JPH11288214A - 暗号化方法 - Google Patents

暗号化方法

Info

Publication number
JPH11288214A
JPH11288214A JP11053124A JP5312499A JPH11288214A JP H11288214 A JPH11288214 A JP H11288214A JP 11053124 A JP11053124 A JP 11053124A JP 5312499 A JP5312499 A JP 5312499A JP H11288214 A JPH11288214 A JP H11288214A
Authority
JP
Japan
Prior art keywords
bit
bits
pseudo
generator
random number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP11053124A
Other languages
English (en)
Inventor
Sarvar Patel
パテル サーヴァー
Saburamanian Ganapassy
サブラマニアン ガナパシー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia of America Corp
Original Assignee
Lucent Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lucent Technologies Inc filed Critical Lucent Technologies Inc
Publication of JPH11288214A publication Critical patent/JPH11288214A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/58Random or pseudo-random number generators
    • G06F7/582Pseudo-random number generators
    • G06F7/586Pseudo-random number generators using an integer algorithm, e.g. using linear congruential method
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • H04L9/0662Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3013Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/58Indexing scheme relating to groups G06F7/58 - G06F7/588
    • G06F2207/581Generating an LFSR sequence, e.g. an m-sequence; sequence may be generated without LFSR, e.g. using Galois Field arithmetic

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • General Engineering & Computer Science (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Error Detection And Correction (AREA)
  • Manipulation Of Pulses (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Transmission Systems Not Characterized By The Medium Used For Transmission (AREA)
  • Complex Calculations (AREA)

Abstract

(57)【要約】 【課題】 暗号学的に安全な、大きいビットサイズの擬
似乱数z(i)を出力する擬似乱数発生器を実現する。 【解決手段】 擬似乱数発生器22は、法指数関数x
(i)=gx(i-1) modpによって定義される。x
(i)はmビットの数値であり、pはkビットの素数で
あり、gはpを法とする整数の生成元であり、m≦kで
あり、1<i≦nである。mおよびkの値は、x(i)
の法指数関数に対する離散対数を解くことを困難にする
ように選択される。擬似乱数発生器22の出力は、x
(i)のj−1ビットサイズ(j≦m−2c)のセグメ
ントからなる擬似乱数z(i)であって、x(i)の最
下位ビットを除く、x(i)のj個の下位ビットを含
む。擬似乱数発生器22の出力は、送信されるメッセー
ジの等サイズのセグメントを暗号化するために用いられ
る。

Description

【発明の詳細な説明】
【0001】発
【発明の属する技術分野】本発明は、暗号方式に関し、
特に、擬似乱数発生器に関する。
【0002】従
【従来の技術】擬似乱数発生器は、送信器と受信器の間
のメッセージの伝送のための安全な通信手段を提供する
ためにいくつかの形式の暗号方式で用いられている。セ
キュリティ(安全性)は、目的とする受信器のみが、権
限のある送信器によって送信されたメッセージ(例え
ば、音声あるいはデータ)を理解することができ、権限
のある送信器のみが目的とする受信器へメッセージを送
ることができるように提供される。暗号方式の課題は、
目的とする受信器のみが理解可能な形式にメッセージを
変換することである。これは、送信器と、目的とする受
信器の両方にとって経済的な方法で行わなければならな
い。同時に、権限のない受信器(すなわち、目的とする
受信器ではない受信器)にとっては、そのメッセージを
理解することが非常に困難(時間もしくは処理能力また
はその両方に関して)でなければならない。権限のない
受信器および権限のない送信器が巧妙になるにつれて、
安全な通信の必要性も高くなる。
【0003】図1は、メッセージを暗号化するための暗
号装置を有する従来技術における送信器10の機能ブロ
ック図である。暗号装置は、擬似乱数(PN)発生器1
2およびXOR演算要素14を有する。PN発生器12
は、次の法指数関数(modularexponential function)に
よって定義される。 x(i)=gx(i-1) mod p (1) ただし、x(i)はmビットの数値であり、pはkビッ
トの素数であり、gはpを法とする整数の生成元(ジェ
ネレータ)であり、1<i≦nである。(電子化の都合
により、本願明細書および図面では、xi等の添字によ
る記法と、x(i)等の括弧による記法で、同一の対象
を表すものとする。)式(1)は法指数関数であるた
め、mの値はk以下(すなわちm≦k)となる。x
(i)の値は、最初は、PN発生器12にシード値x
(0)を与えることによって生成される。シード値x
(0)はmビットの秘密値であり、権限のある送信器お
よび目的とする受信器にのみ知られている。すなわち、
値x(1)はgx(0) mod pに等しい。x(1)の
値を用いてx(2)を生成し(すなわち、x(2)=g
~[x](1)mod p)、続いてx(2)を用いてx
(3)を生成し、などとなる。
【0004】PN発生器12は、x(i)のdビットサ
イズのセグメントからなる擬似乱数z(i)を出力す
る。その後、擬似乱数z(i)は、送信されるメッセー
ジのdビットサイズのセグメントを暗号化するのに用い
られる。具体的には、XOR演算要素14は、メッセー
ジセグメントおよび擬似乱数z(i)を入力として受け
取る。メッセージセグメントは、擬似乱数z(i)とX
ORされ、dビットサイズの暗号化されたメッセージセ
グメントが生成される。d、m、およびkの値は、以下
で説明するように、達成されるべき暗号学的安全性(あ
るいは困難さ)の程度に一部依存する。
【0005】暗号学的安全性は、次の2つの因子に依存
する。 (1)x(i)に対する離散対数問題を解く際の困難さ
の程度。 (2)1個以上の擬似乱数z(i)(dビットからな
る)が与えられた場合に擬似乱数発生器を破る困難さの
程度。 x(i)のmビットすべてが利用可能であると仮定する
と、x(i)に対する離散対数問題を解くことには、x
(i)=gx(i-1) mod pとなるようなx(i−
1)を求めることが含まれる。離散対数問題は計算量的
に困難であると考えられており、従って、解くのに2c
回の演算が必要な場合、暗号学的に安全である。ただ
し、cは、暗号学的安全性しきい値レベルを表す。離散
対数問題は、解くのに少なくとも264回の演算を要する
(すなわち、c≧64)場合に困難であるというのが標
準的な考えである。
【0006】離散対数問題は、さまざまな技術によって
解くことができる。よく知られた2つの最も効率的な技
術は、指数(インデックス)計算法と平方根法である。
指数計算法を用いてx(i)に対する離散対数問題を解
くには、数
【数1】 回の演算が必要となる。ただし、αはある定数である。
c=64の場合、pが少なくとも512ビットからなる
(すなわち、k≧512)とき、(264回の演算とい
う)困難しきい値が満たされる。このように、kに対し
て選択される値はcの値に依存する。これに対して、平
方根法を用いてx(i)に対する離散対数問題を解くに
は、数
【数2】 回の演算が必要となる。c=64の場合、x(i)が少
なくとも128ビットからなる(すなわち、m≧12
8)解き、困難しきい値が満たされる。このように、m
の値もまたcの値に依存する。
【0007】上記では、x(i)に対する離散対数問題
を解くことは、x(i)のmビットのすべてが利用可能
であることを仮定している。x(i)のdビットサイズ
のセグメント(すなわち、擬似乱数z(i))しか利用
可能でない場合、x(i)に対する離散対数問題を解く
前のステップが、x(i)のmビットすべてをなんとか
決定しなければならない。これが、上記の暗号学的安全
性の第2の因子であり、1つ以上の擬似乱数z(i)が
与えられた場合に擬似乱数発生器を破ることを含む。擬
似乱数発生器は、与えられた1個以上の擬似乱数z
(i)に対して、x(i)のmビットのすべてが予測あ
るいは決定が困難である場合に、暗号学的に安全である
とみなされる。PN発生器が出力する擬似乱数z(i)
のビット数が少ないほど(すなわち、x(i)の小さい
セグメントであるほど)、x(i)の他のビットを予測
するのに暗号解読者が利用可能なデータが少なくなると
考えられる。出力される擬似乱数z(i)の正確なサイ
ズは、目標とする暗号学的安全性の程度に依存する。す
なわち、dの値はcの値に依存する。
【0008】Blum-Micaliは、x(i)の最上位ビット
のみからなる(すなわち、d=1)擬似乱数z(i)を
出力するPN発生器を提示した。Blum-Micaliは、この
PN発生器を破る際の困難さの程度は、x(i)の法指
数関数に対する離散対数問題を解く際の困難さの程度と
同等であることを示した。すなわち、x(i)に対する
離散対数問題を解くのが困難な場合、Blum-MicaliのP
N発生器(最上位ビットのみからなる擬似乱数z(i)
を出力する)を破るのも困難となる。
【0009】一方、Peraltaは、log2m個の上位ビッ
トからなる(すなわち、d=log 2m)擬似乱数z
(i)を出力する後継のPN発生器を提示した。例え
ば、x(i)が512ビットからなる場合、このPN発
生器は、x(i)の9個(すなわちlog2512)の
みの上位ビットからなる擬似乱数z(i)を出力する。
あるいは、x(i)が1024ビットからなる場合、こ
のPN発生器は、x(i)の10個(すなわちlog2
1024)のみの上位ビットからなる擬似乱数z(i)
を出力する。Peraltaは、このPN発生器を破る際の困
難さの程度もまた、x(i)の法指数関数に対する離散
対数問題を解く際の困難さの程度と同等であることを示
した。すなわち、x(i)に対する離散対数問題を解く
のが困難な場合、PeraltaのPN発生器(log2m個の
上位ビットのみからなる擬似乱数z(i)を出力する)
を破るのも困難となる。
【0010】発
【発明が解決しようとする課題】Blum-MicaliあるいはP
eraltaによって提示されたPN発生器を使用する暗号化
プロセスは暗号学的に安全ではあるが、これらのPN発
生器は、x(i)のlog2m個以下のビットからなる
擬似乱数z(i)しか出力しない。log2mは比較的
小さい値であるため、PN発生器によって出力されるあ
らゆる擬似乱数z(i)に対して、小さいビットサイズ
のメッセージセグメントしか暗号化することができな
い。これにより、メッセージ全体を暗号化するにはより
多くの擬似乱数z(i)を出力しなければならないた
め、暗号化プロセスは遅くなる。従って、より大きいビ
ットサイズの擬似乱数z(i)を出力し、しかも暗号学
的に安全な、擬似乱数発生器が必要とされている。
【0011】課
【課題を解決するための手段】本発明は、暗号学的に安
全な、大きいビットサイズの擬似乱数z(i)を出力す
る方法である。大きいビットサイズの擬似乱数が出力さ
れるため、大きいビットサイズのメッセージセグメント
を暗号化することが可能となることにより、従来技術の
暗号化プロセスよりも暗号化プロセスが高速化される。
一実施例では、本発明は、法指数関数x(i)=g
x(i-1) mod pによって定義される擬似乱数発生器
を含む。ただし、x(i)はmビットの数値であり、p
はkビットの素数であり、gはpを法とする整数の生成
元であり、m≦kであり、1<i≦nである。mおよび
kの値は、x(i)の法指数関数に対する離散対数を解
くことを困難にするように選択される。擬似乱数発生器
の出力は、x(i)のj−1ビットサイズのセグメント
からなる擬似乱数z(i)である。jの値はm−2c以
下(すなわち、j≦m−2c)である。本発明の一実施
例では、擬似乱数z(i)は、x(i)の最下位ビット
を除く、x(i)のj個の下位ビットを含む。擬似乱数
発生器の出力は、送信されるメッセージの等サイズのセ
グメントを暗号化するために用いられる。
【0012】本発明は、大きいビットサイズの擬似乱数
z(i)を用いてメッセージを暗号化するため、小さい
ビットサイズの擬似乱数z(i)(例えば、log2
ビットからなる擬似乱数)を用いる従来の暗号化プロセ
スよりも高速な暗号化プロセスが得られる。大きいビッ
トサイズの擬似乱数の使用は、擬似乱数発生器を破るこ
とに関する従来の暗号学的安全性の考え方にとって直観
に反するが、本発明による大きいビットサイズの擬似乱
数z(i)の使用は暗号学的に安全である。具体的に
は、本発明の擬似乱数発生器を破る際の困難さの程度
は、短指数関数y=gs mod pに対する離散対数
を解く際の困難さの程度と等価である。ただし、yはm
ビットの数値であり、sは2cビットの短指数であり、
pはkビットの素数であり、gはpを法とする整数の生
成元であり、cは暗号学的安全性(あるいは困難さ)し
きい値レベルを表し、2c<<m≦kである。cおよび
kの値は、yの短指数関数に対する離散対数を解くこと
を困難にするように選択される。
【0013】発
【発明の実施の形態】図2は、本発明に従って用いられ
るメッセージを暗号化するための暗号装置を有する送信
器20の機能ブロック図である。暗号装置は、擬似乱数
(PN)発生器22およびXOR演算要素24を有す
る。PN発生器22は、n段最大長シフトレジスタ、あ
るいは、擬似乱数発生器プログラムを実行するASIC
のような、擬似乱数を出力する装置である。PN発生器
22は、次の法指数関数によって定義される。 x(i)=gx(i-1) mod p (4) ただし、x(i)はmビットの数値であり、pはkビッ
トの素数であり、gはpを法とする整数の生成元であ
り、1<i≦nである。式(4)は法指数関数であるた
め、mの値はk以下(すなわちm≦k)となる。
【0014】mおよびkの値は、離散対数問題を解くた
めの指数計算法や平方根法のような周知の方法を用いて
x(i)の法指数関数に対する離散対数問題を解くこと
が困難であるように選択される。ここで、困難さは、離
散対数問題を解くのに2c回の演算を必要とするという
ように表現される。ただし、cは、暗号学的安全性しき
い値レベルである。具体的には、kの値は、2cがおよ
そ数
【数3】 以下になるように選択されるべきであり、mの値は、2
cがおよそ数
【数4】 以下になるように選択されるべきである。例えば、達成
しようとする困難さの程度が少なくとも264である場合
(すなわちc≧64)、k≧512であり、m≧128
である。
【0015】値x(i)は、最初にPN発生器22にシ
ード値x(0)を与えることによって生成される(シー
ド値x(0)はmビットの秘密値であり、送信器20お
よび目的とする受信器にのみ知られる)。従って、x
(1)はgx(0) mod pに等しい。値x(1)は、
x(2)を生成するために用いられ(すなわち、x
(2)=gx(1) mod p)、次に、x(2)は、x
(3)を生成するために用いられ、などとなる。PN発
生器22は、x(i)のmビットすべてを生成するが、
x(i)のj−1ビットサイズのセグメントからなる擬
似乱数z(i)のみを出力する。jの値は、m−2c以
下のある値である。一実施例では、擬似乱数z(i)
は、x(i)の最下位ビットを除くx(i)のj個の下
位ビットからなる(すなわち、x(i)セグメントは、
x(i)の最下位から2番目のビットからx(i)の最
下位からj番目のビットまでを含む)。図3は、値x
(i)を生成し、最下位ビットを除くj個の下位ビット
を出力する擬似乱数発生器22(式(4)で定義され
る。)の図である。例示のため、本明細書の残りの部分
では、x(i)の最下位から2番目のビットからx
(i)の最下位からj番目のビットまでからなる擬似乱
数z(i)を出力する擬似乱数発生器に関して説明す
る。しかし、これは、いかなる意味でも本発明を限定す
るものと解釈してはならない。
【0016】以下の「証明」のセクションで説明するよ
うに、このPN発生器(例えば、x(i)の最下位から
2番目のビットから最下位からj番目のビットまでを出
力する)を破る際の困難さの程度は、短指数関数に対す
る離散対数問題 y=gs mod p (5) を解くものに等価である。ただし、yはmビットの値で
あり、sは2cビットの短指数であり、pはkビットの
素数であり、gはpを法とする整数の生成元である。式
(5)は短指数関数であるため、2cの値は一般にmお
よびkの値よりもずっと小さい(すなわち、2c<<m
≦k)。
【0017】yの短指数関数に対する離散対数問題が解
くのが困難である場合、本発明のPN発生器は破るのが
困難である。cおよびkの値は、離散対数問題を解くた
めの指数計算法や平方根法のような周知の方法を用いて
yの短指数関数に対する離散対数問題を解くことが困難
であるように選択される。例えば、達成しようとする困
難さの程度が、yに対する離散対数問題を解くのに少な
くとも264(回の演算)であると仮定する。この場合、
kの値は少なくとも512ビットからなり、mは少なく
とも128ビットからなるべきである。すなわち、k≧
512であり、m≧128である場合、最下位ビットを
除くj個の下位ビットを出力する式(4)の擬似乱数発
生器を破るには少なくとも264回の演算が必要である。
式(4)の離散対数問題を解くのにも少なくとも264
の演算が必要である場合、(x(i)およびyに対す
る)両方の離散対数問題を解くには、合わせて2×264
(すなわち265)回の演算が必要である。PN発生器2
2は(式(4)の)法指数関数によって定義されるた
め、mの値は、kの値と同程度に大きくすることも可能
である。kの値が512(または1024)である場
合、mの値は512(または1024)と同程度に大き
くすることも可能である。従って、kが512(または
1024)でcが64のとき、PN発生器22は、38
3(または895)ビットという大きなビット数の擬似
乱数z(i)を出力することが可能であり、これは、従
来のPN発生器によって出力される擬似乱数のビットサ
イズよりずっと大きい。
【0018】PN発生器22の出力(すなわち、擬似乱
数z(i))は、XOR演算要素24に入力される。X
OR演算要素24は、XORゲートあるいはXOR演算
を実行するASICのような、XOR演算を行う装置で
ある。XOR演算要素24は、PN発生器22の出力を
受け取り、それを、等しいサイズのメッセージセグメン
トとXORして、図3のようなj−1ビットからなる暗
号化されたメッセージセグメントを生成する。注意すべ
き点であるが、XOR演算要素24は、PN発生器の出
力のビットをメッセージのビットと演算する他の任意の
装置で置換することも可能である。
【0019】その後、暗号化されたメッセージは、送信
器20によって、同じ指数関数およびXOR演算要素に
よって定義される擬似乱数発生器を有する受信器へ送信
される。受信器が目的とする受信器である場合、シード
値x(0)は、その受信器によって知られているか、ま
たは決定可能である。従って、目的とする受信器であれ
ば、送信器によって生成されたのと同じ擬似乱数z
(i)を生成することができる。その場合、擬似乱数z
(i)を用いて、暗号化されたメッセージセグメントを
復号することが可能であるため、目的とする受信器は、
送信されたメッセージを理解することができる。
【0020】証明 [1.はじめに]関数fは、計算は容易であるが逆が困
難である場合に一方向性であるという。適当なパラメー
タの選択により、有限体上の離散指数関数gx mod
p(gはこの有限体内の非零元の巡回群の生成元)
は、一方向性関数になると考えられている。その逆の至
難さ、すなわち、離散対数問題は、さまざまな暗号化、
署名および鍵共有方式の基礎である。有限体以外の有限
群が、離散指数に関して考察されている。そのような例
の1つは、有限体上の楕円曲線上の点の群である。Kobl
itz[Ko]およびMiller[Mil]は(独立に)、楕
円曲線に関する群法則を考察して公開鍵暗号方式を定義
し、楕円曲線加法もまた一方向性関数であることを示唆
した。困難であると考えられるもう1つの数論的問題
は、整数の因数分解の問題である。一方向性であると考
えられている、因数分解に基づく関数の例は、RSA関
数およびラビン(Rabin)関数である。因数分解に密接に
関連するのが、合成数を法とする平方剰余性を判定する
問題である。
【0021】一方向性関数に密接に関連する概念が、ハ
ードビットの概念である。一方向性関数に基づいて、Bl
um and Micaliがはじめてハードビットの概念を導入し
た。非形式的には、一方向性関数f(・)に対するハー
ドビットB(・)とは、fの逆を求めるのと同じくらい
計算が困難なビットのことである。Blum and Micali
は、有限体上の離散対数問題に対して、最上位ビットが
ハードビットであることを示した。正確にいえば、彼ら
の最上位ビットの概念は、指数のインデックスが(p−
1)/2より大きい場合に1であり、それ以外の場合に
0であるブール述語に対応する。彼らはこのハードビッ
トを定義して証明し、これを用いて、安全な擬似乱数ビ
ット生成におけるハードビットの重要性を示した。その
すぐ後に、RSA関数およびラビン関数のハードビット
も、Ben-Or et al.[BCS]により発見され、これ
は、新しい安全な擬似ランダムビット発生器につながっ
た。1986年に、Blum, Blum and Shub[BBS]
は、合成数に対する平方剰余問題を用いて、さらに別の
安全な擬似ランダムビット発生器を設計した。彼らの仕
事は、Goldwasser and Micali[GM84]によって研
究された平方剰余問題の安全性に基づいている。その
後、Goldreich and Levin[GL]は、すべての一方向
性関数がハードビットを有することを証明した。彼ら
は、さらに一般的に、任意の一方向性関数に対して、1
ビットの困難な述語が対数的個数だけ存在することを示
すことができた。これは特に、与えられた一方向性関数
に付随して、少なくとも対数的個数の安全な擬似ランダ
ムビット発生器が存在することを証明している。暗号に
おける擬似ランダムビットの使用は、例えば、使い捨て
型暗号化やビットコミットメント方式に関連する。
【0022】1ビット述語に基づく上記の発生器はすべ
て同じ問題点を抱えている。すなわち、これらはあまり
にも遅い。これらはすべて、法指数演算(modular expon
entiation)あたり1ビットを出力する。同時困難さの概
念は、高速化における第1ステップである。直観的に
は、一方向性関数fに関連するビットグループに対する
同時困難さの概念は、f(x)のみが与えられた場合
に、そのビットグループに関する何らかの情報を計算す
ることが、一方向性関数の逆と計算論的に同程度に困難
であるということである。この概念を用いて、演算あた
り複数のビットを抽出して高速化することができる。Lo
ng and Widgerson[LW]は、初めて、素数pを法とす
る離散対数のlog log pビットが同時困難であ
ることを示した。他方、Vazirani and Vazirani[V
V]およびAlexi et al.[ACGS]の仕事は、RSA
ビットおよびラビンビットの同時困難さの概念を扱って
いる。その後、Kaliskiは、任意の有限アーベル群に適
用可能な新規なオラクル証明法を用いて、楕円曲線群加
算問題のビットの個別困難さ(Blum-Micaliの意味で)
を示した。彼の方法は、log n(ただしnは群の位
数)ビットの同時困難さを示すことに拡張されている
(論文では主張はあるが証明はない)[Ka]。最近に
なって、Hastad, Schrift and Shamir[HSS]は、反
復あたりn/2ビット(ただしnは法(modulus)のビッ
ト数)を生成するずっと効率的な発生器を設計してい
る。彼らが考察した一方向性関数は、合成数(正確には
Blum整数)を法とする離散指数関数である。この場合
も、発生の方法は、あらゆる反復のn/2ビットが同時
困難であることの証明に基づく。合成数の法の使用によ
り、ビットの個別困難さおよび同時困難さを法の因数分
解に関連づけることが可能になっている。これらのすべ
ての仕事にある共通の記載は、Yaoの独創的な仕事
[Y]にある彼の結果である。Yaoの結果は、暗号学へ
の計算量論的アプローチの基礎を形成し、既知の困難な
問題による安全性の限定のための道を開いた。
【0023】本明細書では、有限体における法指数演算
に付随する非常に効率的な暗号学的擬似ランダムビット
発生器を構成する。本明細書では、あらゆる反復のn−
O(log n)+ビットが同時安全であることを示
す。ただし、O(log n)+は、log nに関す
る最小の非多項式量に等しい。従って、あらゆる反復
は、これまで発見された他のいずれの方法よりも多くの
ビットを生成する。この仕事の新規な点は、ランダムビ
ット生成の安全性を、短指数の離散対数を解く問題に関
連づけたことにある。この技術の動機は、上記のHastad
et al.の仕事から導かれている。ただし、彼らは合成
数を法とする法指数関数を用いているが、システムの安
全性は、基礎となる法を因数分解することに関連してい
る。同様の、しかしそれほど明らかではない意味で、我
々は発生のために有限体における指数演算を使用する
が、安全性を、(同じ素数の法であるが)短指数の離散
対数問題の強度に関連づける。本明細書では、2進表示
を引数に使用するときに、i番目のビットに対するオラ
クルがi番目のビットの値を与える。これは、Blum-Mic
aliおよびLong-Widgersonによって用いられたのとは異
なるi番目のビットの表示である。また、我々の表示
は、Hastad et al.が考察した表示と同じである。本明
細書は、以下、次のように構成される。第2節で、離散
対数問題、特に、短指数離散対数問題について考察す
る。オラクルおよびビットの困難さの詳細をこの節で定
式化する。第3節で、短指数の離散対数問題に関して、
末尾のn−O(log n)+ビットが個別困難である
ことを示す。第4節で、n−O(log n)+ビット
の同時困難性を証明する。第5節で、システムの設計に
ついて考察し、安全性の証明を与える。第6節で、結論
を述べる。付録で、他のアーベル群を含むようなこの仕
事の拡張と、擬似乱数発生器の効率を改善する可能な方
法について考察する。
【0024】[2.離散対数問題]まず、離散対数問題
を定義する。pを素数とし、gを、(Z/(p))
*(位数pの有限体における非零元の乗法的巡回群)の
生成元とする。すると、1≦x≦p−1に対して、関数
x mod pは置換を定義する。 [問題1]離散対数問題とは、(Z/(p))*内の与
えられたyに対して、gx modp=yとなるような
xを求めることである。n=log pを、2進数での
pの長さとすると、gx mod pはPoly(n)
時間で計算可能である。しかし、離散対数をPoly
(n)回のステップで計算することができる決定性ある
いは確率アルゴリズムは知られていない。位数pの有限
体で離散対数を計算する最良のアルゴリズムは、指数計
算法(index calculus method)である。しかし、これで
さえも、pが適当に大きい(例えば1024ビット)場
合には現実的でない。その理由は、計算量(複雑さ)が
nに関して準指数的であって多項式的ではないからであ
る。他方、p−1が小さい因数のみからなるような素数
に対しては、計算量が、位数がその最大素因数に等しい
体における離散対数の計算量に等しいような非常に高速
なアルゴリズムがある。このアルゴリズムはPohlig and
Hellman[PH]による。
【0025】[短指数の離散対数]効率化の目的で、指
数xがcビット(c=128または160ビット)に制
限されることがある。これは少ない乗算しか必要としな
いからである。Shanks[Sh]およびPollar[Po]に
よる、cステップの平方根でxを求める平方根時間アル
ゴリズムがある。従って、64ビットの安全性を備える
には、cは少なくとも128ビットでなければならな
い。これは、攻撃者は、これらのアルゴリズムを用いて
離散対数を破るためには少なくとも264回の演算を実行
しなければならない、ということである。現時点で、こ
のように制限されたxでも、離散対数を発見するさらに
高速な方法はない。
【0026】我々もまたxを制限する。特に、我々はx
をO(log n)ビットよりわずかに大きくなるよう
に制限するが、これは、乗算を節約するためではない。
指数の正確なサイズをO(log n)+と書くことに
する。ここで、上付き添字の+は、log nのいかな
る多項式よりも大きいことを示す。従って、平方根攻撃
でも、2O(log n)ステップより多く、あるいは、nの多
項式回数のステップより多くを必要とする。
【0027】本明細書で考察する困難な問題は、離散指
数関数のこの特殊な場合の逆である。正確にいえば、我
々は、位数p(素数)の有限体における短指数の法指数
演算の場合を考察する。この問題の逆は、短指数の離散
対数(DLSE(Discrete Logarithm with Short Expon
ents))である。換言すれば、 [問題2]pを、少なくとも1つの大きい素因数を有す
る大ビット数の素数とする。xを、pに比べて十分に小
さい整数とする。gを、選んだ素数pを法とする整数の
有限体における非零元の巡回群の生成元とする。gおよ
びgx=yが与えられた場合、xを求めよ。
【0028】DLSE問題は詳細に研究されており、そ
の結果の要約は[OW]に提示されている。[OW]で
は、この問題を、Diffie-Hellman鍵共有方式の場合に調
べている。Diffie-Hellmanプロトコルにおける短指数の
使用は、指数演算のプロセスを高速化する。一般に、g
xを計算するコストはxのビット長と線形に関係するた
め、実時間計算コストは、低次の指数の使用の動機づけ
となっている。このような最適化が安全性の弱点につな
がらないことを保証することに注意する必要がある。上
記の論文[OW]は、一連の攻撃と、状況を修正する方
法を提示している。特に、彼らの結論は、安全な素数の
使用を提案している。
【0029】短指数の使用のもう1つの例は、ディジタ
ル署名の生成におけるものである。NISTによって公
開されたディジタル署名標準(DSS(digital signatu
re standard))[DSS]は離散対数問題に基づいてい
る。これは、エルガマル(ElGamal)署名方式[EG]の
変形である。エルガマル方式は通常、2nビットの署名
を得る。ただし、nはp(法)のビット数である。可能
な応用として、短い署名は望ましい。DSSは、160
ビットのメッセージが320ビットの署名を用いて署名
されるが計算はすべて512ビットの素数を法として行
われるように、エルガマル方式を変形している。この方
法は、すべての計算をサイズ2160の部分群に制限する
ことが関係している。この方式の仮定される安全性は、
2つの異なるが非常に関連性のある問題に基づいてい
る。第1の問題は、512ビットを法とする群全体にお
ける離散対数であり、これには指数計算アルゴリズムが
適用される。第2の問題は、有限体における非零元の巡
回群の部分群における離散対数問題である。ここでは、
Shankの平方根アルゴリズムが、計算量をO(280)に
縮小する。その理由は、指数が160ビットのみである
からである。
【0030】[ビットの困難さ]「はじめに」の節で示
したように、ハードビットの概念は、あらゆる一方向性
関数の特性である。特に、離散対数に関するビットの困
難さは広範に研究されている。本明細書では、ハードビ
ットを少し変形したものを定義する。[定義1]fおよ
びf′を一方向性関数とし、Rfをfの値域とする。
B:Rf→{0,1}をブール述語とする。あるxに対
するf(x)が与えられたとき、B(x)を計算するこ
とがf′の逆を求めるのと同程度に困難である場合、述
語B(x)はf′−困難であるという。
【0031】通常、ハードビットについて議論すると
き、fとf′は同一である。例えば、Blum-Micaliビッ
トを見つけることは、離散対数を計算することと同程度
に困難である。しかし、本明細書では、fとf′が異な
ることも許容する。この新しい現象の一例は、合成数を
法とする離散指数演算である。ここで、合成数を法とす
る整数の環における離散対数は困難な関数であり、因数
分解もそうである。ある固定のgおよび一般のxに対す
るgxが与えられた場合、この離散対数の個別のビット
を求めることは因数分解と同程度に困難である。これは
Hastad et al.により[HSS]で証明された。本明細
書では同様の状況を考える。我々は、離散指数演算の一
方向性関数を考えるが、指数のn−O(log n)+
ビットがDLSE−同時困難であることを証明する。こ
れまでに示されている最良の結果はn/2ビットの同時
困難性である[HSS]が、我々の結果は、nビットの
ほとんどすべてに対する同時困難性を示している。我々
の結果は、離散対数に関する限り極大である。換言すれ
ば、任意の反復においてO(log n)ビットのみを
落とす場合、攻撃者は、多項式回数の推測をすることに
よって生成元のシードを計算することができる。従っ
て、反復あたりに生成されるビット数に関してこれらの
結果をこれ以上改善することはできない。
【0032】[2進表示]数xは2進数でbn-1n-1
n-2n-2+・・・+b12+b0と表示することができ
る。ただし、biは0または1のいずれかである。第i
ビット問題とは、xのbiの値を見つけることである。
第iビットを計算することが対数全体を計算するのと同
程度に困難である場合、第iビットはハードビットであ
る。biの値を出力するオラクルOi(g,y,p)があ
る場合、Yのさまざまな値に対してオラクルOi(g,
Y,p)にPoly(n)回問合せを行いxの値を完全
に計算するPoly(n)時間アルゴリズムがなけれ
ば、このビットはハードビットである。最下位ビットは
ハードビットでないことは知られている。その理由は、
これを計算するPoly(n)時間アルゴリズム(すな
わち、ルジャンドル記号を計算することによって)があ
るからである。
【0033】不完全オラクルOepsilon(g,Y,p)
(電子化の都合上、添字のεをepsilonと表記する。)
は通常、1/2+1/Poly(n)より大きい確率で
正しいビット値を出力するオラクルとして定義される。
【0034】[Blum-Micali表示]本明細書では、第i
ビットの安全性を議論する際に2進表示を使用するが、
第iビットの別の解釈に言及しておきたい。Blum-Mical
iは、ある特定のビット述語B(x)を導入し、その困
難性を示した。0≦x≦p−1/2のときB(x)は0
であり、p−1/2<x≦p−1のときB(x)は1で
ある。これを、xの最上位ビットということもあるが、
2進表示のもとでのxの最上位ビットとは明らかに異な
る。別の研究者[LW]は定義を拡張して、k個の上位
ビットを定義している。Blum-Micali表示を用いて上位
ビットを参照し、一方で、下位ビットには2進表示を用
いることも多い。本明細書では、第iビット(i番目の
ビット)についていうときには、特に断らない限り、2
進表示を用いる。
【0035】[3.ビットの個別困難さ]この節では、
末尾のn−O(log n)+ビットの安全性について
議論する。ここで、O(log n)+は前に定義した
通りである。正確にいえば、最下位ビットを除いて、n
−O(log n)+個の下位ビットはすべて、DLS
E問題に関して個別困難であることを示す。定義1に基
づくと、これにより、離散対数のビットがDLSE−困
難であることが証明されることになる。
【0036】Oi(g,y,p)を、([2,n−O
(log n)+]における任意のiに対して)第iビ
ットを与えるオラクルとする。注意すべきであるが、i
は右から左へ増大し、i=1は最下位ビットに対応す
る。このオラクルが与えられた場合に、多項式回数のス
テップで、短指数離散対数を計算することができること
を示す。さらに、(規定の範囲内の任意のiに対して)
第iビットを予測する多項式時間で動作するεのアドバ
ンテージを有するOepsilon(g,y,p)が与えられ
た場合、このオラクルに多項式回数の問合せをすること
によってこのオラクルを短指数の離散対数問題を計算す
るアルゴリズムに変えることができることを示すことに
より、個別ビットの困難性を証明する。本明細書の残り
の部分では、任意のkに対して、下位kビットとは、最
下位ビットを除く下位kビットを意味するものとする。
【0037】[定理]下位n−O(log n)+ビッ
トはDLSE−個別困難である。
【0038】証明:定義1により、Oi(g,y,p)
が与えられた場合、すべてのyに対してx=log y
が短指数となるようなlog yを計算することができ
ることを示せば十分である。一般性を失うことなく、p
−1=2q(ただしqは奇整数)と仮定する。
【0039】(a)完全オラクル−Oi(g,y,
p)。gxおよびgが与えられており、xが小さい(O
(log n)+ビットからなる)ことがあらかじめわ
かっている。さて、最下位ビットを計算することは、ル
ジャンドル記号により、常に容易である。従って、これ
を計算して0とおく。i=2とし、第2ビットに対する
オラクルを持っていると仮定する。これが完全オラクル
である場合、第2ビットを計算する。これを計算した
ら、これを0とおき、新しい数をgxということにす
る。次に、gxの平方根を計算する。平方根はgx/2とg
x/2+(p-1)/2であるが、前者を主平方根と呼ぶ。gxの2
個の下位ビットが0であるので、主平方根の最下位ビッ
ト(LSB)が0に等しい(すなわち、ルジャンドル記
号は1)ことがわかる。これにより主平方根を識別する
ことができる。さて、主平方根にオラクルを適用し、2
番目の下位ビットを計算する。このビットは実際にはx
の3番目の下位ビットである。再び、このビットを0と
おき、このプロセスを繰り返す。明らかに、poly
(n)ステップで、一度に1ビットずつ右から左へxが
計算される。さて、i>2のとき、gxを(i−1)下
位平方する。すると、2番目の下位ビットはi番目にく
る。オラクルを用いてこのビットを計算する。このビッ
トを0とおき、再び、平方根を計算する。
【0040】主平方根は、LSBが0の平方根に対応す
る。一方、xの(i+1)桁目は、主平方根にオラクル
を適用することによって計算することができる。このプ
ロセスを継続すると、kステップ(ただしk=log
x)でxがわかる。
【0041】(b)不完全オラクル−Oepsilon(g,
y,p)。(Z/(p))*においてxの第iビットを
50%よりもεだけ高い割合で求めることに成功する不
完全オラクルがあると仮定する。この場合、確率的アド
バンテージに注目し、このオラクルを、いずれのインス
タンスにも任意に高い確率で応答するオラクルにするこ
とができる。
【0042】証明を次の2つの部分に分ける。 (i)下位の2×O(log n)ビットは個別困難で
ある。 (ii)中位のn−O(log n)+から2×O(l
og n)までのビットは個別困難である。
【0043】(i)アドバンテージがεの不完全オラク
ルがあると仮定する。すなわち、このオラクルは、可能
な入力の50%よりもεだけ高い割合で正答を与えるこ
とができる(が、どれが正答であるかはわからない)。
r(j)を、1からp−1までの多項式的個数の乱数か
らなる数列とする。オラクルをgx+r(j)に適用する(た
だしxのLSBは0)。対数の弱法則により、2番目の
下位ビットに対するオラクル出力の1および0を単に数
えて(乱数の効果を中和した後)多いほうをこのビット
とする。次に、平方根を計算し、前と同様に、主平方根
をとる。新しい乱数のセットでもう一度プロセスを繰り
返し、次のビットを見つける。明らかに、poly
(n)ステップで、右から左へ一度に1ビットずつxを
見つけることになる。証明は省略するが、詳細は[P
e]を参照。
【0044】i>2とする。gxをi−1回平方し、上
記のプロセスを繰り返すと、εのアドバンテージを有す
る任意のオラクルから、xを計算する多項式時間アルゴ
リズムが得られることが結論される。さらに言及を要す
る唯一の点は、次の事実である。すなわち、ランダム化
する際、あるr(j)に対して、それを指数に加えると
きにp−1を超える可能性があるということである。こ
れを循環(cycling)と呼ぶ。乱数を一様に取り出すと仮
定した場合、この循環の確率が1/poly(n)で上
からおさえられるため、循環での取りこぼしに対応して
問合せの回数をある個数だけ増大させる必要があると我
々は主張する。再び、証明の詳細は省略するが、技術的
な点についてはBlum-Micali[BH]を参照。
【0045】(ii)このステップの証明も、ランダム
化プロセスを開始する前に推測により最初のtビットを
0にセットしなければならないことを除いては(i)の
証明の後半と同様である。ここでtは再びpoly(l
og n)の数であり、従って、循環の確率は前と同様
に上からおさえられる。今度も簡単のため証明は省略す
る。
【0046】[4.離散対数はほとんどnビットを隠蔽
する]この節では、法指数演算におけるインデックスの
n−O(log n)+個の下位ビットの同時困難性を
証明する。直観的には、位数pの有限体の生成元gと、
あるxに対するgxが与えられた場合、末尾n−O(l
og n)+ビットに関する何らかの情報を得ることが
困難であることを示す。ここで、困難さは、DLSE問
題に関するものである。換言すれば、任意の素数pに対
して、有限体の乱数生成元gおよび乱数要素gxが与え
られた場合、xの関連するビットに関するいかなる情報
も、DLSE問題を解くpoly(n)アルゴリズムに
変換することができる。さて、何らかの情報を得るとい
う句は多少不明確なので、これを、一般の一方向性関数
に対して次に定義する同時安全性の概念によって明確化
する。
【0047】[定義2]fを一方向性関数とする。kビ
ットの集まりBk(x)がfに対して同時安全であるとは、
与えられたxに対してBk(x)を計算することが容易であ
り、かつ、あらゆるブール述語Bに対して、f(x)の
みが与えられた場合に1/2より高い確率で正しくB
(Bk(x))を計算するオラクルを用いてfの逆をPol
y(n)時間で求めることができることをいう。
【0048】本明細書では、異なる可能性のある一方向
性関数に対する修正された同時安全性の概念を用いるこ
とにする。
【0049】[定義3]fおよびf′を、値域が[0,
N]の一方向性関数とする。kビット述語Bkがf−同
時困難であるとは、f(x)が与えられた場合、kビッ
トに対するあらゆる自明でないブール述語Bに対して、
B(Bk(x))を出力するオラクルを用いてfの逆を多項
式時間で求めることができることをいう。Bkがf′−
困難な述語である場合、Bk(x)のビットはf−同時困難
であるという。
【0050】上記の定義は、正確ではあるが、同時安全
性を理解する際に適用するのが容易ではない。定義4
で、素数を法とする離散対数問題の言葉で述べた、より
作業的な定義を与える。
【0051】[定義4]指数関数gx mod pのビ
ット位置j≦i≦kにおけるビットがDLSE−同時困
難であるとは、gx mod pの離散対数の[j,
k]ビットが、ランダムに選ばれた(g,p,gx
od p)に対してランダムに選択された[j,k]ビ
ット列と多項式的に識別できないことである。さらに、
多項式識別可能性からは、多項式時間でDLSE問題を
解くオラクルが導かれる。
【0052】再び、上記のようなビットのグループの多
項式識別不可能性を証明することは困難である。しか
し、相対的困難さの概念が、この問題を容易にし、実
際、同時安全性のテストを与える。
【0053】[定義5]関数gx mod pの第iビ
ット(j≦i≦k)が区間[j,k]において右側に相
対的に困難であるとは、ランダムな認容される3つ組
(g,p,gxmod p)およびgxの離散対数の右か
らk−iビットが与えられた場合に、いかなる多項式時
間アルゴリズムも、任意の多項式poly(n)(ただ
しn=log p)に対して1/2+1/poly
(n)より高い確率ではgxの離散対数の第iビットを
計算することができないことをいう。
【0054】この定義に基づいて、同時安全性のテスト
ができる。このテストの主張は次の定理である。
【0055】[定理1]定義4と定義5は同値である。
【0056】偏りのないビットに対するこの同値性の証
明は、基本的には、Yao[Y]による次ビットテストの
普遍性の周知の証明である。この証明法は[BH]に説
明されている。さて、この定理と、DLSE問題の至難
さを用いて、末尾のn−O(log n)+ビットが同
時困難であることを示す。
【0057】[定理2]DLSE問題に関して、gx
mod pの末尾のn−O(log n)+ビットは同
時困難である。
【0058】証明:gxのあらゆる末端ビットが区間
[2,n−O(log n)+]で右側に相対的に困難
であることを示せば十分である。注意すべき点である
が、ビットの個別困難性は、すべてのビットの同時困難
性を含意しない。上記の定義および定理に従うと、同時
安全性を示すために、弱いオラクル、すなわち、与えら
れたgxに対して、xの第iビットを予測するには、未
知のxの末尾のi−1ビットのすべてもオラクルに与え
られなければならないようなオラクルしか用いることが
できないことがわかる。これは一般に非常に困難な仕事
である。
【0059】定理が偽であると仮定する。すると、
[2,n−O(log n)+]内のあるiに対して、
一般のgxの末尾i−1ビットが与えられた場合にアド
バンテージε(ただしεは1/poly(n))でxの
第iビットを予測することができるようなオラクルが存
在する。ここで、要素S=gsをとる(ただしsは短指
数)。Sを適当な回数平方することにより、sを左にシ
フトすることができる。0≦i<n−O(log n)
+であるため、循環なしで、sをi−O(logn)ビ
ットだけ左にシフトすることができる。想起すべき点で
あるが、循環とは指数がp−1を超えることであるか
ら、p−1を法とする剰余で指数を置き換える。ここ
で、sの2番目の下位ビットが第iビットにくるので、
r modp(ただし、rは0とp−1の間の乱数)
を乗じることによってオラクルを繰り返し適用すること
ができる。循環の確率が低いことを確認するために、完
全に推測することができるsの先頭のt=poly(l
og n)個のビットを0にセットし、各推測に対して
アルゴリズムを適用する。アルゴリズムの最後には候補
(candidate)が得られ、gcandidateがSに等しいかどう
かを調べることができる。等しい場合には停止し、そう
でない場合は別の推測でアルゴリズムを繰り返す。ε′
≧ε−1/tのアドバンテージを得るまで継続するの
で、ビットをオラクルからpoly(n)時間で導出す
ることができる。このようにして、sの2番目の下位ビ
ットを知る。このビットを0と起き、数の平方根をと
る。2つの平方根のうち、平方剰余であるほうをとるべ
きである。なぜならば、最初はすべての下位ビットが0
なので、平方根のLSBも0であるはずだからである。
次に、sの次ビットはi桁目であり、オラクルを繰り返
し適用してこのビットを見つけ、以下同様にして、sの
すべてのビットを回復することができる。注意すべき点
であるが、このオラクルは、個別ビットオラクルの場合
とは異なり、非常に弱い。ここでのオラクルは、iの右
側のi−1ビットもすべて与えた場合に、εアドバンテ
ージで第iビットを教えてくれる。しかし、これを行う
ことは可能である。その理由は、短指数から開始したの
で、シフトされたsの右側のすべてのビットは0である
ことがわかっているからである。これで、2≦i<O
(log n)となるあらゆるiに対して、この弱いオ
ラクルを用いてsを見つけることができることが示さ
れ、従って、サイズO(log n)+のsによる関数
s modpの逆を求めるのが困難である場合に、末
尾ビットは同時困難であることが示された。
【0060】[5.ランダムビット発生器]この節で
は、新しい擬似ランダムビット発生器の詳細を与える。
特に、Blum-Micali[BM]によって用いられた方式を
拡張して、より多くのビットを抽出する。これは、Long
-Widgerson[LW]が彼らの発生器で用いたのと同じ方
式であるが、彼らの発生器の出力は、反復あたりlog
nビットからなっていた。我々の新しい方式では、反
復あたりn−O(log n)+を生成する。第2節で
想起すべき点であるが、Blum-Micali方式はやや異なる
「ビット」の定義を用いていた。我々はHastad et al.
と同じビットの定義を用いるが、我々の指数は{Zp*
上の置換を引き起こすため、生成方式を定義する際に彼
らが遭遇した困難には遭遇しない。
【0061】[新しい発生器]{Zp*からシードs
(0)をとる。s(i+1)=gs(i) mod pと定
義する。第iステップ(i>0)で、s(i)の、最下
位ビットを除く下位のn−O(log n)+ビットを
出力する。
【0062】[安全性の証明]Aを、我々の発生器の長
さl(lはnに関する多項式)の出力のε−識別器とす
ると、第iステップにおける出力に対する(ε/l)−
識別器が存在する。特に、s(0)のn−O(log
n)ビットに対する(ε/l)−識別器が存在する。前
節における我々の(Yao[Y]による)定義によれば、
ある識別器を用いて、xの右からi−1ビットをも与え
た場合にxの第iビットを教えてくれる弱いオラクルを
作ることができる。
【0063】さて、これを用いて、gx mod p
(ただし、xはO(log n)よりわずかに大きい)
を見つけることができることに注意する。s(0)=
{gx}{gr}とおくことによって、繰り返しこの「オ
ラクル」を呼び出す。こうして、第iビットをpoly
(n)時間で見つけることができる。
【0064】定理3で示したテクニックを用いて、x全
体を見つけることができる。従って、我々の発生器の出
力列がε−識別可能である場合、poly(n)時間
で、我々の指数関数のxを見つけることができる。xが
O(log n)よりわずかに大きい(すなわち、短指
数)場合に、関数gx mod pの逆を求めることが
至難であると仮定すると、我々の発生器の出力列は多項
式的に識別不能である。
【0065】発
【発明の効果】[結論]以上、素数pを法とする離散対
数がn−O(log n)+ビットを隠蔽することを、
これらのビットの同時困難性を示すことによって示し
た。この結果における困難性は、短指数の離散対数問題
に関するもの、すなわち、(本明細書の第2節で定義さ
れた)DLSE−同時困難である。
【0066】これにより、擬似乱数発生などの応用のた
めに、一度にn−O(log n) +ビットを抽出する
ことができる。例として、nのサイズが1024ビッ
ト、sのサイズが128ビットの場合、指数演算あたり
約900ビットを抽出することができる。非形式的にい
えば、この例の安全性は264である。なぜならば、最良
の既知のアルゴリズムが128ビットの法指数演算を破
るにはO(264)を要するからである。また、各ステッ
プにおける安全性を高めたい場合、各ステップで抽出さ
れるビット数を減らすことができる。この発生器が一度
に出力するビット数は極大である。いかなる反復におい
てこれより多くのビットを抽出しても、ビットの予測に
つながる。なぜならば、その場合には、O(log
n)ビットを落とすことになり、多項式回数の推測で、
あらゆる反復における指数も完全にわかるからである。
【0067】[文献][ACGS] W. Alexi, B. Cho
r, O. Goldreich and C. P. Schnorr, "RSA/Rabin bits
are 1/2+1/poly(log N) secure", Proceedings of 25t
h FOCS, 449-457, 1984. [BCS] M. Ben-Or, B. Chor, A. Shamir, "On the
cryptographic security of single RSA bits", Procee
dings of 15th STOC, 421-430, 1983. [BBS] L. Blum, M. Blum, and M. Shub, "A simpl
e secure pseudo-random number generator", SIAM J.
Computing, 15, No.2, 364-383, 1986. [BM] M. Blum, and S. Micali, "How to generate
cryptographically strong sequences of pseudo rando
m bits", SIAM J. Computing, 13, No.4, 850-864, 198
4. [BH] R. B. Boppana, and R. Hirshfeld, "Pseudor
andom generators andcomplexity classes", Advances
in Computing Research, 5 (S. Micali, Ed.), JAI Pre
ss, CT. [DSS] U.S. Department of Commerce/N.I.S.T., "
Digital Signature Standard", FIPS 186, May 1994. [GL] O. Goldreich, and L. A. Levin, "A hard-co
re predicate for allone way functions", Proceeding
s of 21st STOC, 25-32, 1989. [GM] S. Goldwasser, and A. Micali, "Probabilis
tic encryption", Journal of Computer and Systems S
cience, 28, 270-299, 1984. [HSS] J. Hastad, A. W. Schrift, and A. Shami
r, "The discrete logarithm modulo a composite modu
lus hides O(n) bits", Journal of Computer and Syst
ems Science, 47, 376-404, 1993. [ILL] R. Impagliazzo, L. A. Levin, and M. Lub
y, "Pseudo-random generation from one-way function
s", Proceedings of 20th STOC, 12-24, 1988. [Ka] B. S. Kaliski, "A pseudo-random bit gener
ator based on elliptic logarithms", Advances in Cr
yptology-CRYPTO '86 (LNCS 263), 84-103, 1987. [KMO] J. Kilian, S. Micali, and R. Ostrovsky,
"Minimum resource zero-knowledge proofs", Proceed
ings of 30th FOCS, 474-489, 1989. [Kn] D. E. Knuth, "The Art of Computer Program
ming (vol 2): Seminumerical Algorithms", Addison W
esley, 2nd edition, 1981. [Ko] N. Koblitz, "Elliptic curve cryptosystem
s", Mathematics of Computation, 48, 203-209, 1987. [LW] D. L. Long, and A. Widgerson, "The discre
te log hides O(log n) bits", SIAM J. Computing, 1
7, 363-372, 1988. [Mi] V. Miller, "Elliptic curves and cryptogra
phy", Advances in Cryptology-CRYPTO '85 (LNCS 21
8), 417-426, 1986. [Na] M. Naor, "Bit commitment using pseudo-ran
domness", Advances in Cryptology-CRYPTO '89 (LNCS
435), 128-136, 1989. [OW] P. van Oorschot, M. Wiener, "On Diffie-He
llman key agreementwith short exponents", Advances
in Cryptology-EUROCRYPT '96 (LNCS 1070),332-343,
1996. [Pe] R. Peralta, "Simultaneous security of bit
s in the discrete log", Advances in Cryptology-EUR
OCRYPT '85 (LNCS 219), 62-72, 1986. [PH] S. C. Pohlig, and M. E. Hellman, "An impr
oved algorithm for computing over GF(p) and its cr
yptographic significance", IEEE Trans. IT,24, 106-
110, 1978. [Po] J. M. Pollard, "Monte Carlo methods for i
ndex Compton (mod p)", Mathematics of Computation,
32, No.143, 918-924, 1978. [VV] U. V. Vazirani, and V. V. Vazirani, "Effi
cient and secure pseudo-random number generators",
Proceedings of 25th FOCS, 458-463, 1984. [Y] A. C. Yao, "Theory and applications of trap
door functions", Proceedings of 23rd FOCS, 80-91,
1982.
【0068】[付録]この節では、我々の結果のいくつ
かの拡張について議論する。
【0069】[計算の効率の改善]発生器の動作に注目
する。我々は、有限体と、その乗法的巡回群の生成元g
から出発している。s(0)を、秘密のシードとする。
そして、s(i+1)=g s(i)と再帰(反復)的に定義
する。発生器の出力は、すべてのi>0に対して、末尾
のn−O(log n)+ビット(ただしn=log
p)である。
【0070】反復ごとに生成されるビット数は大きい
が、各反復には大きい指数が関係しており、これが発生
器の速度に影響を及ぼす可能性がある。代わりに、前と
同様にp、g、およびs(0)から出発するが、各段階
でs(i+1)=gs(i)(ただしs(i)=[s(i)
の先頭のO(log n)+ビット])とすることも可
能である。これにより、各段階で短指数を使っているこ
とが保証されるため、実質的な高速化が保証される。こ
れはいくつかの興味深い疑問点を生じる。
【0071】[疑問点]この速度は発生器の安全性に影
響を及ぼすか?
【0072】注意すべき点であるが、我々は指数を制限
しているときにはもはや置換はない。従って、ここで用
いられている単純な構成は成り立たない。この問題点を
解決する可能な方法は、合成数を法とする離散対数の場
合にHastad et al.に概説されている[HSS]。特
に、[ILL]で証明されたあるハッシング補題を活用
して、彼らは、「完全エクステンダ」(perfect extende
r)を構成し、擬似乱数発生は、このエクステンダをラン
ダムシードに繰り返し適用することによって実現されて
いる。
【0073】[疑問点] [HSS]のテクニックを有限体における短指数演算に
適合させて、計算の高速化および安全性を保証すること
は可能か?
【0074】[アーベル群における離散対数]Gを有限
アーベル群とする。gをGの元とし、y=gx(ただし
xは未知であり、群演算を表すのに乗法的記法を用いて
いる)とする。gによって生成される部分群における離
散対数問題とは、gおよびyが与えられた場合にxを求
めるものである。明らかに、可能なxの値は0からo
(g)までをとりうる。ただし、o(g)はgの位数を
表し、gによって生成される部分群は巡回群である。
【0075】この場合に、Kaliski[Ka]は、gによ
って生成される部分群における離散対数の至難性の仮定
のもとで、xの個別ビットは困難(ハードビット)であ
ることを示した。この論文ではBlum-Micaliによるビッ
ト記法を用いており、個別困難性の証明は、新規なオラ
クル証明法に基づいている。
【0076】主要なアイデアは、ビットの識別は、ラン
ダム化によるビットの循環および変化に自動的に対応す
る相関関数に基づくということである。さらに、彼は、
個別ビット安全性に関する他のいくつかの研究で中心的
な平方根の計算を完全に回避している。また、この論文
では、log nビットが同時困難であると主張してい
る。おそらくは、Long-Widgersonのテクニックを一般の
アーベル群の場合に適用すればこの結果は得られる。
【0077】さて、選択したアーベル群においても、短
指数の離散対数問題が困難であると仮定すると、末尾ビ
ットの同時困難性に関する我々の結果も成り立つことに
注意する。ここで、同時困難性を導出するためにKalisk
iによって概説されたテクニックを適用することも可能
である。これが示されれば、擬似乱数発生方式は、大
略、Hastad et al.によって開発されたテクニックに基
づくことが可能となる。主要な問題点は、gによって生
成される部分群は正規部分群となることがあり、その場
合、gに対する群演算は群からそれ自体への置換を生じ
ないことに対処することである。同時困難性の厳密な詳
細およびそれによる擬似ランダムビット発生方式は今後
の論文で述べる。この結果は、有限体上の楕円曲線に適
用した場合に非常に有用である。
【0078】[ビットコミットメント方式]いくつかの
暗号方式は、メッセージの内容に関するいかなる情報も
明かさずに、通信する当事者がそのメッセージにコミッ
トすることを要求する。いくつかの、単一ビットおよび
複数ビットのコミットメント方式がこれまで提示されて
いる。既存のプロトコルの効率を改善する複数ビット方
式は[KMO]に概説されている。擬似ランダムビット
発生器に基づく複数ビットコミットメント方式の一例
は、Naorの方式[Na]である。[HSS]では、Hast
ad et al.は、合成数を法とする指数演算を直接に用い
る方式を提示している。しかし、擬似乱数発生器に基づ
くすべての方式は、発生器の効率に依存している。従っ
て、本明細書で提示された発生器の効率は、ビットコミ
ットメント方式を高速化することができることを示唆し
ている。これも今後の課題である。
【0079】以上、本発明について、暗号および通信に
関して詳細に説明したが、他の応用も可能である。例え
ば、擬似乱数発生器は、シミュレーションや、他の暗号
アプリケーションにも使用可能である。
【図面の簡単な説明】
【図1】メッセージを暗号化するための暗号装置を有す
る従来の送信器の機能ブロック図である。
【図2】本発明に従って用いられるメッセージを暗号化
するための暗号装置を有する送信器の機能ブロック図で
ある。
【図3】図2の擬似乱数発生器が、値x(i)を発生
し、最下位ビットを除くj個の下位ビットを出力する図
である。
【符号の説明】
10 送信器 12 擬似乱数(PN)発生器 14 XOR演算要素 20 送信器 22 擬似乱数(PN)発生器 24 XOR演算要素
───────────────────────────────────────────────────── フロントページの続き (71)出願人 596077259 600 Mountain Avenue, Murray Hill, New Je rsey 07974−0636U.S.A. (72)発明者 ガナパシー サブラマニアン アメリカ合衆国,07076 ニュージャージ ー,スコッチ プレインズ,タッセル レ イン 137

Claims (9)

    【特許請求の範囲】
  1. 【請求項1】 x(i)をmビットの値とし、pをkビ
    ットの素数とし、gを、pを法とする整数の生成元と
    し、1<i≦nとして、法指数関数x(i)=gx(i-1)
    mod pによって定義される擬似乱数発生器を用い
    て擬似乱数を発生する暗号化方法において、該方法は、 mビットのシード値x(0)を受け取るステップと、 シード値x(0)を用いて決定される値x(i)に基づ
    く擬似乱数z(i)を出力するステップと、 擬似乱数z(i)をメッセージセグメントと演算して暗
    号化されたメッセージセグメントを生成するステップと
    からなり、 暗号学的安全性しきい値レベルをcとし、jをm−2c
    以下の値として、擬似乱数z(i)は、値x(i)の下
    位の2番目からj番目までのビットを含むことを特徴と
    する暗号化方法。
  2. 【請求項2】 暗号学的安全性しきい値レベルcは少な
    くとも64であることを特徴とする請求項1に記載の方
    法。
  3. 【請求項3】 値x(i)は少なくとも512ビットか
    らなることを特徴とする請求項1に記載の方法。
  4. 【請求項4】 値pは少なくとも512ビットからなる
    ことを特徴とする請求項1に記載の方法。
  5. 【請求項5】 値x(i)は少なくとも1024ビット
    からなることを特徴とする請求項1に記載の方法。
  6. 【請求項6】 値pは少なくとも1024ビットからな
    ることを特徴とする請求項1に記載の方法。
  7. 【請求項7】 値x(i)を発生するステップをさらに
    有することを特徴とする請求項1に記載の方法。
  8. 【請求項8】 メッセージセグメントはj−1ビットか
    らなることを特徴とする請求項1に記載の方法。
  9. 【請求項9】 メッセージセグメントはXOR2進演算
    を用いて擬似乱数z(i)と演算されることを特徴とす
    る請求項1に記載の方法。
JP11053124A 1998-03-04 1999-03-01 暗号化方法 Pending JPH11288214A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/034829 1998-03-04
US09/034,829 US6285761B1 (en) 1998-03-04 1998-03-04 Method for generating pseudo-random numbers

Publications (1)

Publication Number Publication Date
JPH11288214A true JPH11288214A (ja) 1999-10-19

Family

ID=21878874

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11053124A Pending JPH11288214A (ja) 1998-03-04 1999-03-01 暗号化方法

Country Status (8)

Country Link
US (1) US6285761B1 (ja)
EP (1) EP0949563B1 (ja)
JP (1) JPH11288214A (ja)
KR (1) KR100499433B1 (ja)
BR (1) BR9917146A (ja)
CA (1) CA2260683C (ja)
DE (1) DE69904525T2 (ja)
TW (1) TW410310B (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008087734A1 (ja) * 2007-01-19 2008-07-24 Mitsubishi Electric Corporation 暗号文生成装置及び暗号通信システム及び群パラメータ生成装置

Families Citing this family (66)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6668265B1 (en) * 1999-03-29 2003-12-23 Communications Research Laboratory, Ministry Of Posts And Telecommunications Apparatus and method for outputting sequence of vectors, data recording medium, and carrier wave signal
FR2800478B1 (fr) * 1999-10-28 2001-11-30 Bull Cp8 Procede de securisation d'un ensemble electronique de cryptographie a base d'exponentiation modulaire contre les attaques par analyse physique
EP1268237A1 (en) * 2000-04-03 2003-01-02 Siemens VDO Automotive Corporation Safing method for a vehicle occupant protection safety system
US6987853B2 (en) * 2000-11-29 2006-01-17 Bodacion Technologies, Llc Method and apparatus for generating a group of character sets that are both never repeating within certain period of time and difficult to guess
US7170997B2 (en) 2000-12-07 2007-01-30 Cryptico A/S Method of generating pseudo-random numbers in an electronic device, and a method of encrypting and decrypting electronic data
CA2430858A1 (en) * 2000-12-07 2002-06-13 Cryptico A/S A method of performing mathematical operations in an electronic device, a method of generating pseudo-random numbers in an electronic device, and a method of encrypting and decrypting electronic data
US20020085712A1 (en) * 2001-01-03 2002-07-04 International Business Machines Corporation Technique for efficiently generating pseudo-random bits
US6993542B1 (en) 2001-03-12 2006-01-31 Cisco Technology, Inc. Efficient random number generation for communication systems
US6691141B2 (en) * 2001-04-13 2004-02-10 Science Applications International Corp. Method and apparatus for generating random number generators
US20030059045A1 (en) * 2001-09-26 2003-03-27 Ruehle Michael D. Hash-based pseudo-random number generator
CN1668995A (zh) * 2002-06-06 2005-09-14 克瑞迪科公司 用于改善伪随机数发生器的输出的不可预测性的方法
JP3696209B2 (ja) * 2003-01-29 2005-09-14 株式会社東芝 シード生成回路、乱数生成回路、半導体集積回路、icカード及び情報端末機器
US7085791B2 (en) * 2003-02-14 2006-08-01 Lucent Technologies Inc. Method and apparatus for generating a pseudo random number
DE10308092A1 (de) * 2003-02-24 2004-09-02 Schenck Process Gmbh Verfahren und Vorrichtung zur digitalen Sicherung von Meßwerten
US7097107B1 (en) 2003-04-09 2006-08-29 Mobile-Mind, Inc. Pseudo-random number sequence file for an integrated circuit card
US20040208199A1 (en) * 2003-04-16 2004-10-21 Bo Li Data encoding for simultaneous bus access
US8396213B2 (en) 2005-01-21 2013-03-12 Certicom Corp. Elliptic curve random number generation
JP4774509B2 (ja) * 2005-05-13 2011-09-14 国立大学法人お茶の水女子大学 擬似乱数発生システム
US20070113083A1 (en) * 2005-07-14 2007-05-17 Volkovs Nikolajs System and method of message authentication
US8183980B2 (en) * 2005-08-31 2012-05-22 Assa Abloy Ab Device authentication using a unidirectional protocol
US8312551B2 (en) 2007-02-15 2012-11-13 Harris Corporation Low level sequence as an anti-tamper Mechanism
US7937427B2 (en) * 2007-04-19 2011-05-03 Harris Corporation Digital generation of a chaotic numerical sequence
US7921145B2 (en) 2007-05-22 2011-04-05 Harris Corporation Extending a repetition period of a random sequence
US8611530B2 (en) 2007-05-22 2013-12-17 Harris Corporation Encryption via induced unweighted errors
US7995757B2 (en) 2007-05-31 2011-08-09 Harris Corporation Closed galois field combination
US7974413B2 (en) 2007-06-07 2011-07-05 Harris Corporation Spread spectrum communications system and method utilizing chaotic sequence
US7962540B2 (en) 2007-06-07 2011-06-14 Harris Corporation Mixed radix number generator with chosen statistical artifacts
US7970809B2 (en) 2007-06-07 2011-06-28 Harris Corporation Mixed radix conversion with a priori defined statistical artifacts
US8250129B2 (en) * 2007-06-22 2012-08-21 Lsi Corporation Cryptographic random number generator using finite field operations
US8005221B2 (en) 2007-08-01 2011-08-23 Harris Corporation Chaotic spread spectrum communications system receiver
US7995749B2 (en) 2007-10-30 2011-08-09 Harris Corporation Cryptographic system configured for extending a repetition period of a random sequence
US8180055B2 (en) 2008-02-05 2012-05-15 Harris Corporation Cryptographic system incorporating a digitally generated chaotic numerical sequence
US8363830B2 (en) 2008-02-07 2013-01-29 Harris Corporation Cryptographic system configured to perform a mixed radix conversion with a priori defined statistical artifacts
US8422685B2 (en) 2008-02-26 2013-04-16 King Fahd University Of Petroleum And Minerals Method for elliptic curve scalar multiplication
US8040937B2 (en) 2008-03-26 2011-10-18 Harris Corporation Selective noise cancellation of a spread spectrum signal
US8139764B2 (en) 2008-05-06 2012-03-20 Harris Corporation Closed galois field cryptographic system
US8320557B2 (en) 2008-05-08 2012-11-27 Harris Corporation Cryptographic system including a mixed radix number generator with chosen statistical artifacts
US8145692B2 (en) 2008-05-29 2012-03-27 Harris Corporation Digital generation of an accelerated or decelerated chaotic numerical sequence
US8200728B2 (en) 2008-05-29 2012-06-12 Harris Corporation Sine/cosine generator
US8064552B2 (en) 2008-06-02 2011-11-22 Harris Corporation Adaptive correlation
US8068571B2 (en) 2008-06-12 2011-11-29 Harris Corporation Featureless coherent chaotic amplitude modulation
US8358783B2 (en) 2008-08-11 2013-01-22 Assa Abloy Ab Secure wiegand communications
US8325702B2 (en) 2008-08-29 2012-12-04 Harris Corporation Multi-tier ad-hoc network in which at least two types of non-interfering waveforms are communicated during a timeslot
US8165065B2 (en) 2008-10-09 2012-04-24 Harris Corporation Ad-hoc network acquisition using chaotic sequence spread waveform
US8406276B2 (en) 2008-12-29 2013-03-26 Harris Corporation Communications system employing orthogonal chaotic spreading codes
US8351484B2 (en) 2008-12-29 2013-01-08 Harris Corporation Communications system employing chaotic spreading codes with static offsets
US8457077B2 (en) 2009-03-03 2013-06-04 Harris Corporation Communications system employing orthogonal chaotic spreading codes
US8428102B2 (en) 2009-06-08 2013-04-23 Harris Corporation Continuous time chaos dithering
US8428103B2 (en) 2009-06-10 2013-04-23 Harris Corporation Discrete time chaos dithering
US8363700B2 (en) 2009-07-01 2013-01-29 Harris Corporation Rake receiver for spread spectrum chaotic communications systems
US8379689B2 (en) 2009-07-01 2013-02-19 Harris Corporation Anti-jam communications having selectively variable peak-to-average power ratio including a chaotic constant amplitude zero autocorrelation waveform
US8428104B2 (en) 2009-07-01 2013-04-23 Harris Corporation Permission-based multiple access communications systems
US8369376B2 (en) 2009-07-01 2013-02-05 Harris Corporation Bit error rate reduction in chaotic communications
US8385385B2 (en) 2009-07-01 2013-02-26 Harris Corporation Permission-based secure multiple access communication systems
US8340295B2 (en) 2009-07-01 2012-12-25 Harris Corporation High-speed cryptographic system using chaotic sequences
US8406352B2 (en) 2009-07-01 2013-03-26 Harris Corporation Symbol estimation for chaotic spread spectrum signal
US8848909B2 (en) 2009-07-22 2014-09-30 Harris Corporation Permission-based TDMA chaotic communication systems
US8369377B2 (en) 2009-07-22 2013-02-05 Harris Corporation Adaptive link communications using adaptive chaotic spread waveform
US8345725B2 (en) 2010-03-11 2013-01-01 Harris Corporation Hidden Markov Model detection for spread spectrum waveforms
CA2837516C (en) * 2011-05-26 2016-11-01 Certicom Corp. Randomness for encryption operations
US9300472B2 (en) 2011-09-30 2016-03-29 Nokia Technologies Oy Method and apparatus for improving digital signatures
US20130201316A1 (en) 2012-01-09 2013-08-08 May Patents Ltd. System and method for server based control
US10148285B1 (en) 2012-07-25 2018-12-04 Erich Schmitt Abstraction and de-abstraction of a digital data stream
US10795858B1 (en) 2014-02-18 2020-10-06 Erich Schmitt Universal abstraction and de-abstraction of a digital data stream
US10452877B2 (en) 2016-12-16 2019-10-22 Assa Abloy Ab Methods to combine and auto-configure wiegand and RS485
RU2740339C1 (ru) * 2020-03-05 2021-01-13 федеральное государственное автономное образовательное учреждение высшего образования "Национальный исследовательский ядерный университет МИФИ" (НИЯУ МИФИ) Генератор псевдослучайных чисел

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL8202547A (nl) * 1982-06-23 1984-01-16 Philips Nv Werkwijze voor het opwekken van een pseudo-random reeks van tekens met grote reekslengte.
IL99660A0 (en) * 1991-10-07 1992-08-18 Ibm Israel Random number generator

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008087734A1 (ja) * 2007-01-19 2008-07-24 Mitsubishi Electric Corporation 暗号文生成装置及び暗号通信システム及び群パラメータ生成装置
JP4859933B2 (ja) * 2007-01-19 2012-01-25 三菱電機株式会社 暗号文生成装置及び暗号通信システム及び群パラメータ生成装置
US8290146B2 (en) 2007-01-19 2012-10-16 Mitsubishi Electric Corporation Ciphertext generating apparatus, cryptographic communication system, and group parameter generating apparatus

Also Published As

Publication number Publication date
CA2260683A1 (en) 1999-09-04
US6285761B1 (en) 2001-09-04
KR100499433B1 (ko) 2005-07-07
DE69904525D1 (de) 2003-01-30
KR19990077585A (ko) 1999-10-25
CA2260683C (en) 2003-03-18
EP0949563A2 (en) 1999-10-13
EP0949563B1 (en) 2002-12-18
EP0949563A3 (en) 2001-04-11
DE69904525T2 (de) 2003-09-04
BR9917146A (pt) 2001-10-30
TW410310B (en) 2000-11-01

Similar Documents

Publication Publication Date Title
JPH11288214A (ja) 暗号化方法
Liao et al. On the Security of Public-Key Algorithms Based on Chebyshev Polynomials over the Finite Field $ Z_N$
Håstad et al. A pseudorandom generator from any one-way function
Naor et al. Synthesizers and their application to the parallel construction of pseudo-random functions
Catalano et al. Paillier's cryptosystem revisited
Patel et al. An efficient discrete log pseudo random generator
Hofheinz et al. Practical chosen ciphertext secure encryption from factoring
US20040223616A1 (en) Encryption process employing chaotic maps and digital signature process
CN103095459B (zh) 公钥密码体制中模幂运算方法、设备和服务器
Hofheinz et al. Practical chosen ciphertext secure encryption from factoring
Boruah et al. Implementation of ElGamal Elliptic Curve Cryptography over prime field using C
Reyad et al. Image encryption using chaos-driven elliptic curve pseudo-random number generators
Gaithuru et al. A comprehensive literature review of asymmetric key cryptography algorithms for establishment of the existing gap
Boneh et al. Searching for elements in black-box fields and applications
Li et al. Hidden number problem with the trace and bit security of XTR and LUC
Vasco et al. A survey of hard core functions
Reddy RM-RSA algorithm
Grigoriev et al. Homomorphic public-key cryptosystems and encrypting boolean circuits
Bérczes et al. A one-way function based on norm form equations
Sidorenko et al. State recovery attacks on pseudorandom generators
Balasubramanian et al. Problems in cryptography and cryptanalysis
Mohammadi et al. Comparison of two Public Key Cryptosystems
Scheidler Cryptography in quadratic function fields
Gao et al. A ring signature scheme based on the Nyberg-Rueppel signature scheme
Goswami et al. A new public key cryptosystem over ℤ n 2

Legal Events

Date Code Title Description
A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20040106

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20040114

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040406

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040614

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20040914

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20040917

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050228