JPWO2018207653A1

JPWO2018207653A1 - 鍵配送システム及び方法、鍵生成装置、代表ユーザ端末、サーバ装置、ユーザ端末並びにプログラム

Info

Publication number: JPWO2018207653A1
Application number: JP2019517565A
Authority: JP
Inventors: 麗生吉田; 鉄太郎小林; 祐人川原; 仁冨士; 一樹米山
Original assignee: Nippon Telegraph and Telephone Corp; Ibaraki University NUC
Current assignee: Nippon Telegraph and Telephone Corp; Ibaraki University NUC
Priority date: 2017-05-09
Filing date: 2018-04-27
Publication date: 2020-03-12
Also published as: KR20190133249A; KR102401460B1; EP3624393A1; CN110574335B; EP3624393A4; US20200136813A1; WO2018207653A1; CN110574335A; US11336436B2; EP3624393B1

Abstract

鍵生成システムは、第ｎ＋１ユーザ端末２ｎ＋１の公開鍵及び第ｎ＋１ユーザ端末２ｎ＋１を識別するための情報を用いて鍵情報をCertificate less Encryptionの所定の暗号化関数により暗号化することにより暗号文を得る代表ユーザ端末２ｐと、第ｎ＋１ユーザ端末２ｎ＋１を追加するときに第ｎ＋１ユーザ端末２ｎ＋１に暗号文を送信するサーバ装置３と、第ｎ＋１ユーザ端末２ｎ＋１の全体秘密鍵及び第ｎ＋１ユーザ端末２ｎ＋１を識別するための情報を用いて、暗号文を所定の復号関数で復号することにより鍵情報を得る第ｎ＋１ユーザ端末２ｎ＋１と、を備えている。

Description

この発明は、情報セキュリティ技術に関する。

VoIP(Voice over Internet Protocol)、WebRTC(Web Real-Time Communication)、メッセージング等のアプリケーションがインターネットを通じて提供されており、認証に基づく通信やシステムの機密性確保が重要となっている。

多くのユーザがインターネットを通じて上記のアプリケーションによるサービスを利用するため、多人数で通信やシステムを利用できることが重要であり、一般にTLS(Transport Layer Security)が用いられている。

また、従来は、上記のサービスで用いられる鍵の配送に例えば非特許文献１の技術を用いることが提案されている（例えば、非特許文献１参照）。

Kazuki Yoneyama, Reo Yoshida, Yuto Kawahara, Tetsutaro Kobayashi, Hitoshi Fuji, Tomohide Yamamoto, "Multi-cast Key Distribution: Scalable, Dynamic and Provably Secure Construction", International Conference on Provable Security ProvSec 2016: Provable Security pp 207-226

上記の非特許文献１の技術では、新たに追加されるユーザ端末に鍵を配送するjoinフェーズの際に、新たに追加されるユーザ端末のみならず、既にセッションに参加しているユーザ端末とサーバ装置との間で計算が必要であった。

この発明の目的は、joinフェーズの際に既にセッションに参加しているユーザ端末とサーバ装置との間で計算が不要な鍵配送システム及び方法、代表ユーザ端末、サーバ装置、ユーザ端末並びにプログラムを提供することである。

この発明の一態様による鍵配送システムは、Certificate less Encryptionにおける第ｎ＋１ユーザ端末の公開鍵及び第ｎ＋１ユーザ端末を識別するための情報を用いて鍵情報をCertificate less Encryptionの所定の暗号化関数により暗号化することにより暗号文を得て、得られた暗号文をサーバ装置に送信する代表ユーザ端末と、第ｎ＋１ユーザ端末を追加するときに第ｎ＋１ユーザ端末に暗号文を送信するサーバ装置と、Certificate less Encryptionにおける第ｎ＋１ユーザ端末の全体秘密鍵及び第ｎ＋１ユーザ端末を識別するための情報を用いて、暗号文をCertificate less Encryptionの所定の復号関数で復号することにより鍵情報を得る第ｎ＋１ユーザ端末と、を備えている。

