JPH11502035A - 令状の制限があるキー・エスクロー方法 - Google Patents
令状の制限があるキー・エスクロー方法Info
- Publication number
- JPH11502035A JPH11502035A JP8527619A JP52761996A JPH11502035A JP H11502035 A JPH11502035 A JP H11502035A JP 8527619 A JP8527619 A JP 8527619A JP 52761996 A JP52761996 A JP 52761996A JP H11502035 A JPH11502035 A JP H11502035A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- party
- key
- wire
- tapper
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
傍受(盗聴)の令状に対して制限することができるキー・エスクローの技法が開示されてる。特に、傍受に対して時間制限を強制することができる。その上、傍受は、ネットワーク内で通信している特定の当事者や、特定のペアを目的としている。
Description
【発明の詳細な説明】
令状の制限があるキー・エスクロー方法発明の要点
本発明はキー・エスクロー(key escrow)方法を電気通信ネットワークにおいて
使用し、ワイヤタップ(wiretapping:傍受)に対する令状(warrants)を制限した
た時間的期間で利用することに関する。1以上の通信当事者が傍受(ワイヤタッ
プ)のターゲットとして特定できる。傍受に対する本発明のキー・エスクロー方
法は単純で実用的であり、誤用に対する合理的保護を行う余裕がある。本発明の
方法は、従来技術よりも大きいプライバシ保護とより効果的な法の執行を提供す
る。発明の背景
キー暗号システムにおいて、ユーザはメッセージを秘密セッション・キー(ses
sion key)kと慣用ブロック暗号化関数(conventional block cipher function)
fとを用いて暗号化する。従来のブロック暗号化関数は、例えば合衆国標準ディ
ジタル暗号化スキーマ(Digital Encryption Scheme:DES)または「トリプル
DES」のようなある種の変種とすることができる。
送信当事者(transmitting party)は平文メッセージmを暗号化して、暗号文メ
ッセージcをc=f(k,m)にしたがって得ることができる。受信当事者(rec
eiving party)は、メッセージをm=f-1(k,c)にしたがって復号化するこ
とができる。上述のk,mおよびcはビット列である。kが既知でありかつその
場合に限りmがcから効率的に導かれること、しかし、kはcおよびmから効率
的に導くことができないことが仮定されている。
一般的に、セッション・キーkは両当事者により、両当事者が通信時に利用可
能な情報に基づいて生成される。多くの場合、両当事者は委託された中央当局
(authority)(保管人(trustee))により維持される情報にアクセスして、共通セ
ッション・キーkを生成しなければならない。他の場合、これら当事者は充分な
情報を自ら有しており、共通セッション・キーkを通信セッション開始時に生成
する。
合衆国の法執行機関(agencies)、例えば連邦捜査局(Federal Bureau of Inves
tigation:FBI)は、ディジタル電話と市販の暗号がワイヤタップの効率性を
おびやかすと不平を訴えてきた。しかしながら多くの観点において、ディジタル
通信技術はワイヤタップ(傍受)を容易にしてきた。
ワイヤタップは目下のところ高くつく。1993年において、タップ(tap)の
設置と監視の平均コストは、$57,256であった(例えば、合衆国裁判所の
行政部門、1993、電信、口頭または電子通信のワイヤタップを許可または認
可する命令の申請に関する報告(ワイヤタップ報告)、1993を参照)。約9
00件のワイヤタップが毎年総合して州および連邦当局によって命令されており
、これによって200,000から400,000件の間の告発用の会話(incri
minating conversations)が毎年記録されている。各年毎に記録される非告発用
の会話の数は増加しており、170万件を超えている。非告発用の会話は「手作
業により」時間と費用のコストをかけ、潔白な当事者のプライバシのコストをか
けて取り除かれている。
電気通信技術の発展は、重要な効果をワイヤタップに及ぼす。コードレス電話
と移動体電話(セルラ電話)は、傍受が当事者に対して現実の物理的財産の侵害
を要求することなしに傍受されることを可能にする。プログラム可能なスイッチ
は、傍受のための特別なハードウェアの必要性を回避できる。ディジタル・メッ
セージは、会話の(宛先、内容等による)自動シフトを可能にしている。したが
って、より廉価でより効率の良い傍受の使用に対する可能性が存在し、市民のプ
ライバシに対する結果が注意深く検討されなければならない。
公開鍵暗号(public-key cryptography)(例えば、RSA技術、ディフィ・ヘ
ルマン(Diffie Hellman)技術、キリアン・レイトン(Kilian-Leighton)技術、ラ
ビン・モジュラ平方根(Rabin Modular Square Root)技術)の利用可能性と一般
的に暗号に対する公衆の警戒の爆発とが、強いプライバシ増大ツールを市民の手
に置いた。考えられるところでは、広範囲にわたる暗号の使用は傍受の法執行手
段としての力を失わせることができるだろう。代替物を提供する努力において、
ホワイト・ハウスは1993年4月16日に「エスクロー暗号発議(Escrowed En
cryption Initiative)」を発表した。その後、合衆国規格および技術協会(Natio
nal Institute of Standards and Technology:NIST)は「エスクロー暗号化
規格(Escrowed Encryption Standard:EES)」を電話システムについて認可し
た(合衆国規格および技術協会、連邦情報処理規格出版物185、エスクロー暗
号化規格、1994年2月9日、ワシントンDCを参照)。
EES(しばしばそのチップ(chip)名「クリッパー(Clipper)」により知られ
る)は抗議を引き起こし、その一部は秘密アルゴリズムの使用に反対する暗号作
成者(Cryptologists)からであり、一部はエスクロー・キーのアイデア全体に反
対する権利擁護者(rights advocates)からである。秘密アルゴリズム(SKIP
JACKとして知られる)およびその結果として生ずる耐干渉性(tamper proof)
ハードウェアへの信頼は、確かにエスクロー・システムには不必要であり、種々
の代替物が提案されてきた(例えば、J.Kilian.T.Leighton:「フェイルセーフ
・キー・エスクロー(Failsafe Key Escrow)」Rump Crypto'94に提出、S.Micali
、「公平な公開鍵暗号システム(Fair public key cryptosystems)」、Proc.Cry
pto '92を参照)。
エスクロー問題自身はより厄介である。現在構成されているように、EESは
個々のキーが分割されて2つの「保管人」(すなわち、NISTおよび合衆国財
務省(U.S.Treasury Department)の支局)の手に置かれることを要求している。
これらの保管人は、適切な令状(例えば、裁判所により発行された令状)を供給
された時、適切なキーの保管人の部分を各々法執行当局へ引き渡す。
令状自身は、通常の制限をターゲット、内容および時間間隔(例えば指定され
た30日期間)上に含むが、これらの制限はキーには適用されない。そのかわり
、法執行当局はキーを両保管人へ令状の期間の経過した時点で「返還する」こと
が想定される。しかしながら、この手続に対する不承諾(non-compliance)は、裁
判所において電子的監視の証拠を隠す申立ての基礎を提供しない(例えば、合衆
国規格および技術協会、連邦情報処理規格出版物185、エスクロー暗号化規
格、1994年2月9日、ワシントンDCを参照)。実用上の観点から法執行当
局が特定のキーを所有しているか否かを証明することは常に困難である。
事実上、市民aとbが法執行機関へ、彼らが電話を所有または将来使用して犯
罪を犯すことを信じさせる理由を与えるならば、彼らの各々は彼または彼女の「
暗号化の権利」をいつも−過去、現在および未来にわたって渡してしまうことに
なる。そのような譲歩は、法執行当局がキーを誤用する意思がないと信じる場合
であっても、度を超えたものとみることができる。電話の会話の自動シフトは、
キーが保持される場合、ますます当局が大量のデータを集めて後の可能性のある
使用に備える気にさせる。
電気通信システムにおいて傍受令状を容易にするために使用するキー・エスク
ロー方法は、以下の所望の特性を有する。
1.時間限界
裁判所が保証の時間制限を、特定の時間の期間(例えば特定の一連の日)にわ
たってのみ有効なキーを供給することによって執行することは所望である。
2.ターゲット柔軟性
裁判所が(i) 特定のターゲットaを含むすべての通信が復号化できるノード監
視(node surveillance)、または(ii)当事者aとbとの間の通信のみが復号化さ
れるエッジ監視(edge surveillance)のいずれかを認めることは所望である。
3.非迂回性(Non-circumventibility)
好適には、ユーザが一方的に彼の通信プロトコルを変更することは不可能(ま
たは非常に困難)であるべきである。そうでないと、ユーザは適切な当局による
復号化にユーザ自身をさらすことなく、通信を暗号化できるからである。人々を
共謀から予防することは困難である。というのも、どの2人の当事者も常に彼ら
独特の暗号システムを使用できるからである。しかし、キー・エスクロー・シス
テムまたは保証を提供する別のシステムはこれを簡単に行わせるべきではない。
4.セキュリティ
キー・エスクロー方法は、よく知られた試験済みの暗号技術によるべきである
。キー・エスクロー方法は、好適には、証明されていない技術または少なくと
も築き上げられた経験的信頼性を有していない技術を避けるであろう。
5.簡易性
キー・エスクロー方法は、実用的で理解しやすいものであるべきである。特に
、ユーザと保管人との間の繰り返された接触に頼るべきではない。通信当事者間
の多くの準備が要求されるべきでもない。キー・エスクロー・システムは、電話
、ファックスまたはE−メイル通信に対するどのような障害も供給するべきでな
い。システムは、数学的形式でないならば、例えば裁判所における素人に対して
もわかるようにアウトラインを説明できるべきである。
本発明の目的は、電気通信システムにおいて使用するキー・エスクロー方法を
提供することであり、本方法は傍受に対する保証を容易化するだけでなく、上述
の所望の特性を有しているものである。発明の概要
キー・エスクロー・システムは、本発明の好ましい実施例によれば、下記のよ
うに動作する。
1.各当事者uは、公開キーP(u)および秘密キーS(u)を有し、gs(u)=
P(u) mod pである。すべてのuに対して、p,gおよびP(u)から
、S(u)を導き出すことは計算上不可能であると仮定している。この仮定は、
離散対数問題の困難性に基づいている。一つの実施例においては、すべての当事
者のすべての秘密キーS(u)(公開キーP(u)もまた)を知っている単一の
保管人が存在する。
2.fを、(3重の)DESのような従来のブロック暗号化関数とする。暗号テ
キスト・メッセージcは、平文のテキスト・メッセージm,関数fおよびセッシ
ョン・キーkから、c=f(k,m)により得られる。平文のテキスト・メッセ
ージmは、m=f-1(k,c)により暗号解読される。kはcおよびmから導き
出せないことに留意されたい。
3.hを、所与のd,di(ここで、d≠di),yi=h(x,di)(ここで、
i=1,2,・・・K)のような一方通行のハッシュ関数であり、かつ、ある未
知のxに対して、y=h(x,d)と計算上見いだすことができないと仮定する
。このようなハッシュ関数の例として、下記のものがある:h(M)をメッセー
ジMのDESを用いたラビンのハッシング(Rabin's hashing)を表すとする。6
4*Kのサイズのハッシングに対して、M=M1,M2,...MKをパースし
、H′(M)=(h(M1),...h(MK))を作成する。すなわち、K個
の個々のラビン・ハッシングの連結である。最後に、ハッシングは、H(M)=
H′(M)+A*M mod(64K)であり、ここで、Aは既知の定数である
。
ここで、公開および秘密キーP(a)およびS(a)を有する当事者aと、公
開および秘密キーP(b)およびS(b)を有する当事者bとの間の通信を考え
る。この通信は、期間dの間、下記のように進行する。ここで、dは、1または
2以上の日の特定の集合からなる期間を示している。
1.最初に、当事者aおよびbは、相互関連なく、自分のセッション・キーk
(a,b,d)=k(b,a,d)を確立する。これは、当事者aにより、k(
a,b,d)=h(P(b)s(a),d)、かつ、当事者bにより、k(b,a,
d)=h(P(a)s(b),d)を計算する。
2.つぎに、共通のセッション・キーk(a,b,d)を用いる実際の通信を
始める前に、当事者aおよびbはメッセージを交換し、そのメッセージは、合法
的なワイヤタッパ(wiretapper:傍受者)がk(a,b,d)を計算し、aとbと
の間の通信を暗号解読することができるようにする。これは、次のように行われ
る。
(i) 当事者aは、S(a,d)=h(S(a),d))を計算する。
当事者bは、S(b,d)=h(S(b),d))を計算する。
(ii)当事者aは、S(a,b,d)=h(S(a,d)、P(b))を計
算する。
当事者bは、S(b,a,d)=h(S(b,d)、P(a))を計
算する。
(S(a,d)、S(b,d)、S(a,b,d)、S(b,a,d
)のクオンティティは、保管人(trustee)にも知られている。これは、保管人が
S(a)およびS(b)を知っているからである。)
(iii) 当事者aは、メッセージc(a,b,d)=f(S(a,b,d),
k(a,b,d))をbに送る。当事者bは、メッセージc(b,a,d)=f
(S(b,a,d),k(b,a,d))をaに送る。
当事者aは、S(a,b,d)を暗号キーとして用いて、k(a,b,d)を
関数fを使用して暗号化することに注意されたい。このため、当事者b(または
ワイヤタッパ)は、c(a,b,d)を暗号解読することにより、共通セッショ
ン・キーk(a,b,d)を決定する。このように、当事者bはステップ1中の
ように、共通セッション・キーを計算する必要がある。同様に、当事者a(また
はワイヤタッパ)は、メッセージc(b,a,d)を暗号解読して、キー(b,
a,d)を得ることができない。
3.当事者aおよびbは、k(a,b,d)をキーとして使用する従来のブロ
ック暗号化関数fを用いて、通信する。
4.(i) ワイヤタッパがaとbとの間の通信を傍受するために、ワイヤタッパ
は、k(a,b,d)を決定する必要がある。一般的に、ワイヤタッパは、c(
a,b、d)およびc(b,a,d)を傍受する。ワイヤタッパはまた、f,h
,P(a),P(b)も知っているが、S(a),S(b)は知らない。
(ii)当事者aのエッジ監視(edge surveillance)に対する令状がある場合
、保管人は、ワイヤタッパに、令状が適用されるすべての特定の当事者bに対す
るS(a,b,d)を提供する。これで、ワイヤタッパはc(a,b,d)を暗
号解読できて、k(a,b,d)を得ることができる。
(iii) ノード監視(node surveillance)の令状がある場合、保管人は、ワイ
ヤタッパにS(a,d)を提供する。ここで、P(b)を知っている
ワイヤタッパは、当事者aと通信するすべての当事者bに対するS(a,b,d
)を計算することができる。S(a,b,d)を知っているので、ワイヤタッパ
はc(a,b,d)を暗号解読でき、k(a,b,d)を得ることができる。
上述のキー・エスクローの技術は、多数の重要な利点を有している。まず、時
間で制限されている。ワイヤタップ(傍受)は、期間dの間のみ行われる。当事
者aのプライバシーは、ワイヤタップ(傍受)を、特定の当事者bに制限するこ
とが可能である。この当事者bは、aと、S(a,d)ではなく、S(a,b,
d)を提供することで通信している。(ワイヤタッパはS(a,b,d)をS(
a,d)から計算することができるが、ハッシュ関数hが一方通行であるので、
S(a,b,d)からS(a,d)を計算できないことに注意されたい。)その
上、本発明のエスクロー・キーの技術は、時間が検証する暗号化関数に依存して
おり、高度の複雑性のものではない。
当事者aが欺瞞をして、改竄したc(a,b,d)をbに送った場合、ワイヤ
タッパは正しいセッション・キーを取り出すことができないことに注意されたい
。この問題は、この場合の保管人が、キーS(a)をワイヤタッパに提供するこ
とができるという規則を実行することで克服することができる。
通信が、当事者aから当事者bへの一方向のみである(例えば、e−メイル)
場合、プロトコルは当事者aでのみ実行されることに注意されたい。当事者bは
、応答するときに、プロトコルの自分の部分を実行する。
前述の本発明のキー・エスクローの技術の実施例は、すべての秘密キーS(u
)を有している単一の保管人が存在している。
しかしながら、本発明のいくつかの実施例では、m人(m>1)の保管人が存
在する。この場合、各保管人iは、ユーザuの秘密キーS(u)の検証可能な割
り当て部分のSi(u)を有している。検証可能な部分割り当てSi(u)を有す
るm人の保管人からのある部分集合nがそのようなものであるので、完全なS(
u)を復元することができる。言い換えると、{1,2,...m}の部分集合
{v1,v2,...vn}に対して、T(Sv1(u),Sv2(u),..
Svn(u))=S(u)である関数Tが存在する。関数Tの例は、T.P.Pedersen
“Distributed Provers with Application to Undeniable Signatures”,Proc
.Eurocript '91,Springer-Verlag LNCS 547,pp.221-238に開示されている。
このような場合、各保管人は、ワイヤタッパに保管人の関連する情報の割り当
て部分を提供する。このため、上述のプロトコルは変更され、S(a,d)を計
算する替わりに、当事者aがS,(a,d)=h(Si(a),d)、h(Si(
a),d)1≦i≦nを計算し、S(a,b,d)を計算する替わりに、当事者
aがSi(a,b,d)=h(Si(a,d),P(b))を計算する。つぎに、
当事者aは、
S(a,b,d)=T((S1(a,b,d),S2(a,b,d)...Sn
(a,b,d))
を計算する。
この次に、c(a,b,d)は、前述の様に計算される。当事者bは、当事者
aと同じ、保管人のn部分集合を使用する必要がないが、bに対する変更は同様
である。
認可されたワイヤタップ監視の種類によって、ワイヤタッパは、保管人からSi
(a,d)(ノード監視)またはSi(a,b,d)(エッジ監視)を得る。両
方の場合、ワイヤタッパは、関連するS(a,b,d)を上述のように導き出す
ことができる。図面の簡単な説明
図1は、キーエスクロー(key escrow)技法が傍受を容易にするのに用いられた
電気通信ネットワークを示す概略図である。
図2は、本発明の一実施例によるキー・エスクロー・プロトコルを示す図であ
る。
図3は、本発明の他の実施例による多数の保管人(trustees)を含むキー・エス
クロー・プロトコルを示す図である。発明の詳細な説明
1.電気通信ネットワーク
合法的な当局によって令状が発行されたときに傍受(盗聴)を容易にする電気
通信ネットワーク(通信網)を図1に示す。
図1の電気通信ネットワーク10は複数のサブネットワークを具える。例えば
、電気通信ネットワーク10は第1の市内電話網12、長距離電話網14および
第2の市内電気通信ネットワーク16を具える。
第1の移動体通信網20は第1の市内電話網12に接続し、第2の移動体通信
網22が第2の市内電話網16に接続している。
市内電話網16はローカル・エリア・ネットワーク(企業内情報電気通信ネッ
トワーク)30にも接続している。
複数の利用者端末が電気通信ネットワーク10内の種々のサブネットワークに
接続している。例えば、移動体通信網20に接続した利用者端末102、104
は、携帯電話、携帯型ファックシミリ装置、パーソナルディジタルアシスタント
(PDA)、あるいは他の携帯型通信機器であるとしてよい。移動体通信網22
に接続した利用者端末106、108も携帯型通信機器である。
市内電話網12に接続した利用者端末110、112、および市内電気通信ネ
ットワーク16に接続した利用者端末114、116は一般的な電話機、あるい
はファクシミリ装置であるとしてよい。これらの利用者端末はまたモデム(変復
調装置)を通じて市内電話網に接続するパーソナルコンピュータあるいはワーク
ステーションであるとしてもよい。
ローカルエリアネットワーク30に接続した利用者端末118、120もまた
パーソナルコンピュータあるいはワークステーションであるとすることができる
。
図1の利用者端末はマイクロプロセッサのような小型処理装置あるいはCPU
(中央演算処理装置)、および処理装置に接続したメモリを内蔵している。
電気通信ネットワーク10はある利用者端末間での二者間高度通信(pair wise
communication)を容易にする。端末118がパーソナルコンピュータで
あって、端末102がパーソナルディジタルアシスタントである場合の事例を考
えると、端末118はローカルエリアネットワーク30、市内電話網16、長距
離電話網30、市内電話網12および移動体通信網20を通じて端末102へE
メール(電子メール)通信を送ることができる。
端末104が移動電話であって端末112が一般的な有線式電話(wire based
telephone)である場合の事例を考えると、この事例では、移動体通信網20と市
内電話網12を通じて端末104と112間に音声通信が成立する。
以下に詳述するように、一般に、本発明に従うネットワーク10内で二人の利
用者が通信するには、二人の利用者はまず最初に共通セッションキー(commonses
sion key)kを決める。それからメッセージ(通信文)が一般的な暗号化機能f
および共通セッションキーkを用いて暗号化される。
電気通信ネットワーク10にはワイヤタッパー端末(wiretapper terminal、傍
受端末)40も接続されている。ワイヤタッパー端末はコンピュータ42とメモ
リ44を具える。追加のワイヤタッパー端末46および48が移動体通信網20
と22に接続して図示されている。一対の通信中の利用者端末間で交換された暗
号化されたメッセージをワイヤタッパー端末40で解読するために、ワイヤタッ
パー端末は共通セッションキーを獲得しなければならない。その上、ワイヤタッ
パー端末がある1つの交換網と接続(例えば、ワイヤタッパー端末40がしない
電話網12と接続)している場合には、サービスプロバイダー(例えば、市内電
話オペレーティング会社)は解読のためにワイヤタッパー端末に対して傍受すべ
き通信を交換または経路付けしなければならない。共用伝送媒体を使用する移動
体通信網あるいは他の通信網の場合には、ワイヤタッパー端末は全ての通信を“
聞く”ことはできるが、ワイヤタッパー端末がセッションキーを持つときのみこ
れら通信を解読できる。
複数の保管人端末50−1、50−2、…、50−mもまた電気通信ネットワ
ーク10に接続している。これら保管人端末50はワイヤタッパー端末がセッシ
ョンキーを決定するのを可能にする情報を格納している。これら保管人端末は裁
判所の命令に応じてのみワイヤタッパー端末にセッションキーを決定するための
情報を提供する。
保管人端末によって提供される情報はワイヤタッパー端末に対して特定の時間
的限定期間、例えば一組の日の間にのみ傍聴を許容するようになっていることが
、本発明の重要な利点である。その上、保管人端末よりワイヤタッパー端末に対
して提供される情報は、一人の利用者の全ての通信を解読するのを許容するか、
あるいは一定の指定された他の関係者との利用者の通信のみを解読するのを許容
する。この情報は全てのm個の保管人端末で共有することができる。保管人端末
n個の全サブセットで完全に再構成できる。
保管人端末をネットワークに必ずしも接続しておく必要はない。保管人端末は
公衆回線10を通じてワイヤタッパー端末と通信することができ、暗号化でその
通信を安全に保護することができる。
2.キーエスクローシステム
pおよびqをq|p-1を伴う2つの大きな素数、およびq∈Z/pZをオーダ
qの要素と定義する。整数mに対し、Z/mZと{0、1、…,m−1}間、お
よび(Z/pZ)*および{1,2,…,p−1}間で識別が存在する。
電気通信ネットワーク10内の利用者端末の全ては同一のpおよびqを共有す
る本発明のキーエスクロー手法に加わることができる。各利用者端末は公開キー
P(u)∈(Z/pZ)*およびgs(u)∋P(u)モードpのような秘密キーS
(u)∈Z/pZを有する。全ての利用者端末uに関して、p、q、およびp(
u)からS(u)を引き出すのは実行不可能であると仮定する。この仮定は個々
別々の対数問題の困難性に基づく。
キーP(u)およびS(u)は利用者端末uのパーマネントキーとして参照さ
れる。本発明の一実施例において、利用者端末uの秘密キーS(u)が単一の保
管人端末50に格納されている(図1を参照)。本発明の別の実施例では、検証
可能な割り当てSv1(u)が端末vi(i=1、2、…vnの場合)に格納され
ている。保管人端末はワイヤタッパー端末がメッセージを解読できるように、S
(u)から引き出した暗号化された情報をワイヤタッパー端末に供給する、この
情報はネットワーク10を通じて、あるいはネットワーク10の電子的あるいは
手動チャンネル外側を通じて、保管人端末からワイヤタッパー端末へ供給して
もよい。
上記に示したように、クリア・テキスト・メッセージmがc=f(k、m)に
従って暗号化されており、m−f-1(k、c)に従って解読される。クリア・テ
キスト・メッセージmはkが既知である場合だけでなく、kがcとmから効率的
に引き出すことができない場合にも、cから引き出すことができる。
h:Z/pZ×Z/pZ→Z/pZを一方向ハッシュ関数とする。i∈Zと未
知数xの多項式数に関して、dおよびdi≠d、yi=h(x,di)とすれば
、h(x,d)を見つけることは実行可能である。
3.期間dでのユーザaおよびユーザbのためのプロトコル
コートがユーザ端末a(たとえば移動体通信網20に接続される携帯電話10
4)及び1つ以上のユーザ端末b(例えば市内電話網12に接続された電話11
0及び移動体通信網22に接続された携帯電話108)を含む通信の傍受をオー
ダーする場合を考察する。傍受は移動体通信網20の分けられた送信媒体上で立
ち聞きする(eavesdrops)ワイヤタップ端末46によって実現される。ユーザ端末
a及びbのパーマネント及び秘密キーをP(a),S(a)及びP(b),S(
b)とする。ユーザ端末a及びbによって実行されるプロトコルは、図2に示さ
れており、以下に述べられている。
1.第1ユーザ端末a及びbは、それらの秘密セッションキーkをノン・イン
タラクティブに確立する。当該秘密セッションk(a,b,d)=k(b,a,
d)(k(b,a,d)はユーザ端末aによってk(a,b,d)=h(P(b
)s(a),d)として、及びユーザ端末bによってk(b,a,d)=h(P(a
)s(b),d)として計算される)である。dが、特定の日又は特定の日のグルー
プのような所定の隣接する時間期間を示すことを注目する(図2のステップ1)
。
2.ユーザ端末aはS(a,d)=h(S(a),d)を計算する。
ユーザ端末bはS(b,d)=h(S(b),d)を計算する(図2のス
テップ2)。
3.ユーザ端末aはS(a,b,d)=h(S(a,d),P(b))を計算
する。
ユーザ端末bはS(b,a,d)=h(S(b,d),P(a))を計算す
る(図2のステップ3)。
4.ユーザ端末aは、ネットワーク10を介して、ユーザ端末bに暗号テキス
ト・メッセージc(a,b,d)=f(S(a,b,d),k(a,b,d))
を送る。ユーザ端末bは、ネットワーク10を介して、ユーザ端末aに暗号テキ
スト・メッセージc(b,a,d)=f(S(b,a,d),k(b,a,d)
)を送る(図2のステップ4)。ユーザ端末aが、fを用いてk(a,b,d)
を暗号化するための暗号キーとしてS(a,b,d)を使用することに注目する
。ユーザ端末bはそれゆえ、c(a,b,d)を暗号解読することによって共通
セッションキーk(a,b,d)=k(b,d,a)を決定することができない
。同様に、ユーザ端末aは、共通セッションキーを取得するために暗号テキスト
メッセージc(b,a,d)を暗号解読することができない。
5.ユーザ端末aおよびbは、電気通信ネットワーク10を介して互いに暗号
化されたメッセージを送信することによって通信を行う。メッセージは、暗号関
数fおよび共通セッションキーk(a,b,d)=k(b,a,d)(図5のス
テップ5)を使用して暗号化される。全てのパッケージは、fおよびkを使用し
て暗号化され、これらfおよびkは暗号化の前のヘッダーに属するシステムによ
ってプリフィックス(prefixed)されるものの1つのような特定の固定された構造
を有する。
6.コート(court)が、傍聴されたユーザ端末への、または当該端末からの特
定の通信を許可するために令状(warrant)を発行するということを前提とする。
令状は、S(a)を保持する保管人端末に与えられる(全秘密キーS(a)が1
つの特定の保管人端末50に保持されるということが本発明のこの実施例に対し
て前提とされる。)。ついで保管人は、エッジまたはノード監視の各々に対して
、S(a,d)またはS(a,b,d)のワイヤタッパ端末46(図2のステッ
プ5)を提供する。
クオンティティ(quantity)S(a,d)またはS(a,b,d)がネット
ワーク10を介して保管人端末50から送信されると、クオンティティは、ワイ
ヤタッパ46以外の端末がクオンティティを取得しないように(たとえばパブリ
ックキー暗号法(cryptography)を使用して)暗号化される。また、クオンティテ
ィS(a,d)またはS(a,b,d)は、ネットワーク10の部分ではないチ
ャンネルを通してワイヤタッパ端末に供給されるか、またはワイヤタッパ端末4
6に手動で供給される。
時間期間dの間、ユーザ端末に対しての、または当該端末からの傍受が認
められるならば、クオンティティS(a,d)はワイヤタッパ端末46に供給さ
れる。ワイヤタッパ端末がS(a,d)をいったん持つと、P(b)がパブリッ
クであるので、いずれのパーティ(party)bに対してもCPUを使用してS(a
,b,d)を計算することができる。
ユーザ端末aまたは1つ以上の特定の他の端末bに対しての、またはこれ
らからの通信のみの傍受が認められるならば、クオンティティS(a,b,d)
は、ワイヤタッパに提供される。この場合、クオンティティS(a,b,d)は
、そのような各端末bに供給される。
いずれの場合も、ワイヤタッパ端末46は、共通セッションキーk(a,
b,d)を取得するためにc(a,b,d)を暗号解読することができる。この
ことは、端末aと端末bとの間の適切な通信を暗号解読するためにワイヤタッパ
端末46を許可する。
傍受が端末aよりも端末bに対して向いていると、ワイヤタップ端末は、
端末bでのノード監視に対するS(b,d)と、端末bでのエッジ監視に対する
S(b,a,d)とが供給されるということが注目される。
ワイヤタッパ(S(a,d),S(b,d),S(a,b,d),S(b,a
,d))に供給された情報は時間期間dの間、有効なだけであることが注目さ
れる。令状の時間境界は、容易に守られる(enforced)。ワイヤタッパによって取
得された全てのデータは、電話会社によってタイム・スタンプされ、ワイヤタッ
パは、ある日からのデータを異なる日からのデータとしてパス(pass)することが
できない。
すなわち、図2のプロトコルは主にノン・インタラクティブだからであり、e
- mailのようなアプリケーションに使用することができる。換言すると、端
末aだけが、例えば、そのステップを実行し、そして端末bが何もしないか又は
異なる時間でそのステップを実行するだけならば、図2のプロトコルは機能する
。S(a,d)またはS(a,b,d)でワイヤタッパを供給することによって
、ワイヤタッパは、端末aから端末bへの片道(one way)メッセージを暗号解読
することができる。
プロトコルのステップ1の計算gs(a)s(b)は、プロトコルの最も重要な計算の
部分である。この値は、時間期間dではなく、通信パーティ(parties)aおよび
bにのみ依存する。それゆえ、この値は、普通の(frequent)パートナーに対して
事前計算(precomputed)及び保持(stored)することができる。f及びhを含む比
較的“安い”計算は、実時間ベース(real time basis)でなされることが必要で
ある。
端末aが図2のステップ4でチート(cheats)し、そしてc(a,b,d)の破
壊された値を端末bに対して送るならば、図2のプロトコルでの問題は何が起こ
るかである。この場合、S(a,d)またはS(a,b,d)を持つワイヤタッ
パは、セッションキーk(a,b,d)を取得するためにc(a,b,d)を暗
号解読することができない。この問題に対する解答は、S(a)をワイヤタッパ
に供給し、ワイヤタッパが、彼自身、S(a,d)またはS(a,b,d)を決
定することを許可することである。
令状は、“フレーム(frame)”または“インパーソネイト(impersonate)”の他
の端末、すなわち令状のサブジェクト(subject)である端末にワイヤタッパをイ
ネーブルしない。それゆえ、むしろ端末は、それらのメッセージを知らせる。こ
のメッセージは、ワイヤタッパまたは1以上の保管人によって組み立てられない
ことを保証するノン・エスクロード・キー(non-escrowed keys)での他の暗号
法システムを使用するものである。これは望ましいものである。つまり、本発明
のシステムのようなエスクローシステムにおいては、ワイヤタッパがいったんセ
ッションキーk(a,b,d)を持つと、彼は、他のパーティにメッセージを送
ることによって、a又はbをインパーソネイトすることを試すことがあるからで
ある。
4.プロトコルを共有するスレショルド秘密
本発明の他の実施例では、ユーザ端末aの秘密キーは、シェア(shares)Si(
a),1≦i≦nを実証する(verifiabe)nに分けられる。そこにはm保管人端
末のn- サブセットでの1つのそのような実証シェアがある(図1参照)。
端末aと端末bとの間の片道通信(例えばe-mail)の場合を考察する。この場
合、端末aは以下のステップ(図3参照)を実行する。
1.端末aはk(a,b,d)=h(P(b)s(a),d)を決定する(図3の
ステップ1)。
2.端末aは実証シェアSi(a)の各々に対してSi(a,d)=h(Si(
a),d)を決定する(図3のステップ2)。
3.端末aは各iに対してSi(a,b,d)=h(Si(a,d),P(b)
)を決定する(図3のステップ3)。
4.端末aはS(a,b,d)=T(S1(a,b,d),S2(a,b,d)
,…,Sn(a,b,d))を決定する(図3のステップ4)。
5.端末aは暗号化メッセージc(a,b,d)=f(S(a,b,d),k
(a,b,d))を計算し、そしてメッセージをネットワーク10を介して端末
aから端末bに送信する(図3のステップ5)。
6.端末aはk(a,b,d)およびfを使用して暗号化されている端末bに
ネットワーク10を介して情報メッセージを送信する(図3のステップ6)。
7.有効な令状の受信によって、n保管人は、ワイヤタッパに、端末aのノー
ド監視に対するSi(a,d)または端末aと特定の1以上の端末bとの
間の通信だけの(エッジ)監視に対するSi(a,b,d)を供給する(図3の
ステップ7)。
8.ワイヤタッパは、端末aから端末bに送られたメッセージを暗号解読する
(図3のステップ8)。結論
ワイヤタッピング(wiretapping)令状での暗号の限界を許容するキー・エスク
ロー技術が開示された。特に、傍受(wiretaps)での時間制限ができる。さらに、
傍受は、特定のパーティまたは通信パートナーの特定のペア(pairs)を対象とす
ることができる。最後に、上述の本発明の実施例は実例となることだけを意図し
ている。多くの実施例が以下に示す特許請求の範囲から逸脱することなく当業者
によって提案することができる。
─────────────────────────────────────────────────────
フロントページの続き
(72)発明者 ウィンクラー,ピーター,マン
アメリカ合衆国 07940 ニュージャージ
ー州 マディソン ワシントン ドライブ
5
(72)発明者 ヤコビ,ヤコブ
アメリカ合衆国 98040 ワシントン州
マーサー アイランド ウエスト マーサ
ー ウエイ 5050
Claims (1)
- 【特許請求の範囲】 1.通信ネットワーク内の制限されたプライバシーを保証する方法において、 (a)ある当事者の端末から、前記ネットワークを介して、1または2以上の 当事者bの端末へ、c(a,b,d)=f(S(a,b,d),k(a,b,d ))の形式の暗号テキスト・メッセージを送るステップと、 ここで、 P(a)は、当事者aの公開キー; S(a)は、当事者aの秘密キーで、 gs(a)=P(a)modであり、p,pおよびgは整数; P(b)は、当事者bの公開キー; hは一方向ハッシュ関数; fは暗号化関数 dは期間 S(a,d)=h(S(a),d); S(a,b,d)=h(S(a,d),P(b)); k(a,b,d)=h(P(b)s(a),d)は時間dの期間に対して有効 なセッション・キー; (b)1または2以上の暗号化された情報メッセージを前記ネットワークを介 して、前記当事者aと前記1または2以上の当事者bとの間、fを暗号化関数と しておよびk(a,b,d)をセッション・キーとして使用して、送るステップ と、 (c)保管人から前記ネットワークに接続されているワイヤタッパ端末に、当 事者bの当事者aからおよび当事者aへの通信は暗号解読されること承認されて いる各特定の当事者bに対応するS(a,b,d)を、または、ワイヤタッパ端 末が当事者からおよび当事者aへのすべての当事者bとの通信を暗号解読するこ とが承認されている場合はS(a,d)を提供するステップと を備えることを特徴とする方法。 2.請求項1記載の方法において、さらに、 (a)前記ワイヤタッパ端末において、S(a,b,d)をc(a,b,d) を暗号解読するのに使用してk(a,b,d)を得るステップと、 (b)k(a,b,d)を使用して、前記ネットワークを介して前記当事者a と1または2以上の当事者bとの間で、暗号化された情報メッセージを送るステ ップと を含むことを特徴とする方法。 3.通信ネットワーク内の制限されたプライバシーを保証する方法において、 (a)当事者aから当事者bに前記ネットワークを介して、暗号メッセージを 送るステップであって、前記暗号メッセージは当事者aおよびbの共通セッショ ン・キーを含み、共通セッション・キーは、暗号化関数fおよび当事者aの秘密 キーから一方向のハッシュ関数を用いて当事者aにより導出された暗号キーを用 いて暗号化されており、 (b)前記ネットワークに接続されているワイヤタッパ端末に、前記ワイヤタ ッパ端末が前記暗号化メッセージを前記暗号キーを用いて暗号解読して、前記セ ッション・キーを、前記ワイヤタッパ端末が当事者aの秘密キーを得ることなく 、得ることができる十分な情報を供給するステップと、 (c)前記ネットワークを介して当事者aおよびbの間で、前記暗号化関数f および前記セッション・キーを用いて暗号化された情報メッセージを送るステッ プと、 (d)前記ワイヤタッパ端末において、当事者aとbとの間で送られた情報メ ッセージを暗号解読するステップと を備えることを特徴とする方法。 4.請求項3記載の方法において、前記セッション・キーは、当事者aの端末に 位置しているユニットで、k(a,b,d)=h(Ps(a),d)に従って処理さ れて決定されることを特徴とする方法。 ここで、 P(a)は、当事者aの公開キー; S(a)は、当事者aの秘密キー; dは期間を示しており、 hは一方向ハッシュ関数; 5.請求項3記載の方法において、前記暗号キーは、以下の形式の当事者aの秘 密キーから導出されることを特徴とする方法。 S(a,b,d)=h(S(a,d),P(b))、ここで、 S(a,d)=h(S(a),d); S(a)は、当事者aの秘密キーで、 P(b)は、当事者bの公開キー; dは期間を示す hは一方向ハッシュ関数; 6.請求項5記載の方法において、前記暗号関数は以下の形式を有することを特 徴とする方法。 c(a,b,d)=f(S(a,b,d),k(a,b,d)) 7.請求項3記載の方法において、前記ワイヤタッパ端末は、当事者aと1また は2以上の特定の当事者bとの間で送られている情報メッセージを暗号解読をす ることを特徴とする方法。 8.請求項7記載の方法において、1または2以上の保管人は前記ワイヤタッパ 端末に、前記1または2以上の特定の当事者bに対する前記暗号メッセージを暗 号解読するのに十分な情報を提供することを特徴とする方法。 9.請求項8記載の方法において、単一の保管人が前記ワイヤタップ端末に情報 を以下の形式で供給することを特徴とする方法。 前記1または2以上の特定の当事者bに対して S(a,b,d)=h(S(a,d),P(b)) 10.請求項7記載の方法において、1または2以上の保管人は前記ワイヤタッ パ端末に、前記すべての当事者bに対する前記暗号メッセージを暗号解読するの に十分な情報を提供することを特徴とする方法。 11.請求項10記載の方法において、単一の保管人が前記ワイヤタッパ端末に 情報を以下の形式で供給することを特徴とする方法。 S(a,d)=h(S(a),d); ここで、前記ワイヤタッパ端末は前記暗号キーを前記情報S(a,d)から導 出する。 12.請求項3記載の方法において、前記暗号キーは、以下の形式の当事者aの 秘密キーから導出されることを特徴とする方法。 S(a,b,d)=T((S1(a,b,d),S2(a,b,d),.. .,Sn(a,b,d));ここで、 Tは、スレッショルド関数; Si(a,b,d)=h(Si(a,d),P(b)); Si(a,d)=h(Si(a),d); Si(a)は、複数のn人の保管人内の特定の保管人iに知られている当 事者aの秘密キーの検証可能な割り当て; P(b)は、当事者bの公開キー; dは期間を示す hは一方向ハッシュ関数; 13.請求項3記載の方法において、前記暗号キーは、当事者aの端末により下 記の方法に従って決定され、前記方法は、 (a)前記当事者aの前記端末中の処理ユニットにより Si(a,d)=h(Si(a),d),1≦i≦n を決定するステップと、 ここで、Si(a)は、複数のn人の保管人内の特定の保管人iに知 られている当事者aの秘密キーの検証可能な割り当てであり、dは期間を示し、 hは一方向ハッシュ関数である。 (b)当事者aの前記端末中の前記処理ユニットにより、 Si(a,b,d)=h(Si(a,d),P(b)), 1≦i≦n を決定するステップと、 (c)当事者aの前記端末中の前記処理ユニットにより、 前記Si(a,b,d)のクオンティティを結合し、前記暗号キーを 得るステップと を備えることを特徴とする方法。 14.請求項13記載の方法において、前記ワイヤタッパ端末は、当事者aとす べての当事者bとの間で送られている情報メッセージを暗号解読をすることを特 徴とする方法。 15.請求項13記載の方法において、前記ワイヤタッパ端末は、当事者aと1 または2以上の当事者bとの間で送られている情報メッセージを暗号解読をする ことを特徴とする方法。 16.請求項15の方法において、前記複数の保管人からの各保管人iは、前記 ワイヤタッパ端末に、各特定の当事者bに対するSi(a,b,d)を提供する ことを特徴とする方法。 17.請求項3記載の方法において、前記暗号キーは、前記当事者aの秘密キー 情報、前記当事者bの公開キー、および、時間の期間の情報からハッシュ関数を 用いて導出され、前記暗号キーは前記期間内のみ有効であることを特徴とする方 法。 18.請求項3記載の方法において、前記セッション・キーは、前記当事者aの 秘密キー情報、前記当事者bの公開キー、および、時間の期間の情報から導出さ れ、前記セッション・キーは前記期間内のみ有効であることを特徴とする方法。 19.通信ネットワークでワイヤタップを行う方法において、 (1)前記ネットワークに接続されている端末aにおいて、特定の期間に対し て有効なセッション・キーを (i) 前記端末aの秘密キー (ii)前記ネットワークに接続されている端末bの公開キー (iii) 期間を示している情報 から導出するステップと、 (2)前記端末aにおいて、前記端末aの秘密キーと前記端末bの公開キーか ら、前記特定の期間有効な暗号キーを導出するステップと、 (3)前記ネットワークを介して、前記端末aから前記端末bへ、暗号メッセ ージを送るステップであって、前記暗号メッセージには、前記暗号キーにより暗 号化関数を用いて、前記セッション・キーが暗号化されており、 (4)前記ネットワークを介して、前記端末aから前記端末bへ、前記セッシ ョン・キーと前記暗号化関数を用いて暗号化された情報メッセージを送るステッ プと、 (5)令状に応答して、前記ネットワークに接続されているワイヤタッパ端末 に、前記ワイヤタッパ端末が前記端末aの秘密キーの知識を得ることなく、暗号 メッセージを暗号解読しセッション・キーを得ることができる情報を供給するス テップと を備えることを特徴とする方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US08/402,176 US5633928A (en) | 1995-03-10 | 1995-03-10 | Key escrow method with warrant bounds |
| US08/402,176 | 1995-03-10 | ||
| PCT/US1996/002477 WO1996028913A1 (en) | 1995-03-10 | 1996-02-23 | Key escrow method with warrant bounds |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH11502035A true JPH11502035A (ja) | 1999-02-16 |
Family
ID=23590842
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP8527619A Pending JPH11502035A (ja) | 1995-03-10 | 1996-02-23 | 令状の制限があるキー・エスクロー方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US5633928A (ja) |
| EP (1) | EP0872064A1 (ja) |
| JP (1) | JPH11502035A (ja) |
| CA (1) | CA2215050C (ja) |
| WO (1) | WO1996028913A1 (ja) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6026163A (en) * | 1995-12-13 | 2000-02-15 | Micali; Silvio | Distributed split-key cryptosystem and applications |
| US5768373A (en) * | 1996-05-06 | 1998-06-16 | Symantec Corporation | Method for providing a secure non-reusable one-time password |
| US5796830A (en) * | 1996-07-29 | 1998-08-18 | International Business Machines Corporation | Interoperable cryptographic key recovery system |
| US5930362A (en) * | 1996-10-09 | 1999-07-27 | At&T Wireless Services Inc | Generation of encryption key |
| US6483920B2 (en) * | 1996-12-04 | 2002-11-19 | Bull, S.A. | Key recovery process used for strong encryption of messages |
| US5974151A (en) * | 1996-11-01 | 1999-10-26 | Slavin; Keith R. | Public key cryptographic system having differential security levels |
| US5920630A (en) * | 1997-02-25 | 1999-07-06 | United States Of America | Method of public key cryptography that includes key escrow |
| US5937345A (en) * | 1997-05-02 | 1999-08-10 | Nortel Networks Corporation | Method and apparatus for intercepting calls in a communications system |
| US6282295B1 (en) | 1997-10-28 | 2001-08-28 | Adam Lucas Young | Auto-recoverable and auto-certifiable cryptostem using zero-knowledge proofs for key escrow in general exponential ciphers |
| US6389136B1 (en) | 1997-05-28 | 2002-05-14 | Adam Lucas Young | Auto-Recoverable and Auto-certifiable cryptosystems with RSA or factoring based keys |
| US6202150B1 (en) | 1997-05-28 | 2001-03-13 | Adam Lucas Young | Auto-escrowable and auto-certifiable cryptosystems |
| US6243466B1 (en) | 1997-08-29 | 2001-06-05 | Adam Lucas Young | Auto-escrowable and auto-certifiable cryptosystems with fast key generation |
| US6122742A (en) * | 1997-06-18 | 2000-09-19 | Young; Adam Lucas | Auto-recoverable and auto-certifiable cryptosystem with unescrowed signing keys |
| US6229894B1 (en) * | 1997-07-14 | 2001-05-08 | Entrust Technologies, Ltd. | Method and apparatus for access to user-specific encryption information |
| JP3542895B2 (ja) * | 1997-08-22 | 2004-07-14 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 時間制約暗号システム |
| US6438695B1 (en) * | 1998-10-30 | 2002-08-20 | 3Com Corporation | Secure wiretap support for internet protocol security |
| US6473508B1 (en) | 1998-12-22 | 2002-10-29 | Adam Lucas Young | Auto-recoverable auto-certifiable cryptosystems with unescrowed signature-only keys |
| GB2353682B (en) * | 1999-07-15 | 2004-03-31 | Nds Ltd | Key management for content protection |
| IL130963A (en) * | 1999-07-15 | 2006-04-10 | Nds Ltd | Key management for content protection |
| KR20030028618A (ko) * | 2001-09-20 | 2003-04-10 | (주) 엘지텔레콤 | 네트워크를 이용한 인증서 발급 서비스 방법 |
| KR100858975B1 (ko) | 2006-10-30 | 2008-09-17 | 한국전자통신연구원 | 전자감시 방법 및 그 시스템 |
| US9065642B2 (en) * | 2012-03-07 | 2015-06-23 | Certicom Corp. | Intercepting key sessions |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE119726T1 (de) * | 1990-10-24 | 1995-03-15 | Omnisec Ag | Geheimübertragungssystem mit möglichkeit zur verschlüsselten kommunikation zwischen benutzern mit gesichertem schlüssel, welcher ohne benutzereinwirkung bestimmt wird. |
| US5315658B1 (en) * | 1992-04-20 | 1995-09-12 | Silvio Micali | Fair cryptosystems and methods of use |
| US5475763A (en) * | 1993-07-01 | 1995-12-12 | Digital Equipment Corp., Patent Law Group | Method of deriving a per-message signature for a DSS or El Gamal encryption system |
| WO1995005712A2 (en) * | 1993-08-13 | 1995-02-23 | Frank Thomson Leighton | Secret key exchange |
| US5481613A (en) * | 1994-04-15 | 1996-01-02 | Northern Telecom Limited | Computer network cryptographic key distribution system |
| US5557678A (en) * | 1994-07-18 | 1996-09-17 | Bell Atlantic Network Services, Inc. | System and method for centralized session key distribution, privacy enhanced messaging and information distribution using a split private key public cryptosystem |
-
1995
- 1995-03-10 US US08/402,176 patent/US5633928A/en not_active Expired - Lifetime
-
1996
- 1996-02-23 WO PCT/US1996/002477 patent/WO1996028913A1/en not_active Application Discontinuation
- 1996-02-23 JP JP8527619A patent/JPH11502035A/ja active Pending
- 1996-02-23 CA CA002215050A patent/CA2215050C/en not_active Expired - Fee Related
- 1996-02-23 EP EP96911216A patent/EP0872064A1/en not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| US5633928A (en) | 1997-05-27 |
| CA2215050C (en) | 2000-12-26 |
| EP0872064A1 (en) | 1998-10-21 |
| CA2215050A1 (en) | 1996-09-19 |
| WO1996028913A1 (en) | 1996-09-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPH11502035A (ja) | 令状の制限があるキー・エスクロー方法 | |
| US5588061A (en) | System and method for identity verification, forming joint signatures and session key agreement in an RSA public cryptosystem | |
| Beller et al. | Privacy and authentication on a portable communications system | |
| US5557678A (en) | System and method for centralized session key distribution, privacy enhanced messaging and information distribution using a split private key public cryptosystem | |
| JP2606419B2 (ja) | 暗号通信システムと暗号通信方法 | |
| US5450493A (en) | Secure communication method and apparatus | |
| US5222140A (en) | Cryptographic method for key agreement and user authentication | |
| US5150411A (en) | Cryptographic system allowing encrypted communication between users with a secure mutual cipher key determined without user interaction | |
| Dodis et al. | Key-insulated public key cryptosystems | |
| US6779111B1 (en) | Indirect public-key encryption | |
| Burmester | On the risk of opening distributed keys | |
| US5642420A (en) | Cryptoinformation repeater, subscriber terminal connected thereto, and cryptocommunication method | |
| US4956863A (en) | Cryptographic method and apparatus for public key exchange with authentication | |
| Lenstra et al. | A key escrow system with warrant bounds | |
| CA2819211C (en) | Data encryption | |
| US6912654B2 (en) | Secret key generating method, encryption method, cryptographic communication method and cryptographic communication system | |
| Yi et al. | A secure and efficient conference scheme for mobile communications | |
| KR20060078768A (ko) | 사용자 개인키의 분산 등록을 이용한 키 복구 시스템 및그 방법 | |
| Knudsen et al. | On the difficulty of software key escrow | |
| KR20030047148A (ko) | Rsa를 이용한 클라이언트/서버 기반의 메신저 보안 방법 | |
| JPH06112935A (ja) | 暗号通信方法 | |
| Boyd | Enforcing traceability in software | |
| Huang et al. | A new design for efficient t-out-n oblivious transfer scheme | |
| Karki | A comparative analysis of public key cryptography | |
| EP0876028A2 (en) | A method for publicly verifiable recovery of Diffie-Hellman, RSA and Rabin related asymmetrical encryption |