JPH0548599A - 秘密通信用ネツトワークシステム - Google Patents

秘密通信用ネツトワークシステム

Info

Publication number
JPH0548599A
JPH0548599A JP3199148A JP19914891A JPH0548599A JP H0548599 A JPH0548599 A JP H0548599A JP 3199148 A JP3199148 A JP 3199148A JP 19914891 A JP19914891 A JP 19914891A JP H0548599 A JPH0548599 A JP H0548599A
Authority
JP
Japan
Prior art keywords
terminal
information
public key
key
public
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP3199148A
Other languages
English (en)
Other versions
JP2942395B2 (ja
Inventor
Natsume Matsuzaki
なつめ 松崎
Toshiharu Harada
俊治 原田
Makoto Tatebayashi
誠 館林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP3199148A priority Critical patent/JP2942395B2/ja
Priority to US07/809,134 priority patent/US5199070A/en
Publication of JPH0548599A publication Critical patent/JPH0548599A/ja
Application granted granted Critical
Publication of JP2942395B2 publication Critical patent/JP2942395B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Abstract

(57)【要約】 【目的】 相手のIDとセンター発行の端末情報を用い
て、各端末自身が認証された公開鍵を生成する手段を備
えることにより、複雑な認証関係を持つシステムに適用
容易な秘密通信ネットワークシステムを提供する。 【構成】 (q,g,h,Pa)はセンターの公開情
報、ここにqは大きな素数、gは原始根、hはハッシュ
関数、PaはgSamodqであり、Saはセンターの秘
密鍵とする。端末iの秘密鍵をSi、公開鍵をPi≡g
simod qとし、端末情報をuai≡grai ×Pi
modq,vai≡h(uai,IDi)×Sa+ra
i mod(q−1)とする。ここにraiは乱数、I
Diは端末での識別情報である。その後端末jは端末i
から端末情報uai,vaiとIDiを受け取った上
で、端末iの公開鍵をPi≡Pah(uai,IDi)×vai×
-vaimodqで求める公開鍵生成手段を採用する。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明はデータの秘匿や認証のた
めに公開鍵暗号方式を採用した秘密通信用ネットワーク
システムに関する。
【0002】
【従来の技術】暗号方式は、ある情報を第3者の詐称や
盗聴から守りつつ公開チャネルで送るために有効な技術
である。暗号方式の1つである公開鍵暗号方式は、各端
末の秘密に保持する鍵の数がネットワーク全体の端末数
に依存しないため、LAN、衛星通信、衛星放送、銀行
間ネットワーク等の端末数の多い大規模ネットワークに
適し、近年とくに注目されている。ただし、十分な安全
性を確保した公開鍵暗号方式は、例えば数MIPSの計
算機を用いてソフトフェアで実現すると、せいぜい数百
bpsと一般に処理速度が遅い。そのため、通常は、大
容量のデータの暗号化には高速な秘密鍵暗号方式を用
い、この秘密鍵暗号に必要となる送受信者で秘密の共有
鍵の配送に公開鍵暗号方式を用いる。例えば衛星放送に
おいては、データのスクランブルに必要となる鍵の配送
に公開鍵暗号方式を用いることにより、各ユーザは容易
な鍵管理で目的を達成できる。また、公開鍵暗号には認
証機能も存在するため、例えばパソコン通信においての
利用者の確認や、金銭取引においての相手の認証に用い
ることもできる。
【0003】公開鍵暗号方式においては、その性質上、
公開鍵の完全性の確保、すなわち、端末iの公開鍵とし
て使用するデータが間違いなく端末iの公開鍵であるこ
とが保障されていなければならない。これは、もし例え
ば端末iの公開鍵として使用するデータが、実は端末k
の公開鍵であった場合、次の不都合が生じるからであ
る。まず、端末jが端末iに暗号通信を行う場合、端末
iの公開鍵(実は端末kの公開鍵)を用いた暗号文が送
信者jが望んでいない端末kの秘密鍵で復号できる。つ
まり、端末kが、端末jが端末iに宛てた電文を得るこ
とになる。また、端末kが端末iになりすまして、署名
を作成した場合、端末jは端末iの公開鍵(実は端末k
の公開鍵)を用いて計算を行い、署名の作成者を端末i
の誤認識する。
【0004】次に従来技術の一例として、端末の識別情
報(以降では、IDと称する)と既存の公開通信ネット
ワークとを用いての公開鍵の完全性を確保する方法につ
いて述べる。なお、IDとは氏名、住所など誰でも知っ
ているその端末独自の識別情報で、いちいちリストにし
て保持しなくても見るだけで相手がわかる情報である。
【0005】IDを用いて公開鍵の完全性を確保する1
つの手段として、公開鍵生成手段を採用する方法があ
る。公開鍵生成手段は、通信相手の公開鍵を、センター
の公開情報と通信相手のIDと通信相手の公開情報を用
いて生成することによって、生成した公開鍵の完全性を
確保する手段である。ここで用いられる通信相手の公開
情報は、センター以外が偽造できないように、センター
の秘密鍵と各端末の識別情報を用いて生成される。ここ