joinフェーズの際に既にセッションに参加しているユーザ端末とサーバ装置との間で計算が不要となる。

鍵配送システムの例を示すブロック図。鍵配送方法の例を示す流れ図。

以下、図面を参照して、この発明の一実施形態について説明する。

図１に示すように、鍵配送システムは、鍵生成装置１と、ユーザ端末２と、サーバ装置３とを例えば備えている。

ユーザ端末２は、第１ユーザ端末２_１から第ｎ＋１ユーザ端末２_ｎ＋１により例えば構成されている。第１ユーザ端末２_１から第ｎユーザ端末２_ｎの中の何れか１個のユーザ端末が、代表ユーザ端末２_ｐとして予め選択されているとする。第ｎ＋１ユーザ端末２_ｎ＋１は、第１ユーザ端末２_１から第ｎユーザ端末２_ｎにより既に構成されているセッションに参加しようとする端末のことである。

鍵配送方法は、鍵配送システムの各部が、図２及び以下に示すステップＳ１からステップＳ４の各処理を行うことにより例えば実現される。

ステップ１の処理は、以下のステップＳ１１からステップＳ１５の処理により例えば実現される。

まず、鍵生成装置１は、(Params,msk)←CLSetup(1^κ)の処理を行う（ステップＳ１１）。すなわち、鍵生成装置１は、Certificate less Encryptionにおける所定のセットアップ関数CLSetupにより、公開パラメータParams及びマスターシークレットキーmskを生成する。κは、セキュリティパラメータである。

鍵生成装置１は、psk_n+1←CLDer(Params,msk,U_n+1)の処理を行う（ステップＳ１２）。すなわち、鍵生成装置１は、マスターシークレットキーmsk及び第ｎ＋１ユーザ端末２_ｎ＋１を識別するための情報U_n+1を用いて、公開パラメータParamsにより定まる、Certificate less Encryptionにおける所定の部分秘密鍵生成関数CLDerにより、第ｎ＋１ユーザ端末２_ｎ＋１の部分秘密鍵psk_n+1を生成し、第ｎ＋１ユーザ端末２_ｎ＋１に送信する。

第ｎ＋１ユーザ端末２_ｎ＋１は、sv_n+1←SetSV(Params,U_n+1)の処理を行う（ステップＳ１３）。すなわち、第ｎ＋１ユーザ端末２_ｎ＋１は、第ｎ＋１ユーザ端末２_ｎ＋１を識別するための情報U_n+1を用いて、公開パラメータParamsにより定まる、Certificate less Encryptionにおける所定の秘密情報生成関数SetSVにより、第ｎ＋１ユーザ端末２_ｎ＋１の秘密情報sv_n+1を生成する。

第ｎ＋１ユーザ端末２_ｎ＋１は、csk_n+1←SetSK(Params,psk_n+1,sv_n+1)の処理を行う（ステップＳ１４）。すなわち、第ｎ＋１ユーザ端末２_ｎ＋１は、第ｎ＋１ユーザ端末２_ｎ＋１のpsk_n+1及び第ｎ＋１ユーザ端末２_ｎ＋１の秘密情報sv_n+1を用いて、公開パラメータParamsにより定まる、Certificate less Encryptionにおける所定の全体秘密鍵生成関数SetSKにより、第ｎ＋１ユーザ端末２_ｎ＋１の全体秘密鍵csk_n+1を生成する。

第ｎ＋１ユーザ端末２_ｎ＋１は、cpk_n+1←SetPK(Params,sv_n+1)の処理を行う（ステップＳ１５）。すなわち、第ｎ＋１ユーザ端末２_ｎ＋１は、第ｎ＋１ユーザ端末２_ｎ＋１の秘密情報sv_n+1を用いて、公開パラメータParamsにより定まる、Certificate less Encryptionにおける所定の公開鍵生成関数SetPKにより、第ｎ＋１ユーザ端末２_ｎ＋１の公開鍵cpk_n+1を生成し、代表ユーザ端末２_ｐに送信する。

代表ユーザ端末２_ｐは、CT←CLEnc(Params,cpk_n+1,U_n+1,SK)の処理を行う。すなわち、第ｎ＋１ユーザ端末の公開鍵cpk_n+1及び第ｎ＋１ユーザ端末２_ｎ＋１を識別するための情報U_n+1を用いて鍵情報SKを、公開パラメータParamsにより定まる、Certificate less Encryptionの所定の暗号化関数CLEncにより暗号化することにより暗号文CTを得て、得られた暗号文CTをサーバ装置３に送信する（ステップＳ２）。

鍵情報SKは、セッション鍵等の鍵情報である。鍵情報SK自体が鍵として用いられてもよいし、鍵情報SKに基づいて別の鍵情報が生成され、その別の鍵情報が鍵として用いられてもよい。

ステップＳ１及びステップＳ２の処理は、セッションに参加する可能性がある各ユーザ端末について行われる。すなわち、Nを２以上の整数として、セッションに参加する可能性があるユーザ端末がN台ある場合には、これらのN台のユーザ端末のそれぞれを第ｎ＋１ユーザ端末２_ｎ＋１として上記のステップＳ１及びステップＳ２の処理が行われる。

また、ステップＳ１及びステップＳ２の処理は、以下のステップＳ３及びステップＳ４から構成されるいわゆるjoinフェーズの処理の前に行われるとする。以下のステップＳ３及びステップＳ４では、第ｎ＋１ユーザ端末２_ｎ＋１が、第１ユーザ端末２_１から第ｎユーザ端末２_ｎにより既に構成されているセッションに追加されるとする。

サーバ装置３は、所定のサービスのセッションに第ｎ＋１ユーザ端末２_ｎ＋１を追加するときに第ｎ＋１ユーザ端末２_ｎ＋１に暗号文CTを送信する（ステップＳ３）。この暗号文は、ステップＳ２の処理で生成された、第ｎ＋１ユーザ端末２_ｎ＋１に対応する暗号文CTである。

第ｎ＋１ユーザ端末２_ｎ＋１は、SK←CLDec(Params,csk_n+1,CT)の処理を行う（ステップＳ４）。すなわち、第ｎ＋１ユーザ端末２_ｎ＋１は、第ｎ＋１ユーザ端末２_ｎ＋１の全体秘密鍵csk_n+1を用いて、暗号文CTを、公開パラメータParamsにより定まる、Certificate less Encryptionの所定の復号関数CLDecで復号することにより鍵情報SKを得る。

このように、Certificate less Encryptionを用いて、鍵情報に関する暗号文を事前に計算しサーバ装置２に予め預けておき、joinフェーズの際に、追加される第ｎ＋１ユーザ端末２_ｎ＋１にその暗号文を渡すことで、安全性を落とすことなく、追加される第ｎ＋１ユーザ端末２_ｎ＋１に鍵情報を渡すことができる。

また、その際、joinフェーズの際に既にセッションに参加しているユーザ端末とサーバ装置との間で計算が不要となる。このため、高速なセッション参加が可能となる。

上記の鍵配送システムは、例えば、(1)２地点通話や電話会議に用いられるVoIP通話の鍵配送、(2)WebRTCの中のDTLSを代替し、ブラウザやスマートフォンでのWeb会議やWeb電話の暗号化通信の鍵配送、(3)メッセージングアプリの復号鍵の共有のための鍵配送に用いることができる。

［プログラム及び記録媒体］
例えば、鍵生成装置１、代表ユーザ端末２_ｐ、第ｎ＋１ユーザ端末２_ｎ＋１及びサーバ装置３の各部における処理をコンピュータによって実現する場合、これらの端末及び装置の各部が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、その各部の処理がコンピュータ上で実現される。

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

また、各部の処理は、コンピュータ上で所定のプログラムを実行させることにより構成することにしてもよいし、これらの処理の少なくとも一部をハードウェア的に実現することとしてもよい。

［変形例］
上記の実施形態では、鍵生成装置１及びサーバ装置３が互いに異なる装置として記述されているが、鍵生成装置１及びサーバ装置３は同じ装置であってもよい。例えば、サーバ装置３に鍵生成装置１が含まれていてもよい。

その他、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。

［安全性］
Certificate less Encryptionの安全性の定義は次の２つのケースに分離できる。定義１：攻撃者は、公開鍵を置き換え可能だが、全体秘密鍵を入手することができない。定義２：攻撃者、全体秘密鍵を入手することができるが、公開鍵を置き換えることができない。定義２は、KGC（Key Generation Center、上記実施形態では鍵生成装置１）が悪意のあるモデルになる。

上記の実施形態では、Certificate less Encryptionは、鍵情報SKを、joinユーザであるＵ_ｎ＋１に、サーバ装置３を経由して、渡すために用いられている。サーバ装置３は、全体秘密鍵をKGCとして渡している。もし、サーバ装置３がセミオネストであると仮定するなら、Certificate less Encryptionは定義２の安全性からサーバ装置へは、いかなる鍵情報に関連する情報もわからない。また、定義１から、公開鍵を置き換えることのできる攻撃者は、鍵情報に関するいかなる情報も入手することができない。

［安全性］
Certificate less Encryptionの安全性の定義は次の２つのケースに分離できる。定義１：攻撃者は、公開鍵を置き換え可能だが、全体秘密鍵を入手することができない。定義２：攻撃者は、全体秘密鍵を入手することができるが、公開鍵を置き換えることができない。定義２は、KGC（Key Generation Center、上記実施形態では鍵生成装置１）が悪意のあるモデルになる。

上記の実施形態では、Certificate less Encryptionは、鍵情報SKを、joinユーザである第n+1ユーザ端末２ _ｎ＋１に、サーバ装置３を経由して、渡すために用いられている。サーバ装置３は、全体秘密鍵をKGCとして渡している。もし、サーバ装置３がセミオネストであると仮定するなら、Certificate less Encryptionは定義２の安全性からサーバ装置は、いかなる鍵情報に関連する情報もわからない。また、定義１から、公開鍵を置き換えることのできる攻撃者は、鍵情報に関するいかなる情報も入手することができない。

Claims

Certificate less Encryptionにおける第ｎ＋１ユーザ端末の公開鍵及び第ｎ＋１ユーザ端末を識別するための情報を用いて鍵情報をCertificate less Encryptionの所定の暗号化関数により暗号化することにより暗号文を得て、得られた暗号文をサーバ装置に送信する上記代表ユーザ端末と、
上記第ｎ＋１ユーザ端末を追加するときに上記第ｎ＋１ユーザ端末に上記暗号文を送信するサーバ装置と、
Certificate less Encryptionにおける第ｎ＋１ユーザ端末の全体秘密鍵及び上記第ｎ＋１ユーザ端末を識別するための情報を用いて、上記暗号文をCertificate less Encryptionの所定の復号関数で復号することにより鍵情報を得る上記第ｎ＋１ユーザ端末と、
を含む鍵配送システム。
請求項１の鍵配送システムの代表ユーザ端末。
請求項１の鍵配送システムのサーバ装置。
請求項１の鍵配送システムの第ｎ＋１ユーザ端末であるユーザ端末。
上記代表ユーザ端末が、Certificate less Encryptionにおける第ｎ＋１ユーザ端末の公開鍵及び第ｎ＋１ユーザ端末を識別するための情報を用いて鍵情報をCertificate less Encryptionの所定の暗号化関数により暗号化することにより暗号文を得て、得られた暗号文をサーバ装置に送信するステップと、
サーバ装置が、上記第ｎ＋１ユーザ端末を追加するときに上記第ｎ＋１ユーザ端末に上記暗号文を送信するステップと、
第ｎ＋１ユーザ端末が、Certificate less Encryptionにおける第ｎ＋１ユーザ端末の全体秘密鍵及び上記第ｎ＋１ユーザ端末を識別するための情報を用いて、上記暗号文をCertificate less Encryptionの所定の復号関数で復号することにより鍵情報を得るステップと、
を含む鍵配送方法。
請求項２の代表ユーザ端末、請求項３のサーバ装置又は請求項４のユーザ端末の各部としてコンピュータを機能させるためのプログラム。