JPH09205422A - 順向性、ロバスト及び回復可能な分散しきい値秘密共有を有する公開キー暗号システム及びその方法 - Google Patents

順向性、ロバスト及び回復可能な分散しきい値秘密共有を有する公開キー暗号システム及びその方法

Info

Publication number
JPH09205422A
JPH09205422A JP8005277A JP527796A JPH09205422A JP H09205422 A JPH09205422 A JP H09205422A JP 8005277 A JP8005277 A JP 8005277A JP 527796 A JP527796 A JP 527796A JP H09205422 A JPH09205422 A JP H09205422A
Authority
JP
Japan
Prior art keywords
servers
server
key
communication network
secret
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP8005277A
Other languages
English (en)
Inventor
Hertzberg Amir
アミール・ヘルツベルグ
Micheal Yaletski Stanislo
スタニスロー・マイケル・ヤレッキー
Mario Crowgic Hugo
ヒューゴ・マリオ・クロウジック
Moedochai Yung Marcel
マーセル・モードチャイ・ユング
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP8005277A priority Critical patent/JPH09205422A/ja
Publication of JPH09205422A publication Critical patent/JPH09205422A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 順向性、ロバスト及び回復可能な分散しきい
値秘密共有方式を有する公開キー暗号システム及びその
方法の提供。 【解決手段】順向性しきい値秘密共有暗号システムはサ
ーバーのセットを用いる。nサーバーのうちの少なくと
も(k+1) のサーバーが活動状態であり且つ正直である場
合にサービスが維持される。秘密署名キーは、敵対者が
少なくとも(k+1) サーバーに侵入した場合にのみコンプ
ロマイズされる。また、正直なサーバーが誤りのあるサ
ーバーを検出し、サービスは中断されない。さらに、敵
対者がコンプロマイズしたサーバーにある全ての局所情
報を敵対者が消去した場合でも、サーバーは正しいプロ
トコルの実行に復帰すると直ちに前記情報を復元でき
る。本発明の方法及びシステムは順向性を有するため、
敵対者が秘密を知るためには、アルゴリズムの同じラウ
ンドの間に(k+1) サーバーへの侵入が必要となる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明はデータ処理システム
に、より詳しくは情報保全のための暗号機構を備えるデ
ータ処理システムに関する。
【0002】
【従来の技術】暗号化されたメッセージを送受するため
に公開キー暗号システムが用いられる。公開キー暗号シ
ステムは、公開キーと呼ばれる公に入手できる値を用い
る数理的なアルゴリズムの実行によりメッセージが暗号
化されるシステムである。そして、受取人は秘密キーと
呼ばれる専用の値を用いるアルゴリズムを実行すること
によりメッセージを解読する。公開キー暗号は暗号アル
ゴリズムE及び解読アルゴリズムDの選択に依存し、E
が完全に解読されても、Dの取出しは実効的に不可能で
あるようにする。公開キー暗号の3つの必要条件は: (1) D(E(P)) = P, ここで、Pはメッセージであ
る; (2) EからDを演繹することは極めて困難である; 及び (3) Pを攻撃してもEを破壊できない ことである。従って、公開キーは自由に配布できるが、
秘密キーは、それを用いるエンティティにより秘密が保
持されなければならない。侵入者がエンティティのメモ
リ内容をアクセスした場合、システム保全は侵害され
る。これは最初の公開キー特徴の全てにあてはまる。キ
ー第三者委託システム及び "ミカリ(Micali)" の規則に
かなった暗号システムでは、秘密キーは多くの部分に分
割され、そして各部分は異なるエンティティにより保持
される。しかしながら、時間の経過とともに侵入者が各
エンティティのメモリを読取りできる場合、システム保
全は侵害される。
【0003】[順向性秘密共有]順向性秘密共有の概念
を説明するために、秘密共有方式の用語及びそれらの保
全特性を説明する。
【0004】[秘密共有におけるしきい値、ロバスト
(堅固性)及び回復可能性]秘密共有は最初に G.R. Bl
akley, Safeguarding Cryptographic Keys, AFIPSCon.
Proc. (v.48), 1979, pp. 313-317及び A. Shamir, How
to Share a Secret, Commun. ACM, 22, 1979, pp. 612
-613 により導入された。その最も基本的な形式では、
秘密共有は、n人の参加者の間で秘密情報Mを分割し、
参加者らが互いにそれを再構築できるようにする方法で
ある。しかしながら、(n-1) の共有保持者のグループは
どれもMに関して何も知ることはできない。この機構は
個々の情報を守る必要があるときは保全を高めるために
必ず用いられる。保全を高めることは、サーバーの全て
ではないが、その幾つかに侵入できる敵対者から秘密を
守りうることに相当する。あらゆる秘密共有方式は概念
的に以下の段階を有する。 (1) 秘密を知っているディーラーがその共有を生成し、
それらを共有保持者に配布するディーリング段階; (2) 共有保持者の間で共有が維持される記憶段階;及び (3) 共有保持者がかれらの共有から秘密を再構築する再
構築段階 上記の基本的な秘密共有はあまり実際的ではない。なぜ
なら、敵対者が共有保持者をコンプロマイズし、当該保
持者が保持した秘密共有を消去又は変更する場合、秘密
Mは決して再構築できないからである。よって、上記の
方式は、(n-1) サーバーに侵入してそれらの共有を知り
うるが、サーバーのメモリ即ち記憶を消去又は変更する
ことも、サーバーにクラッシュさせることもできず、そ
して共有の処理にも秘密の再構築にも干渉しない敵対者
に対して安全である。
【0005】基本的な方式の保全性を高める秘密共有の
特性が定義される前に、サーバーに対する敵対者の異な
るタイプの攻撃が定義されなければならない: ・敵対者がサーバーに侵入し、そのサーバーに記憶され
た全ての秘密情報: その秘密共有及び通信に用いるキー
を知る場合、サーバーは敵対者にコンプロマイズされ
る。 ・敵対者がサーバーに仕事を止めさせる場合、敵対者は
サーバーを凍結する。しかしながら、敵対者が追放され
ると直ちに、サーバーは正しいプロトコルの実行に復帰
できる (即ち、データは失われない) と想定される。サ
ーバーのネットワークへのアクセスの中断はサーバーの
凍結の例である。全ての所要のデータ (変数及びアルゴ
リズムコード) が消去又は変更されない場合でも、電力
の遮断又はサーバー上の全プロセスの停止は凍結を構成
する。凍結されたサーバーはメッセージを送受信せず、
人の介入により再始動されるまで遊休状態である。 ・サーバーが実行するプロトコルを敵対者が変更し、最
初のプロトコルに関して間違っているメッセージをサー
バーが送るようにする場合、敵対者はサーバーを制御す
る。他のサーバーの観点から、そのようなサーバーは不
正をしている、即ち不正直である。凍結は制御の1つの
ケースである。 ・サーバーが記憶している秘密データを敵対者がうまく
消去又は変更したとき敵対者はサーバーを作動禁止す
る。プロトコルコードの消去又は他のサーバーの公開キ
ーの消去は、システム管理がこのサーバーの活動を復帰
させるのを困難にするが、この情報は公開されているの
で、システムオペレータに秘密情報を暴露せずに、それ
を再びサーバーに導入することができる。凍結及び作動
禁止の間に質的な差異を作ることはサーバーの秘密共有
の破壊である。
【0006】上記のタイプの敵対者に対する保全を提供
する、秘密共有方式の望ましい特性について以下に説明
する。重要なことは、上記の基本的な秘密共有方式での
ディーリング段階が保全されない状態における記憶段階
及び再構築段階での保全である。この重要性は、ディー
リング段階での保全を高めることを目的とする検証可能
な秘密共有方式と対照的である。
【0007】nサーバーのうちの(k+1) だけが秘密の再
構築のために協同する必要がある場合、秘密共有方式は
しきい値方式と呼ばれる。この特性は下記のように行動
する攻撃者に対してシステムを保全する: ・再構築段階中にnサーバーのうちの最大kサーバーま
で凍結即ち作動禁止する。記憶段階中に、これらのサー
バーが再構築段階開始前に提訴されることを条件に、敵
対者はより多くのサーバーを凍結でき、しきい値方式は
安全である。 ・アルゴリズムの有効期間中、nサーバーのうちのkサ
ーバーをコンプロマイズする。nサーバーのうちの(k+
1) サーバーをコンプロマイズすることは、敵対者が敵
対者自身で秘密を再構築することを可能にする。上記の
2つの必要条件は、しきい値kが厳密に少数である、即
ち次の式が成立つ場合にのみ満たすことができる。
【数1】2k + 1 ≦ n
【0008】最大kの不正なサーバーが存在しても再構
築段階が安全である場合、秘密共有方式はロバストと呼
ばれる。それ自身によるしきい値方式は、攻撃者が作動
禁止し又は凍結しうるがコンプロマイズされたサーバー
を制御できないとき、秘密を再構築するために障害のな
い(k+1) サーバーのグループを取出すのに問題がないこ
とによる。なぜなら、障害は非活動状態を意味するから
である。要するに、再構築段階で、全部でk以下のサー
バーを作動禁止又は制御できる敵対者に対して、ロバス
トはしきい値方式を安全にする。
【0009】しきい値秘密共有方式は、それが正しい秘
密共有を失ったサーバーに復元できる場合に回復可能で
ある。この方式は、正しい秘密共有を、それを失ったサ
ーバーに復元できると仮定する。従って、回復機構は記
憶段階で実行される。秘密共有の回復の特徴が本発明の
目的である。この特徴は、記憶段階の時点のどこかでn
サーバーのうちのk以下のサーバーを作動禁止又は制御
できる敵対者に対してロバストしきい値方式を安全にす
る。あるサーバーが作動禁止されることをシステムが知
る毎に回復段階は開始し、それがあまりに短いので、こ
の段階中に敵対者は他のサーバーに移りえないと想定す
れば、それは成功である。
【0010】回復は秘密共有が失われる毎に必要である
が、それはこの秘密共有を知る敵対者がいてもいなくて
も起こりうる。コンプロマイズ及び作動禁止能力を有す
る敵対者がサーバーに侵入し、その秘密共有を知り、そ
してそれを消去又は変更したとき、この共有は失われ
る。しかし、この共有は電力遮断によっても失われる。
最初のケースで、敵対者が秘密を知った直後に、その秘
密が公に回復されうることが論議されることがある。し
かしながら、二人以上の敵対者がおり、公開な共有回復
により、仕事の一部が他の敵対者に与えられることがあ
る。また、電力遮断による作動禁止のケースを処理する
機構が存在し、敵対者の一人が秘密を知った場合にその
機構が用いられることがある。保全形式がどのケースを
処理しているかを知ることは困難であるから、秘密共有
が失われる毎に1つの保全回復機構を用いる方がよい。
【0011】[秘密回復及びサーバー確認]敵対者が局
所記憶装置及びコンプロマイズされたサーバーのメモリ
を消去又は変更する能力を有し、更に敵対者がサーバー
間の通信チャンネルにメッセージを挿入しうる場合、完
全な自動回復は不可能である。サーバーをリブートし、
秘密共有アルゴリズムを実行するプロセスを開始し、こ
のサーバー及び他のサーバーの間で相互確認する一定の
手段を再び設けなければならない。
【0012】秘密共有に関してサーバー確認の問題が議
論されるのは稀である。しかしながら、サーバー確認
は、秘密共有に参加するサーバーのグループの外部から
サーバーにメッセージを送りうる敵対者が存在すると
き、回復プロトコルの保全を保つために必要である。サ
ーバーAの回復は、その共有を再び設けようとするサー
バーBを確認する一定の手段を持たなければならない。
また、サーバーBは、それらが適切な共有を与えようと
するサーバーが実際にサーバーAであることを確認しな
ければならない。サーバーAとサーバーBとの間の安全
なリンクにより、又はAのサーバー及びBのサーバーの
間の秘密/公開の暗号解読及び署名キーの対により、こ
れらの目標を達成することができる。しかしながら、サ
ーバーAがその秘密共有を失った場合、他のサーバーB
とのリンクの保全及び確認に用いる全ての他の秘密キー
も失うことがある。これは、作動禁止されたサーバーに
確認の手段を設ける際の人の介入が回復のために必要で
あることを意味する。この介入は、サーバーAとサーバ
ーBとの間に新しいサーバー間リンク保全を設けるこ
と、又はサーバーBの公開確認/暗号キーをサーバーA
に再び設ける際にその新しい秘密キーをサーバーAに計
算させてそれらを安全にサーバーBに設けることを含
む。順向システムの例で、秘密/公開キーがサーバー間
通信に用いられるので、回復機構への人の介入は次のタ
イプである。
【0013】[順向性]新しい秘密共有方式の特性は下
記のように定義される。 順向性: 順向性(プロアクティブ)は、敵対者がサーバ
ーをコンプロマイズできる速度を制限することにより保
全性を高める。順向秘密共有方式の記憶段階は、短い更
新段階により分割されたラウンドからなる。この方式
は、同じラウンドでk以下のサーバーをコンプロマイズ
できる敵対者に対して安全である。順向性なしに、この
方式は、全記憶段階、即ち、実効的にアルゴリズムの有
効期間中、最大kサーバーをコンプロマイズできる敵対
者に対して安全である。順向方式は、全てのサーバーを
コンプロマイズする敵対者に対して、その敵対者があま
り早くコンプロマイズしないとの条件で、安全である。
この特性は、更新段階の間にサーバーが保持した秘密共
有を再び無作為化することにより達成される。更新プロ
トコルは、秘密を、プロセス中にそれを明かさずに、再
ディーリングすることに等しい。形式的には、更新は下
記を達成しなければならない: (1) 更新プロトコルに参加するサーバーの数がk又はそ
れよりも少ないグループは他のサーバーの新しい共有に
ついて知ることはできない。 (2) 前のn共有のうちのkと新しいn共有のうちのkと
を知ることは秘密共有に関する情報を明かさない。
【0014】[順向性対しきい値、ロバスト及び回復]
敵対者は、更新段階プロトコル中は再構築段階中よりも
強くてはならない。よって、ロバストで回復可能なしき
い値秘密共有方式を順向化するために、更新段階は、最
大kサーバーを作動禁止又は制御できる敵対者に対して
安全でなければならない。
【0015】秘密共有での順向性及び回復可能性はそれ
らが一緒に用いられるとき最も意義がある。回復機構な
しに、順向秘密共有は一定のタイプの攻撃に対する保全
性を高めるが、他のタイプの攻撃に対しては保全性を低
くする。非順向性秘密共有方式は、記憶段階の間にサー
バーを制御できる敵対者に対して安全である。なぜな
ら、サーバーは当該段階の間には何もしないからであ
る。順向方式の記憶段階の間に、サーバーは周期的にそ
れらの共有を更新する。それゆえ、サーバーは、更新段
階の間に凍結又は制御される場合、次のラウンドで適切
な共有を有しないであろう。これは作動禁止する能力を
有する敵対者の場合に等しい。よって、順向方式は、1
つのラウンドで最大kサーバーを制御できる敵対者に対
して、それが回復機構を有する場合にのみ、安全であ
る。それは、1つのラウンドで最大kサーバーを制御又
は作動禁止できる敵対者に対しても安全である。
【0016】
【発明が解決しようとする課題】本発明の第1の目的は
順向性、ロバスト及び回復可能な分散しきい値秘密共有
方式を有する方法及び装置を提供することにある。本発
明の第2の目的は上記方式を用いて順向性の安全なキー
証明権限を提供することにある。
【0017】
【課題を解決するための手段】上記及びその他の目的
は、サーバーのセットを用いる順向性しきい値秘密共有
暗号システムを提供する方法及びシステムにより達成さ
れる。順向性秘密共有暗号システムは、nサーバーのう
ちの少なくとも(k+1) サーバーが活動状態であり且つ正
直である場合にサービスが維持される点で、分散しきい
値暗号システムである。秘密署名キーは、少なくとも(k
+1) サーバーに敵対者が侵入する場合にのみコンプロマ
イズされる。それは、敵対者に侵入されたサーバーが不
正をしているときでも、正直なサーバーは誤りのあるサ
ーバーを検出し且つサービスは中断されない点でロバス
トである。それが回復可能であるのは、敵対者がコンプ
ロマイズしたサーバーにある全ての局所情報を敵対者が
消去する場合、サーバーは正しいプロトコルの実行に復
帰すると直ちに前記情報を復元できるからである。本発
明の方法及びシステムは順向性を有する。これは、敵対
者が秘密を知るためには、そのアルゴリズムの同じラウ
ンドの間に、(k+1) サーバーに侵入しなければならない
ことを意味する。なぜなら、秘密共有は周期的に再分散
され且つ再び乱数化されるからである。2つのラウンド
間の更新の間に保全必要条件を得るために、本発明は検
証可能な秘密共有機構を用いる。本発明は、サーバーは
同報通信媒体により通信し、それらは完全に同期され、
破壊できない局所クロックを有し、そしてそれらは局所
の真の乱数化のソースを有すると想定する。この方式の
保全は、大きな素数順のフィールドでの対数計算の扱い
にくさを想定することに依存する。それは、サーバー間
の確認に用いられる "エルガマル" 署名方式の保全性に
も依存する。
【0018】
【発明の実施の形態】本発明はロバスト及び回復可能性
を有する順向性しきい値秘密共有方式である。この方式
のモデル及び目標ならびに使用するツールが開示され
る。本発明を使用するキー証明権限システムも開示され
る。この方式の保全は、大きな素数順のフィールドでの
対数計算の扱いにくさを想定することに依存する。それ
は、サーバー間の確認に用いられる "エルガマル" 署名
方式の保全性にも依存する。 "エルガマル" 署名方式は
T. ElGamal, A Public Key Cryptosystem and a Signa
ture scheme Based on Discrete Logarithm, IEEE Tran
s. on Informational Theory 31, p. 465, 1985に開示
されている。
【0019】[システムのモデル及び敵対者に関する想
定]順向的に値xを秘密共有するnサーバーのシステム
【数2】A = {P1,P2,...,Pn
【0020】を想定する。また、このシステムは安全に
且つ適切に初期化されると想定する。この方式の目標
は、敵対者がxを知ることを阻止すると同時に、サーバ
ーAがxの再構築を必要とするときxをそれら自身で再
構築するのを敵対者が阻止できないようにすることであ
る。サーバーA及びそれらが通信する通信ネットワーク
に関する仕様が与えられる。また、サーバーAとその人
的管理の間の対話機構ならびに前記管理が負う責任も指
定される。
【0021】[順向性サーバーのモデル]本発明を実施
するサーバーの代表的なハードウェア構成は図1に示さ
れる。図1は、中央処理装置10、例えば通常のマイクロ
プロセッサ、及びシステムバス12を介して相互接続され
た複数の他の装置を有する、本発明によるワークステー
ションの典型的なハードウェア構成を示す。図1に示す
ワークステーションは、ランダムアクセスメモリ(RAM)
14と、読取専用メモリ(ROM) 16 (図示せず) と、 (ディ
スク装置20及びテープ装置40のような周辺装置をバス12
に接続する) 入出力(I/O) アダプタ18と、 (キーボード
24、マウス26、スピーカー28 (図示せず)、マイクロホ
ン32 (図示せず) 及び (又は) 他のユーザインタフェー
ス装置、例えばタッチスクリーン装置 (図示せず) をバ
ス12に接続する) ユーザインタフェースアダプタ22と、
(ワークステーションを通信ネットワークに接続する)
通信アダプタ34と、 (バス12を表示装置38に接続する)
表示アダプタ36とを含む。
【0022】図2はサーバーAが秘密リンクLを介して
一般的な同報通信媒体Cにいかに接続されるかを示す。
この媒体は通信チャンネル又は通信ネットワークと呼ば
れ、外部世界にも接続される。同報通信媒体は、あるサ
ーバーにこの媒体を接続するリンクからこの媒体にメッ
セージが送られる毎に、この媒体に接続された全ての他
のリンクにそのメッセージが瞬時に届く特性を有する。
本発明は、安全で且つ同期されたクロック (図示せず)
がAのサーバーに装備され、敵対者がサーバーを制御又
は作動禁止するときでも変更しないし、障害も起きない
と想定する。これらのクロックは時間をラウンド及び更
新段階に分割する。同期により、Aの全てのサーバーは
同時に更新段階を開始する信号を取得する。Aの全ての
サーバーは真に乱数化のソース (図示せず) を有するこ
とも想定される。もし敵対者がサーバーをコンプロマイ
ズしても、その敵対者は当該サーバーに生成される将来
の乱数を予測できないことも想定される。どのサーバー
も、それらに関して以下に説明するアルゴリズム (図示
せず) によるコードを含む比喩的な破壊不可能なボック
スを有する。
【0023】[敵対者]サーバーAを攻撃する敵対者の
モデルは "移動誤り(モービル・フォルト)"モデルの
拡張である。このモデルは R. Ostrovsky & M. Yung,
How to Withstand Mobile Virus Attacks, Proc. of th
e 10th ACM Symposium on the Principles in Distribu
ted Computing, 1991, pp. 51-51 and R. Canetti &
A. Herzberg, Crypto 94 に記述されている。ラウンド
tの間のどこかの時点で敵対者が変造するAのサーバー
の数をk1 (t) とし、ラウンドtの間のどこかの時点で敵
対者による攻撃が活動状態である通信チャンネルとのリ
ンクを有する別のサーバーの数をk2 (t) とする。そのと
き、本発明の順向性秘密共有方式は各ラウンドtについ
【数3】(k1 (t)+ k2 (t)≦k)
【0024】である敵対者に対して安全である。この限
界を満たすために、本発明では、Aのサーバーの数nは
次の式を満たす必要がある。
【数4】n ≧ 2k + 2
【0025】この方式は更に強力な敵対者に対しても安
全でありうる。第1に、次の式に示すように、1少ない
サーバーによるラウンドで敵対者に同じ限界kを得るこ
とができる。
【数5】2k + 1 ≦ n
【0026】第2に、同期機構の変化により、リンクへ
の攻撃の増加がありうる。なぜなら、前記攻撃は全てシ
ステムにより常に検出され、管理が敵対者をリンクから
取り除くまでサーバーはそのプロトコルを中止しうるか
らである。
【0027】サーバーの変造は下記のどれかを意味す
る: ・サーバーのコンプロマイズ: サーバーが記憶する全て
のデータを知る。 ・サーバーの制御: 指定されたプロトコルに関してサー
バーに誤りを生じさせる。これは機械の凍結を含む。 ・サーバーの作動禁止: そのデータを変更 (又は消去)
する。
【0028】更に、敵対者は常に公開として区分された
データを知り、そして敵対者は機械の各々が実行するア
ルゴリズムMを知っている。簡略化のため、本発明は "
普通" の電力中断、データ脱落及び他のハードウェア障
害を敵対者の活動として処理する。よって、機械に障害
がある度に、それを変造したのは敵対者であると想定す
る。
【0029】2つのラウンドの間の更新段階中のどこか
の時点でサーバーが変造されたとき、これらのラウンド
の双方でサーバーは変造される。変造されたサーバーを
カウントするこの方法の背後にある理由は、更新段階中
に1つのサーバーから別のサーバーに移動する敵対者
と、両者にずっと留まってだけいる敵対者とを識別する
ことが不可能か又は非常に困難なことである。更新段階
が1ラウンドの長さに較べて無視できる程に短いこの設
定では、この識別はあまり重要ではない。更に、本発明
は、1つのサーバーから他のサーバーに飛び移る敵対者
を、それらのサーバーがどちらもそのラウンドの間ずっ
と変造されている場合と同じように処理する。
【0030】Aのサーバーに対する攻撃とは別に、敵対
者はサーバー間の通信ネットワークを攻撃できる。敵対
者は、そのリンクを介してサーバーAを接続する同じ通
信チャンネルCに接続されるそれ自身のサーバーEを有
すると想定する。よって、敵対者はチャンネルCで同報
通信されるメッセージを聴取し且つメッセージをチャン
ネルCに同報通信しうる。しかしながら、メッセージが
通信チャンネルに届くと、敵対者は、それに接続された
全てのリンクに、そのメッセージが届くのを阻止できな
い。敵対者は同じAのサーバーを通信チャンネルで接続
するリンクへの攻撃を行うこともできる。サーバーP ∈
A とのリンクが前記攻撃を受ける場合、敵対者は次の
2つの方法で攻撃を阻止できる: 1つの方法は、チャン
ネルCで同報通信されるメッセージをPが聴くのを阻止
することであり、もう1つの方法は、同報通信されたP
によりチャンネルCで送られるメッセージを停止するこ
とである。形式的には、敵対者はリンクL及び通信チャ
ンネルCの両者の全てのテープを見ることができる。あ
るリンクLのアルゴリズムを敵対者のアルゴリズムと置
き換えることは当該リンクへの積極的な攻撃を構成する
が、チャンネルCのアルゴリズムを変更することはこの
モードでは禁止される。
【0031】本発明は、サーバーA及びリンクLを攻撃
する敵対者は "除去可能" である、即ち敵対者を、それ
が検出されたとき、除去することができると想定する。
しかしながら、サーバーEは "除去可能" ではなく、追
跡し又はチャンネルCから遮断することはできない。
【0032】[システムの人的管理に関する想定]Aの
全てのサーバーは、人的管理に関する情報を表示できる
コンソール38を有する。マネジャは、コンソール38を介
して、サーバーをリブートし、そして確認キーの更新の
手順を実行する。コンソールプログラムによりデータが
サーバーに入力される。管理は下記のように委ねられ
る: マネジャサーバーに干渉せず且つマネジャはマネジ
ャのために指定されたプロトコルで不正をしない。換言
すれば、管理はサーバーをリブートし且つ確認キーの再
設定の時期及び方法に関する指示に任される。
【0033】人的管理はリンク上の攻撃する敵対者を突
き止める責任を有する。リンクが攻撃されているかどう
かを検査し且つ潜在的な攻撃者を除去するように管理が
指示されるときは必ず、手順は常に成功するものと仮定
する。また、サーバーをリブートし、公開確認キーを再
設定し、そしてリンクから敵対者を除去する全ての手順
に要する時間は1ラウンドの長さよりも短いと想定す
る。
【0034】[秘密共有方式]図3の流れ図は本発明の
順向性検査可能秘密共有方式の良好な方法を示す。図4
は図3のステップ314 の詳細な流れ図である。同様に、
図5は図4のステップ410 の詳細な流れ図である。
【0035】[初期化]ステップ310 で、サーバーは初
期化される。p及びqは素数とし、mは2、3又は4の
ような小さな整数とし、次の式が成立つものとする。
【数6】p = mq + 1
【0036】gは次数qのZpのエレメントである、即ち
次の式が成立つものとする。
【数7】gq = 1(mod p)
【0037】素数pは "エルガマル" 暗号化及び署名方
式を安全にするために選択される。秘密値xはZqに属す
る。限定フィールドZqにわたる "シャミール" の秘密共
有の変形をしきい値秘密共有方式として使用する。Zq
(k+1) 次の多項式fが存在し、次の式が成立つものとす
る。
【数8】f(0)= x(mod q)
【0038】そして、全てのサーバー Pi,i∈ {1,n}は
次の式で示されたその秘密共有を有するものとする。
【数9】Xi (1)= f(i)(mod q)
【0039】指数(1) はこれらが最初のラウンドで用い
た値になることを示す。
【0040】更に、各サーバーPiは、その秘密確認及び
暗号化キー wi、乱数をZq内に有する。それらのキーの
公開の対応部は次の式に示される。
【数10】{ri (1)i{1,n}
【0041】ここで、次の式は公開であり且つAの全て
のサーバーにより記憶される。
【数11】
【0042】更に、あらゆるサーバーは秘密を再構築す
る際のロバストについて全てのxの一方向ハッシュのセ
ットを必要とする。本発明は一方向ハッシュとして累乗
を用いるので、あらゆるサーバーは次の式で示されたセ
ットを記憶する。
【数12】{yi (1)}i∈{1,n}
【0043】ここで、次の式が成立つ。
【数13】
【0044】モデルの説明で述べたように、本発明は初
期化段階では (受動的にも能動的にも) 敵対者が存在し
ないと想定するので、この初期化は公然と行いうる。
【0045】初期化の後、Aのサーバーの局所クロック
は時を刻み始める。この時点で、複数のサーバーの動作
は離散した時間間隔、即ちラウンドで同期される (ステ
ップ312)。各ラウンドの終りで、更新段階がトリガーさ
れる (ステップ314)。更新段階で、サーバーAは更新プ
ロトコルを実行する。そして管理が任意の (最大kまで
の) キー再設置手順とそれに続く共有再構築プロトコル
を実行するために予約された時間がある。更新段階はこ
れらの全てを達成する十分な長さを有するが、ラウンド
と比較すれば短いと想定される。
【0046】[更新プロトコル]共有を更新するため
に、ステップ314 及び図4に示すように、本発明は "ア
ール・オストロフスキー" 及び "エム・ユング" が提案
した更新プロトコルの簡略化されたバージョンに適合す
る。Zqにあるk次の多項式の値f(0)がxに等しい場合に
秘密xが記憶されるとき、秘密xはそれをk次の無作為
の多項式δ(・) に加えることにより更新できる。ここ
で、δ(0) は0に等しいので、次の式が成立つ。
【数14】 f(t+1)(0)= f(t)(0)+δ(0)= x + 0 = x
【0047】"オストロフスキー" 及び "ユング" は、
ある点で多項式を計算する演算の直線性が次の式の非常
に簡単な共有更新ができることに注目した。
【数15】xi = f(i)
【0048】即ち、次の関係式が成立つ。
【数16】
【0049】本発明では、次の式が成立つ。
【数17】 δ(・)= (f1(・)+ f2(・)+...+fn(・))(mod q)
【0050】次の式で示される(k+1) 次の多項式は、i
番目のサーバーにより独立して且つ無作為に取り上げら
れる。
【数18】fi(・),fi(0)= 0,i∈{1,n}
【0051】各サーバーPiの更新プロトコル、i ∈ {1,
n} は下記のようになる: (1) Piは次の式で示される(k+1) の乱数をZqから取出
す。
【数19】{fij}j∈{1,(k+1)}
【0052】これらの数は次の式に示す多項式を定義す
る。
【数20】 fi(z)= fil1 +fi22 + ... +fi(k+1)(k+1)
【0053】その自由な係数は0であるので、次の式が
成立つ。
【数21】fi(0)= 0
【0054】(2) 全ての他のサーバーPjに関して、Pi
次の式をPjに送る。
【数22】fi(j)(mod q)
【0055】(3) Piは次の式で示されるその新しい共有
を計算する。
【数23】
【0056】そしてPiは、その現在の秘密キー xi (t+1)
を除き、それが用いた全ての変数を消去する。
【0057】制御能力を有する敵対者に対してこのプロ
トコルを安全にするために、本発明は P. Feldman, A P
ractical Scheme for Non-Interactive Verifiable Sec
retSharing, Proc. of the 28th IEEE Symposium on th
e Foundations of ComputerScience, pp.427-37. 1987
で提案され、そして T.P. Pederson, DistributedProve
rs with Applications to Undeniable Signature, Euro
crypto '91, 1991で論議された一方向機能を用いて検査
できる秘密共有の機構を用いる。この特定の検査可能秘
密共有方式が用いられるのは、それが非対話型であり、
そしてその副次効果として、それがxiの更新と一緒に秘
密の指数yiの更新を可能にするからである。
【0058】下記の2つの場合に、正直なサーバーは、
サーバーPiにより生成された更新多項式fiを、それらが
共有することを異議なく "無効" とマークすべきであ
る。 (1) Pjが受取る共有fi(j) が(k+1) 次の多項式の値では
ない、又はそれらはその値であるが、この多項式fiは、
fi(0) ≠ 0であるので、正しい更新多項式ではない。 (2) 公開値yjの更新に用いられる共有
【数24】
【0059】が、fiの秘密更新共有
【数25】{fi(j)}j∈{1,n}
【0060】に対応しない。
【0061】秘密/公開キー対応部としての値wi/r
iは、Piから来るメッセージの確認、及び "エルガマル"
暗号化によるPi宛のメッセージの暗号化に用いられ
る。PiがPjについて m ∈ Zq を暗号化するとき、それ
【数26】Ej k[m] = (m(rjk,gk
【0062】を送る。ここで、k ∈ Zqは乱数であり、
そして指数はZpで計算される。受信装置は
【数27】
【0063】を用いて解読する。
【0064】署名動作は衝突のないハッシュ機能 h : N
→ Zq を用いる。キーwiを有するメッセージmの署名
は、
【数28】Si[h(m)]= (r,s)
【0065】である場合に、
【数29】 r = gk(mod p),s = k(-1)(h(m)-rwi)(mod q)
【0066】である。この署名は、wiの公開対応部
【数30】
【0067】により、等式
【数31】
【0068】を検査することにより確認できる。ハッシ
ュ機能hは、m'≠ mの場合に誰もいかなる対 m',Si[h
(m')] を生成できない m, Si[h(m)]を知る特性を有しな
ければならない。
【0069】全更新段階を通じて、暗号化及び確認は値
wi (t),ri (t) により実行される。ここでtは終了したば
かりのラウンドである。このラウンド中にサーバーをコ
ンプロマイズさせた敵対者は、このサーバーが更新プロ
トコルの間に署名及び解読に用いる秘密キーを知るであ
ろう。
【0070】[完全な更新プロトコル]下記のステップ
はステップ314 でサーバーが用いた更新プロトコルの詳
細である。
【0071】ステップ410 で、各サーバーPiは、Zqで更
新多項式
【数32】fi(z)=filz1+fi2z2+...+fi(k+1)zk+1
【0072】を定義するZqにある(k+1) の乱数fi1,
fi2,...,fi(k+1) を取出す (ステップ510)。それは、こ
の多項式の(n-1) の共有
【数33】uij=fi(j)(mod q),j≠i
【0073】を形成し (ステップ512)、そしてそのメッ
セージmsg:
【数34】
【0074】を生成する。ここで、全ての指数がZpで計
算される (ステップ514)。更に、各サーバーPiは、Zq
でその新しい秘密キーwi (t+1) を乱数として取出し (ス
テップ516)、そしてその対応する新しい公開キー:
【数35】
【0075】を計算する (ステップ518)。そしてPiは、
その古いキーwi (t) により署名された対:
【数36】(msgi,ri (t+1)
【0076】を同報通信する (ステップ412 及び520)。
【0077】ステップ414 で、各サーバーPiは、それが
前のステップで受信したメッセージを考慮する。あるj
で、それが形式
【数37】(msgj,rj (t+1)
【0078】の確認されたメッセージを受信しないか又
は2つ以上受信した場合、それはPjを "無効" とマーク
する。Biは "無効" とマークされなかったサーバーの索
引のセットとする。そしてPiはメッセージmsgj,j ∈ Bi
【数38】
【0079】部分を解読する。そして、あらゆるj ≠ i
について、それはメッセージmsg:
【数39】
【0080】の
【数40】
【0081】部分で与えられた係数にuijが一致するか
どうかを確認する。
【0082】この式が適用できない場合、PiはPjを "無
効" とマークし、Bjからjを除去し、そしてそれが Pj
の不正であったことに対する告発:
【数41】accij=(i,j)
【0083】を作成する。サーバーがマークした "無
効" の各々について、Piは、管理への対応するメッセー
ジをその表示装置に表示し、それがなぜPiの何かが無効
であると考えるかを示す。そして、ステップ416 で、サ
ーバーは、それが前のステップで受信した全ての新しい
公開キー {rj}jBのセットと連結された全てのその告
発の署名されたセットを同報通信する。署名は古い秘密
キーwi (t) により行われる。
【0084】ステップ418 で、各サーバーPiは前のステ
ップで同報通信されたメッセージの署名を検査する。2
つ以上のメッセージが同じ署名で同報通信される場合、
対応するサーバーは "無効" とマークされ、セットBi
変えられ、そして管理のための適切なメッセージがPi
コンソールに表示される。サーバーは、新しい公開キー
rl (t+1) が Pjにより肯定応答されなかったように、対
のセット(j,l) をそれらのコンソールに表示する。これ
はリンク攻撃が活動状態である場合に管理に追跡させ
る。しかしながら、新しい公開キーの肯定応答の欠如は
Biに影響しない。あるサーバーPj,j∈Biによる告発 acc
jiの各々について、サーバーPiは、Pjとの通信で用いら
れた共有及び乱数ベクトルを含む署名された応答:
【数42】respij = (i,j,kij,uij
【0085】を同報通信するので、誰が不正をしていた
かを決定するための公開審査を可能にする。これらの応
答は1つの署名と連結され、同報通信されるべきであ
る。
【0086】ステップ420 で、同じサーバーの署名を有
する2つ以上の応答が同報通信された場合、全てのサー
バーPはそれを "無効" とマークし、そのセットBiを変
え、そして管理のメッセージを表示する。各サーバーP
は、ステップ(1) でPiにより適切に同報通信された (ac
cji,respij) の全ての対についてそれ自身の決定を行
う。respijで送られた値は疑わしいとみなされるので、
それらは次の式に示す "素数" により表示される:
【数43】
【0087】あらゆるサーバーPは下記のアルゴリズム
により決定する: (a) もし
【数44】
【0088】であれば、即ち Piが Pjの告発に全く応答
しなかったとき、Piは不正をしているので、それは "無
効" とマークされなければならない。さもなければ、 (b) もし (uij,kij)が実際に msgi で用いられたなら
ば、ステップ(2) でPjが用いるべき同じ等式(2) を評価
することにより、
【数45】
【0089】は多項式fiの正しい共有であるかどうかを
検査する。この等式が正しくない場合、それはPiが無効
な共有をPjに送ったことの証明であるので、それは "無
効"とマークされなければならない。等式が正しい場
合、PはPjを "無効" とマークする。
【0090】"無効"とマークされた各サーバーについ
て、セットBiは変えられ、そして対応するメッセージが
Piのコンソールに表示される。
【0091】ステップ422 で、各サーバーPiは次の式を
計算する:
【数46】
【0092】各サーバーは新しい共有 xi (t+1)、新しい
キー wi (t+1)、そして新しい公開キーのセット
【数47】{yj (t+1)j{1,n}
【0093】及びセット
【数48】{rj (t+1)j{1,n}
【0094】を除いて、このプロトコルで用いた全ての
変数を除去する。
【0095】正しい更新多項式δ(・)は合計
【数49】
【0096】に等しい。ここで、少なくとも (k+2) の
サーバーPi, i ∈ {1,n}についてB =Biである (ステッ
プ420)。
【0097】サーバーPが既知の形式のメッセージの署
名された同報通信の受信を予期しており、そしてそれが
2つの前記メッセージを受信し、どちらも同じサーバー
Piから来るらしいときは必ず、PはPiを無効とマークす
る。もちろん、攻撃者はPiが行ったものと同じメッセー
ジを常に送信できる。このプロトコルでは、全てのサー
バーは最大3つのメッセージまで送信する。それゆえ、
Pは、Piが署名したように見えるメッセージのセットCi
を受取るときは必ず、該プロトコルのどれか前のステッ
プでPiにより同報通信されたCiのエレメントを捨てるべ
きであり、そしてCiの全ての他のエレメントが同じであ
る場合、このエレメントをPiのメッセージとみなす。さ
もなければ、Piを "無効" とマークすべきである。なぜ
なら、それは不正をしているか、又はその確認キーをコ
ンプロマイズした敵対者により複製されているからであ
る。別の良好な点は、Piがそれ自身が署名したように見
えるメッセージを調べる場合、それはそれ自身も "無
効" とマークし、従ってBiを計算することである。この
ように、たとえそれが複製されていても、それはその新
しい共有xi (t+1) 及び全ての
【数50】{yj (t+1)j{1,n}
【0098】を正しく計算する。その新しい公開確認及
び暗号化キーri (t+1) は肯定応答されないので、気を付
けなければならない。
【0099】[更新プロトコルの分析]敵対者は次の3
つの方法で上記プロトコルに干渉することができる: ・ 敵対者はこのプロトコルでその敵対者が管理するサ
ーバーに不正をすることができる。使用禁止されたサー
バーは (それが間違ったキーでメッセージを暗号化し且
つ署名する場合) それが不正をしているかのように見え
るか又はそれが乱数メッセージを送っているかのように
見える。 ・ 敵対者はその敵対者がこの更新段階前のラウンド中
にコンプロマイズしたサーバーのキーにより署名された
メッセージを送信できる。他のサーバーについては、こ
のケースはサーバーがなお敵対者により制御されるとき
のケースと区別できない。 ・ 敵対者はサーバー及び通信チャンネルの間のリンク
を攻撃できる。
【0100】全ての更新ラウンドで、正直であり、前の
ラウンドでコンプロマイズされておらず、通信チャンネ
ルとのリンクに対する攻撃は活動状態ではない、(K+2)
のサーバーがあるから、これらのサーバーのセットBi
全て同じであり、そして少なくとも(k+2) のエレメント
を有する。それゆえ、秘密共有多項式fは少なくとも(k
+2) の多項式fiにより更新され、敵対者はそれらをどれ
も再構築できない。最悪の場合、敵対者はこれらの多項
式の各々からkの共有を学習できるが、それらは(k+1)
次の全てであり且つそれらの各々について fi(0) = 0
であるから、敵対者はそれらを再構築するためには(k+
1) の共有を必要とする。
【0101】[更新後の回復]サーバーのコンソールに
表示されたメッセージから、管理は、敵対者によりどの
機械が制御され、コンプロマイズされ又は使用禁止さ
れ、そしてどのリンクに対する攻撃が活動状態であった
かを決定できる。特に、コンソールは下記の2つのセッ
トの (しばしば交差する) サーバーに情報を表示する: ・第1のセットはそれらの新しい公開キーの幾つかの肯
定応答を受信しなかったサーバーである。 ・第2のセットはそれらの新しい公開キーが少なくとも
(k+2) のサーバーにより肯定応答されず、それらの秘密
共有xi (t+1) が間違って計算され、そして新しい多項式
f(t+2) と一致せず、更に、次の式に示すそれらの現在
のセットのビューが正しくないサーバーである。
【数51】{yj (t+1)j{1,n}
【0102】第1のセットは活動状態のリンク攻撃に関
する管理情報を与える。そしてマネジャは導き出された
リンクから迅速に敵対者を取り除く。第2のセットに関
して、マネジャは最初にキー再設定手順 (ステップ316)
を実行し、そして自動共有回復プロトコル (ステップ31
8)を開始させる。公開キー{rj}が良好に分散され且つ他
のサーバーにより肯定応答されているAのサーバーのセ
ットをCとする。そして次の式が成立つものとする。
【数52】|C| ≧ k + 2
【0103】Piのキーの再設定 (ステップ316)は次によ
うに行われる: Piのコンソールにより、マネジャは
{rj}jCを設定し、そしてPiにその新しい乱数の秘密キ
ー wi∈ Zqを取出すように求める。Piはこのような数を
取出し、そして次の式に示す対応する公開キーを表示す
る。
【数53】
【0104】そしてマネジャは全ての他のサーバーにこ
の数を設定する。セットCはPiにより増加される。この
再設定が終了すると、マネジャはサーバーCに関する回
復プロトコルを開始させる。あるいは、サーバー自身
は、ある公開キーがそれらに再設定されるときは必ず、
回復プロトコルを自動的にトリガーするためにそれらが
同意プロトコルを開始するようにプログラムされる。そ
のとき、Cにある全てのサーバーは使用可能である。
【0105】[共有回復プロトコル]Puは再設定を必要
とする、次の式の共有を有するサーバーを示す。
【数54】xu = f(u)
【0106】最初に、ステップ610 で、サーバーは(k+
2) のサーバーの、次の式の初期セットを選択する。
【数55】B ⊂ C \{Pu
【0107】それらはPuに対するq自身の確認又はその
逆の確認をしなければならないのでCから取出される。
これは容易である。なぜなら、サーバーは索引により順
序付けられ、そしてそれらはCの現在の状態、即ち動作
中の確認及び暗号化キーを有するサーバーを知っている
からである。該プロトコルは敵対者が存在するとき下記
の特性を有しなければならない: ・ Pu は xu のみを学習する、即ち、i ∈ B である場
合、他の共有 xi を学習できない。 ・ i ∈ A \ Fである場合、(k-1) のサーバーのグル
ープ
【数56】F ⊂ A \{Pu
【0108】はxuを又はいかなる xiも学習できない。 ・ サーバーPuは適切なセット {yi}i{1,n}を学習す
る。
【0109】fの有効な共有を有する(k+2) のサーバー
の基本セットは
【数57】x = f(0)(mod q) である場合だけでなく、fの任意の他の値、特にPuが必
要とする共有
【数58】xu = f(uv)(mod q)
【0110】も回復できる。これはラグランジェ補間法
の公式で行うことができる。協同することになっている
(k+2) のサーバーのセットBが設定された後、各Pi, i
∈ BはPu
【数59】 ai = xiΠjB,ji[(u-j)/(i-j)](mod q)
【0111】を送る。そしてPuはそれらを加え合わせて
【数60】
【0112】を取得する。しかしながら、本発明がそれ
のみを行った場合、Puは全ての xiを ai からも学習す
るであろう。しかし、本発明は ai を xv の些細な秘密
共有として処理できる。それゆえ、本発明はBのサーバ
ーがこれらの共有を再乱数化した後にそれらを Pu に送
ることを必要とする。Bの各サーバーPiはZqにある(k+
2) の乱数 {Cij}jB を取出す。そして、それらはこれ
らの値を対で交換する:Piはcij をPjに与え、そしてcij
を取得する。次に、それぞれが
【数61】
【0113】をPuに送る。
【数62】
【0114】であるから、これはxuのもう1つの秘密共
有である。ここで基本方式は更新段階プロトコルで用い
た同じツールを用いて検査できなければならない。
【0115】この方式を検査可能にする完全なプロトコ
ルを以下に記述する。全ての同報通信は、現時点でセッ
トBにないものを含むCのサーバー及びサーバーPuを必
要とする。明確化を図るために、下記は、全ての確認さ
れた同報通信について、受信者はメッセージの署名を検
査し、そして (送信者が不正をしているか又はそのキー
がコンプロマイズされ複製されているために) 複製の攻
撃があるとき、それらはこのサーバーを "無効" とマー
クし、それらの管理のコンソールに適切なメッセージを
表示することに言及しない。これは更新プロトコルと同
じ手順である。この方式を検査可能にするプロトコル
は:Bの全てのPiがZqにある(k+2) の乱数値 {cij}jB
を計算し、そして:
【数63】
【0116】及びこのメッセージの署名を同報通信する
(ステップ612)。
【0117】ステップ614 で、Bの全てのPiは上記同報
通信から値 {cji}jB を解読し、そしてそれらがPj
より同じメッセージで同報通信された指数
【数64】
【0118】を取ることにより、全てのサーバーPjから
正しい共有を与えられたかどうかを検査する。この値が
一致しない場合、PiはPjの告発
【数65】accij =(i,j,Si[i,j])
【0119】を全てのサーバーに同報通信する (ステッ
プ616)。それはPjも "無効" サーバーとマークする。
【0120】ステップ618 で、更新プロトコルと全く同
じように、あるサーバーPjによる告発accji毎に、サー
バーPiは署名 Sj[j,i] を検査し、そして告発の原告が
xを知っていることが証明された場合、Piは、Pjとの通
信で用いられたcij及び乱数ベクトル:
【数66】respij = (i,j,kij,cij
【0121】に応答し、誰が不正をしていたかを決定す
る公開審理を可能にする (ステップ620)。
【0122】ステップ622 で、(Bのサーバーのみなら
ず)全てのサーバーPは、2つの前のステップで同報通
信された全ての対 accji,respij について、これらが P
i及びPjの間の通信で用いられた真の値であるかどうか
を検査し、そしてそれらが真である場合、送られた値の
指数
【数67】
【0123】がそのセットにあるPiにより同報通信され
た指数
【数68】
【0124】と一致するかどうかを検査する。
【0125】このステップは更新プロトコルのステップ
420 での検査に等しい。Pi又はPjが不正をしていると分
かり、そしてPにより "無効" とマークされる。
【0126】ステップ624 で、あらゆるサーバーは、そ
れが前のステップで "無効" とマークしたその局所セッ
トFiのサーバーを考慮する。
【数69】│Fi│= m ≠ 0
【0127】である場合、それらは新しいB:
【数70】
【0128】を計算する。同報通信により、正直で活動
状態の全てのサーバーは同じビューのFを有する、従っ
て同じビューの新しいBを有する。それらはBを再計算
したのちステップ610 でプロトコルを再開始する。
【0129】ステップ626 で、前のステップで誰も不正
をしなかった場合、全てのサーバーPiはその下位共有:
【数71】
【0130】を計算する。ステップ628 で、Bの各サー
バーPiは全てのサーバーに
【数72】
【0131】を同報通信する。ここで、kiはZqにある乱
数である。
【0132】ステップ630 で、Puはこれらの同報通信か
ら全ての
【数73】
【0133】を解読し、そして
【数74】
【0134】を計算する。そして、それは、この値の指
【数75】
【0135】が、最初にPuで設定された公開キー yu
同じであるかどうかを検査する。同じである場合、再構
築はステップ632 で終了する。さもなければ、Bからの
サーバーのなかには不正をしていたものがあるに違いな
い。Pは全ての i ∈ Bについて:
【数76】
【0136】を評価することにより不正をした者を見つ
ける。ここで、値
【数77】
【0137】はステップ612 で同報通信から取出され
る。2番目の式が適用できない場合、それはPiが正しい
ai / を Puに送らなかったことを意味する。それを他に
対して証明するために、Puはその告発
【数78】acci = (i,Stemp[i])
【0138】を全ての他のサーバーに同報通信する (ス
テップ634)。また、それは不正をしたものをそれ自身で
全て "無効" セットFとマークする。
【0139】ステップ636 で、このプロトコルのステッ
プ618 におけるように、全ての告発されたサーバーP
iは、告発acciの署名を検査し、もしそれが有効であれ
ば、次の式に示す応答を同報通信する。
【数79】
【0140】ステップ638 で、全てのサーバーPは全て
のこれらの告発を検査するに当り、最初にこれらが通信
で用いた値であることを検査し、次に上記の実行された
Puと同じ検査式を検査する。更に、それらは全てそれら
が無効であると検出した同じサーバーのセットFで到来
する。不正をしているのはPuであることが判明した場
合、それらは全て適切なメッセージをシステムマネジャ
に送り、そして回復手順は停止される (ステップ640)。
この事象はPuが敵対者により再び制御されることを意味
する。これは他の敵対者検出と全く同様である。システ
ムマネジャはサーバーが表示した警告を読取り、そして
全回復プロセスを再開始する。しかしながら、Puの告発
が正しい場合、通常のように、サーバーはシステム管理
のための適切な警告を表示し、そしてセットB:
【数80】
【0141】を再計算することにより回復を続ける。こ
こで、
【数81】| F | = m であり、そしてステップ610 から全プロトコルを再開始
する。
【0142】[制御されたサーバーが存在するときの更
新プロトコルの保全]不正をするkのサーバーが存在す
るときの上記プロトコルの保全及びリンクに対する攻撃
がないことは、検査可能な秘密共有に変えられる。即
ち、解決は、どれか特定のサーバーPiがそのプロトコル
で不正をしていたかどうかを正直なサーバーPjが検出で
きる機構である。このケースでは、それらは異議なくそ
の更新多項式fiの共有を "無効" とマークする。上記プ
ロトコルでPiが不正を行うのは、それがステップ612 で
他のサーバーに送る値がZqで、
【数82】f(0) = 0 (mod q) が成立つ、任意のk次の多項式fの正しい値ではない場
合、そしてその場合のみである。これは、検査された値
の共有と呼ばれる、検査可能な秘密共有の幾分か簡略化
されたケースである。なぜなら、全てのサーバーPは(n
-1) の他のサーバーの間に既知の値0を分散する (それ
はそれ自身にも1つの共有を与える)。検査可能な秘密
共有と全く同じように、正直なサーバーは、 "秘密の"
値0がPにより正しく共有されたかどうかに異議なく同
意するであろう。また、検査可能な秘密共有と全く同じ
ように、それは、各サーバーがそれ自身の秘密共有のみ
を学習するように行われるべきである。
【0143】変更された更新プロトコルのステップ 618
〜620 は上記から:
【数83】
【0144】である。ここで、Biは、更新多項式がPi
より "無効" とマークされなかった全てのサーバーの索
引のセットである。検査可能な秘密共有機構により、更
新段階の間にPi及びPjがどちらも正直である場合、
【数84】Bi = Bj
【0145】である。即ち、他のサーバーの正直さにつ
いてそれらは同じ判断を有する。
【0146】既存の検査可能な秘密共有のプロトコルは
全て同報通信チャンネルを必要とする。よって、この点
から、nの秘密共有サーバーの各々はそれを普通の同報
通信チャンネル、エサーネットに接続するリンクを有す
ると想定する。この同報通信チャンネルに乗る全てのメ
ッセージは、このチャンネルをサーバーに接続する全て
のリンクに到着する。
【0147】更新の間に最大kの不正をしている、私用
禁止、即ち凍結されたサーバーが存在するときの検査可
能な秘密共有が達成される場合、全ての正直なサーバー
がその共有を更新する、少なくとも (n-k)の更新多項式
fiがある。
【0148】共有の再乱数化の次数は順向方式の第2の
特性、即ち更新前及び更新後にkの共有を知ることは敵
対者に秘密を再構築させないことを保証するのに十分で
ある。以下はkサーバーが更新中に制御されるときの微
妙な点である。敵対者はそのとき各更新多項式fiのkの
共有を知り、そしてこれは敵対者がそれらの全てを再構
築することを許すのは、それらの全ての自由な係数が0
であることが知られているからである。よって、敵対者
は全てのサーバーPiの全更新値
【数85】 δ(i)= (f1(i)+f2(i)+...+ fn(i))(mod q)
【0149】を計算できる。しかしながら、更新段階の
間に敵対者がkサーバーのセットFをコンプロマイズす
る場合、敵対者はこの更新の前又は後のラウンドで他の
サーバーをどれもコンプロマイズすることができない。
よって、敵対者は全ての
【数86】{xi (t)iF
【0150】及び
【数87】{δ(i)}i{1,n}
【0151】を知る。後者は、特に敵対者が、どのみち
知る
【数88】{xi (t+1)iF
【0152】を計算することを許す。しかし、秘密の再
構築を敵対者に許す追加の共有
【数89】
【0153】又は
【数90】
【0154】を敵対者は依然として学習できない。
【0155】["重複"攻撃及びリンク攻撃が存在すると
きの更新プロトコルの保全]敵対者がラウンドtでサー
バーAをコンプロマイズし、そして同じラウンドでサー
バーAから去る場合、ラウンドt及びラウンド(t+1) の
間の更新段階中に、このサーバーは無効ではないが、敵
対者は全てのその秘密を知る。 (活動状態のプロトコル
の混乱がない) コンプロマイズされたサーバーのみを有
する敵対者を想定する。ラウンドtの間及び更新 t/(t+
1)の間に敵対者によりコンプロマイズされたサーバーの
セットをFとする。最悪のケースでは、
【数91】| F | = (k-1) である。そのラウンドの間及び更新の間に敵対者に対し
て絶対に安全である "有効な" サーバーのセットをGと
する。明らかに、それらがサーバーFに送る各fiは、 i
∈ Gである。さて、プロトコルにより、それは、Aが
取得するfi, i∈ G の共有を学習することもあり、しな
いこともある。サーバーが既知のキーで暗号化されたば
かりのそれらの更新多項式の共有をAに送る場合、敵対
者はそれらを学習できる。
【0156】[順向性安全公開キー証明権限]順向性安
全キー証明権限センターを実現するために順向性秘密共
有を用いる方法を示す完全な解決が提案される。メッセ
ージの "エルガマル" 署名動作を実行し且つ署名キーを
順向的に維持するシステムが記述される。このようなシ
ステムはキー証明権限として有効に用いうる。なぜな
ら、それが署名するメッセージは公開キー及び他のユー
ザの識別タグにありうるからである。
【0157】[エルガマル署名の分散バージョン]最初
に、互いに署名センターを形成する参加サーバーのグル
ープにより署名動作が実行される、"エルガマル"署名ア
ルゴリズムの分散バージョンを想定する。署名はこれら
のサーバーの部分的な署名から成る。それは1つの公開
検査キーにより検査できる。これは、概念的に、単一の
署名キーもあることを意味し、それは署名センターを形
成するサーバー間で共有されるだけである。このアルゴ
リズムは、それを共有するサーバー間のこの秘密キーの
分散の変化を許す、即ち、それは共有の順向性更新を許
す。
【0158】[初期化]大きな素数をpとし、そしてp
よりも小さい乱数をgとする。p及びgはどちらもネッ
トワーク内の全ての当事者が知っている。各サーバーPi
はその秘密キーを乱数 xiとみなす。ここで、i ∈ {0,
n} 且つ xi<p-1である。全てのサーバーの秘密キーが
初期化された後、その結果生ずる全てのラウンドで、次
の式の合計が得られる。
【数92】x1 (t)+ x2 (t)+...+ xn (t)= x(mod q)
【0159】ここで、xi (t)はラウンドtでのサーバーP
iの秘密キーを表わし、そしてxは署名センターの概念
的な一定の秘密キーを表わす。最初に、各サーバーはそ
の秘密キーの公開対応部:
【数93】
【0160】を計算する。そして、それらはそれらの公
開キーの部分を互いに送出するので、xの公開検査対応
部:
【数94】
【0161】を計算できる。シーケンス(p, g, y, n)は
この署名センターで生成された署名の検査に用いる公開
キーである。
【0162】[署名の発行]メッセージmに署名するた
めに、各サーバーはそれ自身の秘密乱数 ki、(p-1)に関
連する素数を取出す。そして、各サーバー Pi はその署
名の第1の部分:
【数95】
【0163】を計算する。各サーバーはそのriを他のサ
ーバーに同報通信するので、それらの各々は、次の式に
示すように、その署名の第2の部分を計算する:
【数96】
【0164】最初の "エルガマル" 署名方式と全く同じ
ように、
【数97】
【0165】の値は、ユークリッドのアルゴリズムによ
り見出だすことができる。署名されたメッセージは下記
のシーケンスを有する:
【数98】 S(m)=(m,si,s2,...,sn,r1,r2,...,rn) (7)
【0166】[署名の検査]署名の検査を必要とする当
事者は下記の式が真であるかどうかを検査する:
【数99】
【0167】これは下記の変換により真であると示すこ
とができる:
【数100】
【0168】[保全分析]上記の基本的な分散 "エルガ
マル" アルゴリズムの保全は、本発明のプロトコルの残
りの部分と同様に、大きな素数順の最後のフィールドに
おける対数の計算は見込まれた多項式の計算時間から実
行不可能であるとの想定による。これは "エルガマル"
及びDSA暗号及び署名方式の基本的な保全を想定す
る。上記の "エルガマル" の公開キーアルゴリズムの分
散バージョンの保全は最初のバージョンと全く同じであ
る。攻撃者が本発明のアルゴリズムを破壊できる場合、
攻撃者は通常の "エルガマル" アルゴリズムも破壊でき
るであろう。攻撃者はm、S(m)及びxi,x2,...,xn-1を知
っていると想定する。攻撃者が更に必要とするものはxn
である。攻撃者は
【数101】
【0169】を計算できる。ここで、負の指数はモジュ
ーロ (p-1)が計算される。
【数102】x = xnsn, k = knr1r2...rn
【0170】が代入される。そして攻撃者は
【数103】
【0171】及び
【数104】 x + 1 = snkn + xnr1r2...rn = m(mod p-1)
【0172】を知る。この3つの式のセットで、最初の
2つのうちの1つは残りの部分から取出すことができ
る。例えば、
【数105】gk = gx+k(gx)(-1)(mod p-1)
【0173】である。よって、残るのは下記の2つの式
である。
【数106】 gx = a(mod p),x + k = b(mod p-1)
【0174】最初の "エルガマル" アルゴリズムの保全
は、kが未知である場合、第2の式はxに関する情報を
出さないことに基づくので、 "エルガマル" アルゴリズ
ムは見込まれる多項式の計算時間で対数
【数107】x = logga(mod p)
【0175】を計算することは実行不可能であるのと同
程度に安全である。
【0176】[順向性しきい値秘密共有方式への分散エ
ルガマルの適応]本発明は "シャミール" の多項式秘密
共有を上記分散 "エルガマル" アルゴリズムに組込む。
この組込みはしきい値順向方式を生成するが、このしき
い値はラウンド中にのみ存在する。前述のように、更新
段階中のしきい値は回復機構を必要とする。この方式は
ロバストを達成しない。よって、この予備的な方式は:
・各ラウンドで最大kサーバーをコンプロマイズでき、
・各ラウンドで最大kサーバーを凍結するが、更新段階
では凍結できない敵対者に対して安全である。
【0177】本発明は、Threshold Cryptosystems Cryp
to 89, pp. 307-15 に記述された、指数のしきい値秘密
共有に関する "デスメド" 及び "フランケル" の解決に
関連する。彼らの着想は、k次の多項式による "シャミ
ール" のしきい値秘密共有を用い、そして各サーバーで
局所的にラグランジェの補間式の成分を計算することに
より(k+2) の正直なサーバーのグループによる秘密の指
数を計算することであった。それらの方式及び本発明の
間の類似性は、多項式により共有された秘密のラグラン
ジェ再構築を両者が用いることであるが、プロセス中に
再構築の秘密を誰も学習できない。秘密は("デスメド"
及び "フランケル" のケースでは) メッセージを指数化
するか又は (本発明では)"エルガマル" により取出され
た署名を発行するためにのみ用いられる。本発明はnサ
ーバー間で f(0) = x を秘密共有するためにk次の多項
式fを用いる。それはp及びエレメント g ∈ Zp を取
出し、gが素数順序qになるようにする、即ち
【数108】gq = 1(mod p)
【0178】である。Qはできるだけ大きくすべきであ
り、
【数109】p = mq + 1, m ∈ {2,3,4}
【0179】が成立つようにする。ここで、公開キーは
シーケンス (p,q,g,y,k)になる。
【0180】本発明は、初期化段階の間に、各サーバー
がそのxの秘密共有
【数110】xi = f(i)
【0181】を取得すると想定する。ここで、fはZq
計算される。署名を発行するために、サーバーはどれか
(k+2) の活動状態のサーバーのグループBで署名に参加
することに同意する。他のサーバーは遊休状態である。
セットBを知り、各サーバーPi,i ∈ Bは:
【数111】
【0182】を計算する。ラグランジェの補間公式か
ら、これは
【数112】
【0183】であることを保証する。なぜなら、
【数113】∀i,xi = f(i), x = f(0)
【0184】であり且つfはZqでk次の多項式であるか
らである。
【数114】(i - j), i ≠ j の逆数の存在は、qが素数であることにより保証され
る。それらの部分的な秘密としてaiを用いることによ
り、Bのサーバーは、上記:
【数115】
【0185】からの基本的な順向性プロトコルに従っ
て、それらの部分的な署名 (ri,si),i ∈ B を発行す
る。
【0186】検査式は次の式になる:
【数116】
【0187】[署名プロトコルにおける検査及びロバス
ト]上記予備的なしきい値方式に付加しなければならな
い第1の特性はラウンドの間のロバストである。これ
は、最大kサーバーまで制御できる敵対者に対してそれ
を安全にするが、それはそのラウンドの間のみであっ
て、更新段階の間ではない。上記しきい値方式は署名者
従属である。なぜなら、署名を発行する前に、正直なサ
ーバーは、そのメッセージに署名するために協同する、
(k+2) のサーバーのセットBに同意する必要があるから
である。幾つかの現に活動状態である、正直なサーバー
のセットBを取出しうるためには、正直なサーバーが不
正をする者を取り除きうる機構が必要である。最後に、
B, m及び S(m) を知る各サーバーは、全てのサーバー
Pi, i ∈ B について、同じ m, g, p, q 及び式(5) に
より計算された正しい秘密キーaiを有するプロトコルに
より計算されるという意味で、その部分的な署名 (ri,s
i) ∈ S(m) が正しいかどうかを検査しうるべきであ
る。
【0188】サーバー間のこの互いに部分的な検査を可
能にするために、本発明は各サーバーの秘密共有xi (t)
をそれらの秘密署名キーとして処理し、そして全ての他
のサーバーにそれらのキーの公開検査対応部:
【数117】
【0189】を与える。全ての正直なプロセッサP (現
にBにあるものだけではない) はBの全てのサーバーPi
の部分的な署名:
【数118】(ri,si)∈S(m)
【0190】を次の2つのステップで検査する。 (1) 現在のB及び
【数119】
【0191】を知り、Pは
【数120】
【0192】を計算する。 (2) 上記のように
【数121】
【0193】を計算したのち、Pは S(m) を取出し、そ
して式:
【数122】
【0194】によりPiの署名を検査する。
【0195】このように、全ての正直なサーバーは、署
名 S(m) を発行している間に不正が行われた無効なサー
バーのセット F⊂B を決定できる。サーバーはそれらの
索引i ∈{1,n} により順序付けられるから、正直なサー
バーが検出された不正な者を取り除くためにセットBを
更新し、そして新しい活動状態のサーバーのセットを試
すことは自明である。例えば、それらが
【数123】B = 1, 2,..., k + 2により開始する全て
のラウンドの始めに、そしてそれらが署名して m>0 の
不正な者のセット
【数124】F={i1,i2,...,im
【0196】を検出する毎に、それらは
【数125】 B ← (B \ F) ∪ {max(B) + 1,..., max(B) + m} (13) を取る。
【0197】本発明は、全てのラウンドで最大kのサー
バーが敵対者に乗っ取られて無効となりうるから、後に
続く更新は (不正をする者が "1対1" で現われる場合
には) k回よりも多くは実行されないと想定する。これ
はラウンド毎に最大kの余分な署名を発行するのに等し
い。これは無視できるオーバーヘッドである。
【0198】上記からの更新プロトコルは、ラウンドt
毎に、秘密共有xi (t) の公開対応部yi (t) の維持を保証
するように拡張できる。ステップ(2) で、サーバーPi
fi(j) をPjに送るとき、それは
【数126】
【0199】を全ての他のサーバーにも送る。これは全
てのサーバーが次の式のように全てのiの公開キーを計
算することを可能にする。
【数127】
【0200】Zpの対数を計算する "難しさ" を仮定すれ
ば、
【数128】
【0201】の同報通信は敵対者を支援しない。
【0202】まとめとして、本発明の構成に関して以下
の事項を開示する。 (1) 順向性、ロバスト及び回復可能な分散しきい値秘
密共有を有する公開キー暗号化の方法であって、キーを
形成するために通信ネットワークによりリンクされたサ
ーバーを初期化するステップと、終了を有する別個のラ
ウンドで動作するように前記サーバーを同期させるステ
ップと、前記通信ネットワークで同報通信されたメッセ
ージから前記ラウンドの前記終了で更新されたキーを計
算するステップと、コンプロマイズされたサーバーのセ
ットを形成するために前記更新されたキーを検査するス
テップと、前記コンプロマイズされたサーバーのセット
を回復するステップとを含む方法。 (2) 前記初期化するステップは、前記サーバーの各々
の乱数を選択するステップと、前記乱数から前記サーバ
ーの各々の秘密値を計算するステップと、前記秘密値か
ら前記サーバーの各々の秘密キーを計算するステップ
と、前記秘密キーの公開対応部を前記通信ネットワーク
で同報通信するステップとを含む、上記(1)に記載の方
法。 (3) 前記更新されたキーを計算するステップは、前記
サーバーの各々の多項式を定義する乱数のセットを取出
すステップと、前記多項式から導き出された、前記サー
バーの各々の新しい秘密キーを取出すステップと、前記
多項式から導き出されたメッセージを前記通信ネットワ
ークで同報通信するステップとを含む、上記(1)に記載
の方法。 (4) 前記更新されたキーを検査する前記ステップは、
無効なサーバーのセットを形成するために前記通信ネッ
トワークで同報通信された前記メッセージを分析するス
テップと、前記無効なサーバーのセットに対応する告発
のセットを生成するステップと、前記告発のセットを前
記通信ネットワークで同報通信するステップと、更新さ
れた無効なサーバーのセットを形成する前記同報通信さ
れた告発のセットを分析するステップとを含む、上記
(1)に記載の方法。 (5) 前記コンプロマイズされたサーバーのセットを識
別するメッセージをコンソールに表示するステップを更
に含む、上記(1)に記載の方法。 (6) 前記サーバーのセットを回復するステップは、前
記コンプロマイズされたサーバーのセットにある各サー
バーに新しい秘密キーを設定するステップと、前記サー
バーから回復サーバーのセットを選択するステップと、
前記回復サーバーのセットにある各サーバーの下位共有
を計算するステップと、前記下位共有から取出されたメ
ッセージを前記通信ネットワークで同報通信するステッ
プと、前記コンプロマイズされたサーバーのセットが受
取った前記下位共有から取出された前記メッセージを検
査するステップとを含む、上記(1)に記載の方法。 (7) 回復サーバーのセットを選択する前記ステップ
は、前記サーバーの下位セットを選択するステップと、
前記下位セットの各サーバーの乱数値のセットを計算す
るをステップと、前記乱数値のセットから取出された署
名されたメッセージを前記通信ネットワークで同報通信
するステップと、無効サーバーのセットを取出すために
前記署名されたメッセージを検査するステップと、前記
サーバーの前記下位セットから前記無効サーバーのセッ
トを除去するステップとを含む、上記(6)に記載の方
法。 (8) 前記サーバーの各々の乱数を取出すステップと、
前記乱数から前記サーバー毎の第1の署名の部分を計算
するステップと、前記第1の署名の部分を前記通信ネッ
トワークで同報通信するステップと、前記第1の署名の
部分から前記サーバーの各々の第2の署名の部分を計算
するステップとを更に含む、上記(1)に記載の方法。 (9) 署名されたメッセージを前記第2の署名の部分に
より検査するステップを更に含む、上記(8)に記載の方
法。 (10) 順向性、ロバスト及び回復可能な分散しきい値
秘密共有を有する公開キー暗号方式を処理するデータ処
理システムであって、通信ネットワークによりリンクさ
れたサーバーと、前記サーバーと関連したキーを形成す
るために前記サーバーを初期化する初期化手段と、終了
を有する別個のラウンドに前記サーバーの動作を同期さ
せるタイミング手段と、更新されたキーを生成するため
に前記別個のラウンドの各ラウンドの終了で前記キーを
更新する更新手段と、コンプロマイズされたサーバーの
セットを形成するために前記更新されたキーを検査する
検査手段と、前記コンプロマイズされたサーバーのセッ
トを回復する回復手段とを備えるデータ処理システム。 (11) 前記サーバーの各々の乱数を選択する選択手段
と、前記乱数から前記サーバーの各々の秘密値を計算す
る第1の計算手段と、前記秘密値から前記サーバーの各
々の秘密キー及び前記秘密キーの公開対応部を計算する
第2の計算手段と、前記秘密キーの各々の前記公開対応
部を前記通信ネットワークで同報通信する同報通信手段
とを備える、上記(10)に記載のデータ処理システム。 (12) 前記更新手段は、前記サーバーの各々に関連し
た、多項式を定義する乱数のセットを生成する乱数生成
手段と、前記多項式から前記サーバーの各々の新しい秘
密キーを生成する秘密キー生成手段と、前記通信ネット
ワークで前記多項式から取出されたメッセージを同報通
信する同報通信手段とを備える、上記(10)に記載のデ
ータ処理システム。 (13) 前記検査手段は、無効なサーバーのセットを形
成するために前記通信ネットワークで同報通信されたメ
ッセージを分析する第1の分析手段と、前記無効なサー
バーのセットに対応する告発のセットを生成する告発手
段と、前記告発のセットを前記通信ネットワークで同報
通信する同報通信手段と、無効なサーバーの更新された
セットを形成するために前記同報通信された告発のセッ
トを分析する第2の分析手段とを備える、上記(10)に
記載のデータ処理システム。 (14) 前記コンプロマイズされたサーバーのセットを
表示する表示手段を更に備える、上記(10)に記載のデ
ータ処理システム。 (15) 前記回復手段は、前記サーバーから回復サーバ
ーのセットを選択する選択手段と、前記回復サーバーの
セットにあるサーバーの各々の下位共有を計算する計算
手段と、前記回復サーバーのセットにあるサーバーの各
々の前記下位共有から取出されたメッセージを前記通信
ネットワークで同報通信する同報通信手段と、前記コン
プロマイズされたサーバーのセットが受取った前記下位
共有の各々から取出された前記メッセージを検査する検
査手段とを更に備える、上記(10)に記載のデータ処理
システム。 (16) 前記選択手段は、前記サーバーの下位セットを
選択する選択手段と、前記下位セットにある各サーバー
の乱数値のセットを計算する計算手段と、前記乱数値の
セットから取出された署名されたメッセージを前記通信
ネットワークで同報通信する同報通信手段と、無効なサ
ーバーのセットを取出すために前記署名されたメッセー
ジを検査する検査手段と、前記無効なサーバーのセット
を前記下位セットから除去する除去手段とを備える、上
記(15)に記載のデータ処理システム。 (17) 前記サーバーの各々の乱数のセットを生成する
乱数生成手段と、前記乱数のセットから前記サーバーの
各々の署名の第1の部分を計算する第1の計算手段と、
前記署名の第1の部分を前記通信ネットワークで同報通
信する同報通信手段と、前記第1の署名の部分から前記
サーバーの各々の署名の第2の部分を計算する第2の計
算手段とを更に備える、上記(10)に記載のデータ処理
システム。 (18) 署名されたメッセージを前記第2の署名の部分
により検査する検査手段を更に備える、上記(17)に記
載データ処理手段。
【図面の簡単な説明】
【図1】サーバーコンソールを示す図である。
【図2】通信チャンネルに接続するサーバーを示すブロ
ック図である。
【図3】本発明の良好な実施例の高レベルのステップの
シーケンスを示す流れ図である。
【図4】本発明の共有更新プロトコルの良好な実施例の
ステップのシーケンスを示す流れ図である。
【図5】図4のステップ410 におけるステップのシーケ
ンスを示す流れ図である。
【図6】本発明の共有回復プロトコルの良好な実施例の
ステップのシーケンスを示す流れ図である。
【図7】本発明の共有回復プロトコルの良好な実施例の
ステップのシーケンスを示す流れ図である。
【符号の説明】
10 中央処理装置 12 システムバス 14 ランダムアクセスメモリ(RAM) 18 入出力(I/O) アダプタ 20 ディスク装置 22 ユーザインタフェースアダプタ 24 キーボード 26 マウス 34 通信アダプタ 36 表示アダプタ 38 表示装置 40 テープ装置
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 H04L 9/00 601F (72)発明者 スタニスロー・マイケル・ヤレッキー アメリカ合衆国マサチューセッツ州、ケン ブリッジ、マサチューセッツ・アベニュー 282、アパートメント・423・ディ (72)発明者 ヒューゴ・マリオ・クロウジック アメリカ合衆国ニューヨーク州、リバーデ イル、ネザーランド・アベニュー 2600 (72)発明者 マーセル・モードチャイ・ユング アメリカ合衆国ニューヨーク州、ニューヨ ーク、ワシントン・ストリート 1

Claims (18)

    【特許請求の範囲】
  1. 【請求項1】順向性、ロバスト及び回復可能な分散しき
    い値秘密共有を有する公開キー暗号化の方法であって、 キーを形成するために通信ネットワークによりリンクさ
    れたサーバーを初期化するステップと、 終了を有する別個のラウンドで動作するように前記サー
    バーを同期させるステップと、 前記通信ネットワークで同報通信されたメッセージから
    前記ラウンドの前記終了で更新されたキーを計算するス
    テップと、 コンプロマイズされたサーバーのセットを形成するため
    に前記更新されたキーを検査するステップと、 前記コンプロマイズされたサーバーのセットを回復する
    ステップとを含む方法。
  2. 【請求項2】前記初期化するステップは、 前記サーバーの各々の乱数を選択するステップと、 前記乱数から前記サーバーの各々の秘密値を計算するス
    テップと、 前記秘密値から前記サーバーの各々の秘密キーを計算す
    るステップと、 前記秘密キーの公開対応部を前記通信ネットワークで同
    報通信するステップとを含む、請求項1に記載の方法。
  3. 【請求項3】前記更新されたキーを計算するステップ
    は、 前記サーバーの各々の多項式を定義する乱数のセットを
    取出すステップと、 前記多項式から導き出された、前記サーバーの各々の新
    しい秘密キーを取出すステップと、 前記多項式から導き出されたメッセージを前記通信ネッ
    トワークで同報通信するステップとを含む、請求項1に
    記載の方法。
  4. 【請求項4】前記更新されたキーを検査する前記ステッ
    プは、 無効なサーバーのセットを形成するために前記通信ネッ
    トワークで同報通信された前記メッセージを分析するス
    テップと、 前記無効なサーバーのセットに対応する告発のセットを
    生成するステップと、 前記告発のセットを前記通信ネットワークで同報通信す
    るステップと、 更新された無効なサーバーのセットを形成する前記同報
    通信された告発のセットを分析するステップとを含む、
    請求項1に記載の方法。
  5. 【請求項5】前記コンプロマイズされたサーバーのセッ
    トを識別するメッセージをコンソールに表示するステッ
    プを更に含む、請求項1に記載の方法。
  6. 【請求項6】前記サーバーのセットを回復するステップ
    は、 前記コンプロマイズされたサーバーのセットにある各サ
    ーバーに新しい秘密キーを設定するステップと、 前記サーバーから回復サーバーのセットを選択するステ
    ップと、 前記回復サーバーのセットにある各サーバーの下位共有
    を計算するステップと、 前記下位共有から取出されたメッセージを前記通信ネッ
    トワークで同報通信するステップと、 前記コンプロマイズされたサーバーのセットが受取った
    前記下位共有から取出された前記メッセージを検査する
    ステップとを含む、請求項1に記載の方法。
  7. 【請求項7】回復サーバーのセットを選択する前記ステ
    ップは、 前記サーバーの下位セットを選択するステップと、 前記下位セットの各サーバーの乱数値のセットを計算す
    るをステップと、 前記乱数値のセットから取出された署名されたメッセー
    ジを前記通信ネットワークで同報通信するステップと、 無効サーバーのセットを取出すために前記署名されたメ
    ッセージを検査するステップと、 前記サーバーの前記下位セットから前記無効サーバーの
    セットを除去するステップとを含む、請求項6に記載の
    方法。
  8. 【請求項8】前記サーバーの各々の乱数を取出すステッ
    プと、 前記乱数から前記サーバー毎の第1の署名の部分を計算
    するステップと、 前記第1の署名の部分を前記通信ネットワークで同報通
    信するステップと、 前記第1の署名の部分から前記サーバーの各々の第2の
    署名の部分を計算するステップとを更に含む、請求項1
    に記載の方法。
  9. 【請求項9】署名されたメッセージを前記第2の署名の
    部分により検査するステップを更に含む、請求項8に記
    載の方法。
  10. 【請求項10】順向性、ロバスト及び回復可能な分散し
    きい値秘密共有を有する公開キー暗号方式を処理するデ
    ータ処理システムであって、 通信ネットワークによりリンクされたサーバーと、 前記サーバーと関連したキーを形成するために前記サー
    バーを初期化する初期化手段と、 終了を有する別個のラウンドに前記サーバーの動作を同
    期させるタイミング手段と、 更新されたキーを生成するために前記別個のラウンドの
    各ラウンドの終了で前記キーを更新する更新手段と、 コンプロマイズされたサーバーのセットを形成するため
    に前記更新されたキーを検査する検査手段と、 前記コンプロマイズされたサーバーのセットを回復する
    回復手段とを備えるデータ処理システム。
  11. 【請求項11】前記サーバーの各々の乱数を選択する選
    択手段と、 前記乱数から前記サーバーの各々の秘密値を計算する第
    1の計算手段と、 前記秘密値から前記サーバーの各々の秘密キー及び前記
    秘密キーの公開対応部を計算する第2の計算手段と、 前記秘密キーの各々の前記公開対応部を前記通信ネット
    ワークで同報通信する同報通信手段とを備える、請求項
    10に記載のデータ処理システム。
  12. 【請求項12】前記更新手段は、 前記サーバーの各々に関連した、多項式を定義する乱数
    のセットを生成する乱数生成手段と、 前記多項式から前記サーバーの各々の新しい秘密キーを
    生成する秘密キー生成手段と、 前記通信ネットワークで前記多項式から取出されたメッ
    セージを同報通信する同報通信手段とを備える、請求項
    10に記載のデータ処理システム。
  13. 【請求項13】前記検査手段は、 無効なサーバーのセットを形成するために前記通信ネッ
    トワークで同報通信されたメッセージを分析する第1の
    分析手段と、 前記無効なサーバーのセットに対応する告発のセットを
    生成する告発手段と、 前記告発のセットを前記通信ネットワークで同報通信す
    る同報通信手段と、 無効なサーバーの更新されたセットを形成するために前
    記同報通信された告発のセットを分析する第2の分析手
    段とを備える、請求項10に記載のデータ処理システ
    ム。
  14. 【請求項14】前記コンプロマイズされたサーバーのセ
    ットを表示する表示手段を更に備える、請求項10に記
    載のデータ処理システム。
  15. 【請求項15】前記回復手段は、 前記サーバーから回復サーバーのセットを選択する選択
    手段と、 前記回復サーバーのセットにあるサーバーの各々の下位
    共有を計算する計算手段と、 前記回復サーバーのセットにあるサーバーの各々の前記
    下位共有から取出されたメッセージを前記通信ネットワ
    ークで同報通信する同報通信手段と、 前記コンプロマイズされたサーバーのセットが受取った
    前記下位共有の各々から取出された前記メッセージを検
    査する検査手段とを更に備える、請求項10に記載のデ
    ータ処理システム。
  16. 【請求項16】前記選択手段は、 前記サーバーの下位セットを選択する選択手段と、 前記下位セットにある各サーバーの乱数値のセットを計
    算する計算手段と、 前記乱数値のセットから取出された署名されたメッセー
    ジを前記通信ネットワークで同報通信する同報通信手段
    と、 無効なサーバーのセットを取出すために前記署名された
    メッセージを検査する検査手段と、 前記無効なサーバーのセットを前記下位セットから除去
    する除去手段とを備える、請求項15に記載のデータ処
    理システム。
  17. 【請求項17】前記サーバーの各々の乱数のセットを生
    成する乱数生成手段と、 前記乱数のセットから前記サーバーの各々の署名の第1
    の部分を計算する第1の計算手段と、 前記署名の第1の部分を前記通信ネットワークで同報通
    信する同報通信手段と、 前記第1の署名の部分から前記サーバーの各々の署名の
    第2の部分を計算する第2の計算手段とを更に備える、
    請求項10に記載のデータ処理システム。
  18. 【請求項18】署名されたメッセージを前記第2の署名
    の部分により検査する検査手段を更に備える、請求項1
    7に記載データ処理手段。
JP8005277A 1996-01-16 1996-01-16 順向性、ロバスト及び回復可能な分散しきい値秘密共有を有する公開キー暗号システム及びその方法 Pending JPH09205422A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP8005277A JPH09205422A (ja) 1996-01-16 1996-01-16 順向性、ロバスト及び回復可能な分散しきい値秘密共有を有する公開キー暗号システム及びその方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP8005277A JPH09205422A (ja) 1996-01-16 1996-01-16 順向性、ロバスト及び回復可能な分散しきい値秘密共有を有する公開キー暗号システム及びその方法

Publications (1)

Publication Number Publication Date
JPH09205422A true JPH09205422A (ja) 1997-08-05

Family

ID=11606754

Family Applications (1)

Application Number Title Priority Date Filing Date
JP8005277A Pending JPH09205422A (ja) 1996-01-16 1996-01-16 順向性、ロバスト及び回復可能な分散しきい値秘密共有を有する公開キー暗号システム及びその方法

Country Status (1)

Country Link
JP (1) JPH09205422A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002517024A (ja) * 1998-05-22 2002-06-11 サートコ インコーポレイテッド ロバスト性を有しかつ効率的な分散型rsa鍵生成
US7174460B2 (en) 2001-02-22 2007-02-06 Nippon Telegraph And Telephone Corporation Distributed digital signature generation method and digitally signed digital document generation method and apparatus

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002517024A (ja) * 1998-05-22 2002-06-11 サートコ インコーポレイテッド ロバスト性を有しかつ効率的な分散型rsa鍵生成
US7174460B2 (en) 2001-02-22 2007-02-06 Nippon Telegraph And Telephone Corporation Distributed digital signature generation method and digitally signed digital document generation method and apparatus

Similar Documents

Publication Publication Date Title
JP3256427B2 (ja) 順向性、ロバスト及び回復可能な分散しきい値秘密共有を有する公開キー暗号システム及びその方法
Herzberg et al. Proactive secret sharing or: How to cope with perpetual leakage
KR100845018B1 (ko) 인증 시스템 및 원격분산 보존 시스템
US8484469B2 (en) Method, system and equipment for key distribution
Schneier et al. Secure audit logs to support computer forensics
US5867578A (en) Adaptive multi-step digital signature system and method of operation thereof
US5675649A (en) Process for cryptographic key generation and safekeeping
CN101238677B (zh) 使用以非一次一密加密进行加密的签名密钥的加密认证和/或共享加密密钥的建立、包括(但不限于)对可延展攻击具有改进安全性的技术
JP2020532168A (ja) 閾ボールトを生成する、コンピュータにより実施される方法
US7899184B2 (en) Ends-messaging protocol that recovers and has backward security
CN109981255B (zh) 密钥池的更新方法和系统
CN110519046B (zh) 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统
CN109905247B (zh) 基于区块链的数字签名方法、装置、设备及存储介质
US7860254B2 (en) Computer system security via dynamic encryption
CN110381055B (zh) 医疗供应链中的rfid系统隐私保护认证协议方法
US20180351752A1 (en) Device and system with global tamper resistance
CN107171796A (zh) 一种多kmc密钥恢复方法
CN110557246B (zh) 基于一次性非对称密钥对和可移动身份识别装置的抗量子计算门禁方法和系统
CN111971929A (zh) 安全分布式密钥管理系统
US10511588B2 (en) Forward-secure crash-resilient logging device
Ruhault SoK: Security models for pseudo-random number generators
Ra et al. A key recovery system based on password-protected secret sharing in a permissioned blockchain
US7031469B2 (en) Optimized enveloping via key reuse
JPH09205422A (ja) 順向性、ロバスト及び回復可能な分散しきい値秘密共有を有する公開キー暗号システム及びその方法
JP6563857B2 (ja) コミットメントシステム、共通参照情報生成装置、コミット生成装置、コミット受信装置、コミットメント方法、プログラム