JPH04191787A - 公開鍵生成方式および公開鍵生成システム - Google Patents

公開鍵生成方式および公開鍵生成システム

Info

Publication number
JPH04191787A
JPH04191787A JP2324479A JP32447990A JPH04191787A JP H04191787 A JPH04191787 A JP H04191787A JP 2324479 A JP2324479 A JP 2324479A JP 32447990 A JP32447990 A JP 32447990A JP H04191787 A JPH04191787 A JP H04191787A
Authority
JP
Japan
Prior art keywords
terminal
public
information
value
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2324479A
Other languages
English (en)
Other versions
JP2956709B2 (ja
Inventor
Toshiharu Harada
俊治 原田
Natsume Matsuzaki
なつめ 松崎
Makoto Tatebayashi
誠 館林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2324479A priority Critical patent/JP2956709B2/ja
Publication of JPH04191787A publication Critical patent/JPH04191787A/ja
Application granted granted Critical
Publication of JP2956709B2 publication Critical patent/JP2956709B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】 産業上の利用分野 本発明は、複数の端末と端末情報発行センターからなる
システムにおいて、各端末が、センターの公開情報と相
手の端末の公開情報を用いて、相手端末の公開鍵を生成
する方式およびシステムに関する。
従来の技術 公開鍵を利用した相手認証、暗号通信、鍵配送、および
署名などのプロトコル(以下では単に公開鍵暗号系プロ
トコルと称する)は、大規模のネットワークに適してい
るため、近年特に注目を浴びている。しかし、公開鍵暗
号系プロトコルでは、公開鍵の完全性、すなわち、その
公開鍵がまさに当該の端末のものであるということが保
証されなければならない。公開鍵の完全性を保証する手
段として、信顛のおけるセンターが公開鍵を管理する方
法と、各端末がそれぞれの公開鍵を自分で管理し、暗号
プロトコルの開始に先だって、相手端末から公開鍵を配
送してもらう方法がある。
前者は、端末数の多い大規模ネットワークに使用する場
合、センターへのアクセスが集中し、センターの鍵管理
の負担が大きくなるという問題点がある。
一方、後者は、センターの負担が軽減される反面、その
公開鍵の完全性を保証するためk、センター発行の署名
情報(証明書と呼ばれることがある)を必要とし、端末
はその署名情報を用いて公開鍵の完全性を確認しなけれ
ばならない。
以上の方法とは別に信頼のおけるセンターが各端末の秘
密鍵と公開可能な数値(以下では単に公開値と称する。
この公開価は秘密鍵に対応する公開鍵そのものではない
)を、端末情報として発行し、この端末情報を用いて相
手認証を行なうプロトコルが、ベスによって、提案され
ている。このベスの方式は、公開値の完全性確認を単独
では行わず、相手端末を認証する時に同時k、公開値の
完全性確認を行なう方式とみることができる。ただしこ
の方式では相手認証プロトコルのみに限定される。
ここでは、まずセンター発行の署名情報を用いて公開鍵
の完全性を確認する方法の一例としてエルガマル署名法
を用いた方法について述べ、次k、ベスの提案した相手
認証の方式について述べる。
なお、エルガマル署名法は離散対数問題の難しさをもと
にした署名法で、”ア パブリンク キークリプトシス
テム アンド ア シグニチャスキーム ベイスト オ
ン ディスクリート ロガリズムズ”アイイーイーイー
 トランザクションオン インフォメイション セオリ
(T、E、E]Gamal:”A public ke
y cryptosystem and a sign
ature 5che++e  based on d
iscrete  logarithms’、IEEE
Trans、 on IT、vol、IT−31,NO
,4PP469−472)に詳しい。また、ヘスの方式
は、”エフィシェント ゼロナレンジ  アイデンティ
フィケーション スキーム フォ スマートカード”ユ
ーロクリブビ88 (Beth: ” Efficie
nt zero−knowledge 1dentif
icatjon  scheme for smart
 cards ”LectNotes Comput 
Sci  VOL330  P77−84  ’8B)
に詳しい。
[従来例1] ここでは、各端末が、各自の公開鍵を管理し、その公開
鍵の完全性をセンター発行の署名情報で保証する方法に
ついて述べる。なお完全性の確認された公開鍵を用いて
、任意の公開鍵暗号系プロトコルを実現できる。以下で
は、1)システム初期設定、2)端末の鍵生成、3)署
名情報の発行請求、4)署名情報の発行、5)公開鍵の
完全性確認の各ステップの順に述べる。なお、1)から
4)の各ステップは端末がこのシステムに加入する時に
一度だけ実行されるステップである。
■)システム初期設定 センターは以下の手順でシステムの初期設定を行なう。
[1]大きな素数もしくは素数のべき乗値qと、GF 
(q)の原始九gを公開する。
ここで、GF(q)はqを法とする有限体を示す。
(2)センターの秘密鍵Xを決め、 Y=gXmodq       (1,1)で定まるY
をセンターの公開鍵として公開する。
ここでmodqはqで除したときの剰余の算出を示す。
また式(1,1,)において、入力値χから出力値Yを
求めることは容易であるが、出力値Yから入力値Xを求
めることは離散対数問題に依存し困難である。このよう
な性質を満たす関数は一方向性関数と呼ばれる。
2)端末の鍵生成 端末iは秘密鍵xiを決定し、xiに対応する公開鍵 yi=g”  modq        (1,2)を
決定する。
3)署名情報の発行請求 端末iは、公開鍵!yiと端末iの識別情報IDiを、
端末の公開情報として、センターに通知し、センターの
署名情報の発行を請求する。
なお、識別情報は名前や住所などの端末固有の公開情報
である。なお、以陣の変数における添字iは任意の端末
i用の変数であることを示す。
4)署名情報の発行 センターは、端末iから受は取った端末の公開悄n (
yi、ID1)に対して、エルガマル署名法を使ってセ
ンター署名情報を発行する。センターによる署名情報の
発行手順は以下のとおりである。
[1)センターはなんらかの手段で端末iの正当性を確
認する。
(2)乱数kiを発生する。
13]工ルガマル署名法を用いて、端末iの公開情報(
識別情報IDi と公開鍵yi)に対する署名情報(t
i、ui) ti=g”  modq         (1,3)
ui=(yi::ID1−×Xti)/ki modφ
 (1,4)  (’ Gはデータの連結を示す。) を生成し、端末iに発行する。
ここでφは、qのオイラー関数値を示す。オイラー関数
については、例えば ”暗号と情報セキュリティ”の第
1章:基礎数学(昭晃堂)に詳しい。なお、発行される
署名情報(ti、ui)は公開可能な情報であり、端末
へは磁気カードなどを媒体として発行される。
5)公開鍵の完全性確認 ここでは、端末jが端末iの公開鍵の完全性をti認す
る場合について述べる。
11]端末jは、端末iより端末iの公開情報(yi、
ID1)とセンター発行の署名情報(t+、u+)を受
は取る。
(2]端末jは、受は取った端末iの公開情報(yi、
 rDi)とセンター発行の署名情1(ti、ui)が
g LY s 1口f1″’=Y” x ti”  m
odq  (1,5)を満たすかどうか検査し、式(1
,5)が成立する場合k、公開鍵yiがまさに端末iの
公開鍵であると認識する。
この従来例によれば、次の(1)〜(4)に列挙のよう
な特徴がある。
(1)各端末が各自の秘密鍵Xと公開鍵yiを生成し、
端末の公開情報(公開鍵yiと識別情報IDi )に対
する署名情報をセンターが発行する。
(2)各端末は、相手端末の公開情報(yi、ID1)
とセンター発行の署名情報(1+、υi)を用いて、相
手端末の公開鍵の完全性を確認する。
(3)完全性の確認された公開鍵を用いて任意の離散対
数演算ヘースの公開鍵暗号系プロトコルを構成できる。
(4)公開鍵の完全性確認k、modq上のべき乗剰余
演算を3回行う必要がある。
[従来法2] ヘスが提案した相手認証プロトコルは、センターの公開
情報と、端末の公開情報(端末の識別情報とセンター発
行の公開値)を用いて相手の認証を行なう方式である。
なお、端末の秘密鍵と公開値は、センターが発行する。
以下では、上述のヘスの文献において推奨されている方
式について、1)システム初期設定、2)端末情報の発
行請求、3)端末情報の発行、4)相手端末の認証の各
ステ、プの順に述べるが、l)か83)の各ステップは
端末がこのシステムに加入する時に一度だけ実行される
ステップである。
1)システム初期設定 センターは以下の手順でシステムを構成する。
[1]大きな素数または素数のべき乗(I!qとGF(
q)の原始元gを公開する。
(2)センターの秘密鍵Xを決め、 Y”gXmad q      (2,1)を公開する
2)端末情報の発行請求 端末iは、識別情@ipiをセンターに通知し、端末情
報として端末の秘密鍵×iと公開値y1の発行を請求す
る。
3)端末情報の発行 センターは、端末情報の発行を以下の手順で行なう。
[1]センターはなんらかの手段で端末iの正当性を確
認する。
[2]乱数kiを発生する。
(3)ユルガマル署名法を用いて、識別情報I D i
に対する署名情報(yi、xi) yi=g”ki  modq       (2,2)
xi=(IDi−×Xyi)/ki modφ  (2
,3)を生成し、xiは端末の秘密鍵として、yiは端
末の公開値として、端末iに発行する。
なお、端末の秘密鍵x1は、ICカードなどの物理的に
安全なメモリを媒体として発行される。
4)相手端末の認証 端末iが端末jに自分の正当性を証明する場合について
説明する。
[11端末iは、端末jに端末の公開情報として、識別
情報rDiおよび端末の公開値yiを送付する。
[2]端末jは受は取った(IDi、yi)を用いてρ
i =Y’凰 川。dq    (2,4)を得る。
(3]端末iは、乱数R4を用いて C1=yi−”  modq    (2,5)を計算
し、端末Jに送付する。
(4]端末jは、乱数Eを端末iに送付する。
[5]端末iは、自身の秘密鍵xiを用いて、C2=E
Xxi +Ri  modφ (2,6)を計算し、端
末jに送付する。
[6]端末jは、v =ExlDi  modφ を求
めρE×yC2×(:l= g%’  mod  q 
 (2,7)が成立するかどうかを検査し、弐(2,7
)が成り立つ場合k、相手端末が、まさに端末iである
と認識する。
この従来例によれば、次の(1)〜(4)に列挙する特
徴がある。
(1)センターが、各端末に対して、各端末の秘密鍵と
端末の公開値を生成する。
(2)各端末は、センターの公開情報と相手端末の公開
情報(公開値yiと識別情報IDi )を用いて、相手
端末の認証を行う。
(3)任意の離散対数演算ヘースの公開鍵暗号系プロト
コルを構成できない。
(4)相手認証時k、a+odq上のべき乗剰余演算を
