JPH08506217A - 公正な暗号システム及びその使用方法 - Google Patents

公正な暗号システム及びその使用方法

Info

Publication number
JPH08506217A
JPH08506217A JP5518661A JP51866193A JPH08506217A JP H08506217 A JPH08506217 A JP H08506217A JP 5518661 A JP5518661 A JP 5518661A JP 51866193 A JP51866193 A JP 51866193A JP H08506217 A JPH08506217 A JP H08506217A
Authority
JP
Japan
Prior art keywords
user
trustee
key
secret key
share
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP5518661A
Other languages
English (en)
Inventor
ミカリ,シルヴィオ
Original Assignee
ミカリ,シルヴィオ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ミカリ,シルヴィオ filed Critical ミカリ,シルヴィオ
Priority claimed from PCT/US1993/003666 external-priority patent/WO1993021708A1/en
Publication of JPH08506217A publication Critical patent/JPH08506217A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

(57)【要約】 各ユーザーには突き合せたシクレットキーとパブリックキーの一対が割当てられている、遵法のユーザーのプライバシーを保護しながら不法な活動の疑いのあるユーザーの通信を予め定められたエンティティ(18)が監視できるようにするためのパブリックキー暗号システムを用いた方法。この方法に従うと各ユーザーのシクレットキーは、分担分に分割される。次に各ユーザーは、複数の「受託者」(22a)に情報断片を提供する。各受託者(22a)に提供された情報断片は、このような情報がいくつかの与えられたパブリックキーの1シクレットキーの1「分担分」を含んでいることをその受託者(22a)が確認できるようにする。各各の受託者(22a)は、他のいずれの受託者(22a)とも対話することなく、又はユーザーにメッセージを送ることによつて、提供された情報断片がシクレットキーの分担分を含んでいることを確認できる。予め定められた要請または条件、例えば不法な活動の疑いのあるユーザーの通信を監視することをエンティティ(18)に許可する裁判所命令(20)などに基づいて、受託者(22a)はエンティティ(18)に対しこのようなユーザーのシクレットキーの分担分を暴露する。こうしてエンティティ(18)はシクレットキーを再構成し、被疑者ユーザーの通信を監視することができるようになる。

Description

【発明の詳細な説明】 名称 公正な暗号システム及びその使用方法 技術分野 本発明は、一般に秘密システム(cryptosystem)[以下暗システ ムと呼ぶ]より特定的には、遵法のユーザーのプライバシーを保護しながら不法 な活動の疑いのあるユーザーの通信を一定の与えられた統一体が監視できるよう にするための方法に関する。 背景技術 シングルキー暗号システムにおいては、共通の1つのシクレットキー(sec ret key)がメッセージの暗号化(encrypting)或いは解説( decrypting)のいずれにも利用される。かくして、このようなキーを 予め安全に交換した2人の加入者のみがこれらのシステムを秘密通信のために使 用できる。このことは、シングルキーシステムの利用可能性を著しく制限してい る。 ダブルキー暗号システムにおいては、暗号化及び解読のプロセスが異なるキー により支配される点が異なっている。基本的に、突き合わせた(matchin g)暗号化及び暗号解読キーの一対が考え出される。一定の与えられた暗号化キ ーを用いて暗号化されるものは、対応する暗号解読キーを用いてはじめて解読で きる。その上、 暗号化キーはそれに突き合せた解読キーを「密告」しない。すなわち、暗号化キ ーを知っていることが暗号解読キーの値を見い出す助けとはならない。ダブルキ ーシステムの利点は、いかなるキーも安全に交換したことのない2人の加入者が 非機密保持通信回線(すなわち敵により傍受される可能性のある通信回線)上で 秘密に通信することを可能にすることができるということにある。彼らは、オン ライン専用通信プロトコルを実行することによつてこれを行なう。 特に、加入者Aは加入者Bに対し、自らが内密に話したいことがあるという警 告を発する。すると加入者Bは、一対の符合する暗号化及び暗号解読キー(EB ,DB)を計算する。次にBはAにキーEBを送る。加入者Aはこのとき自らのメ ッセージmを暗号化し、暗号文c=EB(m)を得、非機密保持通信回線上でc をBに送る。Bは、m=DB(c)を計算することにより暗号文を解読する。敵 がAとBの間の全ての通信を盗聴する場合、この敵はBの暗号化キーEBとAの 暗号文cの両方を開くことになる。しかしながら、敵はBの解読キーDBを知ら ないためcからmを計算できない。 上述のプロトコルのもつ利点は、次の2つの欠点にさいなまれていることから 、なお極めて限られたものとなとている。まず第1にAがBに秘密メッセージを 送るためには、少なくとも初回はBからAにメッセージを送ることも必要である という点である。いくつかの状況の下 では、このことは全くの欠点である。さらにAは、(いずれにせよ通信回線は機 密保持されていないのであるから)、受理したストリングDBが実際にBの暗号 化キーであるという保証をもたない。実際、これは敵によつて送られたキーであ る可能性もあり、こうして敵はそれに続く暗号化された伝送を理解することにな る。 普通のパブリックキー(public key)暗号システム(「PKC」) が両方の問題点を解決し、通信を大幅に容易にする。このようなシステムは基本 的に、適切なキー管理センターと共にダブルキーシステムを使用することから成 る。各各のユーザーxは、ダブルキーシステムの一対の符号する暗号化及び暗号 解読キー(Ex,Dx)を考え出す。彼は、自らのためにDxをとっておき、E xをキー管理センターに与える。センターは、各ユーザーについての正しいパブ リックキーのダイレクトリすなわちタイプ(X,Ex)の入力の正しいリストを 更新し公表する責任をもつ。例えば、xから自らのパブリックキーとしてExを 有するよう要請を受けた時点て、センターはxのアイデンティティを適切にチェ ックし、全ての暗号化キーに有効期限がある場合には現日付と共に対(X,Ex )に(デジタル式に)署名する。センターは、署名された情報をシステム内の全 てのユーザーに分配することによりExを公表する。このようにして、いかなる 対話もなしに、ユーザーは、センターが公表するダイレクトリの中で照合できる 自らのパブリック 暗号化キーを介して秘密メッセージを互いに送ることができる。センターが対( X,Ex)に署名しているということは、その対がすでに検査済みのXのアイデ ンティティを有するセンターにより分配されたものである、ということを保証し ているため、アイデンティティの問題も又解決される。 PKCの便宜性はキー管理センターに依存している。大規模にこのようなセン ターを創設するには多大な努力が必要であるため、追従すべき明確なプロトコル を適切に選ばなくてはならない。さらに、パブリックキー暗号にはいくつかの欠 点がある。主たる欠点は、かかるシステムの全てが例えば、(当局の知らないう ちに)独自のPKCを使用しかくして自らの不法な取引を極秘裏にしかも極めて 便利に行うことのできる犯罪組織やテロリストによつて濫用されうる、というこ とにある。 従って、その正当な利点の全てを維持しながらパブリックキー暗号システムの あらゆる濫用を防ぐことが望ましい。 本発明の目的は、同時に遵法のユーザーのプライバシーを保護しながら不法な 活動の疑いのあるユーザーの通信を、政府といつた一定の与えられたエンティテ ィ(entity)が監視できるようにするための方法を提供することにある。 本発明のさらにもう1つの目的は、パブリックキー又はプライベートキーの暗 号システムのいずれかを用いた このような方法を提供することにある。 本発明のさらにもう1つの目的は、予め定められたできごと例えば裁判所命令 の取得があつた時点ではじめて被疑者ユーザーの通信をエンティティが監視でき る、いわゆる「公正な」暗号システムを提供することにある。 もう1つの目的は、このような通信技術において使用するための公正な暗号シ ステムを構築する方法を記述することにある。 1実施態様においては、本発明のこれらの及びその他の目的は、各ユーザーに 対し一対の符合するシクレット及びパブリックキーが割当てられている、遵法の ユーザーのプライバシーを保護しながら不法な活動の疑いのあるユーザーの通信 を予め定められたエンティティが監視できるようにするための、パブリックキー 暗号システムを用いた1つの方法の中で提供されている。この方法に従うと、各 ユーザーのシクレットキーは、分担分(shares)へと分割される。次に各 ユーザーは複数の「受託者」(trustees)に情報断片を提供する。各受 託者に提供された情報断片により、その受託者は、かかる情報に一定の与えられ たパブリックキーのクレジットキーの1「分担分」が含まれていることを確認す ることができる。さらに、各受託者は、その他のいずれの受託者とも対話するこ となく、又はユーザーにメッセージを送ることにより、提供された情報断片がシ クレットキーの1分担分を含んでいることを確認することができ る。予め定められた要請又は条件、例えば、不法な活動の疑いのあるユーザーの 通信を監視することをエンティティに許可する裁判所命令に基づいて、受託者は 、エンティティがシクレットキーを再構成し被疑者ユーザーの通信を監視できる ようにするため、このようなユーザーのシクレットキーの分担分を統一体に暴露 する。 この方法は、受託者が被疑者ユーザーのアイデンティティを知っているか否か に関わらず実施でき、又シクレットキーを再構成するために被疑者ユーザーのシ クレットキーの分担分の全てではなくそれより少ない部分の暴露しか必要とされ ない場合でさえ、実施できる。この方法は充分頑強なものであるため一定の与え られた少数の受託者が疑惑の目にさらされエンティティに協力するべく信頼され 得ない場合にも有効である。さらに、被疑人ユーザーの活動は、統一体がシクレ ットキーを再構成した後又はこれを再構成しようと試みた後でも被疑者ユーザー の通信を監視できない場合、不法なものとして特徴づけされる。 本発明のもう一つのより一般化された態様に従うと、遵法のユーザーのプライ バシーを保護しながら不法な活動の疑いのあるユーザーの通信を定められたエン ティティが監視できるようにするためにパブリックキー暗号システムを用いるた めの方法が記述されている。この方法には、各各の受託者が、受理した分担分が 或るパブリックキーの1シクレットキーの一部であることを確認でき るように、各各のユーザーのシクレットキーを複数の受託者と「確認可能な形で 秘密共有する」段階が含まれている。 以上で、本発明のより適切な目的のいくつかを概略的に記した。これらの目的 は、本発明のより卓越した特徴及び応用のいくつかを例示するにすぎないものと みなされるべきである。開示した発明を異なる要領で応用するか又は以下で記述 するように本発明を修正することにより、その他の有益な結果が数多く達成でき る。従って、好ましい実施態様について以下の詳細な説明を参照することにより 、本発明のその他の目的及びより完全な理解を得ることができるだろう。 本発明及びその利点をより完璧に理解するには、以下の添付図面に結びつけて 以下の詳細な説明を参照するべきである。なお図面中、図1は、政府エンティテ ィ(government entity)が、不法な活動の疑いのあるユーザ ーの通信を監視することを望む通信システムの簡略化された図である。 図2は、不法な活動の疑いのあるユーザーの通信を監視するため本発明の方法 を使用できるエンティティの好ましい階層のブロックダイヤグラムである。 図1は、発呼局12と被呼局14の間に接続された電話回線網を含む単純な通 信システム10を表わしている。単数又は複数の地方電話交換局又は電話スイッ チ16が、周知の方法で回線網全体にわたり電話信号を接続してい る。ここで図2も参照してみると、地方の法執行機関18といつた政府エンティ ティが、発呼局のユーザーに不法な活動の疑いがあることを理由としてこの発呼 局12へ及び/又はこの発呼局からの通信を監視することを望んでいる、と仮定 しよう。さらに、発呼局12のユーザーがPKCを用いて通信しているというこ とも仮定する。受入れられている合法的実践法に従って、政府機関18は、この 回線15をひそかに監視するべく裁判所20から裁判所命令を得る。本発明に従 うと、政府機関は、回線網内のその他の遵法のユーザーのプライバシー権を同時 に維持しながら、回線15を監視することができる。これは、以下で記述するよ うにね各各のユーザーが複数の受託者22a・・・22nとユーザーシクレットキ ー(PKCの)を「秘密共有」することを要求することによつて達成される。 本発明に従うと、「公正な」PKCは、特殊なタイプのパブリックキー暗号シ ステムである。全てのユーザーはなおも独自のキーを選ぶことができ、自らのプ ライベートキーを秘密理に保つことができる。それでも、法律により考慮されて いる適切な状況の下で(例えば裁判所命令)、これらの状況の下でのみ、特殊な 承認済み加入者(例えば政府)、そしてこの加入者のみが、特定のユーザーに送 られた全てのメッセージを監視することを許可される。公正なPKCは、受入れ られている合法的手続きの制約内にとどまりながら、既存の通信システム (例えば電話業務)の機密保護を改善する。 一実施態様では、公正なPKCは、以下の一般的方法で講成される。ここで図 1〜2を参照すると、5人の受託者22a・・・22cが存在し、裁判所命令を受 けた時点で政府が発呼局12へ又はこの発呼局からの電話通信を監視することを 望んでいる、という仮定がなされている。上述の説明は特定的なものであるが、 通信システムのユーザー及び受託者が人間であつてもよいし又は計算装置であつ てもよいということがわかるはずである。受託者は、信頼のおける者となるよう 選択されることが好ましい。例えば、受託者は、判事(又は判事が制御するコン ピュータ)であつてもよいし、この目的のために特別に設置されたコンピュータ であつてもよい。受託者は個々のユーザーと共に、システム内でどの暗号化キー が公表されるかを決定する上で重要な役目を果たす。 各各のユーザーは、一定の与えられたダブルキーシステムに従って自分自身の パブリックキー及びシクレットキーを選ぶ(例えば、パブリックキーは2つの素 数の積から成り、シクレットキーはこれら2つの素数のうちの一方から成る)。 ユーザーはそのキーの両方を選んでいるため、その「質」及び自らの暗号解読キ ーのプライバシーについて確信できる。このとき、ユーザーは自らのシクレット 解説キーを、次の特性をもつ5つの特殊な「断片」(piece)に分割する( すなわち、彼は自らの暗号解説キーから5つの特別なストリング/番号を 計算する)。 (1)5つの特殊な断片が全てわかつている場合、プライベートキーを再構成で きる。 (2)特殊な断片のうちいずれか4つ又はそれ未満しかわからない場合、プライ ベートキーを推測することは全く不可能である。 (3)i−1,・・・5,については、i番目の特殊断片を個別に正しいものであ ると確認することができる。 5つの特殊な断片つまり「分担分」が与えられている場合、それらが実際にプ ライベート解読キーを生み出すことをチェックすることによりそれらが正しいこ とを確認することができる。本発明の1つの特徴に従うと、特性(3)は、個別 に、すなわちシクレットキーを全く知らずに又その他の特殊な断片のいずれかの 値を知ることなく、各各の特殊な断片を正しいものと(すなわちその他の4つの 特殊断片と合わせてそれがプライベートキーを生み出すものであると)確認しう るということを保証している。 このとき、ユーザーはひそかに(例えば暗号化された形で)受託者22に対し 独自のパブリックキー及びそれに結びついたシクレットキーのi番目の断片を与 える。各各の受託者22は、自ら受けとつた断片を個別に検査し、それが正しい 場合パブリックキーを承認し(それに署名する)、それに関連する断片を安全に 保管する。これらの承認は、受託者によつて直接、又は受託者からそ れらを収集する個々のユーザーにより(できれば単一のメッセージ内で)、キー 管理センター24に与えられる。政府と一致している場合もあるしそうでない場 合もあるセンター24は、それ自体、全ての受託者により承認されているあらゆ るパブリックキーを承認(例えば署名する。これらのセンター承認キーは、公正 なPKCのパブリックキーであり、通常のPKCの場合と同様に分配され、秘密 通信のために用いられる。 各各の暗号解読キーの特殊な断片は受託者にひそかに与えられることから、2 人のユーザーの通信回線を傍受する敵は、基礎を成す通常のPKC内と同じ情報 を有する。かくして基礎をなすPKCが機密保護性のあるものであるならば、公 正なPKCもかくの通りである。その上、敵が受託者自身の一人である場合、さ らには受託者5人のうちのいずれか4人の協力する集まりであつた場合でも、特 性(2)は、その敵がなお通常のPKCの場合と同じ情報しか有さないことを保 証する。敵が5人の判事のうちの5人を買収する可能性は絶対的に遠いものであ ることから、結果として得られる公正なPKCの機密保護性は、基礎を成すPK Cの場合と同じである。 例えば裁判所命令などが提示された時点で、受託者22は政府20に対して、 自らが所有する一定の与えられた暗号解読キーの断片を暴露する。本発明に従う と、受託者は、この一定の与えられた暗号解読キーを所有するユーザーのアイデ ンティティに気付いていてもいなくて もよい。こうして、そのユーザーの解読キーの分担分に対する要請をひとたび受 託者が受理した時点で本来ならば、被疑者ユーザーを内報するかもしれない「危 機にさらされた」受託者に対する付加的な安全性が提供される。 分担分を受理した時点で、政府は、与えられた暗号解読キーを再構成する。特 性(3)により、各各の受託者は、一定の与えられた暗号解読キーの正しい特殊 断片が自らに与えられたか否かを予め確認した。さらに全てのパブリックキーは 、それが全ての受託者22により承認された場合に初めてキー管理センター24 により許可された。従って、政府は、裁判所命令の場合、あらゆる暗号解読キー の全ての特殊断片を与えられるという保証を得る。特性(1)により、これは、 政府が必要とあらば回線網全体にわたる通信を監視するためあらゆる与えられた 解読キーを再構成できるようになるという保証である。 公正なPKCのいくつかのタイプについて、以下でさらに詳細に説明する。 Diffie及びHellmanのPKC Diffie及びHellmanのパブリックキー暗号システムは既知のもの であり、本発明により公正なPKCへと容易に変換される。Diffie及びH ellmanのスキーム(scheme)においては、各各のユーザー対X及び Yは、いかなる対話もなく、従来のシングルキー暗号システムとして使用される べき共通のシ クレットキーSxyについて合意するのに成功する。普通のDiffie−He llman PKCでは、全てのユーザーに共通の素数Pと生成元(又は高位元 )gが存在する。ユーザーXは、自らのプライベートキーとして間隔[1,p− 1]で無作為整数Sxを秘密理に選択し、自らのパブリックキーとして、Pを法 として整数Px=gSxを公表する。もう一人のユーザーYは、自らのプライベー トキーとして同様にSxを選択し、自らのパブリックキーとしてPを法としてP y=gSyを公表する。このキーの値は、Pを法としてSxy=gSxSyとして決定 される。ユーザーXは、YのパブリックキーをPXを法として自らのプライベー トキーまで上げることにより、又ユーザーYはXのパブリックキーをPを法とし て自らのシクレットキーまでもち上げることによつて、Sxyを計算する。実際 :Pを法として(gSxSy=gSxSy=Sxy=gSxSy=(gSySxである。 g,p及びxがわかつている場合、pを法としてy=gxを計算するのは容易 であるが、一方、gが充分に高い位数を有する場合、y及びpがわかつていて、 pを法としてgx=yとなるようなxを計算するのに効率のよいアルコリズムは 全く知られていない。これは、離散的な対数の問題である。この問題は、多くの 暗号システムにおいて機密保護のベースとして用いられてきた。Diffie及 びHellmanのPKSはは、以下の要領で公正なものへと変換される。 各ユーザーxが無作為に間隔[1,p−1]で5つの整数Sx1,…S×5を 選択しSxをpを法としたその和にする。以下の全ての演算がpを法としたもの であると理解すべきである。このとき、ユーザーxは、次の数を計算する: t1=gS×1,…t5=gS×5及びPx=gSx 。 Pxはユーザーxのパブリックキーであり、Sはそのプライベートキーであ る。tiは、Pxのパブリック断片として参照され、Sxiはプライベート断片 として参照される。又パブリック断片の積がパブリックキーPxに等しいことに 留意すべきである。実際: t1…t5=gS×1,…gS×5=g(S×1++S×5)=gSx T1,…T5を5人を受託者とする。このときユーザーxはPx,パブリック 断片及びSx1を受託者T1に与え、Px,パブリック断片及びSx2を受託者 T2にたいし与え、以下同様に続く。断片Sxiは受託者Tiに対し秘密に与え られる。パブリック及びプライベート断片ti及びSxiを受理した時点で、受 託者TiはgSxi=Tiであるか否かを確認する。そうである場合、受託者は対 (Px,Sxi)を保存し、数列(px,t1,t2,t3,t4,t5)に署 名し、署名した数列をキー管理センター24(又は、その後署名したパブリック 断片全てを一度にキー管理センターに与えることになるユーザーx)に与える。 一定の与えられたパブリッ クキーPxに関する署名された数列全てを受理した時点で、キー管理センターは 、これらの数列がパブリック断片t1・・・t5の同じ部分列を含むこと、そして パブリック断片の積が実際にPxに等しいことを確認する。そうである場合、セ ンター24はPxをパブリックキーとして承認し、それをもとのスキームの場合 と同様に分配する(例えばそれに署名し、ユーザーxにそれを与える)。ユーザ ーx及びyのいずれの対についての暗号化及び暗号解読の指令も、Diffie 及びHellmanのスキームの場合と正に同じである(すなわち共通のシクレ ットキーSxyを用いる)。 この手順は、公正なPKCを構成する前述の方法と符合する。Diffie− Hellmanのスキームのさらにもう1つの公正なバージョンは、ユーザーに 各各の受託者Tiに対してパブリック断片tiとそれに相応するプライベート断 片Sxiのみを与えさせ、ユーザーにキー管理センターに対しパブリックキーP xを与えさせることによつて、より単純な要領で得ることができる。センターは 、それが適切な受託者により署名された全てのパブリック断片を受理しこれらの パブリック断片の積がPxに等しい場合にのみ、Pxを承認することになる。こ のようにして、受託者Tiは、Sxiがパブリック断片tiの離散的対数である ことを確認することができる。このような受託者は、Px又はその他のパブリッ ク断片を見たことがないため、SxiがPxの合法的分担分で あることを確かに確認することができない。それでもなお、上述の特性(1)− (3)がなおも満たされていることから、結果はDiffie−Hellman のスキームに基づく公正なPKCである。 上述の公正なPKCのうちいずれのものも、基礎をなすDiffie−Hel lmanのスキームにより提供されるものと同じレベルの通信のプライバシーを 有する。実際、パブリックキーの妥当性検査は相応するプライベートキーを危機 にさらすことがない。各各の受託者Tiは、特殊な断片として、無作為数tiの 離散的対数Sxiを受理する。この情報は明らかに、Pxの離散的対数を計算す る不適切なfrである。いずれの4つの特殊断片もプライベート暗号キーSxと は独立したものであることから、受託者のうちいずれか4人を合わせて考えた場 合にも、実際、同じことが言える。同様にキー管理センターは、Pxの離散的対 数という、プライベートキーに関するいかなる情報も有していない。センターが 有しているのは、受託者によりそれぞれ署名されたパブリック断片だけである。 パブリック断片は、その積がPxである5つの無作為数にすぎない。このタイプ の情報は、Pxの離散的対数を計算するのに不適切である。実際、誰でも4つの 整数を選び、5つ目を、最初の4つの積でPxを除したものとして設定すること ができる。除算がpを法とするものであることから、結果は整数となる。受託者 の署名については、これは、他の誰かがシクレッ ト断片を有するという裏付けを表わすにすぎない。 いずれか4人の受託者と合わせたセンターの手中にある情報でさえ、プライベ ートキーSxを計算するのに不適切である。従って、ユーザーは、妥協性検査手 順が自らのプライベートキーを密告しないという保証を得るのみならず、自分自 身のキー及び自らのプライベートキーの断片を計算するのが彼自身であることか ら、この手順が適切に追従されたこともわかるのである。 第2に、キー管理センターがパブリックキーPxを妥当性検査した場合、その プライベートキーは、裁判所命令の場合に政府により再構成可能なものとして保 証される。実際、センターは、各各適切な受託者により署名されたPxの5つの 断片すべてを受理する。これらの署名は、受託者Tiがパブリック断片tiの離 散的対数を有することを保証する。センターは、パブリック断片の積がPxに等 しいことを確認するため、受託者と共に保管中のシクレット断片の和がPxの離 散的対数すなわちユーザーxのプライベートキーに等しいということも知ってい る。従って、センターは、xのプライベートキーを要求する裁判所命令が発行さ れた場合、政府は受託者が受理した値を合計することによつて必要とされるプラ イベートキーが得られるという保証を受けているということを知っている。 RSAの公正なPKC: 以下では、既知のRSA関数に基づく公正なPKCを 記述する。通常のRSAPKCでは、パブリックキーは2つの素数と1つの指数 e(Fをtそう−の商関数としてf(N)と互いに素なもの)の積である整数N から成る。指数の如何に関わらず、プライベートキーはつねにNの因数分解とな るように選択されうる。簡単な背景として示すと、RSAスキームは以下のよう な数論的様相から派生するいくつかの特徴を有する: 事実1.Zn*が1〜Nの間にありNと互いに素な整数の乗法群を示すものと する。Nが2つの素数の積であるつまりN=pq(又は2つの素数べき;N=pab)であるならば、そのとき、 (1)Zn*中の数字sは、それがNを法として4つの全く異なる平方根すなわ ちx,Nを法として−x,y及びNを法として−yを有する場合(すなわちx2 =y2=Nを法とするs)にのみ、Nを法として平方数である。さらに+ −x + −y及びNの最大公約数からNの因数分解が容易に計算される。同様に: (2)Zn*内の数のうち4つの中の1つは、Nを法として平方数である。 事実2.Zn*中の整数の間で、1又は−1のいずれかに容易に評価するヤコ ビの記号という1つの関数が定義づけられる。xというヤコビの記号は乗法的で ある。すなわち(x/N)(Y/N)=(xy/N)。Nが2つの素数の積N= pq(又は2つの素数べき:N=pab)であるならば、p及び1は、4を法と して3に対 し合同である。このとき+ −x及び+ −yがNを法とした平方の4つの平方 根である場合、(s/N)=(−x/N)=+1であり(y/N)=(−y/N )=−1である。かくして、事実1から、あらゆる平方のヤコビの記号1ルート 及びヤコビの記号−1ルートが与えられている場合、Nを容易に因数分解できる 。 この背景から、以下では、RSA暗号システムをいかにして単純に公正なもの にすることができるかについて記述する。単純化を期して、ここでも又5人の受 託者が存在し、そのうちのいずれの4人もシクレットキーを予想さえできないの に、この1つのシクレットキーを再構成するためにはこれら5人全員が協力しな ければならない、という仮定をする。RAS暗号システムは、受託者とNの因数 分解を効果的に共有することにより、公正なPKCへと容易に変換される。特に 、受託者は、おそらくしその他の与えられた共通の情報と合わせて、Nを法とし て共通の平方の2つ(又はそれ以上)の平方根x及びy(xはNを法として±y と異なる)を再構成できるようにする情報の提供を秘密に受けている。与えられ た共通の情報は、yに等しいx2の−1のヤコビの記号のルートであつてよい。 ユーザーが自らのプライベートキーとして4を法として3に合同なP及びQの 素数を、又そのパブリックキーとしてN=PQを選ぶ。次に彼は、ZN *の中で5 つのヤコビ1整数x1,x2,x3,x4及びx5(好まし くは無作為に)を選び、全てのi=1,・・・,5についてNを法としてその積x 及びxi2を計算する。最後の5つの平方の積Zはそれ自体平方である。Nを法 としてZの1平方根はxであり、これは1に等しいヤコビの記号をもつ(ヤコビ の記号は乗法的であるため)。ユーザーは、Nを法としてヤコビ−1ルートの1 つであるYを計算する。x1,・・・x5はパブリックキーNのパブリック断片とな り、xiはプライベート断片となる。ユーザーは受託者にプライベート断片xi (そして場合によつては、特性(1)−(3)を満たすべく分担分の確認が受託 者とセンターの両方によつて行なわれるか受託者により単独で行なわれるかによ つて、相応するパブリック断片、その他全てのパブリック断片及びPx)を与え る。受託者Tiは、Nを法としてxiを2乗し、キー管理センターに自らのx1 2 の署名を与え、xiを保管する。 センターはまず、(−1/N)=1であることすなわち全てのxについて(x /N)=(−x/N)であることをチェックする。Nのパブリック断片の有効な 署名及びヤコビ−1の値Yをユーザーから受理した時点で、センターは、Nを法 としてYの平方が5つのパブリック断片の積に等しいか否かチェックする。等し い場合、センターは、できればユーザーの助けをかりてNが2つの素数べきの積 であることをチェックする。そうである場合、センターはNを承認する。 このスキームの背後にある論法は以下のとおりである。 すなわち、xi2の(Nを法として)受託者の署名は、全ての受託者TiがNを 法としてxi2ののヤコビの記号1のルートを保管したことを保証する。かくし て、裁判所命令があつた場合、これらのヤコビの記号1のルート全てが研削可能 である。Nを法としてそれらの積は、この関数が乗法的であることから、同様に ヤコビの記号1を有することになり、Nを法としてx2のルートとなる。しかし センターがNを法としてy2=x2であることを確認したことから、Nを法として 共通平方の2つのルートx及びYを有することになる。その上、Yは、異なるヤ コビの記号を有することからxとは異なり、又(−1/N)が1つであることが チェックされ(b)ヤコビの記号が乗法的であるため(−x/N)=(s/N) であることから、−xとも異なっている。事実1及び2により、このような平方 根を有することは、Nがせいぜい2つの素数ベキの積であることを条件としてN の因数分解を有することを同等である。この最後の特性は同様に、センターがN を承認する前にチェックしていたものである。 Nがせいぜい2つの素数ベキの積であるとの確認はさまざまな方法で実行でき る。例えば、センターとユーザーは、この事実のゼロ−知識の証明に携わること ができる。代替的には、ユーザーはセンターに、整数の規定された及び充分に無 作為の数列の形で整数のおよそ1/4についてNを法として平方根を提供するこ とができる。 例えば、このような数列は、短いシードへNを一方向に切り刻み次に偽似無作為 な生成之を用いてより長い数列へとそれを拡張させることによつて決定できる。 不正直なユーザーが自らのNを3つ以上の素数べきの積であるように選択した場 合、彼がその数列内の整数の約1/4がNを法とした平方であることを望むのは バカげたことである。実際、このユーザーのNという選択に対しては、整数のせ いぜい1/8がNを法として平方根をもつ。変形態様 上述のスキームは数多くの方法で修正することができる。例えば、Nが2つの 素数べきの積であることの証明を受託者が(ユーザーと協力して)行なうことが でき、この受託者は次にその発見事実についてセンターに情報を提供する。同様 に、いずれかの少数者がシクレットキーに関する情報を得ることができなくなつ ても、シクレットキーを再構成するには受託者の大部分の協力があれば充分であ るように、スキームを修正することもできる。同様に、全ての公正な暗号システ ムの場合のように、政府が1人の受託者に対して、同者が所有するユーザーシク レットキーの断片を要求したときにこの受託者がそのユーザーのアイデンティテ ィについて学習しないように配慮することもできる。これらの変形態様について 、以下でさらに詳細に論述する。 特に、上述のスキームは、偶然にであれ悪意をもつてであれ幾人かの受託者が システムの機密保護を危険にさ らすことなく自ら所有する分担分を暴露しうるという意味で、頑丈なものである 。しかしながらこれらのスキームは、受託者が再構成段階中協力し合うという事 実に依存している。実際、シクレットキーを回復させるためには全ての分担分が 必要でなくてはならない、という点が強調された。この必要条件は、幾人かの受 託者が信頼に値しないことがわかつたり又は自ら所有するキーを政府に与えるの を拒絶する可能性があること、又は全てのファイルバックアップにも関わらず受 託者が自ら所有する情報を純粋に紛失してしまう可能性があることのいずれかを 理由として、不利なものでありうる。その理由の如何に関わらず、この状況下で はシクレットキーの再構成は妨げられることになる。この問題も又、本発明によ つて解決される。 背景として、「秘密共有」(パラメータn,T,tでの)は、次の2つの段階 から成る先行暗号スキームである。すなわち第1段階では、卓越した人物つまり ディーラーにより選ばれたシクレット値が、n人又はn個の人物又はコンピュー タつまり受託者の各各に1つの情報断片を与えることにより、これらの受託者に 安全に保管される。第2段階では、受託者が情報を自らの所有下にまとめてプー ルした時点で、シクレットが回復される。秘密共有は、主要な1つの欠点を有す る。すなわちここでは、ディーラーが自らのシクレット値についての正しい分担 分(情報断片)を受託者に与える、ということを前 提としているのである。「確認可能な秘密共有」(VSS)はこの「正直さ」の 問題を解決する。VSSスキームでは、各各の受託者は、そのシクレット(秘密 )自体のその他の受託者の分担分を全く知ることなく、自らに与えられた分担分 が本物であることを確認することができる。特定的に言うと、受託者は、T個の 確認された分担分が暴露された場合、もとのシクレットは、ディーラー又は不正 直な受託者が何をしようと再構成されることになる、ということを確認すること ができる。 上述の公正なPKCスキームは、パラメータn=5,T=5及びt=4で、適 正に組織化された非対話型の確認可能な秘密共有スキームに基づいている。本発 明に従うと、これらのパラメータの異なる値、例えばn=5,T=3及びt=2 を有することが望ましい可能性がある。このような場合、少数の受託者の誰も全 くシクレットキーを予測できないのに対して、いずれかの大多数の受託者がこれ を回復させることができる。これは以下のとおり達成される(そしてT>tであ る望ましいn,T及びtのあらゆる値まで単純に一般化される)。 Diffie−Hellmanスキームのためのサブセット方法 [1,p−1]内でシクレットキーSxを選択した後、ユーザーxは、pを法 として自らのパブリックキーPx=gSXを計算する(以下の計算は全てpを法と する)。ユーザーxは次に1と5の間の数の全ての三ツ組すなわ ち(1,2,3),(2,3,4)などを考慮する。各三ツ組(a,b,c)に ついて、ユーザーxは、そのpを法とした和がSxに等しくなるように間隔[1 ,p−1]内で3つの整数S1abc,・・・,S3abcを無作為に選ぶ。その 後ユーザーxは、次の数を計算する: t1abc=gS1abc,t2abc=gS2abc,t3abc=gS3abc tiabcはPxのパブリック断片とSiabcはプライベート断片と呼ばれ ることになる。ここでも又、パブリック断片の積はパブリックキーPxに等しい 。実際、 t1abc・・・t2abc・・・t3abc=gS1abc・gS2abc・gS3abcx=g(S1a ab +・・・+S3ab)=gSx=Px ユーザーxは次に受託者Taにt1abc及びS1abc、受託者Tbにt2 abc及びS2abc及び受託者Tcにt3abc及びS3abcを与え、つね に問題の三ツ組を規定する。これらの数量を受理した時点で、受託者Ta(その 他の全ての受託者も何か類似のことをする)は、t1abc=gS1abcであるこ とを確認し、値[Px,t1abc,(a,b,c)]を署名し、署名を管理セ ンターに与える。 キー管理センターは、各各の三ツ組(a,b,c)について、受託者Ta,T b及びTcから受理した署名された情報から値t1abc,t2abc及びt3 abcを検索する。これら3つの値の積がPxに等しく、署名 が有効である場合、センターはPxをパブリックキーとして承認する。 多くても2人の受託者が信頼に値しないということを仮定して、このスキーム が有効である理由は、1つのシクレットキーを計算する(又は予測する)ために 1つの3つ組の全てのシクレット断片が必要とされる、ということにある。従っ て、システム内のいずれのシクレットキーもいずれか2人の受託者によつて検索 され得ない。一方、裁判所命令の後では、少なくとも3人の受託者が、一定の与 えられたパブリックキーについての自らの所有する全てのシクレット断片を暴露 する。このとき政府は、少なくとも1つの三ツ組について必要なシクレット断片 全てを有し、かくして望まれるシクレットキーを容易に計算することができる。 代替的には、各各の受託者は一群の新しい受託者によつて置換される。例えば 、単一の受託者Taの代わりに3人の受託者つまりTa1,Ta2及びTa3が 存在する可能性がある。これらの受託者の各各は、受託者Taの同じ分担分を受 理し、これをチェックすることになる。このようにして、3人の受託者全てが第 1の分担分の自らのコピーを引き渡すことを拒絶する確率は非常に低い。 悪意をもつ可能性のある数人の受託者がキーの再構成を妨げることはできない ということを確信した後、さらにもう1つここでとり上げるべき安全性の問題が ある。すなわち、(一定の与えられたシクレットキーの自らの 分担分を引渡すよう裁判所命令により要請された)受託者はそのキーの所有者に 対し自らの通信が監視されようとしているという警告を行なうことができるので ある。この問題も又本発明により解決される。受託者が使用する暗号システムが いくつかの代数的特性を有する場合、1つの単純な解決法がもち上がる。このこ とを、RSAスキームについても同じ結果が起こるものの、Diffie−He llmanのケースについて例示しておく。以下の論述においては、単純化のた め、全ての受託者がシクレットキーの再構成において協力し合うということを仮 定している。 気付かれるかつ公正なDiffie−Hellmanのスキーム 全ての受託者が、秘密のメッセージを受理するのに決定論的RSAを使用する と仮定する。かくして、Niを受託者TiのパブリックRSAモジュラスとし、 eiを彼の暗号化指数とする(すなわちTiに暗号化された形のメッセージmを 送るためには、Niを法としてmeiを送ることになる)。 ユーザーUは、それぞれPx及びSxという自らのパブリックキーとシクレッ トキー(従ってPを法としてPx=gSx)ならびにそれぞれti及びSxiとい うシクレットキーの自らのパブリック断片とシクレット断片(従ってPを法とし てPx=t1,t2・・・t5及び全てのiについてPを法としてti=gSxi)を 準備する。 その後ユーザーはキー管理センターに対して、Px全てのti及びn値、Niを 法としてUi=(Sxi)3、を与える;すなわち、ユーザーは受託者Tiのパ ブリックキーでi番目の分担分を暗号化する。センターはNiの因数分解を知ら ないため、これは、Sxを予測するのに有用な情報ではなく、又センターは、n 個の暗号文の解読がSxの適切な分担分であることを確認することができない。 このため、センターは、n人の受託者の協力を求めるが、以下に記すように彼ら に対しユーザーのアイデンティティについての情報は提供しない。 センターは、ユーザーUに関して値tj及びUjを保管し、次にUi及びti を受託者Tiへと転送する。全ての受託者Tiが、Uiの暗号解読がtiに関す る適切なプライベート断片であることを確認した場合、センターはPxを承認す る。 ここで、司法当局がユーザーUの通信を監視する決定を下すと仮定する。疑い のあるユーザーのアイデンティティを受託者に洩らすことなくシクレットキーS xを合法的に再構成するため、判事(又はもう1つの認可された代理人)は、N iを法として数Riを無作為に選択し、Niを法としてyi=Rieiを計算する 。このとき、彼は受託者Tiに対してNiを法として値Zi=Ui−yiを送り 、裁判所命令をもつてwi、つまりNiを法としたZiのei番目のルートを計 算し送り返すよう依頼する。Uiの値の如何に関わらず、ZiはNiを法とし た無作為な数であることから、受託人Tiは問題のユーザーUのアイデンティテ ィを推測することができない。その上、ZiはNiを法としてUi及びyiの積 であることから、Ziのei番目のルートは、Uiのei番目のルート(すなわ ちSxi)とyiのei番目のルート(すなわちRi)のNiを法とした積であ る。従って、wiを受理した時点で、判事はそれをNiを法としたyiで除し、 かくして望ましいSxiを計算する。これらのSkiの積は望ましいSxに等し い。 さらなる変形態様 本発明のその他の変形態様においては、裁判所命令があつた場合、政府は、制 限された量の時間について一定の与えられたユーザーに関するメッセージを理解 することだけが許される。全ての受託者の共同の承認は、政府の承認に代わりう る。同様に、受託者は、プライベートキーの自らの断片を保管する必要がない。 (受託者のパブリックキーの中にあり受託者により署名された)この断片の暗号 化を、ユーザーのパブリックキーの一部とすることもできる。このようにして、 パブリックキーはそれ自体の真正性及び確認の証明を有している。後者の場合、 受託者のプライベートキーを断片に分割することが有利でありうる。 ユーザーが集積回路チップといつた電子デバイスである場合、キー選択及びパ ブリックキーの妥当性検査の基本的プロセスは、デバイスが工場を離れる前に行 なうこ とができる。この場合、受託者の「コピー」を工場内に維持できることが有利で あるかもしれない。受託者のコピーは、受託者の暗号解読キーのコピーを含む物 理的に安全なチップ(そのデータが読み取り不可能なもの)である。受託者(す なわち裁判所命令に基づいてプライベートキーの断片を与えることのできる当事 者)は必ずしもこのデバイスと一致する必要はない。 もう1つの変形態様においては、受託者の各各が政府のプライベートキーの1 断片を有し、各各のユーザーのプライベートキーが政府のパブリックキーを伴っ て暗号化されるように配慮することができる。 電気通信回路網内(そして政府の権力下での)公正なPKCの使用について記 述されてきたが、このような記述は、制限条件として考えられるべきものではな い。公正なPKCは、私的組織内でも使用できる。例えば、プライバシーに対す るニーズがある大きい組織において、確立した「上司」が存在するものの、従業 員があまりにも多すぎるため全ての従業員が信頼できるわけではないと仮定する 。プライバシーに対するニーズのため、暗号化の使用が必要となる。全ての従業 員が信頼できるわけではないため、全社的に単一の暗号化キーを使用することは 、一定数のシングルキー暗号システムを使用すること(これは莫大なキー分配の 問題を生みだすため)と同様に、受入れることのできないことである。各各の従 業員に独自のダブルキーシステムを使用させることも又、 極秘裏に、無事にかつ便利に会社に対する陰謀を企てることができるようになる ため、同様に危険である。 公正なPKCのこのような利用分野においては、数多くの利点が得られる。ま ず第1に各各の従業員は、独自のキーの選択を担っている。より分配された手順 の利点を享受する一方で、組織は、上司が必要とする場合に全ての従業員の通信 を解読できるよう保証されていることから、絶対的な管理力を保持している。受 託者を変更する必要がないことから、上司が変ってもキーを変える必要は全く無 い。受託者の保管場所は、その全てを危険にさらすことのみが敵に何らかの利点 を与えることになるため、さほど監視を必要としない。 プライベートキー暗号システムを公正なものとするためだけではなくPKCの ためにも、各各の受託者がまず最初に、自ら分担分の暗号化されたバージョン又 はその他の形で掛り合ったバージョンを寄託し、かくして自らの分担分が何であ るかを暴露するよう依頼されたとき、その値について心変わりできないようにし ておくことが望ましい。同様に、ユーザーが、署名した状態で受託者に自らの分 担分を与えることが望ましい。このような署名は異なるパブリックキー(それら がデジタル式の署名である場合)に関するものであつてもよいし、又は署名にも 新しいキーを用いることができる場合には同じ新しいパブリックキーに関するも のであつてもよい。このようにして、受託者により暴露された分担分は、明らか に それが創作されたものであることを証明する。なお良いことに、ユーザーは、受 託者に与えられた分担分の暗号化に(受託者のキーで)署名することができ、署 名は分担分と合わせて暴露されうる。このアプローチにより、暴露されたものが ユーザーにより承認された分担分であつたことと同様に、受託者とユーザーが後 にその値を変更する上で協力できないことの両方について確信が得られる。 当業者であれば、以上で開示されている特定の実施態様が、本発明の同じ目的 を実施するためのその他の技術及びプロセスを修正又は設計するための1つの基 礎として容易に利用できるものであるということがわかるはずである。当業者な らば、このような同等な構成が添付のクレーム内に記載されているような本発明 の精神及び範囲から逸脱するものでないということも認識できるはずである。
───────────────────────────────────────────────────── 【要約の続き】 ようなユーザーのシクレットキーの分担分を暴露する。 こうしてエンティティ(18)はシクレットキーを再構成 し、被疑者ユーザーの通信を監視することができるよう になる。

Claims (1)

  1. 【特許請求の範囲】 1. 遵法のユーザーのプライバシーを保護しながら不法な活動の疑いのあるユ ーザーの通信を予め定められたエンティティーが監視できるようにするためのパ ブリックキー暗号システムを用いた方法において、各各のユーザーには突き合わ せたシクレットキーとパブリックキーの対が割当てられている方法において、 各ユーザーのシクレットキーを分担分に分割する段階と、 情報断片にいくつかの与えられたパブリックキーの1つのシクレットキーの分 担分が含まれていることを受託者が検証できるようにする情報断片を受託者に提 供する段階と、 予め定められた要請に基づいて、不法活動の疑義あるユーザーに対する通信を 監視するために、シクレットキーの再構成をエンティティが試みることができる ようにするため、被疑者であるユーザーのシクレットキーの分担分を受託者に暴 露させる段階と、 を含む方法。 2. 予め定められたエンティティーが政府機関であり、予め定められた要請が 裁判所命令である、請求の範囲第1項に記載の方法。 3. 被疑者ユーザーのアイデンティティが受託者に認知されている、請求の範 囲第1項に記載の方法。 4. 被疑者ユーザーのアイデンティティが受託者にとつて未知のものである、 請求の範囲第1項に記載の方法。 5. エンティティが被疑者ユーザーの通信を監視できない場合、被疑者ユーザ ーの活動を不法なものとして特徴づけする段階、 をさらに含む、請求の範囲第1項に記載の方法。 6. シクレットキーを再構成するためには、被疑者ユーザーのシクレットキー の分担分の全てではなくそれより少ないものの暴露しか必要とされない、請求の 範囲第1項に記載の方法。 7. 予め定められた要請に基づいて分担分がエンティティに対し暴露される、 請求の範囲第1項に記載の方法。 8. 一定の与えられた少数の受託者にはシクレットキーを再構成できない、請 求の範囲第1項に記載の方法。 9. 各各の受託者が、他のいずれの受託者との対話もなしに、提供された情報 断片がシクレットキーの1分担分を含んでいることを確認できる、請求の範囲第 1項に 記載の方法。 10. 遵法のユーザーのプライバシーを保護しながら不法な活動の疑いのあるユ ーザーの通信を予め定められたエンティティが監視できるようにするための、暗 号システム内へのパブリックキー暗号システムを使用する方法において、 各各の受託者が、受理した分担分がいずれかのパブリックキーのシクレットキ ーの一部であることを確認できるように、複数の受託者と各ユーザーのシクレッ トキーを検証可能な形で秘密共有する段階、 を含む方法。 11. 遵法のユーザーのプライバシーを保護しながら不法な活動の疑いのあるユ ーザーの通信を予め定められたエンティティが監視できるようにするための、パ ブリックキー暗号システムを用いた方法において、各ユーザーには符合するシク レットキーとパブリックキーの一対が割当てられる方法において、 各ユーザーのシクレットキーを分担分に分割する段階と、 いくつかの与えられたパブリックキーの1つのシクレットキーの分担分を含む 情報断片を受託者に提供する段階と、 予め定められた要請に基づいて、エンティティがシク レットキーを再構成し被疑者ユーザーに対する通信を監視することができるよう にするための不法な活動の疑いのあるユーザーのシクレットキーの分担分を受託 者に暴露させる段階、 を含む方法。 12. エンティティが被疑者ユーザーの通信を監視できない場合、被疑者ユーザ ーの活動を不法なものとして特徴づけする段階、 をさらに含む、請求の範囲第10項に記載の方法。 13. 一定の与えられた少数の受託者にはシクレットキーを再構成できない、請 求の範囲第10項に記載の方法。 14. 各受託者は、その他のいずれの受託者とも対話することなく、提供された 情報断片がシクレットキーの分担分を含んでいることを確認することができる、 請求の範囲第10項に記載の方法。 15. 遵法のユーザーのプライバシーを保護しながら不法な活動の疑いのあるユ ーザーの通信を予め定められたエンティティが監視できるようにするための、暗 号システムを使用し、かつ一群のユーザーに1つのシクレットキーを持たせる方 法において、 シクレットキーを分担分に分割する段階と、 シクレットキーの分担分を含む情報断片を受託者に提供する段階と、 予め定められた要請に基づいて、エンティティがシクレットキーを再構成し被 疑者ユーザーに対する通信を監視することができるようにするための不法な活動 の疑いのあるユーザーのシクレットキーの分担分を受託人に暴露させる段階と、 を含む方法。 16. エンティティが被疑者ユーザーの通信を監視できない場合、被疑者ユーザ ーの活動を不法なものとして特徴づけする段階、 をさらに含む、請求の範囲第15項に記載の方法。 17. 一定の与えられた少数の受託者にはシクレットキーを再構成できない、請 求の範囲第15項に記載の方法。 18. 各受託者は、その他のいずれの受託者とも対話することなく、提供された 情報断片がシクレットキーの分担分を含んでいることを検証することができる、 請求の範囲第15項に記載の方法。
JP5518661A 1993-04-20 1993-04-20 公正な暗号システム及びその使用方法 Pending JPH08506217A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US1993/003666 WO1993021708A1 (en) 1992-04-20 1993-04-20 Verifying secret keys in a public-key cryptosystem

Publications (1)

Publication Number Publication Date
JPH08506217A true JPH08506217A (ja) 1996-07-02

Family

ID=1763346

Family Applications (1)

Application Number Title Priority Date Filing Date
JP5518661A Pending JPH08506217A (ja) 1993-04-20 1993-04-20 公正な暗号システム及びその使用方法

Country Status (1)

Country Link
JP (1) JPH08506217A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6118874A (en) * 1997-03-31 2000-09-12 Hitachi, Ltd. Encrypted data recovery method using split storage key and system thereof
US6169803B1 (en) 1997-01-24 2001-01-02 Nec Corporation Encryption key processing system to be incorporated into data recovery system or key setting system for generating encryption key
JP2002517024A (ja) * 1998-05-22 2002-06-11 サートコ インコーポレイテッド ロバスト性を有しかつ効率的な分散型rsa鍵生成
US6842523B1 (en) 1998-11-25 2005-01-11 Kabushiki Kaisha Toshiba Encryption apparatus, cryptographic communication system, key recovery system, and storage medium
JP2005167968A (ja) * 2003-11-13 2005-06-23 Nippon Telegr & Teleph Corp <Ntt> 匿名通信方法
JP2010093860A (ja) * 1997-10-14 2010-04-22 Certicom Corp 鍵認証方式

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6169803B1 (en) 1997-01-24 2001-01-02 Nec Corporation Encryption key processing system to be incorporated into data recovery system or key setting system for generating encryption key
US6118874A (en) * 1997-03-31 2000-09-12 Hitachi, Ltd. Encrypted data recovery method using split storage key and system thereof
JP2010093860A (ja) * 1997-10-14 2010-04-22 Certicom Corp 鍵認証方式
JP2013042555A (ja) * 1997-10-14 2013-02-28 Certicom Corp 鍵認証方式
JP2002517024A (ja) * 1998-05-22 2002-06-11 サートコ インコーポレイテッド ロバスト性を有しかつ効率的な分散型rsa鍵生成
US6842523B1 (en) 1998-11-25 2005-01-11 Kabushiki Kaisha Toshiba Encryption apparatus, cryptographic communication system, key recovery system, and storage medium
JP2005167968A (ja) * 2003-11-13 2005-06-23 Nippon Telegr & Teleph Corp <Ntt> 匿名通信方法
JP4608246B2 (ja) * 2003-11-13 2011-01-12 日本電信電話株式会社 匿名通信方法

Similar Documents

Publication Publication Date Title
KR0151217B1 (ko) 공용-키 암호 시스템에서 비밀키를 조회하는 방법
US5315658A (en) Fair cryptosystems and methods of use
AU670587B2 (en) Verifying secret keys in a public-key cryptosystem
TWI822693B (zh) 產生臨界值保管庫之電腦施行方法
CN109687963B (zh) 基于公钥池的抗量子计算联盟链交易方法和系统
CN108418680B (zh) 一种基于安全多方计算技术的区块链密钥恢复方法、介质
US5481613A (en) Computer network cryptographic key distribution system
JP4083218B2 (ja) マルチステップディジタル署名方法およびそのシステム
US6915434B1 (en) Electronic data storage apparatus with key management function and electronic data storage method
USRE36918E (en) Fair cryptosystems and methods of use
US8437474B2 (en) Public key encryption for groups
JP4790731B2 (ja) 派生シード
KR100406754B1 (ko) 피케이아이 기반의 상업용 키위탁 방법 및 시스템
US6377688B1 (en) Cryptographic communication method and system
US20090265559A1 (en) User authentication by linking randomly-generated authentication secret with personalized secret
US10630486B2 (en) Multiparty computation for approving digital transaction by utilizing groups of key shares
OA10456A (en) Cryptographic system and method with key escrow feature
WO1993021708A1 (en) Verifying secret keys in a public-key cryptosystem
CN106657002A (zh) 一种新型防撞库关联时间多密码的身份认证方法
JPH08506217A (ja) 公正な暗号システム及びその使用方法
CN110620668A (zh) 基于区块链的抗量子计算公钥池更新方法和系统
Beth et al. Towards acceptable key escrow systems
JPH02246640A (ja) 管理センタの認証情報を用いる共有鍵配送方式
Cryptosystems et al. FAIR PUBLIC-KEY CRYPTOSYSTEMS
NAZZIWA APPLICATION FRAMEWORK FOR ENCRYPTING DATA FOR CLOUD TRANSMISSION USING A HOMOMORPHIC TOKEN