JPH1173104A - ディフィーヘルマン、rsa及びラビンに関する非対称暗号化の公に検証可能な回復方法 - Google Patents

ディフィーヘルマン、rsa及びラビンに関する非対称暗号化の公に検証可能な回復方法

Info

Publication number
JPH1173104A
JPH1173104A JP10156559A JP15655998A JPH1173104A JP H1173104 A JPH1173104 A JP H1173104A JP 10156559 A JP10156559 A JP 10156559A JP 15655998 A JP15655998 A JP 15655998A JP H1173104 A JPH1173104 A JP H1173104A
Authority
JP
Japan
Prior art keywords
key
encryption
rsa
information
mod
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP10156559A
Other languages
English (en)
Inventor
Eric R Verheul
エリク・エル・フエルフユール
Henk C A Tilborg
ヘンク・セー・アー・テイルボルフ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Publication of JPH1173104A publication Critical patent/JPH1173104A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 (修正有) 【課題】 会話パートナ間の交換を監視するための一つ
または複数のモニタ(例えば会話パートナの一つ)から
なるシステムにおいて使用されるべきキー回復暗号のた
めの方法を提供する。 【解決手段】 前記の方法において、交換の一部として
の会話パートナ1は、上記の共聴取者が検索者TRP
1,2の一人(または分割技法が使用されている場合に
はいくつか)から(同時またはいくらか遅れて)協力を
得る場合には、この共聴取者にも同じ情報を利用可能に
し、この過程で会話パートナはまた同時に結合データと
して知られる追加情報も送り、これによってモニタは、
モニタが自分の自由になる秘密情報を持つ必要なく、前
記の情報利用可能化が正しく実施可能でもあることを検
査できる。この方法は、交換において、秘密情報が、R
SA、ラビン、またはディフィ−ヘルマンという非対称
方式、またはこれらの組合せにより暗号化される。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】
1.はじめに 「電子スーパーハイウェイ」を基にした世界的な情報社
会の発展は速いペースで前進しつつあり、インターネッ
トへの関心の増加がこれを示している。しかしながら、
多くの電子スーパーハイウェイ適用例において、送信ま
たは受信される情報の信頼性は非常に重要である。さら
に詳しくは、 [機密性] 情報が、例えばそれが機密にかかわる情報
であるために、許可されていない者によっては途中で見
られず、 [正確性] 情報が、例えばそれが財務上の情報である
ために、許可されていない者によっては途中で変更され
ないことが、多くの適用例において非常に重要である。
【0002】情報社会が実際にうまく軌道に乗ることを
望むならば、これらの信頼性要件、つまり世界の多くの
政府によって共有される目的を保証することが可能でな
ければならない。公開キーインフラストラクチャ(PK
I)として知られる世界中に及ぶデータ保護インフラス
トラクチャを設定する必要があるであろう。PKIで
は、公開キーが(例えば公証人など)信頼できる当事者
のネットワークによって認定され、(RSAなどの)非
対称暗号化のために使用される。政府がPKI実現にお
ける主要当事者であるべきだと言明する理由は無数にあ
る。一つの理由を挙げると、ある意味では認定された公
開キーは情報社会のディジタルパスポートであり、パス
ポートの機構が政府の業務であることはもっともであ
る。
【0003】しかしながら、原則として情報の機密性を
許可されていない者によって見られることから防止する
方法は、法の執行、安全保護、および諜報の機関など
の、許可された者によって見られることからも防止す
る。後者の当事者が裁判所の許可によって容疑者の通信
を傍受するとき、彼らは関係情報にアクセスすることが
できない。言い換えれば、政府が単にPKIの発展を促
進させるならば、この方法で政府は犯罪者の生活を楽に
することにもなる。この事実は、もちろん公開キーイン
フラストラクチャの供給を簡単に推進することを政府に
とって困難にすることである。
【0004】したがって問題は、法を守る市民及び組織
の間の信頼を促進するが、しかし犯罪者にとって情況を
楽にしないPKIをいかに準備するかであり、換言すれ
ば、容疑者がPKIを使用するやいなや、機密性に関し
てシステムによって提供される保護が、法の執行、安全
保護、および諜報の機関が裁判所の許可によって容疑者
の通信を盗聴するとき、これらの機関のために放棄され
ることが可能である。さらにまた、保護の除去は、その
ように行う必要と権利を有する他の者のためにも重要に
なり得る。PKIの実現における重要条件は、(クリッ
パチップなどの、[Clip]を参照)ハードウェアか
らのみではなく、ソフトウェアからPKIを使用するこ
とも可能でなければならないことである。
【0005】2.従来の技術 この問題の解析を可能にするために、機密性の(ハイブ
リッド)公開キー暗号化の下記の(記号式)説明を紹介
する。人物アリスが暗号化された機密レポートMを人物
ボブに送ろうとする場合、アリスは、ランダムセッショ
ンキーSを発生させ、アリスは、Sを使用して従来の
(対称)暗号方式によってレポートMを暗号化し、アリ
スは、ボブの公開キーによってSを暗号化する。
【0006】それからアリスは、パッケージbとパッケ
ージcをボブに送る。ボブは、パッケージcを彼の専用
キーを用いて復号し、この方法で彼はSを自由に使える
ようになり、Sによってパッケージbを再び復号するこ
とによってメッセージMが得られる。
【0007】この構成は今では、さまざまな方法で、法
を守る市民にとっては安全化され、犯罪者にとっては安
全化されないようにすることができる。明白な一つの方
法は、American Office of the
Presidentの起草案であるキー管理インフラ
ストラクチャ案である。ここでは、ユーザの専用キー
は、法の執行、安全保護、または諜報の機関の調査に協
力する信頼できる第三者がしかるべき裁判所の許可を有
する場合には、この第三者によって預けられる。
【0008】これには多くの欠点がある。すなわち、例
えば解決策を国際的に適用するには困難である(例えば
キーはどこへ行くのか)。[VKT]ではさらに多くの
問題が列挙される。もう一つの問題は、(上記の説明
で)アリスが容疑者であり、ボブはそうでない場合に
は、法の執行、安全保護、または諜報の機関は、容疑者
でないボブの専用キーを利用できなければならないこと
である。ロンドン大学の提案[RH](Royal H
olloway)は実際に同じ考えに基づくものである
が、Key Escrow Agentsの複雑な方式
によってユーザの専用キーを作るもので、実際には、二
つの国においてKey Escrow Agentsに
よって復元可能である(すなわち、Key Escro
w Agents間の協力は必要ではない)。これは、
(たとえばノルウェーなど、キーにアクセスできること
を全く望まない国もあるが)原則として国際的解決策を
もたらすものである。Royal Hollowayが
使用する公開暗号方式はかなり厳密なものであるから、
実際に点aにおけるセッションキーは固定されている。
これは公開暗号化の原則に反するのみではなく、あらゆ
る種類の他の迷惑な結果ももたらす。
【0009】もっと自由で柔軟な解決策は、各ユーザが
例えば法によって規制されるべき一つまたは複数の信頼
される検索者(TRP)を選択し、パッケージdが通信
に加えられることである。すなわちSは選択されたTR
Pの公開キーによって暗号化する。
【0010】したがってこれらのTRPは、それがある
かのように仮想受信人として働く。すなわち、これらの
TRPはメッセージを受信しないが、メッセージを受信
するならば、メッセージを復号すること(および読むこ
と)ができる。ここで、許可された者が通信を傍受した
場合には、この者はTRPの助力によってブロックdか
ら(唯一の!)セッションキーSを得ることができ、そ
れからSを用いてブロックbを復号することによって再
びメッセージMを探し出すことができる。原則として、
許可された者は、復号化を実施するためおよびブロック
a〜dに基づいてメッセージMを戻すための両方をTR
Pに頼むことができるが、これは直接的には望ましくな
いメッセージの表示をTRPに与えることになる。
【0011】キー回復の解決策における固有の危険性
は、TRPが改ざんされた場合に、そのユーザの(秘
密)情報が許可されない者に到達する可能性があること
である。これに対する解決策は「分割」及び「共有」技
法の使用である。これは、TRPに属する専用キーが一
個の人物または組織の思いのままにならないが、複数の
専用または組織、すなわちy個の「サブTRP」の間で
分けられていることを意味する。これらの部分は、 − y個の「サブTRP」がすべて共に専用キーを復元
することができ、 − y個より少ない「サブTRP」では専用キーについ
て知ることができない場合には、専用キーの「yからy
への分割」式型を形成する。
【0012】− 任意のx個の「サブTRP」が専用キ
ーを復元することができ、 − x個より少ない「サブTRP」では専用キーについ
て知ることができないような、x(yより小さい)があ
る場合には、「yからxの分割」と呼ぶ。
【0013】この提案はユーザに、ユーザが信頼しよう
とする当事者(ユーザがTRPとしてとる当事者)に関
する非常に広い選択を与えるのみならず、いくつかのT
RP(送信国から1つ、受信国から1つ)を使用するこ
とができるので、これは原則としてRoyal Hol
lawayと同じ国際的な利点を与える。しかしながら
一つの欠点は、これが犯罪者によって容易に悪用できる
ことである。わかり易くするために、悪用とは、人々が
システムを利用しようと望むが、(例えば契約によっ
て)システムのために作られた規則を順守しないことを
意味する。説明のために言えば、アリスがブロックdの
代わりに何らかのデータを送るだけであれば、アリスは
実際にはシステムの利点を使用しており、犯罪的な「欠
点」は使用しない。
【0014】TIS−CKE/キー回復式型[TIS]
(特許権を受けており、米国特許第5557346号及
び同第5557765号の明細書を参照)においては、
この形式の一方的な悪用は、受信ソフトウェアに再構成
検査を実施させることによって防止することができる
(受取人はSを知っており、したがってTRPの公開キ
ーを用いてパッケージdを再構成して結果をパッケージ
dと比較することができる)。しかしながら、この検査
はソフトウェアプログラムにおける(簡単な)操作によ
ってバイパスされることが可能である(常に構成検査を
「OK」とする)。言い換えれば、陰謀を企む犯罪者は
システムの利点を(容易に)利用することができるが、
犯罪的な欠点を利用することはできない。
【0015】[VKT]及び特に[VT]では、この問
題に対する(部分的)解決策が見つかっており、これ
は、(例えば上述のような)陰謀的な不正行為を防止す
る必要はないが、実際には(スポット検査によって)第
三者によって検知できるという要件による解決法であ
る。この場合にモニタとも呼ばれる第三者は、ネットワ
ーク(の設備)のオペレータ及び(インターネット)サ
ービス提供者、すなわち実際に自由に使えるすべての
(暗号化された)データをすでに有する者を含むものと
考えられる。しかしながら、ユーザ自身の制御方式また
は制御ソフトウェアもしくはその両方によって実施され
る検知操作を考えることもできる。
【0016】検知で構成される追加の要件は、第三者が
自分で自由に秘密情報を使うことなくこの不正行為を検
知できなければならないことである。したがって、ユー
ザのプライバシに不都合な影響があってはならない。あ
る第三者が不正行為を検知できなければならないという
要件は、ある者がプロバイダとして動作することを許さ
れる前に、法的要件として設定されることができる。検
知された不正行為について特定的に何が起こるべきかは
国内立法の問題である。
【0017】さらに詳しくは、この概念は結合暗号と呼
ばれ、したがって追加情報ブロックの追加で構成され
る。
【0018】e.結合データ ブロックe(およびアドレス指定され選択されたTRP
の公開キー)によって、知られるべきか既知であるかも
しくはその両方を必要とする秘密情報なしに、ブロック
cにおいて暗号化されたセッションキーがブロックdに
おいて暗号化されたそれと同じであるかどうかを確定す
ることが可能でなければならない。フォローアップ論文
[VT]では、公知の公開キー暗号方式のためのデータ
結合方法、すなわちエルガマルが設計されている。この
論文はまたエルガマルのための分割技法も述べており、
この技法によってTRPの(既に述べた)改ざんの問題
を解決することができる。
【0019】3.新しい発明 ここで、他の三つの公開キー方式、すなわちディフィ−
ヘルマン[DH]、RSA[RSA」及びそのラビン
[Rabin]の変形の複合結合構造について説明す
る。
【0020】これらの方式については、同じメッセージ
を暗号化するために様々な公開キー暗号方式が使用され
る(例えばセッションキー)という点で、2.で述べた
一般的結合の提案からは僅かな偏りがある。結合データ
の機能性は変わらない。すなわち、秘密知識を必要とせ
ずまたこれを自由に使用できるようになることなく、
(様々な形式の)暗号による同じ秘密情報の保護を結合
データによって確立することができる。
【0021】3.1 RSA/ラビン(説明) RSA方式[RSA]においては、各関係者は、二つの
(大きな)素数p、qの積であるモジュロn、及び、e
・d=1(mod lcm(p−1,q−1))の関係
を持つ公開指数eと専用指数dとを選択する。ここで、
「lcm」は「最小公倍数」を表す。公開指数とモジュ
ロnは公知にされ、信頼される当事者による信用証明と
組み合わせられる。
【0022】(e,n)がアリスの公開RSAキーであ
れば、メッセージ0<S<nは(他の当事者)ボブによ
ってc=Se mod nとして暗号化される。アリス
はこのメッセージをcd mod nを計算することに
よって復号する。
【0023】ラビンの変形[Rabin](以後単にラ
ビンと呼ぶ)では、eは2と等しく選択され、したがっ
てラビン公開キーはモジュロnのみから成る。メッセー
ジS<nはアリスによってc=S2mod nとして暗
号化される。欠点は、ボブによる復号がもはや唯一では
なく、原則として、S2=c mod nを満たす四つ
の可能なメッセージSがあることである。ラビン方式内
では、ボブは何とかして四つのSから正しいSを選択す
ることができなければならない。さらに、ラビンの場合
の素数pと素数qは、平方根の計算を行うのが簡単であ
るから、いわゆるブルム整数として選択されることが多
い。
【0024】3.2 ディフィ−ヘルマン(説明) ディフィ−ヘルマンキー協定[DH]は、安全でない
(公開)チャネルによって共通秘密キーに到達するため
の二人の当事者の最初の実用的な解決策であった。この
方式は、(乗法的に書かれた)群Δの巡回部分群Гを利
用し、群Δにおいては、いわゆる離散的対数の問題を実
用的な方法で解決することができない。nをГオーダー
の大きな(例えば160ビット)数とし、γをГの生成
元とする。要素γ、Г、およびΔ(およびnは必ずしも
必要ではない)は、発する当事者(IP)によってすべ
ての関係者に与えられる。群Г、Δについては様々な選
択が可能であるが、典型的な例ではГ=Δであり、Δは
有限要素の乗法群または有限体にわたる楕円曲線上の点
群である。
【0025】プロトコルの基本バージョンにおいて二人
の関与当事者A、Bが秘密キーについて同意を望む場合
には、両者は下記を行う。
【0026】1.Aは、nより小さな任意の数ka(ま
たはその上限)を生成し、zA=γkaをBに送る。
【0027】2.Bは、nより小さな任意の数kb(ま
たはその上限)を生成し、zB=γkbをAに送る。
【0028】3.Aは、zBを受け取り、共通秘密キー
を(zBkaとして計算する。
【0029】4.Bは、zAを受け取り、共通秘密キー
を(zAkbとして計算する。
【0030】プロトコルのこの基本バージョンは共通キ
ーの機密性のみを保護し、当事者の真実性を保護しな
い。真実性を基本プロトコルに加えるプロトコルの様々
な変形が存在する。例えば、すべての関与当事者は(信
頼できる)第三者によって認証された固定公開キーを与
えられる。ディフィ−ヘルマンのステーション対ステー
ション[STS]およびMTI[MTI]の変形におい
て、もっとよい解決策が見出だされている。
【0031】3.3 マッカーリーのエルガマル変形
(説明) エルガマル公開キー方式[EIG]は、ディフィ−ヘル
マンのように、いわゆる離散的対数の問題を実用的な方
法では解決できない(乗法的に書かれた)群Hの巡回部
分群Gを利用する。群G、Hについて様々な選択が可能
であるが、典型的な例においては、G=Hであり、また
Hは有限要素の乗法群または有限体にわたる楕円曲線上
の点群である。
【0032】要素g、G、Hは公に知らされる。方式に
参加するために、参加者は自分の専用キーx(gオーダ
ーより小さな数またはその上限)を選択し、自分の公開
キーy=gxを公に知らせ、信用証明その他と組み合わ
せる。
【0033】yがアリスの公開エルガマルキーである場
合には、Hからの一要素であるメッセージSは、任意の
k(g台より小さな数またはその上限)をまず選択し、
(t,u):=(gk,S・yk)を計算することによっ
て、(他の当事者)ボブによって暗号化される。アリス
はこのメッセージをu/txを計算することによって復
号する。
【0034】マッカーリーのエルガマル変形[McC]
では、Z/nZの乗法群はHとしてとられ、この場合に
nはRSAの場合と同様に、二つの(秘密)素数p、q
の積である。乗法群Z/nZからの任意の要素gによっ
て作られる群を群Gとしてとることができる。[Mc
C]では、特別素数が選択され、gは16に等しくされ
る。この理由は、この選択においてはマッカーリーは、
エルガマルのこの形式を破ることができるものはモジュ
ロnを因数分解することもできると証明できることであ
る。
【0035】実際に、素数p、qと生成元gのこの選択
は必要ではない。またZ/nZの乗法群における任意の
素数p、qおよび任意のgに考慮すべきである(したが
ってここでn=p・q)。
【0036】3.4 多重回復可能RSA/ラビン(発
明) 同じ秘密SのいくつかによるRSA/ラビン暗号化は安
全保護されない可能性がある[Has]。これは、RS
A以外の方式、すなわちエルガマルのマッカーリーの変
形によってTRPのために意図されるSの暗号化された
コピーを作ることを選択する理由でもあり、この方式に
おいて、ユーザによって使用されるRSA/ラビンモジ
ュロnが実際に使用され、生成元gはZ/nZにおいて
選択される。こうして、m者のTRPが関与する場合に
は、彼らの専用キーはx1、x2、・・・、xm(数<
n)の形となり、彼らの公開キーはy1=gx1、y2=
x2、・・・、ym=gxmの形となる。
【0037】したがって、R=Se mod nがユー
ザの公開キー(e,n)による暗号化である場合には、
TRPのための写しは(A1,B1):=(gk,S・
(y1k)、(A2,B2):=(gk,S・
(y2k)、(A3,B3)=(gk,S・(y3k)、
・・・、(Am,Bm)=(gk,S・(ymk)の形と
なる(モジュロはすべてn)。これらのm個の暗号化の
場合に同じランダムkはユーザによってnより小さく選
択されることに留意されたい。
【0038】換言すれば、セクション2において述べた
メッセージは次の形を有する。
【0039】E. Sによって暗号化されたデータ A. R=Se mod n、 B. (A1,B1):=(gk,S・(y1k)、
(A2,B2):=(gk,S・(y2k)、(A3
3)=(gk,S・(y3k)、・・・、(Am,Bm
=(gk,S・(ymk)、モジュロはすべてn。
【0040】選択されたセッションキーSが(より大き
な群Hの代わりに)群Gの中で(任意に)選択された、
すなわちSがgz mod nの形であって、z<n任
意である場合には、エルガマル/マッカーリー回復領域
によるRSAの中断はこれらの領域のない場合と同様に
困難であることを証明することができる。したがって
(形式)安全保護の考えから、群Gの中でSを選択する
ことを決定できる。
【0041】本出願人らによって作られた結合データ
は、((Aie,(Bie)は公開キーyiに関するS
のエルガマル暗号化に関係することを証明し、これは、
ブロックA、Bが同じSを含むことを証明するには十分
である。これは、1、2、・・・、mである各iについ
て、底gモジュロnに関する式(Aie mod nの
対数が、式(Bie mod nの対数を底yiに関す
るR mod nで割ったものと同じであることを証明
することと等価である。後者は[VT]に記載するよう
な非対話式プロトコルに基づく一変形によって簡単に達
成される。ここで、m=1についてこれを説明する。一
般的な場合も類似の方法で続く。m=1の場合には、結
合データは一つのkが存在することを示さなければなら
ないので、 a=gk=(A1e mod n b=(y1k=(B1e/R mod n (*) となる。
【0042】これは次のように進む。まず第一に安全パ
ラメータvが決められる。結合データは正しくない結論
をもたらすという1/2vの機会は容認可能と考えられ
る。安全パラメータは例えば80(ビット)前後であ
る。さらに一方向安全ハッシュ関数が決定され、この出
力ビット数は十分に大きい(例えば160)。
【0043】続いて、 1.この目的のために送信する会話パートナはnより小
さな任意のlを発生させ、結合データに加えられるc=
1 mod n及びd=(yi1 modnを構成す
る。
【0044】2.送信する会話パートナは公知の方法
で、cとd、及び多分結合データの一部として同時に送
られる可能性のある他の規定の情報(例えばaとb)
の、wと呼ばれる一方向安全ハッシュを計算する。
【0045】3.送信する会話パートナはz=w・k+
1を計算し、この数がkとlに関する妥当な不確定性を
なおも与えるかどうか、言い換えれば、式z=w・k+
1に基づく解k、lの数がk、lの「推測」を事実上不
可能にするのに十分な大きさ(少なくとも>2v)であ
るかどうかを調べる。そうである場合は、送信する会話
パートナはzを結合データに加え、そうでない場合は方
法のステップ1から再び開始する。
【0046】ここでモニタが、(c、d、zを含む)結
合データに基づいて、等式(*)が満たされることを次
のように検査することができる。モニタは規定の方法
で、cとd及び多分他の規定の情報のwと呼ばれる一方
向安全ハッシュを(再)計算し、 gz=aw・cおよびyz=bw・d (**) であることを検査する。そうである場合は、モニタは、
パッケージRにおける暗号化されたRSAキーが
(A1,B1)におけると同じであることを受け入れ、そ
うでない場合はこれを受け入れない。
【0047】上記の方法で作られた結合データは、「フ
ィアット−シャミール」ヒューリスティックを適用する
ことによって著しく減少することができる。この場合、
結合データはcとdとの代わりにハッシュwを含み、し
たがって結合データはzとwを含む。モニタは等式(*
*)に基づいて要素c、dを計算し、規定の方法でこの
cとdおよび多分他の情報に基づいて一方向安全ハッシ
ュw’を計算し、そしてこれをこれと一緒に送られたハ
ッシュwと比較する。wとw’が同じであれば、モニタ
はパッケージRにおける暗号化されたRSAキーが(A
1,B1)におけると同じであることを受け入れ、そうで
ない場合はこれを受け入れない。
【0048】さらに、エルガマルのための[VT]で述
べた分割技法はエルガマルのマッカーリーの変形にも適
用可能であり、こうして特に上記の回復可能RSAに適
用可能であることを指摘したい。
【0049】3.5 単一回復可能ディフィ−ヘルマン
(発明) ディフィ−ヘルマン方式のための結合方法は、ここで使
用される生成元g(および生成された巡回群Гと周囲群
Δ)を、その位数がRSAモジュロn、すなわち二つの
(大きな)秘密素数p、qの積と等しいように選択する
ことから成る。単一の場合(唯一つのTRPが関与して
いる場合)には、素数p、qはTRP(または、分割技
法が素数p、qのために使用されたいくつかのサブTR
Pの場合には各部分)に知られていること、およびn=
p・qは公知である(たとえば公表されている)ことが
想定される。
【0050】もちろんГも、Гにおける離散的対数の問
題を実用的な方法で解決することができないように選択
されなければならない。γ、Г、Δを選択することがで
きる方法は無数にある。例えば、sは小さな数で、P=
s・n+1の形の素数Pを選択することができる。それ
から要素γ(1 mod Pに等しくはない)を、γn
=1 mod Pになるように選択すべきである。
【0051】この形式のディフィ−ヘルマン方式を回復
可能にするために、本出願人らは、ある当事者がγS
mod Pの形式の典型的なディフィ−ヘルマンメッセ
ージを会話パートナに送っている場合には(Sは送って
いる当事者にのみ知られている)、回復はラビン暗号化
モジュロnすなわちS2 mod nをこのメッセージ
に加えることによって構成されることを提案する。言い
換えば、典型的な回復可能ディフィ−ヘルマンメッセー
ジは(H,R)=(γS mod P,S2 mod
n)の形を有する。
【0052】さらに、回復領域S2 mod nは、原
則として両方の当事者によって送られる必要はない。二
人の内の一人がこれを行えば十分である。これは、ディ
フィ−ヘルマンに基づく前述のSTSプロトコル及びM
TIプロトコルに全面的に適用される。
【0053】本出願者が構成した結合データはここで、 Rは底(生成元)γに関する上述のブロックHの対数の平方である ことを証明することになる。 (***) このために、一方向安全ハッシュ関数がまず設定され、
この出力ビット数は十分大きい(例えば160)。した
がって、 1.送信する会話パートナは、nより小さな任意数Tを
発生させ、T2=T2mod nを計算し、結合データ
に加えられるa1=γTおよびa2=γT2を計算する。
【0054】2.送信する会話パートナは公知の方法
で、a1とa2、及びありえる結合データの一部として同
時に送られる可能性のある他の規定の情報(例えばaと
b)から、wと呼ばれる一方向安全ハッシュを計算す
る。
【0055】3.送信する会話パートナはz=w・S+
T mod nを計算し、これを結合データに加える。
【0056】ここでモニタが、結合データに基づいて、
アサーション(***)が真であることを次のように検
査することができる。
【0057】4.モニタは、a1とa2、及びありえる他
の規定の情報からwと呼ばれる一方向安全ハッシュを
(再)計算し、H2γR、W2=w2 mod nを計算
し、γz=Hw・a1および(H-w・a1z=(H2-w2
・a2であることを検査する。そうである場合は、アサ
ーション(***)が正しいことを受け入れ、そうでな
い場合は受け入れない。
【0058】上記の方法で作られた結合データは、「フ
ィアット−シャミール」ヒューリスティックを適用する
ことによって著しく減少することができる。この場合、
結合データはzとw(だけ)から成り、モニタは4項で
述べたものと同じ方法に基づいて要素a1、a2を計算
し、規定の方法でこのa1、a2およびありえる他の情報
に基づいて一方向安全ハッシュw’を計算し、そしてこ
れをこれと一緒に送られたハッシュwと比較する。wと
w’が同じであれば、モニタはパッケージRにおける暗
号化されたRSAキーがパッケージHにおけると同じで
あることを受け入れ、そうでない場合はこれを受け入れ
ない。
【0059】3.6 多重回復可能ディフィ−ヘルマン
(発明) ディフィ−ヘルマンの多重回復可能化は、3.5で述べ
た技法を3.4で述べた技法に単に組み合わせることか
ら成り、この場合(とりわけ)ラビン暗号化が多重回復
可能にされる。したがって、専用ラビンキー(すなわち
積がモジュロnを形成する素数p、q)を破壊すること
は明らかで、すべてのTRPはエルガマル専用キーのみ
を自由に利用することができる。この方法では、一つの
巡回部分群G、周囲群H、およびモジュロnを、ディフ
ィ−ヘルマン交換を可能にするために使用することがで
き、(TRPの選択されたエルガマルキーに基づいて)
様々なTRPを常に選択することができる。これは、国
際的コンテキストにおいては便利な特徴である。説明の
ために例示すれば、米国人のアリスが英国人のボブとデ
ィフィ−ヘルマン交換を望む場合には、アリスはボブの
公開エルガマルキーによって暗号化された英国のTRP
のための暗号化されたセッションキー(および結合デー
タ)を封入し、アリスがフランス人のフランクとディフ
ィ−ヘルマン交換を望む場合には、アリスはフランクの
公開エルガマルキーによって暗号化されたフランスのT
RPのための暗号化されたセッションキー(および結合
データ)を封入する。両方の場合に、アリスは同じパラ
メータ(g、G、H、n)を使用することができる。
【0060】参考文献 [Clip] Computer Systems Laboratory, Nationa
l Institute of Standards and Technology, Escrowed
Encryption Standard (EES), Federal Information Pro
cessing Standards Publication, FIPS PUB 185, Feb.
9, 1994. [DH] W. Diffie, M.E. Hellman, New directions in cr
yptography, IEEETransactions on Information Theory
22, 1976, pp. 644-654. [EIG] T. ElGamal, A Public Key Cryptosystem
and a Signature schemeBased on Discrete Logarithm
s, IEEE Transactions on Information Theory 31(4),
1985, pp.469-472. [Has] J. Hastad, On Using RSA with Low Expon
ent in a Public Key Network, Advances in Cryptolog
y - CRYPTO '85 Proceedings, Springer-Verlag,1993,
pp. 403-405. [KM] Interagency Working Group on Cryptograph
y Policy, Enabling Privacy, Commerce, Security and
Public Safety in the Global Information Infrastru
cture, 17 May 1996, see http://www.cdt.org/crypto/
clipper_III. [McC] K. McCurley, A Key Distribution System
Equivalent to Factoring, J. Cryptology, 1(1988),
pp. 95-105. [MTI] T. Matsumoto, Y. Takashima, H. Imai, O
n Seeking smart public-key distribution systems, T
he Transactions of the IECE of Japan, E69, (1986),
99-106. [Rabin] M.O. Rabin, Digitalized signatures
and public-key functions as intractable as factor
ization, MIT/LCS/TR-212, MIT Laboratory forCompute
r Science, 1979. [RH] N. Jefferies, C. Mitchell, M. Walker, A
Proposed Architecturefor Trusted Third Party Servi
ces, Cryptography: Policy and Algorithms, Proceedi
ngs of the conference, Springer-Verlag (LNCS 102
9), 1996, pp. 98-104. [RSA] R.L. Rivest, A. Shamir, and L. Adlema
n, A method for obtaining digital and public key C
ryptosystems, Commun. ACM, vol. 21, No. 2, pp. 158
-164, Feb. 1978. [STS] W. Diffie, P.C. van Oorschot, M.J. Wie
ner, Authentication an[sic] Authenticated key exch
anges, Designs, Codes and Cryptography, 2,(1992),
107-125. [TIS] D.M. Balenson, C.M. Ellison, S.B. Lipner, S.
T. Walker (TIS Inc.), A New Approach to Software K
ey EscrowEncryption, in: L.J. Hoffmann(ed.), Build
ing in Big Brother (Springer, New York, 1996), pp.
180-207.See also http://www.tis.com. [VT] E.R. Verheul, H.C.A. van Tilborg, Bindin
g ElGamal: a fraud-detectable alternative to key-e
scrow proposals, EuroCrypt97 proceedings, 1997. [VKT] E.R. Verheul, B.-J. Koops, H.C.A. van
Tilborg, Binging Cryptography. A fraud-detectable
alternative to key-escrow solutions, Computer Law
and Security Report, January-February 1997, pp. 3
-14.
【図面の簡単な説明】
【図1】本発明が使用される通信システムを示す図であ
る。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 エリク・エル・フエルフユール オランダ国、5644・カー・エー・エイント ホーフエン、ホウトスブルームストラー ト・14 (72)発明者 ヘンク・セー・アー・テイルボルフ オランダ国、5683・エル・イエー・ベス ト、クラボツツ・19

Claims (7)

    【特許請求の範囲】
  1. 【請求項1】 公共遠隔通信インフラストラクチャによ
    って互いに秘密情報を暗号化された形で交換する(多分
    異なった国の)二人の会話パートナと、 自由に利用できる暗号化された情報を有するがそれを復
    号することができない、存在する可能性のある一人また
    は複数人の合法的な共聴取者(例えば、政府機関、また
    はいずれかの会話パートナの雇用主)と、 仮想的会話パートナとして働き、情報を復号することは
    できるが自由に利用できる暗号化された情報を持たな
    い、会話パートナとは原則として異なる(信頼される回
    復者(TRP)として知られる)一人または複数人の信
    頼される者と、 会話パートナ間の交換を監視するための存在し得る一つ
    または複数のモニタ(例えば一方の会話パートナ(の装
    置)、PTT、または会話パートナの雇用主)とからな
    るシステムにおいて使用されるキー回復暗号のための方
    法であって、 交換の一部としての会話パートナが、上記の共聴取者が
    TRPの一人(または分割あるいは共有技法が使用され
    ている場合には何人か)から(同時またはいくらか遅れ
    て)協力を得る場合に、この共聴取者にも同じ情報を利
    用可能にし、この過程で会話パートナはまた同時に結合
    データとして知られる追加情報も送り、これによってモ
    ニタは、モニタが自分の自由になる秘密情報を持つ必要
    なく、前記の情報利用可能化が適切に実施可能でもある
    ことを検査することができ、該方法は、Sと呼ばれる秘
    密情報が、 A.R[S]、パラメータ(e,n)を有する公開RS
    AキーによるRSA暗号化、 B.M1[S]、M2[S]、・・・、Mm[S]、公知
    の要素gによって発生したZ/nZの乗法群における一
    連のエルガマル暗号化として、または A.R[S]、パラメータnを有する公開RSAキーに
    よってラビンの変形(e=2)によるRSA暗号化、 B.M1[S]、M2[S]、・・・、Mm[S]、公知
    の要素gによって発生したZ/nZの乗法群における一
    連のエルガマル暗号化、 DH[S]、(周囲群Δの)部分群ΓからSのべき乗ま
    での公知の要素で、下記でγn=1が適用される、 として暗号化される交換に関係し、 ブロックA、Bに属する専用キー(ただし必ずしもすべ
    てが必要ではない)が会話パートナ、またはTRPのい
    ずれかに知られており、(または分割あるいは共有技法
    が使用されている場合には知られるようになり、)第一
    の場合には、専用RSAキーは例えば受信当事者に、専
    用エルガマルキー(またはその部分)は多くのTRPに
    知られるようになるが、第二の場合には、例えば専用ラ
    ビンキーはだれの自由にもならず、そしてTRPのみが
    専用エルガマルキー(またはその部分)を自由に使える
    ようになることを特徴とするキー回復暗号のための方
    法。
  2. 【請求項2】 請求項1の記載の暗号化が、 A.R=Se mod n、 B.(A1,B1):=(gk,S・(y1k)、(A2
    2):=(gk,S・(y2k)、(A3,B3)=(g
    k,S・(y3k)、・・・、(Am,Bm)=(gk,S
    ・ymk)、すべてモジュロn、y1、y2、・・・ym
    は対応するエルガマルキー、または A.R=S2 mod n、 B.(A1,B1):=(gk,S・(y1k)、(A2
    2):=(gk,S・(y2k)、(A3,B3)=(g
    k,S・(y3k)、・・・、(Am,Bm)=(gk,S
    ・ymk)、すべてモジュロn、 C.H1=γs として書かれる場合、請求項1に記載の結合データが、
    第一の場合には、各i=1、2、・・・、mについて、
    式((Aie,(Bie)が公開キーyiに関するSの
    エルガマル暗号化に関係し、第二の場合には、式((A
    i2,(Bi2)が公開キーyiに関するSのエルガマ
    ル暗号化に関係し、かつR modulonがlogγ
    (H1)の平方であることを証明するのに役立つ方法。
  3. 【請求項3】 請求項1に記載の結合データが、請求項
    2に記載のように、各i=1、2、・・・、mについ
    て、式((Aie,(Bie)が公開キーyiに関する
    Sのエルガマル暗号化に関係することを証明することに
    成功する方法であって、各i=1、2、・・・、mにつ
    いて、底g modulo nに関する式(Aieの対
    数が式(Bieの対数を底yiに関するR modul
    o nで割ったものと同じであることを証明することか
    ら成り、請求項1に記載の結合データが、請求項2に記
    載のように、各i=1、2、・・・、mについて、式
    ((Ai2,(Bi2)が公開キーyiに関するSのエ
    ルガマル暗号化に関係することを証明することに成功す
    る方法は、各i=1、2、・・・、mについて、底gm
    odulo nに関する式(Ai2の対数が式(Bi2
    の対数を底(yi)に関するR modulo nで割
    ったものと同じであることを証明することから成る方
    法。
  4. 【請求項4】 請求項1に記載の結合データが、請求項
    2に記載のように、R modulo nはlog
    γ(H1)の平方であることを下記のように証明するの
    に役立ち、すなわち送信する会話パートナはnより小さ
    な任意数Tを発生させ、T2=T2 mod nを計算
    し、結合データに加えられるa1=γT及びa2=γT2
    計算し、 送信する会話パートナは公知の方法で、a1とa2、及び
    おそらく結合データの一部として同時に送られる可能性
    のある他の情報の、wと呼ばれる一方向安全ハッシュを
    計算し、 送信する会話パートナはz=w・S+T mod nを
    計算し、これを結合データに加え、 請求項1に記載のモニタはここで、結合データに基づい
    て下記のように、Rmodulo nが請求項2に記載
    のようにlogγ(H1)の平方であることを検査する
    ことができ、 モニタは、a1とa2、及び可能性のある他の情報からw
    と呼ばれる一方向安全ハッシュを計算し、H2=γR、W
    2=w2 mod nを計算し、 γz=(H1w・a1及び・((H1-w・a1z
    (H2w2・a2であるか検査し、そうである場合は、請
    求項2に記載のようにR modulo nがlogγ
    (H1)の平方であることを受け入れ、そうでない場合
    は受け入れない、方法。
  5. 【請求項5】 とりわけ請求項1と2に記載のセッショ
    ンキーSがgによって生成される群において(任意に)
    選択される、すなわちSがgz mod nの形で、z
    がnより任意に小さい場合に、RSA/ラビンの(比較
    的)安全な回復が構成され、この場合RSA/ラビンの
    破壊が回復を伴っても回復なしでも困難である方法。
  6. 【請求項6】 請求項4に記載の方法から、H1(また
    はH2)及びa1(またはa2)の役割を反対に、zとし
    てS+w・Tを選択し、4dに検査ステップを適合させ
    ることによって等価物が構築できる方法。
  7. 【請求項7】 フィアット−シャミールヒューリスティ
    ックを適用することによって、請求項4および5に記載
    の方法で構築される結合データを著しく減少することが
    できる方法。
JP10156559A 1997-04-28 1998-04-28 ディフィーヘルマン、rsa及びラビンに関する非対称暗号化の公に検証可能な回復方法 Pending JPH1173104A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
NL1005919 1997-04-28
NL1005919A NL1005919C1 (nl) 1997-04-28 1997-04-28 Een methode voor Publiekelijk verifieerbare örecoveryö van Diffie-Hellman, RSA en Rabin gerelateerde asymmetrische versleuteling.

Publications (1)

Publication Number Publication Date
JPH1173104A true JPH1173104A (ja) 1999-03-16

Family

ID=19764869

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10156559A Pending JPH1173104A (ja) 1997-04-28 1998-04-28 ディフィーヘルマン、rsa及びラビンに関する非対称暗号化の公に検証可能な回復方法

Country Status (4)

Country Link
EP (1) EP0876028A3 (ja)
JP (1) JPH1173104A (ja)
CA (1) CA2235848A1 (ja)
NL (1) NL1005919C1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011511510A (ja) * 2008-01-11 2011-04-07 ノーテル・ネットワークス・リミテッド 暗号化されたトラフィックの適法な傍受を可能にするための方法及び装置

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0215524D0 (en) 2002-07-05 2002-08-14 Hewlett Packard Co Method and apparatus for generating a cryptographic key
US10355859B2 (en) * 2017-03-27 2019-07-16 Certicom Corp. Method and system for selecting a secure prime for finite field diffie-hellman

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011511510A (ja) * 2008-01-11 2011-04-07 ノーテル・ネットワークス・リミテッド 暗号化されたトラフィックの適法な傍受を可能にするための方法及び装置

Also Published As

Publication number Publication date
CA2235848A1 (en) 1998-10-28
EP0876028A2 (en) 1998-11-04
EP0876028A3 (en) 1999-12-22
NL1005919C1 (nl) 1998-10-29

Similar Documents

Publication Publication Date Title
US5796833A (en) Public key sterilization
US7359507B2 (en) Server-assisted regeneration of a strong secret from a weak secret
US5907618A (en) Method and apparatus for verifiably providing key recovery information in a cryptographic system
Li et al. Oblivious signature-based envelope
Tatebayashi et al. Key distribution protocol for digital mobile communication systems
US5313521A (en) Key distribution protocol for file transfer in the local area network
US5124117A (en) Cryptographic key distribution method and system
Carlsen Optimal privacy and authentication on a portable communications system
US6249585B1 (en) Publicly verifiable key recovery
Blake et al. Scalable, server-passive, user-anonymous timed release public key encryption from bilinear pairing
CN111953479A (zh) 数据处理的方法及装置
KR20010013155A (ko) 자동 복구가능하고 자동 증명가능한 암호체계들
Knudsen et al. On the difficulty of software key escrow
KR20060078768A (ko) 사용자 개인키의 분산 등록을 이용한 키 복구 시스템 및그 방법
KR20030047148A (ko) Rsa를 이용한 클라이언트/서버 기반의 메신저 보안 방법
JPH07175411A (ja) 暗号システム
JPH1173104A (ja) ディフィーヘルマン、rsa及びラビンに関する非対称暗号化の公に検証可能な回復方法
Boyd Enforcing traceability in software
Chang et al. An efficient session key generation protocol
Phan Cryptanalysis of e-mail protocols providing perfect forward secrecy
Sakuraii et al. A key escrow system with protecting user's privacy by blind decoding
Mambo et al. On the difficulty of key recovery systems
Zhu et al. Using chaotic maps to construct anonymous multi-receiver scheme based on BAN logic
JP3862397B2 (ja) 情報通信システム
Suriadi et al. Conditional privacy using re-encryption