3回行う必要がある。
発明が解決しようとする課題 ところで、従来例1によれば、相手端末の公開鍵の完全
性は、相手端末の公開情報(yi、 ID1)とセンタ
ー発行の署名情11B (ti、ui )を用いなけれ
ば確認できないし、また、その確認にmodq上のべき
乗剰余演算を3回も行なわねばならず、計算量が大変多
いという課題がある。
一方、従来例2によれば、任意の離散対数演算ベースの
公開鍵暗号系プロトコルを構成できないし、相手認証時
k、modq上のべき乗剰余演算を3回行わねばならず
、やはり計算量が多く煩瑣であるという課題がある。
本発明はこのような点にあって、生成された公開鍵を用
いて任意の離散対数演算ベースの公開暗号系プロトコル
を構成できると共k、公開鍵の完全性の確認をあえて行
う必要がなく、また、べき乗剰余演算の計算蓋を少なく
することのできる公開鍵生成方式および公開鍵生成シス
テムを提案することを目的としている。
課題を解決するための手段 上記目的を達成するため、本発明は、端末情報発行セン
ターが、センターの秘密鍵Xと、ある秘密鍵生成関数S
を有し、ある一方向性関数Fと、ある公開鍵生成関数P
と、前記秘密s!Xを一方向性関数Fに入力したときの
出力値Y=F (X)を、第1および第2の端末に通知
する初期設定ステップと、 第1の端末が端末情報発行センターk、第1の端末固有
の識別情報iを通知し、端末情報の発行を請求する端末
情報発行請求ステップと端末情報発行センターが、ある
乱数値kを前記一方向性関数Fに入力したときの出力値
y−F(k)を生成し、センターの秘密鍵Xと、端末の
公開値yと、乱数値にと、端末の識別情報iを秘密鍵生
成関数Sに入力したときの出力値xを生成し、前記yと
前記Xを端末に発行する端末情報発行ステップと、 第1の端末が、第2の端末k、端末の識別情報iと端末
の公開値yを転送する端末公開情報転送ステップと、 第2の端末が、センターの公開情報Yと、第1の端末の
公開値yと、第1の端末の識別情報iを公開鍵生成関数
Pに入力したときの出力値Cを生成する公開鍵生成ステ
ップを備えたものである。
また、端末情報発行センターが、qを素数もしくは素数
のべき乗値とし、gをqを法とする剰余体の原始元とし
、Uを前記剰余体の元としたとき、前記qを法とし、前
記Uを入力とする前記gのべき乗剰余値 V=g’  modq を出力する一方向性関数Fと、qのオイラー関数値φを
法とし、センターの秘密鍵Xと第1の端末の公開値yの
積と、センターの生成した乱数値にと第1の端末の識別
情報iの積との和 x = X X y + k X i  mod φを
出力する秘密鍵生成関数Sと、qを法とし、第1の端末
の公開値yをべきとしたセンターの公開情報Yのべき乗
剰余値と、第1の端末の識別情報iをべきとした前記第
1の端末の公開値yのべき乗剰余値との積 C= (Y’) X (y’)  modqを出力する
公開鍵生成関数Pを備えたものである。
また、端末情報発行センターが、第1の端末の公開値y
と第1の端末の識別情報iをある定められた関数Hに入
力したときに得られる出力値りと、センターの秘密鍵X
の積と、センターの生成した乱数値にとの和 x=H(y、1)×X+k  mod φ=hxx+k
 mod φ を出力する秘密鍵生成関数Sと、前記qを法とし、第1
の端末の公開値yと第1の端末の識別情報iを前記関数
Hに入力したときに得られる出力値りをべきとしたセン
ターの公開値111Yのべき乗剰余値と、前記第1の端
末の公開値yとの積C= (YHK”) xy  mo
dq= (¥’) ×y  modq を出力する公開鍵生成関数Pを備えたものである。
また、第1の端末が、検証用公開鍵として、第1の端末
の秘密鍵Xを一方向性関数Fに入力したときの出力値V
=F (x)を生成する検証用公開鍵生成ステップと、
第1の端末が、第1の端末の識別情報Iと第1の端末の
公開値yと検証用公開鍵Vを第2の端末に転送する端末
公開情報転送ステップと、 第2の端末が、公開鍵生成ステップで得た第1の端末の
公開鍵Cと前記Vを比較し、一致するか否かを確認する
公開鍵確認ステップを備えたものである。
作用 本発明による公開鍵生成方式では、上述の構成によって
、第2の端末は、センターの公開情報Yと、第1の端末
から受は取った端末の公開情報(公開値yと識別情報i
)を用いて、第1の端末の公開鍵の生成を行なう。端末
の公開鍵の生成k、センター発行の公開情報を用いるた
め、あえて公開鍵の完全性を独立に確認する必要はない
また、特許請求の範囲第2項記載の構成によって、各端
末が相手端末の公開鍵生成に必要な計算量を、べき乗剰
余演算2回にすることが可能である。また特許請求の範
囲第3項記載の構成によって、さらに計算量をべき乗剰
余演算1回に削減可能である。
また特許請求の範囲第4項記載の構成によって、公開鍵
の完全性の確認を独立に行なうことも可能としている。
実施例 第1図は本発明の第1の実施例におけるシステム構成の
概略を示すものであって、10は端末情報発行センター
、20は第1の端末、30は第2の端末、40はセンタ
ーと端末間で設定されている通信路、50は第1の端末
と第2の端末間で設定されている通信路である。
第2図は本発明の第1の実施例による鍵生成方式におけ
る、1)システム初期設定ステップ、2)端末情報請求
ステップ、3)端末情報発行ステップの各ステップの概
略を示し、第3図は、4)端末情報転送ステップ、5〕
公開鍵生成ステップの各ステップの概略を示している。
次に第1の実施例における鍵生成方式の動作について第
2図および第3図を使って詳細に説明する。
工)システム初期設定ステップ センターは以下の手順でシステムを構成する。
[1]大きな素数または素数のべき乗値qとGF(q)
の原始光gを生成し、qを11の法格納部k、gを12
の原始光格納部に格納する。
(2]センターの秘密鍵Xを決定し、13の秘密鍵格納
部に格納し、14の一方向性関数Fにセンターの秘密鍵
Xを入力して Y=F (X) =g”  IIIod Q   (1
)を生成する。(q、g、Y)と公開鍵生成ステップに
おいて使用する公開鍵生成関数Pをセンターの公開情報
として各端末に公開する。
2)端末情報請求ステップ 端末iは21の識別情報格納部に格納された端末i固有
の識別情報IDiを41の端末情報の請求用の通信路を
通じて、センターに通知し、端末情報の発行を請求する
。なお、41の端末情報の請求用の通信路は、相手端末
の正当性を確認できる通信路(認証可能な通信路)であ
るとする。
3)端末情報発行ステップ 端末iからの端末情報発行の請求に対して、センターは
端末情報の発行を以下の手順で行なう。
[1]センターは端末量の正当性をyi認する。
[2]15の乱数生成装置を用いて乱数kiを発生する
[3]乱数kiを14の一方向性関数に入力して端末の
公開値 yi=g”  modq      (2)を生成し、
センターの秘密鍵Xと端末iの公開値yiと乱数kiと
端末iの識別情報IDiを16の第1の秘密鍵生成関数
Sに入力して端末の秘密鍵xi=S (X、yi、ki
、ID1) =×Xyi+kiXIDirod φ(3
) を生成し、42の端末情報発行用通信路を通して端末i
に発行する。ここでφはqのオイラー関数値を示す。
なお、42の端末情報発行用通信路は、外部に対して安
全な通信路とする。例えばICカードなどの物理的に安
全なメモリを媒体とする。
以上のステ、ブは端末がこのシステムに加入するときD
こ一度だけ実行されるステップである。
4)端末公開情報転送ステップ 端末iは、端末」k、21の格納部に格納された識別情
報I D iと22の格納部格納されたセンター発行の
端末iの公開値yiを、51の端末情報転送用通信路を
通して送付する。
5)公開鍵生成ステップ 端末jは、受は取った(IDi、yi)を、31の第1
の公開鍵生成関数Pに入力して、端末iの公開鍵Pi=
P (Y、yijDi) −(Y”)X(yi”’) 
modqを生成する。
このようにして、センターの公開情報と端末の公開情報
を用いて、相手端末の公開鍵を生成する。
なお上述の手順で、相手端末の公開鍵を生成したのち、
次のステップとして、その公開鍵を用いて、さまざまな
公開鍵暗号系プロトコルが実現できる。
ここでは、−例として相手認証プロトコルの例について
以下で述べるが、他の公開鍵を用いた暗号プロ]・コル
に置き換えることもできる。
ここで示す相手認証プロトコルは、チャラムと木崎によ
って提案された相手認証方式をもとにし構成される例で
あり、第6図に概略を示す。なお、チャラムと木崎が提
案した認証方式については、”アン インブルーブト 
ブロトコルフォーデモンストレーティングポゼション 
オブ ディスクリート ロガリズムズ アント サム 
ジェネラリゼイションズ”ユーロクリプト87(D、C
haum;An improved protocol
 for demonstrating posses
sion of discrete logarith
ms and some gent31al 1zat
ions″、 EUROCRYPT87)、または、”
アノード オン ゼロルジ プルーフ フォーサ ディ
スクリート ロガリズム プロブレム”、ザ トランザ
クション オプ ザ アイイーアイシーイー1988(
K、Kizaki:’A note on zero−
knowledge proof for the d
iscrete logarithm problem
″、The Trans、of the IEICE、
Vol、E71.No、1.January、 198
8)に詳しい。
端末iが端末Jに自分の正当性を証明する場合について
説明する。なお端末」は、既に端末工の公開鍵Piを上
述の手順で生成しているものとする。
6)相手認証ステップ [1]端末1は、乱数Riを発生し、 C3=g”  modq を計算し、端末jに送付する。
(2]端末jは、乱数Eを端末iに送付する。
[3)端末iは、自身の秘密鍵xiを用いて、C2=E
Xxi +Ri  modφ を計算し、端末jに送付する。
[4]端末jは、検証式 %式% が成立するか否かを検査し、検証式が成り立つ場合には
相手端末がまさに端末jであると認識する。
上記第1の実施例における特徴は以下のとおりである。
(1)センターが、各端末に対して、各端末の秘密鍵X
と端末の公開値yi (公開鍵ではない)を生成する。
(2)各端末は、センターの公開情報Yと相手端末の公
開情報(公開値yiと識別情報ID1)を用いて、相手
端末の公開鍵P】を生成する。
(3)生成された公開鍵Piを用いて、任意の離散対数
演算ヘースの公開鍵暗号系プロトコルを構成できる。
(4)公開鍵の生成に必要となる計算量は、modq上
のべき乗剰余演算2回である。なお、端末iが自身の秘
密鍵xiを用いて、自分の公開鍵Vi=g”  mod
q を求め、端末jに送付し、端末jはViを第1の公開鍵
生成関数Pで求めた公開鍵Piと比較することによって
公開鍵の完全性を単独に確認することもできる。
また、第1の秘密鍵の生成関数を次式の関数に置き換え
てもよい。
xi=S (X、yi、ki、ID1) =×XTDi
+yiXkiIllOdφ この時、第1の公開鍵生成関数は、 Pi=P  (Y、yi、ID1)  =(Y”’)X
(yi”)  modqとなる。
第4図は本発明の第2の実施例による鍵生成方式におけ
る、1)システム初期設定ステップ、2)端末情報請求
ステップ、3)端末情報発行ステップの各ステップの概
略を示し、第5図は、4)端末情報転送ステ、プ、5)
公開鍵生成ステップの各ステ。
ブの概略を示している。
次に第2の実施例における鍵生成方式の動作について第
4図および第5図を使って詳細に説明する。この実施例
は、第1の実施例にハツシュ関数を導入することによっ
て、公開鍵生成における計算量を削減するものである。
なお、ハツシュ関数の計算量はべき乗剰余演算に比べて
極めて小さいとしている。
1)システム初期設定ステップ センターは以下の手順でシステムを構成する。
[1)大きな素数または素数のべき乗値qとGF(q)
の原始光gを生成し、qを11の法格納部に格納し、g
を12の原始光格納部に格納する。
:2゛センターの秘密鍵Xを決定二、】3の秘密鍵格納
部ユニ格納し、■4の一方向性関数Fにセンターの秘密
鍵Xを入力巳で Y=F  (X) =@ymod q   (5)を生
成する。
[3)ハツシュ関数hash()を決定し、公開する。
ここでハツシュ関数とは、複数の入力データに対′−て
それらに依存した1縮データを出力する関数のことであ
る。センターの公開情報と二で(Q、g。
Y)と、ハツシュ関数hash()と、公開鍵生成ステ
ップにおいて使用する公開鍵生成関数Pを各端末に公開
する。
2)端末情報請求ステップ 端末jは2】の識別情報格納部に格納された端末i固を
の識別情報IDiを410端末情報の請求用の通信路を
通じて、センター二二通知し、端末情報の発行を請求す
る。なお、41の端末情報の請求用の通信路は、相手端
末の正当性を確認できる通信路(認証可能な通信路)で
あるとする。
3)端末情報発行ステップ 端末】からの端末情報発行の請求に対しで、センターは
端末情報の発行を以下の手順で行なう。
11]センターは端末iの正当性を確認1する。
[205の乱数生成装置を用いて乱数に1を発生する。
13)乱数k]を14の一方向性関数に入力して端末の
公開値 Vi = gklmodq    (6)を生成し、識
別情報r旧と乱数に1とセンターの秘密鍵χと端末の公
開値yiを17の第2の秘密鍵生成関数Sに入力して端
末の秘密鍵 xi=S (X、yi、ki、ID1) −hash(
IDi、yi)xX+ki  mod φ =×Xhi+ki  mod φ を生成し、42の端末情報発行用通信路を通して端末i
に発行する。ここでφはqのオイラー関数値を示す。
なお、42の端末情報発行用通信路は、外部↓二対して
安全な通信路とする。例えばICカートなどの物理的5
二安全なメモリを媒体として発行することにより実現す
る。
以上のステップは端末がこのンステムに加入するときに
一度だけ実行されるステップである。
4)端末公開情報転送ステ・ノブ 端末1は、端末」k、21の識別情報格納部に格納され
た識別情報I D iと22の格納部格納されたセンタ
ー発行の端末jの公開値yiを、51の端末情報転送用
通信路を通して送付する。
5)公開鍵生成ステップ 端末jは、受は取った(IDi、yi)を、32の第2
の公開鍵生成関数Pに入力して、端末iの公開鍵Pi=
P (yi、IDi、Y) =Y”s)+D””×yj
 modq=(Y′′)×yi  modq (8)を
生成する。
このようにして、センターの公開情報と端末の公開情報
を用いて、相手端末の公開鍵を生成する。
なお上述の手順で、相手端末の公開鍵を生成したのち、
第1の実施例と同様k、次のステップとして、その公開
鍵を用いで、さまざまな公開鍵暗号系プロトコルが実現
できる。
以上の第2の実施例にお:する特徴は、第1の実施例の
(1)〜(4)の特f’Th4こ加え、(5)公開鍵生
成までの計算量が、べき乗剰余演算1回とハツシュ関数
の演算1回で済むという点もある。
なお、端末iが自身の秘密鍵xiを用いて、自分の公開
鍵 Vi=g”  modq を求め、端末jに送付し、端末j は、このvlと、第
2の公開鍵生成関数Pを用いて生成した公開鍵Piを比
較することによって公開鍵の完全性を単独に確認するこ
ともできる。
また、第2の秘密鍵の生成関数を次式の関数に置き換え
てもよい。
xi=S (X、yi、kj、ID1) =X−has
h(IDi、yi)Xki  mod φ =X−+−hiXki  modφ この時、第2の公開鍵生成関数は、 Pi=P (Y、yi、ID1) =Y×yi””””
”” modq= Y X  (yi”)  modq
となる。
発明の効果 以上の説明から明らかなように本発明は、各端末が、セ
ンターの公開情報と、相手端末の公開情報(センター発
行の端末の公開値と端末の識別情報)を用いて、公開鍵
を生成する方式であるので、本発明による公開鍵生成方
式で生成した公開鍵を用いれば、相手認証、暗号通信、
署名などの公開鍵暗号系プロトコルを実現できると共k
、その場合、従来独立に必要であった公開鍵の完全性確
認のステップを省略することができるという効果がある
。また、各端末が各自の秘密鍵を用いて直接生成じだ検
証用公開鍵と、各端末が、相手端末の公開情報から生成
した公開鍵を比較することで、公開鍵の完全性確認を独
立に行なうことも可能であるという効果もある。
蛍k、公開鍵の生成に必要な計算量が、従来の技術では
べき乗剰余演算3回であったが、本発明では、べき乗剰
余演算2回に削減でき、さらにハフ・シュ関数を導入す
ることによって、べき乗剰余演算1回に削減している。
なお、本発明(こおいては端末の秘密鍵はセンターが生
成するので、センターから端末への配送には物理的安全
性が保証されたTCカートなどの媒体を用いることが必
要である。
【図面の簡単な説明】
第1図は本発明の第1の実施例による鍵生成方式のシス
テムの構成図。第2図は本発明の第1の実施例の構成図
(1)。第3図は本発明の第】の実施例の構成図(2)
。第4図は本発明の第2の実施例の構成図(1)。第5
図は本発明の第2の実施例の構成図(2)。第6図は従
来の技術による相手認証プロトコル。 10・・・端末情報発行センター、20・・・第1の端
末、30・・・第2の端末、40・・・センター・端末
間通信路、50・・・第1の端末・第2の端末間通信路
、11・・・法格納部、31・・・第1の公開鍵生成関
数、12・・・原始光格納部、32・・・第2の公開鍵
生成関数、13・・・秘密鍵格納部、41・・・端末情
報発行請求用通信路、14・・・一方向性関数、42・
・・端末情報発行用通信路、15・・・乱数生成装置、
51・・・端末情報転送用通信路、16・・・第1の秘
密鍵生成関数、17・・・第2の秘密鍵生成関数、22
・・・公開個格納部、21・・・識別情報格納部。 代理人  弁理士  中 島 司 朗

Claims (8)

    【特許請求の範囲】
  1. (1)固有の識別情報を有する第1の端末と第2の端末
    とこれらを含むネットワークと端末情報発行センターで
    構成されるシステムにおいて、 前記端末情報発行センターが、センターの秘密鍵Xと、
    端末の秘密鍵を生成するためのある秘密鍵生成関数Sを
    有し、端末の公開鍵を生成するためのある公開鍵生成関
    数Pと、ある一方向性関数Fと、前記センターの秘密鍵
    Xを前記一方向性関数Fに入力したときの出力値Y=F
    (X)を、センターの公開情報として、前記第1および
    第2の端末に通知するシステム初期設定ステップと、前
    記第1の端末が、第1の端末固有の識別情報iを前記端
    末情報発行センターに通知し、前記第1の端末の端末情
    報として、前記第1の端末の秘密鍵と公開値の発行を請
    求する端末情報請求ステップと 前記第1の端末からの端末情報発行請求を受けた前記端
    末情報発行センターが、前記第1の端末の公開値として
    、ある乱数値にを前記一方向性関数Fに入力したときの
    出力値y=F(k)を生成し、前記第1の端末の秘密鍵
    として、前記センターの秘密鍵Xと、前記第1の端末の
    公開値yと、前記乱数値kと、前記第1の端末の識別情
    報iを前記秘密鍵生成関数Sに入力したときの出力値x
    =S(X、y、k、i) を生成し、前記第1の端末の公開値yと、前記第1の端
    末の秘密鍵xを前記第1の端末の端末情報として発行す
    る端末情報発行ステップと、 前記端末情報発行センターから端末情報の発行を受けた
    前記第1の端末が、前記第2の端末に対して、前記第1
    の端末の公開情報として、前記第1の端末の公開値yと
    識別情報iを、前記通信ネットワークを介して転送する
    端末公開情報転送ステップと、 前記第1の端末から前記端末公開情報の転送を受けた前
    記第2の端末が、前記第1の端末の公開鍵として、前記
    センターの公開情報Yと、前記第1の端末の公開値yと
    、前記第1の端末の識別情報iを前記公開鍵生成関数P
    に入力したときの出力値 C=P(Y、y、i) を生成する公開鍵生成ステップから構成されることを特
    徴とした公開鍵生成方式。
  2. (2)請求項1記載の公開鍵生成方式において、qを素
    数もしくは素数のべき乗値とし、gを前記qを法とする
    剰余体の原始元とし、uを前記剰余体のある元としたと
    き、前記一方向性関数Fとして、前記qを法とし、前記
    uを入力とする前記gのべき乗剰余値 v=F(u)=g^umodq を出力する関数を使用し、φを前記qのオイラー関数値
    としたとき、前記秘密鍵生成関数Sとして、前記φを法
    とし、センターの秘密鍵Xと第1の端末の公開値yの積
    と、センターの生成した乱数値kと第1の端末の識別情
    報iの積との和 x=S(X、y、k、i) =X×y+k×jmodφ を出力する関数を使用し、前記公開鍵生成関数Pとして
    、前記qを法とし、前記第1の端末の公開値yをべきと
    した前記センターの公開情報Yのべき乗剰余値と、前記
    第1の端末の識別情報iをべきとした前記第1の端末の
    公開値yのべき乗剰余値との積 C=P(Y、y、i) =(Y^y)×(y^i)modq を出力する関数を使用することを特徴とする公開鍵生成
    方式。
  3. (3)請求項1記載の公開鍵生成方式において、qを素
    数もしくは素数のべき乗値とし、gを前記qを法とする
    剰余体の原始元とし、uを前記剰余体のある元としたと
    き、前記一方向性関数Fとして、前記qを法とし、前記
    uを入力とする前記gのべき乗剰余値 v=F(u)=g^umodq を出力する関数を使用し、φを前記qのオイラー関数値
    としたとき、前記秘密鍵生成関数Sとして、前記φを法
    とし、前記第1の端末の公開値yと前記第1の端末の識
    別情報iをある公開の関数Hに入力したときに得られる
    出力値hと、前記センターの秘密鍵Xの積と、前記セン
    ターの生成した乱数値kとの和 x=S(X、y、k、i) =H(y、i)×X+kmodφ =h×X+kmodφ を出力する関数を使用し、前記公開鍵生成関数Pとして
    、前記qを法とし、前記第1の端末の公開値yと前記第
    1の端末の識別情報iを前記関数Hに入力したときに得
    られる出力値hをべきとした前記センターの公開情報Y
    のべき乗剰余値と、前記第1の端末の公開値yとの積 C=P(Y、y、i) =(Y^H^(^y^、^i^))×ymodq=(Y
    ^h)×ymodq を出力する関数を使用することを特徴とする公開鍵生成
    方式。
  4. (4)請求項1記載の公開鍵生成方式であって、前記端
    末情報の発行ステップの後に、前記第1の端末が、検証
    用公開鍵として、前記第1の端末の秘密鍵xを前記一方
    向性関数Fに入力したときの出力値V=F(x)を生成
    する検証用公開鍵生成ステップを追加し、 前記端末公開情報転送ステップにおいて、前記第1の端
    末が、前記第2の端末に、前記検証用公開鍵Vと、前記
    第1の端末の識別情報iと、前記第1の端末の公開値y
    を、前記第1の端末の公開情報として前記通信ネットワ
    ークを介して転送し、前記第1の端末から端末公開情報
    の転送を受けた前記第2の端末が、前記公開鍵生成ステ
    ップの後に、前記公開鍵生成ステップで生成された前記
    第1の端末の公開鍵Cと前記検証用公開鍵Vを比較し、
    一致するか否かを確認する公開鍵確認ステップを追加す
    ることを特徴とした公開鍵生成方式。
  5. (5)固有の識別情報を有する第1の端末と第2の端末
    とこれらを含むネットワークと端末情報発行センターで
    構成されるシステムであって、 前記端末情報発行センターは、センターの秘密鍵Xと、
    端末の秘密鍵を生成するためのある秘密鍵生成関数Sを
    有し、端末の公開鍵を生成するためのある公開鍵生成関
    数Pと、ある一方向性関数Fと、前記センターの秘密鍵
    Xを前記一方向性関数Fに入力したときの出力値Y=F
    (X)を、センターの公開情報として、前記第1および
    第2の端末に通知するシステム初期設定部と、 前記第1の端末は、第1の端末固有の識別情報iを前記
    端末情報発行センターに通知し、前記第1の端末の端末
    情報として、前記第1の端末の秘密鍵と公開値の発行を
    請求する端末情報請求部と、前記第1の端末からの端末
    情報発行請求を受けた前記端末情報発行センターが、前
    記第1の端末の公開値として、ある乱数値kを前記一方
    向性関数Fに入力したときの出力値y=F(k)を生成
    し、前記第1の端末の秘密鍵として、前記センターの秘
    密鍵Xと、前記第1の端末の公開値yと、前記乱数値k
    と、前記第1の端末の識別情報iを前記秘密鍵生成関数
    Sに入力したときの出力値x=S(X、y、k、i) を生成し、前記第1の端末の公開値yと、前記第1の端
    末の秘密鍵xを前記第1の端末の端末情報として発行す
    る端末情報発行部と、 前記端末情報発行センターから端末情報の発行を受けた
    前記第1の端末が、前記第2の端末に対して、前記第1
    の端末の公開情報として、前記第1の端末の公開値yと
    識別情報iを、前記通信ネットワークを介して転送する
    端末公開情報転送部と、 前記第1の端末から前記端末公開情報の転送を受けた前
    記第2の端末が、前記第1の端末の公開鍵として、前記
    センターの公開情報Yと、前記第1の端末の公開値yと
    、前記第1の端末の識別情報iを前記公開鍵生成関数P
    に入力したときの出力値 C=P(Y、y、i) を生成する公開鍵生成部から構成されることを特徴とし
    た公開鍵生成システム。
  6. (6)請求項5記載の公開鍵生成システムにおいて、q
    を素数もしくは素数のべき乗値とし、gを前記qを法と
    する剰余体の原始元とし、uを前記剰余体のある元とし
    たとき、前記一方向性関数Fとして、前記qを法とし、
    前記uを入力とする前記gのべき乗剰余値 v=F(u)=g^umodq を出力する関数を使用し、φを前記qのオイラー関数値
    としたとき、前記秘密鍵生成関数Sとして、前記φを法
    とし、センターの秘密鍵Xと第1の端末の公開値yの積
    と、センターの生成した乱数値kと第1の端末の識別情
    報iの積との和 x=S(X、y、k、i) =X×y+k×imodφ を出力する関数を使用し、前記公開鍵生成関数Pとして
    、前記qを法とし、前記第1の端末の公開値yをべきと
    した前記センターの公開情報Yのべき乗剰余値と、前記
    第1の端末の識別情報iをべきとした前記第1の端末の
    公開値yのべき乗剰余値との積 C=P(Y、y、i) =(Y^y)×(y^i)modq を出力する関数を使用することを特徴とする公開鍵生成
    システム。
  7. (7)請求項5記載の公開鍵生成システムにおいて、q
    を素数もしくは素数のべき乗値とし、gを前記qを法と
    する剰余体の原始元とし、uを前記剰余体のある元とし
    たとき、前記一方向性関数Fとして、前記qを法とし、
    前記uを入力とする前記gのべき乗剰余値 v=F(u)=g^umodq を出力する関数を使用し、φを前記qのオイラー関数値
    としたとき、前記秘密鍵生成関数Sとして、前記φを法
    とし、前記第1の端末の公開値yと前記第1の端末の識
    別情報iをある公開の関数Hに入力したときに得られる
    出力値hと、前記センターの秘密鍵Xの積と、前記セン
    ターの生成した乱数値kとの和 x=S(X、y、k、i) =H(y、i)×X+kmodφ =h×X+kmodφ を出力する関数を使用し、前記公開鍵生成関数Pとして
    、前記qを法とし、前記第1の端末の公開値yと前記第
    1の端末の識別情報iを前記関数Hに入力したときに得
    られる出力値hをべきとした前記センターの公開情報Y
    のべき乗剰余値と、前記第1の端末の公開値yとの積 C=P(Y、y、i) H(Y^H^(^y^、^i^))×ymodq=(Y
    ^h)×ymodq を出力する関数を使用することを特徴とする公開鍵生成
    システム。
  8. (8)請求項5記載の公開鍵生成システムであって、前
    記端末情報の発行ステップの後に、前記第1の端末が、
    検証用公開鍵として、前記第1の端末の秘密鍵xを前記
    一方向性関数Fに入力したときの出力値V=F(x)を
    生成する検証用公開鍵生成ステップを追加し、 前記端末公開情報転送ステップにおいて、前記第1の端
    末が、前記第2の端末に、前記検証用公開鍵Vと、前記
    第1の端末の識別情報iと、前記第1の端末の公開値y
    を、前記第1の端末の公開情報として前記通信ネットワ
    ークを介して転送し、前記第1の端末から端末公開情報
    の転送を受けた前記第2の端末が、前記公開鍵生成ステ
    ップの後に、前記公開鍵生成ステップで生成された前記
    第1の端末の公開鍵Cと前記検証用公開鍵Vを比較し、
    一致するか否かを確認する公開鍵確認ステップを追加す
    ることを特徴とした公開鍵生成システム。
JP2324479A 1990-11-26 1990-11-26 公開鍵生成方法及び装置 Expired - Fee Related JP2956709B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2324479A JP2956709B2 (ja) 1990-11-26 1990-11-26 公開鍵生成方法及び装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2324479A JP2956709B2 (ja) 1990-11-26 1990-11-26 公開鍵生成方法及び装置

Publications (2)

Publication Number Publication Date
JPH04191787A true JPH04191787A (ja) 1992-07-10
JP2956709B2 JP2956709B2 (ja) 1999-10-04

Family

ID=18166264

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2324479A Expired - Fee Related JP2956709B2 (ja) 1990-11-26 1990-11-26 公開鍵生成方法及び装置

Country Status (1)

Country Link
JP (1) JP2956709B2 (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09261218A (ja) * 1996-03-27 1997-10-03 Nippon Telegr & Teleph Corp <Ntt> 計算機システムの認証方法
JP2001520483A (ja) * 1997-10-14 2001-10-30 サーティコム コーポレーション 鍵認証方式
JP2002508529A (ja) * 1998-03-23 2002-03-19 サーティコム コーポレーション 内在的証明書方式
JP2002515613A (ja) * 1998-05-08 2002-05-28 サーティコム コーポレーション 秘密鍵の妥当性および確認
JP2003500923A (ja) * 1999-05-21 2003-01-07 インターナショナル・ビジネス・マシーンズ・コーポレーション セキュア通信をイニシャライズし、装置を排他的にペアリングする方法、コンピュータ・プログラムおよび装置
US6886095B1 (en) 1999-05-21 2005-04-26 International Business Machines Corporation Method and apparatus for efficiently initializing secure communications among wireless devices
US8116451B2 (en) 1998-10-14 2012-02-14 Certicom Corporation Key validation scheme
US8229113B2 (en) 1996-05-17 2012-07-24 Certicom Corp. Strengthened public key protocol
JP2018170642A (ja) * 2017-03-30 2018-11-01 株式会社アクセル 復号装置、鍵作成装置、暗号化装置、暗号処理システム、復号方法及び復号プログラム
JP2019165518A (ja) * 2019-07-09 2019-09-26 株式会社アクセル 暗号処理システム、暗号処理方法及び暗号処理プログラム
WO2020241817A1 (ja) * 2019-05-29 2020-12-03 株式会社bitFlyer Blockchain 公開鍵の信頼性を証明するための装置、方法及びそのためのプログラム

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3770101B2 (ja) 2001-04-17 2006-04-26 ソニー株式会社 データ転送方法、転送データ記録方法、データ転送システム、データ転送装置

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09261218A (ja) * 1996-03-27 1997-10-03 Nippon Telegr & Teleph Corp <Ntt> 計算機システムの認証方法
US8983064B2 (en) 1996-05-17 2015-03-17 Certicom Corp. Strengthened public key protocol
US8229113B2 (en) 1996-05-17 2012-07-24 Certicom Corp. Strengthened public key protocol
JP2010093860A (ja) * 1997-10-14 2010-04-22 Certicom Corp 鍵認証方式
JP2001520483A (ja) * 1997-10-14 2001-10-30 サーティコム コーポレーション 鍵認証方式
JP2013042555A (ja) * 1997-10-14 2013-02-28 Certicom Corp 鍵認証方式
US8712042B2 (en) 1998-03-23 2014-04-29 Certicom Corp. Implicit certificate scheme
JP2010097236A (ja) * 1998-03-23 2010-04-30 Certicom Corp 内在的証明書方式
JP2002508529A (ja) * 1998-03-23 2002-03-19 サーティコム コーポレーション 内在的証明書方式
US8705735B2 (en) 1998-03-23 2014-04-22 Certicom Corp. Implicit certificate scheme
JP2013102549A (ja) * 1998-03-23 2013-05-23 Certicom Corp 内在的証明書方式
JP4731686B2 (ja) * 1998-05-08 2011-07-27 サーティコム コーポレーション 秘密鍵の妥当性および確認
JP2002515613A (ja) * 1998-05-08 2002-05-28 サーティコム コーポレーション 秘密鍵の妥当性および確認
US8594324B2 (en) 1998-10-14 2013-11-26 Certicom Corp. Key validation scheme
US8116451B2 (en) 1998-10-14 2012-02-14 Certicom Corporation Key validation scheme
JP2003500923A (ja) * 1999-05-21 2003-01-07 インターナショナル・ビジネス・マシーンズ・コーポレーション セキュア通信をイニシャライズし、装置を排他的にペアリングする方法、コンピュータ・プログラムおよび装置
US6886095B1 (en) 1999-05-21 2005-04-26 International Business Machines Corporation Method and apparatus for efficiently initializing secure communications among wireless devices
JP2018170642A (ja) * 2017-03-30 2018-11-01 株式会社アクセル 復号装置、鍵作成装置、暗号化装置、暗号処理システム、復号方法及び復号プログラム
WO2020241817A1 (ja) * 2019-05-29 2020-12-03 株式会社bitFlyer Blockchain 公開鍵の信頼性を証明するための装置、方法及びそのためのプログラム
US12010230B2 (en) 2019-05-29 2024-06-11 Bitflyer Blockchain, Inc. Device and method for certifying reliability of public key, and program for same
JP2019165518A (ja) * 2019-07-09 2019-09-26 株式会社アクセル 暗号処理システム、暗号処理方法及び暗号処理プログラム

Also Published As

Publication number Publication date
JP2956709B2 (ja) 1999-10-04

Similar Documents

Publication Publication Date Title
JP4545831B2 (ja) データカード検証装置
JP2870163B2 (ja) 認証機能付き鍵配送方式
JP5171991B2 (ja) 鍵合意および移送プロトコル
CN111682938B (zh) 面向中心化移动定位系统的三方可认证密钥协商方法
JP2666191B2 (ja) データ交換システムにおける加入者相互のアイデンテイフイケーシヨンならびに署名の発生および確認のための方法
EP0786178B1 (en) Secret-key certificates
US20210160087A1 (en) Temporal Key Generation And PKI Gateway
US9882890B2 (en) Reissue of cryptographic credentials
WO1998034202A9 (en) Data card verification system
CN111159745B (zh) 一种适用于区块链的验证方法及装置
JPH04191787A (ja) 公開鍵生成方式および公開鍵生成システム
CN110557260B (zh) 一种sm9数字签名生成方法及装置
JP4307589B2 (ja) 認証プロトコル
Muleravicius et al. Security, trustworthiness and effectivity analysis of an offline E-cash system with observers
KR100258310B1 (ko) 안전 모듈에서의 사전계산을 이용한 공개키 암호화 방법
JPH07118709B2 (ja) 秘密情報通信方式
CN114710273B (zh) 一种通信系统的密钥产生方法
Anisimov et al. Authentication for Coalition Groups
JPH04191788A (ja) 公開鍵生成方式及び公開鍵生成装置
JP2629452B2 (ja) 公開鍵生成方法と鍵共有方法
Ranjithkumar A Secure ElGamal Cryptosystem Using Zero Knowledge Protocol
Lin RPCAE: a novel revocable proxy convertible authenticated encryption scheme
CN114422158A (zh) 一种基于id密码学的抗量子计算数字货币通信方法及系统
JP2001352319A (ja) 統合装置
Wu et al. Toward efficient convertible authenticated encryption schemes using self-certified public key system

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees