WO1988001120A1 - System for generating a shared cryptographic key and a communication system using the shared cryptographic key - Google Patents

Description

明 細 書 共用暗号鍵生成方式および共用暗号鍵を用いた通信方式 技 術 分 野

本発明は暗号鍵を用いた暗号文による通信方式に関するも のであり、 より特定的には、 高度の機密性、 安全性を維持し つつ且つ操作性に富み、 複数のエ ンティ ティ が共用し得る、 暗号鍵を生成する方式、 およびその共用 （共有） 暗号鍵を用 いて暗号文による通信を行う通信方式に関する。

本発明の対象となるエ ンティ テ ィ としては、 人間、 装置、 機械、 ソフ トウヱァ、 あるいはそれらが構成要素と.なつたシ ステ など、 多様な'ものがある。 従って、 本発明の暗号鍵生 成装置はこれらエ ンティ ティが共有し得る暗号鍵を生成する , 而して、 本発明の通信方式は、 前記共有鍵を用いた種々の通 信、 例えば、 C P Uチップと R 0 Mチップの間の通信、 I C カー ド同士の通信、 I Cカー ドと端末と銀行セ ンタと人間と の相互間の通信、 移動体通信機相互間の通信、 パーソナル無 線機相互間の通信、 電話器相互間の通信、 人間同士の通信、 ホス ト計算機と端末とデータベースとの相互間の通信、 並列 計算機内の計算機同士の通信、 CATV放送局と加入者の間の通 信、 衛星放送、 等の通信方式に適用され得る。 背 景 技 術

情報セキュ リ ティ、 すなわちデータの機密保持並びにブラ ィパシーの確立、 エンティ ティ の認証、 通 f 相手の認証等の 確立のため、 従来から種々の暗号技術が提案されている。

暗号技術は、 共通鍵暗号化方式と公開鍵方式とに大別され る （今并他、 「暗号技術 J 、 テレビジョ ン学会誌、 Vol.39、 NOL12Q985)、 第 1140〜1147頁） 。 共通鍵暗号化方式は、 メ ッ セージの送信側と受信側とが予め秘密の共通の键を決めてお き、 送信側が平文を共通键により暗号化して伝送し、 受信側 が共通鍵で復号して平文に戻すものである。 公開鍵方式は、 公開鍵配送方式、 公開鍵暗号化方式および公開鍵ディ ジタル 署名方式を絵称したものである。 尚、 これらの暗号技術に関 する内容は、 (DA.G. onheim, "Cryptography ：. A Primer", Wi ley, ew York, 1981, (2) C. H. Meyer et al. "Cryptography" , Wiley, New York, 1982, (3) D. E. Denning , "Cryptography and Data Security"Addison- esley_J Reading, 1982, (4) D. W. Davies： e t al . "Securi ty for Computer Networks" , Wiley, Chichester: 1984等に示されている。

前述の共通鍵暗号化方式は、 最もポピュラーな方式である が、 各エンティティが、 想定されるすべての通信相手と、 他 の暗号的手段もしく は物理的手法により、 倔別に暗号鍵を共 有する方であるから、 エンティティが多数になると鍵配送の 問題が生じる。 すなわち、 共通缝は頻繁に更新するこ とが望 ましいのであるが想定される通信相手の数が多数であるとき には多大な手間がかかり、 不特定多数との暗号通信には不向 きであるという欠点を有する。

前述の公開鍵方式は、 上記鍵配送の問題を解決すべく採用 されているものであり、 その要旨を述べると、 各ェンティ テ ィが、 自分の秘密情報に基づき公開情報を作成し、 これを読 み出しは自由であるが書き込みや消去は厳重に管理された公 開ファ イ ルに登錄し、 通信の際に、 自分の秘密情報と相手の 公開情報から共有すべき暗号鍵を計箕して求めるものである , この方式によれば、 通信の際に、 必要に応じて公開ファ イ ル を参照すれば、 どのエ ンティ ティ とでも暗号鍵の共有が行え るので、 不特定多数相手の暗号通信にも適用可能である 、 という利点を有する一方、 公開ファ イ ル又はそれに相当する、 公開情報の管理機構が必要になるという問題がある。 更に、 各エ ンティ ティが相手の公開情報を参照するための作業が相 当になり、 操作性に劣るという問題がある。

暗号文による通信で達成されるセキュ リ ティ は、 通信の当. 事者であるヱ ンティ ティ だけが同一の暗号鍵を持ち、 当事者 以外のエ ンティ ティがその暗号鍵を有さないこ とに強く依存 するので、 安全で効率の良い暗号鍵共有方式が望まれている。

発明の開示

本発明は、 簡便な操作で機密性の高い暗号文を取り得る共 用暗号键生成方式を提供することを目的とする。

また本発明は、 上記により生成された暗号鍵を用いて暗号 文を伝送し得る通信方式を提供することを目的とする。

本発明の第 1 の形態によれば、 暗号鍵を共有すべき複数の エ ンティ ティ間で定められた要件の下でセ ンタだけが秘密に 保持するセ ンタアルゴリ ズムを生成し、 さ らに、 前記複数の エ ンテ ィ テ ィ の各個に固有に定められ、 公開され、 半固定的 に用いられる識別子を前記センタァルゴ ズムに適用して前 記複数のェンティ ティ の各 に固有な秘密ァルゴリズムを生 成する、 秘密アルゴリ ズム生成装置と、 少く とも前記秘密ァ ルゴリ ズムを記億するメモリを有し、 前記秘密アルゴリ ズム 生成装置における秘密アルゴリズム生成時に秘密アルゴリ ズ ム生成装置に接続されて対応するエンティ テ ィ の秘密アルゴ リ ズムが前記メ モ リ.に記憶され、 暗号文を送受すべき相手工 ンティ テ ィ の識別子を該秘密ァルゴリ ズムに適用するこ とに より共通の暗号鍵を生成する、 複数の暗号鍵生成手段と、 を 具備する、 共用暗号鍵生成方式、 が提供される。

好適には、 前記秘密アルゴリズム生成装置が、 相互に独立 に作動しそれぞれ独立な第 1次セ ンタ アルゴリ ズムを生成す る複数の第 1次センタァルゴリ ズム生成装置、 および、 該第 1次秘密アルゴリ ズム生成装置で生成された複数の第 1次セ ンタアルゴリズムを統合し、 該統合されたセンタアルゴリ ズ ムに基いて各ェンテ ィ テ ィ固有の秘密アルゴリ ズムを生成す る装置を具備し得る。

本発明の第 2 の形態によれば、 上記秘密アルゴリズム生成 装置と、 上記複数の暗号鍵生成手段と、 伝送系を介して接続 された少く とも 1対の送信および受信ヱンティティであって 送信側ェンティ ティが前記暗号鍵生成手段と^働し該暗号鍵 生成手段からの共通暗号鍵に基いて平文を暗号化する手段を 有し、 受信側エ ンテ ィ テ ィ が前記暗号鍵生成手段と協働し該 暗号鍵生成手段からの共通暗号鍵に基いて前記伝送系と介し て前記送信側エ ンティ ティ から送出された暗号文を平文に復 号する手段を有するもの、 とを具備し、 前記共通暗号鍵に基 いた暗号文を伝送する、 共用暗号鍵を用いた通信方式、 が提 供される。 図面の簡単な説明

第 1図は本癸明の 1実施例としての共用暗号鍵生成方式お よび共用暗号鍵を用いた通信方式のブロ ック図、

第 2図は第 1図のセ ンタに設けられた秘密アルゴリ ズム生 成装置 1 におけるセンタアルゴリ ズム Gの生成を示す図、 第 3図は第 1 図のセンタにおける識別子を用いた各ェ ンテ ィ ティ用の秘密アルゴリ ズムの作成と、 その配送を示す。 第 4図（a) (b)はそれぞれエ ンティ ティ A , Bにお'ける B 号 鍵 kの共有方法を示す図、

第 5図は、 第 1図の暗号生成手段として I Cカー ドを使用 した場合の実施例であり、 エ ンティ ティ Aのネ ッ トワークへ の加入、 エ ンティ ティ A用の I Cカー ドの発行、 ェ ンティ テ ィ Aにおける暗号鍵 kの計算を示す図、

第 6図および第 7図は、 2つのエ ンティ ティ の場合のセ ン タアルゴリ ズム と秘密アルゴリ ズムの生成の一例を示す図、 第 8図および第 9図は、 3つのエ ンテ ィ ティ の場合のセ ン タァルゴリ ズムと秘密アルゴリ ズムの生成の一例を示す図、 第 1 0図は安全性を向上させるための本発明の秘密アルゴ リ ズムを生成する他の方法を示す概念図、

第 1 1図は本発明の他の実施例の共用暗号鍵生成およびそ の共用暗号鍵を用いた通信を行う方式のブロ ック図、 第 1 2図 （a)〜（c) は、 それぞれ、 従来の共通鍵暗号化方 式、 従来の公開鍵方式および本発明にもとづく Key Pred i s t - r i b u t i on Sys tem の概念図、 である。 発明を実施するた'めの最良の形態 第 1図に本発明の一実施例としての共用暗号鍵生成方式お よび生成した共用暗号鍵を用いて通信を行う通信方式を図解 する。

第 1図ばエンティ ティが 2つ、 エンティ ティ Α , Βの場合 について例示する。 エンティティ Αおよびエンティティ Bは 通信回線 6、 例えば公衆回線を介して接繞される。 送信側ェ ンティ ティ 、 例えばエンティ ティ Aは、 送信- べき平文を入 力する手段 4 1、 該入力された平文を後述する共有暗号鍵 k に基いて暗号化する手段 4 2および暗号文を送出する手段 4 3から成る暗号文生成手段 4を具備する。 受信側ェンティ ティ Bは公衆回線 6を介して暗号文を受信し自分宛の通信文 であることを判断する手段 5 1、 受信暗号文を共有鍵 kを用 いて平文に復号する手段 5 2および復号された平文を出力す る手段 5 3から成る暗号文復号手段 5を具備する。 これら暗 号生成手段 4および暗号文復号手段 5それ自体の構成は従来 知られている。 暗号化手段 4 2および復号手段 5 2は、 例え ば特公昭 59 - 45269 (1975年 2月 24日、 米国特許シリ アル番号 552684に基づく優先権主張岀願） の第 8図に開示されたもの により実現され得る。 セ ンタ 一に管理機構として秘密アルゴ リ ズムを生成する装 置 1 が設けられ、 エンティ ティ A -， Bに対してそれぞれ共有 暗号鍵 kを発生する手段 2 , 3、 例えば I Cカー ドを介して 秘密アルゴ リ ズムを発行する。 すなわち秘密アルゴ リ ズム生 成装置 1 は、 エ ンテ ィ テ ィ A , Bの識別子、 例えば名前、 住 所等を定められた書式で符号化したもの、 y _A , y B を入力 し、 第 2図に図示の如く、 センタアルゴ リ ズム Gを生成し、 このアルゴリ ズム Gを秘密に保つと共に、 秘密アルゴ リ ズム X A , X _B を発行する。 識別子 y _A , y B は、 例えば、 テ ン キ イを介して入力する。

エ ンテ ィ テ ィ Α , Βの秘密アルゴ リ ズム X_A , X_B はそれ ぞれ、 自己の識別子 y _A , y 8 を用いて次の如く規定される , X A '= G ( y _A) ' … （ Ir - 1 )

X _B = G ( y _B) … （ 1 — 2 ) 秘密アルゴ リ ズム生成装置 1 には、 上記秘密アルゴリ ズム 生成時、 I Cカー ド等の C P U、 およびリ ー ド ライ ト可能 なメ モリを内蔵した暗号鍵生成手段 2又は 3が装着されてお り、 秘密アルゴリ ズムが対応する暗号鍵生成手段のメ モリ に ス ト アされて、 発行される。 第 3図に、 エンティ ティ A〜 D に対応する秘密アルゴ リ ズム X A 〜 X _D を発行する態様を図 解する。 明らかなように、 エンティ ティ C , Dはそれぞれ自 己の識別子 y _c , y o を用いて次の秘密アルゴリ ズム X _c , X D が発行される。

X c = G ( y _c) … '（ 1 一 3 ) X D = G ( y ο) ·♦· ( 1 — 4 ) 各ェンティティ は上記秘密アルゴリ ズムを秘密に俣眚する ことば云う までも-ない。

尚、 本発明におけるアルゴリ ズムとは、 計算の方法を、 定 められた言語で記述したものを意味し、 通常の意味での計箕 機プログラム、 及びデータ、 論理回路、 グラフ、 テューリ ン グ機械、 分散システムの勖作解折のモデルの 1つとして知ら れているペ ト リ ネッ ト、 L S Iパターン等は、 すべて本発明 におけるアルゴリ ズムの一種である。

上述の如く発行された秘密アルゴリ ズム X _A , X _B が装荷 (ロー ド） された暗号鍵生成手段 2 , 3をそれぞれ、 対応す る自己のェンティ ティ に装着する。 エ ンティ ティ A , Bが瑭 号鍵 kを共有したい場合、 第 1図および第 4図. (a) (b)に図示 の如く、 共有チべき相手側の識別子、 エンティ ティ Aにおい ては y _B 、 エンティ ティ Bにおいては y _A を、 各ェンティ テ ィ におけるキイ ボー ド等を介して、 エンティ ティ に装着され た暗号鍵生成手段 2 , 3 に入力する。 各暗号鍵生成手段は、 メモリに記億されている秘密アルゴリ ズムと入力された識別 子に基いて、 内蔵された C P Uによつてそれぞれ下記の如く 共有暗号鍵を生成する。

k = X _A ( y _B ) ··· ( 2 - 1 ) k = X ₈ ( y _A》 … ( 2 - 2 ) 暗号文生成手段 4および暗号文復号手段 5 はかゝ る共有暗 号鍵 kを用いて、 暗号又は復号を行う。

尚、 アルゴリ ズム G , X A ， B , …は、 上記手順におい て同じ暗号靆 kを計箕できるように定められている必要があ る。

以上の如く構成することによ 、 センタだけが知っている セ ンタアルゴリ ズムにより変換された秘密アルゴリ ズムを各 エ ンティ ティ に配布するこ とにより機密性を維持する。 一方 各エ ンティ ティ は秘密アルゴリ ズムが装荷された暗号鍵生成 手段、 例えば I Cカー ドを装着し、 相手倒の識別子を入力す るのみで良く操作が非常に簡単となる。 この場合、 相手側の 識別子に基いて発生される暗号鍵 kを用いて暗号化、 復号化 されるので、 機密性が向上する。

更に、 いく つかの識別子と秘密アルゴリ ズムの組、 たとえ ば （ y _A , X _ft ) , ( y _B , X _B ) , ( y c . X _c ) だけから、 別の識別子に対する秘密アルゴリ ズム、 たとえば y _n に対す る X _D を求める,ことが、 莫大な計箕量を要し、 実際上実 亍不 可能であることが一般には望ま しい。 この条件は、 （ y _A , X _A ) , ( y B ， X _B ) , ( y _c , X _c ) ,…だけからセ ンタのァ ルゴリ ズム Gを事実上計算できないこ とも含む。

本発明の他の実施例としては、 上記秘密アルゴリ ズムを第 5図のように、 1個又は複数個の I Cカー ド 2 a等の物理的 に保護された計算機に収容すると、 更に高いセキュ リ ティ を 有する暗号鍵共有方式が構成できる。

この場合、 各ヱンティ ティ は自分の秘密アルゴリ ズムを取 り出すことができず、 い く つかのエンティ ティが結託してそ れぞれの秘密アルゴリ ズムを集めてセ ンタアルゴリ ズム G又 は Gと等価なアルゴリ ズムを導く という行為自体をも防止で きる。 但し、 本発明においては Gが、 たとえ秘密アルゴリ ズ ムを多数利用しても安全が保たれるように構成されるので、 仮に I cカー ド等の ¾ί理的安全性が破れたとしても、 システ ム全体は安全である。

更に、 共有暗号鍵を発生させる手順も単に識別子を入力す る外は、 I Cカー ド等の内部で行えるので、 暗号鍵共有のた めのエンティティの作業上の負担は非常に軽減される。

第 5図において、 エンティ ティ Αがセンタにネ フ トワーク の加入申請を行い、.秘密アルゴリ ズム発生装置 1を介して秘 密アルゴリ ズムの埋め込まれた I Cカー ド 2 aが発行され、 エンティ ティ Aに I Cカー ド 2 aを装着した後エンティ ティ Bの識別子 y _B を入力して共有の暗号鍵 kを生成している。 但し、 第 5図では秘密アルゴリズムを 1枚の I Cカー ドに埋 め込んだ例を示しているが、 秘密アルゴリ ズムを任意に分割 して I Cカー ドあるいは磁気カー ド、 磁気テープ、 バーコ一 ド、 光メ モ リ 、 I Cメ モリ 、 あるいはフロ ッ ピ一ディ スク等 いかなるデータ記憶媒体及びノ又はコ ンビュータ システム、 I Cカー ド、 ワ ンチップマイ コ ン、 演箕プロセ ッサ及びそれ 等を構成したモデム等、 計箕能力を有するいかなる装置に分 難して構成しても良い。

次に、 センタアルゴリ ズム Gと秘密アルゴリ ズムの作成方 法の例を示す。

まず、 2 つのエンティ ティ A ， B間での暗号鍵共有の場合 を考える。

第 6図はセンタアルゴリ ズム Gの構成法を示すものであり Gは、 はじめに 1入力 1出力のアルゴリ ズム G t , G ₂ 及び 2入力 1 出力のアルゴリ ズム H , Φを用意する。 但し、 Φは 対称関数を表現するものとする。

これらのアルゴ リ ズム G , ， G ₂ , Η , Φを取り扱うアル ゴリ ズム or , , or ₂ , を用意し、 or , により G ₂ と Hを合 成してアルゴリ ズム F , を作成し、 1 により G , と Hを合 成してアルゴリ ズム F ₂ を作成する。

次いで、 エンティ ティ Aの識別子 y _A に , G z を施し た結果 2 _A1 , z _A2と前記アルゴリ ズム F t , F.₂ , Φをアル ゴリ ズム により結合し、 第 7図のようなエンティ ティ Aの 秘密アルゴリ ズム X A を出力する。

第 6図中でアルゴ リ ズム or , , or ₂ が行う合成は、 ァルゴ リ ズム合成法と呼ばれ、 F , , F z はそれぞれ合成アルゴリ ズムとして下記の.式により表わされる。

F , = H ( - , G₂ ( * )) … （ 3 — 1 )

F ₂ = H ( G , ( · ), *) … （ 3 - 2 ) 但し、 · ， *はそれぞれ識別子 （バラメ ータ） を示す。 ここで、 合成アルゴリ ズム F , , F 2 からはアルゴリズム H , G , ， G_z が実際上導けず、 , F 2 の内容を知ることが 難しい。 すなわち、 OBSCURE であるものを作り出す合成法で あることが判る。

第 6図のセ ンタ アルゴ リ ズム Gにより構成された第 7図の エンティ ティ Aの秘密アルゴリズム X _A 及び、 同様に搆成さ れたエンティ ティ Bの秘密アルゴリ ズム X B が、 正し く機能 することは、 以下のようにして確かめられる。 X A ( y ₈) = Φ ( F z _A1 , y _B) , F ₂( y _B , z _AZ))

= ( H (G_t (y _A) , G₂( y _B)) ,

H ( G , (y _B) , G₂( y _A)))

- Φ (H ( G _t ( y _B), G₂( y ) ,

= ( F ₁ ( z B i , y A) , F 2 ( y _A , z _B2))

= X_B (y_A) ··· ( 4 )

OBSCURE なアルゴリ ズム合成法の他のものとしては、 （1) 松本他 「暗号化変換の自明でない表現を用いる非対称暗号系 J 昭和 5 8年度電子通信学会情報システム部門全国大会論文集、 1983年 9月、 a S 8 - 5、 第 1 -469〜 1 -470 、 (2) 松本他 「多変数多項式タプル非対称暗 系の構成理論」 1986年 2月 7 日、 1986年暗号と情報セキュ リ ティ シンポジウム資料 E 2、 暗号と情報セキュ リ ティ研究会、 電子通信学会情報セキユ リ ティ時限研究専門委員会、 （3)Matsumoto et al. "A crypto- graphical ly useful theorem on the connection between uni and multivariate polynomials, The Transaction of The IECE of Japan, Vol. E68₃ Na3, PP.139- 146 , arch 1985, (4) Imai , et al . Algebraic Method for Constructing Asym - metric Cryp tosys terns , " 3rd International Conference on Ap lied Algebra, Algebraic Algorithms and Symbol ic Compu ation, Error Correcting Codes (Jul 15- 19 , 1985 , Grenoble, France) , Springer Verlag. 等によるものがあ ヽ これ らを適用することも可能である。

次に、 2 つのエンティ ティ Α , Βについて、 センタァルゴ リ ズム G、 秘密アルゴ リ ズム X A , X B ， …の行列を用いた 具体例を以下に示す。

可換環 R上の n行 m列行列の全体からなる集合を / _a ( n , m) と表す。 Rには、 たとえば、 正整数 qを法とする剰余環 z <, = { 0 , 1 , 2 , - , q - 1 } などが採用できる。

まず、 G , , G z , H G R ( η , n ) を選び、 合成アル ゴ リ ズム

F = H G … ( 5 - 1 )

F 2 = G 1 H … ( 5 - 2 ) なる F , ， F 2 € R ( η , n ) を計算する。 式 （ 5 — 1 ) の Tは転置を示す。

次に、 y _A , y B ≡ H ( 1 , η ) に対し、 ζ _Α1 , ζ A ζ B i , ζ _B2e ^ R ( 1 ， η ) を以下のように計算する。

z _A1 = y _fl G , … （ 6 - 1 ) z _AZ = y _A G ₂ … （ 6 - 2 ) z B . = y B G , … （ 6 — 3 ) z 82 = y B G 2 ― ( 6 - 4 ) 従って、

z A. F , y B^t = ( y _AG ,) (H G _Z ^T) y _B ^T

= y A ( G t.HHGzT y _B ^T)

= 7 A ( G , H) ( y _B G ₂) ^T

= A F 2 z 82 ( 7 )

すなわち、

z A i F i y B = y A F 2 z ( 8 - 1 ) が成立する。 同様に次式も成り立つ。

z a 1 F I y _ft ^T = y B F ₂ z A Z ( 8 - 2")

したがって、 可換環 Rにおける乗箕を *で表すと、 *の可漠 性と式 （ 8 — 1 ), ( 8 - 2 ) により、

( z _A1 F , y B^t ) * ( y B F _z z _A2 ^T)

= ( y B F 2 Z B 2 ^T ) * ( Z _{A t} F ! y B ^T )

= ( 2 _{B 1} F ! y A^t) * ( y A F ₂ z B Z ( 9 )

が成り立つ。

そこで、

G ( y _A) = X A (10— 1 )

G ( y _B) = X B (10- 2 )

X_ft ( y B ) = ( 2 _fll F ! y B^t) * ( y B F z z _A2 ^T)

― (If- 1 )

X_B ( y _a) ( z F ! y _a ^T) * ( y A F z z B Z

… (11- 2 ) のよう にアルゴリ ズム G , X _a X_B 、 を定めれば、 式 （ 9 ) より、

X A ( y e ) = X B ( y A ) … （12)

が成り立つ。

3つのェンティ ティ以上の場会も 2つのェンティ ティ の場 合と同様にセンタアルゴリ ズム G、 および秘密アルゴリ ズム X A , _B , X_c , …を構成できる。 一例として 3 ェンティ ティ の場合を第 8図、 第 9図に示す。

最後に、 上記とは少し異なるが、 同様の考え方により構成 される具体例を 2つのエンティティ の場合につき以下に示す, 対称行列 G e ^ _R ( n , n ) を選ぶ。 すなわち、 G = G^T が成り立つもの とする。 - セ ンタ アルゴ リ ズム G、 秘密アルゴ リ ズム： X X を、

G y (13 1 ) G ( y = X (13 2 )

X ( y _B) = x Φ ( y (14 1 ) X _B ( y _A) = x Φ ( y (14 2 ) と定める。 但し、

τ Φ ( y ) G … (15- 1 ) ϊ B = Φ ( y a) G … (15- 2 ) であり、 øは、 〃 _R ( l , n ) から / / _R ( 1 , n ) への関数 'を表すアルゴ リ ズムで、

Φ ( y ), Ψ ( y ), Φ ( y c ,…

が可換環 R上線形独立となるものとする

こ のとき、

X ( y

= x Φ ( y _B))^T

= ( Φ ( y _A) G) ( Φ ( y _B))^T

= ( Φ ( y ) G ( Φ ( y ₈) ) ^T ) ^T

= Φ { y G ^T ( y _a) ) ^t

= ( Φ ( y ₈) G) ( Φ ( y _A) ) ^T

= x B ( Φ ( y _A) ) ^T

= X 8 ( y (16) すなわち、

X y _B) = X ( y (17) が成り立つ。 したがって、 上式の値を共有すべき暗号鍵 kと すればよい。 - 以上詳述したように、 本発明の第 1 の形態によれば、 一度 も会っていない （通信したことがない） 相手と共通の暗号鍵 を、 その相手の識別子を入力するだけで簡単かつ安全に計箕 することができ、 容易に任意の当事者間での、 暗号文による 通信を行う ことが可能となる。

以上、 本発明者により発明された暗号鍵事前分配方式 （Key Pred i s tr i bu t i o n Sys tem、 以下、 K P S と略す） とも呼ぶベ き共用暗号鍵生成装置とその共用暗号鍵を用いた通信方式に ついて述べた。

以上暗号鍵の生成を段階を追って一般的にまとめると、 次 の 3段階 （-手順） に犬別される。

a . 手順 1 ： センタアルゴリ ズムの作成

b . 手順 2 ： 各エンティ ティ用の秘密アルゴリ ズムの作成- 配布

c . 手順 3 ： エンティ ティ相互のグループによる鍵共有 手順 1 は、 システムの立上げ時又は更新時だけに必要な操 作であり、 各センタ、 センタ p とするが、 特別なアルゴリズ ム、 すなわちセンタ p だけが秘密に保持するセンタアルゴリ ズム G pを生成することを指す。 ただし、 G pを生成する方 法については、 すべてのエ ンティ ティ も し く はエンティ ティ の代表の間で合意を得ておく ものとする。

