JP6871200B2 - 鍵合意システム及び鍵生成装置 - Google Patents
鍵合意システム及び鍵生成装置 Download PDFInfo
- Publication number
- JP6871200B2 JP6871200B2 JP2018121633A JP2018121633A JP6871200B2 JP 6871200 B2 JP6871200 B2 JP 6871200B2 JP 2018121633 A JP2018121633 A JP 2018121633A JP 2018121633 A JP2018121633 A JP 2018121633A JP 6871200 B2 JP6871200 B2 JP 6871200B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- node
- information
- group
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、グループ鍵共有を行う鍵合意システム及び鍵生成装置に関する。
従来、複数の端末間でグループ鍵を共有するプロトコルが使用されている。例えば、公開鍵暗号を用いた手法として、Diffie−Hellman鍵共有プロトコルに基づくグループ鍵共有方式が挙げられる。
ところが、近年、量子計算機による共有鍵の解読の可能性が指摘されており、IoT端末等の非力な端末においても動作し、かつ、量子計算機による解読に対して耐性を持つ次世代公開鍵暗号が研究されている。
例えば、非特許文献1では、次世代公開鍵暗号により二者間で鍵共有できるSIDH(Supersingular Isogeny Diffie−Hellman)鍵共有プロトコルが提案されている。
例えば、非特許文献1では、次世代公開鍵暗号により二者間で鍵共有できるSIDH(Supersingular Isogeny Diffie−Hellman)鍵共有プロトコルが提案されている。
David Jao and Luca De Feo. Towards quantum−resistant cryptosystems from supersingular elliptic curve isogenies. In Bo−Yin Yang, editor, Post−Quantum Cryptography, pages 19−34, Berlin, Heidelberg, 2011. Springer Berlin Heidelberg.
しかしながら、SIDH鍵共有プロトコルでは、楕円曲線間の同種写像を利用していることから二者の公開鍵及び共有鍵について、互いに異なる鍵空間が定義される。このため、二者間の共有鍵を公開鍵生成用の秘密情報として再利用することができない。この結果、二者間での鍵共有を繰り返してグループ鍵を共有することは難しかった。
本発明は、次世代公開鍵暗号によりグループ鍵を共有できる鍵合意システム及び鍵生成装置を提供することを目的とする。
本発明に係る鍵合意システムは、複数の端末が木構造グラフのリーフノードに対応付けられたグループにおいて、グループ鍵を共有する鍵合意システムであって、前記リーフノードのそれぞれにおいて、同一階層内の奇数ノード又は偶数ノードで互いに異なる空間から秘密情報の組を選択する秘密情報選択部と、共通の親ノードを持つノード間で、前記秘密情報の組を用いてSIDH(Supersingular Isogeny Diffie−Hellman)鍵共有プロトコルを実行し、当該親ノードの鍵情報を生成する鍵情報生成部と、前記鍵情報生成部により生成された前記鍵情報に対して、同一階層内の奇数ノード又は偶数ノードで互いに異なるハッシュ関数を用いて、前記秘密情報の組を算出する秘密情報算出部と、ルートノードの前記鍵情報に基づいて、前記グループ鍵を生成するグループ鍵生成部と、を備える。
前記鍵合意システムは、前記親ノードで前記鍵情報を生成する際に、当該親ノードの配下に対応付けられた各端末がそれぞれ少なくとも1回、前記鍵情報生成部により他の端末と鍵共有し、同一の前記鍵情報を取得してもよい。
前記鍵合意システムは、前記親ノードで前記鍵情報を生成する際に、子ノードそれぞれ少なくとも1台ずつの前記端末の間で、前記鍵情報生成部により鍵共有し、前記グループ鍵を、前記ノード間で共有された前記鍵情報により配送する鍵配送部を備えてもよい。
本発明に係る鍵合意方法は、複数の端末が木構造グラフのリーフノードに対応付けられたグループにおいて、グループ鍵を共有する鍵合意方法であって、前記リーフノードに対応付けられた端末のそれぞれが、同一階層内の奇数ノード又は偶数ノードで互いに異なる空間から秘密情報の組を選択し、共通の親ノードを持つノードの配下に対応付けられた端末間で、前記秘密情報の組を用いてSIDH(Supersingular Isogeny Diffie−Hellman)鍵共有プロトコルを実行し、当該親ノードの鍵情報を生成し、前記親ノードの配下に対応付けられた端末が、生成された前記鍵情報に対して、同一階層内の奇数ノード又は偶数ノードで互いに異なるハッシュ関数を用いて、前記秘密情報の組を算出し、ルートノードの前記鍵情報を生成した端末が、当該鍵情報に基づいて、前記グループ鍵を生成する。
本発明に係る鍵生成装置は、木構造グラフのリーフノードに対応付けられたグループにおいて、グループ鍵を共有する鍵生成装置であって、自装置が対応付けられたリーフノードが同一階層内において、奇数ノードか又は偶数ノードかに応じて、互いに異なる空間から秘密情報の組を選択する秘密情報選択部と、共通の親ノードを持つノードの配下に対応付けられた他の装置との間で、前記秘密情報の組を用いてSIDH(Supersingular Isogeny Diffie−Hellman)鍵共有プロトコルを実行し、当該親ノードの鍵情報を生成する鍵情報生成部と、生成された前記鍵情報に対して、同一階層内の奇数ノード又は偶数ノードで互いに異なるハッシュ関数を用いて、前記秘密情報の組を算出する秘密情報算出部と、ルートノードの前記鍵情報に基づいて、前記グループ鍵を生成するグループ鍵生成部と、を備える。
本発明によれば、次世代公開鍵暗号によりグループ鍵を共有できる。
[第1実施形態]
以下、本発明の第1実施形態について説明する。
図1は、本実施形態に係る鍵合意システム1の構成を例示する図である。
鍵合意システム1は、複数のユーザ端末U(鍵生成装置)がそれぞれ木構造グラフのリーフノードに対応付けられたグループにおいて、グループ鍵を共有する。
以下、本発明の第1実施形態について説明する。
図1は、本実施形態に係る鍵合意システム1の構成を例示する図である。
鍵合意システム1は、複数のユーザ端末U(鍵生成装置)がそれぞれ木構造グラフのリーフノードに対応付けられたグループにおいて、グループ鍵を共有する。
n台のユーザ端末からなるグループを{U0,・・・,Un−1}と表す。
木構造グラフを構成するノードを<u,v>(2u_max−1<n≦2u_max;u_maxはuの最大値)と表す。
全てのノードは、配下に対応付けられた1台以上のユーザ端末Uがスポンサーとなる。ノード<u,v>のスポンサーをS<u,v>と表す。
木構造グラフを構成するノードを<u,v>(2u_max−1<n≦2u_max;u_maxはuの最大値)と表す。
全てのノードは、配下に対応付けられた1台以上のユーザ端末Uがスポンサーとなる。ノード<u,v>のスポンサーをS<u,v>と表す。
この例では、ユーザ端末U0〜U4の5台がグループ鍵を共有する場合を示している。
本実施形態のツリー型グループ鍵合意の手順では、まず、木構造グラフの最下層において、共通の親ノードを持つノード間、すなわち<3,0>と<3,1>とで鍵共有のプロトコルが実行される。
次に、1階層上位において、同様に、共通の親ノードを持つノード間、すなわち<2,0>と<2,1>との間、及び<2,2>と<2,3>との間で鍵共有のプロトコルが実行される。
最後に、<1,0>と<1,1>とで鍵共有され、ルートノード<0,0>の鍵情報が生成される。
本実施形態のツリー型グループ鍵合意の手順では、まず、木構造グラフの最下層において、共通の親ノードを持つノード間、すなわち<3,0>と<3,1>とで鍵共有のプロトコルが実行される。
次に、1階層上位において、同様に、共通の親ノードを持つノード間、すなわち<2,0>と<2,1>との間、及び<2,2>と<2,3>との間で鍵共有のプロトコルが実行される。
最後に、<1,0>と<1,1>とで鍵共有され、ルートノード<0,0>の鍵情報が生成される。
このグループ鍵合意の手順において、ノード間の鍵共有のプロトコルは、ノードのスポンサーによって実行され、スポンサーとなったユーザ端末Uが共有鍵を記憶する。
本実施形態では、全てのユーザ端末Uが対応するリーフノードからルートノードに至るまでの全てのノードのスポンサーとなるものとする。
すなわち、あるノードで鍵情報を生成する際に、このノードの配下に対応付けられた各ユーザ端末U、すなわちスポンサーがそれぞれ少なくとも1回、他のユーザ端末Uと鍵共有し、同一の鍵情報を取得する。
本実施形態では、全てのユーザ端末Uが対応するリーフノードからルートノードに至るまでの全てのノードのスポンサーとなるものとする。
すなわち、あるノードで鍵情報を生成する際に、このノードの配下に対応付けられた各ユーザ端末U、すなわちスポンサーがそれぞれ少なくとも1回、他のユーザ端末Uと鍵共有し、同一の鍵情報を取得する。
具体的には、まず、ノード<2,0>の鍵情報を生成するために、子ノードの<3,0>及び<3,1>それぞれのスポンサーであるU0とU1とが鍵共有のプロトコルを実行する。
続いて、ノード<1,0>の鍵情報を生成するために、子ノード<2,0>のスポンサーであるU0及びU1と、<2,1>のスポンサーであるU2との間で鍵共有のプロトコルを実行する。すなわち、U0とU2、U1とU2がそれぞれ鍵共有のプロトコルを実行することで、U0〜U2がそれぞれ共通のノード<1,0>の鍵情報を取得する。
続いて、ノード<1,0>の鍵情報を生成するために、子ノード<2,0>のスポンサーであるU0及びU1と、<2,1>のスポンサーであるU2との間で鍵共有のプロトコルを実行する。すなわち、U0とU2、U1とU2がそれぞれ鍵共有のプロトコルを実行することで、U0〜U2がそれぞれ共通のノード<1,0>の鍵情報を取得する。
次に、ルートノード<0,0>の鍵情報を生成するために、子ノード<1,0>のスポンサーであるU0、U1及びU2と、<1,1>のスポンサーであるU3及びU4との間で鍵共有のプロトコルを実行する。すなわち、例えば、U0とU3、U1とU3、U2とU4がそれぞれ鍵共有のプロトコルを実行することで、U0〜U4がそれぞれルートノード<0,0>の鍵情報を取得する。
なお、鍵共有のプロトコルを実行するスポンサーの組み合わせは、他にU0とU4、U1とU4、U2とU3があるが、全スポンサーが鍵共有するためには冗長なため、必ずしも必要ではない。つまり、各スポンサーが少なくとも1回鍵共有を行える組み合わせが選択されればよい。
なお、鍵共有のプロトコルを実行するスポンサーの組み合わせは、他にU0とU4、U1とU4、U2とU3があるが、全スポンサーが鍵共有するためには冗長なため、必ずしも必要ではない。つまり、各スポンサーが少なくとも1回鍵共有を行える組み合わせが選択されればよい。
図2は、本実施形態に係るユーザ端末Uの機能構成を示すブロック図である。
ユーザ端末Uは、パーソナルコンピュータ又はサーバ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、入出力デバイス及び外部装置との通信インタフェース等を備える。
ユーザ端末Uは、パーソナルコンピュータ又はサーバ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、入出力デバイス及び外部装置との通信インタフェース等を備える。
制御部10は、記憶部20に格納されたソフトウェアを読み出し実行することにより、次の各部として機能する。
すなわち、制御部10は、秘密情報選択部11と、鍵情報生成部12と、秘密情報算出部13と、グループ鍵生成部14とを備える。
すなわち、制御部10は、秘密情報選択部11と、鍵情報生成部12と、秘密情報算出部13と、グループ鍵生成部14とを備える。
秘密情報選択部11は、木構造グラフにおけるリーフノードのそれぞれにおいて、同一階層内の奇数ノード(<u,v>のvが奇数)又は偶数ノード(<u,v>のvが偶数)で互いに異なる空間から秘密情報の組を選択する。
鍵情報生成部12は、共通の親ノードを持つノード間、例えば共通の親ノード<2,0>を持つノード<3,0>と<3,1>との間で、秘密情報の組を用いてSIDH鍵共有プロトコルを実行し、親ノードの鍵情報を生成する。
秘密情報算出部13は、鍵情報生成部12により生成されたあるノードの鍵情報に対して、同一階層内の奇数ノード又は偶数ノードで互いに異なるハッシュ関数を用いて、このノードの秘密情報の組を算出する。
グループ鍵生成部14は、ルートノードの鍵情報を、例えば所定のハッシュ関数を用いて所定の鍵長に整形しグループ鍵を生成する。
図3は、本実施形態に係るSIDH鍵共有プロトコルの手順を示す図である。
ここでは、Alice(A)及びBob(B)の双方が所定の手順により共有鍵を生成する(非特許文献1参照)。
なお、公開パラメータとして、素数p=lA eAlB eBf±1(lA,lB,eA,eB,f:整数の定数)、楕円曲線E0、及び楕円曲線E0上の2組の2点{PA,QA},{PB,QB}が定義されている。
ここでは、Alice(A)及びBob(B)の双方が所定の手順により共有鍵を生成する(非特許文献1参照)。
なお、公開パラメータとして、素数p=lA eAlB eBf±1(lA,lB,eA,eB,f:整数の定数)、楕円曲線E0、及び楕円曲線E0上の2組の2点{PA,QA},{PB,QB}が定義されている。
(1−1)Aliceは、秘密情報mA,nAを、Z/lA eAZからランダムに選択する。
(1−2)Aliceは、秘密情報mA,nAを用いて、同種写像φA:=E0/<[mA]PA+[nA]QA>を計算する。
(1−3)Aliceは、φA(PB),φA(QB),EA=φA(E0)を計算し、Bobに送る。
(1−2)Aliceは、秘密情報mA,nAを用いて、同種写像φA:=E0/<[mA]PA+[nA]QA>を計算する。
(1−3)Aliceは、φA(PB),φA(QB),EA=φA(E0)を計算し、Bobに送る。
(2−1)Bobは、秘密情報mB,nBを、Z/lB eBZからランダムに選択する。
(2−2)Bobは、秘密情報mB,nBを用いて、同種写像φB:=E0/<[mB]PB+[nB]QB>を計算する。
(2−3)Bobは、φB(PA),φB(QA),EB=φB(E0)を計算し、Aliceに送る。
(2−2)Bobは、秘密情報mB,nBを用いて、同種写像φB:=E0/<[mB]PB+[nB]QB>を計算する。
(2−3)Bobは、φB(PA),φB(QA),EB=φB(E0)を計算し、Aliceに送る。
(3−1)Bobは、自身の同種写像φBを用いて、φB(φA(PB)),φB(φA(QB)),EAB=φB(EA)を計算する。
(3−2)Bobは、楕円曲線のj−不変量K:=j(EAB)を、Aliceと共通の値として得る。
(3−2)Bobは、楕円曲線のj−不変量K:=j(EAB)を、Aliceと共通の値として得る。
(4−1)Aliceは、自身の同種写像φAを用いて、φA(φB(PA)),φA(φB(QA)),EBA=φA(EB)を計算する。
(4−2)Aliceは、楕円曲線のj−不変量K:=j(EBA)を、Bobと共通の値として得る。
(4−2)Aliceは、楕円曲線のj−不変量K:=j(EBA)を、Bobと共通の値として得る。
図4は、本実施形態に係るツリー型グループ鍵合意プロトコルの手順を示す図である。
公開パラメータとして、以下が定義されているものとする。なお、グループ鍵の長さをkビット、Zを有理整数環、Fpをp個の元を持つ有限体とする。
公開パラメータとして、以下が定義されているものとする。なお、グループ鍵の長さをkビット、Zを有理整数環、Fpをp個の元を持つ有限体とする。
ステップ1において、ユーザ端末Uは、木構造グラフの最下層(u=umax)からルートノードの1階層下(u=1)まで、ステップ2〜3の処理を繰り返す。
ステップ2において、スポンサーS<u,v>は、値ι=v (mod 2)とすると、ノード<u,v>が奇数ノード(ι=1)か偶数ノード(ι=0)かに応じて、ノード毎の秘密情報m<u,v>,n<u,v>を設定する。
<u,v>がリーフノードの場合、スポンサーS<u,v>は、Z/lι eιZからランダムに秘密情報を選択する。
<u,v>がリーフノードでない場合、スポンサーS<u,v>は、後述のステップで生成される鍵情報K<u,v>を用いて、ιに応じて異なるハッシュ演算を行い、ιに応じた空間の秘密情報を算出する。
<u,v>がリーフノードの場合、スポンサーS<u,v>は、Z/lι eιZからランダムに秘密情報を選択する。
<u,v>がリーフノードでない場合、スポンサーS<u,v>は、後述のステップで生成される鍵情報K<u,v>を用いて、ιに応じて異なるハッシュ演算を行い、ιに応じた空間の秘密情報を算出する。
さらに、スポンサーS<u,v>は、設定した秘密情報m<u,v>,n<u,v>を用いて、タプル{ES<u,v>,φS<u,v>(Pι),φS<u,v>(Qι)}を計算し、S’<u,v>へ送信する。
なお、S’<u,v>は、ノード<u,v>と親ノードが共通であるノードのスポンサー、すなわちSIDH鍵共有プロトコルの実行相手である。
なお、S’<u,v>は、ノード<u,v>と親ノードが共通であるノードのスポンサー、すなわちSIDH鍵共有プロトコルの実行相手である。
ステップ3において、スポンサーS’<u,v>は、S<u,v>から受け取ったタプルと、自身の秘密情報を用いて、親ノードの鍵情報K<u−1,floor(v/2)>=j(ES<u,v>S’<u,v>)を計算する。なお、floor(x)は、xを超えない最大の整数である。
親ノードのスポンサーは、前述のように、S<u,v>∪S’<u,v>となる。
親ノードのスポンサーは、前述のように、S<u,v>∪S’<u,v>となる。
ステップ4において、ルートノードまで鍵情報が計算されていない場合、ステップ1に戻ってループ処理が継続される。
ステップ5において、グループ内の全てのユーザ端末Uは、ステップ1〜4のループ処理により、ルートノードの鍵情報K<0,0>を得る。
ユーザ端末Uは、このルートノードの鍵情報にハッシュ演算を行い、所定の長さのグループ鍵K=H’t(j(ES<1,0>S<1,1>))を得る。
ステップ5において、グループ内の全てのユーザ端末Uは、ステップ1〜4のループ処理により、ルートノードの鍵情報K<0,0>を得る。
ユーザ端末Uは、このルートノードの鍵情報にハッシュ演算を行い、所定の長さのグループ鍵K=H’t(j(ES<1,0>S<1,1>))を得る。
本実施形態によれば、鍵合意システム1は、SIDH鍵共有プロトコルで生成される鍵情報に対して所定の空間へのハッシュ演算を行うことで、さらにSIDH鍵共有プロトコルで使用可能な秘密情報を算出できる。また、鍵合意システム1は、奇数ノード又は偶数ノードのいずれかによって空間(秘密情報の分布)が異なるSIDH鍵共有プロトコルに対応して、個別にハッシュ関数を設けた。
したがって、鍵合意システム1は、リーフノードにユーザ端末Uが対応付けられた木構造グラフで定義されたグループにおいて、上位のノードの秘密情報を、二者間で共有された鍵情報から二者間で共通して算出できる。この結果、上位のノード間でさらにSIDH鍵共有プロトコルを実行できるため、量子計算機に耐性を持つ次世代公開鍵暗号によりグループ鍵を共有できる。
したがって、鍵合意システム1は、リーフノードにユーザ端末Uが対応付けられた木構造グラフで定義されたグループにおいて、上位のノードの秘密情報を、二者間で共有された鍵情報から二者間で共通して算出できる。この結果、上位のノード間でさらにSIDH鍵共有プロトコルを実行できるため、量子計算機に耐性を持つ次世代公開鍵暗号によりグループ鍵を共有できる。
また、鍵合意システム1は、グループ内の全ユーザ端末Uが各階層で少なくとも1回、鍵共有を行う。これにより、グループ内の全ユーザがルートノードの鍵情報を算出でき、グループ鍵を共有できる。
[第2実施形態]
以下、本発明の第2実施形態について説明する。
なお、第1実施形態と同様の構成については同一の符号を付し、説明を省略又は簡略化する。
以下、本発明の第2実施形態について説明する。
なお、第1実施形態と同様の構成については同一の符号を付し、説明を省略又は簡略化する。
第1実施形態では、あるノードの配下に対応付けられた全てのユーザ端末Uがこのノードのスポンサーとなった。本実施形態では、配下に対応付けられた全てのユーザ端末Uのうち、少なくとも1台がスポンサーとなる。
すなわち、親ノードの鍵情報を生成する際に、子ノードそれぞれ少なくとも1台ずつのユーザ端末Uの間で、鍵共有が行われる。
すなわち、親ノードの鍵情報を生成する際に、子ノードそれぞれ少なくとも1台ずつのユーザ端末Uの間で、鍵共有が行われる。
例えば、図1に示した木構造グラフの例では、まず、ノード<2,0>の鍵情報を生成するために、子ノードの<3,0>及び<3,1>それぞれのスポンサーであるU0とU1とが鍵共有のプロトコルを実行する。ここで、ノード<2,0>のスポンサーとして、子ノードのスポンサーから1台、例えばU0が選択される。
続いて、ノード<1,0>の鍵情報を生成するために、子ノード<2,0>のスポンサーであるU0と、<2,1>のスポンサーであるU2との間で鍵共有のプロトコルを実行する。これにより、U0及びU2がそれぞれ共通のノード<1,0>の鍵情報を取得するが、U1は、この時点でノード<1,0>の鍵情報を取得できていない。
同様に、ルートノード<0,0>の鍵情報を生成するために、子ノード<1,0>のスポンサーとして選ばれたU0と、<1,1>のスポンサーとして選ばれたU3との間で鍵共有のプロトコルを実行する。これにより、U0及びU3がそれぞれルートノード<0,0>の鍵情報を取得する。
本実施形態では、この後、ルートノード<0,0>の鍵情報を得られていないユーザ端末U1,U2,U4に対して、後述のようにグループ鍵が配送される。
図5は、本実施形態に係るユーザ端末Uの機能構成を示すブロック図である。
制御部10は、第1実施形態(図2)の構成に加えて、鍵配送部15をさらに備える。
鍵配送部15は、生成されたグループ鍵を、各階層のノード間で共有された鍵情報により配送する。
制御部10は、第1実施形態(図2)の構成に加えて、鍵配送部15をさらに備える。
鍵配送部15は、生成されたグループ鍵を、各階層のノード間で共有された鍵情報により配送する。
具体的には、例えば、前述の例では、ユーザ端末U0及びU3においてグループ鍵が生成された。この後、例えばU0とU2との間で共有されたノード<1,0>の鍵情報を用いて、U0がU2へグループ鍵を配送する。同様に、U0とU1との間で共有されたノード<2,0>の鍵情報を用いて、U0がU1へグループ鍵を配送し、U3とU4との間で共有されたノード<1,1>の鍵情報を用いて、U3がU4へグループ鍵を配送する。
本実施形態によれば、鍵合意システム1は、木構造グラフの各ノードのスポンサーとして、少なくとも1台のユーザ端末Uを割り当て、この結果、スポンサーに選ばれなかったユーザ端末Uに対しては、各階層の二者間で共有された鍵情報によりグループ鍵を配送する。これにより、鍵合意システム1は、二者間の鍵共有プロトコルの実行回数を減らし、処理負荷を低減できる。
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
鍵合意システム1による鍵合意方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
U ユーザ端末
1 鍵合意システム
10 制御部
11 秘密情報選択部
12 鍵情報生成部
13 秘密情報算出部
14 グループ鍵生成部
15 鍵配送部
20 記憶部
1 鍵合意システム
10 制御部
11 秘密情報選択部
12 鍵情報生成部
13 秘密情報算出部
14 グループ鍵生成部
15 鍵配送部
20 記憶部
Claims (5)
- 複数の端末が木構造グラフのリーフノードに対応付けられたグループにおいて、グループ鍵を共有する鍵合意システムであって、
前記リーフノードのそれぞれにおいて、同一階層内の奇数ノード又は偶数ノードで互いに異なる空間から秘密情報の組を選択する秘密情報選択部と、
共通の親ノードを持つノード間で、前記秘密情報の組を用いてSIDH(Supersingular Isogeny Diffie−Hellman)鍵共有プロトコルを実行し、当該親ノードの鍵情報を生成する鍵情報生成部と、
前記鍵情報生成部により生成された前記鍵情報に対して、同一階層内の奇数ノード又は偶数ノードで互いに異なるハッシュ関数を用いて、前記秘密情報の組を算出する秘密情報算出部と、
ルートノードの前記鍵情報に基づいて、前記グループ鍵を生成するグループ鍵生成部と、を備える鍵合意システム。 - 前記親ノードで前記鍵情報を生成する際に、当該親ノードの配下に対応付けられた各端末がそれぞれ少なくとも1回、前記鍵情報生成部により他の端末と鍵共有し、同一の前記鍵情報を取得する請求項1に記載の鍵合意システム。
- 前記親ノードで前記鍵情報を生成する際に、子ノードそれぞれ少なくとも1台ずつの前記端末の間で、前記鍵情報生成部により鍵共有し、
前記グループ鍵を、前記ノード間で共有された前記鍵情報により配送する鍵配送部を備える請求項1に記載の鍵合意システム。 - 複数の端末が木構造グラフのリーフノードに対応付けられたグループにおいて、グループ鍵を共有する鍵合意方法であって、
前記リーフノードに対応付けられた端末のそれぞれが、同一階層内の奇数ノード又は偶数ノードで互いに異なる空間から秘密情報の組を選択し、
共通の親ノードを持つノードの配下に対応付けられた端末間で、前記秘密情報の組を用いてSIDH(Supersingular Isogeny Diffie−Hellman)鍵共有プロトコルを実行し、当該親ノードの鍵情報を生成し、
前記親ノードの配下に対応付けられた端末が、生成された前記鍵情報に対して、同一階層内の奇数ノード又は偶数ノードで互いに異なるハッシュ関数を用いて、前記秘密情報の組を算出し、
ルートノードの前記鍵情報を生成した端末が、当該鍵情報に基づいて、前記グループ鍵を生成する鍵合意方法。 - 木構造グラフのリーフノードに対応付けられたグループにおいて、グループ鍵を共有する鍵生成装置であって、
自装置が対応付けられたリーフノードが同一階層内において、奇数ノードか又は偶数ノードかに応じて、互いに異なる空間から秘密情報の組を選択する秘密情報選択部と、
共通の親ノードを持つノードの配下に対応付けられた他の装置との間で、前記秘密情報の組を用いてSIDH(Supersingular Isogeny Diffie−Hellman)鍵共有プロトコルを実行し、当該親ノードの鍵情報を生成する鍵情報生成部と、
生成された前記鍵情報に対して、同一階層内の奇数ノード又は偶数ノードで互いに異なるハッシュ関数を用いて、前記秘密情報の組を算出する秘密情報算出部と、
ルートノードの前記鍵情報に基づいて、前記グループ鍵を生成するグループ鍵生成部と、を備える鍵生成装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018121633A JP6871200B2 (ja) | 2018-06-27 | 2018-06-27 | 鍵合意システム及び鍵生成装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018121633A JP6871200B2 (ja) | 2018-06-27 | 2018-06-27 | 鍵合意システム及び鍵生成装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020005079A JP2020005079A (ja) | 2020-01-09 |
| JP6871200B2 true JP6871200B2 (ja) | 2021-05-12 |
Family
ID=69100592
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018121633A Active JP6871200B2 (ja) | 2018-06-27 | 2018-06-27 | 鍵合意システム及び鍵生成装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6871200B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114219052A (zh) * | 2022-02-23 | 2022-03-22 | 富算科技(上海)有限公司 | 一种图数据融合方法、装置、电子设备及存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19847941A1 (de) * | 1998-10-09 | 2000-04-13 | Deutsche Telekom Ag | Verfahren zum Etablieren eines gemeinsamen krytografischen Schlüssels für n Teilnehmer |
| US8249258B2 (en) * | 2004-06-07 | 2012-08-21 | National Institute Of Information And Communications Technology | Communication method and communication system using decentralized key management scheme |
-
2018
- 2018-06-27 JP JP2018121633A patent/JP6871200B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020005079A (ja) | 2020-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5885840B2 (ja) | 秘密分散システム、データ分散装置、分散データ変換装置、秘密分散方法、およびプログラム | |
| US10097351B1 (en) | Generating a lattice basis for lattice-based cryptography | |
| US8429408B2 (en) | Masking the output of random number generators in key generation protocols | |
| US11316676B2 (en) | Quantum-proof multiparty key exchange system, quantum-proof multiparty terminal device, quantum-proof multiparty key exchange method, program, and recording medium | |
| US8713329B2 (en) | Authenticated secret sharing | |
| TWI813616B (zh) | 用以獲取數位簽署資料之電腦實行方法及系統 | |
| CN106603231B (zh) | 基于去秘密化的分布式sm2数字签名生成方法及系统 | |
| US20120323981A1 (en) | Proxy calculation system, proxy calculation method, proxy calculation requesting apparatus, and proxy calculation program and recording medium therefor | |
| TW201946412A (zh) | 用以移轉數位資產支配權之電腦實施方法及系統 | |
| JP3794457B2 (ja) | データの暗号化復号化方法 | |
| CN113742670B (zh) | 多方协同解密方法和装置 | |
| JP5944841B2 (ja) | 秘密分散システム、データ分散装置、分散データ保有装置、秘密分散方法、およびプログラム | |
| WO2021062518A1 (en) | Obtaining keys from broadcasters in supersingular isogeny-based cryptosystems | |
| Wang et al. | Verifiable threshold scheme in multi-secret sharing distributions upon extensions of ECC | |
| US11411720B2 (en) | Key distribution system, terminal device, key distribution method, and program | |
| US20150023498A1 (en) | Byzantine fault tolerance and threshold coin tossing | |
| Harn et al. | Weighted Secret Sharing Based on the Chinese Remainder Theorem. | |
| Islam et al. | An efficient and forward-secure lattice-based searchable encryption scheme for the Big-data era | |
| JP6871200B2 (ja) | 鍵合意システム及び鍵生成装置 | |
| US7606369B1 (en) | Process for establishing a common cryptographic key for N subscribers | |
| Kumar et al. | Performance modeling for secure migration processes of legacy systems to the cloud computing | |
| Chang et al. | Secret sharing with access structures in a hierarchy | |
| EP2395698A1 (en) | Implicit certificate generation in the case of weak pseudo-random number generators | |
| Ateniese et al. | The design of a group key agreement api | |
| JP6693503B2 (ja) | 秘匿検索システム、サーバ装置、秘匿検索方法、検索方法、およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200601 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210210 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210413 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210415 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6871200 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |