JPWO2020065820A1 - Macタグリスト生成装置、macタグリスト検証装置、集約mac検証システム及び方法 - Google Patents

Macタグリスト生成装置、macタグリスト検証装置、集約mac検証システム及び方法 Download PDF

Info

Publication number
JPWO2020065820A1
JPWO2020065820A1 JP2020547712A JP2020547712A JPWO2020065820A1 JP WO2020065820 A1 JPWO2020065820 A1 JP WO2020065820A1 JP 2020547712 A JP2020547712 A JP 2020547712A JP 2020547712 A JP2020547712 A JP 2020547712A JP WO2020065820 A1 JPWO2020065820 A1 JP WO2020065820A1
Authority
JP
Japan
Prior art keywords
matrix
mac
tag list
verification
group test
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020547712A
Other languages
English (en)
Other versions
JP7107381B2 (ja
Inventor
一彦 峯松
一彦 峯松
典史 神谷
典史 神谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2020065820A1 publication Critical patent/JPWO2020065820A1/ja
Application granted granted Critical
Publication of JP7107381B2 publication Critical patent/JP7107381B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/58Random or pseudo-random number generators
    • G06F7/582Pseudo-random number generators
    • G06F7/584Pseudo-random number generators using finite field arithmetic, e.g. using a linear feedback shift register
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/76Arrangements for rearranging, permuting or selecting data according to predetermined rules, independently of the content of the data
    • G06F7/78Arrangements for rearranging, permuting or selecting data according to predetermined rules, independently of the content of the data for changing the order of data flow, e.g. matrix transposition or LIFO buffers; Overflow or underflow handling therefor

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Power Engineering (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本発明の目的は、改ざんの有無だけでなく改ざんされた位置に関して情報を得られるようなメッセージ認証のさらなる効率化である。MACタグリスト生成装置は、メッセージ認証コード(MAC)生成の処理ごとに重複しない値であるナンス(Nonce)Nと、メッセージMと、を入力するメッセージ入力部と、生成する前記MACの数s(sは正の整数)について、組み合わせグループテストのパラメータであるt行m列のグループテスト行列Hを生成するグループテスト行列生成部と、前記メッセージMについて、前記グループテスト行列Hと前記ナンスNと、可変長入力固定長出力の擬似ランダム関数F、Gとを用いて、i(i=1,...,t)番目のテストに対応するMAC値T[i]を生成することで、MACタグリストT=(T[1],...,T[t])を生成するナンス付線形グループテストMAC適用部と、MACタグリスト出力部と、を含む。

Description

本発明は、MACタグリスト生成装置、MACタグリスト検証装置、集約MAC検証システム、MACタグリスト生成方法及びMACタグリスト検証方法に関する。
メッセージ認証コード(以下、単に、「メッセージ認証」あるいは“MAC”と記す。)とは、メッセージに対して秘密鍵を知るものだけが計算できるタグを付与することで、メッセージが正当であることを保証する技術である。例えばメッセージ認証を用いれば、秘密鍵を共有した2者の通信において、通信の間に行われた、第三者による改ざんを検知することが可能となる。具体的には、送信者がメッセージとタグを受信者に送ったとき、受信者側では受け取ったメッセージからタグを計算し、受信したタグとの一致を確認することで、メッセージが正当な送信者から送られたものかどうかを判断できる。このタグを「認証タグ」又は「MACタグ」と呼ぶ。
MACの基本的な入出力について説明する。秘密鍵Kを共有する2者AliceとBobを考え、AliceからBobへメッセージMを送ることを考える。この場合、AliceはMに対してKを用いたMAC関数 MAC_Kを適用し、認証タグT=MAC_K(M)を求め、Bobに対し、(M,T)を送信する。
Bobが受信した情報を(M’,T’)とすると、Bobは、T’とMAC_K(M’)との一致を確認することで、メッセージがAliceから送られたものかどうかを判断する。T’とMAC_K(M’)との一致を確認することで、受け取ったメッセージ(M’,T’)がAliceのそもそも送った(メッセージ、認証タグ)の対であるかがわかり、改ざんの有無をチェック可能である。
このようなメッセージ認証方式の一例として、非特許文献1[CMAC]や非特許文献2の[HMAC]がある。
一般的なメッセージ認証を用いる場合、メッセージ中の改ざんされた位置に関して情報を得ることは不可能である。これは、改ざんが行われた場合、認証タグの値は正しい値とは異なるランダムな値となるからである。
これに対して、メッセージの全体に一度MAC関数を適用するのではなく、メッセージを任意の部分に分割し、それらの部分ごとにMAC関数を適用することで、部分ごとのチェックが可能となり、メッセージに対する改ざん位置を完全に特定することが可能となる。例えばメッセージMがm個のアイテムM[1],...,M[m]からなる場合、T[1]=MAC_K(M[1]),T[2]=MAC_K(M[2]),...,T[m]=MAC_K(M[m])をそれぞれ計算する。その上で、メッセージと認証タグのセット(M,T[1],...,T[m])を送信すればよい。
ハードディスク上のデータに対し、ファイルごとや、ディスクセクターごとにMACをとることがこの方法の例として挙げられる。しかしながら、この方法はm個のアイテムに対してm個のタグが生成されるため、保存すべきデータ量の増加が大きいという問題がある。
一方、非特許文献3[GAT05]に記載されているように、メッセージを、互いに重なりを許し、長さも異なる複数の部分系列に分解し、この部分系列ごとにMACを適用するというアプローチがある。
[例1]
例えば、メッセージMが7個のアイテムからなるとき、(M[1],M[2],...,M[7])を
S[1] = (M[1],M[2],M[3],M[4])
S[2] = (M[1],M[2],M[5],M[6])
S[3] = (M[1],M[3],M[5],M[7])
という3つの部分系列に分解し、それぞれに対してMACを適用し3つのタグ
T[1]=MAC(S[1]),...,T[3]=MAC(S[3])
を計算したとする。
この場合、アイテムごとにMACを適用する場合に7個必要であったタグの数を、3つに減らすことが可能となる。さらに、検証時における
各(T[i],S[i])に対する検証結果を2値(0ならMACが正しい、1なら改ざん)のB[i]で表現すると、ある時点でメッセージMに対してMACタグのチェックを行った結果が
B[1]=0,
B[2]=1,
B[3]=0,
の場合、M[6]が改ざんされたと特定できる。より正確には、この例では任意の1アイテムの改ざんであれば改ざんされたアイテムの特定が可能である。
この性質をより一般に言えば、部分系列の取り方を工夫することにより、改ざんされたアイテム数が所与のしきい値以下のときには、改ざんされたアイテムまで特定することが可能であるということを示している。
どのような部分系列にメッセージMを分解し、またそのテストの結果、どのような改ざんアイテム特定が可能になるかは、組み合わせグループテスト(CGT)と呼ばれる組み合わせ問題、特に非適応的組み合わせグループテスト(NCGT)と密接に関連がある。ここで、CGT、NCGTはそれぞれCombinatorial Group Testing、Non−adaptive CGTの略である。非特許文献3[GAT05]、非特許文献4[Min15]では、これらのテストについての検討がなされている。m個のアイテム、t個のテストからなるCGTでは、t行m列の2値行列H(ここではテスト行列と呼ぶ)を構成し、Hに従ってテストを行う。Hのi行j列目の要素が1であれば、j番目のテストでi番目のアイテムをテストに含める、ということを指している。
例えば、データベースシステムへの適用といった実用面を考えた場合、現実的なシステムの制約などから、不正を行う者が一度に大量のアイテムを改ざんすることは考えにくい。従って、上述したCGTとMACを組み合わせることにより、タグの総数を抑えつつ、現実的に起こりうる改ざんに対し、その場所を特定可能なデータベースシステムを構築することが可能となる。なお、通常のMACと同様に、CGTとMACを組み合わせた場合、任意の改ざんに対して、改ざんがあったという事実を検出可能という性質は変わらない。
なお、非特許文献5[CJS09]に記載のCorruption−localizing hashのように、鍵のないハッシュ関数をMACの代わりに用いた場合でも、ハッシュ値をメッセージと別の安全な場所に保存するという前提のもとでは同様の効果が望める。また改ざんされたアイテムの特定にいたらなくとも、改ざんされた範囲を絞ることは一般に可能である。
次にテスト行列の構成方法について述べる。mアイテムに対して高々d個の改ざんを効率よく特定したい場合、テスト行列がd−disjunctという性質を満たせばよいということが知られている。
具体的には、t行m列2値行列Hがd−disjunctであるとは、Hの任意のd列のブール和(ビットごとの論理和)をXとしたときに、残りのm−d列のどの1列もXに含まれないことを指す。
これはすなわちXで1が立つ行インデックス集合をI(S)とすれば、残りのm−d列から選んだ任意の1列Yについて、I(Y)がI(X)の部分集合でないことを指す。
所与のd,mについてd−disjunct行列の最小の行数(すなわち高々dアイテムの改ざんを特定可能な最小のテスト数)t_min (d,m)については、
(式1)t_min(d,m)=O(d^2 log m)
であることが知られている。これを達成する方法はd=1ではよく知られており、ハミング符号のパリティ検査行列などから構成可能である。
例えば、上述の[例1]はm=7でのそのような例であり、対応する1−disjunct行列は、
(式2)
[1 1 1 1 0 0 0]
[1 1 0 0 1 1 0]
[1 0 1 0 1 0 1]
となる。
一方d>1での構成方法は、いくつか知られているが、一般に最適な方式は構築が難しいことが知られている。例えばO(d^2 log m) を一般に達成する方式として非特許文献6[PR08]が知られているが、オーダでなく定数まで含めた実際の効率は不明である。また、mに対してある程度大きいdについては非自明な(すなわち単位行列でない)d−disjunct行列の構築は理論上不可能であることが知られている。
また、NCGTの別の応用として、集約MAC(Aggregate MAC)がある(非特許文献7[KL08]参照)。
ここで、集約MACについて詳説する。集約MACの典型的シナリオとして、m個のノードS_1,...,S_mがそれぞれ独立にメッセージについてMACを計算し、単一の検証ノードCがこれらの検証を行うアプリケーションを考える。
ここで、ノードS_iからの送信メッセージをM[i]、ノードS_i固有の鍵をK[i]、MACタグT_i=MAC(K_i,M_i)とする。集約MACを用いない、一般的な方式ではノードS_iの送信情報は(M[i],T[i])となり、検証ノードCの受ける情報は(M[1],T[1]),...,(M[m],T[m])となる。検証ノードCはK[1],...,K[m]を保持しておき、各iにつき(M[i],T[i])それぞれを認証する。
この方法だと、アプリケーションによってはm個のタグの送信量が問題となることがある。集約MACでは、検証ノードCとノードS_1,...,S_mの間に集約ノード(Aggregator)Aを設けることでAとCのタグに関する通信量を削減することを目指す。
集約ノードAは鍵を持たず、タグの集約による削減のみを行う。非特許文献7[KL08]の集約MACでは、集約ノードAはタグの全ての和をとる。すなわち集約ノードAは(M[1],T[1]),...,(M[m],T[m])を受信したのち、集約タグV=T[1]+T[2]+...+T[m]を求め、検証ノードCに、(M[1],...,M[m],V)を送信する。
検証ノードCは、K[1],...,K[m]を用いて、各iにつきT[i]を求め、Vの検証を行えばよい。
上記の集約MACでは、もし全ノードの送信内容に改ざんがない場合には、上記で全送信内容の検証が成功するが、一部のノードの送信内容に改ざんがある(以後これをノードの改ざんと呼ぶことにする)場合は、どのノードの送信内容が改ざんされたのか特定することはできない。
これに対して、非特許文献8[HS18]では、集約ノードAがd−disjunct行列に従ってタグの部分和を複数求めて送信することを提案している。例えば、7ノードからの受信内容(M[1],T[1]),...,(M[7],T[7])について、非特許文献8[HS18]の集約ノードAは
V[1] = T[1] + T[2] + T[3] + T[4]
V[2] = T[1] + T[2] + T[5] + T[6]
V[3] = T[1] + T[3] + T[5] + T[7]
を求めて、検証ノードCに対し、(M[1],...,M[7],V[1],V[2],V[3])を送信する。
これは(式2)の1−disjunct行列を用いており、したがって1ノードの改ざんを特定することが可能となる。
その他、特許文献1に、改ざんの有無だけではなく改ざんされた位置に関する情報を得ることができるというメッセージ認証コード(MAC)のタグリスト生成装置が開示されている。同文献によると、このタグリスト生成装置は、m個(mは正の整数)のアイテムM[1]・・・[m]から構成されるメッセージを入力するメッセージ入力部と、グループテスト行列生成部と、タグリスト生成部を備える。そして、グループテスト行列生成部は、生成するメッセージ認証コードのタグ数s(sは正の整数)について、組み合わせグループテストを定めるs行m列のグループテスト行列を生成する。また、タグリスト生成部は、前記グループテスト行列と、可変長入力固定長出力の擬似ランダム関数と、固定長入出力のTweak付き擬似ランダム関数と、を用いて、前記メッセージに関するs個のタグからなるタグリストを生成する。そして、前記タグリスト生成部は、前記メッセージをなすm個のアイテムM[1]・・・M[m]それぞれに関するタグの計算を、途中の計算結果を共有しつつ並行に行う、と記載されている。
特許文献2には、効率的に帯域増加を防止することができるという認証付暗号化装置の一例が開示されている。また、同文献には、過去に生成した値とは異なるnビットの初期ベクトルN(固定長値、nonce)を生成する初期ベクトル生成手段(固定長値生成部)を備える構成が開示されている(特許文献2の図1参照)。
また、非特許文献9[BGR95]は、タグ生成に用いるMAC関数を提案する文献である。非特許文献10[M96]は、d−disjunct行列を構築する方法を紹介している文献である。
特開2017−73716号公報 国際公開第2016/067524号
[CMAC],SP 800−38B, "Recommendation for Block Cipher Modes of Operation: the CMAC. Mode for Authentication",(May 2005). [HMAC],M. Bellare, R. Canetti, H. Krawczyk, "Keying hash functions formessage authentication", CRYPTO 1996, pp.1−15, Springer, Heidelberg (1996). [GAT05],Michael T. Goodrich, Mikhail J. Atallah, Roberto Tamassia,"Indexing Information for Data Forensics.",Applied Cryptography and Network Security, Third International Conference, ACNS 2005, New York, NY, USA, June 7−10, 2005, Proceedings. 2005 Lecture Notes in Computer Science ISBN 3−540−26223−7, pp. 206−221. [Min15],Kazuhiko Minematsu., "Efficient Message Authentication Codes with Combinatorial Group Testing.", ESORICS 2015. Lecture Notes in Computer Science, vol 9326. ISBN 978−3−319−24174−6. [CJS09],Giovanni Di Crescenzo, Shaoquan Jiang, Reihaneh Safavi−Naini,"Corruption−Localizing Hashing.",Computer Security − ESORICS 2009, 14th European Symposium on Research in Computer Security, Saint−Malo, France, September 21−23, 2009. Proceedings. Springer 2009 Lecture Notes in Computer Science ISBN 978−3−642−04443−4, pp. 489−504. [PR08],Ely Porat, Amir Rothschild、"Explicit Non−adaptive Combinatorial Group Testing Schemes." ICALP (1) 2008: 748−759. [KL08],Jonathan Katz and Yehuda Lindell,"Aggregate message authentication codes.",CT−RSA 2008, volume 4964 of Lecture Notes in Computer Science. Springer, 2008. [HS18],Shoichi Hirose and Junji Shikata,"Non−adaptive Group−Testing Aggregate MAC Scheme.",ISPEC 2018, IACR ePrint 2018/448., インターネット〈URL:https://eprint.iacr.org/2018/448〉 [BGR95],Mihir Bellare, Roch Guerin, and Phillip Rogaway,"XOR MACs: New Methods for Message Authentication Using Finite Pseudorandom Functions.", CRYPTO ’95. [M96],Anthony Macula,"A simple construction of d−disjunct matrices with certain constant weights.", Discrete Mathematics 162 (1996) page 311−312.
以下の分析は、本発明によって与えられたものである。本発明の第1の課題は、改ざんの有無だけでなく改ざんされた位置に関して情報を得られるようなメッセージ認証を、非特許文献3[GAT05]、非特許文献4[Min15]等の手法よりもさらに効率よく構築することである。
具体的には、非特許文献3[GAT05]、非特許文献4[Min15]等の手法では、非適応組み合わせグループテスト(NCGT)の理論から、タグ生成に用いるテスト行列を直接構成している。典型的には、非特許文献3[GAT05]、非特許文献4[Min15]等の手法では、d−disjunct行列によりテスト行列を構成するため、d−disjunct行列を構成困難なパラメータ(d,およびアイテム数m,テスト数t)については効果的な手法を実現できない、という問題点がある。
一方、背景技術で述べたように、d=1の場合の最適な行列構成方法はよく知られているが、d>1の場合の最適な構成方法は知られておらず、また、dがある程度大きくなると、そもそも非自明な、すなわちt<mであるようなd−disjuct行列が存在しないことも知られている。
本発明の目的は、改ざんの有無だけでなく改ざんされた位置に関して情報を得られるようなメッセージ認証のさらなる効率化に貢献できるMACタグリスト生成装置、MACタグリスト検証装置、集約MAC検証システム、MACタグリスト生成方法及びMACタグリスト検証方法を提供することを目的とする。
第1の視点によれば、メッセージ認証コード(MAC)生成の処理ごとに重複しない値であるナンス(Nonce)Nと、MACの対象となるm個のアイテムM[1],...,M[m]から構成されるメッセージMと、を入力するメッセージ入力部と、生成する前記MACの数s(sは正の整数)について、組み合わせグループテストのパラメータであるt行m列のグループテスト行列Hを生成するグループテスト行列生成部と、前記メッセージMについて、前記グループテスト行列Hと前記ナンスNと、可変長入力固定長出力の擬似ランダム関数F、Gとを用いて、i(i=1,...,t)番目のテストに対応するMAC値T[i]を生成することで、MACタグリストT=(T[1],...,T[t])を生成するナンス付線形グループテストMAC適用部と、前記ナンス付線形グループテストMAC適用部が求めたMACタグリストを出力するMACタグリスト出力部と、を含むMACタグリスト生成装置が提供される。
第2の視点によれば、メッセージ認証コード(MAC)タグリスト検証の対象となるナンスNと、m個のアイテムM[1],...,M[m]から構成されるメッセージMと、t個のMAC値のリストであるMACタグリストT=(T[1],...,T[t])と、を入力するメッセージ入力部と、組み合わせグループテストのパラメータであるt行m列のグループテスト行列Hを生成するとともに、前記グループテスト行列Hの行インデックスの部分集合である、v個(但し、v>t)の要素で構成されたテスト行列拡大ルールRを出力するグループテスト行列生成および拡大部と、メッセージMについて前記グループテスト行列Hと前記ナンスNと、可変長入力固定長出力の擬似ランダム関数F、Gと、を用いて、j(j=1,...,t)番目のテストに対応するMAC値T*[j]を生成することで、検証用MACタグリストT*=(T*[1],...,T*[t])を生成するナンス付線形グループテストMAC適用部と、前記MACタグリストTと前記検証用MACタグリストT*と前記テスト行列拡大ルールRとを用いて、前記テスト行列拡大ルールRが指定する行インデックスの部分集合に対応して前記MACタグリストTと前記検証用MACタグリストT*のそれぞれで線形結合を行い、拡大MACタグリストexT及び検証用拡大MACタグリストexT*を出力するMACタグリスト拡大部と、前記拡大MACタグリストexTと前記検証用拡大MACタグリストexT*とを比較してメッセージMの中の各アイテムの検証および改ざん位置の特定を行い、検証結果として出力するMACタグリスト検証部と、MACタグリスト検証部が出力する検証結果を出力する検証結果出力部と、を含むMACタグリスト検証装置が提供される。
第3の視点によれば、t行m列のグループテスト行列Hを出力するグループテスト行列生成部と、メッセージM[i]を入力するメッセージ入力部と、前記メッセージM[i]に対する単一のメッセージ認証コード(MAC)タグT[i]を求めて出力するMAC生成部と、をそれぞれ備えたm個のノードから送られた、m個のメッセージとタグの対(M[1],T[1]),...,(M[m],T[m])を入力とし、グループテスト行列Hに従ってタグの集約を行い、t個の集約タグからなる集約タグリストV=(V[1], ..., V[t])と、メッセージのリストM=(M[1],...,M[m])と、を出力するMACタグ集約部と、複数の前記グループテスト行列Hの行インデックスの部分集合であるテスト行列拡大ルールRを出力するグループテスト行列生成部と、を備える集約ノードと、前記テスト行列拡大ルールRに従って、前記集約タグリストVの要素の線形結合を求めて、拡大集約タグリストexVを出力する集約MACタグリスト拡大部と、前記メッセージリストMと前記拡大集約タグリストexV、前記テスト行列拡大ルールRと、を用いて検証を行い、改ざんされたノードを特定して検証結果として出力する拡大集約MACタグリスト検証部と、前記拡大集約MACタグリスト検証部の出力する検証結果の出力を行う検証結果出力部と、を備える検証ノードと、を含む集約MAC検証システムが提供される。
第4の視点によれば、メッセージ認証コード(MAC)生成の処理ごとに重複しない値であるナンス(Nonce)Nと、MACの対象となるm個のアイテムM[1],...,M[m]から構成されるメッセージMと、を入力するステップと、生成する前記MACの数s(sは正の整数)について、組み合わせグループテストのパラメータであるt行m列のグループテスト行列Hを生成するステップと、前記メッセージMについて、前記グループテスト行列Hと前記ナンスNと、可変長入力固定長出力の擬似ランダム関数F、Gとを用いて、i(i=1,...,t)番目のテストに対応するMAC値T[i]を生成することで、MACタグリストT=(T[1],...,T[t])を生成するステップと、前記MACタグリストを出力するステップと、を含むMACタグリスト生成方法が提供される。本方法は、上記したナンス(Nonce)N及びメッセージMを入力として、MACタグリストを出力するコンピュータという、特定の機械に結びつけられている。
第5の視点によれば、MACタグリスト検証の対象となるナンスNと、m個のアイテムM[1],...,M[m]から構成されるメッセージMと、t個のMAC値のリストであるMACタグリストT=(T[1],...,T[t])と、を入力するステップと、組み合わせグループテストのパラメータであるt行m列のグループテスト行列Hを生成するとともに、複数の前記グループテスト行列Hの行インデックスの部分集合であるテスト行列拡大ルールRを出力するステップと、メッセージMについて前記グループテスト行列Hと前記ナンスNと、可変長入力固定長出力の擬似ランダム関数F、Gと、を用いて、j(j=1,...,t)番目のテストに対応するMAC値T*[j]を生成することで、検証用MACタグリストT*=(T*[1],...,T*[t])を生成するステップと、前記MACタグリストTと前記検証用MACタグリストT*と前記テスト行列拡大ルールRとを用いて、前記テスト行列拡大ルールRが指定する行インデックスの部分集合に対応して前記MACタグリストTと前記検証用MACタグリストT*のそれぞれで線形結合を行い、前記拡大MACタグリストexT及び前記検証用拡大MACタグリストexT*を出力するステップと、前記拡大MACタグリストexTと前記検証用拡大MACタグリストexT*とを比較してメッセージMの中の各アイテムの検証および改ざん位置の特定を行い、検証結果として出力するステップと、前記検証結果を出力するステップと、を含むMACタグリスト検証方法が提供される。本方法は、上記したナンス(Nonce)N及びメッセージMを入力として、メッセージMの中の各アイテムの検証および改ざん位置の特定を行い、検証結果として出力するコンピュータという、特定の機械に結びつけられている。
第6の視点によれば、上記したMACタグリスト生成装置、MACタグリスト検証装置及び集約MAC検証システムの構成装置の機能を実現するためのコンピュータプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な(非トランジトリーな)記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
本発明によれば、改ざんの有無だけでなく改ざんされた位置に関して情報を得られるようなメッセージ認証のさらなる効率化達成することが可能となる。
本発明の第1の実施形態のMACタグリスト生成装置の構成を示す図である。 本発明の第1の実施形態のMACタグリスト生成装置の動作を表したフローチャートである。 本発明の第1の実施形態のMACタグリスト生成装置の各部のデータの流れを示す図である。 本発明の第2の実施形態のMACタグリスト検証装置の構成を示す図である。 本発明の第2の実施形態のMACタグリスト検証装置の動作を表したフローチャートである。 本発明の第2の実施形態のMACタグリスト検証装置の各部のデータの流れを示す図である。 本発明の第1、第2の実施形態の構成をストレージシステムに適用した例を示す図である。 本発明の第3の実施形態の集約MAC検証システムの構成を示す図である。 本発明の第3の実施形態の集約MAC検証システムの動作を表したフローチャートである。 可変長入力の擬似ランダム関数FとGを用いMAC関数の一例を表した図である。 m=7アイテム、t=3テストのMACタグリストを生成する構成の一例を示す図である。 本発明を実施可能なコンピュータの構成を示す図である。
[第1の実施形態]
続いて、本発明の第1の実施形態のMACタグリスト生成装置について図面を参照して詳細に説明する。以下、特に断りのない限り、1ブロックの長さをnビットとする。
図1は、本発明の第1の実施形態のMACタグリスト生成装置の構成を示す図である。図1を参照すると、メッセージ入力部101と、グループテスト行列生成部102と、ナンス付線形グループテストMAC適用部103と、MACタグリスト出力部104と、を備えたMACタグリスト生成装置10が示されている。
メッセージ入力部101は、対象となるメッセージM、およびナンスNを入力する手段である。このようなメッセージ入力部101は、例えばキーボードなどの文字入力装置や他の装置からデータを受信する通信インタフェースにより実現できる。
以下の説明では、メッセージMがm個の個別のアイテムM[1],...,M[m]より構成されているものとする。それぞれのアイテムは長さも異なってよいし、値が同じものがあってもよい。例えば、それぞれのアイテムは、ハードディスクの1セクタの内容であったり、データベースの1エントリ、あるいは文章情報の1キャラクタでもよい。ナンスNは処理ごとに更新される、重複しない値である。例えばカウンターや時刻情報からナンスNを構成することが可能である。ナンスが十分長い場合には乱数であってもよい。
グループテスト行列生成部102は、改ざん位置特定のための組み合わせグループテストを生成する。具体的には、グループテスト行列生成部102は、テストの数(すなわちMACの数)tと、特定可能な改ざんアイテムの数の最大値dに応じて、t行m列の2値行列Hを生成する。この行列Hの構成は任意であるが、行列Hは例えば既存のd−disjunct行列DのGF(2)基底とすることが可能である。すなわち、行列Hは、d−disjunct行列Dの線形独立な行ベクトル全体からなる行列、あるいは、線形独立な行ベクトル全体へ行基本操作(行同士の和)を行って得られる行列ということができる。
[例2]
一例として、以下の行列を考える。
[1 1 0 0]
[1 0 1 0]
[0 1 1 0]
[1 0 0 1]
[0 1 0 1]
[0 0 1 1]
上記[例2]は、6行4列の行列であり、2−disjunctである。6>4であるためテスト行列としては不適格、すなわち自明な、各アイテムごとにタグをとる方式のほうが4つのタグで済むため優れている。しかしながら、上記行列のGF(2)基底は、
[1 0 0 1]
[0 1 0 1]
[0 0 1 1]
となるため、3つのタグで2アイテムの特定が可能となる。
なお、m=4,d=2 のときは非自明(行数<列数となる)な2−disjunct行列は存在しないことが知られているため、非特許文献3[GAT05]、非特許文献4[Min15]、非特許文献8[HS18]では意味のある方式構築は不可能である。
ナンス付線形グループテストMAC適用部103は、メッセージM=(M[1],...,M[m])について、ナンスNを用いてt行m列グループテスト行列Hが指定する方法でt個のMACタグを生成する。
MACタグの生成には可変長入力固定長出力の擬似ランダム関数(pseudorandom function,PRF)FとGを用いる。以下の説明では、簡単のため、擬似ランダム関数F及びGの出力長は等しいものとするが、異なる場合は擬似ランダム関数F,Gの出力へ適宜パディングや短縮を用いて長さを合わせることができる。
擬似ランダム関数FとGは異なる鍵を用いていてもよいし、適当な入力ドメイン分離を用いて、単一のPRFから生成してもよい。
図10は、行列Hのi番目の行ベクトルH[i]がi番目のテストでどのアイテムをMACタグ計算に含めるかを示す。具体的には、H[i]で1が立つすべての行のインデックスjについて、M[j]とjを連結してFに入力し、F(M[j], j)を得る。各jについてすべてのF(M[j],j)の和(例えば排他的論理和)をとり、さらにNとiを連結してGへ入力してG(N,i)を得て、これとの和をとることでi番目のテストに対応するMAC値T[i]とする。
ナンス付線形グループテストMAC適用部103は、上記の計算をすべてのi=1,...,tについて行い、MACタグリストT=(T[1],...,T[t])を生成する。
なお、擬似ランダム関数FとGは、AES(Advanced Encryption Standard)などの標準的なブロック暗号を用いて構成することができる。また、擬似ランダム関数FとGは、SHA−2などのハッシュ関数を用いて構成される疑似ランダム関数、例えば、CMACやHMACとすることも可能である(非特許文献1、2参照)。
ここで、各MACタグの計算は、テストごとに個別に行うのではなく、非特許文献4[Min15]と同様に、途中の計算結果を共有しつつ並列に行うことで、大幅に効率よく計算することも可能である(図10、11参照)。図11は、m=7アイテム、t=3テストでのMACタグリストの生成の例を示している。図11の例では、破線で囲った部分を計算することで、3つのタグからなるタグリストを計算することが可能となっている。
上記したナンス付線形グループテストMACは、FとGが擬似ランダム関数であり、ナンスがMAC生成処理のごとに更新されていれば、任意のメッセージについてMACタグを攻撃者が予測することは困難であり、従って改ざんは困難である。
MACタグリスト出力部104は、ナンス付線形グループテストMAC適用部103が出力するMACタグリストを、コンピュータディスプレイやプリンターなどへ出力する。
以上のようなMACタグリスト生成装置10はCPUとメモリとディスクにより実現可能である。MACタグリスト生成装置の各処理ユニットは、プログラムをディスクに格納しておき、このプログラムをCPU上で動作させることにより実現することができる(図12参照)。
続いて、図2のフローチャートを参照して、第1の実施形態の全体の動作について詳細に説明する。まず、メッセージ入力部101が、対象となるm個のアイテムからなるメッセージM及びナンスNを入力する(図2のステップ1)。
次に、グループテスト行列生成部102が、t行m列の2値行列であるグループテスト行列Hを生成する(図2のステップ2)。
次に、ナンス付線形グループテストMAC適用部103が、グループテスト行列Hを参照して、擬似ランダム関数FとGを用いたナンス付線形グループテストMACをMへ適用し、t個のMACタグからなるMACタグリストTを生成する(図2のステップ3)。
最後に、MACタグリスト出力部104が得られたMACタグリストTを出力する(図2のステップ4)。
上記のように動作するMACタグリスト生成装置10は、以下のように要約することができる。以下、図3を参照して説明する。
メッセージ入力部101は、MAC生成の処理ごとに重複しない値であるナンス(Nonce)Nと、MACの対象となるm個のアイテムM[1],...,M[m]から構成されるメッセージM=(M[1],...,M[m])を入力する。
グループテスト行列生成部102は、生成するMACの数sについて、組み合わせグループテストのパラメータであるt行m列の2値グループテスト行列Hを生成する。
前記ナンス(Nonce)N、メッセージM及び2値グループテスト行列Hは、ナンス付線形グループテストMAC適用部103に入力される。
ナンス付線形グループテストMAC適用部103は、メッセージMについて、グループテスト行列HとナンスNと、可変長入力固定長出力の擬似ランダム関数F、Gと、を用いて、i(i=1,...,t)番目のテストに対応するMAC値T[i]を生成する。具体的には、ナンス付線形グループテストMAC適用部103は、グループテスト行列Hのi行目で1が立つすべての列のインデックスj(j=1,...,m)について、M[j]とインデックスjを擬似ランダム関数Fに入力する。そして、ナンス付線形グループテストMAC適用部103は、得られた出力すべての和と、さらに擬似ランダム関数Gに、ナンスNとiを入力した結果との和をとって、MACタグT[i]を得る。ナンス付線形グループテストMAC適用部103は、すべてのj=1,...,tについて、上記MACタグT[i]の計算を行うことで、MACタグリストT=(T[1],...,T[t])を生成する(図11参照)。
そして、MACタグリスト出力部104は、ナンス付線形グループテストMAC適用部が求めたMACタグリストTを出力する。
以上のような、第1の実施形態の効果は、第2の実施形態のMACタグリスト検証装置と合わせて説明する。
[第2の実施形態]
続いて、本発明の第2の実施形態として、本発明の第1の実施形態と対をなすMACタグリスト検証装置について図面を参照して詳細に説明する。図4は、第2の実施形態のMACタグリスト検証装置の構成を示すブロック図である。図4を参照すると、メッセージ入力部201と、グループテスト行列生成および拡大部202と、ナンス付線形グループテストMAC適用部203と、MACタグリスト拡大部204と、MACタグリスト検証部205と、検証結果出力部206と、を備えた構成が示されている。
メッセージ入力部201は、対象となるメッセージMと、ナンスNと、第1の実施形態のMACタグリスト生成装置10の出力するMACタグリストTとを入力する手段である。このようなメッセージ入力部201は、例えばキーボードなどの文字入力装置や他の装置からデータを受信する通信インタフェースにより実現できる。
第1の実施形態と同じく、ここでは、メッセージMがm個の個別のアイテムM=(M[1],...,M[m])より構成されているものとする。ナンスは、第1の実施形態と同様に、処理ごとに更新される、重複しない値であり、例えばカウンターや時刻情報から構成することが可能である。ナンスが十分長い場合には乱数であってもよい。
グループテスト行列生成および拡大部202は、第一の実施形態のMACタグリスト生成装置10のグループテスト行列生成部102が生成するものと同じ行列Hと、テスト行列拡大ルールRを生成する。テスト行列拡大ルールRは、行列Hを基底とした、より行数の多い行列を生成するために必要となるルールである。具体的には、テスト行列拡大ルールRは、行列Hの行インデックスの部分集合である、v個(但し、v>t)の要素で構成されている。グループテスト行列生成および拡大部202は、グループテスト行列生成部に相当する。
ナンス付線形グループテストMAC適用部203は、第一の実施形態のMACタグリスト生成装置10のナンス付線形グループテストMAC適用部103と同様の処理をナンスN、メッセージM、グループテスト行列Hについて行い、検証用MACタグリストT*=(T*[1],...,T*[t])として出力する。
MACタグリスト拡大部204は、テスト行列拡大ルールRに従って、検証用MACタグリストT*の要素を線形結合し、拡大することで検証用拡大MACタグリストexT*を生成する。
ここで、テスト行列拡大ルールRは、v(但し、v>t)個の要素R[1],...,R[v]からなり、各R[i]は{1,...,t}の部分集合である。
このとき、検証用拡大MACタグリストはexT*=(exT*[1],...,exT*[v])と表され、例えばR[1]={1,2,4}であれば、exT*[1]=T*[1]+T*[2]+T*[4]となる。
同様に、MACタグリスト拡大部204は、メッセージ入力部201から入力されたMACタグリストTの要素も同様にテスト行列拡大ルールRに従って線形結合し、拡大することで拡大MACタグリストexT=(exT[1],...,exT[v])を生成する。そして、MACタグリスト拡大部204は、MACタグリスト検証部205に、拡大MACタグリストexTと検証用拡大MACタグリストexT*とを出力する。
MACタグリスト検証部205は、検証用拡大MACタグリストexT*と、拡大MACタグリストexTとを、グループテスト行列Hおよびテスト行列拡大ルールRを用いて比較することで、メッセージMを検証する。具体的には、MACタグリスト検証部205は、検証用拡大MACタグリストexT*と、拡大MACタグリストexTとの比較により、メッセージMに対する改ざんの有無を判定する。さらに、MACタグリスト検証部205は、改ざんがあったと判定した場合、改ざんされたアイテムを特定し、検証結果出力部206に、そのインデックスを出力する。
ここで、MACタグリスト検証部205によるメッセージ検証動作の仕組みについて説明する。
まず、グループテスト行列Hをテスト行列拡大ルールRにより拡大した行列、すなわちR=(R[1],...,R[v])について、R[i]が指定する行列Hの行の線形結合をi行目とするv(v>t)行m列行列を拡大テスト行列exHとする。
ここで、拡大テスト行列exHのi行目をexH[i]とすると、
(式3)
exH[i]=XOR_{i:i∈R[i]}H[i]
となる(XOR_Sは集合Sに含まれるものすべてについての排他的論理和)。なお、グループテスト行列Hそのものもテストとして用いることが自然であり、その場合はexHはHを含む。
これは例えば、R[i]={i} for t=1,…, t として実現することが可能である。
このとき、exT*=(exT*[1],...,exT*[v])とexT=(exT[1],...,exT[v])について、両者のエントリごとの差をとる。そして、差がゼロのケースを0,非ゼロとなるケースを1とした2値ベクトルB=(B[1],...,B[v])を作り、Bに対し、拡大テスト行列exHを用いた所定の手続きに基づき結果を出力する。
具体的には、Bのエントリがすべて0であった場合は改ざんがないと判定し、それ以外の場合は全体において、少なくとも一つのアイテムに改ざんがあると判定し、改ざんされたアイテムの特定を行うために、B[i]=0となるすべてのi=1,...,vについて、exHのi行目ベクトルV=(V[1],...,V[m])をとりだし、V[j]=1となるすべてのj=1,...,mについてM[j]を改ざんなしと判定する。
MACタグリスト検証部205は、以上の処理を行い、改ざんなしと判定されなかったアイテムすべてを改ざんありとして判定し、そのインデックスすべてを出力する。改ざんがない場合にはどのインデックスも出力されない。
グループテストにおいて、この手続きは拡大テスト行列exHをテスト行列とした場合のナイーブデコーダと呼ばれる処理に相当する。
拡大テスト行列exHがd−disjunctであれば、上記の手続きにより、改ざんされたアイテムの数がd以下の場合、すべての改ざんされたアイテムを特定することが可能である。
また、非特許文献5[CJS09]に記載のように、改ざんなしと判定されたアイテムが実際は改ざんされていたということは起きないため、所望のdについてd−disjunctでない場合であっても、一般に、改ざんの可能性がある範囲を狭めることができるという効果がある。
検証結果出力部206は、MACタグリスト検証部205の出力する、改ざんされたアイテムのインデックスの情報とをコンピュータディスプレイやプリンターなどへ出力する。
以上のようなMACタグリスト検証装置20はCPUとメモリとディスクにより実現可能である。MACタグリスト生成装置の各処理ユニットは、プログラムをディスクに格納しておき、このプログラムをCPU上で動作させることにより実現することができる(図12参照)。
続いて、図5のフローチャートを参照して、第2の実施形態の全体の動作について詳細に説明する。まず、メッセージ入力部201が、対象となるm個のアイテムからなるメッセージMと、ナンスN及びMACタグリストTを入力する(図5のステップ11)。
次に、グループテスト行列生成および拡大部202が、t行m列の2値行列であるグループテスト行列Hとテスト行列拡大ルールRを生成する(図5のステップ12)。
次に、ナンス付線形グループテストMAC適用部203が、グループテスト行列Hを参照して、擬似ランダム関数Fと擬似ランダム関数Gを用いたナンス付線形グループテストMACをメッセージMへ適用し、t個のMACタグからなる検証用MACタグリストT*を生成する(図5のステップ13)。
次に、MACタグリスト拡大部204が、MACタグリストTと検証用MACタグリストT*との双方をテスト行列拡大ルールRに従って拡大し、それぞれ拡大MACタグリストexTと検証用拡大MACタグリストexT*を生成する(図5のステップ14)。
次に、MACタグリスト検証部205が、拡大MACタグリストexTと検証用拡大MACタグリストexT*とを、グループテスト行列Hの行をテスト行列拡大ルールRに従って拡大した拡大テスト行列exHを用いて比較する。そして、MACタグリスト検証部205は、メッセージM中の改ざんされたアイテムのインデックス集合を出力する(図5のステップ15)。
最後に、検証結果出力部206は、検証結果として、MACタグリスト検証部205にて検出された改ざんされたアイテムのインデックス集合を出力する(図5のステップ16)。
上記のように動作するMACタグリスト検証装置20は、以下のように要約することができる。以下、図6を参照して説明する。
メッセージ入力部201は、MACタグリスト検証の対象となる、m個のアイテムからなるメッセージ M=(M[1],...,M[m])、ナンスN、t個のMACのリストであるMACタグリストT=(T[1],...,T[t])を入力する。
グループテスト行列生成および拡大部202は、t行m列の2値グループテスト行列Hを生成する。さらに、グループテスト行列生成および拡大部202は、グループテスト行列Hの行インデックスの部分集合である、v個(但し、v>t)の要素R[i]で構成されたテスト行列拡大ルールRを出力する。グループテスト行列生成および拡大部202は、グループテスト行列生成部とグループテスト行列生成部とを含む。
ナンス付線形グループテストMAC適用部203は、メッセージMについてグループテスト行列HとナンスNと、可変長入力固定長出力の擬似ランダム関数F、Gとを用いて、検証用MACタグリストT*=(T*[1],...,T*[t])を生成する。具体的には、ナンス付線形グループテストMAC適用部203は、グループテスト行列Hのj列目で1が立つすべての行のインデックスiについて、i番目のアイテムM[i]とインデックスiを擬似ランダム関数Fに入力し、得られた出力すべての和をとる。さらに、ナンス付線形グループテストMAC適用部203は、この和と、擬似ランダム関数GにナンスNを入力した結果との和をとり、得られた出力をj番目のテストに対応する検証用MAC値T*[i]とする。ナンス付線形グループテストMAC適用部203は、これをすべてのj=1,...,tについて行い検証用MACタグリストT*=(T*[1],...,T*[t])を生成する。
MACタグリスト拡大部204は、MACタグリストTと検証用MACタグリストT*とテスト行列拡大ルールRとを用いて、テスト行列拡大ルールRが指定する行インデックスの部分集合に対応してTとT*それぞれで線形結合を行い、拡大MACタグリストexT,検証用拡大MACタグリストexT*を出力する。
MACタグリスト検証部205は、拡大MACタグリストexTと検証用拡大MACタグリストexT*とを比較してメッセージMの中の各アイテムの検証および改ざん位置の特定を行い、検証結果として出力する。
そして、検証結果出力部206が、MACタグリスト検証部205から出力された検証結果を出力する。
以上のような、第1、第2の実施形態によれば、組み合わせグループテストを用いて改ざん位置を特定するメッセージ認証において、非特許文献3[GAT05]、非特許文献4[Min15]などの手法よりもタグの数を削減できるという効果が奏出される。その理由は、非特許文献3[GAT05]、非特許文献4[Min15]ではt行m列テスト行列に従って生成したt個のタグのみを改ざん特定に用いていたのに対して、第1、第2の実施形態では、タグの線形結合も改ざん特定に用いるように構成したことにある。
また、非特許文献3[GAT05]、非特許文献4[Min15]ではタグが入力メッセージについて疑似ランダム関数を適用した出力となっているために、タグの線形結合は何の有用な情報ももたらさないが、第1、第2の実施形態では、ナンスベースの並列実行可能なMACを用いることにより、タグがある種の線形性を持っている。従って、第1、第2の実施形態によれば、タグ同士の和を新たなテストとして用いることが可能となっている。
例えば第1の実施形態において、Hの1行目が(1100...0)と2行目が(01100...0)であったとすると、対応するタグは、
T[1]=F(M[1],1)+F(M[2],2)+G(N,1)
T[2]=F(M[2],2)+F(M[3],3)+G(N,2)
となる(+はビットごとの排他的論理和を表す)。
ここで 、
T[1]+T[2]=F(M[1],1)+F(M[3],3)+G(N,1)+G(N,2)となるため、T[1]+T[2]はm(M[1],M[3])に改ざんがあるかどうかを検証するタグとして機能する。
これはT[1],T[2]のみを用いた改ざん同定では得られない情報である。例えば T[1]とT[2]のみでは、T[1],T[2]ともに検証NGとなり、M[2]が改ざんされたのか、あるいはM[1]とM[3]が改ざんされたのかの二つの可能性が残されている場合、これ以上の切り分けは不可能である。そこで、T[3]=T[1]+T[2]を求め、もしT[3]の検証がOKであった場合にはM[2]が改ざんされたことを特定できる。
また、テスト行列拡大ルールRは、どのタグの和をとるかを指示するものであり、グループテスト行列Hの行インデックスの部分集合を要素とした集合である。上の例ではテスト行列拡大ルールRの要素として集合{1,2}があることに相当する。
より一般的には、非特許文献3[GAT05]、非特許文献4[Min15]において、あるグループテスト行列Hを用いるならば、第1、第2の実施形態ではグループテスト行列HのGF(2)基底H_b(basis over GF(2))を用いることができる。
H_bの行数はもとのグループテスト行列Hの線形独立な行の数(すなわち行列のランク)であり、最悪でも元の行数と一致するため、行数の削減(すなわち送信するタグリストの要素数の削減)が期待できる。
また、実質的に、グループテスト行列HのGF(2)基底H_bからグループテスト行列Hと同じテストが実行可能であるため、改ざんアイテムの特定能力は、グループテスト行列Hを用いる非特許文献3[GAT05]、非特許文献4[Min15]等の方式と同等である。
なお、第1、第2の実施形態で用いるタグ生成の関数は、非特許文献9[BGR95]に記載のXOR−MACの変種と捉えることができる。ただし、非特許文献9[BGR95]は単体のMAC関数の提案であり、グループテストの利用や改ざんアイテムの特定に関する記載はない。
以上のような第1、第2の実施形態の構成は、図7に示すようなストレージシステムに好適に適用することができる。即ち、大規模ストレージ(Large Storage(DB))に格納されたメッセージMについて、ナンス付線形グループテストMAC適用部(Nonce−based Linear CGTMAC tagging)にて、MACタグリストの生成を行う構成が、第1の実施形態のMACタグリスト生成装置10に相当する。そして、これらについて、ナンス付線形グループテストMAC適用部(Nonce−based Linear CGTMAC tagging)にて検証用MACタグリストT*を作成し、MACタグリストT及び検証用MACタグリストT*についてそれぞれテスト行列拡大ルールRを用いて、拡大MACタグリストexT、検証用拡大MACタグリストexT*を作成し、改ざんの有無や場所を特定する構成が、第2の実施形態のMACタグリスト検証装置20に相当する。
[第3の実施形態]
続いて、複数のノードから受信したメッセージとタグを検証する構成を想定した第3の実施形態について図面を参照して説明する。図8は、本発明の第3の実施形態の集約MAC検証システムの構成を示すブロック図である。
図8を参照すると、m台のノードからメッセージとタグを受信する集約ノードAと、集約ノードAからメッセージリストMと、集約タグリストVとを受信する検証ノードCとが接続された構成が示されている。
ノード1〜mは、それぞれ、メッセージ入力部301と、MAC生成部302と、を備えている。
集約ノードAは、グループテスト行列生成および拡大部303と、MACタグ集約部304と、を備えている。
検証ノードCは、集約MACタグリスト拡大部305と、拡大集約MACタグリスト検証部306と、検証結果出力部307とを備えている。
メッセージ入力部301は、集約MACにおけるi(i=1,...,m)番目のノードで対象となるメッセージM[i]を入力する。これは例えばキーボードなどの文字入力装置や他の装置からデータを受信する通信インタフェースにより実現される。
MAC生成部302は、i(i=1,...,m)番目のノードのメッセージM[i]について、MACタグT[i]を求め、メッセージとタグの対(M[i],T[i])を出力する。このようなMAC生成部302は、CMAC,HMACなどを用いて実現可能である。MACの鍵はノードごとに独立でも、従属でもよい。
グループテスト行列生成および拡大部303は、グループテスト行列生成部とグループテスト行列生成部とを含む。即ち、グループテスト行列生成および拡大部303は、第2の実施形態のMACタグリスト検証装置20のグループテスト行列生成および拡大部202と同様に、t行m列のグループテスト行列Hと、テスト行列拡大ルールRを出力する。このテスト行列拡大ルールRは、第2の実施形態と同様に、グループテスト行列Hに対する行の拡大方法(tからv行(但し、v>t)に拡大)を指定するルールである。これらの出力は最初に一度行えばよく、集約ノードAで実行されて検証ノードCへその結果を提供する形態を採ることができる。また、検証ノードC側に、グループテスト行列生成および拡大部303を配置し、検証ノードCが集約ノードAに、グループテスト行列Hと、テスト行列拡大ルールRを提供する構成も採用可能である。
あるいはその逆でもよい。
MACタグ集約部304は、集約ノードにおいて、m個のノードからの出力全体(M[1],T[2]),...,(M[m],T[m])について、グループテスト行列Hに従ってタグの集約を行い集約タグリストV=(V[1],...,V[t])を求める。そして。MACタグ集約部304は、メッセージのリスト(M[1],...,M[m])と合わせて、検証ノードC側に、集約タグリストVを出力する。これは、V[i]をグループテスト行列Hのi行目が1となる列インデックスjについて、すべてのT[j]の和をとることで実現される。
集約MACタグリスト拡大部305は、集約タグリストVについて、テスト行列拡大ルールRに従って線形結合を行い、拡大集約タグリストexV=(exV[1],...,exV[v])(v>t)を出力する。
拡大集約MACタグリスト検証部306は、メッセージリストM=(M[1],...,M[m])に対して、各ノードの鍵を用いて検証用タグT*[1],...,T*[m]を求め、検証用MACタグリストT*=(T*[1],...,T*[m])を生成する。次に、拡大集約MACタグリスト検証部306は、T*に対してグループテスト行列Hとテスト行列拡大ルールRとを用いて、検証用拡大集約タグリストexV*=(exV*[1],...,exV*[v])を求める。
次に、拡大集約MACタグリスト検証部306は、次に、第2の実施形態のMACタグリスト検証部205と同様に、グループテスト行列Hとテスト行列拡大ルールRとを用いて拡大集約タグリストexVと検証用拡大集約タグリストexV*の比較を行い、改ざんされたノードのインデックス集合を出力する。
検証結果出力部307は、検証結果として、拡大集約MACタグリスト検証部306の出力する改ざんされたノードのインデックス集合をディスプレイなどに出力する。
以上のような集約MAC検証システム30の構成ノードは、CPUとメモリとディスクにより実現可能である。集約MAC検証システム30の各処理ユニットは、プログラムをディスクに格納しておき、このプログラムをCPU上で動作させることにより実現することができる(図12参照)。
続いて、図9のフローチャートを参照して、第3の実施形態の全体の動作について詳細に説明する。まず、各i=1,...,mのノードのメッセージ入力部301が、対象となるメッセージM[i]を入力し、MAC生成部302によりMACタグT[i]を求め、集約ノードAへ出力する(図9のステップ21)。
次に、グループテスト行列生成および拡大部303が、t行m列の2値行列であるグループテスト行列Hとテスト行列拡大ルールRを生成する(図9のステップ22)。
次に、集約ノードAのMACタグ集約部304は、受信した(M[1],T[1]),...,(M[m],T[m])について、グループテスト行列Hに従ってMACタグ集約を行う。そして、MACタグ集約部304は、MACタグ集約により得られた集約タグリストV=(V[1],...,V[t])とメッセージリストM=(M[1],...,M[m])とを検証ノードCへ出力する(図9のステップ23)。
次に、検証ノードCは、受信した集約タグリストVをテスト行列拡大ルールRを用いて拡大し、拡大集約タグリストexVを求める(図9のステップ24)。
さらに、検証ノードCは、受信したメッセージリストMと各ノードの鍵を用いて検証用MACタグリストT*=(T*[1],...,T*[m])を求める。さらに、検証ノードCは、グループテスト行列Hをテスト行列拡大ルールRに従って行拡大した拡大テスト行列exHを生成し、拡大テスト行列exHに従って検証用MACタグリストT*の線形結合を求めて検証用拡大集約タグリストexV*を求める(図9のステップ25)。
さらに、検証ノードCは、拡大テスト行列exHを用いたナイーブデコーダによって、拡大集約タグリストexVと検証用拡大集約タグリストexV*との比較を行い、改ざんされたノードを特定し、ノードのインデックス集合を検証結果とする(図9のステップ26)。
最後に、検証ノードCは、検証結果を出力する(図9のステップ27)。
上記のように動作する集約MAC検証システム30は、以下のように要約することができる。以下、図8を参照して説明する。
i番目のノードのメッセージ入力部301は、それぞれ独立に対象となるメッセージとして、M[i]を入力する。
MAC生成部302は、i=1,...,mについてi番目のノードにおいて、それぞれM[i]に対する単一のMACタグT[i]を求めて出力する。
グループテスト行列生成および拡大部303は、t行m列のグループテスト行列H及びテスト行列拡大ルールRを出力する。
集約ノードAのMACタグ集約部304は、m個のメッセージとタグの対(M[1],T[1]),...,(M[m],T[m])を入力とし、グループテスト行列Hに従ってタグの集約を行う。そして、MACタグ集約部304は、t個の集約タグからなる集約タグリストV=(V[1],...,V[t])と、メッセージのリストM=(M[1],...,M[m])とを出力する。
検証ノードCの集約MACタグリスト拡大部305は、テスト行列拡大ルールRに従って集約タグリストVの要素の線形結合を求めて、拡大集約タグリストexVを出力する。
検証ノードCの拡大集約MACタグリスト検証部306は、メッセージリストM=(M[1],...,M[m])と拡大集約タグリストexV、テスト行列拡大ルールRを用いてメッセージリストMの検証を行い、改ざんされたノードを特定して検証結果として出力する。
検証ノードCの検証結果出力部307は、拡大集約MACタグリスト検証部306による検証結果を出力する。
上記した第3の実施形態の効果は、第1、第2の実施形態の効果と同様である。さらに、非特許文献8[HS18]では、集約ノードAは、あるテスト行列Aに従って集約タグリストを求めているが、本実施形態では、集約ノードAはグループテスト行列Hの基底行列のHbに従ってタグを集約し、検証ノードCへ送る。このため、検証ノードCはテスト行列拡大ルールRに従って集約タグ同士の和をとり、グループテスト行列Hに相当する集約タグを求めることができる。結果として本実施形態では、非特許文献8[HS18]等と比較して、送信量を減らしつつ、集約MACにおける改ざんノードの特定について、同等以上の改ざん特定能力を保持することが可能である。
[第4の実施形態]
続いて、上記した第1〜第3の実施形態におけるグループテスト行列Hに変更を加えた第4の実施形態について説明する。
[例2]で示したMaculaの行列を一般的にすると、以下のように生成される。
正の整数a,bについて(a,b)=a!/(a−b)!b!をa個からb個選択する場合の数とし、((a,b))を集合{1,2,...,a}の大きさbの部分集合の全体とする。
このとき、Macula行列はパラメータ(n,k,d)に対して、(n,d)x(n,k)行列であり、適当な順序で列と行のインデックスを((n,d))の要素と((n,k))の要素に対応させたうえで、ある((n,d))の要素Dが((n,k))の要素KについてDがKに含まれるときに、行列の(D,K)エントリを1とし、それ以外を0とするものである。
非特許文献10[M96]に示されているように、Macula行列はd−disjunctである。
[例2]で示した行列
[1 1 0 0]
[1 0 1 0]
[0 1 1 0]
[1 0 0 1]
[0 1 0 1]
[0 0 1 1]
は、このMacula行列のパラメータ(n=4,k=3,d=2)に相当し、従って2−disjunctである。
このGF(2)基底がグループテスト行列Hとなるが、それは一意でなく、
[1 0 0 1]
[0 1 0 1]
[0 0 1 1]

[1 1 0 0]
[0 1 1 0]
[0 0 1 1]
があり、いずれも用いることができる。
このようにパラメータによってMacula行列の行数が列数より大きい、すなわちそのままではd−disjunct行列として無意味なものであっても、[例2]のように、そのGF(2)基底を用いることで、列数より小さいテスト行列を構成することが可能である。
第4の実施形態は、以下のように要約される。上記したMACタグリスト生成装置10のグループテスト行列生成部102、MACタグリスト検証装置20のグループテスト行列生成および拡大部202、又は、第3の実施形態のグループテスト行列生成および拡大部303は、以下にて規定されるグループテスト行列Hを生成する。
具体的には、t行m列のグループテスト行列Hは、正の整数のパラメータ(n,k,d)を持つMacula行列で構成される。即ち、正の整数a,bについて(a,b)=a!/(a−b)!b!をa個からb個選択する場合の数とし、((a,b))を集合{1,2,...,a}の大きさbの部分集合の全体とする。そして、このグループテスト行列Hは、(n,d)行(n,k)列2値行列であり、適当な順序で列と行のインデックスを((n,d))の要素と((n,k))の要素に対応させたうえで、ある((n,d))の要素Dが((n,k))の要素Kについて、要素Dが要素Kに含まれるときに、行列の(D,K)エントリを1とし、それ以外を0とする、という行列の有限体GF(2)上の基底からなる。
[第5の実施形態]
続いて、上記した第1〜第3の実施形態におけるグループテスト行列Hに変更を加えた第5の実施形態について図面を参照して説明する。
第5の実施形態におけるt行m列のグループテスト行列Hは、ある整数rについてm=2^r−1とし、グループテスト行列Hをテスト行列拡大ルールRで拡大した行列exHが、m+1行m+1列のアダマール行列Had(r)から1行目と1列目を削除し、1と−1からなるエントリのうち、−1を0で置き換えた行列(これをmodHad(r)と表記する)となるものである。
グループテスト行列Hは、modHad(r)の基底となる部分行列(一般に複数存在する)を選べばよく、テスト行列拡大ルールRは、この部分行列の行和でmodHad(r)をなすように選ばれる。このときtはr+1となる。
[例3]例えばr=3であれば、Had(r)は
[1 1 1 1 1 1 1 1]
[1 −1 1 −1 1 −1 1 −1]
[1 1 −1 −1 1 1 −1 −1]
[1 −1 −1 1 1 −1 −1 1]
[1 1 1 1 −1 −1 −1 −1]
[1 −1 1 −1 −1 1 −1 1]
[1 1 −1 −1 −1 −1 1 1]
[1 −1 −1 1 −1 1 1 −1]
となり、
modHad(r)、すなわちexHは
[0 1 0 1 0 1 0]
[1 0 0 1 1 0 0]
[0 0 1 1 0 0 1]
[1 1 1 0 0 0 0]
[0 1 0 0 1 0 1]
[1 0 0 0 0 1 1]
[0 0 1 0 1 1 0]
となる。
グループテスト行列Hは、この基底の一つである
[0 1 0 1 0 1 0]
[1 0 0 1 1 0 0]
[0 0 1 1 0 0 1]
[1 1 1 0 0 0 0]
となり、対応するテスト行列拡大ルールRは({1},{2},{3},{4},{2,3,4},{1,3,4},{1,2,4})となる。
この拡大したテスト行列exHは任意のr>1について2−disjunctであり、従って2アイテム改ざんをr+1=log m+1タグで同定することが可能である。
本実施形態によれば、このようにほぼlog mのテスト数を用いて2アイテムまでの改ざんを同定でき、2−disjunct行列そのものをグループテスト行列Hとして用いる方式よりも大幅に効率が向上されることになる。
第5の実施形態は、以下のように要約される。上記したMACタグリスト生成装置10のグループテスト行列生成部102、MACタグリスト検証装置20のグループテスト行列生成および拡大部202、又は、第3の実施形態のグループテスト行列生成および拡大部303は、以下にて規定されるグループテスト行列Hを生成する。
ある整数r>1についてm=2^r−1,t=rを満たし、m+1行m+1列のアダマール行列Had(r)から第1行目と第1列目を削除し、さらにアダマール行列の要素である−1と1のうち、−1を0とすることで得られるm行m列バイナリ行列modHad(r)をとり、グループテスト行列Hはこの行列の有限体GF(2)上の基底からなり、テスト行列拡大ルールRは、グループテスト行列Hをテスト行列拡大ルールRに従って行の拡大を行った場合にmodHad(r)となる。
[第6の実施形態]
続いて、上記した第1〜第3の実施形態におけるグループテスト行列Hに変更を加えた第6の実施形態について説明する。
第6の実施形態におけるグループテスト行列Hは、正整数sについて行数と列数が共に2^(2s)+2^s+1の正方行列Pの一次独立なt個の行ベクトルからなる部分行列であって、前記正方行列Pは、有限体GF(2^s)を座標成分とする2次元射影空間上のすべての点と直線から定まる接続行列であり、テスト行列拡大ルールRによって生成されるテストベクトルを前記正方行列Pの全ての行ベクトルとする。
前記正方行列Pの各行は、前記有限体GF(2^s)を座標成分とする2次元射影空間における2^(2s)+2^s+1個の点に対応し、Pの各列は2次元射影空間内の2^(2s)+2^s+1個の直線に対応する。Pの第(i,j)成分は、2次元射影空間の第i番目の点を第j番目の直線が通過する場合に限って1とし、そうでない場合は0とする。Pの一次独立な行ベクトル数tはt=3^s+1であって、これらPの一次独立な行ベクトルからなる(3^s+1)×(2^(2s)+2^s+1)行列がグループテスト行列Hとなる。正方行列Pは(2^s)−disjunctであり、テスト行列拡大ルールRによって生成されるテストベクトル全体を前記正方行列Pの全ての行ベクトルとすることにより、2^s個以下の改ざん位置を特定することができる。
[例4]
例えばs=1の時、有限体GF(2)を座標成分とする2次元射影空間の点の数と直線の数は共に7であり、7個の点の各々に対して7個の直線の各々が通過するか否かによって定められる接続行列は次の[数1]のように計算される。
[数1]
Figure 2020065820
Pの第1行から第4行の4つの行ベクトルは一次独立であって、この4つの行ベクトルからなる4×7行列をグループテスト行列Hとし、テスト行列拡大ルールRによって生成されるテスト行列をPとすれば、行列Pは2−disjunctであるため、2個以下の改ざん位置を特定可能となる。
表1は、本実施形態により生成されるテスト行列のサイズをs=1から13まで示したものである。第2カラムは正方行列Pの行数(列数)であり、ランク、閾値はそれぞれPのランクとdisjunctパラメータを表す。すなわちランクx、閾値yであれば、グループテスト行列Hは行数xで、テスト行列拡大ルールRにより拡大されたグループテスト行列H(すなわちH^R)は、y−disjunctとなっている。
[表1]
Figure 2020065820
第6の実施形態は、以下のように要約される。上記したMACタグリスト生成装置10のグループテスト行列生成部102、MACタグリスト検証装置20のグループテスト行列生成および拡大部202、又は、第3の実施形態のグループテスト行列生成および拡大部303は、以下にて規定されるグループテスト行列Hを生成する。
グループテスト行列Hが、正整数sについて行数と列数が共に2^(2s)+2^s+1の正方行列Pの一次独立なt個の行ベクトルからなる部分行列であって、前記正方行列Pは、有限体GF(2^s)を座標成分とする2次元射影空間上の点と直線によって定まる接続行列であり、テスト行列拡大ルールRによって生成されるテストベクトルが前記正方行列Pの全ての行ベクトルである。
[第7の実施形態]
続いて、上記した第1〜第3の実施形態におけるグループテスト行列Hに変更を加えた第7の実施形態について説明する。
第7の実施形態におけるグループテスト行列Hは、正整数sと3以上2^s+1以下の整数rについて、行数がr×(2^s−1)+1、列数が2^(2s)−1+rの行列A_rにおける一次独立なt個の行ベクトルからなる部分行列であって、前記行列A_rは、有限体GF(2^s)を座標成分とする2次元アフィン空間の原点を通過する予め指定したr本の直線上にあるr×(2^s−1)+1個の点と、それらの点のいずれかを通過する2^(2s)−1+r本の直線によって定まる接続行列であり、テスト行列拡大ルールRによって生成されるテストベクトルを前記行列A_rの全ての行ベクトルとする。
A_rの第(i,j)成分は、2次元アフィン空間の前記r×(2^s−1)+1個の点からなる集合の第i番目の点を、前記2^(2s)−1+r本の直線の集合における第j番目の直線が通過する場合に限って1とし、そうでない場合は0とする。行列A_rの一次独立な行ベクトル数tは次式[数2]で与えられる。
[数2]
Figure 2020065820
行列A_rのt個の一次独立な行ベクトルからなるt×(2^(2s)−1+r)行列がグループテスト行列Hとなる。行列A_rは(r−2)−disjunctであり、テスト行列拡大ルールRによって生成されるテストベクトル全体を前記行列A_rの全ての行ベクトルとすることにより、r−2個以下の改ざん位置を特定することができる。
[例5]
例えばs=2の時、有限体GF(4)を座標成分とする2次元アフィン平面において、原点を通過する3本の直線上にある合計10個の点について、それらのいずれかを通過する直線は18本あり、これの直線が前記10個の点を通過するか否かによって定められる接続行列は次の[数3]のように計算される。
[数3]
Figure 2020065820
A_3の第1行から第8行の8つの行ベクトルは一次独立であって、この8つの行ベクトルからなる8×18行列をグループテスト行列Hとし、テスト行列拡大ルールRによって生成されるテスト行列をA_3とすれば、A_3は1−disjunctであるため、本実施形態により1個の改ざん位置を特定可能となる。
下記[表2]は本発明により生成される行列A_rのサイズをr=2^s+1に固定し、s=1から13まで示したものである。[表1]と同様に第2カラム、第3カラムはA_rの行数と列数であり、ランク、閾値はそれぞれA_rのランクとdisjunctパラメータを表す。すなわちランクx,閾値yであれば、グループテスト行列Hは行数xで、テスト行列拡大ルールRにより拡大されたテスト行列A_r(すなわちH^R)はy−disjunctとなっている。
[表2]
Figure 2020065820
第7の実施形態は、以下のように要約される。上記したMACタグリスト生成装置10のグループテスト行列生成部102、MACタグリスト検証装置20のグループテスト行列生成および拡大部202、又は、第3の実施形態のグループテスト行列生成および拡大部303は、以下にて規定されるグループテスト行列Hを生成する。
グループテスト行列Hが、正整数sと3以上2^s+1以下の整数rについて、行数がr×(2^s−1)+1、列数が2^(2s)−1+rの行列A_rにおける一次独立なt個の行ベクトルからなる部分行列であって、前記行列A_rは、有限体GF(2^s)を座標成分とする2次元アフィン空間の原点を通過する予め指定したr本の直線上にあるr×(2^s−1)+1個の点と、それらの点のいずれかを通過する2^(2s)−1+r本の直線によって定まる接続行列であり、前記テスト行列拡大ルールRによって生成されるテストベクトルが前記行列A_rの全ての行ベクトルである。
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示したネットワーク構成、各要素の構成、メッセージの表現形態は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。また、以下の説明において、「A及び/又はB」は、A及びBの少なくともいずれかという意味で用いる。また、図中の各ブロックの入出力の接続点には、ポート乃至インタフェースがあるが図示省略する。
また、上記した第1〜第7の実施形態に示した手順は、MACタグリスト生成装置10、MACタグリスト検証装置20及び集約MAC検証システム30の構成装置として機能するコンピュータ(図12の9000)に、これらの装置としての機能を実現させるプログラムにより実現可能である。このようなコンピュータは、図12のCPU(Central Processing Unit)9010、通信インタフェース9020、メモリ9030、補助記憶装置9040を備える構成に例示される。すなわち、図12のCPU9010にて、タグリスト計算プログラムやタグリスト検証プログラムを実行し、その補助記憶装置9040等に保持された各計算パラメータの更新処理を実施させればよい。
即ち、上記した第1〜第7の実施形態に示した各装置の各部(処理手段、機能)は、これらの装置に搭載されたプロセッサに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することができる。
最後に、本発明の好ましい形態を要約する。
[第1の形態]
(上記第1の視点によるMACタグリスト生成装置参照)
[第2の形態]
上記したMACタグリスト生成装置のナンス付線形グループテストMAC適用部は、
前記グループテスト行列Hのi行目で1が立つすべての列のインデックスj(j=1,...,m)について、
前記アイテムM[j]とインデックスjを前記擬似ランダム関数Fに入力し、得られた出力すべての和をとり、さらに、
前記擬似ランダム関数Fの出力の和と、前記擬似ランダム関数Gへ前記ナンスNと前記iを入力した結果との和をとり、
得られた出力を、前記i番目のテストに対応するMAC値T[i]とすることで、
前記MACタグリストT=(T[1],...,T[t])を生成する構成を採ることができる。
[第3の形態]
前記グループテスト行列Hは、
正整数sについて行数と列数が共に2^(2s)+2^s+1の正方行列Pの一次独立なt個の行ベクトルからなる部分行列であって、
前記正方行列Pは、有限体GF(2^s)を座標成分とする2次元射影空間上の点と直線によって定まる接続行列であり、
テスト行列拡大ルールRによって生成されるテストベクトルが前記正方行列Pの全ての行ベクトルであるであることが好ましい。
[第4の形態]
前記グループテスト行列Hは、
正整数sと3以上2^s+1以下の整数rについて、行数がr×(2^s−1)+1、列数が2^(2s)−1+rの行列A_rにおける一次独立なt個の行ベクトルからなる部分行列であって、
前記行列A_rは、有限体GF(2^s)を座標成分とする2次元アフィン空間の原点を通過する予め指定したr本の直線上にあるr×(2^s−1)+1個の点と、それらの点のいずれかを通過する2^(2s)−1+r本の直線によって定まる接続行列であり、
テスト行列拡大ルールRによって生成されるテストベクトルが前記行列A_rの全ての行ベクトルであるであることが好ましい。
[第5の形態]
前記グループテスト行列Hは、
ある整数r>1についてm=2^r−1,t=rを満たし、
m+1行m+1列のアダマール行列Had(r)から第1行目と第1列目を削除し、さらに行列要素である−1と1のうち、−1を0とすることで得られるm行m列バイナリ行列modHad(r)をとり、前記グループテスト行列Hはこの行列の有限体GF(2)上の基底からなり、
テスト行列拡大ルールRは、前記グループテスト行列Hを前記テスト行列拡大ルールRに従って行の拡大を行った場合にmodHad(r)となることが好ましい。
[第6の形態]
前記グループテスト行列Hは、
正の整数a,bについて(a,b)=a!/(a−b)!b!をa個からb個選択する場合の数とし、
((a,b))を集合{1,2,...,a}の大きさbの部分集合の全体としたうえで、
(n,d)×(n,k)2値行列であり、適当な順序で列と行のインデックスを((n,d))の要素と((n,k))の要素に対応させたうえで、ある((n,d))の要素Dが((n,k))の要素Kについて、
前記要素Dが前記要素Kに含まれるときに、
前記行列Hの(D,K)エントリを1とし、それ以外を0とする、
という行列の有限体GF(2)上の基底からなる、正の整数のパラメータ(n,k,d)を持つMacula行列であることが好ましい。
[第7の形態]
(上記第2の視点によるMACタグリスト検証装置参照)
[第8の形態]
上記したMACタグリスト検証装置のナンス付線形グループテストMAC適用部は、
前記グループテスト行列Hのj列目で1が立つすべての行のインデックスiについて、
i番目のアイテムM[i]とインデックスiとを前記擬似ランダム関数Fに入力し、得られた出力すべての和をとり、さらに、
前記擬似ランダム関数Gへ前記ナンスNを入力した結果との和をとり、
得られた出力をj番目のテストに対応する検証用MAC値T*[i]とすることで、
前記検証用MACタグリスト T*=(T*[1],...,T*[t])を生成する構成を採ることができる。
[第9の形態]
(上記第3の視点による集約MAC検証システム参照)
[第10の形態]
(上記第4の視点によるMACタグリスト生成方法参照)
[第11の形態]
(上記第5の視点によるMACタグリスト検証方法参照)
なお、上記第7、第9〜第11の形態は、第1の形態と同様に、第2〜第6の形態に展開することが可能である。また、上記第9の形態の集約MAC検証システムは、集約ノードAと、検証ノードCとに分解することができる。
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択(部分的削除を含む)が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
本発明は、無線もしくは有線のデータ通信、あるいは、データベース、ファイルシステム、ウィルススキャン、バージョン管理システムにおける改ざんの検知と改ざん位置特定といった用途に適用できる。
10 MACタグリスト生成装置
20 MACタグリスト検証装置
30 集約MAC検証システム
101 メッセージ入力部
102 グループテスト行列生成部
103 ナンス付線形グループテストMAC適用部
104 MACタグリスト出力部
201 メッセージ入力部
202 グループテスト行列生成および拡大部
203 ナンス付線形グループテストMAC適用部
204 MACタグリスト拡大部
205 MACタグリスト検証部
206 検証結果出力部
301 メッセージ入力部
302 MAC生成部
303 グループテスト行列生成および拡大部
304 MACタグ集約部
305 集約MACタグリスト拡大部
306 拡大集約MACタグリスト検証部
307 検証結果出力部
9000 コンピュータ
9010 CPU
9020 通信インタフェース
9030 メモリ
9040 補助記憶装置

Claims (17)

  1. メッセージ認証コード(MAC)生成の処理ごとに重複しない値であるナンス(Nonce)Nと、MACの対象となるm個のアイテムM[1],...,M[m]から構成されるメッセージMと、を入力するメッセージ入力部と、
    生成する前記MACの数s(sは正の整数)について、組み合わせグループテストのパラメータであるt行m列のグループテスト行列Hを生成するグループテスト行列生成部と、
    前記メッセージMについて、前記グループテスト行列Hと前記ナンスNと、可変長入力固定長出力の擬似ランダム関数F、Gとを用いて、i(i=1,...,t)番目のテストに対応するMAC値T[i]を生成することで、MACタグリストT=(T[1],...,T[t])を生成するナンス付線形グループテストMAC適用部と、
    前記ナンス付線形グループテストMAC適用部が求めたMACタグリストを出力するMACタグリスト出力部と、
    を含むMACタグリスト生成装置。
  2. 前記ナンス付線形グループテストMAC適用部は、
    前記グループテスト行列Hのi行目で1が立つすべての列のインデックスj(j=1,...,m)について、
    前記アイテムM[j]とインデックスjを前記擬似ランダム関数Fに入力し、得られた出力すべての和をとり、さらに、
    前記擬似ランダム関数Fの出力の和と、前記擬似ランダム関数Gへ前記ナンスNと前記iを入力した結果との和をとり、
    得られた出力を、前記i番目のテストに対応するMAC値T[i]とすることで、
    前記MACタグリストT=(T[1],...,T[t])を生成する請求項1のMACタグリスト生成装置。
  3. グループテスト行列Hが、正整数sについて行数と列数が共に2^(2s)+2^s+1の正方行列Pの一次独立なt個の行ベクトルからなる部分行列であって、
    前記正方行列Pは、有限体GF(2^s)を座標成分とする2次元射影空間上の点と直線によって定まる接続行列であり、
    テスト行列拡大ルールRによって生成されるテストベクトルが前記正方行列Pの全ての行ベクトルである請求項1又は2のMACタグリスト生成装置。
  4. 前記グループテスト行列Hが、正整数sと3以上2^s+1以下の整数rについて、行数がr×(2^s−1)+1、列数が2^(2s)−1+rの行列A_rにおける一次独立なt個の行ベクトルからなる部分行列であって、
    前記行列A_rは、有限体GF(2^s)を座標成分とする2次元アフィン空間の原点を通過する予め指定したr本の直線上にあるr×(2^s−1)+1個の点と、それらの点のいずれかを通過する2^(2s)−1+r本の直線によって定まる接続行列であり、
    テスト行列拡大ルールRによって生成されるテストベクトルが前記行列A_rの全ての行ベクトルである請求項1又は2のMACタグリスト生成装置。
  5. 前記グループテスト行列Hは、
    ある整数r>1についてm=2^r−1,t=rを満たし、
    m+1行m+1列のアダマール行列Had(r)から第1行目と第1列目を削除し、さらに行列要素である−1と1のうち、−1を0とすることで得られるm行m列バイナリ行列modHad(r)をとり、前記グループテスト行列Hはこの行列の有限体GF(2)上の基底からなり、
    テスト行列拡大ルールRは、前記グループテスト行列Hを前記テスト行列拡大ルールRに従って行の拡大を行った場合にmodHad(r)となる請求項1又は2のMACタグリスト生成装置。
  6. メッセージ認証コード(MAC)タグリスト検証の対象となるナンスNと、m個のアイテムM[1],...,M[m]から構成されるメッセージMと、t個のMAC値のリストであるMACタグリストT=(T[1],...,T[t])と、を入力するメッセージ入力部と、
    組み合わせグループテストのパラメータであるt行m列のグループテスト行列Hを生成するとともに、前記グループテスト行列Hの行インデックスの部分集合である、v個(但し、v>t)の要素で構成されたテスト行列拡大ルールRを出力するグループテスト行列生成および拡大部と、
    メッセージMについて前記グループテスト行列Hと前記ナンスNと、可変長入力固定長出力の擬似ランダム関数F、Gと、を用いて、j(j=1,...,t)番目のテストに対応するMAC値T*[j]を生成することで、検証用MACタグリストT*=(T*[1],...,T*[t])を生成するナンス付線形グループテストMAC適用部と、
    前記MACタグリストTと前記検証用MACタグリストT*と前記テスト行列拡大ルールRとを用いて、
    前記テスト行列拡大ルールRが指定する行インデックスの部分集合に対応して前記MACタグリストTと前記検証用MACタグリストT*のそれぞれで線形結合を行い、
    拡大MACタグリストexT及び検証用拡大MACタグリストexT*を出力するMACタグリスト拡大部と、
    前記拡大MACタグリストexTと前記検証用拡大MACタグリストexT*とを比較してメッセージMの中の各アイテムの検証および改ざん位置の特定を行い、検証結果として出力するMACタグリスト検証部と、
    前記MACタグリスト検証部が出力する検証結果を出力する検証結果出力部と、
    を含むMACタグリスト検証装置。
  7. 前記ナンス付線形グループテストMAC適用部は、
    前記グループテスト行列Hのj列目で1が立つすべての行のインデックスiについて、
    i番目のアイテムM[i]とインデックスiとを前記擬似ランダム関数Fに入力し、得られた出力すべての和をとり、さらに、
    前記擬似ランダム関数Fの出力の和と、前記擬似ランダム関数Gへ前記ナンスNを入力した結果との和をとり、
    得られた出力をj番目のテストに対応する検証用MAC値T*[i]とすることで、
    前記検証用MACタグリスト T*=(T*[1],...,T*[t])
    を生成する請求項6のMACタグリスト検証装置。
  8. グループテスト行列Hが、正整数sについて行数と列数が共に2^(2s)+2^s+1の正方行列Pの一次独立なt個の行ベクトルからなる部分行列であって、
    前記正方行列Pは、有限体GF(2^s)を座標成分とする2次元射影空間上の点と直線によって定まる接続行列であり、
    前記テスト行列拡大ルールRによって生成されるテストベクトルが前記正方行列Pの全ての行ベクトルである請求項6又は7のMACタグリスト検証装置。
  9. 前記グループテスト行列Hが、正整数sと3以上2^s+1以下の整数rについて、行数がr×(2^s−1)+1、列数が2^(2s)−1+rの行列A_rにおける一次独立なt個の行ベクトルからなる部分行列であって、
    前記行列A_rは、有限体GF(2^s)を座標成分とする2次元アフィン空間の原点を通過する予め指定したr本の直線上にあるr×(2^s−1)+1個の点と、それらの点のいずれかを通過する2^(2s)−1+r本の直線によって定まる接続行列であり、
    前記テスト行列拡大ルールRによって生成されるテストベクトルが前記行列A_rの全ての行ベクトルである請求項6又は7のMACタグリスト検証装置。
  10. 前記グループテスト行列Hは、
    ある整数r>1についてm=2^r−1,t=rを満たし、
    m+1行m+1列のアダマール行列Had(r)から第1行目と第1列目を削除し、さらに行列要素である−1と1のうち、−1を0とすることで得られるm行m列バイナリ行列modHad(r)をとり、前記グループテスト行列Hはこの行列の有限体GF(2)上の基底からなり、
    前記テスト行列拡大ルールRは、前記グループテスト行列Hを前記テスト行列拡大ルールRに従って行の拡大を行った場合にmodHad(r)となる請求項6又は7のMACタグリスト検証装置。
  11. 前記グループテスト行列Hは、
    正の整数a,bについて(a,b)=a!/(a−b)!b!をa個からb個選択する場合の数とし、
    ((a,b))を集合{1,2,...,a}の大きさbの部分集合の全体としたうえで、
    (n,d)×(n,k)2値行列であり、適当な順序で列と行のインデックスを((n,d))の要素と((n,k))の要素に対応させたうえで、ある((n,d))の要素Dが((n,k))の要素Kについて、
    前記要素Dが前記要素Kに含まれるときに、
    前記グループテスト行列Hの(D,K)エントリを1とし、それ以外を0とする、
    という行列の有限体GF(2)上の基底からなる、正の整数のパラメータ(n,k,d)を持つMacula行列である請求項6又は7のMACタグリスト検証装置。
  12. t行m列のグループテスト行列Hを出力するグループテスト行列生成部と、
    メッセージM[i]を入力するメッセージ入力部と、前記メッセージM[i]に対する単一のメッセージ認証コード(MAC)タグT[i]を求めて出力するMAC生成部と、をそれぞれ備えたm個のノードから送られた、m個のメッセージとタグの対(M[1],T[1]),...,(M[m],T[m])を入力とし、グループテスト行列Hに従ってタグの集約を行い、t個の集約タグからなる集約タグリストV=(V[1], ..., V[t])と、メッセージのリストM=(M[1],...,M[m])と、を出力するMACタグ集約部と、
    前記グループテスト行列Hの行インデックスの部分集合である、v個(但し、v>t)の要素で構成されたテスト行列拡大ルールRを出力するグループテスト行列生成部と、を備える集約ノードと、
    前記テスト行列拡大ルールRに従って、前記集約タグリストVの要素の線形結合を求めて、拡大集約タグリストexVを出力する集約MACタグリスト拡大部と、
    前記メッセージのリストMと前記拡大集約タグリストexV、前記テスト行列拡大ルールRと、を用いて検証を行い、改ざんされたノードを特定して検証結果として出力する拡大集約MACタグリスト検証部と、
    前記拡大集約MACタグリスト検証部の出力する検証結果の出力を行う検証結果出力部と、
    を備える検証ノードと、
    を含む集約MAC検証システム。
  13. グループテスト行列Hが、正整数sについて行数と列数が共に2^(2s)+2^s+1の正方行列Pの一次独立なt個の行ベクトルからなる部分行列であって、
    前記正方行列Pは、有限体GF(2^s)を座標成分とする2次元射影空間上の点と直線によって定まる接続行列であり、
    前記テスト行列拡大ルールRによって生成されるテストベクトルが前記正方行列Pの全ての行ベクトルである請求項12の集約MAC検証システム。
  14. 前記グループテスト行列Hが、正整数sと3以上2^s+1以下の整数rについて、行数がr×(2^s−1)+1、列数が2^(2s)−1+rの行列A_rにおける一次独立なt個の行ベクトルからなる部分行列であって、
    前記行列A_rは、有限体GF(2^s)を座標成分とする2次元アフィン空間の原点を通過する予め指定したr本の直線上にあるr×(2^s−1)+1個の点と、それらの点のいずれかを通過する2^(2s)−1+r本の直線によって定まる接続行列であり、
    前記テスト行列拡大ルールRによって生成されるテストベクトルが前記行列A_rの全ての行ベクトルである請求項12の集約MAC検証システム。
  15. 前記グループテスト行列Hは、
    ある整数r>1についてm=2^r−1,t=rを満たし、
    m+1行m+1列のアダマール行列Had(r)から第1行目と第1列目を削除し、さらに行列要素である−1と1のうち、−1を0とすることで得られるm行m列バイナリ行列modHad(r)をとり、前記グループテスト行列Hはこの行列の有限体GF(2)上の基底からなり、
    前記テスト行列拡大ルールRは、前記グループテスト行列Hを前記テスト行列拡大ルールRに従って行の拡大を行った場合にmodHad(r)となる請求項12の集約MAC検証システム。
  16. メッセージ認証コード(MAC)生成の処理ごとに重複しない値であるナンス(Nonce)Nと、MACの対象となるm個のアイテムM[1],...,M[m]から構成されるメッセージMと、を入力するステップと、
    生成する前記MACの数s(sは正の整数)について、組み合わせグループテストのパラメータであるt行m列のグループテスト行列Hを生成するステップと、
    前記メッセージMについて、前記グループテスト行列Hと前記ナンスNと、可変長入力固定長出力の擬似ランダム関数F、Gとを用いて、i(i=1,...,t)番目のテストに対応するMAC値T[i]を生成することで、MACタグリストT=(T[1],...,T[t])を生成するステップと、
    前記MACタグリストを出力するステップと、
    を含むMACタグリスト生成方法。
  17. MACタグリスト検証の対象となるナンスNと、m個のアイテムM[1],...,M[m]から構成されるメッセージMと、t個のMAC値のリストであるMACタグリストT=(T[1],...,T[t])と、を入力するステップと、
    組み合わせグループテストのパラメータであるt行m列のグループテスト行列Hを生成するとともに、前記グループテスト行列Hの行インデックスの部分集合である、v個(但し、v>t)の要素で構成されたテスト行列拡大ルールRを出力するステップと、
    メッセージMについて前記グループテスト行列Hと前記ナンスNと、可変長入力固定長出力の擬似ランダム関数F、Gと、を用いて、j(j=1,...,t)番目のテストに対応するMAC値T*[j]を生成することで、検証用MACタグリストT*=(T*[1],...,T*[t])を生成するステップと、
    前記MACタグリストTと前記検証用MACタグリストT*と前記テスト行列拡大ルールRとを用いて、前記テスト行列拡大ルールRが指定する行インデックスの部分集合に対応して前記MACタグリストTと前記検証用MACタグリストT*のそれぞれで線形結合を行い、拡大MACタグリストexT及び検証用拡大MACタグリストexT*を出力するステップと、
    前記拡大MACタグリストexTと前記検証用拡大MACタグリストexT*とを比較してメッセージMの中の各アイテムの検証および改ざん位置の特定を行い、検証結果として出力するステップと、
    前記検証結果を出力するステップと、
    を含むMACタグリスト検証方法。
JP2020547712A 2018-09-27 2018-09-27 Macタグリスト生成装置、macタグリスト検証装置、集約mac検証システム及び方法 Active JP7107381B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/035917 WO2020065820A1 (ja) 2018-09-27 2018-09-27 Macタグリスト生成装置、macタグリスト検証装置、集約mac検証システム及び方法

Publications (2)

Publication Number Publication Date
JPWO2020065820A1 true JPWO2020065820A1 (ja) 2021-08-30
JP7107381B2 JP7107381B2 (ja) 2022-07-27

Family

ID=69950482

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020547712A Active JP7107381B2 (ja) 2018-09-27 2018-09-27 Macタグリスト生成装置、macタグリスト検証装置、集約mac検証システム及び方法

Country Status (3)

Country Link
US (1) US11750398B2 (ja)
JP (1) JP7107381B2 (ja)
WO (1) WO2020065820A1 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015015702A1 (ja) * 2013-08-02 2015-02-05 日本電気株式会社 認証暗号装置、認証暗号方法および認証暗号用プログラム
WO2016063512A1 (ja) * 2014-10-23 2016-04-28 日本電気株式会社 Macタグリスト生成装置、macタグリスト検証装置、macタグリスト生成方法、macタグリスト検証方法およびプログラム記録媒体
JP2017005409A (ja) * 2015-06-08 2017-01-05 日本電気株式会社 データ認証システム、データ認証装置、方法およびプログラム
JP2017073716A (ja) * 2015-10-09 2017-04-13 日本電気株式会社 タグリスト生成装置、タグリスト検証装置、タグリスト更新装置、タグリスト生成方法及びプログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020051537A1 (en) * 2000-09-13 2002-05-02 Rogaway Phillip W. Method and apparatus for realizing a parallelizable variable-input-length pseudorandom function
US7200227B2 (en) * 2001-07-30 2007-04-03 Phillip Rogaway Method and apparatus for facilitating efficient authenticated encryption
KR20080058462A (ko) * 2005-11-04 2008-06-25 닛본 덴끼 가부시끼가이샤 메시지 인증 장치, 메시지 인증 방법, 메시지 인증 프로그램을 기록한 매체
JP5447510B2 (ja) 2009-05-11 2014-03-19 日本電気株式会社 タグ生成装置、タグ検証装置、通信システム、タグ生成方法、タグ検証方法および記録媒体
US8726036B2 (en) * 2011-09-20 2014-05-13 Wallrust, Inc. Identifying peers by their interpersonal relationships
JPWO2016067524A1 (ja) 2014-10-30 2017-08-10 日本電気株式会社 認証付暗号化装置、認証付復号装置、認証付暗号システム、認証付暗号化方法、プログラム
US9680653B1 (en) * 2016-10-13 2017-06-13 International Business Machines Corporation Cipher message with authentication instruction
JP6632959B2 (ja) 2016-12-02 2020-01-22 Kddi株式会社 検証システム、検証方法及び検証プログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015015702A1 (ja) * 2013-08-02 2015-02-05 日本電気株式会社 認証暗号装置、認証暗号方法および認証暗号用プログラム
WO2016063512A1 (ja) * 2014-10-23 2016-04-28 日本電気株式会社 Macタグリスト生成装置、macタグリスト検証装置、macタグリスト生成方法、macタグリスト検証方法およびプログラム記録媒体
JP2017005409A (ja) * 2015-06-08 2017-01-05 日本電気株式会社 データ認証システム、データ認証装置、方法およびプログラム
JP2017073716A (ja) * 2015-10-09 2017-04-13 日本電気株式会社 タグリスト生成装置、タグリスト検証装置、タグリスト更新装置、タグリスト生成方法及びプログラム

Also Published As

Publication number Publication date
WO2020065820A1 (ja) 2020-04-02
JP7107381B2 (ja) 2022-07-27
US11750398B2 (en) 2023-09-05
US20220006643A1 (en) 2022-01-06

Similar Documents

Publication Publication Date Title
Kiss et al. Private set intersection for unequal set sizes with mobile applications
Procter et al. On weak keys and forgery attacks against polynomial-based MAC schemes
Noura et al. Preserving data security in distributed fog computing
CA2792571C (en) Hashing prefix-free values in a signature scheme
Thangavel et al. Enabling ternary hash tree based integrity verification for secure cloud data storage
JP6171649B2 (ja) 暗号化装置、復号装置、暗号化方法および暗号化プログラム
Azraoui et al. Stealthguard: Proofs of retrievability with hidden watchdogs
JPWO2017099117A1 (ja) 事前計算装置、方法、およびコンピュータ読取可能な記録媒体、並びにベクトル乗算装置、および方法
Phan et al. Security considerations for incremental hash functions based on pair block chaining
Sengupta et al. Efficient proofs of retrievability with public verifiability for dynamic cloud storage
JP7347501B2 (ja) Macタグリスト生成装置、macタグリスト検証装置、方法及びプログラム
Alkandari et al. Cryptographic hash function: A high level view
JPWO2013065241A1 (ja) インクリメンタルmacタグ生成装置、方法及びプログラム並びにメッセージ認証装置
JP2008513811A (ja) 計算変換の方法及びシステム
Chen et al. Towards usable cloud storage auditing
Walia et al. Implementation of new modified MD5-512 bit algorithm for cryptography
AlAhmad et al. Broad view of cryptographic hash functions
JP5689826B2 (ja) 秘密計算システム、暗号化装置、秘密計算装置及びその方法、プログラム
JP6743702B2 (ja) Macタグリスト生成装置、macタグリスト検証装置、macタグリスト生成方法、macタグリスト検証方法およびプログラム
Ha et al. A secure deduplication scheme based on data popularity with fully random tags
JP2017073716A (ja) タグリスト生成装置、タグリスト検証装置、タグリスト更新装置、タグリスト生成方法及びプログラム
JP7107381B2 (ja) Macタグリスト生成装置、macタグリスト検証装置、集約mac検証システム及び方法
JP2011109510A (ja) 原本性保証装置、原本性保証プログラム、及びこのプログラムを記録する記録媒体
Mohanty et al. A secured cryptographic hashing algorithm
WO2015107561A1 (ja) 検索システム、検索方法および検索プログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210324

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210324

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220401

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220614

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220627

R151 Written notification of patent or utility model registration

Ref document number: 7107381

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151