で偽造できないという意味は、不正者が、「自身の選ん
だ秘密鍵に対応する公開鍵」を生成するための端末の公
開情報を、作り出すことが不可能であるという意味であ
る。またもし端末の公開情報から誤った公開鍵が生成さ
れ、その公開鍵が利用されたとしても、どの端末も対応
する秘密鍵を知らないので、何ら安全上の問題はない。
従って、この方法では公開鍵の正当性を間接的に確認で
き、生成した公開鍵をそのまま用いることができる。
【0006】本出願人らは特願平2−324479及び
同324480にて、公開鍵生成に係る手段を開示し
た。図3はこの従来例における公開鍵生成手段の構成を
示すものである。同図において、1は端末i、2はセン
ターA、3は端末jである。以下同図に沿って従来例の
手順を説明する。 <センターAのセットアップのステップ> (1)センターAは、素数qを生成し、qを法とする完
全剰余系の原始根gを生成する。また、あるハッシュ関
数hを決定する。ここで、ハッシュ関数hとは次の4つ
の条件を満たすデータ圧縮型の一方向性関数である。
(1)hは通信文の分割単位であるブロックごとに独立
に計算するのではなく、通信文全てのビットに依存した
方法で計算する。(2)任意の与えられた通信文Mとそ
のハッシュ値h(M)に関し、h(M)=h(X)とな
るような他の通信文Xを見つけることが非常に困難であ
る。(3)hに関してh(X・Y)≠h(X)・h
(Y)を満たす必要がある。(4)h(M)の計算が高
速に実行できる。具体的には、多数の1又は0からなる
信号列の1番から順次奇数番目の情報とその次の偶数番
目の情報との排他的論理和をとることにより情報量が1
/2になるようなものをいう。
【0007】そして、現在のところ秘密通信用ネットワ
ークシステムでは代表的なものとして以下の2つの方法
が使用されている。1つめは、通信文に秘密鍵暗号方式
DES(Data Encryption Standard, データ暗号化規
格)をCBC(Cipher Block Chaining,暗号文ブロック
連鎖モード)モードで適用する方法である。2つめは、
通信文に秘密鍵暗号方式Rabinの暗号化関数(2次
合同式)をCBCモードで適用する方法である。なお、
これらについては、池野信一、小山謙二共著『現代暗号
理論』電子通信学会発行にくわしい。
【0008】(2)センターAは秘密鍵Saを決定し、
Pa≡gsamodq …[1]を生成する。なお、ここ
における’a’はセンターAの値であることを示す添字
であり、以降の変数においても同様とする。また、ここ
で’modq’はqで除した時の剰余を示す(なお、m
odはラテン語のmodulus の略である)。 (3)(q,g,h,Pa)をセンタAーの公開鍵とし
てシステムに公開する。
【0009】 <センターAによる端末iの端末情報生成のステップ>
以下に、センターAが端末iの端末情報を生成する場合
のステップについて説明する。この端末情報を用いて端
末iは自分の秘密鍵を求める。 (1)端末iは乱数xiを発生し、これを用いてyi≡
xi modq …[2]を計算する。そしてこの生成
値yiと自分のIDiをセンターAに示し、端末情報の
生成を請求する。
【0010】(2)センターAは乱数raiを発生し、端
末から送られた端末の生成値yiとセンターAの秘密鍵
Saを用いて、次の端末情報uai,vaiを生成する。な
お、ここにおける'ai'はセンターAが端末iに対して生
成した値であることを示す添字である。 uai≡grai ×yi modq …[3] Hai≡h(uai,IDi ) …[4] vai≡Hai×Sa+rai mod(q−1) …[5] (3)センターAは端末情報uai,vaiを公開の通信路
を用いて端末iに配付する。
【0011】(4)センターAからvaiを受け取った端
末iは、(1)で生成した乱数xiを用いて、次式によ
り自分の秘密鍵Siを生成する。 Si≡vai+xi mod(q−1) …[6] <公開鍵生成のステップ> 端末jが端末iの公開鍵を生成する場合を説明する。 (1)端末jは端末iから端末情報uaiとIDiを受け
取る。 (2)次の計算をして端末iの公開鍵Piを求める。
【0012】Hai≡h(uai,IDi) …[7] Pi≡PaHai ×uai modq …[8] なお、[8]式右辺=PaHai ×uai modq ≡gSa*Hai×grai ×yi modq([1][3]より) ≡gHai*Sa×grai ×gxi modq ([2]より) ≡gHai*Sa+rai+xi modq≡gvai+ximodq([5]より) ≡gSi modq ([6]より) が成り立つため、[8]式右辺を、指数(Index)
計算をもとにした暗号系における、端末iの秘密鍵Si
(指数)に対応する公開鍵Pi(qを法とする剰余)と
考えてよい。
【0013】この従来例の特徴を以下に示す。 (1)他の端末はもちろんセンターですら端末iの秘密
鍵を求めることはできない。これは[6]式に示すとお
り、端末iはセンターAが発行した端末情報vaiと、自
身が発生し端末iだけの秘密であるxiとを用いて、自
身の秘密鍵Siを生成しているためである。
【0014】(2)センターAの発行する端末情報ua
i,vaiは、公開の通信路を用いて配送することができ
る。これは上記(1)の理由により端末の秘密鍵の秘匿
性は、端末発生のxiの秘匿性のみに依存しており、セ
ンター発行の端末情報を公開しても安全性が劣化しない
ためである。 (3)端末の秘密鍵の更新が容易である。端末の秘密鍵
生成ステップにおいてセンターAは乱数を用いている。
この乱数を変更することによって、端末の秘密鍵の再発
行に対応できる。
【0015】(4)階層化が容易である。階層化の例を
図4に示す。同図において1は端末i、2はセンター
A、3は端末j、4はセンターBである。まず、センタ
ーBが公開鍵Pbを公開する。そして、センターAを認
証し、情報uba,vbaを発行する。センターAはこの情
報を用いて自身の秘密鍵Saを求める。次にセンターA
が端末iを認証して、先ほど決定した秘密鍵Saを用い
て、端末iの端末情報uai,vaiを発行する。端末iは
この端末情報を用いて自身の秘密鍵Siを求める。この
とき、端末jは、端末iからセンターAの情報ubaと端
末iの情報uaiを受け取り、センターBの公開鍵Pbを
用いて、次のように2段階に公開鍵生成方法を適用し、
端末iの公開鍵を求める。 (a) センターBの公開鍵Pbとuba、IDaを用いてセ
ンターaの公開鍵Paを求める。 (b)(a)で得られたセンターAの公開鍵Paと、uai、I
Diを用いて端末iの公開鍵Piを求める。
【0016】しかる後、端末jは端末iの公開鍵Piを
用いて端末iにデータを(公開鍵)暗号化通信し、端末
iが自身の秘密鍵Siを用いてこれを復号し、元のデー
タを得る。また端末jは、端末iが自身の秘密鍵Siを
用いて生成した署名を、求めた端末iの公開鍵Piを用
いて確認する。
【0017】
【発明が解決しようとする課題】しかしながらここに示
した従来の公開鍵生成手段を用いた秘密通信用ネットワ
ークシステムでは、各端末の秘密鍵および公開鍵がそれ
を認証したセンターが発行した値を用いているため、2
つ以上のセンターによって端末を認証する場合に適用で
きない。これは[6]式において端末の秘密鍵が、それ
を認証したセンターAの発行した端末情報vaiを用いて
生成されていることからも分かる。
【0018】すなわち、次のような状況を考えた場合に
不都合が生じる。端末jはセンターAの公開鍵を信用し
ており、センターAの公開鍵を用いて端末iの公開鍵を
生成したい。一方、端末kはセンターBの公開鍵を信用
しており、センターBの公開鍵を用いて端末iの公開鍵
を生成したい。そして端末iはセンターAおよびBから
認証され、それぞれから端末情報を得ている。この場合
に、それぞれのセンターからの端末情報を用いて生成し
た端末iの公開鍵は互いに異なっている。そのため、上
記の端末jと端末kの要望を同時に満たすことはできな
い。
【0019】また、階層化を考えた場合には、階層の上
から秘密鍵を決定していかなければならないため、組織
変更、業務内容や取引先の変更に伴う通信先の挿入や削
除など階層構造を変更する場合も1番上の階層から再構
築する必要がある。本発明は、係る課題に鑑みてなされ
たものであり、従来例における上記4つの特徴を損なわ
ないようにした上で、以上述べたような流動的かつ複雑
な認証関係を充分に満たすことが必要とされる秘密ネッ
トワーク通信システムを提供することを目的とする。そ
のために、本発明に係る秘密通信用ネットワークシステ
ムにおける公開鍵生成は、端末の秘密鍵をそれを認証す
るセンター発行の値を用いずに構成する。
【0020】
【課題を解決するための手段】上記目的を達成するた
め、請求項1に係る発明においては、固有の識別情報を
有する第1の端末と第2の端末と端末情報発行センター
とこれらを接続するネットワークを有し、前記端末情報
発行センターが、公開の一方向性関数fと公開の関数h
を決定し、前記一方向性関数fは第1、第2のデータの
第1の演算の結果を入力とするfの出力値が、前記第1
のデータのfの出力値と前記第2のデータとを入力とす
る第2の演算の結果と等しくなり、第1、第2のデータ
の第3の演算の結果を入力とするfの出力値が、前記第
1のデータのfの出力値と前記第2のデータのfの出力
値とを入力とする第4の演算の結果と等しくなる関数で
あって、端末情報発行センターの秘密鍵Sを入力とする
前記一方向性関数fの出力値Pを前記端末情報発行セン
ターの公開鍵として決定し、前記f,hおよびPを前記
端末情報発行センターの公開情報として前記第1、第2
の端末に通知するシステム初期設定手段と、前記第1の
端末が秘密鍵を決定し、秘密鍵を入力とする前記一方向
性関数fの出力値を前記第1の端末の公開鍵として求
め、前記第1の端末の公開鍵と第1の端末の識別情報を
前記端末情報発行センターに通知し、前記第1の端末の
端末情報を請求する端末情報請求手段と、前記端末情報
発行センターが、乱数rを発生し、前記乱数rを入力と
する前記一方向性関数fの出力値と前記第1の端末の公
開鍵を入力とする第4の演算の結果uを求め、前記uと
第1の端末の識別情報を前記公開の関数hに入力し、端
末情報発行センターの秘密鍵Sと前記関数hの出力値を
入力とする第1の演算の結果を求め、前記第1の演算の
結果と前記乱数rを入力とする第3の演算の結果vを求
め、前記u,vを第1の端末の第1、第2の端末情報と
して、第1の端末に発行する端末情報発行手段と、前記
第1の端末が、前記第2の端末に第1、2の端末情報
u,vと第1の端末の識別情報を送信し、第2の端末
が、第1の端末情報uと第1の端末の識別情報を前記公
開の関数hに入力し、前記端末情報発行センターの公開
鍵Pと前記関数hの出力を入力とする第2の演算の結果
を求め、前記第2の演算の結果と前記端末情報uを入力
とする第4の演算の結果と、前記第2の端末情報vを入
力とする前記一方向性関数fの出力値の第4の演算にお
ける逆数とを入力とする第4の演算結果を、第1の端末
の公開鍵とする公開鍵生成手段とを有することを特徴と
する秘密通信用ネットワークシステムとしている。
【0021】請求項2に係る発明においては、固有の識
別情報を有する第1の端末と第2の端末と端末情報発行
センターとこれらを接続するネットワークを有し、前記
端末情報発行センターが、素数もしくは素数のべき乗値
qと、前記qを法とする剰余体の原始根gと、公開の関
数hを決定し、前記qを法とし、端末情報発行センター
の秘密鍵Sをべきとする前記gのべき乗剰余値Pを前記
端末情報発行センターの公開鍵として決定し、前記q,
g,hおよびPを前記端末情報発行センターの公開情報
として前記第1、第2の端末に通知するシステム初期設
定手段と、前記第1の端末が秘密鍵を決定し、前記qを
法として前記第1の端末の秘密鍵をべきとするgのべき
乗剰余値を前記第1の端末の公開鍵として求め、前記公
開鍵と第1の端末の識別情報を前記端末情報発行センタ
ーに通知し、前記第1の端末の端末情報を請求する端末
情報請求手段と、前記端末情報発行センターが、乱数r
を発生し、前記qを法として乱数rをべきとするgのべ
き乗剰余値と前記第1の端末からの公開鍵pの積uを求
め、前記uと第1の端末の識別情報を前記公開の関数h
に入力し、前記qのオイラー関数値を法としてhの出力
値と前記端末情報発行センターの秘密鍵Sの積と前記乱
数rの和vを求め、前記u,vを第1の端末の第1、第
2の端末情報として、第1の端末に発行する端末情報発
行手段と、前記第1の端末が、前記第2の端末に第1の
端末情報uと第2の端末情報vと、第1の端末の識別情
報を送信し、第2の端末が、第1の端末情報uと第1の
端末の識別情報を前記公開の関数hに入力し、qを法と
してhの出力値をべきとする前記端末情報発行センター
の公開鍵Pのべき乗剰余値と、前記第1の端末情報uの
積を求め、前記第2の端末情報vをべきとするgのべき
乗剰余値の逆数と前記積との積を第1の端末の公開鍵と
する公開鍵生成手段とを採用したことを特徴とする秘密
通信用ネットワークシステムとしている。
【0022】請求項3に係る発明においては、請求項1
又は2の公開鍵作成手段により作成した公開鍵もしくは
該公開鍵を利用して作成した共有鍵と伝達させるべき数
値情報もしくは本来伝達されるべき情報を数値化した情
報とからあらかじめ定められた規則によりネットワーク
を利用して送信される暗号情報を作成する送信情報暗号
化手段と、送信されてきた暗号情報から共有鍵若しくは
秘密鍵を使用するあらかじめ定められた規則により上記
伝達されるべき情報を取り出す受信情報復号手段とを有
することを特徴とする請求項1又は2記載の秘密通信用
ネットワークシステムとしている。
【0023】請求項4に係る発明においては、秘密鍵も
しくは公開鍵作成に使用する法qとして、素数の積、g
としてqの素因数の原始根又は位数がqの素因数の5分
の1乗以上の数もしくはそのような数の積を採用したこ
とを特徴とする請求項1又は2又は3記載の秘密通信用
ネットワークシステムとしている。請求項5に係る発明
においては、請求項2又は3記載の公開鍵生成手段であ
って、公開鍵生成手段において請求項2又は4記載のq
を法とする前記端末情報発行センターの公開鍵Pのべき
乗剰余値、および前記qを法とする前記公開値gのべき
乗剰余値を、あらかじめ計算しておいた前記qを法とす
る剰余値を用いて求めることを特徴とした公開鍵生成手
段を採用したことを特徴とする秘密通信用ネットワーク
システムとしている。
【0024】
【作用】上記構成により本発明に係る公開鍵生成手段を
採用した秘密通信用ネットーワークシステムでは、上述
の構成によって第2の端末は端末情報発行センターの公
開情報と第1の端末の識別情報と、端末情報発行センタ
ーしか作れない情報である第1の端末の端末情報u,v
を用いて第1の端末の公開鍵を生成するため、生成した
第1の端末の完全性が保証される。
【0025】
【実施例】図2は本発明に係る秘密通信ネットワークシ
ステムの全体構成を示すものである。本図において、セ
ンターA、端末iとjは公共の通信回線により結ばれて
いる。そして、センターAには大容量CPUが装備され
ており、本秘密通信用システムに必要な素数q、原始根
gを求める他、本秘密通信用システムの立ち上げ、端末
の新規加入手続きなどを行う。一方、各端末i、jには
比較的小型のコンピュータが装備され、新規加入の際
に、センターから発行した情報を用いて秘密鍵と公開鍵
を生成し、これらとセンターから発行された端末情報を
保持する。そして暗号通信の際には送信相手の識別情報
と端末情報などを用いて送信相手の公開鍵を生成し、こ
れで送りたい情報を暗号化して送信する。受け取った端
末は自分が秘密に保持している秘密鍵を用いて、暗号文
を復号しもとの情報を得る。また、送信者が自分の秘密
鍵を用いて作成した署名を確認する際は、署名作成者の
公開鍵を生成し、これを用いる。
【0026】図1は本発明に係る秘密通信用ネットワー
クシステムの一実施例における公開鍵生成手段の作動の
概念を示すものである。同図において1は端末i、2は
センターA、3は端末jである。以下、本図を参照しな
がら実施例における公開鍵生成の手順を説明する。 <センターAのセットアップのステップ>(1)センタ
ーAは、素数qを生成し、qを法とする完全余剰系の原
始根gを生成する。また、あるハッシュ関数hを決定す
る。
【0027】(2)センターAは秘密鍵Saを決定し、
Pa≡gSamodq …[9]を計算する。 (3)(q,g,h,Pa)をセンターの公開鍵として
システムに公開する。 <センターAによる端末iの端末情報発行のステップ> 以下では、端末iが自分の秘密鍵と公開鍵を生成し、セ
ンターAがその公開鍵に対して端末情報を発行する手順
について説明する。
【0028】(1)端末iは秘密鍵Siを決定し、これ
に対する公開鍵Piを、 Pi≡gSi modq …[10] で計算する。そして公開鍵Piと自分のIDiをセンタ
ーAに示し、端末情報の発行を請求する。 (2)センターaは乱数raiを発生し、端末iの公開鍵
PiとセンターAの秘密鍵Saを用いて、次の端末情報
uai,vaiを生成する。
【0029】 uai≡grai ×Pi modq …[11] Hai≡h(uai,IDi) …[12] vai≡Hai×Sa+rai mod(q−1) …[13] (3)センターAは端末情報uai,vaiを公開の通信路
を用いて端末iに配付する。
【0030】<公開鍵の生成のステップ> 端末jが端末iの公開鍵を生成する手順を説明する。 (1)端末jは端末iからIDiとセンターAが認証し
た端末情報uai,vaiとを受け取る。 (2)次の計算をして端末iの公開鍵Piを求める。
【0031】Hai≡h(uai,IDi) …[14] Pi≡PaHai ×uai×g-vaimodq …[15] なお、[15]式の右辺≡PaHai ×uai×g-vaimodq ≡gSa*Hai×grai ×Pi ×g-vaimodq([9][11]より) ≡gHai*Sa+rai×g-vai×Pi modq ≡gvai ×g-vai×Pi modq([13]より) ≡Pi が成り立つ。即ち、[15]式で求めた値は端末iが
[10]式であらかじめ決定した公開鍵Piと一致す
る。
【0032】しかる後、端末jは入手した、しかもセン
ターの認証した公開鍵Piを使用して、送るべき情報を
例えばRSA暗号、エルガマル暗号等の公開鍵暗号方式
を用いて暗号化した上で、端末iに通信する信号そのも
のの秘密性が必ずしも確保されるとは限らない公開の通
信ネットワークを利用して送り、その暗号を受け取った
端末iは自己の秘密鍵Siを使用してその暗号文を復号
する、あるいは同じ手段で端末iが端末jの公開鍵Pj
を入手し、gsi.sj を両者の共有鍵とした上で秘密鍵暗
号方式を用いて公開の通信ネットワークを利用して秘密
通信を行う。なお、これらの場合、送信すべき情報の公
開鍵、共有鍵を利用した暗号化とその復号化の基本原理
としては、送信信号は通例、ことに電子計算機関連の信
号は0と1からなるデジタル信号とされており、適当な
ビット数毎に区切った場合には2進数の数字とみなせる
ことを利用する。また、伝達信号が連続的(例えばAM
変調)な場合は、単位時間間隔毎にその波高をとること
により数値化した上で更に2進数に変換した秘密通信を
行う。ここに2進数に変換するのは、2進数の通信にお
いては、通信内容の正確性確保のためパリティチェック
等の技術が進んでいること、現行のパソコン等に8ビッ
ト、16ビット、32ビット等のものが多いようにコン
ピュータ関連の技術は2進数のデジタル信号が採用され
ていることによる。
【0033】例えば共有鍵を利用しての秘密通信におい
ては、簡単なものとしては具体的には以下の手法を用い
る。 (1)送信は2進数としての共有鍵(0と1とからなる
例えば101)に同じビット数の伝達すべき信号(0と
1とからなる例えば100)を2進数の数とみなした上
で加えた後その和(1001)を送り、受信した方は受
信信号(1001)から共有鍵(101)を引き去って
差(100)を求め、送られてきた信号を復号する、も
し送信すべき情報が多量ならば共有鍵と同じビット数の
多数の情報に区分け後、該区分けした情報を個々に暗号
化、復号化する。
【0034】(2)送信情報を共有鍵と同じビット桁に
区切った上で、共有鍵の特定のビットの数字が0なら送
信情報の相応ずるビットの数字をそのままとし、1なら
ば逆にする(送信情報の数字が1なら0に、0なら1に
なる)変換により暗号化し、復号は同じ操作により行う
(従って、共有鍵が(100)、送信情報が(101)
なら、暗号化した送信信号は(001)となる)。
【0035】その他、例えば現在のアメリカの銀行シス
テムなどで採用されている前述のDES暗号を用いる。
本暗号は64ビットのデータブロックを単位とし、鍵を
用いてこの入力値を、転置と換字を基本として攪乱する
暗号化/復号方式である。さて、以上の実施例において
は、端末は自分の秘密鍵と公開鍵を端末独自で決定す
る。従って、端末が2つ以上のセンターによって認証さ
れている場合には、その端末の公開鍵をそれぞれのセン
ターの公開鍵と、それぞれが端末を認証して発行した端
末情報を用いて生成することができる。例えばセンター
A,Bが端末iを認証し、それぞれ端末情報(uai、v
ai)(ubi,vbi)を発行しているとする。このとき、
センターAの公開鍵Paを用いて[14][15]式か
ら生成した値(Pah(uai,IDi) ×uai×g-vai mod
q)とセンターBの公開鍵Pbを用いて生成した値(P
b h(uai,IDi)×ubi×g-vbi modq)は、双方とも
最初に[10]式で端末iが決定した公開鍵Piとな
る。
【0036】そしてこの実施例は従来例と同様に階層化
が可能である。さらに、端末情報の生成に乱数を用いて
いるため、従来例と同様に、端末の秘密鍵と公開鍵の更
新に容易に対応できる。次に、本実施例の安全性につい
て説明する。 (1)センターAの秘密鍵の安全性 センターAの公開鍵Paから秘密鍵Saを求めること
は、通信学でいう離散対数計算、数学でいう指数計算の
問題、すなわち大きな素数qを法とする剰余Paの指数
(Index)を求めることとなり、困難である。な
お、本実施例ではqを大型計算機等の発達した今日でも
必要な計算量面から実用上十分な安全性を確保できるよ
う512ビット(10進数で約150桁)程度の大きな
素数とし、q−1が大きな素数を約数にもつようにとっ
ている。
【0037】なお、ここにセンターAは端末情報生成ス
テップにおいて、乱数raiを毎回変更する必要がある。
もし同一の乱数raiを用いて端末i,jの端末情報va
i,vajを生成するならば、iとjが結託することによ
ってSa≡(vai−vaj)/(Hai−Haj) mod
(q−1)の式でセンターAの秘密鍵を求めることがで
きる。また、任意の端末i,jの端末情報の生成に用い
るセンター発生の乱数rai,raj間の関係、つまりrai
≡c×raj mod(q−1)のcがもし求まると、S
a≡(vai−c×vaj) /(Hai−c×Haj) mo
d(q−1)によってセンターの秘密鍵を求めることが
できる。もっとも他の端末が公開情報uai,uaj,P
i,Pjからこのcを求めるには(uai/Pi)≡(u
aj/Pj)c modqをcについて解く必要があり、こ
れは自明な場合を除き困難である。なお、乱数の作成自
体は現在多数のプログラム、手法が販売されているため
それらを使用すれば充分である。 (2)端末の秘密鍵の安全性 端末iの公開鍵Piから秘密鍵Siを求めることは、q
を大きくとると他の端末はもちろんセンターですら必要
な計算量が膨大なため困難である。また、第3の端末が
端末xの公開鍵を偽造するためには、次の[16]式を
満たすuax,vaxを求める必要がある。
【0038】 gSx×gvax ≡ Pah(uax,IDx)×uax modq …[16] これは[14][15]式を用いて算出されるPxを、
偽造した端末xの秘密鍵Sxに対応する公開鍵とするた
めである。ここで偽造者がuaxを任意に決定し、[1
6]式を満足するvax、Sxを求めるのはqを充分大き
くとると困難になる。逆に、vaxを任意に決定し、[1
6]式を満足するuax、Sxを求めることは少なくとも
上述の離散対数問題、指数を求める問題と同程度に困難
である。
【0039】次に本実施例における公開鍵生成の処理時
間や必要となるメモリ容量等について説明する。まず、
公開鍵を生成するために必要となるべき乗剰余演算は、
[15]式で示すとおり、qを法としてハッシュ関数の
出力値をべきとする演算と、端末情報vをべきとする演
算の計2回である。これは従来の約2倍の処理量とな
る。このうち、ハッシュ関数値をべきとする演算は、そ
のハッシュ関数の出力値を安全性を劣化させない限度
(例えば128ビット)まで小さく取ることによって軽
減される。 また、各端末ごとの公開情報はuai、vai
の2ワード(1ワード=log2qビット)である。こ
のメモリ容量も従来の約2倍に増加している。
【0040】ところで、実施例におけるPaおよびgの
べき乗剰余値を、qを法とし、べきとして取りうる値に
対応した値をあらかじめ求めてテーブルに格納してお
き、このテーブルを参照することにより、高速に求める
ことができる。例えば、Paのべき乗剰余値を求める場
合について述べる。まず、あらかじめPa2 modq,
Pa4 modq,Pa8 modq,…,Pa2(k-1)
modq (ここに’^’はべき乗を示す。)を求めて
テーブルに格納しておく。そして、Pa Hi modqを
求めるにはHiを2進展開しその各ビットに対応する上
記テーブル値をqを法とする剰余系上で乗算すればよ
い。この場合の乗算剰余演算の回数は平均してk/2回
であり、テーブル値を用いない場合に比べて3倍の高速
化が実現できる。高速なメモリが安価で手にはいる今
日、テーブル値を用いたこの高速演算手段はユーザの負
担を軽減し有効な手段である。
【0041】このため、情報の数値化手段、マイクロコ
ンピュータ等の発達した今日、これらの高速計算のため
の手段をも併せて採用することにより、本発明に係る秘
密通信用ネットワークシステムは、既在の公衆回線、L
AN等の設備をそのまま流用することにより、ユーザに
大きな負担をかけることなく実現できる。
【0042】以上、本発明を実施例に基づき説明した
が、本発明は何も上記実施例に限定されないのは勿論で
ある。即ち、秘密鍵生成手段としては、大きな素数を法
とする原始根の指数から剰余を求めるのは簡単である
が、剰余と原始根から指数を求めるのは困難であるとい
うことに基づいた公開鍵生成手段を採用した場合につい
て説明したが、同じ性質が有るなら、他の手段を採用し
てもよいのは勿論である。例えばビット数の大きい素数
の場合には、素数であることの確認及び原始根を見つけ
だすための計算量が膨大となるためqとして素数のかわ
りに実用上素数とみなしてもよい数、具体的には素因数
の個数が高々数個の合成数、素数の整数べき剰値、ある
いは通信内容の重要性がそれほどでなく、一方通信シス
テムの計算機容量に制約がある場合には原始根を見つけ
だすのが容易な2の整数べき剰値+1若しくは−1の形
の素数が採用されてもよい。なお、2の整数べき剰値+
1若しくは−1の形の素数の場合には、現行のパソコン
が8ビット、16ビット、32ビットと2のべき乗のビ
ットのものが多いため、プログラミング処理においても
便利なことも多い。また、原始根のかわりに位数が充分
に大きい、具体的には位数が法qの素因数の1/5乗以
上の数を採用してもよい。この場合でも、法qの素因数
のビット数が150以上なら、通信内容の重要性によっ
ては実用上充分安全なものとなる。要は、各端末、セン
ターの装備する計算機の能力等の設備、交信内容の重要
性等に応じて適宜最適の素数等が選択される。更に、公
開鍵の原理そのものとしても、実施例では、f(x)≡
x modq上の一方向性関数として、この関数におけ
る、 f(a×b)≡{f(a)}b f(a+b)≡f(a)×f(b) なる性質に基づいて構成したが、一般には、一方向性関
数fと2つの2項演算op1、op2と2つの多項演算
op3、op4 op1(a,b) op2(a,b) op3(a,b) op4(a,b) の間に次の関係式 f(op1(a,b))≡op2(f(a),b) f(op3(a,b))≡op4(f(a),f(b)) が成り立つ場合、同様の公開鍵生成方法を構成すること
ができる。このような性質を満足する一方向性関数fの
例としては上記f(x)≡gx mod q、他に楕円曲
線y2 =x3 +αx+β上のいわゆる離散対数問題の基
本式を一方向性関数とする等が考えられている。
【0043】更に、公開鍵、秘密鍵を利用しての伝達す
べき情報の暗号化、復号化の手段としては、送信すべき
情報そのものが2進数と限らない以上10進数等を使用
してもよい。次に、上記実施例における端末jが端末i
の公開鍵入手前に使用した通信ネットワークとそれ以降
に使用する通信ネットワークとは物理的に同一のものを
使用するとは限らないのも勿論である。また、通信ネッ
トワークとは、衛星放送やLANやNTTの回線のよう
なものに限らず、フロッピーディスクの運搬等のオフラ
イン通信をも含むのは勿論である。
【0044】
【発明の効果】以上の説明から明らかなように本発明に
係る秘密ネットワーク通信システムにおいては、各端末
自身がそれを認証するセンターに依存せずに秘密鍵と公
開鍵を決定できる。そのため、本発明は様々な入り組ん
だ認証関係が必要な既存のシステムへ容易に適用するこ
とができる。更に、本発明を階層的に組み入れる際も各
階層が独立に秘密鍵を決定すればよいため、挿入や削除
など階層構造を変更する場合も端末情報だけを再発行す
るだけでよく、容易になしえる。しかも、従来の秘密ネ
ットワーク通信システムの特徴は満たしている。
【0045】さらに、公開鍵生成の部分の計算は、あら
かじめ求めておいた剰余値を用いることによって、安全
性を損なうことなく処理の高速化を実現することが可能
である。
【図面の簡単な説明】
【図1】本発明の一実施例による公開鍵生成方法の構成
図である。
【図2】本発明に係る秘密通信ネットワークの全体構成
図である。
【図3】従来例の公開鍵生成方法の構成図である。
【図4】従来例の公開鍵生成方法における階層化の例を
示した図である。
【符号の説明】
1 端末i 2 センターA 3 端末j 4 センターB

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】 固有の識別情報を有する第1の端末と第
    2の端末と端末情報発行センターとこれらを接続するネ
    ットワークを有し、 前記端末情報発行センターが、公開の一方向性関数fと
    公開の関数hを決定し、前記一方向性関数fは第1、第
    2のデータの第1の演算の結果を入力とするfの出力値
    が、前記第1のデータのfの出力値と前記第2のデータ
    とを入力とする第2の演算の結果と等しくなり、第1、
    第2のデータの第3の演算の結果を入力とするfの出力
    値が、前記第1のデータのfの出力値と前記第2のデー
    タのfの出力値とを入力とする第4の演算の結果と等し
    くなる関数であって、端末情報発行センターの秘密鍵S
    を入力とする前記一方向性関数fの出力値Pを前記端末
    情報発行センターの公開鍵として決定し、前記f,hお
    よびPを前記端末情報発行センターの公開情報として前
    記第1、第2の端末に通知するシステム初期設定手段
    と、 前記第1の端末が秘密鍵を決定し、秘密鍵を入力とする
    前記一方向性関数fの出力値を前記第1の端末の公開鍵
    として求め、前記第1の端末の公開鍵と第1の端末の識
    別情報を前記端末情報発行センターに通知し、前記第1
    の端末の端末情報を請求する端末情報請求手段と、 前記端末情報発行センターが、乱数rを発生し、前記乱
    数rを入力とする前記一方向性関数fの出力値と前記第
    1の端末の公開鍵を入力とする第4の演算の結果uを求
    め、前記uと第1の端末の識別情報を前記公開の関数h
    に入力し、端末情報発行センターの秘密鍵Sと前記関数
    hの出力値を入力とする第1の演算の結果を求め、前記
    第1の演算の結果と前記乱数rを入力とする第3の演算
    の結果vを求め、前記u,vを第1の端末の第1、第2
    の端末情報として、第1の端末に発行する端末情報発行
    手段と、 前記第1の端末が、前記第2の端末に第1、2の端末情
    報u,vと第1の端末の識別情報を送信し、第2の端末
    が、第1の端末情報uと第1の端末の識別情報を前記公
    開の関数hに入力し、前記端末情報発行センターの公開
    鍵Pと前記関数hの出力を入力とする第2の演算の結果
    を求め、前記第2の演算の結果と前記端末情報uを入力
    とする第4の演算の結果と、前記第2の端末情報vを入
    力とする前記一方向性関数fの出力値の第4の演算にお
    ける逆数とを入力とする第4の演算結果を、第1の端末
    の公開鍵とする公開鍵生成手段とを有することを特徴と
    する秘密通信用ネットワークシステム。
  2. 【請求項2】 固有の識別情報を有する第1の端末と第
    2の端末と端末情報発行センターとこれらを接続するネ
    ットワークを有し、 前記端末情報発行センターが、素数もしくは素数のべき
    乗値qと、前記qを法とする剰余体の原始根gと、公開
    の関数hを決定し、前記qを法とし、端末情報発行セン
    ターの秘密鍵Sをべきとする前記gのべき乗剰余値Pを
    前記端末情報発行センターの公開鍵として決定し、前記
    q,g,hおよびPを前記端末情報発行センターの公開
    情報として前記第1、第2の端末に通知するシステム初
    期設定手段と、 前記第1の端末が秘密鍵を決定し、前記qを法として前
    記第1の端末の秘密鍵をべきとするgのべき乗剰余値を
    前記第1の端末の公開鍵として求め、前記公開鍵と第1
    の端末の識別情報を前記端末情報発行センターに通知
    し、前記第1の端末の端末情報を請求する端末情報請求
    手段と、 前記端末情報発行センターが、乱数rを発生し、前記q
    を法として乱数rをべきとするgのべき乗剰余値と前記
    第1の端末からの公開鍵pの積uを求め、前記uと第1
    の端末の識別情報を前記公開の関数hに入力し、前記q
    のオイラー関数値を法としてhの出力値と前記端末情報
    発行センターの秘密鍵Sの積と前記乱数rの和vを求
    め、前記u,vを第1の端末の第1、第2の端末情報と
    して、第1の端末に発行する端末情報発行手段と、 前記第1の端末が、前記第2の端末に第1の端末情報u
    と第2の端末情報vと、第1の端末の識別情報を送信
    し、第2の端末が、第1の端末情報uと第1の端末の識
    別情報を前記公開の関数hに入力し、qを法としてhの
    出力値をべきとする前記端末情報発行センターの公開鍵
    Pのべき乗剰余値と、前記第1の端末情報uの積を求
    め、前記第2の端末情報vをべきとするgのべき乗剰余
    値の逆数と前記積との積を第1の端末の公開鍵とする公
    開鍵生成手段とを採用したことを特徴とする秘密通信用
    ネットワークステム。
  3. 【請求項3】 請求項1又は2の公開鍵作成手段により
    作成した公開鍵もしくは該公開鍵を利用して作成した共
    有鍵と伝達させるべき数値情報もしくは本来伝達される
    べき情報を数値化した情報とからあらかじめ定められた
    規則によりネットワークを利用して送信される暗号情報
    を作成する送信情報暗号化手段と、 送信されてきた暗号情報から共有鍵若しくは秘密鍵を使
    用するあらかじめ定められた規則により上記伝達される
    べき情報を取り出す受信情報復号手段とを有することを
    特徴とする請求項1又は2記載の秘密通信用ネットワー
    クシステム。
  4. 【請求項4】 秘密鍵もしくは公開鍵作成に使用する法
    qとして、素数の積を採用し、gとして原始根もしくは
    位数がqの素因数の5分の1乗以上の数もしくはそのよ
    うな数の積を採用したことを特徴とする請求項1又は2
    又は3記載の秘密通信用ネットワークシステム。
  5. 【請求項5】 請求項2又は3記載の公開鍵生成手段で
    あって、公開鍵生成手段において請求項2又は4記載の
    qを法とする前記端末情報発行センターの公開鍵Pのべ
    き乗剰余値、および前記qを法とする前記公開値gのべ
    き乗剰余値を、あらかじめ計算しておいた前記qを法と
    する剰余値を用いて求めることを特徴とした公開鍵生成
    手段を採用したことを特徴とする秘密通信用ネットワー
    クシステム。
JP3199148A 1990-12-18 1991-08-08 秘密通信用ネットワークシステム Expired - Fee Related JP2942395B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP3199148A JP2942395B2 (ja) 1991-08-08 1991-08-08 秘密通信用ネットワークシステム
US07/809,134 US5199070A (en) 1990-12-18 1991-12-18 Method for generating a public key

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP3199148A JP2942395B2 (ja) 1991-08-08 1991-08-08 秘密通信用ネットワークシステム

Publications (2)

Publication Number Publication Date
JPH0548599A true JPH0548599A (ja) 1993-02-26
JP2942395B2 JP2942395B2 (ja) 1999-08-30

Family

ID=16402951

Family Applications (1)

Application Number Title Priority Date Filing Date
JP3199148A Expired - Fee Related JP2942395B2 (ja) 1990-12-18 1991-08-08 秘密通信用ネットワークシステム

Country Status (1)

Country Link
JP (1) JP2942395B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002508529A (ja) * 1998-03-23 2002-03-19 サーティコム コーポレーション 内在的証明書方式
US8457307B2 (en) 2007-07-17 2013-06-04 Certicom Corp. Method and system for generating implicit certificates and applications to identity-based encryption (IBE)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002508529A (ja) * 1998-03-23 2002-03-19 サーティコム コーポレーション 内在的証明書方式
JP2010097236A (ja) * 1998-03-23 2010-04-30 Certicom Corp 内在的証明書方式
US8270601B2 (en) 1998-03-23 2012-09-18 Certicom Corp. Implicit certificate scheme
JP2013102549A (ja) * 1998-03-23 2013-05-23 Certicom Corp 内在的証明書方式
US8705735B2 (en) 1998-03-23 2014-04-22 Certicom Corp. Implicit certificate scheme
US8712042B2 (en) 1998-03-23 2014-04-29 Certicom Corp. Implicit certificate scheme
US8457307B2 (en) 2007-07-17 2013-06-04 Certicom Corp. Method and system for generating implicit certificates and applications to identity-based encryption (IBE)
US9071445B2 (en) 2007-07-17 2015-06-30 Certicom Corp. Method and system for generating implicit certificates and applications to identity-based encryption (IBE)

Also Published As

Publication number Publication date
JP2942395B2 (ja) 1999-08-30

Similar Documents

Publication Publication Date Title
US11621833B2 (en) Secure multiparty loss resistant storage and transfer of cryptographic keys for blockchain based systems in conjunction with a wallet management system
US7603560B2 (en) Method and apparatus for digital signature authentication
JP3862500B2 (ja) 直接埋め込み方式による高速楕円曲線暗号化の方法と装置
US6490352B1 (en) Cryptographic elliptic curve apparatus and method
US8873754B2 (en) Proxy-based encryption method, proxy-based decryption method, network equipment, network device and system
US8654975B2 (en) Joint encryption of data
US20050271207A1 (en) Method and system for chaotic digital signature, encryption, and authentication
CN112055021A (zh) 一种基于椭圆曲线的茫然传输方法及装置
US20220006615A1 (en) Computer-implemented system and method for distributing shares of digitally signed data
US7894608B2 (en) Secure approach to send data from one system to another
US9088419B2 (en) Keyed PV signatures
JP4010766B2 (ja) メッセージの公開型且つ非可換性の符号化方法及び暗号化方法
US20050089173A1 (en) Trusted authority for identifier-based cryptography
CN110519045B (zh) 基于群组非对称密钥池的抗量子计算联盟链交易方法、系统
US20060251248A1 (en) Public key cryptographic methods and systems with preprocessing
JP2942395B2 (ja) 秘密通信用ネットワークシステム
JPH11174957A (ja) 認証プロトコル
Barker et al. SP 800-56A. recommendation for pair-wise key establishment schemes using discrete logarithm cryptography (revised)
JP3540477B2 (ja) 署名方式
CN113141249B (zh) 一种门限解密方法、系统及可读存储介质
JP2945523B2 (ja) ネットワーク利用秘密及び署名通信方法
JP3862397B2 (ja) 情報通信システム
Hardjono et al. Authentication via multi-service tickets in the kuperee server
JPH02273779A (ja) ディジタル署名装置
KR100368204B1 (ko) 정규 기저를 이용한 역원 계산 알고리즘

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees