JPH0470028A - オブリビアス・トランスファ暗号通信方法 - Google Patents
オブリビアス・トランスファ暗号通信方法Info
- Publication number
- JPH0470028A JPH0470028A JP2180954A JP18095490A JPH0470028A JP H0470028 A JPH0470028 A JP H0470028A JP 2180954 A JP2180954 A JP 2180954A JP 18095490 A JP18095490 A JP 18095490A JP H0470028 A JPH0470028 A JP H0470028A
- Authority
- JP
- Japan
- Prior art keywords
- receiver
- sender
- data
- key data
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012546 transfer Methods 0.000 title claims abstract description 18
- 238000004891 communication Methods 0.000 title claims description 12
- 238000000034 method Methods 0.000 title claims description 7
- 238000007796 conventional method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Abstract
(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。
め要約のデータは記録されません。
Description
【発明の詳細な説明】
[産業上の利用分野]
この発明はオブリビアス・トランスファ(Oblivj
ous Transfer)システムを用いて暗号通
信を行う方法に関するものである。
ous Transfer)システムを用いて暗号通
信を行う方法に関するものである。
[従来の技術]
従来、暗号通信において、様々な通信プロトコルが用い
られているが、こうした暗号通信のなかで、オブリビア
ス・トランスファは、送信者が2つのストリング(デー
タ列)So、Slを持っており、受信者はbE (0,
1)を持っており、プロトコルが終了した時点で、 1、受信者はストリングSbを知る。
られているが、こうした暗号通信のなかで、オブリビア
ス・トランスファは、送信者が2つのストリング(デー
タ列)So、Slを持っており、受信者はbE (0,
1)を持っており、プロトコルが終了した時点で、 1、受信者はストリングSbを知る。
2、受信者はストリングS に関して、なに−b
も情報を得ない。
3、送信者はbに関して、なにも情報を得ない。
の3つの条件を満たす。このオブリピアス会トランスフ
ァは、認証など様々な暗号通信に応用されるが、例えば
、黒沢馨・皆藤智志、 ”NonInteractiv
e 1−out−of−nOblivious Tr
ansferと3−move ZKIP ”電子情
報通信学会技術研究報告、情報セキュリティ、ISEC
904に示された方法があった。
ァは、認証など様々な暗号通信に応用されるが、例えば
、黒沢馨・皆藤智志、 ”NonInteractiv
e 1−out−of−nOblivious Tr
ansferと3−move ZKIP ”電子情
報通信学会技術研究報告、情報セキュリティ、ISEC
904に示された方法があった。
以ドこの従来の方法について説明する。
まず、ステップ1において、送信者は大きな素数pと、
法pにおける原、始元gと、Z の冗Cとをランダム
に選び、公開鍵データ(p、g、C)を受信者に送る。
法pにおける原、始元gと、Z の冗Cとをランダム
に選び、公開鍵データ(p、g、C)を受信者に送る。
次にステップ2において、受信者はiE (0,1)
とx、EZ とをラング p−1 ムに選び、 β、=g 1 mod p。
とx、EZ とをラング p−1 ムに選び、 β、=g 1 mod p。
β、 =Cxg −mod pを計算し、チ
ャネルデータ(β0.β1)を送信者ニ送る。次にステ
ップ3において、送信者は受信者から送られたチャネル
データが βo×β1=C を満たすかどうかを確かめる。チャネルデータ(β。、
β1)が正当であれば、これを送信者と受信者間のオブ
リビアス・トランスファ・チャネルとして用いる。即ち
送信者は(p、 g、 β0)及び(p、 g、
β1)をエルガマル暗号の公開鍵とみなし、M o
、 M 1をそれぞれで暗号し、受信者に送る。受信
者は、β0.β、のうちどちらか一方のみの離散対数を
知っている。よって、通常のエルガマル暗号の復号法に
より、MO2M1のうちどちらか一方だけを得る。
ャネルデータ(β0.β1)を送信者ニ送る。次にステ
ップ3において、送信者は受信者から送られたチャネル
データが βo×β1=C を満たすかどうかを確かめる。チャネルデータ(β。、
β1)が正当であれば、これを送信者と受信者間のオブ
リビアス・トランスファ・チャネルとして用いる。即ち
送信者は(p、 g、 β0)及び(p、 g、
β1)をエルガマル暗号の公開鍵とみなし、M o
、 M 1をそれぞれで暗号し、受信者に送る。受信
者は、β0.β、のうちどちらか一方のみの離散対数を
知っている。よって、通常のエルガマル暗号の復号法に
より、MO2M1のうちどちらか一方だけを得る。
U発明が解決しようとする課題J
以Fのような従来のオブリビアス・トランスファにおい
ては、受信者か、どちらか一方のチャネルしか開くこと
のできないチャネルを構成できるが、ステップ1で、不
正な送信者が、gを法pにおける原始光として構成しな
いで、不当な公開鍵データを受信者に送る場合には、次
のようにして、送信者は、受信者がどちらのチャネルを
開くことができるかを知ることができる。即ち、送信者
は大きな素数pと、法pにおいて原始光ではなく、p
次非剰余である2 の元Cを選び、l
p(p、g、C)を公開鍵デー
タとして受信者に送る。受信者はiE (0,HとX、
EZ と p−1 をランダムに選び、 X β =□xg 1 mod pを計
算し、チャネルデーター(β0.β1)を送信者に送る
。送信者は受信者から送られたチャネルデータか βo×β1=C であるかとうかを確かめる。次に送信者は、受信者から
送られたβ0が01次剰余であれば、受信者が開くこと
のできるチャネルがβ0をもちいる方であると判断し、
β0がpi次非剰余であれば、送信者が開くことのでき
るチャネルがβ1をもちいた方であると判断する。
ては、受信者か、どちらか一方のチャネルしか開くこと
のできないチャネルを構成できるが、ステップ1で、不
正な送信者が、gを法pにおける原始光として構成しな
いで、不当な公開鍵データを受信者に送る場合には、次
のようにして、送信者は、受信者がどちらのチャネルを
開くことができるかを知ることができる。即ち、送信者
は大きな素数pと、法pにおいて原始光ではなく、p
次非剰余である2 の元Cを選び、l
p(p、g、C)を公開鍵デー
タとして受信者に送る。受信者はiE (0,HとX、
EZ と p−1 をランダムに選び、 X β =□xg 1 mod pを計
算し、チャネルデーター(β0.β1)を送信者に送る
。送信者は受信者から送られたチャネルデータか βo×β1=C であるかとうかを確かめる。次に送信者は、受信者から
送られたβ0が01次剰余であれば、受信者が開くこと
のできるチャネルがβ0をもちいる方であると判断し、
β0がpi次非剰余であれば、送信者が開くことのでき
るチャネルがβ1をもちいた方であると判断する。
従来の方法ではこうした送信者の不正が可能であリオブ
リビアス・トランスファとしては不完全であるという問
題点があった。
リビアス・トランスファとしては不完全であるという問
題点があった。
[課題を解決するための手段]
この発明に係るオブリピアス会トランスファは、送信者
が、公開鍵データを構成し、受信者に送るとともに、こ
の公開鍵データの正当性をしめずチェクデータを構成し
て受信者に送ることを手段として、受信者は、送信者か
ら受け取った公開鍵ブタが正当であるかどうかを、送信
者から受け取ったチェクデータに基づき確認し、公開鍵
データと受信者が生成した乱数とに基つき、チャネルブ
タを構成し、このチャネルデータを、送信者へ送ること
で、送受信者間のオブリビアス・トランスファを構成す
る。
が、公開鍵データを構成し、受信者に送るとともに、こ
の公開鍵データの正当性をしめずチェクデータを構成し
て受信者に送ることを手段として、受信者は、送信者か
ら受け取った公開鍵ブタが正当であるかどうかを、送信
者から受け取ったチェクデータに基づき確認し、公開鍵
データと受信者が生成した乱数とに基つき、チャネルブ
タを構成し、このチャネルデータを、送信者へ送ること
で、送受信者間のオブリビアス・トランスファを構成す
る。
[作用]
この発明においては、送信者が、公開鍵データに加えて
、この公開鍵データの正当性をしめすチェク・データを
受信者に送るので、受信者は送信者から受け取った公開
鍵データが正当であるかどうかを、送信者から受け取っ
たチェクデータに基づき確認することができ、不正な送
信者が、不当な公開鍵データを受信者に送り、受信者が
どちらのチャネルを開くことができるかを知ることを防
いでいる。
、この公開鍵データの正当性をしめすチェク・データを
受信者に送るので、受信者は送信者から受け取った公開
鍵データが正当であるかどうかを、送信者から受け取っ
たチェクデータに基づき確認することができ、不正な送
信者が、不当な公開鍵データを受信者に送り、受信者が
どちらのチャネルを開くことができるかを知ることを防
いでいる。
[実施例]
以下、この発明の一実施例を図について説明する。図は
この発明の一実施例を示すブロック図である1、図にお
いて、(1)は送信者の操作により乱数を生成する乱数
発生器、(2)は送信者が生成Jる乱数や、受(,1者
から送られるデータを記憶する送信者側メモリ、(3)
は送信者の操作により、演算を行う演算器、(4)は送
信者と受信者とかデータのやりとりを行う通常の通信回
線、(5)は送<r”’r者と受信者との間のオブリビ
アス・トランスファ・チャネル、(6)は受信者の操作
により乱数を!1−成する乱数発生器、(7)は受信者
が生成する乱数や、送信者から送られるデ〜、りを記憶
する受信者側メモリ、(8)は受信者の操作により、通
常の演算を行う演算器、(9)は受信者の操作により、
送信者から送られるgがIts始丸であることを確かめ
る演算を行う演算器であり、I−記、乱数発生器(1)
、メモリ(2)、および演算器(3)により送信者側装
置(10)が構成され、乱数発生器(6)、メモリ(7
)、演算器(8)および演算器(9)により受信者側装
置(11)が構成されている。
この発明の一実施例を示すブロック図である1、図にお
いて、(1)は送信者の操作により乱数を生成する乱数
発生器、(2)は送信者が生成Jる乱数や、受(,1者
から送られるデータを記憶する送信者側メモリ、(3)
は送信者の操作により、演算を行う演算器、(4)は送
信者と受信者とかデータのやりとりを行う通常の通信回
線、(5)は送<r”’r者と受信者との間のオブリビ
アス・トランスファ・チャネル、(6)は受信者の操作
により乱数を!1−成する乱数発生器、(7)は受信者
が生成する乱数や、送信者から送られるデ〜、りを記憶
する受信者側メモリ、(8)は受信者の操作により、通
常の演算を行う演算器、(9)は受信者の操作により、
送信者から送られるgがIts始丸であることを確かめ
る演算を行う演算器であり、I−記、乱数発生器(1)
、メモリ(2)、および演算器(3)により送信者側装
置(10)が構成され、乱数発生器(6)、メモリ(7
)、演算器(8)および演算器(9)により受信者側装
置(11)が構成されている。
次Jご動作について説明する。まず、ステップ1におい
て送信者は、乱数発生器(1)と演算器(3)とを用い
て、ランダムに大きな素数pと、p−1の完全素因数分
解p、、a (i=1゜] l は素数)と法pにおける19.始尾gとZ の元Cと
を選び、メモリ(2)に記憶すると共に、(p、 g
、 C)を公開鍵データ、(p 、α )】
1 (j=L ・・・、k)をチゴクデータとして通常の通
信回線(4)を介して、受信者に送る。次に、ステップ
2において受信者は、演算器(9)を用いて、送信者か
ら送られた公開鍵データの1っgか、法pにおけるIQ
始元であることを送信者から送られた(p 、、 a
、) (i=i、・・・、k)に基l
】 づき確かめた後、乱数生成器(6)と演算器(8)とを
もちいて、iE (0,1) とx、EZl、 p
−1− とをランダムに選び、 β −=g Imad p β =CXg l rr+od pを計算
(2、(i、x、)をメモリ(7)に記憶すす ると共に、チャネルデータ(β0.β□)を通常の通イ
11回線(4)を介して、送仁当に送る6、次1.−ス
テ・・・ブ;3において送信者は演算器(3)を用いて
受信者から送られたチャネルデーりかβ0ゞβ1′″0 であるかどうかを確かめる。(β0.β1)かIF当で
あれば、こt]を送イ、4者と受イ58間のオブリビア
ス・[・ランス7ア・チャネル(5)として用いる7、
即ち送信者は(p、 g、 β。)k−び(p、
gβ1)をエルガマル暗号の公開鍵とみなし1、演算
器(3)を用いて、M o 、 M 1をそれぞれで暗
号し、受信者に送る。受信者はβ。、β1−のうちどち
らか一方のみの離散対数を知っている。よって、通常の
エルガマル暗号の復弓法により、演算器(8)を用いて
、M o 2M iのうちどちらが一方だけを得る。
て送信者は、乱数発生器(1)と演算器(3)とを用い
て、ランダムに大きな素数pと、p−1の完全素因数分
解p、、a (i=1゜] l は素数)と法pにおける19.始尾gとZ の元Cと
を選び、メモリ(2)に記憶すると共に、(p、 g
、 C)を公開鍵データ、(p 、α )】
1 (j=L ・・・、k)をチゴクデータとして通常の通
信回線(4)を介して、受信者に送る。次に、ステップ
2において受信者は、演算器(9)を用いて、送信者か
ら送られた公開鍵データの1っgか、法pにおけるIQ
始元であることを送信者から送られた(p 、、 a
、) (i=i、・・・、k)に基l
】 づき確かめた後、乱数生成器(6)と演算器(8)とを
もちいて、iE (0,1) とx、EZl、 p
−1− とをランダムに選び、 β −=g Imad p β =CXg l rr+od pを計算
(2、(i、x、)をメモリ(7)に記憶すす ると共に、チャネルデータ(β0.β□)を通常の通イ
11回線(4)を介して、送仁当に送る6、次1.−ス
テ・・・ブ;3において送信者は演算器(3)を用いて
受信者から送られたチャネルデーりかβ0ゞβ1′″0 であるかどうかを確かめる。(β0.β1)かIF当で
あれば、こt]を送イ、4者と受イ58間のオブリビア
ス・[・ランス7ア・チャネル(5)として用いる7、
即ち送信者は(p、 g、 β。)k−び(p、
gβ1)をエルガマル暗号の公開鍵とみなし1、演算
器(3)を用いて、M o 、 M 1をそれぞれで暗
号し、受信者に送る。受信者はβ。、β1−のうちどち
らか一方のみの離散対数を知っている。よって、通常の
エルガマル暗号の復弓法により、演算器(8)を用いて
、M o 2M iのうちどちらが一方だけを得る。
なお1.十記実施例では、Z 上の離散対数p−]
。
。
問題(、′基ずくエルガマル暗号を用いたオブリビアス
・トランスファについて説明(、だが、この発明におい
ては、歪の他の離散対数問題、例えば有限体トの代数曲
線のヤフビ多様体の群構造トの離散対数問題に基ずくエ
ルガマル暗号を用いた場合41丁たいしてもY゛記実施
例と同様の効果かある。また、演算器(1))で行う公
開鍵デ タの確認は演算器(8)で杓っでもよい。その
場合は、当然であるか、演算器(9)は不要となる。
・トランスファについて説明(、だが、この発明におい
ては、歪の他の離散対数問題、例えば有限体トの代数曲
線のヤフビ多様体の群構造トの離散対数問題に基ずくエ
ルガマル暗号を用いた場合41丁たいしてもY゛記実施
例と同様の効果かある。また、演算器(1))で行う公
開鍵デ タの確認は演算器(8)で杓っでもよい。その
場合は、当然であるか、演算器(9)は不要となる。
〔発明の効果)
以[−のようにこの発明によれば、送信者か、公開鍵デ
ータを構成し、受信者1、テ送るとともに、この公開鍵
データのIF当性をしめず千エクデータを構成[5て受
信者に送ることを手段と1、て、受信者は、送信者から
受け取った公開鍵データか11当であるかどうかを、送
イF’r者から受(プ取ったチェクデタに基つき確認し
、公開鍵データと受信者か生成し5た乱数とに基づき、
チャネルデータを構成し、このチャネルデータを、送信
者へ送ることで、送受信音間のオブリピアス・トラ〉ス
ファを構成するのて、不IFな送信者が、不当な公開鍵
データを受信者に送り、受信者かどちらのチャネルを開
くことができるかを知ることを防ぐことができ、より応
用範囲の広いオブリビアス・トランスファがえられると
いう効果がある。
ータを構成し、受信者1、テ送るとともに、この公開鍵
データのIF当性をしめず千エクデータを構成[5て受
信者に送ることを手段と1、て、受信者は、送信者から
受け取った公開鍵データか11当であるかどうかを、送
イF’r者から受(プ取ったチェクデタに基つき確認し
、公開鍵データと受信者か生成し5た乱数とに基づき、
チャネルデータを構成し、このチャネルデータを、送信
者へ送ることで、送受信音間のオブリピアス・トラ〉ス
ファを構成するのて、不IFな送信者が、不当な公開鍵
データを受信者に送り、受信者かどちらのチャネルを開
くことができるかを知ることを防ぐことができ、より応
用範囲の広いオブリビアス・トランスファがえられると
いう効果がある。
図はこの発明の一実施例を示すブロック図である。(1
)は乱数発生器、(2)はメモリ、(3)は演算器、(
4)は通常の通信回線、(5)はオブリビアス・トラン
スファ・チャネル、(6)は乱数発生器、(7)はメモ
リ、(8)は演算器、(9)は演算器、(10)は送信
者側装置、(11)は受信者側装置である。 なお、各図中同一符号は同一または相当部分を示す。
)は乱数発生器、(2)はメモリ、(3)は演算器、(
4)は通常の通信回線、(5)はオブリビアス・トラン
スファ・チャネル、(6)は乱数発生器、(7)はメモ
リ、(8)は演算器、(9)は演算器、(10)は送信
者側装置、(11)は受信者側装置である。 なお、各図中同一符号は同一または相当部分を示す。
Claims (1)
- オブリビアス・トランスファ(Oblivi−ousT
ransfer)システムにおいて、送信者は公開鍵デ
ータと、この公開鍵データの正当性を示すチェクデータ
とを構成し、この公開鍵データとチェクデータとを受信
者へ送り、受信者は、送信者から受け取った公開鍵デー
タの正当性を、送信者から受け取ったチェクデータをも
とに確認し、公開鍵データと受信者が生成した乱数とに
演算を施し、チャネル・データを構成し、このチャネル
・データを、送信者へ送ることで、送受信者間の通信チ
ャネルを構成することを特徴とするオブリビアス・トラ
ンスファ暗号通信方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2180954A JPH0470028A (ja) | 1990-07-09 | 1990-07-09 | オブリビアス・トランスファ暗号通信方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2180954A JPH0470028A (ja) | 1990-07-09 | 1990-07-09 | オブリビアス・トランスファ暗号通信方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JPH0470028A true JPH0470028A (ja) | 1992-03-05 |
Family
ID=16092183
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2180954A Pending JPH0470028A (ja) | 1990-07-09 | 1990-07-09 | オブリビアス・トランスファ暗号通信方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JPH0470028A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6496930B1 (en) | 1997-12-18 | 2002-12-17 | Matsushita Electric Industrial Co., Ltd. | Message receiving apparatus and message transmitting apparatus |
JP2006108840A (ja) * | 2004-10-01 | 2006-04-20 | Nippon Telegr & Teleph Corp <Ntt> | 紛失通信路構成方法、この方法を実施する装置、プログラム |
JP2010093860A (ja) * | 1997-10-14 | 2010-04-22 | Certicom Corp | 鍵認証方式 |
-
1990
- 1990-07-09 JP JP2180954A patent/JPH0470028A/ja active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010093860A (ja) * | 1997-10-14 | 2010-04-22 | Certicom Corp | 鍵認証方式 |
JP2013042555A (ja) * | 1997-10-14 | 2013-02-28 | Certicom Corp | 鍵認証方式 |
US6496930B1 (en) | 1997-12-18 | 2002-12-17 | Matsushita Electric Industrial Co., Ltd. | Message receiving apparatus and message transmitting apparatus |
JP2006108840A (ja) * | 2004-10-01 | 2006-04-20 | Nippon Telegr & Teleph Corp <Ntt> | 紛失通信路構成方法、この方法を実施する装置、プログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9160530B2 (en) | Method and apparatus for verifiable generation of public keys | |
JP4384728B2 (ja) | 内在的署名を用いた鍵一致及び輸送プロトコル | |
CA2596500C (en) | Method and structure for challenge-response signatures and high-performance secure diffie-hellman protocols | |
US5907618A (en) | Method and apparatus for verifiably providing key recovery information in a cryptographic system | |
Nyberg et al. | Message recovery for signature schemes based on the discrete logarithm problem | |
US5889865A (en) | Key agreement and transport protocol with implicit signatures | |
US8705735B2 (en) | Implicit certificate scheme | |
US6058188A (en) | Method and apparatus for interoperable validation of key recovery information in a cryptographic system | |
US6487661B2 (en) | Key agreement and transport protocol | |
JP2017063432A (ja) | 証明書不要公開鍵基盤に基づく安全なクライアント・サーバ通信プロトコルを設計するシステムと方法 | |
JP3504988B2 (ja) | 非順応暗号システムによりメッセージ認証を行う通信ノード | |
JPH10510692A (ja) | ユーザコンピュータユニットuとネットワークコンピュータユニットnの間における暗号鍵のコンピュータ支援交換方法 | |
JP6041864B2 (ja) | データの暗号化のための方法、コンピュータ・プログラム、および装置 | |
Shim | Cryptanalysis of mutual authentication and key exchange for low power wireless communications | |
WO2003063410A1 (en) | Cryptosystem | |
KR20010013155A (ko) | 자동 복구가능하고 자동 증명가능한 암호체계들 | |
JPH0470028A (ja) | オブリビアス・トランスファ暗号通信方法 | |
JPH11174957A (ja) | 認証プロトコル | |
KR100349418B1 (ko) | 은닉서명의 남용 방지방법 | |
TWI248744B (en) | Multisignature scheme with message recovery for group authorization in mobile networks | |
JP4000899B2 (ja) | 認証付暗号方法及び認証付復号方法及び装置及びプログラム及びコンピュータが読み取り可能な記録媒体 | |
JP5392741B2 (ja) | Rsaをベースとしたパスワード認証方式及びその応用 | |
JP2010011478A (ja) | 内在的署名を用いた鍵一致及び搬送方法 | |
CN116915381A (zh) | 一种基于身份的前向同态sm2协同签名方法及系统 | |
JP2003333035A (ja) | 認証付暗号方法及び装置及び認証付暗号プログラム及び認証付暗号プログラムを格納した記憶媒体及び認証付復号方法及び装置及び認証付復号プログラム及び認証付復号プログラムを格納した記憶媒体及び否認性取り消し方法及び検証方法及び検証装置及び検証プログラム及び検証プログラムを格納した記憶媒体 |