
| EP11306076.8 | 2011-08-29 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2013048417A JP2013048417A (ja) | 2013-03-07 |
| JP2013048417A5 JP2013048417A5 (ja) | 2015-10-01 |
| JP6042663B2 true JP6042663B2 (ja) | 2016-12-14 |
Family
ID=46690448
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012187432A Expired - Fee Related JP6042663B2 (ja) | 2011-08-29 | 2012-08-28 | signcryption方法と装置及び対応するsigncryption検証方法と装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9071442B2 (ja) |
| EP (2) | EP2566098A1 (ja) |
| JP (1) | JP6042663B2 (ja) |
| KR (1) | KR20130027061A (ja) |
| CN (1) | CN102970138A (ja) |
Families Citing this family (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103312506B (zh) * | 2013-05-06 | 2016-03-02 | 西安电子科技大学 | 接收者身份匿名的多接收者签密方法 |
| JP5932709B2 (ja) * | 2013-05-09 | 2016-06-08 | 株式会社日立製作所 | 送信側装置および受信側装置 |
| CN104052601B (zh) * | 2013-12-30 | 2017-08-11 | 国家电网公司 | 一种密钥隔离签密方法 |
| GB2528874A (en) * | 2014-08-01 | 2016-02-10 | Bae Systems Plc | Improvements in and relating to secret communications |
| US10484179B1 (en) * | 2015-03-31 | 2019-11-19 | EMC IP Holding Company LLC | Data consistency in an encrypted replication environment |
| WO2016199507A1 (ja) * | 2015-06-09 | 2016-12-15 | 日本電信電話株式会社 | 鍵交換方法、鍵交換システム、鍵配送装置、通信装置、およびプログラム |
| US9843592B2 (en) | 2015-10-14 | 2017-12-12 | Sony Interactive Entertainment America Llc | Fast multicast messaging encryption and authentication |
| CN105406970B (zh) * | 2015-10-21 | 2019-03-12 | 浪潮电子信息产业股份有限公司 | 签名的方法及装置、验证签名的方法及装置 |
| CN105429941B (zh) * | 2015-10-27 | 2018-07-27 | 西安电子科技大学 | 多接收者身份匿名签密方法 |
| CN106845177A (zh) * | 2016-12-26 | 2017-06-13 | 广州市申迪计算机系统有限公司 | 密码管理方法及系统 |
| US11507683B2 (en) | 2017-01-20 | 2022-11-22 | Enveil, Inc. | Query processing with adaptive risk decisioning |
| US11777729B2 (en) | 2017-01-20 | 2023-10-03 | Enveil, Inc. | Secure analytics using term generation and homomorphic encryption |
| US10693627B2 (en) | 2017-01-20 | 2020-06-23 | Enveil, Inc. | Systems and methods for efficient fixed-base multi-precision exponentiation |
| US10790960B2 (en) | 2017-01-20 | 2020-09-29 | Enveil, Inc. | Secure probabilistic analytics using an encrypted analytics matrix |
| US11196541B2 (en) | 2017-01-20 | 2021-12-07 | Enveil, Inc. | Secure machine learning analytics using homomorphic encryption |
| US10880275B2 (en) | 2017-01-20 | 2020-12-29 | Enveil, Inc. | Secure analytics using homomorphic and injective format-preserving encryption |
| US10432595B2 (en) * | 2017-03-08 | 2019-10-01 | Bank Of America Corporation | Secure session creation system utililizing multiple keys |
| US10425417B2 (en) | 2017-03-08 | 2019-09-24 | Bank Of America Corporation | Certificate system for verifying authorized and unauthorized secure sessions |
| US10361852B2 (en) | 2017-03-08 | 2019-07-23 | Bank Of America Corporation | Secure verification system |
| US10374808B2 (en) | 2017-03-08 | 2019-08-06 | Bank Of America Corporation | Verification system for creating a secure link |
| CN107294972B (zh) * | 2017-06-20 | 2020-04-03 | 西北工业大学 | 基于身份的广义多接收者匿名签密方法 |
| CN108040077A (zh) * | 2018-02-09 | 2018-05-15 | 成都康赛信息技术有限公司 | 防止网络系统数据泄露的混合置乱加密算法 |
| CN109150827A (zh) * | 2018-07-06 | 2019-01-04 | 深圳虹识技术有限公司 | 一种数据传输的方法和设备 |
| CN109347627B (zh) * | 2018-09-19 | 2023-08-29 | 平安科技(深圳)有限公司 | 数据加解密方法、装置、计算机设备及存储介质 |
| US10902133B2 (en) | 2018-10-25 | 2021-01-26 | Enveil, Inc. | Computational operations in enclave computing environments |
| US10817262B2 (en) | 2018-11-08 | 2020-10-27 | Enveil, Inc. | Reduced and pipelined hardware architecture for Montgomery Modular Multiplication |
| CN109831305B (zh) * | 2019-01-11 | 2021-11-16 | 如般量子科技有限公司 | 基于非对称密钥池的抗量子计算签密方法和系统 |
| CN111600829A (zh) * | 2019-02-21 | 2020-08-28 | 杭州萤石软件有限公司 | 用于物联网设备间的安全通信方法和系统 |
| EP3709561A1 (en) * | 2019-03-14 | 2020-09-16 | Thales Dis France SA | Method for generating a digital signature of an input message |
| CN110233726A (zh) * | 2019-06-11 | 2019-09-13 | 电子科技大学 | 一种可否认的聚合签密方法 |
| CN110176995A (zh) * | 2019-06-17 | 2019-08-27 | 西安邮电大学 | 后量子安全的格上无证书签密方法 |
| CN110474772B (zh) * | 2019-07-01 | 2020-08-14 | 中国科学院数学与系统科学研究院 | 一种基于格的加密方法 |
| CN110460442B (zh) * | 2019-07-01 | 2020-08-14 | 中国科学院数学与系统科学研究院 | 一种基于格的密钥封装方法 |
| CN111191250B (zh) * | 2020-04-09 | 2020-08-18 | 华控清交信息科技(北京)有限公司 | 一种验证方法及装置、用于验证的装置、服务器和终端 |
| CN111178894B (zh) * | 2020-04-10 | 2020-09-11 | 支付宝(杭州)信息技术有限公司 | 资产类型注册、交易记录验证方法及系统 |
| US11153080B1 (en) * | 2020-07-29 | 2021-10-19 | John A. Nix | Network securing device data using two post-quantum cryptography key encapsulation mechanisms |
| US11601258B2 (en) | 2020-10-08 | 2023-03-07 | Enveil, Inc. | Selector derived encryption systems and methods |
| WO2022115491A1 (en) * | 2020-11-24 | 2022-06-02 | Nix John A | Multiple post-quantum cryptography key encapsulations with authentication and forward secrecy |
| CN114024683B (zh) * | 2021-09-28 | 2024-03-26 | 淮阴工学院 | 一种从clc环境到pki环境的在线离线签密方法 |
| CN114448641A (zh) * | 2021-12-30 | 2022-05-06 | 北京航天晨信科技有限责任公司 | 一种隐私加密方法、电子设备、存储介质以及芯片 |
| CN115208554B (zh) * | 2022-09-13 | 2022-12-13 | 三未信安科技股份有限公司 | 一种密钥自校验、自纠错、自恢复的管理方法及系统 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6075864A (en) * | 1996-08-30 | 2000-06-13 | Batten; Lynn Margaret | Method of establishing secure, digitally signed communications using an encryption key based on a blocking set cryptosystem |
| JP3694242B2 (ja) * | 2001-01-18 | 2005-09-14 | 日本電信電話株式会社 | 署名付き暗号通信方法及びその装置 |
| WO2003003329A1 (fr) * | 2001-06-27 | 2003-01-09 | Fujitsu Limited | Procede et systeme de validation de l'authenticite des donnees |
| JP2003173139A (ja) * | 2001-12-05 | 2003-06-20 | Nippon Telegr & Teleph Corp <Ntt> | 公開検証可能暗号化装置、その復号装置、暗号化プログラムおよび復号プログラム |
| GB2413465B (en) * | 2004-04-23 | 2007-04-04 | Hewlett Packard Development Co | Cryptographic method and apparatus |
| US7814320B2 (en) * | 2005-07-19 | 2010-10-12 | Ntt Docomo, Inc. | Cryptographic authentication, and/or establishment of shared cryptographic keys, using a signing key encrypted with a non-one-time-pad encryption, including (but not limited to) techniques with improved security against malleability attacks |
| EP2151947A1 (en) * | 2008-08-05 | 2010-02-10 | Irdeto Access B.V. | Signcryption scheme based on elliptic curve cryptography |
| JP4802274B2 (ja) * | 2009-10-30 | 2011-10-26 | インターナショナル・ビジネス・マシーンズ・コーポレーション | メッセージ送信および受信方法 |
| EP2334008A1 (en) * | 2009-12-10 | 2011-06-15 | Tata Consultancy Services Limited | A system and method for designing secure client-server communication protocols based on certificateless public key infrastructure |
| CN101789067B (zh) | 2009-12-31 | 2015-12-16 | 北京书生电子技术有限公司 | 电子文档签名保护方法和系统 |
-
2011
- 2011-08-29 EP EP11306076A patent/EP2566098A1/en not_active Withdrawn
-
2012
- 2012-08-14 US US13/585,685 patent/US9071442B2/en not_active Expired - Fee Related
- 2012-08-24 EP EP12181624.3A patent/EP2566099B1/en not_active Not-in-force
- 2012-08-28 JP JP2012187432A patent/JP6042663B2/ja not_active Expired - Fee Related
- 2012-08-28 CN CN2012103102421A patent/CN102970138A/zh active Pending
- 2012-08-28 KR KR1020120094303A patent/KR20130027061A/ko not_active Application Discontinuation
Also Published As
| Publication number | Publication date |
|---|---|
| CN102970138A (zh) | 2013-03-13 |
| EP2566099B1 (en) | 2014-03-19 |
| EP2566098A1 (en) | 2013-03-06 |
| KR20130027061A (ko) | 2013-03-14 |
| US9071442B2 (en) | 2015-06-30 |
| JP2013048417A (ja) | 2013-03-07 |
| EP2566099A1 (en) | 2013-03-06 |
| US20130051551A1 (en) | 2013-02-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6042663B2 (ja) | signcryption方法と装置及び対応するsigncryption検証方法と装置 | |
| Sakai et al. | Group signatures with message-dependent opening | |
| US8661240B2 (en) | Joint encryption of data | |
| Roy et al. | A survey on digital signatures and its applications | |
| Isshiki et al. | Proxy re-encryption in a stronger security model extended from CT-RSA2012 | |
| EP2686978B1 (en) | Keyed pv signatures | |
| JP2013539295A (ja) | メッセージ復元を伴うデジタル署名の認証された暗号化 | |
| KR20030062401A (ko) | 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법 | |
| CA2819211C (en) | Data encryption | |
| Chow | Real traceable signatures | |
| Elkamchouchi et al. | An efficient proxy signcryption scheme based on the discrete logarithm problem | |
| Al Housani et al. | Survey on certificateless public key cryptography | |
| El Aimani | Generic constructions for verifiable signcryption | |
| Weng et al. | Direct constructions of bidirectional proxy re-encryption with alleviated trust in proxy | |
| Maurer | Cryptography 2000±10 | |
| Bashir | Analysis and Improvement of Some Signcryption Schemes Based on Elliptic Curve | |
| Toapanta et al. | Ensuring the blind signature for the electoral system in a distributed environment | |
| Kitagawa et al. | Fully anonymous group signature with verifier-local revocation | |
| Rabah | Secure implementation of message digest, authentication and digital signature | |
| US20020112166A1 (en) | Encryption method and apparatus with escrow guarantees | |
| Tanwar et al. | Applications of Digital Signatures in Cryptography | |
| Syed | A New Generalized Signcryption Scheme Based on Elliptic Curves | |
| Suriadi et al. | Conditional privacy using re-encryption | |
| Aydos | Efficient wireless security protocols based on elliptic curve cryptography | |
| Zhou et al. | A generic construction of accountable decryption and its applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150814 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150814 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160624 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160705 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161005 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161025 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161110 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6042663 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |