WO1997031448A1

WO1997031448A1 - Methode de communication utilisant une cle commune

Info

Publication number: WO1997031448A1
Application number: PCT/JP1997/000432
Authority: WO
Inventors: Yoshimi Baba
Original assignee: Card Call Service Co., Ltd.
Priority date: 1996-02-21
Filing date: 1997-02-19
Publication date: 1997-08-28
Also published as: WO1997031449A1; CA2247509A1; CN1211362A; KR19990082665A; US5987128A; IL125829A0; EP0792042A3; IL125832A0; CA2247478A1; TW395103B; AU1732597A; EP0792042A2; KR19990087103A; EP0792043A3; TW395104B; AU1732497A; CN1211363A; US5987129A; EP0792043A2

Description

明細書共通鍵通信方法技術分野

本発明は、ネットワーク上のエンティティ間で互いの共通の暗号鍵を使用して暗号通信を行う共通鍵通信方法に関する。背景技術

近年、インタ一ネット等のネットワーク上で通信を行う際に、通信データの機密保持等のために暗号文による通信技術が望まれている。

この種の通信技術としては、例えば公開鍵 6¾としての R S Aが著名であるが、この他に、ネットワークに含まれるエンティティ同士で通信を行う際に、送信側のエンティティが通信データ（平文）を暗号鍵により暗号化して受信側のェンティティに送信し、それを受信側のエンティティが送信側の上記暗号鍵と共通の暗号鍵により元の通信データに復号する共通鍵通信方法が一般に知られている。尚、ここで、エンティティとは、ネットワークに接続された端末機等の装置、その装置の使用者、その装置のソフトウェア、あるいはそれらの集合等、通信を行う主体を意味するものである。

そして、このような通信方法にあっては、ネットワークに備えられたセンタ一が、エンティティ同士の通信に際して、各エンティティにセン夕一で生成した前記共通の暗号鍵を配付するものが知られている。あるいは、例えば Rolf Blom による論文 ΓΝΟΝ-PUBLIC KEY DISTRIBUTION /Advances in Cryptology : Proceedi ngs of CRYPTO ' 82 /Plenum Press 1983, pp. 231- 236J 、同じく Rolf Blomによる論文「An Opt imal Class of Symmetric Key Generat i on Systems /Advances i n Cryptology : EUROCRYPT ' 84 /Springer LNCS 209, 1985, pp. 335-338 J 、あるいは特公平 5— 4 8 9 8 0号公報もしくは米国特許第 5 0 1 6 2 7 6号に見られるように、あらかじめ共通の暗号鍵を生成するための個人鍵を各ェンティティ毎に前記センターにより生成して、それを各エンティティに配付しておき、通信に際しては、各エンティティが自身の個人鍵を通信相手側のェンティティに固有の識別子（名前、住所等）に作用させることで、通信を行うエンティティ同士で共通の暗号鍵を生成し得るようにしたものも知られている。

この場合、後者の手法では、各エンティティ毎の個人鍵は、セン夕一のみが保持する各エンティティに共通のセンターアルゴリズムにより各エンティティの識別子を変換することで生成される。

より詳しくは、後者の手法では、センターアルゴリズムは、これを例えば任意の二つの識別子を示す変数 X, yの関数 P (X, y) として表現したとき、 P ( x， y) =P (y, x)なる対称性を有するように設定される。そして、この関数 P (X, y) の変数 x， yのうち、例えば変数 yの値を各エンティティの実際の識別子 iとした関数 P (X, i ) (以下、これを P i (X) と表現する）が各エンティティの個人鍵として各エンティティに配付される。その後、識別子のエンティティが他の識別子 jのエンティティと通信を行う場合には、識別子 iのエンティティ側では、自己の個人鍵 P i (X) に相手側の識別子 jを作用（変数 Xの値を jとする）させてなる P i ( j ) が暗号鍵として生成される。同様に、識別子】のエンティティ側では、自己の個人鍵 P j (X) に相手側の識別子 iを作用させてなる P j (i)が暗号鍵として生成される。このとき、前記の対称性によって、 P i ( j) =P j ( i ) となり、これにより、識別子 i, jのェンティティ同士で共通の暗号鍵が得られることとなる。

ところで、前述のような共通鍵通信方法では、暗号通信の安全性を確保する上で、前記暗号鍵が事実上、解読することができないことが必要となる。特に、前記特公平 5— 48980号公報等に見られる方法では、全ての暗号鍵にそれらを規定するセン夕一アルゴリズムに係わる情報が含まれているため、各暗号鍵の解読の困難性を確保することが重要な課題となる。

しかるに、従来の通信方法では、通信データ（平文）そのものを暗号鍵により暗号化して通信を行うようにしていたため、通信デー夕の特徴等から暗号鍵が解読されてしまう虞れを有するものとなっていた。そして、特に、前記特公平 5— 48980号公報等に見られる方法では、暗号鍵が解読されてしまうと、複数のエンティティの結託等により、セン夕一アルゴリズムをも解読されてしまう虞れを有するものとなっていた。

本発明はかかる背景に鑑み、共通の暗号鍵を使用してエンティティ間で暗号通信を行うシステムにおける暗号鍵の種々の攻撃に対する安全性を高めることができる共通鍵通信方法を提供することを目的とする。

さらには、通信の際の共通の暗号鍵を生成するための秘密個人鍵を、各ェンティティに固有の識別子に各エンティティに共通の秘密アルゴリズムを施して生成し、それを各エンティティに配付しておくシステムでは、センターの秘密アルゴリズムを含めて種々の攻撃に対する安全性を高めることができる共通鍵通信方法を提供することを目的とする。発明の開示

本発明の共通鍵通信方法はかかる目的を達成するために、複数のエンティティを含むネットワークにおいて、通信を行うエンティティ間で通信データの暗号 ' 復号化を行うための共通の暗号鍵を使用して前記通信デー夕の授受を行う共通鍵通信方法であって、前記通信デ一夕の送信側で乱数データを鍵として該通信デー夕を暗号化すると共に該乱数データを前記共通の暗号鍵により暗号化して、その暗号化された乱数データを前記暗号化された通信データと共に該通信データの受信側に送信し、該通信データの受信側では、前記共通の暗号鍵により前記暗号化された乱数デー夕を復号すると共にその復号した乱数デー夕を鍵として前記暗号化された通信データを復号することを特徴とする。

かかる本発明によれば、前 E l信データの送信側で乱数データを鍵として該通信デ一夕を暗号化すると共に該乱数デー夕を前記共通の暗号鍵により暗号化して、その暗号化された乱数データを前記暗号化された通信データと共に該通信デー夕の受信側に送信するので、前記暗号鍵を解読しよとするときの該暗号鍵の情報〖ま、乱数データにより暗号化された通信データではなく、暗号鍵により暗号化された乱数デ一夕に含まれることとなる。そして、該乱数データ自体は、特徴的な情報が乏しいため、暗号化された乱数データから暗号鍵を解読することは極めて困難なものとなる。また、通信データは、乱数データにより暗号化されるため、通信データの安全性も十分に確保される。そして、通信データの受信側では、送信側と共通の暗号鍵を使用することで、前記乱数データを復号することができ、さらにその復号した乱数データを鍵として最終的に所望の通信データを復号することができ、支障なく暗号通信が行われることとなる。

従って、本発明によれば、共通の暗号鍵を使用してエンティティ間で暗号通信を行うシステムにおける暗号鍵の種々の攻撃に対する安全性を高めることができかかる本発明では、前記乱数データは一回性の乱数データであることが好ましい。すなわち、該一回性の乱数データは、再現性がなく、もしくは再現性に極めて乏しい乱数データを意味し、さらに詳しくは乱数データを構成する各ビット数値の出現頻度がいずれの数値でも同等で、また乱数デ一夕の相関がないものであり、このような舌し数デ一夕は、例えば人間がある語句もしくは文章をコンビユー夕に入力する際のタイミングに基づいて生成することが可能である。そして、このような偶然的な乱数データを鍵として通信データを暗号化し、また、該乱数デ一夕を暗号鍵により暗号化することで、該暗号鍵や通信デ一夕の解読がより一層困難なものとなる。

この場合、前記一回性の乱数データは、前記通信デ一夕の送信側のェンティティの所定の処理に基づき生成し、より具体的には、前記所定の処理は前記各ェンティティの人間による入力操作であり、その入力操作の時間的タイミングに基づき前記一回性の乱数データを決定する。

このように、各エンティティの人間による入力操作（例えばある文章や語句を入力する操作）の時間的タイミングに基づき乱数データを生成することで、その乱数データは、再現性がなく、もしくは再現性に極めて乏しいものとなり、前記一回性の個別舌し数データを的確に生成することができる。

また、本発明では、前記各エンティティには、あらかじめ前記ネットワークに設けられたセンターが各エンティティに固有の識別子を、各エンティティに共通で且つ該セン夕一のみが保持するセンターアルゴリズムにより変換して生成された各エンティティに固有の個人鍵が配付されており、前記共通の暗号鍵は、前記通信データの通信を行う際に、通信相手側のエンティティに固有の識別子に、各エンティティが保持する自己の前記個人鍵を作用させて生成する。このように各ェンティティに固有の識別子を、各エンティティに共通で且つ該セン夕一のみが保持するセンターアルゴリズムにより変換して生成された各ェンティティに固有の個人鍵を各エンティティに前記センタ一から配付しておき、通信に際して、通信相手側のェンティティの識別子を自己の個人鍵に作用させるだけで、エンティティ同士の共通の暗号鍵を生成するシステムでは、前述の如く、暗号鍵や通信データの解読が困難なものとなることから、前記個人鍵ゃセン夕一アルゴリズムの解読も困難なものとなる。このため、喑号通信システムの全体的な安全性も確保することができる。

尚、前記識別子は、各エンティティの氏名、住所等の他、ネットワーク上のメ —ルアドレス、ドメイン名、あるいはそれらを組み合わせたもの等、各ェンティティに対して固定的に用いられ、且つ少なくとも通信相手に対して公開性のあるものであればよい。

この場合、各エンティティの識別子として例えば氏名を用いると、一般に該識別子の分散性が悪く（識別子の値の分布の偏りを生じやすい）、ひいては、該識別子を前記セン夕ーァルゴリズムにより変換して生成される前記個人鍵にも類似のものが多数現れやすい。このため、所謂、差分攻撃によって、他人の個人鍵や前記センタ一アルゴリズムが解読される虞れがある。

そこで、本発明では、前記センターアルゴリズムは、前記各エンティティの識別子を積分変換する積分変換アルゴリズムを含むと共に、各エンティティには、前記個人鍵と前記積分変換ァルゴリズムとが前記セン夕一からあらかじめ配付されており、前記共通の暗号鍵は、通信相手側のエンティティの識別子に、各ェンティティが保持する自己の前言己積分変換ァルゴリ厶及び個人鍵を作用させて生成する。このように各エンティティの個人鍵を、各エンティティの識別子に前記積分変換アルゴリズムを含むセンターアルゴリズムを施して生成することで、識別子に前記積分変換了ルゴリムが作用してなるデータの分散性が高まり、ひいては前記個人鍵の分散性が高まる。これにより、該個人鍵や前記センタ一アルゴリ厶の差分攻撃等による解読が困難なものとなり、暗号通信システム全体の安全性を高めることができる。そして、この場合、前記個人鍵には、前記積分変換アルゴリズムに基づく成分が含まれてレ、るので、通信相手側のェンティティの識別子に、前記個人鍵だけでなく、該個人鍵と共に各エンティティにあらかじめ配付される前記積分変換アルゴリムをも作用させることで、前記センターアルゴリズムの積分変換アルゴリズムを除くアルゴリズム部分（この部分は前述の対称性を有するものとする）によって、エンティティ同士の喑号鍵を生成することができる。このように前記セン夕一アルゴリズムに積分変換アルゴリズムを含めた本発明では、前記積分変換アルゴリズムとしては、フーリエ変換（高速フーリエ変換を含む）、ラプラス変換、ミラー変換、ヒルベルト変換等が挙げられ、これらのいずれの積分変換を用いることも可能であるが、これらの積分変換は解析学的な無限区間上で定義されたものである。これに対して、本発明において積分変換アルゴリズムを施す識別子は、有限区間上で表されるもの（例えば有限環上の剰余類 ) であるため、コンピュータ等を用いて識別子のデータを積分変換したとき、変換結果の異常分散（エイシァリング）が生じやすい。

そこで、本発明では、好ましくは前記積分変換アルゴリズムは重み関数付きの積分変換アルゴリズムを用いる。このように、識別子に積分変換を施すに際して、重み関数を付加することで、上記の異常分散を防止することができる。さらに、該重み関数は、異常分散を防止できるものであれば任意に設定することができるので、この重み関数を付加した積分変換アルゴリズ厶を含むセンターアルゴリズムにより識別子を変換して成る前記個人鍵には、該重み関数に基づく未知の成分が付加されることとなる。その結果、該個人鍵や秘密アルゴリズムの解読がより一層困難となって、本発明を適用した暗号通信システムの安全性をさらに高めることができることとなる。

このように重み関数を付加する場合、該重み関数は、基本的には識別子のデ一夕の区間の端側で、値が「0」に近づくように設定するのであるが、この場合、本発明の第 1の態様では、さらに、該重み関数は前記センターにおいて生成された乱数データにより予想のつかないパターンに決定し、より好ましくは、該乱数データとして一回性の乱数データを用いる。ここで、乱数デ一夕による重み関数の決定は、前記乱数データによって、識別子のデ一夕の区間における重み関数の値の変化度合い（区間の端側で「0」に近づく形態）を決定することで行われる _c このように重み関数を舌し数デー夕によつて予想のつかないパターンに決定しておくことで、攻撃者にとっては、該重み関数を予測しづらくなり、本発明を適用した暗号通信システムの安全性を高めることができる。特に、一回性の乱数デ一夕により重み関数を決定したときには、該乱数デー夕の再現性が排除されるので、さらにシステムの安全性が高まる。

前述の如く、前記積分変換アルゴリズムは、各種のものを適用できるが、特に、本発明では該積分変換ァルゴリズムとしてフーリェ変換ァルゴリズムを用いることが好ましい。すなわち、該フーリエ変換は、コンピュータを用いて迅速且つ容易に行うことができる積分変換であり、また、一般に変換結果の分散化が生じやすい。従って、このようなフーリエ変換アルゴリズムを積分変換アルゴリズムとして用いることで、識別子から前記個人鍵を迅速且つ容易に生成することができるようになると同時に、個人鍵の分散性が効果的に高まって、暗号通信システムの安全性を頭著に高めることができる。

また、前述の如く、前記センターアルゴリズムに積分変換アルゴリズムを含めた本発明では、さらに好ましくは、前記セン夕一は、前記各エンティティの識別子を前記セン夕一アルゴリズムにより変換したものに、さらに各エンティティに固有の一回性の個別乱数デー夕によりランダマイズ変換を施して前記個人鍵を生成すると共に、該個人鍵に含まれる前記ランダマイズ変換の成分を打ち消すためのァルゴリズ厶と前記積分変換アルゴリズムとからなる識別子変換アルゴリズ厶を前記個人鍵と共に各エンティティに配付しておき、前記共通の暗号鍵は、通信相手側のェンティティの識別子に、各エンティティが保持する自己の前記識別子変換アルゴリズ厶及び個人鍵を作用させて生成する。

ここで、前記ランダマイズ変換は、前記識別子を前記センタ一アルゴリズムにより変換したものを表すデータ列の各ビットの値を前記個別乱数データにより変更し、あるいは、該データ列を配置変換し、もしくは、それらを組み合わせて処理することで行われるものである。

これによれば、前記個人鍵には、前記センターアルゴリズムに加えて、前記ランダマイズ変換による成分が含まれることとなる。そして、このとき、該ランダマイズ変換は、その変換を各エンティティに固有で且つ各エンティティには不知の一回性の個別乱数デ一夕（再現性がなく、もしくは再現性に極めて乏しい乱数データ）により行うため、各エンティティの個人鍵毎に、各別の偶然的な成分が含まれることとなる。その結果、暗号通信システムの種々の攻撃に対する安全性をより一層強固なものとすることができる。

尚、この場合、通信に際して、相手側のエンティティの識別子に作用させる個人鍵には、各エンティティ毎に各別の前記ランダマイズ変換による成分が含まれている。このため、それを打ち消すためのアルゴリズムと前記積分変換アルゴリズムとからなる識別子変換ァルゴリズムを前記個人鍵と共に各ェンティティに配付しておき、通信に際しては、相手側のエンティティの識別子に該識別子変換ァルゴリズム及び個人鍵を作用させることで、通信を行うエンティティ同士で共通の暗号鍵を生成することができる。

このようにランダマイズ変換を行う場合、該ランダマイズ変換は、例えば前記各エンティティの識別子を前記センターアルゴリズムにより変換したものを表すデータ列を前記一回性の個別乱数データにより配置変換することにより行うことができる。

さらに好ましくは、前記各エンティティの識別子を前記センターアルゴリズムにより変換したものを表すデータ列は複数の不要ビットを含み、前記ランダマイズ変換は、該不要ビットの値を前記一回性の個別乱数データによりランダム化し、さらに該不要ビットを含む前記データ列の全体を配置変換することにより行う。このように各ェンティティの識別子を前記セン夕一アルゴリズムにより変換したものを表すデータ列の不要ビッ卜の値を前記一回性の個別乱数データによりランダム化し、さらに該不要ビットを含む前記データ列の全体を配置変換することで、攻撃者（暗号通信システムの解読者）にとつては、獲得したデータのどこに不要ビットに対応する部分があり、また、どこに必要なデータがあるかが判らなくなり、暗号通信システムの安全性が高まる。

また、前記ランダマイズ変換を行うための前記一回性の個別乱数データは、前記各エンティティの所定の処理に基づき生成し、より具体的には、前記所定の処理は前記各ェンティティの人間による入力操作であり、その入力操作の時間的夕ィミングに基づき前記一回性の個別乱数データを生成する。

このように、各エンティティの人間による入力操作（例えばある文章や語句を入力する操作）の時間的タイミングに基づき乱数データを生成することで、その乱数デ一夕は、再現性がなく、もしくは再現性に極めて乏しいものとなり、前記一回性の個別乱数デ一夕を的確に生成することができる。

また、本発明では、前述のように積分変換アルゴリズムを用いる場合の他の態様として、前記各エンティティには、あらかじめ前記ネットワークに設けられたセンタ一が各ェンティティに固有の識別子を各ェンティティに共通で且つ該セン夕一のみが保持するセンターアルゴリズムにより変換したものに、各ェンティティに固有の一回性の個別乱数データによりランダマイズ変換を施して生成された各ェンティティに固有の個人鍵と、該個人鍵に含まれる前記ランダマイズ変換の成分を打ち消すアルゴリズムを含む識別子変換アルゴリズムとが前記センタ一からあらかじめ配付されており、前記共通の暗号鍵は、通信相手側のエンティティの識別子に、各エンティティが保持する自己の前記識別子変換アルゴリズム及び個人鍵を作用させて生成する。

かかる本発明によれば、前記各エンティティの個人鍵は、前記センターにおいて、各エンティティの識別子を前記センターアルゴリズム（これは前述の対称性を有する部分を含むものとする）により変換したものに、各エンティティに固有で且つ各エンティティには不知の一回性の個別乱数データ（再現性がなく、もしくは再現性に極めて乏しい舌し数データ）に基づくランダマイズ変換を施して生成されるので、各エンティティの個人鍵毎に、各別の偶然的な成分が含まれることとなる。その結果、該個人鍵や前記センタ一アルゴリズムの解読が困難なものとなり、暗号通信システム全体の種々の攻撃に対する安全性を高めることができる。そして、この場合は、前述で説明した場合と同様に、各エンティティの個人鍵には、各エンティティ毎に各別の前記ランダマイズ変換による成分が含まれて、るため、それを打ち消すためのアルゴリズムを含む前記識別子変換アルゴリズムを前記個人鍵と共に各エンティティに配付しておき、通信に際して、相手側のェンティティの識別子に、前記識別子変換アルゴリズム及び個人鍵を作用させることで、エンティティ同士で共通の暗号鍵を生成することができる。

かかる本発明では、前述の場合と同様に、前記ランダマイズ変換は、前記各ェンティティの識別子を前記セン夕一アルゴリムにより変換したものを表すデ一夕列を前記一回性の個別乱数デ一夕により配置変換することにより行うことができる。そして、より好ましくは、前言己各エンティティの識別子を前記センタ一アルゴリズムにより変換したものを表すデータ列は複数の不要ビットを含み、前記ランダマイズ変換は、該不要ビッ卜の値を前記一回性の個別乱数データによりランダム化し、さらに該不要ビットを含む前記デ一夕列の全体を配置変換することにより行う。これにより、本発明を適用した暗号通信システムの安全性をより高めることができる。

また、前記一回性の個別乱数データは、前記各エンティティの所定の処理に基づき生成し、より具体的には、前記所定の処理は前記各エンティティの人間による入力操作であり、その入力操作の時間的タイミングに基づき前記一回性の個別乱数データを生成する。これにより、前記一回性の個別乱数データを的確に生成することができる。図面の簡単な説明

図 1は本発明の共通鍵通信方法の一実施形態を適用した暗号通信システムの全体構成を示す図、図 2は図 1のシステムの基本構造を概念的に説明するための図、図 3は図 1のシステムにおける処理手順の概要を説明するためのフロー図、図は図 3の手順 1における処理の詳細を示すフロー図、図 5は図 3の手順 2における処理の詳細を示すフロー図、図 6は図 3の手順 3及び手順 4における処理の詳細を示すフロー図、図 7は図 3の手順 3及び手順 5における処理の詳細を示すフロー図、図 8は図 6及び図 7の処理を行うためのコンピュータマシンの構成を示すプロック図である。発明を実施するための最良の形態

本発明の一実施形態を図 1乃至図 8を参照して説明する。まず、図 1及び図 2 を参照して本実施形態の共通鍵通信方法を適用した暗号通信システムの概要を説明する。

図 1を参照して、本実施形態では暗号通信システムの基本的な構築主体であるセンター 1と、その暗号通信システムに加入して相互に暗号通信を行う複数のェンティティ 2とがイン夕一ネット、パソコン通信網等のネットワーク 3を介して相互に通信可能とされている。これらのセンター 1及び各エンティティ 2は、図示を省略するが、実際の通信やデータ処理を行うためのパソコン等のコンピュー夕マシンや、該コンピュータマシンの使用者を包含している。

このようなネットワーク 3上で構築された本システムでは、図 2に示すように、センター 1に加入した各エンティティ 2 (図 2では各エンティティ 2を参照符号 j， …により示している）は、それぞれに対応した固有の識別子 y i ， y j ， … （詳細は後述する）を有する。この場合、 i≠ jならば、 y i ≠y j である。そして、各エンティティ 2 ( i , j， …）には、それぞれの識別子 y i , y j ， … （以下、必要に応じて識別子 yn と総称する）に基づきセンタ一 1により生成された各エンティティ 2に固有の個人鍵 Xi ， Xj , … （詳細は後述する。以下、必要に応じて個人鍵 Xn と総称する）があらかじめセン夕一 1から与えられる。さらに、任意のエンティティ i， j同士で暗号通信を行う際には、その通信データの暗号化（送信側）及び復号化（受信側）を行うための共通の暗号鍵 K Πがそれぞれのエンティティ i , j毎に各別に各エンティティ i , jの個人鍵 X i , X〗を用いて生成され、その共通暗号鍵 KUを用いてエンティティ i， j間での暗号通信が行われる。

ここで、本実施形態のシステムをさらに詳説する前に、前記識別子 yn について説明しておく。本実施形態では、各エンティティ 2の識別子 yn は、各ェンティティ 2の氏名、住所、メールアドレス、ドメイン名、あるいはこれらを組み合わせたもの等、各エンティティ 2に固有のものであり、しかも、公開性のあるものを使用する。尚、センター 1や各エンティティ 2のコンピュータマシンにおける識別子 yn の実際の取り扱い上では、各識別子 yn は、それを例えば有限環上の剰余類でコード化してなるべクトルデータとして扱われる。

上記のような暗号通信を行うための本実施形態のシステムを、以下に図 3乃至図 8を参照して詳説する。

図 3を参照して、本実施形態のシステムでは、センター 1による前記個人鍵 X n等の生成及び配付等の事前準備処理を経た後、個々のエンティティ i， j間での喑号通信が行われる。前記セン夕一 1による事前準備処理では、センタ一 1はその設立時、あるいはシステムの更新時に、まず、各エンティティ 2の前記個人鍵 Xn を生成するための基本となるセンターアルゴリズムを生成する（手順 1 ) 。

このセンターアルゴリズムは、本実施形態ではセンター行列と、重み関数と、積分変換ァルゴリズムとにより構成されている。

ここで、前記積分変換アルゴリズムは、各エンティティ 2の識別子 y n のデー夕を積分変換するためのアルゴリズムであり、本実施形態では、積分変換アルゴリズムとしてフーリエ変換（詳しくは高速フーリエ変換）を使用する。この種のフーリエ変換としては、複数種のものが知られており、そのうちの一種類をセンター 1で選択して、本実施形態で使用するフーリェ変換アルゴリズムを生成する。尚、該フーリエ変換アルゴリズムは、実際上は、識別子 y n のデ一夕に作用させる行列として表現される。

また、重み関数は、有限区間のデータである識別子 y n をフーリエ変換する際の異常分散（エイシァリング）を防止するためのものであり、識別子 y n のデー夕の区間の端点側で値が「0」に近づくような関数である。さらに、センター行列は、対称行列であり、より詳しくは非特異な対称行列である。

この場合、前記重み関数及びセンタ一行列は、一回性の乱数データを用いて生成する。すなわち、図 4を参照して、重み関数及びセンター行列を生成する際には、センタ一 1はまず、セン夕一 1のコンピュータマシンにおけるオペレータの人為的操作に基づき乱数デ一夕を生成する（手順 1 一 1 ) 。具体的には、例えばオペレータがセンター 1のコンピュータマシンに対して適当な語句や文章等を入力し、この際の入力タイミング（例えば各単語の入力時刻や各単語の入力の時間間隔）をコンピュータマシンで逐次計測する。そして、その計測した入カタイミングに基づき乱数データを時系列で生成する。このようにして生成される乱数デ一夕は、あいまいさを有する人為的な入力操作のタイミングに基づいて生成されるため、事実上、再現性の無い偶然的なものとなり、これにより一回性の乱数デ一夕が生成される。

そして、このように一回性の乱数データを生成した後、センタ一 1は、その生成した一回性の舌し数データに基づき、前記重み関数とセンター行列とを決定する (手順 1 一 2 )。この場合、重み関数の決定は、上記の一回性乱数データによつて、識別子 y n のデータの区間における重み関数の値の変化度合い（区間の端側で「0」に近づく形態）を決定することで行われ、これにより該重み関数が予想のっかないパターンに決定される。尚、該重み関数は、実際上は、対角行列として表現される。また、センター行列の決定は、その対称性及び非特異性を確保しつつ該行列の成分の値を前記一回性の乱数データによって決定することで行われる。

以上のように生成されたセンター行列、重み関数及び積分変換アルゴリズムから成るセン夕一アルゴリズムは、センター 1において秘密裏に保管され、特に、センター行列及び重み関数は、センター 1の特定者以外の第三者（各ェンティティ 2等を含む）が参照することができないように厳重に保管される。尚、これらのセンターアルゴリズムは各エンティティ 2に対して共通のものである。

図 3に戻って、次に、センター 1は、各エンティティ 2 ( i， j…… ) がシステムに加入したとき、前述の如く生成されて保管されたセン夕一アルゴリズムゃ各エンティティ 2の識別子 y n等を用いて、各エンティティ 2に固有の個人鍵 X n と、これと合わせて後述の如く共通暗号鍵 Ki jを生成するための識別子変換ァルゴリズムとを生成して各エンティティ 2に配付する（手順 2 )。

さらに詳細には、図 5を参照して、この手順 2では、センター 1は、ェンティティ 2の識別子 y nのデータ（べクトルデータ）に前記フーリエ変換アルゴリズム及び重み関数の行列を作用させることで、該識別子 y n に重み付き高速フーリェ変換を施す（手順 2— 1 ) 。さらに、この手順 2— 1により得られたベクトルデ一夕に前記センター行列を乗算する（手順 2— 2 ) 。この場合、前記識別子 y n のデータに冗長性をもたせておくことで、手順 2— 2により得られるベタトルデータには、識別子 y n のデータとして意味のあるビット列に前記重み関数、積分変換アルゴリズム及びセンタ行列を作用させてなる複数の有用ビットと、それ以外の複数の不要ビットとが現れる。

—方、センター 1は、エンティティ 2との通信（例えばエンティティ 2の加入手続き等の際の通信）によって、該エンティティ 2に固有で、しかもェンティティ 2には判らないような一回性の個別乱数データを生成する（手順 2— 3 ) 。具体的には、前述の如く重み関数等を決定する際に一回性の乱数データを生成した場合と同様に、エンティティ 2のコンピュータマシン上で、その使用者にある語句もしくは文章を入力させ、それをセンター 1側で逐次受信することで、該ェンティティ 2の人為的な入力操作のタイミングをセンター 1のコンピュータマシンにより計測する。そして、その計測した入力操作のタイミングに基づいて前記個別乱数デ一夕を生成する。このようにして個別乱数データを生成することで、その個別乱数デ一夕は、重み関数等の生成時の乱数データと同様に、再現性のない偶然的なものとなると共に、エンティティ 2に固有のものとなり、これにより一回性の個別乱数データが得られる。尚、エンティティ 2は、どのような入力操作のタイミングでどのような舌し数データが生成されるかは判らず、また、その人為的な入力操作のタイミングを正確にコントロールすることはできないので、前記個別乱数データをエンティティ 2が知ることはできない。

次いで、センター 1は、前記手順 2— 2で得られたベクトルデータのうちの前記不要ビットの各ビット値を手順 2— 3で得られた一回性の個別乱数デ一夕によつてランダム化する（手順 2— 4 ) 。さらに、そのランダム化した不要ビッ卜と前記有用ビットとを合わせたべクトルデータを上記一回性の個別乱数データによつて、ランダムに配置変換し（ベクトルデータの成分の配列を変更する。手順 2 一 5 ) 、これにより手順 2— 2で得られたベクトルデータ（識別子 y n をセン夕一アルゴリズムにより変換したもの）をランダマイズ変換する。そして、このランダマイズ変換により得られたベクトルデータをエンティティ 2の個人鍵 Xn として生成する。尚、上記ランダマイズ変換は、実際上は行列（対称行列とは限らない）で表され、より詳しくは該行列の転置行列と逆行列とが等しくなるような行列で表される。

また、セン夕一 1は、前記一回性の個別乱数データと前記フーリエ変換アルゴリズム及び重み関数とから、前記識別子変換アルゴリズムを生成する（手順 2 - 6 ) 。この識別子変換アルゴリズムは、前記個人鍵 Xn に反映されている前記ランダマイズ変換の成分を打ち消すためのアルゴリズム（これはランダマイズ変換を表す行列の逆行列により表される）と、前記フーリエ変換アルゴリズム及び重み関数とを合成（それぞれを表す行列同士を乗算）したものである。このようにしてセンター 1によって生成された各エンティティ 2に対応する個人鍵 Xn と識別子変換アルゴリムとが各エンティティ 2に通信等により事前に配付される（図 3の手順 2を参照）。以上説明した内容がセンター 1における事前準備処理の詳細である。

尚、セン夕 1は前述のように各エンティティ 2の個人鍵 Xn や識別子変換アルゴリズムを生成した後には、そのエンティティ 2に対応する前記一回性の個別乱数データや前記ランダマイズ変換を表す行列は保管せずに消去する。また、自身の個人鍵 Xn及び識別子変換アルゴリムを受け取った各エンティティ 2は、それらを自身のコンピュータマシンの適宜の記憶装置に秘密裏に保管する。

図 3に戻って、前述のような事前準備処理が行われた後、任意のエンティティ 2間で、次のように暗号通信が行われる。尚、ここでは、各エンティティ 2のうち、エンティティ i , j ( i≠ j ) 間で、エンティティ iを送信側、ェンティティ J 'を受信側として暗号通信を行うものとする。

この暗号通信では、送信側のエンティティ iは、まず、自身が保持する前記個人鍵 Xi 及び識別子変換アルゴリズムと、受信側のエンティティ jの識別子 y j とからエンティティ j との共通暗号鍵 K を生成する（手順 3 ) 。

さらに詳細には、図 6を参照して、まず、受信側のエンティティ jの識別子 y j に、送信側エンティティ iのコンピュータマシン上で該エンティティ iの識別子変換アルゴリズムを作用させる（識別子 y j のベクトルデータに識別子変換ァルゴリズムの行列を乗算する。手順 3— 1 ) 。次レ、で、この手順 3 - 1により得られるベクトルデ一夕と、送信側エンティティ iの個人鍵 X i (ベクトルデータ

) との内積を演算することで、エンティティ jとの共通暗号鍵 Ki jを生成する（手順 3 - 2 ) 。

同様にして、受信側のエンティティ jは、図 7に示すように自身のコンビユー夕マシン上で自身の識別子変換アルゴリズ厶を送信側のェンティティ iの識別子 y i に作用させ（手順 3— 1 ) 、さらにその結果に得られるベクトルデータとェンティティ jの個人鍵 Xj との内積を演算する（手順 3— 2 ) ことで、ェンティティ i との共通暗号鍵 Kj iを生成する。

このとき、送信側エンティティ iで独自に生成される共通暗号鍵 Κ と受信側 jで独自に生成される共通暗号鍵 Kjiとは同一となる。

すなわち、送信側及び受信側の各エンティティ i, j力それぞれ保持している個人鍵 Xi，は、それぞれ、各エンティティ i, jの識別子 yi， yj に、前述の重み関数付きのフーリエ変換アルゴリズム、センター行列及びランダマィズ変換を作用させてなるベクトルデータであり、また、各エンティティ i， j がそれぞれ共通暗号鍵 Kij, ΚΠを生成するに際して、相手側のエンティティ j , iの識別子 yj , yi に作用させる前記識別子変換アルゴリズムは、重み関数付きのフーリエ変換アルゴリズムと、各個人鍵 Xi , Xj に反映されている各ェンティティ i， j毎のランダマイズ変換の成分を打ち消すアルゴリズムとを合成したものである。

このため、前記手順 3 - 2で行う内積演算では、各エンティティ i, j毎のランダマイズ変換の影響が排除され、該内積演算の結果として得られる各共通暗号鍵 Kij， Kjiは、各エンティティ i， jの識別子 yi , yj に重み関数付きのフーリェ変換アルゴリズムを施したものに、さらにセンター行列を作用させたもの (べクトルデータ）と、通信相手側のエンティティ j, iの識別子 yj , yi に重み関数付きフーリエ変換アルゴリズムを施したもの（ベクトルデータ）との内積を演算してなる結果に等しい。すなわち、識別子 yi , yj に重み関数付きのフーリエ変換アルゴリズムを施してなるベクトルデータをそれぞれ yi', y j' ( 但し yi'， yj'は縦ベクトルとする）とおき、またセンター行列を Cとすると、 Kij= (yj') ^τ · C · yi'、 Kji= (yi') ^τ · C · yj'である（但し、式中の添え字 Tは転置を意味する）。

そして、前述したようにセンタ一行列 Cは対称行列であるから、明らかに Kij = Kjiとなる。従って、各エンティティ i, jでそれぞれ別個に生成される共通暗号鍵 Kij, Kjiは一致し、これにより両エンティティ i， jが共通の暗号鍵を共有することができることとなる。

一方、図 3の手順 3において前述の如く受信側エンティティ jとの共通暗号鍵 Kijを生成した送信側エンティティ iは、その共通暗号鍵 ΚΠや受信側ェンティティ jに送信しょうとする平文（文章、プログラム等）等から暗号通信電文を生成する（手順 4)。この場合、該喑号通信電文の生成に際しては、共通暗号鍵 K ijの他、一回性の乱数データも使用する。

さらに詳細には、図 6を参照して、暗号通信電文を生成するに際しては、前述したセンタ一 1における事前準備処理の場合と同様にして、送信側エンティティ iは自身のコンピュータマシンにぉレ、て語句や文章等の入力操作の時間的夕ィミングに基づき一回性の乱数データ（以下、暗号通信用乱数データという）を生成しておき（手順 4一 1 ) 、この一回性の暗号通信用乱数データを、前記共通暗号鍵 Ki jを本来の鍵として暗号化する（手順 4— 2 ) 。この場合、この暗号化は、例えば 3段構成の D E S (Data Encryption Standard) により行われる。

また、手順 4一 1で生成した一回性の暗号通信用乱数データ（暗号化前のもの ) を鍵として平文を暗号化する（手順 4一 3 ) 。この暗号化は、例えば手順 4一 2と同様に 3段構成の D E Sにより行う。

そして、手順 4一 2により得られた暗号化乱数デ一夕と手順 4 一 3により得られた暗号文とを合わせる（1セッ卜にする）ことで、受信側エンティティ jに送信すべき暗号通信電文が生成される。このようにして生成された暗号通信電文はエンティティ iのコンピュータマシンからエンティティ jのコンピュータマシンに送信される。

尚、前記暗号通信用乱数データは、暗号通信を行う都度、生成して更新することが好ましいが、暗号通信を数回行う毎に、該暗号通信用乱数デ一夕を更新する (該数回分の暗号通信では同じ暗号通信用乱数デー夕を使用する）ようにしてもよい。

一方、上記暗号通信電文を受信した受信側エンティティ jは、前述の如く生成したエンティティ iとの共通暗号鍵 Kj i (= Ki j) を用いて暗号通信電文を復号し、最終的に前記平文を得る（手順 5 ) 。

すなわち、図 7を参照して、まず、エンティティ iとの共通喑号鍵 Kj i ( = K i j) を本来の鍵として使用することで、エンティティ iから受信した暗号通信電文のうちの暗号化乱数データを暗号通信用乱数データに復号する（手順 5— 1 ) 。次いで、その復号化された暗号通信用乱数デ一夕を鍵として使用することで、暗号通信電文のうちの暗号文を平文に復号する（手順 5— 2 ) 。これにより、最終的に受信側エンティティ jはエンティティ iからの所望の平文の內容を知ることとなり、エンティティ i ， j間での暗号通信が完結する。

前述のような暗号通信のための処理を行う各エンティティ 2のコンピュータマシンは、それを構成的に示すと例えば図 8のプロック図に示すように構成されている。

すなわち、各エンティティ 2のコンピュータマシンは、キーボード 4と、図示しない C P U、 R AM, R OM等により構成された本体部 5と、前記個人鍵 Xn 及び識別子変換アルゴリズム、文章、プログラム等の平文、並びに暗号通信電文等を記憶保持するハードディスク等により構成されたデータベース 6とを具備する。そして、本体部 5には、その機能的構成として、共通暗号鍵を生成する共通鍵生成部 7と、通信データの暗号化 ·復号化処理を行う暗号復号処理部 8と、暗号通信用乱数データを生成する乱数生成部 9と、暗号通信に際して共通鍵生成部 7により生成された共通暗号鍵や乱数生成部 9により生成された暗 ^ii信用乱数データ等のデ一夕を格納するデータ格納メモリ 1 0とが備えられている。

このような構成を具備する各エンティティ 2のコンピュータマシンは、次のような作動によって、前述のような暗号通信のための処理が行われる。

すなわち、送信側及び受信側のいずれのコンピュータマシンにおいても、共通暗号鍵を生成する際には（前記手順 3 ) 、まず、使用する前記個人鍵 Xn及び識別子変換アルゴリズムがキーボード 4により本体部 5に指定され、その指定された個人鍵 Xn及び識別子変換アルゴリズムが前記データベース 6から本体部 5の共通鍵生成部 7に取り込まれる。さらに、キーボード 4により、通信相手側の識別子 y nが本体部 5に入力される。そして、該本体部 5の共通鍵生成部 7は、入力された識別子 y n のデータに前述の如く識別子変換アルゴリズム及び個人鍵 X n を作用させることで共通暗号鍵を生成し（前記手順 3— 1 , 3— 2 ) 、その生成された共通暗号鍵がデータ格納メモリ 1 0に記憶される。

また、送信側のコンピュータマシンでは、キーボード 4により、前記暗号通信用乱数デ一夕を生成するためのデータ（語句や文章等の入力操作データ）が本体部 5に入力される。そして、該本体部 5の乱数生成部 9はその入力されたデ一夕に基づき、前述の如く一回性の暗号通信用乱数データを生成し（前記手順 4 一 1 ) 、その生成された暗号通信用乱数データがデータ格納メモリ 1 0に記憶される c さらに、送信側のコンピュータマシンでは、データベース 6内の送信すべき平文がキ一ボード 4から本体部 5に指定され、このとき、指定された平文がデ一夕ベース 6から暗号復号処理部 8に取り込まれる。そして、該暗号復号処理部 8は、デ一夕格納メモリ 1 0に記憶された喑信用乱数データを、同じくデータ格納メモリ 1 0に記憶された共通暗号鍵を使用して暗号化する（前記手順 - 2 ) と共に、その暗号化乱数データを鍵として前記平文を暗号化する（前記手順 4— 3 ) 。このようにして喑号復号処理部 8により喑号化された暗号通信用乱数デ一夕及び平文は、それらを一括して成る暗号通信電文としてデ一夕べ一ス 6に保持された後、別途、通信相手側のコンピュータマシンに送信される。

—方、上記暗号通信電文を受信した受信側のコンピュータマシンでは、該暗号通信電文がデータベース 6に保持され、それが喑号復号処理部 8に取り込まれる。そして、暗号復号処理部 8は、デ一夕格納メモリ 1 0に記憶されている共通暗号鍵を用レ、て暗号通信電文内の暗号化乱数デー夕を暗号通信用乱数デ一夕に復号し（前記手順 5— 1 ) 、さらにその復号化した暗号通信用乱数データを鍵として、暗号通信電文内の暗号化平文を元の平文に復号する（前記手順 5 2 ) 。このようにして暗号復号処理部 8により暗号化された平文はデー夕ベース 6に保持される。

以上説明したように構築されている本実施形態のシステムでは、センタ一 1で各エンティティ 2の個人鍵 Xn を生成する際（事前準備処理）には、各ェンティティ 2の名前等の識別子 y n に積分変換としてのフーリ変換のアルゴリズムを作用させるため、識別子 y n 自体に類似のものが多くあっても、それをフーリエ変換してなるデータの分散性が良くなり、ひいてはそのデ一夕にセンタ一行列等を施して成る個人鍵 Xn の分散性も高めることができる。その結果、所謂、差分攻撃等によるセン夕一 1のセンタ一行列等のセン夕一アルゴリズムの解読を困難なものとすることができる。

この場合、上記の積分変換としては、フーリエ変換の他、ラプラス変換、ミラ —変換、ヒルベルト変換等を使用することも可能であるが、本実施形態ではフーリエ変換（くわしくは高速フーリエ変換）を使用しているため、上記のような分散性の向上を顕著に奏することができると同時に、識別子 y n にフーリエ変換を施す演算処理をコンピュータマシンを用レ、て高速で行うことができる。

また、個人鍵 Xn を生成する際には、セン夕一アルゴリズムとして重み関数を付加するため、有限区間上の識別子 y n のデータをフーリエ変換してなるデ一夕の異常分散を防止することができると同時に、センターァルゴリズムを解読しようとする攻撃者にとっては、センタ一行列やフーリエ変換アルゴリズム等の他、重み関数という未知のァルゴリズム要素が増えるため、センターアルゴリズムの解読をさらに困難なものとすることができる。特に、該重み関数が、一回性の乱数デー夕に基づレ、て予想のつかない形状に生成されているため、上記の解読の困難性をより確実に確保することができる。

さらに、個人鍵 Xn を生成する際には、センターアルゴリズムの他、各ェンティティ 2に固有の一回性の個別乱数データに基づくランダマイズ変換をも付加するため、各エンティティ 2の個人鍵 Xn には、各エンティティ 2毎に各別で、し力、も相互に相関性のないランダマイズ変換に基づく成分が含まれることとなる。このため、例えば複数のエンティティ 2力結託して、各々が保持する個人鍵 Xn からセン夕一アルゴリズム等を解読しょうとしても、その解読を行うことは極めて困難なものとなる。この場合、特に、前記ランダマイズ変換では、識別子 y n にフ一リェ変換、重み関数及びセン夕一行列を作用させてなるデータのうちの、不要ビットの値を一回性の個別乱数データによりランダム化した上で、該不要ビッ卜と有用ビッ卜とを合わせて配置変換を行うので、このランダマイズ変換により得られる個人鍵 Xn のデータのうちのどの部分に不要ビッ卜に対応するものが含まれているのかが判らず、上記の解読がより一層困難なものとなる。また、その解読者にとっては、本実施形態のシステムを完全に破るためには、個人鍵 Xn 等のデータから、セン夕一行列、重み関数、フーリエ変換（積分変換）、及びランダマィズ変換の 4種類ものアルゴリズムを解読しなければならないこととなり、このような解読は事実上、不可能なものとなる。

尚、本実施形態のシステムでは、暗号通信の際に共通暗号鍵を生成するためには、個人鍵 Xn に反映されている前記ランダマイズ変換による成分を打ち消すためのアルゴリズ厶を含む前記識別子変換アルゴリズ厶を個人鍵 Xn と共に各ェンティティ 2に配付しておく必要がある。しかるに、該識別子変換アルゴリズムは、ランダマイズ変換による成分を打ち消すためのァルゴリズムとフーリェ変換ァルゴリムと重み関数とを合成したものであるため、該識別子変換ァルゴリズムからセンタ一 1のセンターアルゴリズムを構成するランダマイズ変換のァルゴリズムゃ重み関数、フーリェ変換アルゴリズムを個々に解読することも極めて困難である。

従って、本実施形態のシステムによれば、そのシステムの安全上、最も重要なセンター 1のセンターアルゴリズムを各エンティティ 2の個人鍵 Xn等から解読することは事実上、不可能である。

また、任意のエンティティ i , j間で暗号通信を行う際には、平文そのものを共通暗号鍵 K i jを用いて暗号化するのではなく、該平文は偏った特徴性をもたない一回性の暗号通信用乱数データを鍵として暗号化すると共に、その暗号化平文を復号するための鍵としての暗号通信用乱数デー夕を共通暗号鍵 K i jを用いて喑号化するようにしたため、暗号化された通信データを第三者が傍受しても、その通信データから共通暗号鍵 K i jを解読することは困難である。そして、該共通暗号鍵 K i jを解読することが困難であるため、該共通暗号鍵 Ki jに含まれる各ェンティティ 2の個人鍵 Xn の情報、さらには該個人鍵 Xn に含まれるセンターアルゴリズムの情報を第三者が取得することも困難である。また、前記平文にあっては、暗号通信用乱数データを鍵として暗号化されるので、該平文の機密性も確保される。

従って、本実施形態によれば、種々の攻撃に対して安全性の高い暗号通信システムを提供できる。そして、任意のエンティティ i， j間での暗号通信に際しては、各エンティティ i , jは自己の個人鍵 X i , X j 及び識別子変換アルゴリズムを、相手側の識別子 y j , y i に作用させるだけで、センター 1の関与ゃェンティティ i , j同士での事前連絡等を伴うことなく共通喑号鍵 Ki jを生成して共有することができるので、安全性が高いだけでなく、簡易で汎用性の高い暗号通信システムを提供できる。尚、上記のように共通暗号鍵 Ki jを生成する上で、識別子 ynが重要な役割を演じる点は、 A. Shamirによる論文 Γ identi ty-Based Cry ptosystems and Signature Schemes/Advances in Cryptology :Proceeding of C RYPTO ' 84 /Springer LNCS 196, 1985, pp.47-53 j に見られる考え方と同様である。

次に、本実施形態のシステムのより理論的な有効性について説明する。

本システムでは、各エンティティ 2の個人鍵を演算し、さらに共通暗号鍵を算出する演算は線形変換に基づレ、て行われ、この線形変換につし、て以下説明する。まず、 X ifを f 人のエンティティ 2間で共通暗号鍵を生成する際にェンティティ iの個人鍵とする。このとき、上記の線形変換を構築するための一般的な考え方は、 f 入力対称変換 g ( f 個の変数の関数で、対称性を有するもの）を任意に選択し、エンティティ iの個人鍵 Xifを、エンティティ iの識別子 y i に対して X if C ^ ……，ト！） = g ( y i, い……， _f— , ) を満たすような f — 1 入力変換として決定することである。ここで、添え字付きのま任意の識別子を示す変数である。この場合、上記線形変換は、 f 入力対称変換 gの核が多重線形写像（f重線形写像）に従うように見いだすことができ、この線形変換は、基本的には有限体上の線形空間で定義され、環上の剰余類に一般化される。

本システムは f = 2とした場合のものであり、上記の線形変換は次のように定義される。

ここで、以下の説明において、センタ一 1に属するエンティティの集合を E、識別子の集合を I、共通暗号鍵の集合を Kとする（図 1参照）。また、 Qを単位元をもつ可換環、 Jを Q上の位数 mの剰余類、 Kを Q上の位数 hの剰余類とし、 J, Kの元はそれぞれ m—縱ベクトル、 h—縦ベクトルとする。尚、 Qが体であるならば、 J， Kはそれぞれ次元 m, hの線形空間となる。また、位数 mは識別子の総数に等しい。

また、 Rを Iから Jへの写像を構成する線形変換とし、以下、アイデンティティ変換と称する。このアイデンティティ変換は、前述の実施形態のシステムに対応させると、基本的には識別子のデータに重み関数付きのフーリエ変換（積分変換）を施す変換に相当し、さらには、後述の如く前記ランダマイズ変換をも含む変換に拡張されるものである。

以上のことを前提として、まず、 J ₂ ( Jの二つの元の組を要素とする集合）から共通暗号鍵の集合 Kへの対称 Q階多重線形写像（2入力対称変換） g _: J ₂ →Kが任意に選択されて決定される。この gは任意の二つの識別子をそれぞれァ変換したものからそれらの識別子に対応した共通暗号鍵を生成するための変換に相当する。

また、ある与えられた識別子 yi (E I) に対して、 Q上の h行 m列の行列 X i が xi · v = g (R (yi )， v) を満たすように決定される。ここで、 τ?は Q上の任意の m—縦ベクトルで、 Jの元である（以下、同様）。

さらに、ある与えられた yi (EI) に対して、 Xi (ξ) =xi - R (ξ) (但し、は Iの任意の元。以下、同様）となるように 1入力変換 X i (ξ) を構成する。

この Xi (ξ) t、エンティティ iに対する個人鍵であり、該個人鍵 X i (ξ ) は、 1入力変換 Vi を前記行列 xi を用いて Vi (7?) =xi · と定義したとき、次式によって表される。

X i ( ） =Vi (R (ξ) )

尚、センターが複数存在するとき、 Vi (7?) =Xi · 7?における「xi 」の部分は、各センター毎に上記のように決定される行列 xi の総和に置き換えられる。

このように個人鍵 Xi を定義したとき、前述したことから容易に判るように、任意のエンティティ a, bEEに対して、 Xa (yb ) =Xb (ya ) となる。すなわち、エンティティ a, bがそれぞれの個人鍵 Xa， Xb に相手側の識別子 yb， yaを入力すれば、共通の暗号鍵 Xa (yb ) =Xb (ya )が得られる。尚、前記多重線形写像 gの代わりに、多変数多項式を選択したとしても、本システムの線形変換の適用範囲に含まれる。この理由は、任意の多項式が未知数の集合の適当な変換によって線形多項式に書き換えられるという事と、そのような変換は前記アイデンティティ変換 Rの中に吸収することができるという事とによる。更に、いくつかの変換は、線形変換と、指数閭数のような演算との合成と見なすことができる。

次に、本システムの線形変換の実行性能とアイデンティティ変換 Rの役割とについて述べる。

任意の変換 Aに対して、 Cd (A)、 C e (A) をそれぞれ変換 Aの記述の複雑さ、及び変換 Aの評価の複雑さとする。このとき、前述の変換 Xi , R, Vi に対して、次の関係式が成り立つ。

Cd (Xi ) =Cd (R) +Cd (Vi )

C e (Xi ) ≤Ce (R) +Ce (Vi )

この場合、個人鍵を示す変換 Xi の入力（識別子）が w [bit ] で記述されるとすると、変換 Vi の記述の複雑さ Cd (Vi ) については

Cd (Vi ) =h -m - w [bit ]

が成り立つ。また、変換 Vi の記述の複雑さ Ce (Vi ) については

C e (Vi ) =0 (h -m) [Q -演算]

が成り立つ。ここで、 0 (h -m) [Q -演算] は可換環 Q上での h · ιτιのォーダーを意味し、この値は、概ね 0 (w² ) [bit 変換] 、すなわち、 w² のォーダ一によつて評価できる。そして、小さい可換環 Q (例えばガロア体 GF [2] ) を選んだとき、 C e (Vi ) は低いものとなる。

従って、変換 Xi の記述の複雑さ Cd (Xi ) 及び評価の複雑さ Ce (Xi ) は、アイデンティティ変換 Rの記述の複雑さ Cd (R) 及び評価の複雑さ Ce ( R) に負うところが大きレ、。

ここで、システムを破ろうとする一^ 3もしくは複数のエンティティ jが、それぞれの個人鍵 Xj を利用する場合について考察する。

明らかに、本システムを完璧に破ることは、前述の多重線形写像 g ： J₂→κ を決定することである。この場合、システムを完全に破るためには、セン夕一が協力するか、あるいは、多重線形写像 gの位数と同じ数（これは概ね、識別子の総数 m (=Jの位数）に等しい）のエンティティの協力が必要であり、実際上は、不可能である。

さらに、一部のエンティティ jによる、他のエンティティ iの個人鍵 Xi の決定の可能性について考察する。この問題については、以下に述べるようにアイデンティティ変換 Rが重要な役割を担う。

まず、「エンティティ全体の集合 Eの部分集合 Bの全てのエンティティ jが協力して、それらのエンティティ j EBがそれぞれの個人鍵 Xj の全体 {Xj I j ≡ ) を使ったとしても、集合 E— B内の任意のエンティティ iの個人鍵 Xi を決定するために有用などのような情報も得ることができない」ということは、「 E— B内の各エンティティ iにとつて、アイデンティティ変換 R (yi ) 力 \ B 内のエンティティ jのそれぞれのアイデンティティ変換 R (y j ) の全体 {R ( yj ) I j GB} から線形独立である」ということと同値であることが容易に導かれる。従って、本システムの線形変換の情報理論的安全性は、集合 {R (y i ) I i≡E} の任意の部分集合 Uが線形独立であることに帰着させられる。よつて、線形変換と線形代数学的な順列組み合わせとの間には強い関係があり、線形変換の安全性を評価する上では、特に、 m行 n列（ここで n = #E=ェンティティ Eの総数である）のパリティチェック行列 H= (R (yl ) , …… , R (yn ) ) によって定義される線形符号 LR = {z≡Q" I H■ z = 0} 、すなわち、パリティチェック行列 Hとの積が零べクトルとなるような可換環 Q上の n—縦べクトルで表される符号語 zの集合を考察することが重要である。所謂、ハミング (Ha画 ing ) 重率 sの符号語 z (ELR ) が存在するということと、 s— 1個のエンティティ jの協力によって、特定のエンティティ iの個人鍵 Xi を導くことができるということと同値であることは容易に導かれる。

一方、以下のようにアイデンティティ変換 Rを個別化する（アイデンティティ変換 Rを各エンティティに固有のものとする）ことによって、多数のェンティテイカ結託しても、システムを破ることは難しくなる。すなわち、仮にシステムを破ろうとする各エンティティ j ( j≡B) のアイデンティティ変換 R (yj ) の集合 (yj ) I j≡B) に対し、他のエンティティ iのアイデンティティ変換 R (yi ) 力線形従属で、 R (yi ) =∑Cj - R (yj ) (但し、 Cj は適当な係数）であるならば、前述した個人鍵の定義から明らかなように、ェンティティ iの個人鍵 Xi 及びエンティティ j ( j eB) の個人鍵 Xj について、 Xi =∑Cj · Xj が成り立つ。このため、システムを破ろうとする各エンティティ jの集合 Bは容易に他のエンティティ iの個人鍵 Xi を知ることができることとなる。ところが、アイデンティティ変換 Rを個別化した場合には、該変換 Rは各エンティティに固有のものであるので、与えられたエンティティ jの集合 Bに対して、他の個人鍵 Xi を解読し得るような識別子 yi を有するエンティティ iを見いだすことは容易なことではない。換言すれば、集合 Bのエンティティ jは、それらが所持する個人鍵 Xj 等の情報からどのエンティティ iの個人鍵 Xi を解読し得るのかを知ることができなレ、。また、逆に、与えられた識別子 yi を有するエンティティ iに対し、その個人鍵 Xi を解読し得るような識別子 yj を含む集合 Bを見いだすことも容易ではない。換言すれば、解読しょうとする個人鍵 X i を有するエンティティ iを特定しても、その個人鍵 Xi を解読するためにどのエンティティ同士が結託すればよいのかを知ることができない。このように、ァイデンティティ変換 Rを個別化することは、システムの複雑さ理論的な安全性を高める上で本質的に重要なことである。

このようにアイデンティティ変換 Rを個別化する場合、種々の線形変換を選択することが可能である力それらは、基本的には二つの範畴に大別される。

その一つは、対応する線形符号 LRがよく知られた代数学的または代数幾何学的な符号になるようなアイデンティティ変換 Rを用いる場合であり、他の ^は、アイデンティティ変換 Rをエンティティ毎に個別にランダム化する場合である。この場合、前者の手法では、安全性のために識別子の総数 mを大きなものとすると、必要なデータ量が大規模なものとなる傾向がある。例えば、原始要素がひで Q = GF (q) ：ガロア体とし、また、 h=し /3をの乗（ 10

• 1 ogひ）とし、さらに R (ξ) = [1, β, β² , …， B^m- ] ^T とし、 I が {0, 1, 2, ···, n- 1 } と符号化されたとする。このアイデンティティ変換 Rは一方向性を有さないので、厳密な線形変換ではないが、前述の R.Blomの論文「An Optimal Class of Symmetric Key Generation Systems」中に提案された線形変換に相当し、線形符号 LRは所謂、リードーソロモン（Reed-Solomon) 符号に相当する。そして、この手法では、ネットワーク内のエンティティの総数 n はガロア体 Q = GF (q) における Qよりも小さいことが必要であり、例えば n = 1 0¹²の場合に、この手法を適用すると、最小の Qは GF ( 2⁴⁰) となって、極めて大規模なデータ量が必要となる。

これに対して、アイデンティティ変換 Rをエンティティ毎に個別にランダム化する後者の手法は、前述の実施形態で、前記ランダマイズ変換によって実現化した手法であり、この手法によれば、識別子の総数 m (本システムではこれはェンティティの総数 nに等しい）が大きくとも、高速な処理が可能で且つ小規模なデ ―夕量で済む多数のアイデンティティ変換：が存在する。他方、周知の漸近的バルシャモフ 'ギルバート（Varshamov-Gilbert ) の限界式を導くのと同様の手法によって、該限界式に対応する次の関係式が得られる。

但し、 r=m ' l o g。（q— 1)

ここで、 Φは

Φ (υ) =υ · 1 ο g„ (q - 1 ) - υ - l o g, υ

- ( 1 - υ) l o g_q ( 1 - u) によって定義される関数である。また、上記の不等式中の bはシステムを破ろうとするエンティティ jの総数（ = #B) である。

上記の不等式は、システムを破るために必要なエンティティ jの総数 bの限界を規定するものであり、この不等式が成立しないエンティティ数 bではシステムを破ることができないことを意味する。

そして、この不等式に基づいて、任意の m及び bに対して、高々 b個のェンティティ jが共謀しても、他のエンティティ iの個人鍵 Xi を解読することができないようなアイデンティティ変換 Rが存在することが導かれる。また、アイデンティ変換 Rの個別のランダム化は、多くの場合、上記のような条件を満たしつつ良好な線形独立な構造をもたらすことも判る。