手順 2 は、 各エンティ ティ のネツ トワークへの加入時にセ ンタとエ ンティ ティ により行われる操作である。 各ェンティ ティ、 エ ンテ ィ テ ィ 〖 とする、 に固有で公開され半固定的に 用いられる各エンティ ティ の識別子 y i に、 各セ ンタ pがセ ンタ アルゴリ ズム G pを施して各ェンチイ ティ専用の秘密ァ ルゴ リ ズム X pi = G p ( y ί ) を作成する。 エ ンテ ィ テ ィ i 用の秘密アルゴリ ズム X i i , X ₂ i , … , X s iを個別に、 もし く は適当な方法により結合して、 エンティ ティ i だけに、 た とえば I Cカー ド等に装荷して、 配布する。 エンティ ティ i は受けとつた秘密アルゴリ ズムの組もし く はそれらの結合さ れたもの X i を秘密に保管する。

手順 3 は、 手順 1 , 2 の終了後に、 暗号鍵を共有したいグ ループにより行われる操作である。 グループに属する各々 の' エンティ ティ は、 グループに属する自分以外の全てのェンテ ィ ティ ¾識別子を自分の秘密アルゴリ ズムに入力することに より、 同一の暗号鍵 kを共有する。 たとえばエンティ ティ A とエンティティ Bが暗号鍵 k _ABを共有したい場合は、 それぞ れ次のように k _{A B}を計箕する。 '

k _{A B} = X A ⁽²⁾ ( y _B) · ·· ( 18 - 1 ) k _{A B} = X _B ^<2> ( y _A) · ·· (18 - 2 )

又、 エ ンテ ィ テ ィ A、 エ ンテ ィ テ ィ B 、 エ ンテ ィ テ ィ Cが 暗号鍵 k _{A 3 e} を共有したい場合は、

k _{A B C} = X A ^{<3 )} ( y B , y c ) ·' ( 19 - 1 ) k Λ Β Ο = X _B ^{(3 )} ( y c , y _a) ·' ( 19 - 2 ) k _{A B C} = X c ^{(3 )} ( y A . y _B) ·' (19— 3 )

のようにしてそれぞれが k _A8(： を計算する にズ 1 <e) は、 e個のエ ンテ ィ テ ィからなるグループで鍵共有を行う時 に用いるエ ンテ ィ テ ィ i の秘密アルゴ リ ズムを表す。

- 次に、 K P S—般の安全性について述べる。

K P Sにおいては、 秘密アルゴリ ズムの配布時に、 秘密ァ ルゴ リ ズムを渡すべきエ ンテ ィ テ ィを正しく認証 （同定） す る必要があるが、 エ ンテ ィ テ ィ認証 （本人確認） がきちんと 行われていることがすべての暗号的手段の大前提であるから エンティティ認証の問題は K P Sに特有の問題ではない。

K P Sにより各グループが共有する鍵 （マスタ键） は各グ ループに固有のものであり、 センタアルゴリ ズムを更新しな い限り、 不変である。 したがって、 K P Sは、 いわゆるマス タ鍵を共有するための方法であるといえる。 マスタ鍵がダル ーブ外に漏れた場合でも、 新しいマスタ鍵に代えることはで -きない。 そこで、 適当な期間の後にセ ンタ'アルゴリ ズムの更 新をすることが望ましい。 しかし、 たとえば 2つのェ ンティ ティのグループの鍵共有のために、 3つのエンティティ のグ ループに対する鍵共有用の秘密アルゴリ ズム X i ^{( 3 )} を用い れば、 適当な乱数、 例えば凝似乱数、 線形合同法等による乱 数を交換することにより 2つのエンティティ の間で毎回異な る鍵 kを共有することができる。 たとえば、 ェ ンティ チイ A とエ ンテ ィ テ ィ Bがどのエ ンテ ィ テ ィ の識別子とも異なる乱 数 rを用いて、

k = X _A ^{< 3 >} ( y _B , r ) - ( 20 - 1 ) k = B ^{< 3 >} ( r , y _A ·) - (20 - 2 ) のように鍵共有鍵 kを共有できる。

さて、 K P Sにおいてはセ ンタアルゴリ ズムに関する情報 を秘密アルゴ リ ズム X i という形で各エ ンテ ィ テ ィ に分散し ているわけであるから、 単独のェ ンティ ティ又は協力した複 数のエンティ ティ により適当な計算量を費やせばセンタアル ゴリ ズム又は ¾力したェ ンティ ティ以外のェ ンティ ティ用秘 密アルゴ リ ズム X t又はその一部を必ず求めることができる。

秘密アルゴ リ ズムを、 物理的に保護され計算能力を有する 何らかの装置、 たとえば C P Uおよびメ モ リを内蔵する I C カー ド、 の中に埋め込み、 各エンティ ティが、 自分の秘密ァ ルゴリ ズムを知ることなしに実行できるような工夫を施せば、 セ ンタ アルゴ リ ズムや他のエ ンテ ィ テ ィ の秘密アルゴ リ ズム X t又はその一部'が暴かれることはない。 したがって、 物理 的セキュ リ ティが完全に保たれるような環境においては、 い かなる K P S も安全であるといえよう。

しかしながら、 現在の I Cカー ド等の物理的セキュ リ ティ は完全とはいえず、 実際には完全な物理的セキ ュ リ テ ィを期 待することは難しいので、 多 く のエンティ ティが結託 （協力） しなければセ ンタアルゴ リ ズム又は X t又はその一部を決定 するために充分な情報を得られないか、 又は、 充分な情報が 得られてもセンタアルゴ リ ズム又は X t又はその一部を求め るための計箕量が多大となるような工夫が K P Sには要求さ れると考えられる。 BiJ者ばいわゆる uncond i t i ona 1 security こ、 後者 ま 、わゆる computational secur i ty こ対応すると言 る。

unconditional secur i tyの証明は一般に難し く ない力く、 computational secur i tvの証明は現在のところ、 素因子分解 等の適当な問題を解く難しさを仮定せずにはうま く行えない, ある程度の数のヱン-ティティが結託しない限り安全である と ゝぅ意味で unconditional ly secureな K P Sをべク トスレの 1次独立性を利用して構成する場合について述べる。 第 1 0 図において、 相互に独立な複数のセ ンタ内の第 1次セ ンタァ ルゴ リ ズム生成装置 1 a〜 1 dがエ ンティ テ ィ Aの識別子 7 A を入力し、 相互にべク トルの 1次独立関孫にある第 1次 のセ ンタアルゴリ ズム g_P1 ( X ) 〜 g _P4 ( x) を生成する。 次いで統合セ ンタ内の装置 1 eが、 これら第 1次のセ ンタァ ルゴリ ズムを統合して、 統合セ ンタアルゴリ ズム G _P ( ) を生成する。 エ ンテ ィ テ ィ Aの秘密アルゴリ ズム X_A は装置 1 eにおいてセンタアルゴリ ズム G _P ( X ) に基いて生成さ れる。 '

この方式ば、 セ ンタが 1 つである場合の秘密アルゴリ ズム を用いた前述の実施例に比し、 安全性が向上することはいう までもない。 すなわち、 以下、 センタが 1つの場合の線形代 数に基づく K P Sを拡充し、 安全性を向上させる手段につい て詳述する。

第 1 1図は、 第 1図に対応する構成を概略的に図解した K P Sの応用例を示す。 同図において、 送信側のェンティテ ィ Aが相手の識別子 y _B を入力して秘密アルゴリ ズム X_a を 適用して共有鍵 kを生成し、 暗号手段 42 aに印加してメ ッセ ージ mから暗号文 Cを生成する。 結合手段 44a は暗号文 C、 相手側識別子 y _B および自己の識別子 y _a を組合せて、 「宛 先 （ y _B ) 、 差出人 （ y _A ) 暗号文 （ C ) 」 から成る情報を 送信手段 （図示せず） および回線 （チャネル） 6を介して相 手側に送出する。 受信側のエ ンティ ティ Bは、 受信手段 （図 示せず） を介して送信情報を入力し、 選択手段 54 a において 自己の識別子 y _B を用いて自分宛ての通信文であるか否かを 判定する。 自分宛の通信文ならば相手の識別子 y A と暗号文 Cを分離手段 55 aに送出する。 分難手段 55 a は相手の識別子 y A と暗号文 Cとを分離する。 相手の識別子 y A は I Cカー ド等の暗号鍵生成手段 3 a に印加され、 秘密アルゴリ ズム X _B を介して共用暗号鍵 kを発生させる。 復号手段 52 a は暗 号文 Cに共用暗号鍵 kを適用して送信側からのメ ッセージ m を復元する。

このよう、に、■ K P Sを用いると、 通常の郵便のようにメ イ ル通 、 すなわち 方向の暗，通信が簡単に実現できる'。 宛 て先が 2つ以上の場合でも、 いわゆる ^β 同報性の認証 " を行 いつつメ イ ル通信ができる。 なお、 電話のような対話通信に も適用できることはいうまでもない。

線形代数に基づく K P Sについて述べる。 尚、 セ ンタが 1 つの場合については、 すでに第 1図〜第 8図に関連づけた実 施例において前述した。

¾下に定義する方式を 「線形スキーム」 と名付けるこ とに する。

gを素数べき、 および、 m , s ， hを正の整数として、 ベ ク トル Qを

Q = G F ( q ) … ( 2 1 ) とおき、 Q上の m次元横ベク トル全体のなすベク トル空間 を Q^m で表す。

各エ ンテ ィ テ ィ 、 エ ンテ ィ テ ィ i とする、 の識別子 y i は 集合 I の元であるとし、 i ≠ j ならば y ί ≠ j j であるもの とする。

又、 Rvを、 Iから Q^m への单射 （ 1対 1写像） を表現する アルゴリ ズムとする。

各セ ンタ、 セ ンタ p , p = 1 , 2 , ··· , s は、 h偭の Q上 m次対称行列 G_Pl , G_Pz , … ， Gphをラ ンダムかつ一榛に他

2

のエ ンティ テ ィ とは独立に選び 2、 セ ンタアルゴリ ズム G pを 生成する。 G p は、 各 y i e I に対して秘密アルゴリ ズム X p i

Xpi ( I )- = xpi.Rr ( —） ^T … (22).

を作成するアルゴリ ズムであると定める。 ただし X piは、

Xpi R r (yi) G_Pl

R r (yi) Gp₂

(23)

R r (yi) Gph

により定められる Q上の h x m行列である。 ^T は耘置を意味 する。 は相手の識別子 y j を入力するために設定された変 数を示す。

各エンティ ティ i は各センタからアルゴリズム Xpiを入手 し、 これからエンティ ティ 〖専用の秘密アルゴリズム X i を 次のようにして作る。

X i ( ） = X ί R_r ( ξ ) ^τ , … （24) x ∑ X p i (25) セ ンタ p は、 アルゴリ ズム X p iをエ ンティ ティ i だけに渡 すこ とが、 重要である。

なお、 I Cカー ド等を用いれば秘密アルゴリ ズム X i を自 動的に得る こ とも可能である。 たとえば、 まず、 ェ ンティ テ ィ i が I Cカー ドを入手し、 書き込みは誰でもできるが読み 出しはエンティ ティ i にしかできないように初期化してセン タ側に渡し、 各セ ンタに xpiを入力しても らい次々 と I C力 ― ド内部で総和をとり、 最終的に X i が作られた段階で I C カー ドをエンティ ティ i に戻しても らう、 という方法による。 いずれにしても、 最終的にエ ンティ ティ i は秘密アルゴリ ズム X i を持つ。 ·

エ ンティ ティ i とエンティ ティ j が暗号鍵を共有したい場 合、 エ ンティ ティ i は X i (yj)を、 エ ンティ ティ j は Xj (yi) を、 それぞれ鍵と して計算する。 X i (yj)と X j (yi)は共に Q上の h次元縦べク トルであり、 両者が一致することは、

X i , X j の定義から容易に導ける。

以上はグループが 2つのエ ンティ ティからなる場合である が、 一般に e個のエ ンティ ティ （ e ^ 2 ) のグループの場合 には、 前記の Gpi , すなわち双線形写像のかわりに、 e個の エ ンティ ティ についての重線形写像を用いれば同様な方式が 実現できる。

次に、 「線形スキーム」 の安全性について考える。 この方 式への攻撃と しては、 センタによる攻撃とェ ンティ ティ によ る攻撃の両方を考える必要がある。

この方法を完全に破ることば、

G j =∑ G pj ( j = 1 , 2 , … ， h ) ( 26 ) なる行列 G i ， G 2 , ·" , G h を並べた行列

G = C G _t , G ₂ , - , G h ] ··· (27 )

を決定することと等価である。

よって、 すべてのセンタが結託しない限り、 たとえいくつ かのセンタが結託したとしてもセンタアルゴリズム Gを全く 决定できない。 したがって、 いかなるグループの暗号鍵も全 く決定できない。 ，

又、 少な く とも rank G偭のエ ンテ ィ ティが結託しない限り セ ンタアルゴリ ズム Gを完全には决定できない。 rank Gは m 又は mに近い値をとる確率が大きい。

しかし、 rank G "個未満のェンティティの結託によっても、 結託ェンティティ数が増えれば增えるだけ、 Gに関する情報. したがって、 各エ ンティ ティ の秘密アルゴリ ズムに関する情 報をより多く入手できることは確かである。 そこで、 結託し たエ ンティ ティ が、 他のエ ンテ ィ テ ィ間の暗号鍵をどの程度 決定できるかを考察すると、 次の锫論を得る。

システムに加入しているすべてのェンティティの集合を E とおく。 このとき、

「 Eの部分集合 E _B に属すすベてのェ ンティティが結託し ても、 E— E _B に属す任意の 2つのエ ンテ ィ ティ間で共有 される暗号鍵を全ぐ決定できない」 という条伴を満足させるためには、

「各 i S E — E _B についてベ-ク トノレ R _r (yi)がべク トノレの 集 合 { R (yi) l j S E_B } に 1 次独立である こ と」 が必要十分である。

したがって、 エ ンテ ィ テ ィ の結託に対する安全性の問題は、 べク トルの集合 U ：

U = { R _r (yi) I i e E }

における 1 次独立性の問題に移して論じるこ とが可能となる。 特に、 「線形符号の理論」 と密接な結びつきが生じる。

実際、 べク ト ルの集合 Uに属すすベてのべク ト ルの転置べ ク トルを横に並べてできる行列をパリ ティ検査行列とする、 符号長 n、 検査記号数 mの線形符号を C とすると、 「 Cに

(Hamming) 重み wの符号語^存在する こと」 'と、 「 （w— 1 ) エンティ ティ の結託により他のエ ンティ ティ間の鍵が決定で きる場合が存在する こ と」 は同値である。

特に、 「 Cの最小 （Hamming)重み [最小距離 ] が b + 2以 上であること」 は、 「任意の bエ ンティ ティ の結託によって も他のエ ンテ ィ テ ィ間の任意の鍵を全く 決定できない」 ため の十分条件である。

したがって、 代数的ノ代数幾何学的符号理論に基づいてァ ルゴリ ズム R _r を選ぶこ とができる。 この場合、 y i を適当 なべク ト ルとみなすと R_r(yi)は y i の成分に関する単項式 を並べたものになる。 よって、 アルゴ リ ズム X i は項式 （タ プル） 等となる。 対応する線形符号としては、 （ e ) - G R M符号、 B C H符号、 R S符号、 Goppa符号等を用いる こ と になる （嵩他、 「符号理論」 コ ロナ社、 1975年） 。 しかし、 これらの R_r の評価 （計寘） をすることは、 が大きい場合. あまり効率より行えない。

ところが、 符号理論における &ilberい Varsharmovの定理を

K P Sの言葉に翻訳すると、 次の如く なる。

素数べき ¾、 正整数 m及び bが与えられたとき、

m b

< Φ ( ) … (28)

II n

ただし、

Φ ( X ) = X log_q ( q - 1 ) - X log, x - ( 1 — X ) log, ( 1 — x) … (29)

を満たす、 許容結託ェンチイティ数 b以上、 秘密アルゴリ ズ ムの記憶量 hra— 4og_zq [ bit 】、 総エンティ ティ数 nの線形ス キームが存在する。 ここに hは任意の正整数である。

又、 大部分の線形スキームは^ (28)を満たすパラメ 一タを 有することも、 符号理論の結果から導ける。

そこで、 再生可能な疑似乱数系列を高速に発生するァルゴ リ ズムを こ選ぶことができる。

この点では線形符号の通常の利用法と異なっている。 逋常 の応用では、 復号アルゴリズムを効率よく実現する必要上、 何らかの構造を利用した符号を用いるが、 K P Sのための線 形スキームにおいては、 復号に相当するアルゴリズムの効率 を考える必要が全くないために、 ランダムな符号を甩ぃ得る のである。

線形スキームの安全性に蘭する以上の検討の結果を表 1に まとめた 表 1.

次に、 線形スキームに関する種々の記億量 · 計箕量を評価 する。

各センタは、 アルゴリ ズム R と h個の対称行列 G p , , G p ₂ , … ， Gphを記億しており、 各エ ンティ ティの加入時に、

R _r (yi)を計算し、 更に R (yi)に Gp, , Gp₂ , … ， Gphを掛 けて x piを求めるので、 表 2 のような記億量 · 計箕量を必要 とする。 表 2 は、 線形スキームの Complexityを記億量と計算 量とで表わしたものである。 ' 表 2.

又、 各ェンティ ティ は、 ァルゴリ ズム Rと行列 X iを記億 しており、 鍵共有時に R_r(yi)を計箕し、 R_r(yj)^T に x iを 掛けて暗号鍵を求めるので、 表 2のような記憶量 · 計算查を 必要とする。

なお、 m , b 与 たとき、 Gi lber t-Varsharmov bo-undよ

b

り定められる nは、 —— が小さいとき n ^ m 2 ··· (30) と近似できる。

q = 2かつ h = 6 4 としたときの数値例を、 表 3 に示す

表 3.

' 表.3より、 たとえば m = 2 ¹³ , b = 2⁸ の場合には、 各セ ンタが約 4ギガビ ッ ト （ G b it)を記憶し、 各エンティ ティ が 約 512キロビ ッ ト （ Kbit)を記億する線形スキ ームで、 シス テム全体を破るにはすべてのセ ンタの結託又は約 8192以上の エ ンティ ティ の結託が必要であり、 256以下のエンティ ティ が結託しても他の 2エンティ ティ間の鍵を全く 決定できない もので、 約 2⁴。 ( = 10¹²) 個までのエ ンテ ィ テ ィ のう ちの任 意の 2 エ ンテ ィ テ ィ間で 6 4 ビッ トの鍵を共有できる ものが 存在するこ とがわかる。 これに対し、 すべてのエンティ ティ との鍵をあらかじめ共有しておく 原始的な方法をとつた場合- 各エンティ ティ は約 6 4テラビッ ト （Tbit)を記憶しなけれ ばならない （ 1 [ T b ] = 1024 [ Gbit ] ) 。

本発明に基づく K P Sの特徴を調べるために、 従来の他方 式と比較してみる。

従来、 暗号通信を行うには第 1 2図（a) に図示の共通鍵暗 号化方式、 および第 1 2図（b) .に図示の公開键方式が用いら れてきた。 第 1 2図（b) は左から右へそれぞれ、 公開鍵配送 方式、 公開鍵暗号化方式および公開鍵署名方式を示す。

一方、 本発明に基づく K P Sは、 第 1 2図（c) の如く模式 化される。

表 4に以上の諸方式の比較桔果を示す。 表 4において、 方 式 I ， a , bは第 1 2図（a) 内の（a) (b)に対応するもの、 方 式 , a , b , c は第 1 2図（b) 内の（a) (b) (c) に対応する もの、 方式 1は第 1 2図（ど） の本発明の K P Sを示す。 評価 対象としては 各エンティ ティの Comp l ex i tyを示す、 記億量、 システム加入時の通信量： 通信量（1) 、 暗号通信準備のため の通信量 ： 通信量（2) および暗号通信準備のための計箕量が ある。 また、 センタ側の評価対象としてば、 センタの必要性

(有無） 、 センタの負担、 センタの M g Bro ther 性 （B B性） およびメ ィル通信の難易性を挙げた。

表 4から、 本発明の K P Sが、 総合的にみて不特性多数の エンティ ティ間の暗号通信に対して従来の他の方式より優れ ていることが判る _β

表 4

(±) n ：ネッ トワークの總エンティティ数、 S ：センタの数、 m :¾^¾バラメ一タ、 び ：

力 されること、

a ： ί§|¾ (authenticity)力^ されること。

+ 0(1) に 可能

+⁺ sを ば十分小となる。 以上、 K P Sのための線形スキ一ムについて詳細に説明し た。 -

K P Sの実現法は線形スキームの他にも存在し得る。 たと えば、 セ ンタアルゴリ ズムをアルゴリ ズム合成法による Obs cure なアルゴリ ズムとして構成することが考えられる。 O bscure ,アルゴリ ズム合成法についての詳細は前述の諸文献 を参照されたい。

Claims

請 求 の 範 囲

1. 暗号鍵を共有すべき複数のエ ンテ ィ テ ィ間で定められ た要件の下でセンタだけが秘密に保持するセ ンタァルゴリ ズ ム （ G ) を生成し、 さ らに、 前記複数のエ ンテ ィ テ ィ の各個 に固有に定められ、 公開され、 半固定的に用いられる識別子

( y A , y a , 〜） を前記セ ンタアルゴリ ズムに適用して前 記複数のエ ンテ ィ テ ィ の各々に固有な秘密アルゴリ ズム

( X A , ₈ , 〜） を生成する、 秘密アルゴリ ズム生成装置

( 1 ) と、

少く とも前記秘密アルゴリ ズムを記憶するメモリを有し、 前記秘密アルゴリ ズム生成装置における秘密アルゴリ ズム生 成時に秘密アルゴリ ズム生成装置に接続されで'対応するェン テ ィ テ ィ の秘密アルゴリ ズムが前記メ モ リ に記億され、 暗号 文を送受すべき相手エ ンテ ィ テ ィ の識別子を該秘密アルゴ リ ズムに適用することにより共通の暗号鍵 （ k ) を生成する、 複数の暗号鍵生成手段 （ 2 , 3 , 〜） と、

を具備する、 共用暗号鍵生成方式。

2. 前記秘密アルゴリ ズム生成装置が、 相互に独立に作動 しそれぞれ独立な第 1次セ ンタアルゴ リ ズム ( P . ( ) , g p z ( x ) , ··· ) を生成する複数の第 1次セ ンタァルゴ リ ズ ム生成装置 （ 1 a〜 1 d ) 、 および、 該第 1次秘密アルゴリ ズム生成装置で生成された複数の第 1次セ ンタアルゴ リ ズム を統合し、 該統合されたセ ンタアルゴリ ズムに基いて各ェ ン ティティ固有の秘密アルゴリ ズムを生成する装置 （ 1 e ) を 具備する、 請求の範囲第 1項に記載の共用暗号鍵生成方式。

3. 前記第 1次セ ンタアルゴリ ズ-ムをァルゴリ ズ厶合成法 により生成する、 請求の範囲第 2項に記載の共用暗号鍵生成 方式。

4. 前記第 1次セ ンタアルゴリ ズムは、 ベク トルの 1次独 立性を保って生成される、 請求の範囲第 3項に記載の共用暗 号鍵生成方式。

5. 前記第 1次セ ンタアルゴリ ズム は、 べク ト ルの 1次独 立性を保って生成される、 請求の範囲第 2項に記載の共用暗 号鍵生成方式。

6. 前記セ ンタアルゴリ ズムをァルゴ "ズム合成法により 生成する、 請求の範囲第 1項に記載の共用暗号鍵生成方式。

7. 前記複数の暗号鍵生成手 のそれぞれが、 秘密アルゴ リ ズムを記億し、 物理的に保護し、 暗号鍵生成のための計算 能力を有する手段を具備する、 請求の範囲第 1項に記載の共 用暗号鍵生成方式。

8. 前記暗号鍵生成手段が、 メ モ リ および演箕装置を有し て成る半導体集積カー ドである、 請求の範囲第 7項に記載の 共用暗号鍵生成方式。

9. 暗号鍵を共有すべき複数のエ ンテ ィ ティ間で定められ た要件の下でセ ンタだけが秘密に保持するセ ンタアルゴリ ズ ム （ G ) を生成し、 さらに、 前記複数のェンティティの各偭 に固有に定められ、 公開され、 半固定的に用いられる識別子 ( y A , y 8 , ··' ) を前記セ ンタアルゴリ ズムに適用して前 記複数のエ ンティ テ ィ の各々に固有な秘密ァルゴ ズム ( X _A , B , 一） を生成する、 秘密アルゴ リ ズム生成装置

( 1 ) と、 - 少く とも前記秘密アルゴリ ズムを記憶するメ モ リを有し、 前記秘密アルゴリ ズム生成装置における秘密アルゴリ ズム生 成時に秘密アルゴリ ズム生成装置に接続されて対応するェン テ ィ テ ィ の秘密アルゴ リ ズムが前記メ モ リ に記憶され、 暗号 文を送受すべき相手エ ンテ ィ テ ィ の識別子を該秘密アルゴリ ズムに適用する とにより共通の暗号鍵 （ k ) を生成する、 複数の暗号鍵生成手段 （ 2 , 3 , ··· ) と、

伝送系 （ 6 ) を介して接続された少く とも 1対の送信およ び受信ェンティティ （Α , Β ) であって、 送信側ェンテ < テ ィが前記暗号準生成手段と協働し該暗号鼙生成手段からの共 通暗号鍵に基いて平文 （m) を暗号化する手段 （42 , 42 a ) を有し、 受信側エ ンテ ィ テ ィ が前記暗号鍵生成手段と協働し 該暗号鍵生成手段からの共通暗号鍵に基いて前記伝送系と介 して前記送信側エ ンテ ィ テ ィ から送出された暗号文 （ C ) を 平文に復号する手段 （52 , 52 a ) を有するもの、

とを具備し、 前記共通暗号鍵に基いた暗号文を伝送する、 共用暗号鍵を用いた通信方式。

10. 前記送信側エ ンテ ィ テ ィ が、 前記暗号文の外、 受信側 識別子および自己の識別子を送出し、

前記受信側ェンチイ ティが受信情報から前記受信側識別子 を抽出して自己宛の情報であることを確認後、 送信側の識別 子を抽出して前記暗号鍵生成手段に印加するこ とによ り共通 暗号鍵を生成させるようにした、 請求の範囲第 9項に記載の 通 ft方式,