JPH09205422A

JPH09205422A - 順向性、ロバスト及び回復可能な分散しきい値秘密共有を有する公開キー暗号システム及びその方法

Info

Publication number: JPH09205422A
Application number: JP8005277A
Authority: JP
Inventors: Hertzberg Amir; アミール・ヘルツベルグ; Micheal Yaletski Stanislo; スタニスロー・マイケル・ヤレッキー; Mario Crowgic Hugo; ヒューゴ・マリオ・クロウジック; Moedochai Yung Marcel; マーセル・モードチャイ・ユング
Original assignee: International Business Machines Corp
Current assignee: International Business Machines Corp
Priority date: 1996-01-16
Filing date: 1996-01-16
Publication date: 1997-08-05

Abstract

(57)【要約】【課題】順向性、ロバスト及び回復可能な分散しきい
値秘密共有方式を有する公開キー暗号システム及びその
方法の提供。【解決手段】順向性しきい値秘密共有暗号システムはサ
ーバーのセットを用いる。ｎサーバーのうちの少なくと
も(k+1) のサーバーが活動状態であり且つ正直である場
合にサービスが維持される。秘密署名キーは、敵対者が
少なくとも(k+1) サーバーに侵入した場合にのみコンプ
ロマイズされる。また、正直なサーバーが誤りのあるサ
ーバーを検出し、サービスは中断されない。さらに、敵
対者がコンプロマイズしたサーバーにある全ての局所情
報を敵対者が消去した場合でも、サーバーは正しいプロ
トコルの実行に復帰すると直ちに前記情報を復元でき
る。本発明の方法及びシステムは順向性を有するため、
敵対者が秘密を知るためには、アルゴリズムの同じラウ
ンドの間に(k+1) サーバーへの侵入が必要となる。

Description

【発明の詳細な説明】

【０００１】

【発明の属する技術分野】本発明はデータ処理システム
に、より詳しくは情報保全のための暗号機構を備えるデ
ータ処理システムに関する。

【０００２】

【従来の技術】暗号化されたメッセージを送受するため
に公開キー暗号システムが用いられる。公開キー暗号シ
ステムは、公開キーと呼ばれる公に入手できる値を用い
る数理的なアルゴリズムの実行によりメッセージが暗号
化されるシステムである。そして、受取人は秘密キーと
呼ばれる専用の値を用いるアルゴリズムを実行すること
によりメッセージを解読する。公開キー暗号は暗号アル
ゴリズムＥ及び解読アルゴリズムＤの選択に依存し、Ｅ
が完全に解読されても、Ｄの取出しは実効的に不可能で
あるようにする。公開キー暗号の３つの必要条件は: (1) Ｄ(Ｅ(Ｐ)) = Ｐ, ここで、Ｐはメッセージであ
る; (2) ＥからＤを演繹することは極めて困難である; 及び (3) Ｐを攻撃してもＥを破壊できないことである。従って、公開キーは自由に配布できるが、
秘密キーは、それを用いるエンティティにより秘密が保
持されなければならない。侵入者がエンティティのメモ
リ内容をアクセスした場合、システム保全は侵害され
る。これは最初の公開キー特徴の全てにあてはまる。キ
ー第三者委託システム及び "ミカリ(Micali)" の規則に
かなった暗号システムでは、秘密キーは多くの部分に分
割され、そして各部分は異なるエンティティにより保持
される。しかしながら、時間の経過とともに侵入者が各
エンティティのメモリを読取りできる場合、システム保
全は侵害される。

【０００３】［順向性秘密共有］順向性秘密共有の概念
を説明するために、秘密共有方式の用語及びそれらの保
全特性を説明する。

【０００４】［秘密共有におけるしきい値、ロバスト
（堅固性）及び回復可能性］秘密共有は最初に G.R. Bl
akley, Safeguarding Cryptographic Keys, AFIPSCon.
Proc. (v.48), 1979, pp. 313-317及び A. Shamir, How
to Share a Secret, Commun. ACM, 22, 1979, pp. 612
-613 により導入された。その最も基本的な形式では、
秘密共有は、ｎ人の参加者の間で秘密情報Ｍを分割し、
参加者らが互いにそれを再構築できるようにする方法で
ある。しかしながら、(n-1) の共有保持者のグループは
どれもＭに関して何も知ることはできない。この機構は
個々の情報を守る必要があるときは保全を高めるために
必ず用いられる。保全を高めることは、サーバーの全て
ではないが、その幾つかに侵入できる敵対者から秘密を
守りうることに相当する。あらゆる秘密共有方式は概念
的に以下の段階を有する。 (1) 秘密を知っているディーラーがその共有を生成し、
それらを共有保持者に配布するディーリング段階; (2) 共有保持者の間で共有が維持される記憶段階;及び (3) 共有保持者がかれらの共有から秘密を再構築する再
構築段階上記の基本的な秘密共有はあまり実際的ではない。なぜ
なら、敵対者が共有保持者をコンプロマイズし、当該保
持者が保持した秘密共有を消去又は変更する場合、秘密
Ｍは決して再構築できないからである。よって、上記の
方式は、(n-1) サーバーに侵入してそれらの共有を知り
うるが、サーバーのメモリ即ち記憶を消去又は変更する
ことも、サーバーにクラッシュさせることもできず、そ
して共有の処理にも秘密の再構築にも干渉しない敵対者
に対して安全である。

【０００５】基本的な方式の保全性を高める秘密共有の
特性が定義される前に、サーバーに対する敵対者の異な
るタイプの攻撃が定義されなければならない: ・敵対者がサーバーに侵入し、そのサーバーに記憶され
た全ての秘密情報: その秘密共有及び通信に用いるキー
を知る場合、サーバーは敵対者にコンプロマイズされ
る。・敵対者がサーバーに仕事を止めさせる場合、敵対者は
サーバーを凍結する。しかしながら、敵対者が追放され
ると直ちに、サーバーは正しいプロトコルの実行に復帰
できる (即ち、データは失われない) と想定される。サ
ーバーのネットワークへのアクセスの中断はサーバーの
凍結の例である。全ての所要のデータ (変数及びアルゴ
リズムコード) が消去又は変更されない場合でも、電力
の遮断又はサーバー上の全プロセスの停止は凍結を構成
する。凍結されたサーバーはメッセージを送受信せず、
人の介入により再始動されるまで遊休状態である。・サーバーが実行するプロトコルを敵対者が変更し、最
初のプロトコルに関して間違っているメッセージをサー
バーが送るようにする場合、敵対者はサーバーを制御す
る。他のサーバーの観点から、そのようなサーバーは不
正をしている、即ち不正直である。凍結は制御の１つの
ケースである。・サーバーが記憶している秘密データを敵対者がうまく
消去又は変更したとき敵対者はサーバーを作動禁止す
る。プロトコルコードの消去又は他のサーバーの公開キ
ーの消去は、システム管理がこのサーバーの活動を復帰
させるのを困難にするが、この情報は公開されているの
で、システムオペレータに秘密情報を暴露せずに、それ
を再びサーバーに導入することができる。凍結及び作動
禁止の間に質的な差異を作ることはサーバーの秘密共有
の破壊である。

【０００６】上記のタイプの敵対者に対する保全を提供
する、秘密共有方式の望ましい特性について以下に説明
する。重要なことは、上記の基本的な秘密共有方式での
ディーリング段階が保全されない状態における記憶段階
及び再構築段階での保全である。この重要性は、ディー
リング段階での保全を高めることを目的とする検証可能
な秘密共有方式と対照的である。

【０００７】ｎサーバーのうちの(k+1) だけが秘密の再
構築のために協同する必要がある場合、秘密共有方式は
しきい値方式と呼ばれる。この特性は下記のように行動
する攻撃者に対してシステムを保全する: ・再構築段階中にｎサーバーのうちの最大ｋサーバーま
で凍結即ち作動禁止する。記憶段階中に、これらのサー
バーが再構築段階開始前に提訴されることを条件に、敵
対者はより多くのサーバーを凍結でき、しきい値方式は
安全である。・アルゴリズムの有効期間中、ｎサーバーのうちのｋサ
ーバーをコンプロマイズする。ｎサーバーのうちの(k+
1) サーバーをコンプロマイズすることは、敵対者が敵
対者自身で秘密を再構築することを可能にする。上記の
２つの必要条件は、しきい値ｋが厳密に少数である、即
ち次の式が成立つ場合にのみ満たすことができる。

【数１】2k + 1 ≦ ｎ

【０００８】最大ｋの不正なサーバーが存在しても再構
築段階が安全である場合、秘密共有方式はロバストと呼
ばれる。それ自身によるしきい値方式は、攻撃者が作動
禁止し又は凍結しうるがコンプロマイズされたサーバー
を制御できないとき、秘密を再構築するために障害のな
い(k+1) サーバーのグループを取出すのに問題がないこ
とによる。なぜなら、障害は非活動状態を意味するから
である。要するに、再構築段階で、全部でｋ以下のサー
バーを作動禁止又は制御できる敵対者に対して、ロバス
トはしきい値方式を安全にする。

【０００９】しきい値秘密共有方式は、それが正しい秘
密共有を失ったサーバーに復元できる場合に回復可能で
ある。この方式は、正しい秘密共有を、それを失ったサ
ーバーに復元できると仮定する。従って、回復機構は記
憶段階で実行される。秘密共有の回復の特徴が本発明の
目的である。この特徴は、記憶段階の時点のどこかでｎ
サーバーのうちのｋ以下のサーバーを作動禁止又は制御
できる敵対者に対してロバストしきい値方式を安全にす
る。あるサーバーが作動禁止されることをシステムが知
る毎に回復段階は開始し、それがあまりに短いので、こ
の段階中に敵対者は他のサーバーに移りえないと想定す
れば、それは成功である。

【００１０】回復は秘密共有が失われる毎に必要である
が、それはこの秘密共有を知る敵対者がいてもいなくて
も起こりうる。コンプロマイズ及び作動禁止能力を有す
る敵対者がサーバーに侵入し、その秘密共有を知り、そ
してそれを消去又は変更したとき、この共有は失われ
る。しかし、この共有は電力遮断によっても失われる。
最初のケースで、敵対者が秘密を知った直後に、その秘
密が公に回復されうることが論議されることがある。し
かしながら、二人以上の敵対者がおり、公開な共有回復
により、仕事の一部が他の敵対者に与えられることがあ
る。また、電力遮断による作動禁止のケースを処理する
機構が存在し、敵対者の一人が秘密を知った場合にその
機構が用いられることがある。保全形式がどのケースを
処理しているかを知ることは困難であるから、秘密共有
が失われる毎に１つの保全回復機構を用いる方がよい。

【００１１】［秘密回復及びサーバー確認］敵対者が局
所記憶装置及びコンプロマイズされたサーバーのメモリ
を消去又は変更する能力を有し、更に敵対者がサーバー
間の通信チャンネルにメッセージを挿入しうる場合、完
全な自動回復は不可能である。サーバーをリブートし、
秘密共有アルゴリズムを実行するプロセスを開始し、こ
のサーバー及び他のサーバーの間で相互確認する一定の
手段を再び設けなければならない。

【００１２】秘密共有に関してサーバー確認の問題が議
論されるのは稀である。しかしながら、サーバー確認
は、秘密共有に参加するサーバーのグループの外部から
サーバーにメッセージを送りうる敵対者が存在すると
き、回復プロトコルの保全を保つために必要である。サ
ーバーＡの回復は、その共有を再び設けようとするサー
バーＢを確認する一定の手段を持たなければならない。
また、サーバーＢは、それらが適切な共有を与えようと
するサーバーが実際にサーバーＡであることを確認しな
ければならない。サーバーＡとサーバーＢとの間の安全
なリンクにより、又はＡのサーバー及びＢのサーバーの
間の秘密／公開の暗号解読及び署名キーの対により、こ
れらの目標を達成することができる。しかしながら、サ
ーバーＡがその秘密共有を失った場合、他のサーバーＢ
とのリンクの保全及び確認に用いる全ての他の秘密キー
も失うことがある。これは、作動禁止されたサーバーに
確認の手段を設ける際の人の介入が回復のために必要で
あることを意味する。この介入は、サーバーＡとサーバ
ーＢとの間に新しいサーバー間リンク保全を設けるこ
と、又はサーバーＢの公開確認／暗号キーをサーバーＡ
に再び設ける際にその新しい秘密キーをサーバーＡに計
算させてそれらを安全にサーバーＢに設けることを含
む。順向システムの例で、秘密／公開キーがサーバー間
通信に用いられるので、回復機構への人の介入は次のタ
イプである。

【００１３】［順向性］新しい秘密共有方式の特性は下
記のように定義される。順向性: 順向性（プロアクティブ）は、敵対者がサーバ
ーをコンプロマイズできる速度を制限することにより保
全性を高める。順向秘密共有方式の記憶段階は、短い更
新段階により分割されたラウンドからなる。この方式
は、同じラウンドでｋ以下のサーバーをコンプロマイズ
できる敵対者に対して安全である。順向性なしに、この
方式は、全記憶段階、即ち、実効的にアルゴリズムの有
効期間中、最大ｋサーバーをコンプロマイズできる敵対
者に対して安全である。順向方式は、全てのサーバーを
コンプロマイズする敵対者に対して、その敵対者があま
り早くコンプロマイズしないとの条件で、安全である。
この特性は、更新段階の間にサーバーが保持した秘密共
有を再び無作為化することにより達成される。更新プロ
トコルは、秘密を、プロセス中にそれを明かさずに、再
ディーリングすることに等しい。形式的には、更新は下
記を達成しなければならない: (1) 更新プロトコルに参加するサーバーの数がｋ又はそ
れよりも少ないグループは他のサーバーの新しい共有に
ついて知ることはできない。 (2) 前のｎ共有のうちのｋと新しいｎ共有のうちのｋと
を知ることは秘密共有に関する情報を明かさない。

【００１４】［順向性対しきい値、ロバスト及び回復］
敵対者は、更新段階プロトコル中は再構築段階中よりも
強くてはならない。よって、ロバストで回復可能なしき
い値秘密共有方式を順向化するために、更新段階は、最
大ｋサーバーを作動禁止又は制御できる敵対者に対して
安全でなければならない。

【００１５】秘密共有での順向性及び回復可能性はそれ
らが一緒に用いられるとき最も意義がある。回復機構な
しに、順向秘密共有は一定のタイプの攻撃に対する保全
性を高めるが、他のタイプの攻撃に対しては保全性を低
くする。非順向性秘密共有方式は、記憶段階の間にサー
バーを制御できる敵対者に対して安全である。なぜな
ら、サーバーは当該段階の間には何もしないからであ
る。順向方式の記憶段階の間に、サーバーは周期的にそ
れらの共有を更新する。それゆえ、サーバーは、更新段
階の間に凍結又は制御される場合、次のラウンドで適切
な共有を有しないであろう。これは作動禁止する能力を
有する敵対者の場合に等しい。よって、順向方式は、１
つのラウンドで最大ｋサーバーを制御できる敵対者に対
して、それが回復機構を有する場合にのみ、安全であ
る。それは、１つのラウンドで最大ｋサーバーを制御又
は作動禁止できる敵対者に対しても安全である。

【００１６】

【発明が解決しようとする課題】本発明の第１の目的は
順向性、ロバスト及び回復可能な分散しきい値秘密共有
方式を有する方法及び装置を提供することにある。本発
明の第２の目的は上記方式を用いて順向性の安全なキー
証明権限を提供することにある。

【００１７】

【課題を解決するための手段】上記及びその他の目的
は、サーバーのセットを用いる順向性しきい値秘密共有
暗号システムを提供する方法及びシステムにより達成さ
れる。順向性秘密共有暗号システムは、ｎサーバーのう
ちの少なくとも(k+1) サーバーが活動状態であり且つ正
直である場合にサービスが維持される点で、分散しきい
値暗号システムである。秘密署名キーは、少なくとも(k
+1) サーバーに敵対者が侵入する場合にのみコンプロマ
イズされる。それは、敵対者に侵入されたサーバーが不
正をしているときでも、正直なサーバーは誤りのあるサ
ーバーを検出し且つサービスは中断されない点でロバス
トである。それが回復可能であるのは、敵対者がコンプ
ロマイズしたサーバーにある全ての局所情報を敵対者が
消去する場合、サーバーは正しいプロトコルの実行に復
帰すると直ちに前記情報を復元できるからである。本発
明の方法及びシステムは順向性を有する。これは、敵対
者が秘密を知るためには、そのアルゴリズムの同じラウ
ンドの間に、(k+1) サーバーに侵入しなければならない
ことを意味する。なぜなら、秘密共有は周期的に再分散
され且つ再び乱数化されるからである。２つのラウンド
間の更新の間に保全必要条件を得るために、本発明は検
証可能な秘密共有機構を用いる。本発明は、サーバーは
同報通信媒体により通信し、それらは完全に同期され、
破壊できない局所クロックを有し、そしてそれらは局所
の真の乱数化のソースを有すると想定する。この方式の
保全は、大きな素数順のフィールドでの対数計算の扱い
にくさを想定することに依存する。それは、サーバー間
の確認に用いられる "エルガマル" 署名方式の保全性に
も依存する。

【００１８】

【発明の実施の形態】本発明はロバスト及び回復可能性
を有する順向性しきい値秘密共有方式である。この方式
のモデル及び目標ならびに使用するツールが開示され
る。本発明を使用するキー証明権限システムも開示され
る。この方式の保全は、大きな素数順のフィールドでの
対数計算の扱いにくさを想定することに依存する。それ
は、サーバー間の確認に用いられる "エルガマル" 署名
方式の保全性にも依存する。 "エルガマル" 署名方式は
T. ElGamal, A Public Key Cryptosystem and a Signa
ture scheme Based on Discrete Logarithm, IEEE Tran
s. on Informational Theory 31, p. 465, 1985に開示
されている。

【００１９】［システムのモデル及び敵対者に関する想
定］順向的に値ｘを秘密共有するｎサーバーのシステム

【数２】A ＝｛P₁，P₂，...，P_n｝

【００２０】を想定する。また、このシステムは安全に
且つ適切に初期化されると想定する。この方式の目標
は、敵対者がｘを知ることを阻止すると同時に、サーバ
ーＡがｘの再構築を必要とするときｘをそれら自身で再
構築するのを敵対者が阻止できないようにすることであ
る。サーバーＡ及びそれらが通信する通信ネットワーク
に関する仕様が与えられる。また、サーバーＡとその人
的管理の間の対話機構ならびに前記管理が負う責任も指
定される。

【００２１】［順向性サーバーのモデル］本発明を実施
するサーバーの代表的なハードウェア構成は図１に示さ
れる。図１は、中央処理装置10、例えば通常のマイクロ
プロセッサ、及びシステムバス12を介して相互接続され
た複数の他の装置を有する、本発明によるワークステー
ションの典型的なハードウェア構成を示す。図１に示す
ワークステーションは、ランダムアクセスメモリ(RAM)
14と、読取専用メモリ(ROM) 16 (図示せず) と、 (ディ
スク装置20及びテープ装置40のような周辺装置をバス12
に接続する) 入出力(I/O) アダプタ18と、 (キーボード
24、マウス26、スピーカー28 (図示せず)、マイクロホ
ン32 (図示せず) 及び (又は) 他のユーザインタフェー
ス装置、例えばタッチスクリーン装置 (図示せず) をバ
ス12に接続する) ユーザインタフェースアダプタ22と、
(ワークステーションを通信ネットワークに接続する)
通信アダプタ34と、 (バス12を表示装置38に接続する)
表示アダプタ36とを含む。

【００２２】図２はサーバーＡが秘密リンクＬを介して
一般的な同報通信媒体Ｃにいかに接続されるかを示す。
この媒体は通信チャンネル又は通信ネットワークと呼ば
れ、外部世界にも接続される。同報通信媒体は、あるサ
ーバーにこの媒体を接続するリンクからこの媒体にメッ
セージが送られる毎に、この媒体に接続された全ての他
のリンクにそのメッセージが瞬時に届く特性を有する。
本発明は、安全で且つ同期されたクロック (図示せず)
がＡのサーバーに装備され、敵対者がサーバーを制御又
は作動禁止するときでも変更しないし、障害も起きない
と想定する。これらのクロックは時間をラウンド及び更
新段階に分割する。同期により、Ａの全てのサーバーは
同時に更新段階を開始する信号を取得する。Ａの全ての
サーバーは真に乱数化のソース (図示せず) を有するこ
とも想定される。もし敵対者がサーバーをコンプロマイ
ズしても、その敵対者は当該サーバーに生成される将来
の乱数を予測できないことも想定される。どのサーバー
も、それらに関して以下に説明するアルゴリズム (図示
せず) によるコードを含む比喩的な破壊不可能なボック
スを有する。

【００２３】［敵対者］サーバーＡを攻撃する敵対者の
モデルは "移動誤り（モービル・フォルト）"モデルの
拡張である。このモデルは R. Ostrovsky ＆ M. Yung,
How to Withstand Mobile Virus Attacks, Proc. of th
e 10th ACM Symposium on the Principles in Distribu
ted Computing, 1991, pp. 51-51 and R. Canetti ＆
A. Herzberg, Crypto 94 に記述されている。ラウンド
ｔの間のどこかの時点で敵対者が変造するＡのサーバー
の数をk₁ ^(t) とし、ラウンドｔの間のどこかの時点で敵
対者による攻撃が活動状態である通信チャンネルとのリ
ンクを有する別のサーバーの数をk₂ ^(t) とする。そのと
き、本発明の順向性秘密共有方式は各ラウンドｔについ
て

【数３】（k₁ ^(t)+ k₂ ^(t)≦k）

【００２４】である敵対者に対して安全である。この限
界を満たすために、本発明では、Ａのサーバーの数ｎは
次の式を満たす必要がある。

【数４】n ≧ 2k + 2

【００２５】この方式は更に強力な敵対者に対しても安
全でありうる。第１に、次の式に示すように、１少ない
サーバーによるラウンドで敵対者に同じ限界ｋを得るこ
とができる。

【数５】2k + 1 ≦ n

【００２６】第２に、同期機構の変化により、リンクへ
の攻撃の増加がありうる。なぜなら、前記攻撃は全てシ
ステムにより常に検出され、管理が敵対者をリンクから
取り除くまでサーバーはそのプロトコルを中止しうるか
らである。

【００２７】サーバーの変造は下記のどれかを意味す
る: ・サーバーのコンプロマイズ: サーバーが記憶する全て
のデータを知る。・サーバーの制御: 指定されたプロトコルに関してサー
バーに誤りを生じさせる。これは機械の凍結を含む。・サーバーの作動禁止: そのデータを変更 (又は消去)
する。

【００２８】更に、敵対者は常に公開として区分された
データを知り、そして敵対者は機械の各々が実行するア
ルゴリズムＭを知っている。簡略化のため、本発明は "
普通" の電力中断、データ脱落及び他のハードウェア障
害を敵対者の活動として処理する。よって、機械に障害
がある度に、それを変造したのは敵対者であると想定す
る。

【００２９】２つのラウンドの間の更新段階中のどこか
の時点でサーバーが変造されたとき、これらのラウンド
の双方でサーバーは変造される。変造されたサーバーを
カウントするこの方法の背後にある理由は、更新段階中
に１つのサーバーから別のサーバーに移動する敵対者
と、両者にずっと留まってだけいる敵対者とを識別する
ことが不可能か又は非常に困難なことである。更新段階
が１ラウンドの長さに較べて無視できる程に短いこの設
定では、この識別はあまり重要ではない。更に、本発明
は、１つのサーバーから他のサーバーに飛び移る敵対者
を、それらのサーバーがどちらもそのラウンドの間ずっ
と変造されている場合と同じように処理する。

【００３０】Ａのサーバーに対する攻撃とは別に、敵対
者はサーバー間の通信ネットワークを攻撃できる。敵対
者は、そのリンクを介してサーバーＡを接続する同じ通
信チャンネルＣに接続されるそれ自身のサーバーＥを有
すると想定する。よって、敵対者はチャンネルＣで同報
通信されるメッセージを聴取し且つメッセージをチャン
ネルＣに同報通信しうる。しかしながら、メッセージが
通信チャンネルに届くと、敵対者は、それに接続された
全てのリンクに、そのメッセージが届くのを阻止できな
い。敵対者は同じＡのサーバーを通信チャンネルで接続
するリンクへの攻撃を行うこともできる。サーバーP ∈
A とのリンクが前記攻撃を受ける場合、敵対者は次の
２つの方法で攻撃を阻止できる: １つの方法は、チャン
ネルＣで同報通信されるメッセージをＰが聴くのを阻止
することであり、もう１つの方法は、同報通信されたＰ
によりチャンネルＣで送られるメッセージを停止するこ
とである。形式的には、敵対者はリンクＬ及び通信チャ
ンネルＣの両者の全てのテープを見ることができる。あ
るリンクＬのアルゴリズムを敵対者のアルゴリズムと置
き換えることは当該リンクへの積極的な攻撃を構成する
が、チャンネルＣのアルゴリズムを変更することはこの
モードでは禁止される。

【００３１】本発明は、サーバーＡ及びリンクＬを攻撃
する敵対者は "除去可能" である、即ち敵対者を、それ
が検出されたとき、除去することができると想定する。
しかしながら、サーバーＥは "除去可能" ではなく、追
跡し又はチャンネルＣから遮断することはできない。

【００３２】［システムの人的管理に関する想定］Ａの
全てのサーバーは、人的管理に関する情報を表示できる
コンソール38を有する。マネジャは、コンソール38を介
して、サーバーをリブートし、そして確認キーの更新の
手順を実行する。コンソールプログラムによりデータが
サーバーに入力される。管理は下記のように委ねられ
る: マネジャサーバーに干渉せず且つマネジャはマネジ
ャのために指定されたプロトコルで不正をしない。換言
すれば、管理はサーバーをリブートし且つ確認キーの再
設定の時期及び方法に関する指示に任される。

【００３３】人的管理はリンク上の攻撃する敵対者を突
き止める責任を有する。リンクが攻撃されているかどう
かを検査し且つ潜在的な攻撃者を除去するように管理が
指示されるときは必ず、手順は常に成功するものと仮定
する。また、サーバーをリブートし、公開確認キーを再
設定し、そしてリンクから敵対者を除去する全ての手順
に要する時間は１ラウンドの長さよりも短いと想定す
る。

【００３４】［秘密共有方式］図３の流れ図は本発明の
順向性検査可能秘密共有方式の良好な方法を示す。図４
は図３のステップ314 の詳細な流れ図である。同様に、
図５は図４のステップ410 の詳細な流れ図である。

【００３５】［初期化］ステップ310 で、サーバーは初
期化される。ｐ及びｑは素数とし、ｍは２、３又は４の
ような小さな整数とし、次の式が成立つものとする。

【数６】p = mq + 1

【００３６】ｇは次数ｑのZ_pのエレメントである、即ち
次の式が成立つものとする。

【数７】g^q = 1（mod p）

【００３７】素数ｐは "エルガマル" 暗号化及び署名方
式を安全にするために選択される。秘密値ｘはZ_qに属す
る。限定フィールドZ_qにわたる "シャミール" の秘密共
有の変形をしきい値秘密共有方式として使用する。Z_qに
(k+1) 次の多項式ｆが存在し、次の式が成立つものとす
る。

【数８】ｆ（０）＝ｘ（ｍｏｄｑ）

【００３８】そして、全てのサーバー P_i,i∈ {1,n}は
次の式で示されたその秘密共有を有するものとする。

【数９】X_i ⁽¹⁾= f（i)(mod q)

【００３９】指数(1) はこれらが最初のラウンドで用い
た値になることを示す。

【００４０】更に、各サーバーP_iは、その秘密確認及び
暗号化キー w_i、乱数をZ_q内に有する。それらのキーの
公開の対応部は次の式に示される。

【数１０】｛r_i ⁽¹⁾｝_i∈_{1,n}

【００４１】ここで、次の式は公開であり且つＡの全て
のサーバーにより記憶される。

【数１１】

【００４２】更に、あらゆるサーバーは秘密を再構築す
る際のロバストについて全てのｘの一方向ハッシュのセ
ットを必要とする。本発明は一方向ハッシュとして累乗
を用いるので、あらゆるサーバーは次の式で示されたセ
ットを記憶する。

【数１２】｛y_i ⁽¹⁾｝i∈｛1，n｝

【００４３】ここで、次の式が成立つ。

【数１３】

【００４４】モデルの説明で述べたように、本発明は初
期化段階では (受動的にも能動的にも) 敵対者が存在し
ないと想定するので、この初期化は公然と行いうる。

【００４５】初期化の後、Ａのサーバーの局所クロック
は時を刻み始める。この時点で、複数のサーバーの動作
は離散した時間間隔、即ちラウンドで同期される (ステ
ップ312)。各ラウンドの終りで、更新段階がトリガーさ
れる (ステップ314)。更新段階で、サーバーＡは更新プ
ロトコルを実行する。そして管理が任意の (最大ｋまで
の) キー再設置手順とそれに続く共有再構築プロトコル
を実行するために予約された時間がある。更新段階はこ
れらの全てを達成する十分な長さを有するが、ラウンド
と比較すれば短いと想定される。

【００４６】［更新プロトコル］共有を更新するため
に、ステップ314 及び図４に示すように、本発明は "ア
ール・オストロフスキー" 及び "エム・ユング" が提案
した更新プロトコルの簡略化されたバージョンに適合す
る。Z_qにあるｋ次の多項式の値f(0)がｘに等しい場合に
秘密ｘが記憶されるとき、秘密ｘはそれをｋ次の無作為
の多項式δ(・) に加えることにより更新できる。ここ
で、δ(0) は０に等しいので、次の式が成立つ。

【数１４】 f^(t+1)（0）= f^(t)（0）+δ（0）= x + 0 = x

【００４７】"オストロフスキー" 及び "ユング" は、
ある点で多項式を計算する演算の直線性が次の式の非常
に簡単な共有更新ができることに注目した。

【数１５】x_i = f（i）

【００４８】即ち、次の関係式が成立つ。

【数１６】

【００４９】本発明では、次の式が成立つ。

【数１７】 δ（・）= （f₁（・）+ f₂（・）+...+f_n（・））(mod q）

【００５０】次の式で示される(k+1) 次の多項式は、ｉ
番目のサーバーにより独立して且つ無作為に取り上げら
れる。

【数１８】f_i（・），f_i（0）= 0，i∈｛1，n｝

【００５１】各サーバーP_iの更新プロトコル、i ∈ {1,
n} は下記のようになる: (1) P_iは次の式で示される(k+1) の乱数をZ_qから取出
す。

【数１９】｛f_ij｝j∈｛1，（k+1）｝

【００５２】これらの数は次の式に示す多項式を定義す
る。

【数２０】ｆ_i（ｚ）= ｆ_ilｚ¹ +ｆ_i2ｚ² + ... +ｆ_i(k+1)ｚ^(k+1)

【００５３】その自由な係数は０であるので、次の式が
成立つ。

【数２１】f_i（0）= 0

【００５４】(2) 全ての他のサーバーP_jに関して、P_iは
次の式をP_jに送る。

【数２２】f_i（j)(mod q）

【００５５】(3) P_iは次の式で示されるその新しい共有
を計算する。

【数２３】

【００５６】そしてP_iは、その現在の秘密キー x_i ^(t+1)
を除き、それが用いた全ての変数を消去する。

【００５７】制御能力を有する敵対者に対してこのプロ
トコルを安全にするために、本発明は P. Feldman, A P
ractical Scheme for Non-Interactive Verifiable Sec
retSharing, Proc. of the 28th IEEE Symposium on th
e Foundations of ComputerScience, pp.427-37. 1987
で提案され、そして T.P. Pederson, DistributedProve
rs with Applications to Undeniable Signature, Euro
crypto '91, 1991で論議された一方向機能を用いて検査
できる秘密共有の機構を用いる。この特定の検査可能秘
密共有方式が用いられるのは、それが非対話型であり、
そしてその副次効果として、それがx_iの更新と一緒に秘
密の指数y_iの更新を可能にするからである。

【００５８】下記の２つの場合に、正直なサーバーは、
サーバーP_iにより生成された更新多項式f_iを、それらが
共有することを異議なく "無効" とマークすべきであ
る。 (1) P_jが受取る共有f_i(j) が(k+1) 次の多項式の値では
ない、又はそれらはその値であるが、この多項式f_iは、
f_i(0) ≠ 0であるので、正しい更新多項式ではない。 (2) 公開値y_jの更新に用いられる共有

【数２４】

【００５９】が、f_iの秘密更新共有

【数２５】｛f_i（j）｝j∈｛1，n｝

【００６０】に対応しない。

【００６１】秘密／公開キー対応部としての値w_i／r
_iは、P_iから来るメッセージの確認、及び "エルガマル"
暗号化によるP_i宛のメッセージの暗号化に用いられ
る。P_iがP_jについて m ∈ Z_q を暗号化するとき、それ
は

【数２６】E_j ^k［m］ = （m（r_j）^k，g^k）

【００６２】を送る。ここで、k ∈ Z_qは乱数であり、
そして指数はZ_pで計算される。受信装置は

【数２７】

【００６３】を用いて解読する。

【００６４】署名動作は衝突のないハッシュ機能 h : N
→ Z_q を用いる。キーw_iを有するメッセージｍの署名
は、

【数２８】S_i［h（m）］= （r，s）

【００６５】である場合に、

【数２９】 r = g^k（mod p），s = k^(-1)（h（m）-rw_i）(mod q）

【００６６】である。この署名は、w_iの公開対応部

【数３０】

【００６７】により、等式

【数３１】

【００６８】を検査することにより確認できる。ハッシ
ュ機能ｈは、m'≠ mの場合に誰もいかなる対 m',S_i[h
(m')] を生成できない m, S_i[h(m)]を知る特性を有しな
ければならない。

【００６９】全更新段階を通じて、暗号化及び確認は値
w_i ^(t),r_i ^(t) により実行される。ここでｔは終了したば
かりのラウンドである。このラウンド中にサーバーをコ
ンプロマイズさせた敵対者は、このサーバーが更新プロ
トコルの間に署名及び解読に用いる秘密キーを知るであ
ろう。

【００７０】［完全な更新プロトコル］下記のステップ
はステップ314 でサーバーが用いた更新プロトコルの詳
細である。

【００７１】ステップ410 で、各サーバーP_iは、Z_qで更
新多項式

【数３２】f_i（z）=f_ilz¹+f_i2z²+...+f_i(k+1)z^k+1

【００７２】を定義するZ_qにある(k+1) の乱数f_i1,
f_i2,...,f_i(k+1) を取出す (ステップ510)。それは、こ
の多項式の(n-1) の共有

【数３３】u_ij=f_i（j）（mod q），j≠ｉ

【００７３】を形成し (ステップ512)、そしてそのメッ
セージmsg:

【数３４】

【００７４】を生成する。ここで、全ての指数がZ_pで計
算される (ステップ514)。更に、各サーバーP_iは、Z_q内
でその新しい秘密キーw_i ^(t+1) を乱数として取出し (ス
テップ516)、そしてその対応する新しい公開キー:

【数３５】

【００７５】を計算する (ステップ518)。そしてP_iは、
その古いキーw_i ^(t) により署名された対:

【数３６】（msg_i，r_i ^(t+1)）

【００７６】を同報通信する (ステップ412 及び520)。

【００７７】ステップ414 で、各サーバーP_iは、それが
前のステップで受信したメッセージを考慮する。あるｊ
で、それが形式

【数３７】（msg_j，r_j ^(t+1)）

【００７８】の確認されたメッセージを受信しないか又
は２つ以上受信した場合、それはP_jを "無効" とマーク
する。B_iは "無効" とマークされなかったサーバーの索
引のセットとする。そしてP_iはメッセージmsg_j,j ∈ B_i
の

【数３８】

【００７９】部分を解読する。そして、あらゆるj ≠ i
について、それはメッセージmsg:

【数３９】

【００８０】の

【数４０】

【００８１】部分で与えられた係数にu_ijが一致するか
どうかを確認する。

【００８２】この式が適用できない場合、P_iはP_jを "無
効" とマークし、B_jからｊを除去し、そしてそれが P_j
の不正であったことに対する告発:

【数４１】acc_ij=（i，j）

【００８３】を作成する。サーバーがマークした "無
効" の各々について、P_iは、管理への対応するメッセー
ジをその表示装置に表示し、それがなぜP_iの何かが無効
であると考えるかを示す。そして、ステップ416 で、サ
ーバーは、それが前のステップで受信した全ての新しい
公開キー {r_j}_j∈_Bのセットと連結された全てのその告
発の署名されたセットを同報通信する。署名は古い秘密
キーw_i ^(t) により行われる。

【００８４】ステップ418 で、各サーバーP_iは前のステ
ップで同報通信されたメッセージの署名を検査する。２
つ以上のメッセージが同じ署名で同報通信される場合、
対応するサーバーは "無効" とマークされ、セットB_iは
変えられ、そして管理のための適切なメッセージがP_iの
コンソールに表示される。サーバーは、新しい公開キー
r_l ^(t+1) が P_jにより肯定応答されなかったように、対
のセット(j,l) をそれらのコンソールに表示する。これ
はリンク攻撃が活動状態である場合に管理に追跡させ
る。しかしながら、新しい公開キーの肯定応答の欠如は
B_iに影響しない。あるサーバーP_j,j∈B_iによる告発 acc
_jiの各々について、サーバーP_iは、P_jとの通信で用いら
れた共有及び乱数ベクトルを含む署名された応答:

【数４２】resp_ij = （i，j，k_ij，u_ij）

【００８５】を同報通信するので、誰が不正をしていた
かを決定するための公開審査を可能にする。これらの応
答は１つの署名と連結され、同報通信されるべきであ
る。

【００８６】ステップ420 で、同じサーバーの署名を有
する２つ以上の応答が同報通信された場合、全てのサー
バーＰはそれを "無効" とマークし、そのセットB_iを変
え、そして管理のメッセージを表示する。各サーバーＰ
は、ステップ(1) でP_iにより適切に同報通信された (ac
c_ji,resp_ij) の全ての対についてそれ自身の決定を行
う。resp_ijで送られた値は疑わしいとみなされるので、
それらは次の式に示す "素数" により表示される:

【数４３】

【００８７】あらゆるサーバーＰは下記のアルゴリズム
により決定する: (a) もし

【数４４】

【００８８】であれば、即ち P_iが P_jの告発に全く応答
しなかったとき、P_iは不正をしているので、それは "無
効" とマークされなければならない。さもなければ、 (b) もし (u_ij,k_ij)が実際に msg_i で用いられたなら
ば、ステップ(2) でP_jが用いるべき同じ等式(2) を評価
することにより、

【数４５】

【００８９】は多項式f_iの正しい共有であるかどうかを
検査する。この等式が正しくない場合、それはP_iが無効
な共有をP_jに送ったことの証明であるので、それは "無
効"とマークされなければならない。等式が正しい場
合、ＰはP_jを "無効" とマークする。

【００９０】"無効"とマークされた各サーバーについ
て、セットB_iは変えられ、そして対応するメッセージが
P_iのコンソールに表示される。

【００９１】ステップ422 で、各サーバーP_iは次の式を
計算する:

【数４６】

【００９２】各サーバーは新しい共有 x_i ^(t+1)、新しい
キー w_i ^(t+1)、そして新しい公開キーのセット

【数４７】｛y_j ^(t+1)｝_j∈_{1,n}

【００９３】及びセット

【数４８】｛r_j ^(t+1)｝_j∈_{1,n}

【００９４】を除いて、このプロトコルで用いた全ての
変数を除去する。

【００９５】正しい更新多項式δ(・)は合計

【数４９】

【００９６】に等しい。ここで、少なくとも (k+2) の
サーバーP_i, i ∈ {1,n}についてB =B_iである (ステッ
プ420)。

【００９７】サーバーＰが既知の形式のメッセージの署
名された同報通信の受信を予期しており、そしてそれが
２つの前記メッセージを受信し、どちらも同じサーバー
P_iから来るらしいときは必ず、ＰはP_iを無効とマークす
る。もちろん、攻撃者はP_iが行ったものと同じメッセー
ジを常に送信できる。このプロトコルでは、全てのサー
バーは最大３つのメッセージまで送信する。それゆえ、
Ｐは、P_iが署名したように見えるメッセージのセットC_i
を受取るときは必ず、該プロトコルのどれか前のステッ
プでP_iにより同報通信されたC_iのエレメントを捨てるべ
きであり、そしてC_iの全ての他のエレメントが同じであ
る場合、このエレメントをP_iのメッセージとみなす。さ
もなければ、P_iを "無効" とマークすべきである。なぜ
なら、それは不正をしているか、又はその確認キーをコ
ンプロマイズした敵対者により複製されているからであ
る。別の良好な点は、P_iがそれ自身が署名したように見
えるメッセージを調べる場合、それはそれ自身も "無
効" とマークし、従ってB_iを計算することである。この
ように、たとえそれが複製されていても、それはその新
しい共有x_i ^(t+1) 及び全ての

【数５０】｛y_j ^(t+1)｝_j∈_{1,n}

【００９８】を正しく計算する。その新しい公開確認及
び暗号化キーr_i ^(t+1) は肯定応答されないので、気を付
けなければならない。

【００９９】［更新プロトコルの分析］敵対者は次の３
つの方法で上記プロトコルに干渉することができる: ・敵対者はこのプロトコルでその敵対者が管理するサ
ーバーに不正をすることができる。使用禁止されたサー
バーは (それが間違ったキーでメッセージを暗号化し且
つ署名する場合) それが不正をしているかのように見え
るか又はそれが乱数メッセージを送っているかのように
見える。・敵対者はその敵対者がこの更新段階前のラウンド中
にコンプロマイズしたサーバーのキーにより署名された
メッセージを送信できる。他のサーバーについては、こ
のケースはサーバーがなお敵対者により制御されるとき
のケースと区別できない。・敵対者はサーバー及び通信チャンネルの間のリンク
を攻撃できる。

【０１００】全ての更新ラウンドで、正直であり、前の
ラウンドでコンプロマイズされておらず、通信チャンネ
ルとのリンクに対する攻撃は活動状態ではない、(K+2)
のサーバーがあるから、これらのサーバーのセットB_iは
全て同じであり、そして少なくとも(k+2) のエレメント
を有する。それゆえ、秘密共有多項式ｆは少なくとも(k
+2) の多項式f_iにより更新され、敵対者はそれらをどれ
も再構築できない。最悪の場合、敵対者はこれらの多項
式の各々からｋの共有を学習できるが、それらは(k+1)
次の全てであり且つそれらの各々について f_i(0) = 0
であるから、敵対者はそれらを再構築するためには(k+
1) の共有を必要とする。

【０１０１】［更新後の回復］サーバーのコンソールに
表示されたメッセージから、管理は、敵対者によりどの
機械が制御され、コンプロマイズされ又は使用禁止さ
れ、そしてどのリンクに対する攻撃が活動状態であった
かを決定できる。特に、コンソールは下記の２つのセッ
トの (しばしば交差する) サーバーに情報を表示する: ・第１のセットはそれらの新しい公開キーの幾つかの肯
定応答を受信しなかったサーバーである。・第２のセットはそれらの新しい公開キーが少なくとも
(k+2) のサーバーにより肯定応答されず、それらの秘密
共有x_i ^(t+1) が間違って計算され、そして新しい多項式
f^(t+2) と一致せず、更に、次の式に示すそれらの現在
のセットのビューが正しくないサーバーである。

【数５１】｛y_j ^(t+1)｝_j∈_{1,n}

【０１０２】第１のセットは活動状態のリンク攻撃に関
する管理情報を与える。そしてマネジャは導き出された
リンクから迅速に敵対者を取り除く。第２のセットに関
して、マネジャは最初にキー再設定手順 (ステップ316)
を実行し、そして自動共有回復プロトコル (ステップ31
8)を開始させる。公開キー{r_j}が良好に分散され且つ他
のサーバーにより肯定応答されているＡのサーバーのセ
ットをＣとする。そして次の式が成立つものとする。

【数５２】|C｜ ≧ k + 2

【０１０３】P_iのキーの再設定 (ステップ316)は次によ
うに行われる: P_iのコンソールにより、マネジャは
{r_j}_j∈_Cを設定し、そしてP_iにその新しい乱数の秘密キ
ー w_i∈ Z_qを取出すように求める。P_iはこのような数を
取出し、そして次の式に示す対応する公開キーを表示す
る。

【数５３】

【０１０４】そしてマネジャは全ての他のサーバーにこ
の数を設定する。セットＣはP_iにより増加される。この
再設定が終了すると、マネジャはサーバーＣに関する回
復プロトコルを開始させる。あるいは、サーバー自身
は、ある公開キーがそれらに再設定されるときは必ず、
回復プロトコルを自動的にトリガーするためにそれらが
同意プロトコルを開始するようにプログラムされる。そ
のとき、Ｃにある全てのサーバーは使用可能である。

【０１０５】［共有回復プロトコル］P_uは再設定を必要
とする、次の式の共有を有するサーバーを示す。

【数５４】x_u = f（u）

【０１０６】最初に、ステップ610 で、サーバーは(k+
2) のサーバーの、次の式の初期セットを選択する。

【数５５】B ⊂ C ＼｛P_u｝

【０１０７】それらはP_uに対するｑ自身の確認又はその
逆の確認をしなければならないのでＣから取出される。
これは容易である。なぜなら、サーバーは索引により順
序付けられ、そしてそれらはＣの現在の状態、即ち動作
中の確認及び暗号化キーを有するサーバーを知っている
からである。該プロトコルは敵対者が存在するとき下記
の特性を有しなければならない: ・ P_u は x_u のみを学習する、即ち、i ∈ B である場
合、他の共有 x_i を学習できない。・ i ∈ A ＼ Fである場合、(k-1) のサーバーのグル
ープ

【数５６】Ｆ ⊂ Ａ＼｛Ｐ_u｝

【０１０８】はxuを又はいかなる x_iも学習できない。・サーバーP_uは適切なセット {y_i}_i∈_{1,n}を学習す
る。

【０１０９】ｆの有効な共有を有する(k+2) のサーバー
の基本セットは

【数５７】x = f(0)(mod q) である場合だけでなく、ｆの任意の他の値、特にP_uが必
要とする共有

【数５８】x_u = f（uv)(mod q）

【０１１０】も回復できる。これはラグランジェ補間法
の公式で行うことができる。協同することになっている
(k+2) のサーバーのセットＢが設定された後、各P_i, i
∈ BはP_uに

【数５９】 a_i= x_iΠ_j∈_B,j≠_i[(u-j)/(i-j)]（mod q）

【０１１１】を送る。そしてP_uはそれらを加え合わせて

【数６０】

【０１１２】を取得する。しかしながら、本発明がそれ
のみを行った場合、P_uは全ての x_iを a_i からも学習す
るであろう。しかし、本発明は a_i を x_v の些細な秘密
共有として処理できる。それゆえ、本発明はＢのサーバ
ーがこれらの共有を再乱数化した後にそれらを P_u に送
ることを必要とする。Ｂの各サーバーP_iはZ_qにある(k+
2) の乱数 {C_ij}_j∈_B を取出す。そして、それらはこれ
らの値を対で交換する:P_iはc_ij をP_jに与え、そしてc_ij
を取得する。次に、それぞれが

【数６１】

【０１１３】をP_uに送る。

【数６２】

【０１１４】であるから、これはx_uのもう１つの秘密共
有である。ここで基本方式は更新段階プロトコルで用い
た同じツールを用いて検査できなければならない。

【０１１５】この方式を検査可能にする完全なプロトコ
ルを以下に記述する。全ての同報通信は、現時点でセッ
トＢにないものを含むＣのサーバー及びサーバーP_uを必
要とする。明確化を図るために、下記は、全ての確認さ
れた同報通信について、受信者はメッセージの署名を検
査し、そして (送信者が不正をしているか又はそのキー
がコンプロマイズされ複製されているために) 複製の攻
撃があるとき、それらはこのサーバーを "無効" とマー
クし、それらの管理のコンソールに適切なメッセージを
表示することに言及しない。これは更新プロトコルと同
じ手順である。この方式を検査可能にするプロトコル
は:Ｂの全てのP_iがZ_qにある(k+2) の乱数値 {c_ij}_j∈_B
を計算し、そして:

【数６３】

【０１１６】及びこのメッセージの署名を同報通信する
(ステップ612)。

【０１１７】ステップ614 で、Ｂの全てのP_iは上記同報
通信から値 {c_ji}_j∈_B を解読し、そしてそれらがP_jに
より同じメッセージで同報通信された指数

【数６４】

【０１１８】を取ることにより、全てのサーバーP_jから
正しい共有を与えられたかどうかを検査する。この値が
一致しない場合、P_iはP_jの告発

【数６５】acc_ij =（i，j，S_i［i，j］）

【０１１９】を全てのサーバーに同報通信する (ステッ
プ616)。それはP_jも "無効" サーバーとマークする。

【０１２０】ステップ618 で、更新プロトコルと全く同
じように、あるサーバーP_jによる告発acc_ji毎に、サー
バーP_iは署名 S_j[j,i] を検査し、そして告発の原告が
ｘを知っていることが証明された場合、P_iは、P_jとの通
信で用いられたc_ij及び乱数ベクトル:

【数６６】resp_ij = （i，j，k_ij，c_ij）

【０１２１】に応答し、誰が不正をしていたかを決定す
る公開審理を可能にする (ステップ620)。

【０１２２】ステップ622 で、(Ｂのサーバーのみなら
ず)全てのサーバーＰは、２つの前のステップで同報通
信された全ての対 acc_ji,resp_ij について、これらが P
_i及びP_jの間の通信で用いられた真の値であるかどうか
を検査し、そしてそれらが真である場合、送られた値の
指数

【数６７】

【０１２３】がそのセットにあるP_iにより同報通信され
た指数

【数６８】

【０１２４】と一致するかどうかを検査する。

【０１２５】このステップは更新プロトコルのステップ
420 での検査に等しい。P_i又はP_jが不正をしていると分
かり、そしてＰにより "無効" とマークされる。

【０１２６】ステップ624 で、あらゆるサーバーは、そ
れが前のステップで "無効" とマークしたその局所セッ
トF_iのサーバーを考慮する。

【数６９】│F_i│= m ≠ 0

【０１２７】である場合、それらは新しいＢ:

【数７０】

【０１２８】を計算する。同報通信により、正直で活動
状態の全てのサーバーは同じビューのＦを有する、従っ
て同じビューの新しいＢを有する。それらはＢを再計算
したのちステップ610 でプロトコルを再開始する。

【０１２９】ステップ626 で、前のステップで誰も不正
をしなかった場合、全てのサーバーP_iはその下位共有:

【数７１】

【０１３０】を計算する。ステップ628 で、Ｂの各サー
バーP_iは全てのサーバーに

【数７２】

【０１３１】を同報通信する。ここで、k_iはZ_qにある乱
数である。

【０１３２】ステップ630 で、P_uはこれらの同報通信か
ら全ての

【数７３】

【０１３３】を解読し、そして

【数７４】

【０１３４】を計算する。そして、それは、この値の指
数

【数７５】

【０１３５】が、最初にP_uで設定された公開キー y_uと
同じであるかどうかを検査する。同じである場合、再構
築はステップ632 で終了する。さもなければ、Ｂからの
サーバーのなかには不正をしていたものがあるに違いな
い。Ｐは全ての i ∈ Bについて:

【数７６】

【０１３６】を評価することにより不正をした者を見つ
ける。ここで、値

【数７７】

【０１３７】はステップ612 で同報通信から取出され
る。２番目の式が適用できない場合、それはP_iが正しい
a_i ^/ を P_uに送らなかったことを意味する。それを他に
対して証明するために、P_uはその告発

【数７８】acc_i = （i，S_temp［i］）

【０１３８】を全ての他のサーバーに同報通信する (ス
テップ634)。また、それは不正をしたものをそれ自身で
全て "無効" セットＦとマークする。

【０１３９】ステップ636 で、このプロトコルのステッ
プ618 におけるように、全ての告発されたサーバーP
_iは、告発acc_iの署名を検査し、もしそれが有効であれ
ば、次の式に示す応答を同報通信する。

【数７９】

【０１４０】ステップ638 で、全てのサーバーＰは全て
のこれらの告発を検査するに当り、最初にこれらが通信
で用いた値であることを検査し、次に上記の実行された
P_uと同じ検査式を検査する。更に、それらは全てそれら
が無効であると検出した同じサーバーのセットＦで到来
する。不正をしているのはP_uであることが判明した場
合、それらは全て適切なメッセージをシステムマネジャ
に送り、そして回復手順は停止される (ステップ640)。
この事象はP_uが敵対者により再び制御されることを意味
する。これは他の敵対者検出と全く同様である。システ
ムマネジャはサーバーが表示した警告を読取り、そして
全回復プロセスを再開始する。しかしながら、P_uの告発
が正しい場合、通常のように、サーバーはシステム管理
のための適切な警告を表示し、そしてセットＢ:

【数８０】

【０１４１】を再計算することにより回復を続ける。こ
こで、

【数８１】| F | = m であり、そしてステップ610 から全プロトコルを再開始
する。

【０１４２】［制御されたサーバーが存在するときの更
新プロトコルの保全］不正をするｋのサーバーが存在す
るときの上記プロトコルの保全及びリンクに対する攻撃
がないことは、検査可能な秘密共有に変えられる。即
ち、解決は、どれか特定のサーバーP_iがそのプロトコル
で不正をしていたかどうかを正直なサーバーP_jが検出で
きる機構である。このケースでは、それらは異議なくそ
の更新多項式f_iの共有を "無効" とマークする。上記プ
ロトコルでP_iが不正を行うのは、それがステップ612 で
他のサーバーに送る値がZ_qで、

【数８２】f(0) = 0 (mod q) が成立つ、任意のｋ次の多項式ｆの正しい値ではない場
合、そしてその場合のみである。これは、検査された値
の共有と呼ばれる、検査可能な秘密共有の幾分か簡略化
されたケースである。なぜなら、全てのサーバーＰは(n
-1) の他のサーバーの間に既知の値０を分散する (それ
はそれ自身にも１つの共有を与える)。検査可能な秘密
共有と全く同じように、正直なサーバーは、 "秘密の"
値０がＰにより正しく共有されたかどうかに異議なく同
意するであろう。また、検査可能な秘密共有と全く同じ
ように、それは、各サーバーがそれ自身の秘密共有のみ
を学習するように行われるべきである。

【０１４３】変更された更新プロトコルのステップ 618
〜620 は上記から:

【数８３】

【０１４４】である。ここで、B_iは、更新多項式がP_iに
より "無効" とマークされなかった全てのサーバーの索
引のセットである。検査可能な秘密共有機構により、更
新段階の間にP_i及びP_jがどちらも正直である場合、

【数８４】B_i = B_j

【０１４５】である。即ち、他のサーバーの正直さにつ
いてそれらは同じ判断を有する。

【０１４６】既存の検査可能な秘密共有のプロトコルは
全て同報通信チャンネルを必要とする。よって、この点
から、ｎの秘密共有サーバーの各々はそれを普通の同報
通信チャンネル、エサーネットに接続するリンクを有す
ると想定する。この同報通信チャンネルに乗る全てのメ
ッセージは、このチャンネルをサーバーに接続する全て
のリンクに到着する。

【０１４７】更新の間に最大ｋの不正をしている、私用
禁止、即ち凍結されたサーバーが存在するときの検査可
能な秘密共有が達成される場合、全ての正直なサーバー
がその共有を更新する、少なくとも (n-k)の更新多項式
f_iがある。

【０１４８】共有の再乱数化の次数は順向方式の第２の
特性、即ち更新前及び更新後にｋの共有を知ることは敵
対者に秘密を再構築させないことを保証するのに十分で
ある。以下はｋサーバーが更新中に制御されるときの微
妙な点である。敵対者はそのとき各更新多項式f_iのｋの
共有を知り、そしてこれは敵対者がそれらの全てを再構
築することを許すのは、それらの全ての自由な係数が０
であることが知られているからである。よって、敵対者
は全てのサーバーP_iの全更新値

【数８５】 δ（i）= （f₁（i）+f₂（i）+...+ f_n（i）)(mod q）

【０１４９】を計算できる。しかしながら、更新段階の
間に敵対者がｋサーバーのセットＦをコンプロマイズす
る場合、敵対者はこの更新の前又は後のラウンドで他の
サーバーをどれもコンプロマイズすることができない。
よって、敵対者は全ての

【数８６】｛x_i ^(t)｝_i∈_F

【０１５０】及び

【数８７】｛δ（i）｝_i∈_{1,n}

【０１５１】を知る。後者は、特に敵対者が、どのみち
知る

【数８８】｛x_i ^(t+1)｝_i∈_F

【０１５２】を計算することを許す。しかし、秘密の再
構築を敵対者に許す追加の共有

【数８９】

【０１５３】又は

【数９０】

【０１５４】を敵対者は依然として学習できない。

【０１５５】［"重複"攻撃及びリンク攻撃が存在すると
きの更新プロトコルの保全］敵対者がラウンドｔでサー
バーＡをコンプロマイズし、そして同じラウンドでサー
バーＡから去る場合、ラウンドｔ及びラウンド(t+1) の
間の更新段階中に、このサーバーは無効ではないが、敵
対者は全てのその秘密を知る。 (活動状態のプロトコル
の混乱がない) コンプロマイズされたサーバーのみを有
する敵対者を想定する。ラウンドｔの間及び更新 t/(t+
1)の間に敵対者によりコンプロマイズされたサーバーの
セットをＦとする。最悪のケースでは、

【数９１】| F | = (k-1) である。そのラウンドの間及び更新の間に敵対者に対し
て絶対に安全である "有効な" サーバーのセットをＧと
する。明らかに、それらがサーバーＦに送る各f_iは、 i
∈ Gである。さて、プロトコルにより、それは、Ａが
取得するf_i, i∈ G の共有を学習することもあり、しな
いこともある。サーバーが既知のキーで暗号化されたば
かりのそれらの更新多項式の共有をＡに送る場合、敵対
者はそれらを学習できる。

【０１５６】［順向性安全公開キー証明権限］順向性安
全キー証明権限センターを実現するために順向性秘密共
有を用いる方法を示す完全な解決が提案される。メッセ
ージの "エルガマル" 署名動作を実行し且つ署名キーを
順向的に維持するシステムが記述される。このようなシ
ステムはキー証明権限として有効に用いうる。なぜな
ら、それが署名するメッセージは公開キー及び他のユー
ザの識別タグにありうるからである。

【０１５７】［エルガマル署名の分散バージョン］最初
に、互いに署名センターを形成する参加サーバーのグル
ープにより署名動作が実行される、"エルガマル"署名ア
ルゴリズムの分散バージョンを想定する。署名はこれら
のサーバーの部分的な署名から成る。それは１つの公開
検査キーにより検査できる。これは、概念的に、単一の
署名キーもあることを意味し、それは署名センターを形
成するサーバー間で共有されるだけである。このアルゴ
リズムは、それを共有するサーバー間のこの秘密キーの
分散の変化を許す、即ち、それは共有の順向性更新を許
す。

【０１５８】［初期化］大きな素数をｐとし、そしてｐ
よりも小さい乱数をｇとする。ｐ及びｇはどちらもネッ
トワーク内の全ての当事者が知っている。各サーバーP_i
はその秘密キーを乱数 x_iとみなす。ここで、i ∈ {0,
n} 且つ x_i＜p-1である。全てのサーバーの秘密キーが
初期化された後、その結果生ずる全てのラウンドで、次
の式の合計が得られる。

【数９２】x₁ ^(t)+ x₂ ^(t)+...+ x_n ^(t)= x（mod q）

【０１５９】ここで、x_i ^(t)はラウンドｔでのサーバーP
_iの秘密キーを表わし、そしてｘは署名センターの概念
的な一定の秘密キーを表わす。最初に、各サーバーはそ
の秘密キーの公開対応部:

【数９３】

【０１６０】を計算する。そして、それらはそれらの公
開キーの部分を互いに送出するので、ｘの公開検査対応
部:

【数９４】

【０１６１】を計算できる。シーケンス(p, g, y, n)は
この署名センターで生成された署名の検査に用いる公開
キーである。

【０１６２】［署名の発行］メッセージｍに署名するた
めに、各サーバーはそれ自身の秘密乱数 k_i、(p-1)に関
連する素数を取出す。そして、各サーバー P_i はその署
名の第１の部分:

【数９５】

【０１６３】を計算する。各サーバーはそのr_iを他のサ
ーバーに同報通信するので、それらの各々は、次の式に
示すように、その署名の第２の部分を計算する:

【数９６】

【０１６４】最初の "エルガマル" 署名方式と全く同じ
ように、

【数９７】

【０１６５】の値は、ユークリッドのアルゴリズムによ
り見出だすことができる。署名されたメッセージは下記
のシーケンスを有する:

【数９８】 S（m）=（m，s_i，s₂，...，s_n，r₁，r₂，...，r_n）（7）

【０１６６】［署名の検査］署名の検査を必要とする当
事者は下記の式が真であるかどうかを検査する:

【数９９】

【０１６７】これは下記の変換により真であると示すこ
とができる:

【数１００】

【０１６８】［保全分析］上記の基本的な分散 "エルガ
マル" アルゴリズムの保全は、本発明のプロトコルの残
りの部分と同様に、大きな素数順の最後のフィールドに
おける対数の計算は見込まれた多項式の計算時間から実
行不可能であるとの想定による。これは "エルガマル"
及びＤＳＡ暗号及び署名方式の基本的な保全を想定す
る。上記の "エルガマル" の公開キーアルゴリズムの分
散バージョンの保全は最初のバージョンと全く同じであ
る。攻撃者が本発明のアルゴリズムを破壊できる場合、
攻撃者は通常の "エルガマル" アルゴリズムも破壊でき
るであろう。攻撃者はｍ、S(m)及びx_i,x₂,...,x_n-1を知
っていると想定する。攻撃者が更に必要とするものはx_n
である。攻撃者は

【数１０１】

【０１６９】を計算できる。ここで、負の指数はモジュ
ーロ (p-1)が計算される。

【数１０２】x = x_ns_n， k = k_nr₁r₂...r_n

【０１７０】が代入される。そして攻撃者は

【数１０３】

【０１７１】及び

【数１０４】 x + 1 = s_nk_n + x_nr₁r₂...r_n= m（mod p-1）

【０１７２】を知る。この３つの式のセットで、最初の
２つのうちの１つは残りの部分から取出すことができ
る。例えば、

【数１０５】g^k = g^x+k（g^x)^(-1)(mod p-1）

【０１７３】である。よって、残るのは下記の２つの式
である。

【数１０６】 g^x = a（mod p），x + k = b（mod p-1）

【０１７４】最初の "エルガマル" アルゴリズムの保全
は、ｋが未知である場合、第２の式はｘに関する情報を
出さないことに基づくので、 "エルガマル" アルゴリズ
ムは見込まれる多項式の計算時間で対数

【数１０７】x = log_ga（mod p）

【０１７５】を計算することは実行不可能であるのと同
程度に安全である。

【０１７６】［順向性しきい値秘密共有方式への分散エ
ルガマルの適応］本発明は "シャミール" の多項式秘密
共有を上記分散 "エルガマル" アルゴリズムに組込む。
この組込みはしきい値順向方式を生成するが、このしき
い値はラウンド中にのみ存在する。前述のように、更新
段階中のしきい値は回復機構を必要とする。この方式は
ロバストを達成しない。よって、この予備的な方式は:
・各ラウンドで最大ｋサーバーをコンプロマイズでき、
・各ラウンドで最大ｋサーバーを凍結するが、更新段階
では凍結できない敵対者に対して安全である。

【０１７７】本発明は、Threshold Cryptosystems Cryp
to 89, pp. 307-15 に記述された、指数のしきい値秘密
共有に関する "デスメド" 及び "フランケル" の解決に
関連する。彼らの着想は、ｋ次の多項式による "シャミ
ール" のしきい値秘密共有を用い、そして各サーバーで
局所的にラグランジェの補間式の成分を計算することに
より(k+2) の正直なサーバーのグループによる秘密の指
数を計算することであった。それらの方式及び本発明の
間の類似性は、多項式により共有された秘密のラグラン
ジェ再構築を両者が用いることであるが、プロセス中に
再構築の秘密を誰も学習できない。秘密は("デスメド"
及び "フランケル" のケースでは) メッセージを指数化
するか又は (本発明では)"エルガマル" により取出され
た署名を発行するためにのみ用いられる。本発明はｎサ
ーバー間で f(0) = x を秘密共有するためにｋ次の多項
式ｆを用いる。それはｐ及びエレメント g ∈ Z_p を取
出し、ｇが素数順序ｑになるようにする、即ち

【数１０８】g^q = 1（mod p）

【０１７８】である。Ｑはできるだけ大きくすべきであ
り、

【数１０９】p = mq + 1, m ∈ {2,3,4}

【０１７９】が成立つようにする。ここで、公開キーは
シーケンス (p,q,g,y,k)になる。

【０１８０】本発明は、初期化段階の間に、各サーバー
がそのｘの秘密共有

【数１１０】x_i = f（i）

【０１８１】を取得すると想定する。ここで、ｆはZ_qで
計算される。署名を発行するために、サーバーはどれか
(k+2) の活動状態のサーバーのグループＢで署名に参加
することに同意する。他のサーバーは遊休状態である。
セットＢを知り、各サーバーP_i,i ∈ Bは:

【数１１１】

【０１８２】を計算する。ラグランジェの補間公式か
ら、これは

【数１１２】

【０１８３】であることを保証する。なぜなら、

【数１１３】∀_i，x_i= f（i）， x = f（0）

【０１８４】であり且つｆはZ_qでｋ次の多項式であるか
らである。

【数１１４】(i - j), i ≠ j の逆数の存在は、ｑが素数であることにより保証され
る。それらの部分的な秘密としてa_iを用いることによ
り、Ｂのサーバーは、上記:

【数１１５】

【０１８５】からの基本的な順向性プロトコルに従っ
て、それらの部分的な署名 (r_i,s_i),i ∈ B を発行す
る。

【０１８６】検査式は次の式になる:

【数１１６】

【０１８７】［署名プロトコルにおける検査及びロバス
ト］上記予備的なしきい値方式に付加しなければならな
い第１の特性はラウンドの間のロバストである。これ
は、最大ｋサーバーまで制御できる敵対者に対してそれ
を安全にするが、それはそのラウンドの間のみであっ
て、更新段階の間ではない。上記しきい値方式は署名者
従属である。なぜなら、署名を発行する前に、正直なサ
ーバーは、そのメッセージに署名するために協同する、
(k+2) のサーバーのセットＢに同意する必要があるから
である。幾つかの現に活動状態である、正直なサーバー
のセットＢを取出しうるためには、正直なサーバーが不
正をする者を取り除きうる機構が必要である。最後に、
Ｂ, ｍ及び S(m) を知る各サーバーは、全てのサーバー
P_i, i ∈ B について、同じ m, g, p, q 及び式(5) に
より計算された正しい秘密キーa_iを有するプロトコルに
より計算されるという意味で、その部分的な署名 (r_i,s
_i) ∈ S(m) が正しいかどうかを検査しうるべきであ
る。

【０１８８】サーバー間のこの互いに部分的な検査を可
能にするために、本発明は各サーバーの秘密共有x_i ^(t)
をそれらの秘密署名キーとして処理し、そして全ての他
のサーバーにそれらのキーの公開検査対応部:

【数１１７】

【０１８９】を与える。全ての正直なプロセッサＰ (現
にＢにあるものだけではない) はＢの全てのサーバーP_i
の部分的な署名:

【数１１８】（r_i，s_i）∈S（m）

【０１９０】を次の２つのステップで検査する。 (1) 現在のＢ及び

【数１１９】

【０１９１】を知り、Ｐは

【数１２０】

【０１９２】を計算する。 (2) 上記のように

【数１２１】

【０１９３】を計算したのち、Ｐは S(m) を取出し、そ
して式:

【数１２２】

【０１９４】によりP_iの署名を検査する。

【０１９５】このように、全ての正直なサーバーは、署
名 S(m) を発行している間に不正が行われた無効なサー
バーのセット F⊂B を決定できる。サーバーはそれらの
索引i ∈{1,n} により順序付けられるから、正直なサー
バーが検出された不正な者を取り除くためにセットＢを
更新し、そして新しい活動状態のサーバーのセットを試
すことは自明である。例えば、それらが

【数１２３】B = 1, 2,..., k + 2により開始する全て
のラウンドの始めに、そしてそれらが署名して m>0 の
不正な者のセット

【数１２４】Ｆ＝｛ｉ₁，ｉ₂，...，ｉ_m｝

【０１９６】を検出する毎に、それらは

【数１２５】 B ← (B ＼ F) ∪ {max(B) + 1,..., max(B) + m} (13) を取る。

【０１９７】本発明は、全てのラウンドで最大ｋのサー
バーが敵対者に乗っ取られて無効となりうるから、後に
続く更新は (不正をする者が "１対１" で現われる場合
には) ｋ回よりも多くは実行されないと想定する。これ
はラウンド毎に最大ｋの余分な署名を発行するのに等し
い。これは無視できるオーバーヘッドである。

【０１９８】上記からの更新プロトコルは、ラウンドｔ
毎に、秘密共有x_i ^(t) の公開対応部y_i ^(t) の維持を保証
するように拡張できる。ステップ(2) で、サーバーP_iが
f_i(j) をP_jに送るとき、それは

【数１２６】

【０１９９】を全ての他のサーバーにも送る。これは全
てのサーバーが次の式のように全てのｉの公開キーを計
算することを可能にする。

【数１２７】

【０２００】Z_pの対数を計算する "難しさ" を仮定すれ
ば、

【数１２８】

【０２０１】の同報通信は敵対者を支援しない。

【０２０２】まとめとして、本発明の構成に関して以下
の事項を開示する。 (１) 順向性、ロバスト及び回復可能な分散しきい値秘
密共有を有する公開キー暗号化の方法であって、キーを
形成するために通信ネットワークによりリンクされたサ
ーバーを初期化するステップと、終了を有する別個のラ
ウンドで動作するように前記サーバーを同期させるステ
ップと、前記通信ネットワークで同報通信されたメッセ
ージから前記ラウンドの前記終了で更新されたキーを計
算するステップと、コンプロマイズされたサーバーのセ
ットを形成するために前記更新されたキーを検査するス
テップと、前記コンプロマイズされたサーバーのセット
を回復するステップとを含む方法。 (２) 前記初期化するステップは、前記サーバーの各々
の乱数を選択するステップと、前記乱数から前記サーバ
ーの各々の秘密値を計算するステップと、前記秘密値か
ら前記サーバーの各々の秘密キーを計算するステップ
と、前記秘密キーの公開対応部を前記通信ネットワーク
で同報通信するステップとを含む、上記(１)に記載の方
法。 (３) 前記更新されたキーを計算するステップは、前記
サーバーの各々の多項式を定義する乱数のセットを取出
すステップと、前記多項式から導き出された、前記サー
バーの各々の新しい秘密キーを取出すステップと、前記
多項式から導き出されたメッセージを前記通信ネットワ
ークで同報通信するステップとを含む、上記(１)に記載
の方法。 (４) 前記更新されたキーを検査する前記ステップは、
無効なサーバーのセットを形成するために前記通信ネッ
トワークで同報通信された前記メッセージを分析するス
テップと、前記無効なサーバーのセットに対応する告発
のセットを生成するステップと、前記告発のセットを前
記通信ネットワークで同報通信するステップと、更新さ
れた無効なサーバーのセットを形成する前記同報通信さ
れた告発のセットを分析するステップとを含む、上記
(１)に記載の方法。 (５) 前記コンプロマイズされたサーバーのセットを識
別するメッセージをコンソールに表示するステップを更
に含む、上記(１)に記載の方法。 (６) 前記サーバーのセットを回復するステップは、前
記コンプロマイズされたサーバーのセットにある各サー
バーに新しい秘密キーを設定するステップと、前記サー
バーから回復サーバーのセットを選択するステップと、
前記回復サーバーのセットにある各サーバーの下位共有
を計算するステップと、前記下位共有から取出されたメ
ッセージを前記通信ネットワークで同報通信するステッ
プと、前記コンプロマイズされたサーバーのセットが受
取った前記下位共有から取出された前記メッセージを検
査するステップとを含む、上記(１)に記載の方法。 (７) 回復サーバーのセットを選択する前記ステップ
は、前記サーバーの下位セットを選択するステップと、
前記下位セットの各サーバーの乱数値のセットを計算す
るをステップと、前記乱数値のセットから取出された署
名されたメッセージを前記通信ネットワークで同報通信
するステップと、無効サーバーのセットを取出すために
前記署名されたメッセージを検査するステップと、前記
サーバーの前記下位セットから前記無効サーバーのセッ
トを除去するステップとを含む、上記(６)に記載の方
法。 (８) 前記サーバーの各々の乱数を取出すステップと、
前記乱数から前記サーバー毎の第１の署名の部分を計算
するステップと、前記第１の署名の部分を前記通信ネッ
トワークで同報通信するステップと、前記第１の署名の
部分から前記サーバーの各々の第２の署名の部分を計算
するステップとを更に含む、上記(１)に記載の方法。 (９) 署名されたメッセージを前記第２の署名の部分に
より検査するステップを更に含む、上記(８)に記載の方
法。 (１０) 順向性、ロバスト及び回復可能な分散しきい値
秘密共有を有する公開キー暗号方式を処理するデータ処
理システムであって、通信ネットワークによりリンクさ
れたサーバーと、前記サーバーと関連したキーを形成す
るために前記サーバーを初期化する初期化手段と、終了
を有する別個のラウンドに前記サーバーの動作を同期さ
せるタイミング手段と、更新されたキーを生成するため
に前記別個のラウンドの各ラウンドの終了で前記キーを
更新する更新手段と、コンプロマイズされたサーバーの
セットを形成するために前記更新されたキーを検査する
検査手段と、前記コンプロマイズされたサーバーのセッ
トを回復する回復手段とを備えるデータ処理システム。 (１１) 前記サーバーの各々の乱数を選択する選択手段
と、前記乱数から前記サーバーの各々の秘密値を計算す
る第１の計算手段と、前記秘密値から前記サーバーの各
々の秘密キー及び前記秘密キーの公開対応部を計算する
第２の計算手段と、前記秘密キーの各々の前記公開対応
部を前記通信ネットワークで同報通信する同報通信手段
とを備える、上記(１０)に記載のデータ処理システム。 (１２) 前記更新手段は、前記サーバーの各々に関連し
た、多項式を定義する乱数のセットを生成する乱数生成
手段と、前記多項式から前記サーバーの各々の新しい秘
密キーを生成する秘密キー生成手段と、前記通信ネット
ワークで前記多項式から取出されたメッセージを同報通
信する同報通信手段とを備える、上記(１０)に記載のデ
ータ処理システム。 (１３) 前記検査手段は、無効なサーバーのセットを形
成するために前記通信ネットワークで同報通信されたメ
ッセージを分析する第１の分析手段と、前記無効なサー
バーのセットに対応する告発のセットを生成する告発手
段と、前記告発のセットを前記通信ネットワークで同報
通信する同報通信手段と、無効なサーバーの更新された
セットを形成するために前記同報通信された告発のセッ
トを分析する第２の分析手段とを備える、上記(１０)に
記載のデータ処理システム。 (１４) 前記コンプロマイズされたサーバーのセットを
表示する表示手段を更に備える、上記(１０)に記載のデ
ータ処理システム。 (１５) 前記回復手段は、前記サーバーから回復サーバ
ーのセットを選択する選択手段と、前記回復サーバーの
セットにあるサーバーの各々の下位共有を計算する計算
手段と、前記回復サーバーのセットにあるサーバーの各
々の前記下位共有から取出されたメッセージを前記通信
ネットワークで同報通信する同報通信手段と、前記コン
プロマイズされたサーバーのセットが受取った前記下位
共有の各々から取出された前記メッセージを検査する検
査手段とを更に備える、上記(１０)に記載のデータ処理
システム。 (１６) 前記選択手段は、前記サーバーの下位セットを
選択する選択手段と、前記下位セットにある各サーバー
の乱数値のセットを計算する計算手段と、前記乱数値の
セットから取出された署名されたメッセージを前記通信
ネットワークで同報通信する同報通信手段と、無効なサ
ーバーのセットを取出すために前記署名されたメッセー
ジを検査する検査手段と、前記無効なサーバーのセット
を前記下位セットから除去する除去手段とを備える、上
記(１５)に記載のデータ処理システム。 (１７) 前記サーバーの各々の乱数のセットを生成する
乱数生成手段と、前記乱数のセットから前記サーバーの
各々の署名の第１の部分を計算する第１の計算手段と、
前記署名の第１の部分を前記通信ネットワークで同報通
信する同報通信手段と、前記第１の署名の部分から前記
サーバーの各々の署名の第２の部分を計算する第２の計
算手段とを更に備える、上記(１０)に記載のデータ処理
システム。 (１８) 署名されたメッセージを前記第２の署名の部分
により検査する検査手段を更に備える、上記(１７)に記
載データ処理手段。

【図面の簡単な説明】

【図１】サーバーコンソールを示す図である。

【図２】通信チャンネルに接続するサーバーを示すブロ
ック図である。

【図３】本発明の良好な実施例の高レベルのステップの
シーケンスを示す流れ図である。

【図４】本発明の共有更新プロトコルの良好な実施例の
ステップのシーケンスを示す流れ図である。

【図５】図４のステップ410 におけるステップのシーケ
ンスを示す流れ図である。

【図６】本発明の共有回復プロトコルの良好な実施例の
ステップのシーケンスを示す流れ図である。

【図７】本発明の共有回復プロトコルの良好な実施例の
ステップのシーケンスを示す流れ図である。

【符号の説明】

10 中央処理装置 12 システムバス 14 ランダムアクセスメモリ(RAM) 18 入出力(I/O) アダプタ 20 ディスク装置 22 ユーザインタフェースアダプタ 24 キーボード 26 マウス 34 通信アダプタ 36 表示アダプタ 38 表示装置 40 テープ装置

───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.⁶ 識別記号庁内整理番号ＦＩ技術表示箇所Ｈ０４Ｌ 9/00 ６０１Ｆ (72)発明者スタニスロー・マイケル・ヤレッキーアメリカ合衆国マサチューセッツ州、ケンブリッジ、マサチューセッツ・アベニュー 282、アパートメント・423・ディ (72)発明者ヒューゴ・マリオ・クロウジックアメリカ合衆国ニューヨーク州、リバーデイル、ネザーランド・アベニュー 2600 (72)発明者マーセル・モードチャイ・ユングアメリカ合衆国ニューヨーク州、ニューヨーク、ワシントン・ストリート１

Claims

【特許請求の範囲】

【請求項１】順向性、ロバスト及び回復可能な分散しき
い値秘密共有を有する公開キー暗号化の方法であって、キーを形成するために通信ネットワークによりリンクさ
れたサーバーを初期化するステップと、終了を有する別個のラウンドで動作するように前記サー
バーを同期させるステップと、前記通信ネットワークで同報通信されたメッセージから
前記ラウンドの前記終了で更新されたキーを計算するス
テップと、コンプロマイズされたサーバーのセットを形成するため
に前記更新されたキーを検査するステップと、前記コンプロマイズされたサーバーのセットを回復する
ステップとを含む方法。
【請求項２】前記初期化するステップは、前記サーバーの各々の乱数を選択するステップと、前記乱数から前記サーバーの各々の秘密値を計算するス
テップと、前記秘密値から前記サーバーの各々の秘密キーを計算す
るステップと、前記秘密キーの公開対応部を前記通信ネットワークで同
報通信するステップとを含む、請求項１に記載の方法。
【請求項３】前記更新されたキーを計算するステップ
は、前記サーバーの各々の多項式を定義する乱数のセットを
取出すステップと、前記多項式から導き出された、前記サーバーの各々の新
しい秘密キーを取出すステップと、前記多項式から導き出されたメッセージを前記通信ネッ
トワークで同報通信するステップとを含む、請求項１に
記載の方法。
【請求項４】前記更新されたキーを検査する前記ステッ
プは、無効なサーバーのセットを形成するために前記通信ネッ
トワークで同報通信された前記メッセージを分析するス
テップと、前記無効なサーバーのセットに対応する告発のセットを
生成するステップと、前記告発のセットを前記通信ネットワークで同報通信す
るステップと、更新された無効なサーバーのセットを形成する前記同報
通信された告発のセットを分析するステップとを含む、
請求項１に記載の方法。
【請求項５】前記コンプロマイズされたサーバーのセッ
トを識別するメッセージをコンソールに表示するステッ
プを更に含む、請求項１に記載の方法。
【請求項６】前記サーバーのセットを回復するステップ
は、前記コンプロマイズされたサーバーのセットにある各サ
ーバーに新しい秘密キーを設定するステップと、前記サーバーから回復サーバーのセットを選択するステ
ップと、前記回復サーバーのセットにある各サーバーの下位共有
を計算するステップと、前記下位共有から取出されたメッセージを前記通信ネッ
トワークで同報通信するステップと、前記コンプロマイズされたサーバーのセットが受取った
前記下位共有から取出された前記メッセージを検査する
ステップとを含む、請求項１に記載の方法。
【請求項７】回復サーバーのセットを選択する前記ステ
ップは、前記サーバーの下位セットを選択するステップと、前記下位セットの各サーバーの乱数値のセットを計算す
るをステップと、前記乱数値のセットから取出された署名されたメッセー
ジを前記通信ネットワークで同報通信するステップと、無効サーバーのセットを取出すために前記署名されたメ
ッセージを検査するステップと、前記サーバーの前記下位セットから前記無効サーバーの
セットを除去するステップとを含む、請求項６に記載の
方法。
【請求項８】前記サーバーの各々の乱数を取出すステッ
プと、前記乱数から前記サーバー毎の第１の署名の部分を計算
するステップと、前記第１の署名の部分を前記通信ネットワークで同報通
信するステップと、前記第１の署名の部分から前記サーバーの各々の第２の
署名の部分を計算するステップとを更に含む、請求項１
に記載の方法。
【請求項９】署名されたメッセージを前記第２の署名の
部分により検査するステップを更に含む、請求項８に記
載の方法。
【請求項１０】順向性、ロバスト及び回復可能な分散し
きい値秘密共有を有する公開キー暗号方式を処理するデ
ータ処理システムであって、通信ネットワークによりリンクされたサーバーと、前記サーバーと関連したキーを形成するために前記サー
バーを初期化する初期化手段と、終了を有する別個のラウンドに前記サーバーの動作を同
期させるタイミング手段と、更新されたキーを生成するために前記別個のラウンドの
各ラウンドの終了で前記キーを更新する更新手段と、コンプロマイズされたサーバーのセットを形成するため
に前記更新されたキーを検査する検査手段と、前記コンプロマイズされたサーバーのセットを回復する
回復手段とを備えるデータ処理システム。
【請求項１１】前記サーバーの各々の乱数を選択する選
択手段と、前記乱数から前記サーバーの各々の秘密値を計算する第
１の計算手段と、前記秘密値から前記サーバーの各々の秘密キー及び前記
秘密キーの公開対応部を計算する第２の計算手段と、前記秘密キーの各々の前記公開対応部を前記通信ネット
ワークで同報通信する同報通信手段とを備える、請求項
１０に記載のデータ処理システム。
【請求項１２】前記更新手段は、前記サーバーの各々に関連した、多項式を定義する乱数
のセットを生成する乱数生成手段と、前記多項式から前記サーバーの各々の新しい秘密キーを
生成する秘密キー生成手段と、前記通信ネットワークで前記多項式から取出されたメッ
セージを同報通信する同報通信手段とを備える、請求項
１０に記載のデータ処理システム。
【請求項１３】前記検査手段は、無効なサーバーのセットを形成するために前記通信ネッ
トワークで同報通信されたメッセージを分析する第１の
分析手段と、前記無効なサーバーのセットに対応する告発のセットを
生成する告発手段と、前記告発のセットを前記通信ネットワークで同報通信す
る同報通信手段と、無効なサーバーの更新されたセットを形成するために前
記同報通信された告発のセットを分析する第２の分析手
段とを備える、請求項１０に記載のデータ処理システ
ム。
【請求項１４】前記コンプロマイズされたサーバーのセ
ットを表示する表示手段を更に備える、請求項１０に記
載のデータ処理システム。
【請求項１５】前記回復手段は、前記サーバーから回復サーバーのセットを選択する選択
手段と、前記回復サーバーのセットにあるサーバーの各々の下位
共有を計算する計算手段と、前記回復サーバーのセットにあるサーバーの各々の前記
下位共有から取出されたメッセージを前記通信ネットワ
ークで同報通信する同報通信手段と、前記コンプロマイズされたサーバーのセットが受取った
前記下位共有の各々から取出された前記メッセージを検
査する検査手段とを更に備える、請求項１０に記載のデ
ータ処理システム。
【請求項１６】前記選択手段は、前記サーバーの下位セットを選択する選択手段と、前記下位セットにある各サーバーの乱数値のセットを計
算する計算手段と、前記乱数値のセットから取出された署名されたメッセー
ジを前記通信ネットワークで同報通信する同報通信手段
と、無効なサーバーのセットを取出すために前記署名された
メッセージを検査する検査手段と、前記無効なサーバーのセットを前記下位セットから除去
する除去手段とを備える、請求項１５に記載のデータ処
理システム。
【請求項１７】前記サーバーの各々の乱数のセットを生
成する乱数生成手段と、前記乱数のセットから前記サーバーの各々の署名の第１
の部分を計算する第１の計算手段と、前記署名の第１の部分を前記通信ネットワークで同報通
信する同報通信手段と、前記第１の署名の部分から前記サーバーの各々の署名の
第２の部分を計算する第２の計算手段とを更に備える、
請求項１０に記載のデータ処理システム。
【請求項１８】署名されたメッセージを前記第２の署名
の部分により検査する検査手段を更に備える、請求項１
７に記載データ処理手段。