従って、本システムは、アイデンティティ変換 Rの個別的なランダ厶化によつて、安全性の高いシステムを提供することができるものである。言い換えれば、本システムは、アイデンティティ変換 Rの個別的なランダム化によって、該変換

Rの記述の複雑さ Cd (R) 及び評価の複雑さ Ce (R) を高め、ひいては、個人鍵 Xi の記述の複雑さ Cd (Xi ) 及び評価の複雑さ C e (Xi ) を高めてシステムの安全性を確保したものである。

実際、例えば Q二 GF [2] 、 m= 8 1 92、 h= 64とした場合、 C d (X i ) = 64 [Kb y t e] となる。この場合、 1 6 0 b i tの共通喑号鍵によつて、最大で 1 0 1 20個のエンティティまでを含むシステム上の任意の二つのェンティティ間で暗号通信を行うことができる。そして、例えばクロック 200M

Hzで 32 b i tの CPUと 64 0Kb y t eのメモリを使用した場合、 20m s以内に各個人鍵を算出することができる。さらに、このシステムは 8 1 9 2個のエンティティが結託しなければシステムを完全に破ることはできず、また、各エンティティ毎の個別のランダム化によって、 2 5 6個以上のエンティティが結託しなければ、他のエンティティの個人鍵に対するいかなる情報も得ることができない。

尚、前述の実施形態では、センターアルゴリズムとして、重み関数及びフ一リェ変換アルゴリズムの他、センター行列を設定したが、重み関数自体をセンター行列として用いることも可能である。

また、前記実施形態では、積分変換としてフーリエ変換を用いたが、ラプラス変換、ミラー変換、ヒルベルト変換等、他の形式の積分変換を用いてもよい。産業上の利用可能性

本発明はインターネット、パソコン通信網等のネットワークにおいて、共通鍵方式による暗号通信を簡便且つ安全に行うことができる手法として有用である。

Claims

請求の範囲

1 . 複数のエンティティを含むネットワークにおいて、通信を行うェンティティ間で通信データの暗号 ·復号化を行うための共通の暗号鍵を使用して前記通信デー夕の授受を行う共通鍵通信方法であつて、

前記通信デ一夕の送信側で乱数データを鍵として該通信データを暗号化すると共に該乱数デー夕を前記共通の暗号鍵により暗号化して、その暗号化された乱数デ一タを前記喑号化された通信デ一夕と共に該通信デ一夕の受信側に送信し、該通信データの受信側では、前記共通の暗号鍵により前記暗号化された乱数デ —夕を復号すると共にその復号した乱数データを鍵として前記暗号化された通信データを復号することを特徴とする共通鍵通信方法。

2 . 前記乱数データは一回性の乱数デ一タであることを特徴とする請求の範囲第 1項記載の共通鍵通信方法。

3 . 前記乱数データは、前記通信データの送信側のエンティティの所定の処理に基づき生成することを特徴とする請求の範囲第 1項又は第 2項記載の共通鍵通信方法。

4 . 前記所定の処理は前言己各エンティティの人間による入力操作であり、その入力操作の時間的タイミングに基づき前記一回性の乱数データを決定することを特徴とする請求の範囲第 3項記載の共通鍵通信方法。

5 . 前記各エンティティには、あらかじめ前記ネットワークに設けられたセン夕一が各ェンティティに固有の識別子を、各エンティティに共通で且つ該セン夕一のみが保持するセンターアルゴリズムにより変換して生成された各ェンティティに固有の個人鍵が配付されており、

前記共通の暗号鍵は、前記通信データの通信を行う際に、通信相手側のェンティティに固有の識別子に、各エンティティが保持する自己の前記個人鍵を作用させて生成することを特徴とする請求の範囲第 1項記載の共通鍵通信方法。

6 . 前記セン夕一アルゴリズムは、前記各エンティティの識別子を積分変換する積分変換アルゴリズムを含むと共に、各エンティティには、前記個人鍵と前記積分変換ァルゴリズ厶とが前記センターからあらかじめ配付されており、前記共通の暗号鍵は、通信相手側のエンティティの識別子に、各エンティティが保持する自己の前記積分変換アルゴリム及び個人鍵を作用させて生成することを特徴とする請求の範囲第 5項記載の共通鍵通信方法。

7 . 前記積分変換アルゴリズムは重み関数付きの積分変換アルゴリズムであることを特徴とする請求の範囲第 6項記載の共通鍵通信方法。

8 . 前記重み関数は前記セン夕一におレ、て生成された乱数デ一夕により予想のつかないパターンに決定されていることを特徴とする請求の範囲第 7項記載の共通鍵通信方法。

9 . 前記乱数データは一回性の乱数データであることを特徴とする請求の範囲第 8項記載の共通鍵通信方法。

1 0 . 前記積分変換アルゴリズムはフーリエ変換アルゴリズムであることを特徴とする請求の範囲第 6項又は第 7項記載の共通鍵通信方法。

1 1 . 前記セン夕一は、前記各エンティティの識別子を前記セン夕一アルゴリズ厶により変換したものに、さらに各エンティティに固有の一回性の個別乱数デ一夕によりランダマイズ変換を施して前記個人鍵を生成すると共に、該個人鍵に含まれる前記ランダマイズ変換の成分を打ち消すためのアルゴリズ厶と前記積分変換アルゴリズムとからなる識別子変換アルゴリズムを前記個人鍵と共に各ェンティティに配付しておき、

前記共通の暗号鍵は、通信相手側のェンティティの識別子に、各エンティティが保持する自己の前記識別子変換アルゴリズム及び個人鍵を作用させて生成することを特徴とする請求の範囲第 6項記載の共通鍵通信方法。

1 2 . 前記ランダマイズ変換は、前記各エンティティの識別子を前記センター了ルゴリズムにより変換したものを表すデータ列を前記一回性の個別乱数デー夕により配置変換することにより行うことを特徴とする請求の範囲第 1 1項記載の共通鍵通信方法。

1 3 . 前記各エンティティの識別子を前記センタ一アルゴリズムにより変換したものを表すデータ列は複数の不要ビットを含み、前記ランダマイズ変換は、該不要ビッ卜の値を前記一回性の個別乱数データによりランダム化し、さらに該不要ビットを含む前記データ列の全体を配置変換することにより行うことを特徴とする請求の範囲第 1 2項記載の共通鍵通信方法。

1 4 . 前記一回性の個別乱数データは、前記各エンティティの所定の処理に基づき生成することを特徴とする請求の範囲第 1 1項記載の共通鍵通信方法。

1 5 . 前記所定の処理は前記各エンティティの人間による入力操作であり、その入力操作の時間的タイミングに基づき前記一回性の個別乱数データを生成することを特徴とする請求の範囲第 1 4項記載の暗号鍵共有方法。

1 6 . 前記各エンティティには、あらかじめ前記ネットワークに設けられたセン夕一が各ェンティティに固有の識別子を各ェンティティに共通で且つ該セン夕一のみが保持するセンタ一アルゴリズムにより変換したものに、各エンティティに固有の一回性の個別乱数データによりランダマイズ変換を施して生成された各エンティティに固有の個人鍵と、該個人鍵に含まれる前記ランダマイズ変換の成分を打ち消すアルゴリズムを含む識別子変換アルゴリズムとが前記センターからあらかじめ配付されており、

前記共通の暗号鍵は、通信相手側のエンティティの識別子に、各エンティティが保持する自己の前記識別子変換アルゴリズム及び個人鍵を作用させて生成することを特徴とする請求の範囲第 1 5項記載の共通鍵通信方法。

1 7 . 前記ランダマイズ変換は、前記各エンティティの識別子を前記セン夕一ァルゴリズムにより変換したものを表すデータ列を前記一回性の個別乱数データにより配置変換することにより行うことを特徴とする請求の範囲第 1 6項記載の共通鍵通信方法。

1 8 . 前記各エンティティの識別子を前記セン夕一アルゴリズムにより変換したものを表すデータ列は複数の不要ビットを含み、前記ランダマイズ変換は、該不要ビッ卜の値を前記一回性の個別乱数デ一夕によりランダム化し、さらに該不要ビットを含む前記デー夕列の全体を配置変換することにより行うことを特徴とする請求の範囲第 1 7項記載の共通鍵通信方法。

1 9 . 前記一回性の個別乱数データは、前記各エンティティの所定の処理に基づき生成することを特徴とする請求の範囲第 1 6項記載の共通鍵通信方法。

2 0 . 前記所定の処理は前記各エンティティの人間による入力操作であり、その入力操作の時間的夕イミングに基づき前記一回性の個別乱数データを生成することを特徴とする請求の範囲第 1 9項記載の共通鍵通信方法。